Muitas vezes ouço coisas sobre a ISO 27001 e não sei se rio ou choro. É realmente muito engraçado como as pessoas tendem a tomar decisões sobre algo que sabem muito pouco a respeito.
Abaixo relaciono alguns equívocos mais comuns:
“A norma exige…”
“A norma exige que as senhas sejam trocadas a cada três meses.” – “A norma exige que existam diversos fornecedores.” – “A norma exige que o local de recuperação de desastres esteja a, pelo menos, 50 km de distância da localização principal.” Mesmo? A norma não diz nada disso. Infelizmente, eu ouço esse tipo de informações falsas com bastante frequência. As pessoas costumam confundir melhores práticas com exigências da norma, mas o problema é que nem todas as normas de segurança são aplicáveis a todos os tipos de organizações. E as pessoas que afirmam que isso está na norma, provavelmente, nunca a leram.
Imagem via Shutterstock
“Vamos deixar o departamento de TI lidar com isso”
Esta é a afirmação preferida da gerência: “Segurança da informação só diz respeito à TI, não é verdade?” Bem, na verdade, não. Os aspectos mais importantes da segurança da informação incluem não só medidas de TI, mas também questões organizacionais e de gestão de recursos humanos, que geralmente estão fora do alcance do departamento de TI.
“Nós vamos implementá-la em alguns meses”
Você pode implementar a ISO 27001 em 2 ou 3 meses, mas ela não vai funcionar – tudo o que você irá obter é um monte de políticas e procedimentos com os quais ninguém se preocupa. Implementar a segurança da informação significa que você precisa implementar mudanças, e é preciso tempo para que mudanças ocorram.
Sem mencionar que você deve implementar apenas os controles de segurança que são realmente necessários, e a análise do que é realmente necessário leva tempo. Isso é chamado de avaliação de riscos e tratamento de riscos.
“Esta norma só diz respeito à documentação”
A Documentação é uma parte importante da implementação da ISO 27001, mas não é um fim em si. O ponto principal é que você realize suas atividades de forma segura, e a documentação está aqui para ajudá-lo a fazer isso. Além disso, os registros que você produzir irão ajudá-lo a avaliar se você atingiu seus objetivos de segurança da informação e permitirão que você corrija as atividades que tiveram desempenho aquém do esperado.
“O único benefício da norma é para fins de marketing”
“Nós estamos fazendo isso apenas para obter o certificado, não é?” Bem, esta é (infelizmente) a maneira como 80% das empresas pensam. Eu não estou tentando argumentar aqui que a ISO 27001 não deve ser usada para fins promocionais e de vendas, mas você também pode obter outros benefícios muito importantes, como prevenir que coisas como o caso WikiLeaks aconteçam com você.
O ponto principal aqui é: leia a ISO 27001 primeiro antes de formar sua opinião sobre ela; ou, se você achar isso muito chato (o que admito que é verdade), consulte alguém que tenha conhecimento real sobre o assunto. E tente obter outros benefícios, além do marketing. Em outras palavras, aumente suas chances de fazer um investimento rentável em segurança da informação.
Você também pode conferir a nossa série de tutoriais em vídeo da ISO 27001 (em inglês), que apresentam todos os passos de uma implementação ISO 27001 (vídeos vendidos comercialmente).
1 Comentários
Se ao menos estes profissionais pudessem ler o objetivo da norma, perceberia com clareza que o objetivo de recomendar as melhores práticas são para proteger o negócio no que tange a integridade, disponibilidade e autenticidade da informação. Desta forma, a norma não se trata apenas de documentação e muito menos de firula para imagem da empresa. Em resumo, quem faz menção a 27001 da forma apresentada, realmente, desconhece a implementação dos processos de segurança.