Norma ISO/IEC 27005:2008

Anexo A

Definindo o mbito e os limites do processo de gesto de riscos de segurana da informao

ndice
A.1 A anlise da organizao .......................................................................................................... 3 A.2 Restries que afetam a organizao ....................................................................................... 4 A.3 Legislaes e regulamentaes aplicveis organizao......................................................... 6 A.4 Restries que afetam o mbito ............................................................................................... 6

A.1 A anlise da organizao A anlise da organizao - Este tipo de anlise destaca os elementos caractersticos que definem a identidade de uma organizao. Ela se preocupa com o propsito, o negcio, a misso, os valores e as estratgias da organizao. Convm que esses elementos sejam identificados ao lado daqueles que contribuem com o seu desenvolvimento (por exemplo: a subcontratao). A dificuldade aqui reside no entendimento exato de como a organizao est estruturada. A identificao de sua real estrutura permite um entendimento do papel e da importncia de cada rea no alcance dos objetivos da organizao. Por exemplo, o fato do gestor da segurana da informao reportar direo de topo ao invs de faz-lo aos gestores de TI pode indicar o envolvimento direo de topo nos assuntos relativos segurana da informao. O propsito principal da organizao - O seu propsito pode ser definido como a razo pela qual a organizao existe (sua rea de atividade, seu segmento de mercado etc.). Seu negcio - O negcio de uma organizao, definido pelas tcnicas e "know-how" dos seus funcionrios, viabiliza o cumprimento da sua misso. especfico rea de atividade da organizao e frequentemente define a sua cultura. Sua misso - A organizao atinge seu propsito ao cumprir sua misso. Para ser bem identificada, convm que os servios prestados e/ou produtos manufaturados sejam relacionados com os seus pblicos-alvo. Seus valores - Valores consistem em princpios fundamentais ou num cdigo de conduta bem definido, aplicados na rotina de um negcio. Podem incluir os recursos humanos, as relaes com agentes externos (clientes e outros), a qualidade dos produtos fornecidos ou dos servios prestados. Tomemos o exemplo de uma organizao cujo propsito seja o servio pblico, cujo negcio seja o transporte e cuja misso inclua o transporte de crianas de ida e de volta da escola. Os seus valores poderiam ser a pontualidade do servio e a segurana durante o transporte. A estrutura da organizao - Existem diferentes tipos de estrutura: Estrutura departamental baseada em divises ou reas: cada diviso fica sob a autoridade de um gestor de rea responsvel pelas decises estratgicas, administrativas e operacionais relativas sua unidade. Estrutura baseada em funes: a autoridade relativa a cada funo exercida em funo dos procedimentos adotados, na determinao da natureza do trabalho e algumas vezes nas decises e no planeamento (por exemplo: produo, TI, recursos humanos, marketing etc.). Notas: Uma rea, numa organizao com estrutura departamental, pode estruturar-se baseando-se em suas funes e vice-versa Uma organizao pode ser considerada como uma estrutura matricial se possuir caractersticas de ambos os tipos de estrutura. 3

Em qualquer tipo de estrutura organizacional, os seguintes nveis podem ser distinguidos: o o nvel de tomada de deciso (estabelecimento da orientao estratgica); o o nvel da liderana (coordenao e gesto); o o nvel operacional (produo e atividades de apoio). Organograma - A estrutura da organizao esquematizada no seu organograma. Convm que essa representao deixe claro quem se reporta a quem, destacando tambm a linha de comando que legitima a delegao de autoridade. Convm que inclua tambm outros tipos de relacionamentos, os quais, mesmo que no sejam baseados numa autoridade oficial, criam de qualquer forma caminhos para o fluxo de informao. A estratgia da organizao - Ela requer a expresso formalizada dos princpios que norteiam a organizao. A estratgia determina a direo e o desenvolvimento necessrios para que a organizao possa beneficiar das questes em andamento e das principais mudanas a serem planeadas. A.2 Restries que afetam a organizao Convm que todas as restries que afetam a organizao e determinam o direcionamento da segurana da informao sejam consideradas. As suas origens podem ser encontradas na prpria organizao, o que lhe d um certo controlo sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente, "inegociveis". Recursos limitados (oramento, recursos humanos) e restries ligadas a emergncias esto entre as mais importantes. A organizao define seus objetivos (relativos ao seu negcio, comportamento etc.) e comprometese a seguir um determinado caminho, possivelmente por um longo perodo. Ela define aquilo na qual deseja se tornar e tambm os meios necessrios para que tal possa ocorrer. Para especificar esse caminho, a organizao considera a evoluo das tcnicas e do know-how disponveis, assim como a vontade expressa de seus utilizadores, clientes, entre outros fatores. Esse objetivo pode ser expresso na forma de estratgias de operao ou de desenvolvimento com o fim de, por exemplo, cortar custos operacionais, melhorar a qualidade do servio etc. Essas estratgias provavelmente abrangem as informaes e os sistemas de informao (SI), os quais auxiliam a aplicao das estratgias. Consequentemente, as caractersticas relacionadas identidade, misso e estratgias da organizao so elementos fundamentais para a anlise do problema, pois a violao de qualquer aspeto da segurana da informao pode resultar na reformulao desses objetivos estratgicos. Alm disso, essencial que propostas de novos requisitos de segurana da informao sejam consistentes com as regras, o uso e os meios utilizados na organizao. A lista de restries inclui, mas no limitada, a: Restries de natureza poltica Estas dizem respeito administrao governamental, s instituies pblicas ou, genericamente, a qualquer organizao que precise aplicar decises governamentais. Normalmente, trata-se de decises relativas orientao estratgica ou operacional determinada por uma rea do governo ou por uma entidade responsvel pelo processo decisrio e convm que sejam aplicadas. 4

Por exemplo, a informatizao de documentos fiscais ou de documentos administrativos introduz questes de segurana da informao. Restries de natureza estratgica Restries podem surgir de mudanas, sejam planeadas ou no, na estrutura ou na orientao da organizao. Elas so representadas nos planos estratgicos ou operacionais da organizao. Por exemplo, a cooperao internacional para a partilha de informaes sensveis pode requerer acordos sobre a troca segura de dados. Restries territoriais A estrutura e/ou o propsito da organizao pode implicar restries, tais como a que diz respeito escolha da sua localizao e distribuio geogrfica, no pas e no estrangeiro. Exemplos incluem os servios postais, embaixadas, bancos, subsidirias de conglomerados industriais etc. Restries advindas do ambiente econmico e poltico A operao de uma organizao pode ser transtornada por eventos especficos, tais como greves ou crises nacionais e internacionais. Por exemplo, convm garantir a continuidade da prestao de alguns servios mesmo em caso de crises. Restries estruturais A natureza da estrutura de uma organizao (departamental, funcional ou outra qualquer) pode levar a uma poltica de segurana da informao e a uma organizao responsvel pela segurana, adaptadas a essa estrutura. Por exemplo, convm que uma estrutura internacional seja capaz de conciliar requisitos de segurana especficos de cada pas. Restries funcionais Restries funcionais so as que derivam diretamente da misso da organizao (seja nos seus aspetos gerais, seja nos especficos). Por exemplo, convm que uma organizao que opera 24 horas por dia seja capaz de assegurar que seus recursos estaro sempre disponveis. Restries relativas aos recursos humanos A natureza dessas restries varia consideravelmente. Esto associadas ao: nvel de responsabilidade, tipo de recrutamento, qualificao, formao, consciencializao em segurana, motivao, disponibilidade etc.

Por exemplo, convm que todos os recursos humanos de uma organizao de defesa do pas tenham autorizao para manipular informaes altamente sigilosas. Restries advindas da agenda da organizao Esse tipo de restrio resulta, por exemplo, da reestruturao ou da definio de novas polticas nacionais ou internacionais que imponham algumas datas limites. Por exemplo, a criao de uma rea de segurana. Restries relacionadas a mtodos Mtodos apropriados para o know-how da organizao precisaro ser impostos em relao a alguns tpicos, tais como o planeamento, a especificao e o desenvolvimento de projetos, entre outros. Por exemplo, uma restrio desse tipo bastante comum a necessidade das obrigaes legais da organizao serem incorporadas na poltica de segurana. Restries de natureza cultural Em algumas organizaes, hbitos de trabalho ou as caractersticas do negcio do origem a uma "cultura" especfica da organizao, a qual pode ser incompatvel com o estabelecimento de controlos de segurana. Essa cultura usada pelos recursos humanos como a sua principal referncia e pode ser determinada por vrios aspetos, incluindo educao, instruo, experincia profissional, experincia fora do trabalho, opinies, filosofia, crenas, estatuto social etc. Restries oramentais Os controlos de segurana recomendados podem, algumas vezes, ter um alto custo. Apesar de no ser sempre apropriado ter apenas a taxa de custo-benefcio como base para os investimentos em segurana, uma justificao econmica normalmente necessria para o departamento financeiro da organizao. Por exemplo, no setor privado e em algumas organizaes pblicas, convm que o custo total dos controlos de segurana no exceda o custo potencial das possveis consequncias dos riscos. Assim, convm que a direo de topo avalie os riscos e aceite uma parcela deles de forma consciente e calculada, para se evitar custos excessivos em segurana. A.3 Legislaes e regulamentaes aplicveis organizao Convm que os requisitos regulamentares aplicveis organizao sejam identificados. Eles consistem em leis, decretos, regulamentaes especficas que dizem respeito rea de atividade da organizao ou regulamentos internos e externos. Englobam tambm contratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ou regulamentar. A.4 Restries que afetam o mbito Ao identificar as restries possvel enumerar aquelas que causam um impacto no mbito e determinar quais so passveis de interveno. Elas complementam e talvez venham a corrigir as restries da organizao discutidas mais acima. Os pargrafos a seguir apresentam uma lista de tipos de restries, sem esgotar todas as possibilidades. 6

Restries derivadas de processos pr-existentes Projetos de aplicaes no so desenvolvidos necessariamente de forma simultnea. Alguns dependem de processos pr-existentes. Mesmo que um processo possa ser dividido em subprocessos, o processo no obrigatoriamente influenciado por todos os subprocessos de um outro processo. Restries tcnicas Restries tcnicas, relativas infraestrutura, surgem normalmente em funo do software e hardware instalados e das instalaes onde eles se encontram: Arquivos (requisitos referentes organizao, gesto de mdia e de regras de acesso etc.) Arquitetura comum (requisitos referentes topologia - centralizada, distribuda ou do tipo cliente-servidor, arquitetura fsica etc.) Software aplicativo (requisitos referentes aos projetos de software especfico, padres de mercado etc.) Software de venda a retalho (requisitos referentes a padres, nvel de avaliao, qualidade, conformidade com normas, segurana etc.) Hardware (requisitos referentes a padres, qualidade, conformidade com normas etc.) Redes de comunicao (requisitos referentes cobertura, padres, capacidade, confiabilidade etc.) Infraestrutura predial (requisitos referentes engenharia civil, construo, alta voltagem, baixa voltagem etc.) Restries financeiras A implementao de controlos de segurana frequentemente limitada pelo oramento que a organizao pode comprometer para tal. Entretanto, convm que restries financeiras sejam consideradas por ltimo j que alocaes oramentais para segurana podem ser negociadas tendo como base a anlise da prpria segurana. Restries ambientais Restries ambientais surgem em funo do ambiente geogrfico ou econmico no qual os processos so implementados: pas, clima, riscos naturais, situao geogrfica, ambiente econmico etc. Restries temporais Convm que o tempo requerido para a implementao de controlos de segurana seja considerado em relao capacidade de atualizao do sistema de informao; se a implementao for muito demorada, os riscos para os quais os controlos foram projetados podem j ter mudado. O tempo um fator determinante na seleo de solues e prioridades. Restries relacionadas a mtodos

Convm que mtodos apropriados para o know-how da organizao sejam utilizados para o planeamento, a especificao e o desenvolvimento de projetos, entre outros. Restries organizacionais Vrias restries podem ser causadas por requisitos de ordem organizacional: Operao (requisitos referentes ao "tempo gasto na produo", fornecimento de servios, vigilncia, monitorizao, planos em caso de emergncia, operao reduzida etc.) Manuteno (requisitos para a investigao e soluo de incidentes, aes preventivas, correo rpida etc.) Gesto de recursos humanos (requisitos referentes formao de operadores e utilizadores, qualificao para cargos como administrador de sistema ou de dados etc.) Gesto administrativa (requisitos referentes a responsabilidades etc.) Gesto do desenvolvimento (requisitos referentes a ferramentas de desenvolvimento, engenharia de software assistida por computador, cronograma de aceitao, organizao a ser estabelecida etc.) Gesto de relacionamentos externos (requisitos referentes organizao das relaes com terceiros, contratos etc.) Jlio Mendes 10 de Julho de 2012 TSI do DMSI/IT

Fonte: ISO/IEC 27005:2008 - Information technology Security techniques Information security risk management