• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301

    Uma das questões mais interessantes nestes dias está relacionada a cláusula 4.2 tanto na ISO 27001 quanto na ISO 22301O entendimento das necessidades e expectativas das partes interessadas. Na verdade, a identificação deles não é tão complicada, e provê entradas cruciais para o desenvolvimento de seu sistema de gestão de segurança da informação (SGSI) ou sistema de gestão de continuidade do negócio (SGCN).

    Quem são as partes interessadas?

    Vamos começar com o entendimento do que são partes interessadas – eles são nada mais do que os “stakeholders”, i.e., pessoas ou organizações que podem influenciar a sua segurança da informação / continuidade do negócio, ou pessoas ou organizações que podem ser afetadas pelas atividades da sua segurança da informação ou da sua continuidade do negócio.

    Então, tipicamente, as partes interessadas poderiam incluir:

    • empregados
    • acionistas / donos do negócio
    • agências governamentais / reguladores
    • serviços de emergência (e.g., bombeiros, polícia, ambulâncias, etc.)
    • clientes
    • familiares de empregados
    • mídia
    • fornecedores e parceiros

    … e, claro, qualquer um que você considere importante para o seu negócio.

    Como você pode identificá-los? Simplesmente pergunte aos seus altos executivos, assim como aos chefes de departamento sobre quem é importante para os negócios deles, e então avalie se eles poderiam estar interessados em sua segurança da informação ou continuidade do negócio. Da mesma forma, há chance de que na documentação existente (e.g., planos de negócio) está informação já esteja disponível.

    Por que estas partes interessadas são importantes?

    A identificação de partes interessadas não é tão importante quanto o segundo passo: identificação de seus requisitos. Eis porque isto é importante: você precisa saber o que todas as partes interessadas querem de você, e você precisa imaginar como satisfazer todos estes requisitos em seu SGSI / SGCN.

    Por exemplo, acionistas querem a segurança de seus investimentos e um bom retorno, clientes querem que você atenda as cláusulas de segurança estabelecidas nos contratos que assinou com eles, agências governamentais querem que você atenda às leis e regulamentações relacionadas a segurança da informação / continuidade do negócio, a mídia quer notícias rápidas e precisas relacionadas aos seus incidentes, etc. Contudo, você tem que ser mais específico do que isso – você tem que especificar exatamente quais leis e regulamentações, quais cláusulas contratuais existem nos contratos, e assim por diante.

    A melhor forma de coletar esta informação é estudar seus requisitos escritos (legislação, contratos, etc.) e/ou entrevistar seus representantes. (Aqui você encontrará uma lista de leis e regulamentações sobre segurança da informação e continuidade de negócio. )

    Uma vez que você tenha todas estas informações, você precisará “configurar”sua segurança da informação ou continuidade de negócio para estar em conformidade com as expectativas de suas partes interessadas – isto significa que você terá que identificar os requisitos antes de iniciar o desenvolvimento dos detalhes de seu SGSI ou SGCN.

    Como isto é feito?

    A boa prática é escrever um procedimento que defina quem está no encarregado de identificar todas as partes interessadas e seus requisitos legais, regulatórios, contratuais, entre outros requisitos e interesses; tal procedimento também precisa definir quem está encarregado de atualizar estas informações e com que frequência isto será feito.

    Caso você trabalhe em uma grande organização, tais organizações geralmente possuem departamentos ou escritórios de conformidade – eles seriam o departamento/pessoa mais natural para realizar este tipo de trabalho. No caso de não haver tal departamento / escritório, você pode tentar negociar se o seu deparamento legal poderia fazer este trabalho – caso eles não possam, então você, o coordenador de segurança da informação ou de continuidade do negócio, terá que fazê-lo você mesmo.

    Uma vez que os requisitos estejam claramente identificados, você precisa definir quem está encarregado de assegurar a conformidade com eles – estas responsabilidades podem ser muito diferentes: o departamento de TI estariam encarregados da conformidade com requisitos técnicos, o deparamento de recursos humanos, por exemplo, estaria encarregado da conformidade com declarações de confidencialidade, o coordenador de segurança da informações encarregado da conformidade com novas políticas e procedimentos, etc.

    Desta forma, o ponto é – se você não identificou todas estas partes interessadas e seus requisitos, você estaria em perigo de ficar abaixo das expectativas deles. E não satisfazer suas partes interessadas, ou uma agência governamental, pode ser algo bem perigoso.

    Veja aqui um exemplo de Procedimento para Identificação de Requisitos.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.