1. 1
Curso: Segurança da Informação
Atividade: Trabalho de Conclusão de Curso
Aluno: Sérgio Nunes Siqueira Júnior
Professor Orientador: Fernando José Karl
1 PLANO DE MÉTRICAS APLICADO NA ITIL VERSÃO 3
Existem muitos artigos tratando sobre a definição de métricas de segurança,
visando proporcionar orientações e critérios para sua utilização, mas pouco se vê na
prática a real utilização das mesmas com resultados úteis as organizações (JAQUITH,
2007). Portanto a falta de conhecimento se torna um desafio para qualquer gestor de TI,
que deve determinar suas próprias métricas, ou optar por não mensurar se essas
atividades e seus resultados estão colocando em risco o negócio da empresa em algum
aspecto importante, seja ela na TI ou fora dela. As métricas nos processos da ITIL
versão 3 possuem um papel essencial, pois são através delas que o processo decisório e
os métodos de solução de problemas se tornam mais concretos e eficazes, fazendo com
que sua aplicação seja utilizada como uma ferramenta de gerenciamento de riscos ou no
auxílio de identificação de oportunidades de melhoria nas atividades, pois se permitindo
analisar de forma antecipada os eventos através da tendência do comportamento.
1.1 ALINHAMENTO ENTRE ITIL VERSÃO 3 E ISO/IEC 27001
O alinhamento entre a ITIL versão 03 e os controles e objetivos de controle da
ISO/IEC 27001, são parte da governança da tecnologia da informação, pois
conscientização e consideração dos riscos de segurança e seus problemas são obrigações
de cada passo ao sucesso do gerenciamento de serviço de TI da ITIL versão 3
(CLINCH, 2009). Os processos que foram mapeados da ITIL versão 3 para os controles
da ABNT ISO/IEC 27002 foram: Gestão de Incidentes, Gestão de Nível de Serviço,
Gestão de Ativos de Serviços e Configuração, Gestão de Disponibilidade e Gestão de
2. 2
mudanças, nos quais tiveram como base artigos publicados nos quais fazem o
alinhamento diretamente da ITIL para a 27002, e também onde o alinhamento é
executado da ITIL para os controles da 27002, através do COBIT. Com a combinação
dos artigos publicados, foram alinhados os processos de gestão de incidentes, nível de
serviço, ativos de serviço e configuração, disponibilidade e mudanças de acordo com o
escopo definido ao trabalho.
O modelo para aplicação das métricas foi desenvolvido baseado no Anexo A da
norma ABNT ISO/IEC 27004 – Tecnologia da informação - Técnicas de segurança -
Gestão da Segurança da informação-Medição, onde é disponibilizado um modelo
padrão para medida em segurança da informação. Para que contemple as informações
de segurança e de governança de TI, o modelo foi redesenhado para atender as
necessidades da ISO/IEC 27004 e da ITIL versão 03.
O modelo de medição utilizado utiliza como orientação os seguintes critérios:
Processo da ITIL versão 3 - Identificação numérica e nome do processo da
ITIL versão 3 conforme o livro oficial da OGC.
Subprocesso ITIL versão 3 – Identificação numérica e nome conforme o livro
oficial da OGC, referente ao subprocesso.
Nome da métrica – Específico da organização. Deve condizer com o
que se está medindo para fácil identificação da métrica.
Identificador – Pode ser específico da organização. O Modelo proposto
nesse trabalho sugere a utilização das identificações numéricas da ITIL
separadas por barra e seguida das identificações numéricas dos controles
da ISO 27002, por exemplo: 4.3.4.1/7.1.3 onde 4.3.4.1 (ITIL) - Políticas
de Gerenciamento de Ativos de Serviço e Configuração e 7.1.3 (ISO
27002) - Uso aceitável de ativos.
Objetivo do modelo de medição - Descreve as razões ou resultados a
serem alcançados pela medição.
Controle/Processo 27001 – Identificação numérica e nome do controle
do ANEXO A da ISO 27001.
3. 3
Objetivo do Controle 27001 - Objetivo dos controles conforme
ANEXO A da ABNT ISO/IEC 27001.
Objeto de Medição - Objeto que é caracterizado através da medição de
seus atributos, podendo ser processos, planos, projetos, recursos, e
sistemas, ou componentes de sistemas.
Atributo - Propriedade de um objeto de medição que pode ser
distinguida quantitativamente ou qualitativamente por meios manuais ou
automatizados.
Medida básica - Uma medida básica é definida em termos de um
atributo e o método de medição específico para quantificá-lo.
Método de medição - Sequência de procedimentos a serem seguidos
para quantificar o atributo.
Medida derivada - É uma medida que deriva de uma ou mais medidas
básicas. Exemplo: Das medidas básicas (Total de Incidentes de
Segurança) e (Total de Horas técnicas para resolução) e (Valor hora
técnica), podemos obter como medidas derivadas: Média de horas por
incidente, Custo de hora/homem por incidente, esforço técnico em um
período designado. Ou seja, todas derivadas das medidas básicas.
Função de medição - Cálculo utilizado para resultar na medida derivada,
utilizando medidas básicas.
Indicador - Medida que fornece visão de avaliação dos atributos
especificados relacionados a uma necessidade de informação.
Indicadores são base para tomada de decisão
Modelo analítico - É a base do entendimento em relação a medida
básica ou derivada e o seu comportamento ao longo da variável, por
exemplo: Tempo. Um modelo analítico descreve avaliações para uma
determinada necessidade de informação.
Critério de decisão - Métodos para definir necessidades de tomadas de
ação ou investigação. Critérios de decisão ajudam a interpretar os
resultados da medição.
4. 4
Interpretação do indicador – Uma descrição de como o indicador deve
ser lido, instigando ações, ou sugerindo causas e efeitos de acordo com o
comportamento ou tendência do indicador, facilitando no critério de
decisão.
Formato de comunicação - Método de demonstração dos resultados,
descrevendo como o proprietário necessita da informação, como,
listagens, gráficos, relatórios de colunas.
Cliente da medição - Parte interessada que necessita da informação.
Geralmente alguém da direção ou seu representante.
Responsável pela análise crítica da medição – Responsável pela
validação e auditoria dos resultados do modelo de medição
Proprietário da informação - Responsável ou custodiante da
informação de um objeto de medição e seus atributos.
Coletor da informação - Responsável pela coleta, registro e
armazenamento dos dados coletados de atributos.
Frequência de coleta de dados – Frequência com que os dados
coletados
Frequência de análise dos dados - Frequência com que os dados são
analisados.
Frequência de comunicação dos resultados de medição - Frequência
com que as métricas são comunicadas dentro da organização ou a
terceiros.
Revisão de medição - Frequência com que o modelo proposta para
medição necessita ser analisado criticamente.
Período de medição - Define a validade dos dados através do período de
medição.
Seguindo o modelo citado, o Quadro 1 demonstra um exemplo de métrica
aplicada sob a gestão de mudanças da ITIL versão 3 alinhada ao controle 10.1.2 que se
refere à gestão de mudanças da ABTN ISO/IEC 27002:
5. 5
Quadro 1 - Modelo de Métrica em Gestão de Mudanças
Modelo de Medição
Processo da ITIL
4.2 Gestão de Mudanças
Versão 3
Subprocesso ITIL
4.2 Gerenciamento de mudanças
versão 3
Nome Métrica Índice de Mudanças Proativas e Reativas
Identificador 4.2/10.1.2
Avaliar o planejamento de mudanças, em
Objetivo do Modelo de
relação à prevenção de incidentes de
Medição
segurança da informação.
Comparativo de mudanças preventivas e
Método de medição
mudanças corretivas.
Controle/Processo
27001 10.1.2 Gerenciamento de Mudanças
10.1.2Modificações nos recursos de
Objetivo do
processamento da informação e sistemas
Controle/Processo
devem ser controladas
Objetivo de Medição e Atributos
Objeto de Medição Requisição de mudança
Atributo Mudança corretiva ou preventiva
Especificação da Medida Básica
Mudanças corretivas
Medida Básica
Mudanças preventivas
Contagem de mudanças corretivas
Método de Medição
Contagem de mudanças preventivas
Especificação da Medida Derivada
% de mudanças corretivas
Medida Derivada
% de mudanças preventivas
Contagem de mudanças corretivas/Total de
mudanças
Função de Medição
Contagem de mudanças preventivas/Total de
mudanças
6. 6
Especificação de Indicador
Gráfico de barras com % de mudanças
Indicador corretivas contra % de mudanças preventivas
no período requerido.
Percentual de mudanças corretivas maiores
Modelo Analítico
que mudanças preventivas
Especificação do Critério de Decisão
Percentual de mudanças corretivas maiores
que mudanças preventivas, devem ser
investigadas quanto ao mau planejamento da
Critério de Decisão manutenção preventivas, caso existam.
Percentual de mudanças preventivas maiores
que corretivas, não necessitam ação.
Resultados da Medição
Percentual de mudanças corretivas maiores
que mudanças preventivas, podem indicar
falta de planejamento da organização quanto
à manutenção adequada e planejada de seus
Interpretação do
ativos.
Indicador
Percentual de mudanças preventivas maiores
que mudanças corretivas, podem indicar
manutenção planejada e ordenada dos ativos.
Formato de
Gráfico de barras
Comunicação
Partes Interessadas
Cliente da Medição Gestor do SGSI
Responsável pela
Análise Crítica da Gestor de mudanças
Medição
Proprietário da
Gestor de Configuração e ativos
Informação
Coletor da Informação Gestor do SGSI
Frequência/Período
7. 7
Frequência de Coleta de
Diário
Dados
Frequência de Análise
Mensal
dos Dados
Frequência de
Comunicação dos Mensal
Resultados de medição
Revisão de Medição Semestral
Período de Medição Anual
O questionário para avaliação do plano de métricas encontra-se disponível neste link.