RTW3 Assessoria Empresarial - NBR ISO 27001

NBR ISO 27001

A RTW3 entende que o processo de implantação da NBR ISO 27001 é complexo. Na grande maioria das empresas as informações são tratadas sem muito cuidado ou com a devida confidecialidade o que ocasiona perda de informação.

 

Existe uma grande preocupação do roubo de informações por Hackers, porém infelizmente o foco do roubo deinformação está voltado para a personagem errada. Atualmente mais de 65% do roubo  de informações é feita  pelo próprio colaborador. Quer seja de uma maneira intencional, retirando a informação conscientemente, quer seja de maneira não intencional, onde o funcionário acaba compartilhando a informação por descuido ou por algum artifício, como por exemplo "engenharia social".

 

Com a implantação da NBR ISO27001 estes riscos são mitigados ou eliminados. Mas para isso a mudança de cultura é muito grande, e deve partir dos níveis mais altos da Diretoria. Sem isso a empresa não conseguirá a certificação e estará perderá tempo e dinheiro.

 

A primeira fase deste projeto de certificação será o levantamento de todos os processos que fazem parte do escopo de implantação. Está parte do levantamento visa identificar o nível de aderência com a norma, processos implantados, grau de maturidade, recursos existentes e a documentação.

 

Este mapeamento será feito nos locais onde estes processos são executados. Os responsáveis por estes processos serão entrevistados para detalhamento desta documentação.

 

Durante está fase é necessário fazer um trabalho de conscientização em todos os níveis da empresa quanto à:

 

  • Os riscos e perigos da perda e vazamento da informação
  • A importância da informação para as organizações
  • Qual o papel e importância do colaborador para o sucesso do projeto

 

O resultado deste mapeamento será um relatório detalhado de todos os processos que precisam ser implementados.

 

Junto será gerado um cronograma de trabalho onde poderemos encontrar alguns dos pontos abaixo que são usualmente encontrados nas empresas:

 

  • Avaliar o contexto da organização em relação a segurança da informação, liderança e comprometimento
  • Definir os papeis, responsabilidades e autoridades em relação a segurança da informação
  • Definir a política de segurança da informação
  • Estudos dos riscos e oportunidades
  • Avaliação/tratamento de riscos de segurança da informação
  • Objetivos e planejamento do sistema de segurança da informação
  • Elaborar a documentação e políticas internas de segurança
  • Avaliação do desempenho do sistema
  • Auditoria interna do sistema
  • Análise crítica da direção
  • Melhoria e tratamento das não conformidades e ação corretiva
  • Organização da segurança da informação
  • Gestão de Ativos
  • Controle de Acesso
  • Segurança física e do ambiente
  • Segurança nas operações 
  • Segurança nas comunicações
  • Aquisição, desenvolvimento e manutenção de sistemas
  • Gestão de incidentes de segurança da informação
  • Aspectos da segurança da informação na gestão contínua do negócio (BCP)

 

Finalizado a fase de levantamento será iniciada a fase de auditoria para validar a implementação dos processos e avaliar o nível de maturidade dos novos processos incorporados.  E por último, a fase onde serão trabalhadas as ações corretiva e preventivas.

 

A partir deste momento deverá ser  agendada a visita do órgão certificado para iniciar o processo formal que será feita em duas fases.

 

A RTW3 poderá também auxiliar a empresa com projetos específicos para corrigir falhas encontradas durante a fase de levantamento ou auditoria.