{"id":4646,"date":"2013-10-30T17:01:23","date_gmt":"2013-10-30T17:01:23","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/013\/10\/30\/estudo-de-caso-da-iso-27001-para-data-centers-uma-entrevista-com-goran-djoreski\/"},"modified":"2022-07-17T15:43:41","modified_gmt":"2022-07-17T15:43:41","slug":"estudo-de-caso-da-iso-27001-para-data-centers-uma-entrevista-com-goran-djoreski","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2013\/10\/30\/estudo-de-caso-da-iso-27001-para-data-centers-uma-entrevista-com-goran-djoreski\/","title":{"rendered":"Estudo de caso da ISO 27001 para data centers: Uma entrevista com Goran Djoreski"},"content":{"rendered":"<p><i>DK: Mais de uma ano e meio se passou desde que voc\u00ea foi certificado pela <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> \u2013 quais s\u00e3o suas impress\u00f5es? Valeu a pena?<\/i><\/p>\n<p>GD: Definitivamente valeu a pena, uma vez que uma certifica\u00e7\u00e3o ISO 27001 n\u00e3o \u00e9 necessariamente uma vantagem competitiva, mas sim uma necessidade. O contexto da est\u00f3ria toda \u00e9 que estamos tentando atender mercados sujeitos a regulamenta\u00e7\u00f5es. Estamos falando da ind\u00fastria farmac\u00eautica. Telecomunica\u00e7\u00f5es, ind\u00fastria financeira, e talvez no futuro ind\u00fastrias de alimentos e similares, e todos eles s\u00e3o extremamente regulados, e em uma conversa com eles voc\u00ea descobre que a ISO 27001 \u00e9 algo que eles esperam, caso contr\u00e1rio eles n\u00e3o querem conversar com voc\u00ea. Ent\u00e3o ningu\u00e9m diria que vale a pena porque a certifica\u00e7\u00e3o traz clientes para n\u00f3s; ao inv\u00e9s disso, ela nos permite entrar em um mercado que de outro modo estaria fechado para n\u00f3s.<\/p>\n<p><i>DK: Por que tantos clientes em potencial est\u00e3o dando \u00eanfase a ISO 27001; Por que esta norma \u00e9 aceita como necess\u00e1ria?<\/i><\/p>\n<p>GD: Para eles a ISO 27001 frequentemente n\u00e3o \u00e9 o bastante. Ela \u00e9 necess\u00e1ria, mas n\u00e3o suficiente. Mas com a ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: \u201cAgora n\u00f3s podemos come\u00e7ar a conversar.\u201d Se uma empresa tem um certificado ISO 27001, eles assumem que alguns crit\u00e9rios b\u00e1sicos s\u00e3o atendidos, e ap\u00f3s isso, eles est\u00e3o realmente interessados em seus anexos espec\u00edficos. Adicionalmente, o processo da ISO 27001 encurta a auditoria deles \u2013 que passa a durar apenas dois dias, ao inv\u00e9s de seis.<\/p>\n<p><i>DK: Ent\u00e3o a ISO 27001 \u00e9 na verdade considerada uma linha de base.<\/i><\/p>\n<p>GD: Exato, uma linha de base.<\/p>\n<p><i>DK: H\u00e1 alguma outra norma sendo considerada, que poderia ser uma linha de base para estes compradores em potencial?<\/i><\/p>\n<p>GD: N\u00e3o, eu diria que a ISO 27001 \u00e9 o principal requisito. Em particular, a ind\u00fastria financeira considera a PCI DSS, mas uma vez que somos uma infraestrutura de data center, n\u00f3s n\u00e3o nos aprofundamos em seus dados e transa\u00e7\u00f5es quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo n\u00e3o relacionado a infraestrutura est\u00e1 fora do escopo para n\u00f3s. Ent\u00e3o eles esperam que com a certifica\u00e7\u00e3o ISO 27001 n\u00f3s tratemos aqueles cap\u00edtulos da PCI DSS que s\u00e3o relevantes para a infraestrutura. Eles n\u00e3o pedem pela <a href=\"https:\/\/advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener\">ISO 9001<\/a> porque em geral eles assumem que se temos a certifica\u00e7\u00e3o ISO 27001, a ISO 9001, que \u00e9 importante para eles, j\u00e1 est\u00e1 inclu\u00edda.<\/p>\n<p><i>DK: Se eu entendi bem o seu neg\u00f3cio, voc\u00ea primariamente alugam infraestrutura, e ent\u00e3o n\u00e3o manuseiam os dados propriamente ditos?<\/i><\/p>\n<p>GD: Na maioria dos casos \u00e9 desta forma sim.<\/p>\n<p><i>DK: Qu\u00e3o ben\u00e9fica \u00e9 a certifica\u00e7\u00e3o ISO 27001 para voc\u00ea como um provedor de servi\u00e7os de infraestrutura, considerando que esta norma tem um foco em informa\u00e7\u00e3o?<\/i><\/p>\n<p>GD: Eu diria que a ISO 27001 n\u00e3o \u00e9 baseada apenas em informa\u00e7\u00e3o, mas tamb\u00e9m em tudo que ajuda a garantir a seguran\u00e7a e transfer\u00eancia desta informa\u00e7\u00e3o, e tudo necess\u00e1rio para fazer com que a informa\u00e7\u00e3o esteja dispon\u00edvel, seja aut\u00eantica, etc. De fato, a informa\u00e7\u00e3o por si s\u00f3 n\u00e3o pode existir fora de uma infraestrutura.<\/p>\n<p><i>DK: Recentemente, a tend\u00eancia tem sido cada vez mais e mais em dire\u00e7\u00e3o das estruturas em nuvem; qu\u00e3o \u00fatil \u00e9 a ISO 27001 considerando esta tend\u00eancia, ou ela est\u00e1 mais para um obst\u00e1culo? Ela pode ser um obst\u00e1culo de fato, uma vez que organiza\u00e7\u00f5es utilizando servi\u00e7os em nuvem na verdade perdem o controle sobre seus dados.<\/i><\/p>\n<p>GD: Na verdade \u00e3o. Se n\u00f3s pensarmos a nuvem da forma como ela \u00e9 utilizada pelos grandes provedores \u2013 como a Amazon AWS, Rackspace ou similares \u2013 eles possuem nuvens altamente industrializadas, e possuem um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padr\u00e3o; tudo isto \u00e9 projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais entre eles, ent\u00e3o desta forma, a partir desta perspectiva realmente parece que os usu\u00e1rios n\u00e3o tem controle sobre seus dados. Voc\u00ea n\u00e3o tem como saber onde eles est\u00e3o, uma vez que hoje eles podem estar em Johannesburgo e amanh\u00e3 talvez em Munique, e voc\u00ea n\u00e3o tem influ\u00eancia sobre a estrutura da rede, etc. Isto \u00e9 uma nuvem.<\/p>\n<p>Mas a nuvem \u00e9 tamb\u00e9m algo mais. A nuvem tamb\u00e9m \u00e9 o que fazemos, mas comparado a outros fornecedores n\u00f3s far\u00edamos uma distin\u00e7\u00e3o, assim como fazemos ente roupas sob medida e roupas manufaturadas de forma industrial. Assim n\u00f3s fazemos redes sob medida: o usu\u00e1rio, que vem at\u00e9 n\u00f3s, entra em acordo conosco sobre a estrutura da rede, onde o servidor virtual ser\u00e1 colocado, e durante o processo, como a seguran\u00e7a ser\u00e1 tratada. Claro que tudo isso est\u00e1 dentro de certos padr\u00f5es com rela\u00e7\u00e3o aos grandes provedores, uma vez que s\u00e3o nos servidores deles e em suas cidades, entre outros fatores, onde as m\u00e1quinas virtuais dos usu\u00e1rios est\u00e3o fisicamente localizadas. N\u00f3s podemos definir uma estrutura, dentro da qual a nuvem estar\u00e1 atuando.0<\/p>\n<p><i>DK: Ent\u00e3o, em contraste com estes provedores altamente industrializados tamb\u00e9m existem pequenos provedores, que de fato ajustam a nuvem para necessidades de seguran\u00e7a espec\u00edficas de seus clientes.<\/i><\/p>\n<p>GD: Sim. Na verdade, em minha opini\u00e3o, neste tipo de arranjo n\u00f3s temos conseguido conciliar seguran\u00e7a e economia. A nuvem poupa recursos significativos e torna poss\u00edvel alcan\u00e7ar o mesmo n\u00edvel de redund\u00e2ncia, ou at\u00e9 super\u00e1-lo, e em caso de falhas ou problemas t\u00e9cnicos, o servidor virtual continuar\u00e1 a operar em uma infraestrutura completamente diferente e voc\u00ea n\u00e3o precisar\u00e1 comprar 3 ou 4 servidores para este prop\u00f3sito. Isto significa que n\u00f3s alinhamos a abordagem com a fato de que o ambiente, onde tudo est\u00e1 configurado, ser\u00e1 controlado, de forma que voc\u00ea estar\u00e1 ciente do fato de que poder\u00e1 compartilhar um servidor f\u00edsico com outro usu\u00e1rio. Mas, por outro lado, voc\u00ea saber\u00e1 que possui um segmento de rede completamente separado \u2013 que entre voc\u00ea e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso \u00e9 controlado, de forma que n\u00e3o existe a possibilidade de que algu\u00e9m remova um disco do servidor e o coloque de volta sem controle, etc. Ele de fato d\u00e1 ao usu\u00e1rio a sensa\u00e7\u00e3o de que eles tem a mesma seguran\u00e7a de antes, mas com os benef\u00edcios de utilizar uma nuvem.<\/p>\n<p><i>Fa\u00e7a o download deste paper gratuito para ler a entrevista completa:<\/i> <a href=\"https:\/\/info.advisera.com\/27001academy\/pt-br\/download-gratuito\/estudo-de-caso-da-iso-27001-para-data-centers\" target=\"_blank\" rel=\"noopener\">Estudo de caso da ISO 27001 para data centers<\/a>.<\/p>\n<p>Goran Djoreski \u00e9 CEO do Data Center independente <a href=\"https:\/\/datacentar.hr\/en\" target=\"_blank\" rel=\"noopener\">Altus Information Technology<\/a>. Anteriormente ele trabalhou por 12 anos na ind\u00fastria financeira, empregado na Card business development, assim como na seguran\u00e7a de pagamentos com cart\u00f5es de cr\u00e9dito.<\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>DK: Mais de uma ano e meio se passou desde que voc\u00ea foi certificado pela ISO 27001 \u2013 quais s\u00e3o suas impress\u00f5es? Valeu a pena? GD: Definitivamente valeu a pena, uma vez que uma certifica\u00e7\u00e3o ISO 27001 n\u00e3o \u00e9 necessariamente uma vantagem competitiva, mas sim uma necessidade. O contexto da est\u00f3ria toda \u00e9 que estamos &#8230;<\/p>\n","protected":false},"author":26,"featured_media":4647,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4646","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4646","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4646"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4646\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4647"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4646"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4646"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4646"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}