brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

A Importância das Métricas de Segurança

ID do Artigo: 4619
Publicado no Brasil em 1 de dezembro de 2004
Introdução
Mudança cultural
Lições de gerenciamento de qualidade total
O que deve ser medido
Desenvolvendo uma lista de avaliação de segurança
Dimensões de desempenho
Conclusão
Links relacionados

Neste artigo, será abordado o que está sendo feito atualmente por alguns visionários no sentido de medir a segurança, lidar com as métricas e usar métodos para criar uma lista de avaliação de segurança. Também falarei sobre alguns dos desafios no desenvolvimento de melhores métricas.

Diversas empresas possuem iniciativas e preocupações diferentes quanto à segurança, portanto as métricas a adotar dependem daquilo que você está tentando proteger e medir, e da postura atual de segurança da sua empresa. Por exemplo, algum setor foi terceirizado? Você está tentando medir o tempo de detecção e de resposta? Você ainda está cuidando das operações em vez de cuidar dos resultados?

Então vamos analisar o que a CISO está fazendo para medir o sucesso de programas de gerenciamento de segurança das informações por meio de melhores métricas e medições. Examinaremos a necessidade de melhores métricas e medições de segurança, discutiremos o que algumas dessas organizações visionárias estão fazendo e, em seguida, mencionaremos uma estrutura que irá ajudá-lo a desenvolver uma lista de avaliação de métricas de segurança para a sua organização. Ao longo deste artigo, comentarei sobre um relatório de pesquisa organizado pelo Sand Hill Group, que entrevistou alguns dos principais especialistas em segurança para reunir bons exemplos para a criação de uma lista de segurança.

Mudança cultural
De onde vem a necessidade de métricas de segurança? Da necessidade de medir o sucesso de um programa de segurança das informações, uma vez que a segurança exige uma abordagem abrangente, e é necessário otimizar todos os recursos envolvidos no processo, ou seja, as pessoas, os processos e as tecnologias empregadas para tornar segura a sua corporação ou organização.

Conforme os programas de segurança foram se desenvolvendo, a necessidade de uma mudança cultural se tornou um componente essencial dentro da organização, de modo que a segurança começou a ser considerada parte essencial nos procedimentos de negócios. Essa mudança cultural exige, em primeiro lugar, uma continuidade dos processos para ajudar a sustentar as melhores práticas com o tempo. Isso também requer o desenvolvimento de estruturas de gerenciamento para assegurar consistência dentro da organização. Além disso, existe uma necessidade de métricas e medições associadas a esses processos para desenvolver uma base inicial, um conjunto de metas a serem alcançadas e como essas metas serão acompanhadas com o tempo.

Uma das coisas que não pode ser subestimada à medida que você desenvolve esses programas é a importância da comunicação. Isso se aplica principalmente às métricas de segurança das informações. Você precisa manter uma comunicação de alto nível entre a gerência e os funcionários com relação ao status do programa. Precisa, ainda, informar a todos continuamente sobre o sucesso e os empecilhos. Use também histórias de sucesso para educar o gerenciamento executivo e obter suporte.

Lições de gerenciamento de qualidade total
De certo modo, criar um sistema de métricas e medição da segurança para o seu programa de segurança de informações é bem semelhante aos outros esforços que já podem estar em desenvolvimento na sua empresa. Se você examinar em sua empresa quais são as outras iniciativas de medição de processo em vigor (por exemplo, Seis Sigma para gerenciamento de qualidade), os desafios a serem enfrentados no desenvolvimento de um programa de métricas e medição da segurança não serão muito diferentes dos enfrentados em um programa de gerenciamento de qualidade total (Total Quality Management, TQM).

Na verdade, existem paralelos entre os programas TQM que foram adotados e os programas de segurança de informações em termos de métrica e medição. Os primeiros empreendedores de TQM eram sempre considerados pelos profissionais (ou seja, as pessoas que se preocupam com o gerenciamento da qualidade) como obstáculos na condução dos negócios em seus cotidianos. De fato, há até mesmo um nome para isso: custo de qualidade. De forma semelhante, haverá um custo de segurança com o qual você deve se preocupar, o qual será abordado um pouco mais adiante. Isso ocorre mesmo que haja um mandato corporativo em vigor, o qual implemente um programa permitindo às pessoas medirem seu desempenho em termos de segurança de informações ou qualidade.

Portanto, é importante entender quais lições já foram assimiladas em outras iniciativas de sua organização. Como elas foram desenvolvidas? De que maneira esses programas foram gerenciados? Eles tratavam da qualidade ou da segurança? E como eles transformaram as metas da empresa para que ficassem em sincronia com essas metas de qualidade? Você precisa fazer algo semelhante com a segurança. Além disso, como as pessoas se relacionavam com os funcionários para ajudar no desenvolvimento de melhores práticas, envolvendo-os no processo e, assim, desenvolvendo métricas e técnicas de medição? Como aplicar isso à segurança? Vou falar novamente: você precisa examinar o que foi feito no passado.

O que deve ser medido
Agora vamos aprofundar um pouco mais e discutir sobre como você pode estabelecer avaliações de desempenho e, basicamente, indicadores-chave de desempenho (Key Performance Indicators, KPIs) para diferentes áreas funcionais em segurança. Para cada uma dessas áreas, será necessário desenvolver KPIs e, naturalmente, as medidas de desempenho-chave correspondentes (Key Performance Measurements, KPMs). Além disso, você pode usá-los para desenvolver os padrões de desempenho, definir metas e acompanhar o andamento.

Em algumas áreas, como testes de vulnerabilidade e treinamento de conscientização de usuários, as métricas podem ser mais fáceis de serem determinadas, porém é necessário analisar todas as áreas funcionais da sua empresa quanto ao gerenciamento da segurança de informações e os métodos de desenvolvimento das métricas para cada uma dessas áreas.

Aqui estão alguns exemplos específicos de métricas:

  • Avaliação de riscos. Uma das empresas está controlando a porcentagem de sistemas que tiveram uma avaliação formal de riscos executada, documentada e revista pela gerência.
  • Teste de vulnerabilidade. A porcentagem de sistemas cujos controles de segurança foram testados e avaliados no ano passado.
  • Resposta a incidentes. O tempo médio decorrido entre a descoberta de uma vulnerabilidade ou deficiência e a implementação da ação corretiva. Isso reflete a capacidade de reação da equipe de resposta às vulnerabilidades assim que são descobertas.
  • Proteção de infra-estrutura. A porcentagem de sistemas com as correções mais recentes instaladas ou outros tipos de proteção. No caso de algumas empresas, é a porcentagem de sistemas movidos para uma nova infra-estrutura de rede criada para permitir uma separação virtual da rede.
  • Controle de acesso. Em algumas empresas, é a porcentagem de sistemas que têm políticas de controle de acesso definidas e implementadas, e se elas obedecem às políticas da empresa.
  • Treinamento de segurança de TI. A porcentagem de funcionários com significativa responsabilidade sobre a segurança (como acesso privilegiado a sistemas ou informações) que foram analisados quanto à sua experiência e que receberam treinamento especializado (esta é uma métrica interessante, pois poucas pessoas pensam sobre isso como algo que possa ser medido) .
  • Conformidade com as regulamentações. Uma empresa mencionou uma métrica do número de incidentes relatados ao SEC e ao Federal Computer Incident Response Center (Centro federal de resposta a incidentes de informática).

Para cada área, é preciso decidir o que será monitorado, como será monitorado e qual a melhor freqüência de comunicação sobre o progresso para a sua empresa, de acordo com os recursos disponíveis.

Desenvolvendo uma lista de avaliação de segurança
O relatório de pesquisa do Sand Hill Group oferece um bom exemplo para ajudá-lo a desenvolver uma lista de avaliação de segurança. Mesmo assim, não se esqueça de que isso é apenas um exemplo. Como mencionado anteriormente, o conhecimento passado sobre o que funciona em sua empresa é muito mais útil do que qualquer outra coisa proposta por uma pessoa de fora, porque aquilo é o que funciona no seu ambiente.

Sendo assim, você deve começar analisando os componentes funcionais que deseja medir. Inclusive usar algo similar a ISO 17799 como um guia para desenvolver áreas de controle que está tentando medir (talvez você já tenha adotado isso em sua empresa como parte do seu programa de segurança). Esses domínios funcionais podem ser treinamento de conscientização de usuários, política, gerenciamento de auditoria, resposta a incidentes, acesso remoto, continuidade comercial e recuperação de desastres, gerenciamento da infra-estrutura de PKI, avaliação de risco e assim por diante. Você precisará dar prioridade aos componentes que deseja medir.

Em seguida, como em qualquer programa, é preciso capacitar os funcionários envolvidos para que eles possam ajudá-lo a definir e estabelecer o que deve ser medido e que métodos de medição serão adotados. Esta etapa é muito importante. E lembre-se: conseguir o envolvimento dos funcionários não significa que você irá obter todos os recursos internamente. Você pode usar recursos internos e externos, como os do National Institute of Standards and Technology (NIST) (Instituto Nacional de Padrões e Tecnologia). Ele fornece exemplos sobre como projetar as métricas granulares. Há ainda organizações comerciais às quais você pode se associar. Também leve em consideração o contato com outros profissionais da área. Descubra o que eles estão fazendo.

Você também precisará definir como implementar essas métricas. São necessários métodos para analisar cada detalhe granular e chegar ao alinhamento direto com os objetivos comerciais, para que possa se comunicar com pessoas em níveis diferentes e ainda assim fazer com que elas entendam como você está se saindo no seu programa.

Agora, as medidas reais são feitas em cinco categorias diferentes, de acordo com o relatório de pesquisa do Sand Hill Group (novamente, isso é apenas um esquema de trabalho ou um modelo.) As cinco categorias são: pessoas, processos e tecnologias (categorias internas), clientes e custo de segurança (categorias externas).

Dimensões de desempenho
O KPI que está sendo registrado refletirá o desempenho em uma das três dimensões:

  • Desempenho. Como estamos indo?
  • Valor. Qual é o valor para o responsável pela tarefa?
  • Desempenho relativo. Como estou me saindo em relação aos meus colegas?

Vamos considerar um exemplo específico para que isso fique mais palpável. Analise as medidas de amostra para o domínio funcional Conscientização da Segurança do Usuário na categoria Cliente. Para as Dimensões de Desempenho diferentes, o desempenho poderia ser expresso como uma porcentagem de funcionários treinados em questões de segurança. O valor poderia ser uma medida da redução do tempo de inatividade causado por vulnerabilidades de segurança, expressa como a porcentagem do progresso atingido em relação a um objetivo específico. A medida de desempenho relativo poderia comparar a porcentagem de funcionários treinados em um determinado grupo com a de outros grupos na empresa. Lembre-se de que essas medidas representam um valor agregado de todas as iniciativas destinadas a melhorar a Conscientização de Segurança do Usuário.

Para revisar rapidamente, lembre-se: é necessário determinar que áreas você irá medir e que recursos internos você analisará na empresa a fim de aprender sobre o que funcionou no passado em termos de iniciativas de processo, métricas e medidas. E, em seguida, como começar a fazer isso: o quê, como, a base, os objetivos e o progresso. E não se esqueça: a comunicação é extremamente importante.

Conclusão
Por que razão há esta necessidade de excelência contínua? Porque você precisa saber como está indo ou não, e as métricas são uma maneira de melhorar o desempenho e de obter fundos. Um CIO disse ao Sand Hill Group que um dia poderá haver algo como o Prêmio de Segurança, que fará pela segurança de informações o que o Malcolm Baldridge Award fez para estimular a adoção de TQM em toda a América corporativa. Eu concordo com ele. Quando se trata de criar a lealdade do cliente e a construir sua marca, pense em formas de usar a segurança de informações para o seu próprio benefício.

Links Relacionados:

Para saber mais sobre como os principais profissionais de segurança estão desenvolvendo e implementando as métricas de segurança, assista ao webcast (em inglês) Executive Series:
How to Create and Manage a World-Class Information Security Organization. Part Three: Metrics, apresentado por Linda McCarthy e representantes do Sand Hill Group e Motorola.

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home