Pular para o conteúdo

ISO 27001: O que fazer para manter o sistema de gestão?

Uma das dúvidas mais comuns após a certificação na ISO 27001 é de como manter o sistema de gestão de segurança da informação. Infelizmente algo ainda comum em qualquer implementação de normas ISO é a “correria” para as adequações antes das auditorias de manutenção do sistema de gestão. 

Isso ocorre pois após a organização ser certificada ela passa por ciclos de auditorias anualmente para manutenção do seu certificado. Portanto, é necessário que o sistema implementado esteja de fato vivo e melhorando continuamente. 

Não manter o sistema de gestão implementado atualizado é um dos maiores erros que as organizações podem cometer. Afinal, não manter o sistema de gestão atualizado e deixar para fazer os ajustes próximo das auditorias apenas para manter o certificado é uma auto sabotagem.

Trazendo essa analogia para a ISO 27001, essa auto sabotagem pode colocar em xeque a perenidade da Organização dependendo do vazamento de dados que pode ocorrer. Seja de um grande cliente sofrendo com multas altíssimas ou até mesmo informações internas como o código fonte do software que é carro chefe da operação da Organização.

Os riscos são altíssimos em não manter o sistema de gestão de segurança da informação atualizado e de fato utilizado como um braço na gestão da Organização pela alta direção. 

Após a implementação da ISO 27001 a Organização vai ter uma boa maturidade relacionada a segurança da informação em uma média após 3 anos (algumas menos e outra mais tempo). Com isso é necessário que a empresa tome certos cuidados para manter o Sistema de Gestão de Segurança da Informação “de pé”. 

Pontos que devem ser observados e mantidos após a certificação ISO 27001

Segue alguns pontos que precisam de atenção após a certificação: 

Manter o comitê de segurança definido na implementação da ISO 27001

É importante que se mantenha o comitê de segurança que trabalhou na implementação do sistema de gestão de segurança da informação como responsáveis em manter os controles atualizados, pois como vivenciaram no dia a dia a implementação são as pessoas que vão conseguir dar suporte a todo o time para dar continuidade na manutenção e melhoria contínua

Realizar avaliação de riscos periodicamente

Realizar a avaliação dos riscos relacionados a Organização periodicamente irá ajudar a manter a atualização dos riscos que podem ocorrer, pois é comum que com o tempo o grau dos riscos altere e que também novos riscos sejam encontrados e necessitem ser tratados.

CONSULTORIA ISO 27001

Treinamentos periódicos sobre ISO 27001

Importante que haja treinamentos periódicos aos colaboradores relacionado a segurança das informações, principalmente repassando as políticas e procedimentos definidos para que assim os colaboradores consigam desenvolver cada vez mais o seu trabalho com a mentalidade de risco.

Realização de auditorias internas periódicas

Definir e implementar um cronograma de auditorias internas periódicas para analisar os sistemas operacionais, infraestrutura e equipamentos irá ajudar a Organização a prevenir incidentes relacionados à segurança da informação também orientar os colaboradores em eventuais falhas humanas que podem ocorrer durante a operação.

Manter um canal de comunicação exclusivo para segurança da informação

Manter um canal de comunicação com informações de segurança da informação para orientar os colaboradores é fundamental, a implementação da ISO 27001 traz grandes mudanças para a Organização e ter um canal que traga informações e orientações relevantes ao assunto irá ajudar na mudança de cultura e engajamento dos colaboradores para desenvolver a mentalidade risco durante suas atividades diárias. Outro ponto importante é que o canal de comunicação seja uma via de mão dupla, que os colaboradores também tenham como se comunicar com o comitê de segurança para expor suas dúvidas, também apontamentos de melhorias para o Sistema de Gestão de Segurança da Informação. 

Revalidar periodicamente os controles da ISO 27001

um dos maiores desafios durante a implementação é adequar os controles relacionados a ISO 27001. Mantê-los é mais difícil ainda! Com isso é importante que os controles definidos sejam analisados e revalidados periodicamente, para que assim possa analisar se há a necessidade de alguma adequação dos controles definidos, se há falhas operacionais e oportunidades de melhoria.

Manter o Plano de ação da ISO 27001 atualizado

Manter o plano de ação atualizado e acompanhar as ações relacionadas à segurança da informação para que tenham o controle efetivo das melhorias necessárias para eliminação e mitigação dos riscos.

Atualização do contexto da Organização

Como sabemos o contexto que as Organizações estão inseridos mudam constantemente, com isso é importante que seja realizado a análise de contexto relacionado a segurança da informação pelo menos uma vez por ano para que possam ser levantados os pontos que a Organização necessita definir ações relacionadas ao contexto atual.

Inclusão da segurança da informação no planejamento estratégico da Organização

É importante que a alta direção inclua no planejamento estratégico as questões relacionadas à segurança da informação, com essa análise e adoção a disseminação da segurança da informação tende a ser mais fácil devido ao apoio da direção e gestão.

CONSULTORIA ISO 27001

Revalidar e monitorar as partes interessadas

É importante que seja analisado e revalidado as partes interessadas da Organização e monitorar se as expectativas no que se tange a segurança da informação estão sendo atendidas.

Realizar pesquisa de satisfação interna

Entender o grau de satisfação dos colaboradores é de suma importância para que a Organização consiga mantê-los engajados com as estratégias e definições relacionadas à segurança da informação. Ter colaboradores desmotivados na Organização pode trazer sérios problemas relacionados a incidentes de segurança da informação por falhas humanas. Entender o grau de satisfação e definir ações para elevar a satisfação dos colaboradores irá ajudar a Organização a manter uma equipe mais engajada e atenta com as definições relacionadas à segurança da informação.

Realizar a pesquisa de satisfação do cliente

Realizar pesquisa de satisfação do cliente é uma das formas de monitorar o grau de satisfação dessa parte interessada e definir pontos relacionados à segurança da informação irá ajudar a Organização a melhorar sua operação interna e elevar a satisfação dos clientes.

Análise crítica da alta direção

Realizar a análise crítica do Sistema de Gestão da Segurança da Informação pelo menos uma vez ao ano, uma boa estratégia é utilizar os resultados das auditorias para realizar a análise crítica e através dos resultados das auditorias trabalhar e implementar melhorias no Sistema de Gestão.

Planilha – Mapeamento de Processos

Baixe nossa planilha preenchendo o formulário e entenda mais.

Sistema de Gestão deve ser parte da cultura da empresa 

Como podemos ver o Sistema de Gestão de Segurança da Informação necessita ser vivenciado diariamente e a Organização não pode correr o risco de após a certificação deixar que todo o trabalho desenvolvido durante a implementação seja perdido. Acreditem é mais fácil manter o Sistema de Gestão ativo e acompanhar de perto mensalmente do que apenas adequá-lo para as auditorias. 

Além disso, os riscos de incidentes serão cada vez menores adotando as práticas para manter o sistema de gestão ativo.

Tem interesse em implementar a ISO 27001 em sua empresa? Clique aqui e fale com um especialista!