BLOG

Mitos da certificação na ISO 27001

enigma.consultoria Sem categoriaLeave a comment

Mário Sérgio Ribeiro (*)

Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – LGPD, crescente de ataques cibernéticos – mas o fato é que, a preocupação em criar uma maturidade no processo de segurança da informação segue a passos largos em nosso país. Mesmo assim, os números ainda são bem inferiores em relação à grande maioria de países da Ásia e Europa. E é por conta desses baixos números que resolvi escrever esse blog, mostrando e tentando quebrar alguns mitos que ainda cercam a questão. Vejamos então alguns desses mitos:

Questão #1: Complexidade do Processo

Claro, para uma empresa que tem um grau de maturidade baixo para com a segurança da informação, sair direto para uma certificação é complexo. Agora, para uma empresa que tenha uma dada cultura e maturidade com a SI e ainda, alguma maturidade com o sistema de gestão que obedeça ao ciclo PDCA, mesmo que não devidamente estruturado, a tão propagada complexidade pouco existe. São sete clausulas (4-10) a serem cumpridas, com itens considerados obrigatórios e outros relevantes; clausulas essas perfeitamente factíveis que demandam mais transpiração do que inspiração!

Questão #2: Custo é alto

O único custo obrigatório aqui é o da empresa certificadora, que já foi mais pesado. Com a entrada de várias dessas empresas no mercado, a concorrência ajudou o consumidor. Os valores cabem no bolso e são inteiramente compensados pelo ROI e esse custo tem uma relação direta com o escopo de sua certificação. Certificar apenas uma área da empresa é bem diferente do que certificar a empresa inteira: bem mais em conta. Custos opcionais, mas que podem ser interessantes e compensatórios, é a empresa ter a ajuda de um consultor/consultoria (que tenha um auditor líder na 27001) e, quando estiver tudo OK, chamar uma auditoria de pré-certificação. Outros custos de ordem operacional podem aparecer no transcorrer do projeto (como a aquisição/aluguel de uma ferramenta de avaliação de risco, apesar de existirem ferramentas open source para tanto), mas são visíveis em termos de conteúdo e prazo se o projeto for devidamente planejado.

Questão #3: ROI de difícil medição

Podemos usar abordagens quantitativas existentes no mercado que se baseiam no risco de incidentes de segurança, por exemplo, e, logo, uma certificação na 27001 deve diminuir consideravelmente esse risco de perda financeira e reputacional utilizada nessas abordagens. Abordagens não quantitativas levam em conta: visão de clientes e de potenciais clientes da empresa, visão do mercado, parceiros, entre outros. Ambas as abordagens têm metodologias simplificadas para serem implantadas e medir o ROI. Não posso aqui cravar, mas posso dar minha opinião com base na minha experiência: o retorno é garantido!

Questão #4: Stakeholders não enxergam os benefícios

A questão de elencar os benefícios e convencer as partes interessadas está na comunicação de forma simples e com foco estritamente no negócio. Com a certificação os stakeholders devem ser comunicados que a empresa tem um SGSI que atende a todos os preceitos de uma norma internacional reconhecida e que, acima de tudo, a empresa com isso procura maximizar as oportunidades de negócio minimizando ao máximo os riscos com a confidencialidade, integridade e disponibilidade das informações sob sua custódia. E mais, e talvez o principal deles, o processo de certificação eleva sobremaneira a cultura da SI e sua prática pelas pessoas e isso tem impacto direto no quantitativo e grau de possíveis incidentes de SI.

Estamos em maio de 2022 e na versão de 2013 da ISO 27001. Talvez ainda nesse primeiro semestre de 2022 saia a nova versão da ISO 27002 pela ABNT, também chamada de Anexo A da 27001. Esse Anexo A contém uma lista de controles de SI os quais a empresa não é obrigada a seguir, mas, são bem abrangentes e aconselho a todos fazerem uma análise de gap para checar cada um deles. Em tempo, se não for implementar os controles desse Anexo, deve justificar o porquê de não o fazer, e isso fica especificado no documento – obrigatório – chamado Declaração de Aplicabilidade. Uma nova versão da 27002 já saiu no início do ano pela ISO internacional e traz novidades importantes. Publiquei um post no Linkedin sobre isso; (https://www.linkedin.com/posts/mario-sergio-ribeiro-006ab21a_iso27001-iso27002-informationsecurtiy-activity-6915291453791318016-ZnJr?utm_source=linkedin_share&utm_medium=member_desktop_web).

Sou um pouco suspeito para falar dessa certificação, mas, desde quando obtive minha certificação de auditor líder na 27001 em 2007, venho percebendo o quanto de valor agregado as empresas que se certificam ou que, pelo menos seguem os atributos da 27001 e toda a família, obtém na Segurança da Informação. Se sua empresa ainda não tem, talvez valha a pena pensar, pesquisar sobre o assunto e quem sabe, buscar essa certificação!

Tenho um material desenvolvido com todo o processo de certificação detalhado. Aqueles que se interessarem em ter em mãos esse material, favor enviar um e-mail ou um zap (abaixo contatos) que enviarei graciosamente.

Era isso pessoal. Espero ter contribuído. Opiniões contrárias e a favor são sempre bem-vindas! Se cuidem e abraço a todos!

_____________________________________________________________________

(*) Engenheiro, mestre em segurança da informação pela USP. Consultor e professor da FIA-USP.
mario.ribeiro@enigmaconsultoria.com.br
Whatszap – Conta comercial – 11-9-8820-6790