Segundo o ITGI (2008) o monitoramento e auditoria nos programas estabelecidos é uma atividade crítica para assegurar que uma implantação de GovSI está adequada para uma organização. A implantação da monitoração é necessária para uma constante avaliação e cumprimento da segurança estabelecida pelo negócio. Para isso, o ITGI (2008) sugere o desenvolvimento de métricas e indicadores padrões, que devem ser especificados de acordo com a natureza e escopo das áreas avaliadas, com o objetivo de estar em conformidade com os controles exigidos pelo negócio.
O ITGI (2008) afirma que a implementação da GovSI depende da criação de métricas e indicadores responsáveis por medir, monitorar e reportar o cumprimento dos requisitos de segurança definidos. Ressalta, ainda, a importância do estabelecimento desses monitores alinhados ao negócio, a fim de auxiliar e apoiar as atividades de gestão da segurança.
Segundo o ITGI (2008), a monitoração não deve reportar a alta administração os aspectos técnicos e operacionais dos elementos responsáveis pela SI na organização. De acordo com esta entidade, simplesmente, reportar que existem diversas vulnerabilidades e ameaças na TI não serve como informação de negócio para alta administração. Ao invés disso, devem ser providos relatórios que informem os potenciais impactos nos serviços e os riscos para o negócio.
O ITGI (2008) defende também que é papel da implantação de GovSI avaliar e reportar o grau de alinhamento da SI ao negócio, sendo o nível de alinhamento avaliado pelas
seguintes características: práticas e resultados do risco corporativo estabelecido; efetividade da gestão dos recursos; cumprimento das políticas de segurança definidas; e o cumprimento dos papéis e responsabilidades de SI nas diversas áreas da organização.
Segundo o ITGI (2006), um programa de SI abrangente deve envolver uma monitoração efetiva baseada em métricas que analisem o desempenho (performance) da segurança. A entidade destaca também que a estratégia e o plano de ação devem prover informações e elementos que permitam o monitoramento, para definição do nível de sucesso de sua implantação.
Para o ITGI (2006), uma monitoração efetiva deve detectar e apresentar a correção de falhas de segurança, o quanto antes, a fim de assegurar a conformidade com as políticas, padrões e níveis de riscos exigidos. Por isso, as métricas e indicadores devem apresentar se um ativo de informação encontra-se protegido ou não, por meio de processos automatizados, uma equipe técnica adequada e pelo atendimento eficiente aos incidentes gerados.
O ITGI (2008) menciona dois tipos de monitorações que podem ser utilizados para avaliar a implantação de SI: os indicadores por resultado (KGIs – Key Goal Indicator) e os indicadores por desempenho (KPIs – Key Performance Indicator). Esses monitores podem indicar o sucesso ou falha de implementação, de um determinado processo, de acordo com: o alcance das metas de serviços estipulados, o cumprimento dos pontos de controle (milestone) e a proteção dos objetivos de negócio.
Os resultados e monitorações com KGIs devem estar alinhados com os objetivos e metas organizacionais, por isso são voltados a resultados de negócio, como: o atendimento dos controles definidos pela Sarbanes-Oxley (SoX), o sucesso nos testes de validação e conformidades legais e a efetividade na preparação dos testes realizados regulamente (ITGI, 2008).
Já os KPIs possuem uma abordagem mais prática e operacional. Neste caso, podem promover as seguintes análises: a efetividade no planejamento dos testes de controle, o progresso na efetividade dos testes de BCP e DRP e os resultados da efetividade dos testes realizados (ITGI, 2008).
2.4.4.1 Métricas de Monitoramento
Segundo o ITGI (2008), a elaboração de métricas úteis e efetivas para o negócio não é uma tarefa simples de implementar, visto que sua elaboração deve ser capaz de indicar os riscos e potenciais impactos para o negócio, por meio de resultados e informações úteis para a alta administração.
Entretanto, segundo o ITGI (2008), as organizações costumam utilizar métricas de monitoração técnicas e que, normalmente, não são aproveitadas pelo negócio. Entre elas podem ser mencionadas: o tempo de indisponibilidade devido a algum programa malicioso, como vírus ou cavalo de tróia; a quantidade de tentativas e invasões bem sucedidas nos sistemas; o tempo de recuperação dos sistemas; a quantidade de vulnerabilidades encontradas durante uma análise (scan) de rede; e a quantidade de servidores com todas as atualizações completas ou pendentes.
Segundo o ITGI (2008), apesar de essas métricas estarem relacionadas com a área de segurança, estas apenas indicam o estado de proteção de alguns componentes ou recursos da TI, pois nenhuma dessas monitorações e relatórios apresenta o nível de segurança da organização. Neste caso, os resultados mais relevantes obtidos podem ser a quantidade de ataques e tempo de indisponibilidade ocorrido em determinado prazo, que podem não impactar o negócio.
Por isso, de acordo com o ITGI (2008), uma organização deve levar em consideração dois requisitos importantes para a construção das métricas de monitoração. A primeira delas é uma avaliação da relevância do que será monitorado de acordo com os objetivos e estratégia de segurança. A outra é realizar sua construção com os responsáveis pelos processos de negócio, além dos responsáveis pela monitoração, a fim de torná-las proveitosa para as diferentes partes envolvidas.
Além disso, outras considerações podem ser mencionadas para elaboração e implementação dessas métricas, como: um levantamento das informações relevantes para realizar as operações de segurança; uma análise dos requisitos das necessidades de segurança mapeados a partir dos responsáveis pelos processos de negócio; e os principais requisitos de segurança levantados pela alta administração.
De acordo com o ITGI (2008), as informações e relatórios providos para o gestor de segurança devem ser separados dos executivos da organização, pois o responsável pela área de Segurança da Informação está interessado em métricas mais técnicas e operacionais, como: as conformidades da TI com as políticas de segurança; as mudanças e alterações nos perfis de acesso aos sistemas e processos; o nível de atualização dos sistemas e servidores; e as exceções nos padrões e procedimentos de segurança.
Já a alta administração está interessada em apenas um resumo ou extrato das informações gerenciais mais relevantes, como: o progresso das atividades de acordo com o planejamento e orçamento estimado; as mudanças dos níveis de risco que podem impactar nos serviços de negócios; os resultados dos testes de recuperação de desastre (DRP); os principais
resultados nas auditorias de segurança; e as conformidades com as normas e regulamentações impostas.
Desta forma, segundo o ITGI (2008), algumas melhorias podem ser apresentadas para alta administração, no caso da utilização de métricas relevantes para o negócio. Ao invés da área de segurança oferecer um relatório com os resultados dos registros (logs) de segurança de um firewall, esta pode demonstrar um relatório do esforço e impacto envolvido para recuperação dos serviços críticos de negócio, após um incidente de segurança.
2.4.4.2 Indicadores de Alinhamento ao Negócio
Segundo o ITGI (2008), os melhores indicadores e resultados da monitoração devem estar alinhados aos objetivos de negócio da organização. Neste caso, deve ser ressaltada a importância de uma estratégia de segurança bem planejada, que informe os diversos requisitos e necessidades dos negócios.
De acordo com o ITGI (2008), os indicadores devem assegurar uma análise contínua para o alinhamento dos diversos padrões, políticas e procedimentos com o negócio. Por isso, o teste mais transparente e complexo, deste alinhamento, é realizado pelo mapeamento reverso entre as métricas e controles estabelecidos com uma estratégia ou objetivo de negócio específico.
Para o ITGI (2008), podem ser utilizados os seguintes indicadores para avaliar o alinhamento da SI com o negócio: nível de conformidade dos programas de segurança com as atividades específicas de negócio; conhecimento dos objetivos de negócio pela área de SI; validação formalizada pela alta administração, entre o programa de segurança e os objetivos de negócio; existência de um comitê para análise e tratamento da proteção dos ativos de informação, mais relevantes para o negócio.
Além disso, o ITGI (2008) propõe dez indicadores para avaliar o desempenho dos programas e implementações de GovSI, são eles: 1) tempo necessário para detectar e reportar um incidente crítico de SI; 2) frequência e quantidade de incidentes de segurança não reportados; 3) relatórios comparativos do esforço, custo e efetividade das ações de SI; 4) análise da eficiência e eficácia dos controles de segurança implementados; 5) informações e relatórios que disponham os riscos e impactos no negócio; 6) ausência de eventos de segurança inesperados; 7) conhecimento de sinais que indiquem ameaças ao negócio; 8) estabelecimento de métodos e processos formais para análise e mitigação dos riscos; 9) consistência dos resultados e registros dos testes e análises de vulnerabilidades; 10) resultados
dos testes de plano de continuidade nos negócios (BCP – Business Continuity Plan) e do plano de recuperação de desastres (DRP – Disaster Recovery Plan).