ISO 27001 & BS 25999

A importância da Declaração de aplicabilidade, também chamada de SoA, geralmente é subestimada. Como o Manual da qualidade na ISO 9001, ela é o principal documento que define como você vai implementar grande parte da sua segurança da informação.

Na verdade, a Declaração de aplicabilidade é a principal ligação entre a avaliação de riscos e o tratamento e a implementação da segurança da sua informação. Sua finalidade é definir qual dos 133 controles (medidas de segurança) sugeridos do anexo A da ISO 27001 será aplicado e a forma como serão implementados.

Por que é necessário?

Por que esse documento é necessário se você já elaborou o Relatório de avaliação de riscos, que também é obrigatório e define os controles necessários? Aqui estão os motivos:

• Antes de tudo, durante o tratamento dos riscos, você identifica os controles necessários porque identificou os riscos que precisam ser reduzidos. No entanto, na SoA você também identifica os controles que são necessários por outros motivos, ou seja, por causa da lei, dos requisitos contratuais, de outros processos, etc.

• Em segundo lugar, o Relatório de avaliação de riscos pode ser bastante demorado. Algumas organizações podem identificar milhares de riscos (às vezes, até mais), de modo que esse documento não é realmente útil para o cotidiano operacional. Por outro lado, a Declaração de aplicabilidade é pequena. Ela tem 133 linhas, cada uma representando um controle, o que torna possível apresentá-la à gestão e mantê-la atualizada.

• Em terceiro, e mais importante, a SoA deve documentar se cada controle aplicável já está implementado ou não. As boas práticas, algo observado pela maioria dos auditores, servem também para descrever a forma como cada controle aplicável é implementado, por exemplo, fazendo referência a um documento (política/processo/instrução de trabalho, etc.) ou descrevendo brevemente o procedimento ou equipamento utilizado.

Na verdade, se você busca a certificação ISO 27001, o auditor de certificação terá a sua Declaração de aplicabilidade em mãos e caminhará pela empresa verificando se você implementou os controles da forma descrita na sua SoA. Ela é o documento central para fazer a auditoria no local.

Poucas empresas percebem que escrevendo uma boa Declaração de aplicabilidade você poderia diminuir a quantidade de documentos. Por exemplo, se você deseja documentar um controle, mas a descrição do procedimento do controle é curta, você pode descrevê-lo na SoA. Portanto, você evitaria escrever outro documento.

Por que é útil?

Pela minha experiência, a maioria das empresas que implementam o sistema de gestão de segurança de acordo com a ISO 27001 gasta muito mais tempo elaborando este documento do que o previsto. O motivo é ter de pensar sobre como os controles serão implementados: Um novo equipamento vai ser comprado? Um procedimento vai ser alterado? Um funcionário será contratado? Essas decisões são muito importantes e, às vezes, caras. Por isso, espera-se que leve bastante tempo para que essas decisões sejam tomadas. O bom da SoA é que ela obriga as organizações a fazer este trabalho de forma sistemática.

Portanto, você não deve considerar este documento como um “documento que gera sobrecarga” que não tem utilidade na vida real. Pense na SoA como a declaração principal em você define o que quer fazer com a segurança da sua informação. Escrita da forma adequada, a SoA é uma visão geral perfeita do que precisa ser feito com a segurança da informação, porque precisa ser feito e como precisa ser feito.

Clique aqui para baixar um modelo gratuito da Declaração de aplicabilidade.

Faz sentido implementar a continuidade de negócios em pequenas empresas? Por que essas empresas precisam de algo tão custoso se o proprietário conhece todas as informações necessárias?

Vou começar com uma história que ouvi recentemente. Uma pequena empresa, envolvida na venda de vários equipamentos a muitos clientes, foi assaltada. O ladrão invadiu o escritório durante a noite e roubou todos os computadores, além de outros bens valiosos. O problema é que o proprietário da empresa fez backup dos dados, mas salvou o backup em outro computador no mesmo escritório. Pouco tempo depois a empresa foi à falência; simplesmente não foi possível recuperar as informações essenciais sobre seus negócios.

Este é um exemplo clássico da síndrome “Não vai acontecer comigo” que acomete a maioria das pequenas empresas.

Estrutura de continuidade de negócios

Isso significa que as pequenas empresas precisam investir em locais de recuperação de desastres caros com equipamentos de alta disponibilidade? Certamente não.

Em alguns casos, a continuidade dos negócios não é realmente necessária, pois o proprietário da empresa conhece todas as informações, mas esses casos são muito raros. Quantos desses proprietários não têm um laptop com vários tipos de informações importantes? Basta pensar em como disponibilizar essas informações em caso de desastres já é um esforço de continuidade de negócios.

Os proprietários de pequenas empresas precisam pensar bastante sobre quais informações (e outros recursos) são importantes para seus negócios, como garantir que essas informações e outros recursos estejam disponíveis em caso de desastres e quais passos são necessários para recuperar atividades em caso de desastres. Esses passos não passam da análise de impacto nos negócios, da estratégia de continuidade de negócios e dos planos de continuidade de negócios, como qualquer grande empresa faria ao implementar a continuidade de negócios. Todos esses passos estão descritos em uma norma líder em continuidade de negócios, a BS 25999-2.

Como se preparar

Agora a diferença entre as pequenas e grandes empresas é a complexidade e o preço dos preparativos que as pequenas empresas precisam fazer para a continuidade de negócios:

• Backup de dados eletrônicos – as pequenas empresas podem usar algumas das ferramentas que fazem backup de dados de seus computadores quase que instantaneamente para a nuvem. Obviamente é preciso tomar o devido cuidado para que todos os dados necessários sejam incluído no backup.
• Backup de documentos em papel – as pequenas empresas agora têm condições de eliminar documentos em papel quase que totalmente de suas operações diárias e transferir todo o conteúdo para o formato eletrônico; nos raros casos em que os documentos em papel são necessários, eles podem ser digitalizados para os fins de continuidade de negócios.
• Escritórios em locais alternativos – na maioria dos casos, é suficiente que os funcionários continuem as operações comerciais de suas casas; o pré-requisito é que tenham conexão à Internet, laptops/PCs e senhas. Se trabalhar em casa não for adequado, um quarto de hotel pode ser alugado em menos de uma hora.
• Hardware – a menos que haja um tipo especial de computador usado em uma empresa, é muito fácil encontrar uma alternativa; geralmente as pessoas possuem um computador pessoal em casa, podem emprestar de um parente ou comprar um em uma loja próxima.
• Força de trabalho – agora, essa provavelmente é a parte mais difícil, vamos supor que o único funcionário que conhece determinadas informações não esteja disponível (por exemplo, senhas administrativas, passos de um projeto importante, etc.). Nesse caso, a preparação seria documentar todas essas informações para que possam ser usadas mesmo na ausência desse funcionários. Caso um funcionário esteja ausente e nenhuma outra pessoa tenha tempo ou conhecimento para fazer seu trabalho, os preparativos seriam identificar antecipadamente quem estaria disponível para contratação em um curto espaço de tempo para cumprir as funções do funcionário que está ausente; obviamente, é essencial identificar alguém com as habilidades/qualificações adequadas.

Para concluir: não há diferenças entre grandes e pequenas organizações no que diz respeito à estrutura de continuidade de negócios; empresas de ambos os portes precisam pensar bastante em quais preparativos são necessários para que seja possível sobreviver a um desastre. A diferença está no nível dos preparativos. As pequenas empresas podem fazer isso com muito pouco investimento.

Se você está acompanhando o meu blog, você provavelmente acha que eu estou convencido de que a norma ISO 27001 é o documento mais perfeito já escrito. Na verdade, não é bem assim. Quando trabalho com meus clientes e ensino sobre o assunto, geralmente os mesmos pontos fracos dessa norma aparecem. Segue abaixo uma lista desses pontos fracos, juntamente com as minhas sugestões sobre como resolvê-los:

Termos ambíguos

Alguns dos requisitos da norma são bastante confusos:

• A cláusula 4.3.1 c) requer que a documentação do SGSI deve incluir os “procedimentos e controles que apoiam o SGSI“. Isso significa que um documento deve ser escrito para cada um dos controles aplicados? No Anexo A, há 133 controles. Na minha opinião, isso não é necessário. Eu costumo aconselhar os meus clientes a escrever somente as políticas e os procedimentos necessários do ponto de vista operacional e com a finalidade de diminuir riscos. Todos os demais controles podem ser descritos brevemente na Declaração de aplicabilidade, já que a declaração deve incluir a descrição de todos os controles implementados.
• Políticas e procedimentos documentados/não documentados: em muitos controles do Anexo A, as políticas e os procedimentos são mencionados sem a palavra “documentado”. Na verdade, isso significa que as políticas e os procedimentos não precisam ser registrados por escrito, mas isso não fica claro para 95% das pessoas que leem a norma.
• Partes externas/terceiros: estes termos são usados ​​de forma intercambiável, o que pode causar confusão. Seria muito melhor se apenas um dos termos fosse usado.

Organização da norma

Alguns dos requisitos da norma estão espalhados ou duplicados sem necessidade:

• Alguns controles estão simplesmente no local errado. Por exemplo, o item A.11.7 Computação móvel e trabalho remoto está localizado na seção A.11 Controle de acessos. Embora seja necessário lidar com a computação móvel ao cuidar do controle de acesso, a seção A.11 não é o lugar mais adequado para definir questões relacionadas à computação móvel e ao trabalho remoto.
• Os problemas relacionados às partes externas estão espalhados pela norma, nas seções A.6.2 Partes externas, A.8 Segurança em recursos humanos e A.10.2 Gerenciamento de serviços terceirizados. Com o avanço da computação em nuvem e de outros tipos de terceirização, recomenda-se reunir todas essas regras em um documento ou um conjunto de documentos relacionados a terceiros.
• A conscientização e o treinamento de funcionários são necessários tanto na cláusula 5.2.2 da parte principal da norma quanto no controle A.8.2.2. Além de a duplicação ser desnecessária, também resulta em mais confusão. Teoricamente, todos os controles do Anexo A poderiam ser excluídos e, por esse motivo, você pode acabar excluindo um requisito que não deve ser excluído pois consta na parte principal da norma. A mesma coisa acontece com as Auditorias internas, da cláusula 6ª da parte principal da norma, e o controle A.6.1.8 Análise crítica independente de segurança da informação.
• Alguns dos controles do Anexo A podem ser amplamente aplicados e podem incluir outros controles. Por exemplo, o controle A.7.1.3 Uso aceitável dos ativos é tão genérico que pode abranger, os itens A.7.2.2 (Gestão de informações classificadas), A.8.3.2 (Devolução de ativos no encerramento das atividades), A.9.2.1 (Proteção do equipamento), A.10.7.1 (Gerenciamento de mídias removíveis), A.10.7.2 (Descarte de mídias), A.10.7.3 (Procedimentos para tratamento de informação) etc. Eu costumo aconselhar os meus clientes a elaborar um documento que abranja todos esses controles.

Problemas ou não?

Aqui estão algumas questões que geralmente são consideradas como problemas, porém eu discordo:

• A norma é muito vaga, não apresenta detalhes suficientes. Se a norma fosse muito detalhada em termos da tecnologia a ser usada, ela logo ficaria desatualizada; se a norma fosse muito detalhada sobre os métodos e/ou as soluções organizacionais, não seria aplicável a todos os tamanhos e tipos de organizações (a organização de um grande banco é bastante diferente da administração de uma pequena agência publicitária, porém ambos devem poder implementar a ISO 27001).
• A norma é muito flexível. Isso está relacionado ao conceito de avaliação de risco em que determinados controles de segurança podem ser excluídos se não houver riscos. Então, os críticos perguntam: “Como seria possível excluir a cópia de segurança ou de proteção contra antivírus?” Com o avanço de tecnologias, como a computação em nuvem, este tipo de proteção pode não ser responsabilidade da organização que está implementando a ISO 27001. No entanto, neste caso, os riscos da terceirização seriam bastante altos e, por isso, outros tipos de controles de segurança seriam necessários.

E agora?

Esta norma certamente precisará passar por mudanças. A versão atual da ISO/IEC 27001:2005 foi elaborada há seis anos e a próxima revisão, prevista para 2012 ou 2013, deve abordar a maioria das questões acima.

Apesar destas deficiências que muitas vezes podem causar confusão, acredito que os pontos positivos da norma superam os pontos negativos. E sim, estou realmente convencido de que esta norma é, de longe, a melhor estrutura para a gestão da segurança da informação.

Alguma vez você já se viu responsável por documentar uma política de segurança ou um procedimento? Você não quer que esse documento acabe como tantos outros, acumulando poeira em alguma gaveta esquecida? Aqui estão algumas ideias que podem ajudá-lo…

Os passos apresentados a seguir têm base na minha experiência com vários tipos de clientes, grandes e pequenos, públicos ou privados, com ou sem fins lucrativos e acredito que podem ser aplicados a todos esses tipos. Na verdade, estes passos podem ser aplicados a qualquer tipo de políticas e procedimentos, não só àqueles relacionados com a ISO 27001 ou a BS 25999-2.

1 Estude os requisitos

Primeiro você deve estudar com muito cuidado diversos requisitos; há uma legislação que requer uma documentação por escrito, um contrato com seu cliente ou alguma outra política de alto nível já existente em sua organização, como um padrão empresarial? Obviamente, há também os requisitos da ISO 27001 e da BS 25999-2 se você quiser cumprir essas normas.

2 Leve em consideração os resultados da sua avaliação de riscos

A sua avaliação de riscos determinará quais questões devem ser documentadas e o nível de detalhamento de cada questão; por exemplo, você pode precisar decidir se vai classificar as informações de acordo com a sua confidencialidade e, em caso positivo, se você precisa de dois, três ou quatro níveis de confidencialidade.

Este passo pode não ser relevante neste formulário se a sua política ou o seu procedimento não estiver relacionado à segurança da informação ou à continuidade dos negócios. No entanto, os princípios de gestão de riscos são aplicáveis a outras áreas, como gestão da qualidade (ISO 9001), gestão ambiental (ISO 14001) etc. Por exemplo, na ISO 9001 você deve determinar a importância de um processo para a gestão da qualidade e decidir se tal processo será documentado ou não.

3 Aperfeiçoe e alinhe seus documentos

Algo importante a considerar é a quantidade total de documentos: você vai escrever dez documentos de uma página ou um documento de 10 páginas? É muito mais fácil gerenciar um documento, principalmente se o grupo-alvo de leitores é o mesmo. Porém, não crie um único documento de 100 páginas.

Além disso, é preciso ter cuidado para alinhar este documento com outros documentos; as questões que você está definindo podem já ter sido parcialmente definidas em outro documento. Nesse caso, talvez não seja necessário escrever um novo documento e atualizar o documento existente seja suficiente.

Se você estiver escrevendo um novo documento sobre uma questão que já foi mencionada em outro documento, evite ser redundante. Seria um pesadelo para manter esses documentos. É muito melhor que um documento faça referência a outro, sem repetir o conteúdo.

4 Estruture o documento

Você também precisa seguir as regras da sua empresa para a formatação do documento; talvez já exista um modelo com fontes, cabeçalhos, rodapés e outros elementos predefinidos.

Se você já implementou a ISO 27001, a BS 25999-2 ou qualquer outra norma de gestão, você precisará seguir um procedimento para controle de documentos. Este procedimento define não apenas o formato do documento, mas também as regras para a sua aprovação, distribuição, etc.

5 Escreva o documento

A regra prática é: quanto menor a organização e menores os riscos, menos complexo será o documento. Não há nada mais inútil do que escrever um longo documento que ninguém vai ler. Você deve entender que a leitura do documento leva tempo e o nível de atenção é inversamente proporcional à quantidade de linhas do seu documento.

Uma boa técnica para vencer a resistência dos funcionários (as pessoas não gostam de mudanças, principalmente se isso significa, por exemplo, a obrigação de alterar as senhas regularmente) é envolvê-los na composição deste documento ou na elaboração de comentários sobre ele. Desta forma, eles irão compreender a sua importância.

6 Obtenha aprovação para o documento

Este passo dispensa explicações, mas a sua importância fundamental é: se você não é um gerente de alto escalão na empresa, não terá o poder de fazer este documento valer.

Por isso, alguém nessa posição deve entender, aprovar e exigir a implementação do documento. Parece fácil, mas acredite, não é. Este e o próximo passo representam a maioria das falhas de implementação.

7 Treine e conscientize seus funcionários

Este passo provavelmente é o mais importante, mas infelizmente muitas vezes é esquecido. Como mencionado anteriormente, os funcionários estão cansados das constantes mudanças e certamente não irão acolher mais uma, principalmente se isso representa mais trabalho para eles.

Portanto, é muito importante explicar aos funcionários o motivo pelo qual a política ou o procedimento é necessário e porque é bom não só para a empresa, mas também para os próprios funcionários.

Às vezes, será preciso treinar os funcionários. Seria errado deduzir que todas as pessoas possuem as habilidades necessárias para implementar novas atividades. Para você, o responsável pelo documento, pode parecer fácil e óbvio, mas para os outros funcionários, pode parecer algo de outro mundo.

Fim da história?

Se você pensou que você chegou ao final da implementação do documento, você errou. A jornada está apenas começando. Não basta ter uma política perfeita ou um procedimento apreciado por todos. Também é preciso mantê-lo.

Alguém precisa assegurar que o documento seja atualizado e melhorado. Do contrário, as pessoas deixarão de segui-lo. Você mesmo pode fazer isso. Além disso, alguém precisa verificar que se o documento atende às expectativas e você pode ser essa pessoa.

Como você deve ter notado lendo este artigo, não basta ter um bom modelo para uma política ou um procedimento de sucesso;-é necessário adotar uma abordagem sistemática para a sua implementação. E, ao fazê-lo, não se esqueça do mais importante: o documento não é um fim em si; é apenas uma ferramenta para permitir que suas atividades e seus processos sejam executados sem problemas. Não deixe que documento torne as atividades e os processos mais difíceis.

De acordo com diversas fontes, a principal norma em continuidade de negócios BS 25999-2 será substituída pela norma internacional ISO 22301 até o fim de 2011. Este tipo de transição é normal e acontece com a maioria das normas de gestão. Aconteceu, por exemplo, com a norma ISO 27001 em 2005, que substituiu a norma BS 7799 -2. Quais são as principais mudanças trazidas pela ISO 22301 em relação à BS 25999-2?

Observação importante: como a norma ISO 22301 ainda não foi publicada, sua versão final ainda não existe e, por isso, alguns aspectos abordados aqui podem não constar na versão final. Essas informações estão baseadas em uma versão preliminar publicada em fevereiro de 2011 no site BSi Draft Review.

O título da ISO 22301 será ISO 22301 Segurança social – Sistemas de gestão de continuidade de negócios – Requisitos. Embora “Segurança social” possa soar um pouco estranho em relação à continuidade de negócios, eis a sua definição de acordo com a ISO: “… normalização no domínio da segurança social, com a finalidade de aumentar os recursos de gestão de crises e continuidade de negócios, ou seja, por meio do aprimoramento da interoperabilidade técnica, humana, organizacional e funcional, bem como da conscientização situacional entre todas as partes interessadas.”

À primeira vista, é óbvio que a estrutura da ISO 22301 é muito diferente da estrutura da norma BS 25999-2, embora todos os elementos básicos da BS 25999-2 ainda estarem presentes na norma ISO 22301.

Vejamos alguns detalhes.

Semelhanças…

A maior semelhança é que todos os principais elementos de continuidade de negócios da BS 25999-2 estarão presentes na norma ISO 22301: política de continuidade de negócios, análise de impacto nos negócios, avaliação de riscos, estratégia de continuidade de negócios (que será chamada de “opções de continuidade de negócios” na ISO 22301), planos de continuidade de negócios, exercícios e testes etc.

A análise de impacto nos negócios provavelmente será dividida em várias cláusulas, exigindo maior precisão. Os requisitos para os planos de continuidade de negócios, incluindo os procedimentos de resposta e planos de recuperação, são muito mais detalhados também, assim como, por exemplo, a parte relacionada à comunicação.

O conteúdo de gestão da BS 25999-2 (controle de documentos, auditoria interna, análise de gestão, ações corretivas e preventivas, gestão de recursos humanos, etc) também será transferido para a nova norma. Aliás, estes elementos existem em todas as outras normas de gestão, como ISO 9001, ISO 14001 e ISO 27001.

No entanto, a documentação será chamada de “informação documentada” e as ações preventivas serão chamadas de “ações para abordar problemas e dúvidas”.

… e diferenças

O modelo PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é ainda menos claro na ISO 22301 em comparação à norma BS 25999-2, embora esta não seja tão clara sobre esse aspecto como a ISO 27001. No entanto, acredito que isso não afetará a clareza do processo de implementação da norma, pois as suas principais seções estão organizadas de uma forma bastante lógica.

A ISO 22301, obviamente, enfatizará muito mais a definição dos objetivos, acompanhando o desempenho e as métricas. Assim, a continuidade de negócios se aproximará bastante do modo de pensar da alta gestão.

Seguindo essa linha, a ISO 22301 define claramente o que é esperado em termos de gestão e resume essas expectativas em uma única seção.

A ISO 22301 irá resolver uma das carências da BS 25999-2 e vai exigir planejamento e preparação muito mais cuidadosos dos recursos necessários para garantir a continuidade dos negócios. Agora, haverá mais requisitos e eles estarão melhor estruturados.

Por fim, como norma internacional, os organismos de certificação serão muito mais rígidos em relação à certificação de acordo com a ISO 22301 e, por isso, a norma obterá popularidade muito mais rápido.

Como conclusão, todos os elementos básicos da BS 25999-2 provavelmente estarão presentes na norma ISO 22301 também, só que a ISO 22301 será mais precisa e mais exigente. As organizações que já implementaram BS 25999-2 e desejarem obter a certificação para a norma ISO 22301 deverão dedicar mais atenção aos detalhes e investir mais tempo na preparação e manutenção de seu sistema. Por outro lado, a ISO 22301 certamente ajudará a elevar sua solidez e credibilidade, assim como aconteceu com a ISO 27001 seis anos atrás, quando ela substituiu a norma BS 7799-2.

Essa geralmente é uma das primeiras perguntas feita por clientes em potencial. Para sua decepção, não posso informar o valor exato de imediato; veja o porquê.

Em primeiro lugar, o custo total da implantação depende do tamanho da sua organização ou das unidades de negócios que serão incluídas no escopo da ISO 27001, do grau de importância das informações (por exemplo, informações em bancos são consideradas mais críticas e exigem mais proteção), da tecnologia utilizada pela organização (por exemplo, os centros de dados tendem a ter custos mais altos por causa de seus sistemas complexos) e das exigências da legislação (em geral, os setores financeiro e governamentais são fortemente regulamentados no que diz respeito à segurança da informação).

Em segundo lugar, não é possível calcular os custos exatos antes de saber qual nível de proteção você precisa. Antes, é preciso executar a avaliação de riscos, pois essa análise indica as medidas de segurança necessárias.

Após obter os resultados da avaliação de riscos, você deverá levar em consideração os seguintes custos:

1. O custo de livros especializados e treinamento

A implementação da ISO 27001 exige mudanças na sua organização e requer novas habilidades. Você pode preparar seus funcionários com livros sobre o assunto e/ou cursos (presenciais ou on-line). A duração dos cursos varia de 1 a 5 dias (leia Como aprender sobre a ISO 27001 e a BS 25999-2).

E não se esqueça de comprar a própria norma ISO 27001. Muitas vezes me deparo com empresas que estão implementando a norma sem tê-la em mãos.

2. O custo da ajuda externa

Infelizmente, treinar seus funcionários não é o suficiente. Se você não tiver um gerente de projetos com profunda experiência na implementação da ISO 27001, você precisará de alguém com esse conhecimento; você pode contratar um consultor ou encontrar alguma alternativa on-line (é isso que fazemos na Information Security & Business Continuity Academy).

A principal vantagem de ter alguém com experiência ajudando nesse tipo de projeto é que você não vai correr o risco de chegar a becos sem saída, passando meses a fio envolvido em atividades que não são realmente necessárias ou elaborando toneladas de documentações que não são exigidas pela norma.Esses desvios geram custos consideráveis.

No entanto, tenha cuidado nesse sentido e não espere que o consultor faça toda a implementação para você. A ISO 27001 pode ser implementada pelos seus funcionários.

3. O custo da tecnologia

Pode parecer engraçado, mas a maioria das empresas com as quais trabalhei não precisou de um grande investimento em hardware, software ou ferramentas semelhantes – tudo isso já existia. O maior desafio geralmente era como usar a tecnologia existente de forma mais segura.

4. O custo do tempo dos funcionários

A norma não se implementa sozinha e também não pode ser implementada somente pelo consultor (se você tiver contratado um). Seus funcionários precisam passar algum tempo tentando descobrir onde estão os riscos, como melhorar os procedimentos e as políticas existentes ou implementar novos procedimentos e políticas. Eles também precisam reservar parte de seu tempo para o treinamento para assumir novas responsabilidades e adaptação às novas regras.

Contudo, você precisa planejar esse tipo de investimento se ele for realmente necessário.

5. O custo da certificação

Se você deseja obter a prova pública de que cumpriu com a norma ISO 27001, o organismo de certificação precisará realizar uma auditoria de certificação e o custo dessa auditoria depende da relação dias-homem para a conclusão do trabalho, que varia de menos de 10 dias-homem em pequenas empresas a algumas dúzias de dias-homem em grandes organizações. O custo de dias-homem depende do mercado local.

É preciso ter muito cuidado para não subestimar o verdadeiro custo do projeto da ISO 27001. Se fizer isso, a gestão da sua empresa verá o projeto como algo negativo. Por outro lado, prever os custos corretamente irá mostrar seu nível de profissionalismo. E não se esqueça, você sempre deve apresentar os custos e benefícios. Leia Quatro principais benefícios da implementação da ISO 27001.

Muitas vezes ouço coisas sobre a ISO 27001 e não sei se rio ou choro. É realmente muito engraçado como as pessoas tendem a tomar decisões sobre algo que sabem muito pouco a respeito – aqui estão os equívocos mais comuns:

“A norma exige…”

“A norma exige que as senhas sejam trocadas a cada três meses.” “A norma exige que existam diversos fornecedores.” “A norma exige que o local de recuperação de desastres esteja a, pelo menos, 50 km de distância da localização principal.” Mesmo? A norma não diz nada disso. Infelizmente, eu ouço esse tipo de informações falsas com bastante frequência. As pessoas costumam confundir melhores práticas com exigências da norma, mas o problema é que nem todas as normas de segurança são aplicáveis a todos os tipos de organizações. E as pessoas que afirmam que isso está na norma, provavelmente, nunca leram a norma.

“Vamos deixar o departamento de TI lidar com isso”

Esta é a afirmação preferida da gerência: “Segurança da informação só diz respeito à TI, não é verdade?” Bem, na verdade, não. Os aspectos mais importantes da segurança da informação incluem não só medidas de TI, mas também questões organizacionais e de gestão de recursos humanos, que geralmente estão fora do alcance do departamento de TI. Veja também Segurança da informação ou segurança de TI.

“Nós vamos implementá-la em alguns meses”

Você pode implementar a ISO 27001 em 2 ou 3 meses, mas ela não vai funcionar – tudo o que você irá obter é um monte de políticas e procedimentos com os quais ninguém se preocupa. Implementar a segurança da informação significa que você precisa implementar mudanças, e é preciso tempo para que mudanças ocorram.

Sem mencionar que você deve implementar apenas os controles de segurança que são realmente necessários, e a análise do que é realmente necessário leva tempo. Isso é chamado de avaliação de riscos e tratamento de riscos.

“Esta norma só diz respeito à documentação”

A Documentação é uma parte importante da implementação da ISO 27001, mas não é um fim em si. O ponto principal é que você realize suas atividades de forma segura, e a documentação está aqui para ajudá-lo a fazer isso. Além disso, os registros que você produzir irão ajudá-lo a avaliar se você atingiu seus objetivos de segurança da informação e permitirão que você corrija as atividades que tiveram desempenho aquém do esperado.

“O único benefício da norma é para fins de marketing”

“Nós estamos fazendo isso apenas para obter o certificado, não é?” Bem, esta é (infelizmente) a maneira como 80 por cento das empresas pensam. Eu não estou tentando argumentar aqui que a ISO 27001 não deve ser usada para fins promocionais e de vendas, mas você também pode obter outros benefícios muito importantes, como prevenir que coisas como o caso WikiLeaks aconteçam com você. Veja também Quatro principais benefícios da implementação da ISO 27001 e As lições aprendidas com o WikiLeaks: O que é exatamente segurança da informação?.

O ponto principal aqui é: leia a ISO 27001 primeiro antes de formar sua opinião sobre ela; ou, se você achar isso muito chato (o que admito que é verdade), consulte alguém que tenha conhecimento real sobre o assunto. E tente obter outros benefícios, além do marketing. Em outras palavras, aumente suas chances de fazer um investimento rentável em segurança da informação.

O WikiLeaks, hoje, é uma história muito popular por um bom motivo: não é muito comum que os documentos confidenciais do governo mais poderoso do mundo sejam publicados na Internet. E alguns desses documentos são, no mínimo, constrangedores.

Não vou escrever sobre a legalidade, ou ilegalidade, da publicação dessas informações pelo WikiLeaks, se essas informações deveriam ter se tornado públicas devido ao interesse do público ou não, ou sobre o que vai acontecer com o fundador do site (no momento em que escrevo este artigo Julian Assange está sob custódia) etc.

A questão é: se o WikiLeaks for encerrado, um novo WikiLeaks surgirá. Em outras palavras, a ameaça de vazamento de informações para o público é cada vez maior. (A propósito, antes de ser preso, Julian Assange tinha anunciado que iria publicar informações importantes sobre um banco dos EUA e suas principais negligências.)

Quero falar aqui sobre o ponto de vista corporativo: e se nós fôssemos o próximo alvo do WikiLeaks ou de seu clone? Como garantir a segurança de nossas informações e prevenir os danos de um incidente tão grande?

Exemplo simples

Mas como funciona a segurança da informação na prática? Vamos tomar um exemplo simples: você, muitas vezes, deixa seu laptop em seu carro, no banco de trás. Existem grandes possibilidades de que, mais cedo ou mais tarde, ele seja roubado.

O que você pode fazer para diminuir esse risco? Primeiro de tudo, você pode criar uma regra (escrevendo um procedimento ou uma política) que estabeleça que laptops não podem ser deixados em um carro sozinho, ou que os carros devem ser estacionados onde exista algum tipo de proteção física. Segundo, você pode proteger suas informações criando uma senha forte e criptografando seus dados. Além disso, você pode exigir que seus funcionários assinem uma declaração dizendo que eles são legalmente responsáveis pelos danos que possam ocorrer. Mas todas essas medidas poderão permanecer ineficazes se você não explicar as regras para seus funcionários através de um breve treinamento.

Então, o que você pode concluir a partir desse exemplo? A segurança da informação nunca é uma medida única de segurança, é sempre um conjunto de medidas. E as medidas não estão apenas relacionadas à TI, mas envolvem também questões organizacionais, gestão de recursos humanos, segurança física e proteção jurídica.

O problema é que esse foi um exemplo de um único laptop, sem nenhuma ameaça interna. Agora considere o quão complexo é proteger as informações de sua empresa, onde as informações não são arquivadas apenas nos seus PCs, mas também em vários servidores; não só nas gavetas de sua mesa, mas também em todos os seus telefones celulares; não somente em pen drives, mas também nas cabeças de todos os funcionários. E você pode ter um funcionário muito insatisfeito.

Parece uma tarefa impossível? Difícil, sim, mas não impossível.

Como abordar o problema

O que você precisa para resolver esse complexo problema é uma estrutura. A boa notícia é que essas estruturas já existem na forma de normas. A mais conhecida é a ISO 27001, a principal norma internacional sobre gestão da segurança da informação, mas existem outras: COBIT, NIST SP série 800, PCI DSS etc.

Neste post, meu foco será a ISO 27001, pois acho que ela fornece um boa base para a construção do sistema de segurança da informação, pois oferece um catálogo com 133 controles de segurança, além da flexibilidade de aplicar apenas os controles que são realmente necessários para seus riscos. Mas sua melhor característica é que define uma estrutura de gestão para controlar e direcionar as questões de segurança, fazendo com que a gestão da segurança se torne parte da gestão global da organização.

Em resumo, essa norma permite considerar todas as informações de diversas formas e todos os riscos, além de fornecer um caminho para solucionar cuidadosamente cada possível problema e manter suas informações seguras.

Consequências para os negócios

As empresas devem ter medo de que suas informações vazem para o público? Se estão fazendo algo ilegal ou antiético, certamente deveriam.

No entanto, para as empresas que operam legalmente, se desejam proteger seus negócios, elas não podem pensar apenas em termos de retorno sobre investimento, participação no mercado, competência específica e visão de longo prazo. Sua estratégia também deve levar em conta as questões de segurança, pois ter informações desprotegidas pode custar-lhes muito mais do que, por exemplo, um lançamento fracassado de um novo produto. Por segurança, me refiro não só à segurança física, porque isso simplesmente não é mais suficiente – a tecnologia possibilita o vazamento de informações através de vários meios.

O que é necessário é uma abordagem abrangente da segurança da informação. Não importa se você usa a ISO 27001, o COBIT ou alguma outra estrutura, o importante é fazer isso de forma sistemática. E isso não é um esforço isolado, é uma operação contínua. E, sim, isso não é algo que sua equipe de TI pode fazer sozinha; toda a empresa tem de participar, começando pela diretoria executiva.

Informar-se é certamente uma das melhores maneiras de facilitar a implementação da ISO 27001 e da BS 25999-2. Como existem cada vez mais tipos de cursos disponíveis, tentarei explicar seus benefícios e as diferenças entre eles.

Primeiro está a lista dos cursos presenciais – esses cursos ainda são predominantes, mas estão perdendo espaço para os cursos on-line (explicados no final deste artigo).

Curso de Auditor Coordenador para ISO 27001 ou BS 25999-2

Este é o curso mais procurado tanto para a ISO 27001 quanto para a BS 25999-2. Ele dura cinco dias e termina com um exame escrito. O exame é bastante difícil, então pode-se considerar que este é o curso de nível mais alto para as duas normas. Se você passar no exame, pode se tornar um auditor de um organismo de certificação, mas esse não é o principal benefício – este é o curso mais útil para os profissionais que estão implementando as normas, porque fornece uma excelente visão geral das normas e explicações detalhadas do que os auditores de certificação irão solicitar na auditoria de certificação. Portanto, é útil tanto para os auditores quanto para os implementadores.

O público-alvo deste curso são profissionais com experiência moderada ou significativa em segurança da informação, continuidade de negócios, auditoria ou TI. Você deve escolher somente cursos certificados (por exemplo, irca.org – IRCA).

Curso de Implementador Coordenador para ISO 27001 ou BS 25999-2

Este curso é um pouco semelhante ao Curso de Auditor Coordenador para ISO 27001 ou BS 25999-2, mas menos conhecido. A diferença é que este se concentra em técnicas de implementação, em vez de técnicas de auditoria. Portanto, se a certificação não é sua preocupação, você pode achar este curso mais adequado.

Aqui, o público-alvo é semelhante: profissionais com experiência moderada ou significativa em segurança da informação, continuidade de negócios ou TI.

Curso de Auditor Interno para ISO 27001 ou BS 25999-2

Este curso é uma versão mais leve do Curso de Auditor Coordenador para ISO 27001 ou BS 25999-2. Ele geralmente dura 2 ou 3 dias, podendo ou não ter um exame, e o conteúdo é uma versão condensada do Curso de Auditor Coordenador. A principal diferença é que, com este curso, você não pode aspirar uma carreira como auditor de um organismo de certificação. No entanto, se você deseja ter uma introdução sistemática ao mundo da ISO 27001 ou da BS 25999-2 ou se pretende ser um auditor interno na sua empresa, este curso é a escolha certa para você.

O público-alvo são profissionais com pouca experiência ou experiência moderada em segurança da informação, continuidade de negócios ou TI.

Curso de Introdução para ISO 27001 ou BS 25999-2

Este curso geralmente dura um ou dois dias, sua finalidade não é ensiná-lo sobre técnicas de auditoria ou implementação, mas fornecer uma visão geral das necessidades e problemas da implementação. Se você não tem muito tempo livre e deseja saber o que acontecerá com sua empresa durante a implementação, pense seriamente em fazer este curso.

O público-alvo são membros da gerência ou profissionais sem experiência em segurança da informação ou continuidade de negócios.

Outros cursos de segurança da informação/continuidade de negócios

Você pode ter ouvido falar em Auditor de Sistemas de Informação Certificado (CISA), Gerente Certificado da Segurança da Informação (CISM) ou Profissional de Segurança de Sistemas de Informação Certificado (CISSP). Embora eu considere estes cursos muito úteis para sua carreira em segurança da informação ou em continuidade de negócios, eles não são diretamente relevantes para a ISO 27001 ou a BS 25999-2. Portanto, você deve fazer os cursos CISA, CISM e/ou CISSP depois de concluir os cursos diretamente relacionados às duas normas.

Cursos on-line

Além dos cursos presenciais acima mencionados, os cursos on-line (seja na forma de e-learning ou webinars ao vivo) estão se tornando cada vez mais populares, em parte devido aos custos mais baixos – sem despesas com deslocamento, além de não se perder tempo longe do escritório. Existem cada vez mais fornecedores na internet, oferecendo cada vez mais conteúdo de qualidade (incluindo a Information Security & Business Continuity Academy – Escola de Segurança da Informação e Continuidade de Negócios). É possível encontrar cursos com duração de uma hora (por exemplo, webinars gratuitos) até algumas semanas (por exemplo, cursos e-learning).

A principal vantagem dos cursos on-line é que você pode receber um conhecimento mais relevante em um curto período de tempo e custando menos, embora a questão da real eficácia desses cursos ainda permaneça sem resposta.

Porém, independentemente de qual forma ou tipo de curso você escolher, tenha certeza de uma coisa: o retorno sobre o investimento será percebido muito rapidamente.

Sua gerência solicitou que você implementasse a continuidade de negócios, mas você não tem certeza de como fazê-lo? Embora essa não seja uma tarefa fácil, você pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui estão os principais passos necessários para implementar essa norma:

1. Obter o apoio da gerência

Embora este não seja um passo obrigatório na BS 25999-2, é certamente crucial no início, pois se a gerência não entender os benefícios da continuidade de negócios e não estiver comprometida com esse projeto, ele provavelmente irá fracassar.

2. Tratar como um projeto

Você precisará de bastante tempo e recursos para estabelecer seu sistema de gestão da continuidade de negócios (SGCN) – é preciso definir claramente o que precisa ser feito, em que prazo e quais são as funções na implementação do projeto. Em outras palavras, você tem de aplicar métodos de gerenciamento de projetos.

3. Definir objetivos e escopo; escrever uma Política de GCN

Você precisa definir o que quer alcançar com o SGCN – conformidade, diminuição do nível de risco, exigências de seus clientes/parceiros etc. Além disso, é necessário definir o que será incluído em seu SGCN: toda a organização, ou apenas uma parte dela. Por exemplo, você pode decidir que irá incluir apenas o seu centro de processamento de dados se estiver fornecendo serviços de hospedagem para seus clientes. Tudo isso tem de ser documentado na Política de GCN.

4. Definir funções e responsabilidades para o SGCN

Como o SGCN irá se tornar uma atividade permanente em sua organização, é preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (alguém responsável pelo SGCN, mas que não está envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em relação ao SGCN. É uma boa ideia documentar essas funções e responsabilidades na sua Política de GCN.

5. Implementar procedimentos obrigatórios

A BS 25999-2 requer que os quatro procedimentos obrigatórios a seguir sejam implementados: controle de documentos e registros, auditoria interna, ações preventivas e corretivas. Esses procedimentos são, na verdade, a base do seu sistema de gestão, à semelhança da ISO 27001 ou da ISO 9001.

6. Executar análise de impacto nos negócios e avaliação de riscos

Através da análise de impacto nos negócios você deve identificar as atividades críticas, o tempo máximo aceitável de interrupção, as dependências dessas atividades críticas (incluindo as dependências de fornecedores e parceiros de terceirização) e estabelecer os objetivos de tempo de recuperação.

Ao fazer a avaliação de riscos você descobre quais poderiam ser as causas para a interrupção de suas atividades críticas, estas podem ser naturais, mas também causadas pelo homem (seja intencional ou acidentalmente). Você também precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avaliação e o tratamento de riscos não são muito bem-definidos nesta norma, portanto, você pode dar uma olhada na ISO 27001, que os descreve em detalhes.

7. Determinar a estratégia de continuidade de negócios

Antes de prosseguir com a escrita dos planos de continuidade de negócios, você tem de determinar quais recursos precisa para retomar suas atividades críticas – pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceirização, etc.

A estratégia de continuidade de negócios deve determinar não apenas o que você precisa, mas também como você irá obter esses recursos.

8. Desenvolver planos de gestão de incidentes e planos de continuidade de negócios

O objetivo dos planos de gestão de incidentes é descrever como você irá responder diretamente à ocorrência de um incidente (por exemplo, incêndio, terremoto, ameaça de bomba, falta de energia etc.), a fim de evitar sua propagação e tentar diminuir seus efeitos diretos.

Por outro lado, o objetivo dos planos de continuidade de negócios é descrever como você irá recuperar suas atividades críticas, como irá colocar em ação todos os recursos que preparou. Isso significa que você tem de descrever quem vai fazer o quê, em que o tempo, usando quais dados e tecnologias, para colocar sua organização em funcionamento novamente.

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal não estar disponível. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de executá-los.

9. Treinamento e conscientização

Você precisa definir o nível de competência necessária para a execução dos planos de continuidade de negócios em caso de interrupção e, então, treinar toda a equipe (funcionários e parceiros externos) para obter esse nível de competência.

No entanto, isso não é suficiente, você também precisa explicar à equipe porque a GCN é necessária. Sejamos realistas – seus planos de continuidade de negócios serão usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperdício de tempo. Portanto, você deve explicar porque eles precisam existir. (Consulte também Como lidar com os céticos em relação à GCN)

10. Exercício do SGCN

Se você acha que escreveu seus planos perfeitamente, é provável que esteja errado, pois é quase impossível escrever um plano sem erros logo no início. É por isso que o exercício é uma parte obrigatória da GCN. Você tem de testar seus planos em uma situação mais ou menos parecida com uma interrupção real. Só assim você irá descobrir o que está bem planejado e o que não está.

11. Manter e revisar o SGCN

Outra maneira de manter seu SGCN atualizado é definindo a periodicidade com que irá revisar seus planos de continuidade de negócios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceirização, treinamento e conscientização etc.) Há muitos tipos de mudanças no ambiente que ameaçam tornar sua documentação obsoleta – basta um funcionário que tinha uma função no SGCN deixar a empresa para se ter um número de telefone inútil no plano.

Também é obrigatório realizar uma revisão pós-incidente, se um incidente realmente ocorrer – o objetivo é descobrir como a organização reagiu – o plano foi seguido ou não.

12. Realizar auditoria interna

O objetivo da auditoria interna é descobrir, de forma objetiva, se há algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo está errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)

13. Executar análise crítica da gestão

Como disse antes, é muito importante envolver a gerência no projeto, a análise crítica da gestão foi projetada exatamente para isso. A norma exige que a gerência examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a gerência tem de decidir quais melhorias devem ser feitas.

14. Ações preventivas e corretivas

A melhor coisa é evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconteçam – é para isso que usamos as ações preventivas. Elas são uma forma sistemática de corrigir as coisas antes de ocorrer um problema. Parecidas com as ações preventivas, também existem as ações corretivas, que resolvem o problema que já ocorreu.

Agora a questão é: para que serve a BS 25999-2? Embora não seja (ainda) uma norma internacional, é a norma mais usada para a continuidade de negócios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de negócios, por isso, se você quiser implementar as práticas mais aceitas para a continuidade de negócios, você não precisa procurar mais.

Aqui você pode baixar o diagrama do Processo de implementação da BS 25999-2, que mostra todas essas etapas, juntamente com a documentação exigida (é necessário fazer um registro).