Académique Documents
Professionnel Documents
Culture Documents
Verso 1.4
Termo de Confidencialidade.
As informaes contidas neste documento so de propriedade privada e confidencial. A divulgao deve ser autorizada por escrito. Este documento no pode ser reproduzido por fotocpia, fotografia ou eletrnica sem permisso por escrito.
Histrico Novo (alinhado com Roteiro) Escopo, contra-escopo, misso, justificativa Equipe, benefcios, escopo, justificativa Restrices, rev Premissas faltam RISCOS Riscos, rev Restrices, adequao verses
Verso: 1.4
Sumrio
1 MISSO......................................................................................................................................................................1 2 JUSTIFICATIVA......................................................................................................................................................1 3 OBJETIVO E ESCOPO DO PROJETO................................................................................................................2 4 OBJETIVO...................................................................................................................................................................2 5 ESCOPO......................................................................................................................................................................3 6 PRINCIPAIS RESULTADOS................................................................................................................................11 7 RESTRIES .........................................................................................................................................................11 8 PREMISSAS.............................................................................................................................................................12 9 RISCOS.....................................................................................................................................................................13 10 RESUMO DO ORAMENTO.............................................................................................................................13 11 CRONOGRAMA DE MARCOS.........................................................................................................................14 12 STAKEHOLDERS................................................................................................................................................15 13 EQUIPE DO PROJETO.......................................................................................................................................15 14 BENEFCIOS.........................................................................................................................................................16 15 APROVAO DO TERMO DE ABERTURA DO PROJETO.......................................................................18
Verso: 1.4
Misso
O projeto pretende identificar e responder aos riscos de incidentes fsicos e lgicos inerentes aos servios e sistemas crticos referentes rea de TI da diviso de EAD da Universidade Fumec. Sero feitas adequaes ou sugestes de adequaes estrutura atual a fim de que a instituio esteja em compliance com as normas ISO 13335, ISO 17799 e ISO 27001 alm de compliance com o MEC (rgo regulador).
O objetivo primrio ter mapeado e identificado todos os principais riscos na infraestrutura fsica e lgica da rea de tecnologia, bem como implantao de roteiros de aes pro ativas a fim de evitar a efetivao dos riscos identificados, planejamento de mitigao, conteno dos riscos, e, mediante risco eminente ou risco transformado em incidente, gesto de resposta ao incidente e planejamento de aes corretivas acompanhadas de aes de validao de integridade dos dados ou ativos corrigidos a fim de restabelecer de forma rpida o ambiente de produo mas sem comprometer com tal rapidez, a confiabilidade de dados, procedimentos e continuidade dos servios.
Complementarmente, entender de forma clara os riscos e ameaa segurana e disponibilidade dos servios de TI, incluindo vulnerabilidades, risco de controle e risco estatstico dentro da organizao; Padronizar e estabelecer procedimentos e conceitos de segurana da informao, para garantir melhor comunicao com equipe de gesto de respostas a incidentes de terceiros; Mapear os riscos jurdicos e regulatrios envolvidos nas adequaes de compliance de segurana de TI.
Justificativa
Adequao com requisitos pre-estabelecidos pelo rgo regulador (MEC - Ministrio da Educao), aumento da disponibilidade geral dos servios e sistemas crticos,
Verso: 1.4
planejamento de atividades de preveno, conteno, mitigao e resposta aos riscos identificados, melhoria na percepo interna (funcionrios) e externa (alunos/clientes) da confiana e imagem da instituio, normatizao com padres estabelecidos e recomendados pelo mercado, com potencial para reposicionamento da classificao de recomendao no grau de investimento da instituio mediante rgos avaliadores (CVM no Brasil, S&P 500 EUA).
Complementarmente, mapeamento de riscos intrnsecos disponibilidade e segurana de servios e dados, tal qual anlise de riscos jurdicos e avaliao de responsabilidades associadas tecnologia da informao perante rgos reguladores e normas.
Identificar, mapear, conter e responder a riscos de incidentes fsicos e lgicos em compliance com ISO 13335, em compliance parcial com ISO 27001 e segurana de dados conforme BS 7799/ISO 17799, abrindo mo de metodologias e ferramentas slidas e reconhecidas pelo mercado.
Produzir mapeamento e diretrizes de ao para (1) preveno pro-ativa, (2) mitigao, (3) correo e (4) reao aos incidentes potenciais mapeados, alm de (5) documentao e determinao das lies aprendidas em cada evento de incidente.
Submeter o resultado a avaliao de qualidade na gerencia, mitigao e resposta aos riscos em fase preliminar (ainda riscos) e em fases evoludas quando os riscos se tornam incidentes.
Verso: 1.4
Avaliar mtricas de qualidade, tempo, e efetividade das aes de (1) preveno proativa, (2) mitigao, (3) correo e (4) reao aos incidentes potenciais mapeados.
Escopo
Nessa fase o projeto seguir o guia de recomendaes para analise e gerencia de riscos em sistemas de tecnologia do Instituto Nacional de Padres e Tecnologia do Governo Norte Americano (NIST) - NIST Special Publication 800-30 revises a, d e f de 2002, 2005 e 2008 respectivamente, incluindo:
3.2.1.1 Identificao de Riscos Caracterizao de Sistemas Informaes associadas a cada sistema Tcnicas de obteno de informaes
3.2.1.2 Identificao de Ameaas Identificao de origem de ameaas; Motivaes das ameaas (riscos); Ao das ameaas efetividade do risco;
Verso: 1.4
3.2.1.3 Identificao de Vulnerabilidades Origem das Vulnerabilidades Testes de Segurana de Sistemas (incluindo sistemas operacionais, softwares e ativos de rede); Desenvolvimento de checklist de requisitos de segurana;
3.2.1.4 Anlise de Controle de Riscos e Ameaas Determinao dos mtodos de controle Mapeamento das categorias de controle Aplicao das tcnicas de Anlise de Controle
3.2.15 Determinao de probabilidade 3.2.1.6 Anlise de Impacto Perda de Integridade Perda de Disponibilidade Perda de Confiana
3.2.1.7 Determinao de Riscos Matriz de Nivelao de Riscos Mapeados; Descrio dos Nveis de Riscos;
3.2.1.8 Recomendaes de Controle 3.2.1.9 Documentao Resultante 3.2.1.10 Mapeamento de Opes de Mitigao de Riscos 3.2.1.11 Definio de Estratgia de Mitigao de Riscos 3.2.1.12 Implementaes de Controle
Verso: 1.4
3.2.1.13 Anlise de relao risco/benefcio nas aes de mitigao 3.2.1.14 Identificao de Riscos Residuais 3.2.1.15 Determinao de Prticas de Segurana.
Dentro das metodologias da agncia francesa de avaliao de risco, utilizaremos apenas as listadas (em acordo com as recomendaes do NIST ainda):
3.2.2.1 Matriz de Deciso de Pontos de Ao de Mitigao 3.2.2.2 Priorizao de Aes 3.2.2.3 Associao de Responsabilidades 3.2.2.4 Desenvolvimento de Plano de Implementao de Salva-Guardas. Determinar e Associar Nveis de Risco Priorizar Aes Recomendar controle e acompanhamento Determinar pessoas responsveis Iniciao e Execuo Requisitos de manuteno
Verso: 1.4
3.2.2.5
Determinar
polticas
de
Suporte,
Preveno,
Deteco
Recuperao
A metodologia CRAMM em sua reviso 5.1 de propriedade da Symantec, um de-facto standard da indstria e os trechos relevantes da mesma sero utilizados, afim de:
Identificao de ativos de rede (estrutura fsica) e nivelao de criticidade dos mesmos, em nveis simplificados (alto, mdio e baixo);
Avaliao de risco dos ativos identificados Avaliao de facilidade de troca e redundncia dos ativos identificados Determinao de aes de conteno, mitigao e resposta a incidentes gerados por falha nos ativos identificados
3.2.3.1 Iniciao padro CRAMM 3.2.3.2 Identificao e Valorao de Ativos 3.2.3.3 Mapeamento de Ameaas e Vulnerabilidades 3.2.3.4 Calculo de Riscos 3.2.3.5 Gerencia de Riscos CRAMM
Verso: 1.4
Conforme classificao do Instituto de Segurana SANS e Certificao GIAC Corporativa, a anlise de risco lgico incluir:
Segmentao de Rede: avaliao de metodologia de segmentao lgica e fsica de rede, incluindo subnetagem e separao fsica de ambiente multi-homed. classificao. Avaliao de esquema aplicado e labeling para
Avaliao de Dispositivo de Segurana: a. Firewall b. Sistemas de Deteco e/ou Preveno a Intruso c. Sistemas de Filtro de Contedo d. Sistema de Antivrus e. Sistema de VPN
Testes de Penetrao Varredura de Segurana o Nessus com Regras Comerciais o Snort Counter-Intel o SecF Source Fire o Vulnexpose (McAfee e SANS Security)
Verso: 1.4
Avaliao de SGDB utilizados; Avaliao de adequao dos SGDB ao seu uso; Avaliao de rotinas de manuteno de banco de dados; Avaliao de sistema de arquivos, particionamento e tuning de armazenamento de FS utilizado pelo SGDM;
Avaliao de risco geral no associado inadequada manipulao do SGDB por parte do DBA;
3.2.6 Analise de Riscos Intrnsecos Anlise de Risco Jurdico: ser limitada aos riscos jurdicos acerca de utilizao de software e hardware, levanto em conta questes de licena de uso, cpias e arquivamento de cpias; Anlise de Classificao de Informaes e Acesso padro Common Criteria: a anlise de classificao de informaes ou definio de metodologia de classificao e efetiva classificao de informaes ser realizada com base nos critrios comuns de segurana militar estabelecidos pelo Common Criteria da NSA (National Security Agency), estabelecido pelo SPARTA do DARPA (Departamento de Defesa norteamericano).
Verso: 1.4
A classificao acontecer seguindo normas ISO mencionadas e seu deployment ser por meio de polticas de enforcement sugeridas, aplicados aos sistemas de informao. Deve ficar claro que nem todos sistemas operacionais de rede tem recursos suficientes para aplicao das polticas de acesso conforme classificadas, caso em que tal limitao se encontrada, ser apontada, e o enforcement da poltica dever acontecer de outra forma, a ser definida pela equipe de segurana e documento de poltica de segurana da empresa. Anlise de Risco Humano: seguindo a verso simplificada da metodologia Hazop, o risco humano ser superficialmente determinado; o nvel de criticidade de cada risco ser levado em conta. A anlise de risco humano sai do mbito estipulado por esse projeto, que tecnolgico, mas no deixa de ser importante uma vez que o risco humano sabidamente o elo mais fraco de qualquer corrente de segurana. Esse projeto tentar diminuir os impactos de risco humano, mas no poder elimin-los por completo.
3.2.7 Homologao e Documentos Elaborao dos relatrios e demais documentos Definio da estratgia de homologao Aplicao da estratgia de homologao Avaliao de resultados Definio de periodicidade de revalidao de procedimentos de testes de homologao
Verso: 1.4
Anlise de Risco Humano: a anlise de risco intrnseca da parte humana usar a verso simplificada para determinao de risco humano crtico quando claramente apontado. Isso no uma anlise de risco humano. A metodologia Hazop, a metodologia CEAR, a metodologia de risco humano quantitativo e cognitivo e demais mtricas estatsticas ou por amostragem de avaliao de risco humana merecem um projeto a parte se for avaliada sua relevncia perante o impacto do risco pr-existente e no minimizado com base nas aes realizadas por este projeto e corelatas.
Anlise de Risco Contbil; Anlise de Risco Jurdico fora licenas e cpias de software; Anlise de Risco tributrio; Anlise de Risco fsico no associado a ativos de rede e associados Tecnologia da Informao (risco de acidentes, mal uso de equipamentos de trabalho, itens bsicos de proteo, etc);
Anlise de Risco de Desenvolvimento de Software: incluindo auditoria de qualidade e racionalizao de armazenamento de dados, similar as sugeridas pelo CMM/CMMi.
Verso: 1.4
Anlise de Integridade de Manipulao de Dados no SGDB: incluindo analise de sistemas e softwares que manipulam os dados e analise de procedimentos do(s) DBA(s).
Utilizao de frameworks como COBIT, ITIL e outros; Contratao de recursos (interno ou consultoria) alm da equipe do projeto;
Principais Resultados
Os resultados principais deste projeto so: Relatrio em documento impresso sobre as aes realizadas, documentos descrevendo os planos de ao; Resposta e mitigao dos riscos; Relatrio acerca do plano de qualidade acompanhado de instrues complementares de revalidao do processo homologado dentro de periodicidade sugerida; Riscos fsicos e lgicos encontrados, classificados conforme metodologia do NIST e metodologia CRAMM mencionadas; Procedimento peridico de homologao e revalidao de aes;
Restries
As principais restries so:
Verso: 1.4
A indisponibilidade e respectiva falta de substituio de algum recurso com a devida competncia de realizao do planejado;
Indisponibilidade dos stakeholders especialmento do stakeholder (b) durante todas as etapas do projeto;
Livre acesso aos dados e informaes necessrias pela equipe, dentro dos limites documentados no roteiro do projeto e tambm sob superviso do stakeholder (b);
Premissas
As principais premissas so: Acompanhamento pleno do Stakeholder (b) - Anderson Peixoto, Gerente de TI - e parcial dos demais stakeholders; Disponibilidade total do Chefe da rea de Suporte e Tecnologia; Disponibilidade da equipe da TI em agendar as visitas ao Data Center; Total sinceridade nas entrevistas com os responsveis (no estamos procurando os culpados, mas precisamos saber os reais problemas); Os recursos necessrios de acordo com o roteiro do projeto devem estar disponveis com antecedncia de um dia antes de incio do projeto, incluindo servidores e switches e conectividade externa (internet);
Verso: 1.4
Riscos
A no participao do stakeholder (b) em qualquer etapa do trabalho poder gerar atrasos no cronograma; a no participao dos demais stakeholders no momento necessrio conforme identificado pela equipe em conjunto com o stakeholder (b) e impossibilidade de substituio dos mesmos tambm implica em risco de atraso de cronograma; A no cooperaco com a equipe, seja no levantamento de informaes ou no acesso a dados e componentes crticos da infra-estrutura de TI poder comprometer o resultado da anlise de risco; A no disponibilidade dos recursos listados na premissa poder atrasar ou inviabilizar o projeto dependendo do grau de indisponibilidade e do recursos indisponvel; A no cooperaco e no reconhecimento das responsabilidades de cada stakeholder e demais contribuidores levantadas e identificadas por este projeto, especialmente no que tange a preveno pro-ativa, mitigaco e cooperaco com os processos de testes e homologaco poder comprometer a eficcia do trabalho elaborado especialmente na recuperaco e tratamento de incidentes;
10
Resumo do Oramento
Valor R$ 2.000,00
Verso: 1.4
Anlise de risco fsico Anlise de risco lgico Elaborao de Documentos e Relatrios Homologao TOTAL
R$ R$ R$ R$ R$
11
Cronograma de Marcos
4/mai 5/mai 6/mai 7/mai 8/mai 11/mai 12/mai 13/mai 14/mai 15/mai 18/mai 19/mai 20/mai 21/mai 22/mai 25/mai 26/mai Visita ao Data Center Entrevistas Solicitao de Informaes Mapeamento de Itens (no compliance) Analise de Riscos F e L Planos de Ao com respostas aos Riscos Homologao e aes de revalidao Fechamento do Projeto
27/mai
12
Stakeholders
(a) Professora Simone (coordenadora Setor EaD - Sponsor)
Verso: 1.4
(b) Anderson Peixoto (Gerente de TI) (c) Rodrigo Tito (Gerente de Produo) (d) Gerente de Coordenao de Eventos (associado o setor cliente).
13
Equipe do Projeto
Gerente do Projeto: Patrick Tracanelli Ser o responsvel pela implantao e acompanhamento deste projeto, bem como avaliao de resultados e validao de procedimentos. Supervisionar e quando necessrio instruir os demais membros da equipe. Far a avaliao de compliance com as normas e padres desejados neste projeto. o responsvel por determinar e direcionar a aplicao das metodologias de anlise de risco e mtricas de qualidade, bem como prover artefatos equipe.
Auditor TI: Alencar Silva o profissional responsvel pela auditoria de segurana, procedimentos e avaliao de riscos, determinando de forma macro os itens a serem avaliados e quando necessrio tomar aes junto aos analistas a fim de instru-los ou melhorar as informaes auditadas.
Analistas Segurana da Informao: Ana Cristina Rodrigues, Marcelo Castejon So os analistas que detm pleno conhecimento e formao comprovada em segurana da informao, faro as avaliaes minuciosas de cada
vulnerabilidade, faro o mapeamento dos riscos e faro a classificao prvia dos riscos. So os profissionais responsveis tambm pela elaborao junto
Verso: 1.4
com o Auditor e o Gerente de Projetos dos Documentos resultantes deste projeto e dos testes de homologao.
Analista de Riscos: Marcos Henrique o analista responsvel junto com o gerente do projeto pela adequao com as normas internacionais de avaliao de riscos, por realizar a classificao da confidencialidade das informaes e realizar a determinao dos nveis de riscos associados aos itens mapeados pela equipe e tambm determinar a classificao das vulnerabilidades encontradas.
14
Benefcios
Compliance com as normas ISO, compliance com o MEC. Mapeamento e tratamento de riscos com os devidos planos de ao, maior controle e entendimento do ambiente de Tecnologia da Informao e determinao de riscos jurdicos intrnsecos as responsabilidades associadas manipulao de dados e manipulao de informaes formalmente aceitas pelo rgo regulador como plenamente vlidas para formao acadmica dos usurios diretos do sistema de EaD (os alunos).
Entendimento dos itens fsicos e lgicos envolvidos nos aspectos da infraestrutura de TI e a criticidade classificada dos riscos associados a cada um desses ativos, incluindo matrix de vulnerabilidades, de riscos e atribuio de responsabilidades legais e perante o ministrio da educao (rgo regulador).
Verso: 1.4
Melhoria na percepo geral da imagem da Universidade Fumec junto a seus funcionrios, alunos, parceiros, cooperadoras e junto a investidores, bem como concorrentes no mercado.
Verso: 1.4
15
Aprovado Por :
Data
Aprovado por :
Data
Gerente do Projeto
Data
Verso: 1.4