Você já deve ter ouvido falar em empresas certificadas ou acreditadas nas melhores práticas de mercado, não é mesmo? São as famosas empresas ISO Certified, certificadas em gestão da qualidade, ambiental, entre outras.
Mas e no quesito segurança da informação, você conhece alguma empresa certificada?
De acordo com uma recente matéria publicada na revista Exame, em fevereiro de 2022, no ano passado (2021), cerca de 26% das empresas brasileiras sofreram algum tipo de ataque cibernético, sendo: phishing, vírus e ransomware os mais comuns.
A ISO/IEC 27001:2013 oferece informações completas de como implementar um Sistema de Gestão de Segurança da Informação (SGSI). Ela tem como objetivo o atendimento de requisitos obrigatórios e processos que reduzem riscos e visam aumentar a segurança das informações da empresa. De acordo com a última pesquisa ISO, divulgada em 2020, apenas 148 empresas no Brasil possuem essa certificação.
Neste artigo falaremos um pouco sobre o processo da V360 de certificação na ISO/IEC 27001:2013, qual caminho seguimos e os desafios e motivadores nessa jornada.
Sobre a ISO/IEC 27001:2013
A ISO é a Organização Internacional para Normalização, que tem como objetivo fornecer normativas de padronização em quesitos ambientais e de qualidade, por exemplo.
Para segurança, foi criada a ISO/IEC 27001:2013 para estabelecer, implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI). E o objetivo principal é o atendimento de requisitos, controles e procedimentos para garantir a segurança da informação.
Nosso processo de certificação (V360 x ISO 27001)
Agora que você já sabe um pouco mais sobre a ISO 27001, irei contar sobre o nosso processo de certificação.
Passo número 1:
Para iniciar essa caminhada, um ponto fundamental sem dúvida alguma, foi contar com a participação da alta direção. As certificações são processos custosos e irão ocupar parte do orçamento anual da empresa, e uma vez acreditada, serão necessárias auditorias internas e externas para manutenção dos certificados.
No mercado existem empresas especializadas no processo de certificação. São consultorias que irão verificar o estágio em que sua empresa está no momento e os próximos passos que deverão ser percorridos.
A próxima etapa será a elaboração de documentos e procedimentos obrigatórios de acordo com a normativa que deverá ser adquirida diretamente no site da ISO. Eles servirão como um guia durante todo o processo de certificação e auditorias.
Lembre-se, o papel aceita tudo. Empenhe-se ao máximo para que a linguagem e regras utilizadas durante todos os procedimentos sejam aderentes à sua organização.
Na V360 buscamos a simplicidade e objetividade nas documentações, o que acreditamos ter sido um diferencial para o atingimento do nosso objetivo.
Após a elaboração dos procedimentos e aprovação interna, será necessária a realização de treinamentos e capacitação do time, sendo esse um dos passos principais para obtenção e manutenção da certificação.
Todo mundo é responsável pela manutenção da segurança no dia a dia da organização. Sem o envolvimento dos times, com certeza o barco vai naufragar. A dica aqui é trazer especialistas de mercado para meetups e bate papos internos, pois com certeza ajudarão no engajamento do projeto.
Passo número 2:
Com os procedimentos divulgados e bem estruturados, chegou a hora da primeira avaliação, a auditoria interna. Algumas consultorias contam com esse tipo de serviço, o que aconteceu em nosso caso.
Por aqui, ainda não tínhamos a experiência de passar por uma auditoria, e se for o seu caso, vou te dar algumas dicas que considero essenciais. Antes, é fundamental que você compreenda que serão levantados pontos de melhoria e não conformidades, os mesmos deverão ser tratados até o início de sua auditoria certificadora para ajustes no seu SGSI.
Agora vamos as dicas:
- É normal sentir aquele frio na barriga, mas mantenha-se calmo e focado;
- Em caso de dúvidas sobre o que foi perguntado, peça ao auditor que seja mais claro e qual seção ele se refere, isso pode te ajudar a identificar o documento em questão;
- Anote todos os pontos apresentados como não conformidades e oportunidades de melhoria;
- Você pode e deve consultar seus procedimentos durante a auditoria, sempre que possível mostrando evidências que comprovem que seus documentos estão sendo utilizados no dia a dia da organização;
- Por último, caso seja possível, converse com toda a equipe que será avaliada previamente, relembrando as responsabilidades de cada um.
Depois da auditoria interna finalizada é hora de verificar as não conformidades e oportunidades de melhoria apresentadas.
Baseando-se em seus procedimentos, verifique o que deve ser feito e tome as devidas providências para resolução dos problemas antes da realização da auditoria externa (certificadora ou de manutenção).
Passo número 3:
Com auditoria interna e ajustes realizados, chegou a hora da auditoria certificadora. Neste momento, diferentemente da primeira, o objetivo é ter o mínimo de não conformidades e oportunidades de melhoria possíveis.
A duração é normalmente de 1 semana, tempo em que serão percorridos todos os anexos e seções obrigatórios da normativa. Este processo deve ser realizado por uma empresa credenciada e autorizada, pois a mesma será responsável pela emissão de seu certificado.
Ao longo da auditoria será necessário o levantamento de evidências para atestar a conformidade de seus processos. Em caso de não conformidades ou oportunidades de melhoria, o auditor deverá informar um prazo limite para resolução dos pontos levantados.
Ao final, a empresa responsável poderá recomendar sua organização para a certificação, ou, poderá exigir a correção das não conformidades e oportunidades de melhoria para obtenção da certificação.
Conclusão
Mesmo se tratando de um processo trabalhoso, são inúmeras as possibilidades e facilidades a partir da obtenção da Certificação ISO 27001. A acreditação traz benefícios tanto diretos quanto indiretos para dia a dia da sua empresa, sendo alguns deles:
- Maior previsibilidade de eventos e incidentes de segurança da informação, consequentemente leva à menores custos em seus tratamentos;
- Credibilidade da empresa junto ao mercado consumidor, demonstrando clara e manifesta preocupação com dados e informações;
- Melhoria contínua de processos, documentações e rotinas de trabalho através das constantes auditorias internas e externas
Top comments (0)