Se você acabou de iniciar a implementação da ISO 27001 em sua organização, você provavelmente esta em um dilema sobre quantos documentos você precisa ter, e se deve escrever ou não certas políticas e procedimentos.
Critério para decidir o que documentar
Bem, o primeiro passo é fácil – você precisa verificar se um documento é requerido pela ISO 27001. Para este propósito, veja este artigo: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013). Se o documento é obrigatório, você não tem o que pensar – você deve escrevê-lo se você quiser estar em conformidade com esta norma. (Veja também: Sete passos para a implementação de políticas e procedimentos.)
Contudo, se o documento não é obrigatório, você pode ficar na dúvida se precisa ou não escrevê-lo – por exemplo, você precisaria de uma Política de Backup? Ou talvez uma Política de Classificação? Ou uma Política sobre Dispositivos Pessoais (BYOD)?
Aqui estão alguns critérios que ajudarão você:
Riscos. Você tem que iniciar pela avaliação de riscos para ver se há uma necessidade real para tal controle (veja também: A lógica básica da ISO 27001: Como a segurança da informação funciona?). Se não existe risco, então certamente você não precisará de um documento para ele; se existe um risco, isto ainda não significa que você tenha que escrever um documento, mas ao menos você terá resolvido o dilema se o controle é necessário ou não.
Conformidade. Algumas vezes você talvez tenha uma regulamentação ou requisito contratual para escrever um certo documento – e.g., uma regulamentação talvez requeira que você escreva a Política de Classificação, ou seu cliente pode requerer que você assine ANDs (Acordos de Não Divulgação) com seus empregados.
Tamanho de sua organização. Organizações menores tenderão a ter menos documentos, então em tais casos você deveria tentar evitar escrever um procedimento para cada pequeno processo – por exemplo, se você tem 20 empregado você não precisa de 50 documentos para o seu SGSI. Claro que, se você é uma organização multinacional com 10.000 empregados, escrever políticas onde cada uma teria alguns procedimentos relacionados, e então para cada procedimento algumas instruções de trabalho – esta abordagem não faz sentido.
Importância. Quanto mais importante um processo ou atividade, mais provavelmente você irá querer escrever uma política ou um procedimento para descrevê-lo – isto poque você irá querer ter certeza de que todos entendem como realizar tal processo ou atividade de forma evitar interrupções em suas operações.
Número de pessoas envolvidas. Quanto mais pessoas realizam um processo ou atividade, mais provavelmente você irá querer documentá-la; por exemplo, se você tem 100 pessoas envolvidas nele, será muito difícil explicar verbalmente para todas estas pessoas como realizar certo processo – é muito mais fácil escrever um procedimento que explicaria tudo em detalhes. Por outro lado, se você tem cinco pessoas envolvidas, você provavelmente pode explicar como todo o processo funciona em uma simples reunião, então não há necessidade por um processo escrito. Contudo, existe uma exceção: se você tem apenas uma pessoa trabalhando em um processo, você pode querer documentá-lo porque ninguém mais sabe como fazê-lo – se esta pessoa tornar-se indisponível, você será capaz de continuar suas operações.
Complexidade. Quanto mais complexo o processo, mais provavelmente você irá precisar de um documento escrito para ele (ao menos na forma de uma lista de verificação) – é simplesmente impossível lembrar-se de memória, por exemplo, de 100 passos que são necessários de serem executados em uma sequência exata.
Maturidade. Se um processo ou atividade está claramente estabelecido, se ele tem sido executado por anos e todos sabem exatamente como realizá-lo, se ele está bem ajustado, então provavelmente não há necessidade de documentá-lo.
Frequência. Se você realiza algumas atividades muito raramente, você pode querer escrevê-las porque você pode esquecer como elas são feitas.
Encontre o equilíbrio certo
Quanto mais documentos você tem e mais detalhados eles são, mais difícil será mantê-los e fazer com que seus empregados os cumpram. Por outro lado, uma quantidade menor de documentos quantambém são bem curtos pode não descrever exatamente o que você precisa fazer.
Em muitos casos, eu recomendo aos meus clientes para não se tornarem muito ambiciosos – se não há absoluta necessidade para criar algum novo documento, não crie-o; se não há necessidade de descrever alguns processos em grandes detalhes, faça-os mais curtos.
E lembre-se – documentos desnecessários trarão a você nada mais do que problemas.
Este paper gratuito fornecerá detalhes dos documentos mais importantes: Lista de verificação da documentação obrigatória requerida pela ISO 27001:2013.
Nós agradecemos a Rhand Leal pela tradução para o Português.