ISO 27001 & BS 25999

Essa geralmente é uma das primeiras perguntas feita por clientes em potencial. Para sua decepção, não posso informar o valor exato de imediato; veja o porquê.

Em primeiro lugar, o custo total da implantação depende do tamanho da sua organização ou das unidades de negócios que serão incluídas no escopo da ISO 27001, do grau de importância das informações (por exemplo, informações em bancos são consideradas mais críticas e exigem mais proteção), da tecnologia utilizada pela organização (por exemplo, os centros de dados tendem a ter custos mais altos por causa de seus sistemas complexos) e das exigências da legislação (em geral, os setores financeiro e governamentais são fortemente regulamentados no que diz respeito à segurança da informação).

Em segundo lugar, não é possível calcular os custos exatos antes de saber qual nível de proteção você precisa. Antes, é preciso executar a avaliação de riscos, pois essa análise indica as medidas de segurança necessárias.

Após obter os resultados da avaliação de riscos, você deverá levar em consideração os seguintes custos:

1. O custo de livros especializados e treinamento

A implementação da ISO 27001 exige mudanças na sua organização e requer novas habilidades. Você pode preparar seus funcionários com livros sobre o assunto e/ou cursos (presenciais ou on-line). A duração dos cursos varia de 1 a 5 dias (leia Como aprender sobre a ISO 27001 e a BS 25999-2).

E não se esqueça de comprar a própria norma ISO 27001. Muitas vezes me deparo com empresas que estão implementando a norma sem tê-la em mãos.

2. O custo da ajuda externa

Infelizmente, treinar seus funcionários não é o suficiente. Se você não tiver um gerente de projetos com profunda experiência na implementação da ISO 27001, você precisará de alguém com esse conhecimento; você pode contratar um consultor ou encontrar alguma alternativa on-line (é isso que fazemos na Information Security & Business Continuity Academy).

A principal vantagem de ter alguém com experiência ajudando nesse tipo de projeto é que você não vai correr o risco de chegar a becos sem saída, passando meses a fio envolvido em atividades que não são realmente necessárias ou elaborando toneladas de documentações que não são exigidas pela norma.Esses desvios geram custos consideráveis.

No entanto, tenha cuidado nesse sentido e não espere que o consultor faça toda a implementação para você. A ISO 27001 pode ser implementada pelos seus funcionários.

3. O custo da tecnologia

Pode parecer engraçado, mas a maioria das empresas com as quais trabalhei não precisou de um grande investimento em hardware, software ou ferramentas semelhantes – tudo isso já existia. O maior desafio geralmente era como usar a tecnologia existente de forma mais segura.

4. O custo do tempo dos funcionários

A norma não se implementa sozinha e também não pode ser implementada somente pelo consultor (se você tiver contratado um). Seus funcionários precisam passar algum tempo tentando descobrir onde estão os riscos, como melhorar os procedimentos e as políticas existentes ou implementar novos procedimentos e políticas. Eles também precisam reservar parte de seu tempo para o treinamento para assumir novas responsabilidades e adaptação às novas regras.

Contudo, você precisa planejar esse tipo de investimento se ele for realmente necessário.

5. O custo da certificação

Se você deseja obter a prova pública de que cumpriu com a norma ISO 27001, o organismo de certificação precisará realizar uma auditoria de certificação e o custo dessa auditoria depende da relação dias-homem para a conclusão do trabalho, que varia de menos de 10 dias-homem em pequenas empresas a algumas dúzias de dias-homem em grandes organizações. O custo de dias-homem depende do mercado local.

É preciso ter muito cuidado para não subestimar o verdadeiro custo do projeto da ISO 27001. Se fizer isso, a gestão da sua empresa verá o projeto como algo negativo. Por outro lado, prever os custos corretamente irá mostrar seu nível de profissionalismo. E não se esqueça, você sempre deve apresentar os custos e benefícios. Leia Quatro principais benefícios da implementação da ISO 27001.

También puede dar un vistazo a nuestro tutorial en vídeo Como criar um projeto de ISO 27001 – Elaboração do Plano do projeto (es un vídeo comercial disponible para la venta).

Informar-se é certamente uma das melhores maneiras de facilitar a implementação da ISO 27001 e da BS 25999-2. Como existem cada vez mais tipos de cursos disponíveis, tentarei explicar seus benefícios e as diferenças entre eles.

Primeiro está a lista dos cursos presenciais – esses cursos ainda são predominantes, mas estão perdendo espaço para os cursos on-line (explicados no final deste artigo).

Curso de Auditor Coordenador para ISO 27001 ou BS 25999-2

Este é o curso mais procurado tanto para a ISO 27001 quanto para a BS 25999-2. Ele dura cinco dias e termina com um exame escrito. O exame é bastante difícil, então pode-se considerar que este é o curso de nível mais alto para as duas normas. Se você passar no exame, pode se tornar um auditor de um organismo de certificação, mas esse não é o principal benefício – este é o curso mais útil para os profissionais que estão implementando as normas, porque fornece uma excelente visão geral das normas e explicações detalhadas do que os auditores de certificação irão solicitar na auditoria de certificação. Portanto, é útil tanto para os auditores quanto para os implementadores.

O público-alvo deste curso são profissionais com experiência moderada ou significativa em segurança da informação, continuidade de negócios, auditoria ou TI. Você deve escolher somente cursos certificados (por exemplo, irca.org – IRCA).

Curso de Implementador Coordenador para ISO 27001 ou BS 25999-2

Este curso é um pouco semelhante ao Curso de Auditor Coordenador para ISO 27001 ou BS 25999-2, mas menos conhecido. A diferença é que este se concentra em técnicas de implementação, em vez de técnicas de auditoria. Portanto, se a certificação não é sua preocupação, você pode achar este curso mais adequado.

Aqui, o público-alvo é semelhante: profissionais com experiência moderada ou significativa em segurança da informação, continuidade de negócios ou TI.

Curso de Auditor Interno para ISO 27001 ou BS 25999-2

Este curso é uma versão mais leve do Curso de Auditor Coordenador para ISO 27001 ou BS 25999-2. Ele geralmente dura 2 ou 3 dias, podendo ou não ter um exame, e o conteúdo é uma versão condensada do Curso de Auditor Coordenador. A principal diferença é que, com este curso, você não pode aspirar uma carreira como auditor de um organismo de certificação. No entanto, se você deseja ter uma introdução sistemática ao mundo da ISO 27001 ou da BS 25999-2 ou se pretende ser um auditor interno na sua empresa, este curso é a escolha certa para você.

O público-alvo são profissionais com pouca experiência ou experiência moderada em segurança da informação, continuidade de negócios ou TI.

Curso de Introdução para ISO 27001 ou BS 25999-2

Este curso geralmente dura um ou dois dias, sua finalidade não é ensiná-lo sobre técnicas de auditoria ou implementação, mas fornecer uma visão geral das necessidades e problemas da implementação. Se você não tem muito tempo livre e deseja saber o que acontecerá com sua empresa durante a implementação, pense seriamente em fazer este curso.

O público-alvo são membros da gerência ou profissionais sem experiência em segurança da informação ou continuidade de negócios.

Outros cursos de segurança da informação/continuidade de negócios

Você pode ter ouvido falar em Auditor de Sistemas de Informação Certificado (CISA), Gerente Certificado da Segurança da Informação (CISM) ou Profissional de Segurança de Sistemas de Informação Certificado (CISSP). Embora eu considere estes cursos muito úteis para sua carreira em segurança da informação ou em continuidade de negócios, eles não são diretamente relevantes para a ISO 27001 ou a BS 25999-2. Portanto, você deve fazer os cursos CISA, CISM e/ou CISSP depois de concluir os cursos diretamente relacionados às duas normas.

Cursos on-line

Além dos cursos presenciais acima mencionados, os cursos on-line (seja na forma de e-learning ou webinars ao vivo) estão se tornando cada vez mais populares, em parte devido aos custos mais baixos – sem despesas com deslocamento, além de não se perder tempo longe do escritório. Existem cada vez mais fornecedores na internet, oferecendo cada vez mais conteúdo de qualidade (incluindo a Information Security & Business Continuity Academy – Escola de Segurança da Informação e Continuidade de Negócios). É possível encontrar cursos com duração de uma hora (por exemplo, webinars gratuitos) até algumas semanas (por exemplo, cursos e-learning).

A principal vantagem dos cursos on-line é que você pode receber um conhecimento mais relevante em um curto período de tempo e custando menos, embora a questão da real eficácia desses cursos ainda permaneça sem resposta.

Porém, independentemente de qual forma ou tipo de curso você escolher, tenha certeza de uma coisa: o retorno sobre o investimento será percebido muito rapidamente.

Você também pode conferir a nossa série de tutoriais em vídeo da ISO 27001, que apresentam todos os passos de uma implementação ISO 27001 (vídeos vendidos comercialmente).

Sua gerência solicitou que você implementasse a continuidade de negócios, mas você não tem certeza de como fazê-lo? Embora essa não seja uma tarefa fácil, você pode usar a metodologia da BS 25999-2 para facilitar sua vida. Aqui estão os principais passos necessários para implementar essa norma:

1. Obter o apoio da gerência

Embora este não seja um passo obrigatório na BS 25999-2, é certamente crucial no início, pois se a gerência não entender os benefícios da continuidade de negócios e não estiver comprometida com esse projeto, ele provavelmente irá fracassar.

2. Tratar como um projeto

Você precisará de bastante tempo e recursos para estabelecer seu sistema de gestão da continuidade de negócios (SGCN) – é preciso definir claramente o que precisa ser feito, em que prazo e quais são as funções na implementação do projeto. Em outras palavras, você tem de aplicar métodos de gerenciamento de projetos.

3. Definir objetivos e escopo; escrever uma Política de GCN

Você precisa definir o que quer alcançar com o SGCN – conformidade, diminuição do nível de risco, exigências de seus clientes/parceiros etc. Além disso, é necessário definir o que será incluído em seu SGCN: toda a organização, ou apenas uma parte dela. Por exemplo, você pode decidir que irá incluir apenas o seu centro de processamento de dados se estiver fornecendo serviços de hospedagem para seus clientes. Tudo isso tem de ser documentado na Política de GCN.

4. Definir funções e responsabilidades para o SGCN

Como o SGCN irá se tornar uma atividade permanente em sua organização, é preciso definir responsabilidades claras para ele, principalmente para o “patrono” do SGCN (alguém responsável pelo SGCN, mas que não está envolvido nas atividades do dia a dia do SGCN), para o “coordenador do SGCN”, para o “gerente do SGCN”, ou algo semelhante, e uma ou mais pessoas com deveres ativos em relação ao SGCN. É uma boa ideia documentar essas funções e responsabilidades na sua Política de GCN.

5. Implementar procedimentos obrigatórios

A BS 25999-2 requer que os quatro procedimentos obrigatórios a seguir sejam implementados: controle de documentos e registros, auditoria interna, ações preventivas e corretivas. Esses procedimentos são, na verdade, a base do seu sistema de gestão, à semelhança da ISO 27001 ou da ISO 9001.

6. Executar análise de impacto nos negócios e avaliação de riscos

Através da análise de impacto nos negócios você deve identificar as atividades críticas, o tempo máximo aceitável de interrupção, as dependências dessas atividades críticas (incluindo as dependências de fornecedores e parceiros de terceirização) e estabelecer os objetivos de tempo de recuperação.

Ao fazer a avaliação de riscos você descobre quais poderiam ser as causas para a interrupção de suas atividades críticas, estas podem ser naturais, mas também causadas pelo homem (seja intencional ou acidentalmente). Você também precisa fazer o tratamento dos riscos, o que significa encontrar uma maneira de diminuir a possibilidade de algo dar errado. Infelizmente, a avaliação e o tratamento de riscos não são muito bem-definidos nesta norma, portanto, você pode dar uma olhada na ISO 27001, que os descreve em detalhes.

7. Determinar a estratégia de continuidade de negócios

Antes de prosseguir com a escrita dos planos de continuidade de negócios, você tem de determinar quais recursos precisa para retomar suas atividades críticas – pessoas, locais, dados, hardware, software, fornecedores, parceiros de terceirização, etc.

A estratégia de continuidade de negócios deve determinar não apenas o que você precisa, mas também como você irá obter esses recursos.

8. Desenvolver planos de gestão de incidentes e planos de continuidade de negócios

O objetivo dos planos de gestão de incidentes é descrever como você irá responder diretamente à ocorrência de um incidente (por exemplo, incêndio, terremoto, ameaça de bomba, falta de energia etc.), a fim de evitar sua propagação e tentar diminuir seus efeitos diretos.

Por outro lado, o objetivo dos planos de continuidade de negócios é descrever como você irá recuperar suas atividades críticas, como irá colocar em ação todos os recursos que preparou. Isso significa que você tem de descrever quem vai fazer o quê, em que o tempo, usando quais dados e tecnologias, para colocar sua organização em funcionamento novamente.

Todos esses planos precisam ser descritos detalhadamente, porque devem ser executados mesmo no caso de a equipe principal não estar disponível. Portanto, tem de ser escritos de tal forma que outras pessoas sejam capazes de executá-los.

9. Treinamento e conscientização

Você precisa definir o nível de competência necessária para a execução dos planos de continuidade de negócios em caso de interrupção e, então, treinar toda a equipe (funcionários e parceiros externos) para obter esse nível de competência.

No entanto, isso não é suficiente, você também precisa explicar à equipe porque a GCN é necessária. Sejamos realistas – seus planos de continuidade de negócios serão usados, talvez, uma vez na vida, por isso, a maioria das pessoas os consideram um desperdício de tempo. Portanto, você deve explicar porque eles precisam existir. (Consulte também Como lidar com os céticos em relação à GCN)

10. Exercício do SGCN

Se você acha que escreveu seus planos perfeitamente, é provável que esteja errado, pois é quase impossível escrever um plano sem erros logo no início. É por isso que o exercício é uma parte obrigatória da GCN. Você tem de testar seus planos em uma situação mais ou menos parecida com uma interrupção real. Só assim você irá descobrir o que está bem planejado e o que não está.

11. Manter e revisar o SGCN

Outra maneira de manter seu SGCN atualizado é definindo a periodicidade com que irá revisar seus planos de continuidade de negócios e outros planos e acordos (por exemplo, contratos com fornecedores e parceiros de terceirização, treinamento e conscientização etc.) Há muitos tipos de mudanças no ambiente que ameaçam tornar sua documentação obsoleta – basta um funcionário que tinha uma função no SGCN deixar a empresa para se ter um número de telefone inútil no plano.

Também é obrigatório realizar uma revisão pós-incidente, se um incidente realmente ocorrer – o objetivo é descobrir como a organização reagiu – o plano foi seguido ou não.

12. Realizar auditoria interna

O objetivo da auditoria interna é descobrir, de forma objetiva, se há algo errado. O auditor interno deve ser uma pessoa que pode descobrir se algo está errado no seu SGCN, a fim de corrigir o erro. Se realizada corretamente, a auditoria interna pode ser uma das melhores maneiras de melhorar seu SGCN. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)

13. Executar análise crítica da gestão

Como disse antes, é muito importante envolver a gerência no projeto, a análise crítica da gestão foi projetada exatamente para isso. A norma exige que a gerência examine todos os fatos relevantes sobre GCN e decida se ela cumpriu com seu objetivo. Depois disso, a gerência tem de decidir quais melhorias devem ser feitas.

14. Ações preventivas e corretivas

A melhor coisa é evitar que os erros (ou nos termos da BS 25999, as “inconformidades”) aconteçam – é para isso que usamos as ações preventivas. Elas são uma forma sistemática de corrigir as coisas antes de ocorrer um problema. Parecidas com as ações preventivas, também existem as ações corretivas, que resolvem o problema que já ocorreu.

Agora a questão é: para que serve a BS 25999-2? Embora não seja (ainda) uma norma internacional, é a norma mais usada para a continuidade de negócios no mundo inteiro. As etapas acima referidas foram desenvolvidas pelos melhores especialistas em continuidade de negócios, por isso, se você quiser implementar as práticas mais aceitas para a continuidade de negócios, você não precisa procurar mais.

Aqui você pode baixar o diagrama do Processo de implementação da BS 25999-2, que mostra todas essas etapas, juntamente com a documentação exigida (é necessário fazer um registro).

Você já ouviu algo como “Não pode ser feito”, “Isso não tem utilidade”, ou “É inútil se um grande desastre acontecer”? Se você implementou a gestão de continuidade de negócios, provavelmente já ouviu. Naturalmente, essa atitude não ajuda em seu projeto, por isso aqui estão algumas sugestões de como lidar com essas pessoas.

“Se um grande desastre acontecer, não seremos capazes de fazer nada”

Esta provavelmente é a mais comum. Bem, eles podem estar certos, a menos que você realmente tenha preparado a sua estratégia de continuidade de negócios e os planos de continuidade de negócios tendo em conta todos os cenários possíveis. Se você fez isso, então pode explicar para eles que preparou um local alternativo distante o suficiente para suportar qualquer tipo de desastre, que você fez uma cópia de segurança dos dados, que há um substituto para qualquer funcionário da empresa, que tem fornecedores alternativos para qualquer serviço crítico etc.

“Se uma guerra nuclear irromper, isso não vai funcionar”

Bem, a menos que você seja um fornecedor das forças armadas, isso não importa, não é verdade? Basicamente, nesse tipo de cenário catastrófico, sua empresa provavelmente não teria mais uma finalidade.

“Isso não tem utilidade”

Espero sinceramente que você nunca precise usar a continuidade de negócios. Mesmo sem mencionar exemplos bem-conhecidos como o 11 de setembro ou o furacão Katrina, basta perguntar: você já passou por uma pane elétrica? Ou o seu servidor já teve uma pane? Ou talvez um computador com dados importantes? Você já ouviu falar de algum edifício que queimou completamente? Basta ler as manchetes dos jornais para entender que essas coisas podem acontecer a qualquer um.

“Faremos isso somente para satisfazer o auditor”

Prioridade errada. Se você fizer isso corretamente, estará se protegendo e, como consequência, o auditor ficará contente.

“Não podemos prever todos os incidentes”

Isso é verdade, pelo menos no início. Mas se você executar sua avaliação de riscos corretamente, usar livros especializados e vários recursos e analisar a avaliação regularmente, é muito provável que com o tempo você seja capaz de considerar todos os riscos possíveis. Depois de conhecê-los, você pode preparar sua resposta.

“Em caso de emergência, as pessoas irão querer cuidar de suas famílias, não da empresa”

Isso também é verdade. Quem não ligaria primeiro para sua família para ver se está tudo bem no caso de um terremoto? Mas se você planejar cuidadosamente quem pode ir direto para casa depois de um incidente e quem deve ficar e resolver a situação, e se você cuidar da família dos funcionários que devem permanecer na empresa (por exemplo, atribuindo essa tarefa a algum outro funcionário), então, provavelmente, você já resolveu esse problema.

“As pessoas reagem irracionalmente em situações de crise”

Definitivamente, isso é verdade. Mas se você treinar seus funcionários (e fornecedores/parceiros) regularmente e exercitar seus planos de continuidade de negócios, eles irão se acostumar com situações estressantes e provavelmente irão responder da maneira certa, se tais situações ocorrerem.

Se você já implementou projetos parecidos, sabe como a conscientização é importante. Se seus colegas não reconhecerem os propósitos desses projetos, você terá grandes dificuldades com a implementação. Sem mencionar que seu projeto pode fracassar por completo. É por isso que você precisa considerar o trabalho de conscientização com antecedência.

Você também pode conferir o webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy (treinamento vendido comercialmente).