• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    As maiores deficiências da ISO 27001

    Se você está acompanhando o meu blog, você provavelmente acha que eu estou convencido de que a norma ISO 27001 é o documento mais perfeito já escrito. Na verdade, não é bem assim. Quando trabalho com meus clientes e ensino sobre o assunto, geralmente os mesmos pontos fracos dessa norma aparecem. Segue abaixo uma lista desses pontos fracos, juntamente com as minhas sugestões sobre como resolvê-los:

    Termos ambíguos

    Alguns dos requisitos da norma são bastante confusos:

    • A cláusula 4.3.1 c) requer que a documentação do SGSI deve incluir os “procedimentos e controles que apoiam o SGSI“. Isso significa que um documento deve ser escrito para cada um dos controles aplicados? No Anexo A, há 133 controles. Na minha opinião, isso não é necessário. Eu costumo aconselhar os meus clientes a escrever somente as políticas e os procedimentos necessários do ponto de vista operacional e com a finalidade de diminuir riscos. Todos os demais controles podem ser descritos brevemente na Declaração de aplicabilidade, já que a declaração deve incluir a descrição de todos os controles implementados.
    • Políticas e procedimentos documentados/não documentados: em muitos controles do Anexo A, as políticas e os procedimentos são mencionados sem a palavra “documentado”. Na verdade, isso significa que as políticas e os procedimentos não precisam ser registrados por escrito, mas isso não fica claro para 95% das pessoas que leem a norma.
    • Partes externas/terceiros: estes termos são usados ​​de forma intercambiável, o que pode causar confusão. Seria muito melhor se apenas um dos termos fosse usado.

    Organização da norma

    Alguns dos requisitos da norma estão espalhados ou duplicados sem necessidade:

    • Alguns controles estão simplesmente no local errado. Por exemplo, o item A.11.7 Computação móvel e trabalho remoto está localizado na seção A.11 Controle de acessos. Embora seja necessário lidar com a computação móvel ao cuidar do controle de acesso, a seção A.11 não é o lugar mais adequado para definir questões relacionadas à computação móvel e ao trabalho remoto.
    • Os problemas relacionados às partes externas estão espalhados pela norma, nas seções A.6.2 Partes externas, A.8 Segurança em recursos humanos e A.10.2 Gerenciamento de serviços terceirizados. Com o avanço da computação em nuvem e de outros tipos de terceirização, recomenda-se reunir todas essas regras em um documento ou um conjunto de documentos relacionados a terceiros.
    • A conscientização e o treinamento de funcionários são necessários tanto na cláusula 5.2.2 da parte principal da norma quanto no controle A.8.2.2. Além de a duplicação ser desnecessária, também resulta em mais confusão. Teoricamente, todos os controles do Anexo A poderiam ser excluídos e, por esse motivo, você pode acabar excluindo um requisito que não deve ser excluído pois consta na parte principal da norma. A mesma coisa acontece com as Auditorias internas, da cláusula 6ª da parte principal da norma, e o controle A.6.1.8 Análise crítica independente de segurança da informação.
    • Alguns dos controles do Anexo A podem ser amplamente aplicados e podem incluir outros controles. Por exemplo, o controle A.7.1.3 Uso aceitável dos ativos é tão genérico que pode abranger, os itens A.7.2.2 (Gestão de informações classificadas), A.8.3.2 (Devolução de ativos no encerramento das atividades), A.9.2.1 (Proteção do equipamento), A.10.7.1 (Gerenciamento de mídias removíveis), A.10.7.2 (Descarte de mídias), A.10.7.3 (Procedimentos para tratamento de informação) etc. Eu costumo aconselhar os meus clientes a elaborar um documento que abranja todos esses controles.

    Problemas ou não?

    Aqui estão algumas questões que geralmente são consideradas como problemas, porém eu discordo:

    • A norma é muito vaga, não apresenta detalhes suficientes. Se a norma fosse muito detalhada em termos da tecnologia a ser usada, ela logo ficaria desatualizada; se a norma fosse muito detalhada sobre os métodos e/ou as soluções organizacionais, não seria aplicável a todos os tamanhos e tipos de organizações (a organização de um grande banco é bastante diferente da administração de uma pequena agência publicitária, porém ambos devem poder implementar a ISO 27001).
    • A norma é muito flexível. Isso está relacionado ao conceito de avaliação de risco em que determinados controles de segurança podem ser excluídos se não houver riscos. Então, os críticos perguntam: “Como seria possível excluir a cópia de segurança ou de proteção contra antivírus?” Com o avanço de tecnologias, como a computação em nuvem, este tipo de proteção pode não ser responsabilidade da organização que está implementando a ISO 27001. No entanto, neste caso, os riscos da terceirização seriam bastante altos e, por isso, outros tipos de controles de segurança seriam necessários.

    E agora?

    Esta norma certamente precisará passar por mudanças. A versão atual da ISO/IEC 27001:2005 foi elaborada há seis anos e a próxima revisão, prevista para 2012 ou 2013, deve abordar a maioria das questões acima.

    Apesar destas deficiências que muitas vezes podem causar confusão, acredito que os pontos positivos da norma superam os pontos negativos. E sim, estou realmente convencido de que esta norma é, de longe, a melhor estrutura para a gestão da segurança da informação.

    Você também pode conferir este eBook Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own, que explica todas as etapas da implementação da ISO 27001.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001