Artigo sobre o alcance da ISO 27001 em relação às áreas de uma empresa e ao SGSI.
(Por Dejan Kosutic – advisera.com)
Provavelmente você já saiba que o primeiro passo para a implementação da norma ISO 27001 era a definição do alcance. O que talvez não saiba é que este passo, ainda que pareça simples à primeira vista, às vezes pode ocasionar bastante problemas.
Por exemplo, muitas companías tratam de diminuir seus custos de implementação diminuindo o alcance, mas geralmente este alcance acaba sendo uma dor de cabeça. Então, onde está o problema ?
O problema se apresenta quando o alcance da ISO 27001 não abarca toda a organização é que o Sistema de Gestão de Segurança da Informação (SGSI) tem que atuar interativamente com o “mundo exterior”. Nesse contexto, o mundo exterior não são apenas os clientes, sócios, provedores, etc, mas também os departamentos da organização que não estão dentro do alcance definido. Pode parecer lindo, mas um departamento que não está incluído no alcance deve ser tratato da mesma forma que um provedor externo.
Por exemplo, se decide que apenas o departamento de TI esteja dentro do alcance, e este departamento utiliza os serviços do setor de Compras; o departamento de TI deve realizar a evolução dos riscos sobre o setor de Comptas para identificar se existe algum risco para a informação de que é responsável o próprio setor de TI. Além disso, ambaas áreas devem assinar acordos de termos e condições pelos serviços executados.
Por que é necessário este gasto operacional ?
O alcance da ISO 27001 E os organismos de certificação
Coloque-se no lugar do organismo de certificação : deve certificar que dentro do alcance definido você possa administração a informação de forma seguro, mas não pode verificar nenhum dos departamentos que estão fora do alcance. A única forma de manejar uma situação deste itpo é tratando estes departamentos como se fossem companías externas (os auditores de certificação não gostam de alcances limitados).
Mas este não é todo o problema. Às vezes um alcance diretamente muito limitado não é possível porque não há interação com o mundo exterior. Por exemplo, se os empregados das áreas que se encontram dentro e fora do alcance trabalham na mesma sala, um alcance deste tipo é muito pouco factível. Se ambos empregados utilizam a mesma rede local (sem divisão) e têm acesso a diversos serviços de rede, um alcance definido desta forma definitivamente não é possível.; não há forma de você controlar o fluxo de informação somente dentro do âmbito do alcance já definido.
E a ISO 27001 e o SGSI ?
O ponto aqui é que às vezes resulta impossível limitar o alcance da sua SGSI e, na maioria dos casos, ocasionará custos operativos desnecessários. Portanto, o que inicialmente não parecia uma boa ideia poderia ser, depois de tudo, a melhor solução : tentar extender o alcance de toda a organização. Como regra geral, se sua organização tem não mais do que umas poucas centenas de empregados e uma ou poucasste então filiais, o melhor seria que o SGSI cubra a toda a organização.
Por outro lado, se realmente não é possível incluir toda a organização dentro do alcance do seu SGSI, tente limitar a uma unidade da organização que seja suficientemente independente. Tente resolver as relações com as outras unidades que se encontram fora do alcance determinando seus serviços mediante documentos internos (políticas, procedimentos, etc.) que possam ser utilizados como “acordos”. Desta forma, poderia documentar as obrigações desta unidades da organização de uma forma que seja útil para as atividades diárias.
Assim terá o primeiro passo para a implementação da norma ISO 27001.
