Uma das dúvidas mais comuns após a certificação na ISO 27001 é de como manter o sistema de gestão de segurança da informação. Infelizmente algo ainda comum em qualquer implementação de normas ISO é a “correria” para as adequações antes das auditorias de manutenção do sistema de gestão.
Isso ocorre pois após a organização ser certificada ela passa por ciclos de auditorias anualmente para manutenção do seu certificado. Portanto, é necessário que o sistema implementado esteja de fato vivo e melhorando continuamente.
Não manter o sistema de gestão implementado atualizado é um dos maiores erros que as organizações podem cometer. Afinal, não manter o sistema de gestão atualizado e deixar para fazer os ajustes próximo das auditorias apenas para manter o certificado é uma auto sabotagem.
Trazendo essa analogia para a ISO 27001, essa auto sabotagem pode colocar em xeque a perenidade da Organização dependendo do vazamento de dados que pode ocorrer. Seja de um grande cliente sofrendo com multas altíssimas ou até mesmo informações internas como o código fonte do software que é carro chefe da operação da Organização.
Os riscos são altíssimos em não manter o sistema de gestão de segurança da informação atualizado e de fato utilizado como um braço na gestão da Organização pela alta direção.
Após a implementação da ISO 27001 a Organização vai ter uma boa maturidade relacionada a segurança da informação em uma média após 3 anos (algumas menos e outra mais tempo). Com isso é necessário que a empresa tome certos cuidados para manter o Sistema de Gestão de Segurança da Informação “de pé”.
Pontos que devem ser observados e mantidos após a certificação ISO 27001
Segue alguns pontos que precisam de atenção após a certificação:
Manter o comitê de segurança definido na implementação da ISO 27001
É importante que se mantenha o comitê de segurança que trabalhou na implementação do sistema de gestão de segurança da informação como responsáveis em manter os controles atualizados, pois como vivenciaram no dia a dia a implementação são as pessoas que vão conseguir dar suporte a todo o time para dar continuidade na manutenção e melhoria contínua
Realizar avaliação de riscos periodicamente
Realizar a avaliação dos riscos relacionados a Organização periodicamente irá ajudar a manter a atualização dos riscos que podem ocorrer, pois é comum que com o tempo o grau dos riscos altere e que também novos riscos sejam encontrados e necessitem ser tratados.
Treinamentos periódicos sobre ISO 27001
Importante que haja treinamentos periódicos aos colaboradores relacionado a segurança das informações, principalmente repassando as políticas e procedimentos definidos para que assim os colaboradores consigam desenvolver cada vez mais o seu trabalho com a mentalidade de risco.
Realização de auditorias internas periódicas
Definir e implementar um cronograma de auditorias internas periódicas para analisar os sistemas operacionais, infraestrutura e equipamentos irá ajudar a Organização a prevenir incidentes relacionados à segurança da informação também orientar os colaboradores em eventuais falhas humanas que podem ocorrer durante a operação.
Manter um canal de comunicação exclusivo para segurança da informação
Manter um canal de comunicação com informações de segurança da informação para orientar os colaboradores é fundamental, a implementação da ISO 27001 traz grandes mudanças para a Organização e ter um canal que traga informações e orientações relevantes ao assunto irá ajudar na mudança de cultura e engajamento dos colaboradores para desenvolver a mentalidade risco durante suas atividades diárias. Outro ponto importante é que o canal de comunicação seja uma via de mão dupla, que os colaboradores também tenham como se comunicar com o comitê de segurança para expor suas dúvidas, também apontamentos de melhorias para o Sistema de Gestão de Segurança da Informação.
Revalidar periodicamente os controles da ISO 27001
um dos maiores desafios durante a implementação é adequar os controles relacionados a ISO 27001. Mantê-los é mais difícil ainda! Com isso é importante que os controles definidos sejam analisados e revalidados periodicamente, para que assim possa analisar se há a necessidade de alguma adequação dos controles definidos, se há falhas operacionais e oportunidades de melhoria.
Manter o Plano de ação da ISO 27001 atualizado
Manter o plano de ação atualizado e acompanhar as ações relacionadas à segurança da informação para que tenham o controle efetivo das melhorias necessárias para eliminação e mitigação dos riscos.
Atualização do contexto da Organização
Como sabemos o contexto que as Organizações estão inseridos mudam constantemente, com isso é importante que seja realizado a análise de contexto relacionado a segurança da informação pelo menos uma vez por ano para que possam ser levantados os pontos que a Organização necessita definir ações relacionadas ao contexto atual.
Inclusão da segurança da informação no planejamento estratégico da Organização
É importante que a alta direção inclua no planejamento estratégico as questões relacionadas à segurança da informação, com essa análise e adoção a disseminação da segurança da informação tende a ser mais fácil devido ao apoio da direção e gestão.
Revalidar e monitorar as partes interessadas
É importante que seja analisado e revalidado as partes interessadas da Organização e monitorar se as expectativas no que se tange a segurança da informação estão sendo atendidas.
Realizar pesquisa de satisfação interna
Entender o grau de satisfação dos colaboradores é de suma importância para que a Organização consiga mantê-los engajados com as estratégias e definições relacionadas à segurança da informação. Ter colaboradores desmotivados na Organização pode trazer sérios problemas relacionados a incidentes de segurança da informação por falhas humanas. Entender o grau de satisfação e definir ações para elevar a satisfação dos colaboradores irá ajudar a Organização a manter uma equipe mais engajada e atenta com as definições relacionadas à segurança da informação.
Realizar a pesquisa de satisfação do cliente
Realizar pesquisa de satisfação do cliente é uma das formas de monitorar o grau de satisfação dessa parte interessada e definir pontos relacionados à segurança da informação irá ajudar a Organização a melhorar sua operação interna e elevar a satisfação dos clientes.
Análise crítica da alta direção
Realizar a análise crítica do Sistema de Gestão da Segurança da Informação pelo menos uma vez ao ano, uma boa estratégia é utilizar os resultados das auditorias para realizar a análise crítica e através dos resultados das auditorias trabalhar e implementar melhorias no Sistema de Gestão.
Sistema de Gestão deve ser parte da cultura da empresa
Como podemos ver o Sistema de Gestão de Segurança da Informação necessita ser vivenciado diariamente e a Organização não pode correr o risco de após a certificação deixar que todo o trabalho desenvolvido durante a implementação seja perdido. Acreditem é mais fácil manter o Sistema de Gestão ativo e acompanhar de perto mensalmente do que apenas adequá-lo para as auditorias.
Além disso, os riscos de incidentes serão cada vez menores adotando as práticas para manter o sistema de gestão ativo.
Tem interesse em implementar a ISO 27001 em sua empresa? Clique aqui e fale com um especialista!
