ISO 27001 & BS 25999

Alguma vez você já se viu responsável por documentar uma política de segurança ou um procedimento? Você não quer que esse documento acabe como tantos outros, acumulando poeira em alguma gaveta esquecida? Aqui estão algumas ideias que podem ajudá-lo…

Os passos apresentados a seguir têm base na minha experiência com vários tipos de clientes, grandes e pequenos, públicos ou privados, com ou sem fins lucrativos e acredito que podem ser aplicados a todos esses tipos. Na verdade, estes passos podem ser aplicados a qualquer tipo de políticas e procedimentos, não só àqueles relacionados com a ISO 27001 ou a BS 25999-2.

1 Estude os requisitos

Primeiro você deve estudar com muito cuidado diversos requisitos; há uma legislação que requer uma documentação por escrito, um contrato com seu cliente ou alguma outra política de alto nível já existente em sua organização, como um padrão empresarial? Obviamente, há também os requisitos da ISO 27001 e da BS 25999-2 se você quiser cumprir essas normas.

2 Leve em consideração os resultados da sua avaliação de riscos

A sua avaliação de riscos determinará quais questões devem ser documentadas e o nível de detalhamento de cada questão; por exemplo, você pode precisar decidir se vai classificar as informações de acordo com a sua confidencialidade e, em caso positivo, se você precisa de dois, três ou quatro níveis de confidencialidade.

Este passo pode não ser relevante neste formulário se a sua política ou o seu procedimento não estiver relacionado à segurança da informação ou à continuidade dos negócios. No entanto, os princípios de gestão de riscos são aplicáveis a outras áreas, como gestão da qualidade (ISO 9001), gestão ambiental (ISO 14001) etc. Por exemplo, na ISO 9001 você deve determinar a importância de um processo para a gestão da qualidade e decidir se tal processo será documentado ou não.

3 Aperfeiçoe e alinhe seus documentos

Algo importante a considerar é a quantidade total de documentos: você vai escrever dez documentos de uma página ou um documento de 10 páginas? É muito mais fácil gerenciar um documento, principalmente se o grupo-alvo de leitores é o mesmo. Porém, não crie um único documento de 100 páginas.

Além disso, é preciso ter cuidado para alinhar este documento com outros documentos; as questões que você está definindo podem já ter sido parcialmente definidas em outro documento. Nesse caso, talvez não seja necessário escrever um novo documento e atualizar o documento existente seja suficiente.

Se você estiver escrevendo um novo documento sobre uma questão que já foi mencionada em outro documento, evite ser redundante. Seria um pesadelo para manter esses documentos. É muito melhor que um documento faça referência a outro, sem repetir o conteúdo.

4 Estruture o documento

Você também precisa seguir as regras da sua empresa para a formatação do documento; talvez já exista um modelo com fontes, cabeçalhos, rodapés e outros elementos predefinidos.

Se você já implementou a ISO 27001, a BS 25999-2 ou qualquer outra norma de gestão, você precisará seguir um procedimento para controle de documentos. Este procedimento define não apenas o formato do documento, mas também as regras para a sua aprovação, distribuição, etc.

5 Escreva o documento

A regra prática é: quanto menor a organização e menores os riscos, menos complexo será o documento. Não há nada mais inútil do que escrever um longo documento que ninguém vai ler. Você deve entender que a leitura do documento leva tempo e o nível de atenção é inversamente proporcional à quantidade de linhas do seu documento.

Uma boa técnica para vencer a resistência dos funcionários (as pessoas não gostam de mudanças, principalmente se isso significa, por exemplo, a obrigação de alterar as senhas regularmente) é envolvê-los na composição deste documento ou na elaboração de comentários sobre ele. Desta forma, eles irão compreender a sua importância.

6 Obtenha aprovação para o documento

Este passo dispensa explicações, mas a sua importância fundamental é: se você não é um gerente de alto escalão na empresa, não terá o poder de fazer este documento valer.

Por isso, alguém nessa posição deve entender, aprovar e exigir a implementação do documento. Parece fácil, mas acredite, não é. Este e o próximo passo representam a maioria das falhas de implementação.

7 Treine e conscientize seus funcionários

Este passo provavelmente é o mais importante, mas infelizmente muitas vezes é esquecido. Como mencionado anteriormente, os funcionários estão cansados das constantes mudanças e certamente não irão acolher mais uma, principalmente se isso representa mais trabalho para eles.

Portanto, é muito importante explicar aos funcionários o motivo pelo qual a política ou o procedimento é necessário e porque é bom não só para a empresa, mas também para os próprios funcionários.

Às vezes, será preciso treinar os funcionários. Seria errado deduzir que todas as pessoas possuem as habilidades necessárias para implementar novas atividades. Para você, o responsável pelo documento, pode parecer fácil e óbvio, mas para os outros funcionários, pode parecer algo de outro mundo.

Fim da história?

Se você pensou que você chegou ao final da implementação do documento, você errou. A jornada está apenas começando. Não basta ter uma política perfeita ou um procedimento apreciado por todos. Também é preciso mantê-lo.

Alguém precisa assegurar que o documento seja atualizado e melhorado. Do contrário, as pessoas deixarão de segui-lo. Você mesmo pode fazer isso. Além disso, alguém precisa verificar que se o documento atende às expectativas e você pode ser essa pessoa.

Como você deve ter notado lendo este artigo, não basta ter um bom modelo para uma política ou um procedimento de sucesso;-é necessário adotar uma abordagem sistemática para a sua implementação. E, ao fazê-lo, não se esqueça do mais importante: o documento não é um fim em si; é apenas uma ferramenta para permitir que suas atividades e seus processos sejam executados sem problemas. Não deixe que documento torne as atividades e os processos mais difíceis.

Você também pode conferir o tutorial em vídeo Como elaborar o Procedimento de controle de documentos da ISO 27001/ISO 22301 (vídeo vendido comercialmente).

Se você ouviu falar que a ISO 27001 exige muitos procedimentos, isso não é verdade. A norma, na verdade, requer apenas quatro procedimentos documentados: um procedimento para o controle de documentos, um procedimento para auditorias internas do SGSI, um procedimento para ação corretiva e um procedimento para ação preventiva. O termo “documentado” significa que “o procedimento é estabelecido, documentado, implementado e mantido” (ISO/IEC 27001, 4.3.1 Nota 1).

Nota: neste post não vou escrever sobre outros documentos obrigatórios, como escopo do SGSI, política do SGSI, Metodologia de Avaliação de Riscos, Relatório de Avaliação de Riscos, Declaração de Aplicabilidade, Plano de Tratamento de Riscos etc. Aqui irei focar somente nos procedimentos.

O procedimento para o controle de documentos (processo de gestão de documentos) deve definir quem é o responsável pela aprovação dos documentos e por revisá-los, como identificar as alterações e o status da revisão, como distribuir os documentos etc. Em outras palavras, esse procedimento deve definir como a corrente sanguínea da organização (o fluxo de documentos) irá funcionar.

O procedimento de auditorias internas deve definir as responsabilidades pelo planejamento e realização das auditorias, como os resultados da auditoria serão relatados e como os registros serão mantidos. Isso significa que as principais regras para a realização da auditoria devem ser definidas.

O procedimento para a ação corretiva deve definir como a inconformidade e suas causas serão identificadas, como as ações necessárias serão definidas e implementadas, quais registros serão feitos e como a revisão dessas ações será executada. O objetivo deste procedimento é definir como cada ação corretiva deve eliminar a causa da inconformidade para que ela não volte a ocorrer.

O procedimento para a ação preventiva é quase o mesmo da ação corretiva, a diferença é que este visa eliminar a causa da inconformidade para que ela não chegue a ocorrer. Devido às suas similaridades, esses dois procedimentos geralmente são unidos em um único.

Mas porque a ISO 27001 requer procedimentos documentados que não estão relacionados à segurança da informação, enquanto os procedimentos de segurança não são obrigatórios?

A resposta está na avaliação de riscos. A ISO 27001 exige que você realize uma avaliação de riscos, e quando essa avaliação de riscos identifica alguns riscos inaceitáveis, a ISO 27001 exige que um controle do seu Anexo A seja implementado para diminuir os riscos. O controle pode ser técnico (por exemplo, antivírus para diminuir o risco de ataques de softwares maliciosos), mas também pode ser organizacional, como implementar uma política ou um procedimento (por exemplo, implementar um processo de back-up). Portanto, os procedimentos se tornam obrigatórios somente se a avaliação de riscos identificar riscos inaceitáveis.

Uma nota importante: ao contrário dos quatro procedimentos obrigatórios que devem ser documentados, os procedimentos decorrentes dos controles do Anexo A não precisam ser documentados. Cabe à organização avaliar se tal procedimento deve ser documentado ou não.

Você pode considerar os quatro procedimentos obrigatórios como os pilares do seu sistema de gestão (em conjunto com a política de segurança) – depois que eles estiverem firmemente assentos no chão, você pode começar a construir as paredes da sua casa. Isso se torna evidente quando se analisa outros sistemas de gestão – os mesmos quatro procedimentos são obrigatórios lá também – na ISO 9001 (sistemas de gestão da qualidade), ISO 14001 (sistemas de gestão ambiental) e BS 25999-2 (sistemas de gestão da continuidade de negócios). Como consequência, você pode usar esses procedimentos como o principal elo entre diferentes sistemas de gestão, se quiser desenvolver o chamado “sistema integrado de gestão”.

Você também pode conferir o tutorial em vídeo Como elaborar o Procedimento de controle de documentos da ISO 27001/ISO 22301 (vídeo vendido comercialmente).

Porque a ISO 27001 e a BS 25999-2 dão tanta ênfase ao controle de documentos? Ambas as normas definem rigorosamente como os documentos devem ser gerenciados e exigem que a organização tenha um procedimento documentado para a gestão de documentos. Acredite, você não irá obter a certificação se não tiver esse procedimento.

Os documentos podem estar em vários formatos – documentos em papel, arquivos de texto ou planilha eletrônica, arquivos de vídeo ou áudio etc. Uma organização não precisa apenas gerenciar documentos internos (várias políticas, procedimentos, documentação de projetos etc.), mas também documentos externos (diferentes tipos de correspondência, documentações recebidas com o equipamentos etc.). Ou seja, a gestão de documentos é uma tarefa bastante complexa e abrangente.

Então por que é importante gerenciá-los? Bem, você já esteve em uma situação na qual não sabia onde encontrar algum documento importante? Ou descobriu que seus funcionários estavam usando uma versão errada (mais antiga) de um procedimento? Ou alguns funcionários não receberam um procedimento importante? Ou talvez não tenha ficado claro qual era a versão desse procedimento? Ou algum documento confidencial foi transmitido a pessoas erradas? Se você nunca esteve em situações problemáticas como essas, provavelmente já esteve nesta: seus procedimentos simplesmente não estão atualizados.

Se você não tem uma abordagem sistemática para a gestão de seus documentos, provavelmente já se encontrou em alguma dessas situações. Por isso, a ISO 27001 e a BS 25999-2 exigem que as organizações tenham uma abordagem sistemática, ao escrever um procedimento de gestão de documentos.

Esse procedimento deve definir claramente as responsabilidades pelos documentos: quem pode aprová-los, como eles são distribuídos e arquivados, como eles são mantidos atualizados, qual sistema de versão está em uso, como você controla alterações nos documentos, o que você faz com documentos externos etc.

Como a gestão de documentos é algo tão essencial, certifique-se de que o auditor da certificação não irá analisar apenas esse procedimento, mas também verificar se a documentação está sendo gerenciada como você definiu no seu processo de gestão de documentos. Ao introduzir esse procedimento provavelmente você terá de mudar seu sistema de tratamento dos documentos, armazenar a documentação em sua intranet ou implementar um sistema mais complexo de gestão de documentos e organizar o arquivo de documentos em papel.

Quando você começar a implementar a ISO 27001/BS 25999-2, você começa a perceber a importância de escrever as coisas, mas também percebe que essas coisas escritas devem ser organizadas, a menos que se queira perder o controle sobre elas. Os documentos são a corrente sanguínea de seu sistema de gestão, portanto, cuide bem deles se você quiser que seu sistema permaneça saudável.

Você também pode conferir o tutorial em vídeo Como elaborar o Procedimento de controle de documentos da ISO 27001/ISO 22301 (vídeo vendido comercialmente).

Você já implementou a ISO 9001? Você já ouviu falar que a ISO 27001 pode ser uma boa ideia? Mas como algo que tem a ver com qualidade pode ajudar a implementar a segurança da informação?

É possível, mais do que você imagina… A ISO 9001 especifica como os sistemas de gestão da qualidade (SGQ) devem ser, enquanto a ISO/IEC 27001 especifica os sistemas de gestão da segurança da informação (SGSI). Portanto, a parte de “sistemas de gestão” é a mesma. E o que isso significa de verdade?

A filosofia dos sistemas de gestão surgiu a partir da teoria desenvolvida por W. Edwards Deming, durante a segunda metade do  século 20 e baseia-se no ciclo Planeje-Faça-Verifique-Aja. Basicamente, esse ciclo consiste no seguinte: na fase “Planeje” você precisa planejar o que deseja alcançar com o sistema de gestão; na fase “Faça”, você implementa esse sistema; na fase “Verifique”, você monitora constantemente se conseguiu alcançar o que planejou; e na fase “Aja”, você faz melhorias, ou seja, preenche as lacunas entre o que você planejou e o que alcançou.

Embora esse ciclo tenha sido elaborado para a gestão da qualidade, ele foi aceito como base para todos os outros sistemas de gestão: segurança da informação (ISO/IEC 27001), ambiente (ISO 14001), continuidade de negócios (BS 25999-2) etc. Isso significa que alguns dos elementos que você implementou para o sistema de gestão da qualidade, de acordo com a ISO 9001, também podem ser usados para o sistema de gestão da segurança da informação, aqui está a lista:

• Gestão de documentos – o processo utilizado para gestão de documentos no SGQ pode ser usado para a mesma finalidade no SGSI, com apenas pequenos ajustes
• Auditoria interna – o mesmo procedimento pode ser utilizado tanto para SGQ quanto para SGSI, embora a auditoria interna em si, normalmente, seja feita por pessoas diferentes, uma vez que não é muito provável que uma pessoa tenha conhecimento suficientemente profundo sobre segurança da informação e qualidade
• Ações corretivas e preventivas – o procedimento utilizado para SGQ pode ser usado para o mesmo fim no SGSI, embora seja provável que pessoas diferentes resolvam as questões relacionadas a SGQ ou SGSI
• Gestão de recursos humanos – o mesmo ciclo de planejamento de RH, treinamento e avaliação é utilizado para ambos os sistemas de gestão. Naturalmente, a diferença está no perfil de habilidades e conhecimentos necessários
• Análise crítica da gestão – os princípios da análise crítica da gestão são os mesmos para ambos os sistemas de gestão. Embora não seja recomendável realizar as duas avaliações paralelamente, a gerência já estará tão acostumada a tomar decisões sobre SGQ, que eles terão uma melhor compreensão sobre como tomar decisões no contexto do SGSI
• Definição dos objetivos empresariais e acompanhamento de sua realização – o mesmo mecanismo está previsto em ambas as normas, assim, a gerência estará acostumada a esse tipo de planejamento sistemático

Portanto, se você já implementou a ISO 9001, terá um trabalho mais fácil ao implementar a ISO 27001 (e vice-versa). É possível economizar até 30% do tempo. Além disso, você terá auditorias de certificação mais baratas, pois os organismos de certificação oferecem as chamadas “auditorias integradas”, o que significa que eles analisarão tanto a ISO 9001 quanto a ISO 27001 na mesma auditoria, cobrando uma taxa menor em relação a auditorias separadas.

Se o seu SGQ estiver funcionando bem, seu projeto SGSI irá se desenvolver tranquilamente. A gerência terá uma melhor compreensão dos possíveis benefícios para os negócios, enquanto todas as unidades organizacionais estarão acostumadas à necessidade de definir procedimentos, responsabilidades e documentações precisos.

Ter um SGQ de fato fornece uma base muito boa para a segurança da informação. Se você já tem a ISO 9001, pense seriamente sobre a norma ISO 27001.

Você também pode conferir o nosso webinar ISO 27001 implementation: How to make it easier using ISO 9001 grátis.