Estudo de caso da ISO 27001 para data centers · PDF fileCopyright ©2014 27001Academy....
Click here to load reader
Transcript of Estudo de caso da ISO 27001 para data centers · PDF fileCopyright ©2014 27001Academy....
Estudo de caso da ISO 27001
para data centers
Copyright ©2014 27001Academy. Todos os direitos reservados.
ESTUDO DE CASO maio 20, 2014
2 Copyright ©2014 27001Academy. Todos os direitos reservados.
Entrevista com Goran Djoreski:
Estudo de caso da ISO 27001 para data centers
Entrevistado por Dejan Košutić em 5 de Setembro de 2013
Goran Djoreski é CEO do Data Center independente Altus
Information Technology. Anteriormente ele trabalhou por
12 anos na indústria financeira, empregado no
desenvolvimento de cartões de negócio, assim como na
segurança de pagamentos com cartões de crédito.
Nesta entrevista discutimos quais obstáculos eles
encontraram durante a implementação da ISO 27001, e
como eles utilizaram esta norma para competir no mercado.
DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais
são suas impressões? Valeu a pena?
GD: Definitivamente valeu a pena, uma vez que uma certificação ISO 27001 não é necessariamente uma
vantagem competitiva, mas sim uma necessidade. O contexto da estória toda é que estamos tentando atender
mercados sujeitos a regulamentações. Estamos falando da indústria farmacêutica. Telecomunicações,
indústria financeira, e talvez no futuro indústrias de alimentos e similares, e todos eles são extremamente
regulados, e em uma conversa com eles você descobre que a ISO 27001 é algo que eles esperam, caso
contrário eles não querem conversar com você. Então ninguém diria que vale a pena porque a certificação
traz clientes para nós; ao invés disso, ela nos permite entrar em um mercado que de outro modo estaria
fechado para nós.
DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001; Por que esta
norma é aceita como necessária?
GD: Para eles a ISO 27001 frequentemente não é o bastante. Ela é necessária, mas não suficiente. Mas com a
ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: “Agora nós podemos começar a conversar.” Se
uma empresa tem um certificado ISO 27001, eles assumem que alguns critérios básicos são atendidos, e após
3 Copyright ©2014 27001Academy. Todos os direitos reservados.
isso, eles estão realmente interessados em seus anexos específicos. Adicionalmente, o processo da ISO 27001
encurta a auditoria deles – que passa a durar apenas dois dias, ao invés de seis.
DK: Então a ISO 27001 é na verdade considerada uma linha de base?
GD: Exato, uma linha de base.
DK: Há alguma outra norma sendo considerada, que poderia ser uma linha de base para
estes compradores em potencial?
GD: Não, eu diria que a ISO 27001 é o principal requisito. Em particular, a indústria financeira considera a
PCI DSS, mas uma vez que somos uma infraestrutura de data center, nós não nos aprofundamos em seus
dados e transações quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo não
relacionado a infraestrutura está fora do escopo para nós. Então eles esperam que com a certificação ISO
27001 nós tratemos aqueles capítulos da PCI DSS que são relevantes para a infraestrutura. Eles não pedem
pela ISO 9001 porque em geral eles assumem que se temos a certificação ISO 27001, a ISO 9001, que é
importante para eles, já está incluída.
DK: Se eu entendi bem o seu negócio, você primariamente alugam infraestrutura, e então
não manuseiam os dados propriamente ditos?
GD: Na maioria dos casos é desta forma sim.
DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de
infraestrutura, considerando que esta norma tem um foco em informação?
GD: Eu diria que a ISO 27001 não é baseada apenas em informação, mas também em tudo que ajuda a
garantir a segurança e transferência desta informação, e tudo necessário para fazer com que a informação
esteja disponível, seja autêntica, etc. De fato, a informação por si só não pode existir fora de uma
infraestrutura.
DK: Recentemente, a tendência tem sido cada vez mais e mais em direção das estruturas em
nuvem; quão útil é a ISO 27001 considerando esta tendência, ou ela está mais para um
obstáculo? Ela pode ser um obstáculo de fato, uma vez que organizações utilizando serviços
em nuvem na verdade perdem o controle sobre seus dados.
GD: Na verdade ão. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes provedores –
como a Amazon AWS, Rackspace ou similares – eles possuem nuvens altamente industrializadas, e possuem
um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padrão; tudo isto é
projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais
entre eles, então desta forma, a partir desta perspectiva realmente parece que os usuários não tem controle
sobre seus dados. Você não tem como saber onde eles estão, uma vez que hoje eles podem estar em
Johannesburgo e amanhã talvez em Munique, e você não tem influência sobre a estrutura da rede, etc. Isto é
uma nuvem.
Mas a nuvem é também algo mais. A nuvem também é o que fazemos, mas comparado a outros fornecedores
nós faríamos uma distinção, assim como fazemos ente roupas sob medida e roupas manufaturadas de forma
industrial. Assim nós fazemos redes sob medida: o usuário, que vem até nós, entra em acordo conosco sobre
a estrutura da rede, onde o servidor virtual será colocado, e durante o processo, como a segurança será
tratada. Claro que tudo isso está dentro de certos padrões com relação aos grandes provedores, uma vez que
são nos servidores deles e em suas cidades, entre outros fatores, onde as máquinas virtuais dos usuários
estão fisicamente localizadas. Nós podemos definir uma estrutura, dentro da qual a nuvem estará atuando.
4 Copyright ©2014 27001Academy. Todos os direitos reservados.
DK: Então, em contraste com estes provedores altamente industrializados também existem
pequenos provedores, que de fato ajustam a nuvem para necessidades de segurança
específicas de seus clientes.
GD: Sim. Na verdade, em minha opinião, neste tipo de arranjo nós temos conseguido conciliar segurança e
economia. A nuvem poupa recursos significativos e torna possível alcançar o mesmo nível de redundância, ou
até superá-lo, e em caso de falhas ou problemas técnicos, o servidor virtual continuará a operar em uma
infraestrutura completamente diferente e você não precisará comprar 3 ou 4 servidores para este propósito.
Isto significa que nós alinhamos a abordagem com a fato de que o ambiente, onde tudo está configurado, será
controlado, de forma que você estará ciente do fato de que poderá compartilhar um servidor físico com outro
usuário. Mas, por outro lado, você saberá que possui um segmento de rede completamente separado – que
entre você e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso é controlado, de forma
que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta sem controle,
etc. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de antes, mas com os benefícios
de utilizar uma nuvem.
DK: OK, agora eu gostaria de falar um pouco sobre suas experiências com a documentação.
O que mais o surpreendeu? O que você obteve que foi inesperado, e o que você esperava e
não obteve?
GD: A maior surpresa durante a implementação foi que nós pensamos que teríamos simplesmente uma
receita de bolo, e que haveria algum tipo de modelo, a partir do qual iríamos começar a implementar a norma
e ir de ponto a ponto, seguindo algum tipo de processo, até concluir tudo. Mas na verdade este não foi o caso,
e nós tivemos que iniciar com nossa própria visão, então esta foi uma grande surpresa. Nós não recebemos a
definição de que a “ISO é isso e aquilo”; ao invés disso nós recebemos “Primeiro identifique o que você
precisa” e “O que você quer da ISO em conjunto com o que você precisa?” e nós tivemos que definir nós
mesmos como implementar esta necessidade dentro da estrutura fornecida pela norma.
DK: Então você teve que começar com o levantamento de riscos?
GD: Sim, o levantamento de riscos e antes disso com uma análise dos nossos próprios processos de negócio
para identificar quais eram os riscos. Contudo, eu não esperava que a ISO iria nos ajudar a facilitar as
operações, porque a visão geral que se tem da ISO e de todas as outras certificações é a de serem uma carga
adicional; ao invés disso, algumas coisas não resolvidas com as quais nós tínhamos que lutar ou adivinhar,
nós pudemos regulamentar através de processos definidos, e agora sabemos como isso funciona no dia a dia
do negócio.
DK: Quão difícil foi instruir sua equipe para escrever documentos, procedimentos e
políticas?
GD: Não foi fácil, e nada verdade isso nunca termina. É uma batalha contínua. Inicialmente, é preciso definir
regras para este segmento, porque se isso não for feito não haverá documentação. Então é um processo
contínuo, porque você está em constante luta para que tudo seja como deveria ser.
DK: Ok, mas a questão é se a documentação é necessária, se ela é útil no final das contas?
GD: Esta é outra parte da estória. Não importa quanto esforço você invista, e a preparação leve seis meses ou
mais, os documentos podem não estar perfeitamente alinhados com o que você está fazendo. Uma vez que
seu objetivo é obter a certificação, pode haver a tendência de aceitar as coisas que já estão escritas nos
documentos, embora elas talvez não estejam perfeitamente adequadas para a sua operação diária. Então
acontece de muita disso chegar na primeira etapa da certificação e o auditor perguntar: "Você executa as
coisas que estão descritas aqui?" E então você percebe que ninguém normal faria o que está escrito no
documento.
5 Copyright ©2014 27001Academy. Todos os direitos reservados.
E então na próxima verificação tais coisas são minimizadas, porque você está ajustando mais e mais os
documentos para as suas necessidades, porque você ganhou experiência. Mas novamente, existe uma
necessidade humana de ter tanto trabalho pronto quanto possível em um determinado período de tempo, e a
documentação é sempre um custo adicional.
DK: Como você trata, em um nível psicológico, este assunto – uma vez que mesmo que estes
documentos sejam necessários, eles são odiados pelas pessoas que precisam deles, que estão
muito ocupadas pela própria natureza do trabalho que fazem?
GD: Ninguém deveria ser escravo da formalidade. Eu já tive experiência com uma organização onde um
processo formal de aprovação foi estabelecido de tal maneira que alguma coisa tinha que ser impressa em
papel em múltiplas cópias, ser enviado para doze diretores, que precisariam lê-lo e todos os doze diretores
teriam que assiná-lo, e somente após isso ele iria para um comitê – era um inferno. É normal isto ser um
horror para as pessoas. Por outro lado, a ISO 27001 permite, com um alto grau, que uma organização defina
para si mesma o que é bom o suficiente, e neste caso você precisa simplificar a coisa toda. Você não deveria
precisar que doze pessoas lessem e aprovassem algo, porque destas doze, provavelmente nove não se
importarão com isso. Você deveria tornar os procedimentos mais fáceis e mais eficazes, e começar a utilizar
ferramentas. Por que alguém precisaria assinar algo em papel se a aprovação através de um sistema de gestão
de conteúdo (Content Management System – CMS) é boa o suficiente? Ele nos fornece rastreabilidade, e nós
sabemos que esta é a pessoa que assinou e aprovou tal documento, e que nós não precisamos levá-lo a um
cartório para provar a aprovação. Assim as pessoas param de perceber esta etapa como um aborrecimento, e
começam a experimentá-la como uma parte do processo e então tudo fica mais fácil.
DK: Qual foi a coisa mais difícil durante a implementação? Houve algo que fez você pensar
em desistir?
GD: Nós não queríamos desistir de modo algum, uma vez que nós percebemos rapidamente que a
certificação era para nossa vantagem. Nossa motivação era o fato de que se nós quiséssemos fazer negócio,
nós precisaríamos da norma. Isto nunca foi uma questão. Qual foi a parte mais difícil? Eu diria que o mais
difícil foi levantar o escopo do sistema, com o que iríamos lidar e quão detalhado isso seria. Existe a
possibilidade de que nós venhamos a ter uma documentação da ISO que seja adequada para uma
organização muito maior, tornando complexas coisas que eram muito mais simples em nossa organização,
então nós teremos que excluir muita coisa, mas por outro lado, caso cortemos demais e verifiquemos nossa
conformidade com as regras da norma, pode acontecer de tirarmos algo que era importante. Aqui a sua ajuda
foi muito bem vinda uma vez que você era orientado a resultados e dizia: “Não pense nisso, isto não é
importante para você,” ou “Aqueles três documentos você pode agrupá-los dentro de estruturas
operacionais,” de forma que esta parte foi muito boa. Eu entendo que durante a implementação,
especialmente quando as organizações estão trabalhando sozinhas, existe uma grande chance do resultado
ficar muito extenso ou abaixo do nível necessário. A linha divisória não é muito clara e isto torna as coisas
mais difíceis.
DK: Quão importante é a ajuda externa? Onde está o ótimo entre dois extremos – de um
lado, se você implementa a norma sozinho, sem um modelo ou consultor, e do outro, onde
você tem um consultor que faz tudo para você. Qual é o meio termo?
GD: A primeira coisa que uma organização precisa fazer é entender esta verdade básica: uma consultoria não
obterá o seu certificado. Você obterá seu certificado sozinho ou não o obterá. Consultorias não obtém
certificados ISO; você obtém sua ISO sozinho, e a consultoria identifica seus processos de negócio. Para ser
capaz de entender seus processos de negócio é necessário empregar uma grande quantidade de consultores, e
este é um outro trabalho por si só. Isto significa que você obtém seu certificado ISO sozinho, sem consultores.
Um consultor é importante em outra área, ele entende a norma bem melhor do que você, e pode enfatizar
coisas que você esqueceu ou exagerou. A outra coisa é que um consultor agrega experiência de trabalhos
práticos – em outra analogia com o trânsito: teoricamente, eu sei como cruzarei uma linha de trem, mas se
eu não sei que na Croácia a rampa do cruzamento nem sempre desce quando o trem esta passando, algo
6 Copyright ©2014 27001Academy. Todos os direitos reservados.
muito ruim pode acontecer. É a mesma coisa com consultores: eles sabem a partir de experiência prática o
que aconteceu com outros, onde eles encontraram problemas, seja durante a certificação, ou na prática, onde
eles superestimaram algumas coisas, de forma que uma lacuna de segurança ocorreu, onde eles tiveram
danos medidos em milhões. Durante a implementação nós fomos diversas vezes na direção errada. Nós
trabalhamos e ouvimos de repente – O que vocês fizeram? Então demos dois passos para trás e olhamos na
direção certa novamente. Se você não tem um consultor verificando o que você está fazendo de forma
periódica, e que faz com que você dê dois passos para trás quando sua cabeça está na direção errada, pode
acontecer de você ter que dar dez passos para trás, e ter de começar tudo novamente.
DK: Apenas para esclarecer – é dever da consultoria escrever a sua documentação ou não?
GD: Não. Os modelos de documento foram de grande ajuda para nós. Não pelo conteúdo, mas para entender
como este formulário precisava se parecer e quais tópicos precisavam ser abordados com relação a norma.
Vamos tomar como exemplo a política de senhas; é praticamente certo que o modelo a partir do qual uma
política de senha foi escrita não tivesse nada a ver com o que nós fazemos. Então tivemos que escrever uma
estória totalmente nova a partir do levantamento de riscos, e após isso a descrição de nosso regulamentos de
senhas, e naquele momento nós definimos no documento como nós trabalharíamos com senhas – o texto é
provavelmente 70% diferente do modelo que foi utilizado. O próprio fato de que nós sabíamos que tínhamos
que escrever como lidar com senhas e que isso precisava ser uma parte específica da documentação nos
ajudou.
DK: Isto significa que um modelo lhe dá uma estrutura por um lado e a liberdade para
escrever o que realmente existe em sua organização pelo outro?
GD: Exato.
DK: Qual é o papel da consultoria neste caso? Se o consultor não escreve sua documentação,
ele precisa estar presente em sua organização?
GD: Não, ele não precisa. Nós sempre queríamos ter o consultor presente, mas ele nem sempre estava aqui.
Nós tínhamos muitas reuniões on line. Nós adorávamos encontrar com o consultor em pessoa, mas isto não
tem a ver com o trabalho realizado, é mais um traço cultural na Croácia – nós adoramos encontrar com uma
pessoal pessoalmente para tomarmos café juntos. Na verdade, não era essencial tê-lo em nossas instalações
porque éramos capazes de ler os documentos em um tela. Eu diria que não é necessário – é agradável, mas
não necessário.
DK: Por que a certificação ISO 27001 ainda não é tão popular quanto a certificação ISO
9001?
GD: Provavelmente devido a necessidades ainda não identificadas. A certificação ISO 9001 é algo como um
sapato que ajusta-se a todos os pés. Cada organização reconhecerá a si mesma na ISO, por outro lado a ISO
9001 é frequentemente mencionada na mídia. Ela é utilizada como uma ferramenta de marketing, como algo
muito importante. Um terceiro ponto é que, na minha opinião, a ISO 9001 pode ser implementada muito
mais facilmente do que a ISO 27001. Por outro lado, reconhecer-se na ISO 27001 é muito mais difícil, não
importando que eu entenda que cada organização possui um mínimo de informações em suas instalações –
nós todos temos um mínimo de registros de contabilidade e uma lista de usuários com seus números de
telefone – e aqueles também são dados a serem mantidos em segurança. Todos poderiam implementá-la.
Mas existem apenas poucas organizações que precisam implementar a ISO 27001 como nós precisávamos, e
quando você leva em conta que a ISO 27001 é muito mais difícil de implementar do que a ISO 9001, é lógico
que ela seja menos popular.
DK: E finalmente, quais são as três coisas que você recomendaria para organizações de TI
que iniciaram o processo de certificação na ISO 27001? Em quais pontos elas devem prestar
atenção antes de iniciarem a implementação?
7 Copyright ©2014 27001Academy. Todos os direitos reservados.
GD: Primeiro elas precisam responder a questão de por que querem um certificado ISO 27001, porque
querem, porque precisam, e se precisam, quão motivados estão para obtê-lo? Isto deve ser feito logo no
início, um pouco antes ou um pouco depois. Outra coisa é, caso decidam que querem tê-la, então precisam de
um comprometimento absoluto da administração para com a ISO 27001. Não deve existir nenhum dilema
em nenhum momento, uma vez que durante a discussão haverá frequentemente momentos para se decidir
como alocar os recursos entre projetos, seja para a ISO seja para outro projeto que pareça ser mais
importante a primeira vista. O benefício da ISO 27001 não é que você vai fazer dinheiro quando o projeto
terminar. Você fará isso mesmo quando não perceba os benefícios imediatos. Este projeto pode se perder
rapidamente entre tantos outros na organização. Caso você decida que quer a ISO então o comprometimento
da administração deve ser forte, deve ser mais forte do que outros que diretamente gerem receita. A terceira
coisa importante, em minha opinião, é prestar atenção as pontas soltas. Como qualquer projeto, com a ISO
27001 você atinge 95% de todas as entregas, considera o suficiente, mas quando os certificadores e auditores
internos fazem aquelas perguntas estúpidas você descobre que ainda tem vinte coisas a fazer, e você
pensando que havia terminado. Então você precisa cruzar a linha de chegada, estes últimos 5%, e então tudo
fica mais fácil.
Amostras de modelos de documentos
Aqui você pode baixar uma právia gratuita do Kit de Documentação da ISO 27001 & ISO 22301 –
nesta prévia gratuita você será capaz de ver todos os documentos mandatórios pela ISO 27001.
8 Copyright ©2014 27001Academy. Todos os direitos reservados.
Copyright ©2014 27001Academy. Todos os direitos reservados.
EPPS Services Ltd.
para negócios eletrônicos e consultoria em negócio
UI. Vladimira Nazora 59, 10000 Zagreb
Croatia, União Européia
Email: [email protected]
Fone: +385 1 48 34 120
Fone (para clientes nos E.U.A): +1 (646) 797 2744
Fax: +385 1 556 0711