A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011.

PublicouSophia Samudio Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011."— Transcrição da apresentação:

1 Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN
COGEF ARP GT-4 20/09/2011

2 PESI e PCN Objetivo: Elaboração de Termos de Referência para contratação Metodologia: Apresentações realizadas em Módulo Cipher Morphus Consulta às seguintes fontes de referência: Termos de referência publicados Exemplo: Min. Público ES, BNDES, CFM etc. Estudos e avaliações do Gartner Group Acórdãos e Instruções Normativas do TCU Trabalhos acadêmicos – monografias, dissertações etc. Recomendações para elaboração de planos de segurança da informação de outros entes governamentais (ex.: Oregon – EUA, diretrizes de PESI do MP-RS)

3 PESI Três abordagens para lidar com Segurança da Informação (Gartner):
Abordagem estratégica de atualização Equipe, framework, avaliação, situação atual, situação desejada, priorização a partir de riscos X custos, revisão/melhoria contínua Abordagem oportunística Abordagem híbrida

4 PESI Benefícios: Comunicar visão da gestão sobre estratégia riscos
Alinhar investimentos em Segurança Informação à estratégia da organização e ao negócio Definir estrutura e responsabilidades das áreas responsáveis por Segurança da Informação Definir plano de ação para Segurança da Informação com custos e prazos estimados para execução

5 PESI Recomendações Diagnóstico – Análise de Riscos
Foco em Tecnologia, Pessoas, Processos e Ambientes Governança de Segurança de Informação (Controle) e Governança de Tecnologia da Informação (Serviços) alinhadas à Governança Corporativa Normas ABNT:27001/27002/27005, e 38500

6 Fonte: Apresentação realizada pela empresa Módulo - Modelo Genérico de GRC Colaboração e Integração Módulo GRC Metaframework

7 PESI Escopo: Identificação dos executivos patrocinadores
Envolver principais executivos nas entrevistas Estudo do organograma Identificação de diretrizes estratégicas Alinhamento com o PETI / PDTI Levantamento da legislação e normas aplicáveis Classificação de informações Planos e políticas em vigor Normas e melhores práticas -> exemplo: família NBR ISO Segurança da informação e não de TI, apenas

8 Fonte: Apresentação realizada pela empresa Módulo

9 Fonte: Gartner (Maio de 2008)

10 Fonte: Gartner (Maio de 2008)

11 PESI Atividades: Mapeamento de Ativos: Mapeamento de ameaças e riscos
Processos críticos Sistemas que suportam processos críticos Ativos de informação e infra que suportam sistemas críticos Nível de criticalidade de sistemas, processos e ativos em função da sua relevância para o negócio Mapeamento de ameaças e riscos Incidentes e vulnerabilidades conhecidas e incidentes potenciais Mapeamento de ações corretivas e seus responsáveis Análise de Riscos (ISO ) genérica – não desce a detalhes dos ativos de TI

12 PESI Atividades: Mapa dos principais domínios de risco
Composição (processos e ativos), relevância para o negócio e sumário Definição dos riscos que serão mitigados/tratados – com priorização - e dos que serão aceitos e identificação daqueles que já são evitados -> melhoria contínua Base quantitativa – análise de risco Apresentar o PESI Revisá-lo com a gestão da organização Formalizar adoção do PESI, após aprovação Divulgar o PESI Seminário de sensibilização, com participação da Alta Administração

13 AVALIAÇÃO DO NÍVEL DE MATURIDADE DE SEGURANÇA DA INFORMAÇÃO
Fonte: Gartner (Setembro de 2010)

14 PESI Entregáveis: Resumo da análise de risco executada
Inserção institucional da Segurança da Informação Estrutura de governança Comitê Gestor Responsabilidades/atribuições Dimensionamento de equipes Recomendações de capacitação Definição de um Plano de Ação Ações emergenciais e projetos X tempo Curto, médio, longo prazo Descrição, justificativa, responsabilidades e estimativas de prazo, esforço e custo

15 PESI Pontos de atenção: Considerar todos os investimentos e custos:
Planejamento Projetos Manutenção da área de Segurança da Informação Avaliar a possibilidade de adoção de medidas mesmo antes da conclusão do PESI Análise de vulnerabilidades Testes de invasão Análise de vulnerabilidades no código de aplicações Justificativa: ataques realizados recentemente a sites (sítios) e bases de dados de órgãos públicos

16 Fonte: Apresentação realizada pela empresa Cipher

17 PCN Escopo: Entregáveis: Definir desastre
Entrevistas e avaliação de impacto de desastres com a Alta Administração Normas BS e NBR 15999 Entregáveis: Política diretrizes para outsourcing de continuidade detecção precoce resposta Avaliação da maturidade em continuidade de negócios Processo de Gestão de Continuidade Análise de Riscos Business Impact Analysis Estratégia de continuidade

18 AVALIAÇÃO DO NÍVEL DE MATURIDADE DE CONTINUIDADE DE NEGÓCIOS
Fonte: Gartner (Setembro de 2010)

19 PCN Entregáveis: Planos de contingência: Planejamento de testes
Administração de crises Continuidade opercional de processos e serviços de TIC Recuperação de ativos e serviços de TIC Gerência de Incidentes Planejamento de testes Capacitação/Divulgação – GCN/PCN Auditoria e testes periódicos

20 Fonte: Apresentação realizada pela empresa Módulo

21 PCN Pontos de Atenção: Investimentos no projeto e implementação
Custeio para operação, manutenção e evolução da continuidade Realizar o projeto em etapas – exemplo: deixar a discussão de testes e estratégia para uma segunda etapa

22 CONTRATAÇÃO Quadro Referencial Normativo
Dissertação de Mestrado UCB 2008 GOVERNANÇA DE TI E CONFORMIDADE LEGAL NO SETOR PÚBLICO: UM QUADRO REFERENCIAL NORMATIVO PARA A CONTRATAÇÃO DE SERVIÇOS DE TI. Autor: Cláudio Silva da Cruz

23

24

25

26 CONTRATAÇÃO Como contratar?
MP-ES – Pregão eletrônico para Registro de Preços BNDES (apenas GCN) – Concorrência por técnica e preço CFM – Tomada de Preços por técnica e preço

27 CONTRATAÇÃO Critérios para pontuação técnica Possibilidades:
Prazo de entrega Suporte a serviços Qualidade Padronização Compatibilidade Desempenho

28 CONTRATAÇÃO Critérios para pontuação técnica – exemplos (BNDES):
Desempenho – atestados comprovando execução de projetos de GCN pelas empresas Pontuação adicional – Inst. Fin./< 4anos/Testes/Certific. (ISO 27001, ou BS 25999, ou NBR 15999)

29 CONTRATAÇÃO Critérios para pontuação técnica – exemplos (BNDES):
Qualidade – declaracões comprovando experiência de profissionais em projetos de GCN Pontuação adicional – Inst. Fin./<4 anos/Testes/Cert. (CBCP/MBCI)

Carregar ppt "Plano Estratégico de Tecnologia da Informação – PESI Plano de Continuidade de Negócios - PCN COGEF ARP GT-4 20/09/2011."

Apresentações semelhantes

GESTÃO EM TECNOLOGIA DA INFORMAÇÃO

GESTÃO EM TECNOLOGIA DA INFORMAÇÃO
Sistema Estadual de informática de Governo e ATI

Sistema Estadual de informática de Governo e ATI
PREMISSAS VER&ENA Dar autonomia ao Cliente

PREMISSAS VER&ENA Dar autonomia ao Cliente
Administração e segurança de redes

Administração e segurança de redes
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO

GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
PETI Planejamento Estratégico de TI

PETI Planejamento Estratégico de TI
Segurança da Informação

Segurança da Informação
Gerenciamento da Integração

Gerenciamento da Integração
COMITÊ GESTOR GAT Implantação-piloto da nova ART e do Módulo SIC-ART

COMITÊ GESTOR GAT Implantação-piloto da nova ART e do Módulo SIC-ART
Leonardo José Schettino Peixoto da Receita Federal do Brasil

Leonardo José Schettino Peixoto da Receita Federal do Brasil
Painel nº 2 04 anos da IN nº 02/2008/SLTI – Avaliação dos impactos de uma nova proposta de gestão contratual.

Painel nº 2 04 anos da IN nº 02/2008/SLTI – Avaliação dos impactos de uma nova proposta de gestão contratual.
Implementação de Sistemas

Implementação de Sistemas
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
A MODELAGEM DE PDTI PARA O SETOR PÚBLICO ORIENTADO PARA RESULTADOS

A MODELAGEM DE PDTI PARA O SETOR PÚBLICO ORIENTADO PARA RESULTADOS
SEPLAG Projeto Gestão de Viagens

SEPLAG Projeto Gestão de Viagens
Metodologia da pesquisa científica FGV 2011

Metodologia da pesquisa científica FGV 2011
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ
Estudo de caso Construindo um programa de segurança usando ISO 27001

Estudo de caso Construindo um programa de segurança usando ISO 27001
Paulo Silva Tracker Segurança da Informação

Paulo Silva Tracker Segurança da Informação
Gestão de Projetos.

Gestão de Projetos.

Apresentações semelhantes

Anúncios Google