ISO 27001 & BS 25999

O WikiLeaks, hoje, é uma história muito popular por um bom motivo: não é muito comum que os documentos confidenciais do governo mais poderoso do mundo sejam publicados na Internet. E alguns desses documentos são, no mínimo, constrangedores.

Não vou escrever sobre a legalidade, ou ilegalidade, da publicação dessas informações pelo WikiLeaks, se essas informações deveriam ter se tornado públicas devido ao interesse do público ou não, ou sobre o que vai acontecer com o fundador do site (no momento em que escrevo este artigo Julian Assange está sob custódia) etc.

A questão é: se o WikiLeaks for encerrado, um novo WikiLeaks surgirá. Em outras palavras, a ameaça de vazamento de informações para o público é cada vez maior. (A propósito, antes de ser preso, Julian Assange tinha anunciado que iria publicar informações importantes sobre um banco dos EUA e suas principais negligências.)

Quero falar aqui sobre o ponto de vista corporativo: e se nós fôssemos o próximo alvo do WikiLeaks ou de seu clone? Como garantir a segurança de nossas informações e prevenir os danos de um incidente tão grande?

Exemplo simples

Mas como funciona a segurança da informação na prática? Vamos tomar um exemplo simples: você, muitas vezes, deixa seu laptop em seu carro, no banco de trás. Existem grandes possibilidades de que, mais cedo ou mais tarde, ele seja roubado.

O que você pode fazer para diminuir esse risco? Primeiro de tudo, você pode criar uma regra (escrevendo um procedimento ou uma política) que estabeleça que laptops não podem ser deixados em um carro sozinho, ou que os carros devem ser estacionados onde exista algum tipo de proteção física. Segundo, você pode proteger suas informações criando uma senha forte e criptografando seus dados. Além disso, você pode exigir que seus funcionários assinem uma declaração dizendo que eles são legalmente responsáveis pelos danos que possam ocorrer. Mas todas essas medidas poderão permanecer ineficazes se você não explicar as regras para seus funcionários através de um breve treinamento.

Então, o que você pode concluir a partir desse exemplo? A segurança da informação nunca é uma medida única de segurança, é sempre um conjunto de medidas. E as medidas não estão apenas relacionadas à TI, mas envolvem também questões organizacionais, gestão de recursos humanos, segurança física e proteção jurídica.

O problema é que esse foi um exemplo de um único laptop, sem nenhuma ameaça interna. Agora considere o quão complexo é proteger as informações de sua empresa, onde as informações não são arquivadas apenas nos seus PCs, mas também em vários servidores; não só nas gavetas de sua mesa, mas também em todos os seus telefones celulares; não somente em pen drives, mas também nas cabeças de todos os funcionários. E você pode ter um funcionário muito insatisfeito.

Parece uma tarefa impossível? Difícil, sim, mas não impossível.

Como abordar o problema

O que você precisa para resolver esse complexo problema é uma estrutura. A boa notícia é que essas estruturas já existem na forma de normas. A mais conhecida é a ISO 27001, a principal norma internacional sobre gestão da segurança da informação, mas existem outras: COBIT, NIST SP série 800, PCI DSS etc.

Neste post, meu foco será a ISO 27001, pois acho que ela fornece um boa base para a construção do sistema de segurança da informação, pois oferece um catálogo com 133 controles de segurança, além da flexibilidade de aplicar apenas os controles que são realmente necessários para seus riscos. Mas sua melhor característica é que define uma estrutura de gestão para controlar e direcionar as questões de segurança, fazendo com que a gestão da segurança se torne parte da gestão global da organização.

Em resumo, essa norma permite considerar todas as informações de diversas formas e todos os riscos, além de fornecer um caminho para solucionar cuidadosamente cada possível problema e manter suas informações seguras.

Consequências para os negócios

As empresas devem ter medo de que suas informações vazem para o público? Se estão fazendo algo ilegal ou antiético, certamente deveriam.

No entanto, para as empresas que operam legalmente, se desejam proteger seus negócios, elas não podem pensar apenas em termos de retorno sobre investimento, participação no mercado, competência específica e visão de longo prazo. Sua estratégia também deve levar em conta as questões de segurança, pois ter informações desprotegidas pode custar-lhes muito mais do que, por exemplo, um lançamento fracassado de um novo produto. Por segurança, me refiro não só à segurança física, porque isso simplesmente não é mais suficiente – a tecnologia possibilita o vazamento de informações através de vários meios.

O que é necessário é uma abordagem abrangente da segurança da informação. Não importa se você usa a ISO 27001, o COBIT ou alguma outra estrutura, o importante é fazer isso de forma sistemática. E isso não é um esforço isolado, é uma operação contínua. E, sim, isso não é algo que sua equipe de TI pode fazer sozinha; toda a empresa tem de participar, começando pela diretoria executiva.

Alguma vez você já tentou convencer sua gerência a financiar a implementação da segurança da informação? Se você já tentou, provavelmente sabe como funciona: eles vão lhe perguntar quanto custa, e se parecer muito caro eles irão dizer que não.

Na verdade, você não deve culpá-los, afinal, a responsabilidade principal deles é a rentabilidade da empresa. Isso significa que todas as decisões deles se baseiam no equilíbrio entre investimento e benefício, ou, na linguagem da administração, ROI (retorno sobre o investimento).

Isso significa que você deve fazer sua lição de casa antes de tentar propor um investimento dessa natureza – pense cuidadosamente sobre como apresentar os benefícios, utilizando uma linguagem que a gerência irá entender e aprovar.

Tentarei ajudá-lo. Os benefícios da segurança da informação, principalmente a implementação da ISO 27001, são inúmeros. Mas, segundo a minha experiência, os quatro a seguir são os mais importantes:

1. Conformidade

Pode parecer estranho listar a conformidade como o primeiro benefício, mas ela muitas vezes mostra o mais rápido “retorno sobre o investimento”: se uma organização precisa cumprir com diversos regulamentos sobre proteção de dados, privacidade e governança de TI (especialmente se for uma organização financeira, de saúde ou governamental), a ISO 27001 pode trazer a metodologia que permitirá fazer isso da maneira mais eficiente.

2. Vantagem de mercado

Em um mercado que é cada vez mais competitivo, às vezes é muito difícil encontrar algo que irá diferenciá-lo aos olhos dos clientes. A ISO 27001 pode ser, de fato, um ponto de venda inigualável, especialmente se você lida com informações confidenciais dos clientes.

3. Redução de despesas

A segurança da informação geralmente é considerada como um custo sem ganho financeiro aparente. No entanto, há ganho financeiro se você diminuir os gastos causados por incidentes. Você provavelmente tem interrupções no serviço, ou vazamentos ocasionais de dados, ou funcionários descontentes. Ou ex-funcionários descontentes.

A verdade é que ainda não existe uma metodologia e/ou tecnologia para calcular quanto dinheiro você poderia economizar se prevenisse esses incidentes. Mas é sempre bom chamar a atenção da gerência para esses casos.

4. Organização da empresa

Este é provavelmente o ponto mais subestimado – se sua empresa vem crescendo acentuadamente durante os últimos anos, você pode ter problemas como: quem tem de decidir o quê, quem é responsável por determinados ativos de informações, quem tem de autorizar o acesso a sistemas de informações etc.

A ISO 27001 é especialmente útil na solução desses problemas, pois ela irá forçá-lo a definir muito precisamente tanto as responsabilidades quanto os deveres e, portanto, reforçar sua organização interna.

Para concluir, a ISO 27001 pode trazer muitos benefícios e não ser apenas mais um certificado em sua parede. Na maioria dos casos, se você apresentar esses benefícios de forma clara, a gerência irá começar a prestar atenção.

Você também pode conferir o webinar ISO 27001 / BS 25999-2 management responsibilities: What does management need to know? (treinamento vendido comercialmente).

Algumas pessoas podem até pensar que esses dois termos são sinônimos, afinal, a segurança da informação não está totalmente relaciona a computadores?

Não necessariamente. O ponto principal é este: você pode ter medidas perfeitas de segurança de TI, mas apenas um ato malicioso feito, por exemplo, pelo administrador pode trazer todo o sistema de TI abaixo. Esse risco não tem nada a ver com computadores, tem a ver com as pessoas, processos, supervisão etc.

Além disso, informações importantes podem não estar em formato digital, podem estar no papel. Por exemplo, um importante contrato assinado com o maior cliente, anotações pessoais feitas pelo diretor executivo, ou senhas de administrador impressas e armazenadas em um cofre.

É por isso que eu sempre digo aos meus clientes que a segurança de TI é 50% da segurança da informação, porque a segurança da informação também compreende a segurança física, a gestão de recursos humanos, a proteção jurídica, a organização, os processos etc. O objetivo da segurança da informação é construir um sistema que leve em consideração todos os possíveis riscos para a segurança da informação (relacionados, ou não, à TI) e implementar controles abrangentes que reduzam todos os tipos de riscos inaceitáveis.

Essa abordagem integrada para a segurança da informação é muito bem definida na ISO 27001, a principal norma internacional sobre gestão da segurança da informação. Em suma, ela exige que a avaliação de riscos seja feita em todos os ativos da organização, incluindo hardware, software, documentação, pessoas, fornecedores, parceiros etc., e que controles aplicáveis sejam escolhidos para diminuir esses riscos.

A ISO 27001 oferece 133 controles em seu Anexo A. Fiz uma rápida análise dos controles, e os resultados são os seguintes:

• controles relacionados à TI: 46%
• controles relacionados à organização/documentação: 30%
• controles de segurança física: 9%
• proteção jurídica: 6%
• controles relacionados à relação com fornecedores e compradores: 5%
• controles de gestão de recursos humanos: 4%

O que significa tudo isso em termos de segurança da informação/implementação da ISO 27001? Esse tipo de projeto não deve ser visto como um projeto de TI, porque, como tal, é provável que nem todas as partes da organização estejam dispostas a participar. Deve ser visto como um projeto de toda a empresa, do qual todas as pessoas relevantes de todas as unidades de negócios devem participar: alta administração, equipe de TI, especialistas jurídicos, gestores de recursos humanos, equipe da segurança física, o lado comercial da organização etc. Sem essa abordagem, você vai acabar trabalhando com segurança de TI, e isso não irá protegê-lo dos maiores riscos.

Você também pode conferir o webinar ISO 27001 Foundations Part 3: Annex A overview (treinamento vendido comercialmente).

À primeira vista, segurança da informação e continuidade de negócios não têm muito em comum – alguns diriam que a única semelhança é que estão relacionadas à TI.

A gestão da segurança da informação é melhor definida na norma internacional ISO/IEC 27001, enquanto a gestão da continuidade de negócios é definida na norma britânica BS 25999-2. Portanto, se quisermos comparar esses dois tópicos, o mais sensato a se fazer é dar uma olhada no que essas duas normas têm a dizer.

Em primeiro lugar, a TI é uma parte importante da ISO 27001 e da BS 25999-2, mas de maneira alguma essas duas normas estão relacionadas apenas à TI. A ênfase é em processos de negócios e ativos e em riscos associados. É verdade que a TI é a principal ferramenta para processar os dados, mas o fato é que os maiores riscos estão ligados a atividades maliciosas e não intencionais das pessoas. Portanto, os riscos associados à segurança da informação ou à continuidade de negócios não podem ser resolvidos apenas pela tecnologia da informação, pois é muito mais importante definir a organização, os processos e as responsabilidades dentro da organização.

Mas o que é, essencialmente, segurança da informação? A ISO 27001 define como “preservação da confidencialidade, integridade e disponibilidade da informação”. Por outro lado, a BS 25999-2 define a continuidade dos negócios como “a capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios para continuar suas operações em um nível aceitável previamente definido”.

As duas explicações não parecem muito semelhantes. No entanto, há uma coisa que as torna muito parecidas: a disponibilidade. O foco da segurança da informação e da continuidade de negócios é manter as informações disponíveis para aqueles que precisam delas. A respeito disso, o Anexo A da ISO 27001 oferece alguns controles dedicados exclusivamente à continuidade dos negócios.

Além disso, ambas as normas exigem a realização da avaliação dos riscos, a fim de identificar possíveis problemas relacionados à informação. Ambas as normas requerem gerenciamento de documentos, realização de auditorias internas, análise crítica da gestão e ações corretivas e preventivas. Isso significa que se você já tem a documentação para a ISO 27001, você pode usar os mesmos procedimentos para a BS 25999-2 (com apenas pequenos ajustes).

Quais são as diferenças? A principal diferença está no nível de detalhamento. A ISO 27001 abrange uma área muito maior e, portanto, não é muito precisa quando se trata de continuidade de negócios. Por outro lado, a BS 25999-2 descreve em detalhes como realizar análise de impacto nos negócios, como definir a estratégia de continuidade de negócios ou qual deve ser o conteúdo dos planos de continuidade de negócios etc.

Para concluir, a ideia principal é que você pode considerar a continuidade de negócios como parte da segurança da informação. O uso prático disso é que quando se trata de implementar a continuidade dos negócios no contexto da ISO 27001, é melhor usar a BS 25999-2 como uma diretriz.

Você também pode conferir o nosso webinar ISO 27001 & BS 25999-2: Why is it better to implement them together? grátis.