Plano Estratgico de Tecnologia da Informao PESI Plano
- Slides: 29
Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011
PESI e PCN • Objetivo: Elaboração de Termos de Referência para contratação • Metodologia: – Apresentações realizadas em 11. 08. 2011 • Módulo • Cipher • Morphus – Consulta às seguintes fontes de referência: • Termos de referência publicados – Exemplo: Min. Público ES, BNDES, CFM etc. • • Estudos e avaliações do Gartner Group Acórdãos e Instruções Normativas do TCU Trabalhos acadêmicos – monografias, dissertações etc. Recomendações para elaboração de planos de segurança da informação de outros entes governamentais (ex. : Oregon – EUA, diretrizes de PESI do MP-RS)
PESI • Três abordagens para lidar com Segurança da Informação (Gartner): – Abordagem estratégica de atualização • Equipe, framework, avaliação, situação atual, situação desejada, priorização a partir de riscos X custos, revisão/melhoria contínua – Abordagem oportunística – Abordagem híbrida
PESI • Benefícios: – Comunicar visão da gestão sobre estratégia riscos – Alinhar investimentos em Segurança Informação à estratégia da organização e ao negócio – Definir estrutura e responsabilidades das áreas responsáveis por Segurança da Informação – Definir plano de ação para Segurança da Informação com custos e prazos estimados para execução
PESI • Recomendações – Diagnóstico – Análise de Riscos – Foco em Tecnologia, Pessoas, Processos e Ambientes – Governança de Segurança de Informação (Controle) e Governança de Tecnologia da Informação (Serviços) • alinhadas à – Governança Corporativa – Normas ABNT: 27001/27002/27005, 20000 e 38500
Fonte: Apresentação realizada pela empresa Módulo - Modelo Genérico de GRC Colaboração e Integração Módulo GRC Metaframework
PESI • Escopo: – Identificação dos executivos patrocinadores • Envolver principais executivos nas entrevistas – Estudo do organograma – Identificação de diretrizes estratégicas • Alinhamento com o PETI / PDTI – Levantamento da legislação e normas aplicáveis – Classificação de informações – Planos e políticas em vigor – Normas e melhores práticas -> exemplo: família NBR ISO 27. 000 – Segurança da informação e não de TI, apenas
Fonte: Apresentação realizada pela empresa Módulo
Fonte: Gartner (Maio de 2008)
Fonte: Gartner (Maio de 2008)
• Atividades: PESI – Mapeamento de Ativos: • • Processos críticos Sistemas que suportam processos críticos Ativos de informação e infra que suportam sistemas críticos Nível de criticalidade de sistemas, processos e ativos em função da sua relevância para o negócio – Mapeamento de ameaças e riscos • Incidentes e vulnerabilidades conhecidas e incidentes potenciais – Mapeamento de ações corretivas e seus responsáveis – Análise de Riscos (ISO 27. 005) genérica – não desce a detalhes dos ativos de TI
• Atividades: PESI – Mapa dos principais domínios de risco • Composição (processos e ativos), relevância para o negócio e sumário – Definição dos riscos que serão mitigados/tratados – com priorização - e dos que serão aceitos e identificação daqueles que já são evitados -> melhoria contínua • Base quantitativa – análise de risco – Apresentar o PESI – Revisá-lo com a gestão da organização – Formalizar adoção do PESI, após aprovação – Divulgar o PESI • Seminário de sensibilização, com participação da Alta Administração
AVALIAÇÃO DO NÍVEL DE MATURIDADE DE SEGURANÇA DA INFORMAÇÃO Fonte: Gartner (Setembro de 2010)
• Entregáveis: PESI – Resumo da análise de risco executada – Inserção institucional da Segurança da Informação • Estrutura de governança – – Comitê Gestor Responsabilidades/atribuições Dimensionamento de equipes Recomendações de capacitação – Definição de um Plano de Ação • Ações emergenciais e projetos X tempo – Curto, médio, longo prazo – Descrição, justificativa, responsabilidades e estimativas de prazo, esforço e custo
• Pontos de atenção: PESI – Considerar todos os investimentos e custos: • Planejamento • Projetos • Manutenção da área de Segurança da Informação – Avaliar a possibilidade de adoção de medidas mesmo antes da conclusão do PESI • • Análise de vulnerabilidades Testes de invasão Análise de vulnerabilidades no código de aplicações Justificativa: ataques realizados recentemente a sites (sítios) e bases de dados de órgãos públicos
Fonte: Apresentação realizada pela empresa Cipher
PCN • Escopo: – Definir desastre – Entrevistas e avaliação de impacto de desastres com a Alta Administração – Normas BS 25999 e NBR 15999 • Entregáveis: – Política – diretrizes para outsourcing de continuidade – detecção precoce – resposta – – – Avaliação da maturidade em continuidade de negócios Processo de Gestão de Continuidade Análise de Riscos Business Impact Analysis Estratégia de continuidade
AVALIAÇÃO DO NÍVEL DE MATURIDADE DE CONTINUIDADE DE NEGÓCIOS Fonte: Gartner (Setembro de 2010)
PCN • Entregáveis: – Planos de contingência: • • Administração de crises Continuidade opercional de processos e serviços de TIC Recuperação de ativos e serviços de TIC Gerência de Incidentes – Planejamento de testes – Capacitação/Divulgação – GCN/PCN – Auditoria e testes periódicos
Fonte: Apresentação realizada pela empresa Módulo
PCN • Pontos de Atenção: – Investimentos no projeto e implementação – Custeio para operação, manutenção e evolução da continuidade – Realizar o projeto em etapas – exemplo: deixar a discussão de testes e estratégia para uma segunda etapa
CONTRATAÇÃO • Quadro Referencial Normativo – Dissertação de Mestrado UCB 2008 – GOVERNANÇA DE TI E CONFORMIDADE LEGAL NO SETOR PÚBLICO: UM QUADRO REFERENCIAL NORMATIVO PARA A CONTRATAÇÃO DE SERVIÇOS DE TI. – Autor: Cláudio Silva da Cruz – http: //portal 2. tcu. gov. br/portal/page/portal/ticon trole/legislacao/repositorio_contratacao_ti/Manu al. On. Line. html
CONTRATAÇÃO • Como contratar? • MP-ES – Pregão eletrônico para Registro de Preços • BNDES (apenas GCN) – Concorrência por técnica e preço • CFM – Tomada de Preços por técnica e preço
CONTRATAÇÃO • Critérios para pontuação técnica • Possibilidades: – Prazo de entrega – Suporte a serviços – Qualidade – Padronização – Compatibilidade – Desempenho
CONTRATAÇÃO • Critérios para pontuação técnica – exemplos (BNDES): • Desempenho – atestados comprovando execução de projetos de GCN pelas empresas • Pontuação adicional – Inst. Fin. /< 4 anos/Testes/Certific. (ISO 27001, ou BS 25999, ou NBR 15999)
CONTRATAÇÃO • Critérios para pontuação técnica – exemplos (BNDES): • Qualidade – declaracões comprovando experiência de profissionais em projetos de GCN • Pontuação adicional – Inst. Fin. /<4 anos/Testes/Cert. (CBCP/MBCI)
Escala pesi simplificada
Normalità chimica
Score pesi
Pesi adhd certification
Nice cks superficial thrombophlebitis
Diferencia entre gran plano general y plano general
Tecnología segundo medio
Tecnologia
Spin inteiro
Estetica y salud corporal dibujos
Conclusiones y recomendaciones de la tecnología
Tecnologia
Simbolos electricos 2 eso
Limite de proporcionalidade
Sgad organigrama
Tommy flowers
Que ciencias hubieron de integrarse y resignificar
Sedentarismo e tecnologia
Pessoas processos e tecnologia
Que es variable independiente en ciencia y tecnologia
Cloud frareg
Tecnología primero medio actividades
Tangram tecnologia
Tecnologia 4° basico
Tecnología alta mediana tradicional y artesanal
Ministerio de educacion superior ciencia y tecnologia
La classificazione dei materiali
Tecnologia meccanica unina
Importancia de la tecnología
Mi elefante tecnologia
