Transcript COGEF Anexo 4 Ata 13a Reunião RJ PESI e PCN+Set2011

Plano Estratégico de Tecnologia
da Informação – PESI
Plano de Continuidade de
Negócios - PCN
COGEF ARP GT-4
20/09/2011
PESI e PCN
• Objetivo: Elaboração de Termos de Referência
para contratação
• Metodologia:
– Apresentações realizadas em 11.08.2011
• Módulo
• Cipher
• Morphus
– Consulta às seguintes fontes de referência:
• Termos de referência publicados
– Exemplo: Min. Público ES, BNDES, CFM etc.
•
•
•
•
Estudos e avaliações do Gartner Group
Acórdãos e Instruções Normativas do TCU
Trabalhos acadêmicos – monografias, dissertações etc.
Recomendações para elaboração de planos de segurança da
informação de outros entes governamentais (ex.: Oregon –
EUA, diretrizes de PESI do MP-RS)
PESI
• Três abordagens para lidar com Segurança da
Informação (Gartner):
– Abordagem estratégica de atualização
• Equipe, framework, avaliação, situação atual, situação
desejada, priorização a partir de riscos X custos,
revisão/melhoria contínua
– Abordagem oportunística
– Abordagem híbrida
PESI
• Benefícios:
– Comunicar visão da gestão sobre estratégia riscos
– Alinhar investimentos em Segurança Informação à
estratégia da organização e ao negócio
– Definir estrutura e responsabilidades das áreas
responsáveis por Segurança da Informação
– Definir plano de ação para Segurança da
Informação com custos e prazos estimados para
execução
PESI
• Recomendações
– Diagnóstico – Análise de Riscos
– Foco em Tecnologia, Pessoas, Processos e
Ambientes
– Governança de Segurança de Informação
(Controle) e Governança de Tecnologia da
Informação (Serviços)
• alinhadas à
– Governança Corporativa
– Normas ABNT:27001/27002/27005,
38500
20000
e
Fonte: Apresentação realizada pela empresa Módulo - Modelo
Genérico de GRC Colaboração e Integração Módulo GRC
Metaframework
PESI
• Escopo:
– Identificação dos executivos patrocinadores
• Envolver principais executivos nas entrevistas
– Estudo do organograma
– Identificação de diretrizes estratégicas
• Alinhamento com o PETI / PDTI
–
–
–
–
Levantamento da legislação e normas aplicáveis
Classificação de informações
Planos e políticas em vigor
Normas e melhores práticas -> exemplo: família NBR
ISO 27.000
– Segurança da informação e não de TI, apenas
Fonte: Apresentação realizada pela empresa Módulo
Fonte: Gartner (Maio de 2008)
Fonte: Gartner (Maio de 2008)
• Atividades:
PESI
– Mapeamento de Ativos:
•
•
•
•
Processos críticos
Sistemas que suportam processos críticos
Ativos de informação e infra que suportam sistemas críticos
Nível de criticalidade de sistemas, processos e ativos em
função da sua relevância para o negócio
– Mapeamento de ameaças e riscos
• Incidentes e vulnerabilidades conhecidas e incidentes
potenciais
– Mapeamento de ações corretivas e seus responsáveis
– Análise de Riscos (ISO 27.005) genérica – não desce a
detalhes dos ativos de TI
• Atividades:
PESI
– Mapa dos principais domínios de risco
• Composição (processos e ativos), relevância para o negócio e
sumário
– Definição dos riscos que serão mitigados/tratados –
com priorização - e dos que serão aceitos e
identificação daqueles que já são evitados -> melhoria
contínua
• Base quantitativa – análise de risco
–
–
–
–
Apresentar o PESI
Revisá-lo com a gestão da organização
Formalizar adoção do PESI, após aprovação
Divulgar o PESI
• Seminário de sensibilização, com participação da Alta
Administração
AVALIAÇÃO DO NÍVEL DE MATURIDADE
DE SEGURANÇA DA INFORMAÇÃO
Fonte: Gartner (Setembro de 2010)
PESI
• Entregáveis:
– Resumo da análise de risco executada
– Inserção institucional da Segurança da Informação
• Estrutura de governança
–
–
–
–
Comitê Gestor
Responsabilidades/atribuições
Dimensionamento de equipes
Recomendações de capacitação
– Definição de um Plano de Ação
• Ações emergenciais e projetos X tempo
– Curto, médio, longo prazo
– Descrição, justificativa, responsabilidades e estimativas de
prazo, esforço e custo
PESI
• Pontos de atenção:
– Considerar todos os investimentos e custos:
• Planejamento
• Projetos
• Manutenção da área de Segurança da Informação
– Avaliar a possibilidade de adoção de medidas
mesmo antes da conclusão do PESI
•
•
•
•
Análise de vulnerabilidades
Testes de invasão
Análise de vulnerabilidades no código de aplicações
Justificativa: ataques realizados recentemente a sites
(sítios) e bases de dados de órgãos públicos
Fonte: Apresentação realizada pela empresa Cipher
PCN
• Escopo:
– Definir desastre
– Entrevistas e avaliação de impacto de desastres com a Alta
Administração
– Normas BS 25999 e NBR 15999
• Entregáveis:
– Política
– diretrizes para outsourcing de continuidade
– detecção precoce
– resposta
–
–
–
–
–
Avaliação da maturidade em continuidade de negócios
Processo de Gestão de Continuidade
Análise de Riscos
Business Impact Analysis
Estratégia de continuidade
AVALIAÇÃO DO NÍVEL DE MATURIDADE
DE CONTINUIDADE DE NEGÓCIOS
Fonte: Gartner (Setembro de 2010)
PCN
• Entregáveis:
– Planos de contingência:
•
•
•
•
Administração de crises
Continuidade opercional de processos e serviços de TIC
Recuperação de ativos e serviços de TIC
Gerência de Incidentes
– Planejamento de testes
– Capacitação/Divulgação – GCN/PCN
– Auditoria e testes periódicos
Fonte: Apresentação realizada pela empresa Módulo
PCN
• Pontos de Atenção:
– Investimentos no projeto e implementação
– Custeio para operação, manutenção e evolução da
continuidade
– Realizar o projeto em etapas – exemplo: deixar a
discussão de testes e estratégia para uma segunda
etapa
CONTRATAÇÃO
• Quadro Referencial Normativo
– Dissertação de Mestrado UCB 2008
– GOVERNANÇA DE TI E CONFORMIDADE LEGAL NO
SETOR PÚBLICO: UM QUADRO REFERENCIAL
NORMATIVO PARA A CONTRATAÇÃO DE SERVIÇOS
DE TI.
– Autor: Cláudio Silva da Cruz
– http://portal2.tcu.gov.br/portal/page/portal/ticon
trole/legislacao/repositorio_contratacao_ti/Manu
alOnLine.html
CONTRATAÇÃO
• Como contratar?
• MP-ES – Pregão eletrônico para Registro de
Preços
• BNDES (apenas GCN) – Concorrência por
técnica e preço
• CFM – Tomada de Preços por técnica e preço
CONTRATAÇÃO
• Critérios para pontuação técnica
• Possibilidades:
– Prazo de entrega
– Suporte a serviços
– Qualidade
– Padronização
– Compatibilidade
– Desempenho
CONTRATAÇÃO
• Critérios para pontuação técnica – exemplos
(BNDES):
• Desempenho – atestados comprovando execução de
projetos de GCN pelas empresas
• Pontuação adicional – Inst. Fin./< 4anos/Testes/Certific.
(ISO 27001, ou BS 25999, ou NBR 15999)
CONTRATAÇÃO
• Critérios para pontuação técnica – exemplos
(BNDES):
• Qualidade – declaracões comprovando experiência de
profissionais em projetos de GCN
• Pontuação adicional – Inst. Fin./<4 anos/Testes/Cert.
(CBCP/MBCI)