ISO 27001 & BS 25999

Alguma vez você já se viu responsável por documentar uma política de segurança ou um procedimento? Você não quer que esse documento acabe como tantos outros, acumulando poeira em alguma gaveta esquecida? Aqui estão algumas ideias que podem ajudá-lo…

Os passos apresentados a seguir têm base na minha experiência com vários tipos de clientes, grandes e pequenos, públicos ou privados, com ou sem fins lucrativos e acredito que podem ser aplicados a todos esses tipos. Na verdade, estes passos podem ser aplicados a qualquer tipo de políticas e procedimentos, não só àqueles relacionados com a ISO 27001 ou a BS 25999-2.

1 Estude os requisitos

Primeiro você deve estudar com muito cuidado diversos requisitos; há uma legislação que requer uma documentação por escrito, um contrato com seu cliente ou alguma outra política de alto nível já existente em sua organização, como um padrão empresarial? Obviamente, há também os requisitos da ISO 27001 e da BS 25999-2 se você quiser cumprir essas normas.

2 Leve em consideração os resultados da sua avaliação de riscos

A sua avaliação de riscos determinará quais questões devem ser documentadas e o nível de detalhamento de cada questão; por exemplo, você pode precisar decidir se vai classificar as informações de acordo com a sua confidencialidade e, em caso positivo, se você precisa de dois, três ou quatro níveis de confidencialidade.

Este passo pode não ser relevante neste formulário se a sua política ou o seu procedimento não estiver relacionado à segurança da informação ou à continuidade dos negócios. No entanto, os princípios de gestão de riscos são aplicáveis a outras áreas, como gestão da qualidade (ISO 9001), gestão ambiental (ISO 14001) etc. Por exemplo, na ISO 9001 você deve determinar a importância de um processo para a gestão da qualidade e decidir se tal processo será documentado ou não.

3 Aperfeiçoe e alinhe seus documentos

Algo importante a considerar é a quantidade total de documentos: você vai escrever dez documentos de uma página ou um documento de 10 páginas? É muito mais fácil gerenciar um documento, principalmente se o grupo-alvo de leitores é o mesmo. Porém, não crie um único documento de 100 páginas.

Além disso, é preciso ter cuidado para alinhar este documento com outros documentos; as questões que você está definindo podem já ter sido parcialmente definidas em outro documento. Nesse caso, talvez não seja necessário escrever um novo documento e atualizar o documento existente seja suficiente.

Se você estiver escrevendo um novo documento sobre uma questão que já foi mencionada em outro documento, evite ser redundante. Seria um pesadelo para manter esses documentos. É muito melhor que um documento faça referência a outro, sem repetir o conteúdo.

4 Estruture o documento

Você também precisa seguir as regras da sua empresa para a formatação do documento; talvez já exista um modelo com fontes, cabeçalhos, rodapés e outros elementos predefinidos.

Se você já implementou a ISO 27001, a BS 25999-2 ou qualquer outra norma de gestão, você precisará seguir um procedimento para controle de documentos. Este procedimento define não apenas o formato do documento, mas também as regras para a sua aprovação, distribuição, etc.

5 Escreva o documento

A regra prática é: quanto menor a organização e menores os riscos, menos complexo será o documento. Não há nada mais inútil do que escrever um longo documento que ninguém vai ler. Você deve entender que a leitura do documento leva tempo e o nível de atenção é inversamente proporcional à quantidade de linhas do seu documento.

Uma boa técnica para vencer a resistência dos funcionários (as pessoas não gostam de mudanças, principalmente se isso significa, por exemplo, a obrigação de alterar as senhas regularmente) é envolvê-los na composição deste documento ou na elaboração de comentários sobre ele. Desta forma, eles irão compreender a sua importância.

6 Obtenha aprovação para o documento

Este passo dispensa explicações, mas a sua importância fundamental é: se você não é um gerente de alto escalão na empresa, não terá o poder de fazer este documento valer.

Por isso, alguém nessa posição deve entender, aprovar e exigir a implementação do documento. Parece fácil, mas acredite, não é. Este e o próximo passo representam a maioria das falhas de implementação.

7 Treine e conscientize seus funcionários

Este passo provavelmente é o mais importante, mas infelizmente muitas vezes é esquecido. Como mencionado anteriormente, os funcionários estão cansados das constantes mudanças e certamente não irão acolher mais uma, principalmente se isso representa mais trabalho para eles.

Portanto, é muito importante explicar aos funcionários o motivo pelo qual a política ou o procedimento é necessário e porque é bom não só para a empresa, mas também para os próprios funcionários.

Às vezes, será preciso treinar os funcionários. Seria errado deduzir que todas as pessoas possuem as habilidades necessárias para implementar novas atividades. Para você, o responsável pelo documento, pode parecer fácil e óbvio, mas para os outros funcionários, pode parecer algo de outro mundo.

Fim da história?

Se você pensou que você chegou ao final da implementação do documento, você errou. A jornada está apenas começando. Não basta ter uma política perfeita ou um procedimento apreciado por todos. Também é preciso mantê-lo.

Alguém precisa assegurar que o documento seja atualizado e melhorado. Do contrário, as pessoas deixarão de segui-lo. Você mesmo pode fazer isso. Além disso, alguém precisa verificar que se o documento atende às expectativas e você pode ser essa pessoa.

Como você deve ter notado lendo este artigo, não basta ter um bom modelo para uma política ou um procedimento de sucesso;-é necessário adotar uma abordagem sistemática para a sua implementação. E, ao fazê-lo, não se esqueça do mais importante: o documento não é um fim em si; é apenas uma ferramenta para permitir que suas atividades e seus processos sejam executados sem problemas. Não deixe que documento torne as atividades e os processos mais difíceis.

Você também pode conferir o tutorial em vídeo Como elaborar o Procedimento de controle de documentos da ISO 27001/ISO 22301 (vídeo vendido comercialmente).

Muitas vezes, vejo as políticas de segurança da informação com muitos detalhes, tentando cobrir tudo, desde os objetivos estratégicos até quantos dígitos numéricos uma senha deve conter. O único problema com essas políticas é que elas contêm 50 páginas ou mais, e ninguém as leva realmente a sério. Elas geralmente acabam servindo como documentos artificiais, cuja única finalidade é agradar o auditor.

Mas por que essas políticas são tão difíceis de implementar? Porque são muito ambiciosas, tentam abranger muitas questões e são destinadas a um amplo grupo de pessoas.

É por isso que a ISO 27001, a principal norma de segurança da informação, define diferentes níveis de políticas de segurança da informação:

• Políticas de alto nível, como a Política de Sistema de Gestão da Segurança da Informação – essas políticas geralmente definem a intenção estratégica, os objetivos etc.
• Políticas detalhadas – esse tipo de política geralmente descreve uma área selecionada da segurança da informação com mais detalhes, com responsabilidades específicas etc.

A ISO 27001 exige que a Política de Sistema de Gestão da Segurança da Informação (SGSI), como o documento de mais alto nível, contenha o seguinte: uma estrutura para definir os objetivos, levando em consideração diversos requisitos e obrigações, que se alinhe com o contexto de gestão estratégica de riscos da organização e estabeleça os critérios da avaliação de riscos. Essa política deve ser bem curta (uma ou duas páginas talvez), pois sua finalidade principal é permitir que direção seja capaz de controlar seu SGSI.

Por outro lado, as políticas detalhadas devem ser destinadas para uso operacional e devem focar em um campo menor de atividades de segurança. Exemplos dessas políticas são: Política de classificação, Política de uso aceitável de recursos de informação, Política de backup, Política de controle de acesso, Política de senha, Política de mesa limpa e tela limpa, Política de utilização dos serviços de rede, Política de computação móvel, Política para o uso de controles criptográficos etc. Nota: a ISO 27001 não exige que todas essas políticas sejam implementadas e/ou documentadas, pois a decisão de aplicabilidade e extensão desses controles depende dos resultados da avaliação de riscos.

Como essas políticas devem conter mais detalhes, elas são geralmente mais longas, até dez páginas. Se elas forem muito mais longas do que isso, será muito difícil de implementá-las e mantê-las.

Em outras palavras, a segurança da informação é muito complexa para ser definida em uma única política – devido aos diferentes aspectos do SGSI e aos diferentes “grupos alvo” deve haver políticas diferentes. Organizações de médio porte geralmente produzem até quinze políticas seu SGSI.

Alguém poderia argumentar que esse número de políticas não é nada além de sobrecarga para uma empresa. Eu certamente concordaria se essas políticas forem escritas somente com a auditoria de certificação em mente, nesse caso elas não trariam nada além de mais burocracia. No entanto, se uma política for escrita com a intenção de diminuir os riscos, então ela muito provavelmente irá mostrar seu valor, se não imediatamente, em dois ou três anos, diminuindo o número de incidentes.

Você também pode conferir o tutorial em vídeo Como elaborar a Política de SGSI de acordo com a ISO 27001 (vídeo vendido comercialmente).