[Série ISO/IEC 27001] - (Requisito 4.1) - Entendendo a organização e seu contexto - Parte 03

Agora que temos o Apoio da Alta Direção (Requisito 5.1) como discutimos anteriormente aqui, é hora de começar a estruturar nosso SGSI. Vamos nessa então!?

Devemos começar pelo Requisito 4.1 que conforme a norma ISO/IEC 27001:2022 nos diz que:

Mas o que isso significa?

Quando nos referimos as questões internas a organização deve considerar a estrutura organizacional, papéis e responsabilidades, cultura organizacional, competências, processos, objetivos estratégicos, sistemas de informação, infraestrutura e etc. Ou seja, como a organização está estruturada para entregar o seu produto e/ou serviço.

Para as questões externas, por exemplo, aspectos políticos, econômicos, legais, cultural, tecnológicos e partes interessadas e seus requisitos devem ser considerados. Aqui está relacionado a interação da organização com o mundo externo vamos dizer assim.

Para traduzirmos essa teoria para a prática, imagine que uma agência de turismo chamada "Viaja Comigo" tem como objetivo futuro de se certificar na ISO/IEC 27001:2022 no final de 2024, começando por sua Matriz e para chegar lá, anteriormente precisa estruturar o seu SGSI e colocá-lo para rodar.

A "Viaja Comigo" é uma agência que atua há mais de 10 anos no mercado, é uma grande referência no ramo, tem sua matriz em Salvador e está presente com suas filiais em 80% das cidades brasileiras. Independente se a pessoa quer viajar de carro, navio ou de avião ela pode fazer toda a parte burocrática para que você não tenha estresse com sua viagem.

Focando inicialmente nossos esforços na Matriz da "Viaja Comigo", nas entrevistas que fizemos descobrimos que:

1. A atuação da empresa é hibrída (Presencial e Remota);

2. O Organograma tem a Diretoria no topo com as áreas de Marketing, Comercial, TI, RH, Adm/Financeiro abaixo dela;

3. A área que atua diretamente se relacionando com o atendimento ao cliente é a área Comercial e as demais eles consideram como BackOffice;

4. Para atendimento ao cliente se utiliza o whatsapp business para o online e o escritório para os presenciais;

5. Na empresa o pacote oficial utilizado é o Microsoft Office 365 e Defender;

6. O sistema de chamados é o da Desk Manager que usado por toda a empresa;

7. A Diretoria está totalmente engajada e apoiando o SGSI;

8. A empresa recebe aporte financeiro de investidores;

9. Cada área tem o seu processo, políticas, normas e procedimentos formalizado e os mesmos são publicados na Intranet da empresa (que é o site no Sharepoint);

10. Para que a "Viaja Comigo" consiga fazer todo o meio de campo/trâmite com as redes hoteleiras, locadoras de veículo, companhias áreas, cruzeiro marítimo e operadoras de turismo utiliza um sistema chamado Karen de um fornecedor de mesmo nome, que permite essa centralização. Entre estes parceiros os principais são a Rede Hoteleira A, a Companhia área M, Locadora de veículo Y , Cruzeiro Marítmo L e a Operadora de Turismo R;

11. Abaixo de TI estão as áreas de Suporte, Infraestrutura e Segurança da Informação (mesmo não concordando foi o que nos passaram rsrs)

12. Por tratar dados pessoais é uma empresa que precisa estar em conformidade com a LGPD e por estar no ramo de turismo, as leis e regulamentações do setor.

Obviamente na realidade teríamos muito mais informações, mas apenas com este exemplo, conseguimos analisar bem a "Viaja Comigo". Visualmente temos que a estrutura organizacional da Matriz está organizada da seguinte forma:

Nessa brincadeira, a estrutura organizacional (Tópico 2 mencionado acima) juntamente com os tópicos 1, 3, 4, 5, 6, 7, 9 e 11 são exatamente relacionados as questões internas. Enquanto os tópicos 8, 10 e 12 direcionado as questões externas. Em uma visão mais completa o que temos:

Documentar as questões internas e externas não é obrigatório de forma isolada mas com certeza é importante estar formalizada na documentação do escopo do SGSI como iremos ver em um artigo futuro. Para ilustrar utilizei algo semelhante a um formato de um CANVAS mas obviamente outras técnicas como Análise SWOT, Análise PEST ou Framework 7S podem ser usadas para identificar essas questões.

Para atender ao requisito não é a técnica usada que importa, até porque a norma não é prescritiva. No final o mais importante é ter uma visão de como a empresa está estrutura e se relaciona internamente e externamente e com essa visão ser possível identificar e gerenciar o ciclo de vida da informação dentro e fora da organização, no caso a "Viaja Comigo".

No próximo artigo iremos seguir para o Requisito 4.2. Conto com sua leitura.

Até breve.