Rhand Leal
abril 17, 2017
A disponibilidade de recursos é um ponto crítico em qualquer empreendimento. Você pode ter as melhores ideias e as melhores intenções, mas se você não tem recursos você está condenado ao fracasso.
Assim, pode parecer estranho que a ISO 27001, a norma ISO líder para a implementação de sistemas de gestão de segurança da informação, dedique em sua cláusula de recursos apenas duas linhas, totalizando 23 palavras, para lidar com um assunto tão crítico.
Mas, as aparências podem enganar. Na verdade, os requisitos de provisão de recursos estão espalhados por toda a norma, e este artigo mostrará onde procurar e o que fazer para garantir que esses recursos estejam disponíveis para ajudar o seu SGSI a proteger as informações sob responsabilidade de sua organização.
No que diz respeito aos recursos, a cláusula 7.1 da ISO 27001 exige a definição e a provisão do que é necessário para um ciclo de vida do SGSI, desde sua implementação até sua melhoria contínua. Mas, o que é necessário? Uma vez que esta norma faz uso da abordagem de processo, você pode pensar recursos em termos de:
Com estes exemplos em mente, agora estamos preparados para identificar onde na norma os recursos são requeridos.
Através da cláusula 5.3 uma organização designa formalmente pessoas que terão que pensar, planejar e agir para assegurar que a segurança da informação esteja implementada como requerido e esteja atingindo os resultados esperados (ex.: CISO, administrador de sistema, etc.). Para mais informações, veja: Como documentar papéis e responsabilidades de acordo com a ISO 27001 e Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?
A cláusula 6.1.3 e) requer que para os riscos considerados inaceitáveis, planos de tratamento sejam formulados, basicamente definindo quais controles de segurança você precisa implementar, quem é responsável por eles, quais são os prazos, e quais recursos são necessários. E, enquanto controles tais como mesa limpa e tela limpa se apoiarão principalmente na definição de uma política e em esforços de treinamento, controles envolvendo controle de acesso e backup também irão requerer equipamentos e instalações. Para mais informações, veja: Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?
Enquanto os planos mencionados na seção anterior cobrem especificamente como trazer os riscos a níveis aceitáveis, os planos para atingir os objetivos de segurança da informação definidos na cláusula 6.2 também definem a provisão de recursos requeridos pelo SGSI para atender aos requisitos de segurança da informação (ex.: cláusulas contratuais), bem como apoiar outras decisões organizacionais incorporadas na política de segurança da informação (ex.: objetivo estratégico de negócio para competir em um novo mercado). Para mais informações, veja: ISO 27001 control objectives – Why are they important?
As cláusulas 9.1 e 9.2 requerem que recursos sejam definidos para a medição, monitoramento, análise e avaliação da eficácia dos controles, assim como para a realização de auditorias para a verificação imparcial da implementação e manutenção do SGSI em conformidade com os requisitos da norma e da organização: Como realizar monitoramento e medição na ISO 27001 e Como se prepara para uma auditoria interna da ISO 27001.
E, finalmente, se ocorre diferente do esperado, ou pode ser feito mais rápido, mais barato ou com mais valor agregado ao negócio, as cláusulas 10.1 e 10.2 requerem que os recursos sejam identificados e fornecidos para que os problemas sejam resolvidos e coisas ruins não ocorreram novamente – ou para que as oportunidades possam ser aproveitadas, melhorando os resultados do negócio. Para mais informações, veja: Uso prático das ações corretivas para a ISO 27001 e ISO 22301.
Como você viu, o planejamento de recursos é executado em muitas fases do ciclo de vida do SGSI, para diferentes propósitos, em momentos diferentes e, provavelmente, por pessoas diferentes, por isso é importante que você possa acompanhar todos esses planos para garantir que os recursos não sejam sub ou super alocados.
Existem pelo menos três métodos que você deve considerar:
A decisão sobre qual solução seria melhor dependerá do volume de planos que você terá que lidar e das necessidades organizacionais de informações de alocação de recursos.
At first sight, ISO 27001 seems to not provide sufficient information about the resources required to implement, operate, maintain, and improve an Information Security Management System, but this is only an impression. As we presented in this article, this standard presents how resources to protect information should be considered during all phases of the ISMS life cycle – and, by knowing where to look, you can be prepared to ensure that your ISMS is fully prepared to fulfill its objectives and improve business results.
Os recursos não são infinitos, então as decisões sobre eles são sempre trocas entre o que você espera ganhar e o que você espera perder. O problema é que na maioria dos casos, as organizações não têm todas as informações de que necessitam sobre os recursos a serem gastos para alcançar os resultados pretendidos, e podem acabar ganhando a batalha, apenas para perder a guerra.
À primeira vista, a ISO 27001 parece não fornecer informações suficientes sobre os recursos necessários para implementar, operar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação, mas isso é apenas uma impressão. Conforme apresentado neste artigo, esta norma apresenta como os recursos para proteger a informação devem ser considerados durante todas as fases do ciclo de vida do SGSI – e, ao saber onde procurar, você pode estar preparado para garantir que seu SGSI esteja totalmente preparado para cumprir seus objetivos e melhorar os resultados do negócio.
Use este treinamento online gratuito ISO 27001:2013 Foundations Course para aprender mais sobre requisitos de recursos, e etapas na implementação.