Versions Compared

Version Old Version 10 New Version Current
Changes made by

Victor Fortunato Carpegiani

Victor Fortunato Carpegiani

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Como Essa documentação explica como o sistema faz o cálculo de maturidade das avaliações realizadas ?tanto com modelos de subtração quanto por modelos via média.

Table of Contents
stylenone

...

Níveis de Maturidade

A plataforma apresenta como padrão alguns níveis de maturidade semelhantes ao CMMI, que vai vão de 10 até 100 pontos.

Você pode customizar as cores, nome e faixas no menu:

Info

Configurações ⚙️ → Preferências → Níveis de maturidade”.

...

Abrirá a seguinte tela:

...

Vinculando níveis de maturidade para respostas

...

Quando você cria uma questão a ser realizada em uma avaliação, você pode determinar para cada resposta do respondente um grau de maturidade específico.

Então por exemplo, se a sua questão foi: “Quantas vezes no ano a empresa realiza PenTest em seus sistemas?” e o seu critério (ou norma) indicar que 0 significa nível mais baixo, 2 significa nível médio e 3 significa nível controlado, basta você prever na tela abaixo estas regras para cada tipo de resposta.

Adicionar Questão

...

Ao adicionar uma questão, é possível definir a natureza da questão.

Questão informativa: Se o usuário assinalar a opção informativa, então não irá exigir ou exibir as telas seguintes, gerando apenas a questão que receberá a resposta solicitada.

Questão avaliativa: Se o usuário assinalar a opção avaliativa, então irá seguir o fluxo, conforme as informações abaixo.

...

Determinando medidas recomendadas

Para cada regra de maturidade acima você pode determinar uma série de medidas que o respondente (ou área, ou empresa, ou fornecedor) precisará tomar caso a maturidade atinja um determinado nível.

Por exemplo, se a maturidade foi “Gerenciada-25” você pode querer recomendar medidas como:

  • Contratar uma consultoria de segurança da informação

  • Mapear os sistemas a serem auditados

  • Realizar teste de intrusão nos sistemas.

Estas medidas vão ser úteis depois na criação do plano de ação com atividades para cada equipe.

Info

Atenção - Toda regra exige pelo menos uma medida associada. Caso você entenda que para algum grau de maturidade não há medidas, sugerimos criar uma medida chamada “Sem ações para fazer” e usa-la em todas as situações que entenderem que não há nenhuma ação a ser realizada.

Como é calculada a maturidade de uma avaliação?

Se o seu questionário possui 2 questões e cada uma delas você criou as regras acima, então cada questão possui um peso máximo. Acompanhe o exemplo abaixo.

...

Questão

...

Menor Nível de Maturidade

...

Maior Nível de Maturidade

...

A empresa realiza quantos pentestes no ano?

...

10

...

100

:

No Passo 1 selecione o tipo de avaliação como “Avaliativa”:

image-20241126-140735.pngImage Added

Após criar o modelo e adicionar as opções da questão no Passo 2:

image-20241126-140457.pngImage Added

Clique em “Salvar” no Passo 4:

image-20241126-140644.pngImage Added

Agora é possível registrar um valor de maturidade em cada questão de seu Modelo com base no seu Template de Maturidade escolhido na criação do Modelo

image-20241126-140940.pngImage Addedimage-20241126-141019.pngImage Added

...

Como é calculada a maturidade de uma avaliação?

Modelo Media:

Note

Nessa exemplificação é utilizado o Template Padrão de Maturidade.

Consideramos que o seu questionário irá possuir 5 questões, e nessas questões, o gerenciador da avaliação terá que dar uma pontuação de maturidade para cada uma das opções de cada questão em si.

Por exemplo:

Questão

Opção 1 + Pontos de Maturidade

Opção 2 + Pontos de Maturidade

Opção 3 + Pontos de Maturidade

1-A empresa possui um processo formal para gerenciar atualizações e patches de segurança em seus sistemas?

Sim, com um cronograma definido- 100 pontos

Sim, mas de forma não estruturada- 55 pontos

Não possuímos- 10 Pontos

2-O setor possui um gerente de segurança da informação?

Sim- 100 pontos

Não- 10 pontos

-----------------------------------------------------------------

3-A empresa possui políticas de segurança da informação formalmente documentadas?

Sim, e são revisadas regularmente- 100 pontos

Sim, mas não são revisadas regularmente- 55 pontos

Não possui- 10 pontos

4-A empresa realiza treinamentos de conscientização sobre segurança da informação para os funcionários?

Sim, com periodicidade anual ou mais frequente.- 75 pontos

Sim, mas de forma esporádica- 55 pontos

Não realizamos-

10 pontos

5- Existe um plano de resposta a incidentes de segurança implementado e testado?

Sim, está implementado e é testado regularmente.-100 pontos

Sim, mas não é testado regularmente.- 55 pontos

Não possuímos- 10 pontos

A maneira com que a maturidade é calculada é dada da seguinte forma:

Note

Para esse exemplo a escolha das opções de cada questão foram:

1-Não possuímos

2-Sim

3-Sim, e são revisadas regularmente

4-Sim, mas de forma esporádica

5-Sim, mas não é testado regularmente

1.º Passo) Ocorre a soma da pontuação de todos os pontos obtidos nas respostas:

1-Não possuímos= 10 pontos

2-Sim= 100 pontos

3-Sim, e são revisadas regularmente = 100 pontos

4-Sim, mas de forma esporádica = 55 pontos

5-Sim, mas não é testado regularmente= 55 pontos

Soma= 320 pontos

2.º Passo) Ocorrea soma dos maiores valores que cada questão pode ter, sendo elas:

1= 100 pontos

2= 100 pontos

3=100 pontos

4=75 pontos

5=100 pontos

Soma total = 475 pontos

3.º Passo) Ocorrea divisão do valor do primeiro passo pelo valor obtido no segundo:

320/475

Divisão: 0,6737 

4.º Passo) Ocorre uma multiplicação por 100:

0,6737 x 100 = 67,37 (67,37%).

Pontuação de 67 de maturidade.

image-20241121-191323.pngImage Added

...

Modelo de Subtração

Note

Nessa exemplificação é utilizado o Template Padrão de Maturidade porém com um “Valor 0” introduzido no template.
É possível edita-lo em:
Configurações ⚙️ → Preferências → Níveis de maturidade”.

Ao se tratar do modelo de subtração considere como:

Info

Categorias de Pontuação

  • 0 pontos: Otimizado (Excelente desempenho)

  • 1-15 pontos: Quase Otimizado (Bom, mas com possibilidades de melhorias)

  • 16-25 pontos: Controlado (Satisfatório, mas requer avanços)

  • 26-55 pontos: Definido (Necessita de atenção)

  • 56-75 pontos: Gerenciado (Precisa de melhorias urgentes)

  • 76-100 pontos: Inicial (Situação crítica, requer muito avanço)

Ou seja, trata-se do oposto do modelo de media.
Quanto mais perto do 0 na pontuação final de maturidade a empresa tiver, melhor o desempenho.

Consideramos que o seu questionário irá possuir 4 questões, e nessas questões, o gerenciador da avaliação terá que dar uma pontuação de maturidade para cada uma das opções de cada questão em si

Por exemplo:

Questão

Opção 1 + Pontos de Maturidade

Opção 2 + Pontos de Maturidade

Opção 3 + Pontos de Maturidade

1-A empresa possui um processo formal para gerenciar atualizações e patches de segurança em seus sistemas?

Sim, com um cronograma definido- 0 pontos

Sim, mas de forma não estruturada- 55 pontos

Não possuímos- 100 Pontos

2-O setor possui um gerente de segurança da informação?

10

75

No cenário acima a nota máxima que um respondente pode alcançar é de 87,5 que é a média de 100+75/2.

Digamos que você enviou este questionário para 3 fornecedores diferentes e cada um respondeu atingindo as notas abaixo.

...

Fornecedor

...

Questão 1

...

Questão 2

...

Empresa XYZ

...

75

...

10

...

Empresa ABC

...

10

...

50

No cenário acima a empresa XYZ atingiu média de maturidade de 42,5 (75+10/2) e a empresa ABC atingiu média de maturidade 30 (10+50/2).

Então assim é que é feito o cálculo das notas que você encontra nos relatórios.

Como é calculado o percentual de conformidade das avaliações?

O cálculo do percentual segue o mesmo fluxo acima, mas ao invés de calcular sobre 100, o cálculo é realizado sobre o maior nível de maturidade alcançável em cada questionário.

...

Sim- 0 pontos

Não- 100 pontos

-----------------------------------------------------------------

3-A empresa possui políticas de segurança da informação formalmente documentadas?

Sim, e são revisadas regularmente- 0 pontos

Sim, mas não são revisadas regularmente- 55 pontos

Não possui- 100 pontos

4-A empresa realiza treinamentos de conscientização sobre segurança da informação para os funcionários?

Sim, com periodicidade anual ou mais frequente.- 10 pontos

Sim, mas de forma esporádica- 55 pontos

Não realizamos-

100 pontos

A maneira com que a maturidade é calculada é dada da seguinte forma:

Note

Para esse exemplo a escolha das opções de cada questão foram:

1-Sim, mas de forma não estruturada

2-Não

3-Sim, mas não são revisadas regularmente

4-Sim, com periodicidade anual ou mais frequente

1.º Passo)

Dividimos o valor 100 (valor total de maturidade de todas as questões pelo número de questões que a avaliação possuí:

Nesse exemplo: 100/4=25

2.º Passo) Subtraímos o valor 25 pela pontuação referente a opção marcado

Tal valor é considerado como porcentagem do 25

1) 25 - 55% =11,25 (25 - 13,75)

2) 25 - 100% = 0 (25-25)

3) 25 - 55% = 11,25 (25 - 13,75)

4) 25 - 10% =22,5 (25 - 2,5)

55% de 25 resulta em 13,75

100% de 25 resulta em 25

3.º Passo) Ocorre a soma de todos os valores obtidos

11,25 + 0 + 11,25 + 22,5 = 45

4.º Passo) Ocorre a subtração de 100 pelo resultado obtido no Passo 3:

100- 45 = 55

image-20241121-191519.pngImage Added

...

Ficou com dúvidas? Chame o Time de Suporte 👈