• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Quando usar ferramentas para a ISO 27001/ISO 22301 e quando evitá-las

    Se você está iniciando a implementação de normas complexas como a ISO 27001 ou ISO 22301, você provavelmente está procurando por um meio de tornar seu trabalho mais fácil. Quem não estaria? Além do mais, reinventar a roda não parece ser um trabalho muito interessante.

    Então, você está procurando por uma ferramenta para ajudá-lo com estas normas de segurança da informação e continuidade de negócio, mas cuidado – nem toda ferramenta irá ajudá-lo: você pode terminar com uma roda de trator que não serve para o carro que você esta guiando.

    Tipos de ferramentas

    Vamos começar com os tipos de ferramentas que você encontrará no mercado que são feitas especificamente para a ISO 27001 e ISO 22301:

    a) Ferramentas para automação – estas ferramentas ajudam você a semi-automatizar parte de seus processos – e.g., realizar a avaliação de riscos, escrever planos de continuidade de negócio, gerenciar incidentes, manter sua documentação, auxiliar na medição, etc.

    b) Ferramentas para escrever documentação – estas ferramentas ajudam você a desenvolver políticas e procedimentos – geralmente, elas incluem modelos de documentação, tutoriais para escrever documentação, etc.

    Prós e contras de ferramentas de automatização

    Ferramentas de automação geralmente são úteis para grandes organizações – por exemplo, usar planilhas para avaliar riscos pode ser um problema se você tem, e.g., 100 departamentos, porque quando você precisar unificar estes resultados isto se torna muito difícil. Ou, se você tem 50 planos de recuperação diferentes e quer mudar o mesmo detalhe em cada um deles, usar uma ferramenta é provavelmente muito mais fácil.

    Contudo, aplicar tais ferramentas de automação em organizações menores pode se provar muito caro – muitas destas ferramentas não são precificadas tendo em mente pequenas organizações, e pior ainda – treinar empregados para usar tais ferramentas leva muito tempo. Assim, para organizações menores, realizar a avaliação de riscos usando o Excel ou escrever planos de continuidade de negócio em Word é uma solução muito rápida e acessível.

    Existem algumas ferramentas para as quais eu pessoalmente não vejo propósito – por exemplo, ferramentas para manter a documentação da ISO. Para este propósito, grandes organizações usarão seus sistemas de gestão de documentos existentes (e.g., SharePoint), enquanto organizações menores podem carregar a documentação para pastas compartilhadas com direitos de acesso definidos – não precisa ser mais sofisticado do que isso.

    Você pode automatizar tudo?

    Um fato importante precisar ser enfatizado aqui: ferramentas de automação não podem ajudar você a gerenciar sua segurança da informação ou continuidade de negócio. Por exemplo, você não pode automatizar a elaboração de sua Política de Controle de Acesso – para finalizar tal documento, você precisa coordenar com seu CISO, departamento de TI e área de negócio da organização, e apenas após obter um acordo você pode escrever esta política. Nenhuma automação pode fazer isto por você.

    Sim, você pode semi-automatizar a medição do sucesso de controles em particular, mas novamente uma pessoa precisa interpretar estes resultados para entender porque o controle teve um desempenho bom ou ruim – esta parte do processo não pode ser automatizada, e nem tão pouco pode a decisão sobre ações corretivas e preventivas necessárias de serem tomadas como resultado da percepção obtida.

    O que buscar ao procurar por ferramentas de elaboração de documentação

    Você não precisará de ferramentas para escrever suas políticas, procedimentos e planos se você já desenvolveu sua documentação baseada em um framework que é similar a ISO 27001 – e.g., COBIT, Cybersecurity Framework, ou NFPA 1600. Da mesma forma, se você contratou um consultor, então será dever dele escrever todos os documentos (veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant).

    Em outros casos você encontrará ferramentas de elaboração de documentação (i.e., modelos de documentação) bem úteis porque elas irão acelerar a elaboração de suas políticas e procedimentos. A principal questão aqui é como escolher as corretas – aqui estão algumas dicas:

    • Elas são apropriadas para o tamanho da sua organização? Se você é uma organização pequena e os modelos são feitos para grandes organizações, eles serão uma sobrecarrega para você, e vice versa.
    • Que tipo de ajuda você recebe para escrever os documentos? Existem guias, tutoriais, suporte, ou algo similar que vem com os modelos?
    • Experiência dos autores? Seria melhor se o autor tivesse experiência tanto em consultoria quanto em auditoria, de forma que os modelos sejam práticos para as operações diárias, mas também aceitável para a auditoria de certificação.

    Assim, para concluir: sim – em muitos casos as ferramentas podem ajudar você com a sua implementação da ISO 27001 e ISO 22301. Uma vez que existem muitos provedores de ferramentas no mercado, assegure-se de realizar uma boa pesquisa antes de se decidir por qual usar.

    Aviso: o autor deste artigo também é autor de uma ferramenta de documentação direcionada a organizações de pequeno e médio porte: Kit de Documentação da ISO 27001 & ISO 22301.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001