Contar com bons indicadores na ISO 27001 é essencial para assegurar não só a conformidade como também a eficácia do sistema de gestão da segurança da informação (SGSI).
Isso porque a falta de boas métricas pode levar a diversos problemas, tais quais a incapacidade de demonstrar conformidade, decisões mal embasadas ou errôneas, dificuldades para promover melhoria contínua e até mesmo falhas na identificação de vulnerabilidades no sistema. Entretanto, o maior problema é que todas essas dificuldades levam a empresa a ficar extremamente exposta aos riscos de cibersegurança, pondo em risco informações críticas da organização, de seus clientes e das demais partes interessadas.
No artigo de hoje, portanto, resolvemos discutir um pouco sobre os 3 principais indicadores na ISO 27001 e sobre como eles podem fortalecer seu SGSI. Esse tema também foi foco de um vídeo do nosso canal no youtube e iremos disponibilizá-lo ao final do texto. Vale frisar, também, que monitorar os indicadores sugeridos aqui (bem como outros pertinentes) fornecerá uma visão clara do desempenho da segurança da informação (SI) da sua empresa e ajudará a identificar riscos e áreas de melhoria. Dito isto, vamos ao conteúdo!
Este indicador visa medir o número de incidentes de segurança que a empresa registrou em um determinado período de tempo. A ideia é quantificar e agrupar esses incidentes e o tempo de monitoramento depende do contexto da empresa e de seu SGSI, pode ser algo como “Número de incidentes de segurança da informação por mês”.
Essa métrica pode ajudar a identificar vulnerabilidades no sistema de segurança ou em etapas ou aspectos específicos do sistema. Suponhamos, por exemplo, que nossa empresa passou por um aumento expressivo no número de incidentes. Isso pode mostrar a necessidade de revisões no SGSI e até mesmo levar à implementação de novas medidas de segurança ou de conscientização.
Por isso, é extremamente importante ter um processo bem estruturado e que garanta que a empresa vai registrar, analisar e tratar todo e qualquer incidente. Este processo, por sua vez, vai gerar diversos dados importantes para o sistema e para a empresa, tais quais o número de incidentes e também nosso próximo indicador.
Entre os indicadores na ISO 27001, o tempo médio de resolução de incidentes é um dos mais fundamentais e desempenha vários papéis no SGSI. Um deles, por exemplo, é a avaliação de eficácia do próprio SGSI. Afinal, um sistema conforme e eficaz não só tem um tempo médio de tratativa dentro dos limites estabelecidos e seguros para empresa como também tende a melhorar (reduzir) esse tempo ao longo do tempo e da implementação das ações de melhoria.
Porém, ainda mais importante que isso, o tempo médio está diretamente ligado à continuidade do negócio e dos processos da empresa. Em alguns casos mais graves, esse tempo é vital!
Imagine, por exemplo, um ataque de ransomware (tipo de “software” que bloqueia o acesso a dados armazenados em um computador ou rede). Caso este ataque aconteça, sua empresa pode ficar incapacitada de acessar informações importantes e até mesmo ficar inoperante por um determinado período de tempo. Imagine um tempo médio de resposta muito alto, isso significa que sua empresa será impactada ainda mais severamente e por mais tempo.
Assim, entender o tempo médio para resolver um incidente é fundamental para tomar decisões mais assertivas e traçar estratégias que podem fazer a diferença na sobrevivência do seu negócio! Em alguns casos, por exemplo, é possível identificar que alguns riscos precisam ser tratados em um tempo menor que o tempo médio de resposta, assim é possível aplicar recursos e esforço para tratar algumas situações de forma mais específica e ágil.
As políticas são o direcionamento que a empresa dá a determinados assuntos, assim elas correspondem a forma como as pessoas devem agir quando algo acontece. Na 27001, elas correspondem como a empresa vai responder a riscos e oportunidades do SGSI e relacionados à própria segurança da informação!
Dessa forma, é fundamental monitorar a conformidade dos processos com relação a políticas. Isso, além de fortalecer as práticas da empresa, também pode ajudar muito nos momentos de auditoria, por exemplo. Além disso, o bom uso desse indicador ajuda a trazer mais alinhamento estratégico para a rotina das pessoas e também a melhora na realidade do SGSI e suas boas práticas.
Segundo William Edwards Deming, um dos maiores gurus da qualidade de todos os tempos, o monitoramento é o início da gestão. Sua mais célebre frase reforça isso: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”.
Dessa forma, contar com bons indicadores na ISO 27001 não é apenas uma questão normativa ou de autoria, mas sim um fator crucial para uma boa gestão e para a promoção da melhoria contínua. Monitorar o SGSI permite que encontremos melhores formas de agir e de assegurar mais segurança da informação! Assim, ignorar esta boa prática pode ter consequências severas, tanto em termos de segurança quanto de continuidade dos negócios da sua organização!
Portanto, agora, cabe a você revisar seu sistema de gestão e compreender como esses indicadores estão atuando nos seus processos. Caso não os tenha, sugerimos que os implemente agora mesmo e dê um passo certeiro rumo a uma empresa mais segura, confiável e próspera!
Se você quiser entender um pouco melhor esses indicadores, temos um vídeo completo no nosso canal do Youtube!
Nele, Fernando Ferreira, grande parceiro da QMS Certification e CEO da Audit Safe destrinchou o que ele acredita serem os 3 principais indicadores na ISO 27001, sua importância e algumas possibilidades de análise, além de dar exemplos de aplicação. Então vale a pena conferir o conteúdo e já se inscrever no canal da QMS! Assista clicando abaixo:
Isso porque a falta de boas métricas pode levar a diversos problemas, tais quais a incapacidade de demonstrar conformidade, decisões mal embasadas ou errôneas, dificuldades para promover melhoria contínua e até mesmo falhas na identificação de vulnerabilidades no sistema. Entretanto, o maior problema é que todas essas dificuldades levam a empresa a ficar extremamente exposta aos riscos de cibersegurança, pondo em risco informações críticas da organização, de seus clientes e das demais partes interessadas.
No artigo de hoje, portanto, resolvemos discutir um pouco sobre os 3 principais indicadores na ISO 27001 e sobre como eles podem fortalecer seu SGSI. Esse tema também foi foco de um vídeo do nosso canal no youtube e iremos disponibilizá-lo ao final do texto. Vale frisar, também, que monitorar os indicadores sugeridos aqui (bem como outros pertinentes) fornecerá uma visão clara do desempenho da segurança da informação (SI) da sua empresa e ajudará a identificar riscos e áreas de melhoria. Dito isto, vamos ao conteúdo!
1 – Número e quantidade de incidentes de segurança de informação
Este indicador visa medir o número de incidentes de segurança que a empresa registrou em um determinado período de tempo. A ideia é quantificar e agrupar esses incidentes e o tempo de monitoramento depende do contexto da empresa e de seu SGSI, pode ser algo como “Número de incidentes de segurança da informação por mês”.
Essa métrica pode ajudar a identificar vulnerabilidades no sistema de segurança ou em etapas ou aspectos específicos do sistema. Suponhamos, por exemplo, que nossa empresa passou por um aumento expressivo no número de incidentes. Isso pode mostrar a necessidade de revisões no SGSI e até mesmo levar à implementação de novas medidas de segurança ou de conscientização.
Por isso, é extremamente importante ter um processo bem estruturado e que garanta que a empresa vai registrar, analisar e tratar todo e qualquer incidente. Este processo, por sua vez, vai gerar diversos dados importantes para o sistema e para a empresa, tais quais o número de incidentes e também nosso próximo indicador.
2 – Tempo médio para resolver o incidente
Entre os indicadores na ISO 27001, o tempo médio de resolução de incidentes é um dos mais fundamentais e desempenha vários papéis no SGSI. Um deles, por exemplo, é a avaliação de eficácia do próprio SGSI. Afinal, um sistema conforme e eficaz não só tem um tempo médio de tratativa dentro dos limites estabelecidos e seguros para empresa como também tende a melhorar (reduzir) esse tempo ao longo do tempo e da implementação das ações de melhoria.
Porém, ainda mais importante que isso, o tempo médio está diretamente ligado à continuidade do negócio e dos processos da empresa. Em alguns casos mais graves, esse tempo é vital!
Imagine, por exemplo, um ataque de ransomware (tipo de “software” que bloqueia o acesso a dados armazenados em um computador ou rede). Caso este ataque aconteça, sua empresa pode ficar incapacitada de acessar informações importantes e até mesmo ficar inoperante por um determinado período de tempo. Imagine um tempo médio de resposta muito alto, isso significa que sua empresa será impactada ainda mais severamente e por mais tempo.
Assim, entender o tempo médio para resolver um incidente é fundamental para tomar decisões mais assertivas e traçar estratégias que podem fazer a diferença na sobrevivência do seu negócio! Em alguns casos, por exemplo, é possível identificar que alguns riscos precisam ser tratados em um tempo menor que o tempo médio de resposta, assim é possível aplicar recursos e esforço para tratar algumas situações de forma mais específica e ágil.
3 – Conformidade nas políticas organizacionais
As políticas são o direcionamento que a empresa dá a determinados assuntos, assim elas correspondem a forma como as pessoas devem agir quando algo acontece. Na 27001, elas correspondem como a empresa vai responder a riscos e oportunidades do SGSI e relacionados à própria segurança da informação!
Dessa forma, é fundamental monitorar a conformidade dos processos com relação a políticas. Isso, além de fortalecer as práticas da empresa, também pode ajudar muito nos momentos de auditoria, por exemplo. Além disso, o bom uso desse indicador ajuda a trazer mais alinhamento estratégico para a rotina das pessoas e também a melhora na realidade do SGSI e suas boas práticas.
“Quem não mede não gerencia”
Segundo William Edwards Deming, um dos maiores gurus da qualidade de todos os tempos, o monitoramento é o início da gestão. Sua mais célebre frase reforça isso: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”.
Dessa forma, contar com bons indicadores na ISO 27001 não é apenas uma questão normativa ou de autoria, mas sim um fator crucial para uma boa gestão e para a promoção da melhoria contínua. Monitorar o SGSI permite que encontremos melhores formas de agir e de assegurar mais segurança da informação! Assim, ignorar esta boa prática pode ter consequências severas, tanto em termos de segurança quanto de continuidade dos negócios da sua organização!
Portanto, agora, cabe a você revisar seu sistema de gestão e compreender como esses indicadores estão atuando nos seus processos. Caso não os tenha, sugerimos que os implemente agora mesmo e dê um passo certeiro rumo a uma empresa mais segura, confiável e próspera!
[Vídeo] Principais indicadores na ISO 27001 – por Fernando Ferreira
Se você quiser entender um pouco melhor esses indicadores, temos um vídeo completo no nosso canal do Youtube!
Nele, Fernando Ferreira, grande parceiro da QMS Certification e CEO da Audit Safe destrinchou o que ele acredita serem os 3 principais indicadores na ISO 27001, sua importância e algumas possibilidades de análise, além de dar exemplos de aplicação. Então vale a pena conferir o conteúdo e já se inscrever no canal da QMS! Assista clicando abaixo:
