Muitas vezes ouço coisas sobre a ISO 27001 e não sei se rio ou choro. É realmente muito engraçado como as pessoas tendem a tomar decisões sobre algo que sabem muito pouco a respeito – aqui estão os equívocos mais comuns:
“A norma exige…”
“A norma exige que as senhas sejam trocadas a cada três meses.” “A norma exige que existam diversos fornecedores.” “A norma exige que o local de recuperação de desastres esteja a, pelo menos, 50 km de distância da localização principal.” Mesmo? A norma não diz nada disso. Infelizmente, eu ouço esse tipo de informações falsas com bastante frequência. As pessoas costumam confundir melhores práticas com exigências da norma, mas o problema é que nem todas as normas de segurança são aplicáveis a todos os tipos de organizações. E as pessoas que afirmam que isso está na norma, provavelmente, nunca leram a norma.
“Vamos deixar o departamento de TI lidar com isso”
Esta é a afirmação preferida da gerência: “Segurança da informação só diz respeito à TI, não é verdade?” Bem, na verdade, não. Os aspectos mais importantes da segurança da informação incluem não só medidas de TI, mas também questões organizacionais e de gestão de recursos humanos, que geralmente estão fora do alcance do departamento de TI. Veja também Segurança da informação ou segurança de TI.
“Nós vamos implementá-la em alguns meses”
Você pode implementar a ISO 27001 em 2 ou 3 meses, mas ela não vai funcionar – tudo o que você irá obter é um monte de políticas e procedimentos com os quais ninguém se preocupa. Implementar a segurança da informação significa que você precisa implementar mudanças, e é preciso tempo para que mudanças ocorram.
Sem mencionar que você deve implementar apenas os controles de segurança que são realmente necessários, e a análise do que é realmente necessário leva tempo. Isso é chamado de avaliação de riscos e tratamento de riscos.
“Esta norma só diz respeito à documentação”
A Documentação é uma parte importante da implementação da ISO 27001, mas não é um fim em si. O ponto principal é que você realize suas atividades de forma segura, e a documentação está aqui para ajudá-lo a fazer isso. Além disso, os registros que você produzir irão ajudá-lo a avaliar se você atingiu seus objetivos de segurança da informação e permitirão que você corrija as atividades que tiveram desempenho aquém do esperado.
“O único benefício da norma é para fins de marketing”
“Nós estamos fazendo isso apenas para obter o certificado, não é?” Bem, esta é (infelizmente) a maneira como 80 por cento das empresas pensam. Eu não estou tentando argumentar aqui que a ISO 27001 não deve ser usada para fins promocionais e de vendas, mas você também pode obter outros benefícios muito importantes, como prevenir que coisas como o caso WikiLeaks aconteçam com você. Veja também Quatro principais benefícios da implementação da ISO 27001 e As lições aprendidas com o WikiLeaks: O que é exatamente segurança da informação?.
O ponto principal aqui é: leia a ISO 27001 primeiro antes de formar sua opinião sobre ela; ou, se você achar isso muito chato (o que admito que é verdade), consulte alguém que tenha conhecimento real sobre o assunto. E tente obter outros benefícios, além do marketing. Em outras palavras, aumente suas chances de fazer um investimento rentável em segurança da informação.
Para implementar e manter a ISO 27001 com mais facilidade, confira o software de conformidade Conformio.