Uma empresa desenvolvedora de software deseja participar de processos licitatórios que exigem a certificação ISO 27001. Para ter um direcionamento mais assertivo em suas ações esta empresa contrata uma consultoria para fazer uma análise situacional e gerar recomendações para guiar a empresa na obtenção desta certificação. Na primeira reunião a consultoria buscou conhecer a organização e levantou as seguintes informações:
- A empresa tem 300 funcionários;
- Existem 2 portas de acesso à empresa, sendo que nenhuma delas tem controle de acesso e uma delas não tem contato com a recepção ;
- Várias equipes utilizam softwares diferentes entre si e o gerenciamento de instalações e licenças é de responsabilidade da própria equipe;
- Quando é necessário fazer a aquisição de algum produto ou serviço é realizada uma ordem de compra para pagamento do fornecedor, sendo que a escolha do fornecedor é de responsabilidade do comprador;
- A empresa, com certa frequência, tem seu faturamento afetado por mudanças do mercado onde atua;
- Os documentos da organização são alterados de acordo com a necessidade e seu armazenado não é padronizado;
- As políticas da empresa estão confeccionadas e os responsáveis pela manutenção das mesmas são os gerentes, que podem fazer alterações e disponibiliza-las de maneira ágil;
Você é um dos consultores da empresa contratada e foi encarregado de gerar um relatório de recomendações de adequação baseado nas informações dadas.
Descreve um relatório apresentando ao menos 5 sugestões de ações para aumento da aderência à ISO 27001 de acordo com as vulnerabilidades que foram encontradas.
Soluções para a tarefa
Olá,
Podemos sugerir 5 sugestões de ações para aumento da aderência à ISO 27001 começando com a instalação de controles de acesso nas duas portas da empresa, se possível, também com monitoramento por câmeras, pois assim é possível garantir maior nível de segurança física e das informações da organização.
A segunda das sugestões seria a padronização de uso de softwares, o que geraria maior comunicação entre os diversos setores e equipes da empresa, seguido do controle sob as licenças utilizadas.
Em terceiro, as ordens de compra também poderão ser realizadas com base numa metodologia a ser estabelecida, com fins de padronizar as compras, que poderiam ser feitas pela própria equipe da empresa.
Como a quarta das sugestões de ações para aumento da aderência à ISO 27001 temos a padronização do arquivamento, pois isso facilita a obtenção de buscas nos arquivos.
Por último, os gerentes da área que seja competente deverá realizar análises de mercado com regularidade, a fim de que sejam compreendidas as flutuações da demanda, com o objetivo de obter maior assertividade nas previsões de produção.
Abraços!