Escolar Documentos
Profissional Documentos
Cultura Documentos
ESTUDO DE CASO
maio 20, 2014
DK: Mais de uma ano e meio se passou desde que voc foi certificado pela ISO 27001 quais
so suas impresses? Valeu a pena?
GD: Definitivamente valeu a pena, uma vez que uma certificao ISO 27001 no necessariamente uma
vantagem competitiva, mas sim uma necessidade. O contexto da estria toda que estamos tentando atender
mercados sujeitos a regulamentaes. Estamos falando da indstria farmacutica. Telecomunicaes,
indstria financeira, e talvez no futuro indstrias de alimentos e similares, e todos eles so extremamente
regulados, e em uma conversa com eles voc descobre que a ISO 27001 algo que eles esperam, caso
contrrio eles no querem conversar com voc. Ento ningum diria que vale a pena porque a certificao
traz clientes para ns; ao invs disso, ela nos permite entrar em um mercado que de outro modo estaria
fechado para ns.
DK: Por que tantos clientes em potencial esto dando nfase a ISO 27001; Por que esta
norma aceita como necessria?
GD: Para eles a ISO 27001 frequentemente no o bastante. Ela necessria, mas no suficiente. Mas com a
ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: Agora ns podemos comear a conversar. Se
uma empresa tem um certificado ISO 27001, eles assumem que alguns critrios bsicos so atendidos, e aps
DK: H alguma outra norma sendo considerada, que poderia ser uma linha de base para
estes compradores em potencial?
GD: No, eu diria que a ISO 27001 o principal requisito. Em particular, a indstria financeira considera a
PCI DSS, mas uma vez que somos uma infraestrutura de data center, ns no nos aprofundamos em seus
dados e transaes quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo no
relacionado a infraestrutura est fora do escopo para ns. Ento eles esperam que com a certificao ISO
27001 ns tratemos aqueles captulos da PCI DSS que so relevantes para a infraestrutura. Eles no pedem
pela ISO 9001 porque em geral eles assumem que se temos a certificao ISO 27001, a ISO 9001, que
importante para eles, j est includa.
DK: Se eu entendi bem o seu negcio, voc primariamente alugam infraestrutura, e ento
no manuseiam os dados propriamente ditos?
DK: Quo benfica a certificao ISO 27001 para voc como um provedor de servios de
infraestrutura, considerando que esta norma tem um foco em informao?
GD: Eu diria que a ISO 27001 no baseada apenas em informao, mas tambm em tudo que ajuda a
garantir a segurana e transferncia desta informao, e tudo necessrio para fazer com que a informao
esteja disponvel, seja autntica, etc. De fato, a informao por si s no pode existir fora de uma
infraestrutura.
DK: Recentemente, a tendncia tem sido cada vez mais e mais em direo das estruturas em
nuvem; quo til a ISO 27001 considerando esta tendncia, ou ela est mais para um
obstculo? Ela pode ser um obstculo de fato, uma vez que organizaes utilizando servios
em nuvem na verdade perdem o controle sobre seus dados.
GD: Na verdade o. Se ns pensarmos a nuvem da forma como ela utilizada pelos grandes provedores
como a Amazon AWS, Rackspace ou similares eles possuem nuvens altamente industrializadas, e possuem
um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padro; tudo isto
projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais
entre eles, ento desta forma, a partir desta perspectiva realmente parece que os usurios no tem controle
sobre seus dados. Voc no tem como saber onde eles esto, uma vez que hoje eles podem estar em
Johannesburgo e amanh talvez em Munique, e voc no tem influncia sobre a estrutura da rede, etc. Isto
uma nuvem.
Mas a nuvem tambm algo mais. A nuvem tambm o que fazemos, mas comparado a outros fornecedores
ns faramos uma distino, assim como fazemos ente roupas sob medida e roupas manufaturadas de forma
industrial. Assim ns fazemos redes sob medida: o usurio, que vem at ns, entra em acordo conosco sobre
a estrutura da rede, onde o servidor virtual ser colocado, e durante o processo, como a segurana ser
tratada. Claro que tudo isso est dentro de certos padres com relao aos grandes provedores, uma vez que
so nos servidores deles e em suas cidades, entre outros fatores, onde as mquinas virtuais dos usurios
esto fisicamente localizadas. Ns podemos definir uma estrutura, dentro da qual a nuvem estar atuando.
GD: Sim. Na verdade, em minha opinio, neste tipo de arranjo ns temos conseguido conciliar segurana e
economia. A nuvem poupa recursos significativos e torna possvel alcanar o mesmo nvel de redundncia, ou
at super-lo, e em caso de falhas ou problemas tcnicos, o servidor virtual continuar a operar em uma
infraestrutura completamente diferente e voc no precisar comprar 3 ou 4 servidores para este propsito.
Isto significa que ns alinhamos a abordagem com a fato de que o ambiente, onde tudo est configurado, ser
controlado, de forma que voc estar ciente do fato de que poder compartilhar um servidor fsico com outro
usurio. Mas, por outro lado, voc saber que possui um segmento de rede completamente separado que
entre voc e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso controlado, de forma
que no existe a possibilidade de que algum remova um disco do servidor e o coloque de volta sem controle,
etc. Ele de fato d ao usurio a sensao de que eles tem a mesma segurana de antes, mas com os benefcios
de utilizar uma nuvem.
DK: OK, agora eu gostaria de falar um pouco sobre suas experincias com a documentao.
O que mais o surpreendeu? O que voc obteve que foi inesperado, e o que voc esperava e
no obteve?
GD: A maior surpresa durante a implementao foi que ns pensamos que teramos simplesmente uma
receita de bolo, e que haveria algum tipo de modelo, a partir do qual iramos comear a implementar a norma
e ir de ponto a ponto, seguindo algum tipo de processo, at concluir tudo. Mas na verdade este no foi o caso,
e ns tivemos que iniciar com nossa prpria viso, ento esta foi uma grande surpresa. Ns no recebemos a
definio de que a ISO isso e aquilo; ao invs disso ns recebemos Primeiro identifique o que voc
precisa e O que voc quer da ISO em conjunto com o que voc precisa? e ns tivemos que definir ns
mesmos como implementar esta necessidade dentro da estrutura fornecida pela norma.
GD: Sim, o levantamento de riscos e antes disso com uma anlise dos nossos prprios processos de negcio
para identificar quais eram os riscos. Contudo, eu no esperava que a ISO iria nos ajudar a facilitar as
operaes, porque a viso geral que se tem da ISO e de todas as outras certificaes a de serem uma carga
adicional; ao invs disso, algumas coisas no resolvidas com as quais ns tnhamos que lutar ou adivinhar,
ns pudemos regulamentar atravs de processos definidos, e agora sabemos como isso funciona no dia a dia
do negcio.
DK: Quo difcil foi instruir sua equipe para escrever documentos, procedimentos e
polticas?
GD: No foi fcil, e nada verdade isso nunca termina. uma batalha contnua. Inicialmente, preciso definir
regras para este segmento, porque se isso no for feito no haver documentao. Ento um processo
contnuo, porque voc est em constante luta para que tudo seja como deveria ser.
DK: Ok, mas a questo se a documentao necessria, se ela til no final das contas?
GD: Esta outra parte da estria. No importa quanto esforo voc invista, e a preparao leve seis meses ou
mais, os documentos podem no estar perfeitamente alinhados com o que voc est fazendo. Uma vez que
seu objetivo obter a certificao, pode haver a tendncia de aceitar as coisas que j esto escritas nos
documentos, embora elas talvez no estejam perfeitamente adequadas para a sua operao diria. Ento
acontece de muita disso chegar na primeira etapa da certificao e o auditor perguntar: "Voc executa as
coisas que esto descritas aqui?" E ento voc percebe que ningum normal faria o que est escrito no
documento.
DK: Como voc trata, em um nvel psicolgico, este assunto uma vez que mesmo que estes
documentos sejam necessrios, eles so odiados pelas pessoas que precisam deles, que esto
muito ocupadas pela prpria natureza do trabalho que fazem?
GD: Ningum deveria ser escravo da formalidade. Eu j tive experincia com uma organizao onde um
processo formal de aprovao foi estabelecido de tal maneira que alguma coisa tinha que ser impressa em
papel em mltiplas cpias, ser enviado para doze diretores, que precisariam l-lo e todos os doze diretores
teriam que assin-lo, e somente aps isso ele iria para um comit era um inferno. normal isto ser um
horror para as pessoas. Por outro lado, a ISO 27001 permite, com um alto grau, que uma organizao defina
para si mesma o que bom o suficiente, e neste caso voc precisa simplificar a coisa toda. Voc no deveria
precisar que doze pessoas lessem e aprovassem algo, porque destas doze, provavelmente nove no se
importaro com isso. Voc deveria tornar os procedimentos mais fceis e mais eficazes, e comear a utilizar
ferramentas. Por que algum precisaria assinar algo em papel se a aprovao atravs de um sistema de gesto
de contedo (Content Management System CMS) boa o suficiente? Ele nos fornece rastreabilidade, e ns
sabemos que esta a pessoa que assinou e aprovou tal documento, e que ns no precisamos lev-lo a um
cartrio para provar a aprovao. Assim as pessoas param de perceber esta etapa como um aborrecimento, e
comeam a experiment-la como uma parte do processo e ento tudo fica mais fcil.
DK: Qual foi a coisa mais difcil durante a implementao? Houve algo que fez voc pensar
em desistir?
GD: Ns no queramos desistir de modo algum, uma vez que ns percebemos rapidamente que a
certificao era para nossa vantagem. Nossa motivao era o fato de que se ns quisssemos fazer negcio,
ns precisaramos da norma. Isto nunca foi uma questo. Qual foi a parte mais difcil? Eu diria que o mais
difcil foi levantar o escopo do sistema, com o que iramos lidar e quo detalhado isso seria. Existe a
possibilidade de que ns venhamos a ter uma documentao da ISO que seja adequada para uma
organizao muito maior, tornando complexas coisas que eram muito mais simples em nossa organizao,
ento ns teremos que excluir muita coisa, mas por outro lado, caso cortemos demais e verifiquemos nossa
conformidade com as regras da norma, pode acontecer de tirarmos algo que era importante. Aqui a sua ajuda
foi muito bem vinda uma vez que voc era orientado a resultados e dizia: No pense nisso, isto no
importante para voc, ou Aqueles trs documentos voc pode agrup-los dentro de estruturas
operacionais, de forma que esta parte foi muito boa. Eu entendo que durante a implementao,
especialmente quando as organizaes esto trabalhando sozinhas, existe uma grande chance do resultado
ficar muito extenso ou abaixo do nvel necessrio. A linha divisria no muito clara e isto torna as coisas
mais difceis.
DK: Quo importante a ajuda externa? Onde est o timo entre dois extremos de um
lado, se voc implementa a norma sozinho, sem um modelo ou consultor, e do outro, onde
voc tem um consultor que faz tudo para voc. Qual o meio termo?
GD: A primeira coisa que uma organizao precisa fazer entender esta verdade bsica: uma consultoria no
obter o seu certificado. Voc obter seu certificado sozinho ou no o obter. Consultorias no obtm
certificados ISO; voc obtm sua ISO sozinho, e a consultoria identifica seus processos de negcio. Para ser
capaz de entender seus processos de negcio necessrio empregar uma grande quantidade de consultores, e
este um outro trabalho por si s. Isto significa que voc obtm seu certificado ISO sozinho, sem consultores.
Um consultor importante em outra rea, ele entende a norma bem melhor do que voc, e pode enfatizar
coisas que voc esqueceu ou exagerou. A outra coisa que um consultor agrega experincia de trabalhos
prticos em outra analogia com o trnsito: teoricamente, eu sei como cruzarei uma linha de trem, mas se
eu no sei que na Crocia a rampa do cruzamento nem sempre desce quando o trem esta passando, algo
DK: Apenas para esclarecer dever da consultoria escrever a sua documentao ou no?
GD: No. Os modelos de documento foram de grande ajuda para ns. No pelo contedo, mas para entender
como este formulrio precisava se parecer e quais tpicos precisavam ser abordados com relao a norma.
Vamos tomar como exemplo a poltica de senhas; praticamente certo que o modelo a partir do qual uma
poltica de senha foi escrita no tivesse nada a ver com o que ns fazemos. Ento tivemos que escrever uma
estria totalmente nova a partir do levantamento de riscos, e aps isso a descrio de nosso regulamentos de
senhas, e naquele momento ns definimos no documento como ns trabalharamos com senhas o texto
provavelmente 70% diferente do modelo que foi utilizado. O prprio fato de que ns sabamos que tnhamos
que escrever como lidar com senhas e que isso precisava ser uma parte especfica da documentao nos
ajudou.
DK: Isto significa que um modelo lhe d uma estrutura por um lado e a liberdade para
escrever o que realmente existe em sua organizao pelo outro?
GD: Exato.
DK: Qual o papel da consultoria neste caso? Se o consultor no escreve sua documentao,
ele precisa estar presente em sua organizao?
GD: No, ele no precisa. Ns sempre queramos ter o consultor presente, mas ele nem sempre estava aqui.
Ns tnhamos muitas reunies on line. Ns adorvamos encontrar com o consultor em pessoa, mas isto no
tem a ver com o trabalho realizado, mais um trao cultural na Crocia ns adoramos encontrar com uma
pessoal pessoalmente para tomarmos caf juntos. Na verdade, no era essencial t-lo em nossas instalaes
porque ramos capazes de ler os documentos em um tela. Eu diria que no necessrio agradvel, mas
no necessrio.
DK: Por que a certificao ISO 27001 ainda no to popular quanto a certificao ISO
9001?
GD: Provavelmente devido a necessidades ainda no identificadas. A certificao ISO 9001 algo como um
sapato que ajusta-se a todos os ps. Cada organizao reconhecer a si mesma na ISO, por outro lado a ISO
9001 frequentemente mencionada na mdia. Ela utilizada como uma ferramenta de marketing, como algo
muito importante. Um terceiro ponto que, na minha opinio, a ISO 9001 pode ser implementada muito
mais facilmente do que a ISO 27001. Por outro lado, reconhecer-se na ISO 27001 muito mais difcil, no
importando que eu entenda que cada organizao possui um mnimo de informaes em suas instalaes
ns todos temos um mnimo de registros de contabilidade e uma lista de usurios com seus nmeros de
telefone e aqueles tambm so dados a serem mantidos em segurana. Todos poderiam implement-la.
Mas existem apenas poucas organizaes que precisam implementar a ISO 27001 como ns precisvamos, e
quando voc leva em conta que a ISO 27001 muito mais difcil de implementar do que a ISO 9001, lgico
que ela seja menos popular.
DK: E finalmente, quais so as trs coisas que voc recomendaria para organizaes de TI
que iniciaram o processo de certificao na ISO 27001? Em quais pontos elas devem prestar
ateno antes de iniciarem a implementao?