Muitas empresas não têm a necessidade ou a possibilidade de participar do processo de certificação ISO 17799 e da nova série ISO 27000.
O que elas precisam e querem mesmo é utilizar os controles e a experiência acumulados na norma, para diminuir de forma eficiente, possíveis ameaças às informações e assim minimizar seus danos comerciais.
Como todos sabem, existe uma grande euforia causada por pressões de mercado e, muitas vezes, pelos próprios órgãos certificadores pela devida certificação.
Contudo, os motivos para a certificação ISO 17799/ 27000, no caso de TI, já não é tão clara quanto quando se falava em ISO 9000.
A justificativa utilizada hoje gira em torno de que a certificação é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento de riscos. Além disso, é complementada com uma pitada de “terrorismo psicológico” com o cumprimento da Sarbanes-Oxley (SOX).
Não me levem a mal, acredito ser válida a certificação, mas não imperativa já que considero a certificação como uma conseqüência natural de um sistema de gestão da segurança bem implementado, funcionando e aceito por todos os envolvidos.
Por este motivo, é mais importante utilizar a norma como base para o rápido desenvolvimento e implantação de um Information Security Management System (ISMS), ou Sistema de Gerenciamento da Segurança da Informação (as empresas que usam a ISO 17799/ 27000, certificadas ou não, acabam por desenvolver automaticamente um ISMS), que garanta um bom nível de segurança sobre os aspectos do hardware, do software e das pessoas, do que a preocupação com controles, auditorias, declarações de aplicabilidade, documentos e atestados de certificação.
Então, não perca tempo. Adquira e use de imediato a norma ISO/ IEC 17799 ou a 27000 para identificar os pontos de partida para se desenvolver uma gestão de segurança da informação, realista e eficaz, para sua empresa.
No comments:
Post a Comment