Entrevista com Goran Djoreski: Organizações precisam
escrever sua própria documentação da ISO 27001
(Estudo de caso da ISO 27001 para data centers)
Entrevistado por Dejan Košutić em 5 de Setembro de 2013
DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais são
suas impressões? Valeu a pena?
GD: Definitivamente valeu a pena, uma vez que uma certificação ISO 27001 não é
necessariamente uma vantagem competitiva, mas sim uma necessidade. O contexto da estória
toda é que estamos tentando atender mercados sujeitos a regulamentações. Estamos falando da
indústria farmacêutica. Telecomunicações, indústria financeira, e talvez no futuro indústrias de
alimentos e similares, e todos eles são extremamente regulados, e em uma conversa com eles
você descobre que a ISO 27001 é algo que eles esperam, caso contrário eles não querem
conversar com você. Então ninguém diria que vale a pena porque a certificação traz clientes para
nós; ao invés disso, ela nos permite entrar em um mercado que de outro modo estaria fechado
para nós.
DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001; Por que esta norma é
aceita como necessária?
GD: Para eles a ISO 27001 frequentemente não é o bastante. Ela é necessária, mas não
suficiente. Mas com a ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: “Agora nós
podemos começar a conversar.” Se uma empresa tem um certificado ISO 27001, eles assumem
que alguns critérios básicos são atendidos, e após isso, eles estão realmente interessados em
seus anexos específicos. Adicionalmente, o processo da ISO 27001 encurta a auditoria deles –
que passa a durar apenas dois dias, ao invés de seis.
DK: Então a ISO 27001 é na verdade considerada uma linha de base?
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 1 of 9
GD: Exato, uma linha de base.
DK: Há alguma outra norma sendo considerada, que poderia ser uma linha de base para estes
compradores em potencial?
GD: Não, eu diria que a ISO 27001 é o principal requisito. Em particular, a indústria financeira
considera a PCI DSS, mas uma vez que somos uma infraestrutura de data center, nós não nos
aprofundamos em seus dados e transações quando entregamos a infraestrutura, e caso a PCI
DSS fosse considerada, tudo não relacionado a infraestrutura está fora do escopo para nós. Então
eles esperam que com a certificação ISO 27001 nós tratemos aqueles capítulos da PCI DSS que
são relevantes para a infraestrutura. Eles não pedem pela ISO 9001 porque em geral eles
assumem que se temos a certificação ISO 27001, a ISO 9001, que é importante para eles, já está
incluída.
DK: Se eu entendi bem o seu negócio, você primariamente alugam infraestrutura, e então não
manuseiam os dados propriamente ditos?
GD: Na maioria dos casos é desta forma sim.
DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de
infraestrutura, considerando que esta norma tem um foco em informação?
GD: Eu diria que a ISO 27001 não é baseada apenas em informação, mas também em tudo que
ajuda a garantir a segurança e transferência desta informação, e tudo necessário para fazer com
que a informação esteja disponível, seja autêntica, etc. De fato, a informação por si só não pode
existir fora de uma infraestrutura.
DK: Recentemente, a tendência tem sido cada vez mais e mais em direção das estruturas em
nuvem; quão útil é a ISO 27001 considerando esta tendência, ou ela está mais para um
obstáculo? Ela pode ser um obstáculo de fato, uma vez que organizações utilizando serviços em
nuvem na verdade perdem o controle sobre seus dados.
GD: Na verdade ão. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes
provedores – como a Amazon AWS, Rackspace ou similares – eles possuem nuvens altamente
industrializadas, e possuem um conjunto padronizado de produtos, os quais atendem mais ou
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 2 of 9
menos o mesmo padrão; tudo isto é projetado de forma a se ter data centers ao redor do mundo,
e que eles possam migrar servidores virtuais entre eles, então desta forma, a partir desta
perspectiva realmente parece que os usuários não tem controle sobre seus dados. Você não tem
como saber onde eles estão, uma vez que hoje eles podem estar em Johannesburgo e amanhã
talvez em Munique, e você não tem influência sobre a estrutura da rede, etc. Isto é uma nuvem.
Mas a nuvem é também algo mais. A nuvem também é o que fazemos, mas comparado a outros
fornecedores nós faríamos uma distinção, assim como fazemos ente roupas sob medida e roupas
manufaturadas de forma industrial. Assim nós fazemos redes sob medida: o usuário, que vem até
nós, entra em acordo conosco sobre a estrutura da rede, onde o servidor virtual será colocado, e
durante o processo, como a segurança será tratada. Claro que tudo isso está dentro de certos
padrões com relação aos grandes provedores, uma vez que são nos servidores deles e em suas
cidades, entre outros fatores, onde as máquinas virtuais dos usuários estão fisicamente
localizadas. Nós podemos definir uma estrutura, dentro da qual a nuvem estará atuando.
DK: Então, em contraste com estes provedores altamente industrializados também existem
pequenos provedores, que de fato ajustam a nuvem para necessidades de segurança específicas
de seus clientes.
GD: Sim. Na verdade, em minha opinião, neste tipo de arranjo nós temos conseguido conciliar
segurança e economia. A nuvem poupa recursos significativos e torna possível alcançar o mesmo
nível de redundância, ou até superá-lo, e em caso de falhas ou problemas técnicos, o servidor
virtual continuará a operar em uma infraestrutura completamente diferente e você não precisará
comprar 3 ou 4 servidores para este propósito. Isto significa que nós alinhamos a abordagem com
a fato de que o ambiente, onde tudo está configurado, será controlado, de forma que você estará
ciente do fato de que poderá compartilhar um servidor físico com outro usuário. Mas, por outro
lado, você saberá que possui um segmento de rede completamente separado – que entre você e
qualquer um existe um firewall, que ele esta em um cluster, onde o acesso é controlado, de forma
que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta
sem controle, etc. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de
antes, mas com os benefícios de utilizar uma nuvem.
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 3 of 9
DK: OK, agora eu gostaria de falar um pouco sobre suas experiências com a documentação. O
que mais o surpreendeu? O que você obteve que foi inesperado, e o que você esperava e não
obteve?
GD: A maior surpresa durante a implementação foi que nós pensamos que teríamos
simplesmente uma receita de bolo, e que haveria algum tipo de modelo, a partir do qual iríamos
começar a implementar a norma e ir de ponto a ponto, seguindo algum tipo de processo, até
concluir tudo. Mas na verdade este não foi o caso, e nós tivemos que iniciar com nossa própria
visão, então esta foi uma grande surpresa. Nós não recebemos a definição de que a “ISO é isso e
aquilo”; ao invés disso nós recebemos “Primeiro identifique o que você precisa” e “O que você
quer da ISO em conjunto com o que você precisa?” e nós tivemos que definir nós mesmos como
implementar esta necessidade dentro da estrutura fornecida pela norma.
DK: Então você teve que começar com o levantamento de riscos?
GD: Sim, o levantamento de riscos e antes disso com uma análise dos nossos próprios processos
de negócio para identificar quais eram os riscos. Contudo, eu não esperava que a ISO iria nos
ajudar a facilitar as operações, porque a visão geral que se tem da ISO e de todas as outras
certificações é a de serem uma carga adicional; ao invés disso, algumas coisas não resolvidas
com as quais nós tínhamos que lutar ou adivinhar, nós pudemos regulamentar através de
processos definidos, e agora sabemos como isso funciona no dia a dia do negócio.
DK: Quão difícil foi instruir sua equipe para escrever documentos, procedimentos e políticas?
GD: Não foi fácil, e nada verdade isso nunca termina. É uma batalha contínua. Inicialmente, é
preciso definir regras para este segmento, porque se isso não for feito não haverá documentação.
Então é um processo contínuo, porque você está em constante luta para que tudo seja como
deveria ser.
DK: Ok, mas a questão é se a documentação é necessária, se ela é útil no final das contas?
GD: Esta é outra parte da estória. Não importa quanto esforço você invista, e a preparação leve
seis meses ou mais, os documentos podem não estar perfeitamente alinhados com o que você
está fazendo. Uma vez que seu objetivo é obter a certificação, pode haver a tendência de aceitar
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 4 of 9
as coisas que já estão escritas nos documentos, embora elas talvez não estejam perfeitamente
adequadas para a sua operação diária. Então acontece de muita disso chegar na primeira etapa
da certificação e o auditor perguntar: "Você executa as coisas que estão descritas aqui?" E então
você percebe que ninguém normal faria o que está escrito no documento.
E então na próxima verificação tais coisas são minimizadas, porque você está ajustando mais e
mais os documentos para as suas necessidades, porque você ganhou experiência. Mas
novamente, existe uma necessidade humana de ter tanto trabalho pronto quanto possível em um
determinado período de tempo, e a documentação é sempre um custo adicional.
DK: Como você trata, em um nível psicológico, este assunto – uma vez que mesmo que estes
documentos sejam necessários, eles são odiados pelas pessoas que precisam deles, que estão
muito ocupadas pela própria natureza do trabalho que fazem?
GD: Ninguém deveria ser escravo da formalidade. Eu já tive experiência com uma organização
onde um processo formal de aprovação foi estabelecido de tal maneira que alguma coisa tinha
que ser impressa em papel em múltiplas cópias, ser enviado para doze diretores, que precisariam
lê-lo e todos os doze diretores teriam que assiná-lo, e somente após isso ele iria para um comitê –
era um inferno. É normal isto ser um horror para as pessoas. Por outro lado, a ISO 27001 permite,
com um alto grau, que uma organização defina para si mesma o que é bom o suficiente, e neste
caso você precisa simplificar a coisa toda. Você não deveria precisar que doze pessoas lessem e
aprovassem algo, porque destas doze, provavelmente nove não se importarão com isso. Você
deveria tornar os procedimentos mais fáceis e mais eficazes, e começar a utilizar ferramentas. Por
que alguém precisaria assinar algo em papel se a aprovação através de um sistema de gestão de
conteúdo (Content Management System – CMS) é boa o suficiente? Ele nos fornece
rastreabilidade, e nós sabemos que esta é a pessoa que assinou e aprovou tal documento, e que
nós não precisamos levá-lo a um cartório para provar a aprovação. Assim as pessoas param de
perceber esta etapa como um aborrecimento, e começam a experimentá-la como uma parte do
processo e então tudo fica mais fácil.
DK: Qual foi a coisa mais difícil durante a implementação? Houve algo que fez você pensar em
desistir?
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 5 of 9
GD: Nós não queríamos desistir de modo algum, uma vez que nós percebemos rapidamente que
a certificação era para nossa vantagem. Nossa motivação era o fato de que se nós quiséssemos
fazer negócio, nós precisaríamos da norma. Isto nunca foi uma questão. Qual foi a parte mais
difícil? Eu diria que o mais difícil foi levantar o escopo do sistema, com o que iríamos lidar e quão
detalhado isso seria. Existe a possibilidade de que nós venhamos a ter uma documentação da
ISO que seja adequada para uma organização muito maior, tornando complexas coisas que eram
muito mais simples em nossa organização, então nós teremos que excluir muita coisa, mas por
outro lado, caso cortemos demais e verifiquemos nossa conformidade com as regras da norma,
pode acontecer de tirarmos algo que era importante. Aqui a sua ajuda foi muito bem vinda uma
vez que você era orientado a resultados e dizia: “Não pense nisso, isto não é importante para
você,” ou “Aqueles três documentos você pode agrupá-los dentro de estruturas operacionais,” de
forma que esta parte foi muito boa. Eu entendo que durante a implementação, especialmente
quando as organizações estão trabalhando sozinhas, existe uma grande chance do resultado ficar
muito extenso ou abaixo do nível necessário. A linha divisória não é muito clara e isto torna as
coisas mais difíceis.
DK: Quão importante é a ajuda externa? Onde está o ótimo entre dois extremos – de um lado, se
você implementa a norma sozinho, sem um modelo ou consultor, e do outro, onde você tem um
consultor que faz tudo para você. Qual é o meio termo?
GD: A primeira coisa que uma organização precisa fazer é entender esta verdade básica: uma
consultoria não obterá o seu certificado. Você obterá seu certificado sozinho ou não o obterá.
Consultorias não obtém certificados ISO; você obtém sua ISO sozinho, e a consultoria identifica
seus processos de negócio. Para ser capaz de entender seus processos de negócio é necessário
empregar uma grande quantidade de consultores, e este é um outro trabalho por si só. Isto
significa que você obtém seu certificado ISO sozinho, sem consultores. Um consultor é importante
em outra área, ele entende a norma bem melhor do que você, e pode enfatizar coisas que você
esqueceu ou exagerou. A outra coisa é que um consultor agrega experiência de trabalhos práticos
– em outra analogia com o trânsito: teoricamente, eu sei como cruzarei uma linha de trem, mas se
eu não sei que na Croácia a rampa do cruzamento nem sempre desce quando o trem esta
passando, algo muito ruim pode acontecer. É a mesma coisa com consultores: eles sabem a partir
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 6 of 9
de experiência prática o que aconteceu com outros, onde eles encontraram problemas, seja
durante a certificação, ou na prática, onde eles superestimaram algumas coisas, de forma que
uma lacuna de segurança ocorreu, onde eles tiveram danos medidos em milhões. Durante a
implementação nós fomos diversas vezes na direção errada. Nós trabalhamos e ouvimos de
repente – O que vocês fizeram? Então demos dois passos para trás e olhamos na direção certa
novamente. Se você não tem um consultor verificando o que você está fazendo de forma
periódica, e que faz com que você dê dois passos para trás quando sua cabeça está na direção
errada, pode acontecer de você ter que dar dez passos para trás, e ter de começar tudo
novamente.
DK: Apenas para esclarecer – é dever da consultoria escrever a sua documentação ou não?
GD: Não. Os modelos de documento foram de grande ajuda para nós. Não pelo conteúdo, mas
para entender como este formulário precisava se parecer e quais tópicos precisavam ser
abordados com relação a norma. Vamos tomar como exemplo a política de senhas; é
praticamente certo que o modelo a partir do qual uma política de senha foi escrita não tivesse
nada a ver com o que nós fazemos. Então tivemos que escrever uma estória totalmente nova a
partir do levantamento de riscos, e após isso a descrição de nosso regulamentos de senhas, e
naquele momento nós definimos no documento como nós trabalharíamos com senhas – o texto é
provavelmente 70% diferente do modelo que foi utilizado. O próprio fato de que nós sabíamos que
tínhamos que escrever como lidar com senhas e que isso precisava ser uma parte específica da
documentação nos ajudou.
DK: Isto significa que um modelo lhe dá uma estrutura por um lado e a liberdade para escrever o
que realmente existe em sua organização pelo outro?
GD: Exato.
DK: Qual é o papel da consultoria neste caso? Se o consultor não escreve sua documentação, ele
precisa estar presente em sua organização?
GD: Não, ele não precisa. Nós sempre queríamos ter o consultor presente, mas ele nem sempre
estava aqui. Nós tínhamos muitas reuniões on line. Nós adorávamos encontrar com o consultor
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 7 of 9
em pessoa, mas isto não tem a ver com o trabalho realizado, é mais um traço cultural na Croácia
– nós adoramos encontrar com uma pessoal pessoalmente para tomarmos café juntos. Na
verdade, não era essencial tê-lo em nossas instalações porque éramos capazes de ler os
documentos em um tela. Eu diria que não é necessário – é agradável, mas não necessário.
DK: Por que a certificação ISO 27001 ainda não é tão popular quanto a certificação ISO 9001?
GD: Provavelmente devido a necessidades ainda não identificadas. A certificação ISO 9001 é algo
como um sapato que ajusta-se a todos os pés. Cada organização reconhecerá a si mesma na
ISO, por outro lado a ISO 9001 é frequentemente mencionada na mídia. Ela é utilizada como uma
ferramenta de marketing, como algo muito importante. Um terceiro ponto é que, na minha opinião,
a ISO 9001 pode ser implementada muito mais facilmente do que a ISO 27001. Por outro lado,
reconhecer-se na ISO 27001 é muito mais difícil, não importando que eu entenda que cada
organização possui um mínimo de informações em suas instalações – nós todos temos um
mínimo de registros de contabilidade e uma lista de usuários com seus números de telefone – e
aqueles também são dados a serem mantidos em segurança. Todos poderiam implementá-la.
Mas existem apenas poucas organizações que precisam implementar a ISO 27001 como nós
precisávamos, e quando você leva em conta que a ISO 27001 é muito mais difícil de implementar
do que a ISO 9001, é lógico que ela seja menos popular.
DK: E finalmente, quais são as três coisas que você recomendaria para organizações de TI que
iniciaram o processo de certificação na ISO 27001? Em quais pontos elas devem prestar atenção
antes de iniciarem a implementação?
GD: Primeiro elas precisam responder a questão de por que querem um certificado ISO 27001,
porque querem, porque precisam, e se precisam, quão motivados estão para obtê-lo? Isto deve
ser feito logo no início, um pouco antes ou um pouco depois. Outra coisa é, caso decidam que
querem tê-la, então precisam de um comprometimento absoluto da administração para com a ISO
27001. Não deve existir nenhum dilema em nenhum momento, uma vez que durante a discussão
haverá frequentemente momentos para se decidir como alocar os recursos entre projetos, seja
para a ISO seja para outro projeto que pareça ser mais importante a primeira vista. O benefício da
ISO 27001 não é que você vai fazer dinheiro quando o projeto terminar. Você fará isso mesmo
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 8 of 9
quando não perceba os benefícios imediatos. Este projeto pode se perder rapidamente entre
tantos outros na organização. Caso você decida que quer a ISO então o comprometimento da
administração deve ser forte, deve ser mais forte do que outros que diretamente gerem receita. A
terceira coisa importante, em minha opinião, é prestar atenção as pontas soltas. Como qualquer
projeto, com a ISO 27001 você atinge 95% de todas as entregas, considera o suficiente, mas
quando os certificadores e auditores internos fazem aquelas perguntas estúpidas você descobre
que ainda tem vinte coisas a fazer, e você pensando que havia terminado. Então você precisa
cruzar a linha de chegada, estes últimos 5%, e então tudo fica mais fácil.
Goran Djoreski é CEO do Data Center independente Altus Information Technology. Anteriormente
ele trabalhou por 12 anos na indústria financeira, empregado na Card business development,
assim como na segurança de pagamentos com cartões de crédito.
Amostras de modelos de documentos
Aqui você pode baixar uma právia gratuita do Kit de Documentação da ISO 27001 & ISO 22301 –
nesta prévia gratuita você será capaz de ver todos os documentos mandatórios pela ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Page 9 of 9