Estudo de caso da ISO 27001

para data centers

ESTUDO DE CASO
maio 20, 2014

Copyright 2014 27001Academy. Todos os direitos reservados.

Entrevista com Goran Djoreski:
Estudo de caso da ISO 27001 para data centers

Entrevistado por Dejan Kouti em 5 de Setembro de 2013

Goran Djoreski CEO do Data Center independente Altus

Information Technology. Anteriormente ele trabalhou por
12 anos na indstria financeira, empregado no
desenvolvimento de cartes de negcio, assim como na
segurana de pagamentos com cartes de crdito.

Nesta entrevista discutimos quais obstculos eles

encontraram durante a implementao da ISO 27001, e
como eles utilizaram esta norma para competir no mercado.

DK: Mais de uma ano e meio se passou desde que voc foi certificado pela ISO 27001 quais
so suas impresses? Valeu a pena?

GD: Definitivamente valeu a pena, uma vez que uma certificao ISO 27001 no necessariamente uma
vantagem competitiva, mas sim uma necessidade. O contexto da estria toda que estamos tentando atender
mercados sujeitos a regulamentaes. Estamos falando da indstria farmacutica. Telecomunicaes,
indstria financeira, e talvez no futuro indstrias de alimentos e similares, e todos eles so extremamente
regulados, e em uma conversa com eles voc descobre que a ISO 27001 algo que eles esperam, caso
contrrio eles no querem conversar com voc. Ento ningum diria que vale a pena porque a certificao
traz clientes para ns; ao invs disso, ela nos permite entrar em um mercado que de outro modo estaria
fechado para ns.

DK: Por que tantos clientes em potencial esto dando nfase a ISO 27001; Por que esta
norma aceita como necessria?

GD: Para eles a ISO 27001 frequentemente no o bastante. Ela necessria, mas no suficiente. Mas com a
ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: Agora ns podemos comear a conversar. Se
uma empresa tem um certificado ISO 27001, eles assumem que alguns critrios bsicos so atendidos, e aps

Copyright 2014 27001Academy. Todos os direitos reservados. 2

isso, eles esto realmente interessados em seus anexos especficos. Adicionalmente, o processo da ISO 27001
encurta a auditoria deles que passa a durar apenas dois dias, ao invs de seis.

DK: Ento a ISO 27001 na verdade considerada uma linha de base?

GD: Exato, uma linha de base.

DK: H alguma outra norma sendo considerada, que poderia ser uma linha de base para
estes compradores em potencial?

GD: No, eu diria que a ISO 27001 o principal requisito. Em particular, a indstria financeira considera a
PCI DSS, mas uma vez que somos uma infraestrutura de data center, ns no nos aprofundamos em seus
dados e transaes quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo no
relacionado a infraestrutura est fora do escopo para ns. Ento eles esperam que com a certificao ISO
27001 ns tratemos aqueles captulos da PCI DSS que so relevantes para a infraestrutura. Eles no pedem
pela ISO 9001 porque em geral eles assumem que se temos a certificao ISO 27001, a ISO 9001, que
importante para eles, j est includa.

DK: Se eu entendi bem o seu negcio, voc primariamente alugam infraestrutura, e ento
no manuseiam os dados propriamente ditos?

GD: Na maioria dos casos desta forma sim.

DK: Quo benfica a certificao ISO 27001 para voc como um provedor de servios de
infraestrutura, considerando que esta norma tem um foco em informao?

GD: Eu diria que a ISO 27001 no baseada apenas em informao, mas tambm em tudo que ajuda a
garantir a segurana e transferncia desta informao, e tudo necessrio para fazer com que a informao
esteja disponvel, seja autntica, etc. De fato, a informao por si s no pode existir fora de uma
infraestrutura.

DK: Recentemente, a tendncia tem sido cada vez mais e mais em direo das estruturas em
nuvem; quo til a ISO 27001 considerando esta tendncia, ou ela est mais para um
obstculo? Ela pode ser um obstculo de fato, uma vez que organizaes utilizando servios
em nuvem na verdade perdem o controle sobre seus dados.

GD: Na verdade o. Se ns pensarmos a nuvem da forma como ela utilizada pelos grandes provedores
como a Amazon AWS, Rackspace ou similares eles possuem nuvens altamente industrializadas, e possuem
um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padro; tudo isto
projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais
entre eles, ento desta forma, a partir desta perspectiva realmente parece que os usurios no tem controle
sobre seus dados. Voc no tem como saber onde eles esto, uma vez que hoje eles podem estar em
Johannesburgo e amanh talvez em Munique, e voc no tem influncia sobre a estrutura da rede, etc. Isto
uma nuvem.

Mas a nuvem tambm algo mais. A nuvem tambm o que fazemos, mas comparado a outros fornecedores
ns faramos uma distino, assim como fazemos ente roupas sob medida e roupas manufaturadas de forma
industrial. Assim ns fazemos redes sob medida: o usurio, que vem at ns, entra em acordo conosco sobre
a estrutura da rede, onde o servidor virtual ser colocado, e durante o processo, como a segurana ser
tratada. Claro que tudo isso est dentro de certos padres com relao aos grandes provedores, uma vez que
so nos servidores deles e em suas cidades, entre outros fatores, onde as mquinas virtuais dos usurios
esto fisicamente localizadas. Ns podemos definir uma estrutura, dentro da qual a nuvem estar atuando.

Copyright 2014 27001Academy. Todos os direitos reservados. 3

DK: Ento, em contraste com estes provedores altamente industrializados tambm existem
pequenos provedores, que de fato ajustam a nuvem para necessidades de segurana
especficas de seus clientes.

GD: Sim. Na verdade, em minha opinio, neste tipo de arranjo ns temos conseguido conciliar segurana e
economia. A nuvem poupa recursos significativos e torna possvel alcanar o mesmo nvel de redundncia, ou
at super-lo, e em caso de falhas ou problemas tcnicos, o servidor virtual continuar a operar em uma
infraestrutura completamente diferente e voc no precisar comprar 3 ou 4 servidores para este propsito.
Isto significa que ns alinhamos a abordagem com a fato de que o ambiente, onde tudo est configurado, ser
controlado, de forma que voc estar ciente do fato de que poder compartilhar um servidor fsico com outro
usurio. Mas, por outro lado, voc saber que possui um segmento de rede completamente separado que
entre voc e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso controlado, de forma
que no existe a possibilidade de que algum remova um disco do servidor e o coloque de volta sem controle,
etc. Ele de fato d ao usurio a sensao de que eles tem a mesma segurana de antes, mas com os benefcios
de utilizar uma nuvem.

DK: OK, agora eu gostaria de falar um pouco sobre suas experincias com a documentao.
O que mais o surpreendeu? O que voc obteve que foi inesperado, e o que voc esperava e
no obteve?

GD: A maior surpresa durante a implementao foi que ns pensamos que teramos simplesmente uma
receita de bolo, e que haveria algum tipo de modelo, a partir do qual iramos comear a implementar a norma
e ir de ponto a ponto, seguindo algum tipo de processo, at concluir tudo. Mas na verdade este no foi o caso,
e ns tivemos que iniciar com nossa prpria viso, ento esta foi uma grande surpresa. Ns no recebemos a
definio de que a ISO isso e aquilo; ao invs disso ns recebemos Primeiro identifique o que voc
precisa e O que voc quer da ISO em conjunto com o que voc precisa? e ns tivemos que definir ns
mesmos como implementar esta necessidade dentro da estrutura fornecida pela norma.

DK: Ento voc teve que comear com o levantamento de riscos?

GD: Sim, o levantamento de riscos e antes disso com uma anlise dos nossos prprios processos de negcio
para identificar quais eram os riscos. Contudo, eu no esperava que a ISO iria nos ajudar a facilitar as
operaes, porque a viso geral que se tem da ISO e de todas as outras certificaes a de serem uma carga
adicional; ao invs disso, algumas coisas no resolvidas com as quais ns tnhamos que lutar ou adivinhar,
ns pudemos regulamentar atravs de processos definidos, e agora sabemos como isso funciona no dia a dia
do negcio.

DK: Quo difcil foi instruir sua equipe para escrever documentos, procedimentos e
polticas?

GD: No foi fcil, e nada verdade isso nunca termina. uma batalha contnua. Inicialmente, preciso definir
regras para este segmento, porque se isso no for feito no haver documentao. Ento um processo
contnuo, porque voc est em constante luta para que tudo seja como deveria ser.

DK: Ok, mas a questo se a documentao necessria, se ela til no final das contas?

GD: Esta outra parte da estria. No importa quanto esforo voc invista, e a preparao leve seis meses ou
mais, os documentos podem no estar perfeitamente alinhados com o que voc est fazendo. Uma vez que
seu objetivo obter a certificao, pode haver a tendncia de aceitar as coisas que j esto escritas nos
documentos, embora elas talvez no estejam perfeitamente adequadas para a sua operao diria. Ento
acontece de muita disso chegar na primeira etapa da certificao e o auditor perguntar: "Voc executa as
coisas que esto descritas aqui?" E ento voc percebe que ningum normal faria o que est escrito no
documento.

Copyright 2014 27001Academy. Todos os direitos reservados. 4

E ento na prxima verificao tais coisas so minimizadas, porque voc est ajustando mais e mais os
documentos para as suas necessidades, porque voc ganhou experincia. Mas novamente, existe uma
necessidade humana de ter tanto trabalho pronto quanto possvel em um determinado perodo de tempo, e a
documentao sempre um custo adicional.

DK: Como voc trata, em um nvel psicolgico, este assunto uma vez que mesmo que estes
documentos sejam necessrios, eles so odiados pelas pessoas que precisam deles, que esto
muito ocupadas pela prpria natureza do trabalho que fazem?

GD: Ningum deveria ser escravo da formalidade. Eu j tive experincia com uma organizao onde um
processo formal de aprovao foi estabelecido de tal maneira que alguma coisa tinha que ser impressa em
papel em mltiplas cpias, ser enviado para doze diretores, que precisariam l-lo e todos os doze diretores
teriam que assin-lo, e somente aps isso ele iria para um comit era um inferno. normal isto ser um
horror para as pessoas. Por outro lado, a ISO 27001 permite, com um alto grau, que uma organizao defina
para si mesma o que bom o suficiente, e neste caso voc precisa simplificar a coisa toda. Voc no deveria
precisar que doze pessoas lessem e aprovassem algo, porque destas doze, provavelmente nove no se
importaro com isso. Voc deveria tornar os procedimentos mais fceis e mais eficazes, e comear a utilizar
ferramentas. Por que algum precisaria assinar algo em papel se a aprovao atravs de um sistema de gesto
de contedo (Content Management System CMS) boa o suficiente? Ele nos fornece rastreabilidade, e ns
sabemos que esta a pessoa que assinou e aprovou tal documento, e que ns no precisamos lev-lo a um
cartrio para provar a aprovao. Assim as pessoas param de perceber esta etapa como um aborrecimento, e
comeam a experiment-la como uma parte do processo e ento tudo fica mais fcil.

DK: Qual foi a coisa mais difcil durante a implementao? Houve algo que fez voc pensar
em desistir?

GD: Ns no queramos desistir de modo algum, uma vez que ns percebemos rapidamente que a
certificao era para nossa vantagem. Nossa motivao era o fato de que se ns quisssemos fazer negcio,
ns precisaramos da norma. Isto nunca foi uma questo. Qual foi a parte mais difcil? Eu diria que o mais
difcil foi levantar o escopo do sistema, com o que iramos lidar e quo detalhado isso seria. Existe a
possibilidade de que ns venhamos a ter uma documentao da ISO que seja adequada para uma
organizao muito maior, tornando complexas coisas que eram muito mais simples em nossa organizao,
ento ns teremos que excluir muita coisa, mas por outro lado, caso cortemos demais e verifiquemos nossa
conformidade com as regras da norma, pode acontecer de tirarmos algo que era importante. Aqui a sua ajuda
foi muito bem vinda uma vez que voc era orientado a resultados e dizia: No pense nisso, isto no
importante para voc, ou Aqueles trs documentos voc pode agrup-los dentro de estruturas
operacionais, de forma que esta parte foi muito boa. Eu entendo que durante a implementao,
especialmente quando as organizaes esto trabalhando sozinhas, existe uma grande chance do resultado
ficar muito extenso ou abaixo do nvel necessrio. A linha divisria no muito clara e isto torna as coisas
mais difceis.

DK: Quo importante a ajuda externa? Onde est o timo entre dois extremos de um
lado, se voc implementa a norma sozinho, sem um modelo ou consultor, e do outro, onde
voc tem um consultor que faz tudo para voc. Qual o meio termo?

GD: A primeira coisa que uma organizao precisa fazer entender esta verdade bsica: uma consultoria no
obter o seu certificado. Voc obter seu certificado sozinho ou no o obter. Consultorias no obtm
certificados ISO; voc obtm sua ISO sozinho, e a consultoria identifica seus processos de negcio. Para ser
capaz de entender seus processos de negcio necessrio empregar uma grande quantidade de consultores, e
este um outro trabalho por si s. Isto significa que voc obtm seu certificado ISO sozinho, sem consultores.
Um consultor importante em outra rea, ele entende a norma bem melhor do que voc, e pode enfatizar
coisas que voc esqueceu ou exagerou. A outra coisa que um consultor agrega experincia de trabalhos
prticos em outra analogia com o trnsito: teoricamente, eu sei como cruzarei uma linha de trem, mas se
eu no sei que na Crocia a rampa do cruzamento nem sempre desce quando o trem esta passando, algo

Copyright 2014 27001Academy. Todos os direitos reservados. 5

muito ruim pode acontecer. a mesma coisa com consultores: eles sabem a partir de experincia prtica o
que aconteceu com outros, onde eles encontraram problemas, seja durante a certificao, ou na prtica, onde
eles superestimaram algumas coisas, de forma que uma lacuna de segurana ocorreu, onde eles tiveram
danos medidos em milhes. Durante a implementao ns fomos diversas vezes na direo errada. Ns
trabalhamos e ouvimos de repente O que vocs fizeram? Ento demos dois passos para trs e olhamos na
direo certa novamente. Se voc no tem um consultor verificando o que voc est fazendo de forma
peridica, e que faz com que voc d dois passos para trs quando sua cabea est na direo errada, pode
acontecer de voc ter que dar dez passos para trs, e ter de comear tudo novamente.

DK: Apenas para esclarecer dever da consultoria escrever a sua documentao ou no?

GD: No. Os modelos de documento foram de grande ajuda para ns. No pelo contedo, mas para entender
como este formulrio precisava se parecer e quais tpicos precisavam ser abordados com relao a norma.
Vamos tomar como exemplo a poltica de senhas; praticamente certo que o modelo a partir do qual uma
poltica de senha foi escrita no tivesse nada a ver com o que ns fazemos. Ento tivemos que escrever uma
estria totalmente nova a partir do levantamento de riscos, e aps isso a descrio de nosso regulamentos de
senhas, e naquele momento ns definimos no documento como ns trabalharamos com senhas o texto
provavelmente 70% diferente do modelo que foi utilizado. O prprio fato de que ns sabamos que tnhamos
que escrever como lidar com senhas e que isso precisava ser uma parte especfica da documentao nos
ajudou.

DK: Isto significa que um modelo lhe d uma estrutura por um lado e a liberdade para
escrever o que realmente existe em sua organizao pelo outro?

GD: Exato.

DK: Qual o papel da consultoria neste caso? Se o consultor no escreve sua documentao,
ele precisa estar presente em sua organizao?

GD: No, ele no precisa. Ns sempre queramos ter o consultor presente, mas ele nem sempre estava aqui.
Ns tnhamos muitas reunies on line. Ns adorvamos encontrar com o consultor em pessoa, mas isto no
tem a ver com o trabalho realizado, mais um trao cultural na Crocia ns adoramos encontrar com uma
pessoal pessoalmente para tomarmos caf juntos. Na verdade, no era essencial t-lo em nossas instalaes
porque ramos capazes de ler os documentos em um tela. Eu diria que no necessrio agradvel, mas
no necessrio.

DK: Por que a certificao ISO 27001 ainda no to popular quanto a certificao ISO
9001?

GD: Provavelmente devido a necessidades ainda no identificadas. A certificao ISO 9001 algo como um
sapato que ajusta-se a todos os ps. Cada organizao reconhecer a si mesma na ISO, por outro lado a ISO
9001 frequentemente mencionada na mdia. Ela utilizada como uma ferramenta de marketing, como algo
muito importante. Um terceiro ponto que, na minha opinio, a ISO 9001 pode ser implementada muito
mais facilmente do que a ISO 27001. Por outro lado, reconhecer-se na ISO 27001 muito mais difcil, no
importando que eu entenda que cada organizao possui um mnimo de informaes em suas instalaes
ns todos temos um mnimo de registros de contabilidade e uma lista de usurios com seus nmeros de
telefone e aqueles tambm so dados a serem mantidos em segurana. Todos poderiam implement-la.
Mas existem apenas poucas organizaes que precisam implementar a ISO 27001 como ns precisvamos, e
quando voc leva em conta que a ISO 27001 muito mais difcil de implementar do que a ISO 9001, lgico
que ela seja menos popular.

DK: E finalmente, quais so as trs coisas que voc recomendaria para organizaes de TI
que iniciaram o processo de certificao na ISO 27001? Em quais pontos elas devem prestar
ateno antes de iniciarem a implementao?

Copyright 2014 27001Academy. Todos os direitos reservados. 6

GD: Primeiro elas precisam responder a questo de por que querem um certificado ISO 27001, porque
querem, porque precisam, e se precisam, quo motivados esto para obt-lo? Isto deve ser feito logo no
incio, um pouco antes ou um pouco depois. Outra coisa , caso decidam que querem t-la, ento precisam de
um comprometimento absoluto da administrao para com a ISO 27001. No deve existir nenhum dilema
em nenhum momento, uma vez que durante a discusso haver frequentemente momentos para se decidir
como alocar os recursos entre projetos, seja para a ISO seja para outro projeto que parea ser mais
importante a primeira vista. O benefcio da ISO 27001 no que voc vai fazer dinheiro quando o projeto
terminar. Voc far isso mesmo quando no perceba os benefcios imediatos. Este projeto pode se perder
rapidamente entre tantos outros na organizao. Caso voc decida que quer a ISO ento o comprometimento
da administrao deve ser forte, deve ser mais forte do que outros que diretamente gerem receita. A terceira
coisa importante, em minha opinio, prestar ateno as pontas soltas. Como qualquer projeto, com a ISO
27001 voc atinge 95% de todas as entregas, considera o suficiente, mas quando os certificadores e auditores
internos fazem aquelas perguntas estpidas voc descobre que ainda tem vinte coisas a fazer, e voc
pensando que havia terminado. Ento voc precisa cruzar a linha de chegada, estes ltimos 5%, e ento tudo
fica mais fcil.

Amostras de modelos de documentos

Aqui voc pode baixar uma prvia gratuita do Kit de Documentao da ISO 27001 & ISO 22301
nesta prvia gratuita voc ser capaz de ver todos os documentos mandatrios pela ISO 27001.

Copyright 2014 27001Academy. Todos os direitos reservados. 7

 EPPS Services Ltd. Email: support@iso27001standard.com
para negcios eletrnicos e consultoria em negcio Fone: +385 1 48 34 120
UI. Vladimira Nazora 59, 10000 Zagreb Fone (para clientes nos E.U.A): +1 (646) 797 2744
Croatia, Unio Europia Fax: +385 1 556 0711

Copyright 2014 27001Academy. Todos os direitos reservados. 8

Copyright 2014 27001Academy. Todos os direitos reservados.