Dejan Kosutic Você tem esta ótima ideia de que a ISO 27001 vai ajudá-lo a obter conformidade, atrair novos clientes, diminuir o custo de incidentes e agilizar seus principais processos de TI? A ideia é boa, mas quando se trata da implementação, as coisas ficam complicadas.
Primeiro, você tem que convencer sua gerência (se você não está no topo da hierarquia) de que a ISO 27001 é realmente necessária na sua empresa. A gerência normalmente está sobrecarregada com outros compromissos e prazos, e é provável que não queiram se preocupar com outro projeto.
Mesmo que a gerência esteja ansiosa para fazer algo a respeito da segurança da informação, a segunda questão é levantada – como pagar por ela? À primeira vista, pode parecer que “este documento não custa muito”, mas logo você percebe que precisa pagar o consultor, comprar livros especializados, treinar seus funcionários, investir em softwares e equipamentos, pagar a certificação etc.
Mas digamos que, por algum milagre, você encontra dinheiro para tudo isso, então surge a terceira questão: quem de fato irá fazer tudo isso? Se você tiver um consultor honesto, ele lhe dirá que obter modelos de documentação não é o suficiente, mas que você realmente deve tentar personalizar a documentação de acordo com sua situação. Mas as exigências não param por aqui: o consultor também dirá que você tem de fazer exatamente o que a documentação e a norma dizem para fazer. E essa é uma obrigação permanente, não algo que você faz uma única vez.
Então você vai até seus colegas e pergunta como vocês podem dividir o trabalho de implementação e execução da ISO 27001, de repente, eles mudam de assunto. Pior ainda, você poderia sugerir à gerência que contrate um gerente de segurança da informação, que, devido à falta desses profissionais no mercado, não trabalha por pequenas quantias.
Assim, você acaba sendo nomeado gerente de projeto da ISO 27001, com um orçamento pequeno ou quase inexistente, uma equipe que realmente não quer se incomodar com a segurança da informação e uma gerência que quer o certificado o mais rápido possível, uma vez que o projeto tenha sido iniciado.
Você ainda está interessado na ISO 27001?
Para superar os problemas mais comuns com a implementação da ISO 27001, confira o Conformio compliance software.
Rhand Leal