Indicadores de Segurança da Informação

Os indicadores são peças fundamentais para o Sistema de Gestão de Segurança da Informação, na maior parte das vezes eles serão a nossa comunicação com o board da organização, que por sua vez, poderá acompanhar e avaliar a eficácia dos controles implementados, para isso a ABNT tratou este item de forma particular na norma ABNT NBR ISO/IEC 27004:2010 Gestão da Segurança da Informação – Medição, porém já encontra-se em estágio avançado de desenvolvimento uma nova versão.

Em linhas gerais iremos medir, monitorar e avaliar os principais controles implementados, os riscos associados, não conformidades e outros tipos de indicadores que cada gestor compreender ser passível de monitoração.

Os indicadores facilitam o acompanhamento e gestão dos controles aplicados através de dashboards, é possível exibir diferentes visões necessárias para a organização, como por exemplo, o alto executivo pode ter uma visão do risco associado a uma estrutura de negócio, obtendo uma visão consolidada de todos os processos e ativos que a suportam, já para um cargo gerencial é possível entregar uma visão mais próxima do operacional como: tempo médio para atendimento dos incidentes de segurança da informação; se está dentro do acordado no SLA.

Hoje diversas ferramentas além de entregar a visão dos indicadores em dashboards também possibilitam a interação com ele através da realização do drill down, a partir deste ponto é possível investigar em detalhes o que está afetando o indicador e muitas vezes com a possibilidade de resolução de forma pró-ativa do que poderia afetar a conformidade da organização com os parâmetros acordados e estipulados corporativamente.

Voltando para a teoria, você sabe o que é um indicador? Os indicadores são instrumentos de gestão para o monitoramento e avaliação.

O que ele monitora e avalia? Projetos, programas e políticas, permite acompanhar o alcance das metas, identificar avanços, melhorias de qualidade, corrigir problemas e necessidades de mudança.

Esse indicadores irão mensurar e gerir o desempenho, embasar a análise crítica e fornecer insumos para a tomada de decisão, contribuir para melhoria contínua, facilitar o planejamento e o controle e análise comparativa do desempenho da organização.

Os indicadores devem: medir a performance e não atividade; custar o mínimo e ter o máximo possível de justificativa; ser simples e necessitar de pouca ou nenhuma explicação; possibilitar a fixação de metas; fornecer autonomia na obtenção das mesmas; deve subsidiar o processo decisório.

A quantidade e qualidade dos indicadores são fundamentais, para isso deve-se esquecer o mito da medição absoluta, não é necessário medir tudo e todos a toda hora, para isso a seleção dos indicadores deve ter foco no que é importante e significativo para a organização, os indicadores deverão mudar conforme o amadurecimento da organização, devem ser úteis e fazer sentido,  orientado para melhoria do desempenho e fornecer orientação para a gestão.

A norma pede que todos os indicadores sejam documentados em formato próprio, contudo a norma 27004 fornece o formato para sua documentação, mas a versão vigente de 2010 é muito extenso e repetitivo a nova versão será reduzida pela metade sendo mais objetiva, e o próximo passo basta automatizar o processo de coleta e geração dos indicadores com ferramentas de mercado.

Recomendamos a aquisição e leitura da norma para ajudar na gestão dos indicadores necessários para uma boa comunicação entre as partes interessadas.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *