Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

Quando usar ferramentas para a ISO 27001/ISO 22301 e quando evitá-las

Se você está iniciando a implementação de normas complexas como a ISO 27001 ou ISO 22301, você provavelmente está procurando por um meio de tornar seu trabalho mais fácil. Quem não estaria? Além do mais, reinventar a roda não parece ser um trabalho muito interessante.

Então, você está procurando por uma ferramenta para ajudá-lo com estas normas de segurança da informação e continuidade de negócio, mas cuidado – nem toda ferramenta irá ajudá-lo: você pode terminar com uma roda de trator que não serve para o carro que você esta guiando.

Tipos de ferramentas

Vamos começar com os tipos de ferramentas que você encontrará no mercado que são feitas especificamente para a ISO 27001 e ISO 22301:

a) Ferramentas para automação – estas ferramentas ajudam você a semi-automatizar parte de seus processos – e.g., realizar a avaliação de riscos, escrever planos de continuidade de negócio, gerenciar incidentes, manter sua documentação, auxiliar na medição, etc.

b) Ferramentas para escrever documentação – estas ferramentas ajudam você a desenvolver políticas e procedimentos – geralmente, elas incluem modelos de documentação, tutoriais para escrever documentação, etc.

Prós e contras de ferramentas de automatização

Ferramentas de automação geralmente são úteis para grandes organizações – por exemplo, usar planilhas para avaliar riscos pode ser um problema se você tem, e.g., 100 departamentos, porque quando você precisar unificar estes resultados isto se torna muito difícil. Ou, se você tem 50 planos de recuperação diferentes e quer mudar o mesmo detalhe em cada um deles, usar uma ferramenta é provavelmente muito mais fácil.

Contudo, aplicar tais ferramentas de automação em organizações menores pode se provar muito caro – muitas destas ferramentas não são precificadas tendo em mente pequenas organizações, e pior ainda – treinar empregados para usar tais ferramentas leva muito tempo. Assim, para organizações menores, realizar a avaliação de riscos usando o Excel ou escrever planos de continuidade de negócio em Word é uma solução muito rápida e acessível.

Existem algumas ferramentas para as quais eu pessoalmente não vejo propósito – por exemplo, ferramentas para manter a documentação da ISO. Para este propósito, grandes organizações usarão seus sistemas de gestão de documentos existentes (e.g., SharePoint), enquanto organizações menores podem carregar a documentação para pastas compartilhadas com direitos de acesso definidos – não precisa ser mais sofisticado do que isso.

Você pode automatizar tudo?

Um fato importante precisar ser enfatizado aqui: ferramentas de automação não podem ajudar você a gerenciar sua segurança da informação ou continuidade de negócio. Por exemplo, você não pode automatizar a elaboração de sua Política de Controle de Acesso – para finalizar tal documento, você precisa coordenar com seu CISO, departamento de TI e área de negócio da organização, e apenas após obter um acordo você pode escrever esta política. Nenhuma automação pode fazer isto por você.

Sim, você pode semi-automatizar a medição do sucesso de controles em particular, mas novamente uma pessoa precisa interpretar estes resultados para entender porque o controle teve um desempenho bom ou ruim – esta parte do processo não pode ser automatizada, e nem tão pouco pode a decisão sobre ações corretivas e preventivas necessárias de serem tomadas como resultado da percepção obtida.

O que buscar ao procurar por ferramentas de elaboração de documentação

Você não precisará de ferramentas para escrever suas políticas, procedimentos e planos se você já desenvolveu sua documentação baseada em um framework que é similar a ISO 27001 – e.g., COBIT, Cybersecurity Framework, ou NFPA 1600. Da mesma forma, se você contratou um consultor, então será dever dele escrever todos os documentos (veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant).

Em outros casos você encontrará ferramentas de elaboração de documentação (i.e., modelos de documentação) bem úteis porque elas irão acelerar a elaboração de suas políticas e procedimentos. A principal questão aqui é como escolher as corretas – aqui estão algumas dicas:

  • Elas são apropriadas para o tamanho da sua organização? Se você é uma organização pequena e os modelos são feitos para grandes organizações, eles serão uma sobrecarrega para você, e vice versa.
  • Que tipo de ajuda você recebe para escrever os documentos? Existem guias, tutoriais, suporte, ou algo similar que vem com os modelos?
  • Experiência dos autores? Seria melhor se o autor tivesse experiência tanto em consultoria quanto em auditoria, de forma que os modelos sejam práticos para as operações diárias, mas também aceitável para a auditoria de certificação.

Assim, para concluir: sim – em muitos casos as ferramentas podem ajudar você com a sua implementação da ISO 27001 e ISO 22301. Uma vez que existem muitos provedores de ferramentas no mercado, assegure-se de realizar uma boa pesquisa antes de se decidir por qual usar.

Aviso: o autor deste artigo também é autor de uma ferramenta de documentação direcionada a organizações de pequeno e médio porte: Kit de Documentação da ISO 27001 & ISO 22301.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan: