Março 31, 2021

[ISO/IEC 27001] - Planejamento - Parte 2

[ISO/IEC 27001] - Planejamento - Parte 2

Após ter introduzido a norma e sua estrutura no artigo anterior, hoje vamos começar a "rodar" o PDCA, começando obviamente, pela fase de Planejamento.

A norma possui uma bela estrutura, mas tomarei a liberdade de começar a nossa conversa a partir do requisito "5.1 Liderança e Comprometimento".

E por que começar por este requisito? Justamente porque um sistema de gestão de segurança da informação (SGSI) só alcançará os seus objetivos com o Apoio da Alta Direção. Não foi à toa que já abordei por aqui que a Alta Direção precisa agir como "pais e mães":

O papel da alta direção como “pais e mães”
A importância dos pais e mães Mesmo que você não seja pai ou mãe, sabe que esse “cargo” não é nada fácil.Acompanhar o crescimento do seu filho(a), educá-lo sobre o certo e errado, sobrerespeitar as diferenças e encarar as dificuldades da vida, é uma jornada quegera alguns desentendimentos com el…

A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI. Mas, como isso pode ser feito?

Política de Segurança da Informação alinhadas a estratégia da empresa (Requisito 5.1 "a)" , "b)" e "h)"  )

É na Política de Segurança da Informação de Alto Nível, que ainda vamos ver nesta fase de planejamento, o lugar mais indicado para formalizar quais são os objetivos esperados pela Alta Direção de serem alcançados com o SGSI. Estes objetivos devem estar alinhados com a estratégia da empresa.

Obviamente a Alta Direção não vai parar para escrever essa Política, mas você e a sua equipe após criá-la, devem apresentá-la em uma reunião, onde neste momento será possível, eles avaliarem se está dentro do esperado. Assim, juntos chegarão a uma versão final e ideal da Política para a empresa. Foi assim, por exemplo, que fizemos na IBLISS.

Fornecimento de Recursos (Requisito 5.1 c) e 7.1)

Os recursos necessários para estabelecer, implementar, manter e melhorar de forma contínua o SGSI devem ser garantidos pela Alta Direção. Portanto, naquele planejamento de orçamento para o ano que se inicia, onde os gestores de cada área apresentam a sua necessidade, é o momento onde a quantia de dinheiro, vai ser "guardada" para investir em uma nova tecnologia, na capacitação de colaboradores ou na contratação de novos recursos para alguma das equipes ao longo do ano.

Claro, que não necessariamente o planejamento ocorrerá ao pé da letra, no meio do caminho, alguma nova necessidade pode aparecer e a a possibilidade do investimento será analisada da mesma forma.

Garantir que o SGSI alcance os resultados pretendidos (Requisito 5.1 "e)" )

Reuniões estratégicas, de gestores, Comitês ou em Análises Críticas são alguns exemplos onde a participação da Alta Direção é fundamental para dar os seus direcionamentos, de maneira que o SGSI esteja alcançando os resultados esperados, conforme os objetivos descritos na Política de Segurança da Informação de Alto Nível.

Comunicação da importância do SGSI (Requisito 5.1 "d)", "f", "g")

Sempre que houver aquelas reuniões gerais envolvendo toda empresa, é um bom momento para a Alta Direção incentivar a todos para que se engajem e respeitem todas as políticas, normas, processos e procedimentos do SGSI, afinal, as pessoas, o fator humano, é o responsável por manipular e tratar as informações diariamente e precisam se sentir parte do todo e entenderem suas responsabilidades com as informações da empresa e de clientes.

Mencionei como exemplo reuniões gerais, mas isso pode ser feito por qualquer outro meio. Aqui é importante lembrar que a ISO não é prescritiva, portanto, ela traz apenas o que precisa ser feito, o como, é você e sua empresa, que decidem a melhor forma de atender ao requisito.

-

Agora que temos o apoio da Alta Direção, precisamos seguir para a formalização do Contexto da Organização, que envolve todo o Requisito 4. Mas, faremos isso no próximo artigo.

Até lá!

: )