Como realizar monitoramento e medição na ISO 27001

O monitoramento e medição são ações chave na manutenção e melhoria de qualquer sistema. (Veja este artigo para maiores informações: Atingindo a melhoria continua através do uso de modelos de maturidade.) ISO 27001 reconhece a importância deles na em sua cláusula 9.1 (Monitoramento, medição, análise e avaliação), definindo requisitos a serem observados quando da implementação de tais práticas.

Este artigo apresentará algumas dicas sobre como tornar o monitoramento e medição úteis para o seu negócio ao mesmo tempo atender a conformidade com a norma.

Diferenças entre monitoramento e medição

Ao fazer monitoramento, você está observando algo, geralmente dispositivos e aplicações, com o propósito de estar ciente de seu estado; e.g., se ele está ligado ou desligado, se movendo ou parado, processando de forma rápida ou lenta, etc.

Por outro lado, ao fazer medição, você está atribuindo valor a algo com base em dimensões e unidades pré-definidas, e.g., dados processados em registros por segundo, duração de sessão em minutos ou temperatura de salas de datacenter em graus Celsius (°C) ou Fahrenheit (°F).

Enquanto o monitoramento é menos complexo (observar e detectar) e pode fornecer um alerta mais rápido quando as coisas se tornam diferente do esperado, a complexidade da medição (valor, dimensão e unidade) pode prover informações mais detalhadas sobre a situação e como as coisas deveriam ser tratadas.

Por que eu preciso deles?

Em geral, você monitora e mede por ao menos uma destas razões:

  • Para validar decisões anteriores: o acompanhamento de decisões de análise crítica são exemplos para este caso, uma vez que você precisa prover evidências de que aas ações implementadas foram eficazes.
  • Para definir o direcionamento de atividades de forma a atingir metas estabelecidas: o planejamento de atividades de backup é um bom exemplo, uma vez que estes dados podem ser usados para escolher entre múltiplas alternativas (backup completo, incremental, ou diferencial, ou uma combinação destas). Para mais informações, favor veja este artigo: ISO 27001 control objectives – Why are they important?
  • Para apresentar evidências factuais para justificar um curso de ação requerido: Casos de negócio sobre a atualização de um a firewall ou implementação de criptografia requerem dados robustos e consistentes para vender a ideia para a administração e partes interessadas.
  • Para identificar um ponto de intervenção e mudanças e ações corretivas subsequentes: análise de causa em um problema de controle de acesso é um bom exemplo do uso de monitoramento e medição para esta razão.

Requisitos da ISO 27001

A cláusula 9.1 da ISO 27001 estabelece dois aspectos a serem monitorados e medidos: desempenho da segurança da informação e eficácia do SGSI.

A diferença básica entre elas é que enquanto o desempenho da segurança da informação lida individualmente com resultados de segurança considerados relevantes para a organização (e.g., disponibilidade de informação, tempo de resposta a incidentes, custos de proteção, etc.), a eficácia do SGSI mostra a você como a interação entre estres resultados individuais de segurança afetam a segurança como um todo, incluindo a conformidade com a norma. Por exemplo, você pode ter uma boa disponibilidade de informações e tempo de resposta a incidente, mas se estes resultados demandam alto custo de proteção, de uma forma geral, os resultados da segurança podem não ser tão bons assim.

Assim, sem um monitoramento e medição apropriados, você pode acabar com resultados individuais de segurança que não agregam valor ao negócio, ou que não estão em conformidade com os requisitos da norma e demandam esforços de correção desnecessários, ou ambos.

Para ajudar a prevenir estas situações, a cláusula 9.1 da ISO 27001 estabelece alguns itens que devem ser definidos para assegurar monitoramento e medições apropriadas:

  1. O que precise ser monitorado / medido: primeiro, identifique todos os resultados e processo de negócio que podem ser afetados por variações no desempenho da segurança da informação, incluindo os próprios controles e processos de segurança da informação e requisitos obrigatórios, como leis, regulamentações e obrigações contratuais. A disponibilidade de sistemas de comércio eletrônico, a integridade de dados de contabilidade e análise crítica de direitos de acesso especiais são bons exemplos.
  2. Quais métodos podem ser usados para monitoramento / medição: aqui você pode escolher qualquer método com o qual esteja confortável (e.g., manual, mecânico, por software, etc.). O critério crítico é que o método escolhido deve ser verificável (capaz de produzir resultados comparáveis e repetíveis).
  3. Quando o monitoramento / medição devem ser feitos: diferentes necessidades requerem diferentes tempos de monitoramento / medição e você deve considerar isto, incluindo a periodicidade. Por exemplo, uma aplicação pode ter pontos de medição / monitoramento na entrada de dados, durante o processamento ou na saída de dados. Aplicações internas de uso restrito podem ser monitoradas / medidas em periodicidades maiores do que aplicações destinadas a Internet.
  4. Quando os resultados de monitoramento / medição devem ser analisados e avaliados: para agregar valor ao negócio, os resultados de monitoramento / medição devem ser considerados em decisões e ações em tempos apropriados. Considerá-los muito cedo ou muito tarde pode resultar em esforço desnecessário, desperdício de recursos ou perda de oportunidades.
  5. Quem deve analisar e avaliar os resultados de medição / monitoramento: tão importante quando os dados são analisados / avaliados é quem faz isso. Em geral, o nível operacional deveria realizar a análise (e.g., técnicos e administradores), enquanto a equipe gerencial realiza avaliações.

Adicionalmente, existe um requisite específico relacionado a preservação de evidências de resultados de monitoramento e medição, para atender a cláusula 7.5 da norma (informação documentada). Cartas de controle, listas de verificação e relatórios de análise avaliados pela administração são bons exemplos de documentação apropriada a ser preservada. Além de assegurar conformidade com a norma, ao fazer isso você também está construindo um histórico de monitoramento / medição que pode ajudá-lo a rastrear melhor os resultados da organização assim como a aprender de problemas passados.

Alcance melhores resultados através monitoramento e medição adequados

Mudança é a única constante na vida, assim sua organização deveria estar preparada para ela. Monitore atentamente o que tem mais impacto em seus resultados, e meça o que pode trazer mais vantagens para se evitar ameaças e usufruir de oportunidades. Seus resultados irão se beneficiar.

Para mais informações sobre como definir objetivos, e quais documentos e técnicas usar para medições, veja este webinar gratuito  ISO 27001 and ISO 27004: How to measure the effectiveness of information security?

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001