Você provavelmente já sabia que o primeiro passo para a implementação da ISO 27001 é a definição do escopo. O que você provavelmente não sabia é que esta etapa, apesar de parecer simples à primeira vista, às vezes pode causar uma porção de problemas. Ou seja, muitas empresas estão tentando diminuir os custos de sua implementação diminuindo escopo, mas muitas vezes se encontram em uma situação em que esse escopo é uma verdadeira dor de cabeça.
Então, onde está o problema?
O problema quando o escopo da ISO 27001 não é toda a organização é que o Sistema de gestão da segurança da informação (SGSI) deve ter interfaces com o mundo “exterior”; nesse contexto, o mundo exterior não são apenas os clientes, parceiros, fornecedores etc., mas também os departamentos da organização que não estão dentro do escopo. Pode parecer estranho, mas um departamento que não esteja dentro do escopo deve ser tratado da mesma forma que um fornecedor externo.
Por exemplo, se você escolher que somente o departamento de TI estará dentro do escopo, e esse departamento estiver utilizando os serviços do departamento de compras, o departamento de TI deve efetuar a avaliação de riscos do seu departamento de compras para identificar se existem riscos para as informações pelas quais o departamento de TI é responsável, além disso, os dois departamentos devem assinar termos e condições para os serviços prestados.
Por que tal sobrecarga é necessária? Você tem de se colocar no lugar do organismo de certificação, pois este deve certificar que dentro dos seu escopo, você é capaz de lidar com as informações de forma segura, embora não possa verificar nenhum dos departamentos fora do escopo. A única maneira de lidar com essa situação é tratar os departamentos como se fossem empresas externas. (Atenção: os auditores de certificação nunca gostam de escopos pequenos.)
Os problemas não param por aqui. Às vezes, escopos pequenos simplesmente não são possíveis, porque não há uma interface com o mundo exterior. Por exemplo, se os funcionários de dentro e de fora do escopo trabalham na mesma sala, esse escopo é pouco viável; se tanto os funcionários de dentro do escopo quanto os de fora utilizam a mesma rede local (sem discriminação) e têm acesso a vários serviços de rede, esse escopo definitivamente não é possível, pois não há como controlar o fluxo de informações somente dentro do escopo.
Ou seja, diminuir escopo do SGSI às vezes é impossível, e na maioria dos casos isso irá lhe trazer uma sobrecarga desnecessária. Portanto, o que inicialmente não parecia ser uma boa solução, pode ser a melhor opção no final. Tente estender seu escopo a toda a organização. A regra geral é: se sua organização não tem mais do que algumas centenas de funcionários e uma ou apenas algumas sedes, o melhor seria o SGSI abranger toda a organização.
Por outro lado, se você realmente não pode abranger toda a organização dentro do escopo do SGSI, tente defini-lo em uma unidade organizacional que seja suficientemente independente; tente resolver as relações com as outras unidades organizacionais de fora do escopo, determinando seu serviço por meio de documentos internos (políticas, procedimentos etc.), que serviriam de “acordos”; de tal forma que você poderia documentar as obrigações dessas unidades organizacionais de uma maneira que seja utilizável nas operações diárias.
Pronto! Você já resolveu o primeiro passo da implementação da ISO 27001.
Saiba mais sobre como definir o escopo do SGSI neste treinamento on-line gratuito ISO 27001 Foundations Course.