Ângela Catarina Araújo Azevedo - Universidade do · PDF fileGestão da...
74
Universidade do Minho Escola de Engenharia Ângela Catarina Araújo Azevedo Toolkit de Autodiagnóstico de Conformidade com a Norma ISO/IEC 27002 Projeto de Dissertação de Mestrado em Engenharia e Gestão de Sistemas de Informação Trabalho efetuado sob a orientação do Professor Doutor Filipe de Sá-Soares Março de 2017
Transcript of Ângela Catarina Araújo Azevedo - Universidade do · PDF fileGestão da...
Universidade do Minho
Escola de Engenharia
Ângela Catarina Araújo Azevedo
Toolkit de Autodiagnóstico de
Conformidade com a Norma
ISO/IEC 27002
Projeto de Dissertação de Mestrado em
Engenharia e Gestão de Sistemas de Informação
Trabalho efetuado sob a orientação do
Professor Doutor Filipe de Sá-Soares
Março de 2017
iii
Resumo
O reconhecimento da centralidade da informação nas operações e na gestão das
organizações conduz à aplicação de um conjunto de medidas que auxiliem na sua proteção. O
aumento da preocupação com a segurança da informação adveio, em muitos casos, do elevado
número de incidentes de segurança, ocorridos em contexto real, onde a falta de boas práticas
resulta em consequências irremediáveis. As normas de Gestão de Segurança de Sistemas de
Informação são apontadas como instrumentos úteis para as organizações, uma vez que
implementam práticas que contribuem para a garantia da continuidade e manutenção dos
processos de negócio, gerindo de forma adequada o risco na organização.
De entre as normas mais utilizadas no âmbito da Gestão de Segurança de Sistemas de
Informação encontra-se a norma ISO/IEC 27002. Esta norma pode ser entendida como um
catálogo de controlos que as organizações deverão considerar nos esforços de proteção dos
ativos dos seus Sistemas de Informação. Com o objetivo de auxiliar as organizações a alinharem
os seus controlos de Segurança de Sistemas de Informação segundo a norma ISO/IEC 27002,
este estudo visa responder à seguinte questão de investigação: “é viável desenvolver um toolkit
que permita a uma organização autodiagnosticar o seu grau de observância da norma ISO/IEC
27002?”.
Com vista a responder a esta questão, procurar-se-á produzir um toolkit de acordo com
a abordagem de Design Science Research. Este instrumento poderá ser utilizado como meio de
auditoria da conformidade com a norma ISO~/IEC 27002 e como meio de consultoria para
melhoria do posicionamento da organização no que respeita às provisões da norma.
Palavras-Chave: ISO/IEC 27002; Segurança de Sistemas de Informação; Normas para a
Gestão da Segurança de Sistemas de Informação.
v
Abstract
With the increasing relevance of information technology, there is an urgent need for
adequate measures of information security. Systematic information security management is one
of the most important initiatives for IT management. Information security is a critical issue in an
organization a proper information security management is an ongoing process that seeks to build
and maintain controls for protecting information. In this sense, security standards can be used as
guidelines to develop and maintain an adequate information security management system
(ISMS).
This study focuses on proposing a toolkit for security control based on ISO/IEC 27002,
which is a standard of ISMS. This standard contains the control objectives to which the proposed
security mechanisms are assigned. In order to help organizations align their Information Systems
Security Controls according to ISO/IEC 27002, this study aims to answer the following research
question according to the Design Science Research approach: is it feasible to develop a toolkit
that allows an organization to self-diagnose its degree of compliance with ISO / IEC 27002? This
toolkit, based on controls present in ISO/IEC 27002, provides a means to measure the current
situation of IS management through the use of diagnostic objects and methods in order to
provide guidelines to take appropriate and feasible improvement actions, based on ISO/IEC
27002. This instrument enables an assessment to conformity with the ISO/IEC 27002 and
would facilitate the decision-making process in information security management.
Key Words: ISO/IEC 27002, Information System Security, Information Security Management
System Standards.
vii
Índice
Resumo ....................................................................................................................... iii
Abstract ........................................................................................................................ v
Índice .......................................................................................................................... vii
Índice de Figuras ......................................................................................................... ix
Índice de Tabelas .......................................................................................................... x
Siglas e Acrónimos ....................................................................................................... xi
Introdução ............................................................................................................ 1
1.1 Contextualização ............................................................................................................................ 1
1.2 Objetivos e Contributos .................................................................................................................. 3
1.3 Estratégia de Investigação .............................................................................................................. 4
1.4 Organização do Documento ........................................................................................................... 4
Revisão de Literatura ............................................................................................ 7
2.1 Conceitos Basilares ....................................................................................................................... 7
2.1.1 Normas e Certificação .................................................................................................... 8
2.1.2 Segurança de Sistemas de Informação ............................................................................ 9
2.1.3 Gestão da Segurança de Sistemas de Informação ......................................................... 10
2.2 Normas de Segurança de Sistemas de Informação ....................................................................... 14
2.3 Normas para a Gestão da Segurança de Sistemas de Informação ................................................. 16
2.4 Família de Normas ISO/IEC 27K ................................................................................................. 17
2.4.1 Resenha Histórica ......................................................................................................... 18
2.4.2 Composição da Família de Normas ISO/IEC 27K .......................................................... 20
2.4.3 Norma ISO/IEC 27000:2016 ........................................................................................ 22
2.4.4 Norma ISO/IEC 27001:2013 ........................................................................................ 22
2.4.5 Norma ISO/IEC 27002:2013 ........................................................................................ 24
2.4.6 Norma ISO/IEC 27003:2010 ........................................................................................ 25
2.4.7 Norma ISO/IEC 27004:2016 ........................................................................................ 25
2.4.8 Norma ISO/IEC 27005:2011 ........................................................................................ 26
2.5 Descrição da Norma ISO/IEC 27002 ........................................................................................... 26
2.6 Identificação do Problema de Investigação ................................................................................... 30
Abordagem de Investigação ................................................................................ 32
3.1 Estratégia de Investigação ............................................................................................................ 32
3.2 Resultados da Design Science Research ....................................................................................... 34
3.3 Ciclos, Etapas do Processo e Resultados ...................................................................................... 36
Plano de Trabalhos ............................................................................................. 42
4.1 Atividades .................................................................................................................................... 42
viii
4.2 Cronograma ................................................................................................................................ 44
4.3 Cruzamento de Atividades com Objetivos ..................................................................................... 45
4.4 Considerações Éticas ................................................................................................................... 45
4.5 Riscos ......................................................................................................................................... 46
Conclusão ........................................................................................................... 48
Referências ................................................................................................................ 49
Anexo I – Matriz de Conceitos.................................................................................... 54
ix
Índice de Figuras
Figura 1 – Dimensões de uma Organização ............................................................................ 11
Figura 2 – Cronograma ISO 27K ............................................................................................. 18
Figura 3 – Família de Normas 27K ......................................................................................... 21
Figura 4 – Etapas da DSR ....................................................................................................... 38
Figura 5 – Instanciação das Etapas da DSR ............................................................................ 39
Figura 6 – Diagrama de Gantt ................................................................................................. 44
x
Índice de Tabelas
Tabela 1 – Cláusulas da norma ISO/IEC 27002 ..................................................................... 28
Tabela 2 – Resultados da Design Science Research ................................................................ 35
Tabela 3 – Orientações para a Design Science Research ......................................................... 37
Tabela 4 – Cruzamento de Atividades com Objetivos ............................................................... 45
Tabela 5 – Riscos no desenvolvimento da Dissertação de Mestrado ........................................ 46
xi
Siglas e Acrónimos
A presente lista apresenta a definição de abreviaturas, siglas e acrónimos que dizem
respeito à área do conhecimento em estudo.
BSI – British Standard Institution
CIA – Confidentiality, integrity and availability
CMM – Capability Maturity Model
DSR – Design Science Research
GSSI – Gestão da Segurança de Sistemas de Informação
GAISP – Generally Accepted Information Security Principles
IEC – International Electrotechnical Commission
ISMS – Information Security Management System
ISO – International Organization for Standardization
IT – Information Technology
NCC – National Computing Centre
NIST – National Institute of Standards and Technology
NSR – Natural Science Research
OECD – Organisation for Economic Co-operation and Development
RITE – Responsibility, integrity, trust and ethicality
SGSI – Sistema de Gestão da Segurança de Informação
SI – Sistema de Informação
SSI – Segurança dos Sistemas de Informação
TI – Tecnologias da Informação
1
Introdução
Neste primeiro capítulo contextualiza-se o projeto de investigação que será detalhado ao
longo do presente documento. Na secção 1.1 procede-se ao enquadramento da temática,
focando-se os seus aspetos mais relevantes. Na secção 1.2 serão apresentados os objetivos da
investigação que nortearão a realização deste projeto. A secção 1.3 apresenta uma breve
descrição da abordagem metodológica que guiará o trabalho de investigação. Por último, na
secção 1.4 apresenta-se a organização deste documento.
1.1 Contextualização
O valor da informação e a importância das Tecnologias de Informação (TI) são hoje
incontestáveis [De Lange et al. 2016].
A importância das TI resulta das suas capacidades de auxiliar na “criação,
processamento, transmissão, proteção e destruição” de informação [ISO/IEC 2016]. A
constatação desta importância conduz ao aparecimento de preocupações na salvaguarda da
informação, ou seja, no domínio da segurança da informação.
Dhillon [2000] refere a existência de dois grandes desenvolvimentos que impulsionaram
as preocupações relativamente à segurança da informação: primeiro, o aumento da dependência
das organizações em relação às tecnologias de informação resultante não só de propósitos
organizacionais, mas também para efeitos de obtenção de vantagem competitiva; segundo,
instigado pelas tecnologias de informação, a alteração que os modelos de negócio sofreram
relativamente a tempos passados em que se restringiam a uma determinada zona geográfica e
não deixando a continuidade do negócio em causa.
A resposta a essas preocupações caracteriza-se em iniciativas de Segurança de
Sistemas de Informação (SSI). Dhillon [1997] afirma que a SSI é vista como a minimização dos
riscos decorrentes de “comportamentos inconsistentes e incoerentes” nas atividades que
envolvem a manipulação de informação nas organizações.
Dhillon e Backouse [1999] defendem que a inexistência de um planeamento cuidadoso
e a falta de compreensão das preocupações relativamente à segurança da informação levam a
que as organizações cinjam a sua atenção aos aspetos tecnológicos dando origem à chamada
“cegueira da segurança”1 por parte de muitos utilizadores. Os autores em causa defendem que a
1 Cegueira da segurança: traduzida do inglês “security blindness”.
2
ênfase nos aspetos tecnológicos, sendo necessária, é também um impedimento à compreensão
dos problemas no âmbito da segurança de sistemas de informação. Ou seja, apesar da SSI ser
um “problema organizacional”, o esforço para garantir a proteção da informação tem-se
restringido a aspetos tecnológicos devido à orientação funcionalista dos responsáveis pela gestão
da SSI, resultando na incapacidade de considerar aspetos sociais, regras e procedimentos
formais nas organizações [Dhillon 1997].
A Gestão da Segurança de Sistemas de Informação (GSSI) deve considerar o equilíbrio
entre a trilogia pessoas, processos e tecnologias de forma integrada. Schneier [2014] afirma que
a segurança é a combinação entre “proteção, deteção e resposta”, realçando a importância do
equilíbrio entre “pessoas, processos e tecnologias”. Nesta perspetiva de Schneier, o que varia
são os rácios, em que a proteção é maioritariamente realizada pela tecnologia com o apoio das
pessoas e dos processos; a deteção exige uma proporção igual dos três elementos; e a resposta
é principalmente realizada pelas pessoas, com o auxílio dos processos e da tecnologia.
Com o aumento da transferência de dados intra e interorganizacional e com o aumento
das redes abertas o número de possíveis riscos no que diz respeito à SSI aumentou [Disterer
2013]. Com o objetivo de reduzir estes riscos e evitar falhas na segurança, as organizações
devem assegurar um sistema de gestão da segurança de informação (SGSI) adequado [Disterer
2013].
Garantir a segurança dos sistemas de informação não se afigura uma tarefa fácil, no
entanto a existência de normas e boas práticas simplificam esta atividade [De Lange et al.
2016]. Com o propósito de responder a estes problemas no âmbito da segurança, surge a
família de normas 27K que visa o desenvolvimento e implementação de um sistema de gestão
da segurança de informação [ISO/IEC 2016]. Segundo a norma ISO/IEC 27000, este sistema
permite “estabelecer, implementar, monitorar, rever, manter e melhorar” a segurança da
informação nas organizações. O foco principal deste trabalho prende-se com a análise da norma
ISO/IEC 27002 que fornece uma lista de controlos comummente aceites como boas práticas e
que deve ser usada como um guia de implementação de controlos que visa a SSI [ISO/IEC
2016]. Apesar da existência da norma ISO/IEC 27002 é ainda possível identificar uma lacuna no
que concerne à adoção de controlos adequados que garantam a SSI, surge assim a necessidade
de criar um instrumento sintético que permita às organizações autodiagnosticarem-se
relativamente à verificação dos controlos presentes na norma ISO/IEC 27002. Com o objetivo de
ajudar as organizações a avaliar a sua conformidade com a norma ISO/IEC 27002, prevê-se a
criação de um toolkit de autodiagnóstico que, numa primeira fase, deverá ser capaz verificar a
3
analogia com as provisões contidas na norma e, numa fase subsequente, o toolkit deverá ser
capaz de auxiliar a organização a melhorar o seu alinhamento com a referida norma de
segurança de sistemas de informação.
1.2 Objetivos e Contributos
Nesta secção procede-se à identificação dos objetivos que guiam a realização das
atividades deste trabalho de investigação, assim como os principais contributos esperados.
Assumindo-se como finalidade deste estudo obter resposta para a seguinte questão de
investigação: “É viável desenvolver um toolkit que permita a uma organização autodiagnosticar o
seu grau de observância da norma ISO/IEC 27002?”, procurou-se projetar o trabalho de modo a
satisfazer os seguintes objetivos:
Revisão da norma ISO/IEC 27002,
Identificação dos objetos de diagnóstico (o que diagnosticar?),
Criação dos métodos de diagnóstico (como diagnosticar?),
Criação do toolkit e
Validação do toolkit em contexto organizacional.
Com o primeiro objetivo pretende-se assimilar os conteúdos mais relevantes para este
estudo, após uma análise exaustiva de todos os controlos, objetivos e orientações constantes na
norma ISO/IEC 27002. O segundo objetivo consiste na identificação e estruturação dos objetos
de diagnóstico relevantes para que a avaliação da conformidade com a norma seja possível. A
forma como os objetos vão ser diagnosticados está explícito no terceiro objetivo através da
criação de métodos de diagnóstico que permitam avaliar e orientar no sentido de obter
melhorias no âmbito da segurança dos sistemas. Através do terceiro e quarto objetivos é possível
a criação do toolkit e posteriormente a sua validação em contexto organizacional.
No que concerne aos principais contributos deste trabalho, espera-se que o toolkit seja
capaz de prover as organizações com um conjunto de orientações, de forma compreensível, que
lhes permita uma avaliação da conformidade com a norma ISO/IEC 27002 e posteriormente
com um conjunto de medidas que visem a melhoria da SSI.
4
1.3 Estratégia de Investigação
Tendo em conta o objetivo primordial desta investigação, foi definida a abordagem que
delineou a realização deste estudo. Para o trabalho proposto adotar-se-á a estratégia de
investigação Design Science Research.
A Design Science Research envolve a criação de conhecimento através da conceção de
artefactos novos ou inovadores que visam a melhoria e compreensão de comportamentos em
Sistemas de Informação [Vaishnavi e Kuechler 2016]. A origem dos artefactos advém da
existência de problemas até ao momento irresolutos e que por isso serão avaliados segundo a
sua utilidade num determinado contexto [March e Smith 1995].
O objetivo principal da abordagem Design Science Research é a construção de soluções
com base na tecnologia que visam a resolução de problemas, exigindo por isso a criação de um
artefacto inovador e pertinente para um domínio especifico [Hevner et al. 2004]. Uma vez que o
artefacto é, à partida, relevante, são expectáveis demonstrações rigorosas que reflitam a
utilidade, qualidade e eficácia e ainda contribuições significativas para o domínio em causa
[Hevner et al. 2004]. No presente estudo o artefacto a construir consubstanciar-se-á no toolkit de
autodiagnóstico.
1.4 Organização do Documento
Este documento encontra-se dividido em cinco capítulos principais. No primeiro capítulo
é feito o enquadramento do trabalho, são apresentados os principais objetivos, a estratégia de
investigação utilizada e é ainda apresentada de forma sintetizada a organização do documento.
No segundo capítulo, Revisão de Literatura, é apresentado o enquadramento conceptual
com o objetivo de definir os conceitos relevantes para a compreensão e desenvolvimento da
dissertação. Ainda no presente capítulo é possível encontrar a descrição do problema de
investigação que deu origem a este estudo.
No terceiro capítulo, Abordagem de Investigação, encontra-se a definição do processo de
investigação.
O quarto capítulo é compreendido pelo Plano de Atividades que identifica as principais
atividades assim como os principais riscos que podem advir das mesmas.
No quinto capítulo, Conclusão, são tecidas breves considerações relativamente à
realização desta etapa reconhecida como projeto de dissertação.
5
Seguindo-se ao quinto capítulo, encontra-se a lista de referências e o Anexo I, que
contém a matriz de conceitos resultante da revisão de literatura.
7
Revisão de Literatura
Neste capitulo procede-se à revisão de literatura relevante que fundamenta o
desenvolvimento do trabalho de investigação. A estratégia utilizada para proceder à reunião,
identificação e classificação da literatura relevante na área seguiu as recomendações avançadas por
Webster e Watson [2002]. No que concerne à pesquisa de literatura para este projeto, recorreu-se
às seguintes plataformas: Google Scholar, Scopus, Web of Science, RepositoriUM, B-On e AIS
Electronic Library. As expressões a partir das quais se procedeu à pesquisa foram: “ISO/IEC
27002”, “Information Security Management System Standards”, “Information Systems Security” e
“Information Security Managament System”.
Seguindo as orientações de Webster e Watson, construiu-se uma matriz de conceitos, a
qual se apresenta no Anexo I – Matriz de Conceitos e que permitiu sintetizar a literatura revista
atendendo aos conceitos relevantes identificados.
Primeiramente, na secção 2.1, serão explanados os conceitos basilares que constituem o
trabalho de investigação. Seguidamente, na secção 2.2, segue uma reflexão sobre as Normas de
Segurança de Sistemas de Informação, e de forma mais específica, na secção 2.3, sobre as
Normas para a Gestão da Segurança de Sistemas de Informação. Na secção 2.4 realiza-se também
uma análise da família de normas ISO/IEC 27K e das principais normas que a constituem. Por fim,
na secção 2.5, de forma mais detalhada, é possível encontrar uma análise da Norma ISO/IEC
27002, terminando-se com a identificação do problema de investigação que motiva o presente
estudo.
2.1 Conceitos Basilares
Os conceitos de normas e certificação, segurança de sistemas de informação e gestão da
segurança de sistemas de informação são cruciais para esta investigação, uma vez que é sobre eles
que versa e se baseia este trabalho.
Com a clarificação destes conceitos procura-se estabelecer uma base de entendimento
comum que permita uma melhor compreensão desta investigação.
8
2.1.1 Normas e Certificação
A Organização Internacional de Normalização (ISO)2 define norma como sendo um
documento que fornece “requisitos, especificações, orientações ou características” que podem ser
utilizadas para garantir que “materiais, produtos, processos e serviços” cumprem o propósito para
o qual estão destinados [ISO 2016d]. Segundo Disterer [2013], o aparecimento das normas adveio
do desenvolvimento detalhado de descrições relativas às características particulares de um
determinado produto ou serviço desenvolvidas por especialistas.
As normas internacionais “garantem a segurança e qualidade dos produtos e serviços,
facilitando o comércio internacional e melhorando o ambiente em que estão inseridos”[ISO]. A
conformidade com os padrões internacionais ajuda na garantia aos consumidores que os “produtos,
sistemas e organizações são seguros, confiáveis e bons para o meio ambiente”[ISO]. Estes padrões
são reconhecidos como “ferramentas estratégicas” e “diretrizes” que permitem às empresas
enfrentar novos desafios dos negócios [ISO 2016a]. No que concerne ao negócio, a padronização
permite a “redução de custos através de sistemas e processos melhorados; aumento da satisfação
do cliente através de melhorias ao nível da segurança, qualidade e processos; e permite ainda o
acesso a novos mercados, garantindo a compatibilidade de produtos e serviços” [ISO 2016a].
Peltier [2001] defende que existem dois aspetos chave para alcançar o sucesso com as
normas: é fulcral a existência de um compromisso com as normas por parte de todos os envolvidos
e um outro aspeto que deve ser atendido é a existência de normas “razoáveis, flexíveis e
atualizadas”. Estas duas necessidades são interdependentes. O compromisso deve começar com a
gestão de topo, e só depois a organização é movida nesse sentido para que os objetivos a que as
normas se propõem sejam atingidos. Por outro lado, se a gestão se mostrar preocupada com a
conformidade das normas isto servirá de exemplo para os que devem atender aos mesmos
comportamentos. Peltier [2001] defende ainda que é essencial que as normas sejam “práticas,
aplicáveis, atualizadas e revistas regularmente”.
Segundo Eloff e von Solms [2000], o termo certificação descreve o processo pelo qual uma
“organização, produto ou processo” é testado e avaliado a fim de determinar se está ou não em
conformidade com uma determinada norma. A conformidade pode ser entendida como o grau de
concordância entre o estado de uma entidade e uma referência que descreve a situação idealizada
para essa mesma entidade, de acordo com um conjunto de indicações commumente aceites.
2 ISO não é o acrónimo de Organização Internacional de Normalização, mas sim de International Organization for Standardization, no entanto
adotar-se-á esta tradução ao longo de todo o documento.
9
Disterer [2013] corrobora afirmando que, a certificação serve de verificação de um conjunto de
condições por parte de um organismo independente, fornecendo garantia quanto a medidas de
segurança apropriadas, e servindo ainda como um selo de qualidade acrescentando
competitividade.
2.1.2 Segurança de Sistemas de Informação
Na revisão de literatura identificou-se um conjunto de definições relativas à segurança no
âmbito dos sistemas e tecnologias de informação e com objetos de interesse diferentes, traduzindo
assim a dificuldade associada à definição do conceito de segurança de sistemas de informação.
Segundo Torres [2006], este conceito carece de uma definição inequívoca, esta dificuldade prende-
se com a carência de uma definição globalmente aceite. Apesar da variedade de definições, a
segurança de sistemas de informação é historicamente reconhecida como o processo que garante a
confidencialidade, integridade e disponibilidade da informação [ISO/IEC 2016]. A confidencialidade
é a propriedade que garante que a informação não é disponibilizada ou divulgada a pessoas,
entidades ou processos não autorizados [ISO/IEC 2016]. Por sua vez, a integridade é a
característica que previne a alteração não autorizada da informação ou dos recursos [ISO/IEC
2016]. Relativamente à disponibilidade é a propriedade que garante que a informação ou os
recursos estão disponíveis para utilizadores autorizados [ISO/IEC 2016]. Esta visão tradicional de
compreender a segurança de informação ajuda a lidar com o fenômeno abstrato, dinâmico e
complexo de forma mais concreta[Torres et al. 2006].
De acordo com da Silva Netto e da Silveira [2007], Segurança de Sistemas de Informação
pode ser definida como a área do conhecimento que visa a proteção da informação contra ameaças
a fim de garantir a continuidade do negócio e a consequente minimização dos riscos. A Segurança
pode também ser vista como fonte de vantagem competitiva, proporcionando proteção aos ativos
que garantem a continuidade do negócio [Andress 2003]. Segundo de Sá-Soares [2006] a definição
de segurança de sistemas de informação pode ser categorizada em quatro perspetivas:
Segurança de Sistemas de Informação como um estado, característica ou condição das
tecnologias e sistemas de informação. Esta perspetiva permite compreender
formulações como métricas de segurança, comparação da segurança do Sistema de
Informação (SI) em momentos distintos, certificação do SI na vertente da segurança e
melhoria da segurança dos sistemas de informação. Desta forma, é assim proposto que
10
a SSI traduzirá o nível de integridade da organização no que respeita às atividades que
manipulam informação.
SSI como um conjunto de meios através dos quais se garante a proteção do SI. Esta
perspetiva centra-se nos recursos, produtos e mecanismos aplicados de forma a
garantir a segurança do SI de uma organização.
SSI como processo que visa a proteção do SI contra possíveis eventos adversos,
garantindo um determinado nível de segurança para esse SI.
SSI como área de conhecimento, esta perspetiva inclui as referências à SSI como área
de investigação e como um corpo de conhecimentos.
No presente trabalho, adotar-se-á SSI como um estado e como um processo uma vez que
são as perspetivas mais adequadas para a obtenção de certificação e melhoria da segurança.
2.1.3 Gestão da Segurança de Sistemas de Informação
A gestão é reconhecida como uma tentativa de direcionar e controlar um grupo de pessoas
ou entidades com o propósito de “coordenar e harmonizar” os elementos de forma a atingir um
objetivo específico [Sahibudin et al. 2008].
Antes de se proceder à definição do conceito de Gestão da Segurança de Sistemas de
Informação propriamente dito, considera-se relevante a consideração das dimensões das
organizações propostas por Dhillon e Backhouse [1996].
Dhillon e Backhouse [1996] defendem que as organizações podem ser perspetivadas
segundo três dimensões: dimensão técnica, dimensão formal e dimensão informal, conforme ilustra
na Figura 1.
Na dimensão técnica, a escolha apropriada da tecnologia a utilizar e da metodologia a
adotar é fulcral, assim como a escolha do hardware e software [Dhillon e Backhouse 1996].
A dimensão formal contem o comportamento regulado por regras. Assim, regras e modelos
devem ser estabelecidas de forma a enquadrar o sistema informático. Isto vai evitar a interpretação
errónea da informação assim como a aplicação incorreta das regras numa organização, ajudando
na alocação mais correta das responsabilidades. Uma compreensão clara da estrutura de
responsabilidades, existente ou futura, formal ou informal, deve ser desenvolvida de forma a facilitar
a atribuição de culpa, responsabilidade e autoridade [Dhillon e Backhouse 1996].
11
Finalmente, na dimensão informal manifesta-se o comportamento informal da organização,
onde são estabelecidos um conjunto de princípios, significados, intenções, crenças, compromissos
e responsabilidades [Dhillon e Backhouse 1996].
Dhillon e Backhouse [1996] defendem ainda a importância de manter o equilíbrio entre as
três dimensões, uma vez que a falta desta coordenação pode resultar em quebras de segurança,
complexidade e riscos desnecessários para a organização.
Relativamente às dimensões da SSI é ainda possível acrescentar uma nova dimensão, a
dimensão regulamentar que engloba o papel das normas e da legislação no âmbito da SSI. A SSI
engloba cada uma destas dimensões, sendo mais formal, técnica, informal ou regulamentar
consoante a dimensão a analisar. Assim a Gestão de Segurança de Sistemas de Informação permite
manter a integridade das operações intra e interdimensionais (técnicas, formais e informais), tendo
em consideração as determinações regulamentares a que a organização deve atender [de Sá-Soares
2016].
Dhillon e Backhouse [2000] reconhecem o surgimento de novas estrututuras
organizacionais que facilitam a partilha de informação e uma elevada conectividade interpessoal e
interorganizacional. Muitas organizações influenciadas pela concorrência adotam de forma
precipitada tecnologia para garantir a SSI sem antes realizarem um planeamento cuidadoso e a
devida compreensão das preocupações a que devem atender [Dhillon e Backhouse 2000]. Dhillon e
Backhouse [2000] defendem que para além da confidencialidade, integridade e disponibilidade
Figura 1 – Dimensões de uma Organização
Adaptado de Dhillon e Backhouse [1996]
12
(CIA)3, quatro princípios devem ser acrescentados de forma a garantir a GSSI de forma eficaz.
Dhillon e Backouse [2000] defendem que são necessários princípios que requerem observação a
tempo inteiro, principalmente quando não há uma regra a seguir, uma vez que a SSI não se trata de
um problema técnico mas sim um problema “social e organizacional” uma vez que o sistema
técnico é administrado e utilizado por pessoas. Assim, deve ser implementada uma subcultura onde
a responsabilidade, integridade, confiança e ética (RITE)4 são importantes e são o primeiro passo na
proteção dos ativos de informação das organizações [Dhillon e Backhouse 2000].
A responsabilidade e o conhecimento das regras são fulcrais numa organização para uma
melhor compreensão das responsabilidades e papéis de cada membro. No que respeita à
integridade, é de realçar a importância da informação como o ativo principal da organização e com
propriedades peculiares que devem ser tidas em consideração aquando da seleção dos membros
que a podem aceder. Dhillon e Backhouse [2000] chegam mesmo a afirmar que a maior parte dos
incidentes relativos à SSI advêm por parte dos colaboradores das organizações. Relativamente à
confiança nas organizações, ao contrário do controlo externo e da supervisão, deve ser valorizado o
autocontrolo e a responsabilidade individual, originando assim “sistemas mútuos de confiança”
[Dhillon e Backhouse 2000]. A ética é o ultimo princípio orientador defendido por Dhillon e
Backhouse ao invés da utilização de regras que só podem ser aplicadas em circunstâncias
previsíveis e não podem ser invocadas numa situação nova e dinâmica. Desta forma é assim dada
importância ao conteúdo ético da informalidade das normas e dos comportamentos [Dhillon e
Backhouse 2000].
Em suma, Kurowski et al.[2015] afirma que a gestão da segurança de sistemas de
informação fornece uma valiosa gestão de sistemas que permite a “manutenção, monitoramento, e
ainda o ajuste de mecanismos” de segurança implementados, aprimorando continuamente a
segurança da informação nas organizações.
Quanto às componentes da Gestão de Sistemas de Informação é necessário referir a
existência de diversas posições relativamente à organização desta atividade. A categorização
adotada é defendida por Dhillon na qual a atividade de gestão da segurança de sistemas de
informação está organizada em quatro componentes: Planeamento, Avaliação, Conceção5 e
Implementação [de Sá-Soares 2006].
3 CIA não é acrónimo de “confidencialidade, integridade e disponibilidade”, mas sim de “confidentiality, integrity and availability”.
4 RITE não é acrónimo de “responsabilidade, integridade, confiança e ética”, mas sim de “responsability, integrity, trust and ethicality”.
5 Conceção – Traduzido do inglês “Design”
13
Segundo Amaral [1994], o Planeamento dos Sistemas de Informação diz respeito à
atividade organizacional que define o futuro pretendido para o Sistema de Informação, de que forma
deve ser apoiado pelas TI e de que modo será implementado este suporte. Segundo de Sá-Soares
[2016], o Planeamento da SSI inclui o desenvolvimento de uma estratégia de segurança e política
de segurança que determina a forma como os aspetos administrativos e operacionais da segurança
do sistema de informação são geridos.
No que concerne à avaliação da segurança do sistema de informação, esta permite
determinar o nível de integridade dos processos, sistemas ou produtos. É de salientar nesta
componente o papel das normas e das boas práticas que permitem avaliar e ter perceção da
situação atual e das possíveis projeções para desenvolvimentos futuros [de Sá-Soares 2016].
No que diz respeito à componente da implementação, é importante ressalvar a
implementação de medidas para a segurança do sistema, onde são promovidas a adoção de
diretrizes, boas práticas e mecanismos de controlo.
Por último, a conceção do Sistema de Segurança da Informação tem um papel central na
melhoria e avaliação da capacidade das organizações no âmbito da segurança [de Sá-Soares 2006].
As principais quebras na segurança dos sistemas podem advir de três formas: da não execução de
uma determinada função que deveria ter sido realizada; execução de uma função que não devia ter
sido realizada ou ainda a realização de uma função que produziu um resultado incorreto [de Sá-
Soares 2016].
A SSI nem sempre é tida em conta na fase de conceção dos Sistemas de Informação. Além
disso, a segurança dos sistemas de informação é muitas vezes considerada uma solução técnica.
Contudo, a segurança que é conseguida através da implementação de tecnologia por vezes é
limitada, podendo tornar-se ineficaz sem o suporte apropriado da gestão e de procedimentos no
âmbito da segurança [ISO/IEC 2016]. Garantir a segurança dos sistemas de informação não se
avizinha uma tarefa fácil e muitas vezes é um processo dispendioso, desta forma é importante
realçar a importância de um planeamento cuidadoso na identificação dos controlos necessários.
Segundo a norma ISO/IEC 27000 [2016] a adoção bem sucedida de um SGSI é importante para
garantir a SSI permitindo assim a uma organização:
Obter uma maior garantia de que os seus ativos de informação estão devidamente
protegidos contra possíveis ameaças,
14
Manter uma framework estruturada para a identificação e avaliação de riscos
associadas à segurança, seleção e aplicação de controlos, medição e melhoria da sua
eficácia,
Melhorar continuamente o seu ambiente de controlo e
Alcançar de forma efetiva o cumprimento legal e regulamentar.
2.2 Normas de Segurança de Sistemas de Informação
O aparecimento de um número considerável de normas no domínio da segurança de
sistemas de informação pode ser entendido pelo apoio que prestam aos indivíduos e organizações.
Através das normas é possível prescrever vários controlos de segurança e compilações de boas
práticas existentes no domínio da segurança [Sengupta 2015]. Estes padrões servem de manuais
de referência indispensáveis, utilizados pelas empresas no sentido de “identificar, conceber e
implementar” controlos de segurança relevantes com o objetivo de mitigar riscos que possam surgir
[Sengupta 2015].
Segundo Rannenberg [2000], a utilidade das normas verifica-se a vários níveis, como por
exemplo, o papel que estas desempenham no processo de certificação. As normas constituem um
instrumento de promoção de autoavaliação para as organizações relativamente à SSI e podem
ainda ser sinónimo de que estão a ser seguidas diretrizes e boas práticas que devem ser adotadas
pelas organizações [Eloff e von Solms 2000].
As normas podem, ainda, providenciar uma plataforma de comunicação entre os envolvidos
nos diversos processos associados à gestão da segurança, contribuindo, assim, para um
entendimento comum entre esses mesmos interessados [de Sá-Soares 2006].
Apesar das organizações muitas vezes reconhecerem a utilidade das normas, devido à sua
diversidade e número, é comum a existência de dificuldades em saber que norma adotar de forma
a tirar o maior proveito desses documentos. Em resposta a esta complexidade, Tejay [2005]
classificou as principais normas de SSI em quatro categorias, nomeadamente, avaliação da SSI,
desenvolvimento da SSI, gestão de risco em SSI e gestão da SSI.
Na primeira categoria, avaliação da SSI, é realçada a verificação dos requisitos de
segurança de um sistema de informação. O objetivo desta avaliação é garantir que o sistema possui
um grau de segurança recomendado e que este é capaz de detetar ameaças que o possam pôr em
causa [Tejay 2005]. Existem várias normas que visam a avaliação da SSI, no entanto a norma
15
recomendada é a norma internacional ISO/IEC 15408 – IT – Security techniques – Evaluation
criteria for IT security.
A norma ISO/IEC 15408 contém critérios de avaliação da segurança que podem ser
entendidos como métricas na avaliação da eficácia dos serviços de segurança fornecidos por uma
dada tecnologia. A norma ISO/IEC 15408 encontra-se dividida em três partes. A norma ISO/IEC
15408-1:2009 – IT – Security techniques – Evaluation criteria for IT security – Part1: Introduction
and genereal model onde são estabelecidos os conceitos gerais e os princípios para a avaliação da
segurança e onde é especificado um modelo geral para a avaliação fornecido pelas várias parte da
norma ISO/IEC 15408 [ISO 2009]. A norma ISO/IEC 15408-2:2008 – IT – Security techniques –
Evaluation criteria for IT security – Part 2: Security functional components define os requisitos
funcionais de segurança a serem avaliados, organizados através de uma estrutura hierárquica de
classes, famílias e componentes [ISO 2008a]. A terceira parte da norma ISO/IEC 15408
denominada por ISO/IEC 15408-3:2008 – IT – Security techniques – Evaluation criteria for IT
security – Part 3: Security assurance components é responsável pela definição dos requisitos de
garantia dos critérios de avaliação [ISO 2008b].
Na segunda categoria, desenvolvimento da SSI, estão inseridas as normas que visam a
melhoria e avaliação da capacidade das organizações no âmbito da engenharia da segurança de TI
[Tejay 2005]. A norma recomendada para o desenvolvimento da SSI é a norma ISO/IEC
21827:2008 – IT – Systems Security Engineering – Capability Maturity Model (SSE-CMM). Dado
tratar-se de um Modelo de Maturidade para a Capacidade6 espera-se que as organizações que
apliquem esta norma possam evoluir de um estado menos organizado e menos competente, em
termos do processo de engenharia da segurança, para um estado estruturado e eficaz. A norma
ISO/IEC 21827:2008 descreve as características essenciais dos processos de engenharia de
segurança de uma organização, onde o âmbito é o ciclo de vida completo de um produto ou
sistema seguro [ISO 2008c].
Na terceira categoria, gestão de risco, são agregadas as normas que asseguram a
identificação, análise, controlo e comunicação dos riscos da SSI a que uma organização está
exposta [Tejay 2005]. Para esta categoria a norma internacionalmente aceite é a norma ISO/IEC
27005 – IT – Security techniques – Information security risk management. A norma ISO/IEC 27005
fornece orientações para a gestão de risco no âmbito da SSI suportando os requisitos presentes na
norma ISO/IEC 27001.
6 Modelo de Maturidade para a Capacidade – tradução da expressão inglesa “Capability Maturity Model”, abreviada por CMM.
16
Na quarta e última categoria, gestão da SSI, contém as normas que se debruçam sobre os
objetivos necessários à gestão da segurança do SI de uma organização [Tejay 2005]. A norma
recomendada para proceder à gestão da SSI é a norma internacional ISO/IEC 27001. Existem
ainda outras normas que pertencem a esta categoria, nomeadamente as OECD Guidelines, GAISP e
a norma ISO/IEC 27002. Esta última norma será explanada de forma mais detalhada na secção
2.5, assim como as restantes na secção 2.3.
Por sua vez, Rigon et al.[2014] defendem que as normas da gestão de SI podem ser
classificadas segundo a sua orientação. Desta forma, as normas podem estar direcionadas para o
controlo, como é o exemplo da norma ISO/IEC 27001, para o produto, como a norma ISO/IEC
15708, para a gestão de risco, como a norma ISO/IEC 27005, e boas práticas, como é o caso da
norma ISO/IEC 27002.
Terminada a revisão das normas conexas ao campo da SSI, importa, agora, concentrar a
atenção nas normas para a Gestão da SSI.
2.3 Normas para a Gestão da Segurança de Sistemas de Informação
As normas internacionalmente reconhecidas para a gestão de segurança dos sistemas
fornecem um modelo a seguir na criação e funcionamento de sistemas de gestão de segurança.
Estes modelos incorporam características que os especialistas da área concluíram como sendo o
estado internacional da arte [ISO/IEC 2016].
O surgimento destes documentos pode ser entendido pelo apoio que prestam aos
indivíduos e organizações interessados no domínio da gestão da SSI [ISO/IEC 2016]. Este apoio
pode ser traduzido através de normas que auxiliam na definição dos requisitos para a gestão da
SSI, orientações detalhadas relativamente ao estabelecimento, implementação, manutenção e
melhoria da SSI e ainda a existência de normas que possibilitam a avaliação da conformidade do
sistema em causa [ISO/IEC 2016].
As normas de gestão da SSI permitem estabelecer metas e controlos necessários de forma
a gerir a segurança de um sistema de informação da organização, como exemplo de normas tem-se
OECD Guidelines, GAISP, NIST SP 800,ISO/IEC 27002, ISO/IEC 27001, e ainda, de forma mais
global, toda a família 27K.
A OECD publicou, em 1992, um documento denominado OECD Guidelines for the Security
of Information Systems, o qual foi revisto em 2002 e surgiu com a designação de OECD Guidelines
for the Security of Information Systems and Networks: Towards a Culture of Security. Com vista ao
17
desenvolvimento social, este documento propôs um conjunto de princípios que se aplicam a todos
os participantes com o objetivo de melhorar a segurança das redes e sistemas [OECD 2016].
A GAISP – Generally Accepted Information Security Principles – sucessor da GASSP
(Generally Accepted System Security Principles), documenta “princípios, normas, convenções e
mecanismos” que são entendidos, por consenso, como orientações e ferramentas a que os
especialistas de segurança deveriam atender e aplicar [ISSA 2004].
A NIST7 SP 800 fornece um conjunto de recomendações, orientações e referências ao nível
da gestão da segurança [NIST 2016].
A norma ISO/IEC 17799 – Information technolgy – Code of practice for information security
management – foi publicada em 2000 e revista em 2005, concebida como referência para a
identificação dos controlos de segurança necessários ao cumprimento dos objetivos da SSI. Esta
norma, atualmente numerada como ISO/IEC 27002, estabelece orientações e princípios para a
iniciação, implementação, manutenção e melhoria da gestão da segurança da informação nas
organizações [ISO/IEC 2005].
A família de normas ISO/IEC 27000 será explicada de forma mais detalhada na próxima
secção, incluindo as normas anteriormente referidas, designadamente a norma ISO/IEC 27001e a
norma ISO/IEC 27002.
2.4 Família de Normas ISO/IEC 27K
A família de normas 27K consiste num conjunto de normas interrelacionadas, já publicadas
ou em desenvolvimento, e que contêm um número significativo de componentes estruturais
[ISO/IEC 2016]. Estes componentes estão focados em padrões normativos que descrevem os
requisitos para SGSI (ISO/IEC 27001), requisitos do organismo de certificação (ISO/IEC 27006) e
ainda um conjunto de requisitos adicionais para implementações setoriais específicas (ISO/IEC
27009). As restantes normas que constituem a família 27K fornecem orientações para diferentes
aspetos do SGSI, desde implementação, ao processo genérico, bem como orientações setoriais
especificas [ISO/IEC 2016].
Nesta secção será apresentada a resenha histórica relativamente à família 27K assim como
uma breve descrição da composição da mesma. De forma mais detalhada serão descritas as
7 NI8T – National Institute of Standards and Technology
18
normas ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 e
ainda uma descrição resumida da norma ISO/IEC 27002.
2.4.1 Resenha Histórica
A família de normas 27K surgiu na década de 1980, conforme ilustra a Figura 2, o
surgimento de novas normas, refletiu a evolução no âmbito da segurança de sistemas de
informação. Novos desafios (como cloud computing) e o emergente consenso no que diz respeito às
boas práticas foram os grandes impulsionadores no desenvolvimento de padrões fundamentais na
área da segurança [NoticeBored 2016].
A origem da série ISO/IEC 27000 encontra-se no Commercial Computer Security Centre,
fundado no âmbito do Departamento de Comércio e Indústria do Reino Unido em maio de 1987. O
principal objetivo desta entidade prendia-se com a necessidade de ajudar os utilizadores de TI na
criação de um conjunto de critérios de avaliação de segurança da informação internacionalmente
reconhecidos e ainda a criação de um código de boa prática no âmbito da segurança de
informação. Em 1989, o segundo objetivo foi conseguido com a publicação do “Users Code of
Practice”. Este documento foi aprofundado pela National Computing Centre (NCC) e mais tarde
contou com a colaboração de diversas organizações britânicas [GSSL 2014]
Em maio de1995 foi publicada pela British Standard Institution (BSI) a norma britânica BS
7799:1995, após um período de consulta pública, com a designação de “Information Security
management – Code of practice for information security management systems”. Posteriormente,
em 1996, esta norma foi submetida como proposta para norma internacional, mas foi rejeitada pela
Organização Internacional de Normalização [GSSL 2014].
Figura 2 – Cronograma ISO 27K
Adaptado de [NoticeBored 2016]
19
Aquando da publicação da BS 7799:1995, o Departamento de Comércio e Indústria já
trabalhava no sentido de criar um sistema de acreditação que possibilitasse a obtenção de
certificação do seu sistema de gestão da segurança de informação segundo esta mesma norma. No
sentido de suportar este processo foi criada a BS7799 Part 2, em fevereiro de 1998, com o objetivo
de facilitar o comércio mediante certificações de segurança verificáveis [Backhouse et al.2006].
Face à intenção de tornar as normas internacionalmente aceites, procedeu-se à primeira
revisão da norma BS 7799:1999 publicada em abril de 1999, passando assim a designar-se por BS
7799-1:1999 e BS 7799-2:1999. Em outubro do mesmo ano, a norma BS 7799-1:1999 foi
submetida a votação pela ISO/IEC, sob o procedimento fast-track8. No dia 1 de Dezembro de 2000
a norma foi publicada com a referência ISO/IEC 17799:2000 [Backhouse et al. 2006] e com o
título “Information technology – Code of practice for information security management” [ISO/IEC
2005].
Em setembro de 2002, a norma BS 7799-2:1999, após revisão, foi publicada pela BSI
como a norma BS 7799-2:2002. Em outubro de 2005 a norma BS 7799-2 foi renumerada para
ISO/IEC [GSSL 2014].
A norma ISO/IEC 17799:2000 foi também sujeita a um processo de revisão, o qual deu
origem à publicação da norma ISO/IEC 17799:2005, em junho de 2005 [ISO]. Por sua vez, a
norma ISO/IEC 17799:2005 foi renumerada como ISO/IEC 27002:2005. Segundo Humphreys
[ISO 2005a] várias mudanças no ambiente organizacional e até mesmo a alteração na própria
forma de fazer negócio foram impulsionadores para a revisão da norma ISO/IEC 17799:2005. A
crescente dependência da utilização de serviços externos; a presença de novos riscos e ameaças
aos negócios; o aparecimento de novas tecnologias e por sua vez a maior conectividade; e ainda o
aumento de requisitos ao nível da segurança para atingir a conformidade ao nível regulamentar
resultou no aparecimento da ISO/IEC 27002:2005 [ISO 2005a].
Mais tarde em 2013, a ISO/IEC JTC1/SC 27, comissão técnica estabelecida entre a ISO e
IEC no campo das tecnologias da informação e a subcomissão que tem como função a
padronização de métodos genéricos e técnicas para segurança de TI [ISO 2014], reviram e
republicaram as atuais versões ISO/IEC 27001:2013 e ISO/IEC 27002:2013 [ISO/IEC 2013a,
2013b]. Comparativamente à versão de 2005, a atual versão da norma ISO/IEC 27002 sofreu
alterações consideráveis, quer ao nível da estrutura, quer ao nível do conteúdo. Na presente versão
8 Fast Track – Este procedimento permite que qualquer um dos membros participantes no JTC 1 proponha uma norma existente para ser
submetida diretamente a votação sem modificação[ISO].
20
foram acrescentadas duas novas cláusulas, nomeadamente a criptografia (cláusula 10) e a que está
destinada para as relações com os fornecedores (cláusula 15). Além destas, foram também
acrescentadas duas novas cláusulas relacionadas com a segurança das operações e segurança das
comunicações, que vieram substituir, na versão antecedente, a cláusula relativa à gestão das
comunicações e operações. Alguns controlos da versão antiga (como diagnóstico remoto e
configuração da proteção da porta, controlo de roteamento da rede, etc) foram removidos, enquanto
novos controlos foram adicionados à versão vigente (como segurança na informação na gestão de
projetos, teste da segurança do sistema, entre outros.). Ademais, a análise crítica da norma permite
apontar uma mudança significativa na abordagem base para a implementação da gestão da
segurança nos sistemas de informação. É agora dada uma maior ênfase à governação da
segurança de informação, isto é, maior responsabilidade relativamente à conceção, monitorização e
avaliação da segurança do sistema por parte da gestão de topo de uma organização [Sengupta
2015].
2.4.2 Composição da Família de Normas ISO/IEC 27K
A série de normas ISO/IEC 27K, também conhecida como a família das normas ISO/IEC
27000 ou família das normas de gestão de segurança dos sistemas de informação, providencia as
recomendações para as boas práticas relativamente à gestão da segurança da informação, riscos e
controlos num contexto global de um sistema de informação [Mesquida e Mas 2015]. A presente
família de normas agrega um conjunto de documentos que têm sido aprimorados e modificados ao
longo do tempo de forma a que se encontrem atualizados e em concordância com o seu conteúdo e
forma [Disterer 2013]. A ISO tem como principal objetivo a criação de normas coesas na área da
segurança da informação, assim como a compatibilidade com outras normas existentes. Desta
forma é possível conferir às organizações um suporte, independentemente da sua dimensão, setor
ou tipo [Disterer 2013].
A série 27000 foi publicada em conjunto pela International Organization for Standardization
(ISO) e pela International Electrotechnical Commission (IEC) com o objetivo de ajudar as
organizações a implementar e operar uma gestão de segurança de sistemas de informação [Wessel,
Yang e Vries 2011].
Atualmente, a série 27K assume a possibilidade da utilização de qualquer referencial de
qualidade, no entanto, um dos mais utilizados ainda continua a ser o ciclo PDCA (Plan-Do-Check-
Act) que enfatiza a necessidade de direcionar um processo assim como a integração das operações
21
planeadas e a constante verificação da implementação previamente delineada. Na fase de
planeamento da gestão da segurança de um SI os requisitos para a proteção da informação e o
sistema de informação são definidos, riscos identificados e avaliados e procedimentos e medidas
alistados de forma a reduzir esses mesmos riscos. Estes procedimentos e medidas serão
implementados na fase de implementação e operações. Os relatórios gerados através da contínua
monitorização das operações serão usados para melhoria e futuros desenvolvimentos do sistema
[Disterer 2013].
Cada norma da família 27K é descrita segundo o seu papel ou tipo conforme ilustra a
Figura 3. Desta forma é possível dividir as normas em:
Normas que descrevem uma visão geral e a terminologia utilizada,
Normas que especificam requisitos,
Normas que descrevem orientações gerais e
Normas que descrevem orientações setoriais especificas.
De forma a reter uma visão geral da gestão da SSI, assim como os termos utilizados ao
longo das normas, procedeu-se à análise da norma ISO/IEC 27000. Pertencente ao grupo de
normas que especifica requisitos, tem-se a norma ISO/IEC 27001, à qual se procedeu a uma
análise com o objetivo de perceber os requisitos necessários para estabelecer, implementar,
monitorar, rever e melhorar um sistema de gestão da segurança de informação. Posteriormente,
reviram-se as normas que suportam o SGSI, mais precisamente a norma ISO/IEC 27002, ISO/IEC
27003, ISO/IEC 27004 e ISO/IEC 27005.
Figura 3 – Família de Normas 27K
Adaptado da Norma ISO/IEC 27000 [ISO/IEC 2016]
22
2.4.3 Norma ISO/IEC 27000:2016
A norma ISO/IEC 27000, intitulada “Information technology -- Security techniques --
Information security management systems -- Overview and vocabulary”, traduz uma visão geral da
gestão de segurança dos sistemas de informação, assim como os termos e definições
comummente utilizados em todas as normas que visam a gestão da segurança dos SI. Esta norma
internacional é aplicável a todos os tipos de organizações, nomeadamente organizações comerciais,
agências governamentais e ainda organizações sem fins lucrativos [ISO].
A norma ISO/IEC 27000 serve de introdução às restantes normas da família 27K,
clarificando os termos e conceitos que compõem o contexto das normas que a constituem [De
Lange et al. 2015].
2.4.4 Norma ISO/IEC 27001:2013
A norma ISO/IEC 27001 é composta por onze secções, nomeadamente, introdução,
âmbito, referências normativas, termos e definições, contexto organizacional, liderança,
planeamento, suporte, operação, avaliação do desempenho e melhoria do SGSI [ISO/IEC 2013a].
A norma principia por apresentar uma introdução demonstrando a importância de um SGSI
[ISO/IEC 2013a].
Na primeira secção está incluído o âmbito, onde é feita uma descrição dos limites que a
norma abrange. Os requisitos constituídos por esta norma permitem avaliar e tratar os riscos
associados à segurança da informação, sendo genéricos, permite que se adequem a empresas de
todos os tipos, dimensão ou natureza [ISO/IEC 2013a].
Na segunda secção encontram-se as referências normativas, demonstrando a importância
da norma ISO/IEC 27000 [ISO/IEC 2013a].
Na terceira secção, termos e definições, é dada ênfase aos conceitos presentes na norma
ISO/IEC 27000 cuja retenção é indispensável para uma melhor compreensão do documento
[ISO/IEC 2013a].
Na quarta secção encontram-se os requisitos necessários à implementação do Sistema de
Gestão da Segurança de Informação (SGSI), onde visa a compreensão da organização e do
23
respetivo contexto, das necessidades e expectativas das partes interessadas, e ainda da
determinação do âmbito da segurança da gestão do SI [ISO/IEC 2013a].
Na quinta secção considera-se a importância da responsabilidade da gestão na
organização, fazendo referência à relevância do compromisso por parte da gestão de topo no
estabelecimento de políticas de segurança da informação assim como o seu papel na garantia das
responsabilidades para a atribuição dos papéis relevantes para a segurança da informação [ISO/IEC
2013a].
Na sexta secção, planeamento, são consideradas as ações para enfrentar as ameaças e
oportunidades, assim como a importância da avaliação de riscos e as respetivas ações corretivas.
Ainda na presente secção é feita referência à importância do planeamento da SSI no
estabelecimento dos objetivos [ISO/IEC 2013a].
Na sétima secção é possível verificar alusão ao suporte que pode ser dado ao SGSI. É
realçada a importância dos recursos necessários, bem como da relevância da determinação das
competências de cada pessoa e a respetiva consciencialização, da comunicação e ainda da
documentação relativa às informações que devem ser devidamente geridas [ISO/IEC 2013a].
Na oitava secção, operações, é elucidado o planeamento e o controlo das operações,
avaliação de risco da segurança de informação, assim como as medidas a ter em conta [ISO/IEC
2013a].
Na nona secção, avaliação do desempenho, a norma destaca a importância das auditorias
internas em intervalos periódicos a fim de assegurar que os controlos são mantidos e mostram-se
adequados [ISO/IEC 2013a].
Na décima secção recomenda-se a melhoria contínua. Sempre que detetadas
inconformidades, a organização deve reagir e avaliar a necessidade de ações que eliminem as
causas dessa mesma inconformidade. A organização deve melhorar de forma contínua a adequação
e eficácia do sistema de gestão da segurança de informação [ISO/IEC 2013a].
A norma ISO/IEC 27001 fornece os requisitos para estabelecer, implementar, manter e
continuamente melhorar o sistema de gestão da segurança de informação para uma determinada
organização. Esta norma contém em anexo os controlos explanados de forma detalhada na norma
ISO/IEC 27002. Depois de implementados os controlos e o sistema de gestão da segurança de
informação, conforme a norma ISO/IEC 27001 e a norma ISO/IEC 27002, a organização pode
optar por uma certificação formal. As entidades responsáveis pela certificação vão verificar se todos
24
os controlos foram tidos em consideração de forma a mitigar os possíveis riscos associados aos
sistemas [Sengupta 2015].
A norma ISO/IEC 27001 permite ainda avaliar a conformidade das partes interessadas,
tanto internas como externas. Esta norma foi elaborada para permitir às organizações um
alinhamento ou integração do seu sistema de gestão da segurança de informação com os requisitos
da gestão do sistema [Mesquida e Mas 2015].
A grande questão que se coloca é a existência destas duas normas separadamente e não
fundidas, visto que a ISO/IEC 27002 serve de pilar da ISO/IEC 27001. Em resposta a esta
separação tem-se a usabilidade das normas. Se todo o conteúdo estivesse condensado numa única
norma esta seria demasiado complexa e bastante extensa para uso prático. Cada norma da série
27K é planeada com um determinado objetivo. Se a finalidade for a construção dos alicerces da
segurança de informação, assim como a sua estrutura, então deve ser utilizada a norma ISO/IEC
27001; se o propósito for a implementação dos controlos então deve ser utilizada a norma ISO/IEC
27002; já se a finalidade for a avaliação e o tratamento de riscos a mais indicada seria a norma
ISO/IEC 27005 [27001Academy 2010].
Uma implementação bem-sucedida da segurança do SI depende primeiramente da correta
identificação e implementação dos controlos de segurança. A implementação de controlos
irrelevantes para a organização vai resultar em investimentos desnecessários, além disso, pode
ainda dar origem a novos riscos para a organização [Sengupta 2015]. Por outro lado, ignorar
controlos adequados pode levar a violações na segurança e até mesmo ataques, além do que uma
incorreta identificação dos controlos necessários resultará numa falha da organização aquando do
requerimento oficial da certificação pela ISO/IEC 27001 [Sengupta 2015].
De acordo com os dados revelados pela ISO relativamente ao número de certificações
conseguidas até ao final de dezembro de 2015, foram contabilizados 27536 certificados pela
ISO/IEC 27001. Este valor comparativamente ao ano imediatamente anterior apresentou um
aumento de 20% uma vez que em 2014 foram registados 23005 certificados pela ISO/IEC
27001[ISO 2016c].
2.4.5 Norma ISO/IEC 27002:2013
A norma ISO/IEC 27002 fornece um conjunto de orientações para a implementação de
controlos que visam a segurança do sistema de informação [ISO/IEC 2016]. Os objetivos dos
controlos e os controlos presentes na norma fornecem uma orientação geral no que diz respeito às
25
referências comummente aceites no âmbito da gestão da segurança. A presente norma serve ainda
como uma linguagem comum no âmbito da gestão da SSI [ISO 2005a], capaz de promover a
construção de confiança nas atividades interorganizacionais [Mesquida e Mas 2015].
A norma ISO/IEC 27002 é composta por dezoito secções, em que as últimas catorze
englobam os controlos de segurança sugeridos pela norma. Da quinta secção à décima oitava
secção são apresentados os 114 controlos de segurança e as respetivas recomendações de
implementação [ISO/IEC 2013b].
A implementação dos controlos presentes na norma ISO/IEC 27002 são considerados uma
prioridade para as organizações que pretendam assegurar a continuidade, minimizar riscos e
maximizar o retorno do investimento e das oportunidades de negócio. Dado o foco desta
investigação se prender com a análise da norma ISO/IEC 27002, proceder-se-á a uma revisão mais
aprofundada dessa norma na secção 2.5.
2.4.6 Norma ISO/IEC 27003:2010
O propósito da norma ISO/IEC 27003 – IT – Security techniques – Information security
management system implementation guidance é fornecer um guia prático para o desenvolvimento
do plano de implementação para a gestão da segurança do sistema de informação numa
organização em conformidade com a norma ISO/IEC 27001 [ISO/IEC 2016].
A norma ISO/IEC 27003 centra-se nos aspetos críticos necessários para a conceção e
implementação bem-sucedida de um SGSI de acordo com as provisões contidas na norma ISO/IEC
27001. Este documento descreve o processo de conceção do SGSI, desde o início até à produção
de planos de implementação. A norma ISO/IEC 27003 fornece ainda orientações obre o
planeamento do SGSI, resultando num plano final de implementação [ISO].
A norma ISO/IEC 27003 não cobre as atividades operacionais associadas à gestão da SSI,
tendo como resultado final o plano do projeto de implementação da gestão de segurança do
sistema de informação [Humphreys 2011].
2.4.7 Norma ISO/IEC 27004:2016
A norma ISO/IEC 27004 – Information technology – Security techniques – Information
security management – Measurement providencia um guia para o desenvolvimento e uso de
medidas e medições que permitem avaliar a eficácia da implementação da gestão da SSI e dos
26
controlos ou grupos de controlos especificados na ISO/IEC 27001 [ISO/IEC 2016]. Assim, inclui
políticas, gestão de risco, objetivos dos controlos, processos e procedimentos, e suporte ao
processo de revisão, com o objetivo de verificar a existência de processos ou controlos que
necessitem de melhoria ou mudanças. O programa de medição da segurança da informação auxilia
a gestão na identificação e avaliação de processos e controlos que não estejam em conformidade
ou que sejam detetados como ineficazes com o objetivo de priorizar atividades relacionadas com a
melhoria ou mudança. A presente norma permite ainda demonstrar a conformidade com a norma
ISO/IEC 27001 e fornece evidências adicionais para a revisão da gestão [Humphreys 2011].
2.4.8 Norma ISO/IEC 27005:2011
A norma ISO/IEC 27005 – Information technology – Security techniques – Information
security risk management providencia diretrizes para a gestão de risco, suportando os requisitos da
gestão de segurança do SI presentes na norma ISO/IEC 27001. No entanto, esta norma não dita
um método específico para a gestão de risco, cabe assim à organização definir a sua abordagem, a
qual depende, por exemplo, do âmbito da gestão de segurança do SI, do contexto da gestão de
risco e do sector de atividade em que a organização se insira [Humphreys 2011].
2.5 Descrição da Norma ISO/IEC 27002
A norma ISO/IEC 27002 é constituída pela capa, índice, prólogo, introdução, âmbito,
referências normativas, termos e definições, estrutura da norma e as respetivas cláusulas, num
total de 80 páginas. A norma ISO/IEC 27002 tem por título “Information technology – Security
techniques – Code of practice for information security controls” e segundo Eloff e von Solms [2000],
pode-se entender “Code of practice” como o culminar de anos de experiência num dado domínio de
atuação, constituindo uma descrição detalhada de um determinado problema de forma a atingir um
ou vários objetivos específicos.
No Prólogo da norma são fornecidas informações sobre a organização responsável pela
norma e sobre as normas internacionais em geral. A Introdução fornece informação e comentários
particulares relativamente ao conteúdo da norma. O Âmbito da norma estabelece os limites da
mesma, mediante a definição dos aspetos que abarca. Termos e definições contém as definições
necessárias para a compreensão da norma. A estrutura da norma permite perceber de que forma o
documento está subdividido, nomeadamente em cláusulas, categorias e controlos. As cláusulas
27
constituem o componente básico da subdivisão do conteúdo da norma, a apresentação das
mesmas é feita mediante a apresentação do título, dos objetivos, da descrição e das categorias que
a constituem.
No que toca ao conteúdo, a norma está organizada em 14 cláusulas. Estas cláusulas
contêm muitas vezes mais do que uma categoria e por sua vez associado mais do que um objetivo
por cláusula. Na totalidade a norma contém 35 categorias e 114 controlos detalhados.
Apesar da diversidade de controlos sugeridos pela norma é importante realçar a utilização
do verbo auxiliar “should” que remete para a necessidade de adaptação dos controlos listados à
situação em causa. A forma como os controlos são apresentados sugere uma recomendação ou
orientação podendo ou não ser seguida. Observa-se assim que a intenção da norma ISO/IEC 27002
não é definir especificações a cumprir de forma rigorosa, mas avançar com recomendações a
considerar para a obtenção de um sistema de informação seguro.
Na introdução da norma são apresentados aspetos importantes para a compreensão do seu
conteúdo. Inicialmente é reconhecido o valor da informação, nas suas diversas formas, como um
ativo com valor para o negócio que necessita de proteção. Desta forma, a segurança da informação
é concretizada através da implementação adequada de controlos. A norma sublinha a importância
da identificação dos requisitos de segurança por parte da organização, sendo apontadas três fontes
para a identificação desses requisitos: avaliação de riscos; requisitos legais, estatuários,
regulamentares e contratuais e, por fim, o conjunto de princípios, objetivos e requisitos de negócio
desenvolvidos pela organização. A norma aponta a avaliação de riscos como um meio para priorizar
os riscos de segurança. Para a seleção de controlos é considerada a utilização da norma como base
para esta seleção. Um outro aspeto referido na introdução é o desenvolvimento de diretrizes
próprias que visa a adaptação dos controlos contidos na norma à organização em causa servindo,
assim, como ponto de partida. Através da explanação do ciclo de vida de um sistema de informação
é realçada a importância da segurança em todos os estádios. Ainda na introdução é feita referência
às normas relacionadas, como a família 27000 que providencia conselhos e requisitos
relativamente a outros aspetos no processo global da gestão de segurança da informação.
Através da análise do âmbito presente na norma ISO/IEC 27002, percebe-se que a
audiência é identificada como aqueles que procuram selecionar, implementar e gerir os controlos
tendo em conta os riscos associados à segurança de informação. Na presente norma não é feita
qualquer distinção no tipo ou dimensão de organização, setor público ou privado, ou ainda com ou
sem fins lucrativos.
28
A norma procura constituir-se como um conjunto de controlos comummente aceites no
âmbito da segurança de sistemas de informação. Subjacente a este intento está associado o
raciocínio de que se uma organização implementar as recomendações presentes na norma poderá
apresentar-se como uma potencial organização de confiança ao contrário daquelas que não o
façam.
A segunda secção, Referências Normativas, permite uma melhor compreensão do restante
conteúdo da norma, sendo a norma ISO/IEC 27000 apontada como documento indispensável para
a aplicação da norma em análise.
Na quarta secção, Termos e Definições, é realçada a importância da aplicação dos
conceitos presentes na norma ISO/IEC 27000.
As restantes catorze secções integram os controlos propostos pela norma. A norma regista
na sua totalidade 114 controlos de segurança que as organizações devem considerar e que podem,
mediante a organização, ser alvo de seleção. Na Tabela 1 sintetizam-se os objetivos visados em
cada cláusula, assim como o número de categorias e controlos associados. Observa-se que a norma
apenas enumera estes controlos, não avançando com detalhes relativamente à sua implementação.
Tabela 1 – Cláusulas da norma ISO/IEC 27002
Cláusulas Categoria
s Controlos Objetivos
5: Políticas de
Segurança da
Informação
1 2
Prover uma orientação e suporte para a
segurança da informação de acordo com os
requisitos do negócio e com as leis e
regulamentações relevantes.
6: Organização da
Segurança de
Informação
2 7
Estabelecer uma estrutura de gestão que permita
iniciar e controlar a implementação e as
operações da segurança de informação na
organização. Garantir a segurança do teletrabalho9
e uso de dispositivos móveis.
7: Segurança de
Recursos Humanos 3 6
Garantir que os colaboradores percebem as suas
responsabilidades e que estas são adequadas à
função que desempenham. Aquando de
cessações de contrato ou em fases de mudança
garantir a proteção dos interesses da organização.
9 Teletrabalho – Traduzido do inglês “teleworking”.
29
Cláusulas Categoria
s Controlos Objetivos
8: Gestão de Ativos 3 10
Identificar ativos da organização e definir
responsabilidades apropriadas de proteção.
Assegurar que a informação recebe um nível
adequado de proteção. Prevenir revelação,
remoção ou destruição de informação não
autorizadas.
9: Controlo de Acesso 4 14
Limitar o acesso à informação e instalações de
processamento da informação. Garantir acesso a
utilizadores autorizados e prevenir acesso não
autorizado aos sistemas e serviços.
Responsabilizar os utilizadores pela salvaguarda
da sua informação de autenticação. Prevenir o
acesso não autorizado a sistemas e aplicações.
10: Criptografia 1 2
Garantir o uso eficaz e apropriado da criptografia
de forma a proteger a confidencialidade,
autenticidade e integridade da informação.
11: Segurança Física e
Ambiental 2 15
Prevenir o acesso físico não autorizado, danos e
interferências nas instalações de processamento
de informações e informações da organização.
Prevenir perda, danos, furto ou comprometimento
de ativos e interrupções das atividades da
organização.
12: Segurança das
Operações 7 14
Garantir operações corretas e seguras no
processamento da informação.
13: Segurança das
Comunicações 2 7
Garantir proteção da informação nas redes e
suporte no processamento. Manter a segurança
da informação transferida internamente à
organização ou com entidades externas.
14: Aquisição,
Desenvolvimento e
Manutenção de
Sistemas
3 13
Garantir que a segurança é parte integrante de
sistemas de informação durante todo o ciclo de
vida. Assegurar que a segurança da informação é
concebida e implementada no desenvolvimento
do ciclo de vida do sistema de informação.
Garantir a proteção dos dados utilizados para
testes.
15: Relações com os
Fornecedores 2 5
Garantir a proteção dos ativos da organização que
são acedidos pelos fornecedores. Manter o nível
acordado de segurança da informação e
prestação do serviço pelos fornecedores.
30
Cláusulas Categoria
s Controlos Objetivos
16: Gestão de
Incidentes da
Segurança de
Informação
1 7
Assegurar uma abordagem efetiva e coerente
aplicada à gestão de incidentes da segurança da
informação.
17: Segurança da
Informação na Gestão
da Continuidade do
Negócio
2 4
A continuidade da segurança da informação deve
estar incorporada na continuidade da gestão dos
sistemas da organização. Garantir a
disponibilidade das instalações de processamento
da informação.
18: Conformidade 2 8
Evitar violações ao nível legal, regulamentar ou de
obrigações contratuais relacionadas com a
segurança da informação ou de qualquer outro
requisito de segurança.
Total 35 114
2.6 Identificação do Problema de Investigação
Atualmente, com a interconectividade, o aumento dos fluxos informacionais, a necessidade
de partilhar informação e ainda a diluição das fronteiras, as organizações estão cada mais
dependentes dos seus sistemas de informação para garantia da continuidade do negócio. A
implementação de normas de segurança de informação torna-se importante uma vez que permite a
minimização dos riscos associados à segurança [Tejay 2005].
A revisão efetuada sobre as normas de SSI revelou um número considerável de padrões
para a orientação geral da atividade de SSI. Entre as várias normas pertencentes ao domínio da
gestão da SSI que foram alvo de revisão, este estudo terá como principal foco a norma ISO/IEC
27002 reconhecida como o melhor documento que cataloga controlos que poderão revelar-se úteis
nos esforços de proteção dos sistemas de informação das organizações. A eventual existência de
discrepâncias entre as provisões contidas na norma ISO/IEC 27002 e a prática das organizações e
dos seus membros deverá ser analisada, uma vez que a falta de rigor na escolha dos controlos
poderá ter um impacto irremediável na segurança dos sistemas de informação.
O desalinhamento dos controlos contidos na norma ISO/IEC 27002 com a prática das
organizações resulta na necessidade de simplificar a verificação das provisões de forma a potenciar
31
a utilização assertiva dos controlos comummente aceites e que visam a proteção dos sistemas de
informação. Mediante o problema de investigação apontado surge a seguinte questão de
investigação: “é viável desenvolver um toolkit que permita a uma organização autodiagnosticar o
seu grau de observância da norma ISO/IEC 27002?”.
Para proceder ao desenvolvimento deste projeto, explicita-se no Capitulo 3 a abordagem de
investigação utilizada.
32
Abordagem de Investigação
No capítulo anterior defendeu-se que a revisão de literatura sobre a Segurança de Sistemas
de Informação, Gestão de Segurança de SI, Normas de Segurança de Sistemas de Informação,
Normas para Gestão da Segurança de Sistemas de Informação, Família 27K e Norma ISO/IEC
27002 constituem grande parte do corpo teórico apropriado e relevante para o estudo do problema
de investigação.
Neste capítulo proceder-se-á à discussão da Abordagem de Investigação, avançando-se para
a explanação da estratégia de investigação adotada.
Este capítulo encontra-se organizado em três secções. Na secção 3.1 apresenta-se a
estratégia de investigação adotada para este projeto, nomeadamente a Design Science Research.
Na secção 3.2 apontam-se possíveis resultados esperados da aplicação da estratégia de
investigação. Por fim, na secção 3.3 indicam-se os ciclos, etapas do processo e resultados que
constituem a estratégia de investigação.
3.1 Estratégia de Investigação
Com o objetivo de eleger a estratégia de investigação mais adequada é fulcral identificar
primeiramente a questão de investigação a que se pretende dar resposta. A natureza do problema
está inerente à segurança dos SI, na questão da viabilidade do desenvolvimento de um toolkit que
permita a uma organização autodiagnosticar o seu grau de observância da norma ISO/IEC 27002,
e que visa ser um código de boas práticas para os controlos de segurança da informação. Desta
forma, crê-se fundamental que para auxiliar as organizações na verificação da sua conformidade
com a norma ISO/IEC 27002 seja primordial a revisão da norma em questão, tal como a
identificação dos objetos de diagnóstico e a criação dos métodos de diagnóstico correspondentes a
fim de criar um toolkit que possa ser validado em contexto organizacional.
Desta forma e para a prossecução dos objetivos deste trabalho recorreu-se a Design
Science Research (DSR). O objetivo principal da abordagem Design Science Research é a criação de
soluções que visam a resolução de problemas, exigindo por isso a criação de um artefacto inovador
e pertinente para um domínio específico.
Hevner et al. [2004] defendem que para desenvolver e comunicar conhecimento relativo à
gestão das TI, assim como para a utilização das TI para fins organizacionais e administrativos, são
33
necessários dois paradigmas distintos mas complementares, designados por Design Science e
Behavioral Science.
O paradigma Behavioral Science tem como base os métodos de Natural Science Research
(NSR) reconhecidos como atividades de criação de conhecimento que têm como objetivo perceber a
natureza das TI [March e Smith 1995]. De forma a perceber a natureza das TI, procura desenvolver
e justificar teorias que explicam ou preveem fenómenos, humanos e organizacionais, envolvendo a
análise, conceção, implementação, gestão e utilização dos sistemas de informação. Estas teorias
informam investigadores e profissionais de interações entre pessoas, tecnologias e organizações
que devem ser geridas para que um SI consiga atingir o seu propósito, nomeadamente a melhoria
da eficácia e eficiência de uma organização. Desta forma, estas teorias têm influência e são
influenciadas por decisões de conceção que advêm da DSR [Hevner et al. 2004].
O paradigma de Design Science tem como base a Engenharia e as Ciências do Artificial,
sendo fundamentalmente um paradigma de resolução de problemas. Procura criar inovações que
definem ideias, práticas, capacidades técnicas e produtos através dos quais a análise, conceção,
implementação, gestão e utilização de SI podem ser efetiva e eficazmente realizadas. Tais artefactos
não estão isentos das leis naturais ou de teorias comportamentais, ou seja, a criação dos artefactos
baseia-se nas teorias existentes que são aplicadas, testadas, modificadas e estendidas através da
experiência, criatividade, intuição e competências de resolução de problemas do investigador
[Hevner et al. 2004].
O interesse científico em TI reflete-se nos pressupostos destes fenómenos poderem ser
explicados por teorias científicas e que a investigação científica pode melhorar a prática em TI.
Existem dois tipos de práticas, uma descritiva e outra prescritiva. A investigação descritiva tem
como objetivo a compreensão da natureza das TI, ou seja, uma atividade de produção de
conhecimento correspondendo à NSR. A investigação prescritiva tem como objetivo melhorar o
desempenho das TI, isto é, uma atividade de utilização de conhecimento correspondente à DSR
[March e Smith 1995].
A investigação em TI estuda fenómenos artificiais, em oposição aos fenómenos naturais,
uma vez que lida com criações humanas, tais como organizações e sistemas de informação. O
fenómeno artificial pode ser criado e estudado, onde os cientistas podem contribuir para cada uma
dessas atividades. A DSR diz respeito às explicações de “como” e “porquê”, estando assim
relacionada com a “elaboração de artefactos para atingir objetivos”. Enquanto a DSR tenta criar
artefactos que sirvam propósitos humanos, sendo por isso considerada orientada à tecnologia, a
34
NSR tem como finalidade a compreensão da realidade através de investigação tradicional no
domínio da física, biologia, área social e comportamental [March e Smith 1995].
3.2 Resultados da Design Science Research
No que respeita aos resultados da DSR, March e Smith [1995] defendem que estes podem
ser constructos representacionais, modelos, métodos ou instanciações.
March e Smith [1995] referem que os constructos ou conceitos formam o vocabulário de
um domínio, constituindo uma concetualização utilizada para descrever problemas dentro do
domínio e para especificar as suas soluções, formando conhecimento partilhado e linguagem
especializada. As concetualizações são muito importantes na NSR e DSR pois definem os termos
utilizados quando se descreve e se reflete acerca de determinadas tarefas. Quanto aos modelos,
são considerados um conjunto de proposições ou declarações a expressar relações entre
constructos. Um modelo pode ser visto como uma simples descrição, isto é, uma representação de
como as coisas são ou deveriam ser. Segundo Vaishnavi e Kuechler [2016], os modelos diferem
das teorias de NSR no conteúdo, uma vez que esta abordagem (NSR) tem um foco tradicional,
enquanto que DSR foca-se na utilidade. Desta forma, um modelo é apresentado em termos do que
faz e uma teoria é descrita em termos da relação dos respetivos constructos. Embora imprecisos
nos detalhes, os modelos têm que capturar a estrutura da realidade com o objetivo de conseguir
uma representação útil. Por outro lado, se as imprecisões e abstrações inerentes aos modelos não
forem entendidas, a sua utilização pode levar a ações inapropriadas [March e Smith 1995].
Os métodos são definidos como um conjunto de passos (algoritmos ou diretrizes) utilizados
para executar uma tarefa. Segundo Vaishnavi e Kuechler [2016], os métodos são planos
direcionados aos objetivos para manipular constructos, e desta forma o modelo da solução é
concebido. Ou seja, um método de DSR contém o problema e a solução e é expressado de forma
implícita em vocabulários de constructos. Segundo March e Smith [1995], os métodos são
baseados em conjuntos de constructos subjacentes (linguagem) e representação (modelos) do
espaço de solução.
Por fim, o último resultado possível da investigação da DSR é designado por instanciações.
Segundo March e Smith [1995] pode-se entender instanciação como a validação do artefacto no
seu ambiente, operacionalizando constructos, modelos e métodos. Instanciações demonstram a
viabilidade e eficácia dos modelos e métodos. Desta forma é enfatizada a natureza proactiva da
DSR, onde uma instanciação pode preceder efetivamente a completa articulação dos seus
35
constructos, modelos e métodos subjacentes [Vaishnavi e Kuechler 2016]. Assim, as instanciações
providenciam artefactos de trabalhos e o seu estudo pode levar a avanços significativos tanto na
DSR como na NSR [March e Smith 1995].
O quinto resultado da DSR, acrescentado por Purao [2002] e Rossi e Sein [2003], citado
por Vaishnavi e Kuechler [2016], é conhecido como “better theories” – design theories. A DSR pode
contribuir para melhores teorias (ou construção de teorias) em pelo menos duas formas distintas,
podendo ser interpretadas como análogas à investigação cientifica experimental na NSR [Vaishnavi
e Kuechler 2016].
A primeira das formas refere que a construção metodológica de um artefacto pode ser um
objeto de teorização para muitas comunidades, onde a fase de construção de um esforço de DSR
pode ser reconhecida como uma prova experimental do método, uma exploração experimental do
método ou ambas [Vaishnavi e Kuechler 2016].
A segunda das formas refere que um artefacto pode revelar relações entre os seus
elementos. Se as relações entre os elementos do artefacto (ou sistema) são inferiores na sua
compreensão e se a relação é tornada mais visível que anteriormente, tanto durante a fase de
construção ou na fase de avaliação do próprio artefacto, então, a compreensão dos elementos será
maior. Para alguns tipos de investigação, a construção do artefacto é valorizada precisamente pela
sua contribuição para a teoria [Vaishnavi e Kuechler 2016].
Na Tabela 2 apresentam-se, de forma resumida, os possíveis resultados de investigação da
DSR.
Tabela 2 – Resultados da Design Science Research
Adaptado de Vaishnavi e Kuechler [2016]
Resultado Descrição
Constructos Vocabulário concetual de um domínio.
Modelos Conjunto de proposições ou declarações que expressam relações entre
os constructos.
Métodos Conjunto de passos utilizados para executar uma tarefa.
Instanciações Implementações situadas num determinado ambiente que
operacionalizam constructos, modelos e métodos.
Melhores teorias
Conjunto prescritivo de declarações em como fazer algo de forma a
atingir um determinado objetivo. A teoria normalmente inclui outros
artefactos abstratos como constructos, modelos, arquiteturas, princípios
da conceção e métodos.
36
Avaliando os possíveis resultados da DSR e considerando como resultado final do presente
estudo o toolkit de autodiagnóstico, entende-se que o resultado obtido se enquadra, a nível
procedimental, na categoria dos métodos uma vez que o toolkit consubstanciar-se-á num conjunto
de verificações que visam a melhoria do SGSI.
3.3 Ciclos, Etapas do Processo e Resultados
Segundo Hevner [2007], a DSR é constituída por três ciclos, nomeadamente o Ciclo de
Relevância, o Ciclo de Rigor e o Ciclo de Conceção.
A DSR inicia-se pelo Ciclo de Relevância que efetua a ponte entre o ambiente contextual do
projeto de investigação com as atividades da DSR [Hevner 2007]. A DSR é motivada pelo desejo de
melhorar o ambiente através da introdução de artefactos novos e inovadores e ainda de processos
para a construção destes artefactos [Simon 1996]. A título de clarificar a ideia do ambiente
contextual, Hevner [2007] considera que o domínio da aplicação consiste nas pessoas, sistemas
organizacionais e sistemas técnicos que interagem para atingir um objetivo. Neste ciclo são
fornecidos os requisitos da investigação (como por exemplo oportunidade/problema a ser abordado)
como inputs, bem como os critérios de aceitação para a avaliação dos resultados obtidos. O output
obtido na DSR deve ser devolvido para o ambiente de estudo e de avaliação no domínio da
aplicação. Os resultados obtidos do campo de teste vão determinar se são necessárias iterações
adicionais do Ciclo de Relevância no projeto de DSR [Hevner 2007].
Outro ciclo importante da DSR é designado por Ciclo de Rigor, que liga as atividades de
DSR com a base do conhecimento de fundamentos científicos, experiência e conhecimento que
fazem parte do projeto de investigação. A estratégia de investigação de DSR é concebida a partir de
uma vasta base de conhecimento de teorias científicas e métodos de engenharia que fornecem as
fundações para uma DSR rigorosa. A base de conhecimento contém dois tipos de conhecimento: o
conhecimento vindo das experiências que definem o estado da arte no domínio da aplicação da
investigação e a existência de artefactos e processos encontrados no domínio da aplicação [Hevner
2007].
O rigor da investigação na DSR tem como base a seleção e aplicação de teorias e métodos
apropriados na construção e avaliação do artefacto [Hevner 2007]. Iivari [2007] salienta a
necessidade para a construção de métodos de investigação que permitam a disciplina, rigor e
transparência na construção de artefactos de TI. O rigor na construção dos artefactos permite a
distinção entre Sistemas de Informação como design science das práticas de conceber artefactos de
37
TI. Assim, é necessário identificar várias fontes diferentes de ideias para a fundamentação da DSR
onde se incluem oportunidades/problemas (provenientes do Ciclo de Relevância), artefactos já
existentes, analogias/metáforas e teorias [Iivari 2007].
O ciclo de conceção é constituído por um conjunto de atividades de investigação que
interagem mais rapidamente entre a conceção do artefacto, a sua avaliação e feedback
subsequente para que depois seja possível redefinir e melhorar essa mesma conceção. Os
requisitos deste ciclo são a informação de entrada do ciclo de relevância e a conceção e avaliação
de teorias e métodos que é elaborada no ciclo de rigor. É fulcral que durante o desempenho do
Ciclo de Conceção exista um certo balanço entre os esforços despendidos na conceção e avaliação
na evolução do artefacto. Ambas as atividades têm de ser baseadas, convincentemente, na
relevância e no rigor [Hevner 2007].
No entanto, Hevner [2007] reforça a ideia de que para a construção de um artefacto ter um
argumento fortemente fundamentado é insuficiente se a avaliação subsequente for fraca. Ou seja,
são necessárias múltiplas interações do ciclo de conceção, antes que as contribuições se
constituam como resultados válidos. Iivari [2007] corrobora afirmando que “a essência dos SI
como DSR reside na avaliação científica dos artefactos”.
Hevner et al. [2004] propõem um conjunto de orientações para um projeto de DSR, tal
como resume a Tabela 3, com o propósito de auxiliar investigadores, revisores, editores e leitores
no sentido de proporcionar uma melhor compreensão dos requisitos para uma DSR eficaz.
Tabela 3 – Orientações para a Design Science Research
Adaptado de Hevner et al. [2004]
Orientação Descrição
Orientação 1: Conceção como um
Artefacto
A DSR tem que produzir um artefacto viável na forma de um
constructo, modelo, método ou uma instanciação.
Orientação 2: Relevância do Problema O objetivo da DSR é desenvolver soluções baseadas em
tecnologia para problemas de negócio importantes e relevantes.
Orientação 3: Avaliação da Conceção
A utilidade, qualidade e eficácia do artefacto tem que ser
rigorosamente demonstrada através de métodos bem
executados de avaliação de avaliação.
Orientação 4: Contribuições da
Investigação
Uma DSR eficaz tem que proporcionar contribuições claras e
verificáveis nas áreas da conceção do artefacto, fundamentos
da conceção e/ou métodos de conceção.
38
Orientação Descrição
Orientação 5: Rigor da Investigação A DSR baseia-se na aplicação de métodos rigorosos tanto na
construção como na avaliação de um artefacto.
Orientação 6: Conceção como um
Processo de Pesquisa
A pesquisa por um artefacto eficaz requer a utilização de meios
disponíveis para alcançar os objetivos desejados enquanto se
satisfaz as leis no ambiente do problema.
Orientação 7: Comunicação da
Investigação
A DSR tem que ser apresentada eficazmente tanto a audiências
orientadas para a tecnologia como para audiências orientadas
para a gestão.
Vaishnavi e Kuechler [2016] apresentaram também uma estruturação geral das etapas que
constituem a DSR que pode ser observada na Figura 4.
No contexto deste trabalho, realizar-se-á uma análise com base nas orientações propostas
por Hevner et. al. [2004], March e Smith [1995] e ainda segundo Vaishnavi e Kuechler [2016] de
modo a encontrar analogias nas propostas, nos ciclos de DSR, etapas do processo e respetivos
resultados esperados.
Figura 4 – Etapas da DSR
Adaptado de Vaishnavi e Kuechler [2016]
39
Um projeto típico de DSR é fundamentalmente baseado na resolução de problemas que
visam a criação de novos artefactos no sentido de resolver problemas organizacionais anteriormente
identificados [Hevner et al. 2004].
Conforme ilustra a Figura 5, na DSR um método ou modelo é primeiramente iniciado
através do desenvolvimento ou criação de um artefacto de forma a servir um propósito especifico,
para que assim possa ser avaliado o desempenho do artefacto [March e Smith 1995]. Para a
construção/desenvolvimento do artefacto é fulcral a demonstração da sua necessidade, isto é, a
demonstração da relevância do problema [Hevner et al. 2004]. Segundo as orientações propostas
por Hevner et al. [2004], esta fase do projeto de DSR corresponde à Orientação 2, na medida em
que se baseia na relevância do problema e na sua relevância para a resolução de problemas que
afetam a organização. No que diz respeito às propostas para as etapas da DSR, segundo Vaishnavi
e Kuechler [2016], esta fase corresponde à sensibilização para um problema interessante que, por
sua vez, pode surgir de múltiplas fontes, tais como, novos desenvolvimentos da indústria ou numa
disciplina ou área de referência. O resultado desta fase é uma Proposta, formal ou informal, para
Figura 5 – Instanciação das Etapas da DSR
Adaptado de Hevner et al [2004] e Mesquida e Mas [2015]
40
um novo esforço de investigação [Vaishnavi e Kuechler 2016]. Num projeto de DSR, a fase de
consciencialização/sensibilização do problema corresponde ao Ciclo de Rigor e ao Ciclo de
Relevância anteriormente explicados e defendidos por Hevner [2007].
Concretamente neste trabalho de investigação, a fase de sensibilização para o problema
teve como base a compreensão da necessidade de criação de um toolkit de autodiagnóstico de
conformidade com a norma ISO/IEC 27002. Derivou daí a necessidade de analisar literatura
relevante, uma revisão aprofundada da norma ISO/IEC 27002, e mais tarde resultará na
identificação dos objetos de diagnóstico, assim como a criação de métodos de diagnóstico.
A etapa seguinte, segundo Vaishnavi e Kuechler [2016], é designada por Sugestão onde o
resultado é a tentativa de conceção. Se depois da consideração de um problema não for
apresentada uma tentativa de conceção, a ideia (Proposta) será abandonada. A Sugestão é
essencialmente um passo criativo no qual uma nova funcionalidade é imaginada com base numa
nova configuração de elementos existentes ou de elementos novos e existentes [Vaishnavi e
Kuechler 2016]. Através das orientações propostas por Hevner et al. [2004], pode-se encontrar
analogias com as orientações 5 e 6 presentes na Tabela 3, uma vez que o passo criativo é baseado
na configuração de elementos que se fundamentam em métodos rigorosos que suportam tanto a
construção (neste caso, a Tentativa de Conceção) como a própria avaliação do artefacto, utilizam os
meios disponíveis para atingir os objetivos que são desejados [Hevner et al. 2004]. É também
possível fazer a correspondência, segundo a perspetiva de Hevner [2007], para o Ciclo de
Conceção.
De forma a suportar a elaboração do toolkit realizou-se a revisão de literatura, com o
objetivo de fazer o levantamento dos principais conceitos no âmbito da segurança da informação.
Como se observa na Figura 5, o conhecimento base que sustentou o processo criativo no qual é
planeado um instrumento baseado na configuração inovadora de elementos existentes ou de
elementos existentes novos e existentes, foram os conceitos relacionados com a segurança, tais
como Gestão da Segurança da Informação, Normas para a Segurança de Informação, Família 27K
e a norma ISO/IEC 27002. O principal foco da presente investigação recai sobre a análise
aprofundada da norma ISO/IEC 27002 que objetiva o cumprimento de um conjunto de controlos de
forma a assegurar a segurança de sistemas de informação de uma organização.
A etapa de Desenvolvimento num projeto de DSR correspondente ao Ciclo de Conceção e
tem como resultado a implementação da Tentativa de Conceção. As técnicas de implementação
variam, dependendo do artefacto a ser criado. A própria implementação pode ser muito vulgar e
41
não ter necessidade de envolver inovação além do estado de prática do referido artefacto [Vaishnavi
e Kuechler 2016]. Esta fase corresponde à orientação 1 sugerida por Hevner [2004], pois a
implementação da Tentativa de Conceção significa a produção de um artefacto viável na forma de
um constructo, modelo, método ou uma instanciação.
A fase de Desenvolvimento constitui-se na criação do toolkit de autodiagnóstico de
conformidade com a norma ISO/IEC 27002 para a presente investigação.
A fase de Avaliação, que tem também correspondência com o Ciclo de Conceção, refere
que uma vez construído o artefacto há necessidade de o avaliar de acordo com os critérios
presentes na Proposta (fase da Consciência do Problema). Os desvios das expectativas, tanto
quantitativos como qualitativos, são cuidadosamente anotados e têm que ser devidamente
explicados. Se as proposições iniciais não forem totalmente confirmadas, inicia-se outra ronda na
fase de Sugestão [Vaishnavi e Kuechler 2016]. Segundo as orientações propostas por Hevner
[2004], esta fase do projeto corresponde à orientação 3, que refere que a utilidade, qualidade e
eficácia do artefacto têm que ser rigorosamente demonstradas através de métodos bem
executados. A avaliação, segundo Hevner [2004], é realizada consoante a contribuição do artefacto
para as necessidades do negócio num determinado ambiente e de que forma este acrescenta
conhecimento para futuras pesquisas e práticas, conforme ilustra a Figura 5. Para a presente
investigação, pretende-se avaliar a exequibilidade do toolkit através da sua validação em contexto
real com o objetivo de avaliar o artefacto de acordo com o seu contributo para as organizações.
Por fim, segundo a perspetiva de Vaishnavi e Kuechler [2016], a última fase corresponde à
Conclusão, tal como ilustra a Figura 4, que consiste na fase final de um esforço de investigação
específico [Vaishnavi e Kuechler 2016]. Esta última fase do projeto de DSR poderá corresponder à
orientação 4, que faz referência às contribuições claras e verificáveis proporcionadas pela conceção
do artefacto, e ainda à orientação 7, que menciona a importância da comunicação da investigação
de forma eficaz para audiências orientadas para a tecnologia, assim como as audiências orientadas
para a gestão [Hevner et al. 2004].
Para esta última fase, espera-se que os resultados sejam discutidos e concluídos,
elaborando-se a interpretação dos resultados obtidos a que se chegou com a elaboração do toolkit
de autodiagnóstico.
42
Plano de Trabalhos
Neste capitulo descreve-se de forma detalhada as atividades que constituem o plano de
trabalhos. Na secção 4.1 são apresentas as atividades necessárias para a elaboração do trabalho,
seguindo-se na secção 4.2 um cronograma com o objetivo de clarificar a sequenciação das
atividades ao longo do tempo. Na secção 4.3 encontra-se o cruzamento dos objetivos enunciados
para o trabalho com as atividades anteriormente explanadas. Na secção 4.4 apontam-se as
considerações éticas a ter em consideração ao longo da realização do projeto. Finalmente, na
secção 4.5, caracterizam-se os riscos que podem de alguma forma influenciar a realização deste
projeto, bem como as ações de mitigação que devem ser tomadas caso tal aconteça.
4.1 Atividades
Na presente secção expõem-se as principais tarefas que devem ser realizadas para a
concretização com sucesso do projeto, assim como uma breve descrição das mesmas.
Até ao momento procedeu-se à pesquisa e seleção de literatura servindo de base para a
tarefa seguinte que teve como principal objetivo a revisão da literatura relevante acerca da temática
em estudo. Numa primeira fase foram definidos os conceitos basilares, incidindo nas normas e
certificação, segurança de sistemas de informação e gestão da segurança de sistemas de
informação e ainda com maior ênfase na família de normas 27K e na norma ISO/IEC 27002.
Pretende-se com a revisão da literatura dar suporte a toda a base teórica que constitui o trabalho de
dissertação. Assim, foi possível escrever o projeto de dissertação consolidando todas as tarefas
anteriormente explanadas e servindo de base para o desenvolvimento do trabalho subsequente.
Seguidamente, apresenta-se uma breve descrição das atividades a desenvolver:
Análise aprofundada da norma ISO/IEC 27002 – A análise da norma ISO/IEC 27002 é
a rampa de lançamento para que possa ser possível a identificação dos objetos de
diagnóstico a ter em conta para a criação do toolkit.
Elencar objetos de diagnóstico – Esta tarefa tem como principal objetivo responder à
questão “o que diagnosticar?”. Após análise aprofundada da norma ISO/IEC 27002 é
fulcral listar que objetos de diagnóstico vão servir de base para a criação do toolkit,
perceber dependências entre controlos presentes na norma, de forma a evitar a criação
de objetos que não sejam necessários, assim como a análise da existência de
exceções.
43
Desenvolver métodos de diagnóstico – Espera-se que o resultado desta tarefa responda
à questão “como diagnosticar?”, depois de identificados os objetos de diagnóstico é
elementar decidir qual será o método utilizado para diagnosticar a observância da
norma ISO/IEC 27002.
Elaborar Toolkit – Após a identificação dos objetos e dos métodos de diagnóstico criar-
se-á o toolkit. É de ressalvar que a criação do toolkit também tem vários aspetos a ser
pensados, nomeadamente a forma como será apresentado e em que formato
apresentará os resultados obtidos.
Aplicar Toolkit em contexto real – Esta atividade tem como objetivo a validação do
toolkit em contexto organizacional, permitindo perceber a fiabilidade do toolkit e se
cumpre ou não os objetivos a que se propõe.
Rever Toolkit – Após validação em contexto real, é importante a análise dos resultados
obtidos a fim de perceber as melhorias que podem ser atendidas e de que forma serão
implementadas.
Planear Relatório de Dissertação – É importante planear de forma atempada quais
serão os elementos que fazem parte do corpo do relatório a fim de cumprir todos os
objetivos a que o projeto se propõe.
Escrever Relatório de Dissertação – Com esta atividade pretende-se que seja realizado o
documento que consolide todos os esforços desenvolvidos ao longo deste estudo.
Servirá, assim, para apresentar todo o processo de investigação, bem como o trabalho
realizado e os resultados alcançados.
Rever Relatório de Dissertação – Esta tarefa tem como principal objetivo assegurar que
todo o trabalho realizado está de acordo com o pretendido.
44
4.2 Cronograma
Na Figura 6 encontra-se o diagrama de Gantt que permite uma melhor sequenciação do planeamento do trabalho tendo em conta as tarefas
necessárias, ao longo dos meses. É de ressalvar que, no entanto, este planeamento poderá sofrer alterações com o decorrer do trabalho devido a
situações adversas ou não tidas em consideração.
Figura 6 – Diagrama de Gantt
45
Todas as tarefas presentes no cronograma foram explanadas na secção imediatamente
anterior. De notar que ao longo do projeto se encontram definidas três milestones: versão alfa do
toolkit, versão final do toolkit e a submissão do relatório de dissertação.
4.3 Cruzamento de Atividades com Objetivos
A realização das tarefas deve assegurar o cumprimento dos objetivos propostos para o
trabalho de dissertação. Na tabela 5 procura-se evidenciar em que medida as tarefas devem
assegurar o cumprimento dos objetivos de investigação propostos.
Os objetivos do presente trabalho, já anteriormente explanados, são:
Objetivo 1 – Revisão da norma ISO/IEC 27002,
Objetivo 2 – Identificação dos objetos de diagnóstico,
Objetivo 3 – Criação de métodos de diagnóstico,
Objetivo 4 – Criação do toolkit e
Objetivo 5 – Validação do toolkit em contexto organizacional.
Tabela 4 – Cruzamento de Atividades com Objetivos
Atividade Obj. 1 Obj. 2 Obj. 3 Obj. 4 Obj. 5
Analisar Norma ISO/IEC 27002 X
Elencar objetos de diagnóstico X
Identificar dependências entre controlos X X
Desenvolver métodos de diagnóstico X
Elaborar Toolkit X
Aplicar Toolkit em contexto real X
Rever Toolkit X X X X
Planear Relatório de Dissertação X X X X X
Escrever Relatório de Dissertação X X X X X
Rever Relatório de Dissertação X X X X X
4.4 Considerações Éticas
As considerações éticas assumem particular importância no decurso de um projeto de
investigação. Considera-se que o investigador deve ponderar todas as questões éticas que
46
possam ter algum impacto na investigação, assumindo a relevância que as mesmas assumem
na garantia da sua fiabilidade. Acredita-se que a identificação prévia destas questões permite
conduzir o desenvolvimento do trabalho de forma consciente.
Atendendo à natureza da presente investigação, as preocupações éticas incidem
sobretudo na confidencialidade e anonimato de todos os participantes. No caso de se verificar a
validade do toolkit em contexto real, em que seja necessária a participação de terceiros, é
importante assegurar as condições de participação voluntária. Assim, todos os participantes
terão conhecimento da finalidade do estudo antes da sua participação assim como os resultados
obtidos antes da divulgação dos mesmos.
4.5 Riscos
Tal como acontece em todos os outros trabalhos, também nos trabalhos de investigação
existem riscos associados, dependendo do tipo de investigação podem ter mais ou menos
impacto no desenvolvimento do projeto. Na tabela 6 encontram-se listados os possíveis riscos
que poderão surgir ao longo do trabalho, assim como as respetivas ações de mitigação. São
ainda apresentadas, numa escala de 1 a 5, a probabilidade de ocorrência e o respetivo impacto,
podendo assim dar mais atenção aos riscos que possam pôr em causa o sucesso do projeto.
Segundo a escala utilizada, 1 corresponde a baixo e 5 corresponde a alto.
Tabela 5 – Riscos no desenvolvimento da Dissertação de Mestrado
Risco Probabilidade Impacto Mitigação
Planeamento incorreto
de atividades a realizar 3 4
Análise cuidadosa de todas as
atividades relevantes para o
cumprimento dos objetivos do trabalho.
Erro na estimativa do
planeamento temporal
do projeto
3 4 Reforço das horas de trabalho para
cumprir o planeamento.
Perda de documentos
já elaborados 2 5 Realização de backups diários.
Dificuldade na listagem
dos objetos de
diagnóstico
3 5 Análise cuidadosa do conteúdo
presente na Norma ISO/IEC 27002.
47
Risco Probabilidade Impacto Mitigação
Dificuldade na criação
de métodos de
diagnóstico
3 5 Análise cuidadosa dos objetos de
diagnóstico identificados.
Dificuldade na obtenção
de disponibilidade por
parte de alguma
empresa
3 5
Planear atempadamente quais os
possíveis intervenientes e relembrar a
importância da participação dos
mesmos para a realização do projeto.
48
Conclusão
Para a concretização do presente trabalho de investigação tornou-se fulcral proceder a
uma revisão de literatura, tendo em vista a obtenção das informações mais relevantes na área.
Após a realização do enquadramento de todos os conceitos recolhidos e entendidos
como relevantes, assim como da definição da abordagem e o planeamento, crê-se que estão
atingidos os objetivos do projeto para avançar na prossecução desta investigação. Logo, espera-
se que com o desenvolvimento deste projeto se obtenha resposta à questão de investigação que
orienta o estudo apresentado.
49
Referências
27001Academy. (2010). Semelhanças e diferenças entre a ISO 27001 e a ISO 27002. Retrieved
from https://advisera.com/27001academy/pt-br/blog/2010/12/19/iso-27001-vs-iso-
27002-4/
Amaral, L. (1994). PRAXIS: Um referencial para o Planeamento de Sistemas de Informação.
Andress, A. (2003). Surviving security: how to integrate people, process, and technology. CRC
press.
Backhouse, J., Hsu, C. W., and Silva, L. (2006). Circuits of power in creating de jure standards:
shaping an international information systems security standard. MIS Quarterly, 413–438.
da Silva Netto, A., and da Silveira, M. A. P. (2007). Gestão da segurança da informação: fatores
que influenciam sua adoção em pequenas e médias empresas. JISTEM-Journal of
Information Systems and Technology Management, 4(3), 375–397.
De Lange, J., Von Solms, R., and Gerber, M. (2015). Better information security management in
municipalities. In 2015 IST-Africa Conference, IST-Africa 2015.
https://doi.org/10.1109/istafrica.2015.7190529
De Lange, J., Von Solms, R., and Gerber, M. (2016). Information security management in local
government. In 2016 IST-Africa Conference, IST-Africa 2016. Institute of Electrical and
Electronics Engineers Inc. https://doi.org/10.1109/istafrica.2016.7530584
de Sá-Soares, F. (2006). Interpretação da segurança de sistemas de informação segundo a
teoria da acção.
de Sá-Soares, F. (2016). Gestão da Segurança de Sistemas de Informação.
Dhillon, G. (1997). Managing Information System Security. (I. S. Series, Ed.). London: Macmillan
Press.
Dhillon, G. (2000). Information Security Management: Global Challenges in the New Millennium.
Idea Group Publishing.
Dhillon, G., and Backhouse, J. (1996). Risks in the use of information technology within
organizations. International Journal of Information Management, 16(1), 65–74.
https://doi.org/http://dx.doi.org/10.1016/0268-4012(95)00062-3
Dhillon, G., and Backhouse, J. (1999). Managing for secure organisations: a critique of
information systems security research approaches. The LSE Computer Security Research
Centre, London, UK.
Dhillon, G., and Backhouse, J. (2000). Technical opinion: Information system security
50
management in the new millennium. Communications of the ACM, 43(7), 125–128.
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for information security management.
Eloff, M. M., and von Solms, S. H. (2000). Information security management: a hierarchical
framework for various approaches. Computers & Security, 19(3), 243–256.
GSSL, G. S. S. L. (2014). The history of ISO/IEC 27001. Retrieved from
http://www.gammassl.co.uk/27001/history.php
Hevner, A. R. (2007). A three cycle view of design science research. Scandinavian Journal of
Information Systems, 19(2), 4.
Hevner, A. R., March, S. T., and Park, J. (2004). Design science in information systems research.
MIS Quarterly, 28(1).
Humphreys, E. (2011). Information security management system standards. Datenschutz Und
Datensicherheit-DuD, 35(1), 7–11.
Iivari, J. (2007). A paradigmatic analysis of information systems as a design science.
Scandinavian Journal of Information Systems, 19(2), 5.
ISO. (2005a). Influencing purchasers. ISO Management Systems, 5(5), 27–30.
ISO. (2005b). ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of
practice for information security management. Retrieved March 6, 2017, from
https://www.iso.org/standard/39612.html
ISO. (2008a). ISO/IEC 15408-2:2008. Retrieved March 1, 2017, from
https://www.iso.org/standard/46414.html
ISO. (2008b). ISO/IEC 15408-3:2008. Retrieved from
https://www.iso.org/standard/46413.html
ISO. (2008c). ISO/IEC 21827:2008Information technology — Security techniques — Systems
Security Engineering — Capability Maturity Model (SSE-CMM). Retrieved from
https://www.iso.org/obp/ui/#iso:std:iso-iec:21827:ed-2:v1:en
ISO. (2009). ISO/IEC 15408-1:2009. Retrieved March 2, 2017, from
https://www.iso.org/standard/50341.html
ISO. (2010). ISO/IEC 27003:2010 Information technology -- Security techniques -- Information
security management system implementation guidance. Retrieved March 6, 2017, from
https://www.iso.org/standard/42105.html
ISO. (2014). ISO/IEC JTC 1: Vision, Mission and Principles . Retrieved from
http://www.iso.org/iso/jtc1_mission_brochure_2014_final.pdf
51
ISO. (2016a). Benefits of International Standards. Retrieved December 20, 2016, from
http://www.iso.org/iso/home/standards/benefitsofstandards.htm
ISO. (2016b). ISO/IEC 27000:2016. Retrieved from
http://www.iso.org/iso/catalogue_detail?csnumber=66435
ISO. (2016c). ISO Survey 2015. Retrieved February 25, 2017, from
http://www.iso.org/iso/the_iso_survey_of_management_system_standard_certifications_
2015.pdf
ISO. (2016d). Standards. Retrieved January 10, 2017, from
http://www.iso.org/iso/home/standards.htm
ISO/IEC. (2005). ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of
practice for information security management.
ISO/IEC. (2013a). ISO/IEC27001 Information technology -- Security techniques -- Information
security management systems -- Requirements.
ISO/IEC. (2013b). ISO/IEC 27002 Information technology -- Security techniques -- Code of
practice for information security controls.
ISO/IEC. (2016). ISO/IEC 27000 Information technology -- Security techniques -- Information
security management systems -- Overview and vocabulary.
ISSA. (2004). GAISP - Generally Accepted Information Security Principles Version 3.0. Retrieved
from https://citadel-information.com/wp-content/uploads/2010/12/issa-generally-
accepted-information-security-practices-v3-2004.pdf
Kurowski, S., Litwing, R., and Luckemeyer, G. (2015). A View on ISO/IEC 27001 Compliant
Identity Lifecycles for IT Service Providers. 2015 World Congress on Internet Security
(Worldcis), 85–90.
March, S. T., and Smith, G. F. (1995). Design and natural science research on information
technology. Decision Support Systems, 15(4).
Mesquida, A. L., and Mas, A. (2015). Implementing information security best practices on
software lifecycle processes: The ISO/IEC 15504 Security Extension. Computers & Security,
48, 19–34. https://doi.org/10.1016/j.cose.2014.09.003
NIST. (2016). NIST SPECIAL PUBLICATIONS. Retrieved from
http://csrc.nist.gov/publications/PubsSPs.html#SP 800
NoticeBored. (2016). ISO 27K Timeline. Retrieved from
http://www.iso27001security.com/html/timeline.html
52
OECD. (2016). OECD Guidelines for the Security of Information Systems and Networks: Towards
a Culture of Security . Retrieved from
http://www.oecd.org/sti/ieconomy/oecdguidelinesforthesecurityofinformationsystemsandn
etworkstowardsacultureofsecurity.htm
Peltier, T. R. (2001). Information Security Policies, Procedures, and Standards: guidelines for
effective information security management. CRC Press.
Purao, S. (2002). Design research in the technology of information systems: Truth or dare. GSU
Department of CIS Working Paper, 45–77.
Rannenberg, K. (2000). IT Security Certification and Criteria. In Information Security for Global
Information Infrastructures (pp. 1–10). Springer.
Rigon, E. A., Westphall, C. M., Dos Santos, D. R., and Westphall, C. B. (2014). A cyclical
evaluation model of information security maturity. Information Management and Computer
Security, 22(3), 265–278. https://doi.org/10.1108/imcs-04-2013-0025
Rossi, M., and Sein, M. K. (2003). Design research workshop: a proactive research approach.
Presentation Delivered at IRIS, 26, 9–12.
Sahibudin, S., Sharifi, M., and Ayat, M. (2008). Combining ITIL, COBIT and ISO/IEC 27002 in
order to design a comprehensive IT framework in organizations (pp. 749–753). IEEE.
Schneier, B. (2014). The Future of Incident Response. Schneier on Security. Retrieved from
https://www.schneier.com/blog/archives/2014/11/the_future_of_i.html
Sengupta, A. (2015). Modeling Dependencies of ISO/IEC 27002:2013 Security Controls.
Security in Computing and Communications (Sscc 2015), 536, 354–367.
https://doi.org/10.1007/978-3-319-22915-7_33
Simon, H. A. (1996). The sciences of the artificial. MIT press.
Tejay, G. (2005). Making sense of information systems security standards. AMCIS 2005
Proceedings, 450.
Torres, J. M., Sarriegi, J. M., Santos, J., and Serrano, N. (2006). Managing information systems
security: critical success factors and indicators to measure effectiveness (pp. 530–545).
Springer.
Vaishnavi, V., and Kuechler, B. (2016). Design Science Research in Information Systems.
Retrieved from http://www/desrist.org/design-research-in-information-systems
Webster, J., and Watson, R. T. (2002). Analyzing the Past to Prepare for the Future: Writing a
Literature Review. MIS Quarterly, 26.
53
Wessel, R. van, Yang, X., and Vries, H. J. de. (2011). Implementing international standards for
Information Security Management in China and Europe: a comparative multi-case study.
Technology Analysis & Strategic Management, 23(8), 865–879.
https://doi.org/10.1080/09537325.2011.604155
54
Anexo I – Matriz de Conceitos
Referência Conceito
Título Autor Ano
1.
Impo
rtân
cia
da In
form
ação
(D
efin
ição
)
2.
Req
uisi
tos
da In
form
ação
3.
Def
iniç
ão d
e G
estã
o
4.
Ges
tão
de In
form
atio
n Te
chno
logy
(D
efin
ição
/Im
port
ânci
a)
5.
Impo
rtân
cia
da S
egur
ança
da
Info
rmaç
ão
6.
Aum
ento
da
Segu
ranç
a da
Info
rmaç
ão
7.
Info
rmat
ion
Secu
rity
Req
uire
men
ts
8.
Prin
cipa
is p
robl
emas
de
segu
ranç
a da
Info
rmaç
ão
9.
Impo
rtân
cia
da N
orm
a IS
O/I
EC 2
7002
10.
Evol
ução
das
Nor
mas
11.
Impo
rtân
cia
das
norm
as
12.
Obs
tácu
los
na a
doçã
o da
s no
rmas
13.
Cer
tific
ação
14.
ISO
270
00
15.
ISO
270
01
16.
Def
iniç
ão d
a N
orm
a IS
O/I
EC 2
7002
17.
Con
trol
os d
a IS
O27
002
18.
Impo
rtân
cia
e D
efin
ição
– P
oliti
ca d
e Se
gura
nça
19.
Anál
ise
de R
isco
20.
ISM
S– P
DC
A C
iclo
21.
Bus
ines
s M
odel
for
Info
rmat
ion
Secu
rity
22.
Impo
rtân
cia
do fa
tor
hum
ano
23.
Con
clus
ão
Information security requirements – Interpreting the legal aspects
Mariana Gerber; Rossouw von Solms
2008
Pág
124
e 1
25
Pág
124
/125
Pág.
126
Pág
125
ISO/IEC 27000, 27001 and 27002 for Information Security Management
Georg Disterer
2013
Pág
92
Pág
.92
Pág
.93/
97
Pág
.97/
98
Pág
.94
Pág
.98
55
Referência Conceito
Information Security Management System Standards
Edward Humphreys 20
11
Pág
.8
Pág
.9
Combining ITIL, COBIT and ISO/IEC 27002 in order to design a comprehensive IT Framework in Organizations
Shamsul Sahibudin; Mohammad Sharifi; Masarat Ayat.
2008
Pág
.749
Pág
.749
Pág
. 752
Proposal for Simplified Security Model for Small and Medium Business
Gonçalo Neto; Gliner Alencar; Anderson Queiroz
2015
Pág
.300
Pág
.299
Pág
.300
/305
Pág
.302
Pág
.301
Pág
.300
Pág
.300
/305
Pág
.301
Pág
.301
Pág
.303
/304
Pág
.300
/302
/305
Pág
.300
Pág
.305
56
Referência Conceito
Accounting Information Security: Procedures for the preparation of a security policy based on ISO 27001 and ISO 27002
Icaro Mattes; Sérgio Petri 20
13
Pág
.91/
92/9
6
Pág
.91
Pág
.91/
92/6
Pág
.99
Pág
.99
Pág
.92/
100
Pág
.98
Pág
.98
/99
Pág.
102
Pág
.92/
97/9
8/10
3/10
6 /1
07
Pág
.97
Information Security: Adherence to the Standard ABNT NBR ISO/IEC 17799:2005
Marcos de S. Vianez; Roberta H. Segobia e Vander Camargo
2008
Pág
ina
33/3
4
Pág
ina
33/3
4
Pág
ina
33/3
4
Pág
ina
34
Pág
ina
35
Implementing information security best practices on software lifecycle processes: The ISO/IEC 15504 Security Extension
Antoni Luís Mesquita, Antonia Mas
2015
Pág
.19
Pág
.19
Pág
.19
Pág
.20
Pág
.21
Pág
.22
Pág
.23/
24/2
9
Pág
.22
57
Referência Conceito
Mapping Legal Requirements to IT Controls
TravisD. Breaux, David G.Gordon 20
13
Pág
.11
Pág
.11
Pág
.11
Pág
.11
A framework and assessment instrument for information security culture
A. Da Veiga, J.H.P.Eloff 20
10
Pág
.196
/198
Pág
.197
Business Model for Security of a Large-Scale PACS, Compliance with ISO/27002: 2013 Standard
Josefina Martinez, Marco Gaona, Heriberto Meneses
2015
Pág
.481
Pág
.482
Pág
.482
/485
Evaluation of Information Security related risks of an organization – the application of the multi-criteria decision-making method
Bao-Chyuan Guan, Chi-Chun Lo, Ping Wang, Jaw-Shi Hwang
2003
Pág
.168
Pág
.168
Pág
.168
Pág
.172
Information Security Management: Factors that influence its adoption in small and mid-sized Business
Abner da Ailva Netto, Marco Antonio Pinheiro da Silveira
2007
Pág
.377
/378
Pág
.377
Pág
.392
Pág
.377
Pág
.380
Pág
.380
Pág
.378
Pág
.380
,381
Pág
.381
,385
Pág
.378
Pág
.395
58
Referência Conceito
Evaluating Security Risks following a Compliance Perspective
Reinaldo de B. Correia, Luci Pirmez, Luiz F.Rust C.Carmo
2008
Pág
.27
Pág
.35
Pág
.27
Pág
.27/
35
Pág
.27
Pág
.27
From Information security to… business security?
Basie von Solms, Rossouw von Solms
2005
Pág
.271
The 10 deadly sins of information security management
Basie von Solms, Rossouw von Solms
2004
Pág
.373
Pág
.375
Pág
.374
Pág
.373
Measuring effectiveness of information security management
Liu Hong-li, Zhu Ying-ju 20
09
Pág
.1
Pág
.1
A Knowledge-Based Tool to Support Clear Relationship between Threats and Countermeasures Based on International Standards
Guillermo Horacio Caceres, Yoshimi Teshigawara
2008
Pág
ina
523
Pág
ina
523
Pág
ina
523,
525
Pág
.526
59
Referência Conceito
Information Security Risk Management Planning: A Case Study at Application Module of State Asset Directorate General of State Asset Ministry of Finance
Sigit Prasetyo, Yudho Giri Sucahyo
2014
Pág
.96
Pág
.96
Pág
.96
Evaluating Protection of Computer Network in Education Sector
Yas A. Alsultanny 20
14
Pág
.1
Pág
.1
Pág
.1
A View on ISO/IEC 27001 Compliant Identify Lifecycles for IT Service Providers
Sebastian Kurowski, Richard Litwing, Gero Luckemeyer
2015
Pág
.85
Pág
.89
Better Information Security Management in Municipalities
Joshua De Lange, Rossouw Von Solms, Mariana Gerber
2015
Pág
.2
Pág
.4
Pág
.5
Pág
.7
60
Referência Conceito
A Cyclical Evaluation Model of Information security maturity
Evandro Alencar Rigon, Carla Merkle Westphall, Daniel Ricardo dos Santos, Carlos Becker Westphall
2013
Pág
.265
Pág
275,
276
Pág
.267
Pág
.267
Pág
.270
Pág
.270
Pág
.265
,273
,274
A Process Model Design and Tool Suport for Information Assets Access Control using Security Patterns
Mathaya Ratchakom, Nakornthip Prompoon
2011
Pág
.308
Pág
.307
Pág
.308
Pág
.308
Pág
.308
Pág
.312
A Database System for Effective Utilization of ISO/IEC 27002
Ahmad Iqbal, Daisuke Horie, Yuichi Goto, Jingde Cheng
2009
Pág
.607
Pág
.608
,609
Pág
.608
Pág
.608
,607
Implementing international standards for Information Security Management in China and Europe: a comparative multi-case study
Robert van Wessel, Xu Yang, Henk J. de Vries
2011
Pág
.866
Pág
.866
Pág
.867
Pág
.867
Pág
.867
Pág
.867
Pág
.867
61
Referência Conceito
Collaborative risk method for information security management practices: a case context within Turkey
Sevgi Ozkan, Bilge Karabacak 20
10
Pág
.567
Pág
.568
Pág
.567
,570
Pág
.569
Information Security Management in Local Government
Joshua De Lange, Rossouw Von Solms,Mariana Gerber
2016
Pág
.1
Pág
.1,3
Pág
.1,4
Pág
.7
Pág
.8
Pág
.3
Pág
.4
Pág
.2,4
,5
Pág
.5,7
Pág
.10
Towards a Security Evaluation Model Based on Security Metrics
Jakub Breier, Ladislav Hudec 20
12
Pág
.92
Pág
.89
Pág
.92
On Scalable Security Audit for Web Application According to ISO 27002
Wojciech Bylica, Bogdan Ksiezopolski
2011
Pág
.289
Pág
.290
On Identifying Proper Security Mechanisms
Jakub Breier, Ladislav Hudec 20
13
Pág
.288
Pág
.286
62
Referência Conceito
Modeling Dependencies of ISO/IEC 27002: 2013 Security Controls
Anirban Sengupta 20
15
Pág
.354
Pág
.354
,356
Pág
.355
,357
Pág
.354
,357
Pág
.354
Internal Threat Control Framework Based on Information Security Management System
Zailawani Mukhtar, Kamsuriah Ahmad
2014
Pág
.316
Pág
.319
New Approach in Information System Security Evaluation
Jakub Breier, Ladislav Hudec 20
12
Pág
.1
Pág
.1
Pág
.1
Pág
.2,4
The Measurement Design of Information Security Management System
Merry Nancylia, Eddy K Mudjtabar, Sarwono Sutikno, Yusep Rosmansyah
2014
Pág
.1
Pág
.2
Pág
.1
Pág
.2
Pág
.2
Making Sense of Information Systems Security Standards
Gurvirender Tejay 20
05
Pág
. 334
5
