{"id":4510,"date":"2014-07-15T19:24:27","date_gmt":"2014-07-15T19:24:27","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/07\/15\/como-manter-o-sgsi-apos-a-certificacao\/"},"modified":"2022-07-17T15:43:36","modified_gmt":"2022-07-17T15:43:36","slug":"como-manter-o-sgsi-apos-a-certificacao","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/07\/15\/como-manter-o-sgsi-apos-a-certificacao\/","title":{"rendered":"Como manter o SGSI ap\u00f3s a certifica\u00e7\u00e3o"},"content":{"rendered":"

Se voc\u00ea pensou que seu trabalho havia acabado ap\u00f3s a certifica\u00e7\u00e3o ISO 27001<\/a>, voc\u00ea est\u00e1 enganado \u2013 o verdadeiro trabalho como seu Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) apenas come\u00e7ou.<\/p>\n

OK, mas por onde voc\u00ea come\u00e7a? A boa not\u00edcia \u00e9 que voc\u00ea j\u00e1 tem todo o direcionamento em sua documenta\u00e7\u00e3o, mas aqui est\u00e1 uma vis\u00e3o geral sobre o que voc\u00ea deve ter foco:<\/p>\n

1) Operar o SGSI.<\/strong> Primeiro de tudo, voc\u00ea tem que ter certeza de que realiza todas as atividades descritas em suas pol\u00edticas e procedimentos. E n\u00e3o quero dizer apenas criando artificialmente alguns registros e fazendo de conta que voc\u00ea est\u00e1 fazendo algumas atividades por conta dos auditores \u2013 Eu realmente quero dizer fazer o que est\u00e1 escrito, em conformidade com todos os requisitos de todos os seus documentos e gerando registros reais. Se voc\u00ea pensa que isto n\u00e3o faz sentido, ent\u00e3o voc\u00ea tem que simplificar seus documentos ou excluir alguns documentos que n\u00e3o s\u00e3o obrigat\u00f3rios.<\/p>\n

2) Atualize a documenta\u00e7\u00e3o.<\/strong> Circunst\u00e2ncias em sua organiza\u00e7\u00e3o mudar\u00e3o \u2013 voc\u00eas criar\u00e3o novos produtos, voc\u00ea comprar\u00e3o novos softwares, sua organiza\u00e7\u00e3o mudar\u00e1, etc. Isto significa que voc\u00ea ter\u00e1 que atualizar suas pol\u00edticas ou procedimentos ou ele se tornar\u00e3o in\u00fateis. A melhor pr\u00e1tica \u00e9 nomear um propriet\u00e1rio para cada documento, e aquela pessoa ter\u00e1 que revisar seu documento periodicamente (geralmente uma vez ao ano), e recomendar poss\u00edveis mudan\u00e7as.<\/p>\n

3) Revisar a avalia\u00e7\u00e3o de riscos.<\/strong> Novamente, devido a mudan\u00e7a das circunst\u00e2ncias, as amea\u00e7as e vulnerabilidades mudar\u00e3o, significando que seus riscos ir\u00e3o mudar; e se seus riscos mudaram, isto significa que seus controles existentes n\u00e3o ser\u00e3o o suficiente. \u00c9 por isso que voc\u00ea deveria enviar os resultados da \u00faltima avalia\u00e7\u00e3o de riscos para os propriet\u00e1rios de risco para que eles possam revis\u00e1-los e atualiz\u00e1-los se necess\u00e1rio \u2013 uma vez que isso tenha sido feito, voc\u00ea tem que implementar novos controles baseados nestes resultados. Esta revis\u00e3o deve ser feita ao menos uma vez ao ano, ou com maior frequ\u00eancia caso alguma mudan\u00e7a significativa tenha ocorrido.<\/p>\n

4) Monitorar e medir o SGSI.<\/strong> Embora esta atividade pare\u00e7a ser muito abstrata e provavelmente a mais dif\u00edcil de atingir, \u00e9 tamb\u00e9m uma das mais importantes \u2013 de outra forma, como voc\u00ea saberia se est\u00e1 fazendo um bom trabalho ou n\u00e3o? Ao falar sobre monitoramento, voc\u00ea tem que observar v\u00e1rios eventos relacionados \u00e0 seguran\u00e7a, tais incidentes, erros, exce\u00e7\u00f5es, etc. Baseado nestas informa\u00e7\u00f5es, voc\u00ea pode aprender o que fazer melhor e como prevenir futuros incidentes de acontecer. Mas isso n\u00e3o \u00e9 tudo \u2013 voc\u00ea tem que medir se seu SGSI atinge os resultados esperados. Para fazer isso, voc\u00ea precisa medir se atingiu os objetivos \u2013 por exemplo, se o objetivo \u00e9 reduzir o n\u00famero de incidente em 50% no ano corrente, voc\u00ea tem que pegar o n\u00famero atual de incidentes a partir dos resultados de monitoramento e comparar com o n\u00famero de incidentes do ano anterior. Leia tamb\u00e9m ISO 27001 control objectives \u2013 Why are they important?<\/a><\/p>\n

5) Realizar auditorias internas.<\/strong> Isto pode parecer apenas mais uma daquelas situa\u00e7\u00f5es do tipo \u201cOh n\u00e3o, outras tarefa in\u00fatil da ISO 27001,\u201d mas o fato \u00e9 \u2013 quando feita de forma apropriada, uma auditoria interna pode revelar a voc\u00ea muito mais fraquezas de seguran\u00e7a do que muitas das outras atividades em conjunto. Para atingir isto voc\u00ea tem que treinar alguns dos seus empregados para fazer este trabalho, ou contratar um auditor externo. N\u00e3o importa qual op\u00e7\u00e3o voc\u00ea escolha, voc\u00ea tem que capacitar esta pessoa para fazer o trabalho de forma abrangente e estar preparado para agir sobre os resultados da auditoria. Leia tamb\u00e9m: Como fazer uma Lista de Verifica\u00e7\u00e3o para Auditoria Interna da ISO 27001 \/ ISO 22301<\/a>.<\/p>\n

6) Realizar an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o.<\/strong> Esta \u00e9 uma atividade crucial, uma vez que ela envolve ativamente sua alta dire\u00e7\u00e3o na seguran\u00e7a da informa\u00e7\u00e3o. Voc\u00ea tem que inform\u00e1-los sobre assuntos essenciais relacionados ao seu SGSI, e solicitar a eles que tomes decis\u00f5es cruciais \u2013 Por exemplo, mudan\u00e7as na organiza\u00e7\u00e3o, disponibilizando recursos, eliminando obst\u00e1culos, etc. Saiba mais aqui: Por que a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o \u00e9 importante para a ISO 27001 e ISO 22301?<\/a><\/p>\n

7) Realizar a\u00e7\u00f5es corretivas.<\/strong> Novamente, esta n\u00e3o \u00e9 uma \u201ctarefa da ISO 27001,\u201d porque a\u00e7\u00f5es corretivas s\u00e3o coisas que voc\u00ea faz regularmente \u2013 muito provavelmente voc\u00ea faz melhorias sobre o que voc\u00ea est\u00e1 fazendo, voc\u00ea apenas n\u00e3o as chama de \u201ca\u00e7\u00f5es corretivas,\u201d ent\u00e3o o truque \u00e9 continuar fazendo estas melhorias de forma a serem aceit\u00e1veis pela ISO 27001. Veja tamb\u00e9m Uso pr\u00e1tico das a\u00e7\u00f5es corretivas para a ISO 27001 e ISO 22301<\/a>.<\/p>\n

E n\u00e3o esque\u00e7a de que o organismos de certifica\u00e7\u00e3o realizar\u00e1 visitas de supervis\u00e3o ao menos uma vez ao ano \u2013 eles verificar\u00e3o todos os sete assuntos listados anteriormente, e tamb\u00e9m se voc\u00ea fechou todas as n\u00e3o conformidades abertas na \u00faltima visita, ent\u00e3o tenha certeza de n\u00e3o esquecer delas. Veja tamb\u00e9m Surveillance visits vs. certification audits<\/a>.<\/p>\n

Mas basicamente, a manuten\u00e7\u00e3o do SGSI resume-se a isso: voc\u00ea deveria fazer isso por voc\u00ea mesmo, para manter sua organiza\u00e7\u00e3o mais segura \u2013 n\u00e3o por causa de um auditor de certifica\u00e7\u00e3o.<\/p>\n

Para ajud\u00e1-lo com a manuten\u00e7\u00e3o do seu SGSI, verifique este<\/em>\u00a0Conformio compliance software<\/a>.<\/p>\n

N\u00f3s Agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o Portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Se voc\u00ea pensou que seu trabalho havia acabado ap\u00f3s a certifica\u00e7\u00e3o ISO 27001, voc\u00ea est\u00e1 enganado \u2013 o verdadeiro trabalho como seu Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) apenas come\u00e7ou. OK, mas por onde voc\u00ea come\u00e7a? A boa not\u00edcia \u00e9 que voc\u00ea j\u00e1 tem todo o direcionamento em sua documenta\u00e7\u00e3o, mas aqui est\u00e1 …<\/p>\n","protected":false},"author":26,"featured_media":4511,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906,1102],"class_list":["post-4510","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br","tag-acoes-corretivas-e-preventivas"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4510"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4510\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4511"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}