Os 5 maiores mitos sobre a ISO 27001

AGRADEÇA AO AUTOR COMPARTILHE!

Muitas vezes ouço coisas sobre a ISO 27001 e não sei se rio ou choro. É realmente muito engraçado como as pessoas tendem a tomar decisões sobre algo que sabem muito pouco a respeito.

Abaixo relaciono alguns equívocos mais comuns:

“A norma exige…”

“A norma exige que as senhas sejam trocadas a cada três meses.” – “A norma exige que existam diversos fornecedores.” – “A norma exige que o local de recuperação de desastres esteja a, pelo menos, 50 km de distância da localização principal.” Mesmo? A norma não diz nada disso. Infelizmente, eu ouço esse tipo de informações falsas com bastante frequência. As pessoas costumam confundir melhores práticas com exigências da norma, mas o problema é que nem todas as normas de segurança são aplicáveis a todos os tipos de organizações. E as pessoas que afirmam que isso está na norma, provavelmente, nunca a leram.

Imagem via Shutterstock

Imagem via Shutterstock

“Vamos deixar o departamento de TI lidar com isso”

Esta é a afirmação preferida da gerência: “Segurança da informação só diz respeito à TI, não é verdade?” Bem, na verdade, não. Os aspectos mais importantes da segurança da informação incluem não só medidas de TI, mas também questões organizacionais e de gestão de recursos humanos, que geralmente estão fora do alcance do departamento de TI.

“Nós vamos implementá-la em alguns meses”

Você pode implementar a ISO 27001 em 2 ou 3 meses, mas ela não vai funcionar – tudo o que você irá obter é um monte de políticas e procedimentos com os quais ninguém se preocupa. Implementar a segurança da informação significa que você precisa implementar mudanças, e é preciso tempo para que mudanças ocorram.

Sem mencionar que você deve implementar apenas os controles de segurança que são realmente necessários, e a análise do que é realmente necessário leva tempo. Isso é chamado de avaliação de riscos e tratamento de riscos.

“Esta norma só diz respeito à documentação”

Documentação é uma parte importante da implementação da ISO 27001, mas não é um fim em si. O ponto principal é que você realize suas atividades de forma segura, e a documentação está aqui para ajudá-lo a fazer isso. Além disso, os registros que você produzir irão ajudá-lo a avaliar se você atingiu seus objetivos de segurança da informação e permitirão que você corrija as atividades que tiveram desempenho aquém do esperado.

“O único benefício da norma é para fins de marketing”

“Nós estamos fazendo isso apenas para obter o certificado, não é?” Bem, esta é (infelizmente) a maneira como 80% das empresas pensam. Eu não estou tentando argumentar aqui que a ISO 27001 não deve ser usada para fins promocionais e de vendas, mas você também pode obter outros benefícios muito importantes, como prevenir que coisas como o caso WikiLeaks aconteçam com você.

O ponto principal aqui é: leia a ISO 27001 primeiro antes de formar sua opinião sobre ela; ou, se você achar isso muito chato (o que admito que é verdade), consulte alguém que tenha conhecimento real sobre o assunto. E tente obter outros benefícios, além do marketing. Em outras palavras, aumente suas chances de fazer um investimento rentável em segurança da informação.

Você também pode conferir a nossa série de tutoriais em vídeo da ISO 27001 (em inglês), que apresentam todos os passos de uma implementação ISO 27001 (vídeos vendidos comercialmente).

AGRADEÇA AO AUTOR COMPARTILHE!

Dejan Kosutic

Mais artigos deste autor »

Author at 27001Academy, the leading online resource for ISO 27001 & ISO 22301/BS 25999 implementation.

Consultant with focus on information security and business continuity management, with broad experience in financial and government sector, as well as with small and medium-sized businesses.

As ISO 27001 Lead Auditor and Approved Tutor he has delivered certification audits and many courses (including the ISO 27001 Lead Auditor Course) throughout Europe.

Specialties: ISO 27001 implementation, ISO 22301/BS 25999 implementation, risk assessment, risk treatment, business impact analysis, documentation writing, auditing, workshops, seminars, E-learning courses, webinars.


1 Comentários

ewerton watanabe
1

Se ao menos estes profissionais pudessem ler o objetivo da norma, perceberia com clareza que o objetivo de recomendar as melhores práticas são para proteger o negócio no que tange a integridade, disponibilidade e autenticidade da informação. Desta forma, a norma não se trata apenas de documentação e muito menos de firula para imagem da empresa. Em resumo, quem faz menção a 27001 da forma apresentada, realmente, desconhece a implementação dos processos de segurança.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">