Como o Qualiex ajuda com a ISO 27001 – Gestão da Segurança da Informação

Imagem de um homem mexendo no computador. Essa imagem simboliza o artigo sobre ISO 27001 - Gestão da Segurança da Informação.

A segurança da informação é assunto que sempre esteve em pauta, mas nos últimos anos com a notícia da Lei Geral de Proteção de Dados (LGPD), esse tema ficou ainda mais vivo na organizações. E para falar sobre ISO 27001 – temos que falar sobre gestão da Segurança da Informação

Para nós da ForLogic, a Segurança da Informação não é apenas tirar uma certificação, e sim a Qualidade da nossa entrega para os nossos clientes. Se você pensa que ter uma ISO 27001 é o final, na verdade, você não poderia estar mais equivocado. Certificar-se na 27001 é o meio para uma entrega de Qualidade, gerando confiança e garantindo a satisfação do cliente.

Sendo assim, começamos o nosso projeto de Implantação dessa norma, como já somos certificados na 9001, boa parte do sistema de gestão já estava preparado, mas ainda tínhamos (e temos) muito trabalho a fazer.

A ISO 27001 – Gestão da Segurança da Informação

A norma ISO 27001 é o padrão e a referência Internacional para a Gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para sistema de gestão da Qualidade.

A versão mais atualizada é ISO 27001:2013 e ela tem o objetivo de gerenciar os riscos relacionados a segurança da informação, garantindo que os processos da organização estejam adequados e que garantam a segurança necessária para o escopo definido.

Por se tratar de segurança da informação, ela contempla desde os dados pessoais até qualquer outro tipo de informação que a organização considerar no escopo como ativo que será protegido. 

Um sistema baseado em gestão de riscos

A segurança da informação é sustentada por uma boa gestão de riscos. Na verdade, própria 27001:2013 é uma gestão de riscos. Por isso, o artigo 8 da operação fala do tratamento de riscos, mas isso é tema para outro artigo kkk.

Sendo assim, começamos o nosso levantamento de riscos. Identificamos os riscos e, para termos essa gestão de riscos viva, utilizamos o Risks, o módulo para gestão de riscos do Qualiex.

Utilizando o Risks em nossas análises, os planos de ação e incidências ficam todos registrados, com registro de log e toda a segurança estrutural que o Qualiex oferece.

Se ainda não está muito claro a importância de usar um sistema para gerenciar os riscos, leia esse artigo do Davidson aqui no Blog da Qualidade: Porque usar um Software para Gestão de Riscos.

Teve um incidente. E agora, José?

Como já comentei, registramos nossas incidências nos riscos que estão no Risks. Mas se você tiver uma integração com o Qualiex Tracker, você pode gerenciar toda a tratativa deste incidente.

Temos uma categoria no Tracker com o nome de “Incidentes”. Então sempre que há incidentes, registramos no Risks e já associamos ao Tracker

Com a ocorrência aberta, tratamos o incidente e, após a tratativa, fica mais fácil analisar novamente o risco, pois o tratamento, ações e incidências estão associadas em um lugar só.

Mas qual o objetivo disso tudo?

Essa é uma pergunta parafraseada do item 6.2 da ISO 27001. Neste item, fala que é preciso definir quais os objetivos que se espera ter com o Sistema de Gestão da Segurança da Informação (SGSI). Desta forma, após definirmos os nossos objetivos, levantamos quais indicadores serão monitorados para analisarmos a efetividade e evolução do SGSI.

Para isso, utilizamos o Qualiex Indicators, módulo para gestão de indicadores. Temos os nossos indicadores de esforço e efetividade cadastrados sendo monitorados. Utilizando o Indicators, temos todas as análises em um só lugar. Leia também esse artigo que fala sobre o Indicators.

Para alcançar o resultado esperado desses objetivos do SGSI, gerenciamos as ações registradas na análise dos indicadores, utilizando a integração com o Qualiex Action, módulo de planos de ação.

Controle de ações do projeto, mitigação de riscos e ações de indicadores

Como garantir que não se percam todas as ações levantadas em reuniões de planejamento? Em ações de mitigação de riscos? Em ações de melhoria para alcançar os resultados dos objetivos do SGSI?

O Qualiex Action, módulo de planos de ação, tem nos ajudado a gerenciar essas ações. No cadastro de cada ação é feito todo o 5w2h, e se for necessário alguém verificar a eficácia daquela ação, também conseguimos designar verificadores de eficácia.

Inclusive, as ações do nosso projeto de implantação da ISO 27001:2013 são gerenciadas no Action. Portanto, em reuniões do Time de Segurança da Informação conseguimos levar as dashboards de andamento das ações e assim tomar melhores decisões.

Arquivar procedimentos e políticas

Precisamos de processo e políticas que guiam o trabalho dos colaboradores para apoiar todo o SGSI. Isso garante que as pessoas não se percam ou “saiam do trilho”. 

Para armazenar esses processos e políticas criadas, utilizamos o Qualiex Docs, módulo para gestão de informação documentada. Ele tem toda a segurança estrutural, controle de permissão de acesso, impressão e download, e também possuí o fluxo de revisão e aprovação. Desta forma, garantindo a integridade, confidencialidade e disponibilidade da informação.

Quando criamos uma política, ou um novo processo que seja, podemos ativar a funcionalidade “confirmação de leitura”, que registra o log de quem leu o documento e confirmou a leitura. Além de ser uma evidência, é um dos ótimos meios para saber quantas pessoas acessaram o documento e estão conscientes na empresa..

Registro de atas de reuniões importantes

Desde a implantação e durante a melhoria do SGSI, várias reuniões importantes acontecem. Por exemplo, a análise crítica pela alta direção, ou então reuniões de aprovação das políticas, inclusive a própria Política de Segurança da Informação deve ser aprovada pela alta direção. 

Lá no item 9.2 fala que é preciso reter essa informação, e para isso utilizamos o Qualiex Meeting, gestão de reuniões, pautas e atas.

No Meeting registramos nossas reuniões com a pauta já pré-definida para as análises críticas ou para essas reuniões de criação e aprovação de processos e políticas. Após a reunião, registramos a ata, e cada participante da reunião confirma que está de acordo com a ata. Desta forma, mantendo também o registro de que esses documentos foram validados e aprovados.

Avaliação de fornecedores

Gestão de fornecedores ficou por último, mas não é o menos importante.

Para garantir que o SGSI seja realmente eficaz, se faz necessário uma boa gestão de fornecedores. E o Qualiex Supply, gestão de avaliação de fornecedores, nos apoia retendo as nossas avaliações de fornecedores críticos e também os contratos e termos de confidencialidade. 

Ter tudo isso em um só lugar facilita muito o trabalho. Isso evita de sair procurando em várias pastas e armários sempre que é preciso alguma informação dessa, não é mesmo?

Simplificando o trabalho e garantindo a segurança da informação

Imagine várias planilhas, uma para gestão de riscos, outra para tratativa de incidentes, outra planilha para controlar os indicadores e o atingimento dos objetivos. Ou então vários papéis com os processos, contratos de fornecedores.

Com o Qualiex temos tudo isso em um único software. Além disso, temos as integrações entre os módulos. Estamos em implantação da ISO 27001, e temos trabalho pela frente para podermos dizer que temos a Segurança da Informação implantada. No entanto, cada passo que daremos para alcançar esse objetivo, está sendo monitorado e gerenciado no Qualiex.

Nesse tempo de tanta preocupação, com toda a pandemia, sabemos que as pessoas estão vivendo mais apreensivos e ansiosos. Aqui na ForLogic temos a tranquilidade de saber que com todo esse cenário, não é a falta de organização desses processos que vai deixar os nossos colaboradores estressados e sobrecarregados.

Mesmo em home office todas essas informações estão centralizadas, seguras e de fácil acesso. Para saber mais sobre o software Qualiex, preencha o formulário abaixo que nossos especialistas vão entrar em contato com você!

whatsapp

Receba as melhores notícias do dia por WhatsApp.

Clique aqui e confira nossos grupos!

Written by

Vivian Pellegrini

Trabalho na Qualidade aqui da Forlogic e sou auditora líder da ISO 9001:2015. Graduada em Ciências Econômicas e voluntária no projeto social Integrar. Mãe de 3 felinos ♥️ Você pode me encontrar no meu linkedin.