Monday, December 17, 2007

Medir e melhorar controles de segurança, é só começar!

Chegou a hora de falarmos sobre métricas na gestão da segurança da informação. Este assunto sempre foi meio escanteado, já que parecia suficiente identificar riscos e implementar controles. Sabemos hoje (ou melhor, sempre soubemos) que não existe gestão de fato se não houver métricas e indicadores de performance.
Vamos falar um pouquinho sobre métricas. O conceito de métrica é amplamente utilizado na disciplina de administração (principalmente em mapas estratégicos e balanced scorecard) e em segurança da informação tem por fim identificar se estamos ou não sendo eficientes dentro do contexto de proteção de nosso negócio.

Duas categorias de métricas...

Existem dois grupos de métricas. Em primeiro lugar aparecem as métricas do sistema de gestão da segurança da informação, famoso SGSI. Estas métricas visam evidenciar se estamos girando o nosso PDCA adequadamente, no contexto da ISO 27001. São métricas relacionadas a gestão de riscos, de políticas, incidentes, ações corretivas e preventivas.

Controlar e mensurar!

Bom, o trabalho não para por aí. Alias, ele ainda está começando. Existe ainda um segundo grande grupo de métricas, que são as métricas de eficiência dos controles. A pergunta é simples “quão eficiente é o meu firewall, ou a minha política de senhas, na mitigação dos riscos identificados?”.

Para compor uma métrica você deve identificar indicadores de performance. Eu recomendo sempre a utilização de 5 indicadores de performance. Já é o suficiente.
Vamos ver como isso se comporta na prática. Primeiro escolhemos um controle qualquer, vou escolher o controle x.x.x da norma ISO 27002, que é a “Acordo de confidencialidade”. Propositalmente escolhi um controle que não é tecnológico, para poder ilustrar a dinâmica dessa medição fora do ambiente de TI.

Em primeiro lugar preciso identificar quem é o responsávelo pelo controle. Idealmente este controle é praticado pela área de recursos humanos, uma vez que esta área faz a ponte de contratação dos funcionários e muitas vezes de terceiros. Vamos considerar então que para este exemplo, nosso gestor de controle é a Gerente de RH.
Segundo passo, na medida do possível precisaremos de informações sobre a quantas anda este controle. Se é um controle novo, sem problema, não temos histórico e teremos que criar alguma referência com base em nossa experiência de mercado. Caso este controle já esteja sendo utilizado, existe algum dado, resultado ou não de auditoria, que possa nos dizer o quão eficiente ele é?

Imagine para uma empresa que tem um fluxo mensal de contratação de 100 profissionais, caso a área de recursos humanos fosse auditada, quantos acordos de confidencialidade eu poderia aceitar em estado de não conformidade? A resposta ecoa com um ZERO gritado a multidão, mas zero pode ser muito pouco, se este for um novo controle. Risco zero só existe quando o orçamento é infinito.

Sendo mais realista, proponho a seguinte escala de indicadores de performance para este controle:
1- Mais de 20 funcionários novos sem Acordo de Confidencialidade assinado
2- De 15 a 20 funcionários novos sem Acordo de Confidencialidade assinado
3- De 10 a 15 funcionários novos sem Acordo de Confidencialidade assinado
4- De 5 a 10 funcionários novos sem Acordo de Confidencialidade assinado
5- Até 5 funcionários novos sem Acordo de Confidencialidade assinado

Esta é uma escala, e não temos como negar. Agora precisamos escolher o indicador de eficiência esperada. Como o controle é novo, vou escolher o indicador 3. Com o passar do tempo posso apertar a eficiência esperada, porque nosso desejo é que com o passar do tempo, o PDCA cuide de reduzir o risco.

Crie uma agenda para o seu controle!

Qual o próximo passo? Já temos indicadores de performance para a nossa métrica de eficiência do contorle. Precisamos agora escolher uma periodicidade para que este controle seja revisado. A revisão não significa auditoria. O próprio gestor poderá informar o indicador de performance do seu controle.

Vamos definir então que este controle será medido bimestralmente. Você como Security Officer deve receber bimestralmente a revisão do controle que será avaliado pela própria gestora de RH. A auditoria, dentro de sua agenda, ficará responsável por validar estes resultados. Esta é uma maneira inteligente de envolver os gestores e de deixar todos antenados quanto a uma possível validação de resultados.
Passado um ano, podemos apertar mais a eficiência esperada, pulando para a de número 4, onde aceitaremos de 5 a 10 funcinoários novos sem NDA.

O ISMS Risk Management Software, nossa ferramenta para gestão de riscos e controles, faz isso de forma automática, atendendo aos critérios da norma ISO 27001 que demandam a medição periódica da eficiência dos controles. O melhor de tudo é que fornecemos medições on time. Este tipo de relatório permite que você meça a evolução ou involução dos controles x riscos.



Sem medo de me repetir, parafraseio a turma da qualidade, que reza “só podemos gerir aquilo que podemos medir, só podemos medir aquilo que controlamos”. Controles e métricas são a base da gestão da segurança da informação!