Implementar normas de sistemas de gest\u00e3o ISO, mesmo com a ajuda de kits de implementa\u00e7\u00e3o e consultores, pode ser uma tarefa desafiadora. Na pr\u00e1tica, \u00e0s vezes parece apropriado melhorar a prontid\u00e3o e a prote\u00e7\u00e3o em v\u00e1rias \u00e1reas de uma organiza\u00e7\u00e3o, cobrindo m\u00faltiplos processos e disciplinas. Embora seja desej\u00e1vel uma abordagem orientada para a seguran\u00e7a que exija uma prote\u00e7\u00e3o imediata contra uma grande variedade de amea\u00e7as (isto \u00e9, a implementa\u00e7\u00e3o simult\u00e2nea de ambas as normas ao mesmo tempo), as limita\u00e7\u00f5es pr\u00e1ticas exigem, na maioria das vezes, uma abordagem sequencial (implementa\u00e7\u00e3o da primeira das duas normas, ent\u00e3o a outra).<\/p>\n
Esta pode ser a conclus\u00e3o em ind\u00fastrias pesadas de TI em organiza\u00e7\u00f5es orientadas para o com\u00e9rcio e servi\u00e7os. Se os principais resultados de tal organiza\u00e7\u00e3o s\u00e3o predominantemente servi\u00e7os e n\u00e3o produtos f\u00edsicos, isso pode ser uma indica\u00e7\u00e3o de que a tecnologia da informa\u00e7\u00e3o \u00e9 crucialmente importante para proporcionar valor agregado.<\/p>\n
Exemplos podem ser empresas de telecomunica\u00e7\u00f5es, institui\u00e7\u00f5es financeiras, companhias de seguros, sites de com\u00e9rcio eletr\u00f4nico, etc. Essas organiza\u00e7\u00f5es t\u00eam em comum que o processamento e armazenamento de informa\u00e7\u00f5es s\u00e3o extremamente importantes para a opera\u00e7\u00e3o. Perda ou vazamento de informa\u00e7\u00f5es, n\u00e3o disponibilidade de informa\u00e7\u00f5es ou perda de integridade da informa\u00e7\u00e3o deve ser evitada, a fim de criar valor para os clientes e preservar a confian\u00e7a na organiza\u00e7\u00e3o.<\/p>\n
Como h\u00e1 uma tend\u00eancia para uma crescente amea\u00e7a aos\u00a0ativos<\/a>\u00a0de dados e informa\u00e7\u00e3o (interfer\u00eancia volunt\u00e1ria e intencional com e destrui\u00e7\u00e3o desses ativos), como nega\u00e7\u00e3o de acesso a sites, bloqueio de acesso, roubo de dados e \/ ou chantagem, colocar mais prioridade na seguran\u00e7a da informa\u00e7\u00e3o como medida de precau\u00e7\u00e3o ser\u00e1 cada vez mais importante no futuro.<\/p>\n Leia o artigo\u00a0Lista de verifica\u00e7\u00e3o para implementa\u00e7\u00e3o da ISO 27001<\/a>\u00a0para ver as etapas de implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n Em ind\u00fastrias e organiza\u00e7\u00f5es onde o processamento de informa\u00e7\u00f5es \u00e9 a espinha dorsal necess\u00e1ria da opera\u00e7\u00e3o, mas onde uma an\u00e1lise de impacto revela que processos e recursos importantes (que suportam produtos e servi\u00e7os chave) dependem de outros insumos al\u00e9m da TI, enfrentamos um desafio diferente. Apenas “consertar” a TI ou a seguran\u00e7a da informa\u00e7\u00e3o pode deixar muitos outros processos e recursos vulner\u00e1veis \u200b\u200ba amea\u00e7as n\u00e3o relacionadas a TI.<\/p>\n Se optarmos por um olhar mais atento a uma empresa de manufatura t\u00edpica, mesmo antes de realizar uma an\u00e1lise de impacto nos neg\u00f3cios, veremos processos de mat\u00e9rias-primas ou produtos semiacabados fluindo para o local de produ\u00e7\u00e3o, veremos as instala\u00e7\u00f5es de produ\u00e7\u00e3o no centro da organiza\u00e7\u00e3o, e existe um fluxo de produtos para instala\u00e7\u00f5es de armazenamento (armaz\u00e9ns) e \/ ou transporte just-in-time para clientes ou instala\u00e7\u00f5es de fabrica\u00e7\u00e3o subsequentes. Embora este processo na maioria dos casos seja suportado por recursos de TI, existem certamente outras amea\u00e7as para este processo de produ\u00e7\u00e3o. Em resumo, a organiza\u00e7\u00e3o depende de fornecedores e de uma cadeia de suprimentos; as instala\u00e7\u00f5es de produ\u00e7\u00e3o e armazenagem podem ser amea\u00e7adas por fogo, inunda\u00e7\u00e3o, sabotagem, etc.; e a cadeia de entrega tamb\u00e9m precisar\u00e1 ser protegida.<\/p>\n Se operar em uma \u00e1rea que experimenta um aumento de riscos naturais, tais como tempestades, inc\u00eandios ou inunda\u00e7\u00f5es, uma implementa\u00e7\u00e3o imediata de medidas de continuidade de neg\u00f3cios pode ser de primordial import\u00e2ncia. O mesmo vale se uma an\u00e1lise de amea\u00e7as e vulnerabilidades<\/a>\u00a0tiver mostrado que a organiza\u00e7\u00e3o vai enfrentar amea\u00e7as crescentes de sabotagem f\u00edsica ou terrorismo.<\/p>\n Leia o artigo\u00a017 steps for implementing ISO 22301<\/a>\u00a0para tornar sua implementa\u00e7\u00e3o da\u00a0ISO 22301<\/a>\u00a0mais f\u00e1cil.<\/p>\n Caso sua organiza\u00e7\u00e3o n\u00e3o esteja claramente em uma das categorias descritas acima (ou se voc\u00ea simplesmente n\u00e3o pode decidir), voc\u00ea pode tentar uma implementa\u00e7\u00e3o combinada. Embora isso pare\u00e7a loucura ou algo excessivo em primeiro lugar, existem sinergias \u00f3bvias ao tentar executar uma implementa\u00e7\u00e3o simult\u00e2nea.<\/p>\n Por qu\u00ea? Normas modernas de sistemas de gest\u00e3o ISO foram concebidas para serem quase id\u00eanticas em termos de estrutura. Por exemplo, as principais partes das normas s\u00e3o gerais e n\u00e3o espec\u00edficas para sistemas de gest\u00e3o. Isso significa que os procedimentos a seguir para a implementa\u00e7\u00e3o s\u00e3o muito semelhantes e implementar duas normas de forma quase simult\u00e2nea resulta em um esfor\u00e7o de implementa\u00e7\u00e3o significativamente reduzido. Al\u00e9m disso, ferramentas modernas de implementa\u00e7\u00e3o e kits de implementa\u00e7\u00e3o oferecem excelente suporte para o gerenciamento da implementa\u00e7\u00e3o.<\/p>\n Veja o webinar gratuito\u00a0ISO 27001 & ISO 22301: Why is it better to implement them together?<\/a>\u00a0saber mais sobre a implementa\u00e7\u00e3o de ambos as normas.<\/p>\n Se a sua organiza\u00e7\u00e3o enfrenta uma infinidade de amea\u00e7as que n\u00e3o s\u00e3o de TI (cada uma delas sendo capaz de parar as opera\u00e7\u00f5es), e se sua TI est\u00e1 apenas apoiando seus processos de neg\u00f3cios, voc\u00ea pode obter mais “retorno pelo seu esfor\u00e7o” focando na implementa\u00e7\u00e3o de um Sistema de Gest\u00e3o de Continuidade de Neg\u00f3cio, baseado na ISO 22301.<\/p>\n Por outro lado, se voc\u00ea n\u00e3o est\u00e1 oferecendo produtos f\u00edsicos, mas apenas lida com produtos digitais e os processos de tecnologia da informa\u00e7\u00e3o s\u00e3o o cora\u00e7\u00e3o de sua organiza\u00e7\u00e3o – voc\u00ea deveria implementar um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o de acordo com a ISO 27001 assim que razoavelmente poss\u00edvel.<\/p>\n A maioria das organiza\u00e7\u00f5es encontra-se em algum lugar no meio destas situa\u00e7\u00f5es, o que significa que a implementa\u00e7\u00e3o de um SGCN com um tratamento abrangente de quest\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o pode constituir uma abordagem completamente razo\u00e1vel, afinal.<\/p>\n Use este\u00a0<\/em>\u00a0Plano do projeto para implementa\u00e7\u00e3o da ISO 27001 \/ ISO 22301<\/a>\u00a0gratuito para definir as etapas e o cronograma de implementa\u00e7\u00e3o.<\/em><\/p>\nQuando implementar a continuidade de neg\u00f3cio primeiro<\/h2>\n
Quando implementar ambos os sistemas ao mesmo tempo?<\/h2>\n
Como decidir?<\/h2>\n