Dejan Kosutic Semana passada eu apresentei dois webinars sobre ISO 27001, e solicitei aos participantes que me enviassem suas principais preocupações a respeito da implementação da ISO 27001 antes que os webinars fossem realizados.
Eu resumi as preocupações mais comuns nas cinco áreas apresentadas a seguir – eu as apresentei nos webinars, e aqui está uma explicação mais detalhada sobre como eu entendo que elas deveriam ser abordadas:
1) O esforço requerido para realizar a transição da versão 2005 para a 27001 versão 2013
É verdade que cada organização certificada pela ISO 27001:2005 terá de realizar a transição para a versão 2013 dentro de dois anos, e é verdade que a versão 2013 possui novos requisitos, enquanto alguns foram eliminados. Também é verdade que este processo não será finalizado em algumas horas, mas certamente não será nada perto do esforço inicial para implementação da norma.
A chave encontra-se em um planejamento cuidadoso – se você souber exatamente quais passos precisa tomar, você reduzirá este esforço de transição ao mínimo. Com isto em mente, leia meu artigo Como fazer a transição da ISO 27001 versão 2005 para a versão 2013.
2) Comunicar com sucesso uma razão benéfica de por que uma organização deveria implementar a ISO 27001
A chave é determinar benefícios para o aspecto de negócio da organização – benefícios que são facilmente entendidos e que claramente agregam valor ao negócio, não para a TI. Isto porque, no final das contas, a decisão sobre a ISO 27001 não será feita pelo responsável pelo departamento de TI, e sim pela administração sênior da organização.
Na minha opinião, existem quatro benefícios potenciais que podem ser aplicados às organizações: (1) conformidade, (2) vantagem mercadológica, (3) redução de custos, e (4) otimização de processos. Clique aqui para ler os detalhes: Quatro benefícios chave da implementação da ISO 27001.
3) Definir um processo de levantamento e tratamento de riscos adequado e pragmático
Primeiro de tudo, levantamento e tratamento de risco não pode ser realizado baixando um arquivo que você encontrou em algum lugar na Internet, ou através do uso da primeira ferramenta que você encontrou. A gestão de risco precisa ser feita baseada em uma metodologia de levantamento e tratamento de risco que esteja adaptada ao tamanho de sua organização, seus vários requisitos e a sensitividade da informação que você possui.
Muitas vezes tenho visto pequenas organizações utilizando uma ferramenta de levantamento de risco que é feita para grandes organizações, apenas para perceber que eles gastaram seis meses para realizar um trabalho que poderiam ter terminado em um mês, e com resultados questionáveis. Entretanto, antes de iniciar seu processo de gestão de riscos, você precisa encontrar uma metodologia apropriada que definirá como identificar os principais elementos dos seus riscos (ativos, ameaças e vulnerabilidades) e quais escalas você usará para avaliar as consequências e a probabilidade. Registre-se para este webinar para mais informações: The basics of risk assessment and treatment according to ISO 27001.
4) Os recursos requeridos para manter a certificação
Eu temo que esta preocupação mostre-se como um dos principais mitos sobre a ISO 27001 – de que os documentos são escritos apenas para fins de certificação. Deixe-me dar um exemplo – se você desenvolve uma política de Backup porque implementa a ISO 27001, você irá necessitar de recursos adicionais apenas porque agora está em conformidade com esta política? Ou, quer apenas deixar claro para todos como ele é realizado, caso já venha realizando seu backup normalmente, antes de escrever a política?
Meu ponto é – você não deveria escrever o documento por causa do auditor – você tem que escrevê-los por você. E caso você faça isso, não existem recursos adicionais requeridos porque tais regras são parte da sua rotina diária; em alguns casos você até mesmo terá menos trabalho porque alguns problemas (isto é, incidentes de segurança) não acontecerão novamente..
5) Quanto tempo o SGSI tomará das minhas atividades principais?
A resposta para esta questão é muito similar a da questão anterior, mas eu adicionaria que, claro, você precisará de alguém para coordenar todos os esforços de segurança da informação em sua organização. Mas se você tem, por exemplo, 50 empregados, estes irão requerer talvez um par de horas de trabalho por semana, de forma que isto pode ser a atividade de alguém em paralelo com seu trabalho normal. Somente quando você passa o número de 1.000 empregados em uma organização é que você deveria considerar um responsável pela segurança em tempo integral – mas este profissional de segurança da informação provavelmente economizará a você tanto dinheiro ao prevenir incidentes que esta decisão certamente valerá a pena.
Clique aqui para se registrar para um webinar gratuito ISO 27001: An overview of ISMS implementation process.
Nós agradecemos a Rhand Leal pela tradução para o português.
