Os 5 maiores mitos sobre a ISO 27001

Muitas vezes ouço coisas sobre a ISO 27001 e não sei se rio ou choro. É realmente muito engraçado como as pessoas tendem a tomar decisões sobre algo que sabem muito pouco a respeito.

Abaixo relaciono alguns equívocos mais comuns:

“A norma exige…”

“A norma exige que as senhas sejam trocadas a cada três meses.” – “A norma exige que existam diversos fornecedores.” – “A norma exige que o local de recuperação de desastres esteja a, pelo menos, 50 km de distância da localização principal.” Mesmo? A norma não diz nada disso. Infelizmente, eu ouço esse tipo de informações falsas com bastante frequência. As pessoas costumam confundir melhores práticas com exigências da norma, mas o problema é que nem todas as normas de segurança são aplicáveis a todos os tipos de organizações. E as pessoas que afirmam que isso está na norma, provavelmente, nunca a leram.

Imagem via Shutterstock

Imagem via Shutterstock

“Vamos deixar o departamento de TI lidar com isso”

Esta é a afirmação preferida da gerência: “Segurança da informação só diz respeito à TI, não é verdade?” Bem, na verdade, não. Os aspectos mais importantes da segurança da informação incluem não só medidas de TI, mas também questões organizacionais e de gestão de recursos humanos, que geralmente estão fora do alcance do departamento de TI.

“Nós vamos implementá-la em alguns meses”

Você pode implementar a ISO 27001 em 2 ou 3 meses, mas ela não vai funcionar – tudo o que você irá obter é um monte de políticas e procedimentos com os quais ninguém se preocupa. Implementar a segurança da informação significa que você precisa implementar mudanças, e é preciso tempo para que mudanças ocorram.

Sem mencionar que você deve implementar apenas os controles de segurança que são realmente necessários, e a análise do que é realmente necessário leva tempo. Isso é chamado de avaliação de riscos e tratamento de riscos.

“Esta norma só diz respeito à documentação”

Documentação é uma parte importante da implementação da ISO 27001, mas não é um fim em si. O ponto principal é que você realize suas atividades de forma segura, e a documentação está aqui para ajudá-lo a fazer isso. Além disso, os registros que você produzir irão ajudá-lo a avaliar se você atingiu seus objetivos de segurança da informação e permitirão que você corrija as atividades que tiveram desempenho aquém do esperado.

“O único benefício da norma é para fins de marketing”

“Nós estamos fazendo isso apenas para obter o certificado, não é?” Bem, esta é (infelizmente) a maneira como 80% das empresas pensam. Eu não estou tentando argumentar aqui que a ISO 27001 não deve ser usada para fins promocionais e de vendas, mas você também pode obter outros benefícios muito importantes, como prevenir que coisas como o caso WikiLeaks aconteçam com você.

O ponto principal aqui é: leia a ISO 27001 primeiro antes de formar sua opinião sobre ela; ou, se você achar isso muito chato (o que admito que é verdade), consulte alguém que tenha conhecimento real sobre o assunto. E tente obter outros benefícios, além do marketing. Em outras palavras, aumente suas chances de fazer um investimento rentável em segurança da informação.

Você também pode conferir a nossa série de tutoriais em vídeo da ISO 27001 (em inglês), que apresentam todos os passos de uma implementação ISO 27001 (vídeos vendidos comercialmente).

Dejan Kosutic

Mais artigos deste autor »

Author at 27001Academy, the leading online resource for ISO 27001 & ISO 22301/BS 25999 implementation.

Consultant with focus on information security and business continuity management, with broad experience in financial and government sector, as well as with small and medium-sized businesses.

As ISO 27001 Lead Auditor and Approved Tutor he has delivered certification audits and many courses (including the ISO 27001 Lead Auditor Course) throughout Europe.

Specialties: ISO 27001 implementation, ISO 22301/BS 25999 implementation, risk assessment, risk treatment, business impact analysis, documentation writing, auditing, workshops, seminars, E-learning courses, webinars.


1 Comentários

ewerton watanabe
1

Se ao menos estes profissionais pudessem ler o objetivo da norma, perceberia com clareza que o objetivo de recomendar as melhores práticas são para proteger o negócio no que tange a integridade, disponibilidade e autenticidade da informação. Desta forma, a norma não se trata apenas de documentação e muito menos de firula para imagem da empresa. Em resumo, quem faz menção a 27001 da forma apresentada, realmente, desconhece a implementação dos processos de segurança.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!