Rhand Leal
outubro 21, 2015
O que situações tão diversas quanto a Batalha de Trafalgar (1805), o algoritmo Cooley–Tukey para FFT 1965), e a competição em multimercados têm em comum? Elas são todos exemplos de problemas grandes ou complexos divididos em pedaços menores e mais gerenciáveis para se alcançar uma solução vencedora. Esta é uma estratégia chamada “Dividir e Conquistar”.
Como na guerra, em processamentos de sinais, e competição de Mercado, a segurança da informação também lida com uma situação complexa: proteger a informação e todas as suas formas e em todos os lugares onde é armazenada ou por onde passa. Neste artigo, apresentarei a você um conceito baseado em “dividir e conquistar” que pode ser muito útil, especialmente para organizações grandes, ao se implementar controles de segurança da ISO 27001: A Estrutura Analítica de Projeto (EAP).
Originária de práticas de gerenciamento de projeto, a Estrutura Analítica de Projeto (Work Breakdown Structure – WBS) é definida pelo corpo de conhecimento em gerenciamento de projetos (Project Management Body of Knowledge – PMBoK) como “uma decomposição do trabalho a ser executado pela equipe de forma hierárquica e orientada a entrega”.
Uma entrega é qualquer objeto tangível ou intangível produzido por um projeto que é destinado a ser entregue a um cliente. Exemplos de entregas são um produto, um serviço ou dados. Entregas podem ser decompostas em múltiplas entregas menores, também chamadas de componentes (ex.: partes de um produto, funcionalidades de um serviço ou capítulo de um relatório).
Normalmente, uma EAP é apresentada graficamente na forma de uma árvore de elementos, com a entrega principal no topo, os componentes da entrega no meio, e listas de atividades para produzir as entregas na parte final. Outra forma de apresentar uma EAP é em uma lista endentada. Veja exemplos destas apresentações ao final do artigo.
Em termos de informações, entregas e componentes são especificados em termos de requisitos a serem atendidos, enquanto atividades são especificadas em termos de recursos necessários, tais como tempo, equipamento e custo.
No contexto de controles de segurança da ISO 27001, podemos ter os seguintes exemplos de entregas:
Ao usar uma EAP para planejar um controle de segurança, algumas regras deveriam ser seguidas para evitar excesso ou falta de detalhes, uma vez que ambas as situações podem afetar negativamente o esforço de implementação:
Alguns benefícios associados com o desenvolvimento de EAP são:
Alguns problemas sobre os quais você deveria estar atento:
Uma vez que nada é melhor do que um bom exemplo, vejamos uma EAP hipotética para implementar controles de segurança em um sistema de informação:
Aqui está em formato gráfico (ações estão identificadas em negrito itálico):
A implementação da segurança pode parecer um desafio gigantesco. E realmente é, mas você não precisa enfrentá-lo todo de uma vez. Ao fazer isso um pedaço de cada vez, você pode otimizar o esforço e assegurar que cada pequena parte seja projetada tão forte quanto possível e implementada com todo o cuidado, minimizando a chance de que todos os seus esforços possam ser comprometidos por uma situação que você poderia ter evitado.
Use este Conformio compliance software para guiá-lo através do seu projeto ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.