Como o sistema faz o cálculo de maturidade das avaliações realizadas?
Níveis de Maturidade
A plataforma apresenta como padrão alguns níveis de maturidade semelhantes ao CMMI que vai de 10 até 100. Você pode customizar as cores, nome e faixas no menu Configurações → Preferências → Níveis de maturidade”.
Abrirá a seguinte tela:
Vinculando níveis de maturidade para respostas
Quando você cria uma questão a ser realizada em uma avaliação, você pode determinar para cada resposta do respondente um grau de maturidade específico.
Então por exemplo, se a sua questão foi: “Quantas vezes no ano a empresa realiza PenTest em seus sistemas?” e o seu critério (ou norma) indicar que 0 significa nível mais baixo, 2 significa nível médio e 3 significa nível controlado, basta você prever na tela abaixo estas regras para cada tipo de resposta.
Adicionar Questão
Ao adicionar uma questão, é possível definir a natureza da questão.
Questão informativa: Se o usuário assinalar a opção informativa, então não irá exigir ou exibir as telas seguintes, gerando apenas a questão que receberá a resposta solicitada.
Questão avaliativa: Se o usuário assinalar a opção avaliativa, então irá seguir o fluxo, conforme as informações abaixo.
Determinando medidas recomendadas
Para cada regra de maturidade acima você pode determinar uma série de medidas que o respondente (ou área, ou empresa, ou fornecedor) precisará tomar caso a maturidade atinja um determinado nível.
Por exemplo, se a maturidade foi “Gerenciada-25” você pode querer recomendar medidas como:
Contratar uma consultoria de segurança da informação
Mapear os sistemas a serem auditados
Realizar teste de intrusão nos sistemas.
Estas medidas vão ser úteis depois na criação do plano de ação com atividades para cada equipe.
Atenção - Toda regra exige pelo menos uma medida associada. Caso você entenda que para algum grau de maturidade não há medidas, sugerimos criar uma medida chamada “Sem ações para fazer” e usa-la em todas as situações que entenderem que não há nenhuma ação a ser realizada.
Como é calculada a maturidade de uma avaliação?
Se o seu questionário possui 2 questões e cada uma delas você criou as regras acima, então cada questão possui um peso máximo. Acompanhe o exemplo abaixo.
Questão | Menor Nível de Maturidade | Maior Nível de Maturidade |
|---|---|---|
A empresa realiza quantos pentestes no ano? | 10 | 100 |
O setor possui um gerente de segurança da informação? | 10 | 75 |
No cenário acima a nota máxima que um respondente pode alcançar é de 87,5 que é a média de 100+75/2.
Digamos que você enviou este questionário para 3 fornecedores diferentes e cada um respondeu atingindo as notas abaixo.
Fornecedor | Questão 1 | Questão 2 |
|---|---|---|
Empresa XYZ | 75 | 10 |
Empresa ABC | 10 | 50 |
No cenário acima a empresa XYZ atingiu média de maturidade de 42,5 (75+10/2) e a empresa ABC atingiu média de maturidade 30 (10+50/2).
Então assim é que é feito o cálculo das notas que você encontra nos relatórios.
Como é calculado o percentual de conformidade das avaliações?
O cálculo do percentual segue o mesmo fluxo acima, mas ao invés de calcular sobre 100, o cálculo é realizado sobre o maior nível de maturidade alcançável em cada questionário.
No exemplo acima a maior nota possível seria 87,5 e não 100, logo, a empresa ABC não teve 30% de conformidade mas 34,28%.