Como o sistema faz o cálculo de maturidade das avaliações realizadas?
Níveis de Maturidade
A plataforma apresenta como padrão alguns níveis de maturidade semelhantes ao CMMI que vai de 10 até 100. Você pode customizar as cores, nome e faixas no menu “Preferências >> Níveis de maturidade”
Vinculando níveis de maturidade para respostas
Quando você cria uma questão a ser realizada em uma avaliação, você pode determinar para cada resposta do respondente um grau de maturidade específico.
Então por exemplo, se a sua questão foi: “Quantas vezes no ano a empresa realiza PenTest em seus sistemas?” e o seu critério (ou norma) indicar que 0 significa nível mais baixo, 2 significa nível médio e 3 significa nível controlado, basta você prever na tela abaixo estas regras para cada tipo de resposta.
Determinando medidas recomendadas
Para cada regra de maturidade acima você pode determinar uma série de medidas que o respondente (ou área, ou empresa, ou fornecedor) precisará tomar caso a maturidade atinja um determinado nível.
Por exemplo, se a maturidade foi “Gerenciada-25” você pode querer recomendar medidas como:
Contratar uma consultoria de segurança da informação
Mapear os sistemas a serem auditados
Realizar teste de intrusão nos sistemas.
Estas medidas vão ser úteis depois na criação do plano de ação com atividades para cada equipe.
Como é calculada a maturidade de uma avaliação?
Se o seu questionário possui 2 questões e cada uma delas você criou as regras acima, então cada questão possui um peso máximo. Acompanhe o exemplo abaixo.
Questão | Menor Nível de Maturidade | Maior Nível de Maturidade |
|---|---|---|
A empresa realiza quantos pentestes no ano? | 10 | 100 |
O setor possui um gerente de segurança da informação? | 10 | 75 |
No cenário acima a nota máxima que um respondente pode alcançar é de 87,5 que é a média de 100+75/2.
Digamos que você enviou este questionário para 3 fornecedores diferentes e cada um respondeu atingindo as notas abaixo.
Fornecedor | Questão 1 | Questão 2 |
|---|---|---|
Empresa XYZ | 75 | 10 |
Empresa ABC | 10 | 50 |
No cenário acima a empresa XYZ atingiu média de maturidade de 42,5 (75+10/2) e a empresa ABC atingiu média de maturidade 30 (10+50/2).
Então assim é que é feito o cálculo das notas que você encontra nos relatórios.
Como é calculado o percentual de conformidade das avaliações?
O cálculo do percentual segue o mesmo fluxo acima, mas ao invés de calcular sobre 100, o cálculo é realizado sobre o maior nível de maturidade alcançável em cada questionário.
No exemplo acima a maior nota possível seria 87,5 e não 100, logo, a empresa ABC não teve 30% de conformidade mas 26,25%.