Especialista em Gestão da Qualidade e Segurança da Informação, auditora líder nas ISOs 9001:2015 e 27001:2013. Graduada em Ciências Econômicas e escritora de artigos relacionados ao sistema de gestão. Mãe de 4 felinos ♥️ Você pode me encontrar no meu linkedin.
A segurança da informação é assunto que sempre esteve em pauta, mas nos últimos anos com a notícia da Lei Geral de Proteção de Dados (LGPD), esse tema ficou ainda mais vivo na organizações. E para falar sobre ISO 27001 – temos que falar sobre gestão da Segurança da Informação
Para nós da ForLogic, a Segurança da Informação não é apenas tirar uma certificação, e sim a Qualidade da nossa entrega para os nossos clientes. Se você pensa que ter uma ISO 27001 é o final, na verdade, você não poderia estar mais equivocado. Certificar-se na 27001 é o meio para uma entrega de Qualidade, gerando confiança e garantindo a satisfação do cliente.
Sendo assim, começamos o nosso projeto de Implantação dessa norma, como já somos certificados na 9001, boa parte do sistema de gestão já estava preparado, mas ainda tínhamos (e temos) muito trabalho a fazer.
A ISO 27001 – Gestão da Segurança da Informação
A norma ISO 27001 é o padrão e a referência Internacional para a Gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para sistema de gestão da Qualidade.
A versão mais atualizada é ISO 27001:2013 e ela tem o objetivo de gerenciar os riscos relacionados a segurança da informação, garantindo que os processos da organização estejam adequados e que garantam a segurança necessária para o escopo definido.
Por se tratar de segurança da informação, ela contempla desde os dados pessoais até qualquer outro tipo de informação que a organização considerar no escopo como ativo que será protegido.
Um sistema baseado em gestão de riscos
A segurança da informação é sustentada por uma boa gestão de riscos. Na verdade, própria 27001:2013 é uma gestão de riscos. Por isso, o artigo 8 da operação fala do tratamento de riscos, mas isso é tema para outro artigo.
Sendo assim, começamos o nosso levantamento de riscos. Identificamos os riscos e, para termos essa gestão de riscos viva, utilizamos o módulo para gestão de riscos do Qualiex.
Utilizando o Risks em nossas análises, os planos de ação e incidências ficam todos registrados, com registro de log e toda a segurança estrutural que o Qualiex oferece.
Se ainda não está muito claro a importância de usar um sistema para gerenciar os riscos, leia esse artigo do Davidson aqui no Blog da Qualidade: Porque usar um Software para Gestão de Riscos.
Teve um incidente. E agora, José?
Como já comentei, registramos nossas incidências nos riscos que estão no módulo riscos. Mas se você tiver uma integração com o Módulo Ocorrências do Qualiex, você pode gerenciar toda a tratativa deste incidente.
Temos uma categoria neste módulo com o nome de “Incidentes”. Então sempre que há incidentes, registramos no módulo riscos e já associamos ao módulo de ocorrências.
Com a ocorrência aberta, tratamos o incidente e, após a tratativa, fica mais fácil analisar novamente o risco, pois o tratamento, ações e incidências estão associadas em um lugar só.
Mas qual o objetivo disso tudo?
Essa é uma pergunta parafraseada do item 6.2 da ISO 27001. Neste item, fala que é preciso definir quais os objetivos que se espera ter com o Sistema de Gestão da Segurança da Informação (SGSI). Desta forma, após definirmos os nossos objetivos, levantamos quais indicadores serão monitorados para analisarmos a efetividade e evolução do SGSI.
Para isso, utilizamos o Qualiex Indicators, módulo para gestão de indicadores. Temos os nossos indicadores de esforço e efetividade cadastrados sendo monitorados. Utilizando o Indicators, temos todas as análises em um só lugar. Leia também esse artigo que fala sobre o Indicators.
Para alcançar o resultado esperado desses objetivos do SGSI, gerenciamos as ações registradas na análise dos indicadores, utilizando a integração com o módulo de planos de ação.
Controle de ações do projeto, mitigação de riscos e ações de indicadores
Como garantir que não se percam todas as ações levantadas em reuniões de planejamento? Em ações de mitigação de riscos? Em ações de melhoria para alcançar os resultados dos objetivos do SGSI?
O Qualiex Action, módulo de planos de ação, tem nos ajudado a gerenciar essas ações. No cadastro de cada ação é feito todo o 5w2h, e se for necessário alguém verificar a eficácia daquela ação, também conseguimos designar verificadores de eficácia.
Inclusive, as ações do nosso projeto de implantação da ISO 27001:2013 são gerenciadas no Action. Portanto, em reuniões do Time de Segurança da Informação conseguimos levar as dashboards de andamento das ações e assim tomar melhores decisões.
Arquivar procedimentos e políticas
Precisamos de processo e políticas que guiam o trabalho dos colaboradores para apoiar todo o SGSI. Isso garante que as pessoas não se percam ou “saiam do trilho”.
Para armazenar esses processos e políticas criadas, utilizamos o Qualiex Docs, módulo para gestão de informação documentada. Ele tem toda a segurança estrutural, controle de permissão de acesso, impressão e download, e também possuí o fluxo de revisão e aprovação. Desta forma, garantindo a integridade, confidencialidade e disponibilidade da informação.
Quando criamos uma política, ou um novo processo que seja, podemos ativar a funcionalidade “confirmação de leitura”, que registra o log de quem leu o documento e confirmou a leitura. Além de ser uma evidência, é um dos ótimos meios para saber quantas pessoas acessaram o documento e estão conscientes na empresa..
Registro de atas de reuniões importantes
Desde a implantação e durante a melhoria do SGSI, várias reuniões importantes acontecem. Por exemplo, a análise crítica pela alta direção, ou então reuniões de aprovação das políticas, inclusive a própria Política de Segurança da Informação deve ser aprovada pela alta direção.
Lá no item 9.2 fala que é preciso reter essa informação, e para isso utilizamos o módulo atas e decisões, de gestão de reuniões, pautas e atas.
Nele,registramos nossas reuniões com a pauta já pré-definida para as análises críticas ou para essas reuniões de criação e aprovação de processos e políticas. Após a reunião, registramos a ata, e cada participante da reunião confirma que está de acordo com a ata. Desta forma, mantendo também o registro de que esses documentos foram validados e aprovados.
Avaliação de fornecedores
Gestão de fornecedores ficou por último, mas não é o menos importante.
Para garantir que o SGSI seja realmente eficaz, se faz necessário uma boa gestão de fornecedores. E o Qualiex Supply, gestão de avaliação de fornecedores, nos apoia retendo as nossas avaliações de fornecedores críticos e também os contratos e termos de confidencialidade.
Ter tudo isso em um só lugar facilita muito o trabalho. Isso evita de sair procurando em várias pastas e armários sempre que é preciso alguma informação dessa, não é mesmo?
Simplificando o trabalho e garantindo a segurança da informação
Imagine várias planilhas, uma para gestão de riscos, outra para tratativa de incidentes, outra planilha para controlar os indicadores e o atingimento dos objetivos. Ou então vários papéis com os processos, contratos de fornecedores.
Com o Qualiex temos tudo isso em um único software. Além disso, temos as integrações entre os módulos. Estamos em implantação da ISO 27001, e temos trabalho pela frente para podermos dizer que temos a Segurança da Informação implantada. No entanto, cada passo que daremos para alcançar esse objetivo, está sendo monitorado e gerenciado no Qualiex.
Nesse tempo de tanta preocupação, com toda a pandemia, sabemos que as pessoas estão vivendo mais apreensivos e ansiosos. Aqui na ForLogic temos a tranquilidade de saber que com todo esse cenário, não é a falta de organização desses processos que vai deixar os nossos colaboradores estressados e sobrecarregados.
Mesmo em home office todas essas informações estão centralizadas, seguras e de fácil acesso. Para saber mais sobre o software Qualiex, preencha o formulário abaixo que nossos especialistas vão entrar em contato com você!
5 comentários em “Como o Qualiex ajuda com a ISO 27001 – Gestão da Segurança da Informação”
Muito bom artigo Vívian. Parabéns!
Muito obrigada, Regi 😀
Realmente ter o um produto que centralize todos os registros é um passo muito importante não só a implementação da 27001, mas também facilita muito a vida dos colaboradores! E como você citou no começo, com a vigência da LGPD chegando estar preparado em questão de gerenciamento de risco e SGSI são pontos muito importantes. Parabéns pelo artigo!
Exatamente esse o cuidado, Felipe. Muito obrigada pelo comentário 😀
Pingback: Impactos da Lei Geral de Proteção de Dados na área da Saúde - Qualidade para Saúde