Saturday, September 5, 2009

Métricas - Parte 1: Um aspecto importante em Segurança da Informação

Olá, depois de uma semana muito corrida, finalmente arrangei um tempinho para atualizar o blog. A partir de hoje publicarei uma série de posts referentes a um assunto de suma importância para aqueles que trabalham na área e precisam muitas vezes justificar os caros investimentos em equipamentos, software, treinamentos, etc. Aliás, não só justificar investimentos, mas saber o que está acontecendo. Trata-se das Métricas de Segurança.

Um bom Sistema de Gestão de Segurança da Informação (SGSI) deve contemplar um monitoramento constante, tanto de sua efetividade, quanto dos controles implementados (Anexo A da ISO 27001 ou a própria ISO 27002).

Antes de entrar no mérito de alguns indicadores importantes, o que acontecerá em posts futuros, segue uma lista interessante de materiais de referência sobre o assunto:

NIST - Recommended Security Controls for Federal Information Systems
NIST - Performance Measurement Guide for Information Security
NIST - Guide for Assessing the Security Controls in Federal Information Systems
NIST - Directions in Security Metrics Research

Todas as referências acima são excelentes fontes de informação que permitem iniciar um processo formal de desenho, implantação, monitoração e aperfeiçoamento de indicadores de segurança da informação.

O mais importante é que cada indicador seja baseado em um conceito amplamente conhecido, que é o SMART:
  • S (Specific) - A métrica deve ser específica e diretamente relacionada ao que se quer monitorar;
  • M (Measurable) - A informação deve ser acurada e completa. Os indicadores devem ter valores numéricos (numerais, percentuais) e não subjetivos;
  • A (Actionable) - A informação deve ser clara e permitir a fácil identificação de que o indicador sinaliza algo "bom" ou "ruim";
  • R (Relevant) - Bem óbvio, afinal de contas não devemos perder tempo medindo algo que não sirva para nada;
  • T (Timely) - Sempre que precisarmos, a informação deve estar disponível.  Imagine o chefe pedindo dados que precisam de 3 horas para preparação!
Para finalizar este post, é importante ter em mente que um indicador deve ser sempre fácil de gerar, deve ser o mais automatizado possível (imagine ter que contratar alguém só pra gerar planilhas e depois copiar e colar informações), e principalmente fácil de entender (principalmente através de gráficos que permitam o acompanhamento ao longo do tempo).

Uma sugestão de especificação simplificada de um indicador pode ser observado na tabela abaixo (para maiores detalhes de como criar um indicador, vide os links apresentados acima):


 A ideia é sugerir indicadores de acordo com as necessidades de controles da ISO 27002, em futuros posts. Até lá!


No comments:

Post a Comment