{"id":8717,"date":"2022-07-11T15:31:24","date_gmt":"2022-07-11T15:31:24","guid":{"rendered":"https:\/\/www.leonlisboa.com.br\/site\/?p=8717"},"modified":"2023-01-19T16:31:43","modified_gmt":"2023-01-19T19:31:43","slug":"problemas-para-definir-o-alcance-da-iso-27001","status":"publish","type":"post","link":"https:\/\/leonlisboa.com.br\/site\/problemas-para-definir-o-alcance-da-iso-27001\/","title":{"rendered":"Problemas para definir o alcance da ISO 27001"},"content":{"rendered":"\n

Artigo sobre o alcance da ISO 27001 em rela\u00e7\u00e3o \u00e0s \u00e1reas de uma empresa e ao SGSI.<\/p>\n\n\n\n

(Por Dejan Kosutic \u2013 advisera.com)<\/p>\n\n\n\n

Provavelmente voc\u00ea j\u00e1 saiba que o primeiro passo para a implementa\u00e7\u00e3o da norma ISO 27001<\/a> era a defini\u00e7\u00e3o do alcance. O que talvez n\u00e3o saiba \u00e9 que este passo, ainda que pare\u00e7a simples \u00e0 primeira vista, \u00e0s vezes pode ocasionar bastante problemas.<\/p>\n\n\n\n

Por exemplo, muitas compan\u00edas tratam de diminuir seus custos de implementa\u00e7\u00e3o diminuindo o alcance, mas geralmente este alcance acaba sendo uma dor de cabe\u00e7a. Ent\u00e3o, onde est\u00e1 o problema ?<\/p>\n\n\n\n

O problema se apresenta quando o alcance da ISO 27001 n\u00e3o abarca toda a organiza\u00e7\u00e3o \u00e9 que o Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) tem que atuar interativamente com o \u201cmundo exterior\u201d. Nesse contexto, o mundo exterior n\u00e3o s\u00e3o apenas os clientes, s\u00f3cios, provedores, etc, mas tamb\u00e9m os departamentos da organiza\u00e7\u00e3o que n\u00e3o est\u00e3o dentro do alcance definido. Pode parecer lindo, mas um departamento que n\u00e3o est\u00e1 inclu\u00eddo no alcance deve ser tratato da mesma forma que um provedor externo.<\/p>\n\n\n\n

Por exemplo, se decide que apenas o departamento de TI esteja dentro do alcance, e este departamento utiliza os servi\u00e7os do setor de Compras; o departamento de TI deve realizar a evolu\u00e7\u00e3o dos riscos sobre o setor de Comptas para identificar se existe algum risco para a informa\u00e7\u00e3o de que \u00e9 respons\u00e1vel o pr\u00f3prio setor de TI. Al\u00e9m disso, ambaas \u00e1reas devem assinar acordos de termos e condi\u00e7\u00f5es pelos servi\u00e7os executados.<\/p>\n\n\n\n

Por que \u00e9 necess\u00e1rio este gasto operacional ?<\/h2>\n\n\n\n
\"ISO
O alcance da ISO 27001<\/figcaption><\/figure>\n\n\n\n

O alcance da ISO 27001 E os organismos de certifica\u00e7\u00e3o<\/h3>\n\n\n\n

Coloque-se no lugar do organismo de certifica\u00e7\u00e3o : deve certificar que dentro do alcance definido voc\u00ea possa administra\u00e7\u00e3o a informa\u00e7\u00e3o de forma seguro, mas n\u00e3o pode verificar nenhum dos departamentos que est\u00e3o fora do alcance. A \u00fanica forma de manejar uma situa\u00e7\u00e3o deste itpo \u00e9 tratando estes departamentos como se fossem compan\u00edas externas (os auditores<\/a> de certifica\u00e7\u00e3o n\u00e3o gostam de alcances limitados).<\/p>\n\n\n\n

Mas este n\u00e3o \u00e9 todo o problema. \u00c0s vezes um alcance diretamente muito limitado n\u00e3o \u00e9 poss\u00edvel porque n\u00e3o h\u00e1 intera\u00e7\u00e3o com o mundo exterior. Por exemplo, se os empregados das \u00e1reas que se encontram dentro e fora do alcance trabalham na mesma sala, um alcance deste tipo \u00e9 muito pouco fact\u00edvel. Se ambos empregados utilizam a mesma rede local (sem divis\u00e3o) e t\u00eam acesso a diversos servi\u00e7os de rede, um alcance definido desta forma definitivamente n\u00e3o \u00e9 poss\u00edvel.; n\u00e3o h\u00e1 forma de voc\u00ea controlar o fluxo de informa\u00e7\u00e3o somente dentro do \u00e2mbito do alcance j\u00e1 definido.<\/p>\n\n\n\n

E a ISO 27001 e o SGSI ?<\/h3>\n\n\n\n

O ponto aqui \u00e9 que \u00e0s vezes resulta imposs\u00edvel limitar o alcance da sua SGSI e, na maioria dos casos, ocasionar\u00e1 custos operativos desnecess\u00e1rios. Portanto, o que inicialmente n\u00e3o parecia uma boa ideia poderia ser, depois de tudo, a melhor solu\u00e7\u00e3o : tentar extender o alcance de toda a organiza\u00e7\u00e3o. Como regra geral, se sua organiza\u00e7\u00e3o tem n\u00e3o mais do que umas poucas centenas de empregados e uma ou poucasste ent\u00e3o filiais, o melhor seria que o SGSI cubra a toda a organiza\u00e7\u00e3o.<\/p>\n\n\n\n

Por outro lado, se realmente n\u00e3o \u00e9 poss\u00edvel incluir toda a organiza\u00e7\u00e3o dentro do alcance do seu SGSI, tente limitar a uma unidade da organiza\u00e7\u00e3o que seja suficientemente independente. Tente resolver as rela\u00e7\u00f5es com as outras unidades que se encontram fora do alcance determinando seus servi\u00e7os mediante documentos internos (pol\u00edticas, procedimentos, etc.) que possam ser utilizados como \u201cacordos\u201d. Desta forma, poderia documentar as obriga\u00e7\u00f5es desta unidades da organiza\u00e7\u00e3o de uma forma que seja \u00fatil para as atividades di\u00e1rias. <\/p>\n\n\n\n

Assim ter\u00e1 o primeiro passo para a implementa\u00e7\u00e3o da norma ISO 27001.<\/p>\n","protected":false},"excerpt":{"rendered":"

Artigo sobre a ISO 27001 e seu alcance em rela\u00e7\u00e3o \u00e0 SGSI e \u00e0s \u00e1reas de uma empresa. Um artigo de Dejan Kosutic, da advisera.com.<\/p>\n","protected":false},"author":1,"featured_media":11576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[3,4],"tags":[23,59,86,98,124,126,129,130],"class_list":["post-8717","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-auditoria-de-ti","category-compliance-de-ti","tag-alcance","tag-empresa","tag-iso-2701","tag-normas","tag-seguranca","tag-seguranca-da-informacao","tag-sgsi","tag-sistema-de-gestao-da-seguranca-da-informacao"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/leonlisboa.com.br\/site\/wp-content\/uploads\/2022\/07\/alcance-iso-27001.jpeg","jetpack_sharing_enabled":true,"jetpack_likes_enabled":true,"_links":{"self":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts\/8717","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/comments?post=8717"}],"version-history":[{"count":1,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts\/8717\/revisions"}],"predecessor-version":[{"id":11577,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts\/8717\/revisions\/11577"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/media\/11576"}],"wp:attachment":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/media?parent=8717"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/categories?post=8717"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/tags?post=8717"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}