{"id":4468,"date":"2014-10-21T21:07:56","date_gmt":"2014-10-21T21:07:56","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/10\/21\/quando-usar-ferramentas-para-iso-27001iso-22301-e-quando-evita-las\/"},"modified":"2022-07-17T15:57:48","modified_gmt":"2022-07-17T15:57:48","slug":"quando-usar-ferramentas-para-iso-27001iso-22301-e-quando-evita-las","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/10\/21\/quando-usar-ferramentas-para-iso-27001iso-22301-e-quando-evita-las\/","title":{"rendered":"Quando usar ferramentas para a ISO 27001\/ISO 22301 e quando evit\u00e1-las"},"content":{"rendered":"

Se voc\u00ea est\u00e1 iniciando a implementa\u00e7\u00e3o de normas complexas como a ISO 27001<\/a> ou ISO 22301<\/a>, voc\u00ea provavelmente est\u00e1 procurando por um meio de tornar seu trabalho mais f\u00e1cil. Quem n\u00e3o estaria? Al\u00e9m do mais, reinventar a roda n\u00e3o parece ser um trabalho muito interessante.<\/p>\n

Ent\u00e3o, voc\u00ea est\u00e1 procurando por uma ferramenta para ajud\u00e1-lo com estas normas de seguran\u00e7a da informa\u00e7\u00e3o e continuidade de neg\u00f3cio, mas cuidado \u2013 nem toda ferramenta ir\u00e1 ajud\u00e1-lo: voc\u00ea pode terminar com uma roda de trator que n\u00e3o serve para o carro que voc\u00ea esta guiando.<\/p>\n

Tipos de ferramentas<\/h2>\n

Vamos come\u00e7ar com os tipos de ferramentas que voc\u00ea encontrar\u00e1 no mercado que s\u00e3o feitas especificamente para a ISO 27001 e ISO 22301:<\/p>\n

a) Ferramentas para automa\u00e7\u00e3o \u2013 estas ferramentas ajudam voc\u00ea a semi-automatizar parte de seus processos \u2013 e.g., realizar a avalia\u00e7\u00e3o de riscos, escrever planos de continuidade de neg\u00f3cio, gerenciar incidentes, manter sua documenta\u00e7\u00e3o, auxiliar na medi\u00e7\u00e3o, etc.<\/p>\n

b) Ferramentas para escrever documenta\u00e7\u00e3o \u2013 estas ferramentas ajudam voc\u00ea a desenvolver pol\u00edticas e procedimentos \u2013 geralmente, elas incluem modelos de documenta\u00e7\u00e3o, tutoriais para escrever documenta\u00e7\u00e3o, etc.<\/p>\n

Pr\u00f3s e contras de ferramentas de automatiza\u00e7\u00e3o<\/h2>\n

Ferramentas de automa\u00e7\u00e3o geralmente s\u00e3o \u00fateis para grandes organiza\u00e7\u00f5es \u2013 por exemplo, usar planilhas para avaliar riscos pode ser um problema se voc\u00ea tem, e.g., 100 departamentos, porque quando voc\u00ea precisar unificar estes resultados isto se torna muito dif\u00edcil. Ou, se voc\u00ea tem 50 planos de recupera\u00e7\u00e3o diferentes e quer mudar o mesmo detalhe em cada um deles, usar uma ferramenta \u00e9 provavelmente muito mais f\u00e1cil.<\/p>\n

Contudo, aplicar tais ferramentas de automa\u00e7\u00e3o em organiza\u00e7\u00f5es menores pode se provar muito caro \u2013 muitas destas ferramentas n\u00e3o s\u00e3o precificadas tendo em mente pequenas organiza\u00e7\u00f5es, e pior ainda \u2013 treinar empregados para usar tais ferramentas leva muito tempo. Assim, para organiza\u00e7\u00f5es menores, realizar a avalia\u00e7\u00e3o de riscos usando o Excel ou escrever planos de continuidade de neg\u00f3cio em Word \u00e9 uma solu\u00e7\u00e3o muito r\u00e1pida e acess\u00edvel.<\/p>\n

Existem algumas ferramentas para as quais eu pessoalmente n\u00e3o vejo prop\u00f3sito \u2013 por exemplo, ferramentas para manter a documenta\u00e7\u00e3o da ISO. Para este prop\u00f3sito, grandes organiza\u00e7\u00f5es usar\u00e3o seus sistemas de gest\u00e3o de documentos existentes (e.g., SharePoint), enquanto organiza\u00e7\u00f5es menores podem carregar a documenta\u00e7\u00e3o para pastas compartilhadas com direitos de acesso definidos \u2013 n\u00e3o precisa ser mais sofisticado do que isso.<\/p>\n

Voc\u00ea pode automatizar tudo?<\/h2>\n

Um fato importante precisar ser enfatizado aqui: ferramentas de automa\u00e7\u00e3o n\u00e3o podem ajudar voc\u00ea a gerenciar sua seguran\u00e7a da informa\u00e7\u00e3o ou continuidade de neg\u00f3cio. Por exemplo, voc\u00ea n\u00e3o pode automatizar a elabora\u00e7\u00e3o de sua Pol\u00edtica de Controle de Acesso \u2013 para finalizar tal documento, voc\u00ea precisa coordenar com seu CISO, departamento de TI e \u00e1rea de neg\u00f3cio da organiza\u00e7\u00e3o, e apenas ap\u00f3s obter um acordo voc\u00ea pode escrever esta pol\u00edtica. Nenhuma automa\u00e7\u00e3o pode fazer isto por voc\u00ea.<\/p>\n

Sim, voc\u00ea pode semi-automatizar a medi\u00e7\u00e3o do sucesso de controles em particular, mas novamente uma pessoa precisa interpretar estes resultados para entender porque o controle teve um desempenho bom ou ruim \u2013 esta parte do processo n\u00e3o pode ser automatizada, e nem t\u00e3o pouco pode a decis\u00e3o sobre a\u00e7\u00f5es corretivas e preventivas necess\u00e1rias de serem tomadas como resultado da percep\u00e7\u00e3o obtida.<\/p>\n

O que buscar ao procurar por ferramentas de elabora\u00e7\u00e3o de documenta\u00e7\u00e3o<\/h2>\n

Voc\u00ea n\u00e3o precisar\u00e1 de ferramentas para escrever suas pol\u00edticas, procedimentos e planos se voc\u00ea j\u00e1 desenvolveu sua documenta\u00e7\u00e3o baseada em um framework que \u00e9 similar a ISO 27001 \u2013 e.g., COBIT, Cybersecurity Framework<\/a>, ou NFPA 1600<\/a>. Da mesma forma, se voc\u00ea contratou um consultor, ent\u00e3o ser\u00e1 dever dele escrever todos os documentos (veja tamb\u00e9m: 5 criteria for choosing an ISO 22301 \/ ISO 27001 consultant<\/a>).<\/p>\n

Em outros casos voc\u00ea encontrar\u00e1 ferramentas de elabora\u00e7\u00e3o de documenta\u00e7\u00e3o (i.e., modelos de documenta\u00e7\u00e3o) bem \u00fateis porque elas ir\u00e3o acelerar a elabora\u00e7\u00e3o de suas pol\u00edticas e procedimentos. A principal quest\u00e3o aqui \u00e9 como escolher as corretas \u2013 aqui est\u00e3o algumas dicas:<\/p>\n