Friday, January 8, 2010

Métricas ISO 27002 - Domínio: Política de Segurança da Informação

Retomando um post publicado já há algum tempo: http://cyberneurons.blogspot.com/2009/09/metricas-parte-1-um-aspecto-importante.html, vamos abordar um aspecto importantíssimo em Segurança da Informação, que é a medição de indicadores que nos permitam avaliar a efetividade dos controles propostos pela ISO 27002.
Não dá para simplesmente implantarmos os controles e não termos uma visão de sua efetividade. Até em função da necessidade de atender auditorias, que sempre procuram evidências...
Neste post vamos abordar o primeiro domínio de controles da ISO 27002, relativo a Política de Segurança da Informação. Este domínio tem por objetivo dar direcionamento e suporte para o tema Segurança da Informação, em consonância com os requisitos de negócio, leis e regulações (SOX, PCI, etc).
É um domínio que requer uma obtenção mais manual de dados, mas mesmo assim ainda dá para utilizar alguns indicadores. A tabela abaixo apresenta uma sugestão de indicadores. Obviamente não encerra o assunto e caso alguém tenha outras sugestões de indicadores, por favor compartilhe conosco, ok?

Norma ISO 27002 – Domínio 1 - “Política de Segurança da Informação”
Indicador
Propósito
Fonte
Frequência
Percentual (%) de políticas, normas e procedimentos revisados no ano.
Medir no ano fiscal as revisões e/o atualizações da Política de Segurança da Informação.
Processo de revisão das políticas de Segurança da Informação.
Mensal
Quantidade (#) de colaboradores que leram a Política e confirmaram sua adesão aos temos.
Medir no ano fiscal a aderência de colaboradores à Política de Segurança implantada.
Documentos assinados no momento da entrada na companhia ou anualmente (neste caso, a fonte é um documento em papel), ou resultados de aderência através de ferramentas como, por exemplo, uma intranet (normalmente após ler o conteúdo, o colaborador clica em um botão, onde concorda com os termos e se compromete a segui-los).
Anual/Semestral
Quantidade (#) de colaboradores que participaram de campanhas de conscientização, relativas à Política.
Medir no ano fiscal a participação efetiva de colaboradores em palestras, workshops, etc, que têm por objetivo a conscientização quanto à importância da aderência à Política.
Listas de presença nos eventos de divulgação.
Anual/Semestral

2 comments:

  1. Olá Paulo,

    Parabéns pelo post, o assunto métricas em segurança ainda é pouco explorado e este tipo de informação é muito útil.

    ReplyDelete
  2. Olá Fabio, tudo bem?

    Concordo contigo e a ideia dos próximos posts é percorrer todos os domínios da ISO 27002 e sugerir indicadores úteis.

    Abs.

    ReplyDelete