Rhand Leal
junho 10, 2015
O monitoramento e medição são ações chave na manutenção e melhoria de qualquer sistema. (Veja este artigo para maiores informações: Atingindo a melhoria continua através do uso de modelos de maturidade.) ISO 27001 reconhece a importância deles na em sua cláusula 9.1 (Monitoramento, medição, análise e avaliação), definindo requisitos a serem observados quando da implementação de tais práticas.
Este artigo apresentará algumas dicas sobre como tornar o monitoramento e medição úteis para o seu negócio ao mesmo tempo atender a conformidade com a norma.
Ao fazer monitoramento, você está observando algo, geralmente dispositivos e aplicações, com o propósito de estar ciente de seu estado; e.g., se ele está ligado ou desligado, se movendo ou parado, processando de forma rápida ou lenta, etc.
Por outro lado, ao fazer medição, você está atribuindo valor a algo com base em dimensões e unidades pré-definidas, e.g., dados processados em registros por segundo, duração de sessão em minutos ou temperatura de salas de datacenter em graus Celsius (°C) ou Fahrenheit (°F).
Enquanto o monitoramento é menos complexo (observar e detectar) e pode fornecer um alerta mais rápido quando as coisas se tornam diferente do esperado, a complexidade da medição (valor, dimensão e unidade) pode prover informações mais detalhadas sobre a situação e como as coisas deveriam ser tratadas.
Em geral, você monitora e mede por ao menos uma destas razões:
A cláusula 9.1 da ISO 27001 estabelece dois aspectos a serem monitorados e medidos: desempenho da segurança da informação e eficácia do SGSI.
A diferença básica entre elas é que enquanto o desempenho da segurança da informação lida individualmente com resultados de segurança considerados relevantes para a organização (e.g., disponibilidade de informação, tempo de resposta a incidentes, custos de proteção, etc.), a eficácia do SGSI mostra a você como a interação entre estres resultados individuais de segurança afetam a segurança como um todo, incluindo a conformidade com a norma. Por exemplo, você pode ter uma boa disponibilidade de informações e tempo de resposta a incidente, mas se estes resultados demandam alto custo de proteção, de uma forma geral, os resultados da segurança podem não ser tão bons assim.
Assim, sem um monitoramento e medição apropriados, você pode acabar com resultados individuais de segurança que não agregam valor ao negócio, ou que não estão em conformidade com os requisitos da norma e demandam esforços de correção desnecessários, ou ambos.
Para ajudar a prevenir estas situações, a cláusula 9.1 da ISO 27001 estabelece alguns itens que devem ser definidos para assegurar monitoramento e medições apropriadas:
Adicionalmente, existe um requisite específico relacionado a preservação de evidências de resultados de monitoramento e medição, para atender a cláusula 7.5 da norma (informação documentada). Cartas de controle, listas de verificação e relatórios de análise avaliados pela administração são bons exemplos de documentação apropriada a ser preservada. Além de assegurar conformidade com a norma, ao fazer isso você também está construindo um histórico de monitoramento / medição que pode ajudá-lo a rastrear melhor os resultados da organização assim como a aprender de problemas passados.
Mudança é a única constante na vida, assim sua organização deveria estar preparada para ela. Monitore atentamente o que tem mais impacto em seus resultados, e meça o que pode trazer mais vantagens para se evitar ameaças e usufruir de oportunidades. Seus resultados irão se beneficiar.
Para mais informações sobre como definir objetivos, e quais documentos e técnicas usar para medições, veja este webinar gratuito ISO 27001 and ISO 27004: How to measure the effectiveness of information security?
Nós agradecemos a Rhand Leal pela tradução para o português.