Essa geralmente \u00e9 uma das primeiras perguntas feita por clientes em potencial. Para sua decep\u00e7\u00e3o, n\u00e3o posso informar o valor exato de imediato; veja o porqu\u00ea.<\/p>\n
Em primeiro lugar, o custo total da implanta\u00e7\u00e3o depende do tamanho da sua organiza\u00e7\u00e3o ou das unidades de neg\u00f3cios que ser\u00e3o inclu\u00eddas no escopo da ISO 27001<\/a>, do grau de import\u00e2ncia das informa\u00e7\u00f5es (por exemplo, informa\u00e7\u00f5es em bancos s\u00e3o consideradas mais cr\u00edticas e exigem mais prote\u00e7\u00e3o), da tecnologia utilizada pela organiza\u00e7\u00e3o (por exemplo, os centros de dados tendem a ter custos mais altos por causa de seus sistemas complexos) e das exig\u00eancias da legisla\u00e7\u00e3o (em geral, os setores financeiro e governamentais s\u00e3o fortemente regulamentados no que diz respeito \u00e0 seguran\u00e7a da informa\u00e7\u00e3o).<\/p>\n Em segundo lugar, n\u00e3o \u00e9 poss\u00edvel calcular os custos exatos antes de saber qual n\u00edvel de prote\u00e7\u00e3o voc\u00ea precisa. Antes, \u00e9 preciso executar a avalia\u00e7\u00e3o de riscos, pois essa an\u00e1lise indica as medidas de seguran\u00e7a necess\u00e1rias.<\/p>\n Ap\u00f3s obter os resultados da avalia\u00e7\u00e3o de riscos, voc\u00ea dever\u00e1 levar em considera\u00e7\u00e3o os seguintes custos:<\/p>\n A implementa\u00e7\u00e3o da ISO 27001 exige mudan\u00e7as na sua organiza\u00e7\u00e3o e requer novas habilidades. Voc\u00ea pode preparar seus funcion\u00e1rios com livros sobre o assunto e\/ou cursos (presenciais ou on-line). A dura\u00e7\u00e3o dos cursos varia de 1 a 5 dias (leia Como aprender sobre a ISO 27001 e a BS 25999-2<\/a>).<\/p>\n E n\u00e3o se esque\u00e7a de comprar a pr\u00f3pria norma ISO 27001. Muitas vezes me deparo com empresas que est\u00e3o implementando a norma sem t\u00ea-la em m\u00e3os.<\/p>\n Infelizmente, treinar seus funcion\u00e1rios n\u00e3o \u00e9 o suficiente. Se voc\u00ea n\u00e3o tiver um gerente de projetos com profunda experi\u00eancia na implementa\u00e7\u00e3o da ISO 27001, voc\u00ea precisar\u00e1 de algu\u00e9m com esse conhecimento; voc\u00ea pode contratar um consultor ou encontrar alguma alternativa on-line (\u00e9 isso que fazemos na 27001Academy<\/a>).<\/p>\n A principal vantagem de ter algu\u00e9m com experi\u00eancia ajudando nesse tipo de projeto \u00e9 que voc\u00ea n\u00e3o vai correr o risco de chegar a becos sem sa\u00edda, passando meses a fio envolvido em atividades que n\u00e3o s\u00e3o realmente necess\u00e1rias ou elaborando toneladas de documenta\u00e7\u00f5es que n\u00e3o s\u00e3o exigidas pela norma.Esses desvios geram custos consider\u00e1veis.<\/p>\n No entanto, tenha cuidado nesse sentido e n\u00e3o espere que o consultor fa\u00e7a toda a implementa\u00e7\u00e3o para voc\u00ea. A ISO 27001 pode ser implementada pelos seus funcion\u00e1rios.<\/p>\n Pode parecer engra\u00e7ado, mas a maioria das empresas com as quais trabalhei n\u00e3o precisou de um grande investimento em hardware, software ou ferramentas semelhantes – tudo isso j\u00e1 existia. O maior desafio geralmente era como usar a tecnologia existente de forma mais segura.<\/p>\n A norma n\u00e3o se implementa sozinha e tamb\u00e9m n\u00e3o pode ser implementada somente pelo consultor (se voc\u00ea tiver contratado um). Seus funcion\u00e1rios precisam passar algum tempo tentando descobrir onde est\u00e3o os riscos, como melhorar os procedimentos e as pol\u00edticas existentes ou implementar novos procedimentos e pol\u00edticas. Eles tamb\u00e9m precisam reservar parte de seu tempo para o treinamento para assumir novas responsabilidades e adapta\u00e7\u00e3o \u00e0s novas regras.<\/p>\n Contudo, voc\u00ea precisa planejar esse tipo de investimento se ele for realmente necess\u00e1rio.<\/p>\n Se voc\u00ea deseja obter a prova p\u00fablica de que cumpriu com a norma ISO 27001, o organismo de certifica\u00e7\u00e3o precisar\u00e1 realizar uma auditoria de certifica\u00e7\u00e3o e o custo dessa auditoria depende da rela\u00e7\u00e3o dias-homem para a conclus\u00e3o do trabalho, que varia de menos de 10 dias-homem em pequenas empresas a algumas d\u00fazias de dias-homem em grandes organiza\u00e7\u00f5es. O custo de dias-homem depende do mercado local.<\/p>\n \u00c9 preciso ter muito cuidado para n\u00e3o subestimar o verdadeiro custo do projeto da ISO 27001. Se fizer isso, a gest\u00e3o da sua empresa ver\u00e1 o projeto como algo negativo. Por outro lado, prever os custos corretamente ir\u00e1 mostrar seu n\u00edvel de profissionalismo. E n\u00e3o se esque\u00e7a, voc\u00ea sempre deve apresentar os custos e benef\u00edcios. Leia Quatro principais benef\u00edcios da implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n1. O custo de livros especializados e treinamento<\/h2>\n
2. O custo da ajuda externa<\/h2>\n
3. O custo da tecnologia<\/h2>\n
4. O custo do tempo dos funcion\u00e1rios<\/h2>\n
5. O custo da certifica\u00e7\u00e3o<\/h2>\n