ss000 termo de abertura do projeto - tracanelli,...

Termo de Abertura do Projeto

Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia da Informação

Versão 1.4

TERMO DE ABERTURA DO PROJETO

(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia

da Informação

Termo de Confidencialidade.

As informações contidas neste documento são de propriedade privada e confidencial.

A divulgação deve ser autorizada por escrito. Este documento não pode ser

reproduzido por fotocópia, fotografia ou eletrônica sem permissão por escrito.

Documentação, Versões e histórico.

Versão Data Autor(es) Histórico1.0 22/04/2009 Alencar/Patrick Novo (alinhado com Roteiro)1.1 23/04/2009 Patrick Escopo, contra-escopo, missão, justificativa 1.2 24/04/2009 Patrick Equipe, benefícios, escopo, justificativa1.3 25/04/2009 Marcelo Restricões, rev Premissas – faltam RISCOS1.4 27/04/2009 Patrick Riscos, rev Restricões, adequação versões

Versão: 1.4 Gestão de Segurança da Informação

Impresso em: 27 de April de 2009



da Informação

Sumário

1 MISSÃO......................................................................................................................................................................1

2 JUSTIFICATIVA......................................................................................................................................................1

3 OBJETIVO E ESCOPO DO PROJETO................................................................................................................2

4 OBJETIVO...................................................................................................................................................................25 ESCOPO......................................................................................................................................................................3

6 PRINCIPAIS RESULTADOS................................................................................................................................11

7 RESTRIÇÕES .........................................................................................................................................................11

8 PREMISSAS.............................................................................................................................................................12

9 RISCOS.....................................................................................................................................................................13

10 RESUMO DO ORÇAMENTO.............................................................................................................................13

11 CRONOGRAMA DE MARCOS.........................................................................................................................14

12 STAKEHOLDERS................................................................................................................................................15

13 EQUIPE DO PROJETO.......................................................................................................................................15

14 BENEFÍCIOS.........................................................................................................................................................16

15 APROVAÇÃO DO TERMO DE ABERTURA DO PROJETO.......................................................................18

Versão: 1.4 Gestão de Segurança da Informação

Impresso em: 27 de April de 2009



da Informação

1 Missão

O projeto pretende identificar e responder aos riscos de incidentes físicos e lógicos

inerentes aos serviços e sistemas críticos referentes à área de TI da divisão de EAD da

Universidade Fumec. Serão feitas adequações ou sugestões de adequações à

estrutura atual a fim de que a instituição esteja em compliance com as normas ISO

13335, ISO 17799 e ISO 27001 além de compliance com o MEC (órgão regulador).

O objetivo primário é ter mapeado e identificado todos os principais riscos na infra-

estrutura física e lógica da área de tecnologia, bem como implantação de roteiros de

ações pro ativas a fim de evitar a efetivação dos riscos identificados, planejamento de

mitigação, contenção dos riscos, e, mediante risco eminente ou risco transformado em

incidente, gestão de resposta ao incidente e planejamento de ações corretivas

acompanhadas de ações de validação de integridade dos dados ou ativos corrigidos a

fim de restabelecer de forma rápida o ambiente de produção mas sem comprometer

com tal rapidez, a confiabilidade de dados, procedimentos e continuidade dos serviços.

Complementarmente, entender de forma clara os riscos e ameaça à segurança e à

disponibilidade dos serviços de TI, incluindo vulnerabilidades, risco de controle e risco

estatístico dentro da organização; Padronizar e estabelecer procedimentos e conceitos

de segurança da informação, para garantir melhor comunicação com equipe de gestão

de respostas a incidentes de terceiros; Mapear os riscos jurídicos e regulatórios

envolvidos nas adequações de compliance de segurança de TI.

2 Justificativa

Adequação com requisitos pre-estabelecidos pelo órgão regulador (MEC - Ministério da

Educação), aumento da disponibilidade geral dos serviços e sistemas críticos,

Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009



da Informação

planejamento de atividades de prevenção, contenção, mitigação e resposta aos riscos

identificados, melhoria na percepção interna (funcionários) e externa (alunos/clientes)

da confiança e imagem da instituição, normatização com padrões estabelecidos e

recomendados pelo mercado, com potencial para reposicionamento da classificação de

recomendação no grau de investimento da instituição mediante órgãos avaliadores

(CVM no Brasil, S&P 500 EUA).

Complementarmente, mapeamento de riscos intrínsecos à disponibilidade e segurança

de serviços e dados, tal qual análise de riscos jurídicos e avaliação de

responsabilidades associadas à tecnologia da informação perante órgãos reguladores

e normas.

3 Objetivo e Escopo do Projeto

4 Objetivo

Identificar, mapear, conter e responder a riscos de incidentes físicos e lógicos em

compliance com ISO 13335, em compliance parcial com ISO 27001 e segurança de

dados conforme BS 7799/ISO 17799, abrindo mão de metodologias e ferramentas

sólidas e reconhecidas pelo mercado.

Produzir mapeamento e diretrizes de ação para (1) prevenção pro-ativa, (2) mitigação,

(3) correção e (4) reação aos incidentes potenciais mapeados, além de (5)

documentação e determinação das lições aprendidas em cada evento de incidente.

Submeter o resultado a avaliação de qualidade na gerencia, mitigação e resposta aos

riscos em fase preliminar (ainda riscos) e em fases evoluídas – quando os riscos se

tornam incidentes.




da Informação

Avaliar métricas de qualidade, tempo, e efetividade das ações de (1) prevenção pro-

ativa, (2) mitigação, (3) correção e (4) reação aos incidentes potenciais mapeados.

Estabelecer cronograma de homologação periódica dos procedimentos estabelecidos.

5 Escopo

O Escopo deste projeto inclui as atividades listadas abaixo:

3.2.1 Fase 1 – Recomendações do NIST

Nessa fase o projeto seguirá o guia de recomendações para analise e gerencia

de riscos em sistemas de tecnologia do Instituto Nacional de Padrões e

Tecnologia do Governo Norte Americano (NIST) - NIST Special Publication 800-30

revisões a, d e f de 2002, 2005 e 2008 respectivamente, incluindo:

3.2.1.1 Identificação de Riscos

• Caracterização de Sistemas

• Informações associadas a cada sistema

• Técnicas de obtenção de informações

3.2.1.2 Identificação de Ameaças

• Identificação de origem de ameaças;

• Motivações das ameaças (riscos);

• Ação das ameaças – efetividade do risco;




da Informação

3.2.1.3 Identificação de Vulnerabilidades

• Origem das Vulnerabilidades

• Testes de Segurança de Sistemas (incluindo sistemas operacionais,

softwares e ativos de rede);

• Desenvolvimento de checklist de requisitos de segurança;

3.2.1.4 Análise de Controle de Riscos e Ameaças

• Determinação dos métodos de controle

• Mapeamento das categorias de controle

• Aplicação das técnicas de Análise de Controle

3.2.15 Determinação de probabilidade

3.2.1.6 Análise de Impacto• Perda de Integridade

• Perda de Disponibilidade

• Perda de Confiança

3.2.1.7 Determinação de Riscos

• Matriz de Nivelação de Riscos Mapeados;

• Descrição dos Níveis de Riscos;

3.2.1.8 Recomendações de Controle

3.2.1.9 Documentação Resultante

3.2.1.10 Mapeamento de Opções de Mitigação de Riscos

3.2.1.11 Definição de Estratégia de Mitigação de Riscos

3.2.1.12 Implementações de Controle




da Informação

• Controle de Segurança Técnica

• Controle de Gestão de Segurança

• Controle de Segurança Operacional

3.2.1.13 Análise de relação risco/benefício nas ações de mitigação

3.2.1.14 Identificação de Riscos Residuais

3.2.1.15 Determinação de Práticas de Segurança.

3.2.2 Fase 2 – Metodologia Agência Francesa de Avaliação de Risco

Dentro das metodologias da agência francesa de avaliação de risco, utilizaremos

apenas as listadas (em acordo com as recomendações do NIST ainda):

3.2.2.1 Matriz de Decisão de Pontos de Ação de Mitigação

3.2.2.2 Priorização de Ações

3.2.2.3 Associação de Responsabilidades

3.2.2.4 Desenvolvimento de Plano de Implementação de Salva-Guardas.

• Determinar e Associar Níveis de Risco

• Priorizar Ações

• Recomendar controle e acompanhamento

• Determinar pessoas responsáveis

• Iniciação e Execução

• Requisitos de manutenção




da Informação

3.2.2.5 Determinar políticas de Suporte, Prevenção, Detecção e

Recuperação

3.2.3 Fase 3 - Metodologia CRAMM

A metodologia CRAMM em sua revisão 5.1 de propriedade da Symantec, é um

de-facto standard da indústria e os trechos relevantes da mesma serão

utilizados, afim de:

• Identificação de ativos de rede (estrutura física) e nivelação de criticidade

dos mesmos, em níveis simplificados (alto, médio e baixo);

• Avaliação de risco dos ativos identificados

• Avaliação de facilidade de troca e redundância dos ativos identificados

• Determinação de ações de contenção, mitigação e resposta a incidentes

gerados por falha nos ativos identificados

3.2.3.1 Iniciação padrão CRAMM

3.2.3.2 Identificação e Valoração de Ativos

3.2.3.3 Mapeamento de Ameaças e Vulnerabilidades

3.2.3.4 Calculo de Riscos

3.2.3.5 Gerencia de Riscos CRAMM




da Informação

3.2.4 Fase 4 - Avaliação de Dispositivos de Segurança Padrão SANS

Security

Conforme classificação do Instituto de Segurança SANS e Certificação GIAC

Corporativa, a análise de risco lógico incluirá:

• Segmentação de Rede: avaliação de metodologia de segmentação lógica

e física de rede, incluindo subnetagem e separação física de ambiente

multi-homed. Avaliação de esquema aplicado e labeling para

classificação.

• Avaliação de Dispositivo de Segurança:

a. Firewall

b. Sistemas de Detecção e/ou Prevenção a Intrusão

c. Sistemas de Filtro de Conteúdo

d. Sistema de Antivírus

e. Sistema de VPN

• Testes de Penetração

• Varredura de Segurança

o Nessus com Regras Comerciais

o Snort Counter-Intel

o SecF Source Fire

o Vulnexpose (McAfee e SANS Security)




da Informação

3.2.5 Fase 5 – Análise de Risco de Banco de Dados

• Avaliação de SGDB utilizados;

• Avaliação de adequação dos SGDB ao seu uso;

• Avaliação de rotinas de manutenção de banco de dados;

• Avaliação de sistema de arquivos, particionamento e tuning de

armazenamento de FS utilizado pelo SGDM;

• Determinação de políticas de segurança e recuperação de dados

mediante desastre;

• Avaliação de risco geral não associado à inadequada manipulação do

SGDB por parte do DBA;

• Aplicação das lições aprendidas;

3.2.6 Analise de Riscos Intrínsecos

• Análise de Risco Jurídico: será limitada aos riscos jurídicos acerca de

utilização de software e hardware, levanto em conta questões de licença

de uso, cópias e arquivamento de cópias;

• Análise de Classificação de Informações e Acesso padrão Common

Criteria: a análise de classificação de informações ou definição de

metodologia de classificação e efetiva classificação de informações será

realizada com base nos critérios comuns de segurança militar

estabelecidos pelo Common Criteria da NSA (National Security Agency),

estabelecido pelo SPARTA do DARPA (Departamento de Defesa norte-

americano).




da Informação

A classificação acontecerá seguindo normas ISO mencionadas e seu

deployment será por meio de políticas de enforcement sugeridas,

aplicados aos sistemas de informação. Deve ficar claro que nem todos

sistemas operacionais de rede tem recursos suficientes para aplicação

das políticas de acesso conforme classificadas, caso em que tal limitação

se encontrada, será apontada, e o enforcement da política deverá

acontecer de outra forma, a ser definida pela equipe de segurança e

documento de política de segurança da empresa.

• Análise de Risco Humano: seguindo a versão simplificada da metodologia

Hazop, o risco humano será superficialmente determinado; o nível de

criticidade de cada risco será levado em conta. A análise de risco humano

sai do âmbito estipulado por esse projeto, que é tecnológico, mas não

deixa de ser importante uma vez que o risco humano é sabidamente o elo

mais fraco de qualquer corrente de segurança. Esse projeto tentará

diminuir os impactos de risco humano, mas não poderá eliminá-los por

completo.

3.2.7 Homologação e Documentos

• Elaboração dos relatórios e demais documentos

• Definição da estratégia de homologação

• Aplicação da estratégia de homologação

• Avaliação de resultados

• Definição de periodicidade de revalidação de procedimentos de

testes de homologação




da Informação

• Aceite de homologação e preparação para encerramento do

projeto;

3.3 Contra-Escopo

Não está incluso no plano de ações deste projeto:

• Análise de Risco Humano: a análise de risco intrínseca da parte humana

usará a versão simplificada para determinação de risco humano crítico

quando claramente apontado. Isso não é uma análise de risco humano. A

metodologia Hazop, a metodologia CEAR, a metodologia de risco

humano quantitativo e cognitivo e demais métricas estatísticas ou por

amostragem de avaliação de risco humana merecem um projeto a parte

se for avaliada sua relevância perante o impacto do risco pré-existente e

não minimizado com base nas ações realizadas por este projeto e co-

relatas.

• Análise de Risco Contábil;

• Análise de Risco Jurídico fora licenças e cópias de software;

• Análise de Risco tributário;

• Análise de Risco físico não associado a ativos de rede e associados à

Tecnologia da Informação (risco de acidentes, mal uso de equipamentos de

trabalho, itens básicos de proteção, etc);

• Análise de Risco de Desenvolvimento de Software: incluindo auditoria de

qualidade e racionalização de armazenamento de dados, similar as

sugeridas pelo CMM/CMMi.




da Informação

• Análise de Integridade de Manipulação de Dados no SGDB: incluindo analise

de sistemas e softwares que manipulam os dados e analise de

procedimentos do(s) DBA(s).

• Utilização de frameworks como COBIT, ITIL e outros;

• Contratação de recursos (interno ou consultoria) além da equipe do projeto;

6 Principais Resultados

Os resultados principais deste projeto são:

• Relatório em documento impresso sobre as ações realizadas, documentos

descrevendo os planos de ação;

• Resposta e mitigação dos riscos;

• Relatório acerca do plano de qualidade acompanhado de instruções

complementares de revalidação do processo homologado dentro de

periodicidade sugerida;

• Riscos físicos e lógicos encontrados, classificados conforme metodologia do

NIST e metodologia CRAMM mencionadas;

• Procedimento periódico de homologação e revalidação de ações;

7 Restrições

As principais restrições são:




da Informação

• A indisponibilidade e respectiva falta de substituição de algum recurso com a

devida competência de realização do planejado;

• Indisponibilidade dos stakeholders especialmento do stakeholder (b) durante

todas as etapas do projeto;

• Livre acesso aos dados e informações necessárias pela equipe, dentro dos

limites documentados no roteiro do projeto e também sob supervisão do

stakeholder (b);

• <<< REVISAO >>>

8 Premissas

As principais premissas são:

• Acompanhamento pleno do Stakeholder (b) - Anderson Peixoto, Gerente de

TI - e parcial dos demais stakeholders;

• Disponibilidade total do Chefe da Área de Suporte e Tecnologia;

• Disponibilidade da equipe da TI em agendar as visitas ao Data Center;

• Total sinceridade nas entrevistas com os responsáveis (não estamos

procurando os culpados, mas precisamos saber os reais problemas);

• Os recursos necessários de acordo com o roteiro do projeto devem estar

disponíveis com antecedência de um dia antes de início do projeto, incluindo

servidores e switches e conectividade externa (internet);




da Informação

9 Riscos

A não participação do stakeholder (b) em qualquer etapa do trabalho poderá

gerar atrasos no cronograma; a não participação dos demais stakeholders no

momento necessário conforme identificado pela equipe em conjunto com o

stakeholder (b) e impossibilidade de substituição dos mesmos também

implica em risco de atraso de cronograma;

A não cooperacão com a equipe, seja no levantamento de informações ou no

acesso a dados e componentes críticos da infra-estrutura de TI poderá

comprometer o resultado da análise de risco;

A não disponibilidade dos recursos listados na premissa poderá atrasar ou

inviabilizar o projeto dependendo do grau de indisponibilidade e do recursos

indisponível;

A não cooperacão e não reconhecimento das responsabilidades de cada

stakeholder e demais contribuidores levantadas e identificadas por este

projeto, especialmente no que tange a prevenção pro-ativa, mitigacão e

cooperacão com os processos de testes e homologacão poderá comprometer

a eficácia do trabalho elaborado especialmente na recuperacão e tratamento

de incidentes;

10 Resumo do Orçamento

Ítem Valor

Preparação do Ambiente de Avaliação R$ 2.000,00




da Informação

Análise de risco físico R$ 12.800,00

Análise de risco lógico R$ 6.000,00

Elaboração de Documentos e Relatórios R$ 5.000,00

Homologação R$ 2.000,00TOTAL R$ 27.800,00

11 Cronograma de Marcos

4/mai 5/mai 6/mai 7/mai 8/mai 11/mai 12/mai 13/mai 14/mai 15/mai 18/mai 19/mai 20/mai 21/mai 22/mai 25/mai 26/mai 27/maiVisita ao Data

Center

Entrevistas

Solicitação de

Informações Mapeamento

de Itens (não

compliance) Analise de

Riscos F e L Planos de

Ação com

respostas aos

Riscos

Homologação

e ações de

revalidação Fechamento

do Projeto

12 Stakeholders

• (a) Professora Simone (coordenadora Setor EaD - Sponsor)




da Informação

• (b) Anderson Peixoto (Gerente de TI)

• (c) Rodrigo Tito (Gerente de Produção)

• (d) Gerente de Coordenação de Eventos (associado o setor cliente).

13 Equipe do Projeto

Gerente do Projeto: Patrick Tracanelli

Será o responsável pela implantação e acompanhamento deste projeto, bem

como avaliação de resultados e validação de procedimentos. Supervisionará e

quando necessário instruirá os demais membros da equipe. Fará a avaliação de

compliance com as normas e padrões desejados neste projeto. É o responsável

por determinar e direcionar a aplicação das metodologias de análise de risco e

métricas de qualidade, bem como prover artefatos à equipe.

Auditor TI: Alencar Silva

É o profissional responsável pela auditoria de segurança, procedimentos e

avaliação de riscos, determinando de forma macro os itens a serem avaliados e

quando necessário tomará ações junto aos analistas a fim de instruí-los ou

melhorar as informações auditadas.

Analistas Segurança da Informação: Ana Cristina Rodrigues, Marcelo

Castejon

São os analistas que detém pleno conhecimento e formação comprovada em

segurança da informação, farão as avaliações minuciosas de cada

vulnerabilidade, farão o mapeamento dos riscos e farão a classificação prévia

dos riscos. São os profissionais responsáveis também pela elaboração junto




da Informação

com o Auditor e o Gerente de Projetos dos Documentos resultantes deste

projeto e dos testes de homologação.

Analista de Riscos: Marcos Henrique

É o analista responsável junto com o gerente do projeto pela adequação com as

normas internacionais de avaliação de riscos, por realizar a classificação da

confidencialidade das informações e realizar a determinação dos níveis de riscos

associados aos itens mapeados pela equipe e também determinar a

classificação das vulnerabilidades encontradas.

14 Benefícios

Compliance com as normas ISO, compliance com o MEC. Mapeamento e

tratamento de riscos com os devidos planos de ação, maior controle e

entendimento do ambiente de Tecnologia da Informação e determinação de

riscos jurídicos intrínsecos as responsabilidades associadas à manipulação de

dados e manipulação de informações formalmente aceitas pelo órgão regulador

como plenamente válidas para formação acadêmica dos usuários diretos do

sistema de EaD (os alunos).

Entendimento dos itens físicos e lógicos envolvidos nos aspectos da infra-

estrutura de TI e a criticidade classificada dos riscos associados a cada um

desses ativos, incluindo matrix de vulnerabilidades, de riscos e atribuição de

responsabilidades legais e perante o ministério da educação (órgão regulador).




da Informação

Melhoria na percepção geral da imagem da Universidade Fumec junto a seus

funcionários, alunos, parceiros, cooperadoras e junto a investidores, bem como

concorrentes no mercado.




da Informação

15 Aprovação do Termo de Abertura do Projeto

Aprovado Por :

Data

Aprovado por :

Data

Aprovação do Gerente do Projeto:

Gerente do Projeto Data


ss000 termo de abertura do projeto - tracanelli,...

Documents