Versions Compared

Version Old Version 2 New Version Current
Changes made by

Projetos Privacy Tools (Unlicensed)

Victor Fortunato Carpegiani

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Como Essa documentação explica como o sistema faz o cálculo de maturidade das avaliações realizadas ?tanto com modelos de subtração quanto por modelos via média.

Table of Contents
stylenone

...

Níveis de Maturidade

A plataforma apresenta como padrão alguns níveis de maturidade semelhantes ao CMMI, que vai vão de 10 até 100 pontos.

Você pode customizar as cores, nome e faixas no menu “Preferências >> :

Info

Configurações ⚙️ → Preferências → Níveis de maturidade”.

Abrirá a seguinte tela:

...

Vinculando níveis de maturidade para respostas

...

Quando você cria uma questão a ser realizada em uma avaliação, você pode determinar para cada resposta do respondente um grau de maturidade específico.

Então por exemplo, se a sua questão foi: “Quantas vezes no ano a empresa realiza PenTest em seus sistemas?” e o seu critério (ou norma) indicar que 0 significa nível mais baixo, 2 significa nível médio e 3 significa nível controlado, basta você prever na tela abaixo estas regras para cada tipo de resposta.

...

Determinando medidas recomendadas

Para cada regra de maturidade acima você pode determinar uma série de medidas que o respondente (ou área, ou empresa, ou fornecedor) precisará tomar caso a maturidade atinja um determinado nível.

Por exemplo, se a maturidade foi “Gerenciada-25” você pode querer recomendar medidas como:

  • Contratar uma consultoria de segurança da informação

  • Mapear os sistemas a serem auditados

  • Realizar teste de intrusão nos sistemas.

Estas medidas vão ser úteis depois na criação do plano de ação com atividades para cada equipe.

Info

Atenção - Toda regra exige pelo menos uma medida associada. Caso você entenda que para algum grau de maturidade não há medidas, sugerimos criar uma medida chamada “Sem ações para fazer” e usa-la em todas as situações que entenderem que não há nenhuma ação a ser realizada.

Como é calculada a maturidade de uma avaliação?

Se o seu questionário possui 2 questões e cada uma delas você criou as regras acima, então cada questão possui um peso máximo. Acompanhe o exemplo abaixo.

...

Questão

...

Menor Nível de Maturidade

...

Maior Nível de Maturidade

...

A empresa realiza quantos pentestes no ano?

...

10

...

100

:

No Passo 1 selecione o tipo de avaliação como “Avaliativa”:

image-20241126-140735.pngImage Added

Após criar o modelo e adicionar as opções da questão no Passo 2:

image-20241126-140457.pngImage Added

Clique em “Salvar” no Passo 4:

image-20241126-140644.pngImage Added

Agora é possível registrar um valor de maturidade em cada questão de seu Modelo com base no seu Template de Maturidade escolhido na criação do Modelo

image-20241126-140940.pngImage Addedimage-20241126-141019.pngImage Added

...

Como é calculada a maturidade de uma avaliação?

Modelo Media:

Note

Nessa exemplificação é utilizado o Template Padrão de Maturidade.

Consideramos que o seu questionário irá possuir 5 questões, e nessas questões, o gerenciador da avaliação terá que dar uma pontuação de maturidade para cada uma das opções de cada questão em si.

Por exemplo:

Questão

Opção 1 + Pontos de Maturidade

Opção 2 + Pontos de Maturidade

Opção 3 + Pontos de Maturidade

1-A empresa possui um processo formal para gerenciar atualizações e patches de segurança em seus sistemas?

Sim, com um cronograma definido- 100 pontos

Sim, mas de forma não estruturada- 55 pontos

Não possuímos- 10 Pontos

2-O setor possui um gerente de segurança da informação?

Sim- 100 pontos

Não- 10 pontos

-----------------------------------------------------------------

3-A empresa possui políticas de segurança da informação formalmente documentadas?

Sim, e são revisadas regularmente- 100 pontos

Sim, mas não são revisadas regularmente- 55 pontos

Não possui- 10 pontos

4-A empresa realiza treinamentos de conscientização sobre segurança da informação para os funcionários?

Sim, com periodicidade anual ou mais frequente.- 75 pontos

Sim, mas de forma esporádica- 55 pontos

Não realizamos-

10 pontos

5- Existe um plano de resposta a incidentes de segurança implementado e testado?

Sim, está implementado e é testado regularmente.-100 pontos

Sim, mas não é testado regularmente.- 55 pontos

Não possuímos- 10 pontos

A maneira com que a maturidade é calculada é dada da seguinte forma:

Note

Para esse exemplo a escolha das opções de cada questão foram:

1-Não possuímos

2-Sim

3-Sim, e são revisadas regularmente

4-Sim, mas de forma esporádica

5-Sim, mas não é testado regularmente

1.º Passo) Ocorre a soma da pontuação de todos os pontos obtidos nas respostas:

1-Não possuímos= 10 pontos

2-Sim= 100 pontos

3-Sim, e são revisadas regularmente = 100 pontos

4-Sim, mas de forma esporádica = 55 pontos

5-Sim, mas não é testado regularmente= 55 pontos

Soma= 320 pontos

2.º Passo) Ocorrea soma dos maiores valores que cada questão pode ter, sendo elas:

1= 100 pontos

2= 100 pontos

3=100 pontos

4=75 pontos

5=100 pontos

Soma total = 475 pontos

3.º Passo) Ocorrea divisão do valor do primeiro passo pelo valor obtido no segundo:

320/475

Divisão: 0,6737 

4.º Passo) Ocorre uma multiplicação por 100:

0,6737 x 100 = 67,37 (67,37%).

Pontuação de 67 de maturidade.

image-20241121-191323.pngImage Added

...

Modelo de Subtração

Note

Nessa exemplificação é utilizado o Template Padrão de Maturidade porém com um “Valor 0” introduzido no template.
É possível edita-lo em:
Configurações ⚙️ → Preferências → Níveis de maturidade”.

Ao se tratar do modelo de subtração considere como:

Info

Categorias de Pontuação

  • 0 pontos: Otimizado (Excelente desempenho)

  • 1-15 pontos: Quase Otimizado (Bom, mas com possibilidades de melhorias)

  • 16-25 pontos: Controlado (Satisfatório, mas requer avanços)

  • 26-55 pontos: Definido (Necessita de atenção)

  • 56-75 pontos: Gerenciado (Precisa de melhorias urgentes)

  • 76-100 pontos: Inicial (Situação crítica, requer muito avanço)

Ou seja, trata-se do oposto do modelo de media.
Quanto mais perto do 0 na pontuação final de maturidade a empresa tiver, melhor o desempenho.

Consideramos que o seu questionário irá possuir 4 questões, e nessas questões, o gerenciador da avaliação terá que dar uma pontuação de maturidade para cada uma das opções de cada questão em si

Por exemplo:

Questão

Opção 1 + Pontos de Maturidade

Opção 2 + Pontos de Maturidade

Opção 3 + Pontos de Maturidade

1-A empresa possui um processo formal para gerenciar atualizações e patches de segurança em seus sistemas?

Sim, com um cronograma definido- 0 pontos

Sim, mas de forma não estruturada- 55 pontos

Não possuímos- 100 Pontos

2-O setor possui um gerente de segurança da informação?

10

75

No cenário acima a nota máxima que um respondente pode alcançar é de 87,5 que é a média de 100+75/2.

Digamos que você enviou este questionário para 3 fornecedores diferentes e cada um respondeu atingindo as notas abaixo.

...

Fornecedor

...

Questão 1

...

Questão 2

...

Empresa XYZ

...

75

...

10

...

Empresa ABC

...

10

...

50

No cenário acima a empresa XYZ atingiu média de maturidade de 42,5 (75+10/2) e a empresa ABC atingiu média de maturidade 30 (10+50/2).

Então assim é que é feito o cálculo das notas que você encontra nos relatórios.

Como é calculado o percentual de conformidade das avaliações?

O cálculo do percentual segue o mesmo fluxo acima, mas ao invés de calcular sobre 100, o cálculo é realizado sobre o maior nível de maturidade alcançável em cada questionário.

...

Sim- 0 pontos

Não- 100 pontos

-----------------------------------------------------------------

3-A empresa possui políticas de segurança da informação formalmente documentadas?

Sim, e são revisadas regularmente- 0 pontos

Sim, mas não são revisadas regularmente- 55 pontos

Não possui- 100 pontos

4-A empresa realiza treinamentos de conscientização sobre segurança da informação para os funcionários?

Sim, com periodicidade anual ou mais frequente.- 10 pontos

Sim, mas de forma esporádica- 55 pontos

Não realizamos-

100 pontos

A maneira com que a maturidade é calculada é dada da seguinte forma:

Note

Para esse exemplo a escolha das opções de cada questão foram:

1-Sim, mas de forma não estruturada

2-Não

3-Sim, mas não são revisadas regularmente

4-Sim, com periodicidade anual ou mais frequente

1.º Passo)

Dividimos o valor 100 (valor total de maturidade de todas as questões pelo número de questões que a avaliação possuí:

Nesse exemplo: 100/4=25

2.º Passo) Subtraímos o valor 25 pela pontuação referente a opção marcado

Tal valor é considerado como porcentagem do 25

1) 25 - 55% =11,25 (25 - 13,75)

2) 25 - 100% = 0 (25-25)

3) 25 - 55% = 11,25 (25 - 13,75)

4) 25 - 10% =22,5 (25 - 2,5)

55% de 25 resulta em 13,75

100% de 25 resulta em 25

3.º Passo) Ocorre a soma de todos os valores obtidos

11,25 + 0 + 11,25 + 22,5 = 45

4.º Passo) Ocorre a subtração de 100 pelo resultado obtido no Passo 3:

100- 45 = 55

image-20241121-191519.pngImage Added

...

Ficou com dúvidas? Chame o Time de Suporte 👈