A ISO 27001 é o principal padrão interno de segurança da informação. Quando aplicada corretamente, ela protege seu ambiente e faz com que as pessoas se sintam mais seguras ao usar equipamentos de TI. Dito isso, a implementação da norma não é uma tarefa simples; muitas organizações se sentem sobrecarregadas, pois não sabem por onde começar, ou têm dificuldades e se sentem perdidas durante o processo.
Neste artigo, examinaremos alguns dos benefícios da norma ISO 27001 e veremos como ela pode ajudar sua organização. Em seguida, dividiremos o processo em etapas gerenciáveis por meio de uma lista de verificação de implementação que você pode seguir e adaptar ao seu cenário e às suas necessidades específicas. Disponibilizamos um modelo para download abaixo para ajudá-lo a iniciar o processo imediatamente. Por fim, forneceremos algumas práticas recomendadas e dicas úteis para que toda a implementação seja bem-sucedida.
Você está pronto para implementar a ISO 27001? Vamos lá!
|
Tabela de conteúdo
- Quem pode se beneficiar de uma implementação da ISO 27001?
- Download da lista de verificação da ISO 27001
- Três dicas para garantir a conformidade com a ISO 27001
Quem pode se beneficiar de uma implementação da ISO 27001?
Não há dúvida de que a implementação da ISO 27001 proporciona muitos benefícios importantes, portanto, vamos dar uma olhada em algumas das principais maneiras pelas quais ela pode melhorar a forma como as organizações operam.
A norma ajuda as organizações a:
- Fortalecer a segurança dos dados.
- Aumentar o envolvimento dos funcionários.
- Aperfeiçoar continuamente os processos.
- Proteger os ativos de informações.
- Preparar-se para o futuro.
- Destaque-se em um mercado concorrido - a ISO 27001 é um diferencial sólido.
A realidade é que a ISO 27001 é vital para todas as organizações, mas isso é particularmente verdadeiro para aquelas que gerenciam informações ou dados confidenciais que precisam ser protegidos. Isso pode incluir dados pessoais, financeiros ou qualquer outro tipo de dados confidenciais e se estende a organizações de todos os tamanhos e setores, tais como:
- Autoridades, provedores e hospitais do setor de saúde.
- Instituições financeiras e bancos.
- Órgãos governamentais.
- Instituições educacionais, como faculdades, escolas e universidades.
- Empresas de seguros.
- Empresas de comércio eletrônico e varejistas on-line.
- Empresas de tecnologia e software.
- Organizações sem fins lucrativos e instituições de caridade.
- Empresas industriais e de manufatura.
- Prestadores de serviços.
Ao implementar o padrão, as organizações podem proteger suas informações confidenciais, bem como seus funcionários e clientes. Além disso, isso reduzirá o risco de violações de segurança e demonstrará aos clientes e às partes interessadas o compromisso com as práticas recomendadas e a segurança das informações.
A implementação da ISO 27001 é uma declaração. Você está dizendo às partes interessadas que sua organização se preocupa em manter seus dados seguros e, por extensão, seu pessoal e seus clientes.
Lista de verificação da ISO 27001: Implementação da norma em 20 etapas
A implementação da ISO 27001 é um investimento significativo em tempo, esforço e recursos: se você tentar fazer muito de uma vez, ficará sobrecarregado. É por isso que a melhor maneira de lidar com essa tarefa é dividir o exercício em pacotes de trabalho menores e mais viáveis, para que você possa implementar a norma de forma eficaz sem perder o foco.
Aqui estão as principais etapas a serem seguidas :
- Obter adesão e apoio
- Estabelecer um corpo diretivo
- Criar um roteiro
- Definição de um escopo
- Criação de uma política de segurança da informação
- Definição da metodologia de avaliação de riscos
- Criação de um registro de riscos
- Realização da avaliação de riscos
- Redigir a declaração de aplicabilidade
- Redigir o plano de tratamento de riscos
- Definição de como medir a eficácia dos seus controles
- Implementação dos controles de segurança
- Criar um cronograma de treinamento e conscientização
- Operar o ISMS
- Monitoramento e medição do ISMS
- Criação e inventário
- Realização de auditorias internas
- Estabelecer revisões regulares
- Tomar medidas corretivas quando apropriado
- Desenvolvimento da melhoria contínua
Agora vamos dar uma olhada em cada uma delas com mais detalhes.
1. Obter adesão e apoio
Antes de fazer qualquer coisa, obtenha a adesão da empresa, de suas equipes de suporte e de seus colegas. A ISO 27001 não é uma atividade única; você precisará de apoio, portanto, prepare o cenário de acordo, ou fracassará no primeiro obstáculo.
Ao planejar a adesão:
- Colete informações sobre as vantagens da ISO 27001 para explicar claramente os benefícios e por que ela é necessária.
- Identifique as partes interessadas em sua organização que atuarão como líderes de torcida para a iniciativa.
- Não se esqueça das equipes de service desk e suporte técnico, que precisarão estar cientes dos requisitos relacionados à segurança da informação.
2. Estabelecimento de um corpo diretivo
A ISO 27001 precisará de uma governança para apoiá-la. Ao definir quem será o responsável por isso:
- Nomeie um gerente de projeto para supervisionar a implementação do ISMS.
- Selecione uma equipe para realizar as atividades de implementação.
- Trate a implementação como um projeto para que ela tenha o apoio e a governança adequados.
3. Criação de um roteiro
Uma implementação bem-sucedida precisa de uma diretriz bem construída para orientar a equipe:
- Use o ciclo de Deming ou Plan (Planejar), Do (Fazer), Check (Verificar), Act (Agir ) para reconhecer lacunas ou desafios e capturar quaisquer ideias de melhoria e correção.
- Trabalhe com o corpo diretivo e a equipe do projeto para definir os principais marcos.
- Crie critérios de qualidade para que você e sua equipe possam ter certeza de que tudo em cada estágio foi concluído com eficácia antes de passar para a próxima fase.
4. Definição de um escopo
Muitas organizações têm dificuldades com as implementações da ISO 27001 porque pouca atenção é dada ao escopo. Ao defini-lo, lembre-se de:
- Verificar os requisitos do escopo padrão e compará-los com as necessidades específicas de sua organização.
- Trabalhe com a sua equipe para determinar o que precisa ser protegido ou assegurado dentro da sua organização, de modo que corresponda a quaisquer outros objetivos estratégicos.
- Identifique as dependências e os pontos de contato
- Entenda o impacto total na sua organização; identifique quaisquer outras equipes que possam ser afetadas pelas suas decisões relativas à segurança da informação.
5. Criação de uma política de segurança da informação
A criação de uma política de segurança da informação é crucial em sua jornada de implementação, pois ela define o que os colegas podem ou não fazer de forma clara e eficaz.
- Ao criar uma política, peça ajuda! Se você tiver uma equipe de governança, risco ou conformidade, pergunte se há algum modelo que possa ser usado para que ela tenha uma aparência consistente com outras documentações de políticas e seja fácil para os colegas navegarem.
- Lembre-se de que ela deve definir os requisitos básicos de segurança da informação da sua organização e que os detalhes vêm com os processos e procedimentos que a sustentarão.
- Certifique-se de incluir uma seção de objetivos para definir qual segurança da informação é necessária.
- Atribua funções e responsabilidades para garantir que todos saibam quem é o responsável pela implementação, manutenção e relatório do desempenho do ISMS.
6. Definir a metodologia de avaliação de riscos
O gerenciamento de riscos é um componente essencial da norma. Dessa forma, é fundamental criar uma metodologia de avaliação robusta para definir as regras de identificação dos riscos, impactos e sua probabilidade, bem como definir o nível aceitável de risco para a organização. Ao projetar uma metodologia de avaliação de riscos:
- Crie uma metodologia de avaliação de riscos para codificar como sua organização lidará com os riscos de segurança da informação.
- Crie uma matriz para identificar a probabilidade do risco e seu impacto.
- Identifique cenários em que as informações, os sistemas ou os serviços possam ser comprometidos.
7. Criar um registro de riscos
Também é essencial criar um registro de riscos para identificar, priorizar e agir sobre os riscos quando eles surgirem. Ao criar o registro:
- Certifique-se de que seja fácil registrar e gerenciar os riscos.
- Crie resumos claros e fáceis de entender de cada risco.
- Certifique-se de que a probabilidade e o impacto de cada risco estejam visíveis.
8. Realização da avaliação de riscos
Depois de ter o seu registro, é hora de realizar as avaliações de riscos da ISO 27001. Ao realizar avaliações de riscos:
- Certifique-se de que todos estejam familiarizados com a metodologia de riscos definida nas etapas anteriores.
- Identifique ameaças e vulnerabilidades.
- Avalie a probabilidade e o impacto dos riscos.
- Selecione e priorize as opções de tratamento de riscos.
- Implementar os tratamentos de risco escolhidos.
- Monitore e analise todos os riscos de forma contínua.
9. Redigir a declaração de aplicabilidade
Após concluir o processo de avaliação e tratamento de riscos, você entenderá claramente os controles exigidos pelo Anexo A da ISO 27001. O documento da declaração de aplicabilidade (SoA) deve listar todos os controles aplicáveis, fornecer os motivos para sua seleção ou omissão e descrever como eles são implementados na organização.
Ao redigir sua SoA:
- Identifique quais controles se aplicam à sua organização.
- Forneça uma breve descrição de cada controle aplicável.
- Explique os motivos para incluir ou excluir controles do SoA.
- Descreva como cada controle é implementado e gerenciado.
- Forneça evidências de que o controle está funcionando como pretendido e é eficaz na redução dos riscos a um nível aceitável.
- Certifique-se de que o SoA seja revisado e atualizado regularmente para refletir as mudanças no sistema de gerenciamento de segurança da informação da organização e para garantir que cada controle ainda seja adequado à finalidade.
10. Redigir o plano de tratamento de riscos
O plano de tratamento de riscos é necessário para reagir a riscos que possam afetar a confidencialidade, a integridade e a disponibilidade ou a CIA dos ativos de informação.
Ao criar seu plano de tratamento de riscos:
- Projete uma resposta para cada risco (tratamento de riscos).
- Atribua um proprietário a cada risco identificado.
- Atribua proprietários de atividades e de mitigação de riscos.
- Estabeleça datas-alvo para a conclusão das atividades de tratamento de riscos para que elas possam ser rastreadas e gerenciadas ao longo do tempo.
11. Definir como medir a eficácia dos seus controles
Você precisa de uma diretriz sólida para medir a eficácia dos seus controles; caso contrário, terá um ISMS do tipo Schrödinger.
Ao medir a eficácia dos seus controles:
- Tenha um plano em vigor para medir os objetivos de controle.
- Crie indicadores-chave de desempenho ou KPIs para medir a eficácia dos seus controles, como o número de incidentes de segurança evitados, a redução da exposição a riscos, a porcentagem de colegas que concluíram o treinamento adequado ou a taxa de conformidade com normas ou padrões relevantes.
- Realize testes regulares dos controles para identificar pontos fracos e vulnerabilidades e determinar se os controles funcionam bem na prática.
12. Implementação dos controles de segurança
Esta etapa da implementação ajuda os departamentos de TI a controlar os riscos que podem afetar a integridade dos ativos de informação.
Ao implementar os controles:
- Certifique-se de que as políticas e os procedimentos apropriados suportem seus novos controles.
- Tenha protocolos em vigor para aplicar quaisquer novos comportamentos e gerenciar exceções.
13. Criar um cronograma de treinamento e conscientização
Uma ISO 27001 precisará de treinamento e de um plano de conscientização para garantir que as mudanças nos comportamentos e nas formas de trabalho sejam incorporadas.
- Crie conteúdo de treinamento e disponibilize-o a todos os colegas.
- Trabalhe com o RH para garantir que o treinamento em ISO faça parte de qualquer atividade de integração e que sejam necessárias sessões regulares de atualização.
- Defina as expectativas dos colegas com relação à função deles na manutenção do SGSI.
- Treine os colegas sobre as ameaças comuns enfrentadas por sua organização e como reagir.
14. Operar a lista de verificação do ISMS
A lista de verificação do ISMS ajuda a gerenciar riscos, controles e incidentes de segurança de forma eficaz. A lista de verificação consiste em quatro seções principais:
- Planejamento de um programa de segurança da informação.
- Desenvolvimento de políticas, procedimentos, padrões, diretrizes e documentação.
- Implementação de controles.
- Medição de métricas de desempenho.
15. Monitoramento e medição do ISMS
Desenvolva atividades regulares de monitoramento para que possa medir seu ISMS de forma eficaz. As práticas de monitoramento e medição devem ajudá-lo a entender como está o desempenho do ISMS, se algum incidente de segurança foi relatado e se todos os processos de segurança da informação estão funcionando corretamente.
As atividades de monitoramento devem incluir o seguinte:
- Definir o que precisa ser monitorado dentro do escopo do ISMS da sua organização, considerando os riscos, as vulnerabilidades, as ameaças e os impactos resultantes do não cumprimento das normas ou do gerenciamento adequado dos riscos.
- Atribuir a responsabilidade pelo monitoramento de cada item a um indivíduo ou grupo, a fim de evitar duplicação ou confusão.
- Crie um plano de como suas atividades serão monitoradas usando recursos como políticas, diretrizes ou padrões que já estejam em vigor.
16. Construção e inventário
Para que seu ISMS seja bem-sucedido, é necessário criar um inventário completo e detalhado de seus ativos de informação , em conformidade com a norma ISO 27001. É importante que seu inventário inclua ativos tangíveis e intangíveis e que cada ativo tenha um proprietário atribuído, que será responsável por sua segurança.
Ter um software ITAM específico ajuda você em todo esse processo e a manter a conformidade com a ISO 27001. A ferramenta o ajuda com:
- Monitorar a conformidade da segurança dos ativos de TI.
- Detectar dispositivos que executam software não autorizado.
- Relatar dispositivos que executam versões desatualizadas de software.
- Verificar ativos com garantia prestes a expirar.
17. Realização de auditorias internas
A realização de auditorias internas é uma ótima maneira de se preparar para auditorias externas e de manter todos na organização honestos e transparentes.
Ao conduzi-las, lembre-se de:
- Alocar recursos internos com as habilidades e competências necessárias, independentemente do desenvolvimento e da manutenção do SGSI.
- Verificar a conformidade com os requisitos da norma, com seu escopo e com o SoA.
- Compartilhar os resultados da auditoria interna com o corpo diretivo do ISMS e com a gerência sênior, incluindo descobertas, riscos e não conformidades.
- Corrigir todos os problemas identificados antes de prosseguir com a auditoria externa.
18. Ter um plano em vigor para auditorias externas
Esta é uma das etapas finais. O trabalho árduo já foi feito e você realizou uma auditoria interna para se preparar. Veja a seguir o que fazer:
- Contratar um auditor independente da ISO 27001.
- Realize a Auditoria de Estágio 1, que consiste em uma extensa revisão da documentação; obtenha feedback sobre a prontidão para passar para a Auditoria de Estágio 2.
- Realize a Auditoria de Estágio 2, que consiste em testes realizados no ISMS para garantir o projeto, a implementação e a funcionalidade contínua adequados e para avaliar a imparcialidade, a adequação e a implementação e operação eficazes dos controles.
19. Tomar medidas corretivas quando apropriado
Tenha um plano para gerenciar as ações corretivas. Esse plano deve incluir o seguinte:
- Garantir que todos os requisitos da norma ISO 27001 sejam atendidos.
- Examinar se a organização e seu pessoal seguem os processos especificados e documentados.
- Certificar-se de que a organização está cumprindo os requisitos contratuais com terceiros e parceiros.
- Abordar todas as não conformidades identificadas pelo auditor da ISO 27001.
- Analisar a validação formal do auditor após a resolução das constatações e não conformidades.
20. Construir a melhoria contínua
Tenha um plano de aprimoramento ao longo do tempo. Os itens a serem considerados incluem o seguinte:
- Planeje revisões pelo menos uma vez por ano para garantir que seus controles permaneçam alinhados com as necessidades da empresa e continuem adequados à finalidade e ao uso.
- Certifique-se de que o ISMS e seus objetivos continuem adequados e eficazes.
- Certifique-se de que a gerência sênior permaneça informada e atualizada sobre todas as atividades de informações críticas.
Três dicas para alcançar a conformidade com a ISO 27001
Aqui estão três dicas cruciais que o ajudarão em todo o processo de obtenção da conformidade:
- Crie uma política sólida - Aborde todas as não-conformidades identificadas pelo auditor. A política de segurança da informação é um componente crucial da implementação da ISO 27001. Ela descreve o compromisso da organização com a proteção de informações confidenciais e fornece uma estrutura para a implementação de controles de segurança eficazes, eficientes e seguros.
- Certifique-se de que os fornecedores terceirizados estejam em conformidade com a ISO 27001 - Não se esqueça dos fornecedores terceirizados e parceiros. Garantir que eles estejam em conformidade com a norma é fundamental se você estiver realmente levando a sério o credenciamento na ISO 27001. Seja aberto sobre o que é necessário para que ambas as partes possam colaborar e trabalhar juntas de forma eficaz. Garanta que todos se sintam confortáveis, incluindo obrigações contratuais de conformidade com a norma e auditorias regulares do SGSI dos fornecedores.
- Aprimore continuamente o SGSI - Atingir a conformidade com a ISO 27001 não é algo que ocorre uma única vez. É um processo contínuo. O aprimoramento contínuo do SGSI por meio de revisões e atualizações regulares ajuda a garantir que ele permaneça eficaz na proteção da segurança das informações da organização.
Considerações finais
A ISO 27001 é a norma de referência para segurança da informação que o ajudará a garantir que funcionários, clientes, ativos e toda a organização estejam totalmente protegidos. Manter-se em conformidade com a norma também é uma forma de mostrar ao mundo seu compromisso com a segurança.
Seguir uma lista de verificação completa da ISO 27001 é a melhor maneira de manter seus esforços de implementação concentrados em uma etapa de cada vez e alinhados com os objetivos do negócio. Ela o ajudará a garantir que não está perdendo nada importante e a manter a confiança durante todo o processo.
Faça o download da sua no link acima e comece a implementar a norma!