ISO 27001 & BS 25999

Essa geralmente é uma das primeiras perguntas feita por clientes em potencial. Para sua decepção, não posso informar o valor exato de imediato; veja o porquê.

Em primeiro lugar, o custo total da implantação depende do tamanho da sua organização ou das unidades de negócios que serão incluídas no escopo da ISO 27001, do grau de importância das informações (por exemplo, informações em bancos são consideradas mais críticas e exigem mais proteção), da tecnologia utilizada pela organização (por exemplo, os centros de dados tendem a ter custos mais altos por causa de seus sistemas complexos) e das exigências da legislação (em geral, os setores financeiro e governamentais são fortemente regulamentados no que diz respeito à segurança da informação).

Em segundo lugar, não é possível calcular os custos exatos antes de saber qual nível de proteção você precisa. Antes, é preciso executar a avaliação de riscos, pois essa análise indica as medidas de segurança necessárias.

Após obter os resultados da avaliação de riscos, você deverá levar em consideração os seguintes custos:

1. O custo de livros especializados e treinamento

A implementação da ISO 27001 exige mudanças na sua organização e requer novas habilidades. Você pode preparar seus funcionários com livros sobre o assunto e/ou cursos (presenciais ou on-line). A duração dos cursos varia de 1 a 5 dias (leia Como aprender sobre a ISO 27001 e a BS 25999-2).

E não se esqueça de comprar a própria norma ISO 27001. Muitas vezes me deparo com empresas que estão implementando a norma sem tê-la em mãos.

2. O custo da ajuda externa

Infelizmente, treinar seus funcionários não é o suficiente. Se você não tiver um gerente de projetos com profunda experiência na implementação da ISO 27001, você precisará de alguém com esse conhecimento; você pode contratar um consultor ou encontrar alguma alternativa on-line (é isso que fazemos na Information Security & Business Continuity Academy).

A principal vantagem de ter alguém com experiência ajudando nesse tipo de projeto é que você não vai correr o risco de chegar a becos sem saída, passando meses a fio envolvido em atividades que não são realmente necessárias ou elaborando toneladas de documentações que não são exigidas pela norma.Esses desvios geram custos consideráveis.

No entanto, tenha cuidado nesse sentido e não espere que o consultor faça toda a implementação para você. A ISO 27001 pode ser implementada pelos seus funcionários.

3. O custo da tecnologia

Pode parecer engraçado, mas a maioria das empresas com as quais trabalhei não precisou de um grande investimento em hardware, software ou ferramentas semelhantes – tudo isso já existia. O maior desafio geralmente era como usar a tecnologia existente de forma mais segura.

4. O custo do tempo dos funcionários

A norma não se implementa sozinha e também não pode ser implementada somente pelo consultor (se você tiver contratado um). Seus funcionários precisam passar algum tempo tentando descobrir onde estão os riscos, como melhorar os procedimentos e as políticas existentes ou implementar novos procedimentos e políticas. Eles também precisam reservar parte de seu tempo para o treinamento para assumir novas responsabilidades e adaptação às novas regras.

Contudo, você precisa planejar esse tipo de investimento se ele for realmente necessário.

5. O custo da certificação

Se você deseja obter a prova pública de que cumpriu com a norma ISO 27001, o organismo de certificação precisará realizar uma auditoria de certificação e o custo dessa auditoria depende da relação dias-homem para a conclusão do trabalho, que varia de menos de 10 dias-homem em pequenas empresas a algumas dúzias de dias-homem em grandes organizações. O custo de dias-homem depende do mercado local.

É preciso ter muito cuidado para não subestimar o verdadeiro custo do projeto da ISO 27001. Se fizer isso, a gestão da sua empresa verá o projeto como algo negativo. Por outro lado, prever os custos corretamente irá mostrar seu nível de profissionalismo. E não se esqueça, você sempre deve apresentar os custos e benefícios. Leia Quatro principais benefícios da implementação da ISO 27001.

También puede dar un vistazo a nuestro tutorial en vídeo Como criar um projeto de ISO 27001 – Elaboração do Plano do projeto (es un vídeo comercial disponible para la venta).

Você provavelmente já sabia que o primeiro passo para a implementação da ISO 27001 é a definição do escopo. O que você provavelmente não sabia é que esta etapa, apesar de parecer simples à primeira vista, às vezes pode causar uma porção de problemas. Ou seja, muitas empresas estão tentando diminuir os custos de sua implementação diminuindo escopo, mas muitas vezes se encontram em uma situação em que esse escopo é uma verdadeira dor de cabeça.

Então, onde está o problema?

O problema quando o escopo da ISO 27001 não é toda a organização é que o Sistema de gestão da segurança da informação (SGSI) deve ter interfaces com o mundo “exterior”; nesse contexto, o mundo exterior não são apenas os clientes, parceiros, fornecedores etc., mas também os departamentos da organização que não estão dentro do escopo. Pode parecer estranho, mas um departamento que não esteja dentro do escopo deve ser tratado da mesma forma que um fornecedor externo.

Por exemplo, se você escolher que somente o departamento de TI estará dentro do escopo, e esse departamento estiver utilizando os serviços do departamento de compras, o departamento de TI deve efetuar a avaliação de riscos do seu departamento de compras para identificar se existem riscos para as informações pelas quais o departamento de TI é responsável, além disso, os dois departamentos devem assinar termos e condições para os serviços prestados.

Por que tal sobrecarga é necessária? Você tem de se colocar no lugar do organismo de certificação, pois este deve certificar que dentro dos seu escopo, você é capaz de lidar com as informações de forma segura, embora não possa verificar nenhum dos departamentos fora do escopo. A única maneira de lidar com essa situação é tratar os departamentos como se fossem empresas externas. (Atenção: os auditores de certificação nunca gostam de escopos pequenos.)

Os problemas não param por aqui. Às vezes, escopos pequenos simplesmente não são possíveis, porque não há uma interface com o mundo exterior. Por exemplo, se os funcionários de dentro e de fora do escopo trabalham na mesma sala, esse escopo é pouco viável; se tanto os funcionários de dentro do escopo quanto os de fora utilizam a mesma rede local (sem discriminação) e têm acesso a vários serviços de rede, esse escopo definitivamente não é possível, pois não há como controlar o fluxo de informações somente dentro do escopo.

Ou seja, diminuir escopo do SGSI às vezes é impossível, e na maioria dos casos isso irá lhe trazer uma sobrecarga desnecessária. Portanto, o que inicialmente não parecia ser uma boa solução, pode ser a melhor opção no final. Tente estender seu escopo a toda a organização. A regra geral é: se sua organização não tem mais do que algumas centenas de funcionários e uma ou apenas algumas sedes, o melhor seria o SGSI abranger toda a organização.

Por outro lado, se você realmente não pode abranger toda a organização dentro do escopo do SGSI, tente defini-lo em uma unidade organizacional que seja suficientemente independente; tente resolver as relações com as outras unidades organizacionais de fora do escopo, determinando seu serviço por meio de documentos internos (políticas, procedimentos etc.), que serviriam de “acordos”; de tal forma que você poderia documentar as obrigações dessas unidades organizacionais de uma maneira que seja utilizável nas operações diárias.

Pronto! Você já resolveu o primeiro passo da implementação da ISO 27001.

Você também pode conferir o tutorial em vídeo Como definir e documentar o escopo do SGSI de acordo com a ISO 27001 (vídeo vendido comercialmente).

Você está implementando a ISO 27001 há muito tempo, investiu bastante em conhecimento, consultoria e implementação de diversos controles. Agora receberá a visita do auditor de um organismo de certificação. Você irá passar na certificação?

Esse tipo de ansiedade é normal. Você nunca sabe se o seu SGSI (sistema de gestão da segurança da informação) tem tudo o que o organismo de certificação exige. Mas o que exatamente o auditor estará procurando?

Primeiro, o auditor irá realizar a Fase 1 da auditoria, também chamada de “Revisão da documentação”. Nesta auditoria, o auditor irá observar o escopo documentado, a política e os objetivos do SGSI, a descrição da metodologia da avaliação de riscos, o Relatório de avaliação de riscos, a Declaração de aplicabilidade, o Plano de tratamento de riscos, os procedimentos de controle de documentos, as ações corretivas e preventivas e a auditoria interna. Você também terá de documentar alguns dos controles do Anexo A (somente se forem aplicáveis na Declaração de Aplicabilidade): inventário dos ativos (A.7.1.1), uso aceitável dos ativos (A.7.1.3), papéis e responsabilidades dos funcionários, fornecedores e terceiros (A.8.1.1), termos e condições de contratação (A.8.1.3), procedimentos de operação das instalações de processamento de informação (A.10.1.1), política de controle de acesso (A.11.1.1) e identificação da legislação vigente (A.15.1.1). Além disso, você precisará dos registros de pelo menos uma auditoria interna e da análise crítica da gestão.

Se algum desses elementos estiver faltando, significa que você não está pronto para a Fase 2 da auditoria. É claro que você poderia ter muitos outros documentos, se achar necessário; a lista acima é o requisito mínimo.

A Fase 2 da auditoria também é chamada de “Auditoria principal” e, geralmente, ocorre algumas semanas depois da Fase 1. Nesta auditoria, o foco não será a documentação. O auditor analisará se a organização está realmente fazendo o que a sua documentação e a ISO 27001 dizem que deve ser feito. Ou seja, ele irá verificar se o seu SGSI foi colocado em prática na sua organização, ou se é apenas mais um papel. O auditor irá verificar isso por meio de observação, de entrevistas com seus funcionários, mas, principalmente, pela análise de seus registros. Os registros obrigatórios incluem formação, treinamento, competências, experiência e qualificações (5.2.2), auditoria interna (6), análise crítica da gestão (7.1) e ações corretivas (8.2) e preventivas (8.3). Porém, o auditor espera encontrar muitos outros registros como resultado da realização de seus procedimentos.

Tome muito cuidado aqui, qualquer auditor experiente irá perceber imediatamente se alguma parte do seu SGSI for artificial e tiver sido preparada apenas para fins de auditoria.

OK, você sabia de tudo isso, mas ainda assim aconteceu: o auditor encontrou uma inconformidade grave e disse que o certificado ISO 27001 não será emitido. Isso é o fim do mundo?

Certamente não. O processo continua da seguinte maneira: o auditor irá apresentar os resultados (incluindo a inconformidade grave) no relatório da auditoria e lhe dará um prazo para que a inconformidade seja resolvida (normalmente 90 dias). Sua função é tomar as medidas corretivas necessárias, mas tenha cuidado, essa ação deve resolver a causa da inconformidade, caso contrário, o auditor poderá não aceitar o que você fez. Quando tiver certeza de que a ação correta foi tomada, você deve notificar o auditor e enviar-lhe a evidência do que foi feito. Na maioria dos casos, se você tiver feito o seu trabalho cuidadosamente, o auditor aceitará sua ação corretiva e ativará o processo de emissão do certificado.

Pronto! Demorou, mas agora você é um feliz proprietário do certificado ISO/IEC 27001. (Tenha cuidado, porém, o certificado é válido por três anos apenas e pode ser suspenso durante esse período, se o organismo de certificação identificar outra inconformidade grave durante as visitas de fiscalização.)

Você também pode conferir a nossa série de tutoriais  em vídeo da ISO 27001, que apresentam todos os passos de uma implementação ISO 27001 (vídeos vendidos comercialmente).