{"id":4586,"date":"2014-03-04T15:00:37","date_gmt":"2014-03-04T15:00:37","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/03\/04\/por-que-a-analise-critica-pela-direcao-e-importante-para-a-iso-27001-e-iso-22301\/"},"modified":"2022-07-17T16:03:17","modified_gmt":"2022-07-17T16:03:17","slug":"por-que-a-analise-critica-pela-direcao-e-importante-para-a-iso-27001-e-iso-22301","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/03\/04\/por-que-a-analise-critica-pela-direcao-e-importante-para-a-iso-27001-e-iso-22301\/","title":{"rendered":"Por que a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o \u00e9 importante para a ISO 27001 e ISO 22301?"},"content":{"rendered":"

Tal como outras cl\u00e1usulas na ISO 27001 e ISO 22301, a cl\u00e1usula 9.3, que define os requisitos para a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o, \u00e9 um dos mais mau entendidos e depreciados elementos destas normas.<\/p>\n

Na pr\u00e1tica, est\u00e1 an\u00e1lise cr\u00edtica \u00e9 geralmente realizada apenas para satisfazer o auditor da certifica\u00e7\u00e3o, mas ao se fazer deste modo uma grande oportunidade da dire\u00e7\u00e3o de sua organiza\u00e7\u00e3o participar ativamente da seguran\u00e7a da informa\u00e7\u00e3o \u00e9 perdida.<\/p>\n

O prop\u00f3sito da an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o<\/h2>\n

O prop\u00f3sito da cl\u00e1usula 9.3 na ISO 27001<\/a> e ISO 22301<\/a> \u00e9 solicitar aos seus executivos a tomada de decis\u00f5es que ter\u00e3o um grande impacto em seu SGSI ou SGCN. E isto deve ser feito de uma forma sistem\u00e1tica.<\/p>\n

Caso, por exemplo, a sua seguran\u00e7a da informa\u00e7\u00e3o necessite de um or\u00e7amento maior, ou a localiza\u00e7\u00e3o de seu site alternativo n\u00e3o seja apropriada \u2013 este tipo de assunto necessita de decis\u00f5es da dire\u00e7\u00e3o, e a an\u00e1lise cr\u00edticas pela dire\u00e7\u00e3o \u00e9 o local exato para tomar tais decis\u00f5es. Voc\u00ea pode considerar esta an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o nada mais do que uma reuni\u00e3o regular de seus altos executivos com um t\u00f3pico espec\u00edfico: seguran\u00e7a da informa\u00e7\u00e3o e\/ou continuidade de neg\u00f3cio.<\/p>\n

Abordagens alternativas para a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o<\/h2>\n

A an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o n\u00e3o precisa ser realizada da mesma maneira em todas as organiza\u00e7\u00f5es \u2013 existem muitas abordagens diferentes para se realiz\u00e1-la:<\/p>\n

Frequ\u00eancia.<\/b> O m\u00ednimo \u00e9 se realizar a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o uma vez ao ano, ou mais frequentemente caso ocorram quaisquer grandes mudan\u00e7as que possam influenciar a seguran\u00e7a da informa\u00e7\u00e3o ou a continuidade do neg\u00f3cio (e.g., h\u00e1 um novo cliente que possui demandas muito particulares com rela\u00e7\u00e3o a confidencialidade ou disponibilidade de seus sistemas). Contudo, ela poderia ser realizada com mais frequ\u00eancia (e.g., trimestral) caso a dire\u00e7\u00e3o queira estar mais envolvida em assuntos operacionais.<\/p>\n

Integrar com outras an\u00e1lises cr\u00edticas pela dire\u00e7\u00e3o.<\/b> Caso voc\u00ea tenha implementado tanto a ISO 27001 quanto a ISO 22301, ou tamb\u00e9m a ISO 9001<\/a>, voc\u00ea poderia estar tentado a ter todas as an\u00e1lises cr\u00edticas pela dire\u00e7\u00e3o feitas em conjunto; contudo, eu n\u00e3o recomendaria esta abordagem \u2013 e.g., a continuidade de neg\u00f3cio \u00e9 um t\u00f3pico grande o suficiente por si s\u00f3 e precisa de 30 minutos ou mais de aten\u00e7\u00e3o dedicada pelos seus altos executivos, e o mesmo se aplica para a gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o ou da qualidade. Voc\u00ea poderia considerar realizar todas a an\u00e1lises cr\u00edticas no mesmo dia, mas coloque-as em sequ\u00eancia, n\u00e3o ao mesmo momento.<\/p>\n

Onde documentar os resultados.<\/b> Em muitos casos, uma simples minuta da reuni\u00e3o ser\u00e1 o suficiente; contudo, algumas organiza\u00e7\u00f5es de maior porte poder\u00e3o requerer a realiza\u00e7\u00e3o de procedimentos formais, em conjunto com as decis\u00f5es formalizadas.<\/p>\n

Como comunicar os resultados.<\/b> A organiza\u00e7\u00e3o pode enviar notifica\u00e7\u00f5es por e-mail para todos os empregados e partes interessadas relevantes, organizar uma reuni\u00e3o ou algo similar.<\/p>\n

Quem ir\u00e1 preparar os materiais.<\/b> Uma vez que existe uma grande quantidade de informa\u00e7\u00f5es de entrada que a dire\u00e7\u00e3o precisa considerar na reuni\u00e3o, algu\u00e9m deve preparar este material para eles \u2013 geralmente, esta pessoa \u00e9 o Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o (Chie Information Security Officer – CISO) ou o Coordenador de Continuidade de Neg\u00f3cio (Business Continuity Coordinator – BCC); contudo, em organiza\u00e7\u00f5es maiores este material ser\u00e1 preparado por v\u00e1rios chefes de departamento.<\/p>\n

Quais entradas s\u00e3o necess\u00e1rias<\/h2>\n

Os materiais para a realiza\u00e7\u00e3o da an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o s\u00e3o numerosos: relat\u00f3rios de auditoria interna, a\u00e7\u00f5es corretivas e a situa\u00e7\u00e3o atual das mesmas, a situa\u00e7\u00e3o de atividades que foram decididas durante a \u00faltima an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o, mudan\u00e7as em geral (internas e externas) que podem influenciar o n\u00edvel de seguran\u00e7a, resultados de medi\u00e7\u00f5es (se os objetivos foram atingidos), novas necessidades de recursos (incluindo financeiros), li\u00e7\u00f5es aprendidas (a partir de testes ou de incidentes reais), propostas sobre como melhorar o sistema, etc.<\/p>\n

O que deve ser discutido na an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o<\/h2>\n

E, finalmente, o que deveria ser discutido nestas an\u00e1lises cr\u00edticas pela dire\u00e7\u00e3o? Seus executivos precisam tomar ao menos as seguintes decis\u00f5es: se o SGSI ou SGCN tem cumprido seus objetivos, quais melhorias s\u00e3o necess\u00e1rias, mudan\u00e7as de escopo, aprova\u00e7\u00e3o para recursos solicitados, modifica\u00e7\u00e3o nos principais documentos (e.g., pol\u00edticas de alto n\u00edvel), etc.<\/p>\n

Mas, claro, voc\u00ea n\u00e3o precisa limitar a discuss\u00e3o apenas a estes t\u00f3picos \u2013 a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o \u00e9 a oportunidade perfeita para educar seus executivos sobre o b\u00e1sico da seguran\u00e7a da informa\u00e7\u00e3o \/ continuidade do neg\u00f3cio. Voc\u00ea pode discutir estrat\u00e9gias alternativas sobre como elas podem ser implementadas, voc\u00ea tamb\u00e9m pode apresentar os assuntos com os quais voc\u00ea est\u00e1 tendo mais dificuldades de forma a ganhar o apoio deles, etc.<\/p>\n

Em resumo, voc\u00ea pode usar este requisito da ISO 27001 e ISO 22301 para fazer muito mais do que assegurar conformidade. Use-o para construir um relacionamento com seus tomadores de decis\u00e3o.<\/p>\n

Voc\u00ea pode baixar aqui uma amostra gratuita de modelo de documento Minutas de revis\u00e3o da gest\u00e3o<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Tal como outras cl\u00e1usulas na ISO 27001 e ISO 22301, a cl\u00e1usula 9.3, que define os requisitos para a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o, \u00e9 um dos mais mau entendidos e depreciados elementos destas normas. Na pr\u00e1tica, est\u00e1 an\u00e1lise cr\u00edtica \u00e9 geralmente realizada apenas para satisfazer o auditor da certifica\u00e7\u00e3o, mas ao se fazer deste modo …<\/p>\n","protected":false},"author":26,"featured_media":4587,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4586","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4586","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4586"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4586\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4587"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}