DEFINIDOS NO TRABALHO DE MELLADO ET AL (2011).
A norma ABNT NBR ISO/IEC 27014:2013 prevê o alinhamento dos objetivos e estratégias de segurança da informação com os objetivos e estratégias do negócio, com conformidade legal e sob uma abordagem baseada em riscos, aderente, portanto, às normas do DSIC. Todavia, são introduzidos novos elementos, quais sejam: agregar valor para o corpo diretivo e para as partes interessadas (entrega de valor), e investimentos eficientes e eficazes em segurança da informação. Observa-se, ainda, na norma ABNT, que as questões de accountability, comunicação, controle e avaliação são abordadas, como pode se observar, nos processos de avaliação, direção, monitoração e comunicação descritos no item 5.3 da norma.
Para avaliação da aderência aos critérios de Mellado et al (2011), foram utilizados os três níveis de conformidade (baixa, média, alta) e a evidência que justifica a classificação. O resultado obtido, utilizando a técnica de análise de conteúdo, é apresentado no quadro 5.
Quadro 5 - Análise de conteúdo e de aderência da norma ABNT NBR ISO/IEC 27014:2013 segundo os critérios definidos por Mellado et al (2011).
Categoria Subcategoria Unidade de Registro Unidade de Contexto Aderência aos critérios
Alinhamento estratégico Declaração explícita
item 4.2 Objetivos, é declarado:“alinhar os objetivos e estratégia da segurança da informação com os objetivos e estratégia do negócio (alinhamento estratégico)”.
Alta, uma vez que a própria norma tem, entre seus objetivos, o alinhamento estratégico.
Entrega de valor Benefícios
item 4.2 Objetivos, tem-se:
“agregar valor para o corpo diretivo e para as partes interessadas (entrega de valor)”.
Alta, uma vez que a própria norma tem, entre seus objetivos, o alinhamento estratégico.
Desempenho do
gerenciamento Monitoramento
princípio 6 da norma é explicita quanto à aderência a este critério:
“Analisar criticamente o desempenho em relação aos resultados de negócios”.
Alta, considerando que a norma tem por princípio (dentre outros) o desempenho do gerenciamento
Gerenciamento de riscos Riscos de segurança
O princípio 2 da norma evidencia a aderência ao critério:
“Princípio 2: Adotar uma abordagem baseada em riscos”.
Alta, considerando que a norma tem por princípio (dentre outros) o gerenciamento de riscos
Controle e accountability Responsabilidades e conscientização
O princípio 1 da norma se atém a esta questão: “Princípio 1: Estabelecer a segurança da informação em toda a organização.
Convém a governança de segurança da informação garantir que as atividades de segurança da informação sejam entendidas e integradas. ...
Para estabelecer a segurança em toda a organização, convém que a responsabilidade e a responsabilização da segurança da informação seja estabelecida em cada porção das atividades de uma organização.
... “.
Todavia a norma não prescreve por quem os princípios devem ser implementados, uma vez que dependem da natureza da organização.
Média, a norma tem por princípio controle e accountability.
Governança de TI
Categoria Subcategoria Unidade de Registro Unidade de Contexto Aderência aos critérios
Objetivos institucionais Diretrizes e orientações
Este critério é atendido pelo conjunto dos princípios que norteiam a norma. Pode ser evidenciado pela parte do texto que introduz os princípios: “... Para alcançar o objetivos de governança em alinhar rigorosamente segurança da informação com os objetivos do negócio e entregar valor às partes interessadas, esta subseção estabelece seis princípios orientados para ação.”.
Alta, uma vez que a norma é voltada para o alinhamento estratégico.
Processos Atividades e procedimentos
O processo de implementação e gerenciamento de SI é tratado em norma específica para este fim, ABNT NBR ISO/IEC 27001:2013.
Baixa, a norma faz referencia a outra norma ABNT que versa sobre gerenciamento de SI.
Pessoas Estrutura, funções e responsabilidades
A aderência a este critério pode ser observado nos processos avaliação, direção, monitoração e comunicação.
Exemplicando, cita-se o item 5.3.2 Avaliação: “... ao corpo diretivo:
• assegurar que as iniciativas de negócio levem em consideração questões de segurança da informação, ... “.
Alta, uma vez que sugere atribuição objetiva de funções e responsabilidades.
Tecnologia Gestão de ativos
O princípio 3: Estabelecer a direção de decisões de investimento, declara:
“Para otimizar os investimentos em segurança da informação no apoio aos objetivos da organização, convém ao corpo diretivo assegurar que a segurança da informação seja integrada com os atuais processos da organização, para gastos com capital e operação (investimentos e despesas), conformidade legal e regulatória, para reporte de riscos.”.
Alta, a norma converge para o previsto no critério.
Fonte: o autor.
Categoria Subcategoria Unidade de Registro Unidade de Contexto Aderência aos critérios
Integração de normas Controles e melhores práticas inclusas
No item 4 Conceito, a norma refere-se à necessidade da SI ser realizada por meio de uma abordagem de gestão de riscos, apoiada por um sistema de controles internos (item 4, subitem 4.1). No item 5.3.4, que se refere à monitoriação, há menção à necessidade do corpo diretivo “considerar alterações no ambiente de negócios, ...”. Todavia, não há menção explícita às melhores práticas.
Média, apesar de o ambiente de negócios requerer a constante avaliação externa, não há menção explicita na norma sobre melhores práticas.
Gerenciamento de SI Vinculação
A norma é sobre governança de segurança da informação. Há outra norma, ABNT NBR ISO/IEC 27001:2013, que versa sobre gerenciamento de segurança da informação. Todavia, os processos de governança são interligados aos de gerenciamento, como pode ser exemplicado pelo item 5.3.2 Avaliação:
“Avaliação é o processo de governança que considera o atingimento atual e previsto dos objetivos de segurança com base nos processos atuais e nas mudanças planejadas ...”.
Alta, uma vez que a norma é explicita no uso de elementos de gerenciamento.
Ferramentas e Técnicas Implementação
A norma não prescreve uma ferramenta ou técnica para implementação. Fornece, em seus anexos A e B, exemplos de status de segurança da informação.
Baixa, uma vez que não há ferramenta ou técnica prescrita.
Orientações práticas para implementação
Exemplos e estudos de caso
A norma não aborda “como, quando e por quem” implementar, uma vez que entende que depende da natureza da organização, conforme explicitado no texto introdutório do irem 5.2 Princípios.
Baixa, considerando que a norma não possui procedimentos objetivos para sua
implementação. Segurança
Categoria Subcategoria Unidade de Registro Unidade de Contexto Aderência aos critérios
Alta, considerando a previsão da abrangência do modelo. No item 1 Escopo, é definido que a norma é
aplicável a todos os tipos e tamanhos de organização. No Brasil, é primordial a conformidade a normas e regulamentos. avaliados pelos órgãos de
fiscalização, e esta é um resultado desejado da implantação do modelo proposto, como explicitado
no item 4.3 Resultados desejados: “conformidade com requisitos externos (leis, regulamentares ou contartuais). Ademais, no princípio 1 – Estabelecer a segurança da informação em toda a organização, parágrafo segundo, a norma explicita a extrapolação dos limites da segurança:
“...Isto normalmente ultrapassa as “fronteiras”geralmente percebidas da organização,
por exemplo, com informações que estão sendo armazenadas ou transferidas por terceiros”. Essa visão abrangente se coaduna com as necessidades da APF na implementação da políticas
públicas. Domínios social, político,
cultural e legal Holístico