Gestão Seg. TI

Saiba como certificações pessoais podem ajudar o SGSI de sua organização.

Posso dar exemplo da norma  ISO 27001 lida , que lida com a parte de certificação na cláusula 7.2 de uma forma bem direta:

1. Identifique as competências necessárias para aquelas pessoas cujas atividades tenham impacto sobre o desempenho da segurança da informação;

2. Assegure que estas pessoas tenham as competências necessárias, seja por meio de educação, treinamento ou experiência apropriada;

3. Obtenha as competências necessárias sempre que aplicável, e avalie a eficácia das ações tomadas para adquirir estas competências.
Adicionalmente, a ISO 27001 possui um item extra relacionado ao registro de evidências sobre a execução deste processo.

Pequenas organizações, ou aquelas sem conhecimento especializado interno sobre TI / Segurança, podem se deparar com as seguintes questões:

              •    Quais competências eu preciso?
              •   O que seriam educação, treinamento ou experiência apropriadas?
               •  Como / Onde eu obtenho as competências necessárias e avalio as ações tomadas?

Assim como muitas outras questões envolvendo sistemas de gestão, existem muitos possíveis métodos para lidar adequadamente com competências em segurança da informação e recursos humanos, mas eu gostaria de apresentar a vocês o uso de certificações pessoais.

4. O que são certificações pessoais?

Certificações pessoais são designações concedidas a uma pessoa para assegurar qualificação na realização de um trabalho ou atividade. Geralmente concedidas por associações de profissionais ou institutos educacionais, elas também podem ser concedidas por um certificador privado (e.g., um fabricante ou fornecedor).

Alguns programas de certificação possuem padrões rigorosos para acreditação, similares àqueles para licenciaturas, e este é o ponto chave para apoiar o uso de certificações pessoais como forma de atender a cláusula 7.2. O American National Standards Institute (ANSI), o Institute for Credentialing Excellence (ICE), e o International Register of Certificated Auditors (IRCA) são exemplos de organizações que definem normas para acreditação de programas de certificação.

5 .Como certificações pessoais podem ajudar minha organização a estar em conformidade com a cláusula 7.2?

Quais competências minha organização precisa?

Geralmente, organizações sabem quais produtos / serviços elas tem/precisam, mas não sabem o que é preciso para usá-los/operá-los.

Nestes casos, certificações orientadas a produto / tecnologia podem ajudar ao definir o conjunto de conhecimentos necessários para configurar / usar / operar estes produtos / serviços adequadamente.

Sistemas operacionais, bases de dados e serviços de e-mail são exemplos de produtos / serviços para os quais você pode encontrar certificações adequadas que podem ajudá-lo a definir quais competências sua organização precisa.
Outros casos relevantes são sobre funções / trabalhos que sua organização precisa realizar, tal como gestão ou garantia.

Para estas, você pode encontrar certificações orientadas a profissão. Estas certificações se focam em conhecimento não orientado a tecnologia ou produto, provendo ao profissionais competências mais holísticas sobre o uso de práticas. Gerente de projeto, gestor de segurança e auditor líder são exemplos de funções / trabalhos para os quais você pode encontrar certificações adequadas que podem ajudá-lo a definir quais competências sua organização precisa.

6. O que seriam educação, treinamento ou experiência adequadas?

Para obter algumas destas certificações, o profissional deve submeter à organização certificadora um conjunto de evidências de educação, treinamento e experiência anteriores (que podem variar de certificador para certificador e entre tipos de certificações), sob forma de diplomas escolares / universitários, certificados de treinamento e cartas de recomendação de empregadores.

A partir destes requisitos sua organização pode definir parâmetros adequados para verificar o nível de educação, treinamento ou experiência de seus empregados.

7. Como / Onde uma organização pode obter as competências necessárias e avaliar as ações tomadas?

Após obter as certificações, algumas delas devem ser mantidas pelo profissional (uma nova versão do produto pode ser lançada ou novos conhecimentos publicados). Para permanecerem atualizados, eles devem participar de programa de treinamento, ou outras atividades verificáveis que demonstrem que eles estão constantemente atualizando seus conhecimentos.

Para apoiar os profissionais na manutenção de suas certificações, muitos certificadores proveem referências para centros de treinamento, ou promovem eventos sobre novos produtos / tecnologias / práticas, onde estes profissionais podem obter / compartilhar o conhecimento necessário para desenvolver suas carreiras.

Informações sobre estes cursos e eventos podem ser usadas pela sua organização para planejar e registrar atividades relacionadas a obtenção das competências necessárias.

Eu deveria adotar certificações pessoais para minha equipe?

Como enfatizado anteriormente, tudo que você precisa ter para estar em conformidade com a cláusula 7.2, incluindo as evidências que você precisa, podem ser encontrado com a organização acreditada que emite os certificados.

Assim, por que não usar certificações pessoais como critério de seleção para contratação, uma vez que tudo que você precisa para estar em conformidade com a cláusula 7.2 já está disponível lá e pode ser apresentado pelo candidato?

E por que não estabelecer certificações pessoais como nível mínimo para seus empregados, assegurando desta forma que eles estejam mais comprometidos comas práticas de segurança e autodesenvolvimento?

8. Todos podem se beneficiar

As certificações mais reconhecidas são caras e árduas para se obter, e algumas delas tem poucos profissionais certificados; esta situação se reflete na disponibilidade e na média salarial destes profissionais. Por outro lado, pessoal mais competente se traduz em menor número de incidentes e maior produtividade.

Se sua organização conseguir equilibrar os custos dos salários mais altos com a economia de custos, esta pode ser uma opção adequada; caso este não seja o seu caso, ainda assim você pode utilizar as informações disponibilizadas pelas organizações certificadoras para definir as competências que você precisa, como um benchmark.

9. Beneficios para a organização internos e externos 

Internos 

  • Alavancagem do aprendizagem organizacional;
  •  Maior responsabilidade,
  • comprometimento,
  • consciência pela qualidade por parte dos membros da organização;
  • Melhor uso do tempo, e dos recursos;
  • Menor perda com produtos e serviços de mão-de-obra;
  • Melhoramento contínuo da qualidade e eficiência da organização;
  • Aumento na lucratividade.

Benefícios Externos ou Estratégicos

  • Melhorar a imagem e o valor da organização perante os parceiros de negócios e seus clientes:
  • Maiores oportunidades de negócios, no mercado local e internacional;
  • Aumento na satisfação do cliente;
  •  Aumento na fidelidade dos clientes.

Conclusão

Atualmente o Sistema de  Gestão de Segurança da Informação (SGSI) é um componente estratégico ao negócio da empresa. Ainda que existam áreas que aparentemente ‘não fazem sentido ter a segurança da informação’, o gestor de segurança deve ficar atento, para propor práticas que estejam em conformidade com a norma escolhida.
Ao adotar o modelo PDCA proposto pela norma, é possível construir projetos em menor tempo sem deixar de atacar as prioridades no combate aos mais diferentes tipos de riscos.
Cresce o numero de empresas certificadas, e isso demonstra a preocupação da empresa com suas práticas internas e das informações de parceiros e clientes.

Obrigada Patrícia Horta

Patricia Horta Correia Gonzalez

Profissional com 11 anos em Segurança da Informação e a frente de grandes organizações, englobando forte experiência em projetos para grandes empresas globais: Revisão de Política de Segurança Corporativa Global, Planejamento Estratégico de TI, Contrato de SLA, Auditoria de Sistemas e Infraestrutura de TI, Implementação Seguindo Padrões PMI. Formada em Sistemas de Informação e Pós Graduada em Segurança da Informação.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.