Pense sobre um exame m\u00e9dico. Nosso objetivo \u00e9 que o m\u00e9dico nos informe que nossa sa\u00fade est\u00e1 ok e que viveremos um vida longa, certo? E como o m\u00e9dico avalia nossa sa\u00fade para determinar se estamos no caminho certo ou n\u00e3o? Pelo uso de v\u00e1rios indicadores biol\u00f3gicos, tais como press\u00e3o sangu\u00ednea, n\u00edveis de colesterol, frequ\u00eancia card\u00edaca, etc.<\/p>\n
Pense agora sobre sua organiza\u00e7\u00e3o. Como voc\u00ea pode dizer se ela est\u00e1 no caminho certo para atingir seus objetivos, especificamente objetivos de seguran\u00e7a da informa\u00e7\u00e3o? Este artigo mostrar\u00e1 alguns indicadores de desempenho chave (key performance indicators – KPIs) que voc\u00ea pode considerar para avaliar o desempenho de um SGSI.<\/p>\n
Um indicador de desempenho chave (key performance indicator- KPI) \u00e9 uma m\u00e9trica usada para se avaliar fatores que s\u00e3o cruciais para o sucesso de uma organiza\u00e7\u00e3o. Ele se difere de um objetivo no fato de que um objetivo \u00e9 algo que voc\u00ea quer atingir, enquanto que um KPI \u00e9 algo usado para verificar se seus esfor\u00e7os est\u00e3o levando voc\u00ea em dire\u00e7\u00e3o do objetivo definido. Por exemplo, se 60 km\/h \u00e9 a meta de velocidade, o veloc\u00edmetro ajuda voc\u00ea a atingir e manter esta velocidade. Para mais informa\u00e7\u00f5es sobre objetivos de controle, por favor leia\u00a0ISO 27001 control objectives \u2013 Why are they important?<\/a>.<\/p>\n Em um cen\u00e1rio onde tomadores de decis\u00e3o est\u00e3o cercados por informa\u00e7\u00f5es, e t\u00eam recursos limitados para trabalhar os objetivos, definir as mais relevantes (os KPIs) e como e quando elas deveriam ser apresentadas \u00e9 uma boa forma de se ajudar a monitorar resultados e tomar decis\u00f5es apropriadas.<\/p>\n Al\u00e9m da verifica\u00e7\u00e3o se algu\u00e9m est\u00e1 no caminho para atingir os objetivos propostos, os KPIs podem ser usados para apoiar a ISO 27001 ajudando a comunicar a import\u00e2ncia da gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o e objetivos (cl\u00e1usulas 5.1.a e 6.2 da ISO 27001).<\/p>\n Embora existam muitos crit\u00e9rios que voc\u00ea pode usar para a sele\u00e7\u00e3o de um KPI (uma busca na Internet pode mostrar d\u00fazias de op\u00e7\u00f5es), alguns aspectos s\u00e3o comuns a eles e podem tornar sua tarefa mais f\u00e1cil:<\/p>\n Relevante ao neg\u00f3cio:\u00a0<\/em><\/strong>o indicador deveria estar alinhado a objetivos claros do neg\u00f3cio ou requisitos legais<\/a>, que torna mais f\u00e1cil para as pessoas entender\u00a0 porque ele deveria ser medido e avaliado. A\u00a0ISO 27001<\/a>\u00a0tem alguns requisitos que podem ser atendidos pelo uso de indicadores relacionadosa efic\u00e1cia (veja cl\u00e1usulas 9.1 e 9.3) e conformidade (Anexo A.18), mas uma organiza\u00e7\u00e3o tamb\u00e9m deveria considerar indicadores de efici\u00eancia tamb\u00e9m; por exemplo, o Retorno Sobre Investimento em Seguran\u00e7a (ReturnOn Security Investment – ROSI) pode mostrar qu\u00e3o bem usados s\u00e3o os recursos para apoiar a cl\u00e1usula 7.1.<\/p>\n Integrado ao processo:\u00a0<\/em><\/strong>atividades para coletar os dados necess\u00e1rios para um KPI deveriam adicionar o m\u00ednimo de trabalho poss\u00edvel, em compara\u00e7\u00e3o \u00e0s atividades usuais para a entrega do produto\/servi\u00e7o, e a informa\u00e7\u00e3onecess\u00e1ria (ex.: marcar uma etapa como conclu\u00edda ou registrar o tempo para se realizar uma atividade) deveria estar nos mesmo formul\u00e1rios j\u00e1 usados pelo processo.<\/p>\n Assertivo:\u00a0<\/em><\/strong>o indicador deveria ser capaz de localizar assuntos relevantes (ex.: etapas de processos, \u00e1reas organizacionais, recursos, etc.) que precisam de aten\u00e7\u00e3o. Por exemplo, um KPI relacionado ao n\u00famero de falhas em tentativas de login explicitamente limitao escopo ao processo de login.<\/p>\n Os seguintes exemplos cobrem uma sequ\u00eancia completa do PDCA (Plan-Do-Check-Act \/ Planejar-Executar-Verificar-Atuar), mostrando como indicadores diferentes podem ser usados para se ter uma vis\u00e3o completa do desempenho dos processos relacionados a gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n Percentagemde iniciativas de neg\u00f3cio apoia das pelo SGSI:<\/strong> indicador que mostra o n\u00edvel de alinhamento e integra\u00e7\u00e3o do SGSI com o neg\u00f3cio. Quanto mais alto o valor, mais otimizados os recursos do SGSI, uma vez que os recursos de gest\u00e3o est\u00e3o sendo usados sobre mais aspectos da organiza\u00e7\u00e3o. Voc\u00ea pode usar o Documento sobre o escopo do SGSI<\/a>, comparado a todos os servi\u00e7os\/processos da organiza\u00e7\u00e3o, para obter esta informa\u00e7\u00e3o.<\/p>\n Percentagemde iniciativas de seguran\u00e7a da informa\u00e7\u00e3o contendo estimativas de custo\/benef\u00edcio:<\/strong> indicador que mostra a maturidade da organiza\u00e7\u00e3ono tratamento de riscos. Quanto maior o valor, mais decis\u00f5es de tratamento de riscoss\u00e3o baseadas em fatos. Voc\u00ea pode usar o Relat\u00f3rio de avalia\u00e7\u00e3o de riscos<\/a>\u00a0e o\u00a0Plano de tratamento de riscos<\/a>, comparados a todas as iniciativas de seguran\u00e7a implementadas, para obter esta informa\u00e7\u00e3o.<\/p>\n Percentagem de acordos com cl\u00e1usulas de seguran\u00e7a da informa\u00e7\u00e3o:\u00a0<\/strong>indicador que mostra como servi\u00e7os e produtos, providos por voc\u00ea ou fornecidos a voc\u00ea, est\u00e3o legalmente apoiados considerando aspectos de seguran\u00e7a da informa\u00e7\u00e3o (ex.:disponibilidade, confidencialidade, integridade e continuidade). Quanto maior o valor, melhor suportadas est\u00e3o suas rela\u00e7\u00f5es com clientes e fornecedores. Voc\u00ea pode usar Acordos de N\u00e3o Divulga\u00e7\u00e3o e SLAs com cl\u00e1usulas de seguran\u00e7a da informa\u00e7\u00e3o, comparados com todos os acordos relacionados a servi\u00e7os e produtos, para obter esta informa\u00e7\u00e3o.<\/p>\n N\u00famero de quedas de servi\u00e7o relacionadas \u00e0 seguran\u00e7a da informa\u00e7\u00e3o:\u00a0<\/strong>quedas relacionadas a assuntos de seguran\u00e7a da informa\u00e7\u00e3o refletem diretamente a efic\u00e1cia do SGSI. Esta informa\u00e7\u00e3o pode ser obtida de relat\u00f3rios operacionais.<\/p>\n Dura\u00e7\u00e3o de interrup\u00e7\u00f5es de servi\u00e7o:\u00a0<\/strong>t\u00e3o importante quando o n\u00famero de quedas, a dura\u00e7\u00e3o m\u00e9dia das interrup\u00e7\u00f5es \u00e9 uma medida importante da efic\u00e1cia do SGSI. Esta informa\u00e7\u00e3o pode ser obtida de relat\u00f3rios operacionais.<\/p>\n Tempo de resolu\u00e7\u00e3o de incidente:\u00a0<\/strong>outra medida importante da efic\u00e1cia do SGSI, esta informa\u00e7\u00e3o pode ser obtida de relat\u00f3rios operacionais.<\/p>\n Percentagem de avalia\u00e7\u00f5es de controles realizadas:<\/strong> indicador que d\u00e1 a voc\u00ea uma vis\u00e3o de quantas medidas de seguran\u00e7a est\u00e3o sendo revisadas. Quanto maior o valor, mais controles est\u00e3o sendo analisados em termos de efic\u00e1cia, efici\u00eancia e oportunidades de melhoria (assumindo que as avalia\u00e7\u00f5es s\u00e3o realizadas de acordo com a ISO 27001). Voc\u00ea pode usar o Plano de tratamento de riscos<\/a>, comparadoao Planos de Treinamento<\/a>, Registro de incidentes<\/a>, Relat\u00f3rio de Auditoria e Minutas de Revis\u00e3o da Gest\u00e3o, para obter esta informa\u00e7\u00e3o.<\/p>\n N\u00famerode iniciativas de melhoria:\u00a0<\/strong>indicador que mostra a proatividade do SGSI de uma organiza\u00e7\u00e3o com rela\u00e7\u00e3o a mudan\u00e7as no ambiente e oportunidades identificadas. Mudan\u00e7as com o objetivo de melhorar resultados ou prevenir perdas, ao inv\u00e9s de corrigir erros ou problemas, s\u00e3o bons exemplos que refletem um alto valor neste KPI. Voc\u00ea pode usar os Relat\u00f3rio de Auditoria<\/a>\u00a0e\u00a0Minutas de Revis\u00e3o da Gest\u00e3o<\/a>\u00a0para obter esta informa\u00e7\u00e3o.<\/p>\n Organiza\u00e7\u00f5es est\u00e3o sob constante press\u00e3o para atingir resultados, e para fazer isso, \u00e9 essencial contar com instrumentos de navega\u00e7\u00e3o apropriados que possam mostrar a elas se est\u00e3o ou n\u00e3o no curso certo e permitir ajustes em tempo h\u00e1bil. Mas tamb\u00e9m \u00e9 essencial que estes instrumentos sejam bem escolhidos e calibrados, caso contr\u00e1rio voc\u00ea pode se encontrar atacando os problemas errados e transformando uma situa\u00e7\u00e3o ruim em algo pior.<\/p>\n Para aprender mais sobre a avalia\u00e7\u00e3o de desempenho na ISO 27001, por favor veja nosso \u00a0<\/em>ISO 27001:2013 Foundations Course<\/a> gratuitamente<\/em>.<\/p>\nCrit\u00e9rios para a sele\u00e7\u00e3o de indicadores<\/h2>\n
Exemplos de indicadores de desempenho<\/h2>\n
Plan<\/em><\/h2>\n
Do<\/em><\/h2>\n
Check<\/em><\/h2>\n
Act<\/em><\/h2>\n
Monitoramento apropriado para melhorar resultados e evitar problemas<\/h2>\n