Português
English 
Deutsch 
日本語 
Español 
Hrvatski 
This entry was posted on Monday, March 21st, 2011 at 22:47 and is filed under Main. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.
Se você está acompanhando o meu blog, você provavelmente acha que eu estou convencido de que a norma ISO 27001 é o documento mais perfeito já escrito. Na verdade, não é bem assim. Quando trabalho com meus clientes e ensino sobre o assunto, geralmente os mesmos pontos fracos dessa norma aparecem. Segue abaixo uma lista desses pontos fracos, juntamente com as minhas sugestões sobre como resolvê-los:
Termos ambíguos
Alguns dos requisitos da norma são bastante confusos:
- A cláusula 4.3.1 c) requer que a documentação do SGSI deve incluir os “procedimentos e controles que apoiam o SGSI“. Isso significa que um documento deve ser escrito para cada um dos controles aplicados? No Anexo A, há 133 controles. Na minha opinião, isso não é necessário. Eu costumo aconselhar os meus clientes a escrever somente as políticas e os procedimentos necessários do ponto de vista operacional e com a finalidade de diminuir riscos. Todos os demais controles podem ser descritos brevemente na Declaração de aplicabilidade, já que a declaração deve incluir a descrição de todos os controles implementados.
- Políticas e procedimentos documentados/não documentados: em muitos controles do Anexo A, as políticas e os procedimentos são mencionados sem a palavra “documentado”. Na verdade, isso significa que as políticas e os procedimentos não precisam ser registrados por escrito, mas isso não fica claro para 95% das pessoas que leem a norma.
- Partes externas/terceiros: estes termos são usados de forma intercambiável, o que pode causar confusão. Seria muito melhor se apenas um dos termos fosse usado.
Organização da norma
Alguns dos requisitos da norma estão espalhados ou duplicados sem necessidade:
- Alguns controles estão simplesmente no local errado. Por exemplo, o item A.11.7 Computação móvel e trabalho remoto está localizado na seção A.11 Controle de acessos. Embora seja necessário lidar com a computação móvel ao cuidar do controle de acesso, a seção A.11 não é o lugar mais adequado para definir questões relacionadas à computação móvel e ao trabalho remoto.
- Os problemas relacionados às partes externas estão espalhados pela norma, nas seções A.6.2 Partes externas, A.8 Segurança em recursos humanos e A.10.2 Gerenciamento de serviços terceirizados. Com o avanço da computação em nuvem e de outros tipos de terceirização, recomenda-se reunir todas essas regras em um documento ou um conjunto de documentos relacionados a terceiros.
- A conscientização e o treinamento de funcionários são necessários tanto na cláusula 5.2.2 da parte principal da norma quanto no controle A.8.2.2. Além de a duplicação ser desnecessária, também resulta em mais confusão. Teoricamente, todos os controles do Anexo A poderiam ser excluídos e, por esse motivo, você pode acabar excluindo um requisito que não deve ser excluído pois consta na parte principal da norma. A mesma coisa acontece com as Auditorias internas, da cláusula 6ª da parte principal da norma, e o controle A.6.1.8 Análise crítica independente de segurança da informação.
- Alguns dos controles do Anexo A podem ser amplamente aplicados e podem incluir outros controles. Por exemplo, o controle A.7.1.3 Uso aceitável dos ativos é tão genérico que pode abranger, os itens A.7.2.2 (Gestão de informações classificadas), A.8.3.2 (Devolução de ativos no encerramento das atividades), A.9.2.1 (Proteção do equipamento), A.10.7.1 (Gerenciamento de mídias removíveis), A.10.7.2 (Descarte de mídias), A.10.7.3 (Procedimentos para tratamento de informação) etc. Eu costumo aconselhar os meus clientes a elaborar um documento que abranja todos esses controles.
Problemas ou não?
Aqui estão algumas questões que geralmente são consideradas como problemas, porém eu discordo:
- A norma é muito vaga, não apresenta detalhes suficientes. Se a norma fosse muito detalhada em termos da tecnologia a ser usada, ela logo ficaria desatualizada; se a norma fosse muito detalhada sobre os métodos e/ou as soluções organizacionais, não seria aplicável a todos os tamanhos e tipos de organizações (a organização de um grande banco é bastante diferente da administração de uma pequena agência publicitária, porém ambos devem poder implementar a ISO 27001).
- A norma é muito flexível. Isso está relacionado ao conceito de avaliação de risco em que determinados controles de segurança podem ser excluídos se não houver riscos. Então, os críticos perguntam: “Como seria possível excluir a cópia de segurança ou de proteção contra antivírus?” Com o avanço de tecnologias, como a computação em nuvem, este tipo de proteção pode não ser responsabilidade da organização que está implementando a ISO 27001. No entanto, neste caso, os riscos da terceirização seriam bastante altos e, por isso, outros tipos de controles de segurança seriam necessários.
E agora?
Esta norma certamente precisará passar por mudanças. A versão atual da ISO/IEC 27001:2005 foi elaborada há seis anos e a próxima revisão, prevista para 2012 ou 2013, deve abordar a maioria das questões acima.
Apesar destas deficiências que muitas vezes podem causar confusão, acredito que os pontos positivos da norma superam os pontos negativos. E sim, estou realmente convencido de que esta norma é, de longe, a melhor estrutura para a gestão da segurança da informação.
Você também pode conferir a nossa série de tutoriais em vídeo da ISO 27001, que apresentam todos os passos de uma implementação ISO 27001 (vídeos vendidos comercialmente).
This post is also available in: Inglês, Alemão, Japonês, Espanhol, Croata
