Profissionais de segurança da informação que são novos na ISO 27001 frequentemente tendem a pensar que esta norma requer uma definição muito centralizada e muito detalhada de papéis e responsabilidades. Na verdade, isto não é verdade.
Por favor não me entenda errado: definir e comunicar papéis e responsabilidades é importante, porque é assim que todos os empregados da organização saberão o que é esperado deles, qual é o impacto deles na segurança da informação e como eles podem contribuir. Mas, a ISO 27001 permite que você faça isso de uma forma que é natural para o seu negócio, e que não introduz esforço adicional – vejamos como…
O que a ISO 27001 requer?
A cláusula 5.3 diz que a alta direção deveria designer responsabilidades e autoridades de alto nível para dois aspectos principais:
- Primeiro são as responsabilidades por assegurar que o SGSI atende aos requisitos da ISO 27001.
- E segundo são as responsabilidades pelo monitoramento do desempenho do SGSI e reporte para alta direção.
As responsabilidades pela implementação dos controles deveriam ser documentadas através do plano de tratamento de riscos, veja este artigo para detalhes: Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?
Além disso, a ISO 27001 menciona responsabilidades em vários locais (e.g. controles e subseções A.6.1.1, A.7.1.2, A.7.3.1, A.9.3, A.12.1, A.16.1.1, A.18.2.2) contudo ela não define como estas responsabilidades deveriam ser documentadas – isto basicamente significa que você tem liberdade para defini-las de qualquer forma que você entenda como apropriada.
Opções para responsabilidades de alto nível
As responsabilidade e autoridades de alto nível podem ser dadas a uma ou mais pessoas na organização, dependendo de como for mais apropriado. Por exemplo, para organizações de pequeno porte com um SGSI simples, é lógico designer uma pessoa para ser responsável pela implementação de todos os requisitos da ISO 27001 e pelo reporte do desempenho do SGSI para a alta direção. Este é geralmente o CISO; veja também: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?
Para organizações de maior porte com um SGSI mais complexo, pode ser mais prático ter uma pessoa responsável pela implementação dos requisitos e outra pelo reporte. Outra opinião seria ter uma pessoa para assegurar a implementação dos requisitos e reporte para um segmento do SGSI, por exemplo segurança do RH, e outra pessoa pela gestão de incidentes, etc.
Onde documentar papéis e responsabilidades
Você pode documentar os papéis e responsabilidades gerais de segurança da informação nas descrições de cargos, ou como parte do organograma, ou na Política de Segurança da Informação.
Claro que você deveria documentar papéis e responsabilidades específicas mais detalhadas em várias políticas, procedimentos, planos, e outros documentos que você desenvolverá como parte da implementação da ISO 27001.
Assim, na prática, em níveis organizacionais mais baixos, papéis e responsabilidades de segurança serão designadas como tarefas regulares – e.g., a política de backup definirá o início do backup em uma determinada hora do dia. Estas tarefas deveriam ser dadas a pessoas que já estão provavelmente fazendo-as, só que agora estes papéis e responsabilidades serão mais formais. O monitoramento e reporte deveria ser feito também através de canais regulares – tipicamente, o superior diretor de empregados específicos está responsável por monitorá-los, e reportar sobre os seus resultados.
Em outras palavras, não há necessidade de ter um documento que definiria de forma central todos os papéis e responsabilidades em detalhes. Tal documento não seria prático por conta da redundância – no momento em que alguma mudança ocorresse em algum papel ou responsabilidade em um procedimento em particular, você teria que mudar isso também neste documento central. Mais cedo ou mais tarde, uma discrepância ocorreria, e acredite em mim – tal situação é um grande problema ao se lidar com a documentação.
A documentação do SGSI deveria server a você, e não o contrário
Assim, para concluir: criar documentos apenas para o propósito de mostrá-los para o auditor de certificação não faz sentido – você deveria estar criando documentos para ajudá-lo a fazer o seu trabalho.
Em outras palavras, a documentação da ISO 27001 deveria ser a sua ferramenta para melhorar suas atividades de segurança – assim, quando você define papéis e responsabilidades você deveria escrevê-las de uma forma que seja fácil de entender, e escrevê-las em um local que seja lógico para encontrar.
Este artigo é um trecho do novo livro Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver o que está incluso no livro …
Nós agradecemos a Rhand Leal pela tradução para o português.