Irá um pedaço de papel parar os atacantes?

Existem muitos céticos que não acreditam que a ISO 27001 pode ajudar a proteger suas informações e/ou sistemas de informação; um de seus principais argumentos é: “Escrever uma política ou um procedimento claramente não irá ajudar contra alguém que quer roubar sua informação.”

E eu concordo com eles – simplesmente escrever um documento não ajudará.

Por que apenas um pedaço de papel não irá ajudar?

Por exemplo, um hacker que tenha criado um software malicioso e conseguido passar por seu software de firewall e anti-vírus não se importa se você tem uma Política de segurança de rede ou não.

E mais, um empregado de TI descontente que queira apagar os seus dados ou parar seus servidores não terá a Política de controle de acesso em mente.

Da mesma forma, um concorrente que queira roubar seu mais precioso conhecimento não estará muito impressionado com a Política de classificação na qual você investiu muito tempo escrevendo.

Então realmente, apenas ter os documentos não ajudará você em muita coisa. É por isso que é importante distinguir entre dois tipos de organizações: (a) aquelas que usam estruturas tal como a da ISO 27001 para produzir bons documentos (em muito pouco tempo) e ter um certificado para mostrar; e (b) aquelas que talvez queiram ou não o certificado, mas que definitivamente querem melhorar a segurança em suas organizações.

Você pode com certeza imaginar como a segurança se parecerá em uma organização do tipo (a), assim não vamos perder tempo com ela; o resto deste artigo abordará organizações do tipo (b).

Por que se importar com a documentação?

Nós podemos tomar uma norma internacional como a ISO 27001 para apresentar um caso sobre documentação: é verdade que a ISO 27001 (assim como muitas outras normas ISO) requer a elaboração de políticas, procedimentos e planos, para manter registros, etc. (Veja também: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).)

Mas a ISO 27001 não pede a você para escrever políticas e procedimentos apenas para dar aos auditores algo para fazer; isto pode ser um choque para você: escrever documentos realmente não é o principal ponto da ISO 27001. (Veja também: Os 5 maiores mitos sobre a ISO 27001.)

O principal ponto da documentação é ajudar você a mudar o comportamento de seus empregados, para fazer a mudança em seus processos. Por exemplo, você provavelmente tem firewalls muito bons em sua organização, mas eles podem não estar sendo mantidos e/ou configurados adequadamente; você pode ter um sistema muito seguro para autenticação de seu e-mail, mas se seus empregados recebem o e-mail em seus smart phones sem nenhuma proteção de qualquer tipo então este sistema de autenticação não é muito útil. E existem dúzias de exemplos deste tipo mesmo para organizações de pequeno porte.

Assim, deixe-me chegar a seguinte conclusão: não é a tecnologia que está errada em muitas das organizações; o que está errado é como a tecnologia é utilizada. É por isto que nós precisamos de políticas e procedimentos: elas explicam a todos como usar a tecnologia de uma forma mais segura, e quando todos começam a se comportar de forma diferente, o nível de segurança em sua organização irá se elevar. (Veja também: 4 reasons why ISO 27001 is useful for techies.)

Claro que, se você quer que seus documentos mudem alguma coisa, você tem que torná-los realmente utilizáveis – veja este artigo para uma explanação: Sete passos para a implementação de políticas e procedimentos.

Por que a implementação levam tanto tempo?

Muito frequentemente, nossos novos clientes me perguntam: “Quanto tempo levará para implementarmos a ISO 27001?”, e para pequenas organizações de 50 empregados eu geralmente respondo “de 6 a 8 meses.” “Por que tanto tempo?” eles me perguntam. E então eu tenho que explicar que você pode escrever todos os documentos para a ISO 27001 em apenas duas semanas – simplesmente preencha todos os documentos mandatórios e você estará ok.

Mas o que leva tempo é para que os empregados em sua organização aceitem todas estas mudanças – se você enviar 20 novas políticas e procedimentos de uma só vez para eles, eles olharão para você com o maior descontentamento (e claro, nós sabemos como está abordagem irá terminar). Assim, se você quer que eles realmente aceitem todas estas mudanças, você tem que criar os documentos em conjunto com eles, enviá-los um por um, e conduzir conscientizações e treinamentos em paralelo com a publicação dos documentos. E isso leva tempo – então de 6 a 8 meses. Veja também: ISO 27001 project – How to make it work.

Então lembre-se – políticas e procedimentos não são o objetivos em si. Quando você para de tratar a ISO 27001 como apenas um exercício de produzir documentos, você estará obtendo o real benefício desta norma: seus empregados irão começar a se comportar de forma mais segura.

Veja este artigo que explica quais documentos são obrigatórios para a ISO 27001, e como estruturá-los: Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013)

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Tag: #ISO 27001