ORIENTAÇÃO DO TCC VERSÃO 4.0 17/06/2010 TURMA SEG2335 1 EQUIPES 1. EDITORA EAGLE (19h30) Carlos Eduardo, Hugo, José Eduardo, Leandro, Lucas, Ricardo 2. INDUSFARMA (20h10) Cleber, Francisco, Mauricio, Thiago 3. RAIOS BREAK (20h50) Alex, Daniel, Nevair, Renato, Sidney 4. MISTICS ALIMENTOS (21h30) Juan, Lessing, Paulo, Vinicius, Vlademir 2 1
Preleção data: 26/10/2009 AGENDA DO TCC Primeira reunião data: 15/12/2009 Apresentar o grupo e a versão 1 do projeto, contendo capa, folha de rosto, sumário, esboço da documentação do projeto de TCC, apresentação da empresa, contextualização sobre a contratação do Security Officer e entendimento do negócio, não se esquecendo de já incluir as referências bibliográficas Segunda reunião data: 02/02/2010 Versão do projeto contendo ao menos: documentação do projeto de TCC, apresentação da empresa, contextualização sobre a posição do S.O. como contratado pela empresa, entendimento do negócio, macro-visão da infraestrutura lógica e da infraestrutura física. Terceira reunião data: 03/05/2010 Versão do projeto contendo ao menos: documentação do projeto de TCC, apresentação da empresa, contextualização sobre a posição do S.O. como contratado pela empresa, entendimento do negócio, macro-visão da infraestrutura lógica e da infraestrutura física, metodologia de análise de riscos, análise de riscos inicial, política de segurança da informação e a estratégia de implementação da política de segurança Quarta reunião data: 19/08/2010 Versão do projeto incluindo ao menos especificações técnicas de segurança lógica e física, plano de contingências e continuidade de negócios Quinta reunião datas: 07/10/2010 Versão completa do projeto incluindo a análise de riscos final, o planejamento corporativo de segurança (ações futuras) e o modelo de gestão da segurança Sexta reunião data: 04/11/2010 - Apresentação do esboço da apresentação executiva (slides) Depósito dos trabalhos (1 via) na secretaria para revisão do Orientador data: 22/11/2010 Retirada dos trabalhos comentados na secretaria da Pós data: 03/12/2010 Apresentação Preliminar: data: 13/01/2011 (2 grupos) e 20/01/2011 (2 grupos) Apresentação Executiva e avaliação prévia da Versão Final do Projeto levar material impresso Obs: trabalho considerado insuficiente poderá não ser habilitado para avaliação pela Banca Examinadora. Depósito dos trabalhos na secretaria da Pós data: 03/03/2011 Apresentação para Banca: Versão Final dos projetos data: 24/03/2011 (2 grupos) e 31/03/2011 (2 grupos) Entrega da Versão Final (encadernada) na secretaria da Pós data: 30/06/2011 3 AVISO Evitem correr riscos desnecessários com PLÁGIO PLÁGIO significa COPIAR, APRESENTAR COMO SEU o trabalho intelectual de outra pessoa Reproduzir parte de um texto (impresso, em mídia eletrônica ou existente na Internet), sem citar sua fonte, constitui PLÁGIO A Lei de Direitos Autorais (LEI 9610/98) estabelece que reproduzir um texto, mesmo indicando a fonte, mas sem a autorização do autor, PODE constituir crime de violação de direitos autorais De qualquer forma, a citação, ou seja, a menção da fonte, vale como um atenuante e não seria razoável a punição legal 4 2
Considerações sobre o formato do trabalho Seguir o padrão ABNT (formato de letras, espacejamento de linhas, títulos, numeração de capítulos, numeração de páginas, formato da folha, etc...), contendo obrigatoriamente: Capa (não contar, para efeito de numeração de páginas) Folha de rosto Folha de aprovação Resumo (o que o TCC contém descreva sucintamente os principais temas abordados no trabalho, salientando os mesmos nas palavras chave até 9) Abstract Lista de ilustrações Lista de tabelas Sumário Texto (Seção 1 e Seção 2 propostos nas páginas a seguir) Obs: somente a partir do texto é que deve ser apresentada a paginação Referências Bibliográficas Glossário Anexos (item opcional do trabalho) 5 Seção 1 APRESENTAÇÃO DO PROJETO DE TCC Introdução (cenário geral sobre Segurança da Informação) Justificativa (cenário de Segurança da Informação aplicada ao segmento de mercado onde atua a organização escolhida pelo grupo motivos pelos quais o grupo escolheu este segmento Obs: não mencionar ainda o nome e nem os demais dados da empresa) Objetivo (propósito deste trabalho onde é mencionado o nome da empresa fictícia) Sugestão: incluir uma observação de que, ao longo do trabalho, quaisquer referências a pessoas físicas ou jurídicas, tais como nome, endereço e telefone, são fictícias e que qualquer semelhança com a realidade será mera coincidência Metodologia e atividades (como o projeto acadêmico foi desenvolvido apresentar a abordagem metodológica do trabalho, bem como as atividades desenvolvidas pelo grupo) Considerações gerais (conclusões sobre os benefícios do projeto de TCC, para o grupo, para a comunidade acadêmica, para os profissionais de segurança da informação e quaisquer outros interessados no assunto) 6 3
APRESENTAÇÃO DA EMPRESA Descreva o negócio (obs: não desenvolver a descrição do negócio em bullets os que seguem abaixo valem apenas como Checklist do conteúdo dessa descrição) Histórico da empresa Tempo de funcionamento Área de atuação (incluindo cidade onde a empresa tem a sede) Quantidade de funcionários Faturamento no(s) último(s) ano(s) Outras informações sobre o negócio NOTA: estas informações são gerais, como se estivessem contidas num flyer / folder ou na home page da empresa. 7 Contextualização sobre a posição do Security Officer, como contratado pela empresa (Note bem: não é consultor, é empregado!) Que circunstâncias motivaram a sua contratação Quando ocorreu a sua contratação Qual o seu posicionamento no organograma (não é para apresentar o organograma; apenas citar a qual área o Security Officer se subordina) NOTA: Considerações sobre a linha do tempo Momento da contratação (passado: Outubro/2009) Período de trabalho (passado: antes da apresentação do TCC) Momento da apresentação para a diretoria (presente) Plano Corporativo de Segurança (futuro: após a data de apresentação do TCC) 8 4
Atenção - IMPORTANTE: Em cada um dos capítulos desta seção 2, devem constar: Texto introdutório, conceituando o assunto e inserindo-o no contexto da estória (business case) sendo narrada pelo Security Officer Parágrafo conclusivo: ao final de cada capítulo, apresentar uma síntese do conteúdo, reunindo assim para o leitor, em poucas palavras, as principais informações desenvolvidas ao longo do respectivo capítulo 9 FASE INICIAL ( Situação encontrada ) Entendimento do negócio Estrutura funcional (incluir organograma da empresa) Componentes do negócio (descritivo das diretorias / departamentos) Fluxograma das informações (visão macro dos principais fluxos de informação nos processos da empresa) Macro-visão da infraestrutura lógica Camada de sistemas que apoiam o funcionamento do negócio (descrever sucintamente cada sistema) Topologia Ativos de TIC (tecnologia da informação e comunicações) Macro-visão da infraestrutura física (entorno, condomínio e ambientes internos) Descritivo Plantas 10 5
Desenvolva uma Metodologia de Análise de Riscos (Obs: Metodologia subentende entradas, processamento e saídas em cada etapa, incluindo conceituação, procedimentos e templates ), compreendendo: Introdução à Gestão de Riscos e à Análise de Riscos Conceitos fundamentais Critério para definição de Escopo da Análise Critério para escolha de Ativos relacionados ao Escopo Critério para definição da Relevância dos Ativos Critério para definição das Ameaças Critério para classificação das Ameaças Critério para identificação de vulnerabilidades (incluir aqui a forma como as vulnerabilidades serão levantadas, bem como TODOS os checklists, com foco em Seg. Administrativa, Seg. Física, Seg. Lógica e Seg. de Aplicações e Serviços) Critério para pontuação de Riscos (relevância, probabilidade, consequência) Critério para classificação de Riscos e Impactos (impactos= danos p/ o negócio) Critério para Apresentação de Resultados Relatórios Analíticos (Matriz de Risco) Gráficos, Planilhas e Relatórios Gerenciais Dica: fundamente-se na norma ISO/IEC 27005, no material abordado na disciplina de Análise de Riscos e em outras fontes a serem pesquisadas, com destaque para NIST SP 800-30, ISO 13335 e OCTAVE 11 Execute uma Análise de Riscos inicial (capítulo à parte da Metodologia de Análise de Riscos) Cobrindo: Segurança Administrativa Segurança Lógica e Segurança Física Forneça as recomendações de melhoria e o plano de ações para execução ao longo de um ano (não se esquecer de priorizar as ações em função dos indicadores de risco!) Estabeleça, através dos resultados da análise, os medidores de níveis de risco no início dos trabalhos do Security Officer 12 6
Especificações técnicas de Segurança Lógica NOTA: não perder o foco nos resultados (priorização por indicadores de riscos) da Análise de Riscos já efetuada Prever funcionalidades para suporte ao negócio Segmentos de topologia da rede Aspectos de segurança de rede e elementos de conectividade 13 Especificações técnicas de Segurança Física NOTA: não perder o foco nos resultados (priorização por indicadores de riscos) da Análise de Riscos já efetuada Soluções de segurança física perimetral e dos ambientes internos Controles de acesso físico 14 7
Política de Segurança da Informação Introdução Objetivo Abrangência Diretrizes corporativas Normas de Segurança - Normas Gerais para Usuários - Normas Gerais para Técnicos - Normas Específicas (ao menos três) -exemplos: Classificação e controle de ativos Segurança em pessoas (RH) Segurança física Segurança lógica Uso de Internet Uso do correio eletrônico etc... Glossário / Violações / Sanções 15 Política de Segurança da Informação Estratégia de implementação da P.S.I. Carta do Presidente Documentação de suporte Termo de Sigilo Termo de Responsabilidade Campanha de divulgação (tem que apresentar no trabalho: ícone, mote, elementos da campanha, slideware) Programas de treinamento (grade programática) 16 8
Plano de Continuidade de Negócios NOTAS: OBS: Dedique-se aos ativos de TI Faça o mapeamento dos processos Faça estudo de criticidades dos processos e ativos Faça a análise de impacto financeiro nos negócios (BIA) Crie os cenários para recuperação e restauração (estratégias de continuidade de negócios, voltadas a pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas) Desenvolva os Planos Plano de Gerenciamento de Incidente Plano de Administração de Crise Planos de Continuidade Operacional (um para cada processo crítico) Planos de Recuperação de Desastre (um para cada ativo crítico) Plano de Retorno à Normalidade Plano de Testes e Validações 17 Análise de Riscos final Cobrindo: Segurança Administrativa, Segurança Lógica e Segurança Física Fornecendo as recomendações de melhoria e objetivando fundamentar parte de um plano de ações futuras, traduzido por Planejamento Corporativo da Segurança Objetiva ainda estabelecer os medidores de níveis de risco no final de um ano de trabalho do Security Officer, procurando evidenciar os ganhos (indicadores) que a empresa teve com a redução dos riscos (faça gráficos histogramas comparando a situação inicial com a situação atual) 18 9
Planejamento Corporativo da Segurança Elencar as ações e os projetos futuros Corporativos Específicos Para cada projeto proposto, apresente as Justificativas, fundamentando-se na última análise de riscos, demandas legais e de negócios, incluindo atendimento à norma ISO/IEC 27002 19 Modelo de gestão da Segurança Apoie-se na norma ISO/IEC 27002 vide seção Organizando a Segurança da Informação e, principalmente, na ISO/IEC 27001 Proponha a criação de comitês e outras formas de interação com gestores de TI e de negócios Apresente as macro-atividades para o ciclo PDCA Plan / Do / Check / Act 20 10
RECOMENDAÇÃO FINAL: Utilize como material de consulta, além da bibliografia escolhida, os apontamentos e materiais distribuídos em cada disciplina, ao longo do curso. ATENÇÃO: Procure estabelecer a agenda de atividades do projeto de TCC (criação de conteúdos), em função do próprio calendário das disciplinas do curso aproveite a presença dos docentes em sala de aula, para responderem às suas dúvidas Isto é um PROJETO e, como tal, deve haver um líder do grupo, administrando tempo e recursos Deve ser instituído um processo contínuo de integração de conteúdos, revisão técnica, gramatical e ortográfica 21 Dicas para a Apresentação Executiva OBJETIVO: "VENDER O SEU PEIXE (em linguagem orientada a Executivos)", ou seja, dar ênfase ao trabalho executado pelos profissionais de Segurança da Informação ao longo de UM ANO, buscando apresentar aos "executivos da empresa" seis pontos principais: 1. O entendimento sobre o negócio da empresa 2. Os principais problemas encontrados no início das atividades (eventos negativos que motivaram a sua contratação e os resultados da análise de riscos) 3. O que foi feito ao longo de um ano, cobrindo os aspectos Administrativo, Lógico e Físico. 4. Qual a situação atual (novos indicadores de risco, comparando com a situação anterior, porém apresentando os principais riscos ainda existentes) 5. O que se pretende fazer daqui por diante (atividades e projetos futuros, justificando cada um) 6. Como se pretende atuar daqui por diante (modelo de gestão) Recomendação básica: apresentar indicadores, valores financeiros, impactos potenciais ou evitados; utilizar cores, gráficos, tabelas, etc. 22 11
Dicas para a Apresentação Executiva IMPORTANTE (nunca é demais repetir): Apresentação Executiva: Não é para apresentar o TCC para os professores... É para apresentar o trabalho executado pelos profissionais de Segurança da Informação aos executivos da empresa! 23 Dicas Finais para o desenvolvimento do TCC Leia sempre e com atenção a versão mais atual deste documento de orientação do TCC publicada no portal TelEduc. Entenda-o como um checklist para desenvolvimento do trabalho. Esteja em conformidade com as indicações deste guia. Imprima a versão mais atual deste documento para levar nas reuniões do grupo e nas aulas de orientação do TCC. 24 12