{"id":4741,"date":"2011-03-21T22:47:27","date_gmt":"2011-03-21T22:47:27","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/21\/as-maiores-deficiencias-da-iso-27001\/"},"modified":"2022-07-17T15:43:43","modified_gmt":"2022-07-17T15:43:43","slug":"as-maiores-deficiencias-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2011\/03\/21\/as-maiores-deficiencias-da-iso-27001\/","title":{"rendered":"As maiores defici\u00eancias da ISO 27001"},"content":{"rendered":"<p>Se voc\u00ea est\u00e1 acompanhando o meu blog, voc\u00ea provavelmente acha que eu estou convencido de que a norma <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> \u00e9 o documento mais perfeito j\u00e1 escrito. Na verdade, n\u00e3o \u00e9 bem assim. Quando trabalho com meus clientes e ensino sobre o assunto, geralmente os mesmos pontos fracos dessa norma aparecem. Segue abaixo uma lista desses pontos fracos, juntamente com as minhas sugest\u00f5es sobre como resolv\u00ea-los:<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Termos amb\u00edguos<\/h2>\n<p>Alguns dos requisitos da norma s\u00e3o bastante confusos:<\/p>\n<ul>\n<li>A cl\u00e1usula 4.3.1 c) requer que a <a href=\"\/27001academy\/pt-br\/kit-de-ferramentas-da-documentacao-da-iso-27001\/\" target=\"_blank\" rel=\"noopener\">documenta\u00e7\u00e3o do SGSI<\/a> deve incluir os &#8220;<strong>procedimentos e controles que apoiam o SGSI<\/strong>&#8220;. Isso significa que um documento deve ser escrito para cada um dos controles aplicados? No Anexo A, h\u00e1 133 controles. Na minha opini\u00e3o, isso n\u00e3o \u00e9 necess\u00e1rio. Eu costumo aconselhar os meus clientes a escrever somente as pol\u00edticas e os procedimentos necess\u00e1rios do ponto de vista operacional e com a finalidade de diminuir riscos. Todos os demais controles podem ser descritos brevemente na Declara\u00e7\u00e3o de aplicabilidade, j\u00e1 que a declara\u00e7\u00e3o deve incluir a descri\u00e7\u00e3o de todos os controles implementados.<\/li>\n<li><strong>Pol\u00edticas e procedimentos documentados\/n\u00e3o documentados<\/strong>: em muitos controles do Anexo A, as pol\u00edticas e os procedimentos s\u00e3o mencionados sem a palavra &#8220;documentado&#8221;. Na verdade, isso significa que as pol\u00edticas e os procedimentos n\u00e3o precisam ser registrados por escrito, mas isso n\u00e3o fica claro para 95% das pessoas que leem a norma.<\/li>\n<li><strong>Partes externas\/terceiros<\/strong>: estes termos s\u00e3o usados \u200b\u200bde forma intercambi\u00e1vel, o que pode causar confus\u00e3o. Seria muito melhor se apenas um dos termos fosse usado.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 5px;padding-bottom: 10px\">Organiza\u00e7\u00e3o da norma<\/h2>\n<p>Alguns dos requisitos da norma est\u00e3o espalhados ou duplicados sem necessidade:<\/p>\n<ul>\n<li>Alguns controles est\u00e3o simplesmente <strong>no local errado<\/strong>. Por exemplo, o item A.11.7 Computa\u00e7\u00e3o m\u00f3vel e trabalho remoto est\u00e1 localizado na se\u00e7\u00e3o A.11 Controle de acessos. Embora seja necess\u00e1rio lidar com a computa\u00e7\u00e3o m\u00f3vel ao cuidar do controle de acesso, a se\u00e7\u00e3o A.11 n\u00e3o \u00e9 o lugar mais adequado para definir quest\u00f5es relacionadas \u00e0 computa\u00e7\u00e3o m\u00f3vel e ao trabalho remoto.<\/li>\n<li><strong>Os problemas relacionados \u00e0s partes externas<\/strong> est\u00e3o espalhados pela norma, nas se\u00e7\u00f5es A.6.2 Partes externas, A.8 Seguran\u00e7a em recursos humanos e A.10.2 Gerenciamento de servi\u00e7os terceirizados. Com o avan\u00e7o da computa\u00e7\u00e3o em nuvem e de outros tipos de terceiriza\u00e7\u00e3o, recomenda-se reunir todas essas regras em um documento ou um conjunto de documentos relacionados a terceiros.<\/li>\n<li><strong>A conscientiza\u00e7\u00e3o e o treinamento de funcion\u00e1rios<\/strong> s\u00e3o necess\u00e1rios tanto na cl\u00e1usula 5.2.2 da parte principal da norma quanto no controle A.8.2.2. Al\u00e9m de a duplica\u00e7\u00e3o ser desnecess\u00e1ria, tamb\u00e9m resulta em mais confus\u00e3o. Teoricamente, todos os controles do Anexo A poderiam ser exclu\u00eddos e, por esse motivo, voc\u00ea pode acabar excluindo um requisito que n\u00e3o deve ser exclu\u00eddo pois consta na parte principal da norma. A mesma coisa acontece com as Auditorias internas, da cl\u00e1usula 6\u00aa da parte principal da norma, e o controle A.6.1.8 An\u00e1lise cr\u00edtica independente de seguran\u00e7a da informa\u00e7\u00e3o.<\/li>\n<li>Alguns dos controles do Anexo A podem ser <strong>amplamente aplicados e podem incluir outros controles<\/strong>. Por exemplo, o controle A.7.1.3 Uso aceit\u00e1vel dos ativos \u00e9 t\u00e3o gen\u00e9rico que pode abranger, os itens A.7.2.2 (Gest\u00e3o de informa\u00e7\u00f5es classificadas), A.8.3.2 (Devolu\u00e7\u00e3o de ativos no encerramento das atividades), A.9.2.1 (Prote\u00e7\u00e3o do equipamento), A.10.7.1 (Gerenciamento de m\u00eddias remov\u00edveis), A.10.7.2 (Descarte de m\u00eddias), A.10.7.3 (Procedimentos para tratamento de informa\u00e7\u00e3o) etc. Eu costumo aconselhar os meus clientes a elaborar um documento que abranja todos esses controles.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Problemas ou n\u00e3o?<\/h2>\n<p>Aqui est\u00e3o algumas quest\u00f5es que geralmente s\u00e3o consideradas como problemas, por\u00e9m eu discordo:<\/p>\n<ul>\n<li><strong>A norma \u00e9 muito vaga, n\u00e3o apresenta detalhes suficientes<\/strong>. Se a norma fosse muito detalhada em termos da tecnologia a ser usada, ela logo ficaria desatualizada; se a norma fosse muito detalhada sobre os m\u00e9todos e\/ou as solu\u00e7\u00f5es organizacionais, n\u00e3o seria aplic\u00e1vel a todos os tamanhos e tipos de organiza\u00e7\u00f5es (a organiza\u00e7\u00e3o de um grande banco \u00e9 bastante diferente da administra\u00e7\u00e3o de uma pequena ag\u00eancia publicit\u00e1ria, por\u00e9m ambos devem poder implementar a ISO 27001).<\/li>\n<li><strong>A norma \u00e9 muito flex\u00edvel.<\/strong> Isso est\u00e1 relacionado ao conceito de avalia\u00e7\u00e3o de risco em que determinados controles de seguran\u00e7a podem ser exclu\u00eddos se n\u00e3o houver riscos. Ent\u00e3o, os cr\u00edticos perguntam: &#8220;Como seria poss\u00edvel excluir a c\u00f3pia de seguran\u00e7a ou de prote\u00e7\u00e3o contra antiv\u00edrus?&#8221; Com o avan\u00e7o de tecnologias, como a computa\u00e7\u00e3o em nuvem, este tipo de prote\u00e7\u00e3o pode n\u00e3o ser responsabilidade da organiza\u00e7\u00e3o que est\u00e1 implementando a ISO 27001. No entanto, neste caso, os riscos da terceiriza\u00e7\u00e3o seriam bastante altos e, por isso, outros tipos de controles de seguran\u00e7a seriam necess\u00e1rios.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">E agora?<\/h2>\n<p>Esta norma certamente precisar\u00e1 passar por mudan\u00e7as. A vers\u00e3o atual da ISO\/IEC 27001:2005 foi elaborada h\u00e1 seis anos e a pr\u00f3xima revis\u00e3o, prevista para 2012 ou 2013, deve abordar a maioria das quest\u00f5es acima.<\/p>\n<p>Apesar destas defici\u00eancias que muitas vezes podem causar confus\u00e3o, acredito que os pontos positivos da norma superam os pontos negativos. E sim, estou realmente convencido de que esta norma \u00e9, de longe, a melhor estrutura para a gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n<p><em>Voc\u00ea tamb\u00e9m pode conferir este eBook <\/em><a href=\"\/books\/secure-and-simple-a-small-business-guide-to-implementing-iso-27001-on-your-own\/\" target=\"_blank\" rel=\"noopener\">Secure &amp; Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own<\/a><em>, que explica todas as etapas da implementa\u00e7\u00e3o da ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se voc\u00ea est\u00e1 acompanhando o meu blog, voc\u00ea provavelmente acha que eu estou convencido de que a norma ISO 27001 \u00e9 o documento mais perfeito j\u00e1 escrito. Na verdade, n\u00e3o \u00e9 bem assim. Quando trabalho com meus clientes e ensino sobre o assunto, geralmente os mesmos pontos fracos dessa norma aparecem. Segue abaixo uma lista &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4741","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4741","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4741"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4741\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4741"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4741"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4741"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}