DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentação, exames de cursos e planos anuais do Conformio e da Company Training Academy.
Oferta por tempo limitado – termina em 2 de dezembro de 2024
Use o código promocional:
30OFFBLACK

Os 5 maiores mitos sobre a ISO 27001

Muitas vezes ouço coisas sobre a ISO 27001 e não sei se rio ou choro. É realmente muito engraçado como as pessoas tendem a tomar decisões sobre algo que sabem muito pouco a respeito – aqui estão os equívocos mais comuns:

“A norma exige…”

“A norma exige que as senhas sejam trocadas a cada três meses.” “A norma exige que existam diversos fornecedores.” “A norma exige que o local de recuperação de desastres esteja a, pelo menos, 50 km de distância da localização principal.” Mesmo? A norma não diz nada disso. Infelizmente, eu ouço esse tipo de informações falsas com bastante frequência. As pessoas costumam confundir melhores práticas com exigências da norma, mas o problema é que nem todas as normas de segurança são aplicáveis a todos os tipos de organizações. E as pessoas que afirmam que isso está na norma, provavelmente, nunca leram a norma.

“Vamos deixar o departamento de TI lidar com isso”

Esta é a afirmação preferida da gerência: “Segurança da informação só diz respeito à TI, não é verdade?” Bem, na verdade, não. Os aspectos mais importantes da segurança da informação incluem não só medidas de TI, mas também questões organizacionais e de gestão de recursos humanos, que geralmente estão fora do alcance do departamento de TI. Veja também Segurança da informação ou segurança de TI.

“Nós vamos implementá-la em alguns meses”

Você pode implementar a ISO 27001 em 2 ou 3 meses, mas ela não vai funcionar – tudo o que você irá obter é um monte de políticas e procedimentos com os quais ninguém se preocupa. Implementar a segurança da informação significa que você precisa implementar mudanças, e é preciso tempo para que mudanças ocorram.

Sem mencionar que você deve implementar apenas os controles de segurança que são realmente necessários, e a análise do que é realmente necessário leva tempo. Isso é chamado de avaliação de riscos e tratamento de riscos.

“Esta norma só diz respeito à documentação”

A Documentação é uma parte importante da implementação da ISO 27001, mas não é um fim em si. O ponto principal é que você realize suas atividades de forma segura, e a documentação está aqui para ajudá-lo a fazer isso. Além disso, os registros que você produzir irão ajudá-lo a avaliar se você atingiu seus objetivos de segurança da informação e permitirão que você corrija as atividades que tiveram desempenho aquém do esperado.

“O único benefício da norma é para fins de marketing”

“Nós estamos fazendo isso apenas para obter o certificado, não é?” Bem, esta é (infelizmente) a maneira como 80 por cento das empresas pensam. Eu não estou tentando argumentar aqui que a ISO 27001 não deve ser usada para fins promocionais e de vendas, mas você também pode obter outros benefícios muito importantes, como prevenir que coisas como o caso WikiLeaks aconteçam com você. Veja também Quatro principais benefícios da implementação da ISO 27001 e As lições aprendidas com o WikiLeaks: O que é exatamente segurança da informação?.

O ponto principal aqui é: leia a ISO 27001 primeiro antes de formar sua opinião sobre ela; ou, se você achar isso muito chato (o que admito que é verdade), consulte alguém que tenha conhecimento real sobre o assunto. E tente obter outros benefícios, além do marketing. Em outras palavras, aumente suas chances de fazer um investimento rentável em segurança da informação.

Para implementar e manter a ISO 27001 com mais facilidade, confira o software de conformidade Conformio.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001