DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais são suas impressões? Valeu a pena?
GD: Definitivamente valeu a pena, uma vez que uma certificação ISO 27001 não é necessariamente uma vantagem competitiva, mas sim uma necessidade. O contexto da estória toda é que estamos tentando atender mercados sujeitos a regulamentações. Estamos falando da indústria farmacêutica. Telecomunicações, indústria financeira, e talvez no futuro indústrias de alimentos e similares, e todos eles são extremamente regulados, e em uma conversa com eles você descobre que a ISO 27001 é algo que eles esperam, caso contrário eles não querem conversar com você. Então ninguém diria que vale a pena porque a certificação traz clientes para nós; ao invés disso, ela nos permite entrar em um mercado que de outro modo estaria fechado para nós.
DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001; Por que esta norma é aceita como necessária?
GD: Para eles a ISO 27001 frequentemente não é o bastante. Ela é necessária, mas não suficiente. Mas com a ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: “Agora nós podemos começar a conversar.” Se uma empresa tem um certificado ISO 27001, eles assumem que alguns critérios básicos são atendidos, e após isso, eles estão realmente interessados em seus anexos específicos. Adicionalmente, o processo da ISO 27001 encurta a auditoria deles – que passa a durar apenas dois dias, ao invés de seis.
DK: Então a ISO 27001 é na verdade considerada uma linha de base.
GD: Exato, uma linha de base.
DK: Há alguma outra norma sendo considerada, que poderia ser uma linha de base para estes compradores em potencial?
GD: Não, eu diria que a ISO 27001 é o principal requisito. Em particular, a indústria financeira considera a PCI DSS, mas uma vez que somos uma infraestrutura de data center, nós não nos aprofundamos em seus dados e transações quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo não relacionado a infraestrutura está fora do escopo para nós. Então eles esperam que com a certificação ISO 27001 nós tratemos aqueles capítulos da PCI DSS que são relevantes para a infraestrutura. Eles não pedem pela ISO 9001 porque em geral eles assumem que se temos a certificação ISO 27001, a ISO 9001, que é importante para eles, já está incluída.
DK: Se eu entendi bem o seu negócio, você primariamente alugam infraestrutura, e então não manuseiam os dados propriamente ditos?
GD: Na maioria dos casos é desta forma sim.
DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de infraestrutura, considerando que esta norma tem um foco em informação?
GD: Eu diria que a ISO 27001 não é baseada apenas em informação, mas também em tudo que ajuda a garantir a segurança e transferência desta informação, e tudo necessário para fazer com que a informação esteja disponível, seja autêntica, etc. De fato, a informação por si só não pode existir fora de uma infraestrutura.
DK: Recentemente, a tendência tem sido cada vez mais e mais em direção das estruturas em nuvem; quão útil é a ISO 27001 considerando esta tendência, ou ela está mais para um obstáculo? Ela pode ser um obstáculo de fato, uma vez que organizações utilizando serviços em nuvem na verdade perdem o controle sobre seus dados.
GD: Na verdade ão. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes provedores – como a Amazon AWS, Rackspace ou similares – eles possuem nuvens altamente industrializadas, e possuem um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padrão; tudo isto é projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais entre eles, então desta forma, a partir desta perspectiva realmente parece que os usuários não tem controle sobre seus dados. Você não tem como saber onde eles estão, uma vez que hoje eles podem estar em Johannesburgo e amanhã talvez em Munique, e você não tem influência sobre a estrutura da rede, etc. Isto é uma nuvem.
Mas a nuvem é também algo mais. A nuvem também é o que fazemos, mas comparado a outros fornecedores nós faríamos uma distinção, assim como fazemos ente roupas sob medida e roupas manufaturadas de forma industrial. Assim nós fazemos redes sob medida: o usuário, que vem até nós, entra em acordo conosco sobre a estrutura da rede, onde o servidor virtual será colocado, e durante o processo, como a segurança será tratada. Claro que tudo isso está dentro de certos padrões com relação aos grandes provedores, uma vez que são nos servidores deles e em suas cidades, entre outros fatores, onde as máquinas virtuais dos usuários estão fisicamente localizadas. Nós podemos definir uma estrutura, dentro da qual a nuvem estará atuando.0
DK: Então, em contraste com estes provedores altamente industrializados também existem pequenos provedores, que de fato ajustam a nuvem para necessidades de segurança específicas de seus clientes.
GD: Sim. Na verdade, em minha opinião, neste tipo de arranjo nós temos conseguido conciliar segurança e economia. A nuvem poupa recursos significativos e torna possível alcançar o mesmo nível de redundância, ou até superá-lo, e em caso de falhas ou problemas técnicos, o servidor virtual continuará a operar em uma infraestrutura completamente diferente e você não precisará comprar 3 ou 4 servidores para este propósito. Isto significa que nós alinhamos a abordagem com a fato de que o ambiente, onde tudo está configurado, será controlado, de forma que você estará ciente do fato de que poderá compartilhar um servidor físico com outro usuário. Mas, por outro lado, você saberá que possui um segmento de rede completamente separado – que entre você e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso é controlado, de forma que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta sem controle, etc. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de antes, mas com os benefícios de utilizar uma nuvem.
Faça o download deste paper gratuito para ler a entrevista completa: Estudo de caso da ISO 27001 para data centers.
Goran Djoreski é CEO do Data Center independente Altus Information Technology. Anteriormente ele trabalhou por 12 anos na indústria financeira, empregado na Card business development, assim como na segurança de pagamentos com cartões de crédito.
Nós agradecemos a Rhand Leal pela tradução para o português.