Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011 PESI e PCN • Objetivo: Elaboração de Termos de Referência para contratação • Metodologia: – Apresentações realizadas em 11.08.2011 • Módulo • Cipher • Morphus – Consulta às seguintes fontes de referência: • Termos de referência publicados – Exemplo: Min. Público ES, BNDES, CFM etc. • • • • Estudos e avaliações do Gartner Group Acórdãos e Instruções Normativas do TCU Trabalhos acadêmicos – monografias, dissertações etc. Recomendações para elaboração de planos de segurança da informação de outros entes governamentais (ex.: Oregon – EUA, diretrizes de PESI do MP-RS) PESI • Três abordagens para lidar com Segurança da Informação (Gartner): – Abordagem estratégica de atualização • Equipe, framework, avaliação, situação atual, situação desejada, priorização a partir de riscos X custos, revisão/melhoria contínua – Abordagem oportunística – Abordagem híbrida PESI • Benefícios: – Comunicar visão da gestão sobre estratégia riscos – Alinhar investimentos em Segurança Informação à estratégia da organização e ao negócio – Definir estrutura e responsabilidades das áreas responsáveis por Segurança da Informação – Definir plano de ação para Segurança da Informação com custos e prazos estimados para execução PESI • Recomendações – Diagnóstico – Análise de Riscos – Foco em Tecnologia, Pessoas, Processos e Ambientes – Governança de Segurança de Informação (Controle) e Governança de Tecnologia da Informação (Serviços) • alinhadas à – Governança Corporativa – Normas ABNT:27001/27002/27005, 38500 20000 e Fonte: Apresentação realizada pela empresa Módulo - Modelo Genérico de GRC Colaboração e Integração Módulo GRC Metaframework PESI • Escopo: – Identificação dos executivos patrocinadores • Envolver principais executivos nas entrevistas – Estudo do organograma – Identificação de diretrizes estratégicas • Alinhamento com o PETI / PDTI – – – – Levantamento da legislação e normas aplicáveis Classificação de informações Planos e políticas em vigor Normas e melhores práticas -> exemplo: família NBR ISO 27.000 – Segurança da informação e não de TI, apenas Fonte: Apresentação realizada pela empresa Módulo Fonte: Gartner (Maio de 2008) Fonte: Gartner (Maio de 2008) • Atividades: PESI – Mapeamento de Ativos: • • • • Processos críticos Sistemas que suportam processos críticos Ativos de informação e infra que suportam sistemas críticos Nível de criticalidade de sistemas, processos e ativos em função da sua relevância para o negócio – Mapeamento de ameaças e riscos • Incidentes e vulnerabilidades conhecidas e incidentes potenciais – Mapeamento de ações corretivas e seus responsáveis – Análise de Riscos (ISO 27.005) genérica – não desce a detalhes dos ativos de TI • Atividades: PESI – Mapa dos principais domínios de risco • Composição (processos e ativos), relevância para o negócio e sumário – Definição dos riscos que serão mitigados/tratados – com priorização - e dos que serão aceitos e identificação daqueles que já são evitados -> melhoria contínua • Base quantitativa – análise de risco – – – – Apresentar o PESI Revisá-lo com a gestão da organização Formalizar adoção do PESI, após aprovação Divulgar o PESI • Seminário de sensibilização, com participação da Alta Administração AVALIAÇÃO DO NÍVEL DE MATURIDADE DE SEGURANÇA DA INFORMAÇÃO Fonte: Gartner (Setembro de 2010) PESI • Entregáveis: – Resumo da análise de risco executada – Inserção institucional da Segurança da Informação • Estrutura de governança – – – – Comitê Gestor Responsabilidades/atribuições Dimensionamento de equipes Recomendações de capacitação – Definição de um Plano de Ação • Ações emergenciais e projetos X tempo – Curto, médio, longo prazo – Descrição, justificativa, responsabilidades e estimativas de prazo, esforço e custo PESI • Pontos de atenção: – Considerar todos os investimentos e custos: • Planejamento • Projetos • Manutenção da área de Segurança da Informação – Avaliar a possibilidade de adoção de medidas mesmo antes da conclusão do PESI • • • • Análise de vulnerabilidades Testes de invasão Análise de vulnerabilidades no código de aplicações Justificativa: ataques realizados recentemente a sites (sítios) e bases de dados de órgãos públicos Fonte: Apresentação realizada pela empresa Cipher PCN • Escopo: – Definir desastre – Entrevistas e avaliação de impacto de desastres com a Alta Administração – Normas BS 25999 e NBR 15999 • Entregáveis: – Política – diretrizes para outsourcing de continuidade – detecção precoce – resposta – – – – – Avaliação da maturidade em continuidade de negócios Processo de Gestão de Continuidade Análise de Riscos Business Impact Analysis Estratégia de continuidade AVALIAÇÃO DO NÍVEL DE MATURIDADE DE CONTINUIDADE DE NEGÓCIOS Fonte: Gartner (Setembro de 2010) PCN • Entregáveis: – Planos de contingência: • • • • Administração de crises Continuidade opercional de processos e serviços de TIC Recuperação de ativos e serviços de TIC Gerência de Incidentes – Planejamento de testes – Capacitação/Divulgação – GCN/PCN – Auditoria e testes periódicos Fonte: Apresentação realizada pela empresa Módulo PCN • Pontos de Atenção: – Investimentos no projeto e implementação – Custeio para operação, manutenção e evolução da continuidade – Realizar o projeto em etapas – exemplo: deixar a discussão de testes e estratégia para uma segunda etapa CONTRATAÇÃO • Quadro Referencial Normativo – Dissertação de Mestrado UCB 2008 – GOVERNANÇA DE TI E CONFORMIDADE LEGAL NO SETOR PÚBLICO: UM QUADRO REFERENCIAL NORMATIVO PARA A CONTRATAÇÃO DE SERVIÇOS DE TI. – Autor: Cláudio Silva da Cruz – http://portal2.tcu.gov.br/portal/page/portal/ticon trole/legislacao/repositorio_contratacao_ti/Manu alOnLine.html CONTRATAÇÃO • Como contratar? • MP-ES – Pregão eletrônico para Registro de Preços • BNDES (apenas GCN) – Concorrência por técnica e preço • CFM – Tomada de Preços por técnica e preço CONTRATAÇÃO • Critérios para pontuação técnica • Possibilidades: – Prazo de entrega – Suporte a serviços – Qualidade – Padronização – Compatibilidade – Desempenho CONTRATAÇÃO • Critérios para pontuação técnica – exemplos (BNDES): • Desempenho – atestados comprovando execução de projetos de GCN pelas empresas • Pontuação adicional – Inst. Fin./< 4anos/Testes/Certific. (ISO 27001, ou BS 25999, ou NBR 15999) CONTRATAÇÃO • Critérios para pontuação técnica – exemplos (BNDES): • Qualidade – declaracões comprovando experiência de profissionais em projetos de GCN • Pontuação adicional – Inst. Fin./<4 anos/Testes/Cert. (CBCP/MBCI)