Como demonstrar a provisão de recursos na ISO 27001

A disponibilidade de recursos é um ponto crítico em qualquer empreendimento. Você pode ter as melhores ideias e as melhores intenções, mas se você não tem recursos você está condenado ao fracasso.

Assim, pode parecer estranho que a ISO 27001, a norma ISO líder para a implementação de sistemas de gestão de segurança da informação, dedique em sua cláusula de recursos apenas duas linhas, totalizando 23 palavras, para lidar com um assunto tão crítico.

Mas, as aparências podem enganar. Na verdade, os requisitos de provisão de recursos estão espalhados por toda a norma, e este artigo mostrará onde procurar e o que fazer para garantir que esses recursos estejam disponíveis para ajudar o seu SGSI a proteger as informações sob responsabilidade de sua organização.

A cláusula de recursos da ISO 27001 e exemplos

No que diz respeito aos recursos, a cláusula 7.1 da ISO 27001 exige a definição e a provisão do que é necessário para um ciclo de vida do SGSI, desde sua implementação até sua melhoria contínua. Mas, o que é necessário? Uma vez que esta norma faz uso da abordagem de processo, você pode pensar recursos em termos de:

• Capital: Não há segurança gratuita; investimentos precisarão ser feitos.
• Instalações: O ambiente físico de uma organização precisa estar preparado para oferecer níveis de segurança proporcionais aos riscos aos quais uma organização está exposta.
• Equipamentos: O apoio de equipamentos pode prover melhor capacidade de defesa, detecção e reação, melhorando os níveis de segurança.
• Pessoas: Enquanto a segurança para a maioria dos funcionários de uma organização será uma ferramenta para atingir seus objetivos de negócios, você precisará considerar pessoas para assumir as responsabilidades para cuidar dessa ferramenta. Observe que isso é diferente da cláusula 7.2 (competência), porque essa está relacionada aos níveis de habilidade, educação ou experiência requerida para a segurança adequada, e não o número de pessoas necessárias.

Com estes exemplos em mente, agora estamos preparados para identificar onde na norma os recursos são requeridos.

Papéis, responsabilidades e autoridades organizacionais

Através da cláusula 5.3 uma organização designa formalmente pessoas que terão que pensar, planejar e agir para assegurar que a segurança da informação esteja implementada como requerido e esteja atingindo os resultados esperados (ex.: CISO, administrador de sistema, etc.). Para mais informações, veja: Como documentar papéis e responsabilidades de acordo com a ISO 27001 e Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?

Planos de tratamento de riscos

A cláusula 6.1.3 e) requer que para os riscos considerados inaceitáveis, planos de tratamento sejam formulados, basicamente definindo quais controles de segurança você precisa implementar, quem é responsável por eles, quais são os prazos, e quais recursos são necessários. E, enquanto controles tais como mesa limpa e tela limpa se apoiarão principalmente na definição de uma política e em esforços de treinamento, controles envolvendo controle de acesso e backup também irão requerer equipamentos e instalações. Para mais informações, veja: Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?

Planos para atingir os objetivos de segurança da informação

Enquanto os planos mencionados na seção anterior cobrem especificamente como trazer os riscos a níveis aceitáveis, os planos para atingir os objetivos de segurança da informação definidos na cláusula 6.2 também definem a provisão de recursos requeridos pelo SGSI para atender aos requisitos de segurança da informação (ex.: cláusulas contratuais), bem como apoiar outras decisões organizacionais incorporadas na política de segurança da informação (ex.: objetivo estratégico de negócio para competir em um  novo mercado). Para mais informações, veja: ISO 27001 control objectives – Why are they important?

Recursos para a avaliação do desempenho

As cláusulas 9.1 e 9.2 requerem que recursos sejam definidos para a medição, monitoramento, análise e avaliação da eficácia dos controles, assim como para a realização de auditorias para a verificação imparcial da implementação e manutenção do SGSI em conformidade com os requisitos da norma e da organização: Como realizar monitoramento e medição na ISO 27001 e Como se prepara para uma auditoria interna da ISO 27001.

Tratamento de não conformidades, ações corretivas e oportunidades de melhoria

E, finalmente, se ocorre diferente do esperado, ou pode ser feito mais rápido, mais barato ou com mais valor agregado ao negócio, as cláusulas 10.1 e 10.2 requerem que os recursos sejam identificados e fornecidos para que os problemas sejam resolvidos e coisas ruins não ocorreram novamente – ou para que as oportunidades possam ser aproveitadas, melhorando os resultados do negócio. Para mais informações, veja: Uso prático das ações corretivas para a ISO 27001 e ISO 22301.

Visão geral do planejamento de recursos

Como você viu, o planejamento de recursos é executado em muitas fases do ciclo de vida do SGSI, para diferentes propósitos, em momentos diferentes e, provavelmente, por pessoas diferentes, por isso é importante que você possa acompanhar todos esses planos para garantir que os recursos não sejam sub ou super alocados.

Existem pelo menos três métodos que você deve considerar:

1. Todos os planos individuais estão disponíveis para a pessoa responsável por manter o controle do uso de recursos.
2. A informação sobre os recursos do plano é compilada num único plano geral de recursos.
3. A informação sobre os recursos do plano é compilada em planos de recursos separados, considerando cada tipo de recurso.

A decisão sobre qual solução seria melhor dependerá do volume de planos que você terá que lidar e das necessidades organizacionais de informações de alocação de recursos.

Planeje seus recursos para uma jornada segura

At first sight, ISO 27001 seems to not provide sufficient information about the resources required to implement, operate, maintain, and improve an Information Security Management System, but this is only an impression. As we presented in this article, this standard presents how resources to protect information should be considered during all phases of the ISMS life cycle – and, by knowing where to look, you can be prepared to ensure that your ISMS is fully prepared to fulfill its objectives and improve business results.

Os recursos não são infinitos, então as decisões sobre eles são sempre trocas entre o que você espera ganhar e o que você espera perder. O problema é que na maioria dos casos, as organizações não têm todas as informações de que necessitam sobre os recursos a serem gastos para alcançar os resultados pretendidos, e podem acabar ganhando a batalha, apenas para perder a guerra.

À primeira vista, a ISO 27001 parece não fornecer informações suficientes sobre os recursos necessários para implementar, operar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação, mas isso é apenas uma impressão. Conforme apresentado neste artigo, esta norma apresenta como os recursos para proteger a informação devem ser considerados durante todas as fases do ciclo de vida do SGSI – e, ao saber onde procurar, você pode estar preparado para garantir que seu SGSI esteja totalmente preparado para cumprir seus objetivos e melhorar os resultados do negócio.

Use este treinamento online gratuito  ISO 27001:2013 Foundations Course para aprender mais sobre requisitos de recursos, e etapas na implementação.