Como identificar os requisitos de partes interessadas do SGSI na ISO 27001

“Se você não sabe para onde está indo, é improvável que chegue lá”. Esta frase do personagem título do filme Forrest Gump descreve perfeitamente porque muitos projetos falham: falta de requisitos claros.

A definição de requisitos é tão importante que, desde 2012, todas as normas de gestão ISO publicadas, incluindo a ISO 27001, explicitamente requerem que as organizações determinem os requisitos das partes interessadas relevantes ao escopo do sistema de gestão.

Este artigo apresentará uma definição clara de requisitos, e alguns métodos para coleta de informações necessárias para identificá-los em um projeto de implementação Sistema de Gestão de Segurança da Informação (SGSI) baseado na norma ISO 27001.

O que são requisitos?

Falando de forma simples, requisitos são declarações com informações claras sobre o que algo deveria fazer ou como deveria se comportar, usadas para expressar as necessidades e expectativas de alguém de forma que torne mais fácil o entendimento por parte daquelas pessoas que estão tentando atender tais necessidades e expectativas.

Considere alguém que vai a um restaurante almoçar. Sua necessidade (que é explícita) é se alimentar, e sua expectativa (que é implícita) é de que a refeição seja deliciosa. Ao ler o cardápio, ou consultar o garçom, aquela pessoa escolhe um prato; i.e., ela define seus requisitos, fornecendo informações sobre como sua comida deve ser preparada de uma forma que o cozinheiro pode entender (e.g., ingredientes, ponto a carne, bebida, etc.).

Agora, mude este cenário para o contexto da ISO 27001. As pessoas envolvidas com a refeição (o cliente, o garçom e o cozinheiro) seriam as pessoas envolvidas com o SGSI (e.g., cliente, alta direção, fornecedores, etc.), todas chamadas de “partes interessadas”, que também deveriam ser apropriadamente identificadas de acordo com a norma. Para mais informações, veja: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301.

Similar à situação onde o cliente no restaurante tem suas necessidades e expectativas, você poderia ter clientes de um site de comércio eletrônico que:

  • Precisam proteger suas informações
  • Têm a expectativa de não pagar mais por isso

A alta direção deste site de negócio então poderia definir requisitos a serem atendidos em termos de:

  • Níveis de segurança para seus serviços, como “Implementação de controle de acesso no site de comércio eletrônico da organização”
  • Condições para reduzir os custos, tal como “Minimização do tempo de parada de sistemas devido a incidentes relacionados a segurança da informação em yy%”

O requisito sobre implementação de controle de acesso está relacionado a necessidade dos clientes de proteger suas informações, enquanto que o requisite sobre a minimização do tempo de parada de sistemas está relacionada a expectativa deles de não pagar mais por esta proteção, porque com menos tempo de parada, a organização pode ter uma operação mais lucrativa e evitar cobrar mais dos clientes pela segurança adicional.

Outros requisitos relevantes para a implementação do SGSI são aqueles estabelecidos:

Para um SGSI bem-sucedido, a equipe do projeto deve entender tanto os requisitos as partes interessadas quanto da norma e os requisitos legais.

Por que os requisitos são tão importantes?

Requisitos são importantes porque eles influenciam muitos aspectos do SGSI, tais como:

Métodos para identificação de requisitos

Como mencionado anteriormente, a identificação de requisitos começa com a identificação de necessidades e expectativas das partes interessadas, e métodos comumente usados para coleta deste tipo de informações incluem:

Questionários: Um conjunto de questões escritas aplicadas a uma amostra de usuários.

Entrevistas: Uma série de questões feitas pessoalmente para as partes interessadas. Para mais informações veja: Which questions will the ISO 27001 certification auditor ask?

Workshops ou focus groups: Quando você traz representantes de partes interessadas para discutir um assunto em um formato de grupo.

Observação: Simplesmente olhar como as coisas são feitas, quais recursos são usados, por quem, etc.

Estudo de documentação: Revisar a documentação atual do processo e outros documentos relevantes, como requisitos legais e regulatórios, e obrigações contratuais.

Escolhendo métodos de identificação

Quando da escolha de um método de coleta de dados, você deveria considerar estes critérios:

  • Se você precisa de informação de usuários potenciais com diferentes visões do SGSI, um workshop ou focus group seria recomendado.
  • Se você precisa de informação específica e explorar questões de uma parte interessada em particular (e.g., atitudes para com o novo sistema), tal como um usuário chave, ou pessoal da alta direção, você pode usar entrevistas. Se o número de pessoas for muito alto, aplicar um questionário poupará tempo a você (com a desvantagem da perda da interação pessoal). Questões abertas geralmente ajudam a obter informação valiosa para ambos os métodos.
  • Ao usar a observação, você pode obter uma percepção independente sobre o que já existe e o que está faltando. A observação é particularmente boa de se aplicar em ambiente em operação.
  • Ao estudar a documentação você pode aprender sobre procedimentos, regulamentações e normas que devem ser seguidas.

Se você perceber, para cada cenário de coleta de dados existe um método mais apropriado para se aplicar, mas uma combinação de todos eles certamente trará a você uma melhor perspectiva das necessidades e expectativas que podem ser mais tarde traduzidas em requisitos para o seu SGSI.

Um SGSI útil começa com requisitos de partes interessadas bem definidos

A inclusão do requisito de partes interessadas na versão 2013 da ISO 27001 foi uma das maiores melhorias com relação a versão 2005, porque enquanto a avaliação de riscos prove o principal apoio para proteger o escopo do SGSI, entender claramente o que o SGSI deveria fazer e como deveria se comportar  com relação às necessidades e expectativas das partes interessadas é absolutamente crítico para a definição do escopo do sistema, objetivos de segurança, e avaliação de desempenho, e assim assegurar o sucesso da segurança da informação.

Ao se aplicar métodos de coleta de informação apropriados, uma organização pode entender de forma sistemática suas partes interessadas e suas necessidades e expectativas, e traduzi-las em requisitos mensuráveis adequados, com detalhes suficientes de forma que eles possam direcionar a concepção, implementação, operação e melhoria em direção aos resultados desejados com custos e riscos otimizados.

Saiba mais sobre a identificação de requisitos de partes interessadas neste treinamento online gratuito:  ISO 27001 Foundations Online Course.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001