Indicadores de Segurança da Informação
Os indicadores são peças fundamentais para o Sistema de Gestão de Segurança da Informação, na maior parte das vezes eles serão a nossa comunicação com o board da organização, que por sua vez, poderá acompanhar e avaliar a eficácia dos controles implementados, para isso a ABNT tratou este item de forma particular na norma ABNT NBR ISO/IEC 27004:2010 Gestão da Segurança da Informação – Medição, porém já encontra-se em estágio avançado de desenvolvimento uma nova versão.
Em linhas gerais iremos medir, monitorar e avaliar os principais controles implementados, os riscos associados, não conformidades e outros tipos de indicadores que cada gestor compreender ser passível de monitoração.
Os indicadores facilitam o acompanhamento e gestão dos controles aplicados através de dashboards, é possível exibir diferentes visões necessárias para a organização, como por exemplo, o alto executivo pode ter uma visão do risco associado a uma estrutura de negócio, obtendo uma visão consolidada de todos os processos e ativos que a suportam, já para um cargo gerencial é possível entregar uma visão mais próxima do operacional como: tempo médio para atendimento dos incidentes de segurança da informação; se está dentro do acordado no SLA.
Hoje diversas ferramentas além de entregar a visão dos indicadores em dashboards também possibilitam a interação com ele através da realização do drill down, a partir deste ponto é possível investigar em detalhes o que está afetando o indicador e muitas vezes com a possibilidade de resolução de forma pró-ativa do que poderia afetar a conformidade da organização com os parâmetros acordados e estipulados corporativamente.
Voltando para a teoria, você sabe o que é um indicador? Os indicadores são instrumentos de gestão para o monitoramento e avaliação.
O que ele monitora e avalia? Projetos, programas e políticas, permite acompanhar o alcance das metas, identificar avanços, melhorias de qualidade, corrigir problemas e necessidades de mudança.
Esse indicadores irão mensurar e gerir o desempenho, embasar a análise crítica e fornecer insumos para a tomada de decisão, contribuir para melhoria contínua, facilitar o planejamento e o controle e análise comparativa do desempenho da organização.
Os indicadores devem: medir a performance e não atividade; custar o mínimo e ter o máximo possível de justificativa; ser simples e necessitar de pouca ou nenhuma explicação; possibilitar a fixação de metas; fornecer autonomia na obtenção das mesmas; deve subsidiar o processo decisório.
A quantidade e qualidade dos indicadores são fundamentais, para isso deve-se esquecer o mito da medição absoluta, não é necessário medir tudo e todos a toda hora, para isso a seleção dos indicadores deve ter foco no que é importante e significativo para a organização, os indicadores deverão mudar conforme o amadurecimento da organização, devem ser úteis e fazer sentido, orientado para melhoria do desempenho e fornecer orientação para a gestão.
A norma pede que todos os indicadores sejam documentados em formato próprio, contudo a norma 27004 fornece o formato para sua documentação, mas a versão vigente de 2010 é muito extenso e repetitivo a nova versão será reduzida pela metade sendo mais objetiva, e o próximo passo basta automatizar o processo de coleta e geração dos indicadores com ferramentas de mercado.
Recomendamos a aquisição e leitura da norma para ajudar na gestão dos indicadores necessários para uma boa comunicação entre as partes interessadas.
