A lógica básica da ISO 27001: Como a segurança da informação funciona?

Ao conversar com alguém que seja novato à ISO 27001, frequentemente encontro o mesmo problema: esta pessoa pensa que a norma descreve em detalhes tudo que eles precisam fazer, por exemplo: com que frequência eles precisarão realizar um backup, quão distante seu site de contingência deveria estar, ou pior, que tipo de tecnologia eles deveriam usar para a proteção da rede ou como eles devem configurar o roteador.

Imagem via Shutterstock

Imagem via Shutterstock

A má notícia: a ISO 27001 não prescreve essas coisas; ela funciona de uma forma completamente diferente. Eis o porquê.

Por que a ISO 27001 não é prescritiva?

Vamos imaginar que a norma prescreva que você precisa realizar um backup a cada 24 horas e que esta é uma medida adequada para você. Pode até ser, mas acredite, muitas organizações atualmente acharão esta condição insuficiente, pois a taxa de mudanças de seus dados pode ser tão elevada que eles precisariam realizar o backup, se não em tempo real, ao menos a cada hora. Por outro lado, ainda existem organizações que considerariam um backup ao dia muito frequente, pois suas taxas de mudança seriam muito lentas, e realizar um backup com tal frequência seria um desperdício.

O ponto é que esta norma tem por objetivo se adequar a qualquer tipo de organização, então a abordagem prescritiva não é possível. Além de simplesmente ser impossível definir a frequência do backup, também é impossível ditar qual tecnologia usar, como configurar cada dispositivo, etc.

A propósito, esta percepção de que a ISO 27001 prescreve tudo é a maior geradora de mitos sobre a ISO 27001.

Gestão de riscos é a ideia central da ISO 27001

Então, você pode imaginar: “Por que eu precisaria de uma norma que não me diz nada de forma concreta?”

Porque a ISO 27001 dá a você uma estrutura para que você decida a proteção adequada. Da mesma forma que, por exemplo, você não pode copiar uma campanha de marketing de outra organização para a sua própria, este mesmo princípio é válido para a segurança da informação. Você precisa adequá-la para suas necessidades específicas.

A forma como a ISO 27001 diz a você como atingir esta adequação é pela realização de uma análise/avaliação de riscos e pelo tratamento destes riscos. Nada além de uma visão sistêmica de coisas ruins que podem acontecer a você (análise/avaliação de riscos), e então a decisão de quais salvaguardas implementar para prevenir estas coisas ruins de acontecer (tratamento dos riscos) fica à seu cargo.

Method_of_safeguard_selection_PT

Figura: Método de seleção de salvaguardas na ISO 27001

Então, a ideia geral é que você deve implementar apenas as salvaguardas (controles) que são requeridos por conta dos riscos, não aqueles que alguém pensa que são “chiques”; mas, esta lógica também significa que você deve implementar todos os controles que são requeridos por conta dos riscos e que você não pode excluir alguns simplesmente por que não gosta deles.

TI sozinha não é o bastante

Caso você trabalhe no departamento de TI, você provavelmente está ciente de que muitos incidentes estão ocorrendo não por causa de computadores dando defeito, mas por que os usuários da parte de negócios da organização estão utilizando os sistemas de informação de forma inadequada.

Tais erros não podem ser prevenidos apenas com salvaguardas técnicas, também são necessárias políticas e procedimentos claros, treinamento e conscientização, proteção legal, medidas disciplinares, etc. Experiências reais atestam que quanto mais diversas são as salvaguardas aplicadas, maior o nível de segurança obtido.

Quando você leva em conta que nem toda a informação sensível está na forma digital (você provavelmente ainda possui papéis com informações confidenciais), a conclusão é que as salvaguardas de TI não são suficientes, e que o departamento de TI, embora muito importante em um projeto de segurança da informação, não pode tocar este tipo de projeto sozinho.

O fato de que a segurança em TI é apenas 50% da segurança da informação reconhecida na ISO 27001, faz com que esta norma diga a você como conduzir a implementação da segurança da informação como um projeto de abrangência organizacional, onde não apenas a TI, mas também a parte de negócios da organização, deve tomar parte.

Obtendo o apoio da alta administração

A ISO 27001 não termina com a implementação de várias salvaguardas. Seus autores entenderam perfeitamente bem que as pessoas do departamento de TI, ou de outros níveis da organização, não podem atingir muitos resultados se os altos executivos não fizerem algo a respeito.

Por exemplo, você pode propor uma nova política para a proteção de documentos confidenciais, mas se a alta administração não impor tal política para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada em sua organização.

Desta forma, a ISO 27001 oferece a você uma lista de verificação sistemática sobre o que a alta administração deve fazer:

  • definir suas expectativas de negócio (objetivos) para a segurança da informação
  • publicar uma política sobre como controlar se estes objetivos são atingidos
  • designar as principais responsabilidades para a segurança da informação
  • prover recursos humanos e financeiros suficientes
  • revisar regularmente se todas as expectativas foram realmente atingidas

Não deixando seu sistema se deteriorar

Se você trabalha em uma organização por alguns anos, provavelmente sabe que novas iniciativas/projetos funcionam bem no início e que todos (ou ao menos a maior parte) tentam fazer o seu melhor para que tudo funcione. Contudo, com o tempo, o interesse e o zelo se deterioram, e com eles, tudo relacionado a tal projeto também se deteriora.

Por exemplo, você pode ter tido uma política de classificação que funcionou bem inicialmente, mas com o tempo a tecnologia mudou, a organização mudou e as pessoas mudaram, e se ninguém se preocupou em atualizar a política, ela se torna obsoleta. E, como sabemos, ninguém irá dar atenção a um documento obsoleto, resultando que sua segurança vai se tornando cada vez pior.

Para prevenir isto, a ISO 27001 descreve alguns métodos que previnem o aparecimento de tal deterioração; e mais ainda, estes métodos são usados para melhorar a segurança com o tempo, tornando-a melhor do que ela era quando o projeto estava em seu melhor momento. Este métodos incluem monitoramento e medição, auditorias internas, ações corretivas, etc.

Desta forma, você não deveria ter uma postura negativa sobre a ISO 27001. Ela pode parecer vaga em uma primeira leitura, mas pode se provar uma estrutura extremamente útil para resolver muitos problemas de segurança em sua organização. E mais ainda, ela pode ajudar você a fazer seu trabalho mais facilmente, e a obter mais reconhecimento da administração.

Tradução de “The basic logic of ISO 27001: How does information security work?

Dejan Kosutic

Mais artigos deste autor »

Author at 27001Academy, the leading online resource for ISO 27001 & ISO 22301/BS 25999 implementation.

Consultant with focus on information security and business continuity management, with broad experience in financial and government sector, as well as with small and medium-sized businesses.

As ISO 27001 Lead Auditor and Approved Tutor he has delivered certification audits and many courses (including the ISO 27001 Lead Auditor Course) throughout Europe.

Specialties: ISO 27001 implementation, ISO 22301/BS 25999 implementation, risk assessment, risk treatment, business impact analysis, documentation writing, auditing, workshops, seminars, E-learning courses, webinars.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!