Certificar é bom, mas não chega para garantir o crescimento do seu negócio! As mudanças operacionais e as novas ameaças à informação, obrigam-no a manter o sistema de gestão ISO 27001.
Mas não se assuste! Com a documentação direcionada, não é complicado manter-se a par e passo com as alterações legislativas, nem fazer frente a diferentes riscos que possam surgir, nem manter a satisfação de clientes e parceiros de negócio. Conheça as nossas dicas para manter o sistema de gestão ISO 27001 da sua empresa, ganhar competitividade e ficar uns passos à frente da concorrência!
Mas antes de lhe explicarmos como manter o sistema de gestão ISO 27001, convém dizer-lhe como e porque o deve implementar…
Antes de mais, deve implementar a norma ISO 27001 para aplicar na sua empresa as melhores práticas para identificar, analisar e colocar controlos para gestão de riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade de dados. Por outras palavras, com o sistema de gestão ISO 27001 vai proteger a sua empresa, responder aos desejos e necessidades dos seus clientes e parceiros de negócio (cada vez mais exigentes!) e cumprir com a legislação de proteção de dados, sempre a somar regras! Por fim, se ainda não implementou um sistema de gestão ISO 27001, lembre-se que é uma questão de tempo até que todos os seus clientes e fornecedores exijam a certificação. Afinal, a segurança da informação, é o must have dos tempos modernos!
Como implementar a ISO 27001?
Seguindo estas etapas!
- Entender as características e necessidades próprias da sua empresa para definir as políticas e objetivos internos de segurança da informação;
- Avaliar todos os processos internos e riscos relacionados com a segurança da informação;
- Aplicar controlos operacionais nos processos para vigiar, eliminar ou diminuir os riscos identificados;
- Executar a auditoria interna para analisar o desempenho dos controlos internos, a fim de garantir a segurança de todas as informações sensíveis da empresa*;
- Obter a certificação ISO 27001;
- Monitorizar os processos, manter o sistema de gestão ISO 27001 e melhorar continuamente!
*Alguns dos controlos internos a serem avaliados:
- Organização interna;
- Dispositivos móveis e trabalho à distância;
- Segurança em recursos humanos;
- Gestão de ativos de informação;
- Tratamento de medias;
- Controlo de acessos;
- Criptografia;
- Segurança física;
- Segurança nas operações;
- Equipamentos;
- Proteção malware e cópias de segurança;
- Controle de software operacional;
- Gestão de vulnerabilidades;
- Segurança de dados;
- Segurança em desenvolvimento e suporte;
- Transferência da informação;
- Gestão de incidentes;
- Cumprimento dos requisitos legais.
Tempo e custo da certificação ISO 2700? Bom, isso depende da realidade da sua empresa: dimensão, área de negócio, número de funcionários, tempo disponível para se dedicarem ao projeto, ativos de informação e método escolhido para a implementação, entre outras características. Portanto, o melhor é mesmo contactar-nos para solicitar uma proposta, sem compromisso!
Como manter o sistema de gestão ISO 27001 após a certificação?
A gestão da segurança da informação não para na certificação, mas também não precisa de ficar assustado, porque não é complicado manter o sistema de gestão ISO 27001 depois da certificação. Basta zelar por uma estrutura metódica que suporte a segurança da informação da empresa, independentemente do seu crescimento e das emergentes ameaças de segurança, seguindo estas dicas!
- Primeiro, festeje! O processo de certificação ISO 2700 é exigente e por isso merece ser comemorado com pompa e circunstância;
- Agradeça a todos quantos colaboraram para esta realidade e aproveite a oportunidade para chamar a atenção para a necessidade de colocarem nas suas rotinas de trabalho, as atividades do Sistema de Gestão de Segurança da Informação (SGSI);
- Certifique-se de que realiza todas – mas mesmo todas – as atividades descritas nas políticas e procedimentos SGSI;
- Atualize regularmente os últimos desenvolvimentos da série ISO 27001 e de outros sistemas de gestão para manter a sua empresa na linha da frente;
- Atualize a documentação, politicas e procedimentos, sistematicamente, pois a sua empresa está sempre a criar novos produtos ou serviços, a adquirir novos softwares, etc;
- Nomeie um responsável para cada processo relacionado com o seu SGSI para assegurar uma revisão consistente e atempada, e recomendar possíveis mudanças;
- Reveja a avaliação de riscos periodicamente (pelo menos uma vez por ano) ou sempre que, por algum motivo, as circunstâncias mudarem e as ameaças e vulnerabilidades da informação ficarem mais à larga;
- Implemente novos controles baseados em novos resultados de avaliação de riscos, realize ações corretivas e continue a apostar em melhorias na segurança da informação;
- Monitorize o desempenho do seu Sistema de Gestão de Segurança da Informação, para perceber se continua a fazer um bom trabalho ou se precisa de alterar ou ajustar algum procedimento para prevenir futuros incidentes;
- Meça resultados para avaliar o seu SGSI e verificar se atingiu as metas esperadas ou se ficou pelo caminho;
- Realize auditorias internas ISO 27001 para acelerar, facilitar e tornar mais assertiva a sua pesquisa por fraquezas de segurança.
É claro que pode e dever treinar algum ou alguns dos seus colaboradores para detetarem falhas, sim, mas nada como contratar um auditor externo capacitado para fazer, passo a passo, a lista de verificação para auditoria interna ISO 27001. De resto, o importante é mesmo manter o sistema de gestão ISO 27001 para manter a informação da sua empresa segura, não tanto para impressionar um auditor interno ou um auditor externo ISO 27001… Mas para impressionar os seus clientes!
Faça ou transfira a sua certificação para a Templum!
O trabalho para manter o sistema de gestão ISO 27001 após a certificação não para, mas os benefícios também não! Ajudamos a sua empresa a manter-se sempre atualizada sobre as normas e formações necessárias para continuar a melhorar, manter a conformidade e aumentar a rentabilidade!
