ISO 27001: Guia completo de implementação em 10 etapas
ShareCompartilhar

ISO 27001: Guia completo de implementação em 10 etapas

Publicado em 19 de June de 2023

A proteção da informação é um tema de suma importância para o mundo interconectado e globalizado em que vivemos atualmente. Toda a infraestrutura digital da sociedade moderna, incluindo empresas, comércio internacional e mídias sociais, depende de tecnologias e serviços que precisam estar protegidos. Podemos citar como ameaças: invasões, acessos não autorizados, perda de dados, entre outras. Gerenciar a segurança da informação é ainda mais desafiador, pois envolve uma diversidade de variáveis, como políticas, procedimentos, processos, medidas de controle e aplicativos, que precisam ser administrados de maneira estratégica e inteligente.

A gestão da segurança da informação é essencial para proteger as empresas e a sociedade de ameaças potencialmente devastadoras. É crucial que as organizações avaliem os riscos envolvidos, considerando o impacto potencial de incidentes de segurança e adotem uma abordagem de avaliação de risco inteligente e adequada.

A família de normas ISO 27000 auxilia as organizações a manter seus ativos de informação em segurança. A ISO/IEC 27001 é a norma mais conhecida dessa família e estabelece os requisitos para o sistema de gestão da segurança da informação (SGSI).

Implementação

Para implementar qualquer sistema de gestão, algum nível de documentação é necessário: políticas, procedimentos, instruções de trabalho detalhadas etc. A ISO 27001 não é diferente a esse respeito: a documentação formal é realmente necessária.  Entretanto, ela apresenta um padrão ligeiramente incomum na existência da lista de controles que uma organização deve considerar como parte de sua implementação, onde um controle é um  método para tratar  riscos.

Provavelmente como resultado disso, uma pergunta muito comum é “devo começar escrevendo a documentação ou implementando os controles?”. A resposta é “nenhum dos dois”.  A própria norma menciona que um SGSI deve preservar a confidencialidade, integridade e disponibilidade da informação pela aplicação de um processo de GERENCIAMENTO DE RISCOS. Portanto, escrever documentação ou aplicar controles para tratar os riscos ANTES de identificá-los e classificá-los significa atropelar a ordem das coisas.

Implementar um sistema de gerenciamento de segurança da informação compatível com ISO 27001 pode ser um desafio. Para facilitar nessa jornada, a seguir você encontrará um guia de 10 etapas sobre como implementar a ISO 27001 na sua empresa. Desde a adesão da alta administração até as atividades de implementação, monitoramento e melhoria.

Você está por dentro das novidades da ISO/IEC 27001:2022?

Etapa 1: Monte uma equipe de implementação

Sua primeira tarefa é nomear um líder de projeto para supervisionar a implementação do SGSI. Ele deve ter um conhecimento abrangente de segurança da informação, bem como autoridade para liderar uma equipe e dar ordens aos gerentes.

Quem dentro de sua organização irá supervisionar o processo, definir expectativas e gerenciar marcos? Como você obterá a adesão da liderança da empresa? Você contratará um consultor de ISO 27001 para ajudá-lo no processo?

Depois que a equipe estiver reunida, eles devem criar um plano de projeto e definir algumas respostas:

  • O que esperamos alcançar?
  • Quanto tempo vai demorar?
  • Quanto vai custar?
  • O projeto tem suporte gerencial?

Educar-se sobre a norma ISO 27001 e seus 93 controles é uma parte fundamental desse processo.

Etapa 2: Defina o escopo do seu SGSI

Cada negócio é único e abriga diferentes tipos de dados. Antes de construir seu SGSI, você precisará determinar exatamente que tipo de informação precisa proteger. Isso envolve identificar os locais onde as informações são armazenadas: em arquivos físicos ou digitais e sistemas ou dispositivos portáteis. Definir corretamente o seu escopo é uma parte essencial do seu projeto de implementação do SGSI.

Se o seu escopo for muito pequeno, você pode deixar informações expostas, colocando em risco a segurança da sua organização. Mas se seu escopo for muito amplo, o SGSI se tornará muito complexo para gerenciar. Para algumas empresas, o escopo inclui toda a organização. Para outras, inclui apenas um departamento ou sistema específico e, tudo bem, a norma permite isso. Algumas considerações que devem ser levadas nesse momento:

  • Questões internas e externas definidas na cláusula 4.1.
  • Todos os requisitos definidos na cláusula 4.2.As interfaces e dependências entre o que está acontecendo dentro do escopo e o ambiente externo.

Etapa 3: Mapeie e identifique os riscos

Uma avaliação de risco formal é um requisito para conformidade com a norma. Isso significa que os dados, análises e resultados de sua avaliação de risco devem ser documentados.

A ISO 27001 é, na verdade, parte de uma “família” de normas, a série ISO 27000. A ISO 27005 fornece diretrizes para o gerenciamento de riscos de segurança da informação. Ela propõe duas abordagens para identificar e pontuar os riscos:

  • Abordagem baseada em cenários: os riscos são identificados considerando eventos e pontuados avaliando suas consequências. Em outras palavras, você tenta pensar em tudo o que pode dar errado (eventos) e determina qual impacto (consequências) que isso teria na confidencialidade, integridade e disponibilidade das informações em seu escopo.
  • Abordagem de vulnerabilidade de ameaça de ativos: os riscos são identificados usando o inventário de ativos como ponto de partida. Para cada categoria de ativos (por exemplo, laptops, servidores, redes), as ameaças (roubo, erro humano, malware ) são considerados e pontuados de acordo.

Etapa 4: Estabeleça um processo de gerenciamento de riscos

Agora que você identificou os riscos, precisará decidir como sua organização responderá. Quais riscos você está disposto a tolerar e quais você precisa abordar? Todos os riscos, controles e métodos de mitigação devem estar claramente definidos e atualizados na política de segurança. Isso ajuda as organizações a fornecerem orientações claras para seus stakeholders e criar uma estrutura estratégica que serve como base para a segurança da informação.

Em uma futura auditoria, o auditor desejará revisar as decisões que você tomou em relação a cada risco identificado durante seu mapeamento. Você também precisará produzir uma Declaração de Aplicabilidade e um Plano de Tratamento de Risco como parte de sua evidência de auditoria.

A Declaração de Aplicabilidade resume e explica quais controles e políticas da ISO 27001 são relevantes para sua organização. Este documento é uma das primeiras coisas que o auditor revisará durante sua auditoria de certificação.

O Plano de Tratamento de Riscos é outro documento essencial para a certificação ISO 27001. Ele registra como sua organização responderá às ameaças identificadas durante o processo de avaliação de riscos.

Em relação aos riscos, você pode seguir por uma das quatro ações a seguir:

  • Modifique o risco estabelecendo controles que reduzam a probabilidade de sua ocorrência.
  • Evite o risco prevenindo as circunstâncias em que poderia ocorrer.
  • Compartilhe o risco com um terceiro (ou seja, terceirizar os esforços de segurança para outra empresa, adquirir um seguro etc.).
  • Aceite o risco porque o custo de resolvê-lo é maior do que o dano potencial.

Em seguida, você implementará controles em resposta aos riscos identificados. Suas políticas devem estabelecer e reforçar as práticas recomendadas de segurança, como exigir que os funcionários usem autenticação multifatorial e bloqueiem dispositivos sempre que saírem de suas estações de trabalho.

Isso pode ser mais fácil dizer do que fazer. É aqui que você deve implementar todos os documentos e tecnologias e, consequentemente, alterar os processos de segurança da sua empresa. Essa geralmente é a tarefa mais difícil em seu projetoporque significa impor um novo comportamento em sua organização. Muitas vezes, novas políticas e procedimentos são necessários (o que significa que a mudança é necessária) e as pessoas geralmente resistem à mudança – é por isso que a próxima tarefa (treinamento e conscientização) é crucial para evitar esse risco.

Etapa 5: Implementar programas de treinamento e conscientização

Se você deseja que seu pessoal implemente todas as novas políticas e procedimentos, primeiro você deve explicar a eles por que eles são necessários e treiná-los para que possam atuar conforme o esperado. Além disso, a ISO 27001 exige que todos os funcionários sejam treinados sobre segurança da informação. Isso garante que todos em sua organização entendam a importância da segurança dos dados e sua função para alcançar e manter a conformidade.

É fundamental que haja evidências do treinamento.

Etapa 6: Documente e colete evidências

Esta é a parte em que a ISO 27001 se torna uma rotina diária em sua organização. A palavra crucial aqui é: “registros”. Para obter a certificação, você precisará provar ao seu auditor que estabeleceu políticas e controles eficazes e que estão funcionando conforme exigido pelo padrão da norma.

Além da auditoria, os registros devem ajudá-lo em primeiro lugar – ao usá-los, você pode monitorar o que está acontecendo. Você saberá com certeza se todos os envolvidos do SGSI estão realizando suas tarefas conforme necessário.

Etapa 7: Monitore e meça o SGSI

O que está acontecendo no seu SGSI? Quantos incidentes você tem e de que tipo? Todos os procedimentos são realizados corretamente?

É aqui que os objetivos de seus controles e sua metodologia de medição se unem – você deve verificar se os resultados obtidos estão alcançando o que você definiu em seus objetivos. Caso contrário, você saberá que algo está errado e deverá executar ações corretivas e/ou preventivas para corrigir o problema.

Etapa 8: Realize auditorias internas

A auditoria interna periódica é obrigatória para monitoramento e revisão. Ela consiste em testar os controles e identificar os gaps para, posteriormente, endereçar os controles corretivos e preventivos.

Para ser eficaz, o SGSI precisa ser revisado pela alta direção em intervalos planejados e periódicos. A revisão deve avaliar mudanças/melhorias nas políticas, procedimentos, controles e decisões de pessoal. Esta etapa importante no processo é a revisão do gerenciamento do projeto. Os resultados das auditorias e revisões periódicas precisam ser documentados e mantidos.

Etapa 9: Prepare-se para a auditoria de certificação

Para que a organização seja certificada, é essencial que ela conduza um ciclo completo de auditorias internas, revisões gerenciais e atividades no processo PDCA e retenha as evidências das ações e decisões tomadas como resultado dessas revisões e auditorias. A gestão do SGSI deve revisar as avaliações de risco, o RTP, o SOA e as políticas e procedimentos pelo menos anualmente.

A auditoria de certificação inicial é dividida em duas fases, fase 1 e fase 2. A fase 1 é uma auditoria predominantemente documental para verificar se o sistema de gestão tem condições de ser auditado em uma auditoria de certificação fase 2, é nessa fase   que o plano de auditoria da fase 2 é elaborado. A fase 2 é uma auditoria onde todas as técnicas são aplicadas, com verificação documental, entrevistas, avaliação de processos, avaliação de infraestrutura etc. Essa etapa possui a maior quantidade de dias de auditoria e, consequentemente, a maior amostragem do ciclo de certificação.

Etapa 10: Mantenha uma melhoria contínua

Segurança não é um destino, mas uma jornada. Você já pode ter sido auditado e certificado, mas é importante continuar monitorando, ajustando e melhorando seu SGSI. À medida que sua empresa evolui e surgem novos riscos, você precisará observar oportunidades para melhorar os processos e controles existentes.

A norma ISO 27001 exige auditorias internas periódicas como parte desse monitoramento contínuo. Os auditores internos examinam processos e políticas para procurar possíveis pontos fracos e áreas de melhoria antes de uma nova auditoria externa.

Quanto custa a implementação da ISO 27001?

Essa costuma ser a primeira pergunta dos diretores e donos de empresas. Bem, a resposta não é imediata e o custo total da implementação dependerá de alguns fatores:

  • O tamanho da sua empresa, ou seja, o número de funcionários (você deve calcular apenas os funcionários que serão incluídos no escopo da sua ISO 27001).
  • O nível de criticidade da informação (por exemplo, a informação nos bancos é considerada mais crítica e exige um maior nível de proteção).
  • A tecnologia que a organização está usando (por exemplo, data centers tendem a ter custos mais altos por causa de seus sistemas complexos).
  • Requisitos de legislação (geralmente, os setores financeiro e governamental são fortemente regulamentados no que diz respeito à segurança da informação).

Além disso, existem todos os outros possíveis custos que podem ocorrer durante a implementação como: treinamento e literatura, consultoria, novas tecnologias e a certificação.

Qual é o tempo necessário para a implementação da ISO 27001?

Quanto tempo vai demorar? Esta é provavelmente será a segunda pergunta após a avalição dos custos. Bem, a resposta não é realmente motivadora – muitas pessoas acreditam que a implementação demora apenas algumas semanas. Mas isso não é nada realista. A realidade é de alguns meses para empresas menores até mais de um ano para organizações maiores.

Claro, você sempre pode produzir dezenas de documentos em questão de dias afirmando que está em conformidade com a ISO 27001, mas não é sobre isso que trata a verdadeira implementação da norma com intuito real de produção de resultados – menor número de incidentes, maior eficiência, redução de custos etc.

A duração bem como a complexidade pode ser bem menor caso haja um auxílio de consultoria ou ferramentas de software. Se você estiver tentando fazer isso sozinho, sem ajuda, certamente levará muito mais tempo.

Como a SoftExpert pode te ajudar?

Com a SoftExpert, você tem acesso a solução de software mais abrangente e avançada do mercado para a gestão da segurança da informação. O SoftExpert Excellence Suite  ajuda-o a aderir à ISO/IEC 27001, reduzindo os custos de conformidade, maximizando o sucesso, aumentando a produtividade e reduzindo os riscos.

Com a solução da SoftExpert você consegue atendar aos requisitos da ISO 27001 de forma fácil, garantindo os três pilares da segurança da informação: Confidencialidade, Integridade e Disponibilidade (CID). Ela vai auxiliá-lo em diversos processos como gerenciamento de riscos, controles, políticas de segurança da informação, ativos, incidentes, fornecedores, indicadores de desempenho, processos, entre outros. Isso vai impulsionar a eficiência organizacional na sua empresa e reduzir o retrabalho e o desperdício.

Quer conhecer mais sobre a nossa solução? Solicite uma demo agora mesmo!

Quero solicitar uma demo

Sobre o autor
Camilla Christino

Camilla Christino

Camilla Christino é Analista de Produto e Mercado da SoftExpert, formou-se em Engenharia de Alimentos no Instituto Mauá de Tecnologia. Detém sólida experiência na área de qualidade em indústrias de alimentos com foco em acompanhamento e adequações de processos de auditorias interna e externa,documentação do sistema de gestão da qualidade (ISO 9001, FSSC 22000, ISO/IEC 17025), Controle da Qualidade, Assuntos Regulatórios, BPF, APPCC e Food Chemical Codex (FCC). Ela também é certificada como auditora líder na norma ISO 9001:2015.

Você também pode gostar:

Logo SoftExpert Suite

A mais completa solução corporativa para a gestão integrada da conformidade, inovação e transformação digital