Plano Estratégico de Tecnologia da Informação – PESI

Plano de Continuidade de Negócios - PCN

COGEF ARP GT-420/09/2011

PESI e PCN• Objetivo: Elaboração de Termos de Referência

para contratação• Metodologia:– Apresentações realizadas em 11.08.2011

• Módulo• Cipher• Morphus

– Consulta às seguintes fontes de referência:• Termos de referência publicados

– Exemplo: Min. Público ES, BNDES, CFM etc.• Estudos e avaliações do Gartner Group• Acórdãos e Instruções Normativas do TCU• Trabalhos acadêmicos – monografias, dissertações etc.• Recomendações para elaboração de planos de segurança da

informação de outros entes governamentais (ex.: Oregon – EUA, diretrizes de PESI do MP-RS)

PESI

• Três abordagens para lidar com Segurança da Informação (Gartner):– Abordagem estratégica de atualização• Equipe, framework, avaliação, situação atual, situação

desejada, priorização a partir de riscos X custos, revisão/melhoria contínua

– Abordagem oportunística– Abordagem híbrida

PESI

• Benefícios: – Comunicar visão da gestão sobre estratégia riscos– Alinhar investimentos em Segurança Informação à

estratégia da organização e ao negócio– Definir estrutura e responsabilidades das áreas

responsáveis por Segurança da Informação– Definir plano de ação para Segurança da

Informação com custos e prazos estimados para execução

PESI

• Recomendações– Diagnóstico – Análise de Riscos– Foco em Tecnologia, Pessoas, Processos e

Ambientes– Governança de Segurança de Informação

(Controle) e Governança de Tecnologia da Informação (Serviços)• alinhadas à

– Governança Corporativa– Normas ABNT:27001/27002/27005, 20000 e

38500

Fonte: Apresentação realizada pela empresa Módulo - Modelo Genérico de GRC Colaboração e Integração Módulo GRC Metaframework

PESI• Escopo: – Identificação dos executivos patrocinadores

• Envolver principais executivos nas entrevistas– Estudo do organograma– Identificação de diretrizes estratégicas

• Alinhamento com o PETI / PDTI– Levantamento da legislação e normas aplicáveis– Classificação de informações– Planos e políticas em vigor– Normas e melhores práticas -> exemplo: família NBR

ISO 27.000– Segurança da informação e não de TI, apenas

Fonte: Apresentação realizada pela empresa Módulo

Fonte: Gartner (Maio de 2008)

Fonte: Gartner (Maio de 2008)

PESI• Atividades:– Mapeamento de Ativos:

• Processos críticos• Sistemas que suportam processos críticos• Ativos de informação e infra que suportam sistemas críticos• Nível de criticalidade de sistemas, processos e ativos em

função da sua relevância para o negócio– Mapeamento de ameaças e riscos

• Incidentes e vulnerabilidades conhecidas e incidentes potenciais

– Mapeamento de ações corretivas e seus responsáveis– Análise de Riscos (ISO 27.005) genérica – não desce a

detalhes dos ativos de TI

PESI• Atividades:– Mapa dos principais domínios de risco

• Composição (processos e ativos), relevância para o negócio e sumário

– Definição dos riscos que serão mitigados/tratados – com priorização - e dos que serão aceitos e identificação daqueles que já são evitados -> melhoria contínua• Base quantitativa – análise de risco

– Apresentar o PESI– Revisá-lo com a gestão da organização – Formalizar adoção do PESI, após aprovação– Divulgar o PESI

• Seminário de sensibilização, com participação da Alta Administração

Fonte: Gartner (Setembro de 2010)

AVALIAÇÃO DO NÍVEL DE MATURIDADE DE SEGURANÇA DA

INFORMAÇÃO

PESI• Entregáveis:– Resumo da análise de risco executada– Inserção institucional da Segurança da Informação• Estrutura de governança

– Comitê Gestor– Responsabilidades/atribuições– Dimensionamento de equipes– Recomendações de capacitação

– Definição de um Plano de Ação • Ações emergenciais e projetos X tempo

– Curto, médio, longo prazo– Descrição, justificativa, responsabilidades e estimativas de

prazo, esforço e custo

PESI• Pontos de atenção:– Considerar todos os investimentos e custos: • Planejamento• Projetos • Manutenção da área de Segurança da Informação

– Avaliar a possibilidade de adoção de medidas mesmo antes da conclusão do PESI• Análise de vulnerabilidades• Testes de invasão• Análise de vulnerabilidades no código de aplicações• Justificativa: ataques realizados recentemente a sites

(sítios) e bases de dados de órgãos públicos

Fonte: Apresentação realizada pela empresa Cipher

PCN• Escopo:

– Definir desastre – Entrevistas e avaliação de impacto de desastres com a Alta

Administração– Normas BS 25999 e NBR 15999

• Entregáveis:– Política

– diretrizes para outsourcing de continuidade – detecção precoce – resposta

– Avaliação da maturidade em continuidade de negócios– Processo de Gestão de Continuidade– Análise de Riscos– Business Impact Analysis– Estratégia de continuidade

AVALIAÇÃO DO NÍVEL DE MATURIDADE DE CONTINUIDADE DE

NEGÓCIOS

Fonte: Gartner (Setembro de 2010)

PCN

• Entregáveis:– Planos de contingência:• Administração de crises• Continuidade opercional de processos e serviços de TIC• Recuperação de ativos e serviços de TIC• Gerência de Incidentes

– Planejamento de testes– Capacitação/Divulgação – GCN/PCN– Auditoria e testes periódicos

Fonte: Apresentação realizada pela empresa Módulo

PCN

• Pontos de Atenção:– Investimentos no projeto e implementação– Custeio para operação, manutenção e evolução

da continuidade– Realizar o projeto em etapas – exemplo: deixar a

discussão de testes e estratégia para uma segunda etapa

CONTRATAÇÃO

• Quadro Referencial Normativo– Dissertação de Mestrado UCB 2008– GOVERNANÇA DE TI E CONFORMIDADE LEGAL NO

SETOR PÚBLICO: UM QUADRO REFERENCIAL NORMATIVO PARA A CONTRATAÇÃO DE SERVIÇOS DE TI.

– Autor: Cláudio Silva da Cruz– http://portal2.tcu.gov.br/portal/page/portal/

ticontrole/legislacao/repositorio_contratacao_ti/ManualOnLine.html

CONTRATAÇÃO

• Como contratar?• MP-ES – Pregão eletrônico para Registro de

Preços• BNDES (apenas GCN) – Concorrência por

técnica e preço• CFM – Tomada de Preços por técnica e preço

CONTRATAÇÃO

• Critérios para pontuação técnica• Possibilidades:– Prazo de entrega– Suporte a serviços– Qualidade– Padronização– Compatibilidade– Desempenho

CONTRATAÇÃO

• Critérios para pontuação técnica – exemplos (BNDES):

• Desempenho – atestados comprovando execução de projetos de GCN pelas empresas• Pontuação adicional – Inst. Fin./< 4anos/Testes/Certific.

(ISO 27001, ou BS 25999, ou NBR 15999)

CONTRATAÇÃO

• Critérios para pontuação técnica – exemplos (BNDES):

• Qualidade – declaracões comprovando experiência de profissionais em projetos de GCN• Pontuação adicional – Inst. Fin./<4 anos/Testes/Cert.

(CBCP/MBCI)