Sua organização deve buscar a certificação ISO 27001 ou ISO 22301?

isoCaso a sua organização esteja no processo de implementação da ISO 27001 ou ISO 22301, você provavelmente deve estar considerando ir em busca da certificação. E, como você já deva saber, a certificação não é obrigatória – então deve perguntar a si mesmo uma importante questão: nós realmente precisamos da certificação?

Muitas organizações implementaram a(s) norma(s) sem partir para a certificação – exemplos óbvios são os bancos e outras instituições financeiras. Regulamentações em muitos países são tais que as organizações tem de implementar procedimentos e salvaguardas de de segurança da informação e de continuidade de negócio muito rígidas, e a maioria deles fez isso utilizando a ISO 27001 e ISO 22301. Mas, muito poucas se certificaram – elas concluíram que não havia uma justificativa de negócio para isso.

E é exatamente isso que você precisa fazer – considerar cuidadosamente se você precisa do certificado. Aqui estão algumas razões em potencial sobre o porquê a certificação poderia ser útil:

1)  Marketing. Você pode utilizar o certificado para conseguir novos clientes (para participar, e.g., de concursos), ou para permanecer no negócio (e.g., todos os seus competidores tem o certificado).

2)  Conformidade. Em casos raros algumas regulamentações irão requerer que você implemente a ISO 27001 ou ISO 22301, mas você pode encontrar casos onde assinará contratos com clientes que o obrigarão a implementar segurança da informação ou continuidade de negócio em conformidade com estas normas. E ao invés de se submeter aos auditores de cada um dos seus clientes que queiram verificar se você esta em conformidade com o contrato, você pode ter o auditor da certificação realizando este trabalho, e então mostrar a todos o certificado.

3)  Pressão interna. Em algumas organizações, estes tipos de projetos nunca terminarão a menos que haja uma forte pressão – e.g., uma data limite definida. Então, se você acordou com o organismo de certificação uma data para a auditoria de certificação, tanto a equipe de gestão quanto os empregados terão um senso de urgência muito mais forte para a implementação.

4)  Entradas objetivas. Se você quer que sua continuidade de negócio esteja realmente em alto nível, é bom contar com pessoas com alta experiência e com quem saiba comparar você com as melhores práticas da indústria. Auditores de certificação estarão mais do que felizes em auditar alguém que esteja tentando com afinco e disponibilizarão entradas sobre onde você pode melhorar.

Caso você não tenha se identificado em nenhuma destas situações, você provavelmente não precisa do certificado – você pode estar entre muitas das organizações que implementaram a ISO 27001 e/ou ISO 22301 porque estas entenderam que o maior valor está na metodologia que estas duas normas disponibilizam.

Este artigo é uma passagem do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

Agradecemos a Rhand Leal pela tradução para o português.

Fonte: Blog do Dejan Kosutic

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s