Plano de métricas aplicado na itil versão 3

1.619 visualizações

Publicada em

MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN APLICADAS ITIL VERSIÓN 3.

Publicada em: Negócios
1 comentário
1 gostou
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
1.619
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
49
Comentários
1
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Plano de métricas aplicado na itil versão 3

  1. 1. 1Curso: Segurança da InformaçãoAtividade: Trabalho de Conclusão de CursoAluno: Sérgio Nunes Siqueira JúniorProfessor Orientador: Fernando José Karl 1 PLANO DE MÉTRICAS APLICADO NA ITIL VERSÃO 3 Existem muitos artigos tratando sobre a definição de métricas de segurança,visando proporcionar orientações e critérios para sua utilização, mas pouco se vê naprática a real utilização das mesmas com resultados úteis as organizações (JAQUITH,2007). Portanto a falta de conhecimento se torna um desafio para qualquer gestor de TI,que deve determinar suas próprias métricas, ou optar por não mensurar se essasatividades e seus resultados estão colocando em risco o negócio da empresa em algumaspecto importante, seja ela na TI ou fora dela. As métricas nos processos da ITILversão 3 possuem um papel essencial, pois são através delas que o processo decisório eos métodos de solução de problemas se tornam mais concretos e eficazes, fazendo comque sua aplicação seja utilizada como uma ferramenta de gerenciamento de riscos ou noauxílio de identificação de oportunidades de melhoria nas atividades, pois se permitindoanalisar de forma antecipada os eventos através da tendência do comportamento. 1.1 ALINHAMENTO ENTRE ITIL VERSÃO 3 E ISO/IEC 27001 O alinhamento entre a ITIL versão 03 e os controles e objetivos de controle daISO/IEC 27001, são parte da governança da tecnologia da informação, poisconscientização e consideração dos riscos de segurança e seus problemas são obrigaçõesde cada passo ao sucesso do gerenciamento de serviço de TI da ITIL versão 3(CLINCH, 2009). Os processos que foram mapeados da ITIL versão 3 para os controlesda ABNT ISO/IEC 27002 foram: Gestão de Incidentes, Gestão de Nível de Serviço,Gestão de Ativos de Serviços e Configuração, Gestão de Disponibilidade e Gestão de
  2. 2. 2mudanças, nos quais tiveram como base artigos publicados nos quais fazem oalinhamento diretamente da ITIL para a 27002, e também onde o alinhamento éexecutado da ITIL para os controles da 27002, através do COBIT. Com a combinaçãodos artigos publicados, foram alinhados os processos de gestão de incidentes, nível deserviço, ativos de serviço e configuração, disponibilidade e mudanças de acordo com oescopo definido ao trabalho. O modelo para aplicação das métricas foi desenvolvido baseado no Anexo A danorma ABNT ISO/IEC 27004 – Tecnologia da informação - Técnicas de segurança -Gestão da Segurança da informação-Medição, onde é disponibilizado um modelopadrão para medida em segurança da informação. Para que contemple as informaçõesde segurança e de governança de TI, o modelo foi redesenhado para atender asnecessidades da ISO/IEC 27004 e da ITIL versão 03. O modelo de medição utilizado utiliza como orientação os seguintes critérios: Processo da ITIL versão 3 - Identificação numérica e nome do processo daITIL versão 3 conforme o livro oficial da OGC. Subprocesso ITIL versão 3 – Identificação numérica e nome conforme o livrooficial da OGC, referente ao subprocesso.  Nome da métrica – Específico da organização. Deve condizer com o que se está medindo para fácil identificação da métrica.  Identificador – Pode ser específico da organização. O Modelo proposto nesse trabalho sugere a utilização das identificações numéricas da ITIL separadas por barra e seguida das identificações numéricas dos controles da ISO 27002, por exemplo: 4.3.4.1/7.1.3 onde 4.3.4.1 (ITIL) - Políticas de Gerenciamento de Ativos de Serviço e Configuração e 7.1.3 (ISO 27002) - Uso aceitável de ativos.  Objetivo do modelo de medição - Descreve as razões ou resultados a serem alcançados pela medição.  Controle/Processo 27001 – Identificação numérica e nome do controle do ANEXO A da ISO 27001.
  3. 3. 3 Objetivo do Controle 27001 - Objetivo dos controles conforme ANEXO A da ABNT ISO/IEC 27001. Objeto de Medição - Objeto que é caracterizado através da medição de seus atributos, podendo ser processos, planos, projetos, recursos, e sistemas, ou componentes de sistemas. Atributo - Propriedade de um objeto de medição que pode ser distinguida quantitativamente ou qualitativamente por meios manuais ou automatizados. Medida básica - Uma medida básica é definida em termos de um atributo e o método de medição específico para quantificá-lo. Método de medição - Sequência de procedimentos a serem seguidos para quantificar o atributo. Medida derivada - É uma medida que deriva de uma ou mais medidas básicas. Exemplo: Das medidas básicas (Total de Incidentes de Segurança) e (Total de Horas técnicas para resolução) e (Valor hora técnica), podemos obter como medidas derivadas: Média de horas por incidente, Custo de hora/homem por incidente, esforço técnico em um período designado. Ou seja, todas derivadas das medidas básicas. Função de medição - Cálculo utilizado para resultar na medida derivada, utilizando medidas básicas. Indicador - Medida que fornece visão de avaliação dos atributos especificados relacionados a uma necessidade de informação. Indicadores são base para tomada de decisão Modelo analítico - É a base do entendimento em relação a medida básica ou derivada e o seu comportamento ao longo da variável, por exemplo: Tempo. Um modelo analítico descreve avaliações para uma determinada necessidade de informação. Critério de decisão - Métodos para definir necessidades de tomadas de ação ou investigação. Critérios de decisão ajudam a interpretar os resultados da medição.
  4. 4. 4  Interpretação do indicador – Uma descrição de como o indicador deve ser lido, instigando ações, ou sugerindo causas e efeitos de acordo com o comportamento ou tendência do indicador, facilitando no critério de decisão.  Formato de comunicação - Método de demonstração dos resultados, descrevendo como o proprietário necessita da informação, como, listagens, gráficos, relatórios de colunas.  Cliente da medição - Parte interessada que necessita da informação. Geralmente alguém da direção ou seu representante.  Responsável pela análise crítica da medição – Responsável pela validação e auditoria dos resultados do modelo de medição  Proprietário da informação - Responsável ou custodiante da informação de um objeto de medição e seus atributos.  Coletor da informação - Responsável pela coleta, registro e armazenamento dos dados coletados de atributos.  Frequência de coleta de dados – Frequência com que os dados coletados  Frequência de análise dos dados - Frequência com que os dados são analisados.  Frequência de comunicação dos resultados de medição - Frequência com que as métricas são comunicadas dentro da organização ou a terceiros.  Revisão de medição - Frequência com que o modelo proposta para medição necessita ser analisado criticamente.  Período de medição - Define a validade dos dados através do período de medição. Seguindo o modelo citado, o Quadro 1 demonstra um exemplo de métricaaplicada sob a gestão de mudanças da ITIL versão 3 alinhada ao controle 10.1.2 que serefere à gestão de mudanças da ABTN ISO/IEC 27002:
  5. 5. 5 Quadro 1 - Modelo de Métrica em Gestão de Mudanças Modelo de MediçãoProcesso da ITIL 4.2 Gestão de MudançasVersão 3Subprocesso ITIL 4.2 Gerenciamento de mudançasversão 3Nome Métrica Índice de Mudanças Proativas e ReativasIdentificador 4.2/10.1.2 Avaliar o planejamento de mudanças, emObjetivo do Modelo de relação à prevenção de incidentes deMedição segurança da informação. Comparativo de mudanças preventivas eMétodo de medição mudanças corretivas.Controle/Processo27001 10.1.2 Gerenciamento de Mudanças 10.1.2Modificações nos recursos deObjetivo do processamento da informação e sistemasControle/Processo devem ser controladas Objetivo de Medição e AtributosObjeto de Medição Requisição de mudançaAtributo Mudança corretiva ou preventiva Especificação da Medida Básica Mudanças corretivasMedida Básica Mudanças preventivas Contagem de mudanças corretivasMétodo de Medição Contagem de mudanças preventivas Especificação da Medida Derivada % de mudanças corretivasMedida Derivada % de mudanças preventivas Contagem de mudanças corretivas/Total de mudançasFunção de Medição Contagem de mudanças preventivas/Total de mudanças
  6. 6. 6 Especificação de Indicador Gráfico de barras com % de mudançasIndicador corretivas contra % de mudanças preventivas no período requerido. Percentual de mudanças corretivas maioresModelo Analítico que mudanças preventivas Especificação do Critério de Decisão Percentual de mudanças corretivas maiores que mudanças preventivas, devem ser investigadas quanto ao mau planejamento daCritério de Decisão manutenção preventivas, caso existam. Percentual de mudanças preventivas maiores que corretivas, não necessitam ação. Resultados da Medição Percentual de mudanças corretivas maiores que mudanças preventivas, podem indicar falta de planejamento da organização quanto à manutenção adequada e planejada de seusInterpretação do ativos.Indicador Percentual de mudanças preventivas maiores que mudanças corretivas, podem indicar manutenção planejada e ordenada dos ativos.Formato de Gráfico de barrasComunicação Partes InteressadasCliente da Medição Gestor do SGSIResponsável pelaAnálise Crítica da Gestor de mudançasMediçãoProprietário da Gestor de Configuração e ativosInformaçãoColetor da Informação Gestor do SGSI Frequência/Período
  7. 7. 7 Frequência de Coleta de Diário Dados Frequência de Análise Mensal dos Dados Frequência de Comunicação dos Mensal Resultados de medição Revisão de Medição Semestral Período de Medição AnualO questionário para avaliação do plano de métricas encontra-se disponível neste link.

×