Daniela Albuquerque
Por Daniela Albuquerque

ISO 27001 – Como implementar? Tudo que você precisa saber

Existem 05 grandes etapas na implementação da ISO 27001, que são: Contexto da Organização, Avaliação de Riscos, Controles Operacionais, Análise de Eficácia, e, Melhoria.


Tempo de Leitura: 4 minutos

Existem 05 grandes etapas na implementação da ISO 27001, que são: Contexto da Organização, Avaliação de Riscos, Controles Operacionais, Análise de Eficácia, e, Melhoria.

Quantos softwares você têm na sua empresa? Recentemente fizemos um levantamento aqui na Templum e para manter a empresa rodando utilizamos 35 softwares distintos. Temos coleta de dados desde informações simples, como os acessos em nosso site, até informações confidenciais sérias dos nossos clientes. E a preocupação é: o que fazemos de forma ativa para evitar que esses dados sejam compartilhados de forma indevida? É sobre isso esse risco que a ISO 27001 aborda e que vamos detalhar nesse texto.

Para quem é a ISO 27001:

Na prática, uma empresa com essa certificação garante ao mercado que se preocupa com a disponibilidade, confidencialidade e integridade da informação, ou seja, é uma organização em que posso oferecer minhas informações com segurança de que estão sendo bem geridos.

Por que estão exigindo a certificação ISO 27001?

Todos os grandes mercados organizados, como a União Europeia criaram nos últimos anos legislações que tratam da proteção de dados, ou seja, todas as empresas que atuam nesse mercado precisam se adequar o mais rápido possível.

O grande X questão é que a proteção e a segurança da informação dependem de uma série de fatores internos e externos à organização que precisam ser gerenciados. Lembra dos 35 softwares que falei que utilizamos aqui na Templum no começo desse post? Então, não basta que só a minha empresa tenha essa preocupação se esses outros softwares que armazenam esses dados não tenham esse cuidado também. Nesse caso todo o meu controle vai por água abaixo. É por isso que estamos falando de uma certificação que puxa a cadeia de fornecimento inteira.

Isso quer dizer que a ISO 27001 é uma certificação compulsória para qualquer empresa que quer se manter no mercado competitivo nos próximos anos.

Posso assegurar que é questão de pouco tempo para que todos os seus clientes e fornecedores estejam exigindo essa certificação. Então, agora é o ponto da virada! Ou começa agora e já estará pronto para a grande mudança do mercado ou então ficará para trás, com certeza.

Quais são as etapas de implementação da ISO 27001?

Existem 05 grandes etapas na implementação da ISO 27001, que são:

1. Entender o Contexto da Organização

Nessa etapa vamos compreender as características e necessidades da organização para estabelecer quais são as políticas e objetivos internos de segurança da informação;

2. Avaliação de Riscos

Antes de tudo, a ISO 27001 é uma norma de gestão de riscos e por isso nessa segunda etapa avaliamos todos os processos internos da organização e os riscos relacionados à segurança da informação e criamos uma classificação de riscos para todos os pontos identificados;

3. Controles Operacionais

Nessa fase partimos para a implementação de controles operacionais nos processos com a finalidade de controlar, eliminar ou diminuir a classificação dos riscos identificados;

4. Análise de Eficácia

Nessa etapa seguiremos com a fiscalização e análise do desempenho dos controles realizados para garantir a segurança de todas as informações sensíveis da empresa. Aqui temos a famosa e temida Auditoria Interna 😉

5. Melhoria

Na última (e primeira) etapa temos o estágio de melhoria contínua a partir do estabelecimento da Certificação para garantir que todos os processos estão em constante avaliação e monitoramento dos riscos identificados e possíveis novos controles operacionais. Por isso indico que também é a primeira etapa de um novo PDCA que se inicia na empresa.

Na prática, o que será avaliado na empresa?

Na norma ISO 27001 está disponível o Anexo A que indica quais são os controles internos que devem passar por avaliação conforme as políticas e objetivos de segurança da informação de cada empresa. Abaixo destacamos os principais controles para análise e caso queira uma avaliação mais sistemática, se você se interessar, pode fazer um diagnóstico gratuito com a gente, basta entrar em contato.

  • Organização Interna
  • Dispositivos móveis e trabalhos remotos
  • Segurança em RH
  • Gestão de Ativos
  • Tratamento de Mídias
  • Controle de Acesso (físico e sistema)
  • Criptografia
  • Segurança Física
  • Equipamentos
  • Segurança nas Operações
  • Proteção contra malware
  • Copias de segurança
  • Controle de software operacional
  • Gestão de vulnerabilidade
  • Segurança de dados
  • Transferência da informação
  • Segurança em desenvolvimento e suporte
  • Segurança na informação da cadeia de suprimentos
  • Gestão de incidentes
  • Requisitos Legais

Quanto tempo em média demora a certificação?

Isso depende de algumas variáveis que deve levar em consideração para esse cálculo, que são:

  1. Equipe: quem são as pessoas que farão parte desse projeto e o nível de conhecimento dos processos internos e do negócio da empresa. Como é uma norma de gestão de risco, quanto maior o conhecimento sobre a organização, mais ágil será o processo de implementação.
  2. Tempo: qual é o tempo disponível das pessoas para a dedicação desse projeto. Aqui na Templum indicamos a necessidade de uma dedicação diária ao projeto para que as atividades estejam conectadas e assim diminuir a quantidade de retrabalho.
  3. Método: qual é o método escolhido para essa implementação. Se optar pela consultoria online da Templum, garantimos uma agilidade acima de 30% em relação aos outros métodos, se as nossas instruções forem seguidas à risca.

Dessa forma, uma empresa de porte médio, que aplica essas variáveis acima, consegue obter a certificação em 12 meses, em média. No diagnóstico que disponibilizamos, você consegue ter essa informação de forma mais detalhada. Não deixe de fazer o download.

Para finalizar…

Para resumir, como já disse anteriormente, a segurança da informação é o assunto do momento em todas as rodas de discussões empresariais. Então, se de fato quiser um diferencial competitivo da sua empresa frente aos seus concorrentes, não deixe de colocar a ISO 27001 no seu radar. Tenho certeza que fará grande diferença em seu negócio!

Vamos começar?

27001

 

Daniela Albuquerque

Sócia e Especialista Chave em Templum Consultoria
Por ser apaixonada por qualidade e melhoria contínua de negócios e pessoas sou a Sócia Responsável pelo Sucesso do Cliente na Templum por meio de mentoria e treinamento interno das equipes de consultores e atendimento ao cliente e da elaboração de produtos, treinamentos e conteúdos que permitem o fortalecimento das empresas.
Formada em Comunicação Social, MBA em Gestão de Negócios e especialista em Sistemas de Gestão Integrada.
Daniela Albuquerque

Últimos posts por Daniela Albuquerque (exibir todos)