O SGSI (Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o) tem um papel importante em todo o neg\u00f3cio nos dias de hoje. Uma vez que a implementa\u00e7\u00e3o do SGSI pode ser um processo complexo (e geralmente difere em cada setor de mercado), de forma a participar e construir este sistema, uma boa abordagem \u00e9 aprender como implement\u00e1-lo dentro de sua organiza\u00e7\u00e3o.<\/p>\n
Basicamente, voc\u00ea precisa estar preparado para entender todos os aspectos do SGSI em v\u00e1rios mundos de informa\u00e7\u00e3o e como implement\u00e1-lo. O treinamento de Implementador L\u00edder da \u00a0ISO 27001<\/a>\u00a0\u00e9 a resposta para estes requisitos. A seguir est\u00e3o as coisas mais importantes com rela\u00e7\u00e3o a como este treinamento se parece, e onde voc\u00ea precisa focar durante o treinamento.<\/p>\n A dura\u00e7\u00e3o pode variar com base em diferentes provedores de treinamento. Em muitos casos, \u00e9 um treinamento de cinco dias. Ele tipicamente terminar\u00e1 com o exame no \u00faltimo dia, o qual voc\u00ea ter\u00e1 que passar com uma certa percentagem (se voc\u00ea quiser ganhar o certificado). O exame geralmente cont\u00e9m quest\u00f5es adicionais e cen\u00e1rios de caso, que s\u00e3o algumas vezes relacionados a conhecimento de tecnologia da informa\u00e7\u00e3o (que tem que estar em um certo n\u00edvel, com base no setor onde o SGSI precisa ser implementado).<\/p>\n Uma vez que muitos dos processos nas organiza\u00e7\u00f5es contempor\u00e2neas usam informa\u00e7\u00f5es sens\u00edveis suportadas por infraestrutura de tecnologia da informa\u00e7\u00e3o, \u00e9 crucial estar atento a liga\u00e7\u00e3o entre seguran\u00e7a da informa\u00e7\u00e3o, tecnologia, e processo de neg\u00f3cio. Entender como a tecnologia suporta a opera\u00e7\u00e3o do neg\u00f3cio e lida com a informa\u00e7\u00e3o seria, na verdade, um pr\u00e9-requisito que qualquer participante de treinamento de Implementador L\u00edder deveria ter.<\/p>\n Assim, \u00e9 um fato que as organiza\u00e7\u00f5es precisem implementar certos controles da ISO 27001, e os participantes precisar\u00e3o entender princ\u00edpios do ambiente de TIC (ao menos o b\u00e1sico).<\/p>\n Geralmente, o treinamento come\u00e7ar\u00e1 com uma introdu\u00e7\u00e3o e explana\u00e7\u00e3o sobre sistemas de gest\u00e3o. Aqui eu gostaria de apontar a import\u00e2ncia que durante o treinamento os participantes aprender\u00e3o o significado do contexto da organiza\u00e7\u00e3o, juntamente com a defini\u00e7\u00e3o do escopo para a implementa\u00e7\u00e3o. \u00c9 muito importante porque os processos de avalia\u00e7\u00e3o de risco e gest\u00e3o de riscos usam isto como fundamento. Leia o artigo Como definir o escopo do SGSI<\/a> para saber mais sobre o escopo.<\/p>\n O treinamento continuar\u00e1 com lideran\u00e7a e planejamento, onde os principais princ\u00edpios dos riscos ser\u00e3o explicados. Treinamentos incluem metodologia do risco, mas algumas vezes eles apenas explicam os princ\u00edpios b\u00e1sicos dos requisitos obrigat\u00f3rios para a avalia\u00e7\u00e3o de riscos<\/a> e plano de tratamento de riscos. Eu sugiro que voc\u00ea verifique como os t\u00f3picos de riscos s\u00e3o cobertos (pelo seu provedor de treinamento) no escopo do treinamento. Se o treinamento explica ao menos os fundamentos da metodologia de avalia\u00e7\u00e3o de riscos, voc\u00ea est\u00e1 no grupo certo. Leia o artigo Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>\u00a0para aprender mais sobre avalia\u00e7\u00e3o e tratamento de risco.<\/p>\n O pr\u00f3ximos t\u00f3picos s\u00e3o sobre suporte, que est\u00e1 relacionado a recursos, conscientiza\u00e7\u00e3o e compet\u00eancia. Voc\u00ea aprender\u00e1 a seguir defini\u00e7\u00f5es de informa\u00e7\u00e3o documentada e outras formas que ser\u00e3o usadas no sistema SGSI. Em opera\u00e7\u00f5es, voc\u00ea aprender\u00e1 principalmente sobre planejamento e controle operacional, e como implementar controles para gest\u00e3o de riscos (i.e., plano de tratamento de riscos), baseados nos resultados da avalia\u00e7\u00e3o de risco e aceita\u00e7\u00e3o da gest\u00e3o dos controles propostos (planos).<\/p>\n Para avalia\u00e7\u00f5es de desempenho, os instrutores ensinar\u00e3o voc\u00ea a como fazer o monitoramento e medi\u00e7\u00e3o do sistema, auditorias internas, e an\u00e1lises cr\u00edticas pela dire\u00e7\u00e3o (ser\u00e1 apenas uma abordagem b\u00e1sica da auditoria interna, uma vez que ela est\u00e1 inclu\u00edda em treinamentos diferentes para de Auditor Interno para a ISO 27001).<\/p>\n Melhorias cont\u00ednuas nas sess\u00f5es de treinamento est\u00e3o mais relacionadas a melhorias na adequa\u00e7\u00e3o, pertin\u00eancia e efic\u00e1cia do SGSI.<\/p>\n O Anexo A consiste de 14 dom\u00ednios e 114 controles. Geralmente, ser\u00e1 a implementa\u00e7\u00e3o de requisitos tomados como resultado da avalia\u00e7\u00e3o de riscos. Voc\u00ea aprender\u00e1 como identificar certos controles que s\u00e3o aplic\u00e1veis ao seu sistema de gest\u00e3o, e definir a SoA (Declara\u00e7\u00e3o de Aplicabilidade)<\/a>.<\/p>\n A SoA \u00e9 o documento onde voc\u00ea tem que definir a implementa\u00e7\u00e3o ou exclus\u00e3o de controles do Anexo A e explicar todas as justificativas. Leia o artigo A import\u00e2ncia da Declara\u00e7\u00e3o de aplicabilidade da ISO 27001<\/a> para saber mais sobre a SoA e sua import\u00e2ncia para a implementa\u00e7\u00e3o do SGSI.<\/p>\n O treinamento cobre todos os controles e explica os detalhes mais importantes de forma a ajudar voc\u00ea a gerir riscos no escopo do SGSI. Leia o artigo Vis\u00e3o geral do Anexo A da ISO 27001:2013<\/a> para saber mais sobre o Anexo A.<\/p>\n Os workshops s\u00e3o uma importante parte do treinamento. Muitos deles cobrem certos estudos de caso, e voc\u00ea ter\u00e1 que identificar lacunas de requisitos da ISO 27001 e propor a implementa\u00e7\u00e3o de certos controles e cen\u00e1rios. Dependendo do provedor de treinamento, \u00e9 poss\u00edvel que sua participa\u00e7\u00e3o em workshops e discuss\u00f5es ser\u00e3o um certo percentual da pontua\u00e7\u00e3o para os resultados finais do seu teste de Implementador L\u00edder.<\/p>\n Lembrando o est\u00e1gio inicial do meu come\u00e7o, de volta a 2005, se eu tivesse orienta\u00e7\u00e3o sobre como me preparar para o treinamento de Implementador L\u00edder da ISO 27001, isso teria me ajudado a focar mais nas discuss\u00f5es, quest\u00f5es, e mais ter mais participa\u00e7\u00e3o ao inv\u00e9s de apenas ficar escutando durante o treinamento. Agora, olhando para tr\u00e1s, eu vejo que benef\u00edcios deste treinamento s\u00e3o que voc\u00ea ganhar\u00e1 conhecimento sobre:<\/p>\n Assim, voc\u00ea precisa se preparar da melhor forma poss\u00edvel para obter o m\u00e1ximo do que \u00e9 oferecido nas sess\u00f5es de treinamento. E, ao ser bem sucedido ao passar neste treinamento, voc\u00ea estar\u00e1 pronto para iniciar a uma implementa\u00e7\u00e3o de um SGSI em sua organiza\u00e7\u00e3o, ou em outra organiza\u00e7\u00e3o se voc\u00ea est\u00e1 no neg\u00f3cio de consultoria em SGSI.<\/p>\n Por que n\u00e3o frequentar o curso completamente gr\u00e1tis? Voc\u00ea pode fazer isso com este curso gratuito de<\/em> ISO 27001 Lead Implementer course<\/a>.<\/p>\nDura\u00e7\u00e3o do treinamento, pr\u00e9-requisitos e exames<\/h2>\n
T\u00f3picos e dom\u00ednios do treinamento \u2013 Sistema de Gest\u00e3o<\/h2>\n
Anexo A, workshops e trabalhos pr\u00e1ticos<\/h2>\n
Treinamento de Implementador L\u00edder \u2013 Aspectos mais importantes<\/h2>\n
\n