Antônio Carlos Pereira de Britto. Estudo do Gerenciamento de Projeto Baseado no PMBOK para a Implantação da Gestão da Segurança.

Tamanho: px
Começar a partir da página:

Download "Antônio Carlos Pereira de Britto. Estudo do Gerenciamento de Projeto Baseado no PMBOK para a Implantação da Gestão da Segurança."

Transcrição

1 Antônio Carlos Pereira de Britto Estudo do Gerenciamento de Projeto Baseado no PMBOK para a Implantação da Gestão da Segurança da Informação e Comunicação na Administração Pública Federal Brasília 15 de fevereiro de 2009

2 Antônio Carlos Pereira de Britto Estudo do Gerenciamento de Projeto Baseado no PMBOK para a Implantação da Gestão da Segurança da Informação e Comunicação na Administração Pública Federal Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes Universidade de Brasília UnB Departamento de Ciência da Computação Brasília 15 de fevereiro de 2009

3 i Monografia de Especialização defendida sob o título Estudo do Gerenciamento de Projeto Baseado no PMBOK para a Implantação da Gestão da Segurança da Informação e Comunicação na Administração Pública Federal, defendida por Antônio Carlos Pereira de Britto e aprovada em 15 de dezembro de 2008 em Brasília DF, pela banca examinadora constituída pelos professores e pesquisadores: Prof. Dr. Jorge Henrique Cabral Fernandes Orientador Prof. Mestre Gilberto de Oliveira Neto SERPRO Prof. Mestre João José Costa Gondim Universidade de Brasília Prof. Dr. Jorge Henrique Cabral Fernandes Coordenador do Curso

4 ii Dedicatória Dedico este trabalho, primeiramente, aos meus familiares, que acreditaram no fruto do meu esforço, em especial a Dona Catharina, pelos ensinamentos dos valores por mim incorporados: o da temperança e o da perseverança, a substância de todo o trabalho intelectual e sobre os quais eu concebi essa pesquisa. Dedico também, com especial apreço, ao Centro de Pesquisa e Desenvolvimento para Segurança das Comunicações (CEPESC), na integralidade de todos os colegas e amigos que me brindaram com a competência, o profissionalismo e a amizade, desta forma, trazendo-me a essa necessária reflexão: Breve é a vida e longa é a arte; a ocasião é fugaz; a experiência é enganosa, o julgamento é difícil. Hipócrates

5 iii Agradecimentos A minha mãe D. Catharina, familiares e amigos que compreenderam as minhas ausências em importantes momentos do convívio íntimo que subtraí em favor desse trabalho, pois o tempo não pára, e mesmo assim, retribuíram com o estímulo e a serenidade que necessitei durante todo o meu percurso no Curso de Gestão da Segurança da Informação e Comunicação (CGSIC) Ao Professor Dr. Jorge Henrique Cabral Fernandes pela forma diligente e paciente com que me fez evoluir desde o inicio das primeiras linhas dessa monografia, e, principalmente, pela forma sábia e profissional com que conduziu toda o CGSIC A Otávio Carlos Cunha da Silva, amigo e colega, Diretor do Centro de Pesquisa e Desenvolvimento para Segurança das Comunicações (CEPESC), que me motivou para esse importante passo profissional, fornecendo o suporte para o sucesso dessa jornada. Ao Professor Mestre João José Costa Gondim pelo auxilio metodológico no conjunto da obra. Ao Professor Mestre João Alberto Pincovscy pela orientação e o decisivo aclaramento das questões teóricas e técnicas da utilização do PMBOK, com especial apreço. Ao Professor Adam Victor Nazareth Brandizzi pela orientação metodológica e auxílio técnico no LATEX. Por fim, mas não menos importante, a todos aos colegas com que convivi no CGSIC 2007 que me fizeram crescer pessoalmente e ver que a jornada apenas começou e nunca estamos sozinhos. Obrigado a todos.

6 iv Há uma teoria que diz que se um dia alguém descobrir exatamente qual é o propósito do Universo e por que ele está aqui ele desaparecerá instantaneamente e será substituído por algo ainda mais bizarro e inexplicável. Há uma outra teoria que diz que isso já aconteceu. ADAMS, Douglas Noel, Um Restaurante no Fim do Universo.

7 v Resumo A Gestão da Segurança da Informação e Comunicação (GSIC) é hoje um dos pilares do Modelo de Governança de Tecnologia da Informação (TI), e é responsável por assegurar a disponibilidade, integridade, autenticidade e confidencialidade das informações da Sociedade e do Estado. Um Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC) deve ser utilizado na Administração Pública Federal (APF) para satisfazer os critérios técnicos de segurança da informação e as obrigações legais, e principalmente como forma de atender aos requisitos para a preservação do valor intrínseco da informação em uso na APF. Esta monografia propõe a abordagem do Gerenciamento de Projetos baseada nas orientações do Guia Project Management Body of Knowledge (PMBOK), criado pelo Project Management Institute (PMI), como forma de viabilizar a implementação do MG- SIC na APF. O modelo considerado para a implementação foi o proposto pelo Grupo de Trabalho Metodologia 2005 (GT-2005), instituído pelo DSIC/GSI, do qual o autor participou quando da coordenação dos trabalhos do GT pelo CEPESC nos anos de 2005 e O modelo do GT-2005 é aderente ao conjunto de Normas 27000, sendo que o GT-2005 usou uma abordagem holística e sistêmica que leva à visão da Governança de TI para a fundamentação do MGSIC. Esta monografia relaciona dois modelos: o PMBOK para o Gerenciamento de Projetos e o Modelo de Gestão da Segurança da Informação e Comunicação do GT-2005, propondo uma abordagem orientada ao projeto na implantação do MGSIC na APF. Palavras-Chaves: Gestão da Segurança da Informação e Comunicação, Governança de TI, Modelos de Referência para a Gestão da Segurança da Informação e Comunicação, Modelo de Gestão da Segurança da Informação e Comunicação, APF, DSIC/GSI, Grupo de Trabalho Metodologia 2005, Gerenciamento de Projetos, Ciclo PDCA, PMBOK e ISO/IEC

8 vi Abstract The use of the Information and Communication Security Management System (ICSMS) is today an area of knowledge of IT Governance, and it is responsible for assuring the availability, integrity, authenticity and confidentiality of the information of the Society and the State, so as to meet the requirements for the preservation of the intrinsic value of the information. A model such as the Information and Communication Security Management System Model (ICSMSM) must be used in the Federal Public Administration (FPA). This study considers the approach of the Project Management based in the guidelines of the PMBOK Guide, so as to make possible the implementation of Information and Communication Security Management System Model (ICSMSM) in the Brazilian FPA. The mentioned model was developed by the Methodology Work Group (or Task Force) 2005 (GT Methodology 2005), instituted by the DSIC/GSI. A group in which the author participated during the coordinated work of the WG for CEPESC in the years 2005 and The model is in accordance to ISO/IEC family of norms; therefore, the WG uses a holistic and systemic approach that considers security inside the broader vision of IT Governance. This monograph proposes the join adoption both models: PMBOK for Project Management and ISO/IEC for Management of Security of Information and Communication considering the project approach for the implementation of the ICSMSM deliberated by the GT-Methodology Keywords: Management of the Security of the Information and Communication Model, FPA, DSIC/GSI, Group Work Methodology 2005, Project Management, PMBOK, IT Governance and ISO/IEC

9 vii Sumário Dedicatória p. ii Agradecimentos p. iii Resumo p. v Abstract p. vi Lista de Abreviaturas e Siglas p. xiii Lista de Tabelas p. xviii Lista de Figuras p. xix 1 Introdução p. 1 2 Requisitos Pré-pesquisa p Objetivos p Objetivo Geral p Objetivos Específicos p Justificativa p Metodologia p Classificação da Pesquisa p Percurso Metodológico p. 7 3 A Gestão da Segurança da Informação e Comunicação na APF p. 9

10 viii 3.1 Os Antecedentes Históricos p A Segurança da Informação e Comunicação p A Proteção da Infra-estrutura Crítica p A Gestão da Segurança da Informação e Comunicação p O Modelo de Gestão de Segurança p A Gestão do Risco no Modelo de GSIC p A Governança de TI e a GSIC p A Abordagem do PMBOK para o Gerenciamento de Projetos p O Guia PMBOK p Os Conceitos do PMBOK p As Áreas de Conhecimento do PMBOK p O Gerenciamento da Integração p O Gerenciamento de Escopo p O Gerenciamento de Tempo p O Gerenciamento de Custos p O Gerenciamento de Qualidade p O Gerenciamento de Recursos Humanos p O Gerenciamento das Comunicações p O Gerenciamento de Riscos p O Gerenciamento de Aquisições p A Restrição Tripla dos Projetos p O Gerenciamento de Programas p O Gerenciamento de Portfólio de Projetos p O Escritório de Gerenciamento de Projetos p Os Processos do Gerenciamento do Projeto p Os Ciclos do Gerenciamento de Projeto p. 39

11 ix 5 Modelos de Referência para a Gestão da Segurança da Informação e Comunicação p O Modelo de Referência da SLTI p A estrutura do modelo p Os serviços primários p Os serviços secundários p A estratégia para a implantação p A estratégia de segurança de informação p Considerações sobre a utilização do MR-SI da SLTI p O Modelo de Referência do NI-DSIC p A estrutura do modelo p A nota semântica: informação & comunicação p As funções e os processos do modelo p A estratégia para a implementação p Os princípios de implementação p O MR-GSIC do NI-DSIC e a auditoria do TCU p Considerações sobre a utilização do MI-GSIC do NI-DSIC.... p O Modelo de Referência do GT p A estrutura do modelo p Os pressupostos de trabalho do GT p O modelo e a metodologia de implantação p O Ciclo PDCA p Diretivas para a implantação p Os controles de segurança selecionados p Considerações sobre o Modelo de Referência do GT p O Gap Conceitual na Implantação do SGSIC p O Mapeamento PMBOK e o Ciclo PDCA p. 65

12 x O Roteiro da Metodologia do GT-2005 no Ciclo PDCA p O Mapeamento do Projeto nas Áreas de Conhecimento do PMBOK... p A Fase de Iniciação p A Fase Planejamento p A Fase de Execução p A Fase de Encerramento p Os Principais Documentos de Projeto p Gerenciamento da Integração p Gerenciamento de Escopo p Gerenciamento de Tempo p Gerenciamento de Custos p Gerenciamento de Qualidade p Gerenciamento de Recursos Humanos p Gerenciamento de Comunicações p Gerenciamento de Riscos p Gerenciamento de Aquisições p Considerações Finais p Sugestões de Trabalhos Futuros p. 87 Índice Remissivo p. 88 Referências Bibliográficas p. 90 Glossário p. 93 Glossário p p. 93 A p. 93

13 xi C p. 93 D p. 94 E p. 95 F p. 97 G p. 98 I p. 98 M p. 99 N p. 99 O p. 99 P p. 99 Q p. 101 R p. 101 S p. 102 T p. 103 V p. 104 Apêndice A -- A Criação GT-2005 p. 105 A.1 Os Objetivos do GT p. 105 A.2 A Composição do Grupo de Trabalho p. 105 Apêndice B -- A Estratégia de Processo do Modelo do GT-2005 p. 108 B.1 Planejar ( Plan ) Estabelecer o SGSIC p. 109 B.2 Fazer ( Do ) Implementar e Operar o SGSIC p. 110 B.3 Checar ( Check ) Monitorar e Revisar o SGSIC p. 110 B.4 Agir ( Act ) Manter e Melhorar o SGSIC p. 111 Apêndice C -- Casos do Mapeamento do PMBOK p. 112 C.1 A Implementação do Método OCTAVE p. 112

14 xii C.1.1 O mapeamento OCTAVE com o Guia PMBOK p. 114 C.2 A Implantação da Metodologia p. 114 C.2.1 Objetivos da p. 115 C.2.2 As premissas da p. 116 C.2.3 A estrutura da p. 117 C.2.4 Os resultados obtidos p. 118 Anexo A -- Instrução Normativa GSI/PR nº 1, de p. 120 Anexo B -- Portaria nº 33, de 13 de Outubro de 2008 p. 125 Anexo C -- Portaria nº 34, de 13 de Outubro de 2008 p. 131

15 xiii Lista de Abreviaturas e Siglas Abin Agência Brasileira de Inteligência ABNT Associação Brasileira de Normas Técnicas AGU Advocacia Geral da União APF Administração Pública Federal ANSI American National Standards Institute BSC Balanced Scorecard CASNAV Centro de Análises de Sistemas Navais CEPESC Centro de Pesquisa e Desenvolvimento para Segurança das Comunicações CGSI Comitê Gestor de Segurança da Informação CGSIC Curso de Gestão da Segurança da Informação e Comunicação CGTI Coordenação Geral de Tecnologia da Informação CGU Controladoria-Geral da União CMMI Capability Maturity Model Integration CMU Carnegie Mellon University COBIT Control Objectives for Information and Related Technology CTIR-Gov Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal CT-STI Câmara Técnica de Segurança da Tecnologia da Informação CWBS Contract Work Breakdown Structure DoS Denial of Service

16 xiv DPF Departamento de Polícia Federal DEAP Dicionário da Estrutura Analítica do Projeto DSIC Departamento de Segurança da Informação e Comunicações e-ping Padrões de Interoperabilidade de Governo Eletrônico do Brasil EAP Estrutura Analítica do Projeto EAPC Estrutura Analítica do Projeto Contratado EARc Estrutura Analítica dos Riscos EARP Estrutura Analítica do Resumo do Projeto EARs Estrutura Analítica dos Recursos ESI Estratégia de Segurança da Informação FPA Federal Public Administration escm-sp The esourcing Capability Model for Service Providers escm-cl The esourcing Capability Model for Client Organizations GP Gerenciamento de Projetos GRC Governança, Risco e Conformidade GSI Gabinete de Segurança Institucional GSIC Gestão da Segurança da Informação e Comunicação GT Grupo de Trabalho GTs Grupos de Trabalhos GT-2005 Grupo de Trabalho Metodologia 2005 GT-CGSI Grupo de Trabalho do Comitê Gestor da Segurança da Informação GTE Grupo de Trabalho e Estudo GTI Gerência de Tecnologia da Informação ICSMS Information and Communication Security Management System

17 xv ICSMSM Information and Communication Security Management System Model ICP-Brasil Infra-estrutura de Chaves Públicas Brasileira IEC International Electrotechnical Commission IN Instrução Normativa ITI Instituto Nacional de Tecnologia da Informação ISO International Standardization Organization ITIL Information Technology Infrastructure Library MBA Master in Business Administration MCT Ministério da Ciência & Tecnologia MD Ministério da Defesa MGSI-APF Modelo de Gestão de Segurança da Informação para APF MI2C Metodologia para Identificação de Infra-estrutura Crítica MGSIC Modelo de Gestão de Segurança da Informação e Comunicação MI-GSIC Modelo de Implantação da Gestão de Segurança da Informação e Comunicação MINICOM Ministério das Comunicações MJ Ministério da Justiça MPOG Ministério do Planejamento, Orçamento e Gestão MR Modelo de Referência MR-GSIC Modelo de Referência para a Gestão da Segurança da Informação e Comunicação MRE Ministério das Relações Exteriores MR-SI Modelo de Referência para a Segurança da Informação MR-SIC Modelo de Referência para a Segurança da Informação e Comunicação NBR Norma Brasileira

18 xvi NI-DSIC Núcleo de Implantação, Departamento de Segurança da Informação e Comunicação NIST National Institute of Standard and Technology OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation OGU Orçamento Geral da União OPM3 Organizational Project Management Maturity Model P&D Plan and Do P3M3 Portfolio, Programme & Project Management Maturity Model PMBOK Project Management Body of Knowledge PMI Project Management Institute PMO Escritório de Gerenciamento de Projetos ou Project Management Office PMP Project Management Professional PMP Project Management Programs PRINCE2 Project in Controlled Environment PSI Política de Segurança da Informação PSIC Política de Segurança da Informação e Comunicação PSIPE Política de Segurança da Informação do Poder Executivo Federal PSWBS Project Summary Work Breakdown Structure eping Padrões de Interoperabilidade de Governo Eletrônico PDCA Plan-Do-Check-Act PNPC Plano Nacional de Proteção ao Conhecimento PR Presidência da República RH Recursos Humanos Metodologia de Avaliação de Risco do Governo Federal

19 xvii RBSr Risk Breakdown Structure RBSs Resource Breakdown Structure SAS 70 Statement on Auditing Standards for Services Organizations SECDN Secretaria-Executiva do Conselho de Defesa Nacional SEI Software Engeneering Institute SERPRO Serviço Federal de Processamento de Dados SGSI Sistema de Gestão da Segurança da Informação SGSIC Sistema de Gestão da Segurança da Informação e Comunicação SI Segurança da Informação SIC Segurança da Informação e Comunicação SISG Serviços Gerais SIGP Sistema de Informações do Gerenciamento de Projetos SISNAC Sistemas de Informação sobre Nascidos Vivos SISP Sistemas de Administração dos Recursos de Informação e Informática SLTI Secretaria Logística e Tecnologia de Informação TI Tecnologia da Informação TIC Tecnologia da Informação e Comunicação TCU Tribunal de Contas da União TOGAF The Open Group Architecture Framework UNIEURO Centro Universitário Euro-americano WBS Work Breakdown Structure WBSD Work Breakdown Structure Dictionary WG Work Group or Task Force

20 xviii Lista de Tabelas 3.1 Principais modelos de melhores práticas (FERNANDES; ABREU, 2008) p Tabela funções e agentes no MR-GSIC p. 53

21 xix Lista de Figuras 3.1 Mapa conceitual do risco à infra-estrutura crítica p Conjunto de conhecimento em gerência de projetos (PMI, 2004a)..... p A relação entre as fases do projeto (PMI, 2004a) p Mapa mental do Gerenciamento da Integração (PMI, 2004a) p Mapa mental do Gerenciamento de Escopo (PMI, 2004a) p Mapa mental do Gerenciamento de Tempo (PMI, 2004a) p Mapa mental do Gerenciamento de Custos (PMI, 2004a) p Mapa mental do Gerenciamento da Qualidade (PMI, 2004a) p Mapa mental do Gerenciamento de Recursos Humanos (PMI, 2004a).. p Mapa mental do Gerenciamento das Comunicações (PMI, 2004a)..... p Mapa mental do Gerenciamento de Riscos (PMI, 2004a) p Mapa mental do Gerenciamento de Aquisições (PMI, 2004a) p Processos de monitoramento e controle (PMI, 2004a) p Dinâmica operacional da Câmara Técnica (MACHADO; BEZERRA; LIMA, 2000) p Representação da Estratégia de Segurança de Informação (MACHADO; BEZERRA; LIMA, 2000) p Suporte à estratégia de segurança de informação (MACHADO; BE- ZERRA; LIMA, 2000) p Estratégia de Implementação (NI-DSIC, 2005) p Ciclo PDCA (GT-2005, 2006) p Representação do gap da implantação do Sistema de Gestão da Segurança da Informação e Comunicação (SGSIC) p. 65

22 xx 6.2 Representação do mapeamento do PMBOK e o gap de implantação do SGSIC p Principais documentos do plano de projeto (PMI, 2004a) p Fluxograma de processos nas áreas de conhecimento (PMI, 2004a).... p Documentos do Gerenciamento da Integração (VARGAS, 2007)..... p Exemplo do formato do Gráfico de Gantt p Fluxo do Sistema de Controle Integrado de Mudanças (VARGAS, 2007). p Documentos da Gerenciamento de Escopo (VARGAS, 2007) p Exemplo do formato da EAP Analítica p Exemplo do formato da Estrutura Analítica do Projeto (EAP) Hierárquica p Dicionário da EAP no Microsoft Project p Documentos da Gerência de Tempo (VARGAS, 2007) p Formato da Lista de Atividades com Duração p Formato da Lista de Recursos p Documentos do Gerenciamento de Qualidade (VARGAS, 2007) p Documentos da Gerenciamento de Recursos Humanos (VARGAS, 2007). p Formato da Listagem de Recursos Humanos (VARGAS, 2007) p Documentos da Gerência de Comunicações (VARGAS, 2007) p Documentos da Gerência de Riscos (VARGAS, 2007) p. 84 A.1 Diagrama esquemático da metodologia de trabalho do GT p. 107 B.1 Modelo PDCA aplicado aos processos do SGSI p. 109 C.1 Paradigma do gerenciamento de risco (CMU/SEI, ) p. 114 C.2 Principais fases da OCTAVE (ALBERTS; DOROFEE, 2001) p. 115 C.3 Áreas de influência do Método OCTAVE (BRITTO; PINCOVSCY, 2008) p. 116 C.4 Modelo de Gestão de Risco (CICCO, 2004) p. 117 C.5 Relacionamentos entre elementos do risco (BRITTO; SOUSA; PIN- COVSCY, 2008) p. 117

23 C.6 Fases da metodologia (BRITTO; SOUSA; PINCOVSCY, 2008)..... p. 118 xxi

24 1 1 Introdução A informação e as comunicações são elementos essenciais e fatores críticos de sucesso para a competitividade no mundo dos negócios, bem como elementos estratégicos para o exercício da soberania de um Estado. Uma boa parte dos sistemas críticos de informação e comunicação estão sob custódia do Estado e exigem tratamento especial para sua proteção. Isto leva a necessidade da adoção de um Sistema de Gestão da Segurança da Informação e Comunicação (SGSIC). A GSIC é hoje uma dos pilares da Governança de TI, e é responsável por assegurar a disponibilidade, a integridade, a autenticidade e a confidencialidade das informações organizacionais. Um SGSIC está orientado aos processos de desenvolver, implementar, direcionar e monitorar as estratégias e as atividades de segurança da organização, avaliando o seu alinhamento com a missão da organização, e procurando a conformidade com os padrões internos e externos. A implantação da GSIC é um problema organizacional estratégico, que necessita ser considerado e tratado de forma integrada em nível de Governança de TI (FERNANDES; ABREU, 2008). O Estado Brasileiro, por meio das ações de governo, vem envidando esforços para a implementação da Segurança da Informação e Comunicação (SIC), de modo a atender às suas necessidades e de forma compatível com as boas práticas mundiais. As estratégias e ações para a SIC estão a cargo do Departamento de Segurança da Informação e Comunicações (DSIC) e do Centro de Pesquisa e Desenvolvimento para Segurança das Comunicações (CEPESC), o centro federal de pesquisa e desenvolvimento tecnológico para as áreas de criptografia e segurança da informação e comunicação, sendo ambos órgãos subordinados ao Gabinete de Segurança Institucional (GSI) da Presidência da República (PR). O GSI conta com o Comitê Gestor de Segurança da Informação (CGSI), composto de representantes da APF e da Sociedade Civil, para, dentre outras ações, instituir Grupos de Trabalhos (GTs) para tratar os problemas da SIC no Governo Federal. Destaca-se

25 2 nestas ações a implantação da Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil), criada a partir da demanda por certificados digitais, tanto para o Governo como para a Sociedade, como também da Coordenação Geral de Tratamento de Incidentes de Rede CTIR-Gov, órgão do DSIC. Convém destacar que no ano de 2005 o CGSI criou o GT-2005 para atender a uma urgente demanda por um Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC) como uma forma de resposta institucional no tratamento aos processos de auditoria na área da SIC, em curso na APF no âmbito do processo de auditoria do Tribunal de Contas da União (TCU) (BEMQUERER, 2005). Desta forma, o GT-2005 teve como objetivo a elaboração de um conjunto de normas e padrões que, integrados em um modelo de gestão, pudesse parametrizar a interação com os processos de auditoria e verificação do controle interno e externo (FELIX, 2005). Esses processos de auditoria elencam os modelos das melhores práticas segundo a visão da Governança de TI, destacando-se os principais: Control Objectives for Information and Related Technology (COBIT), International Standardization Organization (ISO) 27000, Information Technology Infrastructure Library (ITIL) e PMBOK. O GT-2005 elaborou o modelo e a metodologia de implantação do SGSIC que estão ancorados nos conceitos e princípios dessas melhores práticas da Governança de TI (FERNANDES; ABREU, 2008). O Relatório Final do GT-2005 é composto pela descrição do modelo e da metodologia de implantação do MGSIC, e também, pela recomendação da estratégia da implantação por meio de um projeto piloto a ser desenvolvido em outra estância do DSIC ou Grupo de Trabalho específico e designado pelo CGSI (GT-2005, 2006). Com a Instrução Normativa GSI/PR nº 1 publicada em 13 de Junho de 2008, o DSIC disciplina a implantação da GSIC na APF (FELIX, 2008a), e defini o modelo e a metodologia por meio das Portarias 33 e 34 (FELIX, 2008b) (FELIX, 2008c), o que levounos à anexa-las no momento final da conclusão desse trabalho. Destaca-se o fato de que a monografia é baseada no Relatório Final do GT-2005, apresenta total compatibilidade com o modelo e metodologia proposta pelo DSIC. A Instrução Normativa (IN) e as Portarias nº 33 e nº 34 do GSI/PR do DSIC, definem a estratégia de implantação do MGSIC no mesmo enfoque que aquele do Relatório Final do GT-2005,com os seguintes objetivos e respectivos documentos: 1. Disciplina a implantação da GSIC na APF conforme a IN (FELIX, 2008a); 2. Estabelece critérios e procedimentos para elaboração, atualização, alteração, aprova-

26 3 ção e publicação de normas complementares sobre GSIC, no âmbito da APF direta e indireta (FELIX, 2008b); 3. Define a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta (FELIX, 2008c). Como forma de dar subsídio técnico a essa implantação, e considerando o histórico do esforço para atender essa demanda por um Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC), esta monografia faz um estudo da implantação do MGSIC na APF utilizando a abordagem do gerenciamento de projeto, que a partir da visão da Governança de TI, elege o PMBOK, não só como uma forma de viabilizar a sua adoção na APF, mas, principalmente, direcionando a implantação ao nível estratégico da APF, como pretende o GSI (FELIX, 2008a). Esta monografia é composta por mais seis capítulos, três apêndices e três anexos. O Capítulo 2, Requisitos Pré-pesquisa, apresenta a decomposição da pesquisa em termos de: objetivos, justificativa, metodologia e percurso metodológico. No Capítulo 3, A Gestão da Segurança da Informação e Comunicação na APF, fazse uma rápida revisão dos elementos que compõe os modelos de Segurança da Informação e Comunicação e destaca a necessidade da Gestão de Risco dos Modelos de Gestão da SIC, segundo a visão de Governança de TI e necessidades do modelo de gestão. No Capítulo 4, A Abordagem do PMBOK para o Gerenciamento de Projetos, são descritos os processos e estruturas do Guia PMBOK para o gerenciamento de projetos em geral e está colocado como forma de preparação para o mapeamento do MGSIC do GT-2005 pelo PMBOK. O Capítulo 5, Modelos de Referência para a Gestão da Segurança da Informação e Comunicação, considera os modelos da Secretaria Logística e Tecnologia de Informação (SLTI), do Núcleo de Implantação, Departamento de Segurança da Informação e Comunicação (NI-DSIC), os quais deram origem ao MGSIC do GT-2005, e no qual se baseou este trabalho. O Capítulo 6, O Gap Conceitual na Implantação do SGSIC, descreve os processos e as estruturas consideradas do MGSIC para a implantação na APF mapeados em termos do PMBOK, o objeto deste trabalho. O Capítulo 7, Considerações Finais, reapresenta o tema da utilização da abordagem

27 4 da orientação a projeto da implantação do Modelo de Implantação da Gestão de Segurança da Informação e Comunicação (MI-GSIC), sugerindo a evolução do trabalho e outros cenários de sua utilização. O Apêndice A, A Criação GT-2005, apresenta os objetivos e a composição do GT O Apêndice B, A Estratégia de Processo do Modelo do GT-2005, apresenta a estratégia de orientação dos processos do ciclo Plan-Do-Check-Act (PDCA). O Apêndice C, Casos do Mapeamento do PMBOK, explora a aplicação de outros mapeamentos do PMBOK em dois outros modelos: o modelo de análise de risco Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) a metodologia de avaliação risco à infra-estrutura crítica da APF, chamada Metodologia de Avaliação de Risco do Governo Federal O Anexo A, Instrução Normativa GSI/PR nº 1, de , disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta (FELIX, 2008a). O Anexo B, Portaria nº 33, de 13 de Outubro de 2008, estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações, no âmbito da Administração Pública Federal, direta e indireta (FELIX, 2008b). O Anexo C, Portaria nº 34, de 13 de Outubro de 2008, define a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta (FELIX, 2008c).

28 5 2 Requisitos Pré-pesquisa 2.1 Objetivos Objetivo Geral Apresentar o estudo da abordagem de orientação a projeto na implantação de um Modelo de Gestão de Segurança da Informação e Comunicação na Administração Pública Federal Objetivos Específicos São objetivos específicos do trabalho: 1. Fazer uma revisão bibliográfica e análise documental acerca dos Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC) propostos para a implantação na APF; 2. Descrever conceitualmente a abordagem de projeto, pelo estudo do Modelo de Gerenciamento de Projetos, Project Management Body of Knowledge (PMBOK) e do Escritório de Gerenciamento de Projetos ou Project Management Office (PMO), considerando-os fatores de sucesso na implantação do MGSIC na Administração Pública Federal (APF); e 3. Relacionar as fases Planejar ( Plan ) e Fazer ( Do ) do Ciclo PDCA da Gestão de Segurança da Informação e Comunicação do GT-2005 com as nove áreas de conhecimento do guia de gerenciamento de projetos do PMBOK do PMI, elaborando o mapeamento de implantação do Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC).

29 6 2.2 Justificativa A complexidade, os requisitos e demandas da APF, relacionados à Segurança da Informação e Comunicação SIC remetem a uma visão de natureza sistêmica. O gerenciamento desta complexidade contextualizada sugere o desenvolvimento de um modelo e de uma metodologia, que servirão como um importante recurso para a implementação de ações e diretrizes, dando sustentação institucional aos processos relacionados. Os órgãos da APF, em sua maioria, não contam com conhecimento sobre Segurança da Informação suficiente para implementarem, em curto prazo, uma estrutura eficiente de gestão e, portanto, devem contar com meios para, paulatinamente, resolverem a questão (GT-2005, 2006). Por outro lado, esses órgãos da APF, em sua maioria, carecem de uma orientação mais específica sobre o que fazer e o como fazer a respeito da implementação da segurança das suas informações, sendo que, mesmo aqueles que têm implementações na área, não contam com amparo legislativo e normativo suficientes que definam uma estratégia de Estado sobre o assunto da SIC (VIEIRA, 2007). Convém destacar um fator preponderante, o estágio incipiente em que se encontram diversos órgãos da APF, seja a respeito do nível de conhecimento seja no tocante às implementações de sua SIC, o que faz com que as primeiras orientações governamentais tenham que ser simples e factíveis, mantidas a compatibilidade com as melhores práticas sobre SIC adotadas nacional e internacionalmente (GT-2005, 2006). A prática da SIC em qualquer organização da APF deverá sempre contar com uma estrutura gerencial que, além de traçar rumos, monitorar ações e adequar desvios, deve ser hierarquicamente subordinada à alta administração da organização. Com esta visão o GT-2005 desenvolveu o Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC) para a implantação na APF de uma estratégia de segurança e de conformidade nos moldes da Governança de TI (GT-2005, 2006). A implantação de modelos na APF é tarefa difícil e incerta e necessita de consideração estratégica para sua viabilização. A abordagem do Gerenciamento de Projeto segundo o Project Management Body of Knowledge (PMBOK) na implantação do Modelo de Gestão de Segurança da Informação e Comunicação (MGSIC) na Administração Pública Federal (APF) é um tática para o sucesso do empreendimento já que compõe o framework do modelo de Governança de TI e é fator critico de sucesso não só nos aspectos da SIC, como também para o controle de outros aspectos: a complexidade organizada que é Governança, Risco e Conformidade (GRC) na

30 7 Administração Pública Federal (APF). Como exemplo temos a abordagem do uso do PMBOK na implantação da (BRITTO; SOUSA; PINCOVSCY, 2008). 2.3 Metodologia Classificação da Pesquisa A presente pesquisa é constituída por duas partes. A primeira caracteriza-se como uma pesquisa bibliográfica dos conceitos que compõe os tópicos: Gestão da Segurança da Informação e Comunicações conforme as Normas da ISO, e o Gerenciamento de Projetos segundo o Guia PMBOK. A segunda parte é uma pesquisa documental dos modelos de referência para o SGSIC, destacando-se o modelo do GT-2005, o MGSIC, que é descrito no Relatório Final do GT Relata também a experiência no mapeamento de orientação à projeto segundo o PMBOK em dois casos: a aplicação da abordagem do Gerenciamento de Projeto do PMBOK na Metodologia do CEPESC (BRITTO; SOUSA; PINCOVSCY, 2008) e no estudo implementação do método de Análise de Risco OCTAVE (BRITTO; PINCOVSCY, 2008). 2.4 Percurso Metodológico Os requisitos que nortearam este trabalho foram legados da participação do autor no GT-2005 quando da coordenação pelo CEPESC, nos anos de 2005 a Desta forma, foi necessário o desenvolvimento, primeiramente, de uma pesquisa bibliográfica conjunta nas áreas da Gestão da Segurança da Informação e Comunicação (GSIC) e Gerenciamento de Projetos (GP). Em seguida, fez-se pesquisa documental dos modelos de referência de Gestão da Segurança da Informação GSIC elaborados para a APF nas instâncias: SLTI, NI-DSIC e GT A pesquisa bibliográfica fornece os requisitos da Governança de TI necessária à implantação de um Sistema de Gestão de Segurança da Informação e Comunicação com uma abordagem de orientação ao projeto, na forma do Gerenciamento de Projetos (GP) conforme o Guia Project Management Body of Knowledge (PMBOK). A pesquisa documental dos modelos de referência de SGSIC levou ao modelo e à metodologia de implantação do SGSIC, considerando a Gestão dos Riscos à Informação e

31 8 a busca da Conformidade como requisitos de alinhamento para os processos de auditoria do controle interno. O trabalho conclui com o mapeamento do modelo de referência do GT-2005 nas nove áreas de conhecimento do PMBOK. Também foram reportados os casos da utilização da abordagem PMBOK nos projetos da implementação do método OCTAVE e da metodologia

32 9 3 A Gestão da Segurança da Informação e Comunicação na APF Este capítulo é fruto da pesquisa bibliografica acerca da Gestão da Segurança da Informação e Comunicação (GSIC), foi estruturado de forma a fornecer os conceitos e as definições para a compressão e o entendimento dos modelos e das metodologias de implantação da SIC na APF. Parece uma tarefa pretensiosa, mas demonstrou-se principalmente gratificante e rica nas inter-relações com os temas de Governança de TI, Gestão de Riscos em SIC e da Proteção da Infra-estrutura Crítica. Começando com a secção Os Antecedentes Históricos onde reportamos como a Tecnologia da Informação e Comunicação (TIC) desenvolve-se de forma explosiva até o advento da Sociedade da Informação. A Segurança da Informação e Comunicação desenvolve o conceito de segurança da informação como uma área de conhecimento da gestão de TI, que demanda as responsabilidades da manutenção do valor intrínseco das informações e dos seus sistemas. A necessidade de uma apropriada gestão dessa crescente dependência é destacada. A Proteção da Infra-estrutura Crítica trata do conceito da dependência aos sistemas de informação no nível estratégico e da necessidade da proteção da Infra-estrutura Crítica do país. A Gestão da Segurança da Informação e Comunicação desenvolve e relaciona os modelos de gestão, requisitos e as metodologias que compõe a Governança de TI por meio do concurso de normas e padrões tais como: ITIL, PMBOK e ISO numa visão totalizante para o tema SIC. O Modelo de Gestão de Segurança da Informação contextualiza o MGSIC em termos estratégico da Política de Segurança da Informação e Comunicação (PSIC) e do Planejamento Estratégico da APF. A Gestão do Risco no Modelo de GSIC relaciona o modelo de Gestão do Risco nos

33 10 processos da GSIC conforme as Normas ISO, a taxonomia ISO A Governança de TI e a GSIC conclui o capítulo com o relacionamento da macroestrutura de Governança de TI, em termos de modelos de melhores praticas, como forma de ancorar o modelo da GSIC na visão sistêmica e holística em que o trabalho foi concebido. 3.1 Os Antecedentes Históricos Os centros de pesquisas de novas tecnologias dos EUA e do Japão na década de 80 propiciaram a explosão na indústria da computação, software e hardware, a integração dos computadores e telecomunicações, criando o conceito de TIC. Os contextos criados pela utilização da TI na década de 90 fomentaram o nascimento da Sociedade da Informação, que desencadeou uma nova forma de organização social, política e econômica que recorre ao intensivo uso da TIC para coleta, produção, processamento, transmissão e armazenamento de informações (VIEIRA, 2007). A Tecnologia da Informação abrange hoje a microeletrônica, a computação (software e hardware), as telecomunicações, a optoeletrônica, a engenharia genética e os processos tecnológicos, onde a informação é gerada, armazenada, recuperada, processada, transmitida e descartada (VIEIRA, 2007). 3.2 A Segurança da Informação e Comunicação A Informação consiste em dados ou conjunto de dados, processados ou não, em qualquer suporte, e capaz de produzir conhecimento, podendo ser: imagem, som e documento físico ou eletrônico. A informação é o fator estratégico mais relevante, se comparada aos recursos energéticos e naturais de um país. A informação é também um recurso ou ativo estratégico de uma organização (VIEIRA, 2007). Hoje no mundo, a Informação é um importante vetor para a geração de riquezas no contexto da produção globalizado, levando a necessidade de se promover uma gestão mais eficiente dos seus recursos, originando a nova especialidade da atividade humana denominada Segurança da Informação e Comunicações (VIEIRA, 2007). A Segurança da Informação e Comunicação é área de conhecimento responsável por assegurar a disponibilidade, a integridade, a autenticidade e a confidencialidade das infor-

34 11 mações institucionais, corporativas e pessoais, de forma a preservar seu valor intrínseco. A Segurança da Informação e Comunicação fundamenta-se nos seguintes propriedades basilares: Disponibilidade: propriedade de que as informações podem ser acessadas e utilizadas por indivíduos, equipamentos ou sistemas autorizados; Integridade: propriedade de que as informações não foram modificadas, inclusive quanto à origem e ao destino; Autenticidade: propriedade de que as informações foram produzidas, expedidas, recebidas ou modificadas por determinado indivíduo, equipamento ou sistema; Confidencialidade: propriedade de que as informações não foram acessadas por pessoas, equipamentos ou sistemas não autorizados. Mais recentemente outros dois objetivos têm sido bastante discutidos: Irretratabilidade (ou Não Repúdio): propriedade de que as informações estão garantidas quanto a autoria em determinadas ações e impede o repúdio (a negação) da mesma; Legalidade (ou Conformidade): propriedade de que as informações estão garantidas quanto com relação a medidas legais cabíveis e aplicadas quando necessárias. A Informação associada aos processos de apoio, aos sistemas de telecomunicações e às redes torna-se importante ativo para os negócios e para a infra-estrutura de um país. Os princípios de: confidencialidade, integridade, disponibilidade e autenticidade da informação podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e à imagem da organização ou do país (VIEIRA, 2007). Cada vez mais as organizações, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, roubo de informação, espionagem, sabotagem, vandalismo, fogo, inundação e outros acidentes. Problemas causados por vírus, worms, hackers, crackers, empregados insatisfeitos ou ex-empregados, programas maliciosos e ataques de Denial of Service (DoS) estão se tornando cada vez mais comuns, mais freqüentes e incrivelmente mais sofisticados (NAKAMURA; LIMA, 2004).

35 A Proteção da Infra-estrutura Crítica No contexto no qual a interdependência entre diferentes infra-estruturas críticas é cada vez maior, a preocupação com a sua proteção é inegável. Muitos países já tomaram consciência da importância da Segurança da Informação e Telecomunicações e muitos deles possuem trabalhos específicos sobre o assunto, possuindo inclusive órgãos governamentais responsáveis exclusivamente por essa proteção. No Brasil o DSIC, o CEPESC e o CGSI, órgãos do GSI da Presidência da República são os responsáveis por essa proteção. O GSI da PR tem a responsabilidade de promover a Segurança da Informação e Telecomunicações no âmbito da APF e em consonância com os esquemas normativos internacionais dos quais é participante e colaborador. A figura 3.1 representa o mapa conceitual do risco à infraestrutura crítica. Figura 3.1: Mapa conceitual do risco à infra-estrutura crítica A abordagem com que a Segurança da Informação e Comunicação é tratada varia de país para país; alguns a destacam em termos de uma infra-estrutura crítica, a informação é a prioridade, o que é justificado pela variedade de serviços básicos que possuem dependência da infra-estrutura de rede: os serviços de emergência, os sistemas de navegação para tráfego aéreo e entregas, a distribuição de energia elétrica e os sistemas de controle de água (NAKAMURA; LIMA, 2004).

36 3.4 A Gestão da Segurança da Informação e Comunicação 13 Alguns modelos de Gestão da Segurança da Informação e Comunicação são de conhecimento mundial e têm servido de referência para organizações e países, permitindo o aperfeiçoamento e a criação de modelos adequados para as necessidades específicas. Dentre eles, podemos citar a ABNT NBR ISO/IEC 27002:2005 (Código de Prática para a Gestão da Segurança da Informação), ABNT NBR ISO/IEC 27001:2006 (Sistema de Gestão da Segurança da Informação Requisitos), ISO/IEC 27005:2008 (Gestão de Risco de Segurança da Informação) e o ITIL Security Management Process. Embora estas referências estejam disponíveis, a adoção de um modelo de gestão não é uma tarefa simples e imediata, requer um conjunto de ações coordenadas, constantes e gradativas, com o apoio executivo, orçamento, tecnologia, e, o mais importante, requer pessoas conscientizadas. A Gestão da Segurança da Informação e Comunicação refere-se ao processo de desenvolver, implementar, direcionar e monitorar as estratégias e a atividade de segurança da organização. A segurança é um problema organizacional que precisa ser considerado e tratado de forma integrada com os seus componentes estratégicos. No entanto muitas organizações adotam uma abordagem centrada na tecnologia. Uma abordagem independente da tecnologia leva à necessidade da Gestão do Risco, pois existe a tendência das organizações em caracterizar os problemas de segurança em termos técnicos, geralmente ignorando as falhas operacionais e de gestão que podem ser as reais causa raiz ou fator contribuinte. Por outro lado, a convergência dessas metodologias pode propiciar resultados satisfatórios como apoio à tomada de decisão, considerando principalmente o contexto atual da chamada sociedade do conhecimento: rápidas mudanças, elevado grau de incertezas e uso intensivo das Tecnologias de Informação e Comunicação TIC (CANONGIA et al., 2001). 3.5 O Modelo de Gestão de Segurança A formulação do Modelo de Gestão da Segurança da Informação e Comunicação deve ser considerada como uma ação estratégica, estabelecendo um conjunto de recursos e princípios nos quais projetos devem ser priorizados e gerenciados, com o objetivo de atingir as determinações e orientações de uma Política de Segurança. O Modelo de Gestão da Segurança deve estar integrado ao planejamento orçamentário e estratégico da organiza-

37 14 ção (GT-2005, 2006). É preciso ter clareza que o Modelo de Gestão Estratégico não é a razão de existência da organização. Um dos propósitos é o fornecimento de serviços de segurança e suporte para o negócio. O Modelo de Gestão Estratégico não é um produto que visa gerar lucros. Deve ser entendido como um processo que agrega valor e minimiza os custos para a organização (CANONGIA et al., 2001). 3.6 A Gestão do Risco no Modelo de GSIC A evolução de um Modelo de Segurança baseado em Gestão de Risco permite uma visão mais acurada do nível de segurança adequado ao negócio, que não pode ser alcançado considerando-se apenas os aspectos da infra-estrutura técnica. A organização estará tendo uma falsa sensação de segurança se concentrar suas ações de segurança apenas na infraestrutura técnica. A segurança é um problema organizacional que precisa ser considerado e tratado de forma integrada com os seus componentes estratégicos. No entanto muitas organizações adotam uma abordagem centrada na tecnologia (NAKAMURA; LIMA, 2004). A Gestão de Riscos é um dos processos de gestão das organizações e depende do contexto em que é utilizada. Desta forma. A ABNT ISO/IEC Guia 73:2005 (Gestão de Riscos - Vocabulário - Recomendações para uso em normas) (ABNT, 2005a) fornece uma referência para a coerência da terminologia adotada, quando na introdução declara-se que: Todos os tipos de empreendimentos se deparam com situações (ou eventos) que constituem oportunidades de benefício ou ameaças ao seu sucesso. Oportunidades podem ser aproveitadas ou ameaças podem ser reduzidas por uma gestão efetiva. Em certos campos, tal como o financeiro, a gestão de riscos trata das flutuações monetárias como uma oportunidade de ganhos ou como um potencial de perda. Conseqüentemente, o processo de gestão de riscos é cada vez mais reconhecido como sendo relacionado aos aspectos positivos e negativos dessas incertezas. Este Guia trata a gestão de riscos, tanto da perspectiva positiva como da negativa (ABNT, 2005a). A Gestão de Riscos se constitui no processo fundamental da Gestão da Segurança; não se faz segurança sem gerenciar os riscos. A Gestão de Risco de Segurança da Informação é o processo de identificar e avaliar os riscos, reduzindo-os a um nível aceitável e implementando os mecanismos para a manutenção deste nível. Quando se trata de riscos de segurança da informação, estamos interessados naqueles eventos que endereçam à quebra

38 15 dos princípios básicos da segurança da informação: integridade, disponibilidade, confidencialidade e autenticidade. Os controles ou salvaguardas de segurança devem sempre ser adotados como conseqüência da avaliação dos riscos. A abordagem da gestão de riscos também depende da cultura de segurança da organização. Segundo a ABNT NBR ISO/IEC 27002:2005, os gastos com a implementação de controles de segurança precisam ser balanceados de acordo com os danos aos negócios causados por potenciais falhas na segurança da informação, os quais devem ser identificados por meio de uma análise/avaliação sistemática e periódica dos riscos de segurança. É na fase de análise e avaliação que são identificadas as ameaças aos ativos e as vulnerabilidades destes, e será realizada a estimativa das probabilidades da ocorrência das ameaças e dos impactos potenciais aos negócios. Os resultados da análise/avaliação de riscos irão ajudar a direcionar e a determinar as ações gerenciais apropriadas e as prioridades na implementação dos controles para a proteção contra estes riscos. É na fase do tratamento de riscos que são definidos os controles a serem utilizados e estes controles podem ser escolhidos a partir desta norma, baseados tanto em requisitos legais como nas melhores práticas de segurança para confrontar as ameaças mapeadas. Dois outros conceitos citados pela norma podem ser mais bem explicitados com a ajuda da ABNT NBR ISO/IEC 27002: Ameaça: causa potencial de um incidente que pode resultar em dano para o sistema ou para a organização. 2. Vulnerabilidade: fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Quando se trata de riscos, estamos apontando para o estudo das ameaças que exploram as vulnerabilidades existentes nos ativos ou sistemas e nos impactos decorrentes para os processos de negócios associados a esses ativos. Basicamente os riscos podem ser evitados, reduzidos, transferidos ou aceitos, mas nunca ignorados. Um plano de ação deve ser definido e controlado para a implementação das salvaguardas, de forma a garantir que os riscos serão efetivamente mitigados. Outro ponto a destacar no tratamento de riscos é o custo benefício. O custo decorrente da redução de um risco não deve ser maior do que o custo da exposição ao risco. Para garantir que os riscos estão controlados e se mantém dentro do nível definido como

39 16 aceitável, devem ser realizadas avaliações periódicas. Isto porque uma redução de risco fornece subsídios para a ação conjunta do processo de gestão da informação e gestão do conhecimento, ambas em apoio as estratégia e missão organizacional, e que apresentam para o processo de tomada de decisão uma propriedade emergente que é a inteligência institucional (TARAPANOFF, 2004). 3.7 A Governança de TI e a GSIC A Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a organização no atingimento dos objetivos desta organização, adicionando valor, ao mesmo tempo em que equilibra os riscos em relação ao retorno da TI e seus processos, ou de uma outra forma; a Governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização (FERNANDES; ABREU, 2008). Nas duas últimas décadas na área de governança de TI vem surgindo e sendo elaborada uma serie de modelos de melhores práticas para a TI. Alguns desses modelos são originais e alguns são derivados e/ou evoluídos de outros modelos. Os modelos estão listados na tabela 3.1 (FERNANDES; ABREU, 2008). Os modelos referenciados são modelos de melhores praticas para a implementação da Governança de TI, contudo, existem gaps a serem resolvidos. A natureza desses gaps encontram-se no alinhamento estratégico e na decisão, compromisso, priorização e alocação de recursos. Por isso a tendência para um modelo mais abrangente como o COBIT, que busca o compromisso com o concurso de outros modelos como ITIL, PMBOK, ISO 2001, CMMI etc. (FERNANDES; ABREU, 2008) Para a implantação de um SGSIC buscamos por meio do PMBOK o preenchimento do gap da implantação do modelo de GSIC na APF no modelo do GT-2005 (FERNANDES; ABREU, 2008).

40 17 Modelo de melhores práticas Control Objectives for Information and Related Technology (CO- BIT) Val IT Capability Maturity Model Integration (CMMI) Information Technology Infrastructure Library (ITIL) ISO/IEC e ISO/IEC Código de prática para a gestão da segurança da informação Modelos International Standardization Organization (ISO) The esourcing Capability Model for Service Providers (escm-sp) The esourcing Capability Model for Client Organizations (escm- CL) Project in Controlled Environment (PRINCE2) Portfolio, Programme & Project Management Maturity Model (P3M3) Project Management Body of Knowledge (PMBOK) Organizational Project Management Maturity Model (OPM3) Balanced Scorecard (BSC) 6σ The Open Group Architecture Framework (TOGAF) Statement on Auditing Standards for Services Organizations (SAS 70) Escopo do modelo Modelo abrangente aplicável para a auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Modelo para a gestão do valor e investimento em TI. Desenvolvimento de produtos e projetos de sistemas e software. Infra-estrutura de tecnologia da informação (definição estratégica, desenho, transição, operação e melhoria contínua do serviço). Segurança da informação Sistemas de qualidade, ciclo de vida de software, teste de software etc. Outsourcing em serviços que usam TI de forma interativa Conjunto de práticas para que o cliente defina a estratégia e o gerenciamento do outsourcing de serviços de TI ou fortemente baseados em TI. Metodologia de gerenciamento de projetos. Modelo de maturidade para o gerenciamento de projetos, programas e portfólios. Base de conhecimento em gestão de projetos. Modelo de maturidade para o gerenciamento de projetos. Metodologia de planejamento e gestão da estratégia. Metodologia para o melhoramento da qualidade de processos. Modelo para o desenvolvimento e implementação de arquiteturas de negócios, aplicações e tecnologia. Regras de auditoria para empresas de serviços. Tabela 3.1: Principais modelos de melhores práticas (FERNANDES; ABREU, 2008)

41 18 4 A Abordagem do PMBOK para o Gerenciamento de Projetos O objetivo do Guia PMBOK é identificar o subconjunto do conjunto maior de conhecimentos em gerenciamento de projetos que é amplamente reconhecido como boas práticas, pois procura a soma dos conhecimentos intrínsecos à profissão de gerenciamento de projetos. Um conjunto de conhecimentos em gerenciamento de projetos inclui práticas tradicionais comprovadas amplamente aplicadas, além de práticas inovadoras que estão surgindo na profissão, inclusive materiais publicados e não publicados, esse conjunto de conhecimentos em gerenciamento de projetos está em constante evolução. A abordagem do Guia PMBOK ancora-se nos seguintes conceitos; Identificar significa fornecer uma visão geral, e não uma descrição completa; Amplamente reconhecido significa que o conhecimento e as práticas descritas são aplicáveis à maioria dos projetos na maior parte do tempo, e que existe um consenso geral em relação ao seu valor e sua utilidade; e Boas práticas significa que existe acordo geral de que a aplicação correta dessas habilidades, ferramentas e técnicas podem aumentar as chances de sucesso em uma ampla série de projetos diferentes. Uma boa prática não significa que o conhecimento descrito deverá ser sempre aplicado uniformemente em todos os projetos; a equipe de gerenciamento de projetos é responsável por determinar o que é adequado para um projeto específico. Grande parte do conhecimento e muitas das ferramentas e técnicas usadas para gerenciar projetos são exclusivas do gerenciamento de projetos, como estruturas analíticas do projeto, análise do caminho crítico e gerenciamento de valor agregado. No entanto, o

42 19 entendimento e a aplicação do conhecimento, das habilidades, das ferramentas e das técnicas amplamente reconhecidas como boa prática não são suficientes isoladamente para um gerenciamento de projetos eficaz. Um gerenciamento de projetos eficaz exige que a equipe de gerenciamento de projetos entenda e use o conhecimento e as habilidades de pelo menos cinco áreas de especialização (CANEDO, 2007): Conhecimento do conjunto de conhecimentos em gerenciamento de projetos; Conhecimento, normas e regulamentos da área de aplicação; Entendimento do ambiente do projeto; Conhecimento e habilidades de gerenciamento geral; Habilidades interpessoais. Figura 4.1: Conjunto de conhecimento em gerência de projetos (PMI, 2004a) A figura 4.1 ilustra a relação entre essas cinco áreas de especialização. Embora possam parecer elementos distintos, em geral elas se sobrepõem; nenhuma delas pode existir sozinha. Equipes de projeto eficazes as integram em todos os aspectos de seu projeto. Não é necessário que todos os membros da equipe do projeto sejam especialistas em todas

43 20 as cinco áreas. Na verdade, é improvável que qualquer pessoa tenha todo o conhecimento e as habilidades necessárias para o projeto. No entanto, é importante que a equipe de gerenciamento de projetos tenha total conhecimento do Guia PMBOK e esteja familiarizada com os conhecimentos apresentados no Conjunto de Conhecimentos em Gerenciamento de Projetos e com as outras quatro áreas de gerenciamento para que possa gerenciar um projeto de maneira eficaz. 4.1 O Guia PMBOK A abordagem do gerenciamento de projetos demonstra-se como fator crítico de sucesso para os empreendimentos nesses de contextos mudança e de superação de expectativa (PMI, 2004a). A área de TIC nas duas últimas décadas tem apresentado uma grande evolução em diversas áreas de conhecimento, criando necessidades, principalmente nas áreas de gestão e de gerenciamento de projetos. Essas necessidades estão ligadas a vários fatores, mas três são essenciais para mudanças nas formas de planejar, projetar, usar e extrair benefícios da TIC: 1. a evolução dos modelos de gestão aceitos internacionalmente; 2. a convergência tecnológica que permite a integração desses modelos em ambientes organizacionais reais; e 3. o uso de indicadores da Governança nas práticas de Gestão de TIC. Atualmente, a abordagem do gerenciamento de projetos mais bem sucedida está mapeada em padrões, terminologia e um elenco de boas práticas em um guia nomeado PMBOK Guide, o Corpo de Conhecimento em Gerência de Projetos. O Guia PMBOK é um padrão internacionalmente aceito. O PMBOK é um guia de conhecimento e de melhores praticas para a profissão de Gerência de Projetos foi aprovada como padrão a nível governamental pela American National Standards Institute (ANSI) nos Estados Unidos (PMI, 2004b). Reúne o conhecimento comprovado internacionalmente na área de gerência de projetos, através das práticas tradicionais e práticas inovadoras e avançadas. Fornece um guia genérico para todas as áreas de projetos, seja uma obra da construção civil, um processo de fabricação industrial ou a produção de software. Destaca-se no aspecto da padronização dos termos utilizados na gerência de projetos (RALHA; G, 2007).

44 21 O PMBOK é uma formulação do Project Management Institute (PMI), organização que estabelece padrões, prove seminários, programas educacionais e certificação profissional para as organizações nas exigências de gerenciamento de projetos. O PMI teve a sua fundação em 1969 tornou-se atualmente uma organização reconhecida internacionalmente como a organização dos profissionais de gerência de projetos, com cerca de membros em todo o mundo. O PMI é a organização mais importante da área de gerenciamento de projetos (ROCHA, 2004). 4.2 Os Conceitos do PMBOK Este trabalho está baseado no PMBOK e os conceitos necessários e desenvolvidos foram extraídos de (PMI, 2004b). Uma breve descrição é desenvolvida a seguir para fins de coerência e compreensão do trabalho elaborado. Segundo o Guia PMBOK, um projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo (PMI, 2004a). Um projeto é um empreendimento com características próprias, tendo princípio e fim, conduzido por pessoas, para atingir metas estabelecidas dentro de parâmetros de prazo, custos e qualidade. Ele é um empreendimento temporário cujo objetivo é criar um produto ou serviço distinto e único. Os projetos são diferentes dos processos ou operações, porque o projeto termina quando seus objetivos específicos foram atingidos, enquanto as operações adotam um novo conjunto de objetivos e o trabalho continua. Os projetos são realizados em todos os níveis da organização e podem envolver uma única pessoa ou várias. Sua duração varia de poucas semanas a vários anos. Exemplos de projetos incluem, mas não se limitam a: 1. Desenvolvimento de um novo produto ou serviço; 2. Efetuar uma mudança de estrutura, de pessoal ou de estilo de uma organização; 3. Projeto de um novo veículo; 4. Desenvolvimento ou aquisição de um sistema de informações novo ou modificado; 5. Construção de um prédio ou instalação; 6. Construção de um sistema de abastecimento de água para uma comunidade;

45 22 7. Realizar uma campanha por um cargo político; 8. Implementação de um novo procedimento ou processo de negócios; e 9. Atender a uma cláusula contratual (CANEDO, 2007). A gerência é a ação que consiste em executar atividades e tarefas que têm como propósito planejar e controlar atividades de outras pessoas para atingir objetivos que não podem ser alcançados caso as pessoas atuem individualmente ou sem coordenação. O gerente de projetos é a pessoa responsável pela realização dos objetivos do projeto (PMI, 2004a). O gerente de projetos é o profissional responsável pelo gerenciamento, administração e controle de projetos, e também chamado de chefe da equipe de projeto. As ações que afetam o projeto decorrem principalmente das decisões do gerente. Partes interessadas no projeto são pessoas e organizações ativamente envolvidas no projeto ou cujos interesses podem ser afetados como resultado da execução ou do término do projeto. Eles podem também exercer influência sobre os objetivos e resultados do projeto. A equipe de gerenciamento de projetos precisa identificar as partes interessadas, determinar suas necessidades e expectativas e, na medida do possível, gerenciar sua influência em relação aos requisitos para garantir um projeto bem sucedido (PMI, 2004a). O gerenciamento de projetos é a aplicação de conhecimento, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos. O gerenciamento de projetos é realizado através da aplicação e da integração dos seguintes processos de gerenciamento de projetos: iniciação, planejamento, execução, monitoramento e controle, e encerramento (PMI, 2004a). A figura 4.2 apresenta o gráfico da relação entre as fases do projeto. O ciclo de vida do projeto define as fases que conectam o início de um projeto ao seu final, quando uma organização identifica uma oportunidade que deseja aproveitar, poderá autorizar um estudo de viabilidade para decidir se deve realizar o projeto, desta forma, a definição do ciclo de vida do projeto pode ajudar o gerente de projetos a esclarecer se deve tratar o estudo de viabilidade como a primeira fase do projeto ou como um projeto autônomo separado (PMI, 2004a). A abordagem de ciclo de vida para o projeto ajuda a administrar a complexidade organizada que é o gerenciamento de projetos e suas áreas de conhecimento (CANEDO, 2007).

46 23 Figura 4.2: A relação entre as fases do projeto (PMI, 2004a) 4.3 As Áreas de Conhecimento do PMBOK Uma área identificada de gerenciamento de projetos definida por seus requisitos de conhecimentos é descrita em termos dos processos que a compõem, suas práticas, entradas, saídas, ferramentas e técnicas (PMI, 2004a). O PMBOK é organizado em áreas e conhecimento, onde cada uma destas áreas é descrita através de processos. Cada área de conhecimento se refere a um aspecto a ser considerado dentro da gerência de projetos. A não execução de um dado processo de uma área afeta negativamente o projeto, pois o projeto é um esforço integrado. São nove as áreas de conhecimento do PMBOK: 1. Gerenciamento de Integração do Projeto; 2. Gerenciamento do Escopo do Projeto; 3. Gerenciamento de Tempo do Projeto; 4. Gerenciamento de Custos do Projeto; 5. Gerenciamento da Qualidade do Projeto; 6. Gerenciamento de Recursos Humanos do Projeto; 7. Gerenciamento das Comunicações do Projeto;

47 24 8. Gerenciamento de Riscos do Projeto; e 9. Gerenciamento de Aquisições do Projeto O Gerenciamento da Integração A área de conhecimento em gerenciamento de integração do projeto inclui os processos e as atividades necessárias para identificar, definir, combinar, unificar e coordenar os diversos processos e atividades de gerenciamento de projetos dentro dos grupos de processos de gerenciamento de projetos. Os processos de gerenciamento da integração do projeto incluem os seguintes: desenvolver o termo de abertura do projeto, desenvolver a declaração do escopo preliminar do projeto, desenvolver o plano de gerenciamento do projeto, orientar e gerenciar a execução do projeto, monitorar e controlar o trabalho do projeto, controle integrado de mudanças e encerrar o projeto (PMI, 2004a). A figura 4.3 apresenta o mapa mental do Gerenciamento de Integração. Figura 4.3: Mapa mental do Gerenciamento da Integração (PMI, 2004a) O processo de desenvolvimento do termo de abertura do projeto autoriza formalmente um projeto ou uma fase do projeto; O processo de desenvolvimento da declaração do escopo preliminar do projeto fornece uma descrição de alto nível do escopo do projeto; O processo de desenvolvimento do plano de gerenciamento do projeto documenta as ações necessárias para definir, preparar, integrar e coordenador todos os planos auxiliares em um plano de gerenciamento do projeto; O processo de orientar e gerenciar a execução do projeto realiza o trabalho definido no plano de gerenciamento do projeto para atingir os requisitos do projeto definidos na declaração do escopo do projeto;

48 25 O processo de monitorar e controlar o trabalho do projeto monitora e controla os processos usados para iniciar, planejar, executar e encerrar um projeto para atender aos objetivos de desempenho definidos no plano de gerenciamento do projeto; O processo de controle integrado de mudanças faz a revisão de todas as solicitações de mudança, aprovação de mudança e controle de mudanças nos produtos e ativos de processos organizacionais; e O processo de encerramento do projeto faz a finalização de todas as atividades em todos os grupos de processos de gerenciamento de projetos para encerrar formalmente o projeto ou uma de suas fases. Esse processo tem como saída principal o plano global do projeto. Este plano é o documento que descreve os procedimentos a serem conduzidos durante a sua execução. É o esqueleto (framework) de toda a execução. Nele estão contidos os planos secundários, cronogramas, aspectos técnicos e outros documentos e informações para a equipe de projeto O Gerenciamento de Escopo O gerenciamento do escopo do projeto inclui os processos necessários para garantir que o projeto inclua todo o trabalho necessário, e somente ele, para terminar o projeto com sucesso. O escopo pode ser dividido em: escopo funcional, escopo técnico e escopo de atividade. O escopo funcional é o conjunto de características funcionais do produto, ou serviço, a ser desenvolvido pelo projeto, tais como capacidade, mercado, filosofia etc. Normalmente estas características são direcionadas ao cliente e são também denominadas requisitos funcionais. O escopo técnico é composto das características técnicas do projeto, destacando os padrões e as especificações a serem utilizadas, normas legais a serem obedecidas, procedimentos de qualidade (ISO) etc. Normalmente estas características são direcionadas para a equipe do projeto e são também denominados requisitos técnicos. O escopo de atividades é o trabalho a ser realizado para prover os escopos técnico e funcional do produto, ou serviço, do projeto, normalmente evidenciado nas Estrutura Analítica do Projeto (EAP)s. O gerenciamento do escopo do projeto trata principalmente da definição e controle do que está e do que não está incluído no projeto.

49 26 A EAP, ou Work Breakdown Structure (WBS), é uma decomposição hierárquica orientada à entrega do trabalho a ser executado pela equipe do projeto para atingir os objetivos do projeto e criar as entregas necessárias. Ela organiza e define o escopo total do projeto. Cada nível descendente representa uma definição cada vez mais detalhada do trabalho do projeto. A EAP é decomposta em pacotes de trabalho. A orientação da hierarquia para a entrega inclui entregas internas e externas, a EAP é base para as outras estruturas analíticas no projeto, listadas abaixo: 1. Estrutura Analítica do Projeto Contratado; 2. Estrutura Analítica do Resumo do Projeto; 3. Estrutura Analítica dos Recursos do Projeto; e 4. Estrutura Analítica dos Riscos do Projeto. A Estrutura Analítica do Projeto Contratado (EAPC), ou Contract Work Breakdown Structure (CWBS), é uma parte da estrutura analítica o para o projeto desenvolvida e mantida por um fornecedor que assina contrato para fornecer um subprojeto ou um componente do projeto (PMI, 2004a). A Estrutura Analítica do Resumo do Projeto (EARP), ou Project Summary Work Breakdown Structure (PSWBS), é uma estrutura analítica do projeto que é desenvolvida somente até o nível de detalhe do subprojeto dentro de algumas ramificações da EAP, e onde os detalhes desses subprojetos são fornecidos para que sejam usados pelas estruturas analíticas do projeto contratado (PMI, 2004a). A Estrutura Analítica dos Recursos (EARs), ou Resource Breakdown Structure (RBSs), é uma estrutura hierárquica de recursos por categoria de recursos e tipo de recursos usada em cronogramas de nivelamento de recursos e para desenvolver cronogramas limitados por recursos, e que pode ser usada para identificar e analisar designações de recursos humanos do projeto (PMI, 2004a). A Estrutura Analítica dos Riscos (EARc), ou Risk Breakdown Structure (RBSr), é uma representação organizada hierarquicamente dos riscos identificados do projeto ordenados por categoria e subcategoria de risco que identifica as diversas áreas e causas de riscos potenciais. A estrutura analítica dos riscos geralmente é adaptada para tipos específicos de projetos (PMI, 2004a). O Dicionário da Estrutura Analítica do Projeto (DEAP), também chamado de Work Breakdown Structure Dictionary (WBSD), é um documento que descreve cada compo-

50 27 nente da EAP. Para cada componente da EAP, o dicionário da EAP. inclui uma breve definição do escopo ou declaração do trabalho, entrega(s) definida(s), uma lista de atividades associadas e uma lista de marcos. Outras informações podem incluir: organização responsável, datas de início e de conclusão, recursos necessários, uma estimativa de custos, número de cobrança, informações do contrato, requisitos de qualidade e referências técnicas para facilitar o desempenho do trabalho (PMI, 2004a). Os processos de gerenciamento do escopo do projeto incluem os seguintes: planejamento do escopo, definição do escopo, criação das EAP (PMI, 2004a). A figura 4.4 apresenta o mapa mental do Gerenciamento de Escopo. Figura 4.4: Mapa mental do Gerenciamento de Escopo (PMI, 2004a) O processo de planejamento do escopo elabora um plano de gerenciamento do escopo do projeto que documenta como o escopo do projeto será definido, verificado e controlado e como a estrutura analítica do projeto EAP será criada e definida; O processo de definição do escopo desenvolve uma declaração de escopo do projeto como a base para futuras decisões do projeto; O processo de criação da EAP faz a subdivisão dos principais produtos do projeto e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis; O processo de verificação do escopo faz a formalização da aceitação dos produtos do projeto que foram concluídos; e O processo de controle de escopo faz o controle das mudanças no escopo do projeto. Esse conjunto de processos tem como saída principal o plano de gerenciamento do escopo. Este plano é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todo o escopo do projeto.

51 O Gerenciamento de Tempo O gerenciamento de tempo do projeto inclui os processos necessários para realizar o término do projeto no prazo. Os processos de gerenciamento de tempo do projeto incluem os seguintes: definição de atividade, seqüenciamento de atividades, estimativa de recursos de atividades, desenvolvimento do cronograma e controle do cronograma (PMI, 2004a). A figura 4.5 apresenta o mapa mental do Gerenciamento de Tempo. Figura 4.5: Mapa mental do Gerenciamento de Tempo (PMI, 2004a) O processo de definição da atividade identifica as atividades especificas do cronograma que precisam ser realizadas para produzir os vários produtos do projeto; O processo de seqüenciamento de atividades identifica e documenta as dependências entre as atividades do cronograma; O processo de estimativa de recursos da atividade faz a estimativa do tipo e das quantidades de recursos necessários para realizar cada atividade do cronograma. O processo de estimativa de duração de atividade faz a estimativa do número de períodos de trabalho que serão necessários para terminar as atividades individuais do cronograma; O processo de desenvolvimento do cronograma faz a análise dos recursos necessários, restrições do cronograma, durações e seqüências de atividades para criar o cronograma do projeto; e O processo de controle do cronograma faz o controle das mudanças no cronograma do projeto. Esse processo tem como saída principal o plano de gerenciamento do cronograma, ele é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todos os prazos do projeto.

52 O Gerenciamento de Custos O gerenciamento de custos do projeto inclui os processos envolvidos em planejamento, estimativa, orçamentação e controle de custos, de modo que seja possível terminar o projeto dentro do orçamento aprovado. Os processos de gerenciamento de custo do projeto incluem os seguintes: estimativa de custos, orçamentação e controle de custos (PMI, 2004a). A figura 4.6 apresenta o mapa mental do Gerenciamento de Custos. Figura 4.6: Mapa mental do Gerenciamento de Custos (PMI, 2004a) O processo de estimativa de custos desenvolve uma estimativa dos custos dos recursos necessários para terminar as atividades do projeto; O processo de orçamentação faz a agregação dos custos estimados de atividades individuais ou dos pacotes de trabalho para estabelecer uma linha de base dos custos, importante para o controle da restrição desse fator no projeto e do impacto no relacionamento global; e O processo de controle de custos faz o controle dos fatores que criam as variações de custos e controles das mudanças no orçamento do projeto. Esse conjunto de processos tem como saída principal o plano de gerenciamento de custos. Este plano é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todos os custos do projeto O Gerenciamento de Qualidade Os processos de gerenciamento da qualidade do projeto incluem todas as tividades da organização executora que determinam as responsabilidades, os objetivos e as políticas de qualidade, de modo que o projeto atenda às necessidades que motivaram sua realização. Eles implementam o sistema de gerenciamento da qualidade através da política,

53 30 dos procedimentos e dos processos de planejamento da qualidade, garantia da qualidade e controle da qualidade, com atividades de melhoria contínua dos processos conduzidas do início ao fim, conforme adequado. Os processos de gerenciamento da qualidade do projeto incluem os seguintes: planejar da qualidade, realizar a garantia da qualidade, realizar o controle da qualidade (PMI, 2004a). A figura 4.7 apresenta o mapa mental do Gerenciamento de Qualidade. Figura 4.7: Mapa mental do Gerenciamento da Qualidade (PMI, 2004a) O processo de planejamento da qualidade faz a identificação dos padrões de qualidade relevantes para o projeto e a determinação de como satisfazê-los; O processo da realização da garantia da qualidade faz a aplicação das atividades de qualidade planejadas e sistemáticas para garantir que o projeto empregue todos os processos necessários para atender aos requisitos; O processo de controle da qualidade faz monitoramento dos resultados específicos do projeto a fim de determinar se eles estão de acordo com os padrões relevantes de qualidade e identificação de maneiras para eliminar as causas de um desempenho insatisfatório; e O processo de orientar e gerenciar a execução do projeto faz atualização das ações corretivas e preventivas recomendadas e o reparo de defeito recomendado concluindo com os produtos validados. Esse processo tem como saída principal o plano de gerenciamento da qualidade. Ele é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todos os aspectos da qualidade do projeto.

54 O Gerenciamento de Recursos Humanos O gerenciamento de recursos humanos do projeto inclui os processos que organizam e gerenciam a equipe do projeto. A equipe do projeto é composta de pessoas com funções e responsabilidades atribuídas desde o início até o término do projeto. Embora seja comum falar-se de funções e responsabilidades atribuídas, os membros da equipe devem estar envolvidos em grande parte do planejamento e da tomada de decisões do projeto. O envolvimento dos membros da equipe desde o início acrescenta especialização durante o processo de planejamento e fortalece o compromisso com o projeto. O tipo e o número de membros da equipe do projeto muitas vezes pode mudar conforme o projeto se desenvolve. Os membros da equipe do projeto podem ser chamados de pessoal do projeto. A equipe de gerenciamento de projetos é um subconjunto da equipe do projeto e é responsável pelas atividades de gerenciamento de projetos, como planejamento, controle e encerramento. Esse grupo de pessoas pode ser chamado de equipe principal, executiva ou líder. Os processos de gerenciamento de recursos humanos do projeto incluem: planejamento dos recursos humanos, contratar e mobilizar as equipe de projeto, desenvolver a equipe de projeto e gerenciar a equipe do projeto (PMI, 2004a). A figura 4.8 apresenta o mapa mental do Gerenciamento de Recursos Humanos. Figura 4.8: Mapa mental do Gerenciamento de Recursos Humanos (PMI, 2004a) O processo de planejamento de recursos humanos faz a identificação, documentação de funções, responsabilidades e relações hierárquicas do projeto, além da criação do plano de gerenciamento de pessoal; O processo de contração ou mobilização da equipe do projeto obtém os recursos humanos necessário para terminar o projeto;

55 32 O processo de desenvolver a equipe do projeto faz a melhoria das competências e interação de membros da equipe para aprimorar o desempenho do projeto; O processo de gerenciar a equipe do projeto faz acompanhamento do desempenho de membros da equipe, fornecimento de realimentação (feedback), resolução de problemas e coordenação de mudanças para melhorar o desempenho do projeto; e O processo de gerenciar a equipe do projeto faz o gerenciamento do desempenho da equipe de projeto solucionando os conflitos que ocorrem entre o projeto e a organização. Esse conjunto de processos tem como saída principal o plano de gerenciamento de pessoal. Este plano é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todos os recursos humanos do projeto, é também conhecido como Plano de Gerenciamento de Recurso Humanos O Gerenciamento das Comunicações O gerenciamento das comunicações do projeto é a área de conhecimento que emprega os processos necessários para garantir a geração, coleta, distribuição, armazenamento, recuperação e destinação final das informações sobre o projeto de forma oportuna e adequada. Os processos de gerenciamento das comunicações do projeto fornecem as ligações críticas entre pessoas e informações que são necessárias para comunicações bem-sucedidas. Os gerentes de projetos podem gastar um tempo excessivo na comunicação com a equipe do projeto, partes interessadas, cliente e patrocinador. Todos os envolvidos no projeto devem entender como as comunicações afetam o projeto como um todo. Os processos de gerenciamento das comunicações do projeto incluem os seguintes: planejamento das comunicações, distribuições das informações, relatório de desempenho e gerenciar as partes interessadas (PMI, 2004a). A figura 4.9 apresenta o mapa mental do Gerenciamento de Comunicações. O processo de planejamento das comunicações determina as necessidades de informações e comunicações das partes interessadas no projeto; O processo de distribuição das informações disponibiliza as informações necessárias à disposição das partes interessadas no projeto no momento adequado;

56 33 Figura 4.9: Mapa mental do Gerenciamento das Comunicações (PMI, 2004a) O processo que elabora o relatório de desempenho faz a coleta e distribuição das informações sobre o desempenho, composto das informações do andamento, a medição do progresso e previsão de custos e prazos; e O processo de gerenciar as partes interessadas faz o gerenciamento das comunicações das comunicações para satisfazer os requisitos das partes interessadas no projeto e resolver os conflitos. Esse processo tem como saída principal o plano de gerenciamento das comunicações, ele é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todo o processo de comunicação no processo O Gerenciamento de Riscos O gerenciamento de riscos do projeto inclui os processos que tratam da realização de identificação, análise, respostas, monitoramento e controle e planejamento do gerenciamento de riscos em um projeto; a maioria desses processos é atualizada durante todo o projeto. Os objetivos do gerenciamento de riscos do projeto são aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos ao projeto. Os processos de gerenciamento de riscos do projeto incluem os seguintes: planejamento do gerenciamento de riscos, identificação dos riscos, analise qualitativa dos riscos, analise quantitativa dos riscos, planejamento de respostas a riscos e monitoramento e controle de riscos (PMI, 2004a). A figura 4.10 apresenta o mapa mental do Gerenciamento de Riscos. O processo de planejamento do gerenciamento de riscos desenvolve os meios para a decisão de como abordar, planejar e executar as atividades de gerenciamento de

57 34 Figura 4.10: Mapa mental do Gerenciamento de Riscos (PMI, 2004a) riscos de um projeto; O processo de identificação de riscos determina os riscos que podem afetar o projeto e faz a documentação de suas características; O processo de análise qualitativa de riscos faz uma priorização dos riscos para a análise ou para ação adicional subsequente através de avaliação e combinação de sua probabilidade de ocorrência e impacto; O processo de análise quantitativa de risco faz a análise numérica do efeito dos riscos identificados nos objetivos gerais do projeto; O processo de resposta a risco desenvolve as opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto; e O processo de monitoramento e controle de riscos faz o acompanhamento dos riscos identificados, a monitoração dos riscos residuais, identificação dos novos riscos, execução de planos de respostas a riscos e avaliação da sua eficácia durante todo o ciclo de vida do projeto. Esse conjunto de processos tem como saída principal o plano de gerenciamento de riscos. Este plano é o documento formal que descreve os procedimentos que serão utilizados para gerenciar os riscos através do projeto. O plano de riscos é um dos planos secundários do plano geral do projeto O Gerenciamento de Aquisições O gerenciamento de aquisições do projeto inclui os processos para comprar ou adquirir os produtos, serviços ou resultados necessários de fora da equipe do projeto para realizar o trabalho. A organização pode ser o comprador ou o fornecedor do produto, serviço ou

58 35 resultados sob um contrato. O gerenciamento de aquisições do projeto inclui os processos de gerenciamento de contratos e de controle de mudanças necessários para administrar os contratos ou pedidos de compra emitidos por membros da equipe do projeto autorizados. O gerenciamento de aquisições do projeto também inclui a administração de qualquer contrato emitido por uma organização externa (o comprador) que está adquirindo o projeto da organização executora (o fornecedor) e a administração de obrigações contratuais estabelecidas para a equipe do projeto pelo contrato. Os processos de gerenciamento de aquisições do projeto incluem: planejar a compra, planejar contratações, solicitar respostas de fornecedores, selecionar fornecedores, administração de contrato encerramento do contrato (PMI, 2004a). A figura 4.11 apresenta o mapa mental do Gerenciamento de Aquisições. Figura 4.11: Mapa mental do Gerenciamento de Aquisições (PMI, 2004a) O processo de planejar compras e aquisições determina o que comprar ou adquirir, quando e como efetuar essas atividades; O processo de planejar as contratações faz a documentação dos requisitos de produtos, serviços e resultados e identificação de possíveis fornecedores; O processo de respostas de fornecedores obtém informações, cotações, preços, ofertas ou propostas, conforme a acordado no planejamento do gerenciamento do projeto; O processo de seleção dos fornecedores faz a análise de ofertas, escolha entre possíveis fornecedores e negociação de um contrato por escrito com cada fornecedor; e O processo de administração de contratos faz o gerenciamento do contrato e da relação entre o comprador e o fornecedor, análise e documentação do desempenho atual ou passado de um fornecedor a fim de estabelecer ações corretivas necessárias e fornecer uma base para futuras relações com o fornecedor.

59 36 Esse conjunto de processos tem como saída principal o plano de gerenciamento das aquisições. Este plano é o documento formal que descreve os procedimentos que serão utilizados para gerenciar todos os contratos do projeto. 4.4 A Restrição Tripla dos Projetos Em uma organização, existem muito mais solicitações por projeto do que recursos para trabalhar neles. Neste caso, a insuficiência e a incerteza com relação aos recursos demandados são encaradas como restrições. Os projetos devem trabalhar sob a combinação de três restrições: tempo, custo e escopo. Os gerentes de projetos freqüentemente falam desta restrição tripla : escopo, tempo e custo do projeto no gerenciamento de necessidades conflitantes do projeto. A qualidade do projeto é afetada pelo balanceamento dessas três restrições. Projetos de alta qualidade entregam o produto, serviço ou resultado solicitado dentro do escopo, no prazo e dentro do orçamento. A relação entre essas restrições ocorre de tal forma que se alguma das três restrições mudarem, pelo menos uma outra restrição provavelmente será afetada. Os gerentes de projetos também gerenciam projetos em resposta a incertezas. Um risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo em pelo menos um objetivo do projeto. Uma ou duas dessas três restrições, às vezes as três, são limitadas. É possível que trabalhe em projetos com orçamento folgado, mas com tempo limitado. Outros projetos podem apresentar um cenário oposto: Tem-se todo o tempo necessário, mas o orçamento é fixo. Outros, ainda podem incorporar duas ou três das restrições: Como gerente de projeto, uma das principais funções é equilibrar o trio de restrições, além de atender ou exceder as expectativas dos stakeholders. Na maioria dos projetos, é preciso equilibrar apenas uma ou duas das três restrições (CANEDO, 2007, pp ). 4.5 O Gerenciamento de Programas Um programa é um grupo de projetos relacionados gerenciados de modo coordenado para a obtenção de benefícios e controle que não estariam disponíveis se eles fossem gerenciados individualmente. Programas podem incluir elementos de trabalho interrelacionados fora do escopo dos projetos distintos no programa, eles também envolvem uma série de empreendimentos repetitivos ou cíclicos. Ao contrário do gerenciamento de

60 37 projetos, o gerenciamento de programas é o gerenciamento centralizado e coordenado de um grupo de projetos para atingir os objetivos e benefícios estratégicos do programa. 4.6 O Gerenciamento de Portfólio de Projetos Um portfólio é um conjunto de projetos ou programas e outros trabalhos agrupados para facilitar o gerenciamento eficaz desse trabalho a fim de atender aos objetivos de negócios estratégicos. Os projetos ou programas no portfólio podem não ser necessariamente interdependentes ou diretamente relacionados. É possível atribuir recursos financeiros e suporte com base em categorias de risco/premiação, linhas de negócios específicas ou tipos de projetos genéricos, como infra-estrutura e melhoria dos processos internos. As organizações gerenciam seus portfólios com base em metas específicas. Uma meta do gerenciamento de portfólios é maximizar o valor do portfólio através do exame cuidadoso dos projetos e programas candidatos para inclusão no portfólio e da exclusão oportuna de projetos que não atendam aos objetivos estratégicos do portfólio. Outras metas são equilibrar o portfólio entre investimentos incrementais e radicais e para o uso eficiente dos recursos. Os diretores e equipes de gerenciamento da diretoria normalmente assumem a responsabilidade de gerenciar os portfólios para uma organização. 4.7 O Escritório de Gerenciamento de Projetos O conceito de um escritório para gerenciamento de projetos, conhecido como PMO, já existe há alguns anos. Entretanto muitas organizações estão criando PMOs de diferentes formas. Os objetivos para criar um PMO, e seus benefícios, são muitos. O motivo mais comum pelo qual uma empresa inicia um escritório de gerenciamento de projetos é estabelecer e manter procedimentos e padrões para as metodologias de gerenciamento de projetos a serem utilizadas em toda a organização. Em algumas organizações, os gerentes de projeto podem trabalhar diretamente para o PMO de onde são designados para os projetos, assim que iniciados. Dependendo do tamanho e da função, o PMO às vezes dispõe de especialistas para auxiliar os gerentes de projeto no planejamento, nas estimativas e nas atividades de verificação das premissas de negócio do projeto. Atuam como mentores para os gerentes de projeto principiantes, e como consultores para aqueles experientes. O PMO se encarrega da manutenção e arquivamento da documentação do projeto.

61 38 Todos os documentos e informações são reunidos e rastreados pelo PMO para futura referência. Esse escritório compara o andamento do projeto em relação às suas metas, e passa os resultados para as equipes. Avalia o desempenho dos projetos ativos e sugere ações corretivas. Ao avaliar os projetos concluídos quanto a seu atendimento ao trio de restrições (tempo, custo e escopo), faz a seguinte pergunta: O projeto cumpriu os prazos definidos, permaneceu dentro do orçamento e sua qualidade foi aceitável? Os escritórios de gerenciamento de projetos estão se consagrando nas organizações modernas e, se não existir outro motivo, servem meramente como ponto de coleta da documentação do projeto. Alguns PMOs são bastante sofisticados e prescrevem os padrões e as metodologias a serem usados em todas as fases do projeto, na empresa. Outros fornecem todas essas funções, além de serviços de consultoria em gerenciamento. A criação de um PMO não é condição obrigatória para boas práticas de gerenciamento de projetos. 4.8 Os Processos do Gerenciamento do Projeto Os processos do gerenciamento de projetos organizam e descrevem o trabalho do projeto. São executadas por pessoas e, como as fases do projeto, estão inter-relacionados e dependem uns dos outros. O PMBOK documenta cinco grupos de processos no processo do gerenciamento de projetos: Grupo de Processos de Iniciação; Grupo de Processos de Planejamento; Grupo de Processos de Execução; Grupo de Processos de Monitoramento e Controle; e Grupo de Processos de Encerramento. Os processos de gerenciamento de projetos são apresentados como elementos distintos, com interfaces bem definidas, como apresentados na figura No entanto, na prática eles se sobrepõem e interagem. As especificações de um projeto são definidas como objetivos que precisam ser realizados com base na complexidade, no risco, no tamanho, no prazo, na experiência da equipe do projeto, no acesso aos recursos, na quantidade de. Informações históricas, na maturidade da organização em gerenciamento de projetos, e no setor e na área de aplicação. Os grupos de processos necessários e seus processos constituintes

62 39 Figura 4.12: Processos de monitoramento e controle (PMI, 2004a) são orientações para a aplicação do conhecimento e das habilidades de gerenciamento de projetos adequados durante o projeto. A aplicação dos processos de gerenciamento de projetos a um projeto é iterativa e muitos processos são repetidos e revisados durante o projeto. O gerente de projetos e a equipe do projeto são responsáveis pela determinação de que processos dos grupos de processos serão empregados e por quem, além do grau de rigor que será aplicado à execução desses processos para alcançar o objetivo desejado do projeto. 4.9 Os Ciclos do Gerenciamento de Projeto O gerenciamento de projetos é a aplicação de conhecimento, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos. O gerenciamento de projetos é realizado através de processos, usando conhecimento, habilidades, ferramentas e técnicas do gerenciamento de projetos que recebem entradas e geram saídas. Para que um projeto seja bem-sucedido, a equipe do projeto deve (CANEDO, 2007): Selecionar os processos adequados dentro dos grupos de processos de gerenciamento de projetos (também conhecidos como grupos de processos) necessários para atender aos objetivos do projeto.

63 40 Usar uma abordagem definida para adaptar os planos e as especificações do produto de forma a atender aos requisitos do produto e do projeto; Atender aos requisitos para satisfazer as necessidades, desejos e expectativas das partes interessadas; e Balancear as demandas conflitantes de escopo, tempo, custo, qualidade, recursos e risco para produzir um produto de qualidade. A aplicação desses processos de gerenciamento de projetos pode aumentar as chances de sucesso em uma ampla série de projetos. Isso não significa que o conhecimento, as habilidades e os processos descritos devam ser sempre aplicados uniformemente em todos os projetos. O gerente de projetos, em colaboração com a equipe do projeto, é sempre responsável pela determinação dos processos adequados e do grau adequado de rigor de cada processo, para qualquer projeto específico. Um processo é um conjunto de ações e atividades inter-relacionadas realizadas para obter um conjunto pré-especificado de produtos, resultados ou serviços. Os processos de gerenciamento de projetos são realizados pela equipe do projeto e geralmente se enquadram em uma das duas categorias principais (CANEDO, 2007): Os processos de gerenciamento de projetos, comuns à maioria dos projetos, são associados entre si por seu desempenho visando um objetivo integrado. O objetivo é iniciar, planejar, executar, monitorar e controlar, e encerrar um projeto. Esses processos interagem entre si. Os processos também podem interagir em relação a escopo, custo, cronograma do projeto, etc.; Os processos orientados ao produto especificam e criam o produto do projeto; e Os processos orientados ao produto são normalmente definidos pelo ciclo de vida do projeto e variam por área de aplicação. Os processos de gerenciamento de projetos e os processos orientados ao produto se sobrepõem e interagem durante todo o projeto. Por exemplo, o escopo do projeto não pode ser definido sem que haja algum entendimento básico de como criar o produto ou serviço especificado. O gerenciamento de projetos é um empreendimento integrador. A integração do gerenciamento de projetos exige que cada processo do projeto e do produto seja adequadamente associado e conectado a outros processos para facilitar a sua coordenação. Essas interações entre processos

64 41 muitas vezes exigem que se façam compensações entre requisitos e objetivos do projeto. Um projeto grande e complexo pode ter alguns processos que precisarão ser iterados diversas vezes para definir e atender às necessidades das partes interessadas e para chegar a um acordo sobre o resultado dos processos. As compensações específicas de desempenho irão variar de projeto para projeto e de organização para organização. O gerenciamento de projetos bem-sucedido inclui o gerenciamento ativo dessas interações para atender satisfatoriamente às necessidades do patrocinador, do cliente e de outras partes interessadas. Esta norma descreve a natureza dos processos de gerenciamento de projetos em termos da integração entre os processos, das interações dentro deles e dos objetivos a que atendem (CANEDO, 2007). Esta monografia elegeu o PMBOK para viabilizar a implantação do SGSIC na APF, controlando os resultados e construindo, por meio das lições apreendidas no processo de encerramento do projeto, uma base de conhecimentos para outras oportunidades de implementação ou a construção da SIC nos órgãos da APF.

65 42 5 Modelos de Referência para a Gestão da Segurança da Informação e Comunicação Um Modelo de Referência para a Gestão da Segurança da Informação e Comunicação (MR-GSIC) é necessário para orientar as ações na diversidade de áreas do gerenciamento de TIC, buscando uma melhoria continua dos processos e serviços implementados e na conformidade com as exigências legais e dos requisitos da missão institucional. A GSIC tem hoje uma visão orientada para a gestão de processos, integrando-a às várias áreas do gerenciamento da TIC de uma forma estruturada e prática. É necessário o domínio de conceitos de gestão de processos e estar capacitado para elaborar modelos de processos para a integrá-los à GSIC. A elaboração de um Modelo de Referência (MR) para os vários aspectos da SIC é uma abstração perseguida pelo Governo Federal quando da formação dos GTs, com a finalidade de tornar mais eficaz o esforço de subsidiar a implantação da GSIC na APF. A dificuldade para implantação e divulgação do MR na APF foi o vetor da transformação do modelo fundamentado nas prescrições normativas da Política de Segurança da Informação (PSI), Decreto Lei 3505, para um MR mais abrangente e aderente às normas internacionais e aos princípios de boas práticas da Governança de TI (CARDOSO, 2000). Os modelos internacionais de qualidade atuais adotam sempre uma visão por processos e de melhoria continua. As disciplinas de TIC colhem benefícios quando passam a adotar as técnicas de gestão por processos em suas atividades. Criam visibilidade, implantam conceitos de serviços e seu gerenciamento, além de criar enorme integração entre as diversas áreas usuárias e o próprio time de tecnologia, isto porque, nas últimas duas décadas presenciamos grandes evoluções nas áreas de conhecimento relacionadas à gerência de Tecnologia da Informação e das Comunicações (TIC), bem como do uso do conhecimento nos processos de gestão. Três fatores são essenciais para mudanças na forma de planejar,

66 43 usar e extrair benefícios da TIC: 1. a evolução dos modelos de gestão aceitos internacionalmente; 2. a evolução tecnológica que permite a integração destes modelos em ambientes organizacionais reais; e 3. o uso de indicadores e conceitos de governança nas práticas de gestão de TIC e qualidade (RALHA, 2008). Permitindo ligar todos esses conhecimentos e estruturá-los de forma prática, ágil e de fácil transmissão a toda a empresa, os conceitos de processos e suas técnicas ocupam um lugar essencial. Hoje é necessário dominar os conhecimentos de processos para que se possa extrair o que há de melhor nas práticas internacionalmente adotadas (RALHA, 2008). Apenas por meio do monitoramento, controle e aperfeiçoamento de processos da organização é que esta poderá aperfeiçoar seu desempenho ao longo do tempo. Desta forma, sistemas de informação adequadamente construídos e gerenciados conduzem as organizações a se tornarem cada vez mais eficazes e eficientes no cumprimento de sua missão (FERNANDES; RALHA, 2005). O MR do GT-2005 propõe uma visão de orientação ao processo, à melhoria continuada pela adoção do Ciclo PDCA com a busca a aderência às boas praticas e normas internacionais, e principalmente a ISO Os MRs propostos inicialmente entre os anos de 2000 e 2005 não contemplavam os requisitos de Governança de TI, Gestão de Riscos e a busca pela Conformidade. Esses aspectos destacam-se no cenário internacional com uma importância e a relevância para a GSIC de tal forma que foi não só considerado GT-2005 na elaboração do MR, mas principalmente neles fundamentados. Agregando os princípios do gerenciamento de projetos segundo o Guia PMBOK para a implantação do MR do GT-2005, a sua viabilidade cresce se comparada aos outros modelos propostos. Passaremos rapidamente uma descrição sumarizada dos Modelos de Referência anteriores ao do GT-2005, comparando as suas estratégicas de implantação.

67 O Modelo de Referência da SLTI O Modelo de Referência para a Segurança da Informação (MR-SI) da SLTI 1 foi proposto logo após o Governo Federal ter-se manifestado no sentido de assegurar a proteção da informação sob sua guarda e aquela de interesse do cidadão por meio do Decreto Lei 3505 de 13 de Junho de 2000, que instituía a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal. É fundamental para a garantia aos cidadãos à privacidade, além do direito à consulta sobre os dados coletados nos sistemas governamentais, previstos na Constituição, devendo os websites públicos comprometer-se com a garantia da confiabilidade às informações de caráter pessoal que são armazenadas em suas bases de dados, sejam elas relativas aos usuários ou pessoas que compõem a administração pública (CARDOSO, 2000) A estrutura do modelo No processo de modelagem levou-se em consideração que a Segurança da Informação (SI) estava em um contexto mais amplo, propondo-se então, um maior controle sobre os ativos de informação, assim como sobre os serviços disponibilizados pelas diversas áreas do Governo. Pretendia-se tornar desta forma, mais tangível a avaliação da qualidade dos serviços e a responsabilização sobre o uso indevido ou má administração de tais recursos. O modelo incluia as fases de avaliação, projeto, implementação, gerenciamento, suporte, treinamento e conscientização em segurança da informação, nos seus processos e produtos. Destacava a identificação e maximização do uso coerente e seguro dos recursos e de proteção dos ativos de informação contra roubo, vandalismo e de políticas para e do tratamento de ataques, visando à manutenção da segurança. Neste contexto, as fases deste ciclo são avaliadas e revistas periodicamente, considerando as normas e procedimento envolvido, conforme as exigências tecnológicas impostas pela estruturação do e-business e do e-commerce, ou qualquer outro tipo de transação envolvendo interações eletrônicas. Considerava também que o MR-SI ultrapassa os limites da segurança das redes de computadores. Ele pretendia um amplo conjunto de procedimentos, mecanismos, normas, diretrizes e políticas necessárias à salvaguarda da informação governamental, incluindo 1 A SLTI é Órgão do Ministério do Planejamento, Orçamento e Gestão e tem como atribuição planejar, coordenar, supervisionar e orientar normativamente as atividades dos Sistemas de Administração dos Recursos de Informação e Informática (SISP) e Serviços Gerais (SISG), bem como propor políticas e diretrizes a eles relativas, no âmbito da Administração Federal direta, autárquica e fundacional.

68 45 assim, todas as informações em processamento, em trafego nas redes de computadores, armazenadas em meios magnéticos, e aquelas sob guarda do Governo (CARDOSO, 2000). Cada área considerada pelo modelo seria tratada sob os aspectos conceituais, físicos, lógicos e de recursos humanos. O modelo e a metodologia consideravam a SI sob os seguintes aspectos (MACHADO; BEZERRA; LIMA, 2000): 1. Ataques à segurança: Qualquer ação que comprometa a segurança da informação governamental; 2. Mecanismos de segurança: Qualquer mecanismo utilizado para a detecção, prevenção ou recuperação de danos causados pelos ataques à SI; e 3. Serviços de segurança: Qualquer serviço que garanta a segurança dos sistemas de processamento de dados e as informações que trafegam nas redes. O objetivo dos serviços de segurança é a contenção dos ataques à segurança. A implantação destes serviços pode ocorrer a partir da implementação de um ou mais mecanismos de segurança. A arquitetura do MR-SI é uma hierarquia de políticas sustentadas por normas e recomendações que por sua vez estão ancoradas em procedimentos e guias Os serviços primários O MR-SI é caracterizado por um conjunto de serviços de segurança classificados em primários e derivados (MACHADO; BEZERRA; LIMA, 2000). Os serviços primários são descritos abaixo O Serviço da Disponibilidade: Uma grande variedade de ataques pode resultar na perda ou redução da disponibilidade da informação. Alguns desses ataques são compensados através de medidas automatizadas, como a autenticação e a criptografia, ao passo que já outros requerem algum tipo de ação física para a prevenção ou recuperação das perdas de disponibilidade de elementos de um sistema distribuído. 2. O Serviço de Integridade: O serviço de integridade pode ser aplicado a todo um fluxo de mensagens de uma conexão, a uma única mensagem ou a determinados campos 2 Os serviços referem-se aos do Modelo de Segurança da Informação SLTI (MACHADO; BEZERRA; LIMA, 2000), e não os serviços especificados na arquitetura de serviços do modelo NIST , Underlying Technical Models for Information Technology Security (STONEBURNER, 2001)

69 46 desta mensagem. Uma conexão que tenha este princípio implantado garante que as mensagens serão recebidas como foram enviadas, sem duplicação, inserção indevida, modificação, sem reordenação ou repetições. A destruição de dados também é tratada neste serviço. Sob outro foco, este serviço trata tanto da modificação da mensagem como da negação de serviços. É possível fazer uma distinção entre o serviço com e sem recuperação. Porque o serviço de integridade trata de ataques ativos, a atenção se concentra na detecção ao invés da prevenção. Caso uma violação de integridade seja detectada, então o serviço pode simplesmente informar esta violação, de forma que uma outra parte do software ou algum tipo de intervenção humana seja necessária para a recuperação de tal violação. De forma alternativa, existem mecanismos disponíveis para a recuperação de perda de integridade de dados. Esta última alternativa é a mais atraente. 3. O Serviço de Confidencialidade: A confidencialidade é a proteção das informações contra ataques passivos e análise de mensagens, quando em trânsito nas redes ou contra a divulgação indevida da informação, quando sob guarda. Com respeito à utilização indevida de conteúdos de mensagens, pode-se identificar diversos níveis de proteção para cada tipo de informação identificado. Podem ser definidas diversas formas para estes serviços, incluindo a proteção de mensagens individuais ou até mesmo de campos dentro desta mensagem. Este processo de identificação e refinamento daquilo que realmente deve ser protegido é bastante complexo e se reflete em toda a estrutura de segurança adotada. 4. O Serviço de Autenticidade: O serviço de autenticação se relaciona com a garantia de que a comunicação é autentica. No caso de uma simples mensagem, como é o caso de um sinal de alarme, a função da autenticação é garantir ao receptor que a mensagem é realmente originária da fonte informada. No caso de uma interação em tempo real, como a conexão de um computador com outro, pode-se considerar dois aspectos, o primeiro no momento da inicialização da conexão, este serviço deve garantir que as duas entidades são autenticas, ou seja, que são quem alegam ser. Em segundo lugar, o serviço deve garantir que a comunicação deve ocorrer de forma que não seja possível a uma terceira parte se disfarçar e se passar por uma das partes já autenticadas na inicialização da conexão para conseguir transmitir e receber mensagens de forma autorizada.

70 Os serviços secundários 1. O Serviço de Não Repúdio: Este serviço previne tanto o emissor como o receptor, contra a negação de uma mensagem transmitida. Desta forma, quando uma mensagem é enviada, o receptor pode provar que de fato a mensagem foi enviada pelo emissor em questão. De forma similar, quando uma mensagem é recebida, o emissor pode provar que a mensagem foi realmente recebida pelo receptor em questão. 2. O Serviço de Controle de Acesso: No contexto de segurança de rede, o controle de acesso é a habilidade de limitar ou controlar o acesso aos computadores hospedeiros ou aplicações através dos enlaces de comunicação e do controle de acesso físico. Para tal, cada entidade que precisa obter acesso ao recurso, deve primeiramente ser identificada, ou autenticada e de forma a que os direitos e permissões de acesso sejam atribuídos ao usuário A estratégia para a implantação A estratégia da implantação do modelo de Gestão de Segurança da Informação foi um reposicionamento, no âmbito do Governo Federal, da implementação da Política de Segurança da Informação do Poder Executivo Federal (PSIPE), de modo a receber um tratamento destacado e permanente por meio do estabelecimento dessa PSIPE, cabendo à Secretaria-Executiva do Conselho de Defesa Nacional (SECDN), órgão vinculado ao GSI da PR, assessorada pelo CGSI, propor as diretrizes para a implementação da PSIPE no contexto do Poder Executivo Federal. O Governo Federal desenvolveria a PSIPE de acordo com as diretrizes do CGSI, e contando com o apoio técnico/operacional da Câmara Técnica de Segurança da Tecnologia da Informação (CT-STI)/SISP. Por sua vez, a SLTI do Ministério do Planejamento, Orçamento e Gestão (MPOG), exerceria o papel preponderante na implementação da PSIPE, considerando que a mesma tinha entre as suas atribuições a competência de coordenar as atividades do SISP, propondo políticas, diretrizes e normas de Informação e Informática, no âmbito da APF direta, autárquica e fundacional. A dinâmica operacional da Câmara Técnica seria cíclica conforme detalhamento da figura 5.1. Para configurar um via PSIPE a Gestão da Segurança da Informação foi desenhada por meio da Estratégia para a Segurança da Informação, que nunca se formalizou na SLTI

71 48 Figura 5.1: Dinâmica operacional da Câmara Técnica (MACHADO; BEZERRA; LIMA, 2000) para a APF A estratégia de segurança de informação A estratégia de segurança de informação modelava três componentes chaves: a modelagem dos processos de segurança, a avaliação e a conformidade dos produtos de segurança e os serviços de controle de acesso. Na figura 5.2 temos uma representação da Estratégia de Segurança de Informação. A Estratégia de Segurança da Informação seria por sua vez suportada por ações nas dimensões institucional, funcional e especifica conforme a figura 5.3.

72 49 Figura 5.2: Representação da Estratégia de Segurança de Informação (MACHADO; BE- ZERRA; LIMA, 2000) Considerações sobre a utilização do MR-SI da SLTI Embora o modelo da SLTI mapeie as demandas por Segurança da Informação conforme as que constam em (CARDOSO, 2000), e daí para as quatro áreas de preocupação a saber: controles e avaliação, planejamento procedimentos e normas, esquema da figura 5.1, o MR-SI e as áreas de preocupação mapeadas são insuficientes para dar cabo da complexidade e heterogeneidade dos órgãos da APF. O significado da implantação orientada a uma PSI ficou defasado em termos da necessidade de uma procura de conformidade com as boas práticas do macro-modelo de Governança de TI: COBIT, ISO 27000, ITIL, e PMBOK como ficou explicitado nos estudos de interoperabilidade dos sistemas Padrões de Interoperabilidade de Governo Eletrônico (eping) (MPOG, 2007). Destaca-se principalmente o advento no Governo Federal da ICP-Brasil e da Coordenação Geral de Tratamento de Incidentes de Rede do DSIC, que exigiram uma revisão das idéias de implantação de um MGSIC no Governo Federal baseado tão somente nas preocupações de uma PSI. O GT-2005 levou essas características em conta na formulação MGSIC do GT-2005,

73 50 Figura 5.3: Suporte à estratégia de segurança de informação (MACHADO; BEZERRA; LIMA, 2000) sem deixar de incorporar os valores da preocupação da interoperabilidade dos sistemas da APF que o MR-SI da SLTI tinha incorporado inicialmente em sua formulação. 5.2 O Modelo de Referência do NI-DSIC Esta seção resgata o MR-GSIC para a APF, descrito em (NI-DSIC, 2005). proposta de modelo foi o fundamento para os trabalhos do GT Essa Em conseqüência, desde 2000, diversos grupos de trabalho estabelecidos pelo CGSI têm estudado as diretrizes apontadas no decreto em busca de soluções para sua efetiva implementação. O empreendimento tem se mostrado de grande complexidade, haja vista o número de entidades da APF e suas diferenças de pessoal qualificado, práticas e políticas já estabelecidas, adequação dos níveis de segurança, localização geográfica no território nacional, além de muitos outros fatores, inclusive de natureza política, que dificultam o estabelecimento de ações com abrangência global e eficiente (NI-DSIC, 2005). O MI-GSIC tinha o objetivo de apresentar uma formulação de base puramente terminológica, que implicaria na construção de uma rede de conceitos inter-relacionados para atender a necessidade prática de conformidade de boas práticas de GSIC, mas evolui ex-

74 51 perimental para um modelo abstrato sem embasamento em uma metodologia ou diretivas de implantação em termos de normas e serviços A estrutura do modelo A proposta do NI-DSIC, visava originalmente estabelecer as bases do MI-GSIC, instrumento de referência para orientar a implementação e o gerenciamento da PSIC da APF. Procurava primeiramente a harmonia com os conceitos estabelecidos no Decreto de 13 de junho de 2000, que instituiu a Política de Segurança da Informação nos órgãos e entidades da APF, sendo que no artigo 6º criou o CGSI, com a missão de assessorar a Secretaria Executiva do Conselho de Defesa Nacional, entidade personificada pelo GSI, conforme parágrafo único do artigo 16º da Lei de 28 de maio de A nota semântica: informação & comunicação Logo de inicio uma consideração acerca da termologia se impôs, qual o significado de Informação e qual o significado de Comunicação? Essa indagação ficou como uma nota semântica, a luz da seguinte consideração: O Decreto 3.505, apesar de seu conteúdo expressar diversas ações relacionadas com as Comunicações no sentido de tecnologias relacionadas com o trânsito da informação ao longo do espaço, manteve o nome da política apenas com o vocábulo Informação. Entretanto, para que haja aderência ao conceito de TIC ( Tecnologia de Informação e Comunicações ), termo usualmente empregado tanto no Brasil quanto no exterior, será usado o termo SIC, com o significado de Segurança da Informação e das Comunicações. Esta liberdade semântica parece não trazer contratempos legais, considerando-se que o Decreto considera o conceito Comunicações coincididas no de Informação. (NI-DSIC, 2005) As funções e os processos do modelo O modelo previa que, para a correta execução da PSIC e implementação de MI-GSIC, numerosos subprocessos ou funções deveriam acontecer harmônica e simultaneamente no espaço da APF, todos colaborando e convergindo para a perfeita materialização do processo global, qual seja, a implementação e gestão da SIC na APF. Análogo a um organismo vivo, se cada órgão cumprir com sua missão específica e de forma apropriada, espera-se que esse processo global funcione satisfatoriamente. Para não se cair na armadilha de uma visão

75 52 reducionista, é bom lembrar que a visão holística deverá permanecer no GSI, por meio de suas assessorias específicas e, em especial, daquela de maior abrangência o CGSI (NI-DSIC, 2005). E ainda para as funções necessárias à correta atuação do modelo: O mapeamento das várias funções necessárias à correta atuação do modelo em pauta, além de considerar seus agentes executores correlatos, baseou-se no escrutínio das três classes subjacentes ao nosso universo, quais sejam, a classe dos sujeitos (espírito), a dos objetos (matéria/energia) e a das informações (iteração entre sujeito e objeto, cultura). Estes conceitos filosóficos aplicados ao nosso limitado problema, nos conduziram ao levantamento de uma série de funções e agentes, relacionados respectivamente, com as categorias Homem, Infra-estrutura e Processos. Na tabela mostrada no anexo I 3 será apresentado o conjunto de funções e seus respectivos agentes executores, alguns com embasamento jurídico específico e bem definido, outros selecionados em razão de suas competências e especialidades, além de seus desígnios jurídicos serem capazes de abranger as novas funções. O estabelecimento pelo GSI das articulações necessárias para estimular suas adesões ao programa complementa o modelo. Muitas das funções poderão ser exercidas por mais de um agente, permanecendo apenas um órgão central como coordenador das ações a serem exercidas pelos demais (NI-DSIC, 2005) A estratégia para a implementação Uma posição equilibrada na execução de modelos de PSIC e GSIC foram adotadas, o equilíbrio entre os dois extremos: o GSI permanece com sua atribuição legal de órgão central para o trato, articulação e a regulamentação das atividades de SIC, mas, compartilhando grande parte das funções executivas com outros órgãos da APF que sejam detentores dos requisitos legais ou vocacionais para sua efetiva realização. Ficou conhecida como a Premissa Fundamental do MI-GSIC, como representada na figura Os princípios de implementação Em (NI-DSIC, 2005), a implementação do modelo depende da adequada aplicação de três princípios que estiveram implícitos no mapeamento das funções necessárias: 1. transversalidade; 2. especialização; e 3 O anexo I citado é a tabela 5.1.

76 53 Figura 5.4: Estratégia de Implementação (NI-DSIC, 2005) Funções Agentes Conscientização GSI, Abin, PNPC Capacitação GSI-PR, CASNAV, Marinha, SER- PRO, Escolas do Governo Auditoria CGU Interoperabilidade dos Sistemas SIC, MPOG, SLTI Certificação Digital Casa Civil, ITI Homologação Casa Civil, ITI Normalização DSIC Tratamento de incidentes de redes GSI, CTIR-Gov Credenciamento de Segurança GSI-PR, SISNAC Infra-estrutura de Comunicações MINICOM, GSI, Abin, CEPESC Ciência, Tecnologia e Inovação MCT, GSI, Abin, CEPESC Forense Computacional MJ, DPF Acordos Internacionais MRE Defensoria AGU Guerra Cibernética MD Tabela 5.1: Tabela funções e agentes no MR-GSIC 3. replicação. O princípio da transversalidade É o princípio que se diferencia pelos critérios básicos: 1. as atividades de implementação da MI-GSIC são de inteira responsabilidade do dirigente de cada órgão da APF, permanecendo o GSI (CGSI e NI-DSIC) como entidade catalisadora dos eventos e responsável pela homogeneidade das normas e metodologias empregadas nas atividades de implementação e gestão; e

77 54 2. funções especializadas devem ser, em configuração articulada com o GSI, desempenhadas por órgãos específicos habilitados a exercê-las de maneira transversal, permeando toda a APF com suas ações específicas no contexto da implementação ou gestão da PSIC (NI-DSIC, 2005). O princípio da especialização Este princípio estipulava que as diversas funções do modelo deveriam ser executadas por órgãos ou conjunto de órgãos que fossem especializados nas particularidades ou características das funções que eram desempenhadas, muitas destas funções do modelo da MI-GSIC já estavam definidas na legislação vigente ou vieram a sê. Para aquelas que ainda não estavam estabelecidas juridicamente, deveria ser selecionado o órgão com a melhor vocação para seu desempenho, após o que os instrumentos jurídicos e normativos deverão ser institucionalmente estabelecidos. O princípio da replicação Por analogia com aos fractais estruturas geométricas nas quais certos padrões de nível superior repetem-se indefinidamente nos níveis subseqüentes, este princípio estabelecia que os preceitos gerais fixados para a APF como um todo deveriam, com suas devidas adaptações, serem replicados nos seus órgãos componentes, sub-componentes e assim por diante, até as unidades geográficas e estruturalmente isoladas da União. Uma das conseqüências deste princípio define que cada unidade isolada da APF deveria repetir neste nível as duas estruturas maiores (CGSI e DSIC), ou seja, em cada entidade isolada da APF deve existir um Comitê multidepartamental no nível político e um ou mais Grupos Executivos permanentes, inseridos no organograma da instituição, com o objetivo de implementar no cotidiano as ações definidas pelo Comitê O MR-GSIC do NI-DSIC e a auditoria do TCU Os sucessivos relatórios de auditoria do TCU (BEMQUERER, 2005), na forma de acórdão, que a partir de 2004 observavam a não existência nos órgãos das PSI e de normas formalizadas que concorressem para a boa Gestão da Segurança da Informação e Comunicação na APF, levou o GSI a instituir o Grupo de Trabalho que teve o objetivo de definir e desenvolver uma proposta de Modelo de Gestão de Segurança da Informação para APF (MGSI-APF), com o correspondente conjunto de normas, padrões e procedi-

78 55 mentos para serem utilizados na parametrização com o Sistema de Controle Interno do Poder Executivo Federal quando da realização dos processos de auditoria. O Grupo de Trabalho (GT) foi denominado de Grupo de Trabalho Metodologia 2005 (GT-2005) e produziu em 2006 o documento Metodologia para a Gestão da Segurança da Informação e Comunicação para a Administração Publica Federal (FELIX, 2005) e (FELIX, 2006) Considerações sobre a utilização do MI-GSIC do NI-DSIC O MI-GSIC do NI-DSIC veio à luz a partir da publicação dos acórdãos do TCU relativos à Segurança da Informação e Comunicação para a APF que exigiam da APF uma demonstração da preocupação não só com a SIC mas também com o planejamento estratégico para a TI na APF, mapeados em princípios de Governança de TI. O TCU considerava explicitamente os modelos de boas praticas de um framework composto de: COBIT, ITIL e ISO/IEC e posteriormente a ISO/IEC O MI-GSIC mesmo não sendo considerado um modelo de implantação da GSIC na APF viabilizou a criação do GT-2005 em termos demandas de um desenho de modelo que atendesse os requisitos da conformidade com os controles do TCU e da Controladoria- Geral da União (CGU) (BEMQUERER, 2005). 5.3 O Modelo de Referência do GT-2005 Com o titulo de Metodologia para a Gestão da Segurança da Informação e Comunicação para a Administração Publica Federal, o GT-2005 apresentou o relatório final com uma solução estruturada de MGSIC para a implantanção na APF e a metodologia de seleção de implementação gradual dos controles de segurança para o MGSIC, fundamentado em ciclo melhoria da qualidade PDCA A estrutura do modelo O relatório definiu os ciclos da estratégia gerencial de uma forma estruturada no ciclo PDCA. A solução é subsidiada por cinco anexos, sendo que: O Anexo 1 é uma proposta de norma com aplicabilidade em todos os órgãos da APF; O Anexo 2 descreve as diretrizes dessa norma, num formato tático-operacional;

79 56 O Anexo 3 descreve os procedimentos básicos de caráter operacional para iniciar a implantação da Gestão da Segurança da Informação; O Anexo 4 apresenta o detalhamento de itens do relatório referente às fases de implantação; O Anexo 5 contém um extrato do Anexo 2, especialmente formatado para servir de fonte de indicadores a serem aferidos em processos de conformidade interna e de auditorias. Todos os elementos da solução proposta foram elaborados tomando por referência as melhores práticas correntes de Gestão de Segurança da Informação e Comunicações e as particularidades da Administração Pública Federal (GT-2005, 2006) Os pressupostos de trabalho do GT-2005 O trabalho do GT-2005 foi elaborado tomando por referência alguns pressupostos para contemplar a diversidade dos ambientes e situações da APF: 1. Os órgãos da APF, em sua maioria, não contam com conhecimento sobre SIC suficiente para implementarem, em curto prazo, uma estrutura eficiente de gestão e, portanto, devem contar com meios para, paulatinamente, resolverem a questão; 2. Os órgãos da APF, em sua maioria, carecem de uma orientação mais específica sobre o que fazer e o como fazer a respeito da implementação da segurança das suas informações, sendo que, mesmo aqueles que têm implementações na área, não contam com amparo legislativo e normativo suficiente que definam uma estratégia de Estado sobre o assunto; 3. O estágio incipiente em que se encontram diversos órgãos da APF, seja a respeito do nível de conhecimento seja no tocante às implementações de sua Segurança da Informação, faz com que as primeiras orientações governamentais tenham que ser simples e factíveis, mantida a compatibilidade com as melhores práticas sobre Segurança da Informação e Comunicações adotadas nacional e internacionalmente; 4. A prática da SIC em qualquer organização da APF deverá sempre contar com uma estrutura gerencial que, além de traçar rumos, monitorar ações e adequar desvios, deve ser hierarquicamente subordinada à alta administração da organização.

80 O modelo e a metodologia de implantação A complexidade, os requisitos e demandas da APF, relacionados à SIC remetem a uma visão de natureza sistêmica. O gerenciamento desta complexidade contextualizada sugere o desenvolvimento de um modelo e de uma metodologia, que servirão como um importante recurso para a implementação de ações e diretrizes, dando sustentação institucional aos processos relacionados. Este documento apresenta um modelo de gestão e uma metodologia. No seu desenvolvimento foram consideradas as diferentes missões de cada órgão, a maturidade tecnológica e a disponibilidade de recursos humanos, assim como as necessidades estratégicas da APF. O modelo estabelece formas de identificação de requisitos e estabelecimento de ações que representam os ciclos da estratégia gerencial. A metodologia para a Gestão da Segurança da Informação e Comunicações na APF, foi elaborada considerando as etapas e os procedimentos necessários à implementação dos ciclos do modelo de gestão, fundamentando a elaboração de uma proposta de norma para harmonizar a SIC na APF com um conjunto de procedimentos e padrões aceitos nacional e internacionalmente O Ciclo PDCA O MGSIC proposto baseia-se no modelo de gestão de processos ou modelo de melhoria contínua dos processos denominada ciclo Plan-Do-Check-Act (PDCA), representado na figura 5.5. A escolha do ciclo PDCA baseou-se nos três critérios básicos abaixo explicitados: 1. Simplicidade do modelo. 2. Compatibilidade com a cultura de Gestão de Segurança da Informação, em formação nos meios organizacionais brasileiros, que considera os padrões internacionais e nacionais vigentes, sendo ABNT NBR ISO/IEC 27001:2006 a norma que recomenda o modelo de gestão adotado neste trabalho. 3. Concordância com práticas de qualidade e gestão adotadas em programas aplicados na APF. A simples adoção de ABNT NBR ISO/IEC 27001:2006 por norma jurídica poderá

81 58 Figura 5.5: Ciclo PDCA (GT-2005, 2006) comprometer os valores que eventualmente seriam incorporados ao corpo de conhecimento da SIC, pois são elementos culturais que influenciam o processo semelhante à implantação de programas de qualidade em uma organização Diretivas para a implantação Para potencializar as chances de sucesso das decisões decorrentes deste trabalho, o GT elaborou algumas recomendações que, pela sua relevância, foram consideradas em tópico específico. Considerando as peculiaridades dos diferentes órgãos e entidades da APF que ficarão submetidos a esta formulação de modelo e metodologia, adotou-se como pressuposto básico do trabalho a heterogeneidade da APF; desta forma, foram identificados os seguintes aspectos e ponderações: 1. Implantação gradativa Incluir no arcabouço legal a implantação gradativa das exigências sugeridas no presente trabalho; ou seja, criar um cronograma formulado por portaria conjunta do GSI e CGU da PR com flexibilidade para ser alterado ao longo do tempo que

82 59 estabeleceria níveis graduais de controle, compatíveis com a realidade de cada um dos órgãos. 2. Forma de implantação Estabelecer normas gerais para se atingir as exigências básicas. Os controles suplementares serão agregados em normas especiais e explicitados para os órgãos que compõem a infra-estrutura crítica do país. 3. Adequação Orçamentária Alocar recursos destinados à Segurança da Informação no Orçamento Geral da União (OGU). 4. Adaptação da Estrutura Organizacional Sugerir ao MPOG a criação de uma estrutura mínima de Segurança da Informação na forma de órgão ou comitê dentro de cada ministério e de alguma forma vinculados ao órgão coordenador do sistema GSI da PR. A missão desse órgão ou comitê seria exclusivamente coordenar o processo de implantação do método no âmbito daquele órgão (segregação de funções). 5. Criação de Estrutura Específica Sugerir ao MPOG a criação de carreira funcional voltada para a Segurança da Informação, de modo a selecionar e especializar servidores com perfil específico para o setor, sem a necessidade de terceirização da mão-de-obra e conseqüente manutenção do conhecimento no âmbito da APF. 6. Treinamento Promover cursos presenciais, à distância, fóruns de discussões e parcerias, de modo a estimular a disseminação, o desenvolvimento e a padronização do conhecimento relacionado à Segurança da Informação. 7. Atribuição de Responsabilidade Definir as atribuições dos responsáveis pelas seguintes atividades: (a) atualização das normas e procedimentos propostos neste documento; (b) capacitação dos auditores externos e internos para a verificação de conformidade ao Modelo de Segurança da Informação proposto; e

83 60 (c) pelo fiel cumprimento das normas, procedimentos e instruções pertinentes ao Modelo de Segurança da Informação proposto, dentro dos diversos órgãos da APF. 8. Divulgação Promover a divulgação por meio de palestras, Internet etc. do Modelo de Segurança da Informação proposto e suas respectivas normas, procedimentos e padrões, os quais fazem parte dos anexos a este documento. 9. Nível de Maturidade e Métricas Elaborar processos de verificação periódicos do nível de maturidade em SIC nos diversos órgãos da APF, por exemplo, pelo emprego de formulários eletrônicos. 10. Criação de GT Específico pra o Projeto Piloto Criar um Grupo de Trabalho com a atribuição de aplicar o modelo proposto em pelo menos um órgão da APF, a título de projeto piloto Os controles de segurança selecionados Os controles foram estabelecidos tomando por referência as normas ABNT NBR ISO/IEC 17799:2005 (controles) e ABNT NBR ISO/IEC 27001:2006 (gestão), uma vez que, entre as boas práticas existentes e referências normativas de maior notoriedade e aceitação no Brasil e no exterior, consideradas neste trabalho, constatou-se serem essas as menos complexas e com mais chances de produzir resultados em prazos mais curtos na APF. Logo, os controles adotados para servir como referência na Gestão de Segurança da Informação para os órgãos da Administração Pública Federal são os seguintes: 1. Politica de Segurança: documento fundamental para o estabelecimento da segurança na organização que tem como objetivos principais fornecer o direcionamento e o suporte administrativo necessários para a Segurança da Informação. 2. Organizando a Segurança da Informação (a) Infra-estrutura da Segurança da Informação: definição de uma área da organização como responsável pela implantação das determinações da Política de Segurança da Informação e de seus desdobramentos, bem como pelo gerenciamento da Segurança da Informação na organização;

84 61 (b) Partes Externas: classificação dos riscos relacionados com partes externas a organização relacionados à segurança dos recursos de tratamento de informação que são acessados, processados, comunicados ou gerenciados por partes externas. 3. Gestão de Risco: processo de monitoramento dos riscos a que a informação a ser protegida está submetida de acordo com o seu valor estimado. 4. Gestão de Ativos: inventário dos principais ativos da organização e atribuição de responsabilidades aos seus gestores por qualquer quebra de segurança provocada por ação ou omissão decorrente de ato ilícito. 5. Segurança em Recursos Humanos: garantia de que os funcionários, fornecedores e terceiros entendem as suas responsabilidades e têm conhecimento das normas técnicas sobre procedimentos e medidas de segurança. 6. Segurança Física e do Ambiente: conjunto de medidas voltadas para a prevenção e a obstrução das ações ou ocorrências adversas de qualquer natureza que possam comprometer as áreas e as instalações da organização onde sejam tratadas informações classificadas. 7. Gerenciamento das Operações e Comunicações: planejamento e orientação de uma área estratégica e competente de governo, de maneira a dar o suporte técnico necessário aos órgãos para que estes não fiquem completamente dependentes de serviços terceirizados. 8. Controle de Acessos: controle de acesso à informação através de credencial de segurança e demonstração da necessidade de conhecer. 9. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: definição de uma metodologia para a identificação e a especificação dos requisitos de segurança antes do desenvolvimento e/ou implementação de sistemas de informação. Na metodologia devem estar contemplados: sistemas operacionais, infra-estrutura, aplicações e serviços desenvolvidos inclusive por usuários internos. Os acordos baseados em requisitos de segurança devem ser explicitamente formulados com os fornecedores, quando da aquisição e desenvolvimento de sistemas pela APF. 10. Gestão de Incidentes e Segurança da Informação: conjunto de processos destinados a assegurar que fragilidades e eventos de segurança da informação associados com os

85 62 sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. 11. Gestão da Continuidade de Negócio: mecanismo utilizado para impedir ou evitar a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil. 12. Conformidade: processo no qual é verificada a conformidade entre as ações de segurança implementadas e todos os requisitos de segurança específicos do ambiente independentemente do tipo de norma em que foi estabelecido. Para cada um dos controles descritos, foram pormenorizados procedimentos para sua implementação, os quais constam do Anexo 2 de (GT-2005, 2006). Para o processo de gestão, propriamente dito, a pormenorização das ações está detalhada no Anexo 3 de (GT-2005, 2006). Com o objetivo de facilitar a estruturação dos processos de verificação da conformidade e de auditoria pelo órgão competente da APF, o Anexo 5 de (GT-2005, 2006) apresenta uma síntese dos controles para verificação da conformidade. Tendo em vista a referência básica ter sido a norma ABNT NBR ISO/IEC 17799:2005, cabe ressaltar os controles: Gestão de Incidentes e Segurança da Informação e Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação apresentam elevada complexidade no processo de implementação, o que implicará em uma dificuldade para a efetiva prática em curto espaço de tempo. Para esses controles, não foram definidos procedimentos detalhados e personalizados nos anexos, sendo de implementação opcional, até a próxima reavaliação do modelo do GT Considerações sobre o Modelo de Referência do GT-2005 O GT-2005 por meio de seu Modelo de Referência do SGSIC apresenta um conjunto normativo que pretende agregar valor ao processo de implantação da GSIC na APF (GT- 2005, 2006), mas cria o problema do gap conceitual da implantação SGSIC na APF, por isso faz a recomendação da criação de um Grupo de Trabalho com a atribuição de aplicar o modelo proposto em pelo menos um órgão da APF, a título de projeto piloto. Tenta viabilizar assim uma estratégia por meio da demanda urgente por uma entidade governamental que tenha como finalidade o estabelecimento da gestão estratégica para a área de GSIC. A entidade atuaria como ponto de convergência e como gerador de

86 63 diretrizes para a área. As diretrizes e ações seriam operacionalizadas em cada órgão e entidade pública com o acompanhamento e assessoramento técnico fornecido pelo nível estratégico (GT-2005, 2006). Essas recomendações conforme colocadas não preenchem o gap conceitual da implantação do SGSIC, mas apenas tenta satisfazer o aspecto a interação com a CGU, se considerados os limites e obrigações de caráter legal. Isto porque, a elaboração de uma metodologia de implantação da GSIC para a APF é uma tarefa estratégica e complexa, que devido ao nível de detalhamento, leva a uma solução orientada a projeto, para contemplar todos os tópicos, itens e aspectos, tanto técnicos como os de caráter gerencial. Soluções centralizadas a nível federal aumentarão o gap conceitual pela múltipla interação dos diversos contextos dos órgãos da APF. Na abordagem PMBOK esse gap é reduzido e até controlado pelas suas áreas de conhecimento, como o Gerenciamento do Escopo e Integração do Projeto 4. Embora o GT-2005 tenha avançado o tema da implantação do modelo de GSIC na APF, ele perde a oportunidade de avançar além da satisfação dos requisitos do controle interno, para contemplar os princípios e modelos da Governança de TI e daí preencherem os gaps conceituais da implantação de um SGSIC na APF, pelo concurso da abordagem PMBOK e de outras abordagens do modelo de Governança de TI. 4 Ver seções e

87 64 6 O Gap Conceitual na Implantação do SGSIC O tema da metodologia de implantação da GSIC conta com uma vasta literatura de artigos, normas, livros e dissertações que agrega na sua formulação desde a taxonomia de normas ISO até os modelos do National Institute of Standard and Technology (NIST) (STONEBURNER, 2001). Apesar dessa diversidade, não é tarefa fácil encontrar métodos e técnicas que de uma forma sinérgica viabilizem essa implantação na APF. Embora estejam disponíveis normas e padrões internacionais esse gap conceitual para a implantação de modelo de GSIC prospera na APF. O gap conceitual de implantação é a distância que separa o SGSIC pretendido do resultado obtido do planejamento e do gerenciamento das atividades com os recursos utilizados para esse objetivo. Ele aumenta na medida em que a cultura em SIC e as carências da APF não são contempladas de maneira critica no projeto de implantação do SGSIC. A figura 6.1 apresenta o mapa conceitual do gap de implantação. Uma metodologia para a implantação do SGSI que controle o gap conceitual para a implantação do SGSIC implicará na necessidade de padronização da documentação dos procedimentos, ferramentas e técnicas utilizadas, e principalmente na criação de indicadores para a monitoramento dos processos envolvidos. A adoção dos modelos de melhores práticas na metodologia de implantação deve formalizar-se na APF levando-se em conta uma abordagem de integração e buscando a aderência aos princípios da Governança de TI. A abordagem do guia PMBOK é o caminho para o sucesso do tratamento do gap, pela integração que as nove áreas de conhecimento pode oferecer. A relação entre o gap conceitual e os componentes de projetos do PMBOK é representada na figura 6.2

88 65 Figura 6.1: Representação do gap da implantação do SGSIC 6.1 O Mapeamento PMBOK e o Ciclo PDCA No mapeamento PMBOK do ciclo PDCA podemos destacar que: 1. A primeira fase do ciclo do PDCA do SGSIC, a fase Planejar ( Plan ), é quando estabelecemos o SGSIC; 2. A segunda fase do ciclo do PDCA do SGSIC, a fase Fazer ( Do ), é quando implementamos e operamos o SGSIC. Nestas duas primeiras fases deve-se: definir o escopo do SGSIC, elaborar a política, desenvolver uma análise de riscos, decidir a estratégia de gestão de riscos, e selecionar os controles para reduzir os riscos. Começando o mapeamento do PMBOK e ciclo do PDCA, temos respectivamente: Na fase Planejar é observado pelo projeto o desdobramento das principais atividades: 1. Estabelecer a Política de Segurança da Informação e Comunicação (PSIC); 2. Definir o escopo da Segurança da Informação e Comunicação (SIC) em termos do mapeamento da missão dos órgãos da Administração Pública Federal (APF) e dos correspondentes requisitos da Segurança da Informação e Comunicação (SIC);

89 66 Figura 6.2: Representação do mapeamento do PMBOK e o gap de implantação do SGSIC 3. Estabelecer um esquema da análise de risco e controle de risco na abordagem de Gestão de Risco a Informação; e 4. Elaborar a Declaração de Aplicabilidade em termos dos objetivos dos controles selecionados, os atualmente implantados e os excluídos. Na fase Fazer é observado pelo projeto o desdobramento das principais atividades 1. Selecionar os controles de segurança para atender aos objetivos de controle; 2. Implementar os controles selecionados para atender aos objetivos de controle; 3. Implantar métricas de aferição da eficácia dos controles e grupos de controle selecionados; 4. Implementar programas de conscientização e treinamento; e 5. Implementar processos e controles que suportem a detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. Com base nessas duas enumerações de atividades é considerada uma Declaração do Escopo Preliminar, em termos das macro-atividades do SGSIC, listadas abaixo: 1. A necessidade do estabelecimento de uma Política de Segurança da Informação (PSI) com os objetivos para a Segurança da Informação e Comunicação (SIC); 2. O entendimento dos requisitos da Segurança da Informação e Comunicação (SIC) por meio do treinamento e conscientização;

90 67 3. O controle dos riscos por meio da Gestão de Riscos de Segurança da Informação e comunicação; 4. A monitoração e análise critica da eficácia do SGSIC; 5. O uso das medições para orientar a melhoria continuada do ciclo de gestão; e 6. A documentação e registros para a auditoria e verificação da conformidade interna. A Declaração de Escopo Preliminar fornece os recursos para a construção da EAP do projeto para o início do projeto O Roteiro da Metodologia do GT-2005 no Ciclo PDCA Os componentes do Roteiro da Metodologia são os seguintes (GT-2005, 2006): 1. Mecanismo de gerenciamento dos processos: ciclo PDCA; 2. Elementos de planejamento (diagnóstico da situação e estruturação da solução): (a) Entradas do processo de planejamento ( Plan ): i. escolha de escopo; ii. análise de riscos; iii. definição dos controles de segurança;. (b) Saída do processo de planejamento: i. documentação que consolida a estruturação da solução. 3. Elementos de execução ( Do ): (a) Entradas do processo de implementação: i. documentação que consolida a estruturação da solução. (b) Saída do processo de execução: i. ações concretas, exeqüíveis, verificáveis, mensuráveis, passíveis de acompanhamento que implementam o previsto no planejamento. 4. Elementos de verificação: (a) Entradas do processo de verificação: i. Eventos resultantes do planejamento;

91 68 ii. Indicadores e demais elementos de verificação compatíveis com ações de execução monitoradas. (b) Saída do processo de verificação: i. Leitura dos indicadores; ii. Tomada de decisão com as seguintes possibilidades: A. manutenção da condução da solução corrente; B. replanejamento e, em conseqüência, nova execução de algumas ações cujo resultado não for satisfatório; C. potencialização, se possível, das ações com resultado acima do esperado. 5. Elementos de ação: (a) Entradas do processo de adequação: i. Resultado da tomada de decisão da fase de verificação. (b) Saída do processo de verificação: i. Ações necessárias para implementação das ações de adequação dos desvios, potencialização dos resultados ou manutenção das ações correntes. 6.2 O Mapeamento do Projeto nas Áreas de Conhecimento do PMBOK O mapeamento nas áreas de conhecimento do projeto começa pela consideração do ciclo de vida do projeto, composto pelo conjunto das fases: iniciar, planejar, executar, controlar e encerrar. Cada uma destas fases é caracterizada por compromissos que são formalizados em termos de componentes que estão relacionados entre si pelos três documentos principais de um GP: o Termo de Abertura do Projeto, a Declaração de Escopo do Projeto e o Plano de Gerenciamento do Projeto (PMI, 2004b), conforme a figura A Fase de Iniciação Nesta fase, é necessário determinar a especificação do produto ou serviço, elaborar o plano estratégico para o projeto, estabelecer critérios de seleção e levantar o histórico relativo a evoluções das necessidades de segurança e vulnerabilidades organizacionais.

92 Figura 6.3: Principais documentos do plano de projeto (PMI, 2004a) 69

93 70 Do ponto de vista do Gerente do Projeto é a partir do escopo do projeto que começa o trabalho, pois, é necessário definir um plano de ação corporativo alinhado com os objetivos da direção, obtendo-se o cenário de grau de segurança desejado a alcançar, que leve à confecção da EAP ou WBS, para subsidiar a implantação dos controles nos diversos planos de projeto. O Gerente do Projeto começa pelo escopo preliminar a partir de requisitos ao projeto, nesse mapeamento, o escopo preliminar do produto já está endereçado pelo seguintes elementos: o modelo de gestão, a metodologia de implantação e o conjunto de controles que servirão de parâmetros para os processos de auditoria do controle interno. A EAP, nesse caso, poderá ser elaborada por inspeção desses elementos, que estão descritos nos anexos do relatório do GT-2005, considerando também, as necessidades das fases Planeje e Faça do ciclo PDCA. Na fase de iniciação do projeto não se define inteiramente o escopo do projeto, mas o escopo preliminar que pode ser afetado por um eventual estudo de viabilidade. O escopo preliminar é o documento que participa no fluxograma de processos em todas as áreas de conhecimento do projeto (PMI, 2004b) A Fase Planejamento Nesta fase, é necessário definir o desdobramento do escopo, em termos das atividades a serem realizadas: elaboração de cronograma, planejamento de custos, de qualidade e de aquisições e a formação de equipe, também será realizado o planejamento do gerenciamento do risco, constituído da identificação de riscos, análise qualitativa e quantitativa e planejamento de respostas a riscos das vulnerabilidades de Segurança da Informação identificadas na Organização e os riscos do gerenciamento do projeto propriamente dito. Muito importante é escolha do método de avaliação do risco, pois implicará na estratégia da Gestão de Risco. Outros exemplos de ações são: a criação do comitê interdepartamental de segurança, o início da capacitação em segurança de técnicos e executivos, a criação da política de segurança da informação e a realização de ações corretivas e imediatas a partir das vulnerabilidades identificadas e preparação do ciclo da análise e avaliação de risco A Fase de Execução Nesta fase, é elaborado o plano de projeto, o plano da qualidade, a estruturação e desenvolvimento da equipe, os métodos e técnicas para as aquisições e formas de administrar contratos. No projeto de implantação SGSIC, as atividades de divulgação da SIC

94 71 na Organização, a capacitação de todos os funcionários envolvendo-os no projeto, além do esforço de alcançar o comprometimento de cada um. Também faz parte desta etapa implementar os controles pré-definidos em todos os ambientes de acordo com a política de segurança e planos executivos A Fase de Encerramento O encerramento do projeto ocorre após seus objetivos terem sido atingidos. O encerramento requer documentação dos resultados a fim de formalizar a aceitação dos resultados, os produtos. O encerramento do projeto requer a confirmação de que os produtos propostos estão adequados às especificações e se os objetivos foram atingidos. Isto poderá ser demonstrado a partir de medições e relatórios com os resultados alcançados e comparados com os propostos. É necessário o arquivamento que toda documentação gerada em cada um das fases do ciclo. As lições aprendidas também deverão ser descritas e representadas em banco de dados, ou banco de conhecimentos, para os posteriores processos de melhoria continuada da gestão e também de suporte aos subprojetos remanescente Os Principais Documentos de Projeto Existem três documentos principais descritos no Guia PMBOK e cada um deles possui um objetivo específico: 1. Termo de abertura do projeto, que autoriza formalmente o projeto; 2. Declaração do escopo do projeto, que determina qual trabalho deverá ser realizado e quais entregas precisam ser produzidas; 3. Plano de gerenciamento do projeto, que determina como o trabalho será realizado. O plano de gerenciamento do projeto é formado pelos planos e documentos gerados pelos diversos processos. Esses itens são os planos e componentes auxiliares do plano de gerenciamento do projeto. Na figura 6.4, o fluxograma de processo é uma representação sumarizada das entradas e saídas do processo que passam por todos os processos dentro de uma área de conhecimento específica. Embora os processos estejam apresentados aqui como elementos distintos com interfaces bem definidas, na prática eles são iterativos e podem se sobrepor e interagir

95 Figura 6.4: Fluxograma de processos nas áreas de conhecimento (PMI, 2004a) 72

96 73 de maneiras não detalhadas aqui (PMI, 2004a). Podemos a partir desse fluxo global, decompor nas áreas de conhecimento em termos de componentes que são documentos Gerenciamento da Integração Na área de gerenciamento da integração têm-se tradicionalmente os seguintes documentos, representados no mapa mental da figura 6.5. Figura 6.5: Documentos do Gerenciamento da Integração (VARGAS, 2007) Os documentos Apresentação do Projeto e Termo de Abertura do projeto são essenciais para todo o conjunto de processos. Um outro é a Declaração do Escopo do Projeto da área do Gerenciamento do Escopo do Projeto. Figura 6.6: Exemplo do formato do Gráfico de Gantt O Grafico de Gantt sintetiza a estrutura do projeto em termos de sua atividades maiores, sem a alocação de recursos.

97 74 O Sistema de Controle Integrado de Mudanças para o caso específico é fixo e está apresentado no fluxo representado na figura 6.7. Figura 6.7: Fluxo do Sistema de Controle Integrado de Mudanças (VARGAS, 2007) Gerenciamento de Escopo Na área de gerenciamento de escopo têm-se tradicionalmente os seguintes documentos, representados no mapa mental da figura 6.8. A EAP, o componente mais importante do projeto, não deve ter variação, pois reflete as atividades a serem desenvolvidas pela metodologia de implantação do SGSIC. O que pode ocorrer é a necessidade de atividades complementares resultantes da execução do método, como o treinamento da Equipe ou desenvolvimento da Política de Segurança com base nas contra-medidas resultantes dos achados da metodologia. A EAP Analítica é fornecido com a impressão das listas de atividades constantes no Microsoft Project, como é mostrado na figura 6.9. A EAP na forma de mapa hierárquico é apresentada na figura 6.10.

98 75 Figura 6.8: Documentos da Gerenciamento de Escopo (VARGAS, 2007) Outro componente é o dicionário da EAP que pode ser preenchido como está apresentado abaixo, ou apenas imprimindo-se as anotações das tarefas constantes no Microsoft Project. Pela especificidade do projeto, em se tratando da atividade especifica de análise de vulnerabilidade da infra-estrutura para a avaliação de risco, temos a seguir; Figura 6.9: Exemplo do formato da EAP Analítica Podemos considerar no Gerenciamento do Escopo o conjunto de fatores de sucesso para o projeto de implantação SGSIC, abaixo elencados: 1. Planejar detalhadamente as etapas do projeto, pois isso é chave para o sucesso na execução do sucesso do projeto;

99 Figura 6.10: Exemplo do formato da EAP Hierárquica 76

100 77 2. Definir o escopo na fase inicial do projeto, pois, não importa quanta experiencia o gerente de projeto tenha, é difícil compensar a falta de definição inicial do escopo em etapas posteriores; 3. Usar uma abordagem-padrão para o projeto, se possível, garantir que haja atenção aos requisitos negociados das partes interessadas e que o orgão cliente tenha uma definição clara do que o projeto requer, para minimizar a probabilidade de numerosas mudanças durante o ciclo de vida do projeto; 4. Argumentar sempre se os anseios do cliente que aparentemente não têm relação com a resolução do problema; 5. Descrever as restrições e premissas no plano de gerenciamento do escopo e revisalas periodicamente, elas devem ser incluídas na declaração do trabalho conforme as necessidades; 6. Verificar se alguns componentes críticos estão descritos no plano de gerenciamento do escopo: a declaração de trabalho, a EAP e as entregas, o processo de controle de mudanças, as restrições e premissas e as responsabilidades de cada parte; 7. Detalhar com precisão o que está fora do escopo; 8. Fazer uma análise de risco ao projeto detalhada quando as entregas dependerem de trabalhos fornecidos por subcontratadas ou quanto for exigida estimativas para sistemas críticos das organizações da APF; 9. Gerenciar as mudanças de modo a garantir que quaisquer alterações no escopo acordado estejam alinhadas com mudanças no cronograma, no orçamento e no valor do contrato do projeto; e 10. Revisar o escopo e as entregas com o cliente, bem como o cronograma resultante e estabeleça um procedimento para controle e gerenciamento de questões em aberto (SO- TILLE, 2007) Gerenciamento de Tempo Na área de gerenciamento de tempo têm-se tradicionalmente os seguintes documentos, representados no mapa mental da figura 6.12.

101 78 Figura 6.11: Dicionário da EAP no Microsoft Project A Lista de Atividades e a Lista de Atividades com Duração são construídas e mantidas no Microsoft Project, de onde podem ser impressas em formato de formulário/relatório. Na figura 6.13 é apresentado o formato com duração, os valores de duração são meramente ilustrativos. A Lista de Recursos do Projeto é construída e mantida no Microsoft Project, de onde pode ser impressa em formato de formulário/relatório. O formato é apresentado na figura 6.14; os valores constantes na figura são meramente ilustrativos. O documento de Alocação de Recursos é construído e mantido no Microsoft Project, de onde pode ser impresso em formato de formulário/relatório. O Gráfico de Gantt é construído e mantido no Microsoft Project, de onde pode ser impresso em formato de formulário/relatório, entretanto, como ele retrata o cronograma do projeto, deve ser aprovado no formato acordado previamente. O Diagrama de Rede é um tradicional documento utilizado para cálculo de folgas e avaliação do caminho crítico, mas em se tratando especificamente do projeto de implantação do SGSIC, não há possibilidade de haver paralelismo entre as atividades pela abordagem adotada nesse trabalho, pois o resultado de uma fase é necessariamente utilizado nas seguintes, tornando-o seqüencial. Mesmo assim é possível obtê-lo no Microsoft Project, de onde pode ser impresso em formato de formulário/relatório. O Gerenciamento do Tempo demonstra-se particularmente difícil quando do projeto de implantação SGSIC na APF, isto porque, o próprio gerenciamento de projetos em geral enfrenta diversos paradoxos, se considerado o gerenciamento de tempo, temos menos

102 79 Figura 6.12: Documentos da Gerência de Tempo (VARGAS, 2007) recursos e temos que fazer mais atividades, ser mais produtivos, mas ao mesmo tempo economizar e manter a qualidade do produto a ser entregue, além disso, é preciso entregar todo o escopo combinado dentro do prazo especificado ou antes. A dificuldade começa pelo escopo e a sua influência. Nos três itens derivados da gestão do escopo estão os insumos para o processo de definição das atividades: 1. Declaração do escopo do projeto; 2. Estrutura analítica do projeto EAP; e 3. Dicionário da EAP. O objetivo do projeto, materializado pela declaração de escopo, contém a estratégia da organização para o projeto, informação crucial para o desenvolvimento da EAP, para a definição das atividades e o restante dos processos e planejamento, desta forma esses insumos criam a complexidade da escolha das alternativas para a construção dessa EAP. O Gerenciamento do Tempo deve adotar uma estratégia apropriada para controlar essa complexidade (BACAUI, 2007) Gerenciamento de Custos Nesta proposta de projeto onde as duas organizações envolvidas são instituições governamentais, e os trabalhos realizados são firmados através de Termos de Cooperação ou

103 80 Figura 6.13: Formato da Lista de Atividades com Duração Figura 6.14: Formato da Lista de Recursos Convênios, a área de custos não é abordada. Neste contexto, não abordaremos esta área de gerenciamento. Para estudos futuros sobre os documentos tradicionalmente utilizados, recomendamos consultar (VARGAS, 2007) Gerenciamento de Qualidade Na área de gerenciamento de Qualidade tem-se tradicionalmente apenas o Plano de Gerenciamento da Qualidade, mas podemos contemplar outros documentos, representados no mapa mental da figura A Gerência de Qualidade do Projeto aplicada a implantação do SGSIC inclui os processos necessários para satisfazer as necessidades para as quais o projeto foi criado. Isso inclui procedimentos para o planejamento, a garantia e o controle da qualidade. Deve-se ter em mente a compatibilidade do projeto com os outros modelos: a Governança de TI, e principalmente, as normas referenciadas pela Associação Brasileira de Normas Técnicas (ABNT) Norma Brasileira (NBR) ISO/ International Electrotechnical

104 81 Figura 6.15: Documentos do Gerenciamento de Qualidade (VARGAS, 2007) Commission (IEC) 27001: A Gerência de Qualidade deve ser direcionada tanto para o projeto, área de conhecimento do Gerenciamento da Qualidade do Projeto, quanto para o produto final do projeto, no caso, a implantação dos controles de segurança baseada na NBR ISO/ IEC 27002:2005 Código de Prática para a Gestão da Segurança da Informação) e da gestão de riscos baseada na NBR ISO/ IEC27005:2008 Gestão de Risco de Segurança da Informação Gerenciamento de Recursos Humanos Na área de gerenciamento de Recursos Humanos têm-se tradicionalmente os seguintes documentos, representados no mapa mental da figura Figura 6.16: Documentos da Gerenciamento de Recursos Humanos (VARGAS, 2007) O documento contendo a Listagem dos Recursos Humanos do Projeto é construída e mantida no Microsoft Project, de onde pode ser impressa em formato de formulário/relatório. A seguir é apresentado o formato, novamente de forma ilustrativa. 1 ABNTNBRISO/9001:2000 Sistema de Gestão de Qualidade/ Requisitos; ABNTNBRISO/14001:2004 Sistemas da Gestão Ambiental/Requisitos com orientações para uso; ABNTNBRISO/19011:2002 Diretrizes para Auditorias de Sistema de Gestão da Qualidade e/ou Ambiental; ABNTNBRISO/Guia 62:1997 Requisitos Gerais para Organismos que Operam Avaliação e Certificação/Registro de Sistemas da Qualidade

105 82 Figura 6.17: Formato da Listagem de Recursos Humanos (VARGAS, 2007) O documento contendo o Diagrama de Funções é obtido no Microsoft Project, podendo ser impressa em formato de formulário/relatório. A Gerência de Recursos Humanos do Projeto aplicada a implantação do SGSIC inclui os processos necessários possibilitar o uso mais eficiente de todas as pessoas envolvidas no projeto, dentre patrocinadores, clientes e outros mais. A Gerência de Recursos Humanos envolve o planejamento organizacional, a criação e o desenvolvimento de equipes de trabalho. Destaca-se o treinamento como parte de uma esquema maior para aumentar as habilidades e os conhecimentos de todos, com relação à SIC no âmbito da implantação do SGSIC. A Gerencia de Recursos Humanos do Projeto têm os processos para obter as oportunidades de superar as dificuldades da cultura organizacional, por uma abordagem de valorização do capital humano a partir do aumento das habilidades e dos conhecimento de todos os envolvidos (MULCAHY, 2007) Gerenciamento de Comunicações Na área de gerenciamento de comunicações tem-se tradicionalmente apenas o Plano de Gerenciamento das Comunicações, representados no mapa mental da figura Uma comunicação eficaz no projeto é a chave para o sucesso de um projeto, atividades formais de comunicação representam consumo de tempo de comunicação e esforço pessoal. Por isso, deve-se considerar, na estratégia e no plano de comunicação, o cronograma, restrições de recursos e a carga administrativa incidentes sobre as partes interessadas do projeto. As comunicações em projetos ocorrem em entrevistas, reuniões, palestras, relatórios escritos ou impressos e com auxílio eventual de computadores e da rede de telecomunica-

106 83 Figura 6.18: Documentos da Gerência de Comunicações (VARGAS, 2007) ções. A correta identificação do público-alvo é o primeiro passo para saber o que deve ser produzido, para quem e em que quantidade e formato. Necessidades de informação de alta administração são diferentes daquelas da área contábil e auditoria. Informações julgadas adequadas para gerentes e chefias podem ser insuficientes para profissionais de áreas técnicas e de implantação, e ainda consideradas por demais detalhadas e desnecessárias para patrocinadores ou diretores. Dessa forma, é necessário balancear os requisitos de informação com o tempo para a preparação de relatórios, e não é recomendável permitir que as atividades de reporte interfiram com as atividades produtivas do projeto ou que estas sejam impactadas com o tempo dedicado a reuniões e apresentações do projeto. Devemos sempre, avaliar os resultados da comunicação ao término de cada comunicação efetuada é importante avaliar-se o impacto e os resultados que a comunicação gerou no seu público-alvo, gerando um feedback do que pode ser aprimorado, ajuste e melhorias para as próximas comunicações (CHAVES, 2007) Gerenciamento de Riscos Na área de gerenciamento de Riscos tem-se tradicionalmente apenas o Plano de Gerenciamento de Riscos, representados no mapa mental da figura No Gerenciamento de Risco do Projeto, o futuro do projeto é feito de incertezas

107 84 Figura 6.19: Documentos da Gerência de Riscos (VARGAS, 2007) e oportunidades, demandando formas estruturadas para nos habilitar ao controle desse futuro, é o fator crítico de sucesso para o projeto e têm uma semântica própria, lá existem riscos do tipo impacto e do tipo oportunidade ao projeto. O Gerenciamento de Risco é interpretado em termos da restrição tripla do projeto e a exposição aos impactos e oportunidades. O Gerenciamento de Risco inclui os processos necessários para possibilitar a identificação do risco que envolve a maximização de resultados positivos e a minimização de resultados negativos. O Gerenciamento no âmbito do projeto de implantação do SGSIC é encarado não somente como perdas e danos, mas principalmente como perdas de oportunidades. No caso devemos também contemplar os planos de contingência para evitar e minimizar os riscos, contudo, sempre haverá no projeto uma margem de risco residual que deverá ser assumida por seus executores (SALLES JÚNIOR, 2007). O Gerenciamento de Risco do Projeto de implantação do SGSIC na APF deve considerar a separação, tanto para o projeto quanto para o produto final, em termos do Gerenciamento de Risco ao Projeto no PMBOK, como também dos riscos a serem tratados pela Gestão do Risco conforme a NBR ISO/ IEC 27005:2008 Gestão de Risco de Segurança da Informação. Esta separação clara e objetiva é mapeada na Estrutura Analítica dos Riscos do PMBOK Gerenciamento de Aquisições Nesta proposta de projeto onde as duas organizações envolvidas são instituições governamentais, todas as aquisições são feitas de forma centralizada pela instituição e com previsão anual, inclusive os treinamento e participação em eventos, não sendo especificados projetos ou ações coordenadas. Neste contexto, não abordaremos esta área de

108 85 gerenciamento. Para estudos futuros sobre os documentos tradicionalmente utilizados, recomendamos consultar (VARGAS, 2007). Para que os projetos tenham qualidade, custos e prazos adequados é fundamental um bom gerenciamento das aquisições, de forma que não tenham impactos negativos para o seu desempenho. O Gerente do Projeto deve estar atento para as oportunidades e riscos desses cenários. Atualmente o ambiente globalizado e cada vez mais especializado em que estamos inseridos, leva a um crescimento, a cada dia, da necessidade de aquisições de produtos e serviços, e aquisições mal conduzida terão impactos negativos no sucesso do gerenciamento do projeto, especialmente no cumprimento de prazos e orçamentos e na qualidade dos produtos e serviços produzidos, podendo gerar a insatisfação das partes. Um aspecto importante a ser levado em consideração por clientes, na decisão de adquirir produtos ou serviços para projetos, consiste no fato de que, uma vez contratada parte do escopo do projeto, o cliente e, portanto, a equipe do projeto dependerão do fornecedor para o sucesso dele. Embora um contrato geralmente procure conter todos os pontos e transferir para o fornecedor os riscos inerentes ao mesmo, é sempre bom que exista uma margem de negociação e de tolerância durante o fornecimento do produto ou serviço contratado. Desta forma, fica a sugestão: a negociação com o fornecedor do que a aplicação das penas contratuais previstas no contrato, que podem vir a ser danosas para o projeto, pois podem significar, atrazos no cronograma ou aumento de custos (XAVIER, 2007). É importante para o projeto de implantação da SGSIC na APF que o gerente desse projeto tenha em mente a importância desse processo e procure desenvolver conhecimento e habilidades no assunto, o que irá contribuir para uma maior chance de sucesso do projeto. Embora na APF as aquisições do projeto se desenvolvam em cenários que o Gerente de Projeto aparentemente não tenha a capacidade influenciar, existem processos no gerenciamento de aquisição que podem obter oportunidades de controlar os riscos nestas formas de aquisição (XAVIER, 2007).

109 86 7 Considerações Finais A implantação de um SGSIC na APF é tarefa complexa que exige uma visão holística. A orientação ao ciclo PDCA da SGSIC com a abordagem do PMBOK de gerenciamento de projeto fornece as maneiras de administrar essa complexidade e controlar os riscos da implantação do SGSIC na APF. A orientação a processos do ciclo PDCA tem uma grande afinidade com o estilo de orientação ao gerenciamento de projetos do PMBOK. As áreas de conhecimento, as métricas de avaliação e principalmente a documentação gerada pelas lições aprendidas no projeto implementação do SGSIC são fatores críticos de sucesso para a criação da cultura de Gestão da Segurança da Informação e Comunicação. O modelo de abordagem de projeto PMBOK é um componente do framework da Governança de TI, e é responsável pela base de conhecimento em gestão de projetos; a ênfase do modelo é sobre a gestão de projetos e não sobre a engenharia do desenvolvimento de produtos resultante do projeto. No desenvolvimento dessa monografia, observamos que mesmo em se tratando de órgãos governamentais, que possuem várias especificidades em sua atuação, é possível utilizar os métodos e os processos conhecidos e desenvolvidos em outras áreas de aplicação, como no caso de análise de risco, utilizando a abordagem do gerenciamento de projetos com o PMBOK. Após a delimitação do escopo, observa-se que o grau de formalidade documental aumenta substancialmente e, por conseguinte, também, a distribuição de responsabilidades dentro do projeto. A clara atribuição das responsabilidades eleva a qualidade, a facilidade de detecção de riscos e dos problemas de implantação do SGSIC. Soluções centralizadas a nível federal criam o gap conceitual pela múltipla interação dos diversos contextos dos órgãos da APF. Na abordagem do PMBOK proposta esse gap é reduzido e até controlado pela interação e inter-relacionamento do Gerenciamento do Escopo e da Integração do Projeto, concorrentes na APF, ganha-se assim a oportunidade de avançar além da satisfação dos requisitos do controle interno, e contempla-se

110 87 os princípios e modelos da Governança de TI, a partir dos quais, preencheremos os gaps conceituais da implantação de um SGSIC na APF, pelo concurso da abordagem PMBOK e de outras abordagens do modelo de Governança de TI. Outra consequência imediata é a formação de uma base de conhecimento documental padronizada que servirá de referência em trabalhos futuros, para a análise e a melhoria dos processos, que por sua vez, trará muitos benefícios à Administração Pública Federal, e principalmente para os gestores da Segurança da Informação e Comunicação. 7.1 Sugestões de Trabalhos Futuros É possível que este trabalho se estenda, estruturando um PMO na APF, onde teríamos todas as áreas de gerenciamento e abordando mais amplamente outros aspectos do PMBOK aplicado no PDCA, como: metodologia de definição dos projetos, estruturação de equipes, licitações, rateio de custo entre projetos, sistema de alocação de recursos governamentais, planejamento institucional, missão da instituição, objetivos institucionais de pesquisa e desenvolvimento dos sistemas para a GSIC da APF. Um extensão mais abrangente da abordagem da proposta no trabalho de pesquisa é a criação de uma realimentação entre os processo de manter e melhorar ( Act ) do PDCA, em termos de um re-projeto de implantação do SGSIC da APF, contando com o florescimento de uma área de gerenciamento de mudança do projeto, para inicializar o novo ciclo de implantação das melhorias do SGSIC.

111 88 Índice Remissivo PMBOK, 20 PMI, 21 gap, 16 gap conceitual da implantação do SGSIC, 62 6σ, 17 boas práticas, 18 BSC, 17 ciclo PDCA, 57 CMMI, 17 COBIT, 17 EAP, 18 escp-cl, 17 escp-sp, 17 escritório de gerenciamento de projetos, 37 estratégia da implantação, 47 de processo de modelo, 103 de segurança da informação, 48 pra implementação, 52 gerenciamento das comunicações do projeto, 32 da integração, 73 da qualidade do projeto, 29 de aquisições do projeto, 34 de integração do projeto, 24 de recursos humanos, 31 de riscos do projeto, 33 de tempo do projeto, 28 do escopo do projeto, 25 Governança de TI, 42 Grupo de Trabalho Metodologia 2005, 2 ICP-Brasil, 2 ISO/IEC 20071, , 17 ITIL, 17 modelo de referência, 42 Modelos ISO, 17 OPM3, 17 P3M3, 17 PMBOK, 17 Guia, 18, 20 PMO, 37 princípio de implementação da especialização, 54 da replicação, 54 da transversalidade, 53 PRINCE2, 17 processos de encerramento, 38 de execução, 38 de gerenciamento de projeto, 38 de iniciação, 38 de monitoração e controle, 38 de planejamento, 38 relatório relatório do GT-2005, 2 restrição tripla dos projetos, 36 SAS 70, 17 segurança ataques à, 45 mecanismos de, 45 serviços de, 45 Serviço Primário da Autenticidade, 46

112 89 da Confidencialidade, 46 da Disponibilidade, 45 da Integridade, 45 Secundário de Controle de Acesso, 47 de Não Repúdio, 47 TOGAF, 17 Val IT, 17

113 90 Referências Bibliográficas ABNT. Gestão de riscos Vocabulário Recomendaçõs para uso em normas: NBR ISO/IEC Guide 73. [S.l.], ABNT. Tecnologia da Informação - Código de prática para a gestão da segurança da informação: NBR ISO/IEC Rio de Janeiro, ABNT. Tecnologia da Informação - Código de prática para a gestão da segurança da informação Requisitos: NBR ISO/IEC Rio de Janeiro, ALBERTS, C.; DOROFEE, A. Octave Criteria 2.0. Pittsburgh, PA, Acesso em 12 de setembro de ALBERTS, C.; DOROFEE, A. Introduction to the OCTAVE Approach. Pittsburgh, PA, Acessado em 12 de setembro de BACAUI, A. B. Gerenciamento do tempo em projetos. 2ª. ed. Rio de Janeiro: Editora FGV, ISBN BEMQUERER, M. Acórdão 2023/ Plenário Acessado através da ferramenta em Acessado em 11 de outubro de BRITTO, A. C. P. de; PINCOVSCY, J. A. Implementação de Análise de Risco Seguindo o PMBOK. Dissertação (Mestrado) Centro Universitário Euroamericano, Brasília, Junho Trabalho de conclusão de curso MBA em Gerenciamento de Projetos. BRITTO, A. C. P. de; SOUSA, C. M.; PINCOVSCY, J. A. Metodologia de Análise de Risco Brasília, Agosto Elaborado pela Coordenação Geral de Segurança de Sistemas de Informação do Centro de Pesquisa e Desenvolvimento para Segurança das Comunicações (CEPESC). CANEDO, E. Introdução ao Gerenciamento de Projetos. Brasília: [s.n.], Apostila utilizada no MBA da UNIEURO. CANONGIA, C. et al. Convergência da Inteligência Competitiva com Construção de Visão de Futuro: Proposta Metodológica de Sistema de Informação Estratégica (sie). DataGramaZero: Revista de Ciência da Informação, Rio de Janeiro, v. 2, CARDOSO, F. H. Decreto nº junho Acessado em gov.br/ccivil_03/decreto/d3505.htm. Acessado em 11 de outubro de CHAVES, L. E. Gerenciamento da comunicação em projetos. 1ª. ed. Rio de Janeiro: Editora FGV, ISBN

114 91 CICCO, F. de. Gestão de Riscos: AS/NZS 4360:200 guide 73. [S.l.], Dezembro CMU/SEI. Risk Management Paradigm. Acessado em paradigm.html. Acessado em 7 de outubro de FELIX, J. A. Portaria de 22 de novembro de novembro Primeira portaria do Conselho de Defesa Nacional no Diário Oficial da União de 23 de novembro de 2005, número 244, seção 2, página 3. FELIX, J. A. Portaria de 20 de janeiro de janeiro Portaria do Conselho de Defesa Nacional no Diário Oficial da União de 22 de novembro de 2005, número 16, seção 2, página 2. FELIX, J. A. Instrução Normativa GSI/PR nº 1, de junho Instrução Normativa publicada no Diário Oficial da União de 18 de junho de 2008, número 115, seção 1, página 6. FELIX, J. A. Portaria nº 33, de junho Portaria publicada no Diário Oficial da União de 15 de outubro de 2008, número 200, seção 1, página 24. FELIX, J. A. Portaria nº 34, de junho Portaria publicada no Diário Oficial da União de 14 de outubro de 2008, número 199, seção 1, página 1. FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governança de TI : Da estratégia à gestão dos processos e serviços. 2ª. ed. Rio de Janeiro: Brasport, FERNANDES, J. H. C.; RALHA, C. G. Uma Introdução ao Gerenciamento de Serviços em Organizações de TI, baseada no Modelo InformationTechnology Infrastructure Library ITIL GT Metodologia para Gestão de Segurança da Informação para Administração Pública Federal. maio Acessado em https://www.governoeletronico.gov. br/anexos/metodologia-para-gestao-de-seguranca-da-informacao/download. Publicado pelo Grupo de Trabalho Metodologia Acesso em 16 de setembro de ISO/IEC. Information technology Security techniques Information security incident management: ISO/IEC [S.l.], ISO/IEC. Information technology Security techniques Management of information and communications technology security: Part 1: Concepts and models for information and communications technology security management. [S.l.], MACHADO, P. P. L.; BEZERRA, E. L.; LIMA, J. N. d. O. Fundamentos do Modelo de Segurança da Informação. [S.l.], Agosto Acessado em http: //www.lyfreitas.com/artigos_mba/fundamentos_modelo_si.pdf. Acesso em 16 de setembro de MPOG. e-ping: Padrões de interoperabilidade de governo eletrônico ed. [S.l.], dezembro MULCAHY, R. Preparatório para Exame de PMP. 5ª. ed. [S.l.]: RMC Publications, ISBN

115 92 NAKAMURA, E. T.; LIMA, M. B. Estragégia de Proteção da Infra-estrutura Crítica da Informação. Campinas: Novatech, NI-DSIC. Modelo de Implantação e Gestão de Segurança da Informação e Comunicações na Administração Pública Brasileira Acessado em br/migsic/migsic%20-%20apresentacao.doc. Publicado pelo Núcleo de Implantação da Diretoria de Segurança da Informação e Comunicações. Acesso em 16 de setembro de PMI. Project Management Body of Knowledge Guide. 3ª. ed. Pensilvânia, novembro PMI. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos: Guia pmbok. 3ª. ed. [S.l.], Uma Norma Nacional Americana ANSI/PMI RALHA, C. G. Gestão por Processos e Projetos. Brasília, Apostila do curso de Especialização em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. RALHA, C. G.; G, F. R. Modelagem de Processos Aplicada na Gestão de um Ambiente Real de TI. [S.l.], ROCHA, S. J. J. Gerência de Projetos de Software CMM&PMBOK. Janeiro Acessado em Acesso em 26 de março de SALLES JÚNIOR, C. A. C. Gerenciamento de riscos em projetos. 1ª. ed. Rio de Janeiro: Editora FGV, ISBN SOTILLE, M. A. Gerenciamento do escopo em projetos. 1ª. ed. Rio de Janeiro: Editora FGV, ISBN STONEBURNER, G. Underlying Technical Models for Information Technology Security. Gaithersburg, Dezembro TARAPANOFF, K. Inteligência social e inteligência competitiva. Encontro Bibli: Revista Eletrônica de Biblioteconomia e Ciência da Informação, Acessado em 20 de março de VARGAS, R. V. Manual prático de plano de projeto: utilizando o PMBOK guide. 3ª. ed. Rio de Janeiro: Brasport, ISBN VIEIRA, T. M. Direito à Privacidade na Sociedade da Informação. 1ª. ed. [S.l.]: Sergio Antonio Fabris Editor, XAVIER, C. M. d. S. Gerenciamento de aquisições em projetos. 1ª. ed. Rio de Janeiro: Editora FGV, ISBN X.

116 93 Glossário 6 6σ Conjunto de práticas, originalmente definido pela Motorola, para melhorar processos e eliminar defeitos. A Aceitação de riscos Decisão para aceitar um risco (ABNT, 2005a). Análise de riscos Uso sistemático da informação para identificar as fontes e estimar o risco (ABNT, 2005a). Ativo Qualquer coisa que tenha valor para a organização (ISO/IEC, 2004b). Autenticidade Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade (FELIX, 2008a). Avaliação de risco 2005a). Processo global da análise de risco e da valoração do risco (ABNT, C Ciclo de vida do produto Um conjunto de fases do produto que não se sobrepõem, geralmente em ordem seqüencial, cujos nomes e quantidades são determinados pelas necessidades de fabricação e controle da organização. A última fase do ciclo de vida de um produto geralmente é a deterioração e a morte do produto. Geralmente, o ciclo de vida do projeto faz parte de um ou mais ciclos de vida do produto (PMI, 2004a). Ciclo de vida do projeto Um conjunto de fases do projeto, geralmente em ordem seqüencial, cujos nomes e quantidades são determinados pelas necessidades de

117 94 controle da organização ou organizações envolvidas no projeto. Um ciclo de vida pode ser documentado com uma metodologia (PMI, 2004a). Confidencialidade Propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização (ISO/IEC, 2004b). Confidencialidade Propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado (FELIX, 2008a). Conhecimento Saber alguma coisa com a familiaridade obtida através de experiência, formação, observação ou investigação; significa entender um processo, uma prática ou uma técnica, ou como usar uma ferramenta (PMI, 2004a). Conjunto de conhecimentos em gerenciamento de projetos Uma expressão que significa literalmente Project Management Body of Knowledge (PMBOK), e tem uma abrangente que descreve a soma dos conhecimentos contidos na profissão de gerenciamento de projetos. Assim como em outras profissões como advocacia, medicina e contabilidade, o conjunto de conhecimentos pertence aos profissionais e acadêmicos que o aplicam e o desenvolvem. O conjunto de conhecimentos em gerenciamento de projetos completo inclui práticas tradicionais comprovadas amplamente aplicadas e práticas inovadoras que estão surgindo na profissão. O conjunto de conhecimentos inclui materiais publicados e não publicados (PMI, 2004a). Contrato Um contrato é um acordo que gera obrigações para as partes, e que obriga o fornecedor a oferecer o produto, serviço ou resultado especificado e o comprador a pagar por ele (PMI, 2004a). Controle Comparação entre o desempenho real e o planejado, análise das variações, avaliação das tendências para efetuar melhorias no processo, avaliação das alternativas possíveis e recomendação das ações corretivas adequadas, conforme necessário (PMI, 2004a). D Declaração de aplicabilidade Declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao sgsi da organização. Vale notar que os objetivos de controle e controles estão baseados nos resultados e

118 95 conclusões do processo de avaliação de risco e tratamento de risco, requisitos legais ou regulatórios, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação (ABNT, 2006). Declaração do escopo do projeto A descrição do escopo do projeto, que inclui as principais entregas, os objetivos, suposições e restrições do projeto e uma declaração do trabalho, que fornece uma base documentada para futuras decisões do projeto e para confirmar ou desenvolver um entendimento comum do escopo do projeto entre as partes interessadas. A definição do escopo do projeto - o que precisa ser realizado (PMI, 2004a). Dicionário da estrutura analítica do projeto Também chamado de Work Breakdown Structure Dictionary (WBSD), é um documento que descreve cada componente da Estrutura Analítica do Projeto (EAP). Para cada componente da EAP, o dicionário da EAP inclui uma breve definição do escopo ou declaração do trabalho, entrega(s) definida(s), uma lista de atividades associadas e uma lista de marcos. Outras informações podem incluir: organização responsável, datas de início e de conclusão, recursos necessários, uma estimativa de custos, número de cobrança, informações do contrato, requisitos de qualidade e referências técnicas para facilitar o desempenho do trabalho (PMI, 2004a). Disciplina Um campo de trabalho que exige conhecimento específico e que possui um conjunto de regras que controlam a conduta do trabalho (por exemplo, engenharia mecânica, programação de computadores, estimativa de custos, etc.) (PMI, 2004a). Disponibilidade Propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada (ISO/IEC, 2004b). Disponibilidade Propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade (FELIX, 2008a). E Entrega Qualquer produto, resultado ou capacidade para realizar um serviço exclusivos e verificáveis que devem ser produzidos para terminar um processo, uma fase ou um projeto. Muitas vezes utilizado mais especificamente com referência

119 96 a uma entrega externa, que é uma entrega sujeita à aprovação do patrocinador ou do cliente do projeto (PMI, 2004a). Escopo A soma dos produtos, serviços e resultados a serem fornecidos na forma de projeto (PMI, 2004a). Escopo do produto As características e funções que descrevem um produto, serviço ou resultado (PMI, 2004a). Escritório de programas Também chamado de Project Management Programs (PMP), é o gerenciamento centralizado de um programa ou programas específicos de modo que o benefício da empresa seja realizado através de compartilhamento de recursos, metodologias, ferramentas e técnicas, e o foco de gerenciamento de projetos de alto nível relacionado. Veja também escritório de projetos (PMI, 2004a). Escritório de projetos Também chamado de Escritório de Gerenciamento de Projetos ou Project Management Office (PMO), é o corpo ou entidade organizacional à qual são atribuídas várias responsabilidades relacionadas ao gerenciamento centralizado e coordenado dos projetos sob seu domínio. As responsabilidades de um PMO podem variar desde o fornecimento de funções de suporte ao gerenciamento de projetos até o gerenciamento direto de um projeto (PMI, 2004a). Estrutura analítica do projeto contratado (EAPC) Também chamada de Contract Work Breakdown Structure (CWBS), é uma parte da estrutura analítica do projeto para o projeto desenvolvida e mantida por um fornecedor que assina contrato para fornecer um subprojeto ou um componente do projeto (PMI, 2004a). Estrutura analítica do projeto (EAP) Também chamada de Work Breakdown Structure (WBS), é uma decomposição hierárquica orientada à entrega do trabalho a ser executado pela equipe do projeto para atingir os objetivos do projeto e criar as entregas necessárias. Ela organiza e define o escopo total do projeto. Cada nível descendente representa uma definição cada vez mais detalhada do trabalho do projeto. A EAP é decomposta em pacotes de trabalho. A orientação da hierarquia para a entrega inclui entregas internas e externas (PMI, 2004a).

120 97 Estrutura analítica do resumo do projeto Também chamada de Project Summary Work Breakdown Structure (PSWBS), é uma estrutura analítica do projeto para o projeto que é desenvolvida somente até o nível de detalhe do subprojeto dentro de algumas ramificações da EAP, e onde os detalhes desses subprojetos são fornecidos para que sejam usados pelas estruturas analíticas do projeto contratado (PMI, 2004a). Estrutura analítica dos recursos (EARs) Também chamada de Resource Breakdown Structure (RBSs). Uma estrutura hierárquica de recursos por categoria de recursos e tipo de recursos usada em cronogramas de nivelamento de recursos e para desenvolver cronogramas limitados por recursos, e que pode ser usada para identificar e analisar designações de recursos humanos do projeto (PMI, 2004a). Estrutura analítica dos riscos (EARc) Também chamada de Risk Breakdown Structure (RBSr), é uma representação organizada hierarquicamente dos riscos identificados do projeto ordenados por categoria e subcategoria de risco que identifica as diversas áreas e causas de riscos potenciais. A estrutura analítica dos riscos geralmente é adaptada para tipos específicos de projetos (PMI, 2004a). Evento de segurança da informação Ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação (ISO/IEC, 2004a). Executa É um processo que deve orientar, gerenciar, realizar e executar o trabalho do projeto, fornecer as entregas e fornecer informações sobre o desempenho do trabalho (PMI, 2004a). F Fase do projeto Um conjunto de atividades do projeto relacionadas de forma lógica que geralmente culminam com o término de uma entrega importante. Na maioria dos casos, as fases do projeto (também chamadas de fases) são terminadas seqüencialmente, mas podem se sobrepor em algumas situações do projeto. As fases podem ser subdivididas em subfases e depois em componentes; se o projeto ou parte do projeto estiverem divididos em fases, essa hierarquia fará

121 98 parte da estrutura analítica do projeto. Uma fase do projeto é um componente do ciclo de vida do projeto. Uma fase do projeto não é um grupo de processos de gerenciamento de projetos (PMI, 2004a). Fatores ambientais da empresa Qualquer um ou todos os fatores ambientais externos e fatores ambientais organizacionais internos que cercam ou influenciam o sucesso do projeto. Esses fatores são de qualquer uma ou de todas as empresas envolvidas no projeto e incluem cultura e estrutura organizacional, infra-estrutura, recursos existentes, bancos de dados comerciais, condições de mercado e software de gerenciamento de projetos (PMI, 2004a). Ferramenta Alguma coisa tangível, como um modelo ou um programa de software, usada na realização de uma atividade para produzir um produto ou resultado (PMI, 2004a). G Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização, no que se refere aos risco. Vale notar que a gestão do risco normalmente inclui a avaliação do risco, o tratamento do risco, a aceitação do risco e a comunicação do risco (ABNT, 2005a). Gestão de Segurança da Informação e Comunicações Ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações (FELIX, 2008a). I Incidente de segurança da informação Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/IEC, 2004a).

122 99 Iniciação do projeto Lançamento de um processo que pode resultar na autorização e na definição do escopo de um novo projeto (PMI, 2004a). Integridade Propriedade de proteção à precisão e perfeição de recursos (ISO/IEC, 2004b). Integridade Propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental (FELIX, 2008a). M Monitoramento e controle de riscos O processo de acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos, execução de planos de respostas a riscos e avaliação de sua eficiência durante todo o ciclo de vida do projeto (PMI, 2004a). Monitorar Coletar dados de desempenho do projeto referentes a um plano, produzir medições do desempenho e relatar e divulgar informações sobre o desempenho (PMI, 2004a). Monitorar e controlar o trabalho do projeto O processo de monitoramento e controle dos processos necessários para iniciar, planejar, executar e encerrar um projeto para atender aos objetivos de desempenho definidos no plano de gerenciamento do projeto e na declaração do escopo do projeto (PMI, 2004a). N Norma Um documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto (PMI, 2004a). O Objetivo Algo em cuja direção o trabalho deve ser orientado, uma posição estratégica a ser alcançada ou um objetivo a ser atingido, um resultado a ser obtido, um produto a ser produzido ou um serviço a ser realizado (PMI, 2004a).

123 100 Operações Uma função organizacional que realiza a execução contínua de atividades que produzem o mesmo produto ou fornecem um serviço repetitivo. Exemplos: operações de produção, operações de fabricação e operações de contabilidade (PMI, 2004a). P Política de Segurança da Informação e Comunicações Documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações (FELIX, 2008a). Premissas São fatores que, para fins de planejamento, são considerados verdadeiros, reais ou certos sem prova ou demonstração. As premissas afetam todos os aspectos do planejamento do projeto e fazem parte da elaboração progressiva do projeto. Freqüentemente, as equipes do projeto identificam, documentam e validam as premissas durante o processo de planejamento. Geralmente, as premissas envolvem um grau de risco (PMI, 2004a). Processo Um conjunto de ações e atividades inter-relacionadas realizadas para obter um conjunto especificado de produtos, resultados ou serviços (PMI, 2004a). Processo de gerenciamento de projetos Um dos 44 processos exclusivos do gerenciamento de projetos e descritos no Guia do PMBOK (PMI, 2004a). Processo de área de conhecimento Um processo de gerenciamento de projetos identificável dentro de uma área de conhecimento (PMI, 2004a). Processos de encerramento Os processos realizados para finalizar formalmente todas as atividades de um projeto ou fase e transferir o produto terminado para outros ou encerrar um projeto cancelado (PMI, 2004a). Processos de execução Os processos realizados para terminar o trabalho definido no plano de gerenciamento do projeto para atingir os objetivos do projeto definidos na declaração do escopo do projeto (PMI, 2004a). Processos de iniciação Os processos realizados para autorizar e definir o escopo de uma nova fase ou projeto ou que podem resultar na continuação de um trabalho de projeto interrompido. Em geral, é realizado um grande número de

124 101 processos de iniciação fora do escopo de controle do projeto pelos processos de organização, programa ou portfólio, e esses processos fornecem as entradas para o grupo de processos de iniciação do projeto (PMI, 2004a). Processos de monitoramento e controle Os processos realizados para medir e monitorar a execução do projeto de modo que seja possível tomar ações corretivas quando necessário para controlar a execução da fase ou do projeto (PMI, 2004a). Processos de planejamento Os processos realizados para definir e amadurecer o escopo do projeto, desenvolver o plano de gerenciamento do projeto e identificar e programar as atividades do projeto que ocorrem dentro do projeto (PMI, 2004a). Produto Um objeto produzido, quantificável e que pode ser um item final ou um item componente. Produtos também são chamados de materiais ou bens. Compare com resultado e serviço. Veja também entrega (PMI, 2004a). Profissional de gerenciamento de projetos Uma pessoa que tenha recebido a certificação de PMP do Project Management Institute (PMI) (PMI, 2004a). Programa Um grupo de projetos relacionados gerenciados de modo coordenado para a obtenção de benefícios e controle que não estariam disponíveis se eles fossem gerenciados individualmente. Programas podem incluir elementos de trabalho relacionado fora do escopo dos projetos distintos no programa (PMI, 2004a). Projeto Um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo (PMI, 2004a). Q Quebra de segurança Ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações (FELIX, 2008a). R Restrição O estado, a qualidade ou o sentido de estar restrito a uma determinada ação ou inatividade. Uma restrição ou limitação aplicável, interna ou externa

125 102 ao projeto, que afetará o desempenho do projeto ou de um processo. Por exemplo, uma restrição do cronograma é qualquer limitação ou condição colocada em relação ao cronograma do projeto que afeta o momento em que uma atividade do cronograma pode ser agendada e geralmente está na forma de datas impostas fixas. Uma restrição de custos é qualquer limitação ou condição colocada em relação ao orçamento do projeto, como fundos disponíveis ao longo do tempo. Uma restrição de recursos do projeto é qualquer limitação ou condição colocada em relação à utilização de recursos, como quais habilidades ou disciplinas do recurso estão disponíveis e a quantidade disponível de um determinado recurso durante um prazo especificado (PMI, 2004a). Restrição tripla Uma estrutura para a avaliação de demandas conflitantes. A restrição tripla é freqüentemente representada como um triângulo em que um dos lados ou um dos cantos representa um dos parâmetros que está sendo gerenciado pela equipe do projeto (PMI, 2004a). Resultado Uma saída dos processos e atividades de gerenciamento de projetos. Os resultados podem incluir efeitos (por exemplo, sistemas integrados, processo revisado, organização reestruturada, testes, pessoal treinado, etc.) e documentos (por exemplo, políticas, planos, estudos, procedimentos, especificações, relatórios, etc.) Compare com produto e serviço (PMI, 2004a). Risco Um evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo nos objetivos de um projeto. Veja também categoria de risco e estrutura analítica dos riscos (PMI, 2004a). Risco residual Risco que permanece após o tratamento de riscos (ABNT, 2005a). S Segurança da informação Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas cite (ABNT, 2005b). Segurança da Informação e Comunicações Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações (FELIX, 2008a).

126 103 Simulação Uma simulação utiliza um modelo de projeto que representa as incertezas especificadas de maneira detalhada em relação a seu possível impacto nos objetivos expressos no nível do projeto como um todo. As simulações de projetos usam modelos computacionais e estimativas de risco, geralmente expressas como uma distribuição de probabilidade dos possíveis custos ou durações em um nível de trabalho detalhado, e são normalmente realizadas utilizando a Simulação de Monte Carlo (PMI, 2004a). Sistema Um conjunto integrado de componentes regularmente inter-relacionados e interdependentes criados para realizar um objetivo definido, com relações definidas e mantidas entre seus componentes e cuja produção e operação como um todo é melhor que a simples soma de seus componentes. Os sistemas podem ser fisicamente baseados em processos ou baseados em processos de gerenciamento ou, mais freqüentemente, uma combinação dos dois. Os sistemas de gerenciamento de projetos são formados por processos de gerenciamento de projetos, técnicas, metodologias e ferramentas operadas pela equipe de gerenciamento de projetos (PMI, 2004a). Sistema de gestão da segurança da informação SGSI Parte do sistema de gestão global, baseada em uma aproximação de risco empresarial, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. Vale notar que o sistema de gestão inclui estrutura organizacional, políticas, planejamento de atividades, responsabilidades, práticas, procedimentos, processos e recursos (ABNT, 2006). T Tarefa Técnica Um termo usado para trabalho cujo significado e colocação dentro de um plano estruturado de um trabalho do projeto variam de acordo com a área de aplicação, setor e marca do software de gerenciamento de projetos (PMI, 2004a). Um procedimento sistemático definido usado por um recurso humano para realizar uma atividade a fim de produzir um produto ou resultado ou oferecer um serviço, e que pode empregar uma ou mais ferramentas (PMI, 2004a). Termo de abertura do projeto Um documento publicado pelo iniciador ou patrocinador do projeto que autoriza formalmente a existência de um projeto e

127 104 concede ao gerente de projetos a autoridade para aplicar os recursos organizacionais nas atividades do projeto (PMI, 2004a). Tratamento da informação Recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas (FELIX, 2008a). Tratamento de riscos Processo de seleção e implementação de medidas para modificar um risco (ABNT, 2005a). V Val IT Modelo que estende e complementa o COBIT, abordando a tomada de decisões em relação aos investimentos em TI e a relação efetiva dos benefícios. Valoração do risco Processo de comparar o risco estimado contra critérios de risco estabelecidos para determinar a significância do risco (ABNT, 2005a).

128 105 APÊNDICE A -- A Criação GT-2005 O Grupo de Trabalho foi instituído no âmbito do GSI pelas portarias (FELIX, 2005) e (FELIX, 2006). A.1 Os Objetivos do GT-2005 Os objetivos do GT-2005 são definir e desenvolver a metodologia de Gerenciamento de Segurança de Sistemas de Informação para a APF, assim como normas, padrões e procedimentos a serem utilizados no âmbito da APF com relação ao Gerenciamento da Segurança dos Sistemas de Informação que servirão de parametrização para o Sistema de Controle Interno do Poder Executivo Federal quando da realização dos processos de auditoria e verificação. A.2 A Composição do Grupo de Trabalho O grupo de trabalho foi integrado por representantes dos seguintes órgãos e seus representantes: Gabinete de Segurança Institucional da Presidência da República Otávio Carlos Cunha da Silva (coordenador do GT-2005); Antônio Carlos Pereira Brito; Paulo Hideo Ohtoshi; Yoshihisa Kawano; Tatiana Malta Vieira; Maria das Graças Rolim Bilich. Ministério da Defesa Paulo José dos Santos; Felipe Ferreira Neves Martins Rodrigues.

129 106 Comando da Marinha Sérgio Barbosa; Edervaldo Teixeira de Abreu Filho. Comando do Exército José Ricardo Souza Camelo. Comando da Aeronáutica Flávio Márcio de Souza; Luiz Guilherme Sá da Silva; Nilton Daltro Santos. Ministério do Planejamento, Orçamento e Gestão. Ernandes Lopes Bezerra; José Ney de Oliveira Lima. Ministério da Fazenda Tércio Marcus de Souza; Augusto Ewerton Dias Ferreira; Ariosto Rodrigues de Souza Júnior; Nélida Maria Brito Araújo; Josenilson Torres Veras. Controladoria-Geral da União Duque Dantas.

130 Figura A.1: Diagrama esquemático da metodologia de trabalho do GT

131 108 APÊNDICE B -- A Estratégia de Processo do Modelo do GT-2005 O Modelo de GSIC do GT-2005 basea-se na abordagem de processo como está explicitado na norma ABNT NBR ISO/IEC 27001:2005. Uma organização precisa identificar e administrar muitas atividades para funcionar efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um processo. Freqüentemente a saída de um processo forma diretamente a entrada do processo seguinte. A aplicação de um sistema de processos dentro de uma organização, junto com a identificação e interações destes processos, e sua gestão, pode ser chamada de estratégia de processo. A estratégia de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: a) Entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança de informação; b) Implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização; c) Monitoração e revisão do desempenho e efetividade do SGSI; e d) Melhoria contínua baseada em medidas objetivas (ABNT, 2006, p. v) O Modelo de GSIC do GT-2005 também adota o ciclo PDCA, que é aplicado para estruturar todos os processos do Sistema de Gestão da Segurança da Informação (SGSI). O SGSI considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no tendimento a estes requisitos e expectativas. O modelo com o ciclo PDCA é descrito a seguir em cada fase com os respectivos processos.

132 109 Figura B.1: Modelo PDCA aplicado aos processos do SGSI B.1 Planejar ( Plan ) Estabelecer o SGSIC É a fase do ciclo na qual o gestor de segurança da informação do órgão da APF deverá definir o escopo nas quais as ações de segurança irão ser desenvolvidas; qual o método de análise de riscos deve ser aplicado; quais os objetivos, tarefas e recursos decorrentes; quais os responsáveis pela execução; que tipo de produto documental a execução do planejamento irá gerar (projetos, relatórios, especificação, processos de licitação, processos de auditoria etc.); além de outras particularidades de planejamento compatíveis com o órgão da APF que executar o processo. Para o estabelecimento do SGSIC os órgãos devem: a) Definir o escopo e os limites do SGSIC nos termos das características do negócio; b) Definir uma política do SGSIC; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos;

133 110 i) Obter autorização da direção para implementar e operar o SGSIC; j) Preparar uma Declaração de Aplicabilidade. B.2 Fazer ( Do ) Implementar e Operar o SGSIC É a fase do ciclo na qual o gestor deverá implementar e operar as ações definidas nos documentos gerados no planejamento. Para a implementação e operação do SGSIC os órgãos devem: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada; b) Implementar o plano de tratamento de riscos; c) Implementar os controles selecionados; d) Definir como medir a eficácia dos controles; e) Implementar programas de conscientização e treinamento; f) Gerenciar as operações do SGSIC; g) Gerenciar os recursos para o SGSIC; h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. B.3 Checar ( Check ) Monitorar e Revisar o SGSIC É a fase do ciclo na qual o gestor deverá avaliar a execução das ações por meio de indicadores ou outras formas de avaliação que devem estar previstas nos documentos gerados no planejamento, de modo a viabilizar a detecção oportuna de desvios e sua correção. Para o monitoramento e a análise crítica do SGSIC os órgãos devem: a) Executar procedimentos de monitoração e análise crítica; b) Realizar análises críticas regulares da eficácia do SGSIC;

134 111 c) Medir a eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos; d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados; e) Conduzir auditorias internas do SGSIC a intervalos planejados; f) Realizar uma análise crítica do SGSIC pela direção em bases regulares; g) Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise de crítica; h) Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSIC. B.4 Agir ( Act ) Manter e Melhorar o SGSIC É a fase do ciclo na qual o gestor deverá tomar as ações corretivas e preventivas, baseado nos resultados do processo de verificação ou checagem utilizado na fase 3 (Checar) do ciclo da auditoria interna do SGSIC e na revisão gerencial ou em outra informação pertinente, para alcançar a melhoria contínua do SGSIC. Para a manutenção da melhoria continuada do SGSIC os órgãos devem regularmente: a) Implementar as melhorias identificadas no SGSIC; b) Executar as ações corretivas apropriadas de acordo com: a identificação de não conformidades e as ações preventivas conforme a identificação de não-conformidades potenciais e suas causas; c) Comunicar as ações e melhorias a todas as partes interessadas com o nível de detalhe apropriado; d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. O modelo de Gestão da Segurança da Informação é o macro-processo de melhoria continuada que satisfaz as demandas da APF. Adicionalmente, propicia a necessária mudança cultural a partir da verificação continuada dos processos, procedimentos e estruturas.

135 112 APÊNDICE C -- Casos do Mapeamento do PMBOK A aplicação das boas práticas do Guia PMBOK no CEPESC começa em 2007 nos projetos de desenvolvimento de soluções criptográficas para a Segurança da Informação e Comunicação no âmbito do GSI/PR e Agência Brasileira de Inteligência (Abin). A Coordenação de Segurança da Informação e Comunicações é hoje no centro a responsável pelo estudo e pesquisa do arcabouço de normas e metodologias para a área de SIC. Uma área no CEPESC específica para a elaboração de normas, padrões e metodologias deve-se a necessidade do acompanhar a permanentemente evolução dos modelos e metodologias relacionados com a SIC, isto já é feito historicamente com o desenvolvendo-se dos estudos e das pesquisas no âmbito das demandas dos Grupos de Trabalhos instituídos pelo CGSI do GSI, ora com o Centro como participante ora como Condenador de GTs Vários foram os GTs que contaram essa coordenação, mas destacam-se os trabalhos de pesquisa que resultaram no uso do PMBOK: o Estudo da Infra-estrutura Crítica do Governo Federal e a Metodologia Análise de Risco para a APF. O primeiro resultado veio com no trabalho de Estudo de Infra-estrutura Crítica do Brasil, um estudo do método de avaliação de riscos OCTAVE e sua relação com o modelo de Serviços de Segurança proposto pelo NIST (STONEBURNER, 2001). O segundo resultado originou-se do trabalho de Metodologia Análise de Risco para a APF, o desenvolvimento da Metodologia A é uma metodologia para aplicação nos órgãos da APF para aumentar o nível de segurança e buscar a conformidade da SIC em termos de controle interno CGU e externo TCU. C.1 A Implementação do Método OCTAVE A Metodologia OCTAVE, foi elaborada e desenvolvida pelo Software Engeneering Institute (SEI) da Carnegie Mellon University (CMU). O que a diferencia de outras metodologias são os seguintes conceitos;

136 113 A missão da organização; Os ativos /ativos críticos; A estratégia de negócio da organização; As necessidades de segurança da informação; O risco ao negócio; O plano estratégico de segurança. Tem uma abordagem em que o tratamento dos ativos críticos da organização é feito em nível de importância estratégica, pois impacta na missão da organização. De acordo com o SEI, um Ciclo de Vida para um Plano de Gerenciamento de Riscos possui as seguintes fases: 1.Identificação e Quantificação; 2.Análise e Classificação; 3.Planejamento e Implantação; 4.Monitoramento 5.Controle. A metodologia OCTAVE é uma metodologia de avaliação de riscos de segurança que engloba basicamente as três primeiras fases do Ciclo de Vida para um Plano de Gerenciamento de Riscos SEI. A metodologia OCTAVE é diferente de outras consideradas, estas quase todas direcionadas a uma visão só no aspecto tecnológico, onde se avaliam os riscos tecnológicos, sendo que a metodologia OCTAVE está direcionada pela análise dos riscos operacionais e a imediata avaliação da efetividade das práticas de segurança. A metodologia OCTAVE é aplicada no âmbito da organização, nas questões estratégicas, nos aspectos dos ativos críticos, com o foco nas práticas de segurança por meio da utilização de controles (ALBERTS; DOROFEE, 2003). Justifica-se o emprego de uma metodologia de análise de risco com a abordagem da OCTAVE pela necessidade de caracterizar a infra-estrutura critica da APF, com a informação e seus sistemas permeando todo o contexto. A figura, apresentada a seguir, mostra as áreas de influência do Método OCTAVE.

137 114 Figura C.1: Paradigma do gerenciamento de risco (CMU/SEI, ) C.1.1 O mapeamento OCTAVE com o Guia PMBOK Com o título Implementação de Análise de Risco OCTAVE seguindo o PMBOK, é apresentado por um Trabalho de Conclusão de Curso, Master in Business Administration (MBA) em Gestão de Projeto de Software da Centro Universitário Euro-americano (UNIEURO), por Antônio Carlos Pereira de Britto e o Mestre João Alberto Pincovscy (BRITTO; PINCOVSCY, 2008), uma proposta de modelo de implantação de Gestão de Risco da Segurança da Informação na APF, via mapeamento Guia PMBOK. A separação das abordagens de orientação a processos e a projetos é o destaque do trabalho. Os resultados esperados é a sinergia do mapeamento no contexto da Governança. C.2 A Implantação da Metodologia A é o resultado da elaboração pelo CEPESC de uma Metodologia de Análise de Risco voltada para os órgãos da APF. Na metodologia foram consideradas as diferenças das estruturas organizacionais dos órgãos que compõem a APF. Este fato con-

138 115 Figura C.2: Principais fases da OCTAVE (ALBERTS; DOROFEE, 2001) feriu um desafio de produzir uma Metodologia de Análise de Risco que fosse flexível, com escalabilidade e ao mesmo tempo robusta para que pudesse ser aplicada em qualquer ambiente da APF. O seu desenvolvimento teve como base normas, padrões e recomendações das boas práticas em Segurança da Informação e Comunicação. Foi desenvolvida pela Coordenação de Normas do CEPESC, e ainda está evoluindo em termos de compatibilidade com os princípios de GRC de TI. C.2.1 Objetivos da Esta metodologia tem como objetivo identificar e analisar riscos em sistemas de informação da APF. Os processos e atividades da metodologia são descritos de forma a subsidiar e fornecer instrumentos para o órgão levantar, identificar e analisar os principais riscos envolvidos no dia-a-dia de suas atribuições e os impactos resultantes nos ativos que compõem os sistemas de informação. Desta forma, o órgão pode atuar de forma mais eficaz, criando as melhores condições para que a missão seja cumprida, com diminuição da probabilidade de impactos sociais, políticos ou econômicos. Esta metodologia de análise de risco compreende fases da gestão de risco. Na figura podem ser vistas as fases da gestão de risco. É possível verificar no modelo e gestão que após a análise de risco são necessárias atividades de avaliação e de tratamento de riscos, de monitoramento e revisão e de comunicação e consulta. A análise de risco é executada após o estabelecimento de contexto e a identificação de risco. Três fases da gestão de risco estão inseridas nesta metodologia de análise de risco, ou seja, a metodologia contempla os processos e atividades para o

139 116 Figura C.3: Áreas de influência do Método OCTAVE (BRITTO; PINCOVSCY, 2008) estabelecimento de contexto, identificação e análise de risco. C.2.2 As premissas da As premissas são: Flexibilidade, escalabilidade e robustez: voltada para aplicação em qualquer ambiente da APF, independente da sua estrutura organizacional; Empregabilidade: ser aplicada pela área de segurança da informação ou pela área de TI da organização em questão; Usabilidade: pode ser utilizada com auxílio de ferramentas, facilitando assim a aplicação e podendo ser integrada a um SGSI; Fundamentação: baseada em normas, padrões e recomendações de organizações nacionais e internacionais.

140 117 Figura C.4: Modelo de Gestão de Risco (CICCO, 2004) C.2.3 A estrutura da A metodologia é composta por cinco fases, onze processos composto de sessenta atividades. A metodologia é seqüencial, ou seja, os resultados de cada processo são insumos para os processos subseqüentes. O relacionamento entre os elementos que fazem parte da análise de risco está representado na figura, assim como, conceito de risco utilizado nesta metodologia. Figura C.5: Relacionamentos entre elementos do risco (BRITTO; SOUSA; PINCOVSCY, 2008) A metodologia inicia-se com a preparação para o processo de análise de risco a ser conduzido, de acordo com o contexto da APF. O levantamento de informações é realizado usando diferentes técnicas e, após a análise de risco que envolve vulnerabilidades e testes de vulnerabilidade, as recomendações são geradas, documentadas e apresentadas.

141 118 A metodologia está dividida em fases, descritas abaixo, e o relacionamento entre estas pode ser verificado na Figura: Contextualização (Processo 1) Levantamento de Informações (Processo 2 a 7) Análises (Processo 8) Recomendações (Processo 9) Apresentação dos Resultados (Processo 10 a 11) Figura C.6: Fases da metodologia (BRITTO; SOUSA; PINCOVSCY, 2008) A interação entre a equipe de análise e os interlocutores da APF ocorrerá nas fases de contextualização, de levantamento de informações e de apresentação dos resultados. Nas demais fases o trabalho será realizado pela equipe de análise, que pode contar com profissionais do ambiente que está sendo analisado. A equipe de análise é fundamental para o sucesso do trabalho, já que será a responsável pela condução de todo o processo da análise de risco, estando presente em todas as fases da metodologia. C.2.4 Os resultados obtidos Os resultados obtidos com aplicação da abordagem PMBOK na implementação da como um projeto de aplicação interno a Organização são até agora:

GTI Governança de TI

GTI Governança de TI GTI Governança de TI Modelos de Melhores Práticas e o Modelo de Governança de TI Governança de TI FERNANDES & ABREU, cap. 4 1 COBIT Control Objectives for Information and Related Technology. Abrangente

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

GOVERNANÇA DE TI PMBoK (Project Management Body of Knowledge)

GOVERNANÇA DE TI PMBoK (Project Management Body of Knowledge) GOVERNANÇA DE TI PMBoK (Project Management Body of Knowledge) Governança de TI AULA 08 2011-1sem Governança de TI 1 Introdução ao Gerenciamento de Projetos HISTÓRIA PMI Project Management Institute: Associação

Leia mais

Gerenciamento de Projetos Modulo I Conceitos Iniciais

Gerenciamento de Projetos Modulo I Conceitos Iniciais Gerenciamento de Projetos Modulo I Conceitos Iniciais Prof. Walter Cunha falecomigo@waltercunha.com http://waltercunha.com Bibliografia* Project Management Institute. Conjunto de Conhecimentos em Gerenciamento

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Gerenciamento de Projetos Modulo I Conceitos Iniciais

Gerenciamento de Projetos Modulo I Conceitos Iniciais Gerenciamento de Projetos Modulo I Conceitos Iniciais Prof. Walter Cunha falecomigo@waltercunha.com http://waltercunha.com Bibliografia* Project Management Institute. Conjunto de Conhecimentos em Gerenciamento

Leia mais

UNIVERSIDADE FEDERAL DE LAVRAS PRÓ-REITORIA DE PLANEJAMENTO E GESTÃO Diretoria de Gestão da Tecnologia da Informação

UNIVERSIDADE FEDERAL DE LAVRAS PRÓ-REITORIA DE PLANEJAMENTO E GESTÃO Diretoria de Gestão da Tecnologia da Informação PROCESSO DE GERENCIAMENTO DE RISCOS A Coordenadoria de Segurança da Informação da Diretoria de Gestão de Tecnologia da Informação DGTI, em conformidade com a Norma Complementar nº 04, da Instrução Normativa

Leia mais

fagury.com.br. PMBoK 2004

fagury.com.br. PMBoK 2004 Este material é distribuído por Thiago Fagury através de uma licença Creative Commons 2.5. É permitido o uso e atribuição para fim nãocomercial. É vedada a criação de obras derivadas sem comunicação prévia

Leia mais

Proposta de um Programa de Segurança da Informação para as Autarquias Federais

Proposta de um Programa de Segurança da Informação para as Autarquias Federais Proposta de um Programa de Segurança da Informação para as Autarquias Federais Johnson, Luciano Mestrado Multidisciplinar em Ciência, Gestão e Tecnologia da Informação. Universidade Federal do Paraná -

Leia mais

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI)

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI) A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI) Os principais modelos de melhores práticas em TI Carlos Henrique Santos da Silva, MSc, PMP, ITIL

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Gerenciamento de Projetos

Gerenciamento de Projetos Gerenciamento de Projetos PMI, PMP e PMBOK PMI (Project Management Institute) Estabelecido em 1969 e sediado na Filadélfia, Pensilvânia EUA, o PMI é a principal associação mundial, sem fins lucrativos,

Leia mais

A estrutura do gerenciamento de projetos

A estrutura do gerenciamento de projetos A estrutura do gerenciamento de projetos Introdução O Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK ) é uma norma reconhecida para a profissão de gerenciamento de projetos. Um padrão é

Leia mais

4. PMBOK - Project Management Body Of Knowledge

4. PMBOK - Project Management Body Of Knowledge 58 4. PMBOK - Project Management Body Of Knowledge No Brasil, as metodologias mais difundidas são, além do QL, o método Zopp, o Marco Lógico do Banco Interamericano de Desenvolvimento (BID) e o Mapp da

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Gerência de Projetos CMMI & PMBOK

Gerência de Projetos CMMI & PMBOK Gerência de Projetos CMMI & PMBOK Uma abordagem voltada para a qualidade de processos e produtos Prof. Paulo Ricardo B. Betencourt pbetencourt@urisan.tche.br Adaptação do Original de: José Ignácio Jaeger

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO GABINETE DO MINISTRO PORTARIA Nº 795, DE 5 DE SETEMBRO DE 2012 O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso de suas atribuições

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos

Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos Combining the ISO 10006 and PMBOK to ensure successful projects 1 Por Michael Stanleigh Tradução e adaptação para fins didáticos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

A experiência de quem trouxe a internet para o Brasil agora mais perto de você

A experiência de quem trouxe a internet para o Brasil agora mais perto de você A experiência de quem trouxe a internet para o Brasil agora mais perto de você A Escola A Escola Superior de Redes da RNP privilegia um ensino totalmente prático. Os laboratórios são montados de forma

Leia mais

Plano de Governança de Tecnologia de Informação

Plano de Governança de Tecnologia de Informação Plano de Governança de Tecnologia de Informação Julho/2012 Junho/2014 1 Universidade Federal Fluminense Superintendência de Tecnologia da Informação Fernando Cesar Cunha Gonçalves Superintendência de Tecnologia

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3 Gerenciamento de Serviços de TIC ISO/IEC 20.000 / ITIL V2 e V3 Agenda O que é serviço de TIC? O que é Qualidade de Serviços de TIC? O que é Gerenciamento de Serviços de TIC? ISO IEC/20.000-2005 ITIL versão

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Apresentação Apresentação Professor Alunos Representante de Sala Frequência e Avaliação Modelos das aulas

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações LUCIA CRISTINA PINATTI BRUN Gestão do Processo de Desenvolvimento

Leia mais

Segurança de Redes. Introdução

Segurança de Redes. Introdução Segurança de Redes Introdução Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Apresentação Ementa Conceitos de Segurança. Segurança de Dados, Informações

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

- Project Management Institute. Disciplina de Engenharia de Software. PMP- Project Management Professional PMBOK

- Project Management Institute. Disciplina de Engenharia de Software. PMP- Project Management Professional PMBOK Disciplina de Engenharia de Software Material elaborado por Windson Viana de Carvalho e Rute Nogueira Pinto em 19/07/2004 Material alterado por Rossana Andrade em 22/04/2009 - Project Management Institute

Leia mais

Gerenciamento de Projetos

Gerenciamento de Projetos Gerenciamento de Projetos (ref. capítulos 1 a 3 PMBOK) TC045 Gerenciamento de Projetos Sergio Scheer - scheer@ufpr.br O que é Gerenciamento de Projetos? Aplicação de conhecimentos, habilidades, ferramentas

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Uma Iniciativa Para Aprimorar a Gestão de Riscos de Segurança da Informação na Administração Pública Federal

Uma Iniciativa Para Aprimorar a Gestão de Riscos de Segurança da Informação na Administração Pública Federal Uma Iniciativa Para Aprimorar a Gestão de Riscos de Segurança da Informação na Administração Pública Federal Paulo Marcos Siqueira Bueno, Fabio Sato Ikuno 1, Anderson Souza de Araújo, José Ney de Oliveira

Leia mais

GERENCIAMENTO DE PORTFÓLIO DE PROJETOS E INVESTIMENTOS CONSULTORIA

GERENCIAMENTO DE PORTFÓLIO DE PROJETOS E INVESTIMENTOS CONSULTORIA GERENCIAMENTO DE PORTFÓLIO DE PROJETOS E INVESTIMENTOS CONSULTORIA SOBRE A CONSULTORIA Como realizar inúmeros projetos potenciais com recursos limitados? Nós lhe mostraremos a solução para este e outros

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

MBA Gestão da Tecnologia de Informação

MBA Gestão da Tecnologia de Informação MBA Gestão da Tecnologia de Informação Informações: Dias e horários das aulas: Segundas e Terças-feiras das 18h00 às 22h00 aulas semanais; Sábados das 08h00 às 12h00 aulas quinzenais. Carga horária: 600

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL. Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL. Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR 2º. Encontro Rede SIC - Serviço de Informação ao Cidadão MPOG 20 de Novembro

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

5.1 Introdução. 5.2 Project Management Institute (PMI)

5.1 Introdução. 5.2 Project Management Institute (PMI) 5 NORMALIZAÇÃO DA GESTÃO DE PROJETOS 5.1 Introdução Embora tradicionalmente o esforço de normalização pertença à International Standards Organization (ISO), no caso da gestão de projetos a iniciativa tem

Leia mais

OTIMIZAÇÃO DE RECURSOS E INVESTIMENTOS ATRAVÉS DO GERENCIAMENTO DE PROGRAMAS CONSULTORIA

OTIMIZAÇÃO DE RECURSOS E INVESTIMENTOS ATRAVÉS DO GERENCIAMENTO DE PROGRAMAS CONSULTORIA OTIMIZAÇÃO DE RECURSOS E INVESTIMENTOS ATRAVÉS DO GERENCIAMENTO DE PROGRAMAS CONSULTORIA SOBRE A CONSULTORIA Alcance melhores resultados através da gestão integrada de projetos relacionados ou que compartilham

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Unidade I GERENCIAMENTO DE. Profa. Celia Corigliano

Unidade I GERENCIAMENTO DE. Profa. Celia Corigliano Unidade I GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Objetivo Estimular o aluno no aprofundamento do conhecimento das técnicas de gestão profissional de projetos do PMI. Desenvolver em aula

Leia mais

Resultados alcançados com a Ferramenta Channel em implementação de sucesso da Gerência de Projetos no nível G de maturidade do MR-MPS

Resultados alcançados com a Ferramenta Channel em implementação de sucesso da Gerência de Projetos no nível G de maturidade do MR-MPS Resultados alcançados com a Ferramenta Channel em implementação de sucesso da Gerência de Projetos no nível G de maturidade do MR-MPS Mauricio Fiorese 1, Alessandra Zoucas 2 e Marcello Thiry 2 1 JExperts

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

A Governança de TI Gestão de TI através de Portfólios

A Governança de TI Gestão de TI através de Portfólios A Governança de TI Gestão de TI através de Portfólios Sandra Sergi Santos, PMP Governança de TI Vamos começar este artigo analisando Governança de TI. A Governança de TI é a área mais crítica de uma governança

Leia mais

Planejamento Estratégico da Tecnologia da Informação (PETI)

Planejamento Estratégico da Tecnologia da Informação (PETI) 00 dd/mm/aaaa 1/15 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação ABRANGÊNCIA Este da Informação abrange todo o IFBA. SUMÁRIO 1. Escopo 2. Documentos de referência 3. Metodologia

Leia mais

ESTRUTURAÇÃO DOS PROCESSOS DE COMUNICAÇÃO EM PROJETOS, PROGRAMAS E PORTFÓLIOS CONSULTORIA

ESTRUTURAÇÃO DOS PROCESSOS DE COMUNICAÇÃO EM PROJETOS, PROGRAMAS E PORTFÓLIOS CONSULTORIA ESTRUTURAÇÃO DOS PROCESSOS DE COMUNICAÇÃO EM PROJETOS, PROGRAMAS E PORTFÓLIOS CONSULTORIA SOBRE A CONSULTORIA Assegure melhores resultados em seus projetos com uma estrutura de comunicação simples, efetiva,

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI Lincoln Herbert Teixeira lincolnherbert@gmail.com Governança de TI Ementa: Relacionar a governança de TI com a governança corporativa. Boas práticas

Leia mais

UM GUIA DO CONHECIMENTO EM GERENCIAMENTO DE PROJETOS (GUIA PMBOK ) Quarta Edição

UM GUIA DO CONHECIMENTO EM GERENCIAMENTO DE PROJETOS (GUIA PMBOK ) Quarta Edição UM GUIA DO CONHECIMENTO EM GERENCIAMENTO DE PROJETOS (GUIA PMBOK ) Quarta Edição Project Management Institute UM GUIA DO CONHECIMENTO EM GERENCIAMENTO DE PROJETOS (GUIA PMBOK ) Quarta Edição NOTA As

Leia mais

COMUNICAÇÃO, GESTÃO E PLANO DE RECUPERAÇÃO DE PROJETOS EM CRISE CONSULTORIA

COMUNICAÇÃO, GESTÃO E PLANO DE RECUPERAÇÃO DE PROJETOS EM CRISE CONSULTORIA COMUNICAÇÃO, GESTÃO E PLANO DE RECUPERAÇÃO DE PROJETOS EM CRISE CONSULTORIA SOBRE A CONSULTORIA Minimize os impactos de um projeto em crise com a expertise de quem realmente conhece o assunto. A Macrosolutions

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Proposta. ISO 20.000 / 2011 Fundamentos. Apresentação Executiva. ISO 20.000 / 2011 - Fundamentos

Proposta. ISO 20.000 / 2011 Fundamentos. Apresentação Executiva. ISO 20.000 / 2011 - Fundamentos ISO 20.000 / 2011 Fundamentos Apresentação Executiva 1 O treinamento de ISO 20.000 Foundation tem como premissa fornecer uma visão geral da publicação da norma ISO/IEC 20000 capacitando o aluno a entender

Leia mais

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO.

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao 1 Tópicos Especiais Novembro - 2008 2 Referências

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

MBA em Gestão Estratégica da Tecnologia da Informação

MBA em Gestão Estratégica da Tecnologia da Informação MBA em Gestão Estratégica da Tecnologia da Informação 432 horas-aula OBJETIVO DO CURSO Proporcionar uma visão estratégica dos processos organizacionais e de como os diversos processos dentro das organizações

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Informação e Comunicações

Informação e Comunicações ORIGEM Ministério da Integração Nacional Departamento Nacional de Obras Política de Segurança da Contra as Secas DNOCS Informação e Comunicações Departamento Nacional de Obras Contra as Secas REFERÊNCIA

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

Bernardo Orientador : Prof Hirata

Bernardo Orientador : Prof Hirata Model Framework for Migration based in Free Software Bernardo Orientador : Prof Hirata Santos Dumont Histórico Software Livre 1876 - Alexander Graham Bell AT&T Multics UNIX / C BSD, HP-UX,Solaris,AIX,etc..

Leia mais

COACHING E MENTORING EM GERENCIAMENTO DE PROJETOS CONSULTORIA

COACHING E MENTORING EM GERENCIAMENTO DE PROJETOS CONSULTORIA COACHING E MENTORING EM GERENCIAMENTO DE PROJETOS CONSULTORIA SOBRE A CONSULTORIA Assegure resultados superiores do seu time de projetos e dos executivos com o coaching e mentoring exclusivo da Macrosolutions.

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

ADMINISTRAÇÃO GERAL GESTÃO DE PROJETOS

ADMINISTRAÇÃO GERAL GESTÃO DE PROJETOS ADMINISTRAÇÃO GERAL GESTÃO DE PROJETOS Atualizado em 31/12/2015 GESTÃO DE PROJETOS PROJETO Para o PMBOK, projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo.

Leia mais

Mapeamento GRH. 1. Introdução

Mapeamento GRH. 1. Introdução Mapeamento GRH 1. Introdução 1.1. Finalidade Este documento tem duas finalidades principais: a) Averiguar semelhanças e diferenças entre modelos, normas e guias de boas práticas para gestão de recursos

Leia mais

ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT

ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT LONDRINA - PR 2015 ROBSON FUMIO FUJII GOVERNANÇA DE TIC: UM ESTUDO SOBRE OS FRAMEWORKS ITIL E COBIT Trabalho de Conclusão

Leia mais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao Tópicos Especiais Junho - 2008 Referências Acessos

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Conteúdo. Apresentação do PMBOK. Projeto 29/07/2015. Padrões de Gerenciamento de Projetos. Fase 01 1.PMBOK e PMI. 2. Conceitos 3.

Conteúdo. Apresentação do PMBOK. Projeto 29/07/2015. Padrões de Gerenciamento de Projetos. Fase 01 1.PMBOK e PMI. 2. Conceitos 3. 02m Conteúdo Apresentação do PMBOK Brasília, 25 de Junho de 2015 Fase 01 1.PMBOK e PMI 2. Conceitos 3.Processos Fase 02 4. Áreas de Conhecimento 10m Gerenciamento de Projetos Projeto A manifestação da

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

ESCRITÓRIO RIO DE PROJETOS

ESCRITÓRIO RIO DE PROJETOS PMO PROJETOS PROCESSOS MELHORIA CONTÍNUA PMI SCRUM COBIT ITIL LEAN SIX SIGMA BSC ESCRITÓRIO RIO DE PROJETOS DESAFIOS CULTURAIS PARA IMPLANTAÇÃO DANIEL AQUERE DE OLIVEIRA, PMP, MBA daniel.aquere@pmpartner.com.br

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais