A disponibilidade de recursos \u00e9 um ponto cr\u00edtico em qualquer empreendimento. Voc\u00ea pode ter as melhores ideias e as melhores inten\u00e7\u00f5es, mas se voc\u00ea n\u00e3o tem recursos voc\u00ea est\u00e1 condenado ao fracasso.<\/p>\n
Assim, pode parecer estranho que a ISO 27001<\/a>, a norma ISO l\u00edder para a implementa\u00e7\u00e3o de sistemas de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o, dedique em sua cl\u00e1usula de recursos apenas duas linhas, totalizando 23 palavras, para lidar com um assunto t\u00e3o cr\u00edtico.<\/p>\n Mas, as apar\u00eancias podem enganar. Na verdade, os requisitos de provis\u00e3o de recursos est\u00e3o espalhados por toda a norma, e este artigo mostrar\u00e1 onde procurar e o que fazer para garantir que esses recursos estejam dispon\u00edveis para ajudar o seu SGSI a proteger as informa\u00e7\u00f5es sob responsabilidade de sua organiza\u00e7\u00e3o.<\/p>\n No que diz respeito aos recursos, a cl\u00e1usula 7.1 da ISO 27001 exige a defini\u00e7\u00e3o e a provis\u00e3o do que \u00e9 necess\u00e1rio para um ciclo de vida do SGSI, desde sua implementa\u00e7\u00e3o at\u00e9 sua melhoria cont\u00ednua. Mas, o que \u00e9 necess\u00e1rio? Uma vez que esta norma faz uso da abordagem de processo, voc\u00ea pode pensar recursos em termos de:<\/p>\n Com estes exemplos em mente, agora estamos preparados para identificar onde na norma os recursos s\u00e3o requeridos.<\/p>\n Atrav\u00e9s da cl\u00e1usula 5.3 uma organiza\u00e7\u00e3o designa formalmente pessoas que ter\u00e3o que pensar, planejar e agir para assegurar que a seguran\u00e7a da informa\u00e7\u00e3o esteja implementada como requerido e esteja atingindo os resultados esperados (ex.: CISO, administrador de sistema, etc.). Para mais informa\u00e7\u00f5es, veja: Como documentar pap\u00e9is e responsabilidades de acordo com a ISO 27001<\/a> e Qual \u00e9 o trabalho do Diretor de Seguran\u00e7a da Informa\u00e7\u00e3o (Chief Information Security Officer \u2013 CISO) na ISO 27001?<\/a><\/p>\n A cl\u00e1usula 6.1.3 e) requer que para os riscos considerados inaceit\u00e1veis, planos de tratamento<\/a> sejam formulados, basicamente definindo quais controles de seguran\u00e7a voc\u00ea precisa implementar, quem \u00e9 respons\u00e1vel por eles, quais s\u00e3o os prazos, e quais recursos s\u00e3o necess\u00e1rios. E, enquanto controles tais como mesa limpa e tela limpa se apoiar\u00e3o principalmente na defini\u00e7\u00e3o de uma pol\u00edtica<\/a> e em esfor\u00e7os de treinamento<\/a>, controles envolvendo controle de acesso<\/a> e backup<\/a> tamb\u00e9m ir\u00e3o requerer equipamentos e instala\u00e7\u00f5es. Para mais informa\u00e7\u00f5es, veja: Plano de Tratamento de Risco e processo de tratamento de risco \u2013 Qual \u00e9 a diferen\u00e7a?<\/a><\/p>\n Enquanto os planos mencionados na se\u00e7\u00e3o anterior cobrem especificamente como trazer os riscos a n\u00edveis aceit\u00e1veis, os planos para atingir os objetivos de seguran\u00e7a da informa\u00e7\u00e3o definidos na cl\u00e1usula 6.2 tamb\u00e9m definem a provis\u00e3o de recursos requeridos pelo SGSI para atender aos requisitos de seguran\u00e7a da informa\u00e7\u00e3o<\/a> (ex.: cl\u00e1usulas contratuais), bem como apoiar outras decis\u00f5es organizacionais incorporadas na pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o<\/a> (ex.: objetivo estrat\u00e9gico de neg\u00f3cio para competir em um\u00a0 novo mercado). Para mais informa\u00e7\u00f5es, veja: ISO 27001 control objectives \u2013 Why are they important?<\/a><\/p>\n As cl\u00e1usulas 9.1 e 9.2 requerem que recursos sejam definidos para a medi\u00e7\u00e3o, monitoramento, an\u00e1lise e avalia\u00e7\u00e3o da efic\u00e1cia dos controles, assim como para a realiza\u00e7\u00e3o de auditorias para a verifica\u00e7\u00e3o imparcial da implementa\u00e7\u00e3o e manuten\u00e7\u00e3o do SGSI em conformidade com os requisitos da norma e da organiza\u00e7\u00e3o: Como realizar monitoramento e medi\u00e7\u00e3o na ISO 27001<\/a> e Como se prepara para uma auditoria interna da ISO 27001<\/a>.<\/p>\n E, finalmente, se ocorre diferente do esperado, ou pode ser feito mais r\u00e1pido, mais barato ou com mais valor agregado ao neg\u00f3cio, as cl\u00e1usulas 10.1 e 10.2 requerem que os recursos sejam identificados e fornecidos para que os problemas sejam resolvidos e coisas ruins n\u00e3o ocorreram novamente – ou para que as oportunidades possam ser aproveitadas, melhorando os resultados do neg\u00f3cio. Para mais informa\u00e7\u00f5es, veja: Uso pr\u00e1tico das a\u00e7\u00f5es corretivas para a ISO 27001 e ISO 22301<\/a>.<\/p>\n Como voc\u00ea viu, o planejamento de recursos \u00e9 executado em muitas fases do ciclo de vida do SGSI, para diferentes prop\u00f3sitos, em momentos diferentes e, provavelmente, por pessoas diferentes, por isso \u00e9 importante que voc\u00ea possa acompanhar todos esses planos para garantir que os recursos n\u00e3o sejam sub ou super alocados.<\/p>\n Existem pelo menos tr\u00eas m\u00e9todos que voc\u00ea deve considerar:<\/p>\n A decis\u00e3o sobre qual solu\u00e7\u00e3o seria melhor depender\u00e1 do volume de planos que voc\u00ea ter\u00e1 que lidar e das necessidades organizacionais de informa\u00e7\u00f5es de aloca\u00e7\u00e3o de recursos.<\/p>\n At first sight, ISO 27001 seems to not provide sufficient information about the resources required to implement, operate, maintain, and improve an Information Security Management System, but this is only an impression. As we presented in this article, this standard presents how resources to protect information should be considered during all phases of the ISMS life cycle \u2013 and, by knowing where to look, you can be prepared to ensure that your ISMS is fully prepared to fulfill its objectives and improve business results.<\/p>\n Os recursos n\u00e3o s\u00e3o infinitos, ent\u00e3o as decis\u00f5es sobre eles s\u00e3o sempre trocas entre o que voc\u00ea espera ganhar e o que voc\u00ea espera perder. O problema \u00e9 que na maioria dos casos, as organiza\u00e7\u00f5es n\u00e3o t\u00eam todas as informa\u00e7\u00f5es de que necessitam sobre os recursos a serem gastos para alcan\u00e7ar os resultados pretendidos, e podem acabar ganhando a batalha, apenas para perder a guerra.<\/p>\n \u00c0 primeira vista, a ISO 27001 parece n\u00e3o fornecer informa\u00e7\u00f5es suficientes sobre os recursos necess\u00e1rios para implementar, operar, manter e melhorar um Sistema de Gerenciamento de Seguran\u00e7a da Informa\u00e7\u00e3o, mas isso \u00e9 apenas uma impress\u00e3o. Conforme apresentado neste artigo, esta norma apresenta como os recursos para proteger a informa\u00e7\u00e3o devem ser considerados durante todas as fases do ciclo de vida do SGSI – e, ao saber onde procurar, voc\u00ea pode estar preparado para garantir que seu SGSI esteja totalmente preparado para cumprir seus objetivos e melhorar os resultados do neg\u00f3cio.<\/p>\nA cl\u00e1usula de recursos da ISO 27001 e exemplos<\/h2>\n
\n
Pap\u00e9is, responsabilidades e autoridades organizacionais<\/h2>\n
Planos de tratamento de riscos<\/h2>\n
Planos para atingir os objetivos de seguran\u00e7a da informa\u00e7\u00e3o<\/h2>\n
Recursos para a avalia\u00e7\u00e3o do desempenho<\/h2>\n
Tratamento de n\u00e3o conformidades, a\u00e7\u00f5es corretivas e oportunidades de melhoria<\/h2>\n
Vis\u00e3o geral do planejamento de recursos<\/h2>\n
\n
Planeje seus recursos para uma jornada segura<\/h2>\n