logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Segurança

Ciclo de Gestão PDCA ISO 27001

Aitziber Ardanza
🕑 6 minutes read

Table of contents

Devido à crescente necessidade de implementar medidas eficazes de cibersegurança nas organizações como resultado dos inúmeros ataques de segurança existentes, a introdução de normas ISO nas empresas é uma realidade. Os padrões ISO são padrões desenvolvidos e publicados pela International Organization for Standardization (ISO). O principal objetivo desse tipo de regulação é regularizar processos específicos em áreas como segurança da informação.

Entre essas normas ISO, a chamada família ISO 27000 é uma das mais proeminentes. Trata-se de uma série de normas que detalham as diretrizes e requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI).

Dentro desta família, a principal e certificável é a ISO 27001. Esta norma específica detalha e fornece os requisitos para o estabelecimento, implementação, manutenção e melhoria contínua de um SGSI.

O Ciclo de Deming ou PDCA na ISO 27001

Entrando no conteúdo do regulamento propriamente dito, a primeira parte é composta por seções relacionadas ao assunto tratado neste artigo. Ou seja, com o conhecido ciclo de Deming ou PDCA. Essas seções são as seguintes:

  • Contexto da organização
  • Liderança
  • Planeamento
  • Apoio
  • Operação
  • Avaliação de desempenho
  • Aperfeiçoamento

O ciclo PDCA recebe esse nome por causa da sigla: Plan-Do-Check-Act. Sua metodologia é baseada na melhoria contínua, uma vez que um processo nunca pode ser implementado com 100% de eficácia e precisão. As palavras que dão nome a este ciclo compreendem as 4 fases que nele se distinguem.

PDCA

Planejar (Plano)

O principal objetivo desta fase é estabelecer o Sistema de Gestão de Segurança da Informação. Especificamente, serão estabelecidos nesta etapa os objetivos, procedimentos e políticas relacionados à Segurança da Informação, e com vistas ao aprimoramento desta.

Da mesma forma, aspectos como o escopo do Sistema de Gestão, os papéis e suas funções e responsabilidades no projeto também devem ser definidos.

Existem 4 seções da norma ISO 27001 que fazem parte desta primeira fase de planejamento:

  • Contexto da organização
  • Liderança
  • Planeamento
  • Apoio

A seção de contexto serve para definir os primeiros aspectos do Sistema de Gestão, como o contexto em si, abrangendo tudo o que envolve e afeta a organização, as partes interessadas e o escopo do Sistema de Gestão que será implementado.

Quanto ao ponto de liderança, esta seção está relacionada à alta administração mostrando liderança e compromisso com o processo de implementação e manutenção do Sistema de Gestão. Para tal, é definida uma política de segurança que deve ser conhecida e aplicada por todos os envolvidos e pelos seus papéis e responsabilidades.

O planejamento, que é o nome da próxima seção da norma, consiste principalmente em definir os objetivos de segurança da informação que a organização estabelecerá. Esses objetivos devem ser consistentes com a política de segurança desenvolvida, mensurável, comunicada e atualizada, como a própria norma indica.

Por fim, tudo relacionado ao suporte também é considerado nesta fase. Aqui são distinguidas diferentes tarefas ou pontos a serem levados em consideração. Por um lado, há a determinação dos recursos que serão essenciais para a implementação do sistema de Gestão, e o compromisso com o dever de garantir a sua disponibilidade. Por outro lado, procura assegurar competência e sensibilização, realizando diferentes ações de formação em segurança. Da mesma forma, os procedimentos devem ser levados em consideração para uma comunicação correta na empresa. Para concluir esta seção, a organização deve considerar o gerenciamento da documentação do sistema.

Fazer

O SGSI estabelecido será implementado neste momento. Serão realizados os procedimentos estabelecidos na fase anterior e implementados os controles e operações necessários para gerenciar as informações da organização de forma segura e eficaz.

Quanto à correspondência desta fase do ciclo com a norma ISO 27001, é a seção 8 chamada Operação que aborda este ponto. Para tal, como referido acima, será lançado e implementado o Sistema de Gestão definido.

Destacam-se nesta seção o inventário dos ativos de informação da empresa, a análise de risco para entender o estado da empresa e a gestão de riscos realizada por meio dos diferentes Planos de Tratamento de Riscos.

Verificar

Nesta fase, que corresponde à letra “C” do ciclo PDCA, será avaliada e revista a eficácia do Sistema de Gestão de Segurança da Informação planeado e implementado nas fases anteriores. Para tal, verificar-se-á o cumprimento de aspetos como a política de segurança, os objetivos ou os diferentes procedimentos implementados.

Deve-se notar que essas avaliações e revisões devem ser realizadas periodicamente para garantir a correta implementação e operação dos procedimentos e ações realizadas para estabelecer e implementar o SGSI.

Pode-se dizer que esta fase do ciclo de Deming é equivalente à seção 9 da norma ISO 27001, a seção chamada Avaliação de Desempenho. Neste ponto da norma, será determinado o que precisa de monitoramento e medição, bem como os métodos necessários para garantir resultados válidos. Para o monitoramento, mensuração, análise e avaliação do SGSI, a organização deve contar com dados maduros o suficiente para obter valores adequados para servir de referência.

Para tanto, serão estabelecidas métricas e indicadores para medir a eficácia do SGSI. Além disso, também serão criados procedimentos para a realização da auditoria interna e da revisão pela Direção que será realizada antes de prosseguir com a auditoria de certificação externa.

Agir

Nesta última fase do ciclo, o SGSI será mantido e aprimorado. Ou seja, serão realizadas ações e planos corretivos e preventivos para melhorar os resultados obtidos e, assim, implementar e alcançar uma melhoria contínua do Sistema de Gestão de Segurança da Informação.

Esta última fase corresponde ao ponto 10 denominado Melhoria da norma tratada neste artigo. Por sua vez, esta seção é dividida em duas partes. Por um lado, neste ponto, é realizada a gestão das não conformidades detetadas no sistema, quer através de auditorias internas/externas, quer através de colaboradores da empresa que, no desempenho das suas funções, detetam possíveis deficiências ou não conformidades.

Por outro lado, um processo de melhoria contínua deve ser realizado. Ou seja, um processo de manutenção contínua do SGSI, no qual a eficácia e eficiência do SGSI implementado pela organização serão melhoradas.

Na GlobalSuite Solutions temos uma área de Consultoria que pode ajudá-lo a implementar um SGSI baseado na norma ISO 27001, com uma vasta experiência neste tipo de projetos há mais de 10 anos em empresas de todos os tipos de setores e negócios.

Contamos com o software GlobalSuite® que facilita a automação e o gerenciamento da norma ISO 27001 para otimizar seu SGSI. A versatilidade do software faz com que ele atenda aos requisitos mais complexos de forma acessível e intuitiva, ajudando a obter a certificação ISO 27001 e, portanto, melhorando a segurança cibernética da empresa.

Share:

Aitziber Ardanza
. Consultora Departamento de Consultoría de GlobalSuite Solutions Ingeniera de telecomunicaciones por la UPV/EHU con máster en Ciberseguridad por la Universidad Politécnica de Madrid.

More articles