Estudo de caso da ISO 27001

para data centers

Copyright ©2014 27001Academy. Todos os direitos reservados.

ESTUDO DE CASO maio 20, 2014

2 Copyright ©2014 27001Academy. Todos os direitos reservados.

Entrevista com Goran Djoreski:

Estudo de caso da ISO 27001 para data centers

Entrevistado por Dejan Košutić em 5 de Setembro de 2013

Goran Djoreski é CEO do Data Center independente Altus

Information Technology. Anteriormente ele trabalhou por

12 anos na indústria financeira, empregado no

desenvolvimento de cartões de negócio, assim como na

segurança de pagamentos com cartões de crédito.

Nesta entrevista discutimos quais obstáculos eles

encontraram durante a implementação da ISO 27001, e

como eles utilizaram esta norma para competir no mercado.

DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais

são suas impressões? Valeu a pena?

GD: Definitivamente valeu a pena, uma vez que uma certificação ISO 27001 não é necessariamente uma

vantagem competitiva, mas sim uma necessidade. O contexto da estória toda é que estamos tentando atender

mercados sujeitos a regulamentações. Estamos falando da indústria farmacêutica. Telecomunicações,

indústria financeira, e talvez no futuro indústrias de alimentos e similares, e todos eles são extremamente

regulados, e em uma conversa com eles você descobre que a ISO 27001 é algo que eles esperam, caso

contrário eles não querem conversar com você. Então ninguém diria que vale a pena porque a certificação

traz clientes para nós; ao invés disso, ela nos permite entrar em um mercado que de outro modo estaria

fechado para nós.

DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001; Por que esta

norma é aceita como necessária?

GD: Para eles a ISO 27001 frequentemente não é o bastante. Ela é necessária, mas não suficiente. Mas com a

ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: “Agora nós podemos começar a conversar.” Se

uma empresa tem um certificado ISO 27001, eles assumem que alguns critérios básicos são atendidos, e após

3 Copyright ©2014 27001Academy. Todos os direitos reservados.

isso, eles estão realmente interessados em seus anexos específicos. Adicionalmente, o processo da ISO 27001

encurta a auditoria deles – que passa a durar apenas dois dias, ao invés de seis.

DK: Então a ISO 27001 é na verdade considerada uma linha de base?

GD: Exato, uma linha de base.

DK: Há alguma outra norma sendo considerada, que poderia ser uma linha de base para

estes compradores em potencial?

GD: Não, eu diria que a ISO 27001 é o principal requisito. Em particular, a indústria financeira considera a

PCI DSS, mas uma vez que somos uma infraestrutura de data center, nós não nos aprofundamos em seus

dados e transações quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo não

relacionado a infraestrutura está fora do escopo para nós. Então eles esperam que com a certificação ISO

27001 nós tratemos aqueles capítulos da PCI DSS que são relevantes para a infraestrutura. Eles não pedem

pela ISO 9001 porque em geral eles assumem que se temos a certificação ISO 27001, a ISO 9001, que é

importante para eles, já está incluída.

DK: Se eu entendi bem o seu negócio, você primariamente alugam infraestrutura, e então

não manuseiam os dados propriamente ditos?

GD: Na maioria dos casos é desta forma sim.

DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de

infraestrutura, considerando que esta norma tem um foco em informação?

GD: Eu diria que a ISO 27001 não é baseada apenas em informação, mas também em tudo que ajuda a

garantir a segurança e transferência desta informação, e tudo necessário para fazer com que a informação

esteja disponível, seja autêntica, etc. De fato, a informação por si só não pode existir fora de uma

infraestrutura.

DK: Recentemente, a tendência tem sido cada vez mais e mais em direção das estruturas em

nuvem; quão útil é a ISO 27001 considerando esta tendência, ou ela está mais para um

obstáculo? Ela pode ser um obstáculo de fato, uma vez que organizações utilizando serviços

em nuvem na verdade perdem o controle sobre seus dados.

GD: Na verdade ão. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes provedores –

como a Amazon AWS, Rackspace ou similares – eles possuem nuvens altamente industrializadas, e possuem

um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padrão; tudo isto é

projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais

entre eles, então desta forma, a partir desta perspectiva realmente parece que os usuários não tem controle

sobre seus dados. Você não tem como saber onde eles estão, uma vez que hoje eles podem estar em

Johannesburgo e amanhã talvez em Munique, e você não tem influência sobre a estrutura da rede, etc. Isto é

uma nuvem.

Mas a nuvem é também algo mais. A nuvem também é o que fazemos, mas comparado a outros fornecedores

nós faríamos uma distinção, assim como fazemos ente roupas sob medida e roupas manufaturadas de forma

industrial. Assim nós fazemos redes sob medida: o usuário, que vem até nós, entra em acordo conosco sobre

a estrutura da rede, onde o servidor virtual será colocado, e durante o processo, como a segurança será

tratada. Claro que tudo isso está dentro de certos padrões com relação aos grandes provedores, uma vez que

são nos servidores deles e em suas cidades, entre outros fatores, onde as máquinas virtuais dos usuários

estão fisicamente localizadas. Nós podemos definir uma estrutura, dentro da qual a nuvem estará atuando.

4 Copyright ©2014 27001Academy. Todos os direitos reservados.

DK: Então, em contraste com estes provedores altamente industrializados também existem

pequenos provedores, que de fato ajustam a nuvem para necessidades de segurança

específicas de seus clientes.

GD: Sim. Na verdade, em minha opinião, neste tipo de arranjo nós temos conseguido conciliar segurança e

economia. A nuvem poupa recursos significativos e torna possível alcançar o mesmo nível de redundância, ou

até superá-lo, e em caso de falhas ou problemas técnicos, o servidor virtual continuará a operar em uma

infraestrutura completamente diferente e você não precisará comprar 3 ou 4 servidores para este propósito.

Isto significa que nós alinhamos a abordagem com a fato de que o ambiente, onde tudo está configurado, será

controlado, de forma que você estará ciente do fato de que poderá compartilhar um servidor físico com outro

usuário. Mas, por outro lado, você saberá que possui um segmento de rede completamente separado – que

entre você e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso é controlado, de forma

que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta sem controle,

etc. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de antes, mas com os benefícios

de utilizar uma nuvem.

DK: OK, agora eu gostaria de falar um pouco sobre suas experiências com a documentação.

O que mais o surpreendeu? O que você obteve que foi inesperado, e o que você esperava e

não obteve?

GD: A maior surpresa durante a implementação foi que nós pensamos que teríamos simplesmente uma

receita de bolo, e que haveria algum tipo de modelo, a partir do qual iríamos começar a implementar a norma

e ir de ponto a ponto, seguindo algum tipo de processo, até concluir tudo. Mas na verdade este não foi o caso,

e nós tivemos que iniciar com nossa própria visão, então esta foi uma grande surpresa. Nós não recebemos a

definição de que a “ISO é isso e aquilo”; ao invés disso nós recebemos “Primeiro identifique o que você

precisa” e “O que você quer da ISO em conjunto com o que você precisa?” e nós tivemos que definir nós

mesmos como implementar esta necessidade dentro da estrutura fornecida pela norma.

DK: Então você teve que começar com o levantamento de riscos?

GD: Sim, o levantamento de riscos e antes disso com uma análise dos nossos próprios processos de negócio

para identificar quais eram os riscos. Contudo, eu não esperava que a ISO iria nos ajudar a facilitar as

operações, porque a visão geral que se tem da ISO e de todas as outras certificações é a de serem uma carga

adicional; ao invés disso, algumas coisas não resolvidas com as quais nós tínhamos que lutar ou adivinhar,

nós pudemos regulamentar através de processos definidos, e agora sabemos como isso funciona no dia a dia

do negócio.

DK: Quão difícil foi instruir sua equipe para escrever documentos, procedimentos e

políticas?

GD: Não foi fácil, e nada verdade isso nunca termina. É uma batalha contínua. Inicialmente, é preciso definir

regras para este segmento, porque se isso não for feito não haverá documentação. Então é um processo

contínuo, porque você está em constante luta para que tudo seja como deveria ser.

DK: Ok, mas a questão é se a documentação é necessária, se ela é útil no final das contas?

GD: Esta é outra parte da estória. Não importa quanto esforço você invista, e a preparação leve seis meses ou

mais, os documentos podem não estar perfeitamente alinhados com o que você está fazendo. Uma vez que

seu objetivo é obter a certificação, pode haver a tendência de aceitar as coisas que já estão escritas nos

documentos, embora elas talvez não estejam perfeitamente adequadas para a sua operação diária. Então

acontece de muita disso chegar na primeira etapa da certificação e o auditor perguntar: "Você executa as

coisas que estão descritas aqui?" E então você percebe que ninguém normal faria o que está escrito no

documento.

5 Copyright ©2014 27001Academy. Todos os direitos reservados.

E então na próxima verificação tais coisas são minimizadas, porque você está ajustando mais e mais os

documentos para as suas necessidades, porque você ganhou experiência. Mas novamente, existe uma

necessidade humana de ter tanto trabalho pronto quanto possível em um determinado período de tempo, e a

documentação é sempre um custo adicional.

DK: Como você trata, em um nível psicológico, este assunto – uma vez que mesmo que estes

documentos sejam necessários, eles são odiados pelas pessoas que precisam deles, que estão

muito ocupadas pela própria natureza do trabalho que fazem?

GD: Ninguém deveria ser escravo da formalidade. Eu já tive experiência com uma organização onde um

processo formal de aprovação foi estabelecido de tal maneira que alguma coisa tinha que ser impressa em

papel em múltiplas cópias, ser enviado para doze diretores, que precisariam lê-lo e todos os doze diretores

teriam que assiná-lo, e somente após isso ele iria para um comitê – era um inferno. É normal isto ser um

horror para as pessoas. Por outro lado, a ISO 27001 permite, com um alto grau, que uma organização defina

para si mesma o que é bom o suficiente, e neste caso você precisa simplificar a coisa toda. Você não deveria

precisar que doze pessoas lessem e aprovassem algo, porque destas doze, provavelmente nove não se

importarão com isso. Você deveria tornar os procedimentos mais fáceis e mais eficazes, e começar a utilizar

ferramentas. Por que alguém precisaria assinar algo em papel se a aprovação através de um sistema de gestão

de conteúdo (Content Management System – CMS) é boa o suficiente? Ele nos fornece rastreabilidade, e nós

sabemos que esta é a pessoa que assinou e aprovou tal documento, e que nós não precisamos levá-lo a um

cartório para provar a aprovação. Assim as pessoas param de perceber esta etapa como um aborrecimento, e

começam a experimentá-la como uma parte do processo e então tudo fica mais fácil.

DK: Qual foi a coisa mais difícil durante a implementação? Houve algo que fez você pensar

em desistir?

GD: Nós não queríamos desistir de modo algum, uma vez que nós percebemos rapidamente que a

certificação era para nossa vantagem. Nossa motivação era o fato de que se nós quiséssemos fazer negócio,

nós precisaríamos da norma. Isto nunca foi uma questão. Qual foi a parte mais difícil? Eu diria que o mais

difícil foi levantar o escopo do sistema, com o que iríamos lidar e quão detalhado isso seria. Existe a

possibilidade de que nós venhamos a ter uma documentação da ISO que seja adequada para uma

organização muito maior, tornando complexas coisas que eram muito mais simples em nossa organização,

então nós teremos que excluir muita coisa, mas por outro lado, caso cortemos demais e verifiquemos nossa

conformidade com as regras da norma, pode acontecer de tirarmos algo que era importante. Aqui a sua ajuda

foi muito bem vinda uma vez que você era orientado a resultados e dizia: “Não pense nisso, isto não é

importante para você,” ou “Aqueles três documentos você pode agrupá-los dentro de estruturas

operacionais,” de forma que esta parte foi muito boa. Eu entendo que durante a implementação,

especialmente quando as organizações estão trabalhando sozinhas, existe uma grande chance do resultado

ficar muito extenso ou abaixo do nível necessário. A linha divisória não é muito clara e isto torna as coisas

mais difíceis.

DK: Quão importante é a ajuda externa? Onde está o ótimo entre dois extremos – de um

lado, se você implementa a norma sozinho, sem um modelo ou consultor, e do outro, onde

você tem um consultor que faz tudo para você. Qual é o meio termo?

GD: A primeira coisa que uma organização precisa fazer é entender esta verdade básica: uma consultoria não

obterá o seu certificado. Você obterá seu certificado sozinho ou não o obterá. Consultorias não obtém

certificados ISO; você obtém sua ISO sozinho, e a consultoria identifica seus processos de negócio. Para ser

capaz de entender seus processos de negócio é necessário empregar uma grande quantidade de consultores, e

este é um outro trabalho por si só. Isto significa que você obtém seu certificado ISO sozinho, sem consultores.

Um consultor é importante em outra área, ele entende a norma bem melhor do que você, e pode enfatizar

coisas que você esqueceu ou exagerou. A outra coisa é que um consultor agrega experiência de trabalhos

práticos – em outra analogia com o trânsito: teoricamente, eu sei como cruzarei uma linha de trem, mas se

eu não sei que na Croácia a rampa do cruzamento nem sempre desce quando o trem esta passando, algo

6 Copyright ©2014 27001Academy. Todos os direitos reservados.

muito ruim pode acontecer. É a mesma coisa com consultores: eles sabem a partir de experiência prática o

que aconteceu com outros, onde eles encontraram problemas, seja durante a certificação, ou na prática, onde

eles superestimaram algumas coisas, de forma que uma lacuna de segurança ocorreu, onde eles tiveram

danos medidos em milhões. Durante a implementação nós fomos diversas vezes na direção errada. Nós

trabalhamos e ouvimos de repente – O que vocês fizeram? Então demos dois passos para trás e olhamos na

direção certa novamente. Se você não tem um consultor verificando o que você está fazendo de forma

periódica, e que faz com que você dê dois passos para trás quando sua cabeça está na direção errada, pode

acontecer de você ter que dar dez passos para trás, e ter de começar tudo novamente.

DK: Apenas para esclarecer – é dever da consultoria escrever a sua documentação ou não?

GD: Não. Os modelos de documento foram de grande ajuda para nós. Não pelo conteúdo, mas para entender

como este formulário precisava se parecer e quais tópicos precisavam ser abordados com relação a norma.

Vamos tomar como exemplo a política de senhas; é praticamente certo que o modelo a partir do qual uma

política de senha foi escrita não tivesse nada a ver com o que nós fazemos. Então tivemos que escrever uma

estória totalmente nova a partir do levantamento de riscos, e após isso a descrição de nosso regulamentos de

senhas, e naquele momento nós definimos no documento como nós trabalharíamos com senhas – o texto é

provavelmente 70% diferente do modelo que foi utilizado. O próprio fato de que nós sabíamos que tínhamos

que escrever como lidar com senhas e que isso precisava ser uma parte específica da documentação nos

ajudou.

DK: Isto significa que um modelo lhe dá uma estrutura por um lado e a liberdade para

escrever o que realmente existe em sua organização pelo outro?

GD: Exato.

DK: Qual é o papel da consultoria neste caso? Se o consultor não escreve sua documentação,

ele precisa estar presente em sua organização?

GD: Não, ele não precisa. Nós sempre queríamos ter o consultor presente, mas ele nem sempre estava aqui.

Nós tínhamos muitas reuniões on line. Nós adorávamos encontrar com o consultor em pessoa, mas isto não

tem a ver com o trabalho realizado, é mais um traço cultural na Croácia – nós adoramos encontrar com uma

pessoal pessoalmente para tomarmos café juntos. Na verdade, não era essencial tê-lo em nossas instalações

porque éramos capazes de ler os documentos em um tela. Eu diria que não é necessário – é agradável, mas

não necessário.

DK: Por que a certificação ISO 27001 ainda não é tão popular quanto a certificação ISO

9001?

GD: Provavelmente devido a necessidades ainda não identificadas. A certificação ISO 9001 é algo como um

sapato que ajusta-se a todos os pés. Cada organização reconhecerá a si mesma na ISO, por outro lado a ISO

9001 é frequentemente mencionada na mídia. Ela é utilizada como uma ferramenta de marketing, como algo

muito importante. Um terceiro ponto é que, na minha opinião, a ISO 9001 pode ser implementada muito

mais facilmente do que a ISO 27001. Por outro lado, reconhecer-se na ISO 27001 é muito mais difícil, não

importando que eu entenda que cada organização possui um mínimo de informações em suas instalações –

nós todos temos um mínimo de registros de contabilidade e uma lista de usuários com seus números de

telefone – e aqueles também são dados a serem mantidos em segurança. Todos poderiam implementá-la.

Mas existem apenas poucas organizações que precisam implementar a ISO 27001 como nós precisávamos, e

quando você leva em conta que a ISO 27001 é muito mais difícil de implementar do que a ISO 9001, é lógico

que ela seja menos popular.

DK: E finalmente, quais são as três coisas que você recomendaria para organizações de TI

que iniciaram o processo de certificação na ISO 27001? Em quais pontos elas devem prestar

atenção antes de iniciarem a implementação?

7 Copyright ©2014 27001Academy. Todos os direitos reservados.

GD: Primeiro elas precisam responder a questão de por que querem um certificado ISO 27001, porque

querem, porque precisam, e se precisam, quão motivados estão para obtê-lo? Isto deve ser feito logo no

início, um pouco antes ou um pouco depois. Outra coisa é, caso decidam que querem tê-la, então precisam de

um comprometimento absoluto da administração para com a ISO 27001. Não deve existir nenhum dilema

em nenhum momento, uma vez que durante a discussão haverá frequentemente momentos para se decidir

como alocar os recursos entre projetos, seja para a ISO seja para outro projeto que pareça ser mais

importante a primeira vista. O benefício da ISO 27001 não é que você vai fazer dinheiro quando o projeto

terminar. Você fará isso mesmo quando não perceba os benefícios imediatos. Este projeto pode se perder

rapidamente entre tantos outros na organização. Caso você decida que quer a ISO então o comprometimento

da administração deve ser forte, deve ser mais forte do que outros que diretamente gerem receita. A terceira

coisa importante, em minha opinião, é prestar atenção as pontas soltas. Como qualquer projeto, com a ISO

27001 você atinge 95% de todas as entregas, considera o suficiente, mas quando os certificadores e auditores

internos fazem aquelas perguntas estúpidas você descobre que ainda tem vinte coisas a fazer, e você

pensando que havia terminado. Então você precisa cruzar a linha de chegada, estes últimos 5%, e então tudo

fica mais fácil.

Amostras de modelos de documentos

Aqui você pode baixar uma právia gratuita do Kit de Documentação da ISO 27001 & ISO 22301 –

nesta prévia gratuita você será capaz de ver todos os documentos mandatórios pela ISO 27001.

8 Copyright ©2014 27001Academy. Todos os direitos reservados.

Copyright ©2014 27001Academy. Todos os direitos reservados.

EPPS Services Ltd.

para negócios eletrônicos e consultoria em negócio

UI. Vladimira Nazora 59, 10000 Zagreb

Croatia, União Européia

Email: support@iso27001standard.com

Fone: +385 1 48 34 120

Fone (para clientes nos E.U.A): +1 (646) 797 2744

Fax: +385 1 556 0711