O objetivo da norma ABNT ISO 27001 é criar, administrar e monitorar um Sistema de Gestão de Segurança da Informação (SGSI). Todos os processos da organização, todo o fluxo de informação deve ser administrado pelo SGSI, para uma efetiva proteção das informações da organização. Para que haja uma aceitação completa, é muito importante que a direção conheça e aprove os trabalhos realizados pelo SGSI.
Toda a implantação da norma ABNT ISO 27001, é baseada no ciclo PDCA (Planejamento, Desenvolvimento, Controle e Ação)
Os controles, manuais e políticas do SGSI, devem ser sempre reavaliados e modificados de acordo com as mudanças do ambiente ou alterações nos processos de trabalho, por isso o uso do ciclo PDCA.
O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
Antes de iniciarmos o projeto de SGSI, devemos avaliar a organização, suas diretrizes internas, regras de negócio, depois identificar e tratar os potenciais riscos, definindo a análise de risco. A análise de risco é um documento que descreve os possíveis entraves nos processos gerenciais que podem dificultar ou até mesmo inviabilizar os projetos dentro de uma organização. Ex. Ataque de vírus, afetando todo o sistema de arquivos de uma empresa.
Os riscos analisados devem ser tratados, com as ações necessárias para minimizá-los. A análise de risco deve ser sempre reavaliada, para ter eficácia e produzir resultados melhores.
Outro favor importante é o registro de todos os incidentes de segurança, logs de eventos, o administrador do SGSI deve documentar esses registros para análises futuras, visando que o mesmo problema não aconteça novamente.
Novos colaboradores precisam conhecer e estar cientes que a organização preza pela ética e bom uso dos recursos, por isso o departamento de RH, no momento da contratação, assegurar que eles entenderam suas responsabilidades e seus papéis, comprometendo-se em reduzir o risco de roubo, fraude ou mau uso de recursos.
Toda a organização deve estar comprometida com o projeto de SGSI, por isso a conscientização e treinamento dos colaboradores é uma etapa primordial no processo.
O SGSI para ser completo, é preciso analisar vários fatores, a segurança do local, acessos, alarmes, registro de entrada e saída de pessoal, o bom uso dos computadores, política de senha, processos de backup. Tudo isso será descrito na política de segurança das informações que todos precisam entender e se comprometer a ajudar a respeitar o que está descrito, sabendo ele que, em caso de recusa, pode ser punido.
A sua empresa tem política de segurança? Como você protege suas informações gerenciais? Existem ações para garantir a segurança? Conheça a Norma ABNT ISO 27001?
Deixe um comentário com sua experiência!
