isoTal como outras cláusulas na ISO 27001 e ISO 22301, a cláusula 9.3, que define os requisitos para a análise crítica pela direção, é um dos mais mau entendidos e depreciados elementos destas normas.

Na prática, está análise crítica é geralmente realizada apenas para satisfazer o auditor da certificação, mas ao se fazer deste modo uma grande oportunidade da direção de sua organização participar ativamente da segurança da informação é perdida.

O propósito da análise crítica pela direção

O propósito da cláusula 9.3 na ISO 27001 e ISO 22301 é solicitar aos seus executivos a tomada de decisões que terão um grande impacto em seu SGSI ou SGCN. E isto deve ser feito de uma forma sistemática.

Caso, por exemplo, a sua segurança da informação necessite de um orçamento maior, ou a localização de seu site alternativo não seja apropriada – este tipo de assunto necessita de decisões da direção, e a análise críticas pela direção é o local exato para tomar tais decisões. Você pode considerar esta análise crítica pela direção nada mais do que uma reunião regular de seus altos executivos com um tópico específico: segurança da informação e/ou continuidade de negócio.

Abordagens alternativas para a análise crítica pela direção

A análise crítica pela direção não precisa ser realizada da mesma maneira em todas as organizações – existem muitas abordagens diferentes para se realizá-la:

Frequência. O mínimo é se realizar a análise crítica pela direção uma vez ao ano, ou mais frequentemente caso ocorram quaisquer grandes mudanças que possam influenciar a segurança da informação ou a continuidade do negócio (e.g., há um novo cliente que possui demandas muito particulares com relação a confidencialidade ou disponibilidade de seus sistemas). Contudo, ela poderia ser realizada com mais frequência (e.g., trimestral) caso a direção queira estar mais envolvida em assuntos operacionais.

Integrar com outras análises críticas pela direção. Caso você tenha implementado tanto a ISO 27001 quanto a ISO 22301, ou também a ISO 9001, você poderia estar tentado a ter todas as análises críticas pela direção feitas em conjunto; contudo, eu não recomendaria esta abordagem – e.g., a continuidade de negócio é um tópico grande o suficiente por si só e precisa de 30 minutos ou mais de atenção dedicada pelos seus altos executivos, e o mesmo se aplica para a gestão da segurança da informação ou da qualidade. Você poderia considerar realizar todas a análises críticas no mesmo dia, mas coloque-as em sequência, não ao mesmo momento.

Onde documentar os resultados. Em muitos casos, uma simples minuta da reunião será o suficiente; contudo, algumas organizações de maior porte poderão requerer a realização de procedimentos formais, em conjunto com as decisões formalizadas.

Como comunicar os resultados. A organização pode enviar notificações por e-mail para todos os empregados e partes interessadas relevantes, organizar uma reunião ou algo similar.

Quem irá preparar os materiais. Uma vez que existe uma grande quantidade de informações de entrada que a direção precisa considerar na reunião, alguém deve preparar este material para eles – geralmente, esta pessoa é o Gestor de Segurança da Informação (Chie Information Security Officer – CISO) ou o Coordenador de Continuidade de Negócio (Business Continuity Coordinator – BCC); contudo, em organizações maiores este material será preparado por vários chefes de departamento.

Quais entradas são necessárias

Os materiais para a realização da análise crítica pela direção são numerosos: relatórios de auditoria interna, ações corretivas e a situação atual das mesmas, a situação de atividades que foram decididas durante a última análise crítica pela direção, mudanças em geral (internas e externas) que podem influenciar o nível de segurança, resultados de medições (se os objetivos foram atingidos), novas necessidades de recursos (incluindo financeiros), lições aprendidas (a partir de testes ou de incidentes reais), propostas sobre como melhorar o sistema, etc.

O que deve ser discutido na análise crítica pela direção

E, finalmente, o que deveria ser discutido nestas análises críticas pela direção? Seus executivos precisam tomar ao menos as seguintes decisões: se o SGSI ou SGCN tem cumprido seus objetivos, quais melhorias são necessárias, mudanças de escopo, aprovação para recursos solicitados, modificação nos principais documentos (e.g., políticas de alto nível), etc.

Mas, claro, você não precisa limitar a discussão apenas a estes tópicos – a análise crítica pela direção é a oportunidade perfeita para educar seus executivos sobre o básico da segurança da informação / continuidade do negócio. Você pode discutir estratégias alternativas sobre como elas podem ser implementadas, você também pode apresentar os assuntos com os quais você está tendo mais dificuldades de forma a ganhar o apoio deles, etc.

Em resumo, você pode usar este requisito da ISO 27001 e ISO 22301 para fazer muito mais do que assegurar conformidade. Use-o para construir um relacionamento com seus tomadores de decisão.

Você pode baixar aqui uma amostra gratuita de modelo de documento Minutas de revisão da gestão.

Nós agradecemos a Rhand Leal pela tradução para o português.

Fonte: Blog do Dejan Kosutic