Rhand Leal
fevereiro 13, 2017
“Se você não sabe para onde está indo, é improvável que chegue lá”. Esta frase do personagem título do filme Forrest Gump descreve perfeitamente porque muitos projetos falham: falta de requisitos claros.
A definição de requisitos é tão importante que, desde 2012, todas as normas de gestão ISO publicadas, incluindo a ISO 27001, explicitamente requerem que as organizações determinem os requisitos das partes interessadas relevantes ao escopo do sistema de gestão.
Este artigo apresentará uma definição clara de requisitos, e alguns métodos para coleta de informações necessárias para identificá-los em um projeto de implementação Sistema de Gestão de Segurança da Informação (SGSI) baseado na norma ISO 27001.
Falando de forma simples, requisitos são declarações com informações claras sobre o que algo deveria fazer ou como deveria se comportar, usadas para expressar as necessidades e expectativas de alguém de forma que torne mais fácil o entendimento por parte daquelas pessoas que estão tentando atender tais necessidades e expectativas.
Considere alguém que vai a um restaurante almoçar. Sua necessidade (que é explícita) é se alimentar, e sua expectativa (que é implícita) é de que a refeição seja deliciosa. Ao ler o cardápio, ou consultar o garçom, aquela pessoa escolhe um prato; i.e., ela define seus requisitos, fornecendo informações sobre como sua comida deve ser preparada de uma forma que o cozinheiro pode entender (e.g., ingredientes, ponto a carne, bebida, etc.).
Agora, mude este cenário para o contexto da ISO 27001. As pessoas envolvidas com a refeição (o cliente, o garçom e o cozinheiro) seriam as pessoas envolvidas com o SGSI (e.g., cliente, alta direção, fornecedores, etc.), todas chamadas de “partes interessadas”, que também deveriam ser apropriadamente identificadas de acordo com a norma. Para mais informações, veja: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301.
Similar à situação onde o cliente no restaurante tem suas necessidades e expectativas, você poderia ter clientes de um site de comércio eletrônico que:
A alta direção deste site de negócio então poderia definir requisitos a serem atendidos em termos de:
O requisito sobre implementação de controle de acesso está relacionado a necessidade dos clientes de proteger suas informações, enquanto que o requisite sobre a minimização do tempo de parada de sistemas está relacionada a expectativa deles de não pagar mais por esta proteção, porque com menos tempo de parada, a organização pode ter uma operação mais lucrativa e evitar cobrar mais dos clientes pela segurança adicional.
Outros requisitos relevantes para a implementação do SGSI são aqueles estabelecidos:
Para um SGSI bem-sucedido, a equipe do projeto deve entender tanto os requisitos as partes interessadas quanto da norma e os requisitos legais.
Requisitos são importantes porque eles influenciam muitos aspectos do SGSI, tais como:
Como mencionado anteriormente, a identificação de requisitos começa com a identificação de necessidades e expectativas das partes interessadas, e métodos comumente usados para coleta deste tipo de informações incluem:
Questionários: Um conjunto de questões escritas aplicadas a uma amostra de usuários.
Entrevistas: Uma série de questões feitas pessoalmente para as partes interessadas. Para mais informações veja: Which questions will the ISO 27001 certification auditor ask?
Workshops ou focus groups: Quando você traz representantes de partes interessadas para discutir um assunto em um formato de grupo.
Observação: Simplesmente olhar como as coisas são feitas, quais recursos são usados, por quem, etc.
Estudo de documentação: Revisar a documentação atual do processo e outros documentos relevantes, como requisitos legais e regulatórios, e obrigações contratuais.
Quando da escolha de um método de coleta de dados, você deveria considerar estes critérios:
Se você perceber, para cada cenário de coleta de dados existe um método mais apropriado para se aplicar, mas uma combinação de todos eles certamente trará a você uma melhor perspectiva das necessidades e expectativas que podem ser mais tarde traduzidas em requisitos para o seu SGSI.
A inclusão do requisito de partes interessadas na versão 2013 da ISO 27001 foi uma das maiores melhorias com relação a versão 2005, porque enquanto a avaliação de riscos prove o principal apoio para proteger o escopo do SGSI, entender claramente o que o SGSI deveria fazer e como deveria se comportar com relação às necessidades e expectativas das partes interessadas é absolutamente crítico para a definição do escopo do sistema, objetivos de segurança, e avaliação de desempenho, e assim assegurar o sucesso da segurança da informação.
Ao se aplicar métodos de coleta de informação apropriados, uma organização pode entender de forma sistemática suas partes interessadas e suas necessidades e expectativas, e traduzi-las em requisitos mensuráveis adequados, com detalhes suficientes de forma que eles possam direcionar a concepção, implementação, operação e melhoria em direção aos resultados desejados com custos e riscos otimizados.
Saiba mais sobre a identificação de requisitos de partes interessadas neste treinamento online gratuito: ISO 27001 Foundations Online Course.