Quando implementamos uma norma, é comum nos preocuparmos muito com as demais áreas (se vão apresentar resistência, falta de comprometimento, falta de conhecimento ou qualquer fator de risco que possa comprometer o sucesso do projeto), focando muito na conscientização, treinamento e implementação dos controles ao passo em que nossa própria área, caso não haja um cuidadoso planejamento e gestão, pode ficar enfraquecida quanto ao seu papel.

No caso da ISO 27001, como em qualquer iniciativa de Segurança da Informação, também é notório que os esforços se voltam para a conscientização das pessoas e, então, da implementação dos controles de forma natural e não impositiva (em um mundo real, utópico e, talvez, quase inalcançável, com raras exceções) e, para isso, o planejamento e a atenção à própria área deve ser igualitária perante as demais.

Portanto, para estabelecermos uma estrutura sólida para atender aos requisitos da norma ISO 27001:2013, minimamente o time responsável pelo SGSI (Sistema de Gestão de Segurança da Informação) deve implementar:

  • Estabelecimento e manutenção de uma declaração de aplicabilidade, onde todos os controles da norma devem ser descritos e selecionados quanto à sua implementação ou não na organização e a quem é endereçada e como;
  • Plano Operacional, descrevendo o que é escopo (localidades, áreas, partes da organização ou mesmo a estrutura como um todo), quem a suporta (os responsáveis pelos SGSI em toda a estrutura, mesmo que representando outras áreas que não a de SI, o organograma do corpo que vai desenvolver, implementar, suportar e operar, bem como os domínios criados para basear os controles;
  • Controle de ocorrências por auditorias passadas (as não-conformidades e suas tratativas de forma rastreável);
  • Implementação de controle de ativos juntos às áreas corporativas ou estruturas organizacionais, pois esta é a base dos controles que serão ou não aplicados para que a organização opere ao menor risco possível e dentro de seu apetite por riscos;
  • Controles que coloque o devido foco em conscientização e treinamento, especialmente em comportamento humano;
  • Controles de Privacidade de Dados, levando em consideração leis como GDPR, LGPR e outras dependendo dos países envolvidos e mercados aplicáveis

Este modelo é um ensaio básico do que a norma pede ao próprio time que cuidará do SGSI e deve ser sempre adaptado à realidade da organização.

Fonte: Blog do Rodrigo Magdalena