Entendo a Linguagem da ISO 27001

Uma das principais regras da boa comunicação é adequar seu discurso à sua audiência. A ISO 27001 possui seu próprio conjunto de termos, úteis para nivelar o entendimento entre praticantes de segurança. Contudo, uma organização é mais do que seu pessoal de segurança. A alta direção, gerência intermediária, operadores, clientes e muitas outras pessoas interagem com o negócio, e eles também precisam entender a segurança da informação.

O problema é, se você usar apenas os termos da ISO 27001, são boas as chances de você deixar as pessoas confusas, e pessoas confusas pouco ajudam na proteção das informações do negócio. Assim, você tem que tornar a segurança da informação fácil de entender a partir do ponto de vista deles. Isto nos leva a este post, para mostrar alguns termos da ISO 27001 traduzidos para termos mais comuns que ajudarão você no processo de explicar a ISO 27001 e o processo de certificação.

Principais termos da ISO 27001 em outras palavras

A seguir temos alguns dos termos mais importantes e comumente procurados em relação a ISO 27001, e como você pode apresenta-los de uma forma que nós consideramos mais fácil de explicar:

Lista de verificação de auditoria: Um conjunto de informações usadas para ajudar a assegurar que algo foi feito ou executado como esperado. Uma lista de presente é um bom exemplo de uma lista de verificação. Uma lista de verificação pré vôo é outro exemplo. Uma lista com itens obrigatórios de uma norma (da ISO ou definida pela sua própria organização) é outro exemplo.

Certificação: Confirmação de que uma pessoas, processo, Sistema ou produto demonstrou que atingiu critérios pré definidos. Um certificado escolar confirma que uma pessoa participou dos cursos necessários e demonstrou o conhecimento para merecer uma designação ou poder exercer uma profissão. Uma certificação de segurança confirma que uma pessoa, processo ou sistema atingiu critérios de segurança pré definidos (e.g., ISO 27001, PCI, etc.).

Processo de certificação: Um processo através do qual uma pessoa, processo, sistema ou produto demonstra que atingiu critérios pré definidos. Experimentar sapatos para encontrar os mais confortáveis é um exemplo de um processo de certificação. Se a sua organização sistematicamente verifica resultados/produtos com relação a critérios pré definidos, ela possui um processo de certificação. Se os critérios são relacionados a segurança, então você tem um processo de certificação de segurança.

Organização certificada: Qualquer organização que tenha demonstrado que atingiu critérios pré determinados. Uma organização certificada ISO 27001 atingiu os requisitos obrigatórios definidos pela ISO 27001.

Controles: Métodos usados para evitar/minimizar resultados indesejados. Você olha para os dois lados antes de atravessar a rua para evitar ser atropelado. O air bag pode minimizar os danos em caso de uma batida. Quaisquer práticas que você usa em sua organização para evitar problemas ou minimizar suas consequências são controles.

Análise de lacunas: Qualquer prática usada para comparar o desempenho real com relação ao esperado/potencial, para identificar em quais elementos você está ok e em quais você tem que melhorar / estar em conformidade, ajudando-o a determinar o que você precisa fazer para atender aos resultados propostos.

SGSI (Sistema de Gestão de Segurança da Informação): Parte do sistema geral de gestão que tem como objetivo proteger a segurança da informação. Um sistema de gestão de RH trata dos recursos humanos. Um sistema de gestão financeira trata das receitas, despesas e ativos, e assim por diante.

Política do SGSI:declaração da administração sobre o que ela espera daqueles que interagem com as informações da organização, com relação ao seu uso e proteção.

Auditor líder: Uma pessoa que é capaz de planejar e executar as etapas necessárias para verificar se uma pessoa, processo, sistema ou produto atinge critérios pré definidos. Qualquer pessoa em sua organização que, usando critérios pré definidos, pode planejar e executar a verificação de processos/produtos pode ser considerado um auditor líder.

Implementador líder: Uma pessoa que é capaz de planejar e executar as etapas necessárias para implementar um processo de acordo com critérios pré definidos. Qualquer pessoa em sua organização que, usando critérios pré definidos, pode planejar e executar a implementação de um processo pode ser considerado um implementador líder.

Avaliação de risco: Qualquer processo sistemático para identificar e tratar riscos de acordo com critérios pré definidos. O filme “Perseguidor Implacável” (Dirty Harry) com Clint Eastwood é um dos melhores exemplos de avaliação de risco. O marginal tem que decidir se saca a sua arma. Harry Callaghan ainda tem uma bala em sua Magnum 44? – “Você está com sorte? Está, idiota?”. Outro exemplo é Matrix (as pílulas vermelha e azul, lembra-se?).

Norma: Qualquer conjunto de regras acordadas sobre como atingir algo. O padrão de cores de um semáforo é um exemplo de norma. Se sua organização sempre usa as mesmas práticas para proteger a comunicação de informações, ela possui uma norma de segurança de comunicação.

Declaração de Aplicabilidade: Um documento no qual você declara quais controles você considera relevantes, e seus objetivos, com base nos requisitos do seu negócio. Se você faz um checkup médico anual para ter certeza de que você está saudável e para melhorar suas chances de viver mais, e colocar esta prática (controle) em um documento, este pode ser considerado uma declaração de aplicabilidade de saúde.

Claro, estes são alguns exemplos. Você pode ajustá-los ao setor de atuação do seu negócio. O importante aqui é que seus termos devem manter o mesmo significado dos temos da ISO 27001. Para informações adicionais sobre termos da ISO 27001, veja este artigo: Explanação da terminologia básica das normas ISO.

Escolha suas palavras com sabedoria e conquiste aliados

Lembre-se: comunicação não se trata do que você diz, mas daquilo que a sua audiência entende. Assegure-se de escolher as palavras com as quais eles estão mais acostumados, e torne a segurança da informação mais fácil de se tornar parte de suas vidas e atividades.

Para tornar-se mais familiar com a norma, use este material gratuito e saiba mais sobre a ISO 27001 e como implementá-la.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001