{"id":4352,"date":"2015-06-10T08:21:05","date_gmt":"2015-06-10T08:21:05","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/06\/10\/como-realizar-monitoramento-e-medicao-na-iso-27001\/"},"modified":"2022-07-17T15:43:28","modified_gmt":"2022-07-17T15:43:28","slug":"como-realizar-monitoramento-e-medicao-na-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/06\/10\/como-realizar-monitoramento-e-medicao-na-iso-27001\/","title":{"rendered":"Como realizar monitoramento e medi\u00e7\u00e3o na ISO 27001"},"content":{"rendered":"<p>O monitoramento e medi\u00e7\u00e3o s\u00e3o a\u00e7\u00f5es chave na manuten\u00e7\u00e3o e melhoria de qualquer sistema. (Veja este artigo para maiores informa\u00e7\u00f5es: <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/04\/14\/atingindo-a-melhoria-continua-atraves-do-uso-de-modelos-de-maturidade\/\" target=\"_blank\" rel=\"noopener\">Atingindo a melhoria continua atrav\u00e9s do uso de modelos de maturidade<\/a>.) <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0reconhece a import\u00e2ncia deles na em sua cl\u00e1usula 9.1 (Monitoramento, medi\u00e7\u00e3o, an\u00e1lise e avalia\u00e7\u00e3o), definindo requisitos a serem observados quando da implementa\u00e7\u00e3o de tais pr\u00e1ticas.<\/p>\n<p>Este artigo apresentar\u00e1 algumas dicas sobre como tornar o monitoramento e medi\u00e7\u00e3o \u00fateis para o seu neg\u00f3cio ao mesmo tempo atender a conformidade com a norma.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Diferen\u00e7as entre monitoramento e medi\u00e7\u00e3o<\/h2>\n<p>Ao fazer monitoramento, voc\u00ea est\u00e1 observando algo, geralmente dispositivos e aplica\u00e7\u00f5es, com o prop\u00f3sito de estar ciente de seu estado; e.g., se ele est\u00e1 ligado ou desligado, se movendo ou parado, processando de forma r\u00e1pida ou lenta, etc.<\/p>\n<p>Por outro lado, ao fazer medi\u00e7\u00e3o, voc\u00ea est\u00e1 atribuindo valor a algo com base em dimens\u00f5es e unidades pr\u00e9-definidas, e.g., dados processados em registros por segundo, dura\u00e7\u00e3o de sess\u00e3o em minutos ou temperatura de salas de datacenter em graus Celsius (\u00b0C) ou Fahrenheit (\u00b0F).<\/p>\n<p>Enquanto o monitoramento \u00e9 menos complexo (observar e detectar) e pode fornecer um alerta mais r\u00e1pido quando as coisas se tornam diferente do esperado, a complexidade da medi\u00e7\u00e3o (valor, dimens\u00e3o e unidade) pode prover informa\u00e7\u00f5es mais detalhadas sobre a situa\u00e7\u00e3o e como as coisas deveriam ser tratadas.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Por que eu preciso deles?<\/h2>\n<p>Em geral, voc\u00ea monitora e mede por ao menos uma destas raz\u00f5es:<\/p>\n<ul>\n<li>Para validar decis\u00f5es anteriores: o acompanhamento de decis\u00f5es de <a href=\"\/27001academy\/pt-br\/documentation\/minutas-de-revisao-da-gestao\/\" target=\"_blank\" rel=\"noopener\">an\u00e1lise cr\u00edtica<\/a>\u00a0s\u00e3o exemplos para este caso, uma vez que voc\u00ea precisa prover evid\u00eancias de que aas a\u00e7\u00f5es implementadas foram eficazes.<\/li>\n<li>Para definir o direcionamento de atividades de forma a atingir metas estabelecidas: o planejamento de atividades de <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-copias-de-seguranca\/\" target=\"_blank\" rel=\"noopener\">backup<\/a>\u00a0\u00e9 um bom exemplo, uma vez que estes dados podem ser usados para escolher entre m\u00faltiplas alternativas (backup completo, incremental, ou diferencial, ou uma combina\u00e7\u00e3o destas). Para mais informa\u00e7\u00f5es, favor veja este artigo: <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2012\/04\/10\/iso-27001-control-objectives-why-are-they-important\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 control objectives \u2013 Why are they important?<\/a><\/li>\n<li>Para apresentar evid\u00eancias factuais para justificar um curso de a\u00e7\u00e3o requerido: Casos de neg\u00f3cio sobre a atualiza\u00e7\u00e3o de um a firewall ou implementa\u00e7\u00e3o de <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-para-o-uso-de-controles-criptograficos\/\" target=\"_blank\" rel=\"noopener\">criptografia<\/a>\u00a0requerem dados robustos e consistentes para vender a ideia para a administra\u00e7\u00e3o e partes interessadas.<\/li>\n<li>Para identificar um ponto de interven\u00e7\u00e3o e mudan\u00e7as e <a href=\"\/27001academy\/pt-br\/documentation\/formulario-de-acao-corretiva-ou-preventiva\/\" target=\"_blank\" rel=\"noopener\">a\u00e7\u00f5es corretivas<\/a> subsequentes: an\u00e1lise de causa em um problema de controle de acesso \u00e9 um bom exemplo do uso de monitoramento e medi\u00e7\u00e3o para esta raz\u00e3o.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Requisitos da ISO 27001<\/h2>\n<p>A cl\u00e1usula 9.1 da ISO 27001 estabelece dois aspectos a serem monitorados e medidos: desempenho da seguran\u00e7a da informa\u00e7\u00e3o e efic\u00e1cia do SGSI.<\/p>\n<p>A diferen\u00e7a b\u00e1sica entre elas \u00e9 que enquanto o desempenho da seguran\u00e7a da informa\u00e7\u00e3o lida individualmente com resultados de seguran\u00e7a considerados relevantes para a organiza\u00e7\u00e3o (e.g., disponibilidade de informa\u00e7\u00e3o, tempo de resposta a incidentes, custos de prote\u00e7\u00e3o, etc.), a efic\u00e1cia do SGSI mostra a voc\u00ea como a intera\u00e7\u00e3o entre estres resultados individuais de seguran\u00e7a afetam a seguran\u00e7a como um todo, incluindo a conformidade com a norma. Por exemplo, voc\u00ea pode ter uma boa disponibilidade de informa\u00e7\u00f5es e tempo de resposta a incidente, mas se estes resultados demandam alto custo de prote\u00e7\u00e3o, de uma forma geral, os resultados da seguran\u00e7a podem n\u00e3o ser t\u00e3o bons assim.<\/p>\n<p>Assim, sem um monitoramento e medi\u00e7\u00e3o apropriados, voc\u00ea pode acabar com resultados individuais de seguran\u00e7a que n\u00e3o agregam valor ao neg\u00f3cio, ou que n\u00e3o est\u00e3o em conformidade com os requisitos da norma e demandam esfor\u00e7os de corre\u00e7\u00e3o desnecess\u00e1rios, ou ambos.<\/p>\n<p>Para ajudar a prevenir estas situa\u00e7\u00f5es, a cl\u00e1usula 9.1 da ISO 27001 estabelece alguns itens que devem ser definidos para assegurar monitoramento e medi\u00e7\u00f5es apropriadas:<\/p>\n<ol>\n<li><strong>O que precise ser monitorado \/ medido<\/strong>: primeiro, identifique todos os resultados e processo de neg\u00f3cio que podem ser afetados por varia\u00e7\u00f5es no desempenho da seguran\u00e7a da informa\u00e7\u00e3o, incluindo os pr\u00f3prios controles e processos de seguran\u00e7a da informa\u00e7\u00e3o e requisitos obrigat\u00f3rios, como leis, regulamenta\u00e7\u00f5es e obriga\u00e7\u00f5es contratuais. A disponibilidade de sistemas de com\u00e9rcio eletr\u00f4nico, a integridade de dados de contabilidade e an\u00e1lise cr\u00edtica de direitos de acesso especiais s\u00e3o bons exemplos.<\/li>\n<li><strong>Quais m\u00e9todos podem ser usados para monitoramento \/ medi\u00e7\u00e3o<\/strong>: aqui voc\u00ea pode escolher qualquer m\u00e9todo com o qual esteja confort\u00e1vel (e.g., manual, mec\u00e2nico, por software, etc.). O crit\u00e9rio cr\u00edtico \u00e9 que o m\u00e9todo escolhido deve ser verific\u00e1vel (capaz de produzir resultados compar\u00e1veis e repet\u00edveis).<\/li>\n<li><strong>Quando o monitoramento \/ medi\u00e7\u00e3o devem ser feitos:<\/strong> diferentes necessidades requerem diferentes tempos de monitoramento \/ medi\u00e7\u00e3o e voc\u00ea deve considerar isto, incluindo a periodicidade. Por exemplo, uma aplica\u00e7\u00e3o pode ter pontos de medi\u00e7\u00e3o \/ monitoramento na entrada de dados, durante o processamento ou na sa\u00edda de dados. Aplica\u00e7\u00f5es internas de uso restrito podem ser monitoradas \/ medidas em periodicidades maiores do que aplica\u00e7\u00f5es destinadas a Internet.<\/li>\n<li><strong>Quando os resultados de monitoramento \/ medi\u00e7\u00e3o devem ser analisados e avaliados<\/strong>: para agregar valor ao neg\u00f3cio, os resultados de monitoramento \/ medi\u00e7\u00e3o devem ser considerados em decis\u00f5es e a\u00e7\u00f5es em tempos apropriados. Consider\u00e1-los muito cedo ou muito tarde pode resultar em esfor\u00e7o desnecess\u00e1rio, desperd\u00edcio de recursos ou perda de oportunidades.<\/li>\n<li><strong>Quem deve analisar e avaliar os resultados de medi\u00e7\u00e3o \/ monitoramento<\/strong>: t\u00e3o importante <em>quando<\/em> os dados s\u00e3o analisados \/ avaliados \u00e9 <em>quem<\/em> faz isso. Em geral, o n\u00edvel operacional deveria realizar a an\u00e1lise (e.g., t\u00e9cnicos e administradores), enquanto a equipe gerencial realiza avalia\u00e7\u00f5es.<\/li>\n<\/ol>\n<p>Adicionalmente, existe um requisite espec\u00edfico relacionado a preserva\u00e7\u00e3o de evid\u00eancias de resultados de monitoramento e medi\u00e7\u00e3o, para atender a cl\u00e1usula 7.5 da norma (informa\u00e7\u00e3o documentada). Cartas de controle, listas de verifica\u00e7\u00e3o e relat\u00f3rios de an\u00e1lise avaliados pela administra\u00e7\u00e3o s\u00e3o bons exemplos de documenta\u00e7\u00e3o apropriada a ser preservada. Al\u00e9m de assegurar conformidade com a norma, ao fazer isso voc\u00ea tamb\u00e9m est\u00e1 construindo um hist\u00f3rico de monitoramento \/ medi\u00e7\u00e3o que pode ajud\u00e1-lo a rastrear melhor os resultados da organiza\u00e7\u00e3o assim como a aprender de problemas passados.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Alcance melhores resultados atrav\u00e9s monitoramento e medi\u00e7\u00e3o adequados<\/h2>\n<p>Mudan\u00e7a \u00e9 a \u00fanica constante na vida, assim sua organiza\u00e7\u00e3o deveria estar preparada para ela. Monitore atentamente o que tem mais impacto em seus resultados, e me\u00e7a o que pode trazer mais vantagens para se evitar amea\u00e7as e usufruir de oportunidades. Seus resultados ir\u00e3o se beneficiar.<\/p>\n<p><em>Para mais informa\u00e7\u00f5es sobre como definir objetivos, e quais documentos e t\u00e9cnicas usar para medi\u00e7\u00f5es, veja este webinar gratuito\u00a0<\/em> <a href=\"https:\/\/advisera.com\/27001academy\/webinar\/iso-27001-iso-27004-measure-effectiveness-information-security-free-webinar\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 and ISO 27004: How to measure the effectiveness of information security?<\/a><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>O monitoramento e medi\u00e7\u00e3o s\u00e3o a\u00e7\u00f5es chave na manuten\u00e7\u00e3o e melhoria de qualquer sistema. (Veja este artigo para maiores informa\u00e7\u00f5es: Atingindo a melhoria continua atrav\u00e9s do uso de modelos de maturidade.) ISO 27001\u00a0reconhece a import\u00e2ncia deles na em sua cl\u00e1usula 9.1 (Monitoramento, medi\u00e7\u00e3o, an\u00e1lise e avalia\u00e7\u00e3o), definindo requisitos a serem observados quando da implementa\u00e7\u00e3o de &#8230;<\/p>\n","protected":false},"author":41,"featured_media":4353,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4352","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4352","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4352"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4352\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4353"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4352"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4352"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}