Existem muitos c\u00e9ticos que n\u00e3o acreditam que a ISO 27001 pode ajudar a proteger suas informa\u00e7\u00f5es e\/ou sistemas de informa\u00e7\u00e3o; um de seus principais argumentos \u00e9: \u201cEscrever uma pol\u00edtica ou um procedimento claramente n\u00e3o ir\u00e1 ajudar contra algu\u00e9m que quer roubar sua informa\u00e7\u00e3o.\u201d<\/p>\n
E eu concordo com eles \u2013 simplesmente escrever um documento n\u00e3o ajudar\u00e1.<\/p>\n
Por exemplo, um hacker que tenha criado um software malicioso e conseguido passar por seu software de firewall e anti-v\u00edrus n\u00e3o se importa se voc\u00ea tem uma Pol\u00edtica de seguran\u00e7a de rede ou n\u00e3o.<\/p>\n
E mais, um empregado de TI descontente que queira apagar os seus dados ou parar seus servidores n\u00e3o ter\u00e1 a Pol\u00edtica de controle de acesso em mente.<\/p>\n
Da mesma forma, um concorrente que queira roubar seu mais precioso conhecimento n\u00e3o estar\u00e1 muito impressionado com a Pol\u00edtica de classifica\u00e7\u00e3o na qual voc\u00ea investiu muito tempo escrevendo.<\/p>\n
Ent\u00e3o realmente, apenas ter os documentos n\u00e3o ajudar\u00e1 voc\u00ea em muita coisa. \u00c9 por isso que \u00e9 importante distinguir entre dois tipos de organiza\u00e7\u00f5es: (a) aquelas que usam estruturas tal como a da ISO 27001 para produzir bons documentos (em muito pouco tempo) e ter um certificado para mostrar; e (b) aquelas que talvez queiram ou n\u00e3o o certificado, mas que definitivamente querem melhorar a seguran\u00e7a em suas organiza\u00e7\u00f5es.<\/p>\n
Voc\u00ea pode com certeza imaginar como a seguran\u00e7a se parecer\u00e1 em uma organiza\u00e7\u00e3o do tipo (a), assim n\u00e3o vamos perder tempo com ela; o resto deste artigo abordar\u00e1 organiza\u00e7\u00f5es do tipo (b).<\/p>\n
N\u00f3s podemos tomar uma norma internacional como a ISO 27001<\/a> para apresentar um caso sobre documenta\u00e7\u00e3o: \u00e9 verdade que a ISO 27001 (assim como muitas outras normas ISO) requer a elabora\u00e7\u00e3o de pol\u00edticas, procedimentos e planos, para manter registros, etc. (Veja tamb\u00e9m: Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>.)<\/p>\n Mas a ISO 27001 n\u00e3o pede a voc\u00ea para escrever pol\u00edticas e procedimentos apenas para dar aos auditores algo para fazer; isto pode ser um choque para voc\u00ea: escrever documentos realmente n\u00e3o \u00e9 o principal ponto da ISO 27001. (Veja tamb\u00e9m: Os 5 maiores mitos sobre a ISO 27001<\/a>.)<\/p>\n O principal ponto da documenta\u00e7\u00e3o \u00e9 ajudar voc\u00ea a mudar o comportamento de seus empregados, para fazer a mudan\u00e7a em seus processos. Por exemplo, voc\u00ea provavelmente tem firewalls muito bons em sua organiza\u00e7\u00e3o, mas eles podem n\u00e3o estar sendo mantidos e\/ou configurados adequadamente; voc\u00ea pode ter um sistema muito seguro para autentica\u00e7\u00e3o de seu e-mail, mas se seus empregados recebem o e-mail em seus smart phones sem nenhuma prote\u00e7\u00e3o de qualquer tipo ent\u00e3o este sistema de autentica\u00e7\u00e3o n\u00e3o \u00e9 muito \u00fatil. E existem d\u00fazias de exemplos deste tipo mesmo para organiza\u00e7\u00f5es de pequeno porte.<\/p>\n Assim, deixe-me chegar a seguinte conclus\u00e3o: n\u00e3o \u00e9 a tecnologia que est\u00e1 errada em muitas das organiza\u00e7\u00f5es; o que est\u00e1 errado \u00e9 como a tecnologia \u00e9 utilizada. \u00c9 por isto que n\u00f3s precisamos de pol\u00edticas e procedimentos: elas explicam a todos como usar a tecnologia de uma forma mais segura, e quando todos come\u00e7am a se comportar de forma diferente, o n\u00edvel de seguran\u00e7a em sua organiza\u00e7\u00e3o ir\u00e1 se elevar. (Veja tamb\u00e9m: 4 reasons why ISO 27001 is useful for techies<\/a>.)<\/p>\n Claro que, se voc\u00ea quer que seus documentos mudem alguma coisa, voc\u00ea tem que torn\u00e1-los realmente utiliz\u00e1veis \u2013 veja este artigo para uma explana\u00e7\u00e3o: Sete passos para a implementa\u00e7\u00e3o de pol\u00edticas e procedimentos<\/a>.<\/p>\n Muito frequentemente, nossos novos clientes me perguntam: \u201cQuanto tempo levar\u00e1 para implementarmos a ISO 27001?\u201d, e para pequenas organiza\u00e7\u00f5es de 50 empregados eu geralmente respondo \u201cde 6 a 8 meses.\u201d \u201cPor que tanto tempo?\u201d eles me perguntam. E ent\u00e3o eu tenho que explicar que voc\u00ea pode escrever todos os documentos para a ISO 27001 em apenas duas semanas \u2013 simplesmente preencha todos os documentos mandat\u00f3rios e voc\u00ea estar\u00e1 ok.<\/p>\n Mas o que leva tempo \u00e9 para que os empregados em sua organiza\u00e7\u00e3o aceitem todas estas mudan\u00e7as \u2013 se voc\u00ea enviar 20 novas pol\u00edticas e procedimentos de uma s\u00f3 vez para eles, eles olhar\u00e3o para voc\u00ea com o maior descontentamento (e claro, n\u00f3s sabemos como est\u00e1 abordagem ir\u00e1 terminar). Assim, se voc\u00ea quer que eles realmente aceitem todas estas mudan\u00e7as, voc\u00ea tem que criar os documentos em conjunto com eles, envi\u00e1-los um por um, e conduzir conscientiza\u00e7\u00f5es e treinamentos em paralelo com a publica\u00e7\u00e3o dos documentos. E isso leva tempo \u2013 ent\u00e3o de 6 a 8 meses. Veja tamb\u00e9m: ISO 27001 project \u2013 How to make it work<\/a>.<\/p>\n Ent\u00e3o lembre-se \u2013 pol\u00edticas e procedimentos n\u00e3o s\u00e3o o objetivos em si. Quando voc\u00ea para de tratar a ISO 27001 como apenas um exerc\u00edcio de produzir documentos, voc\u00ea estar\u00e1 obtendo o real benef\u00edcio desta norma: seus empregados ir\u00e3o come\u00e7ar a se comportar de forma mais segura.<\/p>\nPor que a implementa\u00e7\u00e3o levam tanto tempo?<\/h2>\n