Gestão de projetos ISO 27001: Implementando controles de segurança complexos usando Estrutura Analítica de Projeto (EAP)

O que situações tão diversas quanto a Batalha de Trafalgar (1805), o algoritmo Cooley–Tukey para FFT 1965), e a competição em multimercados têm em comum? Elas são todos exemplos de problemas grandes ou complexos divididos em pedaços menores e mais gerenciáveis para se alcançar uma solução vencedora. Esta é uma estratégia chamada “Dividir e Conquistar”.

Como na guerra, em processamentos de sinais, e competição de Mercado, a segurança da informação também lida com uma situação complexa: proteger a informação e todas as suas formas e em todos os lugares onde é armazenada ou por onde passa. Neste artigo, apresentarei a você um conceito baseado em “dividir e conquistar” que pode ser muito útil, especialmente para organizações grandes, ao se implementar controles de segurança da ISO 27001: A Estrutura Analítica de Projeto (EAP).

O que é uma Estrutura Analítica de Projeto?

Originária de práticas de gerenciamento de projeto, a Estrutura Analítica de Projeto (Work Breakdown Structure – WBS) é definida pelo corpo de conhecimento em gerenciamento de projetos (Project Management Body of Knowledge – PMBoK) como “uma decomposição do trabalho a ser executado pela equipe de forma hierárquica e orientada a entrega”.

Uma entrega é qualquer objeto tangível ou intangível produzido por um projeto que é destinado a ser entregue a um cliente. Exemplos de entregas são um produto, um serviço ou dados. Entregas podem ser decompostas em múltiplas entregas menores, também chamadas de componentes (ex.: partes de um produto, funcionalidades de um serviço ou capítulo de um relatório).

Normalmente, uma EAP é apresentada graficamente na forma de uma árvore de elementos, com a entrega principal no topo, os componentes da entrega no meio, e listas de atividades para produzir as entregas na parte final. Outra forma de apresentar uma EAP é em uma lista endentada. Veja exemplos destas apresentações ao final do artigo.

Em termos de informações, entregas e componentes são especificados em termos de requisitos a serem atendidos, enquanto atividades são especificadas em termos de recursos necessários, tais como tempo, equipamento e custo.

No contexto de controles de segurança da ISO 27001, podemos ter os seguintes exemplos de entregas:

  • Produto: sala segura para um data center
  • Serviço: serviço de monitoramento de tráfego de rede
  • Dados: banco de dados de inventário de ativos
  • Atividade: configurar servidor

Princípios para concepção

Ao usar uma EAP para planejar um controle de segurança, algumas regras deveriam ser seguidas para evitar excesso ou falta de detalhes, uma vez que ambas as situações podem afetar negativamente o esforço de implementação:

  • Focar em resultados, não em ações. Para tornar sua EAP mais entendível e útil, defina tantos elementos quanto possível como resultados a serem atingidos. Além de reduzir o número de ações a serem rastreadas, mais elementos de resultado proveem melhor capacidade de identificar resultados que possam comprometer a força ou desempenho do controle de segurança.
  • Agrupe atividades de forma gerenciável. Evite definir para uma única entrega uma atividade, ou grupo de atividades, que requeira a alocação de muitos recursos. Uma boa dica é limitar o esforço requerido por uma única entrega a menos de 80 horas.
  • Preste atenção ao nível de detalhamento. Embora você possa desenvolver uma EAP com qualquer nível de detalhamento, tente manter a sua entre três e sete níveis, com os níveis maiores de detalhamento dedicados a entregas com alto custo ou alto risco.

Benefícios e problemas de usar uma EAP

Alguns benefícios associados com o desenvolvimento de EAP são:

  • Melhor conhecimento das etapas requeridas. O desenvolvimento da EAP é um esforço de grupo, onde cada pessoa envolvida tem necessidades a serem atendidas para atingir os resultados esperados. Esta situação força todos a trabalhar para esclarecer ambiguidades, estabelecer premissas, e apontar assuntos críticos que podem impactar a performance do controle.
  • Melhora da responsabilização. O nível de detalhe provido por uma EAP torna mais fácil estabelecer responsabilidades pessoais, uma vez que ninguém pode se esconder sob uma “especificação ampla”.
  • Melhora o comprometimento. Como um grupo de trabalho, o desenvolvimento da EAP ajuda a criar um senso de propriedade e de envolvimento com a implementação do controle.

Alguns problemas sobre os quais você deveria estar atento:

  • Esforço requerido. Dependendo do tamanho ou complexidade do controle a ser implementado, o desenvolvimento da EAP pode levar bastante tempo. E quanto mais pessoas envolvidas, maior o esforço envolvido para equilibrar as muitas necessidades e requisitos.
  • Aumento da complexidade. A EAP inicialmente desenvolvida dificilmente permanecerá inalterada. A medida que o desenvolvimento e implementação do controle progride, alguns ajustes podem ser necessários, e o impacto de tais mudanças deve ser avaliado.

EAP aplicada a controles de segurança

Uma vez que nada é melhor do que um bom exemplo, vejamos uma EAP hipotética para implementar controles de segurança em um sistema de informação:

  1. Sistema de Informação
    1. Hardware:
      1. Servidor
      2. Desktop
      3. Móvel
    2. Software:
      1. Sistema Operacional
      2. Aplicação
    3. Rede:
      1. Cabeamento (controle A.11.2.3 – Segurança do Cabeamento)
      2. Comunicação Wireless
      3. Acesso Remoto
      4. Roteadores
        1. Segregação de Rede (controle A.13.1.3 – Segregação de Redes)
          1. Definir perímetros de rede
          2. Definir regras de tráfego de rede
        2. Dados:
          1. Dados do Sistema
          2. Dados do Usuário
          3. Dados da Organização
          4. Classificação da Informação (controle A.8.2.1 – Classificação da informação)
            1. Definir Política de Classificação da Informação
          5. Inventário dos Ativos (controle A.8.1.1 – Inventário dos Ativos)
            1. Definir categorias de ativos
            2. Proprietários dos ativos (controle A.8.1.2 – Proprietário dos ativos)
              1. Definir proprietários dos ativos
              2. Definir responsabilidades dos proprietários
            3. Classificação dos ativos (controle A.8.2.1 – Classificação da informação)
              1. Definir a classificação do sistema de acordo com a maior classificação atribuída a uma informação processada pelo sistema

Aqui está em formato gráfico (ações estão identificadas em negrito itálico):

EAP

Construa fortalezas confiáveis um tijolo de cada vez

A implementação da segurança pode parecer um desafio gigantesco. E realmente é, mas você não precisa enfrentá-lo todo de uma vez. Ao fazer isso um pedaço de cada vez, você pode otimizar o esforço e assegurar que cada pequena parte seja projetada tão forte quanto possível e implementada com todo o cuidado, minimizando a chance de que todos os seus esforços possam ser comprometidos por uma situação que você poderia ter evitado.

Use este Conformio compliance software para guiá-lo através do seu projeto ISO 27001.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001