Evaluation of the national information security policy by analytic hierarchy process

Santos, Clarice Saraiva Andrade dos; Gavião, Luiz Octávio; Oliveira, Leonardo Augusto dos Santos; Pereira, José Cristiano

Clarice Saraiva Andrade dos Santos

Escola Superior de Guerra, RJ, Brasil.

http://orcid.org/0000-0002-3500-7347

Luiz Octávio Gavião

Escola Superior de Guerra, RJ, Brasil.

http://orcid.org/0000-0002-3580-7085

Leonardo Augusto dos Santos Oliveira

Escola Superior de Guerra, RJ, Brasil.

http://orcid.org/0000-0001-6515-6346

José Cristiano Pereira

Universidade Católica de Petrópolis, RJ, Brasil.

http://orcid.org/0000-0002-2329-0560

Mestre em Segurança Internacional e Defesa pela Escola Superior de Guerra.

Doutor em Engenharia de Produção na Universidade Federal Fluminense. Professor Adjunto na Escola Superior de Guerra.

Doutor em Administração de Empresas na Fundação Getúlio Vargas. Professor Adjunto na Escola Superior de Guerra.

Pós-doutorando no Laboratório Nacional de Computação Científica.

PROBLEMA DE PESQUISA
Que estrutura hierárquica e ponderada de critérios e subcritérios permite auxiliar no monitoramento e a avaliação da execução da PNSI e de seus instrumentos nos diferentes campos de atuação?
Questões da pesquisa	Objetivos específicos	Etapas / Resultados Parciais	Localização neste Artigo
Que modelo conceitual e que método quantitativo de monitoramento e avaliação de sistemas de segurança da informação e cibernética devem ser utilizados para atender às necessidades estabelecidas pelo Decreto No 9.637?	Levantar e selecionar, com base na literatura científica, modelos conceituais de referência ao monitoramento e avaliação de sistemas de segurança da informação e cibernética;	1. Levantamento da literatura para a busca de modelos dos conceituais;	Seção 3, Quadro 2
		2. Seleção do modelo conceitual para a aplicação na pesquisa	Subseção 3.1
	Levantar e selecionar, com base na literatura científica, metodologia quantitativa de Pesquisa Operacional capaz de ponderar critérios de monitoramento e avaliação das políticas públicas relacionadas à segurança da informação e cibernética;	3. Levantamento da literatura para a busca de modelos da Pesquisa Operacional	Subseção 4.1
		4. Seleção do modelo de Pesquisa Operacional para a aplicação na pesquisa	Subseção 4.1
Como obter os pesos dos critérios e subcritérios do modelo escolhido para monitorar e avaliar uma Instituição pública ou privada?	Ponderar os critérios escolhidos com base na metodologia de Pesquisa Operacional selecionada;	5. Elaboração da estrutura hierárquica do problema	Seção 5
		6. Elaboração dos questionários de avaliação	Subseção 5.1
		7. Coleta dos dados aos estudos de caso	Subseção 5.1
		8. Cálculo dos pesos dos critérios e subcritérios	Subseção 5.1
		9. Cálculo das Razões de Consistência para a validação do modelo	Subseção 5.1
	Aplicar experimentalmente o modelo referência e o método quantitativo selecionado em estudo de caso.	10. Análise dos resultados da aplicação	Subseção 5.2

Nr	Modelo	Autoria	Objetivos	Público-alvo	Descrição do modelo
1	CMM	SEI-Carnegie-Mellon	Desempenho de software	Organizações privadas	O Capability Maturity Model (CMM) foi publicado em 1992, pelo Software Engineering Institute da Universidade Carnegie Mellon, com o propósito de prover um método para avaliar a capacidade das empresas desenvolvedoras de software (*PAULK et al., 1993NSCS. NATIONAL CYBER SECURITY CENTRE. Cyber Assessment Framework. . London: National Cyber Security Centre, 2018. Disponível em: https://www.ncsc.gov.uk/information/cyber-assessment-framework--caf--changelog. Acesso em: 10 set. 2020. https://www.ncsc.gov.uk/information/cybe... ). O modelo define níveis e áreas de processos correspondentes, em cinco níveis de maturidade. É considerado descritivo, pois descreve os atributos principais esperados em uma organização para caracterizar um determinado nível de maturidade (PAULK et al., 1993). O CMM permite avaliar a qualidade do software e apoiar seus desenvolvedores a melhorar os processos de forma contínua (LE; HOANG, 2017). Esse modelo pioneiro serviu de inspiração para que surgissem diversos outros, com ênfase às tecnologias, hardwares, softwares, dados, informações, redes, gerenciamento de risco, entre outras abordagens (BECKER et al., 2010BECKER, J.; NIEHAVES, B.; POEPPELBUSS, J.; SIMONS, A. Maturity models in IS research. In: EUROPEAN CONFERENCE ON INFORMATION SYSTEMS, 42., 2010, Pretoria. Anais [...] 2010. p. 1-12.; PÖPPELBUSS; RÖGLINGER, 2011*POMEROL, J.-C.; BARBA-ROMERO, S. Multicriterion decision in management: principles and practice. New York: Springer, 2012.).
2	CMMI	SEI/CMMI-ISACA	Qualificar a capacidade das empresas de software contratadas pelo governo dos EUA	Organizações contratadas	O Capability Maturity Model Integration (CMMI) foi o sucessor do modelo CMM, sendo desenvolvido para o Departamento de Defesa dos EUA, pelo Software Engineering Institute da Universidade de Carnegie Mellon (USA), com o propósito de avaliar a qualidade e a capacidade das empresas de software contratadas pelo governo norte-americano, especialmente no setor de softwares. O modelo derivou outros, como o Software Capability Maturity Model (SW-CMM) e o Systems Engineering Capability Maturity Model (SE-CMM), utilizado pela Agência Nacional de Segurança (NSA) dos EUA, lançado em 2001. Diferentemente dos outros modelos, o CMMI é uma abordagem para o desenvolvimento de produtos e serviços (CMMI-DEV V1.3), a gestão de serviços (CMMI-SVC V1.3) e a aquisição de produtos e serviços (CMMI Acquisition V1.3). Entretanto, o modelo não se estende sobre as matérias de segurança, a exemplo do Systems Security Engineering (SSE-CMM). Em 2018, foi lançado um programa de evolução e adaptação às melhores práticas para as novas ameaças, denominado The CMMI Cybermaturity Plataform A nova plataforma inclui opções de alinhamento ao COBIT 5, ao ISO/IEC 27000, ao CSF-NIST, ao C2M2 e ao ISC (BROWN, 2018BROWN, R. D. Towards a Qatar Cybersecurity Capability Maturity Model with a Legislative Framework. International Review of Law, v. 4, p. 1-35, 2018.; ENGLBRECHT; MEIER; PERNUL, 2020CURTIS, P.; MEHRAVARI, N.; STEVENS, J. Cybersecurity Capability Maturity Model for Information Technology Services (C2M2 for IT Services), Version 1.0. Hanscom AFB: Carnegie-Mellon Univ. Pittsburgh PA. United States. Disponível em: https://apps.dtic.mil/sti/pdfs/AD1026943.pdf, 2015. Acesso em: 15 out. 2020. https://apps.dtic.mil/sti/pdfs/AD1026943... ).
3	ISO/IEC 27000	ISO/IEC	Gerenciamento da Segurança da Informação por padrões de segurança	Organizações em geral	A ISO/IEC 27000 (International Organization for Standardization/International Electrotechnical Comission), inicialmente publicada em 2005, consiste em uma família de padrões acerca da segurança da informação. Essas normas derivam de um código de boas práticas do governo britânico para a gestão da Segurança da Informação. No Brasil, a norma foi reconhecida pela Associação Brasileira de Normas Técnicas - ABNT, recebendo o código ABNT NBR ISO/IEC 27000:2018, em sua última versão. A norma ISO/IEC 27000:2018 fornece a visão geral dos sistemas de gerenciamento de segurança da informação e os termos e definições comumente usados na família de normas ISO/IEC 27000, sendo aplicável em ampla gama de organizações (ISO/IEC, 2018).
4	COBIT5	ISACA	Administrar a governança de TI como alicerce da segurança cibernética	Organizações em geral	Na mesma linha da ISO/IEC 27000, o COBIT (Controls Objective for Information and related Technology) também estabelece padrões para o controle de processos em áreas distintas, bem como um modelo de maturidade para a identificação do estágio atual da organização. O COBIT foi criado pela ISACA, um grupo de auditores norte-americanos, especializados em avaliação de sistemas de tecnologia da informação (ISACA, 2020).
5	ISA/IEC 62443 (ISA-99)	ISA	Estabelece controles para o setor de automação industrial e sistemas de controle	Organizações em geral	Nos EUA, a ISA/IEC 62443, também denominada ISA-99, da International Society of Automation, oferece uma série de padrões de controle de sistemas industriais, com ênfase aos processos de automação. O modelo dispõe de um padrão especialmente voltado para os requisitos técnicos para a segurança cibernética (INTERNATIONAL SOCIETY OF AUTOMATION, 2018).
6	CIS CSC	SANS Institute	Estabelecer controles para assegurar a segurança de sistemas e dados contra ataques cibernéticos	Organizações em geral	Outro padrão de referência é o CIS-CSC, do Center for Internet Security Critical Security Controls. Suas publicações contêm guias de melhores práticas para a segurança computacional, denominadas de Consensus Audit Guidelines, com base na colaboração de agências governamentais dos EUA. Assim como o modelo descrito na ISA/IEC 62443, o CIS CSC estabelece controles críticos necessários para a redução de riscos e de ataques (CIS, 2020).
7	ISM2	PRISMA-NIST	Revisar os requisitos complexos de segurança da informação e a postura de um programa federal de segurança da informação	Organizações governamentais	O modelo ISM2 (Information Security Maturity Model) é resultante do Programa PRISMA (Program Review for Information Security Management Assistance). Em 2007, o National Institute for Standards and Technology (NIST) recebeu a tarefa de prover assistência técnica às agências governamentais, no que se refere à conformidade com os padrões e guias desenvolvidos para a proteção dos sistemas de informação, políticas, procedimentos e práticas. O modelo serve à avaliação dos níveis de segurança cibernética de uma organização e apoia a série de documentos produzidos no âmbito do NIST. Sua criação tem como base o CMM, pelo Software Engineering Institute (SEI) (BOWEN; KISSEL, 2007BOWEN, P.; KISSEL, R. NISTIR 7358: Program Review for Information Security Management Assistance (PRISMA). Washington, DC: [s.n.], 2007. Disponível em: https://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7358.pdf. Acesso em: 21 ago. 2020. https://nvlpubs.nist.gov/nistpubs/Legacy... ). A metodologia é qualitativa, aplicada através da condução de entrevistas, reuniões e as informações fornecidas pelo pessoal de interesse necessário para realizar a avaliação.
8	ISM3	The ISM3 Consortium	Prevenir ou mitigar ataques, erros, e acidentes que possam comprometer a segurança dos sistemas de segurança da informação e os processos organizacionais	Organizações privadas	O modelo ISM3 (Information Security Management Maturity Model) é um padrão orientado por processo que usa os níveis de maturidade da Gestão da Segurança da Informação para prevenir ou mitigar ataques, erros e acidentes que possam comprometer a segurança dos sistemas de segurança da informação e os processos organizacionais apoiados pelo seu uso. O modelo foi desenvolvido pelo ISM3 Consortium em 2007, em parceria com instituições de diferentes países. Suas práticas e conjuntos de processos estão divididos por natureza: Geral, Gestão Estratégica, Gestão Tática e Gestão Operacional. O modelo foca na gestão de métricas para a segurança da informação, mas não lida de maneira direta com a questão da segurança cibernética (BROWN, 2018BROWN, R. D. Towards a Qatar Cybersecurity Capability Maturity Model with a Legislative Framework. International Review of Law, v. 4, p. 1-35, 2018.).
9	C2M2	SEI-Carnegie-Mellon	Avaliar a implementação e gerenciamento nas Infraestruturas Críticas	Organizações em geral	O C2M2 (Cybersecurity Capability Maturity Model) foi desenvolvido pelo U.S. Department of Energy (DOE), para o uso em empresas do setor energético, em 2014. Deste modelo, duas versões para o setor de energia foram derivadas: Electricity Subsector C2M2 (ES-C2M2) e o Oil and Natural Gas Subsector C2M2 (ONG-C2M2) (CHRISTOPHER et al., 2014). Para o setor de serviços de tecnologia da informação, o C2M2 for Information Technology Services (C2M2 IT) foi publicado em 2015 e, como os anteriores, deriva do C2M2 original. O modelo está organizado em dez domínios, que reúnem práticas de segurança cibernética, sendo estes agrupados por objetivos. Para cada objetivo, as práticas estão ordenadas por um indicador de nível de maturidade (CURTIS; MEHRAVARI; STEVENS, 2015CIS. Center for Internet Security. About us. New York: Center for Internet Security. Disponível em: https://www.cisecurity.org/about-us/, 2020. Acesso em: 13 out. 2020. https://www.cisecurity.org/about-us... ).
10	CSF	NIST	Melhoria da gestão de riscos cibernéticos nas infraestruturas críticas	Organizações em geral	O modelo CSF-NIST (Cybersecurity Framework - National Institute of Standards and Technology) foi publicado em 2014 e atualizado em 2018, organizando atividades de segurança da informação em cinco categorias, denominadas de camadas (tiers), com a possibilidade de progressão entre os níveis. Tem por propósito gerir riscos cibernéticos, ressaltando a necessidade de planejamento para a recuperação em caso de ataques, considerando os riscos cibernéticos como parte de processos de gestão de risco da organização. Assim como o ISM2, o CSF-NIST deriva outros documentos publicados pelo NIST. O modelo é o resultado de uma lista de funções, categorias, subcategorias e suas respectivas referências informativas que descrevem atividades de segurança cibernética específicas que são comuns aos setores de infraestrutura crítica. (NIST, 2018).
11	IAMM	CESG	Assistir a estratégia de TIC do governo do Reino Unido	Organizações governamentais	O modelo IAMM (Information Assurance Maturity Model) foi criado em 2008 e atualizado pelo National Technical Authority for Information Assurance e utilizado pelo National Cyber Security Centre (UK). Nesse modelo, as organizações podem efetuar sua autoavaliação através do IA Assessment Framework (IAAF). Assim, o IAMM e o IAAF provêm o modelo para assistir a estratégia de tecnologia da informação do governo do Reino Unido, contendo objetivos e processos. O modelo considera a informação como um ativo-chave do governo e incumbe agentes Senior Information Risk Onwers e Information Asset Onwers de serem responsáveis pela proteção adequada dos dados coletados, processados e armazenados em seus departamentos (CESG, 2015).
12	CAF	NCSC	Avaliar medidas técnicas e organizacionais para gerir os riscos de segurança de redes e dos sistemas de informação	Organizações governamentais	O Cyber Assessment Framework (CAF), desenvolvido pelo National Cyber Security Centre (NCSC), é um método de avaliação do Reino Unido para que as medidas técnicas e organizacionais sejam apropriadas e proporcionais para gerir os riscos de segurança de redes e dos sistemas de informação para operadores de serviços essenciais. O NCSC é a autoridade técnica nacional que promove a colaboração entre o governo, indústria e academia, com o propósito de oferecer a defesa primária para as redes do governo contra ataques cibernéticos (NCSC, 2018). As autoridades competentes verificam em que medida os operadores de serviços essenciais estão alcançando os resultados especificados pelos princípios do modelo.
13	NCSG	ITU	Nortear princípios para o desenvolvimento de uma estratégia nacional de segurança cibernética	Organizações governamentais	O National Cybersecurity Strategy Guide (NCSG) é uma publicação em cooperação do International Telecommunication Union (ITU), com o Banco Mundial, o Commonwealth Secretariat (ComSec) e o Cooperative Cyber Defence Centre of Excellence da OTAN (NATO CCDCOE), entre outras instituições (ITU, 2018). Seu conteúdo tem o propósito de prover um modelo útil, flexível e de fácil compreensão para líderes e tomadores de decisão no desenvolvimento de uma estratégia nacional de segurança cibernética. O Guia se propõe a organizar e priorizar aspectos de governança, de políticas, de temas organizacionais, técnicos e legais, com base em modelos e outras referências do setor. Sua estrutura condiz com os modelos de maturidade previamente apresentados, mas não oferece um modelo de avaliação do nível da estratégia

Razão da matriz	1	2	3	4	5	6	7	8	9	10
Índice Aleatório (IR)	0	0	0,58	0,9	1,12	1,24	1,32	1,41	1,45	1,49

Gerenciamento de Ativos	ID AM 1	ID AM 2	ID AM 3	ID AM 4	ID AM 5	ID AM 6
ID AM 1	1	3	3	5	1	1/3
ID AM 2		1	1	3	1	1/3
ID AM 3			1	3	1/3	1/5
ID AM 4				1	1/5	1/5
ID AM 5					1	1/3
ID AM 6						1

Critérios	Pesos Critérios	Subcritérios do 1º Nível	Pesos SC 1	Subcritérios do 2º Nível	Pesos SC 2	Pesos Finais	Maturidade	Resultado
ID - Identificar	0,19526401	AM - Gerenciamento de Ativos	0,25643021	ID.AM-1 Inventário de aparelhos e sistemas da organização;	0,206108	0,01032	5	0,051601
				ID.AM-2 Inventário de plataformas de software e aplicativos usados na organização;	0,109285	0,005472	5	0,02736
				ID.AM-3 Mapeamento das comunicações organizacionais e fluxo de dados;	0,083573	0,004185	2	0,008369
				ID.AM-4 Catálogo de sistemas de informação externos;	0,040696	0,002038	2	0,004075
				ID.AM-5 Priorização de recursos com base em sua importância;	0,171623	0,008593	1	0,008593
				ID.AM-6 Estabelecimento de papéis e responsabilidades de segurança cibernética para a organização.	0,388715	0,019464	1	0,019464
		BE - Ambiente Corporativo	0,09427431	ID-BE-1 Papel da organização na cadeia de suprimentos;	0,111111	0,002045	4	0,008182
				ID-BE-2 Relevância da organização no seu ambiente de negócios;	0,111111	0,002045	2	0,004091
				ID-BE-3 Prioridades para a missão organizacional, objetivos e atividades;	0,333333	0,006136	2	0,012272
				ID-BE-4 Dependências e funções críticas para alcançar serviços críticos;	0,333333	0,006136	2	0,012272
				ID-BE-5 Requisitos de resiliência para apoiar a entrega de serviços críticos.	0,111111	0,002045	4	0,008182
		GV - Governança	0,25643021	ID-GV-1 Política de segurança cibernética organizacional;	0,099602	0,004987	5	0,024936
				ID-GV-2 Papéis e responsabilidades coordenadas com todos os parceiros;	0,099602	0,004987	3	0,014962
				ID-GV-3 Requisitos legais e regulatórios concernentes à segurança cibernética;	0,249484	0,012492	3	0,037476
				ID-GV-4 Processos de governança e gestão de riscos.	0,557865	0,027933	3	0,0838
		RA - Gerenciamento de Risco	0,25643021	ID-RA-1 Identificação e documentação de vulnerabilidade de bens;	0,059283	0,002968	3	0,008905
				ID-RA-2 Inteligência de ameaça cibernética;	0,161251	0,008074	1	0,008074
				ID-RA-3 Identificação e documentação de ameaças internas e externas;	0,39768	0,019912	1	0,019912
				ID-RA-4 Impactos potenciais do negócio e probabilidade;	0,161251	0,008074	1	0,008074
				ID-RA-5 Determinação de riscos a partir das ameaças, vulnerabilidades, probabilidades e impactos;	0,161251	0,008074	1	0,008074
				ID-RA-6 Priorizar respostas aos riscos.	0,059283	0,002968	1	0,002968
		RM - Estratégia de Gerenciamento de Risco	0,09427431	ID.RM-1 Processos para gestão de risco;	0,428571	0,007889	2	0,015779
				ID.RM-2 Determinação de uma tolerância de risco;	0,142857	0,00263	2	0,00526
				ID.RM-3 Determinação de risco da organização determinada pelo seu papel no seu ambiente e análise de risco de setor específico.	0,428571	0,007889	2	0,015779
		SC - Gerenciamento de Risco de Demanda	0,04216075	ID.SC-1 Processos de gestão de risco na cadeia de suprimentos cibernéticos;	0,371566	0,003059	2	0,006118
				ID.SC-2 Fornecedores e outros parceiros de sistemas de segurança da informação, componentes e serviços;	0,162244	0,001336	2	0,002671
				ID.SC-3 Contrato com fornecedores aderentes ao plano de gestão de riscos na cadeia de suprimentos cibernéticos;	0,347384	0,00286	2	0,00572
				ID.SC-4 Avaliações rotineiras com os fornecedores e outros parceiros;	0,07695	0,000633	2	0,001267
				ID.SC-5 Planejamento e testes de resposta e recuperação conduzidos com fornecedores e outros parceiros.	0,041857	0,000345	2	0,000689
PR - Proteger	0,46305701	AC - Gerenciamento de Identidade e Controle de Acesso	0,25643021	PR-AC-1 Identidades e credenciais emitidas, geridas, verificadas, revogadas e auditadas para aparelho autorizados, usuários e processos;	0,205811	0,024438	5	0,122192
				PR-AC-2 Acesso físico aos bens;	0,205811	0,024438	5	0,122192
				PR-AC-3 Gestão de acesso remoto;	0,074613	0,00886	5	0,044298
				PR-AC-4 Permissões de acesso e autorizações;	0,205811	0,024438	5	0,122192
				PR-AC-5 Integridade de rede;	0,205811	0,024438	1	0,024438
				PR-AC-6 Identidades comprovadas e ligadas a credenciais e avaliações em interações;	0,04763	0,005656	3	0,016967
				PR-AC-7 Usuários, aparelhos e outros bens autorizados de acordo com os riscos de transição	0,054512	0,006473	3	0,019419
		AT - Consciência e Treinamento	0,09427431	PR.AT-1 Usuários treinados e informados;	0,343888	0,015012	3	0,045037
				PR.AT-2 Tarefas e responsabilidades claras para usuários privilegiados;	0,128929	0,005628	2	0,011257
				PR.AT-3 Tarefas e responsabilidades claras dos demais interessados;	0,054367	0,002373	2	0,004747
				PR.AT-4 Tarefas e responsabilidades claras de executivos sêniores;	0,128929	0,005628	2	0,011257
				PR.AT-5 Tarefas e responsabilidades claras para a equipe física e de segurança cibernética.	0,343888	0,015012	2	0,030024
		DS - Segurança de Dados	0,25643021	PR.DS-1 Dados at-rest;	0,206271	0,024493	3	0,073479
				PR.DS-2 Dados in-transit;	0,206271	0,024493	3	0,073479
				PR.DS-3 Bens formalmente geridos;	0,089531	0,010631	4	0,042524
				PR.DS-4 Manutenção de capacidade adequada par garantir a disponibilidade;	0,206271	0,024493	2	0,048986
				PR.DS-5 Implementação de proteções contra vazamento de dados;	0,193511	0,022978	1	0,022978
				PR.DS-6 Mecanismos de checagem de integridade para avaliação de integridade de software, firmware e informação;	0,049435	0,00587	1	0,00587
				PR.DS-7Ambiente de teste e desenvolvimento separado do ambiente produtivo;	0,024355	0,002892	5	0,01446
				PR.DS-8 Mecanismo para a checagem de integridade para verificar integridade de software.	0,024355	0,002892	3	0,008676
		IP - Processos e Procedimentos de Proteção de Informação	0,09427431	PR.IP-1 Configuração de sistemas de controles da tecnologia da informação e industriais;	0,119921	0,005235	3	0,015705
				PR.IP-2 Sistema de desenvolvimento de ciclo de vida;	0,050059	0,002185	3	0,006556
				PR.IP-3 Processos de mudança na configuração de controles;	0,050059	0,002185	5	0,010927
				PR.IP-4 Backups de informações;	0,334281	0,014593	5	0,072964
				PR.IP-5 Políticas e regulações a respeito de ambientes físicos;	0,119921	0,005235	3	0,015705
				PR.IP-6 Destruição de dados conforme a política;	0,050059	0,002185	4	0,008741
				PR.IP-7 Melhoria de proteção de processos;	0,021783	0,000951	4	0,003804
				PR.IP-8 Compartilhamento da eficácia de tecnologias protetivas;	0,012095	0,000528	1	0,000528
				PR.IP-9 Gestão de planos de resposta e recuperação;	0,119921	0,005235	3	0,015705
				PR.IP-10 Testes de planos de resposta e recuperação;	0,021783	0,000951	3	0,002853
				PR.IP-11 Práticas e treinamentos do pessoal com segurança cibernética;	0,050059	0,002185	1	0,002185
				PR.IP-12 Plano de gestão de vulnerabilidade.	0,050059	0,002185	3	0,006556
		MA - Manutenção	0,04216075	PR.MA-1 Controle de manutenção e de reparos de bens organizacionais;	0,75	0,014642	4	0,058568
		MA - Manutenção	0,04216075	PR.MA-2 Controle de manutenção remota de bens organizacionais.	0,25	0,004881	4	0,019523
		PT - Tecnologia Protetiva	0,25643021	PR.PT-1 Auditoria dos registros conforme a política organizacional;	0,281473	0,033423	3	0,100268
				PR.PT-2 Proteção e restrição de uso de mídia conforme a política organizacional;	0,050051	0,005943	5	0,029716
				PR.PT-3 Configuração de sistemas estritamente às capacidades essenciais;	0,105529	0,012531	5	0,062653
				PR.PT-4 Proteção de comunicações e controle de redes;	0,281473	0,033423	1	0,033423
				PR.PT-5 Mecanismos para alcance de resiliência.	0,281473	0,033423	2	0,066845
DE - Detectar	0,19526401	AE - Anomalias e Eventos	0,1047294	DE-AE-1 Patamar de operações de rede e fluxo de dados esperados para usuário e sistemas;	0,501067	0,010247	3	0,03074
				DE-AE-2 Análise de eventos detectados;	0,246083	0,005032	2	0,010065
				DE-AE-3 Dados dos eventos coletados e analisados;	0,10377	0,002122	2	0,004244
				DE-AE-4 Determinação de impacto dos eventos;	0,10377	0,002122	2	0,004244
				DE-AE-5 Estabelecimento de limites para alerta de incidentes.	0,045311	0,000927	2	0,001853
		CM - Contínuo Monitoramento de Segurança	0,6369856	DE.CM-1 Monitoramento de rede;	0,233503	0,029043	3	0,08713
				DE.CM-2 Monitoramento do ambiente físico;	0,233503	0,029043	2	0,058086
				DE.CM-3 Monitoramento da atividade do pessoal;	0,040319	0,005015	1	0,005015
				DE.CM-4 Detecção de código malicioso;	0,233503	0,029043	3	0,08713
				DE.CM-5 Detecção de código móvel não autorizado;	0,097028	0,012068	3	0,036205
				DE.CM-6 Monitoramento de atividade de provedores de serviços externos;	0,053062	0,0066	3	0,0198
				DE.CM-7 Monitoramento de conexões não autorizadas;	0,053062	0,0066	3	0,0198
				DE.CM-8 Escaneamento de vulnerabilidades.	0,056019	0,006968	3	0,020903
		DP - Processos de Detecção	0,258285	DE.DP-1 Tarefas e responsabilidades definidas para detecção;	0,158835	0,008011	3	0,024032
				DE.DP-2 Atividades de detecção conforme os requisitos;	0,36376	0,018346	3	0,055037
				DE.DP-3 Testes de processos de detecção;	0,038311	0,001932	2	0,003864
				DE.DP-4 Comunicação de informação de detecção de eventos;	0,36376	0,018346	2	0,036692
				DE.DP-5 Melhoria de processo de detecção.	0,075334	0,003799	2	0,007599
RS - Responder	0,07320748	RP - Planejamento de Resposta	0,36376037	RS.RP-1 Execução de um plano de resposta durante ou após um incidente.	1	0,02663	2	0,05326
		CO - Comunicações	0,07533359	RS.CO-1 Tarefas e ordem de operações claras para a equipe em caso de necessidade de resposta;	0,231443	0,001276	2	0,002553
				RS.CO-2 Incidentes relatados consistentes com os critérios estabelecidos;	0,548853	0,003027	1	0,003027
				RS.CO-3 Informações compartilhadas consistentes com os planos de resposta;	0,125893	0,000694	1	0,000694
				RS.CO-4 Coordenação com stakeholders consistentes com os planos de resposta;	0,061828	0,000341	1	0,000341
				RS.CO-5 Compartilhamento voluntário.	0,031983	0,000176	1	0,000176
		AN - Análise	0,15883475	RS.AN-1 Investigação de notificações pelos sistemas de detecção;	0,111328	0,001295	3	0,003884
				RS.AN-2 Impacto dos incidentes;	0,049446	0,000575	1	0,000575
				RS.AN-3 Perícia;	0,416736	0,004846	3	0,014537
				RS.AN-4 Categorização dos incidentes;	0,046228	0,000538	1	0,000538
				RS.AN-5 Estabelecimento de processos para receber, analisar e responder às vulnerabilidades internas e externas.	0,376262	0,004375	1	0,004375
		MI - Mitigação	0,36376037	RS.MI-1 Contenção de incidentes;	0,178178	0,004745	3	0,014235
				RS.MI-2 Mitigação de incidentes;	0,751405	0,02001	3	0,06003
				RS.MI-3 Mitigação ou documentação de novas vulnerabilidades identificadas como riscos aceitos.	0,070418	0,001875	1	0,001875
		IM - Melhorias	0,03831093	RS.IM-1 Lições aprendidas incorporadas aos planos de resposta;	0,75	0,002103	2	0,004207
		IM - Melhorias	0,03831093	RS.IM-2 Atualização das estratégias de resposta.	0,25	0,000701	1	0,000701

Critérios	RC dos Critérios	SC 1º Nível	RC dos SC 1º Nível	SC 2º Nível	RC dos SC 2º Nível
Identificar	RC= 0,0124	ID-AM	RC = 0,009375409	ID.AM-1 a ID.AM-6	RC= 0,04496589
		ID-BE		ID.BE-1 a ID.BE-5	RC = 0
		ID-GV		ID.GV-1 a ID.GV-4	RC=0,2251382 RC=0,01610639
		ID-RA		ID-RA-1 a ID-RA-6	RC=0,009375409
		ID-RM		ID-RM-1 a ID-RM-3	RC= 0
		ID-SC		ID-SC-1 a ID-SC-5	RC=0,04305356
Proteger		PR.AC	RC= 0,009375409	PR.AC-1 a PR.AC-7	RC = 0,0493148
		PR.AT		PR.AT-1 a PR.AT-5	RC=0,01242043
		PR.DS		PR.DS-1 a PR.DS-8	RC=0,01929838
		PR.IP		PR.IP-1 a PR.IP-12	RC=0,2497359 RC=0,02594748
		PR.MA		PR.MA-1 a PR.MA-2	RC = 0
		PR.PT		PR.PT-1 a PR.PT-5	RC=0,009365954
Detectar		DE.AE	RC= 0,03319922	DE.AE-1 a DE.AE-5	RC=0,02832392
		DE.CM		DE.CM-1 a DE.CM-8	RC=0,06991563
		DE.DP		DE.DP-1 a DE.DP-5	RC= 0,6117471 RC= 0,03037177
Responder		RS.RP	RC= 0,03037177	RS.RP-1	RC = 0
		RS.CO		RS.CO-1 a RS.CO-5	RC= 0,08196947
		RS.AN		RS.AN-1 a RS.AN-5	RC= 0,1009709
		RS.MI		RS.MI-1 a RS.MI-3	RC= 0,02505497
		RS.IM		RS.IM-1 a RS.IM-2	RC = 0
Recuperar		RC.RP	RC= 0,1169 RC= 0,03319449	RC.RP-1	RC = 0
		RC.IM		RC.IM-1 a RC.IM-2	RC = 0
		RC.CO		RC.CO-1 a RC.CO-3	RC = 0

[1] Mestre em Segurança Internacional e Defesa pela Escola Superior de Guerra.

Brasil

Brasil

Evaluation of the national information security policy by analytic hierarchy process

ABSTRACT