agosto 09, 2005

[Segurança] Métricas de Segurança

Ao desenvolver um projeto dentro de uma empresa, é necessário definir claramente os objetivos a serem alcançados, baseado na situação atual (onde estamos) e nos meios a serem utilizados (como). O objetivo corresponde ao "aonde queremos chegar".
Várias são as metodologias para acompanhamento de um projeto, indicando o quanto estamos perto ou longe de nossos objetivos. Do ponto de vista de um gestor, estas informações tem que ser simples, claras, objetivas e verossímeis.
Em projetos de segurança não é diferente. Precisamos saber o quanto seguro nossa empresa está, e medir o quanto podemos melhorar. A medida de evolução de um projeto de segurança pode ser associado ao próprio aumento no nível de segurança da empresa.
Mas, como medir esta segurança? Como saber se podemos ser atacados com maior ou menor chance de sucesso?
Algumas métricas existem. O CSI criou uma metodologia chamada IPAK. O ISECOM (Institute for Security and Open Methodologies), criadores do excelente OSSTMM - Open Source Security Testing Methodology Manual, possuem a RAVs (Risk Assessment Values).

Em novembro de 2003, devido a uma necessidade em um cliente, eu escrevi um artigo para a revista Security Magazine onde apresentei um questionário de avaliação, baseado nos principais pontos da ISO/IEC 17799. Colocados em uma planilha, geram uma pontuação que pode ser utilizada como referência. Me baseei na norma e em idéias obtidas no IPAK, no COBIT e em um questionário utilizado em levatamento para o ITIL.

O artigo, meio velhinho, está em PDF em www.diff.com.br/biblio/artigo_secmag_nov03_autoavaliacao.pdf.
A planilha, em formato do MS Excel, está em www.diff.com.br/biblio/selfassessment-security.zip.
Todas estas ferramentas nos ajudam a medir, de uma forma padronizada, numérica e "palpável", o quanto estamos seguros em um determinado momento, frente a um conjunto de parâmetros (baselines).

Um comentário:

Ivã´s HP disse...

Olá Anchises,


A planilha do Excel está com link quebrado.

Estou fazendo diagnóstico de empresa dos etor público na Bahia e gostaria de conhecer os eu modelo. Podes enviar pra mim?

Saudações, Ivã

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.