ISO 27001 & BS 25999

A importância da Declaração de aplicabilidade, também chamada de SoA, geralmente é subestimada. Como o Manual da qualidade na ISO 9001, ela é o principal documento que define como você vai implementar grande parte da sua segurança da informação.

Na verdade, a Declaração de aplicabilidade é a principal ligação entre a avaliação de riscos e o tratamento e a implementação da segurança da sua informação. Sua finalidade é definir qual dos 133 controles (medidas de segurança) sugeridos do anexo A da ISO 27001 será aplicado e a forma como serão implementados.

Por que é necessário?

Por que esse documento é necessário se você já elaborou o Relatório de avaliação de riscos, que também é obrigatório e define os controles necessários? Aqui estão os motivos:

• Antes de tudo, durante o tratamento dos riscos, você identifica os controles necessários porque identificou os riscos que precisam ser reduzidos. No entanto, na SoA você também identifica os controles que são necessários por outros motivos, ou seja, por causa da lei, dos requisitos contratuais, de outros processos, etc.

• Em segundo lugar, o Relatório de avaliação de riscos pode ser bastante demorado. Algumas organizações podem identificar milhares de riscos (às vezes, até mais), de modo que esse documento não é realmente útil para o cotidiano operacional. Por outro lado, a Declaração de aplicabilidade é pequena. Ela tem 133 linhas, cada uma representando um controle, o que torna possível apresentá-la à gestão e mantê-la atualizada.

• Em terceiro, e mais importante, a SoA deve documentar se cada controle aplicável já está implementado ou não. As boas práticas, algo observado pela maioria dos auditores, servem também para descrever a forma como cada controle aplicável é implementado, por exemplo, fazendo referência a um documento (política/processo/instrução de trabalho, etc.) ou descrevendo brevemente o procedimento ou equipamento utilizado.

Na verdade, se você busca a certificação ISO 27001, o auditor de certificação terá a sua Declaração de aplicabilidade em mãos e caminhará pela empresa verificando se você implementou os controles da forma descrita na sua SoA. Ela é o documento central para fazer a auditoria no local.

Poucas empresas percebem que escrevendo uma boa Declaração de aplicabilidade você poderia diminuir a quantidade de documentos. Por exemplo, se você deseja documentar um controle, mas a descrição do procedimento do controle é curta, você pode descrevê-lo na SoA. Portanto, você evitaria escrever outro documento.

Por que é útil?

Pela minha experiência, a maioria das empresas que implementam o sistema de gestão de segurança de acordo com a ISO 27001 gasta muito mais tempo elaborando este documento do que o previsto. O motivo é ter de pensar sobre como os controles serão implementados: Um novo equipamento vai ser comprado? Um procedimento vai ser alterado? Um funcionário será contratado? Essas decisões são muito importantes e, às vezes, caras. Por isso, espera-se que leve bastante tempo para que essas decisões sejam tomadas. O bom da SoA é que ela obriga as organizações a fazer este trabalho de forma sistemática.

Portanto, você não deve considerar este documento como um “documento que gera sobrecarga” que não tem utilidade na vida real. Pense na SoA como a declaração principal em você define o que quer fazer com a segurança da sua informação. Escrita da forma adequada, a SoA é uma visão geral perfeita do que precisa ser feito com a segurança da informação, porque precisa ser feito e como precisa ser feito.

Clique aqui para baixar um modelo gratuito da Declaração de aplicabilidade.

Sua gerência solicitou que você implementasse a continuidade de negócios, mas você não tem certeza de como fazê-lo? Embora essa não seja uma tarefa fácil, você pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui estão os principais passos necessários para implementar essa norma:

1. Obter o apoio da gerência

Embora este não seja um passo obrigatório na BS 25999-2, é certamente crucial no início, pois se a gerência não entender os benefícios da continuidade de negócios e não estiver comprometida com esse projeto, ele provavelmente irá fracassar.

2. Tratar como um projeto

Você precisará de bastante tempo e recursos para estabelecer seu sistema de gestão da continuidade de negócios (SGCN) – é preciso definir claramente o que precisa ser feito, em que prazo e quais são as funções na implementação do projeto. Em outras palavras, você tem de aplicar métodos de gerenciamento de projetos.

3. Definir objetivos e escopo; escrever uma Política de GCN

Você precisa definir o que quer alcançar com o SGCN – conformidade, diminuição do nível de risco, exigências de seus clientes/parceiros etc. Além disso, é necessário definir o que será incluído em seu SGCN: toda a organização, ou apenas uma parte dela. Por exemplo, você pode decidir que irá incluir apenas o seu centro de processamento de dados se estiver fornecendo serviços de hospedagem para seus clientes. Tudo isso tem de ser documentado na Política de GCN.

4. Definir funções e responsabilidades para o SGCN

Como o SGCN irá se tornar uma atividade permanente em sua organização, é preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (alguém responsável pelo SGCN, mas que não está envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em relação ao SGCN. É uma boa ideia documentar essas funções e responsabilidades na sua Política de GCN.

5. Implementar procedimentos obrigatórios

A BS 25999-2 requer que os quatro procedimentos obrigatórios a seguir sejam implementados: controle de documentos e registros, auditoria interna, ações preventivas e corretivas. Esses procedimentos são, na verdade, a base do seu sistema de gestão, à semelhança da ISO 27001 ou da ISO 9001.

6. Executar análise de impacto nos negócios e avaliação de riscos

Através da análise de impacto nos negócios você deve identificar as atividades críticas, o tempo máximo aceitável de interrupção, as dependências dessas atividades críticas (incluindo as dependências de fornecedores e parceiros de terceirização) e estabelecer os objetivos de tempo de recuperação.

Ao fazer a avaliação de riscos você descobre quais poderiam ser as causas para a interrupção de suas atividades críticas, estas podem ser naturais, mas também causadas pelo homem (seja intencional ou acidentalmente). Você também precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avaliação e o tratamento de riscos não são muito bem-definidos nesta norma, portanto, você pode dar uma olhada na ISO 27001, que os descreve em detalhes.

7. Determinar a estratégia de continuidade de negócios

Antes de prosseguir com a escrita dos planos de continuidade de negócios, você tem de determinar quais recursos precisa para retomar suas atividades críticas – pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceirização, etc.

A estratégia de continuidade de negócios deve determinar não apenas o que você precisa, mas também como você irá obter esses recursos.

8. Desenvolver planos de gestão de incidentes e planos de continuidade de negócios

O objetivo dos planos de gestão de incidentes é descrever como você irá responder diretamente à ocorrência de um incidente (por exemplo, incêndio, terremoto, ameaça de bomba, falta de energia etc.), a fim de evitar sua propagação e tentar diminuir seus efeitos diretos.

Por outro lado, o objetivo dos planos de continuidade de negócios é descrever como você irá recuperar suas atividades críticas, como irá colocar em ação todos os recursos que preparou. Isso significa que você tem de descrever quem vai fazer o quê, em que o tempo, usando quais dados e tecnologias, para colocar sua organização em funcionamento novamente.

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal não estar disponível. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de executá-los.

9. Treinamento e conscientização

Você precisa definir o nível de competência necessária para a execução dos planos de continuidade de negócios em caso de interrupção e, então, treinar toda a equipe (funcionários e parceiros externos) para obter esse nível de competência.

No entanto, isso não é suficiente, você também precisa explicar à equipe porque a GCN é necessária. Sejamos realistas – seus planos de continuidade de negócios serão usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperdício de tempo. Portanto, você deve explicar porque eles precisam existir. (Consulte também Como lidar com os céticos em relação à GCN)

10. Exercício do SGCN

Se você acha que escreveu seus planos perfeitamente, é provável que esteja errado, pois é quase impossível escrever um plano sem erros logo no início. É por isso que o exercício é uma parte obrigatória da GCN. Você tem de testar seus planos em uma situação mais ou menos parecida com uma interrupção real. Só assim você irá descobrir o que está bem planejado e o que não está.

11. Manter e revisar o SGCN

Outra maneira de manter seu SGCN atualizado é definindo a periodicidade com que irá revisar seus planos de continuidade de negócios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceirização, treinamento e conscientização etc.) Há muitos tipos de mudanças no ambiente que ameaçam tornar sua documentação obsoleta – basta um funcionário que tinha uma função no SGCN deixar a empresa para se ter um número de telefone inútil no plano.

Também é obrigatório realizar uma revisão pós-incidente, se um incidente realmente ocorrer – o objetivo é descobrir como a organização reagiu – o plano foi seguido ou não.

12. Realizar auditoria interna

O objetivo da auditoria interna é descobrir, de forma objetiva, se há algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo está errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)

13. Executar análise crítica da gestão

Como disse antes, é muito importante envolver a gerência no projeto, a análise crítica da gestão foi projetada exatamente para isso. A norma exige que a gerência examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a gerência tem de decidir quais melhorias devem ser feitas.

14. Ações preventivas e corretivas

A melhor coisa é evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconteçam – é para isso que usamos as ações preventivas. Elas são uma forma sistemática de corrigir as coisas antes de ocorrer um problema. Parecidas com as ações preventivas, também existem as ações corretivas, que resolvem o problema que já ocorreu.

Agora a questão é: para que serve a BS 25999-2? Embora não seja (ainda) uma norma internacional, é a norma mais usada para a continuidade de negócios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de negócios, por isso, se você quiser implementar as práticas mais aceitas para a continuidade de negócios, você não precisa procurar mais.

Aqui você pode baixar o diagrama do Processo de implementação da BS 25999-2, que mostra todas essas etapas, juntamente com a documentação exigida (é necessário fazer um registro).

O Anexo A da ISO 27001 provavelmente é o anexo mais mencionado de qualquer norma de gestão. Por que se fala tanto sobre isso? Por que, às vezes, ele é polêmico?

Se você leu o Anexo A, sabe que há 133 controles de segurança listados. Se esse é o caso, para que serve a parte principal da norma?

O objetivo

O Anexo A contém as seguintes cláusulas (às vezes chamadas de domínios do Anexo A da ISO 27001):

• A.5 Política de segurança
• A.6 Organizando a segurança da informação
• A.7 Gestão de ativos
• A.8 Segurança em recursos humanos
• A.9 Segurança física e do ambiente
• A.10 Gerenciamento das operações e comunicações
• A.11 Controle de acessos
• A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
• A.13 Gestão de incidentes de segurança da informação
• A.14 Gestão da continuidade do negócio
• A.15 Conformidade

Como já foi mencionado, o Anexo A contém 133 controles que, como pode ser visto a partir dos nomes das cláusulas, não estão focados apenas em TI. Eles também abrangem a segurança física, a proteção jurídica, a gestão de recursos humanos, as questões organizacionais etc.

Portanto, você pode considerar o Anexo A como uma forma de catálogo de medidas de segurança para ser utilizado durante o processo de tratamento. Depois de identificar os riscos inaceitáveis na avaliação de riscos, o Anexo A irá ajudá-lo a escolher os controles corretos para diminuir esses riscos. E garantir que você não esqueça de nenhum controle importante.

O Anexo A é onde a ISO 27001 e a ISO 27002 se unem. Os controles da ISO 27002 são nomeados da mesma forma que no Anexo A da ISO 27001, mas a diferença está no nível de detalhamento. A ISO 27001 fornece apenas uma curta definição de um controle, enquanto a ISO 27002 fornece diretrizes detalhadas sobre como implementar o controle.

Desvantagens

Se até agora você está pensando que o Anexo A é uma ferramenta de implementação perfeita para seu projeto de segurança da informação, não seja tão otimista, ele também tem algumas coisas que não fazem muito sentido. Por exemplo, alguns controles definem quase os mesmos problemas, o que às vezes causa confusão, como o A.9.2.6 (Reutilização e alienação segura de equipamentos) e o A.10.7.2 (Descarte de mídias). Por outro lado, algumas questões, como as relações com terceiros, estão espalhadas por várias cláusulas do Anexo A – você pode encontrar esse assunto nas cláusulas A.6.2 (Partes externas), A.8 (Segurança em recursos humanos) e A.10.2 (Gerenciamento de serviços terceirizados), e no controle A.12.5.5 (Desenvolvimento terceirizado de software). Isso, às vezes, torna o Anexo A uma ferramenta de implementação difícil de usar.

Mas nem sempre são apenas ambiguidades – em alguns controles, o Anexo A menciona políticas e procedimentos, no entanto, não exige que sejam documentados. Pode parecer estranho, mas apenas quando a palavra “documentado” aparece é que a norma exige políticas/procedimentos escritos. Quando você analisa todo o Anexo A, ele menciona a palavra “documentado” em apenas 6 controles (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1). Isso significa que você pode implementar todos os outros controles sem documentá-los.

No entanto, você não deve abusar dessa flexibilidade do Anexo A – quanto maior a organização, mais documentos devem ser produzidos, a fim de garantir que todos estejam cientes dos (e cumpram com os) procedimentos de segurança. Por outro lado, você deve ter cuidado para não exagerar na documentação, se esta for excessiva, ninguém irá estudá-la.

Relação com a parte principal da ISO 27001

A parte principal da norma ou, mais precisamente, as cláusulas obrigatórias de 4 a 8 contêm a parte de gestão da norma. Essas cláusulas descrevem o ciclo PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir), incluindo a avaliação e o tratamento de riscos, o controle da documentação, o controle de registros, o fornecimento de recursos, a auditoria interna, a análise crítica da gestão, as ações corretivas e preventivas etc.

Como dito anteriormente, o processo de avaliação e tratamento de riscos é a principal ligação entre as cláusulas 4 a 8 e os controles do Anexo A – ele irá ajudá-lo a decidir se os controles individuais do Anexo A são necessários para diminuir os riscos ou não.

Isso significa que as cláusulas 4 a 8 e o Anexo A não podem existir um sem o outro. A avaliação de riscos não faz sentido se não houver controles para diminuir os riscos, e a única maneira de determinar a aplicabilidade dos controles é por meio da avaliação de riscos.

Na minha opinião, esse foco nos riscos e a flexibilidade de aplicar controles de segurança de acordo com o que você considera conveniente são as melhores coisas da ISO 27001 – você só precisa ter o cuidado de tirar o máximo proveito disso.

Você também pode conferir o webinar ISO 27001 Foundations Part 3: Annex A overview (treinamento vendido comercialmente).

Já vi muitas pequenas empresas (com até 50 funcionários) tentarem utilizar ferramentas de avaliação de riscos como parte de seu projeto de implementação da norma ISO 27001. O resultado é que, normalmente, isso demanda muito tempo e dinheiro e traz poucos benefícios.

Em primeiro lugar, o que realmente significa avaliação de riscos e qual seu objetivo?  A avaliação de riscos é um processo no qual uma empresa deve identificar riscos de segurança para suas informações e determinar a probabilidade de ocorrência e seu impacto. Basicamente, a empresa deve reconhecer todos os possíveis problemas que podem afetar suas informações, com que probabilidade poderiam ocorrer e que consequências trariam. O objetivo da avaliação de riscos é descobrir quais controles são necessários para diminuir o risco. A seleção de controles é chamada de processo de tratamento de riscos; na ISO 27001, os controles são escolhidos com base no Anexo A, que especifica 133 controles.

A avaliação de riscos é realizada por meio da identificação e da avaliação de ativos, vulnerabilidades e ameaças. Um ativo é tudo aquilo que tem valor para a empresa – hardware, software, pessoal, infraestrutura, dados (em diferentes formas e mídias), fornecedores e parceiros etc. Uma vulnerabilidade é um ponto fraco em um ativo, processo, controle etc., que poderia ser explorado por uma ameaça. Uma ameaça é qualquer coisa que possa danificar um sistema ou uma organização. Um exemplo de vulnerabilidade é a falta de um software de antivírus; uma ameaça relacionada é um vírus de computador.

Sabendo de tudo isso, se sua organização é pequena, você realmente não precisa de uma ferramenta sofisticada para fazer a avaliação de riscos. Tudo o que você precisa é de uma planilha do Excel, uma relação abrangente de vulnerabilidades e ameaças e uma boa metodologia de avaliação de riscos. A principal tarefa, na verdade, é avaliar a probabilidade e o impacto, e isso não pode ser feito por nenhuma ferramenta – é algo que somente os proprietários dos ativos, com seu conhecimento sobre esses ativos, podem fazer.

Então, onde você poderá obter essa relação e a metodologia? Se você tiver contratado um consultor, ele poderá fornecer esses documentos; caso contrário, existem modelos de relações disponíveis na internet, basta fazer uma pesquisa no Google. A metodologia não está disponível gratuitamente, mas você pode usar a norma ISO 27005 (ela descreve a avaliação e o tratamento de riscos em detalhes), ou você pode usar outros sites que vendam a metodologia. Tudo isso deve custar menos tempo e dinheiro do que comprar uma ferramenta de avaliação de riscos e aprender a usá-la.

Uma boa metodologia deve conter um método para identificação de ativos, ameaças e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, além de um método para calcular o risco e definir o nível aceitável desse risco. As relações devem conter pelo menos 30 vulnerabilidades e 30 ameaças. Algumas apresentam até algumas centenas de cada, mas provavelmente isso é um exagero para uma empresa pequena.

O processo não é nada complicado, aqui estão os passos básicos para avaliação e tratamento:

1. definir e documentar a metodologia (incluindo as relações), distribuí-la a todos os proprietários de ativos na organização
2. organizar entrevistas com os proprietários de ativos durante a qual eles deverão identificar seus ativos e vulnerabilidades e ameaças relacionadas; na segunda etapa, peça a eles para avaliar a probabilidade e o impacto, caso ocorram riscos específicos
3. unir os dados em uma única planilha, calcular os riscos e indicar quais riscos não são aceitáveis
4. para cada risco que não for aceitável, escolher um ou mais controles do Anexo A da norma ISO 27001 e calcular qual seria o novo nível de risco após esses controles serem implementados

Para concluir: avaliação e tratamento de riscos realmente são a base da segurança da informação/ISO 27001, mas isso não significa que precisam ser complicados. É possível fazer isso de forma simples, e seu bom senso é o que realmente importa.

Você também pode conferir o tutorial em vídeo Como implementar o tratamento de riscos de acordo com a ISO 27001 (vídeo vendido comercialmente).