SlideShare uma empresa Scribd logo

Métricas de Segurança da Informação para Gestão de Ativos e Mudanças

S
sergiojr1984

1) O documento apresenta métricas de segurança da informação desenvolvidas baseadas na ITIL versão 3 e nos controles da norma ABNT ISO/IEC 27002, organizadas em quadros por processo de gestão. 2) São listadas métricas para gestão de ativos de serviço e configuração, gestão de mudanças, gestão de nível de serviço e gestão de incidentes. 3) As métricas não atendem completamente todos os requisitos da norma ABNT ISO/IEC 27001, mas foram desenvolvidas de forma genérica para que

NegóciosTecnologia
1 de 8
Baixar para ler offline
1 Curso: Segurança da Informação Atividade: Trabalho de Conclusão de Curso Aluno: Sérgio Nunes Siqueira Júnior Professor Orientador: Fernando José Karl 1. Listagem de Métricas Baseado na pesquisa realizada, são apresentadas as métricas de segurança da informação sob a perspectiva da ITIL versão 3 que foram desenvolvidas e selecionadas. As métricas desenvolvidas não atendem completamente todos os requisitos da norma ABNT ISO/IEC 27001, e os controles da ABNT ISO/IEC 27002, pois foram desenvolvidos de forma genérica para que o mercado de TI e segurança também possam se beneficiar com a aprendizagem ou desenvolvimento das métricas. Nos Quadro 1 até o Quadro 5 encontram-se disponíveis a listagem das métricas que foram desenvolvidas e selecionadas nesta pesquisa. Quadro 1 - Métricas Gestão de Ativos de Serviço e Configuração Gestão de Ativos de Serviço e Configuração - Livro Service Transition ITIL Controle 27002 Métrica 7.2.2 Rótulos e Tratamento Controle 7.2.2 de Informação Índice de Ativos classificados 4.3.5.2 Gestão e 12.4.1 Controle de Software Planejamento Operacional Controle 12.4.1 e 12.4.2 Aprovação e teste de 12.4.2 Proteção dos Dados Sistemas Operacionais para teste de Sistema 7.1.1 Inventário de Ativos 7.1.2 Proprietário dos Ativos Controle 7.1.1, 7.1.2, 7.2.2, 4.3.5.3 Identificação da 7.2.2 Rótulos e Tratamento Índice de ativos não Configuração de Informação classificados que suportam processos críticos 10.7.4 Segurança da Documentação dos Sistemas
2 11.4.3 Identificação de Equipamentos em Redes 12.4.2 Proteção dos Dados Controle 10.7.4, 11.4.3, 4.3.5.4 Controle da para teste de Sistema 12.4.2 Configuração Índice de ativos com acesso 12.5.3 Restrição sobre restrito Mudanças em pacotes de Software 12.6.1 Controle de Vulnerabilidades Técnicas 15.1.5 Prevenção de Mau uso de Recursos de Sistema Controles 12.5.3, 12.6.1, 4.3.5.5 Contabilização e de Informação 15.1.5 Relatório de Status Índice de ativos com status não autorizados 7.1.1 Inventário de Ativos 10.7.4 Segurança da Documentação dos Sistemas Controles 7.1.1, 10.7.4, 12.5.2 Análise Crítica 12.5.2, 15.1.5 4.3.5.6 Verificação e Técnica das aplicações após Índice de não conformidades Auditoria mudança no sistema identificados em auditorias operacional internas 15.1.5 Prevenção de mau uso de recursos de processamento da informação Controle 7.1.1 4.3.4.3 Sistema de Acuracidade do Sistema de Gerenciamento de 7.1.1 Inventário dos ativos Gerenciamento de Configuração Configuração Controle 7.1.2 4.3.5.3 Identificação da 7.1.2 Proprietário dos ativos Ativos de Configuração sem Configuração proprietários 4.3.4.1 Políticas de Controle 7.1.3 7.1.3 Uso aceitável dos Gerenciamento de Ativos de Infrações a PSI por uso ativos Serviço e Configuração inaceitável de ativos
3 10.7 Manuseio de mídias 10.7.1 Gerenciamento de 10.7.1, 10.7.2 mídias removíveis % Ativos que necessitam de eliminação segura 4.3 Gestão de Ativos de 10.7.2 Descarte de mídias Serviço e Configuração 10.7,10.7.3, 10.7.4 10.7.3 Procedimentos para % Análise Crítica da lista de tratamento de informação distribuição e lista de destinatários autorizados 10.7.4 Segurança da documentação dos sistemas Controle 12.4 e 12.4.1 Índice de controles em 12.4 Segurança dos arquivos sistemas operacionais do sistema padrão 12.4.1 Controle de software 4.3.4.3 Sistema de Controle 12.4.1 operacional Gerenciamento de % de licenças de software Configuração (Biblioteca de instaladas contra licenças 12.4.2 Proteção dos dados Mídia Definitiva) adquiridas (Deve fechar para teste de sistema 100%) 12.4.3 Controle de acesso ao Controle 12.4.3 código fonte de programa % Análise crítica dos registros de auditoria de acesso ao código fonte. Quadro 2 - Métricas Gestão de Mudanças Gestão de Mudanças - Livro Service Transition ITIL 27002 Métrica 10.1.2 Gerenciamento de Controle 10.1.2 4.2.6.2 Criar e registrar mudanças % de tamanho da fila de os pedidos de mudança mudanças 12.5.1 Procedimentos para controle 4.2.6.3 Revisão do de mudanças Controle 12.5.1 pedido de mudança Índice de mudanças 12.5.3 Restrição sobre mudanças enviadas para revisão em pacotes de software Controle 12.5.3, 12.6.1 Índice de riscos não 4.2.6.4 Analisar e avaliar 12.6.1 Controle de previstos antes das a mudança vulnerabilidades técnicas mudanças e foram 6.1.1 Comprometimento da direção identificados após com a segurança da informação mudanças
4 4.2.6.5 Autorizando a 6.1.2 Coordenação da segurança da Controle 12.5.1, 12.5.3 mudança % de mudanças não informação autorizadas 4.2.6.6 Coordenar a Controle 10.1.2 implementação da % de Mudanças mudança planejadas em atraso Controle 6.1.1 e 6.1.2 4.2.6.8 Conselho % distribuição de cargo consultivo de mudança do conselho consultivo de mudanças 10.1.2 Gerenciamento de mudanças Controle 10.1.2, 12.5.1, 11.5.4 Uso de utilitários de sistema Mudanças de emergência 12.5.1 Procedimentos para controle Controle 11.5.4, 12.5.3, 4.2.6.9 Mudanças de de mudanças 12.6.1 Emergência Índice de 12.5.3 Restrição sobre mudanças vulnerabilidades em pacotes de software descobertas em mudanças de emergência 12.6.1 Controle de vulnerabilidades técnicas Controle 10.1.2 4.2.6.4 Analisar e avaliar Retorno sobre segurança a mudança da mudança 10.1.2 Gerenciamento de Controle 10.1.2 4.2.6.7 Revisão e mudanças Valor previsto da encerramento do registro mudanças comparado de mudança com valor real da mudança 4.2 Gerenciamento de 10.1.2 Gerenciamento de Controle 10.1.2 mudanças Mudanças Índice de Mudanças Pró- Ativas e Reativas Quadro 3 - Métricas Gestão de Nível de Serviço Gestão de Nível de Serviço - Livro Service Design ITIL Controle 27002 Métrica
5 4.2.5.2 Determinar, documentar e acordar Controle 10.2.1 requisitos de novos serviços 10.2.1 Entrega de Serviços Fornecedores sem Acordos e produzir "Requisitos de de Nível de Serviço Nível de Serviço" 4.2.5.3 Monitorar o Controle 10.2.2, 10.10.2 desempenho do serviço Índice de acordos de nível contra "Acordo de Nível de de serviço que necessitam Serviço" mudanças 10.2.2 Monitoramento e análise crítica dos serviços Controle 10.10.2 4.2.5.6 Produzir relatórios terceirizados % de Nível de Serviço de serviço reportados de forma 10.2.3 Gerenciamento de automática mudanças para serviços Controle 10.2.3 4.2.5.7 Conduzir revisões e terceirizados Índice de mudanças em incentivar melhorias no SIP Acordos de Nível de Serviço (Service Improvement Plan) 10.10.2 Monitoramento de com fornecedores uso do sistema Controle 10.2.2 4.2.5.10 Reclamações e Nível de satisfação com Elogios serviços terceirizados
6 6.1.5 Acordos de confidencialidade 6.1.6 Contatos com Controle 6.1.5, 10.8.2, autoridades 15.1.4, 6.2.3, 12.5.5 Periodicidade de Auditoria 6.1.7 Contato com grupos de contratos de Nível de especiais Serviço com fornecedores 6.2.3 Identificando Controle 6.1.6 segurança da informação nos Índice de atualização da lista acordos com terceiros de contatos 4.2.5.9 Desenvolver contatos e relacionamentos 10.8.2 Acordos para troca de Controle 6.1.7 informações Índice de aproveitamento de contatos com grupos 12.5.5 Desenvolvimento especiais terceirizado de software Controle 10.2.3 10.2.3 Gerenciamento de Índice de mudança de mudanças para serviços fornecedores por requisitos terceirizados de qualidade 15.1.4 Proteção de dados e privacidade de informações pessoais Quadro 4 - Métricas Gestão de Incidentes Gestão de Incidentes - Livro Service Operation ITIL Controle 27002 Métrica Controle 14.1.4 Índices de falhas na gestão 14.1.4 Estrutura do Plano de 4.2 Gestão de Incidentes de incidentes em Testes de Continuidade de Negócio Gestão de Continuidade de Negócio 13.1 Notificação de Controle 13.1 4.2.4.2 Modelos de Fragilidades e Eventos de Índices de incidentes Incidente Segurança da Informação classificados como padrão 13.1 Notificação de Controle 13.1 4.2.5.1 Identificação do Fragilidades e Eventos de Ganhos com Incidentes Incidente Segurança da Informação resolvidos antes do impacto no cliente
7 13.1.2 Notificando Controle 13.1.1 e 13.1.2 4.2.5.2 Registro do Incidente Fragilidades de Segurança Incidentes registrados com da Informação informações incompletas 13.2.1 Responsabilidades e Controle 13.1.1, 13.1.2 4.2.5.3 Categorização do Procedimentos Índice de categoria de Incidente incidente 13.2.3 Coleta de Evidências Controle 13.2.1 4.2.5.4 Priorização do % de incidentes Incidente incorretamente priorizados Controle 13.2.3 4.2.5.5 Diagnóstico Inicial % de evidências válidas coletadas Controle 13.1.2 e 14.1.1 4.2.5.6 Escalonamento do 13.1.2 Notificando Índice de incidentes Incidente Fragilidades de Segurança encerrados sem da Informação escalonamento 13.2.3 Coleta de Evidências Controle 13.2.3 4.2.5.7 Investigação e Índice de evidências 14.1.1 Incluindo a Diagnóstico coletadas utilizadas em Segurança da Informação no Jurisdição Processo de Gestão de Continuidade de Negócio Controle 14.1.1 e 14.1.4 4.2.5.8 Resolução e 14.1.4 Estrutura do Plano de Incidentes sem solução Recuperação Continuidade de Negócio efetiva 13.2.2 Aprendendo com os Controle 13.2.2 e 13.2.3 Incidentes de Segurança da 4.2.5.9 Encerramento do Incidentes resolvidos com a Informação Incidente base de dados de erros conhecidos 13.2.3 Coleta de Evidências
8 Quadro 5 - Métricas Gestão de Disponibilidade Gestão de Disponibilidade - Livro Service Design ITIL Controle 27002 Métrica 14.1.1 Incluindo a segurança da informação no processo de gestão de continuidade do negócio. Controle 14.1.1, 14.1.2 Continuidade de 14.1.2, 14.1.3 4.4.5.2 As atividades proativas de negócio e análise/avaliação Processos da ITIL gerenciamento de disponibilidade de riscos. com acordos de nível de serviço definido. 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação.

Recomendados

Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1aparadoxo
 
Goiânia_GP18_Ger. das Aquisições_Grupo2
Goiânia_GP18_Ger. das Aquisições_Grupo2Goiânia_GP18_Ger. das Aquisições_Grupo2
Goiânia_GP18_Ger. das Aquisições_Grupo2Marco Coghi
 
Iso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guideIso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guidemfmurat
 
Evento System Center - Apresentação (2)
Evento System Center - Apresentação (2)Evento System Center - Apresentação (2)
Evento System Center - Apresentação (2)Allen Informática
 
Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Marcel Piovesan
 
Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1wagnernpinto
 
Artigo - GR
Artigo - GRArtigo - GR
Artigo - GR987123987123
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 

Recomendados

Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1aparadoxo
 
Goiânia_GP18_Ger. das Aquisições_Grupo2
Goiânia_GP18_Ger. das Aquisições_Grupo2Goiânia_GP18_Ger. das Aquisições_Grupo2
Goiânia_GP18_Ger. das Aquisições_Grupo2Marco Coghi
 
Iso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guideIso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guidemfmurat
 
Evento System Center - Apresentação (2)
Evento System Center - Apresentação (2)Evento System Center - Apresentação (2)
Evento System Center - Apresentação (2)Allen Informática
 
Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Marcel Piovesan
 
Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1Abnt nbr-iso-9001-2008-para-treinamento-rev1
Abnt nbr-iso-9001-2008-para-treinamento-rev1wagnernpinto
 
Artigo - GR
Artigo - GRArtigo - GR
Artigo - GR987123987123
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomAndracom Solutions
 
Apresentação Altiris-Daniel Lopes Allen
Apresentação Altiris-Daniel Lopes AllenApresentação Altiris-Daniel Lopes Allen
Apresentação Altiris-Daniel Lopes AllenAllen Informática
 
Requisitos da np en isso 9001 de 2008
Requisitos da np en isso 9001 de 2008Requisitos da np en isso 9001 de 2008
Requisitos da np en isso 9001 de 2008Marco Oliveira
 
Software RCM2Web
Software RCM2WebSoftware RCM2Web
Software RCM2Websqlbrasil
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
S1 - Analise de Redes.pdf
S1 - Analise de Redes.pdfS1 - Analise de Redes.pdf
S1 - Analise de Redes.pdfCristianoMartins89
 
Fundamentos ITIL Português Completo
Fundamentos ITIL Português CompletoFundamentos ITIL Português Completo
Fundamentos ITIL Português CompletoTiago Henrique Ribeiro Ferreira
 
Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Jose Rudy
 
Controlo interno
Controlo internoControlo interno
Controlo internoPortal_do_Estudante_aud
 
Entregar e suportar
Entregar e suportarEntregar e suportar
Entregar e suportarJoao Johanes
 
Brochura template para utilizar em eventos
Brochura template para utilizar em eventosBrochura template para utilizar em eventos
Brochura template para utilizar em eventosnpbbbb
 
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxDesenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxCoca Pitzer
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...E-Commerce Brasil
 
Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoE-Commerce Brasil
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaE-Commerce Brasil
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...E-Commerce Brasil
 
Despertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssDespertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssGuilhermeMelo381677
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?E-Commerce Brasil
 
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?Michael Rada
 
Catálogo de Produtos OceanTech 2024 - Atualizado
Catálogo de Produtos OceanTech 2024 - AtualizadoCatálogo de Produtos OceanTech 2024 - Atualizado
Catálogo de Produtos OceanTech 2024 - AtualizadoWagnerSouza717812
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoE-Commerce Brasil
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...E-Commerce Brasil
 

Mais conteúdo relacionado

Semelhante a Métricas de Segurança da Informação para Gestão de Ativos e Mudanças

Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomAndracom Solutions
 
Apresentação Altiris-Daniel Lopes Allen
Apresentação Altiris-Daniel Lopes AllenApresentação Altiris-Daniel Lopes Allen
Apresentação Altiris-Daniel Lopes AllenAllen Informática
 
Requisitos da np en isso 9001 de 2008
Requisitos da np en isso 9001 de 2008Requisitos da np en isso 9001 de 2008
Requisitos da np en isso 9001 de 2008Marco Oliveira
 
Software RCM2Web
Software RCM2WebSoftware RCM2Web
Software RCM2Websqlbrasil
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Jose Rudy
 
Entregar e suportar
Entregar e suportarEntregar e suportar
Entregar e suportarJoao Johanes
 

Semelhante a Métricas de Segurança da Informação para Gestão de Ativos e Mudanças (10)

Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | Andracom
 
Apresentação Altiris-Daniel Lopes Allen
Apresentação Altiris-Daniel Lopes AllenApresentação Altiris-Daniel Lopes Allen
Apresentação Altiris-Daniel Lopes Allen
 
Requisitos da np en isso 9001 de 2008
Requisitos da np en isso 9001 de 2008Requisitos da np en isso 9001 de 2008
Requisitos da np en isso 9001 de 2008
 
Software RCM2Web
Software RCM2WebSoftware RCM2Web
Software RCM2Web
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
S1 - Analise de Redes.pdf
S1 - Analise de Redes.pdfS1 - Analise de Redes.pdf
S1 - Analise de Redes.pdf
 
Fundamentos ITIL Português Completo
Fundamentos ITIL Português CompletoFundamentos ITIL Português Completo
Fundamentos ITIL Português Completo
 
Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)Fundamentos itil portugues brasil br completo(1)
Fundamentos itil portugues brasil br completo(1)
 
Controlo interno
Controlo internoControlo interno
Controlo interno
 
Entregar e suportar
Entregar e suportarEntregar e suportar
Entregar e suportar
 

Último

Brochura template para utilizar em eventos
Brochura template para utilizar em eventosBrochura template para utilizar em eventos
Brochura template para utilizar em eventosnpbbbb
 
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxDesenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxCoca Pitzer
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...E-Commerce Brasil
 
Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoE-Commerce Brasil
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaE-Commerce Brasil
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...E-Commerce Brasil
 
Despertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssDespertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssGuilhermeMelo381677
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?E-Commerce Brasil
 
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?Michael Rada
 
Catálogo de Produtos OceanTech 2024 - Atualizado
Catálogo de Produtos OceanTech 2024 - AtualizadoCatálogo de Produtos OceanTech 2024 - Atualizado
Catálogo de Produtos OceanTech 2024 - AtualizadoWagnerSouza717812
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoE-Commerce Brasil
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...E-Commerce Brasil
 
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasConferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasE-Commerce Brasil
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024E-Commerce Brasil
 

Último (14)

Brochura template para utilizar em eventos
Brochura template para utilizar em eventosBrochura template para utilizar em eventos
Brochura template para utilizar em eventos
 
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxDesenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
 
Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operação
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
 
Despertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssDespertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccss
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
 
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
 
Catálogo de Produtos OceanTech 2024 - Atualizado
Catálogo de Produtos OceanTech 2024 - AtualizadoCatálogo de Produtos OceanTech 2024 - Atualizado
Catálogo de Produtos OceanTech 2024 - Atualizado
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelização
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
 
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasConferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
 

Métricas de Segurança da Informação para Gestão de Ativos e Mudanças

  • 1. 1 Curso: Segurança da Informação Atividade: Trabalho de Conclusão de Curso Aluno: Sérgio Nunes Siqueira Júnior Professor Orientador: Fernando José Karl 1. Listagem de Métricas Baseado na pesquisa realizada, são apresentadas as métricas de segurança da informação sob a perspectiva da ITIL versão 3 que foram desenvolvidas e selecionadas. As métricas desenvolvidas não atendem completamente todos os requisitos da norma ABNT ISO/IEC 27001, e os controles da ABNT ISO/IEC 27002, pois foram desenvolvidos de forma genérica para que o mercado de TI e segurança também possam se beneficiar com a aprendizagem ou desenvolvimento das métricas. Nos Quadro 1 até o Quadro 5 encontram-se disponíveis a listagem das métricas que foram desenvolvidas e selecionadas nesta pesquisa. Quadro 1 - Métricas Gestão de Ativos de Serviço e Configuração Gestão de Ativos de Serviço e Configuração - Livro Service Transition ITIL Controle 27002 Métrica 7.2.2 Rótulos e Tratamento Controle 7.2.2 de Informação Índice de Ativos classificados 4.3.5.2 Gestão e 12.4.1 Controle de Software Planejamento Operacional Controle 12.4.1 e 12.4.2 Aprovação e teste de 12.4.2 Proteção dos Dados Sistemas Operacionais para teste de Sistema 7.1.1 Inventário de Ativos 7.1.2 Proprietário dos Ativos Controle 7.1.1, 7.1.2, 7.2.2, 4.3.5.3 Identificação da 7.2.2 Rótulos e Tratamento Índice de ativos não Configuração de Informação classificados que suportam processos críticos 10.7.4 Segurança da Documentação dos Sistemas
  • 2. 2 11.4.3 Identificação de Equipamentos em Redes 12.4.2 Proteção dos Dados Controle 10.7.4, 11.4.3, 4.3.5.4 Controle da para teste de Sistema 12.4.2 Configuração Índice de ativos com acesso 12.5.3 Restrição sobre restrito Mudanças em pacotes de Software 12.6.1 Controle de Vulnerabilidades Técnicas 15.1.5 Prevenção de Mau uso de Recursos de Sistema Controles 12.5.3, 12.6.1, 4.3.5.5 Contabilização e de Informação 15.1.5 Relatório de Status Índice de ativos com status não autorizados 7.1.1 Inventário de Ativos 10.7.4 Segurança da Documentação dos Sistemas Controles 7.1.1, 10.7.4, 12.5.2 Análise Crítica 12.5.2, 15.1.5 4.3.5.6 Verificação e Técnica das aplicações após Índice de não conformidades Auditoria mudança no sistema identificados em auditorias operacional internas 15.1.5 Prevenção de mau uso de recursos de processamento da informação Controle 7.1.1 4.3.4.3 Sistema de Acuracidade do Sistema de Gerenciamento de 7.1.1 Inventário dos ativos Gerenciamento de Configuração Configuração Controle 7.1.2 4.3.5.3 Identificação da 7.1.2 Proprietário dos ativos Ativos de Configuração sem Configuração proprietários 4.3.4.1 Políticas de Controle 7.1.3 7.1.3 Uso aceitável dos Gerenciamento de Ativos de Infrações a PSI por uso ativos Serviço e Configuração inaceitável de ativos
  • 3. 3 10.7 Manuseio de mídias 10.7.1 Gerenciamento de 10.7.1, 10.7.2 mídias removíveis % Ativos que necessitam de eliminação segura 4.3 Gestão de Ativos de 10.7.2 Descarte de mídias Serviço e Configuração 10.7,10.7.3, 10.7.4 10.7.3 Procedimentos para % Análise Crítica da lista de tratamento de informação distribuição e lista de destinatários autorizados 10.7.4 Segurança da documentação dos sistemas Controle 12.4 e 12.4.1 Índice de controles em 12.4 Segurança dos arquivos sistemas operacionais do sistema padrão 12.4.1 Controle de software 4.3.4.3 Sistema de Controle 12.4.1 operacional Gerenciamento de % de licenças de software Configuração (Biblioteca de instaladas contra licenças 12.4.2 Proteção dos dados Mídia Definitiva) adquiridas (Deve fechar para teste de sistema 100%) 12.4.3 Controle de acesso ao Controle 12.4.3 código fonte de programa % Análise crítica dos registros de auditoria de acesso ao código fonte. Quadro 2 - Métricas Gestão de Mudanças Gestão de Mudanças - Livro Service Transition ITIL 27002 Métrica 10.1.2 Gerenciamento de Controle 10.1.2 4.2.6.2 Criar e registrar mudanças % de tamanho da fila de os pedidos de mudança mudanças 12.5.1 Procedimentos para controle 4.2.6.3 Revisão do de mudanças Controle 12.5.1 pedido de mudança Índice de mudanças 12.5.3 Restrição sobre mudanças enviadas para revisão em pacotes de software Controle 12.5.3, 12.6.1 Índice de riscos não 4.2.6.4 Analisar e avaliar 12.6.1 Controle de previstos antes das a mudança vulnerabilidades técnicas mudanças e foram 6.1.1 Comprometimento da direção identificados após com a segurança da informação mudanças
  • 4. 4 4.2.6.5 Autorizando a 6.1.2 Coordenação da segurança da Controle 12.5.1, 12.5.3 mudança % de mudanças não informação autorizadas 4.2.6.6 Coordenar a Controle 10.1.2 implementação da % de Mudanças mudança planejadas em atraso Controle 6.1.1 e 6.1.2 4.2.6.8 Conselho % distribuição de cargo consultivo de mudança do conselho consultivo de mudanças 10.1.2 Gerenciamento de mudanças Controle 10.1.2, 12.5.1, 11.5.4 Uso de utilitários de sistema Mudanças de emergência 12.5.1 Procedimentos para controle Controle 11.5.4, 12.5.3, 4.2.6.9 Mudanças de de mudanças 12.6.1 Emergência Índice de 12.5.3 Restrição sobre mudanças vulnerabilidades em pacotes de software descobertas em mudanças de emergência 12.6.1 Controle de vulnerabilidades técnicas Controle 10.1.2 4.2.6.4 Analisar e avaliar Retorno sobre segurança a mudança da mudança 10.1.2 Gerenciamento de Controle 10.1.2 4.2.6.7 Revisão e mudanças Valor previsto da encerramento do registro mudanças comparado de mudança com valor real da mudança 4.2 Gerenciamento de 10.1.2 Gerenciamento de Controle 10.1.2 mudanças Mudanças Índice de Mudanças Pró- Ativas e Reativas Quadro 3 - Métricas Gestão de Nível de Serviço Gestão de Nível de Serviço - Livro Service Design ITIL Controle 27002 Métrica
  • 5. 5 4.2.5.2 Determinar, documentar e acordar Controle 10.2.1 requisitos de novos serviços 10.2.1 Entrega de Serviços Fornecedores sem Acordos e produzir "Requisitos de de Nível de Serviço Nível de Serviço" 4.2.5.3 Monitorar o Controle 10.2.2, 10.10.2 desempenho do serviço Índice de acordos de nível contra "Acordo de Nível de de serviço que necessitam Serviço" mudanças 10.2.2 Monitoramento e análise crítica dos serviços Controle 10.10.2 4.2.5.6 Produzir relatórios terceirizados % de Nível de Serviço de serviço reportados de forma 10.2.3 Gerenciamento de automática mudanças para serviços Controle 10.2.3 4.2.5.7 Conduzir revisões e terceirizados Índice de mudanças em incentivar melhorias no SIP Acordos de Nível de Serviço (Service Improvement Plan) 10.10.2 Monitoramento de com fornecedores uso do sistema Controle 10.2.2 4.2.5.10 Reclamações e Nível de satisfação com Elogios serviços terceirizados
  • 6. 6 6.1.5 Acordos de confidencialidade 6.1.6 Contatos com Controle 6.1.5, 10.8.2, autoridades 15.1.4, 6.2.3, 12.5.5 Periodicidade de Auditoria 6.1.7 Contato com grupos de contratos de Nível de especiais Serviço com fornecedores 6.2.3 Identificando Controle 6.1.6 segurança da informação nos Índice de atualização da lista acordos com terceiros de contatos 4.2.5.9 Desenvolver contatos e relacionamentos 10.8.2 Acordos para troca de Controle 6.1.7 informações Índice de aproveitamento de contatos com grupos 12.5.5 Desenvolvimento especiais terceirizado de software Controle 10.2.3 10.2.3 Gerenciamento de Índice de mudança de mudanças para serviços fornecedores por requisitos terceirizados de qualidade 15.1.4 Proteção de dados e privacidade de informações pessoais Quadro 4 - Métricas Gestão de Incidentes Gestão de Incidentes - Livro Service Operation ITIL Controle 27002 Métrica Controle 14.1.4 Índices de falhas na gestão 14.1.4 Estrutura do Plano de 4.2 Gestão de Incidentes de incidentes em Testes de Continuidade de Negócio Gestão de Continuidade de Negócio 13.1 Notificação de Controle 13.1 4.2.4.2 Modelos de Fragilidades e Eventos de Índices de incidentes Incidente Segurança da Informação classificados como padrão 13.1 Notificação de Controle 13.1 4.2.5.1 Identificação do Fragilidades e Eventos de Ganhos com Incidentes Incidente Segurança da Informação resolvidos antes do impacto no cliente
  • 7. 7 13.1.2 Notificando Controle 13.1.1 e 13.1.2 4.2.5.2 Registro do Incidente Fragilidades de Segurança Incidentes registrados com da Informação informações incompletas 13.2.1 Responsabilidades e Controle 13.1.1, 13.1.2 4.2.5.3 Categorização do Procedimentos Índice de categoria de Incidente incidente 13.2.3 Coleta de Evidências Controle 13.2.1 4.2.5.4 Priorização do % de incidentes Incidente incorretamente priorizados Controle 13.2.3 4.2.5.5 Diagnóstico Inicial % de evidências válidas coletadas Controle 13.1.2 e 14.1.1 4.2.5.6 Escalonamento do 13.1.2 Notificando Índice de incidentes Incidente Fragilidades de Segurança encerrados sem da Informação escalonamento 13.2.3 Coleta de Evidências Controle 13.2.3 4.2.5.7 Investigação e Índice de evidências 14.1.1 Incluindo a Diagnóstico coletadas utilizadas em Segurança da Informação no Jurisdição Processo de Gestão de Continuidade de Negócio Controle 14.1.1 e 14.1.4 4.2.5.8 Resolução e 14.1.4 Estrutura do Plano de Incidentes sem solução Recuperação Continuidade de Negócio efetiva 13.2.2 Aprendendo com os Controle 13.2.2 e 13.2.3 Incidentes de Segurança da 4.2.5.9 Encerramento do Incidentes resolvidos com a Informação Incidente base de dados de erros conhecidos 13.2.3 Coleta de Evidências
  • 8. 8 Quadro 5 - Métricas Gestão de Disponibilidade Gestão de Disponibilidade - Livro Service Design ITIL Controle 27002 Métrica 14.1.1 Incluindo a segurança da informação no processo de gestão de continuidade do negócio. Controle 14.1.1, 14.1.2 Continuidade de 14.1.2, 14.1.3 4.4.5.2 As atividades proativas de negócio e análise/avaliação Processos da ITIL gerenciamento de disponibilidade de riscos. com acordos de nível de serviço definido. 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação.