Ao conversar com alguém que seja novato a ISO 27001, frequentemente encontro o mesmo problema: esta pessoa pensa que a norma descreverem detalhes tudo que eles precisam fazer por exemplo, com que frequência eles precisarão realizar um backup, quão distante seu site de contingência deveria estar, ou pior, que tipo de tecnologia eles deveriam usar para a proteção da rede ou como eles devem configurar o roteador.
Eis as más notícias: a ISO 27001 não prescreve essas coisas; ela funciona de uma forma completamente diferente. Eis o porquê.
Por que a ISO 27001 não prescritiva?
Vamos imaginar que a norma prescreva que você precisa realizar um backup a cada 24 horas uma medida adequada para você. Pode até ser, mas acredite, muitas organizações atualmente acharão esta condição insuficiente a taxa de mudança de seus dados tão elevada que eles precisariam realizar o backup, se não em tempo real, ao menos a cada hora. Por outro lado, ainda existem organizações que considerariam um backup ao dia muito frequente suas taxas de mudança seriam muito lentas, e realizar um backup com tal frequência seria um desperdício.
O ponto se esta norma tem por objetivo se adequar a qualquer tipo de organização, então a abordagem prescritiva não possível. Assim, simplesmente impossível não apenas definir a frequência do backup, mas também qual tecnologia usar, como configurar cada dispositivo, etc.
A propósito, esta percepção de que a ISO 27001 prescreve tudo é a maior geradora de mitos sobre a ISO 27001 veja também Os 5 maiores mitos sobre a ISO 27001.
Gestão de riscos a ideia central da ISO 27001
Então, você pode imaginar, “Por que eu precisaria de uma norma que não me diz nada de forma concreta?”
Porque a ISO 27001 dá a você uma estrutura para que você decida a proteção adequada. Da mesma forma que, por exemplo, você não pode copiar uma campanha de marketing de outra organização para a sua própria, este mesmo princípio é válido para a segurança da informação você precisa adequá-la para suas necessidades específicas.
E a forma como a ISO 27001 diz a você como atingir esta adequação pela realização de uma análise/avaliação de riscos e pelo tratamento de riscos. Não nada além de uma visão sistêmica de coisas ruins que podem acontecer a você (análise/avaliação de riscos), e então a decisão de quais salvaguardas implementar para prevenir estas coisas ruins de acontecer (tratamento dos riscos).
Figura: Método de seleção de salvaguardas na ISO 27001
A ideia geral que você deveria implementar apenas as salvaguardas (controles) que são requeridos por conta dos riscos, não aqueles que alguém pensa que são pomposos; mas, esta lógica também significa que você deveria implementar todos os controles que são requeridos por conta dos riscos, e que você não pode excluir alguns deles simplesmente por que não gosta deles.
Veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
TI sozinha não o bastante
Caso você trabalhe no departamento de TI, você provavelmente esta ciente de que muitos incidentes estão ocorrendo não por causa de computadores dando defeito, mas porque os usuários da parte de negócio da organização estão utilizando os sistemas de informação da forma errada.
E tais erros não podem ser prevenidos apenas com salvaguardas técnicas também são necessárias políticas e procedimentos claros, treinamento e conscientização, proteção legal, medidas disciplinares, etc. Experiências reais tem provado que quanto mais diversas são as salvaguardas aplicadas, maior o nível de segurança obtido.
E quando você leva em conta que nem toda a informação sensível está na forma digital (você provavelmente ainda possui papéis com informações confidenciais), a conclusão que as salvaguardas de TI não são suficientes, e que o departamento de TI, embora muito importante em um projeto de segurança da informação, não pode tocar este tipo de projeto sozinho.
Novamente, o fato de que a segurança em TI apenas 50% da segurança da informação reconhecida na ISO 27001 esta norma diz a você como conduzir a implementação da segurança da informação como um projeto de abrangência organizacional onde não apenas a TI, mas também a parte de negócios da organização, deve tomar parte.
Obtendo o apoio da alta administração
Mas, a ISO 27001 não termina com a implementação de várias salvaguardas seus autores entenderam perfeitamente bem que as pessoas do departamento de TI, ou de outros níveis da organização, não podem atingir muitos resultados se os altos executivos não fizerem algo a respeito.
Por exemplo, você pode propor uma nova política para a proteção de documentos confidenciais, mas se a alta administração não impor tal política para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada em sua organização.
Desta forma, a ISO 27001 da você uma lista de verificação sistemática sobre o que a alta administração deve fazer:
- definir suas expectativas de negócio (objetivos) para a segurança da informação
- publicar uma política sobre como controlar se estes objetivos são atingidos
- designar as principais responsabilidades para a segurança da informação
- prover recursos humanos e financeiros suficientes
- revisar regularmente se todas as expectativas foram realmente atingidas
Não deixando seu sistema se deteriorar
Se você trabalha em uma organização por alguns anos, então provavelmente sabe como novas iniciativas / projetos funcionam no início parecem boas e reluzentes e todos (ou ao menos a maior parte) estão tentando fazer o seu melhor para que tudo funcione. Contudo, com o tempo, o interesse e o zelo deterioram, e com eles, tudo relacionado a tal projeto também se deteriora.
Por exemplo, você pode ter tido uma política de classificação que funcionou bem inicialmente, mas com o tempo a tecnologia mudou, a organização mudou e as pessoas mudaram, e se ninguém se preocupou em atualizar a política, ela se tornar obsoleta. E, como você está ciente, ninguém irá atender um documento obsoleto, resultado em sua segurança se tornando cada vez pior.
Para prevenir isto, a ISO 27001 descreve alguns métodos que previnem o aparecimento de tal deterioração; e mais ainda, estes métodos são usados para melhorar a segurança com o tempo, tornando-a melhor do que ela era quando o projeto estava em seu melhor momento. Este métodos incluem monitoramento e medição, auditorias internas, ações corretivas, etc.
Desta forma, você não deveria ter uma postura negativa sobre a ISO 27001 ela pode parecer vaga em uma primeira leitura, mas pode se provar uma estrutura extremamente útil para resolver muitos problemas de segurança em sua organização. E mais ainda, ela pode ajudar você a fazer seu trabalho mais facilmente, e a obter mais reconhecimento da administração. (Veja também: 4 reasons why ISO 27001 is useful for techies.)
Clique aqui para se registrar para um webinar gratuito ISO 27001: An overview of ISMS implementation process.
Nós agradecemos a Rhand Leal pela tradução para o português.