Mônica Orsolini
MEMBRO DO INFOSEC COUNCILFormada em análise de sistemas, com mestrado em gerenciamento de sistemas de informação, é gerente de infraestrutura da unidade de sistemas da Promon Engenharia, empresa onde atua desde 1987, tendo trabalhado em várias áreas de TI. Sua principal missão é prover uma infraestrutura de TI segura e confiável para suportar os negócios da Promon. 
Planejamento Estratégico da Segurança da Informação
Capítulo 1 - Sistema de gestão de segurança da informação *
Mônica Orsolini
1. Patrocinadores e comitê
A escolha dos “patrocinadores” é fundamental para o sucesso da implantação de um Sistema de Gestão de Segurança de Informação (SGSI) em uma organização. É por meio deles que se obtêm o respaldo para a implantação do SGSI, tornando viável a tomada de ações decorrentes da aplicação do sistema. Geralmente, são escolhidos como patrocinadores profissionais da alta direção da organização, além de outras pessoas-chave da área do negócio.
Estas pessoas devem formar um comitê, comumente chamado de Grupo Gestor de Segurança da Informação (GGSI), que tem como meta a manutenção do SGSI na organização. Entre as atribuições deste grupo, está a criação da “Política de Segurança da Informação”, bem como os procedimentos que decorrem dela e a aplicação de eventuais sanções, que devem ser aplicadas de forma imparcial a qualquer colaborador que infrinja a política estabelecida, não importando seu grau hierárquico. Para que esta premissa possa ser cumprida, entretanto, é necessário que o GGSI tenha influência suficiente para sensibilizar os colaboradores dos riscos envolvidos no não-cumprimento da política.
Porém, vale destacar que a segurança da informação é uma questão cultural, de aprendizado e de processos. Por isso, as sanções devem ser aplicadas à medida que o sistema torna-se consistente, de conhecimento de todos, e a partir do momento em que a curva de aprendizado se mostrar favorável. Este é um processo lento e que exige muita dedicação do GGSI.
1.1. Conceito-chave
Sanções: regras têm de ser cumpridas e, a cada não-cumprimento, uma sanção pode ser aplicada. Todas as regras devem ter os riscos associados ao seu não-cumprimento muito bem documentados, bem como têm necessidade de deixar claras as sansões possíveis de aplicação.
Perguntas para pensar:
• Você escolheu um “patrocinador” que poderá dar respaldo adequado ao projeto?
• Seu “patrocinador” apoiará as sanções contra qualquer membro, caso ele mesmo cometa alguma irregularidade?
• O “patrocinador” é um dos maiores interessados no sucesso do projeto?
1.2. Mecanismos de controle
“Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, não há sucesso no que não se gerencia” (William Edwards Deming).
1.2.1. Métricas
Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor responsável pela missão a necessidade de gerenciar diversos mecanismos de controles implementados em diversas plataformas e em vários ambientes organizacionais. Dependendo do número de pessoas, processos e tecnologias envolvidas, esta atividade pode se tornar árdua, devido à quantidade e à diversidade de elementos a serem monitorados.
Surge, então, a necessidade iminente de responder algumas questões:
- Como podemos saber se o nível atual de segurança está no patamar requerido para o nosso negócio?
- Como medir o nível de eficácia dos controles atuais frente aos riscos identificados?
Uma boa estrutura de métricas permite avaliar a efetividade de um SGSI. Mas, para se chegar a este nível, a organização precisa desenvolver um plano de métricas, que deve incluir a forma de coleta, o repositório, os procedimentos para retenção e a forma de avaliação, entre outras. O primeiro passo é compreender quais são os objetivos a serem atingidos e, a partir disto, desenvolver métricas que satisfaçam estes objetivos.
Medir a eficácia de um SGSI está longe de ser uma tarefa fácil. Para tanto, estratégias devem ser elaboradas para monitorá-la, resultando em informações que façam sentido e auxiliam os tomadores de decisão. Em muitos casos, a falta de tempo, conhecimento e a adoção de uma estratégia inadequada para a criação de métricas podem prejudicar o SGSI.
Por outro lado, como o SGSI é muito dinâmico. Métricas bem definidas ajudam a visualizar a situação atual, bem como auxiliam a realização de simulações e o desenvolvimento das melhorias necessárias. É preciso manter o SGSI vivo e em constante evolução.
1.2.2. Definição
Métricas em um SGSI são medidas estipuladas com base em metas a serem atingidas, as quais são comparadas aos resultados obtidos durante a sua operação de um SGSI. Contudo, isto não invalida a importância de comparar os resultados alcançados anteriormente, pois, desta forma, é possível vislumbrar tendências e avaliar
o amadurecimento de seu SGSI. Esta análise de tendência ajudará a organização a se precaver e tomar medidas preventivas para a correção de determinados desvios.
Um método bastante importante no SGSI é o Benchmarking. Ele é usado para se comparar o desempenho de algum processo a outro similar, de outra organização, que esteja sendo executado de maneira mais eficaz e eficiente.
1.2.3. Tipos de métricas
Mediante uma diversidade de métricas, devemos escolher as mais adequadas a cada caso. Algumas podem ser utilizadas (mas não se limita a estas) para medir eficácia, eficiência, tempo, produtividade, qualidade, performance e confiabilidade do SGSI.
Como exemplo de acompanhamento das métricas, podemos citar:
- Benchmarking de pesquisas de sobre segurança da informação;
- Resultados de pesquisas internas de avaliação do SGSI;
- Gestão de incidentes de segurança.
Independente da diversidade dos tipos de métricas existentes, a organização deve selecionar aquelas que lhe forneçam informações relevantes de seu SGSI, conforme citado anteriormente. A seguir, apresentamos uma tabela com as informações mínimas, porém, necessárias, para se criar um plano de métricas.
Tabela 1 – Passo a passo para o estabelecimento de métricas.
|
Métrica |
Este campo deve conter o nome da métrica e a descrição da escala que será usada. |
|
Escopo da métrica |
Este campo descreve o que deve ser medido. Por exemplo: o processo ou controles do ISMS e quais partes do processo ou controles. |
|
Propósito e objetivo |
Este campo deve definir o propósito da métrica, quais as metas e objetivos devem ser atingidos |
|
Método de medição |
Este campo deve descrever como a medição será realizada, por exemplo, usando cálculo, fórmula ou porcentagens. |
|
Frequência da medição |
Este campo deve descrever a periodicidade da medição. Por exemplo: mensal, semanal, diário etc. |
|
Origem dos dados e procedimento de coleta |
Este campo deve definir de onde os dados serão coletados e quais métodos são usados para a coleta. |
|
Indicadores |
Este campo deve conter os indicadores usados para otimizar a métrica e definir o seu propósito e como eles são entendidos e podem ser aplicados. |
|
Data da medição e responsável |
Este campo deve descrever a data da medição e a pessoa responsável por esta ação. |
Nível da efetividade alcançada Este campo deve conter o resultado e a data da medição Causas do não-cumprimento Este campo deve conter as causas do não-cumprimento dos objetivos, indicadores etc.
Fonte: “Measuring the effectiveness of your ISMS”.
1.2.4. Coleta de resultados
A atividade de medir demanda recursos e, obviamente, tempo para a coleta e análise dos resultados. Por esta razão, as métricas devem fazer sentido e ser coerentes, além de alinhadas aos objetivos a serem alcançados. Como nem todos os resultados podem ser coletados automaticamente, é importante determinar a melhor forma de fazê-lo, principalmente quando o envolvimento de outras áreas se faz necessário e a coleta tem de ser realizada manualmente.
Alguns processos eventualmente são executados e os registros coletados e armazenados em outra localidade. Independente disto, o resultado deve ser coletado e consolidado em um único repositório.
1.2.5. Fatores-chave de sucesso
Destacamos alguns fatores que devem ser gerenciados adequadamente para que a organização consiga desenvolver métricas adequadas e que ajudem a monitorar de forma mais assertiva o seu SGSI.
- Conhecer o objetivo a ser alcançado;
- Conhecer as metas a serem alcançadas;
- Coletar os resultados em tempo hábil;
- Apresentar resultados válidos e confiáveis;
- Criar métricas que permitam monitorar o SGSI;
- Desenvolver metas desafiadoras.
É de fundamental importância que os fatores-chave de sucesso sejam identificados e documentados para que a organização consiga administrá-los. Por fim, é notória a importância do estabelecimento de métricas, para que seja possível vislumbrar a efetividade de qualquer SGSI. Sem elas, o gerenciamento passa a ser realizado de forma pontual, com muitas ações sem foco e, em alguns casos, sem critérios definidos.
A gestão que utiliza um sistema de métricas permite não apenas uma visualização rápida da situação atual, mas, também, contribui para uma tomada de decisão mais assertiva.
Bibliografia
HUMPHREY, Ted, PLATE, Angelika. Measuring the effectiveness of your ISMS implementations based on ISO/ IEC 27001. London: BSI Standards, 2006.
NIST SPECIAL PUBLICATION. Security Metrics Guide for Information Technology Systems. 800-55, July 2003.
PAYNE, Shirley. “A Guide to Security Metrics”. SANS Security Essentials GSEC Practical Assignment, Version 1.2e, July 2004.
* - Este artigo é parte do documento Planejamento Estratégico da Segurança da Informação, publicado pelo Infosec, e sua integra pode ser lida em Publicações.
