plano estratégico de tecnologia da informação – pesi plano de continuidade de negócios - pcn...
TRANSCRIPT
![Page 1: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/1.jpg)
Plano Estratégico de Tecnologia da Informação – PESI
Plano de Continuidade de Negócios - PCN
COGEF ARP GT-420/09/2011
![Page 2: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/2.jpg)
PESI e PCN• Objetivo: Elaboração de Termos de Referência
para contratação• Metodologia:– Apresentações realizadas em 11.08.2011
• Módulo• Cipher• Morphus
– Consulta às seguintes fontes de referência:• Termos de referência publicados
– Exemplo: Min. Público ES, BNDES, CFM etc.• Estudos e avaliações do Gartner Group• Acórdãos e Instruções Normativas do TCU• Trabalhos acadêmicos – monografias, dissertações etc.• Recomendações para elaboração de planos de segurança da
informação de outros entes governamentais (ex.: Oregon – EUA, diretrizes de PESI do MP-RS)
![Page 3: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/3.jpg)
PESI
• Três abordagens para lidar com Segurança da Informação (Gartner):– Abordagem estratégica de atualização• Equipe, framework, avaliação, situação atual, situação
desejada, priorização a partir de riscos X custos, revisão/melhoria contínua
– Abordagem oportunística– Abordagem híbrida
![Page 4: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/4.jpg)
PESI
• Benefícios: – Comunicar visão da gestão sobre estratégia riscos– Alinhar investimentos em Segurança Informação à
estratégia da organização e ao negócio– Definir estrutura e responsabilidades das áreas
responsáveis por Segurança da Informação– Definir plano de ação para Segurança da
Informação com custos e prazos estimados para execução
![Page 5: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/5.jpg)
PESI
• Recomendações– Diagnóstico – Análise de Riscos– Foco em Tecnologia, Pessoas, Processos e
Ambientes– Governança de Segurança de Informação
(Controle) e Governança de Tecnologia da Informação (Serviços)• alinhadas à
– Governança Corporativa– Normas ABNT:27001/27002/27005, 20000 e
38500
![Page 6: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/6.jpg)
Fonte: Apresentação realizada pela empresa Módulo - Modelo Genérico de GRC Colaboração e Integração Módulo GRC Metaframework
![Page 7: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/7.jpg)
PESI• Escopo: – Identificação dos executivos patrocinadores
• Envolver principais executivos nas entrevistas– Estudo do organograma– Identificação de diretrizes estratégicas
• Alinhamento com o PETI / PDTI– Levantamento da legislação e normas aplicáveis– Classificação de informações– Planos e políticas em vigor– Normas e melhores práticas -> exemplo: família NBR
ISO 27.000– Segurança da informação e não de TI, apenas
![Page 8: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/8.jpg)
Fonte: Apresentação realizada pela empresa Módulo
![Page 9: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/9.jpg)
Fonte: Gartner (Maio de 2008)
![Page 10: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/10.jpg)
Fonte: Gartner (Maio de 2008)
![Page 11: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/11.jpg)
PESI• Atividades:– Mapeamento de Ativos:
• Processos críticos• Sistemas que suportam processos críticos• Ativos de informação e infra que suportam sistemas críticos• Nível de criticalidade de sistemas, processos e ativos em
função da sua relevância para o negócio– Mapeamento de ameaças e riscos
• Incidentes e vulnerabilidades conhecidas e incidentes potenciais
– Mapeamento de ações corretivas e seus responsáveis– Análise de Riscos (ISO 27.005) genérica – não desce a
detalhes dos ativos de TI
![Page 12: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/12.jpg)
PESI• Atividades:– Mapa dos principais domínios de risco
• Composição (processos e ativos), relevância para o negócio e sumário
– Definição dos riscos que serão mitigados/tratados – com priorização - e dos que serão aceitos e identificação daqueles que já são evitados -> melhoria contínua• Base quantitativa – análise de risco
– Apresentar o PESI– Revisá-lo com a gestão da organização – Formalizar adoção do PESI, após aprovação– Divulgar o PESI
• Seminário de sensibilização, com participação da Alta Administração
![Page 13: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/13.jpg)
Fonte: Gartner (Setembro de 2010)
AVALIAÇÃO DO NÍVEL DE MATURIDADE DE SEGURANÇA DA
INFORMAÇÃO
![Page 14: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/14.jpg)
PESI• Entregáveis:– Resumo da análise de risco executada– Inserção institucional da Segurança da Informação• Estrutura de governança
– Comitê Gestor– Responsabilidades/atribuições– Dimensionamento de equipes– Recomendações de capacitação
– Definição de um Plano de Ação • Ações emergenciais e projetos X tempo
– Curto, médio, longo prazo– Descrição, justificativa, responsabilidades e estimativas de
prazo, esforço e custo
![Page 15: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/15.jpg)
PESI• Pontos de atenção:– Considerar todos os investimentos e custos: • Planejamento• Projetos • Manutenção da área de Segurança da Informação
– Avaliar a possibilidade de adoção de medidas mesmo antes da conclusão do PESI• Análise de vulnerabilidades• Testes de invasão• Análise de vulnerabilidades no código de aplicações• Justificativa: ataques realizados recentemente a sites
(sítios) e bases de dados de órgãos públicos
![Page 16: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/16.jpg)
Fonte: Apresentação realizada pela empresa Cipher
![Page 17: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/17.jpg)
PCN• Escopo:
– Definir desastre – Entrevistas e avaliação de impacto de desastres com a Alta
Administração– Normas BS 25999 e NBR 15999
• Entregáveis:– Política
– diretrizes para outsourcing de continuidade – detecção precoce – resposta
– Avaliação da maturidade em continuidade de negócios– Processo de Gestão de Continuidade– Análise de Riscos– Business Impact Analysis– Estratégia de continuidade
![Page 18: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/18.jpg)
AVALIAÇÃO DO NÍVEL DE MATURIDADE DE CONTINUIDADE DE
NEGÓCIOS
Fonte: Gartner (Setembro de 2010)
![Page 19: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/19.jpg)
PCN
• Entregáveis:– Planos de contingência:• Administração de crises• Continuidade opercional de processos e serviços de TIC• Recuperação de ativos e serviços de TIC• Gerência de Incidentes
– Planejamento de testes– Capacitação/Divulgação – GCN/PCN– Auditoria e testes periódicos
![Page 20: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/20.jpg)
Fonte: Apresentação realizada pela empresa Módulo
![Page 21: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/21.jpg)
PCN
• Pontos de Atenção:– Investimentos no projeto e implementação– Custeio para operação, manutenção e evolução
da continuidade– Realizar o projeto em etapas – exemplo: deixar a
discussão de testes e estratégia para uma segunda etapa
![Page 22: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/22.jpg)
CONTRATAÇÃO
• Quadro Referencial Normativo– Dissertação de Mestrado UCB 2008– GOVERNANÇA DE TI E CONFORMIDADE LEGAL NO
SETOR PÚBLICO: UM QUADRO REFERENCIAL NORMATIVO PARA A CONTRATAÇÃO DE SERVIÇOS DE TI.
– Autor: Cláudio Silva da Cruz– http://portal2.tcu.gov.br/portal/page/portal/
ticontrole/legislacao/repositorio_contratacao_ti/ManualOnLine.html
![Page 23: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/23.jpg)
![Page 24: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/24.jpg)
![Page 25: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/25.jpg)
![Page 26: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/26.jpg)
CONTRATAÇÃO
• Como contratar?• MP-ES – Pregão eletrônico para Registro de
Preços• BNDES (apenas GCN) – Concorrência por
técnica e preço• CFM – Tomada de Preços por técnica e preço
![Page 27: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/27.jpg)
CONTRATAÇÃO
• Critérios para pontuação técnica• Possibilidades:– Prazo de entrega– Suporte a serviços– Qualidade– Padronização– Compatibilidade– Desempenho
![Page 28: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/28.jpg)
CONTRATAÇÃO
• Critérios para pontuação técnica – exemplos (BNDES):
• Desempenho – atestados comprovando execução de projetos de GCN pelas empresas• Pontuação adicional – Inst. Fin./< 4anos/Testes/Certific.
(ISO 27001, ou BS 25999, ou NBR 15999)
![Page 29: Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011](https://reader035.vdocuments.site/reader035/viewer/2022062418/552fc160497959413d8e951d/html5/thumbnails/29.jpg)
CONTRATAÇÃO
• Critérios para pontuação técnica – exemplos (BNDES):
• Qualidade – declaracões comprovando experiência de profissionais em projetos de GCN• Pontuação adicional – Inst. Fin./<4 anos/Testes/Cert.
(CBCP/MBCI)