SlideShare une entreprise Scribd logo

Plano de métricas aplicado na itil versão 3

S
sergiojr1984

MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN APLICADAS ITIL VERSIÓN 3.

Business
1  sur  7
Télécharger pour lire hors ligne
1 Curso: Segurança da Informação Atividade: Trabalho de Conclusão de Curso Aluno: Sérgio Nunes Siqueira Júnior Professor Orientador: Fernando José Karl 1 PLANO DE MÉTRICAS APLICADO NA ITIL VERSÃO 3 Existem muitos artigos tratando sobre a definição de métricas de segurança, visando proporcionar orientações e critérios para sua utilização, mas pouco se vê na prática a real utilização das mesmas com resultados úteis as organizações (JAQUITH, 2007). Portanto a falta de conhecimento se torna um desafio para qualquer gestor de TI, que deve determinar suas próprias métricas, ou optar por não mensurar se essas atividades e seus resultados estão colocando em risco o negócio da empresa em algum aspecto importante, seja ela na TI ou fora dela. As métricas nos processos da ITIL versão 3 possuem um papel essencial, pois são através delas que o processo decisório e os métodos de solução de problemas se tornam mais concretos e eficazes, fazendo com que sua aplicação seja utilizada como uma ferramenta de gerenciamento de riscos ou no auxílio de identificação de oportunidades de melhoria nas atividades, pois se permitindo analisar de forma antecipada os eventos através da tendência do comportamento. 1.1 ALINHAMENTO ENTRE ITIL VERSÃO 3 E ISO/IEC 27001 O alinhamento entre a ITIL versão 03 e os controles e objetivos de controle da ISO/IEC 27001, são parte da governança da tecnologia da informação, pois conscientização e consideração dos riscos de segurança e seus problemas são obrigações de cada passo ao sucesso do gerenciamento de serviço de TI da ITIL versão 3 (CLINCH, 2009). Os processos que foram mapeados da ITIL versão 3 para os controles da ABNT ISO/IEC 27002 foram: Gestão de Incidentes, Gestão de Nível de Serviço, Gestão de Ativos de Serviços e Configuração, Gestão de Disponibilidade e Gestão de
2 mudanças, nos quais tiveram como base artigos publicados nos quais fazem o alinhamento diretamente da ITIL para a 27002, e também onde o alinhamento é executado da ITIL para os controles da 27002, através do COBIT. Com a combinação dos artigos publicados, foram alinhados os processos de gestão de incidentes, nível de serviço, ativos de serviço e configuração, disponibilidade e mudanças de acordo com o escopo definido ao trabalho. O modelo para aplicação das métricas foi desenvolvido baseado no Anexo A da norma ABNT ISO/IEC 27004 – Tecnologia da informação - Técnicas de segurança - Gestão da Segurança da informação-Medição, onde é disponibilizado um modelo padrão para medida em segurança da informação. Para que contemple as informações de segurança e de governança de TI, o modelo foi redesenhado para atender as necessidades da ISO/IEC 27004 e da ITIL versão 03. O modelo de medição utilizado utiliza como orientação os seguintes critérios: Processo da ITIL versão 3 - Identificação numérica e nome do processo da ITIL versão 3 conforme o livro oficial da OGC. Subprocesso ITIL versão 3 – Identificação numérica e nome conforme o livro oficial da OGC, referente ao subprocesso.  Nome da métrica – Específico da organização. Deve condizer com o que se está medindo para fácil identificação da métrica.  Identificador – Pode ser específico da organização. O Modelo proposto nesse trabalho sugere a utilização das identificações numéricas da ITIL separadas por barra e seguida das identificações numéricas dos controles da ISO 27002, por exemplo: 4.3.4.1/7.1.3 onde 4.3.4.1 (ITIL) - Políticas de Gerenciamento de Ativos de Serviço e Configuração e 7.1.3 (ISO 27002) - Uso aceitável de ativos.  Objetivo do modelo de medição - Descreve as razões ou resultados a serem alcançados pela medição.  Controle/Processo 27001 – Identificação numérica e nome do controle do ANEXO A da ISO 27001.
3  Objetivo do Controle 27001 - Objetivo dos controles conforme ANEXO A da ABNT ISO/IEC 27001.  Objeto de Medição - Objeto que é caracterizado através da medição de seus atributos, podendo ser processos, planos, projetos, recursos, e sistemas, ou componentes de sistemas.  Atributo - Propriedade de um objeto de medição que pode ser distinguida quantitativamente ou qualitativamente por meios manuais ou automatizados.  Medida básica - Uma medida básica é definida em termos de um atributo e o método de medição específico para quantificá-lo.  Método de medição - Sequência de procedimentos a serem seguidos para quantificar o atributo.  Medida derivada - É uma medida que deriva de uma ou mais medidas básicas. Exemplo: Das medidas básicas (Total de Incidentes de Segurança) e (Total de Horas técnicas para resolução) e (Valor hora técnica), podemos obter como medidas derivadas: Média de horas por incidente, Custo de hora/homem por incidente, esforço técnico em um período designado. Ou seja, todas derivadas das medidas básicas.  Função de medição - Cálculo utilizado para resultar na medida derivada, utilizando medidas básicas.  Indicador - Medida que fornece visão de avaliação dos atributos especificados relacionados a uma necessidade de informação. Indicadores são base para tomada de decisão  Modelo analítico - É a base do entendimento em relação a medida básica ou derivada e o seu comportamento ao longo da variável, por exemplo: Tempo. Um modelo analítico descreve avaliações para uma determinada necessidade de informação.  Critério de decisão - Métodos para definir necessidades de tomadas de ação ou investigação. Critérios de decisão ajudam a interpretar os resultados da medição.
4  Interpretação do indicador – Uma descrição de como o indicador deve ser lido, instigando ações, ou sugerindo causas e efeitos de acordo com o comportamento ou tendência do indicador, facilitando no critério de decisão.  Formato de comunicação - Método de demonstração dos resultados, descrevendo como o proprietário necessita da informação, como, listagens, gráficos, relatórios de colunas.  Cliente da medição - Parte interessada que necessita da informação. Geralmente alguém da direção ou seu representante.  Responsável pela análise crítica da medição – Responsável pela validação e auditoria dos resultados do modelo de medição  Proprietário da informação - Responsável ou custodiante da informação de um objeto de medição e seus atributos.  Coletor da informação - Responsável pela coleta, registro e armazenamento dos dados coletados de atributos.  Frequência de coleta de dados – Frequência com que os dados coletados  Frequência de análise dos dados - Frequência com que os dados são analisados.  Frequência de comunicação dos resultados de medição - Frequência com que as métricas são comunicadas dentro da organização ou a terceiros.  Revisão de medição - Frequência com que o modelo proposta para medição necessita ser analisado criticamente.  Período de medição - Define a validade dos dados através do período de medição. Seguindo o modelo citado, o Quadro 1 demonstra um exemplo de métrica aplicada sob a gestão de mudanças da ITIL versão 3 alinhada ao controle 10.1.2 que se refere à gestão de mudanças da ABTN ISO/IEC 27002:
5 Quadro 1 - Modelo de Métrica em Gestão de Mudanças Modelo de Medição Processo da ITIL 4.2 Gestão de Mudanças Versão 3 Subprocesso ITIL 4.2 Gerenciamento de mudanças versão 3 Nome Métrica Índice de Mudanças Proativas e Reativas Identificador 4.2/10.1.2 Avaliar o planejamento de mudanças, em Objetivo do Modelo de relação à prevenção de incidentes de Medição segurança da informação. Comparativo de mudanças preventivas e Método de medição mudanças corretivas. Controle/Processo 27001 10.1.2 Gerenciamento de Mudanças 10.1.2Modificações nos recursos de Objetivo do processamento da informação e sistemas Controle/Processo devem ser controladas Objetivo de Medição e Atributos Objeto de Medição Requisição de mudança Atributo Mudança corretiva ou preventiva Especificação da Medida Básica Mudanças corretivas Medida Básica Mudanças preventivas Contagem de mudanças corretivas Método de Medição Contagem de mudanças preventivas Especificação da Medida Derivada % de mudanças corretivas Medida Derivada % de mudanças preventivas Contagem de mudanças corretivas/Total de mudanças Função de Medição Contagem de mudanças preventivas/Total de mudanças
6 Especificação de Indicador Gráfico de barras com % de mudanças Indicador corretivas contra % de mudanças preventivas no período requerido. Percentual de mudanças corretivas maiores Modelo Analítico que mudanças preventivas Especificação do Critério de Decisão Percentual de mudanças corretivas maiores que mudanças preventivas, devem ser investigadas quanto ao mau planejamento da Critério de Decisão manutenção preventivas, caso existam. Percentual de mudanças preventivas maiores que corretivas, não necessitam ação. Resultados da Medição Percentual de mudanças corretivas maiores que mudanças preventivas, podem indicar falta de planejamento da organização quanto à manutenção adequada e planejada de seus Interpretação do ativos. Indicador Percentual de mudanças preventivas maiores que mudanças corretivas, podem indicar manutenção planejada e ordenada dos ativos. Formato de Gráfico de barras Comunicação Partes Interessadas Cliente da Medição Gestor do SGSI Responsável pela Análise Crítica da Gestor de mudanças Medição Proprietário da Gestor de Configuração e ativos Informação Coletor da Informação Gestor do SGSI Frequência/Período
7 Frequência de Coleta de Diário Dados Frequência de Análise Mensal dos Dados Frequência de Comunicação dos Mensal Resultados de medição Revisão de Medição Semestral Período de Medição Anual O questionário para avaliação do plano de métricas encontra-se disponível neste link.

Recommandé

Automacao iii 230505
Automacao iii 230505Automacao iii 230505
Automacao iii 230505Roberto Sousa
 
MSA - Análise dos sistemas de medição
MSA - Análise dos sistemas de mediçãoMSA - Análise dos sistemas de medição
MSA - Análise dos sistemas de mediçãoCarlos Ernesto Natali
 
sistema de medição
sistema de mediçãosistema de medição
sistema de mediçãoroger_
 
05 msa 2010
05 msa 201005 msa 2010
05 msa 2010Benhur Demetrius de oliveira cruz
 
Enegep2009 tn sto_092_623_13743
Enegep2009 tn sto_092_623_13743Enegep2009 tn sto_092_623_13743
Enegep2009 tn sto_092_623_13743edumm001
 
Msa
MsaMsa
Msavlanenosa
 
Cap 1 medir
Cap 1 medirCap 1 medir
Cap 1 medirkikoti
 
Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 

Recommandé

Automacao iii 230505
Automacao iii 230505Automacao iii 230505
Automacao iii 230505Roberto Sousa
 
MSA - Análise dos sistemas de medição
MSA - Análise dos sistemas de mediçãoMSA - Análise dos sistemas de medição
MSA - Análise dos sistemas de mediçãoCarlos Ernesto Natali
 
sistema de medição
sistema de mediçãosistema de medição
sistema de mediçãoroger_
 
05 msa 2010
05 msa 201005 msa 2010
05 msa 2010Benhur Demetrius de oliveira cruz
 
Enegep2009 tn sto_092_623_13743
Enegep2009 tn sto_092_623_13743Enegep2009 tn sto_092_623_13743
Enegep2009 tn sto_092_623_13743edumm001
 
Msa
MsaMsa
Msavlanenosa
 
Cap 1 medir
Cap 1 medirCap 1 medir
Cap 1 medirkikoti
 
Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Gestão de indicadores de desempenho roberto de assis nogueira
Gestão de indicadores de desempenho roberto de assis nogueiraGestão de indicadores de desempenho roberto de assis nogueira
Gestão de indicadores de desempenho roberto de assis nogueiraWilsonSilveira12
 
ABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
ABNT NBR ISO 10012:2004 - Sistema de Gestão de MediçãoABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
ABNT NBR ISO 10012:2004 - Sistema de Gestão de MediçãoFabiano Costa Cardoso
 
Lumine SafeChain - Método de Desenvolvimento
Lumine SafeChain - Método de DesenvolvimentoLumine SafeChain - Método de Desenvolvimento
Lumine SafeChain - Método de DesenvolvimentoEdson Aguilera-Fernandes
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Rogério Souza
 
Fundamentos APF
Fundamentos APFFundamentos APF
Fundamentos APFhumberthomattar
 
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case StudyImplementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case StudyStrongstep - Innovation in software quality
 
Nbr iso 14040 (2001) gestão ambiental ciclo de vida
Nbr iso 14040 (2001) gestão ambiental ciclo de vida Nbr iso 14040 (2001) gestão ambiental ciclo de vida
Nbr iso 14040 (2001) gestão ambiental ciclo de vidareativo
 
Aula 02
Aula 02Aula 02
Aula 02Edvan Lima
 
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxProjeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxGabrieleMedeiros8
 
MSA_Teoria_Implantacao_ProFicient.pdf
MSA_Teoria_Implantacao_ProFicient.pdfMSA_Teoria_Implantacao_ProFicient.pdf
MSA_Teoria_Implantacao_ProFicient.pdfDoutorgestoJaqueline
 
Equipamentos de monotorização
Equipamentos de monotorizaçãoEquipamentos de monotorização
Equipamentos de monotorizaçãoBruno Lagarto
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosTsiane Poppe Araujo
 
Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Jose Rudy
 
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...ferbsi
 
Fundamentos ITIL Português Completo
Fundamentos ITIL Português CompletoFundamentos ITIL Português Completo
Fundamentos ITIL Português CompletoTiago Henrique Ribeiro Ferreira
 
governançadeti-cobit-itil--completo.pptx
governançadeti-cobit-itil--completo.pptxgovernançadeti-cobit-itil--completo.pptx
governançadeti-cobit-itil--completo.pptxssuserb49297
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Infobrasil - 2013
Infobrasil - 2013Infobrasil - 2013
Infobrasil - 2013Odecilia
 
Metrologia turma 40599(1)
Metrologia turma 40599(1)Metrologia turma 40599(1)
Metrologia turma 40599(1)Ruan Marquês
 
Modelo SCOR
Modelo SCORModelo SCOR
Modelo SCORCLT Valuebased Services
 

Contenu connexe

Similaire à Plano de métricas aplicado na itil versão 3

Gestão de indicadores de desempenho roberto de assis nogueira
Gestão de indicadores de desempenho roberto de assis nogueiraGestão de indicadores de desempenho roberto de assis nogueira
Gestão de indicadores de desempenho roberto de assis nogueiraWilsonSilveira12
 
ABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
ABNT NBR ISO 10012:2004 - Sistema de Gestão de MediçãoABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
ABNT NBR ISO 10012:2004 - Sistema de Gestão de MediçãoFabiano Costa Cardoso
 
Lumine SafeChain - Método de Desenvolvimento
Lumine SafeChain - Método de DesenvolvimentoLumine SafeChain - Método de Desenvolvimento
Lumine SafeChain - Método de DesenvolvimentoEdson Aguilera-Fernandes
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Rogério Souza
 
Nbr iso 14040 (2001) gestão ambiental ciclo de vida
Nbr iso 14040 (2001) gestão ambiental ciclo de vida Nbr iso 14040 (2001) gestão ambiental ciclo de vida
Nbr iso 14040 (2001) gestão ambiental ciclo de vidareativo
 
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxProjeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxGabrieleMedeiros8
 
MSA_Teoria_Implantacao_ProFicient.pdf
MSA_Teoria_Implantacao_ProFicient.pdfMSA_Teoria_Implantacao_ProFicient.pdf
MSA_Teoria_Implantacao_ProFicient.pdfDoutorgestoJaqueline
 
Equipamentos de monotorização
Equipamentos de monotorizaçãoEquipamentos de monotorização
Equipamentos de monotorizaçãoBruno Lagarto
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosTsiane Poppe Araujo
 
Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Jose Rudy
 
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...ferbsi
 
governançadeti-cobit-itil--completo.pptx
governançadeti-cobit-itil--completo.pptxgovernançadeti-cobit-itil--completo.pptx
governançadeti-cobit-itil--completo.pptxssuserb49297
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Infobrasil - 2013
Infobrasil - 2013Infobrasil - 2013
Infobrasil - 2013Odecilia
 
Metrologia turma 40599(1)
Metrologia turma 40599(1)Metrologia turma 40599(1)
Metrologia turma 40599(1)Ruan Marquês
 

Similaire à Plano de métricas aplicado na itil versão 3 (20)

Gestão de indicadores de desempenho roberto de assis nogueira
Gestão de indicadores de desempenho roberto de assis nogueiraGestão de indicadores de desempenho roberto de assis nogueira
Gestão de indicadores de desempenho roberto de assis nogueira
 
ABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
ABNT NBR ISO 10012:2004 - Sistema de Gestão de MediçãoABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
ABNT NBR ISO 10012:2004 - Sistema de Gestão de Medição
 
Lumine SafeChain - Método de Desenvolvimento
Lumine SafeChain - Método de DesenvolvimentoLumine SafeChain - Método de Desenvolvimento
Lumine SafeChain - Método de Desenvolvimento
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008
 
Fundamentos APF
Fundamentos APFFundamentos APF
Fundamentos APF
 
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case StudyImplementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
 
Nbr iso 14040 (2001) gestão ambiental ciclo de vida
Nbr iso 14040 (2001) gestão ambiental ciclo de vida Nbr iso 14040 (2001) gestão ambiental ciclo de vida
Nbr iso 14040 (2001) gestão ambiental ciclo de vida
 
Aula 02
Aula 02Aula 02
Aula 02
 
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxProjeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptx
 
MSA_Teoria_Implantacao_ProFicient.pdf
MSA_Teoria_Implantacao_ProFicient.pdfMSA_Teoria_Implantacao_ProFicient.pdf
MSA_Teoria_Implantacao_ProFicient.pdf
 
Equipamentos de monotorização
Equipamentos de monotorizaçãoEquipamentos de monotorização
Equipamentos de monotorização
 
Modulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processosModulo 3 -Análise, Controle e Performance de processos
Modulo 3 -Análise, Controle e Performance de processos
 
Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)
 
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...
 
Fundamentos ITIL Português Completo
Fundamentos ITIL Português CompletoFundamentos ITIL Português Completo
Fundamentos ITIL Português Completo
 
governançadeti-cobit-itil--completo.pptx
governançadeti-cobit-itil--completo.pptxgovernançadeti-cobit-itil--completo.pptx
governançadeti-cobit-itil--completo.pptx
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Infobrasil - 2013
Infobrasil - 2013Infobrasil - 2013
Infobrasil - 2013
 
Metrologia turma 40599(1)
Metrologia turma 40599(1)Metrologia turma 40599(1)
Metrologia turma 40599(1)
 
Modelo SCOR
Modelo SCORModelo SCOR
Modelo SCOR
 

Plano de métricas aplicado na itil versão 3

  • 1. 1 Curso: Segurança da Informação Atividade: Trabalho de Conclusão de Curso Aluno: Sérgio Nunes Siqueira Júnior Professor Orientador: Fernando José Karl 1 PLANO DE MÉTRICAS APLICADO NA ITIL VERSÃO 3 Existem muitos artigos tratando sobre a definição de métricas de segurança, visando proporcionar orientações e critérios para sua utilização, mas pouco se vê na prática a real utilização das mesmas com resultados úteis as organizações (JAQUITH, 2007). Portanto a falta de conhecimento se torna um desafio para qualquer gestor de TI, que deve determinar suas próprias métricas, ou optar por não mensurar se essas atividades e seus resultados estão colocando em risco o negócio da empresa em algum aspecto importante, seja ela na TI ou fora dela. As métricas nos processos da ITIL versão 3 possuem um papel essencial, pois são através delas que o processo decisório e os métodos de solução de problemas se tornam mais concretos e eficazes, fazendo com que sua aplicação seja utilizada como uma ferramenta de gerenciamento de riscos ou no auxílio de identificação de oportunidades de melhoria nas atividades, pois se permitindo analisar de forma antecipada os eventos através da tendência do comportamento. 1.1 ALINHAMENTO ENTRE ITIL VERSÃO 3 E ISO/IEC 27001 O alinhamento entre a ITIL versão 03 e os controles e objetivos de controle da ISO/IEC 27001, são parte da governança da tecnologia da informação, pois conscientização e consideração dos riscos de segurança e seus problemas são obrigações de cada passo ao sucesso do gerenciamento de serviço de TI da ITIL versão 3 (CLINCH, 2009). Os processos que foram mapeados da ITIL versão 3 para os controles da ABNT ISO/IEC 27002 foram: Gestão de Incidentes, Gestão de Nível de Serviço, Gestão de Ativos de Serviços e Configuração, Gestão de Disponibilidade e Gestão de
  • 2. 2 mudanças, nos quais tiveram como base artigos publicados nos quais fazem o alinhamento diretamente da ITIL para a 27002, e também onde o alinhamento é executado da ITIL para os controles da 27002, através do COBIT. Com a combinação dos artigos publicados, foram alinhados os processos de gestão de incidentes, nível de serviço, ativos de serviço e configuração, disponibilidade e mudanças de acordo com o escopo definido ao trabalho. O modelo para aplicação das métricas foi desenvolvido baseado no Anexo A da norma ABNT ISO/IEC 27004 – Tecnologia da informação - Técnicas de segurança - Gestão da Segurança da informação-Medição, onde é disponibilizado um modelo padrão para medida em segurança da informação. Para que contemple as informações de segurança e de governança de TI, o modelo foi redesenhado para atender as necessidades da ISO/IEC 27004 e da ITIL versão 03. O modelo de medição utilizado utiliza como orientação os seguintes critérios: Processo da ITIL versão 3 - Identificação numérica e nome do processo da ITIL versão 3 conforme o livro oficial da OGC. Subprocesso ITIL versão 3 – Identificação numérica e nome conforme o livro oficial da OGC, referente ao subprocesso.  Nome da métrica – Específico da organização. Deve condizer com o que se está medindo para fácil identificação da métrica.  Identificador – Pode ser específico da organização. O Modelo proposto nesse trabalho sugere a utilização das identificações numéricas da ITIL separadas por barra e seguida das identificações numéricas dos controles da ISO 27002, por exemplo: 4.3.4.1/7.1.3 onde 4.3.4.1 (ITIL) - Políticas de Gerenciamento de Ativos de Serviço e Configuração e 7.1.3 (ISO 27002) - Uso aceitável de ativos.  Objetivo do modelo de medição - Descreve as razões ou resultados a serem alcançados pela medição.  Controle/Processo 27001 – Identificação numérica e nome do controle do ANEXO A da ISO 27001.
  • 3. 3  Objetivo do Controle 27001 - Objetivo dos controles conforme ANEXO A da ABNT ISO/IEC 27001.  Objeto de Medição - Objeto que é caracterizado através da medição de seus atributos, podendo ser processos, planos, projetos, recursos, e sistemas, ou componentes de sistemas.  Atributo - Propriedade de um objeto de medição que pode ser distinguida quantitativamente ou qualitativamente por meios manuais ou automatizados.  Medida básica - Uma medida básica é definida em termos de um atributo e o método de medição específico para quantificá-lo.  Método de medição - Sequência de procedimentos a serem seguidos para quantificar o atributo.  Medida derivada - É uma medida que deriva de uma ou mais medidas básicas. Exemplo: Das medidas básicas (Total de Incidentes de Segurança) e (Total de Horas técnicas para resolução) e (Valor hora técnica), podemos obter como medidas derivadas: Média de horas por incidente, Custo de hora/homem por incidente, esforço técnico em um período designado. Ou seja, todas derivadas das medidas básicas.  Função de medição - Cálculo utilizado para resultar na medida derivada, utilizando medidas básicas.  Indicador - Medida que fornece visão de avaliação dos atributos especificados relacionados a uma necessidade de informação. Indicadores são base para tomada de decisão  Modelo analítico - É a base do entendimento em relação a medida básica ou derivada e o seu comportamento ao longo da variável, por exemplo: Tempo. Um modelo analítico descreve avaliações para uma determinada necessidade de informação.  Critério de decisão - Métodos para definir necessidades de tomadas de ação ou investigação. Critérios de decisão ajudam a interpretar os resultados da medição.
  • 4. 4  Interpretação do indicador – Uma descrição de como o indicador deve ser lido, instigando ações, ou sugerindo causas e efeitos de acordo com o comportamento ou tendência do indicador, facilitando no critério de decisão.  Formato de comunicação - Método de demonstração dos resultados, descrevendo como o proprietário necessita da informação, como, listagens, gráficos, relatórios de colunas.  Cliente da medição - Parte interessada que necessita da informação. Geralmente alguém da direção ou seu representante.  Responsável pela análise crítica da medição – Responsável pela validação e auditoria dos resultados do modelo de medição  Proprietário da informação - Responsável ou custodiante da informação de um objeto de medição e seus atributos.  Coletor da informação - Responsável pela coleta, registro e armazenamento dos dados coletados de atributos.  Frequência de coleta de dados – Frequência com que os dados coletados  Frequência de análise dos dados - Frequência com que os dados são analisados.  Frequência de comunicação dos resultados de medição - Frequência com que as métricas são comunicadas dentro da organização ou a terceiros.  Revisão de medição - Frequência com que o modelo proposta para medição necessita ser analisado criticamente.  Período de medição - Define a validade dos dados através do período de medição. Seguindo o modelo citado, o Quadro 1 demonstra um exemplo de métrica aplicada sob a gestão de mudanças da ITIL versão 3 alinhada ao controle 10.1.2 que se refere à gestão de mudanças da ABTN ISO/IEC 27002:
  • 5. 5 Quadro 1 - Modelo de Métrica em Gestão de Mudanças Modelo de Medição Processo da ITIL 4.2 Gestão de Mudanças Versão 3 Subprocesso ITIL 4.2 Gerenciamento de mudanças versão 3 Nome Métrica Índice de Mudanças Proativas e Reativas Identificador 4.2/10.1.2 Avaliar o planejamento de mudanças, em Objetivo do Modelo de relação à prevenção de incidentes de Medição segurança da informação. Comparativo de mudanças preventivas e Método de medição mudanças corretivas. Controle/Processo 27001 10.1.2 Gerenciamento de Mudanças 10.1.2Modificações nos recursos de Objetivo do processamento da informação e sistemas Controle/Processo devem ser controladas Objetivo de Medição e Atributos Objeto de Medição Requisição de mudança Atributo Mudança corretiva ou preventiva Especificação da Medida Básica Mudanças corretivas Medida Básica Mudanças preventivas Contagem de mudanças corretivas Método de Medição Contagem de mudanças preventivas Especificação da Medida Derivada % de mudanças corretivas Medida Derivada % de mudanças preventivas Contagem de mudanças corretivas/Total de mudanças Função de Medição Contagem de mudanças preventivas/Total de mudanças
  • 6. 6 Especificação de Indicador Gráfico de barras com % de mudanças Indicador corretivas contra % de mudanças preventivas no período requerido. Percentual de mudanças corretivas maiores Modelo Analítico que mudanças preventivas Especificação do Critério de Decisão Percentual de mudanças corretivas maiores que mudanças preventivas, devem ser investigadas quanto ao mau planejamento da Critério de Decisão manutenção preventivas, caso existam. Percentual de mudanças preventivas maiores que corretivas, não necessitam ação. Resultados da Medição Percentual de mudanças corretivas maiores que mudanças preventivas, podem indicar falta de planejamento da organização quanto à manutenção adequada e planejada de seus Interpretação do ativos. Indicador Percentual de mudanças preventivas maiores que mudanças corretivas, podem indicar manutenção planejada e ordenada dos ativos. Formato de Gráfico de barras Comunicação Partes Interessadas Cliente da Medição Gestor do SGSI Responsável pela Análise Crítica da Gestor de mudanças Medição Proprietário da Gestor de Configuração e ativos Informação Coletor da Informação Gestor do SGSI Frequência/Período
  • 7. 7 Frequência de Coleta de Diário Dados Frequência de Análise Mensal dos Dados Frequência de Comunicação dos Mensal Resultados de medição Revisão de Medição Semestral Período de Medição Anual O questionário para avaliação do plano de métricas encontra-se disponível neste link.