A norma ISO 27001 tem como principal benefício garantir a segurança das informações que detém. E, um dos pontos que é necessário se atentar para que realmente conquiste a certificação ao implementar a ISO 27001 e principalmente garantir a segurança das informações é como será realizado o processo de implementação da norma dentro da Organização.
Como toda norma, a ISO 27001 é uma norma interpretativa, ou seja, ela indica o que deve ser feito, mas não como. E quando nos deparamos com o Anexo A com os seus 114 controles é nesse momento que ocorre um grande risco, de se atentar somente aos controles e não aos demais requisitos da norma.
Qual seria o melhor caminho para se implementar a ISO 27001?
Para se implementar a ISO 27001 é necessário observar alguns pontos
Primeiro passo: definir um comitê de segurança da informação com pessoas chave para apoiar o desenvolvimento e implementação da ISO 27001. Esse ponto é importante pois a definição de uma boa equipe irá auxiliar toda a Organização durante a implementação.
Segundo passo: definir o escopo de implementação conforme a necessidade da Organização é essencial, pois o escopo irá nortear tanto a implementação, quanto às auditorias que serão realizadas para a certificação.
Terceiro passo: realizar uma análise de contexto interno e externo da Organização para entender mais sobre o contexto que está inserido com base na segurança da informação.
Quarto passo: identificar as partes interessadas do negócio quando se trata de segurança da informação.
Quinto passo: com base no escopo definido identificar os processos e levantar as informações e os demais ativos (hardwares e softwares) utilizados na operação.
Sexto passo: definir a sistemática de análise de riscos dos ativos e definição do plano de ação para mitigá-los ou eliminá-los.
Sétimo passo: análise e adequações dos controles da norma, esse ponto deve se tomar muito cuidado, pois como se trata de 114 controles é possível observar que são subdivididos em grupos como controle de acesso físico, segurança no ambiente de desenvolvimento, controle dos sistemas operacionais entre outros. Com isso, uma forma mais simples é de analisar os controles em grupos e realizar as adequações necessárias com desenvolvimento de procedimentos e políticas.
Oitavo passo: Realizar as auditorias interna e de certificação finalizando o processo de implementação da ISO 27001
De forma macro esses seriam os passos a se seguir durante a implementação e assim conseguir a certificação e o seu principal benefício, a segurança das informações.
Desafios para ao implementar a ISO 27001
Durante a implementação é comum que a Organização passe por alguns desafios, como toda norma na ISO 27001 não é diferente, devido ao trabalho que necessita ser desenvolvido a pontos que a Organização necessita se atentar para conseguir realizar uma boa implementação:
Falta de envolvimento dos colaboradores: Pode ocorrer a falta de envolvimento dos colaboradores durante a implementação, e por se tratar de uma norma onde o fator humano é muito importante não envolver os colaboradores pode colocar em risco a implementação e certificação da Organização. Para que tenham os colaboradores envolvidos o melhor caminho é treiná-los constantemente e mantê-los informados com o avanço da implementação e quais são as suas responsabilidades. Além dos treinamentos, uma boa prática é definir um canal de comunicação exclusivo relacionado à segurança das informações, assim a conscientização e mudança de cultura tende a ser mais fácil. Definir um canal de comunicação com a via de mão dupla é o melhor caminho para que os colaboradores possam expor também seu ponto de vista e dificuldades durante a implementação.
Resistência a mudanças: Como toda norma ao ser implementada, a ISO 27001 trará mudanças dentro da Organização e muitas vezes podemos encontrar a resistência a mudanças dentro da Organização, por isso importante o apoio da direção da Organização para auxiliar o comitê de segurança e passar aos colaboradores a importância da implementação da ISO 27001, com isso com o tempo as barreiras são quebradas e a mudança de cultura para segurança das informações ocorre internamente.
Falta de tempo: Em muitos momentos os colaboradores precisarão de tempo para se dedicarem a implementar da ISO 27001 e como sabemos hoje em dia a realidade das organizações o tempo é escasso com o volume de atividades que os colaboradores desenvolvem diariamente. Por isso a importância da definição de um bom comitê de segurança da informação, pois alinhar e definir o tempo para a implementação da equipe será crucial para o sucesso do projeto e a certificação.
Levantamento das informações e demais ativos: O mapeamento e levantamento das informações e ativos relacionados a segurança das informações também é um desafio. Como é uma norma que entra muito no detalhe em cada departamento se torna uma das partes mais trabalhosas da implementação, nesse momento é muito importante que seja realizado todo o levantamento de forma correta pois será a base da análise de riscos e de definições de vários controles do Anexo A.
Esses seriam alguns exemplos de desafios que provavelmente a Organização terá durante a implementação.
Falhas comuns que podem ocorrer durante a implementação
Há falhas que ocorrem durante a implementação que acabam sendo comuns de acontecerem durante a implementação, e são pontos que a Organização tem que tomar cuidado durante a implementação para evitar que venham a ocorrer:
Falha na definição do Escopo: Esse é um ponto que requer muita atenção, diferente de outras normas na ISO 27001 é possível definir um escopo delimitado dentro da Organização. Por exemplo se a Organização realiza entregas distintas de serviços onde a primeira é o desenvolvimento e entrega de software de gestão responsável por 70% do seu faturamento e os outros 30% são pulverizados a outras prestações de serviços desvinculadas do software de gestão a Organização pode definir o escopo de implementação somente do software.
O que muitas vezes ocorre é a Organização querer realizar um escopo abrangente e tornar um trabalho muito grande ou delimitar o escopo e não conseguir realizar a implementação do escopo reduzido por particularidades da Organização devido ao fluxo de informação interna. O melhor caminho a se seguir para definir o escopo é realizar o contexto interno e externo e definir as partes interessadas, assim vai ficar mais claro a definição do escopo.
Falha na informação documentada: Durante a implementação será desenvolvido vários documentos e controles relacionados ao Sistema de Gestão da Segurança da Informação, e uma falha comum que pode ocorrer é de se definir os documentos como procedimentos e formulários e não se atentar em como controlar e manter as informações documentadas atualizadas.
Pouco entendimento dos controles do Anexo A: A norma prevê que seja analisado e incluído os controles do anexo A, mais conhecido como Declaração de Aplicabilidade, como o nome diz é necessário declarar o porquê o controle é ou não aplicável, uma falha comum é na definição de que alguns controles não são aplicáveis a Organização, porém nas auditorias é constatado que é aplicável e necessita de ajustes.
Falha na análise de riscos: Pode ocorrer falhas na análise dos riscos se a Organização não se atentar em definir uma sistemática correta de análise dos riscos, como sabemos cada Organização tem seu apetite de risco e durante a implementação define em quais riscos irá atuar ou aceitar. Porém é importante ter coerência nas análises para assim atuar de forma correta nos riscos que serão encontrados durante a implementação.
Falha de segurança no desenvolvimento: Muitas vezes a organização não consegue se atentar aos riscos relacionados ao desenvolvimento, desde ter o ambiente seguro para desenvolvimento, teste e homologação, contratação de terceiros que podem ter acesso ao código fonte, não definir o ciclo de vida dos softwares entre outros. Com isso é importante seguir as orientações dos controles relacionados ao desenvolvimento seguro de software para garantir a segurança das informações.
O processo de implementação não é fácil, mas trará a Organização uma maturidade e melhoria nos processos como um todo, vai fortalecer a Organização perante suas partes interessadas e irá garantir a perenidade do negócio. Garantir a segurança das informações que é o principal benefício irá colocar a Organização em outro nível de gestão, uma cultura interna muito mais forte e colaboradores mais preparados!
Precisa de ajuda para implementar a ISO 27001 em sua empresa? Conte com a Templum para esse projeto! Entre em contato agora mesmo e faça um diagnóstico.
