Nina Ugrinoska O SGSI (Sistema de Gestão de Segurança da Informação) tem um papel importante em todo o negócio nos dias de hoje. Uma vez que a implementação do SGSI pode ser um processo complexo (e geralmente difere em cada setor de mercado), de forma a participar e construir este sistema, uma boa abordagem é aprender como implementá-lo dentro de sua organização.
Basicamente, você precisa estar preparado para entender todos os aspectos do SGSI em vários mundos de informação e como implementá-lo. O treinamento de Implementador Líder da ISO 27001 é a resposta para estes requisitos. A seguir estão as coisas mais importantes com relação a como este treinamento se parece, e onde você precisa focar durante o treinamento.
Duração do treinamento, pré-requisitos e exames
A duração pode variar com base em diferentes provedores de treinamento. Em muitos casos, é um treinamento de cinco dias. Ele tipicamente terminará com o exame no último dia, o qual você terá que passar com uma certa percentagem (se você quiser ganhar o certificado). O exame geralmente contém questões adicionais e cenários de caso, que são algumas vezes relacionados a conhecimento de tecnologia da informação (que tem que estar em um certo nível, com base no setor onde o SGSI precisa ser implementado).
Uma vez que muitos dos processos nas organizações contemporâneas usam informações sensíveis suportadas por infraestrutura de tecnologia da informação, é crucial estar atento a ligação entre segurança da informação, tecnologia, e processo de negócio. Entender como a tecnologia suporta a operação do negócio e lida com a informação seria, na verdade, um pré-requisito que qualquer participante de treinamento de Implementador Líder deveria ter.
Assim, é um fato que as organizações precisem implementar certos controles da ISO 27001, e os participantes precisarão entender princípios do ambiente de TIC (ao menos o básico).
Tópicos e domínios do treinamento – Sistema de Gestão
Geralmente, o treinamento começará com uma introdução e explanação sobre sistemas de gestão. Aqui eu gostaria de apontar a importância que durante o treinamento os participantes aprenderão o significado do contexto da organização, juntamente com a definição do escopo para a implementação. É muito importante porque os processos de avaliação de risco e gestão de riscos usam isto como fundamento. Leia o artigo Como definir o escopo do SGSI para saber mais sobre o escopo.
O treinamento continuará com liderança e planejamento, onde os principais princípios dos riscos serão explicados. Treinamentos incluem metodologia do risco, mas algumas vezes eles apenas explicam os princípios básicos dos requisitos obrigatórios para a avaliação de riscos e plano de tratamento de riscos. Eu sugiro que você verifique como os tópicos de riscos são cobertos (pelo seu provedor de treinamento) no escopo do treinamento. Se o treinamento explica ao menos os fundamentos da metodologia de avaliação de riscos, você está no grupo certo. Leia o artigo Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas para aprender mais sobre avaliação e tratamento de risco.
O próximos tópicos são sobre suporte, que está relacionado a recursos, conscientização e competência. Você aprenderá a seguir definições de informação documentada e outras formas que serão usadas no sistema SGSI. Em operações, você aprenderá principalmente sobre planejamento e controle operacional, e como implementar controles para gestão de riscos (i.e., plano de tratamento de riscos), baseados nos resultados da avaliação de risco e aceitação da gestão dos controles propostos (planos).
Para avaliações de desempenho, os instrutores ensinarão você a como fazer o monitoramento e medição do sistema, auditorias internas, e análises críticas pela direção (será apenas uma abordagem básica da auditoria interna, uma vez que ela está incluída em treinamentos diferentes para de Auditor Interno para a ISO 27001).
Melhorias contínuas nas sessões de treinamento estão mais relacionadas a melhorias na adequação, pertinência e eficácia do SGSI.
Anexo A, workshops e trabalhos práticos
O Anexo A consiste de 14 domínios e 114 controles. Geralmente, será a implementação de requisitos tomados como resultado da avaliação de riscos. Você aprenderá como identificar certos controles que são aplicáveis ao seu sistema de gestão, e definir a SoA (Declaração de Aplicabilidade).
A SoA é o documento onde você tem que definir a implementação ou exclusão de controles do Anexo A e explicar todas as justificativas. Leia o artigo A importância da Declaração de aplicabilidade da ISO 27001 para saber mais sobre a SoA e sua importância para a implementação do SGSI.
O treinamento cobre todos os controles e explica os detalhes mais importantes de forma a ajudar você a gerir riscos no escopo do SGSI. Leia o artigo Visão geral do Anexo A da ISO 27001:2013 para saber mais sobre o Anexo A.
Os workshops são uma importante parte do treinamento. Muitos deles cobrem certos estudos de caso, e você terá que identificar lacunas de requisitos da ISO 27001 e propor a implementação de certos controles e cenários. Dependendo do provedor de treinamento, é possível que sua participação em workshops e discussões serão um certo percentual da pontuação para os resultados finais do seu teste de Implementador Líder.
Treinamento de Implementador Líder – Aspectos mais importantes
Lembrando o estágio inicial do meu começo, de volta a 2005, se eu tivesse orientação sobre como me preparar para o treinamento de Implementador Líder da ISO 27001, isso teria me ajudado a focar mais nas discussões, questões, e mais ter mais participação ao invés de apenas ficar escutando durante o treinamento. Agora, olhando para trás, eu vejo que benefícios deste treinamento são que você ganhará conhecimento sobre:
- Aprender sobre os principais princípios do SGSI
- Entendimento da diferença entre segurança de TI e segurança da informação
- Aplicabilidade dos controles na SoA
- Complexidade da implementação em todos os segmentos de organizações dentro do escopo
- Avaliação de riscos e melhoria contínua
- Como aplicar controles do Anexo A
Assim, você precisa se preparar da melhor forma possível para obter o máximo do que é oferecido nas sessões de treinamento. E, ao ser bem sucedido ao passar neste treinamento, você estará pronto para iniciar a uma implementação de um SGSI em sua organização, ou em outra organização se você está no negócio de consultoria em SGSI.
Por que não frequentar o curso completamente grátis? Você pode fazer isso com este curso gratuito de ISO 27001 Lead Implementer course.
Nós agradecemos a Rhand Leal pela tradução para o português.
