Sistema de Gestão de Segurança da Informação

Cada vez mais no mundo dos negócios percebe-se, nitidamente, a importância de se proteger as informações de uma organização em relação aos seus três principais componentes, que são a confidencialidade a integridade e a disponibilidade.

A informação é um dos ativos de grande importância para a organização e que, portanto, precisa ser muito bem protegida.

Vivemos atualmente em um mundo online onde a informação, cada vez mais, está exposta a um elevado número de ameaças e vulnerabilidades.

Ao implantar um modelo de gestão da segurança da informação baseado nas melhores práticas existentes no mercado, como a norma NBR ISO IEC 17799, as organizações protegem as suas informações das ameaças e vulnerabilidades, assegurando com isto a continuidade dos seus negócios e minimizando os riscos a que estão expostas.

Esta proteção é feita a partir da implementação dos controles definidos na norma NBR ISO IEC 27002. A depender da situação, outros controles além dos definidos na norma, poderão também ser implementados.

O que é ISO?

• A ISO – “International Organization for Standardization” é uma organização sediada em Genebra, na Suiça. Foi fundada em 1946.
• A sigla ISO foi originada da palavra isonomia.
• O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.
• Cerca de 111 países integram esta importante organização internacional, especializada em padronização, cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de
• Normas Técnicas – ABNT.

Razões para adotar a ISO 27002

• Governança Corporativa;
• Melhoria da eficácia da Segurança da Informação;
• Diferencial de mercado;
• Atender os requisitos de partes interessadas e dos clientes;
• Única norma com aceitação global;
• Redução potencial no valor do seguro;
• Focada nas responsabilidades dos funcionários;
• A norma cobre TI bem como a organização, pessoal e instalações;
• Conformidade com as legislações.

Dificuldades de Implementação um sistema de SGSI

• Dificuldade na definição do escopo
• Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco
• Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma
• Designação da área de TI como responsável por desenvolver o projeto
• Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na norma
• Falta de ação para identificar e usar controles fora da norma
• Limitação de orçamento

Benefícios da Implementação da ISO 27002

• Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos;
• Oportunidade de identificar e corrigir pontos fracos;
• A alta direção assume a responsabilidade pela segurança da informação;
• Permite revisão independente do sistema de gestão da segurança da informação;
• Oferece confiança aos parceiros comerciais, partes interessadas, e clientes;
• Melhor conscientização sobre segurança;
• Combina recursos com outros Sistemas de Gestão;
• Mecanismo para se medir o sucesso do sistema.

Meta da NBR ISO/IEC 27002

Salvaguardar a Confidencialidade, Integridade e Disponibilidade das informações Escrita, Falada e Eletrônica.

O que é Informação?

“Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente necessita ser adequadamente protegido.”

O que é Confidencialidade?

Assegurar que a informação é acessível somente às pessoas autorizadas.

O que é Integridade?

Proteger a exatidão e complexidade da informação e dos métodos de processamento.

Funções do Escritório de Projetos

 Normatização

–     Metodologia

• Estudo das best practices
• Definição da estrutura metodológica
• Ajustes da metodologia

–     Técnicas

• Definição das técnicas disponíveis para as fases da metodologia
• Ajustes na utilização das técnicas

–     Ferramentas

• Definição das ferramentas disponíveis para suportar as técnicas e metodologia definidas
• Ajustes na utilização das ferramentas

–     Templates

• Desenvolvimento de templates padrões, alinhados a estrutura metodológica, técnicas e ferramental disponíveis
• Ajustes nos templates padrões

Educação

–     Estratégia

• Avaliação da maturidade das equipes
• Definição da estratégia de evolução da equipe do projeto

–     Treinamento

• Planejamento e desenvolvimento dos treinamentos na metodologia, técnicas e habilidades, ferramentas e templates

–     Suporte

• Apoio às equipes em ações preventivas e corretivas na utilização da metodologia, técnicas e habilidades, ferramentas e templates

 Operação

–     Carteira de Projetos

• Estudo de viabilidade dos projetos
• Avaliação da carteira de projetos e apoio a tomada de decisão dos projetos a serem desenvolvidos

–     Riscos

• Apoio a identificação dos riscos dos projetos
• Apoio a criação de plano de tratamento dos riscos

–     Plano de trabalho

• Apoio a construção dos planos de projeto (Gestão de escopo; gestão do tempo; gestão dos custos; gestão da qualidade; gestão de recursos humanos; gestão de comunicação; gestão de risco; e gestão de contratos e suprimentos)
• Atualização dos planos de trabalho, disponibilizando os relatórios e comunicações previstas no plano de comunicação

–     Administração de repositório

• Disponibilização de infra-estrutura para registro das informações de projeto
• Disponibilização de relatórios e análises das informações dos projetos
• Consolidação e disponibilização de relatórios e análises das informações dos projetos

–     Gestão do projeto

• Disponibilização de gestores com conhecimentos metodológicos, técnicos e ferramentais para condução dos projetos

Controle

–     Performance dos projetos

• Definição e implementação de indicadores de performance
• Definição de estrutura de causa e efeito entre os indicadores (BSC)
• Disponibilização de painel de controle com os indicadores de performance

–     Metodologia, ferramentas e técnicas

• Verificação e validação da utilização das metodologia, técnicas e ferramentas oficiais

–     Lições aprendidas

• Registro, organização e divulgação das lições aprendidas nos projetos
• Disponibilização de informações para normatização e planejamento educacional

–     Performance das equipes

• Condução do processo de avaliação da performance dos gestores de projetos, equipe e funções do project office
• Disponibilização de informações para normatização e planejamento educacional

 

Conceitos Iniciais

Projeto

Um projeto é um empreendimento com características próprias, tendo princípio e fim, conduzido por pessoas, para atingir metas estabelecidas dentro de parâmetros de prazo, custo e qualidade.

Um projeto é um empreendimento temporário cujo objetivo é criar um produto ou serviço distinto e único. 

Programas

Um programa é um conjunto de projetos gerenciados de forma coordenada para obter benefícios, não possíveis com gerenciamento individual. 

Portfólio de Projetos

Refere-se a seleção e apoio na seleção de projetos ou programas, em acordo com o plano estratégico da empresa e limitações de recursos. 

Stakeholder

É alguém cujos interesses são afetados positiva ou negativamente pelo projeto. Ex:

• Gerente de Projeto.
• Cliente.
• Organização executora do projeto.
• Patrocinador.
• Equipe.
• Usuários finais.
• Sociedade, cidadãos.
• Etc. 

Patrocinador (Sponsor)       

Investidores, diretores, supervisores de alta gerência, clientes (externo e internos), etc. É a pessoa que dá cobertura política e fornece apoio ao projeto junto a alta gerência. Pode ser a pessoa que libera a verba do projeto e/ou que auxilia a fixação da autoridade do Gerente de Projeto. Sponsor é quem delega poderes ao Gerente de Projeto.

O patrocinador é que assina o Project Charter. 

Gerente de Projetos (Project Manager)

É a pessoa responsável pelo gerenciamento do projeto. O gerente do projeto deve:

• Ser pró-ativo.
• Ter a autoridade para dizer não quando necessário.
• Entender de responsabilidade profissional.
• Estar no comando do projeto, mas não necessariamente dos recursos.
• Não dever ser, necessariamente, um especialista técnico. 

Escritório de Gerenciamento de Projetos (Project Management Office)

Estrutura organizacional de apoio aos projetos podendo assumir diversos papeis e responsabilidades.

• Centro de excelência
• Gerência de portfólio
• Pool de gestores

Garantia e controle da qualidade dos projetos

Por que um projeto falha?

Um projeto pode gerar vários benefícios, mas muitas vezes os projetos falham, ou não atingem os resultados esperados. Muitas falhas decorrem dos obstáculos naturais, pois estão fora do controle do gerente do projeto. São eles:

• Mudanças na estrutura organizacional da empresa;
• Mudanças na tecnologia;
• Evolução nos preços e prazos;
• Complexidade encontrada no projeto.
• Outras vezes, as causas dos insucessos são decorrentes de falhas gerenciais, que podem ser evitadas, tais como:
• Metas e objetivos mal estabelecidos;
• O projeto inclui muitas atividades e muito pouco tempo para realizá-las;
• estimativas financeiras incompletas;
• O projeto é baseado em dados inadequados ou insuficientes, deixando em segundo plano os dados históricos de projetos similares e, até mesmo análises estatísticas efetuadas;
• Não foi destinado tempo para as estimativas e o planejamento;
• Não se conheciam as necessidades de pessoal, equipamentos e materiais.
• Ninguém verificou se as pessoas envolvidas nas atividades tinham conhecimento necessário para executá-las;

Cabe ao gerente de projeto e à sua equipe controlar as possibilidades de insucessos mencionadas.

Benefícios da Gestão de Projetos

• Evitar surpresas durante a execução dos trabalhos;
• Otimizar a alocação de pessoas, equipamentos e materiais necessários;
• Documentar e facilitar as estimativas para futuros projetos. 

Um projeto bem sucedido é aquele que é realizado conforme o planejado.

• O projeto ficar abaixo do orçamento previsto
• O projeto terminar mais rápido
• O projeto consumir menos materiais e pessoas
• O cliente ser surpreendido pela qualidade do resultado do projeto
• O projeto gastou menos recursos do que o previsto
• …pode ter ocorrido uma falha no planejamento que permitiu que os recursos fossem superestimados e, não uma vitória da economia. 

Características técnicas de um projeto bem sucedido:

• Ser concluído dentro do tempo previsto;
• Ser concluído dentro do orçamento previsto;
• Ter utilizado os recursos (materiais, equipamentos e pessoas) eficientemente, sem desperdícios;
• Ter atingido a qualidade e a performance desejada.

Gerenciamento de Projeto

Aplicação de conhecimentos, habilidades, ferramentas e técnicas com o objetivo de atender ou exceder as necessidades e expectativas dos Stakeholders.

Gerenciar projetos envolve tomar decisões sobre:

• Escopo, Tempo, Custo e Qualidade.
• Diferentes necessidades e expectativas dos clientes e partes interessadas.
• Requisitos identificados (necessidades) e não identificados (expectativas).

Cenário Atual

Nas últimas décadas, o mundo tem passado por profundas e aceleradas transformações sociais, econômicas e culturais influenciadas, principalmente, pelas conseqüências da globalização econômica, das redefinições geopolíticas e do avanço científico e tecnológico. Entre as várias conseqüências dessas transformações está o acirramento acentuado da concorrência no ambiente empresarial.

Nesse contexto altamente competitivo, a agilidade, a facilidade de adaptação e implementação de estratégias e a capacidade de oferecer novos produtos e serviços tornam-se vantagens importantes e, em alguns segmentos, pré-requisitos para a sobrevivência das empresas. A inovação e os empreendimentos que visam ao desenvolvimento da inovação, seja ela um novo produto, processo ou serviço, devem estar na agenda dos executivos, juntamente com o entendimento das mudanças do ambiente empresarial e o planejamento das ações necessárias para responder a essas mudanças ou influenciá-las.

Em virtude desse cenário, alguns fatores críticos ou exigências para o sucesso se destacam: a agilidade, a capacidade de adaptação, o poder de inovar de forma rápida e eficiente, e o potencial de aprimoramento contínuo sob grandes restrições de recursos. Em resposta a essas exigências, fortalecem-se os sistemas de gerenciamento de projetos, como forma de gerir os empreendimentos temporários, únicos e multifuncionais, que caracterizam o processo de implementação de estratégias, inovação, adaptação e aprimoramento.

As ações de implementação da estratégia sempre podem ser traduzidas em projetos e administradas como tal, com prazo, escopo, produtos e qualidade definidos. A figura a seguir ilustra a transformação de oportunidades organizacionais em ações estratégicas e sua implementação em projetos: