Dejan Kosutic Caso você já tenha implementado a versão 2005 da ISO 27001 você provavelmente deve estar se perguntando: “Oh não, agora que a versão 2013 foi publicada, nós teremos que fazer tudo de novo.”
Bem, isto não é bem verdade – embora a versão 2013 tenha trazido algumas mudanças, estas mudanças não são tão drásticas. Para uma visão geral das mudança veja este infográfico: New ISO 27001 2013 revision – What has changed?
Prazos
Primeiro de tudo, vejamos quanto tempo você tem. De acordo com o BSI, organizações já certificadas pela ISO/IEC 27001 2005 terão um período de transição de 2 anos para “atualizar” seus Sistemas de Gestão de Segurança da Informação (SGSI) para a nova versão 2013.
Uma vez que a versão 2013 foi publicada em 25 de Setembro de 2013, isto significa que as organizações terão até 25 de Setembro de 2015 para se atualizarem. Se o seu atual certificado ISO 27001 expira após 25 de Setembro de 2015, então os organismos de certificação verificarão se você está em conformidade com a nova versão durante as auditorias de manutenção; caso seu certificado expire antes de 25 de setembro de 2015, então você deve atualizar seu SGSI para sua próxima recertificação.
Etapas de Transição
Em minha opinião, o modo mais fácil de realizar a transição para a versão 2013 é seguindo estas etapas:
1) Identifique todas as partes interessadas. Você deveria identificar todos os seus stakeholders (as pessoas e organizações que podem influenciar a segurança das suas informações ou que podem ser influenciadas por ela), e seus requisitos. Caso você já tenha identificado todos os requisitos estatutários, regulatórios e contratuais de acordo com o antigo controle A.15.1.1, então você já tem feito metade do seu trabalho.
2) Defina as interfaces no escopo do SGSI. De acordo com a versão 2013, como parte de sua definição de escopo você precisa identificar as interfaces entre as atividades feitas pela sua organização e as atividades que são realizadas por terceiros.
3) Alinhe os objetivos do SGSI com as estratégias da organização. A versão 2013 requer que você determine se os objetivos de segurança da informação são compatíveis com o direcionamento estratégico da organização.
4) Mudanças na política de alto nível. A política de alto nível não deveria mais ser chamada de “política do SGSI”, mas ao invés disso de “política de segurança da informação.” Ela não tem que incluir requisitos como alinhamento com a gestão estratégica de risco, nem tão pouco critérios para avaliação de risco.
5) Faça mudanças em seu processo de levantamento de riscos. Primeiro, você precisa identificar os donos de risco para cada um dos seus riscos; segundo, você não precisa mais utilizar a metodologia baseada na identificação de ativos, ameaças e vulnerabilidade, então caso você deseje você pode identificar riscos de outro modo (mais simples); e por último, você precisa identificar todos os processos terceirizados e decidir como controlá-los – isto é melhor feito durante o processo de levantamento de riscos. Por conseguinte, você precisa mudar tanto sua metodologia de levantamento de riscos quanto os resultados do seu levantamento.
6) Identifique a situação dos controles na Declaração de Aplicabilidade. Esta é uma mudança pequena, mas significativa do ponto de vista de uma implementação – na SoA para cada controle você deve indicar se ele está implementado ou não. Claro, você precisará mudar a estrutura dos controles na SoA, como especificado na etapa 11).
7) Obtenha aprovação dos donos de risco. De acordo com a nova versão, você deve perguntar aos donos de risco se eles aprovam seu plano de tratamento de riscos e se aceitam os riscos residuais para a segurança da informação.
8) Planeje a comunicação de forma sistemática. Você deveria determinar um processo para quem irá comunicar para quem, o que será comunicado e quando. Isto inclui tanto partes internas quanto externas.
9) Decida o que fazer com seus procedimentos de gestão. Os requisitos para ações preventivas não existem mais (ações preventivas basicamente tornaram-se parte do processo de levantamento de riscos), então você deve decidir se exclui este procedimento ou não; não existem mais requisitos para manter os demais procedimentos de gestão documentados (Controle de documentos, Auditoria interna e Ação corretiva), então se você quiser você pode excluir estes procedimentos também, mas você deve manter os três processos mesmo que eles não estejam mais documentados.
10) Escreva novas políticas e procedimentos. Caso você ainda não tenha escrito os seguintes documentos, você terá que fazê-los agora porque se você selecionou os controles relacionados a seguir como aplicáveis, escrever os mesmos tornou-se mandatório: Princípios da engenharia de sistemas seguros (controle A.14.2.5), Política de segurança para fornecedores (controle A.15.1.1), Procedimento para gestão de incidentes (controle A.16.1.5) e Procedimentos para continuidade do negócio (controle A.17.1.2).
11) Reorganize seus controles. O Anexo A foi misturado um pouco, mas essencialmente muitos dos controles antigos permaneceram, enquanto alguns novos apareceram: A.6.1.5 Segurança da informação em gestão de projetos, A.14.2.1 Política de desenvolvimento seguro, A.14.2.5 Princípios da engenharia de sistemas seguros, A.14.2.6 Ambiente de desenvolvimento seguro, A.14.2.8 Teste da segurança de sistemas, A.16.1.4 Levantamento e decisão sobre eventos de segurança da informação e A.17.2.1 Disponibilidade de instalações de processamento de informações. Leia mais aqui: Principais mudanças na nova ISO 27002 2013.
12) Medição e reporte. Requisitos se tornaram muito mais rigorosos na versão 2013: (1) os objetivos deverão ser definidos de modo mensurável (se possível) de forma a permitir uma medição mais fácil (cláusula 6.2 b); (2) todas as atividades para atender riscos e oportunidades devem ser avaliadas (6.1.1 e 2); (3) quando do planejamento de como atingir os objetivos de segurança da informação, deve ser definido como os resultados serão avaliados (6.2 j); (4) deve ser determinado o que será monitorado e medido, quando será feito, quem fará a medição e quem irá avaliar os resultados (9.1); e (5) as responsabilidades pelo reporte da performance do SGSI devem estar claramente designadas (5.3 b).
E isto é tudo – pode parecer muito, mas meu palpite é que dentro do período de 2 anos isto não levará mais do que um par de hora por mês para ser realizado. Especialmente porque eu entendo que estas mudanças realmente fazem sentido – elas não apenas trarão seu SGSI para mais perto das necessidades do seu negócio, mas você também terá um sistema pronto para mostrar a utilidade da segurança da informação.
Para saber como realizar cada uma destas 12 etapas faça o download do documento gratuito 12 etapas para o processo de transição da ISO 27001 versão 2005 para a versão 2013.
Nós agradecemos a Rhand Leal pela tradução para o portugês.
