Os principais frameworks utilizados pelas organizações geralmente possuem um modelo de maturidade que ajuda no entendimento e posicionamento desta em relação ao tema analisado. Um bom exemplo é o do framework do Cobit, onde cada um de seus 34 processos possui seu próprio modelo de maturidade. E para a Segurança da Informação, como fazer então?
A proposta de maturidade que será apresentada aqui é uma abordagem genérica, que apoiada pela experiência de profissionais, pode ser facilmente implementada em uma organização. Esta proposta tem como base a definição e identificação de processos relacionados a Segurança da Informação. Isso exige da organização profissionais com certa experiência em mapeamento de processos e gestão por processos. A partir dos processos identificados é possível extrair uma grande quantidade de informações, como indicadores de desempenho, maturidade, alocação de responsabilidades, entre outros.
O primeiro passo é identificar os processos de Segurança da Informação que estão sendo realizados dentro da organização. Nesta etapa é possível ter o apoio da norma ISO/IEC 27002, pois ela estabelece 133 controles de segurança, divididos em 39 objetivos de controles. Estes objetivos de controle podem ser encarados como os processos e os controles como as atividades dos processos. Outra alternativa é o mapeamento puro dos processos existentes na organização.
A vantagem de mapear os processos está relacionada à estrutura necessária para a criação do modelo de maturidade. Por padrão, um processo possui entradas, atividades (ou processamento) e saídas. A identificação das atividades é a chave mestre desta proposta, pois é a partir delas que se formula as questões de maturidade. Para isso será utilizado o modelo de maturidade genérico apresentado pelo CMMi.
A seguir são apresentados os seis níveis (pois incluímos o 0) de maturidade genéricos do CMMi:
0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.
1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.
2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.
3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.
4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada.
5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.
O próximo passo é alinhar as atividades de cada processo com os níveis de maturidade acima. Esta etapa é a mais complexa, pois exige muita experiência em processos e na gestão dos mesmos. Geralmente os primeiros modelos de maturidade apresentam falhas, mas com a constante aplicação e análise crítica, eles se tornarão eficientes e eficazes.