{"id":10848,"date":"2017-02-13T09:46:14","date_gmt":"2017-02-13T09:46:14","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=10848"},"modified":"2022-12-29T09:04:43","modified_gmt":"2022-12-29T09:04:43","slug":"como-identificar-os-requisitos-de-partes-interessadas-do-sgsi-na-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2017\/02\/13\/como-identificar-os-requisitos-de-partes-interessadas-do-sgsi-na-iso-27001\/","title":{"rendered":"Como identificar os requisitos de partes interessadas do SGSI na ISO 27001"},"content":{"rendered":"<p><em>\u201cSe voc\u00ea n\u00e3o sabe para onde est\u00e1 indo, \u00e9 improv\u00e1vel que chegue l\u00e1\u201d<\/em>. Esta frase do personagem t\u00edtulo do filme Forrest Gump descreve perfeitamente porque muitos projetos falham: falta de requisitos claros.<\/p>\n<p>A defini\u00e7\u00e3o de requisitos \u00e9 t\u00e3o importante que, desde 2012, todas as normas de gest\u00e3o ISO publicadas, incluindo a ISO 27001, explicitamente requerem que as organiza\u00e7\u00f5es determinem os requisitos das partes interessadas relevantes ao escopo do sistema de gest\u00e3o.<\/p>\n<p>Este artigo apresentar\u00e1 uma defini\u00e7\u00e3o clara de requisitos, e alguns m\u00e9todos para coleta de informa\u00e7\u00f5es necess\u00e1rias para identific\u00e1-los em um projeto de implementa\u00e7\u00e3o Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) baseado na norma <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>.<\/p>\n<h2>O que s\u00e3o requisitos?<\/h2>\n<p>Falando de forma simples, requisitos s\u00e3o declara\u00e7\u00f5es com informa\u00e7\u00f5es claras sobre o que algo deveria fazer ou como deveria se comportar, usadas para expressar as necessidades e expectativas de algu\u00e9m de forma que torne mais f\u00e1cil o entendimento por parte daquelas pessoas que est\u00e3o tentando atender tais necessidades e expectativas.<\/p>\n<p>Considere algu\u00e9m que vai a um restaurante almo\u00e7ar. Sua necessidade (que \u00e9 expl\u00edcita) \u00e9 se alimentar, e sua expectativa (que \u00e9 impl\u00edcita) \u00e9 de que a refei\u00e7\u00e3o seja deliciosa. Ao ler o card\u00e1pio, ou consultar o gar\u00e7om, aquela pessoa escolhe um prato; i.e., ela define seus requisitos, fornecendo informa\u00e7\u00f5es sobre como sua comida deve ser preparada de uma forma que o cozinheiro pode entender (e.g., ingredientes, ponto a carne, bebida, etc.).<\/p>\n<p>Agora, mude este cen\u00e1rio para o contexto da ISO 27001. As pessoas envolvidas com a refei\u00e7\u00e3o (o cliente, o gar\u00e7om e o cozinheiro) seriam as pessoas envolvidas com o SGSI (e.g., cliente, alta dire\u00e7\u00e3o, fornecedores, etc.), todas chamadas de \u201cpartes interessadas\u201d, que tamb\u00e9m deveriam ser apropriadamente identificadas de acordo com a norma. Para mais informa\u00e7\u00f5es, veja: <a href=\"\/27001academy\/pt-br\/knowledgebase\/como-identificar-partes-interessadas-de-acordo-com-a-iso-27001-e-iso-22301\/\">Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301<\/a>.<\/p>\n<p>Similar \u00e0 situa\u00e7\u00e3o onde o cliente no restaurante tem suas necessidades e expectativas, voc\u00ea poderia ter clientes de um site de com\u00e9rcio eletr\u00f4nico que:<\/p>\n<ul>\n<li>Precisam proteger suas informa\u00e7\u00f5es<\/li>\n<li>T\u00eam a expectativa de n\u00e3o pagar mais por isso<\/li>\n<\/ul>\n<p>A alta dire\u00e7\u00e3o deste site de neg\u00f3cio ent\u00e3o poderia definir requisitos a serem atendidos em termos de:<\/p>\n<ul>\n<li>N\u00edveis de seguran\u00e7a para seus servi\u00e7os, como \u201cImplementa\u00e7\u00e3o de controle de acesso no site de com\u00e9rcio eletr\u00f4nico da organiza\u00e7\u00e3o\u201d<\/li>\n<li>Condi\u00e7\u00f5es para reduzir os custos, tal como \u201cMinimiza\u00e7\u00e3o do tempo de parada de sistemas devido a incidentes relacionados a seguran\u00e7a da informa\u00e7\u00e3o em yy%\u201d<\/li>\n<\/ul>\n<p>O requisito sobre implementa\u00e7\u00e3o de controle de acesso est\u00e1 relacionado a necessidade dos clientes de proteger suas informa\u00e7\u00f5es, enquanto que o requisite sobre a minimiza\u00e7\u00e3o do tempo de parada de sistemas est\u00e1 relacionada a expectativa deles de n\u00e3o pagar mais por esta prote\u00e7\u00e3o, porque com menos tempo de parada, a organiza\u00e7\u00e3o pode ter uma opera\u00e7\u00e3o mais lucrativa e evitar cobrar mais dos clientes pela seguran\u00e7a adicional.<\/p>\n<p>Outros requisitos relevantes para a implementa\u00e7\u00e3o do SGSI s\u00e3o aqueles estabelecidos:<\/p>\n<ul>\n<li><strong>Pela pr\u00f3pria norma.<\/strong> Estes s\u00e3o mais simples de se identificar (todas as declara\u00e7\u00f5es que cont\u00eam a paravra \u201cdeve\u201d s\u00e3o requisitos). Para mais informa\u00e7\u00e3o, veja esta <a href=\"\/27001academy\/pt-br\/knowledgebase\/lista-de-documentos-obrigatorios-requeridos-pela-iso-27001-revisao-de-2013\/\">Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>.<\/li>\n<li><strong>Requisitos legais.<\/strong> Para mais informa\u00e7\u00f5es, veja: <a href=\"https:\/\/advisera.com\/27001academy\/knowledgebase\/laws-regulations-information-security-business-continuity\/\" target=\"_blank\" rel=\"noopener noreferrer\">Laws and regulations on information security and business continuity<\/a>.<\/li>\n<\/ul>\n<p>Para um SGSI bem-sucedido, a equipe do projeto deve entender tanto os requisitos as partes interessadas quanto da norma e os requisitos legais.<\/p>\n<h2>Por que os requisitos s\u00e3o t\u00e3o importantes?<\/h2>\n<p>Requisitos s\u00e3o importantes porque eles influenciam muitos aspectos do SGSI, tais como:<\/p>\n<ul>\n<li><strong>Escopo do SGSI.<\/strong> Para mais informa\u00e7\u00f5es, veja: <a href=\"\/27001academy\/pt-br\/knowledgebase\/como-definir-o-escopo-do-sgsi\/\">Como definir o escopo do SGSI<\/a>.<\/li>\n<li><strong>Objetivos de seguran\u00e7a a serem definidos e <\/strong><a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/plano-de-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener noreferrer\">controles a serem implementados<\/a><strong>.<\/strong> Para mais informa\u00e7\u00f5es, veja: <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2012\/04\/10\/iso-27001-control-objectives-why-are-they-important\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 control objectives \u2013 Why are they important?<\/a><\/li>\n<li><strong>Como o desempenho deveria ser avaliado.<\/strong> Para mais informa\u00e7\u00f5es, veja: <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/06\/10\/como-realizar-monitoramento-e-medicao-na-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">Como realizar monitoramento e medi\u00e7\u00e3o na ISO 27001<\/a>.<\/li>\n<\/ul>\n<h2>M\u00e9todos para identifica\u00e7\u00e3o de requisitos<\/h2>\n<p>Como mencionado anteriormente, a identifica\u00e7\u00e3o de requisitos come\u00e7a com a identifica\u00e7\u00e3o de necessidades e expectativas das partes interessadas, e m\u00e9todos comumente usados para coleta deste tipo de informa\u00e7\u00f5es incluem:<\/p>\n<p><strong><em>Question\u00e1rios:<\/em><\/strong> Um conjunto de quest\u00f5es escritas aplicadas a uma amostra de usu\u00e1rios.<\/p>\n<p><strong><em>Entrevistas:<\/em><\/strong> Uma s\u00e9rie de quest\u00f5es feitas pessoalmente para as partes interessadas. Para mais informa\u00e7\u00f5es veja: <a href=\"https:\/\/advisera.com\/27001academy\/iso-27001-certification\/\" target=\"_blank\" rel=\"noopener noreferrer\">Which questions will the ISO 27001 certification auditor ask?<\/a><\/p>\n<p><strong><em>Workshops ou focus groups:<\/em><\/strong> Quando voc\u00ea traz representantes de partes interessadas para discutir um assunto em um formato de grupo.<\/p>\n<p><strong><em>Observa\u00e7\u00e3o:<\/em><\/strong> Simplesmente olhar como as coisas s\u00e3o feitas, quais recursos s\u00e3o usados, por quem, etc.<\/p>\n<p><strong><em>Estudo de documenta\u00e7\u00e3o:<\/em><\/strong> Revisar a documenta\u00e7\u00e3o atual do processo e outros documentos relevantes, como requisitos legais e regulat\u00f3rios, e obriga\u00e7\u00f5es contratuais.<\/p>\n<h2>Escolhendo m\u00e9todos de identifica\u00e7\u00e3o<\/h2>\n<p>Quando da escolha de um m\u00e9todo de coleta de dados, voc\u00ea deveria considerar estes crit\u00e9rios:<\/p>\n<ul>\n<li>Se voc\u00ea precisa de informa\u00e7\u00e3o de usu\u00e1rios potenciais com diferentes vis\u00f5es do SGSI, um workshop ou focus group seria recomendado.<\/li>\n<li>Se voc\u00ea precisa de informa\u00e7\u00e3o espec\u00edfica e explorar quest\u00f5es de uma parte interessada em particular (e.g., atitudes para com o novo sistema), tal como um usu\u00e1rio chave, ou pessoal da alta dire\u00e7\u00e3o, voc\u00ea pode usar entrevistas. Se o n\u00famero de pessoas for muito alto, aplicar um question\u00e1rio poupar\u00e1 tempo a voc\u00ea (com a desvantagem da perda da intera\u00e7\u00e3o pessoal). Quest\u00f5es abertas geralmente ajudam a obter informa\u00e7\u00e3o valiosa para ambos os m\u00e9todos.<\/li>\n<li>Ao usar a observa\u00e7\u00e3o, voc\u00ea pode obter uma percep\u00e7\u00e3o independente sobre o que j\u00e1 existe e o que est\u00e1 faltando. A observa\u00e7\u00e3o \u00e9 particularmente boa de se aplicar em ambiente em opera\u00e7\u00e3o.<\/li>\n<li>Ao estudar a documenta\u00e7\u00e3o voc\u00ea pode aprender sobre procedimentos, regulamenta\u00e7\u00f5es e normas que devem ser seguidas.<\/li>\n<\/ul>\n<p>Se voc\u00ea perceber, para cada cen\u00e1rio de coleta de dados existe um m\u00e9todo mais apropriado para se aplicar, mas uma combina\u00e7\u00e3o de todos eles certamente trar\u00e1 a voc\u00ea uma melhor perspectiva das necessidades e expectativas que podem ser mais tarde traduzidas em requisitos para o seu SGSI.<\/p>\n<h2>Um SGSI \u00fatil come\u00e7a com requisitos de partes interessadas bem definidos<\/h2>\n<p>A inclus\u00e3o do requisito de partes interessadas na vers\u00e3o 2013 da ISO 27001 foi uma das maiores melhorias com rela\u00e7\u00e3o a vers\u00e3o 2005, porque enquanto a avalia\u00e7\u00e3o de riscos prove o principal apoio para proteger o escopo do SGSI, entender claramente o que o SGSI deveria fazer e como deveria se comportar \u00a0com rela\u00e7\u00e3o \u00e0s necessidades e expectativas das partes interessadas \u00e9 absolutamente cr\u00edtico para a defini\u00e7\u00e3o do escopo do sistema, objetivos de seguran\u00e7a, e avalia\u00e7\u00e3o de desempenho, e assim assegurar o sucesso da seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n<p>Ao se aplicar m\u00e9todos de coleta de informa\u00e7\u00e3o apropriados, uma organiza\u00e7\u00e3o pode entender de forma sistem\u00e1tica suas partes interessadas e suas necessidades e expectativas, e traduzi-las em <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-lista-de-obrigacoes-estatutarias-regulamentares-contratuais-e-outras\/\" target=\"_blank\" rel=\"noopener noreferrer\">requisitos<\/a> mensur\u00e1veis adequados, com detalhes suficientes de forma que eles possam direcionar a concep\u00e7\u00e3o, implementa\u00e7\u00e3o, opera\u00e7\u00e3o e melhoria em dire\u00e7\u00e3o aos resultados desejados com custos e riscos otimizados.<\/p>\n<p><em>Saiba mais sobre a identifica\u00e7\u00e3o de requisitos de partes interessadas neste treinamento online gratuito: \u00a0<\/em><a href=\"https:\/\/advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Foundations Online Course<\/a><em>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u201cSe voc\u00ea n\u00e3o sabe para onde est\u00e1 indo, \u00e9 improv\u00e1vel que chegue l\u00e1\u201d. Esta frase do personagem t\u00edtulo do filme Forrest Gump descreve perfeitamente porque muitos projetos falham: falta de requisitos claros. A defini\u00e7\u00e3o de requisitos \u00e9 t\u00e3o importante que, desde 2012, todas as normas de gest\u00e3o ISO publicadas, incluindo a ISO 27001, explicitamente requerem &#8230;<\/p>\n","protected":false},"author":41,"featured_media":10849,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-10848","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=10848"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10848\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/10849"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=10848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=10848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=10848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}