Introdução
Ao longo de aproximadamente oito meses, mergulhamos em uma jornada desafiadora e enriquecedora em busca de duas grandes importantes certificações: ISO 27001/2022 e ISO 27701/2019. Este período representou mais do que simplesmente adquirir selos de alta excelência em conformidade, mas uma comprovação do nosso grande compromisso com a segurança da informação e a proteção de dados. Desta forma, neste artigo, compartilharei um pouco sobre a nossa trajetória, os desafios enfrentados e as transformações ocorridas.
Início da Jornada: Entendimento e Comprometimento
O começo dessa jornada envolveu compreender a estrutura das normativas, em conjunto com a definição da equipe de projeto, para entendimento dos requisitos da normativa e das possíveis evidências, bem como, de quem estaria, ao longo dessa jornada, sendo ponto focal caso fosse necessário o apoio.
Além disso, o comprometimento inicial da Alta Gestão da Be Compliance foi essencial. Afinal, uma alta gestão engajada, aberta a mudanças e que dispõe de recursos para investir no programa de conformidade, são aspectos essenciais para o sucesso de todo o projeto da empresa. Ainda, como ela é vista como exemplo para todos os colaboradores, esse comprometimento gerou impactos positivos na cultura organizacional. Essa fase inicial estabeleceu as bases para o que estava por vir.
Outro fator importante foi buscar conhecer o contexto no qual a empresa está inserida, ou seja, buscar entender seu propósito, seus processos, suas partes e ter um contato próximo com as áreas. Com essas informações foi possível estabelecer as fraquezas, oportunidades, e objetivos para monitoramento sem grandes dificuldades.
Análise de Riscos e Implementação de Controles
Tendo em vista que a ISO é uma normativa que adota uma abordagem baseada em riscos, essa etapa é importante, pois envolve uma investigação detalhada de toda a empresa e seus processos.
Para quem não sabe, durante a implementação da ISO realizamos a avaliação de um conjunto de 3 riscos, sendo:
Riscos estratégicos: São aqueles riscos avaliados com base no contexto da organização, e dos interesses das partes interessadas.
Riscos de Segurança da Informação: Riscos avaliados com base nos ativos que foram inventariados.
Riscos de Privacidade: Riscos com relação à proteção de dados, onde deve ser avaliado com base nos dados que são tratados pela empresa.
Engajamento da Equipe e Gestão de Fornecedores
Em um cenário onde uma cultura comprometida com a proteção de dados e segurança da informação é fundamental, o envolvimento da equipe torna-se um fator importante. Os planos de ação para conscientização dos colaboradores devem ser planejados para assegurar que todos compreendam a importância da segurança e privacidade das informações para a eficácia do sistema de gestão.
A cada etapa da implementação, foram realizados treinamentos com os colaboradores, e os registros desses treinamentos foram coletados, para que todos juntos fizessem parte dessa conquista. Comunicar as ações realizadas é um requisito normativo, visto que todos os envolvidos na empresa, direta ou indiretamente, impactam a segurança da informação e proteção de dados.
É relevante destacar que os esforços de conscientização estendem-se aos fornecedores e parceiros. Não apenas por meio de treinamentos, mas também na revisão e adequação de contratos, reforçando-os com cláusulas robustas de confidencialidade, proteção de dados e segurança das informações, com o objetivo de resguardar a empresa e fortalecer a confiança com todas as partes envolvidas.
Não menos importante, é crucial estabelecer um procedimento de diligência para verificar a conformidade dos fornecedores com as diretrizes da empresa em termos de segurança da informação e privacidade. Realizar diligências em todos os fornecedores não apenas protegerá a empresa, mas também proporcionará uma visão abrangente dos possíveis riscos existentes, para que sejam monitorados.
Organização e prazos - Be Standards
A organização desempenha um papel crucial em nosso cotidiano profissional, e quando estamos lidando com uma certificação de extrema importância, essa necessidade se torna ainda mais fundamental. Neste aspecto, a Be Standards foi verdadeiramente grandiosa durante toda a implantação do sistema de gestão.
Ela permitiu a concentração de todos os controles em um único local, abrangendo procedimentos, políticas e controles. Isso facilitou na gestão, controle de prazos, na coleta de assinaturas de documentos, avaliação de riscos, na disponibilização de treinamentos e até mesmo na definição da declaração de aplicabilidade dos mais de 100 controles dos anexos das ISO’s.
Ter todos os procedimentos e evidências devidamente geridos desde o início do projeto não apenas melhora o fluxo de trabalho, mas também prepara para as auditorias internas e externas, proporcionando tranquilidade e confiança, pois tudo está consolidado em um só local e as chances de ocorrer confusão são praticamente nulas.
Para fornecer uma perspectiva, ao longo de 8 meses, foram criados mais de 70 procedimentos. Essa estatística é facilmente transmitida através do painel de monitoramento denominado “cockpit”, que proporciona uma visão macro da conformidade dos itens ISO (ex: aprovado, rejeitado, em análise). Esse recurso não apenas agiliza a gestão, mas também oferece uma visão clara do status geral do processo de certificação.
Em média o projeto como um todo possui como prazo 12 meses, e após isso, é realizada as auditorias. Mas além da dedicação, é inquestionável que a organização, e a otimização de possuir um software contribuiu para a diminuição desse prazo. Então uma recomendação que concedo é para que você busque conhecer a nossa ferramenta, pois além dela possuir todos os requisitos já disponíveis em uma listagem em nosso marktplace, contribuirá para o processo ser otimizado.
Auditorias Internas e Ajustes Contínuos
Cada fase revisada, testada e otimizada é uma etapa crucial na preparação para as auditorias. Essa preparação deve ser desde o início do projeto, onde todo feedback valioso ao longo do caminho deve ser encarado como uma oportunidade de melhoria. Embora documentos sejam desenvolvidos e revisados mais de uma vez durante a jornada, isso é perfeitamente normal e é parte integrante do processo que leva a empresa a um estágio de prontidão para encarar as auditorias.
As auditorias internas desempenham um papel vital ao ajudar a empresa na identificação do que precisa de ajustes adicionais, o que está aceitável e o que não está em conformidade. Costumo comparar a auditoria interna a uma aula, proporcionando uma experiência enriquecedora e fiel ao que será realizado na auditoria externa com a certificadora. Essa auditoria é crucial, não apenas por ser requisito obrigatório da ISO, mas também porque por meio dela será emitido um relatório fundamental para a auditoria externa.
Ao receber o relatório da auditoria interna, realize uma análise cuidadosa das oportunidades de melhorias, pois embora não obrigatórias, com os ajustes recomendados, não deixará brechas para questionamentos futuros da auditoria externa. Já as não conformidades, registrá-las de acordo com o procedimento, e tratá-las é obrigatório para que não existam obstáculos que possam ser prejudiciais na obtenção da aprovação da auditoria externa.
Conclusão
Em cerca de oito meses, alcançar duas certificações tão importantes com êxito de nenhuma não conformidade identificada é muito representativo. Essas certificações não representam apenas selos de conformidade, mas a materialização do nosso forte compromisso com a segurança da informação e proteção de dados, tanto para nossos colaboradores quanto para nossos clientes, e demais terceiros.
Os desafios superados e os controles implementados não apenas fortaleceram nossa posição como empresa, mas também moldaram positivamente nossa cultura organizacional. Estamos agora certificados, e todos os nossos procedimentos e processos internos mais robustos, comprometidos a garantir a segurança de todos os dados e demais informações em todas as nossas atividades.