DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Qual é o custo da implementação da ISO 27001?

Advisera Dejan Kosutic Dejan Kosutic
fevereiro 8, 2011

Essa geralmente é uma das primeiras perguntas feita por clientes em potencial. Para sua decepção, não posso informar o valor exato de imediato; veja o porquê.

Em primeiro lugar, o custo total da implantação depende do tamanho da sua organização ou das unidades de negócios que serão incluídas no escopo da ISO 27001, do grau de importância das informações (por exemplo, informações em bancos são consideradas mais críticas e exigem mais proteção), da tecnologia utilizada pela organização (por exemplo, os centros de dados tendem a ter custos mais altos por causa de seus sistemas complexos) e das exigências da legislação (em geral, os setores financeiro e governamentais são fortemente regulamentados no que diz respeito à segurança da informação).

Em segundo lugar, não é possível calcular os custos exatos antes de saber qual nível de proteção você precisa. Antes, é preciso executar a avaliação de riscos, pois essa análise indica as medidas de segurança necessárias.

Após obter os resultados da avaliação de riscos, você deverá levar em consideração os seguintes custos:

1. O custo de livros especializados e treinamento

A implementação da ISO 27001 exige mudanças na sua organização e requer novas habilidades. Você pode preparar seus funcionários com livros sobre o assunto e/ou cursos (presenciais ou on-line). A duração dos cursos varia de 1 a 5 dias (leia Como aprender sobre a ISO 27001 e a BS 25999-2).

E não se esqueça de comprar a própria norma ISO 27001. Muitas vezes me deparo com empresas que estão implementando a norma sem tê-la em mãos.

2. O custo da ajuda externa

Infelizmente, treinar seus funcionários não é o suficiente. Se você não tiver um gerente de projetos com profunda experiência na implementação da ISO 27001, você precisará de alguém com esse conhecimento; você pode contratar um consultor ou encontrar alguma alternativa on-line (é isso que fazemos na 27001Academy).

A principal vantagem de ter alguém com experiência ajudando nesse tipo de projeto é que você não vai correr o risco de chegar a becos sem saída, passando meses a fio envolvido em atividades que não são realmente necessárias ou elaborando toneladas de documentações que não são exigidas pela norma.Esses desvios geram custos consideráveis.

No entanto, tenha cuidado nesse sentido e não espere que o consultor faça toda a implementação para você. A ISO 27001 pode ser implementada pelos seus funcionários.

3. O custo da tecnologia

Pode parecer engraçado, mas a maioria das empresas com as quais trabalhei não precisou de um grande investimento em hardware, software ou ferramentas semelhantes – tudo isso já existia. O maior desafio geralmente era como usar a tecnologia existente de forma mais segura.

4. O custo do tempo dos funcionários

A norma não se implementa sozinha e também não pode ser implementada somente pelo consultor (se você tiver contratado um). Seus funcionários precisam passar algum tempo tentando descobrir onde estão os riscos, como melhorar os procedimentos e as políticas existentes ou implementar novos procedimentos e políticas. Eles também precisam reservar parte de seu tempo para o treinamento para assumir novas responsabilidades e adaptação às novas regras.

Contudo, você precisa planejar esse tipo de investimento se ele for realmente necessário.

5. O custo da certificação

Se você deseja obter a prova pública de que cumpriu com a norma ISO 27001, o organismo de certificação precisará realizar uma auditoria de certificação e o custo dessa auditoria depende da relação dias-homem para a conclusão do trabalho, que varia de menos de 10 dias-homem em pequenas empresas a algumas dúzias de dias-homem em grandes organizações. O custo de dias-homem depende do mercado local.

É preciso ter muito cuidado para não subestimar o verdadeiro custo do projeto da ISO 27001. Se fizer isso, a gestão da sua empresa verá o projeto como algo negativo. Por outro lado, prever os custos corretamente irá mostrar seu nível de profissionalismo. E não se esqueça, você sempre deve apresentar os custos e benefícios. Leia Quatro principais benefícios da implementação da ISO 27001.

Este white paper gratuito também ajudará você a: How to Budget an ISO 27001 Implementation Project.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Post anterior As maiores deficiências da ISO 27001
Próximo post Os 5 maiores mitos sobre a ISO 27001

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
by Rhand Leal