• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Qual é o custo da implementação da ISO 27001?

    Essa geralmente é uma das primeiras perguntas feita por clientes em potencial. Para sua decepção, não posso informar o valor exato de imediato; veja o porquê.

    Em primeiro lugar, o custo total da implantação depende do tamanho da sua organização ou das unidades de negócios que serão incluídas no escopo da ISO 27001, do grau de importância das informações (por exemplo, informações em bancos são consideradas mais críticas e exigem mais proteção), da tecnologia utilizada pela organização (por exemplo, os centros de dados tendem a ter custos mais altos por causa de seus sistemas complexos) e das exigências da legislação (em geral, os setores financeiro e governamentais são fortemente regulamentados no que diz respeito à segurança da informação).

    Em segundo lugar, não é possível calcular os custos exatos antes de saber qual nível de proteção você precisa. Antes, é preciso executar a avaliação de riscos, pois essa análise indica as medidas de segurança necessárias.

    Após obter os resultados da avaliação de riscos, você deverá levar em consideração os seguintes custos:

    1. O custo de livros especializados e treinamento

    A implementação da ISO 27001 exige mudanças na sua organização e requer novas habilidades. Você pode preparar seus funcionários com livros sobre o assunto e/ou cursos (presenciais ou on-line). A duração dos cursos varia de 1 a 5 dias (leia Como aprender sobre a ISO 27001 e a BS 25999-2).

    E não se esqueça de comprar a própria norma ISO 27001. Muitas vezes me deparo com empresas que estão implementando a norma sem tê-la em mãos.

    2. O custo da ajuda externa

    Infelizmente, treinar seus funcionários não é o suficiente. Se você não tiver um gerente de projetos com profunda experiência na implementação da ISO 27001, você precisará de alguém com esse conhecimento; você pode contratar um consultor ou encontrar alguma alternativa on-line (é isso que fazemos na 27001Academy).

    A principal vantagem de ter alguém com experiência ajudando nesse tipo de projeto é que você não vai correr o risco de chegar a becos sem saída, passando meses a fio envolvido em atividades que não são realmente necessárias ou elaborando toneladas de documentações que não são exigidas pela norma.Esses desvios geram custos consideráveis.

    No entanto, tenha cuidado nesse sentido e não espere que o consultor faça toda a implementação para você. A ISO 27001 pode ser implementada pelos seus funcionários.

    3. O custo da tecnologia

    Pode parecer engraçado, mas a maioria das empresas com as quais trabalhei não precisou de um grande investimento em hardware, software ou ferramentas semelhantes – tudo isso já existia. O maior desafio geralmente era como usar a tecnologia existente de forma mais segura.

    4. O custo do tempo dos funcionários

    A norma não se implementa sozinha e também não pode ser implementada somente pelo consultor (se você tiver contratado um). Seus funcionários precisam passar algum tempo tentando descobrir onde estão os riscos, como melhorar os procedimentos e as políticas existentes ou implementar novos procedimentos e políticas. Eles também precisam reservar parte de seu tempo para o treinamento para assumir novas responsabilidades e adaptação às novas regras.

    Contudo, você precisa planejar esse tipo de investimento se ele for realmente necessário.

    5. O custo da certificação

    Se você deseja obter a prova pública de que cumpriu com a norma ISO 27001, o organismo de certificação precisará realizar uma auditoria de certificação e o custo dessa auditoria depende da relação dias-homem para a conclusão do trabalho, que varia de menos de 10 dias-homem em pequenas empresas a algumas dúzias de dias-homem em grandes organizações. O custo de dias-homem depende do mercado local.

    É preciso ter muito cuidado para não subestimar o verdadeiro custo do projeto da ISO 27001. Se fizer isso, a gestão da sua empresa verá o projeto como algo negativo. Por outro lado, prever os custos corretamente irá mostrar seu nível de profissionalismo. E não se esqueça, você sempre deve apresentar os custos e benefícios. Leia Quatro principais benefícios da implementação da ISO 27001.

    Este white paper gratuito também ajudará você a: How to Budget an ISO 27001 Implementation Project.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001