Implementar um SGSI certificável pela ISO 27001 não é tarefa das mais fáceis. É um honroso emprego da inteligência na aplicação de melhores práticas que visam transformar a cultura de uma empresa e voltar a atenção do Board para a proteção da informação.
Proteção sistemática que deve se perpetuar.
Alguns "Indiana Jones" da segurança da infomração tem-se aventurado a inciar o processo de certificação nas empresas onde trabalham. O caminho é árduo quando se começa certo. O caminho é árduo e tortuoso quando logo de início calçamos o sapato apertado ou somos obrigados a andar rápido demais.
O mau planejamento de orçamento e a má definição do Escopo da certificação, tem sido os principais fatores de insucesso em projetos de ISO 27001. Explico.
1) Como estes projetos tendem a iniciar por TI, muitos gestores acreditam que a certificação é uma iniciativa que o ajudará a justificar a compra de 'n' softwares e appliances para proteção de dados. Em alguns casos sim, em outros casos não. Esquece o nosso gestor neófito que historicamente gastamos muito mais em educação e treinamento. Consulte a área de Qualidade de sua empresa para entender a abrangência do assunto.
2) Quando a definição de escopo, recomendo uma boa lida na norma ISO 27001, no item 4.2.1 item (a), que transcrevo abaixo:
a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope (see 1.2).
Recomendo veementemente que a consolidação do escopo seja feita com apoio de um especialista. Muitas empresas cometem erros venais quando definem como escopo uma área ligada a sistema ou infra-estrutura de TI. Para estes casos fica muito complicado identificar as interfaces com outras áreas de negócio, e se criarmos infinitas interfaces para isolar o escopo, corremos o risco de implementarmos o SGSI em um escopo de pouco valor para o negócio da organização. Não esqueça que a informação é dinâmica, e não estática.
Pense por vertical de negócio e não por horizontal ou backoffice.
Tuesday, July 31, 2007
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment