You are on page 1of 8

Estudo de caso da ISO 27001

para data centers

ESTUDO DE CASO
maio 20, 2014

Copyright ©2014 27001Academy. Todos os direitos reservados.

e após Copyright ©2014 27001Academy. Ela é necessária. Estamos falando da indústria farmacêutica. empregado no desenvolvimento de cartões de negócio. e como eles utilizaram esta norma para competir no mercado. Telecomunicações. e todos eles são extremamente regulados. assim como na segurança de pagamentos com cartões de crédito. indústria financeira. uma vez que uma certificação ISO 27001 não é necessariamente uma vantagem competitiva. DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001. Anteriormente ele trabalhou por 12 anos na indústria financeira. mas não suficiente. e talvez no futuro indústrias de alimentos e similares. mas sim uma necessidade. ela nos permite entrar em um mercado que de outro modo estaria fechado para nós. 2 . O contexto da estória toda é que estamos tentando atender mercados sujeitos a regulamentações. Por que esta norma é aceita como necessária? GD: Para eles a ISO 27001 frequentemente não é o bastante.Entrevista com Goran Djoreski: Estudo de caso da ISO 27001 para data centers Entrevistado por Dejan Košutić em 5 de Setembro de 2013 Goran Djoreski é CEO do Data Center independente Altus Information Technology. algo do tipo: “Agora nós podemos começar a conversar. Então ninguém diria que vale a pena porque a certificação traz clientes para nós. eles assumem que alguns critérios básicos são atendidos.” Se uma empresa tem um certificado ISO 27001. Todos os direitos reservados. Mas com a ISO 27001 eles estabelecem uma patamar inicial. ao invés disso. Nesta entrevista discutimos quais obstáculos eles encontraram durante a implementação da ISO 27001. DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais são suas impressões? Valeu a pena? GD: Definitivamente valeu a pena. e em uma conversa com eles você descobre que a ISO 27001 é algo que eles esperam. caso contrário eles não querem conversar com você.

a partir desta perspectiva realmente parece que os usuários não tem controle sobre seus dados. e que eles possam migrar servidores virtuais entre eles. tudo isto é projetado de forma a se ter data centers ao redor do mundo. que é importante para eles. então desta forma. onde o servidor virtual será colocado. DK: Há alguma outra norma sendo considerada.isso. como a segurança será tratada. GD: Na verdade ão. Claro que tudo isso está dentro de certos padrões com relação aos grandes provedores. Em particular. a indústria financeira considera a PCI DSS. Todos os direitos reservados. e então não manuseiam os dados propriamente ditos? GD: Na maioria dos casos é desta forma sim. Você não tem como saber onde eles estão. uma vez que hoje eles podem estar em Johannesburgo e amanhã talvez em Munique. Adicionalmente. Nós podemos definir uma estrutura. seja autêntica. uma linha de base. Isto é uma nuvem. onde as máquinas virtuais dos usuários estão fisicamente localizadas. ou ela está mais para um obstáculo? Ela pode ser um obstáculo de fato. considerando que esta norma tem um foco em informação? GD: Eu diria que a ISO 27001 não é baseada apenas em informação. entre outros fatores. os quais atendem mais ou menos o mesmo padrão. a informação por si só não pode existir fora de uma infraestrutura. etc. Mas a nuvem é também algo mais. Então eles esperam que com a certificação ISO 27001 nós tratemos aqueles capítulos da PCI DSS que são relevantes para a infraestrutura. mas também em tudo que ajuda a garantir a segurança e transferência desta informação. mas uma vez que somos uma infraestrutura de data center. que vem até nós. que poderia ser uma linha de base para estes compradores em potencial? GD: Não. e caso a PCI DSS fosse considerada. Eles não pedem pela ISO 9001 porque em geral eles assumem que se temos a certificação ISO 27001. mas comparado a outros fornecedores nós faríamos uma distinção. e você não tem influência sobre a estrutura da rede. ao invés de seis. eles estão realmente interessados em seus anexos específicos. quão útil é a ISO 27001 considerando esta tendência. assim como fazemos ente roupas sob medida e roupas manufaturadas de forma industrial. nós não nos aprofundamos em seus dados e transações quando entregamos a infraestrutura. eu diria que a ISO 27001 é o principal requisito. Copyright ©2014 27001Academy. já está incluída. e tudo necessário para fazer com que a informação esteja disponível. e possuem um conjunto padronizado de produtos. DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de infraestrutura. uma vez que são nos servidores deles e em suas cidades. DK: Recentemente. o processo da ISO 27001 encurta a auditoria deles – que passa a durar apenas dois dias. a ISO 9001. 3 . Rackspace ou similares – eles possuem nuvens altamente industrializadas. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes provedores – como a Amazon AWS. etc. a tendência tem sido cada vez mais e mais em direção das estruturas em nuvem. uma vez que organizações utilizando serviços em nuvem na verdade perdem o controle sobre seus dados. DK: Se eu entendi bem o seu negócio. A nuvem também é o que fazemos. tudo não relacionado a infraestrutura está fora do escopo para nós. entra em acordo conosco sobre a estrutura da rede. você primariamente alugam infraestrutura. DK: Então a ISO 27001 é na verdade considerada uma linha de base? GD: Exato. Assim nós fazemos redes sob medida: o usuário. dentro da qual a nuvem estará atuando. De fato. e durante o processo.

Inicialmente. você saberá que possui um segmento de rede completamente separado – que entre você e qualquer um existe um firewall. então esta foi uma grande surpresa. de forma que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta sem controle. é preciso definir regras para este segmento. e agora sabemos como isso funciona no dia a dia do negócio. nós pudemos regulamentar através de processos definidos. e que haveria algum tipo de modelo. ao invés disso nós recebemos “Primeiro identifique o que você precisa” e “O que você quer da ISO em conjunto com o que você precisa?” e nós tivemos que definir nós mesmos como implementar esta necessidade dentro da estrutura fornecida pela norma. A nuvem poupa recursos significativos e torna possível alcançar o mesmo nível de redundância. 4 . Não importa quanto esforço você invista. ao invés disso. porque a visão geral que se tem da ISO e de todas as outras certificações é a de serem uma carga adicional. embora elas talvez não estejam perfeitamente adequadas para a sua operação diária. mas a questão é se a documentação é necessária. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de antes. mas com os benefícios de utilizar uma nuvem. onde tudo está configurado. neste tipo de arranjo nós temos conseguido conciliar segurança e economia. Então acontece de muita disso chegar na primeira etapa da certificação e o auditor perguntar: "Você executa as coisas que estão descritas aqui?" E então você percebe que ninguém normal faria o que está escrito no documento. que ele esta em um cluster.DK: Então. que de fato ajustam a nuvem para necessidades de segurança específicas de seus clientes. DK: OK. DK: Então você teve que começar com o levantamento de riscos? GD: Sim. até concluir tudo. Na verdade. porque se isso não for feito não haverá documentação. Isto significa que nós alinhamos a abordagem com a fato de que o ambiente. agora eu gostaria de falar um pouco sobre suas experiências com a documentação. o servidor virtual continuará a operar em uma infraestrutura completamente diferente e você não precisará comprar 3 ou 4 servidores para este propósito. etc. Contudo. será controlado. procedimentos e políticas? GD: Não foi fácil. Mas. GD: Sim. e nada verdade isso nunca termina. onde o acesso é controlado. pode haver a tendência de aceitar as coisas que já estão escritas nos documentos. e nós tivemos que iniciar com nossa própria visão. Todos os direitos reservados. Mas na verdade este não foi o caso. seguindo algum tipo de processo. e em caso de falhas ou problemas técnicos. É uma batalha contínua. Então é um processo contínuo. O que mais o surpreendeu? O que você obteve que foi inesperado. Nós não recebemos a definição de que a “ISO é isso e aquilo”. em contraste com estes provedores altamente industrializados também existem pequenos provedores. a partir do qual iríamos começar a implementar a norma e ir de ponto a ponto. por outro lado. e a preparação leve seis meses ou mais. de forma que você estará ciente do fato de que poderá compartilhar um servidor físico com outro usuário. em minha opinião. DK: Ok. os documentos podem não estar perfeitamente alinhados com o que você está fazendo. porque você está em constante luta para que tudo seja como deveria ser. Uma vez que seu objetivo é obter a certificação. e o que você esperava e não obteve? GD: A maior surpresa durante a implementação foi que nós pensamos que teríamos simplesmente uma receita de bolo. se ela é útil no final das contas? GD: Esta é outra parte da estória. Copyright ©2014 27001Academy. eu não esperava que a ISO iria nos ajudar a facilitar as operações. o levantamento de riscos e antes disso com uma análise dos nossos próprios processos de negócio para identificar quais eram os riscos. DK: Quão difícil foi instruir sua equipe para escrever documentos. algumas coisas não resolvidas com as quais nós tínhamos que lutar ou adivinhar. ou até superá-lo.

uma vez que nós percebemos rapidamente que a certificação era para nossa vantagem. DK: Como você trata. Eu já tive experiência com uma organização onde um processo formal de aprovação foi estabelecido de tal maneira que alguma coisa tinha que ser impressa em papel em múltiplas cópias. Você deveria tornar os procedimentos mais fáceis e mais eficazes. A outra coisa é que um consultor agrega experiência de trabalhos práticos – em outra analogia com o trânsito: teoricamente. Nossa motivação era o fato de que se nós quiséssemos fazer negócio. e começam a experimentá-la como uma parte do processo e então tudo fica mais fácil. e a documentação é sempre um custo adicional. algo Copyright ©2014 27001Academy. que estão muito ocupadas pela própria natureza do trabalho que fazem? GD: Ninguém deveria ser escravo da formalidade. existe uma necessidade humana de ter tanto trabalho pronto quanto possível em um determinado período de tempo. e a consultoria identifica seus processos de negócio. isto não é importante para você. e neste caso você precisa simplificar a coisa toda. e nós sabemos que esta é a pessoa que assinou e aprovou tal documento. este assunto – uma vez que mesmo que estes documentos sejam necessários. e somente após isso ele iria para um comitê – era um inferno. então nós teremos que excluir muita coisa. que uma organização defina para si mesma o que é bom o suficiente. DK: Qual foi a coisa mais difícil durante a implementação? Houve algo que fez você pensar em desistir? GD: Nós não queríamos desistir de modo algum. Mas novamente. mas por outro lado. É normal isto ser um horror para as pessoas. Por outro lado. Isto significa que você obtém seu certificado ISO sozinho. Existe a possibilidade de que nós venhamos a ter uma documentação da ISO que seja adequada para uma organização muito maior. se você implementa a norma sozinho. onde você tem um consultor que faz tudo para você.” de forma que esta parte foi muito boa. e pode enfatizar coisas que você esqueceu ou exagerou. DK: Quão importante é a ajuda externa? Onde está o ótimo entre dois extremos – de um lado. com um alto grau.E então na próxima verificação tais coisas são minimizadas. Assim as pessoas param de perceber esta etapa como um aborrecimento. A linha divisória não é muito clara e isto torna as coisas mais difíceis. Eu entendo que durante a implementação.” ou “Aqueles três documentos você pode agrupá-los dentro de estruturas operacionais. porque destas doze. Aqui a sua ajuda foi muito bem vinda uma vez que você era orientado a resultados e dizia: “Não pense nisso. existe uma grande chance do resultado ficar muito extenso ou abaixo do nível necessário. e começar a utilizar ferramentas. Você não deveria precisar que doze pessoas lessem e aprovassem algo. Para ser capaz de entender seus processos de negócio é necessário empregar uma grande quantidade de consultores. nós precisaríamos da norma. você obtém sua ISO sozinho. especialmente quando as organizações estão trabalhando sozinhas. Por que alguém precisaria assinar algo em papel se a aprovação através de um sistema de gestão de conteúdo (Content Management System – CMS) é boa o suficiente? Ele nos fornece rastreabilidade. e do outro. Consultorias não obtém certificados ISO. ele entende a norma bem melhor do que você. porque você está ajustando mais e mais os documentos para as suas necessidades. 5 . ser enviado para doze diretores. a ISO 27001 permite. mas se eu não sei que na Croácia a rampa do cruzamento nem sempre desce quando o trem esta passando. com o que iríamos lidar e quão detalhado isso seria. em um nível psicológico. Você obterá seu certificado sozinho ou não o obterá. e este é um outro trabalho por si só. caso cortemos demais e verifiquemos nossa conformidade com as regras da norma. tornando complexas coisas que eram muito mais simples em nossa organização. eles são odiados pelas pessoas que precisam deles. Isto nunca foi uma questão. sem consultores. e que nós não precisamos levá-lo a um cartório para provar a aprovação. Qual foi a parte mais difícil? Eu diria que o mais difícil foi levantar o escopo do sistema. Todos os direitos reservados. pode acontecer de tirarmos algo que era importante. Um consultor é importante em outra área. eu sei como cruzarei uma linha de trem. sem um modelo ou consultor. que precisariam lê-lo e todos os doze diretores teriam que assiná-lo. provavelmente nove não se importarão com isso. porque você ganhou experiência. Qual é o meio termo? GD: A primeira coisa que uma organização precisa fazer é entender esta verdade básica: uma consultoria não obterá o seu certificado.

Eu diria que não é necessário – é agradável. DK: Qual é o papel da consultoria neste caso? Se o consultor não escreve sua documentação. é mais um traço cultural na Croácia – nós adoramos encontrar com uma pessoal pessoalmente para tomarmos café juntos. Todos os direitos reservados. ele precisa estar presente em sua organização? GD: Não. mas para entender como este formulário precisava se parecer e quais tópicos precisavam ser abordados com relação a norma. Nós trabalhamos e ouvimos de repente – O que vocês fizeram? Então demos dois passos para trás e olhamos na direção certa novamente. pode acontecer de você ter que dar dez passos para trás. quais são as três coisas que você recomendaria para organizações de TI que iniciaram o processo de certificação na ISO 27001? Em quais pontos elas devem prestar atenção antes de iniciarem a implementação? Copyright ©2014 27001Academy. Na verdade. Ela é utilizada como uma ferramenta de marketing. ele não precisa. Não pelo conteúdo. reconhecer-se na ISO 27001 é muito mais difícil. É a mesma coisa com consultores: eles sabem a partir de experiência prática o que aconteceu com outros. onde eles encontraram problemas. Então tivemos que escrever uma estória totalmente nova a partir do levantamento de riscos. e após isso a descrição de nosso regulamentos de senhas. onde eles tiveram danos medidos em milhões. Nós tínhamos muitas reuniões on line. Vamos tomar como exemplo a política de senhas.muito ruim pode acontecer. não importando que eu entenda que cada organização possui um mínimo de informações em suas instalações – nós todos temos um mínimo de registros de contabilidade e uma lista de usuários com seus números de telefone – e aqueles também são dados a serem mantidos em segurança. Nós sempre queríamos ter o consultor presente. A certificação ISO 9001 é algo como um sapato que ajusta-se a todos os pés. na minha opinião. é lógico que ela seja menos popular. Os modelos de documento foram de grande ajuda para nós. Cada organização reconhecerá a si mesma na ISO. por outro lado a ISO 9001 é frequentemente mencionada na mídia. como algo muito importante. Mas existem apenas poucas organizações que precisam implementar a ISO 27001 como nós precisávamos. Nós adorávamos encontrar com o consultor em pessoa. e que faz com que você dê dois passos para trás quando sua cabeça está na direção errada. DK: E finalmente. não era essencial tê-lo em nossas instalações porque éramos capazes de ler os documentos em um tela. DK: Por que a certificação ISO 27001 ainda não é tão popular quanto a certificação ISO 9001? GD: Provavelmente devido a necessidades ainda não identificadas. 6 . onde eles superestimaram algumas coisas. a ISO 9001 pode ser implementada muito mais facilmente do que a ISO 27001. e naquele momento nós definimos no documento como nós trabalharíamos com senhas – o texto é provavelmente 70% diferente do modelo que foi utilizado. Por outro lado. mas isto não tem a ver com o trabalho realizado. DK: Apenas para esclarecer – é dever da consultoria escrever a sua documentação ou não? GD: Não. é praticamente certo que o modelo a partir do qual uma política de senha foi escrita não tivesse nada a ver com o que nós fazemos. ou na prática. O próprio fato de que nós sabíamos que tínhamos que escrever como lidar com senhas e que isso precisava ser uma parte específica da documentação nos ajudou. Um terceiro ponto é que. Se você não tem um consultor verificando o que você está fazendo de forma periódica. e ter de começar tudo novamente. Durante a implementação nós fomos diversas vezes na direção errada. e quando você leva em conta que a ISO 27001 é muito mais difícil de implementar do que a ISO 9001. de forma que uma lacuna de segurança ocorreu. Todos poderiam implementá-la. DK: Isto significa que um modelo lhe dá uma estrutura por um lado e a liberdade para escrever o que realmente existe em sua organização pelo outro? GD: Exato. mas ele nem sempre estava aqui. mas não necessário. seja durante a certificação.

7 . seja para a ISO seja para outro projeto que pareça ser mais importante a primeira vista. porque precisam. O benefício da ISO 27001 não é que você vai fazer dinheiro quando o projeto terminar. deve ser mais forte do que outros que diretamente gerem receita. Copyright ©2014 27001Academy. com a ISO 27001 você atinge 95% de todas as entregas. Outra coisa é. e então tudo fica mais fácil. mas quando os certificadores e auditores internos fazem aquelas perguntas estúpidas você descobre que ainda tem vinte coisas a fazer. um pouco antes ou um pouco depois. Todos os direitos reservados. Caso você decida que quer a ISO então o comprometimento da administração deve ser forte. então precisam de um comprometimento absoluto da administração para com a ISO 27001. estes últimos 5%. e se precisam. Este projeto pode se perder rapidamente entre tantos outros na organização. é prestar atenção as pontas soltas. Como qualquer projeto. quão motivados estão para obtê-lo? Isto deve ser feito logo no início.GD: Primeiro elas precisam responder a questão de por que querem um certificado ISO 27001. Você fará isso mesmo quando não perceba os benefícios imediatos. A terceira coisa importante. em minha opinião. Amostras de modelos de documentos Aqui você pode baixar uma právia gratuita do Kit de Documentação da ISO 27001 & ISO 22301 – nesta prévia gratuita você será capaz de ver todos os documentos mandatórios pela ISO 27001. caso decidam que querem tê-la. Então você precisa cruzar a linha de chegada. porque querem. uma vez que durante a discussão haverá frequentemente momentos para se decidir como alocar os recursos entre projetos. e você pensando que havia terminado. Não deve existir nenhum dilema em nenhum momento. considera o suficiente.

Todos os direitos reservados. 10000 Zagreb Fone (para clientes nos E.A): +1 (646) 797 2744 Croatia. Vladimira Nazora 59. União Européia Fax: +385 1 556 0711 Copyright ©2014 27001Academy. 8 Copyright ©2014 27001Academy. Todos os direitos reservados. .U. EPPS Services Ltd. Email: support@iso27001standard.com para negócios eletrônicos e consultoria em negócio Fone: +385 1 48 34 120 UI.