POLÍTICA DE SEGURANÇA DA RCTS



Documentos relacionados
REGULAMENTO ESTÚDIO DE VIDEOCONFERÊNCIA DA U.PORTO P R A Ç A G O M E S T E I X E I R A P O R T O, O U T /

Critérios Gerais de Avaliação

GUIA DE AVALIAÇÃO DE CLIENTES PARA PROGRAMA DE RECUPERAÇÃO PÓS-DESASTRE

REGULAMENTO DA COMISSÃO DE AUDITORIA BANCO ESPÍRITO SANTO, S. A. Artigo 1.º Composição

NOVA CONTABILIDADE DAS AUTARQUIAS LOCAIS

- REGIMENTO - CAPITULO I (Disposições gerais) Artigo 1.º (Normas reguladoras)

O que esperar do SVE KIT INFORMATIVO PARTE 1 O QUE ESPERAR DO SVE. Programa Juventude em Acção

MUNICÍPIO DE VAGOS Câmara Municipal Rua da Saudade VAGOS

Divisão de Assuntos Sociais

GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º

INOVAÇÃO PORTUGAL PROPOSTA DE PROGRAMA

BANCO CENTRAL EUROPEU

HISTÓRICO DE REVISÕES REVISÃO DATA SÍNTESE DA REVISÃO

FEDERAÇÃO PORTUGUESA DE TIRO

PROTOCOLO DE COLABORAÇÃO. Entre O INSTITUTO SUPERIOR DE CIÊNCIAS DA ADMINISTRAÇÃO. e O SINDICATO DOS OFICIAIS DE JUSTIÇA

REGULAMENTO DE APOIO A INICIATIVAS EMPRESARIAIS ECONÓMICAS DE INTERESSE MUNICIPAL

Regimento do Conselho Municipal de Educação

ASSUNTO: Processo de Auto-avaliação da Adequação do Capital Interno (ICAAP)

Regulamento de Estágio do Mestrado em Desporto 2009

PROJECTO DE REGULAMENTO MUNICIPAL DE ATRIBUIÇÃO DE APOIOS FINANCEIROS E NÃO FINANCEIROS. Nota justificativa

REGULAMENTO DE ATRIBUIÇÃO DE APOIOS PELO MUNÍCIPIO DE MORA. Nota justificativa

REGULAMENTO DAS PROVAS ORAIS DE AVALIAÇÃO E AGREGAÇÃO

TV CABO PORTUGAL, S.A.

Regimento do Conselho Municipal de Educação do Concelho de Marvão. Preâmbulo

RELATÓRIO DE AVALIAÇÃO DE PORTUGAL 5º CICLO CRIMINALIDADE FINANCEIRA E INVESTIGAÇÕES FINANCEIRAS

Consulta pública. Sistema de Cobertura do Risco de Fenómenos Sísmicos

Regimento do Conselho Municipal de Educação de Cinfães

Regulamento do Fundo de Responsabilidade Social do Hospital Vila Franca de Xira

REGIMENTO DO CONSELHO MUNICIPAL DE EDUCAÇÃO DE GOLEGÃ

EDITAL. Iniciativa OTIC Oficinas de Transferência de Tecnologia e de Conhecimento

PROGRAMA DO INTERNATO MÉDICO DE SAÚDE PÚBLICA

formativa e das atividades de ensino e de aprendizagem nela desenvolvidas;

CONSELHO LOCAL DE ACÇÃO SOCIAL DE OURÉM - CLASO -

1 Ponto de situação sobre o a informação que a Plataforma tem disponível sobre o assunto

Regulamento Geral de Estudos Pós-Graduados. do Instituto de Ciências Sociais da Universidade de Lisboa

REGULAMENTO DO PROGRAMA DE FORMAÇÃO CONTÍNUA DA FEUP

Empresa Geral do Fomento e Dourogás, ACE

Educação Profissional Cursos Técnicos. Regulamento de Estágio Supervisionado

Observação das aulas Algumas indicações para observar as aulas

Regimento. Conselho Municipal de Educação de Mira

Regulamento Financeiro do Partido Social Democrata (Aprovado na Comissão Política Nacional de )

MINISTÉRIO DA ADMINISTRAÇÃO INTERNA. Decreto-Lei n.º 128/2006 de 5 de Julho

Segurança e Saúde dos Trabalhadores

PROGRAMA DE ACÇÃO COMUNITÁRIO RELATIVO À VIGILÂNCIA DA SAÚDE. PROGRAMA DE TRABALHO PARA 2000 (Nº 2, alínea b), do artigo 5º da Decisão nº 1400/97/CE)

Agrupamento de Escolas de Arronches. Metas Estratégicas para a Promoção da Cidadania ACTIVA e do Sucesso Escolar

Manual de Utilizador Plataforma de Estágios TIC.

INDAGAR E REFLECTIR PARA MELHORAR. Elisabete Paula Coelho Cardoso Escola de Engenharia - Universidade do Minho elisabete@dsi.uminho.

Auditoria nos termos do Regulamento da Qualidade de Serviço Relatório resumo EDP Serviço Universal, S.A.

CURSO DE INICIAÇÃO PEDAGÓGICA - CIP REGIMENTO DA REGIÃO DE LEIRIA

PROGRIDE - Programa para a Inclusão e Desenvolvimento. Acção: Banco de Ajudas Técnicas. Regulamento de Funcionamento Versão 2

M. DIAS BRANCO S.A. INDÚSTRIA E COMÉRCIO DE ALIMENTOS Companhia Aberta Capital Autorizado CNPJ nº / NIRE

COMITÊ DE ÉTICA EM PESQUISA DA ESCOLA DE SAÚDE PÚBLICA DO CEARÁ

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

COMISSÃO DAS COMUNIDADES EUROPEIAS PARECER DA COMISSÃO

Preâmbulo CAPITULO I DISPOSIÇÕES GERAIS E ENQUADRAMENTO. Artigo 1º. Objeto âmbito

ASSENTO DE REUNIÃO. 5ª Reunião do Observatório Nacional dos CIRVER PRESENÇAS. 21 de Julho de 2009

CONSELHO MUNICIPAL DE EDUCAÇÃO DE RIO MAIOR

Área de Intervenção IV: Qualidade de vida do idoso

PROJECTO DE CARTA-CIRCULAR SOBRE POLÍTICA DE REMUNERAÇÃO DAS INSTITUIÇÕES FINANCEIRAS

POLÍTICA DE SELEÇÃO E AVALIAÇÃO DOS MEMBROS DOS ÓRGÃOS DE ADMINISTRAÇÃO

Recomendação relativa a vulnerabilidade no modo WPA na rede e-u/eduroam. Serviço Utilizador RCTS Fevereiro de 2010

Projecto de Desenvolvimento de Sistemas de Software

SEMINÁRIOS AVANÇADOS GESTÃO DE PROJECTOS

Área - Relações Interpessoais

Tendo em vista: Que as Partes desejam criar uma nova estrutura de cooperação, mais ampla, em benefício dos Países Beneficiários;

FICHA DOUTRINÁRIA. Diploma: CIVA. Artigo: nº 14 do art. 29º; 36º. Assunto:

Regulamento PAPSummer 2016

INSPECÇÃO-GERAL DA EDUCAÇÃO PROGRAMA AFERIÇÃO

Circular nº 24/2015. Lei nº. 41/2015, de 3 de Junho. 17 de Junho Caros Associados,

LONDRES Reunião do GAC: Processos Políticos da ICANN

Sistema de formação e certificação de competências

NCE/15/00099 Relatório preliminar da CAE - Novo ciclo de estudos

República de Moçambique Ministério da Saúde Direcção Nacional de Saúde Pública

Projecto Mobilidade Para Todos. Normas de Utilização e Funcionamento

DISCUSSÕES UE/EUA RELATIVAS AO ACORDO SOBRE EQUIVALÊNCIA VETERINÁRIA

Ministérios das Finanças e da Administração Pública e das Obras Públicas Transportes e Comunica@es

MANUAL DA INCUBADORA DO TAGUSPARK

REGULAMENTO DA BOLSA DE AUDITORES

DIRETORIA COMERCIAL PLANO DE OCUPAÇÃO DA INFRAESTRUTURA DA COELCE

REGIMENTO DA CÂMARA MUNICIPAL DE VILA FRANCA DO CAMPO (1) Preâmbulo

CURSO: ADMINISTRAÇÃO GUIA DO TRABALHO FINAL

Avaliação do Desempenho dos Médicos.

Programa de Formação para Profissionais

CÂMARA MUNICIPAL DE MOURA

o Maria Hermínia Cabral o Sérgio Guimarães o Pedro Krupenski

Auxílio estatal n SA (2010/N) Portugal Alteração do regime de auxílios para a modernização empresarial (SIRME)

ACEF/1415/17827 Relatório preliminar da CAE

MANUAL DE PROCEDIMENTOS PLATAFORMA DE INSCRIÇÕES ONLINE

Indicadores Gerais para a Avaliação Inclusiva

DIMENSÃO DE CONSTRUÍDO

Regras de procedimento para a implementação e cumprimento do Plano de Contingência ARC/COP2/D _13. Segunda Conferência das Partes da ARC

REPÚBLICA DE MOÇAMBIQUE MINISTÉRIO DAS FINANÇAS GABINETE DO MINISTRO CIRCULAR N 01/ GAB-MF/2010

Transcrição:

POLÍTICA DE SEGURANÇA DA RCTS ACTA DA REUNIÃO Nº 1 Data: 27/01/2011 10:00 Ordem de trabalhos: Ponto um: Enquadramento do trabalho a desenvolver neste grupo Ponto dois: Definição do âmbito da política de segurança Ponto três: Definição de responsabilidades dentro de cada entidade para a gestão da segurança nas instituições Ponto quatro: Elaboração de um plano de trabalhos a apresentar no evento Jornadas RCTS a realizar nos dias 8, 9 e 10 de Fevereiro de 2011. Estiveram representados os seguintes membros, do grupo de trabalho definido: FCCN: Lino Santos e Luis Morais, em Lisboa (Sala Tejo) ISCTE: Diogo Beja, em Lisboa (Sala Tejo) UAveiro: Ricardo Martins e Hélio Edgar, em Aveiro (UAveiro) UPorto: Fernando Correia, no Porto (Sala Douro) FEUP: Jorge Ruão, no Porto (Sala Douro) Não puderam participar nesta reunião: UAlgarve: Júlio Fernandes IPBragança: Nuno Rodrigues, Albano Alves Após introdução e boas-vindas por Lino Santos, da FCCN, deu-se início aos trabalhos. Passaram a tratar-se os assuntos da ordem de trabalhos. Ponto um da agenda Enquadramento do trabalho a desenvolver neste grupo: Luis Morais fez uma breve apresentação dos resultados da sessão exploratória para a elaboração de uma política de segurança na RCTS, levada a cabo nas Jornadas RCTS de 2010, resultados esses que servem como ponto de partida para os trabalhos a desenvolver por este grupo de trabalho. Foram enumeradas as diferenças identificadas, no que respeita à gestão da segurança no seio da comunidade, nomeadamente: Política de Segurança da RCTS Acta número 1 1

Existência de diferentes níveis de consciência para a gestão de segurança, quer no plano técnico, quer no plano de gestão/administração da instituição; Existência de diferentes modelos de gestão da segurança (quando existem) reactivos / proactivos, centralizada / distribuída / ad-hoc, responsabilidades atribuídas ou não; Existência de diferentes níveis de conhecimento dos activos da organização, principalmente quando a gestão desses é realizada de forma distribuída; Existência de diferentes estágios de desenvolvimento de uma política de segurança que variam entre a inexistência até à existência de uma política participada e forte; Existência de diferentes níveis de compromisso por parte da gestão/administração da instituição que impossibilita a aplicação de uma política mesmo que ela exista; Num plano mais técnico, diferentes níveis de capacidade para responder às solicitações da FCCN/CERT.PT e mitigar incidentes de forma eficaz. Adicionalmente foram mencionados os constrangimentos que poderão ter influência no sucesso da gestão da segurança dentro das instituições, nomeadamente restrições de recursos humanos em algumas das instituições. Ficou claro nessa sessão que existe vontade das instituições para criar uma política de segurança para a RCTS que possa servir de base a uma instância própria em cada uma delas, no entanto, ficou também claro que são factores essenciais para o sucesso desta iniciativa, o apadrinhamento das respectivas reitorias ou administrações e o empowerment de quem vier a ser responsável pela gestão da segurança dentro da instituição. Foi explicado depois que foi nesse contexto que foi proposta a criação de um grupo de trabalho com vista à elaboração de um charter de segurança e de uma Política de Segurança da RCTS, tendo em conta o modelo de gestão descrito na figura seguinte. Esse grupo é constituído por 5 instituições ISCTE, Instituto Politécnico de Bragança, Universidade do Algarve, Universidade de Aveiro e Universidade do Porto. O critério utilizado na escolha dessas entidades foi o de tentar incluir no grupo instituições com diferentes modelos de gestão da segurança e de alguma forma representativas da comunidade. O charter de segurança da RCTS deverá definir o modelo de gestão da segurança e as responsabilidades das várias entidades envolvidas, enquanto a Política de Segurança da RCTS deverá elencar o conjunto de normas e regras que devem ser asseguradas pela FCCN e pelo conjunto das entidades com ligação à RCTS. Os resultados intermédios devem ser apresentados pelo grupo de trabalho e discutidos com toda a comunidade. Por fim foi proposto ao grupo de trabalho a seguinte calendarização: Política de Segurança da RCTS Acta número 1 2

Fase 1: (Janeiro) Definição de âmbito Fase 2: (até Maio) Primeiras versões do do charter e da Política de Segurança (até Outubro) Versões finais dos documentos Fase 3: (Novembro) Aprovação dos documentos Ponto dois da agenda Definição do Âmbito da Política de Segurança na RCTS Foi inicialmente feita uma ronda pelos membros presentes, por forma a recolher informação e compreender melhor a realidade e especificidades de cada instituição, em particular no que concerne: à estrutura da organização e a quem caberá o papel da gestão da segurança; o estágio de evolução no desenvolvimento de uma política de segurança na instituição; algumas dificuldades que antevejam; outros comentários que considerem relevantes. Ricardo Martins deu conta da situação na Universidade de Aveiro: indicou que foi recentemente feito um esforço de centralização, no que respeita à centralização da prestação de serviços de informática na universidade, pelo que fará mais sentido que seja essa entidade a assumir a responsabilidade para a gestão da segurança dentro da universidade. Caberá sempre à reitoria emanar essa responsabilidade de forma formal. Indicou ainda que não têm em aplicação uma política de segurança formalmente estruturada e aprovada. A gestão da segurança é feita com base num conjunto de outros mecanismos como carta ética do administrador de sistemas, algumas políticas de utilizadores e atribuição formal de algumas responsabilidades mais específicas. Do trabalho já desenvolvido, foram identificadas dificuldades como encontrar o equilíbrio entre os requisitos de flexibilidade e de segurança (mesmo em pedidos provenientes da reitoria da universidade) e em aferir as reais vantagens e desvantagens na aplicação de algumas políticas. Por último referiu que do trabalho desenvolvido até ao momento surgiu a dúvida se não será melhor seguir uma abordagem de divisão da política de segurança num conjunto de pequenas políticas, mais específicas e relacionadas. Esta abordagem permite não só uma melhor disseminação das políticas como também poderá facilitar a aprovação dos documentos, uma vez que esta será faseada e incidirá sobre uma matéria de menor dimensão. Fernando Correia, pela Univeresidade do Porto, deu contande que as unidades orgânicas têm autonomia e como tal não existe uma equipa única quem caiba a gestão da segurança de toda a instituição. Tendo em conta esta característica pensa que a melhor abordagem será a reitoria definir e fazer aprovar a política de segurança, que será Política de Segurança da RCTS Acta número 1 3

posteriormente emanada para cada unidade orgânica, cabendo a estes últimos a sua correcta gestão. Indicou ainda que a UP não dispõe de uma política de segurança contralizada e que existem diferentes estágios de desenvolvimento de políticas de segurança em cada uma das unidades orgânicas, havendo casos (FEUP) em que existem uma política formalmente aprovada e em aplicação. Como dificuldades, indicou, tal como a UA, identificar o equilíbrio entre a flexibilidade e a segurança e que excepcionalmente cedem e permitem excepções ás regras definidas. Outra dificuldade apontada emana da autonomia das unidades orgânicas e na respectiva diferença na elaboração de políticas. Foi dado como exemplo o tráfego P2P que em algumas unidades é permitido e noutras não. Referiu que esta é uma boa oportunidade para criar uma política comum dentro da própria instituição com o suporte da reitoria e FCCN. Em relação à divisão da política de segurança num conjunto de pequenas políticas foi algo que também já foi equacionado na instituição, não tendo no entanto sido alcançada qualquer conclusão. Jorge Ruão, da FEUP, deu conta de que existe, já há alguns anos, nesta unidade, uma política de segurança formalmente aprovada e em aplicação, mas que necessita de uma revisão, já que lhe foram identificadas insuficiências e lacunas. Diogo Beja, do ISCTE, referiu que, dentro da instituição, grande parte da gestão da segurança é levada a cabo pela unidade de comunicações e sistemas e que a aplicação de uma política de segurança deve ser levada a cabo por esta unidade com o empowerment da reitoria. Indicou ainda que o ISCTE não dispõem de uma política de segurança formalmente aprovada e em aplicação. A gestão da segurança é feita com recurso a um conjunto de políticas de utilização, baseadas nas políticas da unidade e na política de uso aceitável da FCCN (denominada por Carta ao Utilizador da RCTS ). Existem ainda algumas políticas de utilizador. É prática na instituição seguir um conjunto de boas práticas na gestão da segurança no que concerne aos novos desenvolvimentos, no entanto nem todos os serviços estão em conformidade com essas boas práticas. Como dificuldades foram indicadas aquelas que se prendem com a existência de direitos adquiridos na instituição como a permissão de existência de sistemas de email descentralizados. Levantou ainda a questão do plano de trabalhos proposto, nomeadamente no que diz respeito a alguns prazos mais apertados e a necessidade de rever esses prazos sob pena de não os conseguirmos cumprir. Indicou que na instituição permitem a utilização de tráfego P2P, com algum controlo e monitorização. Por último, Lino Santos referiu que está ser levado a cabo, na FCCN, um projecto de revisão da política de segurança baseado na norma ISO27001. Este processo, elaborado através de benchmarking com a norma, pretende não só definir uma nova política de segurança, mas também identificar o nível de implementação e a definição de Política de Segurança da RCTS Acta número 1 4

responsabilidades de forma a garantir a aplicação de cada uma das normas dessa política. Como dificuldades referiu a recolha de inputs durante o processo de benchmarking, principalmente devido à dimensão da norma e do conjunto alargado de perguntas que são feitas aos responsáveis por processos dentro da organização. Em seguida Lino Santos comentou alguns dos pontos apresentados pelas várias instituições. Começou por referir um trabalho da UMIC para a criação de uma política de segurança para Portugal. Indicou que iria solicitar a desclassificação deste trabalho para pudesse ser consultado e utilizado por este grupo de trabalho. Em relação ao papel da FCCN neste processo será o de, quando atingidos os resultados finais do grupo de trabalho (elaboração de um Charter e Política de Segurança), fazer disseminar esse trabalho pelas reitorias e promover o enforcement necessário para a sua aplicação em toda a RCTS. No que respeita à questão que foi levantada sobre a definição de uma política única ou de várias subpolíticas é uma questão que poderá ser decidida em próximas reuniões. Na sua opinião existem no entanto algumas vantagens nesta abordagem segmentada tais como: Efectuar um mapeamento de acordo com as 12 áreas de segurança da norma ISO27002; Utilizar algum do esforço de compliance levado a cabo pela UAveiro; Utilizar os resultados que irão emanar no grupo de trabalho Qualidade no email Em relação a esta abordagem foram ainda apresentadas, pelos membros presentes, outras vantagens como: UAveiro A segmentação das políticas pode ser feita de acordo com o seu âmbito, cabendo a âmbitos diferentes, políticas diferentes; UPorto A aprovação das políticas pode ser mais facilitada se for faseada; UPorto Pode existir a necessidade de criação de políticas diferentes para Redes ou Serviços diferentes. Neste ponto houve alguma discussão sobre o que seria do âmbito de uma política de segurança e sobre o que deveria constar do catálogo de medidas e procedimentos. A Universidade de Aveiro sugeriu que fosse realizada um trabalho do tipo análise SWOT com o objectivo de perceber o que se pretende proteger e perceber como se está a proteger os activos da organização, como é avaliado o valor da informação, o histórico de incidentes, etc. Esta ideia teve uma boa aceitação por parte dos restantes membros, tendo sido decidido seguir, em parte, esta abordagem neste grupo de trabalho. Assim ficou acordado que, antes de chegarmos a alguma conclusão no que diz respeito ao âmbito da política de segurança e à definição de responsabilidades dentro de cada entidade, iriamos elaborar um documento descritivo das principais ameaças para Política de Segurança da RCTS Acta número 1 5

realização de uma análise SWOT, permitindo-nos desta forma identificar posteriormente o âmbito e as responsabilidades na gestão da segurança da RCTS. De acordo com esta decisão os pontos dois e três da agenda ficaram assim adiados para uma etapa futura. Ponto quatro: Elaboração de um plano de trabalhos a apresentar no evento Jornadas RCTS a realizar nos dias 8, 9 e 10 de Fevereiro de 2011. No que respeita à calendarização e a alguns prazos mais apertados concordou que esta devia ser alterada de acordo com os resultados desta reunião. Ficou definida a calendarização de reuniões mensais para acompanhamento do estado de desenvolvimento do projecto. Ficou ainda definido que iria ser divulgada, durante as Jornadas RCTS que este trabalho está a ser desenvolvido. Tabela resumo de acções acordadas: Responsável Acção Prazo 1.1 FCCN Criação de lista de distribuição Imediato 1.2 FCCN Criação de área para partilha de informação Imediato 1.3 FCCN Elaboração de novo plano de trabalhos de acordo com alterações acordadas. Imediato 1.4 FCCN Elaborar a estrutura do documento de ameaças / swot. Fevereiro de 2011 Partilha de informação útil ao desenvolvimento Imediato 1.5 Todos deste trabalho através da área criada para o efeito Elaboração do documento de ameaças / swot e Abril de 2011 1.6 Todos determinação de âmbito da política de segurança na RCTS 1.7 FCCN Apresentação do grupo de trabalhos nas jornadas RCTS de 2011 Fevereiro 2011 de Política de Segurança da RCTS Acta número 1 6

Política de Segurança da RCTS Acta número 1 7

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback