Processo de certificação ISO/IEC 27001:2013 x V360

Diego Panaro — Thu, 03 Mar 2022 19:11:33 +0000

Você já deve ter ouvido falar em empresas certificadas ou acreditadas nas melhores práticas de mercado, não é mesmo? São as famosas empresas ISO Certified, certificadas em gestão da qualidade, ambiental, entre outras.

Mas e no quesito segurança da informação, você conhece alguma empresa certificada?

De acordo com uma recente matéria publicada na revista Exame, em fevereiro de 2022, no ano passado (2021), cerca de 26% das empresas brasileiras sofreram algum tipo de ataque cibernético, sendo: phishing, vírus e ransomware os mais comuns.

A ISO/IEC 27001:2013 oferece informações completas de como implementar um Sistema de Gestão de Segurança da Informação (SGSI). Ela tem como objetivo o atendimento de requisitos obrigatórios e processos que reduzem riscos e visam aumentar a segurança das informações da empresa. De acordo com a última pesquisa ISO, divulgada em 2020, apenas 148 empresas no Brasil possuem essa certificação.

Neste artigo falaremos um pouco sobre o processo da V360 de certificação na ISO/IEC 27001:2013, qual caminho seguimos e os desafios e motivadores nessa jornada.

Sobre a ISO/IEC 27001:2013

A ISO é a Organização Internacional para Normalização, que tem como objetivo fornecer normativas de padronização em quesitos ambientais e de qualidade, por exemplo.

Para segurança, foi criada a ISO/IEC 27001:2013 para estabelecer, implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI). E o objetivo principal é o atendimento de requisitos, controles e procedimentos para garantir a segurança da informação.

Nosso processo de certificação (V360 x ISO 27001)

Agora que você já sabe um pouco mais sobre a ISO 27001, irei contar sobre o nosso processo de certificação.

Passo número 1:

Para iniciar essa caminhada, um ponto fundamental sem dúvida alguma, foi contar com a participação da alta direção. As certificações são processos custosos e irão ocupar parte do orçamento anual da empresa, e uma vez acreditada, serão necessárias auditorias internas e externas para manutenção dos certificados.

No mercado existem empresas especializadas no processo de certificação. São consultorias que irão verificar o estágio em que sua empresa está no momento e os próximos passos que deverão ser percorridos.

A próxima etapa será a elaboração de documentos e procedimentos obrigatórios de acordo com a normativa que deverá ser adquirida diretamente no site da ISO. Eles servirão como um guia durante todo o processo de certificação e auditorias.

Lembre-se, o papel aceita tudo. Empenhe-se ao máximo para que a linguagem e regras utilizadas durante todos os procedimentos sejam aderentes à sua organização.

Na V360 buscamos a simplicidade e objetividade nas documentações, o que acreditamos ter sido um diferencial para o atingimento do nosso objetivo.

Após a elaboração dos procedimentos e aprovação interna, será necessária a realização de treinamentos e capacitação do time, sendo esse um dos passos principais para obtenção e manutenção da certificação.

Todo mundo é responsável pela manutenção da segurança no dia a dia da organização. Sem o envolvimento dos times, com certeza o barco vai naufragar. A dica aqui é trazer especialistas de mercado para meetups e bate papos internos, pois com certeza ajudarão no engajamento do projeto.

Passo número 2:

Com os procedimentos divulgados e bem estruturados, chegou a hora da primeira avaliação, a auditoria interna. Algumas consultorias contam com esse tipo de serviço, o que aconteceu em nosso caso.

Por aqui, ainda não tínhamos a experiência de passar por uma auditoria, e se for o seu caso, vou te dar algumas dicas que considero essenciais. Antes, é fundamental que você compreenda que serão levantados pontos de melhoria e não conformidades, os mesmos deverão ser tratados até o início de sua auditoria certificadora para ajustes no seu SGSI.

Agora vamos as dicas:

É normal sentir aquele frio na barriga, mas mantenha-se calmo e focado;
Em caso de dúvidas sobre o que foi perguntado, peça ao auditor que seja mais claro e qual seção ele se refere, isso pode te ajudar a identificar o documento em questão;
Anote todos os pontos apresentados como não conformidades e oportunidades de melhoria;
Você pode e deve consultar seus procedimentos durante a auditoria, sempre que possível mostrando evidências que comprovem que seus documentos estão sendo utilizados no dia a dia da organização;
Por último, caso seja possível, converse com toda a equipe que será avaliada previamente, relembrando as responsabilidades de cada um.

Depois da auditoria interna finalizada é hora de verificar as não conformidades e oportunidades de melhoria apresentadas.

Baseando-se em seus procedimentos, verifique o que deve ser feito e tome as devidas providências para resolução dos problemas antes da realização da auditoria externa (certificadora ou de manutenção).

Passo número 3:

Com auditoria interna e ajustes realizados, chegou a hora da auditoria certificadora. Neste momento, diferentemente da primeira, o objetivo é ter o mínimo de não conformidades e oportunidades de melhoria possíveis.

A duração é normalmente de 1 semana, tempo em que serão percorridos todos os anexos e seções obrigatórios da normativa. Este processo deve ser realizado por uma empresa credenciada e autorizada, pois a mesma será responsável pela emissão de seu certificado.

Ao longo da auditoria será necessário o levantamento de evidências para atestar a conformidade de seus processos. Em caso de não conformidades ou oportunidades de melhoria, o auditor deverá informar um prazo limite para resolução dos pontos levantados.

Ao final, a empresa responsável poderá recomendar sua organização para a certificação, ou, poderá exigir a correção das não conformidades e oportunidades de melhoria para obtenção da certificação.

Conclusão

Mesmo se tratando de um processo trabalhoso, são inúmeras as possibilidades e facilidades a partir da obtenção da Certificação ISO 27001. A acreditação traz benefícios tanto diretos quanto indiretos para dia a dia da sua empresa, sendo alguns deles:

Maior previsibilidade de eventos e incidentes de segurança da informação, consequentemente leva à menores custos em seus tratamentos;
Credibilidade da empresa junto ao mercado consumidor, demonstrando clara e manifesta preocupação com dados e informações;
Melhoria contínua de processos, documentações e rotinas de trabalho através das constantes auditorias internas e externas

DEV Community: Diego Panaro

Processo de certificação ISO/IEC 27001:2013 x V360