Um bom Sistema de Gestão de Segurança da Informação (SGSI) deve contemplar um monitoramento constante, tanto de sua efetividade, quanto dos controles implementados (Anexo A da ISO 27001 ou a própria ISO 27002).
Antes de entrar no mérito de alguns indicadores importantes, o que acontecerá em posts futuros, segue uma lista interessante de materiais de referência sobre o assunto:
NIST - Recommended Security Controls for Federal Information Systems
NIST - Performance Measurement Guide for Information Security
NIST - Guide for Assessing the Security Controls in Federal Information Systems
NIST - Directions in Security Metrics Research
Todas as referências acima são excelentes fontes de informação que permitem iniciar um processo formal de desenho, implantação, monitoração e aperfeiçoamento de indicadores de segurança da informação.
O mais importante é que cada indicador seja baseado em um conceito amplamente conhecido, que é o SMART:
- S (Specific) - A métrica deve ser específica e diretamente relacionada ao que se quer monitorar;
- M (Measurable) - A informação deve ser acurada e completa. Os indicadores devem ter valores numéricos (numerais, percentuais) e não subjetivos;
- A (Actionable) - A informação deve ser clara e permitir a fácil identificação de que o indicador sinaliza algo "bom" ou "ruim";
- R (Relevant) - Bem óbvio, afinal de contas não devemos perder tempo medindo algo que não sirva para nada;
- T (Timely) - Sempre que precisarmos, a informação deve estar disponível. Imagine o chefe pedindo dados que precisam de 3 horas para preparação!
Uma sugestão de especificação simplificada de um indicador pode ser observado na tabela abaixo (para maiores detalhes de como criar um indicador, vide os links apresentados acima):
A ideia é sugerir indicadores de acordo com as necessidades de controles da ISO 27002, em futuros posts. Até lá!
Posts
0 comments:
Post a Comment