Você está na página 1de 160

Ant

onio Carlos Pereira de Britto

Estudo do Gerenciamento de Projeto Baseado no


PMBOK para a Implantacao da Gestao da Seguranca
da Informacao e Comunicacao na Administracao
Publica Federal

Braslia
15 de fevereiro de 2009
Ant
onio Carlos Pereira de Britto

Estudo do Gerenciamento de Projeto Baseado no


PMBOK para a Implantacao da Gestao da Seguranca
da Informacao e Comunicacao na Administracao
Publica Federal

Monografia apresentada ao Departamento de


Ciencia da Computacao da Universidade de
Braslia como requisito parcial para a obten-
cao do ttulo de Especialista em Ciencia da
Computacao: Gestao da Seguranca da Infor-
macao e Comunicacoes

Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes

Universidade de Braslia UnB


ncia da Computa
Departamento de Cie o
ca

Braslia
15 de fevereiro de 2009
i

Monografia de Especializacao defendida sob o ttulo Estudo do Gerenciamento de


Projeto Baseado no PMBOK para a Implantacao da Gestao da Seguranca da Informac
ao e
Comunicacao na Administracao P
ublica Federal, defendida por Antonio Carlos Pereira de
Britto e aprovada em 15 de dezembro de 2008 em Braslia DF, pela banca examinadora
constituda pelos professores e pesquisadores:

Prof. Dr. Jorge Henrique Cabral Fernandes


Orientador

Prof. Mestre Gilberto de Oliveira Neto


SERPRO

Prof. Mestre Joao Jose Costa Gondim


Universidade de Braslia

Prof. Dr. Jorge Henrique Cabral Fernandes


Coordenador do Curso
ii

Dedicatoria

Dedico este trabalho, primeiramente, aos meus familiares, que acredi-


taram no fruto do meu esforco, em especial a Dona Catharina, pelos
ensinamentos dos valores por mim incorporados: o da temperanca e o da
perseveranca, a subst
ancia de todo o trabalho intelectual e sobre os quais
eu concebi essa pesquisa.

Dedico tamb
em, com especial apreco, ao Centro de Pesquisa e Desenvol-
vimento para Seguranca das Comunicaco
es (CEPESC), na integralidade
de todos os colegas e amigos que me brindaram com a compet
encia, o
profissionalismo e a amizade, desta forma, trazendo-me a essa necess
aria
reflex
ao:

Breve e a vida e longa e a arte; a ocasiao e fugaz; a experiencia e enganosa, o


julgamento e difcil.

Hip
ocrates
iii

Agradecimentos

A minha mae D. Catharina,


familiares e amigos que compreenderam as minhas ausencias em importantes momentos
do convvio ntimo que subtra em favor desse trabalho, pois o tempo nao para, e mesmo
assim, retriburam com o estmulo e a serenidade que necessitei durante todo o meu
percurso no Curso de Gestao da Seguranca da Informacao e Comunicacao (CGSIC) 2007.

Ao Professor Dr. Jorge Henrique Cabral Fernandes


pela forma diligente e paciente com que me fez evoluir desde o inicio das primeiras linhas
dessa monografia, e, principalmente, pela forma sabia e profissional com que conduziu
toda o CGSIC 2007.

A Otavio Carlos Cunha da Silva,


amigo e colega, Diretor do Centro de Pesquisa e Desenvolvimento para Seguranca das
Comunicacoes (CEPESC), que me motivou para esse importante passo profissional,
fornecendo o suporte para o sucesso dessa jornada.

Ao Professor Mestre Joao Jose Costa Gondim


pelo auxilio metodologico no conjunto da obra.

Ao Professor Mestre Joao Alberto Pincovscy


pela orientacao e o decisivo aclaramento das questoes teoricas e tecnicas da utilizacao do
PMBOK, com especial apreco.

Ao Professor Adam Victor Nazareth Brandizzi


pela orientacao metodologica e auxlio tecnico no LATEX.

Por fim, mas nao menos importante,


a todos aos colegas com que convivi no CGSIC 2007 que me fizeram crescer
pessoalmente e ver que a jornada apenas comecou e nunca estamos sozinhos.

Obrigado a todos.
iv

Ha uma teoria que diz que se um dia alguem descobrir exatamente


qual e o proposito do Universo e por que ele esta aqui ele desa-
parecera instantaneamente e sera substitudo por algo ainda mais
bizarro e inexplicavel. Ha uma outra teoria que diz que isso j a
aconteceu.

ADAMS, Douglas Noel, Um Restaurante no Fim do Universo.


v

Resumo

A Gestao da Seguranca da Informacao e Comunicacao (GSIC) e hoje um dos pilares do Mo-


delo de Governanca de Tecnologia da Informacao (TI), e e responsavel por assegurar a dis-
ponibilidade, integridade, autenticidade e confidencialidade das informacoes da Sociedade
e do Estado. Um Modelo de Gestao de Seguranca da Informacao e Comunicacao (MGSIC)
deve ser utilizado na Administracao P ublica Federal (APF) para satisfazer os criterios
tecnicos de seguranca da informacao e as obrigacoes legais, e principalmente como forma
de atender aos requisitos para a preservacao do valor intrnseco da informacao em uso
na APF. Esta monografia propoe a abordagem do Gerenciamento de Projetos baseada
nas orientacoes do Guia Project Management Body of Knowledge (PMBOK), criado pelo
Project Management Institute (PMI), como forma de viabilizar a implementacao do MG-
SIC na APF. O modelo considerado para a implementacao foi o proposto pelo Grupo de
Trabalho Metodologia 2005 (GT-2005), institudo pelo DSIC/GSI, do qual o autor partici-
pou quando da coordenacao dos trabalhos do GT pelo CEPESC nos anos de 2005 e 2006.
O modelo do GT-2005 e aderente ao conjunto de Normas 27000, sendo que o GT-2005
usou uma abordagem holstica e sistemica que leva `a visao da Governanca de TI para a
fundamentacao do MGSIC. Esta monografia relaciona dois modelos: o PMBOK para o
Gerenciamento de Projetos e o Modelo de Gestao da Seguranca da Informacao e Comu-
nicacao do GT-2005, propondo uma abordagem orientada ao projeto na implantacao do
MGSIC na APF.
Palavras-Chaves: Gestao da Seguranca da Informacao e Comunicacao, Governanca de
TI, Modelos de Referencia para a Gestao da Seguranca da Informacao e Comunicacao,
Modelo de Gestao da Seguranca da Informacao e Comunicacao, APF, DSIC/GSI, Grupo
de Trabalho Metodologia 2005, Gerenciamento de Projetos, Ciclo PDCA, PMBOK e
ISO/IEC 27001.
vi

Abstract

The use of the Information and Communication Security Management System (ICSMS)
is today an area of knowledge of IT Governance, and it is responsible for assuring the
availability, integrity, authenticity and confidentiality of the information of the Society and
the State, so as to meet the requirements for the preservation of the intrinsic value of the
information. A model such as the Information and Communication Security Management
System Model (ICSMSM) must be used in the Federal Public Administration (FPA).
This study considers the approach of the Project Management based in the guidelines
of the PMBOK Guide, so as to make possible the implementation of Information and
Communication Security Management System Model (ICSMSM) in the Brazilian FPA.
The mentioned model was developed by the Methodology Work Group (or Task Force)
2005 (GT Methodology 2005), instituted by the DSIC/GSI. A group in which the
author participated during the coordinated work of the WG for CEPESC in the years 2005
and 2006. The model is in accordance to ISO/IEC 27000 family of norms; therefore, the
WG uses a holistic and systemic approach that considers security inside the broader vision
of IT Governance. This monograph proposes the join adoption both models: PMBOK for
Project Management and ISO/IEC 27001 for Management of Security of Information and
Communication considering the project approach for the implementation of the ICSMSM
deliberated by the GT-Methodology 2005.
Keywords: Management of the Security of the Information and Communication Model,
FPA, DSIC/GSI, Group Work Methodology 2005, Project Management, PMBOK, IT
Governance and ISO/IEC 27001.
vii

Sumario

Dedicatoria p. ii

Agradecimentos p. iii

Resumo p. v

Abstract p. vi

Lista de Abreviaturas e Siglas p. xiii

Lista de Tabelas p. xviii

Lista de Figuras p. xix

1 Introducao p. 1

2 Requisitos Pre-pesquisa p. 5

2.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 5

2.1.1 Objetivo Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 5

2.1.2 Objetivos Especficos . . . . . . . . . . . . . . . . . . . . . . . . . p. 5

2.2 Justificativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 6

2.3 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 7

2.3.1 Classificacao da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . p. 7

2.4 Percurso Metodologico . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 7

3 A Gestao da Seguranca da Informacao e Comunicacao na APF p. 9


viii

3.1 Os Antecedentes Historicos . . . . . . . . . . . . . . . . . . . . . . . . . . p. 10

3.2 A Seguranca da Informacao e Comunicacao . . . . . . . . . . . . . . . . . p. 10

3.3 A Protecao da Infra-estrutura Crtica . . . . . . . . . . . . . . . . . . . . p. 12

3.4 A Gestao da Seguranca da Informacao e Comunicacao . . . . . . . . . . p. 13

3.5 O Modelo de Gestao de Seguranca . . . . . . . . . . . . . . . . . . . . . p. 13

3.6 A Gestao do Risco no Modelo de GSIC . . . . . . . . . . . . . . . . . . . p. 14

3.7 A Governanca de TI e a GSIC . . . . . . . . . . . . . . . . . . . . . . . . p. 16

4 A Abordagem do PMBOK para o Gerenciamento de Projetos p. 18

4.1 O Guia PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 20

4.2 Os Conceitos do PMBOK . . . . . . . . . . . . . . . . . . . . . . . . . . p. 21

4.3
As Areas de Conhecimento do PMBOK . . . . . . . . . . . . . . . . . . . p. 23

4.3.1 O Gerenciamento da Integracao . . . . . . . . . . . . . . . . . . . p. 24

4.3.2 O Gerenciamento de Escopo . . . . . . . . . . . . . . . . . . . . . p. 25

4.3.3 O Gerenciamento de Tempo . . . . . . . . . . . . . . . . . . . . . p. 28

4.3.4 O Gerenciamento de Custos . . . . . . . . . . . . . . . . . . . . . p. 29

4.3.5 O Gerenciamento de Qualidade . . . . . . . . . . . . . . . . . . . p. 29

4.3.6 O Gerenciamento de Recursos Humanos . . . . . . . . . . . . . . p. 31

4.3.7 O Gerenciamento das Comunicacoes . . . . . . . . . . . . . . . . p. 32

4.3.8 O Gerenciamento de Riscos . . . . . . . . . . . . . . . . . . . . . p. 33

4.3.9 O Gerenciamento de Aquisicoes . . . . . . . . . . . . . . . . . . . p. 34

4.4 A Restricao Tripla dos Projetos . . . . . . . . . . . . . . . . . . . . . . p. 36

4.5 O Gerenciamento de Programas . . . . . . . . . . . . . . . . . . . . . . . p. 36

4.6 O Gerenciamento de Portfolio de Projetos . . . . . . . . . . . . . . . . . p. 37

4.7 O Escritorio de Gerenciamento de Projetos . . . . . . . . . . . . . . . . . p. 37

4.8 Os Processos do Gerenciamento do Projeto . . . . . . . . . . . . . . . . . p. 38

4.9 Os Ciclos do Gerenciamento de Projeto . . . . . . . . . . . . . . . . . . . p. 39


ix

5 Modelos de Referencia para a Gestao da Seguranca da Informacao e Comunicacao p. 42

5.1 O Modelo de Referencia da SLTI . . . . . . . . . . . . . . . . . . . . . . p. 44

5.1.1 A estrutura do modelo . . . . . . . . . . . . . . . . . . . . . . . . p. 44

5.1.2 Os servicos primarios . . . . . . . . . . . . . . . . . . . . . . . . . p. 45

5.1.3 Os servicos secundarios . . . . . . . . . . . . . . . . . . . . . . . . p. 47

5.1.4 A estrategia para a implantacao . . . . . . . . . . . . . . . . . . . p. 47

5.1.5 A estrategia de seguranca de informacao . . . . . . . . . . . . . . p. 48

5.1.6 Consideracoes sobre a utilizacao do MR-SI da SLTI . . . . . . . . p. 49

5.2 O Modelo de Referencia do NI-DSIC . . . . . . . . . . . . . . . . . . . . p. 50

5.2.1 A estrutura do modelo . . . . . . . . . . . . . . . . . . . . . . . . p. 51

5.2.2 A nota semantica: informacao & comunicacao . . . . . . . . . . . p. 51

5.2.3 As funcoes e os processos do modelo . . . . . . . . . . . . . . . . p. 51

5.2.4 A estrategia para a implementacao . . . . . . . . . . . . . . . . . p. 52

5.2.5 Os princpios de implementacao . . . . . . . . . . . . . . . . . . . p. 53

5.2.6 O MR-GSIC do NI-DSIC e a auditoria do TCU . . . . . . . . . . p. 54

5.2.7 Consideracoes sobre a utilizacao do MI-GSIC do NI-DSIC . . . . p. 55

5.3 O Modelo de Referencia do GT-2005 . . . . . . . . . . . . . . . . . . . . p. 55

5.3.1 A estrutura do modelo . . . . . . . . . . . . . . . . . . . . . . . . p. 55

5.3.2 Os pressupostos de trabalho do GT-2005 . . . . . . . . . . . . . . p. 56

5.3.3 O modelo e a metodologia de implantacao . . . . . . . . . . . . . p. 57

5.3.4 O Ciclo PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 57

5.3.5 Diretivas para a implantacao . . . . . . . . . . . . . . . . . . . . . p. 58

5.3.6 Os controles de seguranca selecionados . . . . . . . . . . . . . . . p. 60

5.3.7 Consideracoes sobre o Modelo de Referencia do GT-2005 . . . . . p. 62

6 O Gap Conceitual na Implantacao do SGSIC p. 64

6.1 O Mapeamento PMBOK e o Ciclo PDCA . . . . . . . . . . . . . . . . . p. 65


x

6.1.1 O Roteiro da Metodologia do GT-2005 no Ciclo PDCA . . . . . . p. 67

6.2
O Mapeamento do Projeto nas Areas de Conhecimento do PMBOK . . . p. 68

6.2.1 A Fase de Iniciacao . . . . . . . . . . . . . . . . . . . . . . . . . . p. 68

6.2.2 A Fase Planejamento . . . . . . . . . . . . . . . . . . . . . . . . . p. 70

6.2.3 A Fase de Execucao . . . . . . . . . . . . . . . . . . . . . . . . . . p. 70

6.2.4 A Fase de Encerramento . . . . . . . . . . . . . . . . . . . . . . . p. 71

6.2.5 Os Principais Documentos de Projeto . . . . . . . . . . . . . . . . p. 71

6.2.6 Gerenciamento da Integracao . . . . . . . . . . . . . . . . . . . . p. 73

6.2.7 Gerenciamento de Escopo . . . . . . . . . . . . . . . . . . . . . . p. 74

6.2.8 Gerenciamento de Tempo . . . . . . . . . . . . . . . . . . . . . . p. 77

6.2.9 Gerenciamento de Custos . . . . . . . . . . . . . . . . . . . . . . p. 79

6.2.10 Gerenciamento de Qualidade . . . . . . . . . . . . . . . . . . . . . p. 80

6.2.11 Gerenciamento de Recursos Humanos . . . . . . . . . . . . . . . . p. 81

6.2.12 Gerenciamento de Comunicacoes . . . . . . . . . . . . . . . . . . p. 82

6.2.13 Gerenciamento de Riscos . . . . . . . . . . . . . . . . . . . . . . . p. 83

6.2.14 Gerenciamento de Aquisicoes . . . . . . . . . . . . . . . . . . . . p. 84

7 Consideracoes Finais p. 86

7.1 Sugestoes de Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . p. 87

Indice Remissivo p. 88

Referencias Bibliograficas p. 90

Glossario p. 93

Glossario p. 93

6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 93

A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 93
xi

C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 93

D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 94

E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 95

F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 97

G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 98

I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 98

M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 99

N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 99

O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 99

P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 99

Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 101

R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 101

S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 102

T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 103

V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 104

Apendice A -- A Criacao GT-2005 p. 105

A.1 Os Objetivos do GT-2005 . . . . . . . . . . . . . . . . . . . . . . . . . . p. 105

A.2 A Composicao do Grupo de Trabalho . . . . . . . . . . . . . . . . . . . . p. 105

Apendice B -- A Estrategia de Processo do Modelo do GT-2005 p. 108

B.1 Planejar (Plan) Estabelecer o SGSIC . . . . . . . . . . . . . . . . . p. 109

B.2 Fazer (Do) Implementar e Operar o SGSIC . . . . . . . . . . . . . . p. 110

B.3 Checar (Check ) Monitorar e Revisar o SGSIC . . . . . . . . . . . . . p. 110

B.4 Agir (Act) Manter e Melhorar o SGSIC . . . . . . . . . . . . . . . . p. 111

Apendice C -- Casos do Mapeamento do PMBOK p. 112

C.1 A Implementacao do Metodo OCTAVE . . . . . . . . . . . . . . . . . . . p. 112


xii

C.1.1 O mapeamento OCTAVE com o Guia PMBOK . . . . . . . . . . p. 114

C.2 A Implantacao da Metodologia Risco@Gov . . . . . . . . . . . . . . . . . p. 114

C.2.1 Objetivos da Risco@Gov . . . . . . . . . . . . . . . . . . . . . . . p. 115

C.2.2 As premissas da Risco@Gov . . . . . . . . . . . . . . . . . . . . . p. 116

C.2.3 A estrutura da Risco@Gov . . . . . . . . . . . . . . . . . . . . . . p. 117

C.2.4 Os resultados obtidos . . . . . . . . . . . . . . . . . . . . . . . . . p. 118

Anexo A -- Instrucao Normativa GSI/PR n 1, de 13.06.2008 p. 120

Anexo B -- Portaria n 33, de 13 de Outubro de 2008 p. 125

Anexo C -- Portaria n 34, de 13 de Outubro de 2008 p. 131


xiii

Lista de Abreviaturas e Siglas

Abin Agencia Brasileira de Inteligencia

ABNT Associacao Brasileira de Normas Tecnicas

AGU Advocacia Geral da Uniao

APF Administracao P
ublica Federal

ANSI American National Standards Institute

BSC Balanced Scorecard

CASNAV Centro de Analises de Sistemas Navais

CEPESC Centro de Pesquisa e Desenvolvimento para Seguranca das Comunicacoes

CGSI Comite Gestor de Seguranca da Informacao

CGSIC Curso de Gestao da Seguranca da Informacao e Comunicacao

CGTI Coordenacao Geral de Tecnologia da Informacao

CGU Controladoria-Geral da Uniao

CMMI Capability Maturity Model Integration

CMU Carnegie Mellon University

COBIT Control Objectives for Information and Related Technology

CTIR-Gov Centro de Tratamento de Incidentes de Seguranca em Redes de Computa-


dores da Administracao P
ublica Federal

CT-STI Camara Tecnica de Seguranca da Tecnologia da Informacao

CWBS Contract Work Breakdown Structure

DoS Denial of Service


xiv

DPF Departamento de Polcia Federal

DEAP Dicionario da Estrutura Analtica do Projeto

DSIC Departamento de Seguranca da Informacao e Comunicacoes

e-Ping Padroes de Interoperabilidade de Governo Eletronico do Brasil

EAP Estrutura Analtica do Projeto

EAPC Estrutura Analtica do Projeto Contratado

EARc Estrutura Analtica dos Riscos

EARP Estrutura Analtica do Resumo do Projeto

EARs Estrutura Analtica dos Recursos

ESI Estrategia de Seguranca da Informacao

FPA Federal Public Administration

eSCM-SP The eSourcing Capability Model for Service Providers

eSCM-CL The eSourcing Capability Model for Client Organizations

GP Gerenciamento de Projetos

GRC Governanca, Risco e Conformidade

GSI Gabinete de Seguranca Institucional

GSIC Gestao da Seguranca da Informacao e Comunicacao

GT Grupo de Trabalho

GTs Grupos de Trabalhos

GT-2005 Grupo de Trabalho Metodologia 2005

GT-CGSI Grupo de Trabalho do Comite Gestor da Seguranca da Informacao

GTE Grupo de Trabalho e Estudo

GTI Gerencia de Tecnologia da Informacao

ICSMS Information and Communication Security Management System


xv

ICSMSM Information and Communication Security Management System Model

ICP-Brasil Infra-estrutura de Chaves P


ublicas Brasileira

IEC International Electrotechnical Commission

IN Instrucao Normativa

ITI Instituto Nacional de Tecnologia da Informacao

ISO International Standardization Organization

ITIL Information Technology Infrastructure Library

MBA Master in Business Administration

MCT Ministerio da Ciencia & Tecnologia

MD Ministerio da Defesa

MGSI-APF Modelo de Gestao de Seguranca da Informacao para APF

MI2C Metodologia para Identificacao de Infra-estrutura Crtica

MGSIC Modelo de Gestao de Seguranca da Informacao e Comunicacao

MI-GSIC Modelo de Implantacao da Gestao de Seguranca da Informacao e Comunicacao

MINICOM Ministerio das Comunicacoes

MJ Ministerio da Justica

MPOG Ministerio do Planejamento, Orcamento e Gestao

MR Modelo de Referencia

MR-GSIC Modelo de Referencia para a Gestao da Seguranca da Informacao e Comu-


nicacao

MRE Ministerio das Relacoes Exteriores

MR-SI Modelo de Referencia para a Seguranca da Informacao

MR-SIC Modelo de Referencia para a Seguranca da Informacao e Comunicacao

NBR Norma Brasileira


xvi

NI-DSIC N
ucleo de Implantacao, Departamento de Seguranca da Informacao e Comu-
nicacao

NIST National Institute of Standard and Technology

OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation

OGU Orcamento Geral da Uniao

OPM3 Organizational Project Management Maturity Model

P&D Plan and Do

P3M3 Portfolio, Programme & Project Management Maturity Model

PMBOK Project Management Body of Knowledge

PMI Project Management Institute

PMO Escritorio de Gerenciamento de Projetos ou Project Management Office

PMP Project Management Professional

PMP Project Management Programs

PRINCE2 Project in Controlled Environment

PSI Poltica de Seguranca da Informacao

PSIC Poltica de Seguranca da Informacao e Comunicacao

PSIPE Poltica de Seguranca da Informacao do Poder Executivo Federal

PSWBS Project Summary Work Breakdown Structure

ePING Padroes de Interoperabilidade de Governo Eletronico

PDCA Plan-Do-Check-Act

PNPC Plano Nacional de Protecao ao Conhecimento

PR Presidencia da Rep
ublica

RH Recursos Humanos

Risco@Gov Metodologia de Avaliacao de Risco do Governo Federal


xvii

RBSr Risk Breakdown Structure

RBSs Resource Breakdown Structure

SAS 70 Statement on Auditing Standards for Services Organizations

SECDN Secretaria-Executiva do Conselho de Defesa Nacional

SEI Software Engeneering Institute

SERPRO Servico Federal de Processamento de Dados

SGSI Sistema de Gestao da Seguranca da Informacao

SGSIC Sistema de Gestao da Seguranca da Informacao e Comunicacao

SI Seguranca da Informacao

SIC Seguranca da Informacao e Comunicacao

SISG Servicos Gerais

SIGP Sistema de Informacoes do Gerenciamento de Projetos

SISNAC Sistemas de Informacao sobre Nascidos Vivos

SISP Sistemas de Administracao dos Recursos de Informacao e Informatica

SLTI Secretaria Logstica e Tecnologia de Informacao

TI Tecnologia da Informacao

TIC Tecnologia da Informacao e Comunicacao

TCU Tribunal de Contas da Uniao

TOGAF The Open Group Architecture Framework

UNIEURO Centro Universitario Euro-americano

WBS Work Breakdown Structure

WBSD Work Breakdown Structure Dictionary

WG Work Group or Task Force


xviii

Lista de Tabelas

3.1 Principais modelos de melhores praticas (FERNANDES; ABREU, 2008) p. 17

5.1 Tabela funcoes e agentes no MR-GSIC . . . . . . . . . . . . . . . . . . . p. 53


xix

Lista de Figuras

3.1 Mapa conceitual do risco a` infra-estrutura crtica . . . . . . . . . . . . . p. 12

4.1 Conjunto de conhecimento em gerencia de projetos (PMI, 2004a) . . . . . p. 19

4.2 A relacao entre as fases do projeto (PMI, 2004a) . . . . . . . . . . . . . . p. 23

4.3 Mapa mental do Gerenciamento da Integracao (PMI, 2004a) . . . . . . . p. 24

4.4 Mapa mental do Gerenciamento de Escopo (PMI, 2004a) . . . . . . . . . p. 27

4.5 Mapa mental do Gerenciamento de Tempo (PMI, 2004a) . . . . . . . . . p. 28

4.6 Mapa mental do Gerenciamento de Custos (PMI, 2004a) . . . . . . . . . p. 29

4.7 Mapa mental do Gerenciamento da Qualidade (PMI, 2004a) . . . . . . . p. 30

4.8 Mapa mental do Gerenciamento de Recursos Humanos (PMI, 2004a) . . p. 31

4.9 Mapa mental do Gerenciamento das Comunicacoes (PMI, 2004a) . . . . . p. 33

4.10 Mapa mental do Gerenciamento de Riscos (PMI, 2004a) . . . . . . . . . p. 34

4.11 Mapa mental do Gerenciamento de Aquisicoes (PMI, 2004a) . . . . . . . p. 35

4.12 Processos de monitoramento e controle (PMI, 2004a) . . . . . . . . . . . p. 39

5.1 Dinamica operacional da Camara Tecnica (MACHADO; BEZERRA;


LIMA, 2000) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 48

5.2 Representacao da Estrategia de Seguranca de Informacao (MACHADO;


BEZERRA; LIMA, 2000) . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 49

5.3 Suporte `a estrategia de seguranca de informacao (MACHADO; BE-


ZERRA; LIMA, 2000) . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 50

5.4 Estrategia de Implementacao (NI-DSIC, 2005) . . . . . . . . . . . . . . . p. 52

5.5 Ciclo PDCA (GT-2005, 2006) . . . . . . . . . . . . . . . . . . . . . . . . p. 58

6.1 Representacao do gap da implantacao do Sistema de Gestao da Segu-


ranca da Informacao e Comunicacao (SGSIC) . . . . . . . . . . . . . . . p. 65
xx

6.2 Representacao do mapeamento do PMBOK e o gap de implantacao do


SGSIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 66

6.3 Principais documentos do plano de projeto (PMI, 2004a) . . . . . . . . . p. 69

6.4 Fluxograma de processos nas areas de conhecimento (PMI, 2004a) . . . . p. 72

6.5 Documentos do Gerenciamento da Integracao (VARGAS, 2007) . . . . . p. 73

6.6 Exemplo do formato do Grafico de Gantt . . . . . . . . . . . . . . . . . . p. 73

6.7 Fluxo do Sistema de Controle Integrado de Mudancas (VARGAS, 2007) . p. 74

6.8 Documentos da Gerenciamento de Escopo (VARGAS, 2007) . . . . . . . p. 75

6.9 Exemplo do formato da EAP Analtica . . . . . . . . . . . . . . . . . . . p. 75

6.10 Exemplo do formato da Estrutura Analtica do Projeto (EAP) Hierarquica p. 76

6.11 Dicionario da EAP no Microsoft Project . . . . . . . . . . . . . . . . . . p. 78

6.12 Documentos da Gerencia de Tempo (VARGAS, 2007) . . . . . . . . . . . p. 79

6.13 Formato da Lista de Atividades com Duracao . . . . . . . . . . . . . . . p. 80

6.14 Formato da Lista de Recursos . . . . . . . . . . . . . . . . . . . . . . . . p. 80

6.15 Documentos do Gerenciamento de Qualidade (VARGAS, 2007) . . . . . . p. 81

6.16 Documentos da Gerenciamento de Recursos Humanos (VARGAS, 2007) . p. 81

6.17 Formato da Listagem de Recursos Humanos (VARGAS, 2007) . . . . . . p. 82

6.18 Documentos da Gerencia de Comunicacoes (VARGAS, 2007) . . . . . . . p. 83

6.19 Documentos da Gerencia de Riscos (VARGAS, 2007) . . . . . . . . . . . p. 84

A.1 Diagrama esquematico da metodologia de trabalho do GT-2005 . . . . . p. 107

B.1 Modelo PDCA aplicado aos processos do SGSI . . . . . . . . . . . . . . . p. 109

C.1 Paradigma do gerenciamento de risco (CMU/SEI, ) . . . . . . . . . . . . p. 114

C.2 Principais fases da OCTAVE (ALBERTS; DOROFEE, 2001) . . . . . . . p. 115



C.3 Areas de influencia do Metodo OCTAVE (BRITTO; PINCOVSCY, 2008) p. 116

C.4 Modelo de Gestao de Risco (CICCO, 2004) . . . . . . . . . . . . . . . . . p. 117

C.5 Relacionamentos entre elementos do risco (BRITTO; SOUSA; PIN-


COVSCY, 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 117
xxi

C.6 Fases da metodologia (BRITTO; SOUSA; PINCOVSCY, 2008) . . . . . p. 118


1

1 Introducao

A informacao e as comunicacoes sao elementos essenciais e fatores crticos de sucesso


para a competitividade no mundo dos negocios, bem como elementos estrategicos para o
exerccio da soberania de um Estado. Uma boa parte dos sistemas crticos de informacao e
comunicacao estao sob custodia do Estado e exigem tratamento especial para sua protecao.
Isto leva a necessidade da adocao de um Sistema de Gestao da Seguranca da Informacao
e Comunicacao (SGSIC).

A GSIC e hoje uma dos pilares da Governanca de TI, e e responsavel por assegurar
a disponibilidade, a integridade, a autenticidade e a confidencialidade das informacoes
organizacionais. Um SGSIC esta orientado aos processos de desenvolver, implementar,
direcionar e monitorar as estrategias e as atividades de seguranca da organizacao, ava-
liando o seu alinhamento com a missao da organizacao, e procurando a conformidade
com os padroes internos e externos. A implantacao da GSIC e um problema organizaci-
onal estrategico, que necessita ser considerado e tratado de forma integrada em nvel de
Governanca de TI (FERNANDES; ABREU, 2008).

O Estado Brasileiro, por meio das acoes de governo, vem envidando esforcos para a
implementacao da Seguranca da Informacao e Comunicacao (SIC), de modo a atender
a`s suas necessidades e de forma compatvel com as boas praticas mundiais. As estrate-
gias e acoes para a SIC estao a cargo do Departamento de Seguranca da Informacao e
Comunicacoes (DSIC) e do Centro de Pesquisa e Desenvolvimento para Seguranca das
Comunicacoes (CEPESC), o centro federal de pesquisa e desenvolvimento tecnologico
para as areas de criptografia e seguranca da informacao e comunicacao, sendo ambos
orgaos subordinados ao Gabinete de Seguranca Institucional (GSI) da Presidencia da
Rep
ublica (PR).

O GSI conta com o Comite Gestor de Seguranca da Informacao (CGSI), composto de


representantes da APF e da Sociedade Civil, para, dentre outras acoes, instituir Grupos
de Trabalhos (GTs) para tratar os problemas da SIC no Governo Federal. Destaca-se
2

nestas acoes a implantacao da Infra-estrutura de Chaves P


ublicas Brasileira (ICP-Brasil),
criada a partir da demanda por certificados digitais, tanto para o Governo como para a
Sociedade, como tambem da Coordenacao Geral de Tratamento de Incidentes de Rede
CTIR-Gov, orgao do DSIC.

Convem destacar que no ano de 2005 o CGSI criou o GT-2005 para atender a uma
urgente demanda por um Modelo de Gestao de Seguranca da Informacao e Comunicacao
(MGSIC) como uma forma de resposta institucional no tratamento aos processos de au-
ditoria na area da SIC, em curso na APF no ambito do processo de auditoria do Tribunal
de Contas da Uniao (TCU) (BEMQUERER, 2005).

Desta forma, o GT-2005 teve como objetivo a elaboracao de um conjunto de normas


e padroes que, integrados em um modelo de gestao, pudesse parametrizar a interacao
com os processos de auditoria e verificacao do controle interno e externo (FELIX, 2005).
Esses processos de auditoria elencam os modelos das melhores praticas segundo a visao da
Governanca de TI, destacando-se os principais: Control Objectives for Information and
Related Technology (COBIT), International Standardization Organization (ISO) 27000,
Information Technology Infrastructure Library (ITIL) e PMBOK. O GT-2005 elaborou
o modelo e a metodologia de implantacao do SGSIC que estao ancorados nos conceitos e
princpios dessas melhores praticas da Governanca de TI (FERNANDES; ABREU, 2008).

O Relatorio Final do GT-2005 e composto pela descricao do modelo e da metodologia


de implantacao do MGSIC, e tambem, pela recomendacao da estrategia da implantacao
por meio de um projeto piloto a ser desenvolvido em outra estancia do DSIC ou Grupo
de Trabalho especfico e designado pelo CGSI (GT-2005, 2006).

Com a Instrucao Normativa GSI/PR n 1 publicada em 13 de Junho de 2008, o


DSIC disciplina a implantacao da GSIC na APF (FELIX, 2008a), e defini o modelo e a
metodologia por meio das Portarias 33 e 34 (FELIX, 2008b) (FELIX, 2008c), o que levou-
nos `a anexa-las no momento final da conclusao desse trabalho. Destaca-se o fato de que
a monografia e baseada no Relatorio Final do GT-2005, apresenta total compatibilidade
com o modelo e metodologia proposta pelo DSIC.

A Instrucao Normativa (IN) e as Portarias n 33 e n 34 do GSI/PR do DSIC, definem


a estrategia de implantacao do MGSIC no mesmo enfoque que aquele do Relatorio Final
do GT-2005,com os seguintes objetivos e respectivos documentos:

1. Disciplina a implantacao da GSIC na APF conforme a IN (FELIX, 2008a);

2. Estabelece criterios e procedimentos para elaboracao, atualizacao, alteracao, aprova-


3

cao e publicacao de normas complementares sobre GSIC, no ambito da APF direta


e indireta (FELIX, 2008b);

3. Define a metodologia de gestao de seguranca da informacao e comunicacoes utilizada


pelos orgaos e entidades da Administracao P
ublica Federal, direta e indireta (FELIX,
2008c).

Como forma de dar subsdio tecnico a essa implantacao, e considerando o historico do


esforco para atender essa demanda por um Modelo de Gestao de Seguranca da Informacao
e Comunicacao (MGSIC), esta monografia faz um estudo da implantacao do MGSIC na
APF utilizando a abordagem do gerenciamento de projeto, que a partir da visao da
Governanca de TI, elege o PMBOK, nao so como uma forma de viabilizar a sua adocao
na APF, mas, principalmente, direcionando a implantacao ao nvel estrategico da APF,
como pretende o GSI (FELIX, 2008a).

Esta monografia e composta por mais seis captulos, tres apendices e tres anexos.

O Captulo 2, Requisitos Pre-pesquisa, apresenta a decomposicao da pesquisa em


termos de: objetivos, justificativa, metodologia e percurso metodologico.

No Captulo 3, A Gestao da Seguranca da Informacao e Comunicacao na APF, faz-


se uma rapida revisao dos elementos que compoe os modelos de Seguranca da Informacao
e Comunicacao e destaca a necessidade da Gestao de Risco dos Modelos de Gestao da
SIC, segundo a visao de Governanca de TI e necessidades do modelo de gestao.

No Captulo 4, A Abordagem do PMBOK para o Gerenciamento de Projetos, sao


descritos os processos e estruturas do Guia PMBOK para o gerenciamento de projetos
em geral e esta colocado como forma de preparacao para o mapeamento do MGSIC do
GT-2005 pelo PMBOK.

O Captulo 5, Modelos de Referencia para a Gestao da Seguranca da Informa-


cao e Comunicacao, considera os modelos da Secretaria Logstica e Tecnologia de
Informacao (SLTI), do N
ucleo de Implantacao, Departamento de Seguranca da Infor-
macao e Comunicacao (NI-DSIC), os quais deram origem ao MGSIC do GT-2005, e no
qual se baseou este trabalho.

O Captulo 6, O Gap Conceitual na Implantacao do SGSIC, descreve os processos e


as estruturas consideradas do MGSIC para a implantacao na APF mapeados em termos
do PMBOK, o objeto deste trabalho.

O Captulo 7, Consideracoes Finais, reapresenta o tema da utilizacao da abordagem


4

da orientacao a projeto da implantacao do Modelo de Implantacao da Gestao de Seguranca


da Informacao e Comunicacao (MI-GSIC), sugerindo a evolucao do trabalho e outros
cenarios de sua utilizacao.

O Apendice A, A Criacao GT-2005, apresenta os objetivos e a composicao do GT-


2005.

O Apendice B, A Estrategia de Processo do Modelo do GT-2005, apresenta a estra-


tegia de orientacao dos processos do ciclo Plan-Do-Check-Act (PDCA).

O Apendice C, Casos do Mapeamento do PMBOK, explora a aplicacao de outros ma-


peamentos do PMBOK em dois outros modelos: o modelo de analise de risco Operationally
Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) a metodologia de avali-
acao risco a` infra-estrutura crtica da APF, chamada Metodologia de Avaliacao de Risco
do Governo Federal (Risco@Gov).

O Anexo A, Instrucao Normativa GSI/PR n 1, de 13.06.2008, disciplina a Gestao


de Seguranca da Informacao e Comunicacoes na Administracao P
ublica Federal, direta e
indireta (FELIX, 2008a).

O Anexo B, Portaria n 33, de 13 de Outubro de 2008, estabelece criterios e pro-


cedimentos para elaboracao, atualizacao, alteracao, aprovacao e publicacao de normas
complementares sobre Gestao de Seguranca da Informacao e Comunicacoes, no ambito da
Administracao P
ublica Federal, direta e indireta (FELIX, 2008b).

O Anexo C, Portaria n 34, de 13 de Outubro de 2008, define a metodologia de


gestao de seguranca da informacao e comunicacoes utilizada pelos orgaos e entidades da
Administracao P
ublica Federal, direta e indireta (FELIX, 2008c).
5

2 Requisitos Pre-pesquisa

2.1 Objetivos

2.1.1 Objetivo Geral

Apresentar o estudo da abordagem de orientacao a projeto na implantacao de um


Modelo de Gestao de Seguranca da Informacao e Comunicacao na Administracao P
ublica
Federal.

2.1.2 Objetivos Especficos

Sao objetivos especficos do trabalho:

1. Fazer uma revisao bibliografica e analise documental acerca dos Modelo de Gestao
de Seguranca da Informacao e Comunicacao (MGSIC) propostos para a implantacao
na APF;

2. Descrever conceitualmente a abordagem de projeto, pelo estudo do Modelo de Ge-


renciamento de Projetos, Project Management Body of Knowledge (PMBOK) e do
Escritorio de Gerenciamento de Projetos ou Project Management Office (PMO),
considerando-os fatores de sucesso na implantacao do MGSIC na Administracao
P
ublica Federal (APF); e

3. Relacionar as fases Planejar (Plan) e Fazer (Do) do Ciclo PDCA da Gestao


de Seguranca da Informacao e Comunicacao do GT-2005 com as nove areas de
conhecimento do guia de gerenciamento de projetos do PMBOK do PMI, elaborando
o mapeamento de implantacao do Modelo de Gestao de Seguranca da Informacao e
Comunicacao (MGSIC).
6

2.2 Justificativa

A complexidade, os requisitos e demandas da APF, relacionados `a Seguranca da Infor-


macao e Comunicacao SIC remetem a uma visao de natureza sistemica. O gerenciamento
desta complexidade contextualizada sugere o desenvolvimento de um modelo e de uma
metodologia, que servirao como um importante recurso para a implementacao de acoes e
diretrizes, dando sustentacao institucional aos processos relacionados. Os orgaos da APF,
em sua maioria, nao contam com conhecimento sobre Seguranca da Informacao sufici-
ente para implementarem, em curto prazo, uma estrutura eficiente de gestao e, portanto,
devem contar com meios para, paulatinamente, resolverem a questao (GT-2005, 2006).

Por outro lado, esses orgaos da APF, em sua maioria, carecem de uma orientacao mais
especfica sobre o que fazer e o como fazer a respeito da implementacao da seguranca
das suas informacoes, sendo que, mesmo aqueles que tem implementacoes na area, nao
contam com amparo legislativo e normativo suficientes que definam uma estrategia de
Estado sobre o assunto da SIC (VIEIRA, 2007).

Convem destacar um fator preponderante, o estagio incipiente em que se encontram


diversos orgaos da APF, seja a respeito do nvel de conhecimento seja no tocante a`s
implementacoes de sua SIC, o que faz com que as primeiras orientacoes governamentais
tenham que ser simples e factveis, mantidas a compatibilidade com as melhores praticas
sobre SIC adotadas nacional e internacionalmente (GT-2005, 2006).

A pratica da SIC em qualquer organizacao da APF devera sempre contar com uma
estrutura gerencial que, alem de tracar rumos, monitorar acoes e adequar desvios, deve
ser hierarquicamente subordinada a` alta administracao da organizacao.

Com esta visao o GT-2005 desenvolveu o Modelo de Gestao de Seguranca da Informa-


cao e Comunicacao (MGSIC) para a implantacao na APF de uma estrategia de seguranca
e de conformidade nos moldes da Governanca de TI (GT-2005, 2006). A implantacao de
modelos na APF e tarefa difcil e incerta e necessita de consideracao estrategica para sua
viabilizacao.

A abordagem do Gerenciamento de Projeto segundo o Project Management Body of


Knowledge (PMBOK) na implantacao do Modelo de Gestao de Seguranca da Informacao
e Comunicacao (MGSIC) na Administracao P
ublica Federal (APF) e um tatica para o
sucesso do empreendimento ja que compoe o framework do modelo de Governanca de TI e e
fator critico de sucesso nao so nos aspectos da SIC, como tambem para o controle de outros
aspectos: a complexidade organizada que e Governanca, Risco e Conformidade (GRC) na
7

Administracao P
ublica Federal (APF). Como exemplo temos a abordagem do uso do
PMBOK na implantacao da Risco@Gov (BRITTO; SOUSA; PINCOVSCY, 2008).

2.3 Metodologia

2.3.1 Classifica
c
ao da Pesquisa

A presente pesquisa e constituda por duas partes. A primeira caracteriza-se como


uma pesquisa bibliografica dos conceitos que compoe os topicos: Gestao da Seguranca da
Informacao e Comunicacoes conforme as Normas da ISO, e o Gerenciamento de Projetos
segundo o Guia PMBOK.

A segunda parte e uma pesquisa documental dos modelos de referencia para o SGSIC,
destacando-se o modelo do GT-2005, o MGSIC, que e descrito no Relatorio Final do
GT-2005. Relata tambem a experiencia no mapeamento de orientacao a` projeto segundo
o PMBOK em dois casos: a aplicacao da abordagem do Gerenciamento de Projeto do
PMBOK na Metodologia Risco@Gov do CEPESC (BRITTO; SOUSA; PINCOVSCY,
2008) e no estudo implementacao do metodo de Analise de Risco OCTAVE (BRITTO;
PINCOVSCY, 2008).

2.4 Percurso Metodol


ogico

Os requisitos que nortearam este trabalho foram legados da participacao do autor no


GT-2005 quando da coordenacao pelo CEPESC, nos anos de 2005 a 2006. Desta forma,
foi necessario o desenvolvimento, primeiramente, de uma pesquisa bibliografica conjunta
nas areas da Gestao da Seguranca da Informacao e Comunicacao (GSIC) e Gerenciamento
de Projetos (GP). Em seguida, fez-se pesquisa documental dos modelos de referencia de
Gestao da Seguranca da Informacao GSIC elaborados para a APF nas instancias: SLTI,
NI-DSIC e GT-2005.

A pesquisa bibliografica fornece os requisitos da Governanca de TI necessaria a` im-


plantacao de um Sistema de Gestao de Seguranca da Informacao e Comunicacao com
uma abordagem de orientacao ao projeto, na forma do Gerenciamento de Projetos (GP)
conforme o Guia Project Management Body of Knowledge (PMBOK).

A pesquisa documental dos modelos de referencia de SGSIC levou ao modelo e a`


metodologia de implantacao do SGSIC, considerando a Gestao dos Riscos a` Informacao e
8

a busca da Conformidade como requisitos de alinhamento para os processos de auditoria


do controle interno.

O trabalho conclui com o mapeamento do modelo de referencia do GT-2005 nas nove


areas de conhecimento do PMBOK. Tambem foram reportados os casos da utilizacao da
abordagem PMBOK nos projetos da implementacao do metodo OCTAVE e da metodo-
logia Risco@Gov.
9

3 A Gestao da Seguranca da Informacao e


Comunicacao na APF

Este captulo e fruto da pesquisa bibliografica acerca da Gestao da Seguranca da In-


formacao e Comunicacao (GSIC), foi estruturado de forma a fornecer os conceitos e as
definicoes para a compressao e o entendimento dos modelos e das metodologias de implan-
tacao da SIC na APF. Parece uma tarefa pretensiosa, mas demonstrou-se principalmente
gratificante e rica nas inter-relacoes com os temas de Governanca de TI, Gestao de Riscos
em SIC e da Protecao da Infra-estrutura Crtica.

Comecando com a seccao Os Antecedentes Historicos onde reportamos como a


Tecnologia da Informacao e Comunicacao (TIC) desenvolve-se de forma explosiva ate
o advento da Sociedade da Informacao.

A Seguranca da Informacao e Comunicacao desenvolve o conceito de seguranca da


informacao como uma area de conhecimento da gestao de TI, que demanda as respon-
sabilidades da manutencao do valor intrnseco das informacoes e dos seus sistemas. A
necessidade de uma apropriada gestao dessa crescente dependencia e destacada.

A Protecao da Infra-estrutura Crtica trata do conceito da dependencia aos sistemas


de informacao no nvel estrategico e da necessidade da protecao da Infra-estrutura Crtica
do pas.

A Gestao da Seguranca da Informacao e Comunicacao desenvolve e relaciona os


modelos de gestao, requisitos e as metodologias que compoe a Governanca de TI por meio
do concurso de normas e padroes tais como: ITIL, PMBOK e ISO numa visao totalizante
para o tema SIC.

O Modelo de Gestao de Seguranca da Informacao contextualiza o MGSIC em ter-


mos estrategico da Poltica de Seguranca da Informacao e Comunicacao (PSIC) e do
Planejamento Estrategico da APF.

A Gestao do Risco no Modelo de GSIC relaciona o modelo de Gestao do Risco nos


10

processos da GSIC conforme as Normas ISO, a taxonomia ISO 27000.

A Governanca de TI e a GSIC conclui o captulo com o relacionamento da macro-


estrutura de Governanca de TI, em termos de modelos de melhores praticas, como forma
de ancorar o modelo da GSIC na visao sistemica e holstica em que o trabalho foi conce-
bido.

3.1 Os Antecedentes Hist


oricos

Os centros de pesquisas de novas tecnologias dos EUA e do Japao na decada de 80


propiciaram a explosao na ind
ustria da computacao, software e hardware, a integracao dos
computadores e telecomunicacoes, criando o conceito de TIC. Os contextos criados pela
utilizacao da TI na decada de 90 fomentaram o nascimento da Sociedade da Informacao,
que desencadeou uma nova forma de organizacao social, poltica e economica que recorre ao
intensivo uso da TIC para coleta, producao, processamento, transmissao e armazenamento
de informacoes (VIEIRA, 2007).

A Tecnologia da Informacao abrange hoje a microeletronica, a computacao (software


e hardware), as telecomunicacoes, a optoeletronica, a engenharia genetica e os processos
tecnologicos, onde a informacao e gerada, armazenada, recuperada, processada, transmi-
tida e descartada (VIEIRA, 2007).

3.2 A Seguranca da Informac


ao e Comunicac
ao

A Informacao consiste em dados ou conjunto de dados, processados ou nao, em qual-


quer suporte, e capaz de produzir conhecimento, podendo ser: imagem, som e documento
fsico ou eletronico. A informacao e o fator estrategico mais relevante, se comparada aos
recursos energeticos e naturais de um pas. A informacao e tambem um recurso ou ativo
estrategico de uma organizacao (VIEIRA, 2007).

Hoje no mundo, a Informacao e um importante vetor para a geracao de riquezas no


contexto da producao globalizado, levando a necessidade de se promover uma gestao
mais eficiente dos seus recursos, originando a nova especialidade da atividade humana
denominada Seguranca da Informacao e Comunicacoes (VIEIRA, 2007).

A Seguranca da Informacao e Comunicacao e area de conhecimento responsavel por


assegurar a disponibilidade, a integridade, a autenticidade e a confidencialidade das infor-
11

macoes institucionais, corporativas e pessoais, de forma a preservar seu valor intrnseco.


A Seguranca da Informacao e Comunicacao fundamenta-se nos seguintes propriedades
basilares:

Disponibilidade: propriedade de que as informacoes podem ser acessadas e utilizadas


por indivduos, equipamentos ou sistemas autorizados;

Integridade: propriedade de que as informacoes nao foram modificadas, inclusive


quanto `a origem e ao destino;

Autenticidade: propriedade de que as informacoes foram produzidas, expedidas,


recebidas ou modificadas por determinado indivduo, equipamento ou sistema;

Confidencialidade: propriedade de que as informacoes nao foram acessadas por pes-


soas, equipamentos ou sistemas nao autorizados. Mais recentemente outros dois
objetivos tem sido bastante discutidos:

Irretratabilidade (ou Nao Rep


udio): propriedade de que as informacoes estao ga-
rantidas quanto a autoria em determinadas acoes e impede o rep
udio (a negacao)
da mesma;

Legalidade (ou Conformidade): propriedade de que as informacoes estao garantidas


quanto com relacao a medidas legais cabveis e aplicadas quando necessarias.

A Informacao associada aos processos de apoio, aos sistemas de telecomunicacoes


e a`s redes torna-se importante ativo para os negocios e para a infra-estrutura de um
pas. Os princpios de: confidencialidade, integridade, disponibilidade e autenticidade
da informacao podem ser essenciais para preservar a competitividade, o faturamento, a
lucratividade, o atendimento aos requisitos legais e `a imagem da organizacao ou do pas
(VIEIRA, 2007).

Cada vez mais as organizacoes, seus sistemas de informacao e redes de computadores


sao colocados `a prova por diversos tipos de ameacas `a seguranca da informacao, incluindo
fraudes eletronicas, roubo de informacao, espionagem, sabotagem, vandalismo, fogo, inun-
dacao e outros acidentes. Problemas causados por vrus, worms, hackers, crackers,
empregados insatisfeitos ou ex-empregados, programas maliciosos e ataques de Denial of
Service (DoS) estao se tornando cada vez mais comuns, mais freq
uentes e incrivelmente
mais sofisticados (NAKAMURA; LIMA, 2004).
12

3.3 A Protec
ao da Infra-estrutura Crtica

No contexto no qual a interdependencia entre diferentes infra-estruturas crticas e


cada vez maior, a preocupacao com a sua protecao e inegavel. Muitos pases ja tomaram
consciencia da importancia da Seguranca da Informacao e Telecomunicacoes e muitos deles
possuem trabalhos especficos sobre o assunto, possuindo inclusive orgaos governamentais
responsaveis exclusivamente por essa protecao. No Brasil o DSIC, o CEPESC e o CGSI,
orgaos do GSI da Presidencia da Rep
ublica sao os responsaveis por essa protecao. O GSI
da PR tem a responsabilidade de promover a Seguranca da Informacao e Telecomunicacoes
no ambito da APF e em consonancia com os esquemas normativos internacionais dos quais
e participante e colaborador. A figura 3.1 representa o mapa conceitual do risco `a infra-
estrutura crtica.

Figura 3.1: Mapa conceitual do risco `a infra-estrutura crtica

A abordagem com que a Seguranca da Informacao e Comunicacao e tratada varia de


pas para pas; alguns a destacam em termos de uma infra-estrutura crtica, a informacao
e a prioridade, o que e justificado pela variedade de servicos basicos que possuem depen-
dencia da infra-estrutura de rede: os servicos de emergencia, os sistemas de navegacao
para trafego aereo e entregas, a distribuicao de energia eletrica e os sistemas de controle
de agua (NAKAMURA; LIMA, 2004).
13

3.4 A Gest
ao da Seguranca da Informac
ao e Comunica-
c
ao

Alguns modelos de Gestao da Seguranca da Informacao e Comunicacao sao de co-


nhecimento mundial e tem servido de referencia para organizacoes e pases, permitindo
o aperfeicoamento e a criacao de modelos adequados para as necessidades especficas.
Dentre eles, podemos citar a ABNT NBR ISO/IEC 27002:2005 (Codigo de Pratica para a
Gestao da Seguranca da Informacao), ABNT NBR ISO/IEC 27001:2006 (Sistema de Ges-
tao da Seguranca da Informacao Requisitos), ISO/IEC 27005:2008 (Gestao de Risco
de Seguranca da Informacao) e o ITIL Security Management Process. Embora estas refe-
rencias estejam disponveis, a adocao de um modelo de gestao nao e uma tarefa simples e
imediata, requer um conjunto de acoes coordenadas, constantes e gradativas, com o apoio
executivo, orcamento, tecnologia, e, o mais importante, requer pessoas conscientizadas.

A Gestao da Seguranca da Informacao e Comunicacao refere-se ao processo de desen-


volver, implementar, direcionar e monitorar as estrategias e a atividade de seguranca da
organizacao.

A seguranca e um problema organizacional que precisa ser considerado e tratado de


forma integrada com os seus componentes estrategicos. No entanto muitas organizacoes
adotam uma abordagem centrada na tecnologia. Uma abordagem independente da tec-
nologia leva `a necessidade da Gestao do Risco, pois existe a tendencia das organizacoes
em caracterizar os problemas de seguranca em termos tecnicos, geralmente ignorando as
falhas operacionais e de gestao que podem ser as reais causa raiz ou fator contribuinte.
Por outro lado, a convergencia dessas metodologias pode propiciar resultados satisfato-
rios como apoio a` tomada de decisao, considerando principalmente o contexto atual da
chamada sociedade do conhecimento: rapidas mudancas, elevado grau de incertezas e uso
intensivo das Tecnologias de Informacao e Comunicacao TIC (CANONGIA et al., 2001).

3.5 O Modelo de Gest


ao de Seguranca

A formulacao do Modelo de Gestao da Seguranca da Informacao e Comunicacao deve


ser considerada como uma acao estrategica, estabelecendo um conjunto de recursos e prin-
cpios nos quais projetos devem ser priorizados e gerenciados, com o objetivo de atingir
as determinacoes e orientacoes de uma Poltica de Seguranca. O Modelo de Gestao da
Seguranca deve estar integrado ao planejamento orcamentario e estrategico da organiza-
14

cao (GT-2005, 2006).


preciso ter clareza que o Modelo de Gestao Estrategico nao e a razao de existencia
E
da organizacao. Um dos propositos e o fornecimento de servicos de seguranca e suporte
para o negocio. O Modelo de Gestao Estrategico nao e um produto que visa gerar lucros.
Deve ser entendido como um processo que agrega valor e minimiza os custos para a
organizacao (CANONGIA et al., 2001).

3.6 A Gest
ao do Risco no Modelo de GSIC

A evolucao de um Modelo de Seguranca baseado em Gestao de Risco permite uma vi-


sao mais acurada do nvel de seguranca adequado ao negocio, que nao pode ser alcancado
considerando-se apenas os aspectos da infra-estrutura tecnica. A organizacao estara tendo
uma falsa sensacao de seguranca se concentrar suas acoes de seguranca apenas na infra-
estrutura tecnica. A seguranca e um problema organizacional que precisa ser considerado
e tratado de forma integrada com os seus componentes estrategicos. No entanto mui-
tas organizacoes adotam uma abordagem centrada na tecnologia (NAKAMURA; LIMA,
2004).

A Gestao de Riscos e um dos processos de gestao das organizacoes e depende do


contexto em que e utilizada. Desta forma. A ABNT ISO/IEC Guia 73:2005 (Gestao de
Riscos - Vocabulario - Recomendacoes para uso em normas) (ABNT, 2005a) fornece uma
referencia para a coerencia da terminologia adotada, quando na introducao declara-se que:

Todos os tipos de empreendimentos se deparam com situacoes (ou even-


tos) que constituem oportunidades de benefcio ou ameacas ao seu su-
cesso. Oportunidades podem ser aproveitadas ou ameacas podem ser
reduzidas por uma gestao efetiva. Em certos campos, tal como o fi-
nanceiro, a gestao de riscos trata das flutuacoes monetarias como uma
oportunidade de ganhos ou como um potencial de perda. Conseq uente-
mente, o processo de gestao de riscos e cada vez mais reconhecido como
sendo relacionado aos aspectos positivos e negativos dessas incertezas.
Este Guia trata a gestao de riscos, tanto da perspectiva positiva como
da negativa (ABNT, 2005a).

A Gestao de Riscos se constitui no processo fundamental da Gestao da Seguranca; nao


se faz seguranca sem gerenciar os riscos. A Gestao de Risco de Seguranca da Informacao
e o processo de identificar e avaliar os riscos, reduzindo-os a um nvel aceitavel e imple-
mentando os mecanismos para a manutencao deste nvel. Quando se trata de riscos de
seguranca da informacao, estamos interessados naqueles eventos que enderecam a` quebra
15

dos princpios basicos da seguranca da informacao: integridade, disponibilidade, confiden-


cialidade e autenticidade. Os controles ou salvaguardas de seguranca devem sempre ser
adotados como conseq
uencia da avaliacao dos riscos. A abordagem da gestao de riscos
tambem depende da cultura de seguranca da organizacao.

Segundo a ABNT NBR ISO/IEC 27002:2005, os gastos com a implementacao de con-


troles de seguranca precisam ser balanceados de acordo com os danos aos negocios causados
por potenciais falhas na seguranca da informacao, os quais devem ser identificados por
meio de uma analise/avaliacao sistematica e periodica dos riscos de seguranca.
na fase de analise e avaliacao que sao identificadas as ameacas aos ativos e as
E
vulnerabilidades destes, e sera realizada a estimativa das probabilidades da ocorrencia
das ameacas e dos impactos potenciais aos negocios.

Os resultados da analise/avaliacao de riscos irao ajudar a direcionar e a determinar as


acoes gerenciais apropriadas e as prioridades na implementacao dos controles para a pro-
na fase do tratamento de riscos que sao definidos os controles
tecao contra estes riscos. E
a serem utilizados e estes controles podem ser escolhidos a partir desta norma, baseados
tanto em requisitos legais como nas melhores praticas de seguranca para confrontar as
ameacas mapeadas.

Dois outros conceitos citados pela norma podem ser mais bem explicitados com a
ajuda da ABNT NBR ISO/IEC 27002:2005.

1. Ameaca: causa potencial de um incidente que pode resultar em dano para o sistema
ou para a organizacao.

2. Vulnerabilidade: fraqueza de um ativo ou grupo de ativos que pode ser explorada


por uma ou mais ameacas.

Quando se trata de riscos, estamos apontando para o estudo das ameacas que exploram
as vulnerabilidades existentes nos ativos ou sistemas e nos impactos decorrentes para os
processos de negocios associados a esses ativos. Basicamente os riscos podem ser evitados,
reduzidos, transferidos ou aceitos, mas nunca ignorados. Um plano de acao deve ser
definido e controlado para a implementacao das salvaguardas, de forma a garantir que os
riscos serao efetivamente mitigados.

Outro ponto a destacar no tratamento de riscos e o custo benefcio. O custo decor-


rente da reducao de um risco nao deve ser maior do que o custo da exposicao ao risco.
Para garantir que os riscos estao controlados e se mantem dentro do nvel definido como
16

aceitavel, devem ser realizadas avaliacoes periodicas. Isto porque uma reducao de risco
fornece subsdios para a acao conjunta do processo de gestao da informacao e gestao do
conhecimento, ambas em apoio as estrategia e missao organizacional, e que apresentam
para o processo de tomada de decisao uma propriedade emergente que e a inteligencia
institucional (TARAPANOFF, 2004).

3.7 A Governanca de TI e a GSIC

A Governanca de TI e uma estrutura de relacionamentos e processos para dirigir e con-


trolar a organizacao no atingimento dos objetivos desta organizacao, adicionando valor,
ao mesmo tempo em que equilibra os riscos em relacao ao retorno da TI e seus processos,
ou de uma outra forma; a Governanca de TI e de responsabilidade da alta administracao
(incluindo diretores e executivos), na lideranca, nas estruturas organizacionais e nos pro-
cessos que garantem que a TI da empresa sustente e estenda as estrategias e objetivos da
organizacao (FERNANDES; ABREU, 2008).

Nas duas u
ltimas decadas na area de governanca de TI vem surgindo e sendo elaborada
uma serie de modelos de melhores praticas para a TI. Alguns desses modelos sao originais
e alguns sao derivados e/ou evoludos de outros modelos. Os modelos estao listados na
tabela 3.1 (FERNANDES; ABREU, 2008).

Os modelos referenciados sao modelos de melhores praticas para a implementacao


da Governanca de TI, contudo, existem gaps a serem resolvidos. A natureza desses
gaps encontram-se no alinhamento estrategico e na decisao, compromisso, priorizacao
e alocacao de recursos. Por isso a tendencia para um modelo mais abrangente como o
COBIT, que busca o compromisso com o concurso de outros modelos como ITIL, PMBOK,
ISO 2001, CMMI etc. (FERNANDES; ABREU, 2008)

Para a implantacao de um SGSIC buscamos por meio do PMBOK o preenchimento do


gap da implantacao do modelo de GSIC na APF no modelo do GT-2005 (FERNANDES;
ABREU, 2008).
17

Modelo de melhores pr
aticas Escopo do modelo
Modelo abrangente aplicavel para a auditoria
Control Objectives for Informa-
e controle de processos de TI, desde o plane-
tion and Related Technology (CO-
jamento da tecnologia ate a monitoracao e
BIT)
auditoria de todos os processos.
Modelo para a gestao do valor e investimento
Val IT
em TI.
Desenvolvimento de produtos e projetos de
Capability Maturity Model Inte-
sistemas e software.
gration (CMMI)
Infra-estrutura de tecnologia da informacao
Information Technology Infras-
(definicao estrategica, desenho, transicao,
tructure Library (ITIL)
operacao e melhoria contnua do servico).
Seguranca da informacao
ISO/IEC 27001 e ISO/IEC 27002
Codigo de pratica para a ges-
tao da seguranca da informacao
Sistemas de qualidade, ciclo de vida de soft-
Modelos International Standardi-
ware, teste de software etc.
zation Organization (ISO)
Outsourcing em servicos que usam TI de
The eSourcing Capability Model
forma interativa
for Service Providers (eSCM-SP)
Conjunto de praticas para que o cliente de-
The eSourcing Capability Model
fina a estrategia e o gerenciamento do out-
for Client Organizations (eSCM-
sourcing de servicos de TI ou fortemente ba-
CL)
seados em TI.
Metodologia de gerenciamento de projetos.
Project in Controlled Environ-
ment (PRINCE2)
Modelo de maturidade para o gerenciamento
Portfolio, Programme & Pro-
de projetos, programas e portfolios.
ject Management Maturity Model
(P3M3)
Base de conhecimento em gestao de projetos.
Project Management Body of
Knowledge (PMBOK)
Modelo de maturidade para o gerenciamento
Organizational Project Manage-
de projetos.
ment Maturity Model (OPM3)
Metodologia de planejamento e gestao da es-
Balanced Scorecard (BSC) trategia.
Metodologia para o melhoramento da quali-
6
dade de processos.
Modelo para o desenvolvimento e implemen-
The Open Group Architecture
tacao de arquiteturas de negocios, aplicacoes
Framework (TOGAF)
e tecnologia.
Regras de auditoria para empresas de servi-
Statement on Auditing Standards
cos.
for Services Organizations (SAS
70)

Tabela 3.1: Principais modelos de melhores praticas (FERNANDES; ABREU, 2008)


18

4 A Abordagem do PMBOK para o


Gerenciamento de Projetos

O objetivo do Guia PMBOK e identificar o subconjunto do conjunto maior de co-


nhecimentos em gerenciamento de projetos que e amplamente reconhecido como boas
praticas, pois procura a soma dos conhecimentos intrnsecos `a profissao de gerenciamento
de projetos.

Um conjunto de conhecimentos em gerenciamento de projetos inclui praticas tradicio-


nais comprovadas amplamente aplicadas, alem de praticas inovadoras que estao surgindo
na profissao, inclusive materiais publicados e nao publicados, esse conjunto de conheci-
mentos em gerenciamento de projetos esta em constante evolucao. A abordagem do Guia
PMBOK ancora-se nos seguintes conceitos;

Identificar significa fornecer uma visao geral, e nao uma descricao completa;

Amplamente reconhecido significa que o conhecimento e as praticas descritas sao


aplicaveis a` maioria dos projetos na maior parte do tempo, e que existe um consenso
geral em relacao ao seu valor e sua utilidade; e

Boas praticas significa que existe acordo geral de que a aplicacao correta dessas
habilidades, ferramentas e tecnicas podem aumentar as chances de sucesso em uma
ampla serie de projetos diferentes.

Uma boa pratica nao significa que o conhecimento descrito devera ser sempre aplicado
uniformemente em todos os projetos; a equipe de gerenciamento de projetos e responsavel
por determinar o que e adequado para um projeto especfico.

Grande parte do conhecimento e muitas das ferramentas e tecnicas usadas para ge-
renciar projetos sao exclusivas do gerenciamento de projetos, como estruturas analticas
do projeto, analise do caminho crtico e gerenciamento de valor agregado. No entanto, o
19

entendimento e a aplicacao do conhecimento, das habilidades, das ferramentas e das tec-


nicas amplamente reconhecidas como boa pratica nao sao suficientes isoladamente para
um gerenciamento de projetos eficaz. Um gerenciamento de projetos eficaz exige que a
equipe de gerenciamento de projetos entenda e use o conhecimento e as habilidades de
pelo menos cinco areas de especializacao (CANEDO, 2007):

Conhecimento do conjunto de conhecimentos em gerenciamento de projetos;

Conhecimento, normas e regulamentos da area de aplicacao;

Entendimento do ambiente do projeto;

Conhecimento e habilidades de gerenciamento geral;

Habilidades interpessoais.

Figura 4.1: Conjunto de conhecimento em gerencia de projetos (PMI, 2004a)

A figura 4.1 ilustra a relacao entre essas cinco areas de especializacao. Embora pos-
sam parecer elementos distintos, em geral elas se sobrepoem; nenhuma delas pode existir
sozinha. Equipes de projeto eficazes as integram em todos os aspectos de seu projeto.
Nao e necessario que todos os membros da equipe do projeto sejam especialistas em todas
20

as cinco areas. Na verdade, e improvavel que qualquer pessoa tenha todo o conhecimento
e as habilidades necessarias para o projeto. No entanto, e importante que a equipe de ge-
renciamento de projetos tenha total conhecimento do Guia PMBOK e esteja familiarizada
com os conhecimentos apresentados no Conjunto de Conhecimentos em Gerenciamento
de Projetos e com as outras quatro areas de gerenciamento para que possa gerenciar um
projeto de maneira eficaz.

4.1 O Guia PMBOK

A abordagem do gerenciamento de projetos demonstra-se como fator crtico de su-


cesso para os empreendimentos nesses de contextos mudanca e de superacao de expecta-
tiva (PMI, 2004a). A area de TIC nas duas u
ltimas decadas tem apresentado uma grande
evolucao em diversas areas de conhecimento, criando necessidades, principalmente nas
areas de gestao e de gerenciamento de projetos. Essas necessidades estao ligadas a varios
fatores, mas tres sao essenciais para mudancas nas formas de planejar, projetar, usar e
extrair benefcios da TIC:

1. a evolucao dos modelos de gestao aceitos internacionalmente;

2. a convergencia tecnologica que permite a integracao desses modelos em ambientes


organizacionais reais; e

3. o uso de indicadores da Governanca nas praticas de Gestao de TIC.

Atualmente, a abordagem do gerenciamento de projetos mais bem sucedida esta mape-


ada em padroes, terminologia e um elenco de boas praticas em um guia nomeado PMBOK
Guide, o Corpo de Conhecimento em Gerencia de Projetos. O Guia PMBOK e um padrao
internacionalmente aceito.

O PMBOK e um guia de conhecimento e de melhores praticas para a profissao de


Gerencia de Projetos foi aprovada como padrao a nvel governamental pela American
National Standards Institute (ANSI) nos Estados Unidos (PMI, 2004b).

Re
une o conhecimento comprovado internacionalmente na area de gerencia de proje-
tos, atraves das praticas tradicionais e praticas inovadoras e avancadas. Fornece um guia
generico para todas as areas de projetos, seja uma obra da construcao civil, um processo
de fabricacao industrial ou a producao de software. Destaca-se no aspecto da padronizacao
dos termos utilizados na gerencia de projetos (RALHA; G, 2007).
21

O PMBOK e uma formulacao do Project Management Institute (PMI), organizacao


que estabelece padroes, prove seminarios, programas educacionais e certificacao profissio-
nal para as organizacoes nas exigencias de gerenciamento de projetos.

O PMI teve a sua fundacao em 1969 tornou-se atualmente uma organizacao reconhe-
cida internacionalmente como a organizacao dos profissionais de gerencia de projetos,
com cerca de 80.000 membros em todo o mundo. O PMI e a organizacao mais importante
da area de gerenciamento de projetos (ROCHA, 2004).

4.2 Os Conceitos do PMBOK

Este trabalho esta baseado no PMBOK e os conceitos necessarios e desenvolvidos


foram extrados de (PMI, 2004b). Uma breve descricao e desenvolvida a seguir para fins
de coerencia e compreensao do trabalho elaborado.

Segundo o Guia PMBOK, um projeto e um esforco temporario empreendido para


criar um produto, servico ou resultado exclusivo (PMI, 2004a). Um projeto e um em-
preendimento com caractersticas proprias, tendo princpio e fim, conduzido por pessoas,
para atingir metas estabelecidas dentro de parametros de prazo, custos e qualidade. Ele
e um empreendimento temporario cujo objetivo e criar um produto ou servico distinto e
u
nico.

Os projetos sao diferentes dos processos ou operacoes, porque o projeto termina


quando seus objetivos especficos foram atingidos, enquanto as operacoes adotam um
novo conjunto de objetivos e o trabalho continua. Os projetos sao realizados em todos os
nveis da organizacao e podem envolver uma u
nica pessoa ou varias. Sua duracao varia
de poucas semanas a varios anos. Exemplos de projetos incluem, mas nao se limitam a:

1. Desenvolvimento de um novo produto ou servico;

2. Efetuar uma mudanca de estrutura, de pessoal ou de estilo de uma organizacao;

3. Projeto de um novo veculo;

4. Desenvolvimento ou aquisicao de um sistema de informacoes novo ou modificado;

5. Construcao de um predio ou instalacao;

6. Construcao de um sistema de abastecimento de agua para uma comunidade;


22

7. Realizar uma campanha por um cargo poltico;

8. Implementacao de um novo procedimento ou processo de negocios; e

9. Atender a uma clausula contratual (CANEDO, 2007).

A gerencia e a acao que consiste em executar atividades e tarefas que tem como
proposito planejar e controlar atividades de outras pessoas para atingir objetivos que nao
podem ser alcancados caso as pessoas atuem individualmente ou sem coordenacao.

O gerente de projetos e a pessoa responsavel pela realizacao dos objetivos do pro-


jeto (PMI, 2004a).

O gerente de projetos e o profissional responsavel pelo gerenciamento, administracao


e controle de projetos, e tambem chamado de chefe da equipe de projeto. As acoes que
afetam o projeto decorrem principalmente das decisoes do gerente.

Partes interessadas no projeto sao pessoas e organizacoes ativamente envolvidas no


projeto ou cujos interesses podem ser afetados como resultado da execucao ou do termino
do projeto. Eles podem tambem exercer influencia sobre os objetivos e resultados do
projeto. A equipe de gerenciamento de projetos precisa identificar as partes interessa-
das, determinar suas necessidades e expectativas e, na medida do possvel, gerenciar sua
influencia em relacao aos requisitos para garantir um projeto bem sucedido (PMI, 2004a).

O gerenciamento de projetos e a aplicacao de conhecimento, habilidades, ferramentas


e tecnicas a`s atividades do projeto a fim de atender aos seus requisitos. O gerenciamento
de projetos e realizado atraves da aplicacao e da integracao dos seguintes processos de
gerenciamento de projetos: iniciacao, planejamento, execucao, monitoramento e controle,
e encerramento (PMI, 2004a). A figura 4.2 apresenta o grafico da relacao entre as fases
do projeto.

O ciclo de vida do projeto define as fases que conectam o incio de um projeto ao seu
final, quando uma organizacao identifica uma oportunidade que deseja aproveitar, podera
autorizar um estudo de viabilidade para decidir se deve realizar o projeto, desta forma,
a definicao do ciclo de vida do projeto pode ajudar o gerente de projetos a esclarecer se
deve tratar o estudo de viabilidade como a primeira fase do projeto ou como um projeto
autonomo separado (PMI, 2004a).

A abordagem de ciclo de vida para o projeto ajuda a administrar a complexidade


organizada que e o gerenciamento de projetos e suas areas de conhecimento (CANEDO,
2007).
23

Figura 4.2: A relacao entre as fases do projeto (PMI, 2004a)

4.3
As Areas de Conhecimento do PMBOK

Uma area identificada de gerenciamento de projetos definida por seus requisitos de


conhecimentos e descrita em termos dos processos que a compoem, suas praticas, entradas,
sadas, ferramentas e tecnicas (PMI, 2004a).

O PMBOK e organizado em areas e conhecimento, onde cada uma destas areas e


descrita atraves de processos. Cada area de conhecimento se refere a um aspecto a ser
considerado dentro da gerencia de projetos. A nao execucao de um dado processo de uma
area afeta negativamente o projeto, pois o projeto e um esforco integrado.

Sao nove as areas de conhecimento do PMBOK:

1. Gerenciamento de Integracao do Projeto;

2. Gerenciamento do Escopo do Projeto;

3. Gerenciamento de Tempo do Projeto;

4. Gerenciamento de Custos do Projeto;

5. Gerenciamento da Qualidade do Projeto;

6. Gerenciamento de Recursos Humanos do Projeto;

7. Gerenciamento das Comunicacoes do Projeto;


24

8. Gerenciamento de Riscos do Projeto; e

9. Gerenciamento de Aquisicoes do Projeto.

4.3.1 O Gerenciamento da Integrac


ao

A area de conhecimento em gerenciamento de integracao do projeto inclui os proces-


sos e as atividades necessarias para identificar, definir, combinar, unificar e coordenar os
diversos processos e atividades de gerenciamento de projetos dentro dos grupos de pro-
cessos de gerenciamento de projetos. Os processos de gerenciamento da integracao do
projeto incluem os seguintes: desenvolver o termo de abertura do projeto, desenvolver
a declaracao do escopo preliminar do projeto, desenvolver o plano de gerenciamento do
projeto, orientar e gerenciar a execucao do projeto, monitorar e controlar o trabalho do
projeto, controle integrado de mudancas e encerrar o projeto (PMI, 2004a). A figura 4.3
apresenta o mapa mental do Gerenciamento de Integracao.

Figura 4.3: Mapa mental do Gerenciamento da Integracao (PMI, 2004a)

O processo de desenvolvimento do termo de abertura do projeto autoriza formal-


mente um projeto ou uma fase do projeto;

O processo de desenvolvimento da declaracao do escopo preliminar do projeto for-


nece uma descricao de alto nvel do escopo do projeto;

O processo de desenvolvimento do plano de gerenciamento do projeto documenta


as acoes necessarias para definir, preparar, integrar e coordenador todos os planos
auxiliares em um plano de gerenciamento do projeto;

O processo de orientar e gerenciar a execucao do projeto realiza o trabalho definido


no plano de gerenciamento do projeto para atingir os requisitos do projeto definidos
na declaracao do escopo do projeto;
25

O processo de monitorar e controlar o trabalho do projeto monitora e controla os


processos usados para iniciar, planejar, executar e encerrar um projeto para atender
aos objetivos de desempenho definidos no plano de gerenciamento do projeto;

O processo de controle integrado de mudancas faz a revisao de todas as solicitacoes


de mudanca, aprovacao de mudanca e controle de mudancas nos produtos e ativos
de processos organizacionais; e

O processo de encerramento do projeto faz a finalizacao de todas as atividades em


todos os grupos de processos de gerenciamento de projetos para encerrar formal-
mente o projeto ou uma de suas fases.

Esse processo tem como sada principal o plano global do projeto. Este plano e o
documento que descreve os procedimentos a serem conduzidos durante a sua execucao.
o esqueleto (framework ) de toda a execucao. Nele estao contidos os planos secunda-
E
rios, cronogramas, aspectos tecnicos e outros documentos e informacoes para a equipe de
projeto.

4.3.2 O Gerenciamento de Escopo

O gerenciamento do escopo do projeto inclui os processos necessarios para garantir


que o projeto inclua todo o trabalho necessario, e somente ele, para terminar o projeto
com sucesso. O escopo pode ser dividido em: escopo funcional, escopo tecnico e escopo
de atividade.

O escopo funcional e o conjunto de caractersticas funcionais do produto, ou servico, a


ser desenvolvido pelo projeto, tais como capacidade, mercado, filosofia etc. Normalmente
estas caractersticas sao direcionadas ao cliente e sao tambem denominadas requisitos
funcionais.

O escopo tecnico e composto das caractersticas tecnicas do projeto, destacando os


padroes e as especificacoes a serem utilizadas, normas legais a serem obedecidas, procedi-
mentos de qualidade (ISO) etc. Normalmente estas caractersticas sao direcionadas para
a equipe do projeto e sao tambem denominados requisitos tecnicos.

O escopo de atividades e o trabalho a ser realizado para prover os escopos tecnico


e funcional do produto, ou servico, do projeto, normalmente evidenciado nas Estrutura
Analtica do Projeto (EAP)s. O gerenciamento do escopo do projeto trata principalmente
da definicao e controle do que esta e do que nao esta includo no projeto.
26

A EAP, ou Work Breakdown Structure (WBS), e uma decomposicao hierarquica ori-


entada a` entrega do trabalho a ser executado pela equipe do projeto para atingir os
objetivos do projeto e criar as entregas necessarias. Ela organiza e define o escopo total
do projeto. Cada nvel descendente representa uma definicao cada vez mais detalhada
do trabalho do projeto. A EAP e decomposta em pacotes de trabalho. A orientacao da
hierarquia para a entrega inclui entregas internas e externas, a EAP e base para as outras
estruturas analticas no projeto, listadas abaixo:

1. Estrutura Analtica do Projeto Contratado;

2. Estrutura Analtica do Resumo do Projeto;

3. Estrutura Analtica dos Recursos do Projeto; e

4. Estrutura Analtica dos Riscos do Projeto.

A Estrutura Analtica do Projeto Contratado (EAPC), ou Contract Work Breakdown


Structure (CWBS), e uma parte da estrutura analtica o para o projeto desenvolvida
e mantida por um fornecedor que assina contrato para fornecer um subprojeto ou um
componente do projeto (PMI, 2004a).

A Estrutura Analtica do Resumo do Projeto (EARP), ou Project Summary Work


Breakdown Structure (PSWBS), e uma estrutura analtica do projeto que e desenvolvida
somente ate o nvel de detalhe do subprojeto dentro de algumas ramificacoes da EAP, e
onde os detalhes desses subprojetos sao fornecidos para que sejam usados pelas estruturas
analticas do projeto contratado (PMI, 2004a).

A Estrutura Analtica dos Recursos (EARs), ou Resource Breakdown Structure


(RBSs), e uma estrutura hierarquica de recursos por categoria de recursos e tipo de re-
cursos usada em cronogramas de nivelamento de recursos e para desenvolver cronogramas
limitados por recursos, e que pode ser usada para identificar e analisar designacoes de
recursos humanos do projeto (PMI, 2004a).

A Estrutura Analtica dos Riscos (EARc), ou Risk Breakdown Structure (RBSr), e


uma representacao organizada hierarquicamente dos riscos identificados do projeto or-
denados por categoria e subcategoria de risco que identifica as diversas areas e causas
de riscos potenciais. A estrutura analtica dos riscos geralmente e adaptada para tipos
especficos de projetos (PMI, 2004a).

O Dicionario da Estrutura Analtica do Projeto (DEAP), tambem chamado de Work


Breakdown Structure Dictionary (WBSD), e um documento que descreve cada compo-
27

nente da EAP. Para cada componente da EAP, o dicionario da EAP. inclui uma breve
definicao do escopo ou declaracao do trabalho, entrega(s) definida(s), uma lista de ativi-
dades associadas e uma lista de marcos. Outras informacoes podem incluir: organizacao
responsavel, datas de incio e de conclusao, recursos necessarios, uma estimativa de cus-
tos, n
umero de cobranca, informacoes do contrato, requisitos de qualidade e referencias
tecnicas para facilitar o desempenho do trabalho (PMI, 2004a).

Os processos de gerenciamento do escopo do projeto incluem os seguintes: plane-


jamento do escopo, definicao do escopo, criacao das EAP (PMI, 2004a). A figura 4.4
apresenta o mapa mental do Gerenciamento de Escopo.

Figura 4.4: Mapa mental do Gerenciamento de Escopo (PMI, 2004a)

O processo de planejamento do escopo elabora um plano de gerenciamento do escopo


do projeto que documenta como o escopo do projeto sera definido, verificado e
controlado e como a estrutura analtica do projeto EAP sera criada e definida;

O processo de definicao do escopo desenvolve uma declaracao de escopo do projeto


como a base para futuras decisoes do projeto;

O processo de criacao da EAP faz a subdivisao dos principais produtos do projeto


e do trabalho do projeto em componentes menores e mais facilmente gerenciaveis;

O processo de verificacao do escopo faz a formalizacao da aceitacao dos produtos


do projeto que foram concludos; e

O processo de controle de escopo faz o controle das mudancas no escopo do projeto.

Esse conjunto de processos tem como sada principal o plano de gerenciamento do es-
copo. Este plano e o documento formal que descreve os procedimentos que serao utilizados
para gerenciar todo o escopo do projeto.
28

4.3.3 O Gerenciamento de Tempo

O gerenciamento de tempo do projeto inclui os processos necessarios para realizar o


termino do projeto no prazo. Os processos de gerenciamento de tempo do projeto incluem
os seguintes: definicao de atividade, seq
uenciamento de atividades, estimativa de recursos
de atividades, desenvolvimento do cronograma e controle do cronograma (PMI, 2004a).
A figura 4.5 apresenta o mapa mental do Gerenciamento de Tempo.

Figura 4.5: Mapa mental do Gerenciamento de Tempo (PMI, 2004a)

O processo de definicao da atividade identifica as atividades especificas do crono-


grama que precisam ser realizadas para produzir os varios produtos do projeto;

O processo de seq
uenciamento de atividades identifica e documenta as dependencias
entre as atividades do cronograma;

O processo de estimativa de recursos da atividade faz a estimativa do tipo e das


quantidades de recursos necessarios para realizar cada atividade do cronograma.

O processo de estimativa de duracao de atividade faz a estimativa do n


umero de
perodos de trabalho que serao necessarios para terminar as atividades individuais
do cronograma;

O processo de desenvolvimento do cronograma faz a analise dos recursos necessa-


rios, restricoes do cronograma, duracoes e seq
uencias de atividades para criar o
cronograma do projeto; e

O processo de controle do cronograma faz o controle das mudancas no cronograma


do projeto.

Esse processo tem como sada principal o plano de gerenciamento do cronograma, ele
e o documento formal que descreve os procedimentos que serao utilizados para gerenciar
todos os prazos do projeto.
29

4.3.4 O Gerenciamento de Custos

O gerenciamento de custos do projeto inclui os processos envolvidos em planejamento,


estimativa, orcamentacao e controle de custos, de modo que seja possvel terminar o
projeto dentro do orcamento aprovado.

Os processos de gerenciamento de custo do projeto incluem os seguintes: estimativa


de custos, orcamentacao e controle de custos (PMI, 2004a). A figura 4.6 apresenta o mapa
mental do Gerenciamento de Custos.

Figura 4.6: Mapa mental do Gerenciamento de Custos (PMI, 2004a)

O processo de estimativa de custos desenvolve uma estimativa dos custos dos recur-
sos necessarios para terminar as atividades do projeto;

O processo de orcamentacao faz a agregacao dos custos estimados de atividades


individuais ou dos pacotes de trabalho para estabelecer uma linha de base dos custos,
importante para o controle da restricao desse fator no projeto e do impacto no
relacionamento global; e

O processo de controle de custos faz o controle dos fatores que criam as variacoes
de custos e controles das mudancas no orcamento do projeto.

Esse conjunto de processos tem como sada principal o plano de gerenciamento de cus-
tos. Este plano e o documento formal que descreve os procedimentos que serao utilizados
para gerenciar todos os custos do projeto.

4.3.5 O Gerenciamento de Qualidade

Os processos de gerenciamento da qualidade do projeto incluem todas as tividades da


organizacao executora que determinam as responsabilidades, os objetivos e as polticas
de qualidade, de modo que o projeto atenda a`s necessidades que motivaram sua reali-
zacao. Eles implementam o sistema de gerenciamento da qualidade atraves da poltica,
30

dos procedimentos e dos processos de planejamento da qualidade, garantia da qualidade


e controle da qualidade, com atividades de melhoria contnua dos processos conduzidas
do incio ao fim, conforme adequado.

Os processos de gerenciamento da qualidade do projeto incluem os seguintes: planejar


da qualidade, realizar a garantia da qualidade, realizar o controle da qualidade (PMI,
2004a). A figura 4.7 apresenta o mapa mental do Gerenciamento de Qualidade.

Figura 4.7: Mapa mental do Gerenciamento da Qualidade (PMI, 2004a)

O processo de planejamento da qualidade faz a identificacao dos padroes de quali-


dade relevantes para o projeto e a determinacao de como satisfaze-los;

O processo da realizacao da garantia da qualidade faz a aplicacao das atividades de


qualidade planejadas e sistematicas para garantir que o projeto empregue todos os
processos necessarios para atender aos requisitos;

O processo de controle da qualidade faz monitoramento dos resultados especficos


do projeto a fim de determinar se eles estao de acordo com os padroes relevantes de
qualidade e identificacao de maneiras para eliminar as causas de um desempenho
insatisfatorio; e

O processo de orientar e gerenciar a execucao do projeto faz atualizacao das acoes


corretivas e preventivas recomendadas e o reparo de defeito recomendado concluindo
com os produtos validados.

Esse processo tem como sada principal o plano de gerenciamento da qualidade. Ele
e o documento formal que descreve os procedimentos que serao utilizados para gerenciar
todos os aspectos da qualidade do projeto.
31

4.3.6 O Gerenciamento de Recursos Humanos

O gerenciamento de recursos humanos do projeto inclui os processos que organizam e


gerenciam a equipe do projeto. A equipe do projeto e composta de pessoas com funcoes e
responsabilidades atribudas desde o incio ate o termino do projeto. Embora seja comum
falar-se de funcoes e responsabilidades atribudas, os membros da equipe devem estar
envolvidos em grande parte do planejamento e da tomada de decisoes do projeto.

O envolvimento dos membros da equipe desde o incio acrescenta especializacao du-


rante o processo de planejamento e fortalece o compromisso com o projeto. O tipo e o
n
umero de membros da equipe do projeto muitas vezes pode mudar conforme o projeto
se desenvolve. Os membros da equipe do projeto podem ser chamados de pessoal do
projeto.

A equipe de gerenciamento de projetos e um subconjunto da equipe do projeto e e


responsavel pelas atividades de gerenciamento de projetos, como planejamento, controle e
encerramento. Esse grupo de pessoas pode ser chamado de equipe principal, executiva
ou lder.

Os processos de gerenciamento de recursos humanos do projeto incluem: planejamento


dos recursos humanos, contratar e mobilizar as equipe de projeto, desenvolver a equipe
de projeto e gerenciar a equipe do projeto (PMI, 2004a). A figura 4.8 apresenta o mapa
mental do Gerenciamento de Recursos Humanos.

Figura 4.8: Mapa mental do Gerenciamento de Recursos Humanos (PMI, 2004a)

O processo de planejamento de recursos humanos faz a identificacao, documentacao


de funcoes, responsabilidades e relacoes hierarquicas do projeto, alem da criacao do
plano de gerenciamento de pessoal;

O processo de contracao ou mobilizacao da equipe do projeto obtem os recursos


humanos necessario para terminar o projeto;
32

O processo de desenvolver a equipe do projeto faz a melhoria das competencias e


interacao de membros da equipe para aprimorar o desempenho do projeto;

O processo de gerenciar a equipe do projeto faz acompanhamento do desempenho


de membros da equipe, fornecimento de realimentacao (feedback ), resolucao de pro-
blemas e coordenacao de mudancas para melhorar o desempenho do projeto; e

O processo de gerenciar a equipe do projeto faz o gerenciamento do desempenho


da equipe de projeto solucionando os conflitos que ocorrem entre o projeto e a
organizacao.

Esse conjunto de processos tem como sada principal o plano de gerenciamento de


pessoal. Este plano e o documento formal que descreve os procedimentos que serao uti-
lizados para gerenciar todos os recursos humanos do projeto, e tambem conhecido como
Plano de Gerenciamento de Recurso Humanos.

4.3.7 O Gerenciamento das Comunicac


oes

O gerenciamento das comunicacoes do projeto e a area de conhecimento que emprega


os processos necessarios para garantir a geracao, coleta, distribuicao, armazenamento,
recuperacao e destinacao final das informacoes sobre o projeto de forma oportuna e ade-
quada. Os processos de gerenciamento das comunicacoes do projeto fornecem as ligacoes
crticas entre pessoas e informacoes que sao necessarias para comunicacoes bem-sucedidas.
Os gerentes de projetos podem gastar um tempo excessivo na comunicacao com a equipe
do projeto, partes interessadas, cliente e patrocinador. Todos os envolvidos no projeto
devem entender como as comunicacoes afetam o projeto como um todo.

Os processos de gerenciamento das comunicacoes do projeto incluem os seguintes:


planejamento das comunicacoes, distribuicoes das informacoes, relatorio de desempenho
e gerenciar as partes interessadas (PMI, 2004a). A figura 4.9 apresenta o mapa mental
do Gerenciamento de Comunicacoes.

O processo de planejamento das comunicacoes determina as necessidades de infor-


macoes e comunicacoes das partes interessadas no projeto;

O processo de distribuicao das informacoes disponibiliza as informacoes necessarias


a` disposicao das partes interessadas no projeto no momento adequado;
33

Figura 4.9: Mapa mental do Gerenciamento das Comunicacoes (PMI, 2004a)

O processo que elabora o relatorio de desempenho faz a coleta e distribuicao das in-
formacoes sobre o desempenho, composto das informacoes do andamento, a medicao
do progresso e previsao de custos e prazos; e

O processo de gerenciar as partes interessadas faz o gerenciamento das comunicacoes


das comunicacoes para satisfazer os requisitos das partes interessadas no projeto e
resolver os conflitos.

Esse processo tem como sada principal o plano de gerenciamento das comunicacoes,
ele e o documento formal que descreve os procedimentos que serao utilizados para gerenciar
todo o processo de comunicacao no processo.

4.3.8 O Gerenciamento de Riscos

O gerenciamento de riscos do projeto inclui os processos que tratam da realizacao de


identificacao, analise, respostas, monitoramento e controle e planejamento do gerencia-
mento de riscos em um projeto; a maioria desses processos e atualizada durante todo o
projeto. Os objetivos do gerenciamento de riscos do projeto sao aumentar a probabili-
dade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos
adversos ao projeto.

Os processos de gerenciamento de riscos do projeto incluem os seguintes: planejamento


do gerenciamento de riscos, identificacao dos riscos, analise qualitativa dos riscos, analise
quantitativa dos riscos, planejamento de respostas a riscos e monitoramento e controle de
riscos (PMI, 2004a). A figura 4.10 apresenta o mapa mental do Gerenciamento de Riscos.

O processo de planejamento do gerenciamento de riscos desenvolve os meios para


a decisao de como abordar, planejar e executar as atividades de gerenciamento de
34

Figura 4.10: Mapa mental do Gerenciamento de Riscos (PMI, 2004a)

riscos de um projeto;

O processo de identificacao de riscos determina os riscos que podem afetar o projeto


e faz a documentacao de suas caractersticas;

O processo de analise qualitativa de riscos faz uma priorizacao dos riscos para a
analise ou para acao adicional subsequente atraves de avaliacao e combinacao de
sua probabilidade de ocorrencia e impacto;

O processo de analise quantitativa de risco faz a analise numerica do efeito dos riscos
identificados nos objetivos gerais do projeto;

O processo de resposta a risco desenvolve as opcoes e acoes para aumentar as opor-


tunidades e reduzir as ameacas aos objetivos do projeto; e

O processo de monitoramento e controle de riscos faz o acompanhamento dos ris-


cos identificados, a monitoracao dos riscos residuais, identificacao dos novos riscos,
execucao de planos de respostas a riscos e avaliacao da sua eficacia durante todo o
ciclo de vida do projeto.

Esse conjunto de processos tem como sada principal o plano de gerenciamento de ris-
cos. Este plano e o documento formal que descreve os procedimentos que serao utilizados
para gerenciar os riscos atraves do projeto. O plano de riscos e um dos planos secundarios
do plano geral do projeto.

4.3.9 O Gerenciamento de Aquisico


es

O gerenciamento de aquisicoes do projeto inclui os processos para comprar ou adquirir


os produtos, servicos ou resultados necessarios de fora da equipe do projeto para realizar
o trabalho. A organizacao pode ser o comprador ou o fornecedor do produto, servico ou
35

resultados sob um contrato. O gerenciamento de aquisicoes do projeto inclui os processos


de gerenciamento de contratos e de controle de mudancas necessarios para administrar os
contratos ou pedidos de compra emitidos por membros da equipe do projeto autorizados.

O gerenciamento de aquisicoes do projeto tambem inclui a administracao de qualquer


contrato emitido por uma organizacao externa (o comprador) que esta adquirindo o pro-
jeto da organizacao executora (o fornecedor) e a administracao de obrigacoes contratuais
estabelecidas para a equipe do projeto pelo contrato.

Os processos de gerenciamento de aquisicoes do projeto incluem: planejar a compra,


planejar contratacoes, solicitar respostas de fornecedores, selecionar fornecedores, admi-
nistracao de contrato encerramento do contrato (PMI, 2004a). A figura 4.11 apresenta o
mapa mental do Gerenciamento de Aquisicoes.

Figura 4.11: Mapa mental do Gerenciamento de Aquisicoes (PMI, 2004a)

O processo de planejar compras e aquisicoes determina o que comprar ou adquirir,


quando e como efetuar essas atividades;

O processo de planejar as contratacoes faz a documentacao dos requisitos de produ-


tos, servicos e resultados e identificacao de possveis fornecedores;

O processo de respostas de fornecedores obtem informacoes, cotacoes, precos, ofertas


ou propostas, conforme a acordado no planejamento do gerenciamento do projeto;

O processo de selecao dos fornecedores faz a analise de ofertas, escolha entre possveis
fornecedores e negociacao de um contrato por escrito com cada fornecedor; e

O processo de administracao de contratos faz o gerenciamento do contrato e da


relacao entre o comprador e o fornecedor, analise e documentacao do desempenho
atual ou passado de um fornecedor a fim de estabelecer acoes corretivas necessarias
e fornecer uma base para futuras relacoes com o fornecedor.
36

Esse conjunto de processos tem como sada principal o plano de gerenciamento das
aquisicoes. Este plano e o documento formal que descreve os procedimentos que serao
utilizados para gerenciar todos os contratos do projeto.

4.4 A Restric
ao Tripla dos Projetos

Em uma organizacao, existem muito mais solicitacoes por projeto do que recursos
para trabalhar neles. Neste caso, a insuficiencia e a incerteza com relacao aos recursos de-
mandados sao encaradas como restricoes. Os projetos devem trabalhar sob a combinacao
de tres restricoes: tempo, custo e escopo.

Os gerentes de projetos freq


uentemente falam desta restricao tripla: escopo, tempo e
custo do projeto no gerenciamento de necessidades conflitantes do projeto. A qualidade
do projeto e afetada pelo balanceamento dessas tres restricoes. Projetos de alta qualidade
entregam o produto, servico ou resultado solicitado dentro do escopo, no prazo e dentro
do orcamento. A relacao entre essas restricoes ocorre de tal forma que se alguma das
tres restricoes mudarem, pelo menos uma outra restricao provavelmente sera afetada. Os
gerentes de projetos tambem gerenciam projetos em resposta a incertezas. Um risco do
projeto e um evento ou condicao incerta que, se ocorrer, tera um efeito positivo ou negativo
em pelo menos um objetivo do projeto.
possvel que
Uma ou duas dessas tres restricoes, `as vezes as tres, sao limitadas. E
trabalhe em projetos com orcamento folgado, mas com tempo limitado. Outros projetos
podem apresentar um cenario oposto: Tem-se todo o tempo necessario, mas o orcamento
e fixo. Outros, ainda podem incorporar duas ou tres das restricoes:

Como gerente de projeto, uma das principais funcoes e equilibrar o trio de restricoes,
alem de atender ou exceder as expectativas dos stakeholders. Na maioria dos projetos, e
preciso equilibrar apenas uma ou duas das tres restricoes (CANEDO, 2007, pp. 1518).

4.5 O Gerenciamento de Programas

Um programa e um grupo de projetos relacionados gerenciados de modo coorde-


nado para a obtencao de benefcios e controle que nao estariam disponveis se eles fos-
sem gerenciados individualmente. Programas podem incluir elementos de trabalho inter-
relacionados fora do escopo dos projetos distintos no programa, eles tambem envolvem
uma serie de empreendimentos repetitivos ou cclicos. Ao contrario do gerenciamento de
37

projetos, o gerenciamento de programas e o gerenciamento centralizado e coordenado de


um grupo de projetos para atingir os objetivos e benefcios estrategicos do programa.

4.6 O Gerenciamento de Portf


olio de Projetos

Um portfolio e um conjunto de projetos ou programas e outros trabalhos agrupados


para facilitar o gerenciamento eficaz desse trabalho a fim de atender aos objetivos de ne-
gocios estrategicos. Os projetos ou programas no portfolio podem nao ser necessariamente
interdependentes ou diretamente relacionados. E possvel atribuir recursos financeiros e
suporte com base em categorias de risco/premiacao, linhas de negocios especficas ou tipos
de projetos genericos, como infra-estrutura e melhoria dos processos internos.

As organizacoes gerenciam seus portfolios com base em metas especficas. Uma meta
do gerenciamento de portfolios e maximizar o valor do portfolio atraves do exame cui-
dadoso dos projetos e programas candidatos para inclusao no portfolio e da exclusao
oportuna de projetos que nao atendam aos objetivos estrategicos do portfolio. Outras
metas sao equilibrar o portfolio entre investimentos incrementais e radicais e para o uso
eficiente dos recursos. Os diretores e equipes de gerenciamento da diretoria normalmente
assumem a responsabilidade de gerenciar os portfolios para uma organizacao.

4.7 O Escrit
orio de Gerenciamento de Projetos

O conceito de um escritorio para gerenciamento de projetos, conhecido como PMO, ja


existe ha alguns anos. Entretanto muitas organizacoes estao criando PMOs de diferentes
formas. Os objetivos para criar um PMO, e seus benefcios, sao muitos.

O motivo mais comum pelo qual uma empresa inicia um escritorio de gerenciamento
de projetos e estabelecer e manter procedimentos e padroes para as metodologias de geren-
ciamento de projetos a serem utilizadas em toda a organizacao. Em algumas organizacoes,
os gerentes de projeto podem trabalhar diretamente para o PMO de onde sao designados
para os projetos, assim que iniciados. Dependendo do tamanho e da funcao, o PMO `as
vezes dispoe de especialistas para auxiliar os gerentes de projeto no planejamento, nas
estimativas e nas atividades de verificacao das premissas de negocio do projeto. Atuam
como mentores para os gerentes de projeto principiantes, e como consultores para aqueles
experientes.

O PMO se encarrega da manutencao e arquivamento da documentacao do projeto.


38

Todos os documentos e informacoes sao reunidos e rastreados pelo PMO para futura
referencia. Esse escritorio compara o andamento do projeto em relacao `as suas metas, e
passa os resultados para as equipes. Avalia o desempenho dos projetos ativos e sugere
acoes corretivas. Ao avaliar os projetos concludos quanto a seu atendimento ao trio de
restricoes (tempo, custo e escopo), faz a seguinte pergunta: O projeto cumpriu os prazos
definidos, permaneceu dentro do orcamento e sua qualidade foi aceitavel?

Os escritorios de gerenciamento de projetos estao se consagrando nas organizacoes


modernas e, se nao existir outro motivo, servem meramente como ponto de coleta da
documentacao do projeto. Alguns PMOs sao bastante sofisticados e prescrevem os padroes
e as metodologias a serem usados em todas as fases do projeto, na empresa. Outros
fornecem todas essas funcoes, alem de servicos de consultoria em gerenciamento. A criacao
de um PMO nao e condicao obrigatoria para boas praticas de gerenciamento de projetos.

4.8 Os Processos do Gerenciamento do Projeto

Os processos do gerenciamento de projetos organizam e descrevem o trabalho do


projeto. Sao executadas por pessoas e, como as fases do projeto, estao inter-relacionados
e dependem uns dos outros. O PMBOK documenta cinco grupos de processos no processo
do gerenciamento de projetos:

Grupo de Processos de Iniciacao;

Grupo de Processos de Planejamento;

Grupo de Processos de Execucao;

Grupo de Processos de Monitoramento e Controle; e

Grupo de Processos de Encerramento.

Os processos de gerenciamento de projetos sao apresentados como elementos distintos,


com interfaces bem definidas, como apresentados na figura 4.12. No entanto, na pratica
eles se sobrepoem e interagem. As especificacoes de um projeto sao definidas como objeti-
vos que precisam ser realizados com base na complexidade, no risco, no tamanho, no prazo,
na experiencia da equipe do projeto, no acesso aos recursos, na quantidade de. Informa-
coes historicas, na maturidade da organizacao em gerenciamento de projetos, e no setor
e na area de aplicacao. Os grupos de processos necessarios e seus processos constituintes
39

Figura 4.12: Processos de monitoramento e controle (PMI, 2004a)

sao orientacoes para a aplicacao do conhecimento e das habilidades de gerenciamento de


projetos adequados durante o projeto. A aplicacao dos processos de gerenciamento de
projetos a um projeto e iterativa e muitos processos sao repetidos e revisados durante o
projeto.

O gerente de projetos e a equipe do projeto sao responsaveis pela determinacao de


que processos dos grupos de processos serao empregados e por quem, alem do grau de
rigor que sera aplicado a` execucao desses processos para alcancar o objetivo desejado do
projeto.

4.9 Os Ciclos do Gerenciamento de Projeto

O gerenciamento de projetos e a aplicacao de conhecimento, habilidades, ferramentas e


tecnicas `as atividades do projeto a fim de atender aos seus requisitos. O gerenciamento de
projetos e realizado atraves de processos, usando conhecimento, habilidades, ferramentas
e tecnicas do gerenciamento de projetos que recebem entradas e geram sadas. Para que
um projeto seja bem-sucedido, a equipe do projeto deve (CANEDO, 2007):

Selecionar os processos adequados dentro dos grupos de processos de gerenciamento


de projetos (tambem conhecidos como grupos de processos) necessarios para atender
aos objetivos do projeto.
40

Usar uma abordagem definida para adaptar os planos e as especificacoes do produto


de forma a atender aos requisitos do produto e do projeto;

Atender aos requisitos para satisfazer as necessidades, desejos e expectativas das


partes interessadas; e

Balancear as demandas conflitantes de escopo, tempo, custo, qualidade, recursos e


risco para produzir um produto de qualidade.

A aplicacao desses processos de gerenciamento de projetos pode aumentar as chances


de sucesso em uma ampla serie de projetos. Isso nao significa que o conhecimento, as
habilidades e os processos descritos devam ser sempre aplicados uniformemente em todos
os projetos. O gerente de projetos, em colaboracao com a equipe do projeto, e sempre
responsavel pela determinacao dos processos adequados e do grau adequado de rigor de
cada processo, para qualquer projeto especfico.

Um processo e um conjunto de acoes e atividades inter-relacionadas realizadas para


obter um conjunto pre-especificado de produtos, resultados ou servicos. Os processos de
gerenciamento de projetos sao realizados pela equipe do projeto e geralmente se enqua-
dram em uma das duas categorias principais (CANEDO, 2007):

Os processos de gerenciamento de projetos, comuns `a maioria dos projetos, sao


associados entre si por seu desempenho visando um objetivo integrado. O objetivo
e iniciar, planejar, executar, monitorar e controlar, e encerrar um projeto. Esses
processos interagem entre si. Os processos tambem podem interagir em relacao a
escopo, custo, cronograma do projeto, etc.;

Os processos orientados ao produto especificam e criam o produto do projeto; e

Os processos orientados ao produto sao normalmente definidos pelo ciclo de vida do


projeto e variam por area de aplicacao. Os processos de gerenciamento de projetos e
os processos orientados ao produto se sobrepoem e interagem durante todo o projeto.

Por exemplo, o escopo do projeto nao pode ser definido sem que haja algum enten-
dimento basico de como criar o produto ou servico especificado. O gerenciamento de
projetos e um empreendimento integrador. A integracao do gerenciamento de projetos
exige que cada processo do projeto e do produto seja adequadamente associado e conec-
tado a outros processos para facilitar a sua coordenacao. Essas interacoes entre processos
41

muitas vezes exigem que se facam compensacoes entre requisitos e objetivos do projeto.
Um projeto grande e complexo pode ter alguns processos que precisarao ser iterados di-
versas vezes para definir e atender a`s necessidades das partes interessadas e para chegar a
um acordo sobre o resultado dos processos. As compensacoes especficas de desempenho
irao variar de projeto para projeto e de organizacao para organizacao.

O gerenciamento de projetos bem-sucedido inclui o gerenciamento ativo dessas intera-


coes para atender satisfatoriamente a`s necessidades do patrocinador, do cliente e de outras
partes interessadas. Esta norma descreve a natureza dos processos de gerenciamento de
projetos em termos da integracao entre os processos, das interacoes dentro deles e dos
objetivos a que atendem (CANEDO, 2007).

Esta monografia elegeu o PMBOK para viabilizar a implantacao do SGSIC na APF,


controlando os resultados e construindo, por meio das licoes apreendidas no processo
de encerramento do projeto, uma base de conhecimentos para outras oportunidades de
implementacao ou a construcao da SIC nos orgaos da APF.
42

5 Modelos de Referencia para a Gestao da


Seguranca da Informacao e
Comunicacao

Um Modelo de Referencia para a Gestao da Seguranca da Informacao e Comunicacao


(MR-GSIC) e necessario para orientar as acoes na diversidade de areas do gerenciamento
de TIC, buscando uma melhoria continua dos processos e servicos implementados e na
conformidade com as exigencias legais e dos requisitos da missao institucional.

A GSIC tem hoje uma visao orientada para a gestao de processos, integrando-a `as
necessario
varias areas do gerenciamento da TIC de uma forma estruturada e pratica. E
o domnio de conceitos de gestao de processos e estar capacitado para elaborar modelos
de processos para a integra-los `a GSIC.

A elaboracao de um Modelo de Referencia (MR) para os varios aspectos da SIC e


uma abstracao perseguida pelo Governo Federal quando da formacao dos GTs, com a
finalidade de tornar mais eficaz o esforco de subsidiar a implantacao da GSIC na APF.

A dificuldade para implantacao e divulgacao do MR na APF foi o vetor da transfor-


macao do modelo fundamentado nas prescricoes normativas da Poltica de Seguranca da
Informacao (PSI), Decreto Lei 3505, para um MR mais abrangente e aderente `as normas
internacionais e aos princpios de boas praticas da Governanca de TI (CARDOSO, 2000).

Os modelos internacionais de qualidade atuais adotam sempre uma visao por proces-
sos e de melhoria continua. As disciplinas de TIC colhem benefcios quando passam a
adotar as tecnicas de gestao por processos em suas atividades. Criam visibilidade, implan-
tam conceitos de servicos e seu gerenciamento, alem de criar enorme integracao entre as
diversas areas usuarias e o proprio time de tecnologia, isto porque, nas u
ltimas duas deca-
das presenciamos grandes evolucoes nas areas de conhecimento relacionadas a` gerencia de
Tecnologia da Informacao e das Comunicacoes (TIC), bem como do uso do conhecimento
nos processos de gestao. Tres fatores sao essenciais para mudancas na forma de planejar,
43

usar e extrair benefcios da TIC:

1. a evolucao dos modelos de gestao aceitos internacionalmente;

2. a evolucao tecnologica que permite a integracao destes modelos em ambientes orga-


nizacionais reais; e

3. o uso de indicadores e conceitos de governanca nas praticas de gestao de TIC e


qualidade (RALHA, 2008).

Permitindo ligar todos esses conhecimentos e estrutura-los de forma pratica, agil e


de facil transmissao a toda a empresa, os conceitos de processos e suas tecnicas ocupam
um lugar essencial. Hoje e necessario dominar os conhecimentos de processos para que
se possa extrair o que ha de melhor nas praticas internacionalmente adotadas (RALHA,
2008).

Apenas por meio do monitoramento, controle e aperfeicoamento de processos da orga-


nizacao e que esta podera aperfeicoar seu desempenho ao longo do tempo. Desta forma,
sistemas de informacao adequadamente construdos e gerenciados conduzem as organi-
zacoes a se tornarem cada vez mais eficazes e eficientes no cumprimento de sua missao
(FERNANDES; RALHA, 2005).

O MR do GT-2005 propoe uma visao de orientacao ao processo, `a melhoria conti-


nuada pela adocao do Ciclo PDCA com a busca a aderencia `as boas praticas e normas
internacionais, e principalmente a ISO 27001.

Os MRs propostos inicialmente entre os anos de 2000 e 2005 nao contemplavam os


requisitos de Governanca de TI, Gestao de Riscos e a busca pela Conformidade. Esses
aspectos destacam-se no cenario internacional com uma importancia e a relevancia para
a GSIC de tal forma que foi nao so considerado GT-2005 na elaboracao do MR, mas prin-
cipalmente neles fundamentados. Agregando os princpios do gerenciamento de projetos
segundo o Guia PMBOK para a implantacao do MR do GT-2005, a sua viabilidade cresce
se comparada aos outros modelos propostos.

Passaremos rapidamente uma descricao sumarizada dos Modelos de Referencia ante-


riores ao do GT-2005, comparando as suas estrategicas de implantacao.
44

5.1 O Modelo de Refer


encia da SLTI

O Modelo de Referencia para a Seguranca da Informacao (MR-SI) da SLTI1 foi pro-


posto logo apos o Governo Federal ter-se manifestado no sentido de assegurar a protecao da
informacao sob sua guarda e aquela de interesse do cidadao por meio do Decreto Lei 3505
de 13 de Junho de 2000, que institua a Poltica de Seguranca da Informacao nos orgaos
e nas entidades da Administracao Publica Federal. E fundamental para a garantia aos
cidadaos a` privacidade, alem do direito a` consulta sobre os dados coletados nos sistemas
governamentais, previstos na Constituicao, devendo os websites p
ublicos comprometer-se
com a garantia da confiabilidade `as informacoes de carater pessoal que sao armazenadas
em suas bases de dados, sejam elas relativas aos usuarios ou pessoas que compoem a
administracao p
ublica (CARDOSO, 2000).

5.1.1 A estrutura do modelo

No processo de modelagem levou-se em consideracao que a Seguranca da Informacao


(SI) estava em um contexto mais amplo, propondo-se entao, um maior controle sobre os
ativos de informacao, assim como sobre os servicos disponibilizados pelas diversas areas
do Governo. Pretendia-se tornar desta forma, mais tangvel a avaliacao da qualidade dos
servicos e a responsabilizacao sobre o uso indevido ou ma administracao de tais recursos.

O modelo incluia as fases de avaliacao, projeto, implementacao, gerenciamento, su-


porte, treinamento e conscientizacao em seguranca da informacao, nos seus processos e
produtos. Destacava a identificacao e maximizacao do uso coerente e seguro dos recur-
sos e de protecao dos ativos de informacao contra roubo, vandalismo e de polticas para
e do tratamento de ataques, visando a` manutencao da seguranca. Neste contexto, as
fases deste ciclo sao avaliadas e revistas periodicamente, considerando as normas e pro-
cedimento envolvido, conforme as exigencias tecnologicas impostas pela estruturacao do
e-business e do e-commerce, ou qualquer outro tipo de transacao envolvendo interacoes
eletronicas.

Considerava tambem que o MR-SI ultrapassa os limites da seguranca das redes de


computadores. Ele pretendia um amplo conjunto de procedimentos, mecanismos, normas,
diretrizes e polticas necessarias a` salvaguarda da informacao governamental, incluindo
1 ao do Ministerio do Planejamento, Orcamento e Gestao e tem como atribuicao planejar,
A SLTI e Org
coordenar, supervisionar e orientar normativamente as atividades dos Sistemas de Administracao dos
Recursos de Informac ao e Inform
atica (SISP) e Servicos Gerais (SISG), bem como propor polticas e
diretrizes a eles relativas, no
ambito da Administracao Federal direta, autarquica e fundacional.
45

assim, todas as informacoes em processamento, em trafego nas redes de computadores,


armazenadas em meios magneticos, e aquelas sob guarda do Governo (CARDOSO, 2000).

Cada area considerada pelo modelo seria tratada sob os aspectos conceituais, fsicos,
logicos e de recursos humanos. O modelo e a metodologia consideravam a SI sob os
seguintes aspectos (MACHADO; BEZERRA; LIMA, 2000):

1. Ataques `a seguranca: Qualquer acao que comprometa a seguranca da informacao


governamental;

2. Mecanismos de seguranca: Qualquer mecanismo utilizado para a deteccao, preven-


cao ou recuperacao de danos causados pelos ataques a` SI; e

3. Servicos de seguranca: Qualquer servico que garanta a seguranca dos sistemas de


processamento de dados e as informacoes que trafegam nas redes. O objetivo dos
servicos de seguranca e a contencao dos ataques `a seguranca. A implantacao destes
servicos pode ocorrer a partir da implementacao de um ou mais mecanismos de
seguranca.

A arquitetura do MR-SI e uma hierarquia de polticas sustentadas por normas e


recomendacoes que por sua vez estao ancoradas em procedimentos e guias.

5.1.2 Os servi
cos prim
arios

O MR-SI e caracterizado por um conjunto de servicos de seguranca classificados em


primarios e derivados (MACHADO; BEZERRA; LIMA, 2000). Os servicos primarios sao
descritos abaixo2 .

1. O Servico da Disponibilidade: Uma grande variedade de ataques pode resultar na


perda ou reducao da disponibilidade da informacao. Alguns desses ataques sao com-
pensados atraves de medidas automatizadas, como a autenticacao e a criptografia,
ao passo que ja outros requerem algum tipo de acao fsica para a prevencao ou
recuperacao das perdas de disponibilidade de elementos de um sistema distribudo.

2. O Servico de Integridade: O servico de integridade pode ser aplicado a todo um fluxo


de mensagens de uma conexao, a uma u
nica mensagem ou a determinados campos
2 Os servicos referem-se aos do Modelo de Seguranca da Informacao SLTI (MACHADO; BEZERRA;
LIMA, 2000), e n ao os servicos especificados na arquitetura de servicos do modelo NIST-800 33, Un-
derlying Technical Models for Information Technology Security (STONEBURNER, 2001)
46

desta mensagem. Uma conexao que tenha este princpio implantado garante que
as mensagens serao recebidas como foram enviadas, sem duplicacao, insercao inde-
vida, modificacao, sem reordenacao ou repeticoes. A destruicao de dados tambem
e tratada neste servico. Sob outro foco, este servico trata tanto da modificacao da
mensagem como da negacao de servicos. E possvel fazer uma distincao entre o ser-
vico com e sem recuperacao. Porque o servico de integridade trata de ataques ativos,
a atencao se concentra na deteccao ao inves da prevencao. Caso uma violacao de in-
tegridade seja detectada, entao o servico pode simplesmente informar esta violacao,
de forma que uma outra parte do software ou algum tipo de intervencao humana
seja necessaria para a recuperacao de tal violacao. De forma alternativa, existem
mecanismos disponveis para a recuperacao de perda de integridade de dados. Esta
u
ltima alternativa e a mais atraente.

3. O Servico de Confidencialidade: A confidencialidade e a protecao das informacoes


contra ataques passivos e analise de mensagens, quando em transito nas redes ou
contra a divulgacao indevida da informacao, quando sob guarda. Com respeito a`
utilizacao indevida de conte
udos de mensagens, pode-se identificar diversos nveis
de protecao para cada tipo de informacao identificado. Podem ser definidas diversas
formas para estes servicos, incluindo a protecao de mensagens individuais ou ate
mesmo de campos dentro desta mensagem. Este processo de identificacao e refina-
mento daquilo que realmente deve ser protegido e bastante complexo e se reflete em
toda a estrutura de seguranca adotada.

4. O Servico de Autenticidade: O servico de autenticacao se relaciona com a garantia de


que a comunicacao e autentica. No caso de uma simples mensagem, como e o caso de
um sinal de alarme, a funcao da autenticacao e garantir ao receptor que a mensagem
e realmente originaria da fonte informada. No caso de uma interacao em tempo real,
como a conexao de um computador com outro, pode-se considerar dois aspectos, o
primeiro no momento da inicializacao da conexao, este servico deve garantir que as
duas entidades sao autenticas, ou seja, que sao quem alegam ser. Em segundo lugar,
o servico deve garantir que a comunicacao deve ocorrer de forma que nao seja possvel
a uma terceira parte se disfarcar e se passar por uma das partes ja autenticadas na
inicializacao da conexao para conseguir transmitir e receber mensagens de forma
autorizada.
47

5.1.3 Os servi
cos secund
arios

1. O Servico de Nao Rep


udio: Este servico previne tanto o emissor como o receptor,
contra a negacao de uma mensagem transmitida. Desta forma, quando uma men-
sagem e enviada, o receptor pode provar que de fato a mensagem foi enviada pelo
emissor em questao. De forma similar, quando uma mensagem e recebida, o emissor
pode provar que a mensagem foi realmente recebida pelo receptor em questao.

2. O Servico de Controle de Acesso: No contexto de seguranca de rede, o controle de


acesso e a habilidade de limitar ou controlar o acesso aos computadores hospedeiros
ou aplicacoes atraves dos enlaces de comunicacao e do controle de acesso fsico.
Para tal, cada entidade que precisa obter acesso ao recurso, deve primeiramente
ser identificada, ou autenticada e de forma a que os direitos e permissoes de acesso
sejam atribudos ao usuario.

5.1.4 A estrat
egia para a implantac
ao

A estrategia da implantacao do modelo de Gestao de Seguranca da Informacao foi


um reposicionamento, no ambito do Governo Federal, da implementacao da Poltica de
Seguranca da Informacao do Poder Executivo Federal (PSIPE), de modo a receber um
tratamento destacado e permanente por meio do estabelecimento dessa PSIPE, cabendo `a
Secretaria-Executiva do Conselho de Defesa Nacional (SECDN), orgao vinculado ao GSI
da PR, assessorada pelo CGSI, propor as diretrizes para a implementacao da PSIPE no
contexto do Poder Executivo Federal.

O Governo Federal desenvolveria a PSIPE de acordo com as diretrizes do CGSI, e


contando com o apoio tecnico/operacional da Camara Tecnica de Seguranca da Tecnologia
da Informacao (CT-STI)/SISP. Por sua vez, a SLTI do Ministerio do Planejamento,
Orcamento e Gestao (MPOG), exerceria o papel preponderante na implementacao da
PSIPE, considerando que a mesma tinha entre as suas atribuicoes a competencia de
coordenar as atividades do SISP, propondo polticas, diretrizes e normas de Informacao
e Informatica, no ambito da APF direta, autarquica e fundacional.

A dinamica operacional da Camara Tecnica seria cclica conforme detalhamento da


figura 5.1.

Para configurar um via PSIPE a Gestao da Seguranca da Informacao foi desenhada


por meio da Estrategia para a Seguranca da Informacao, que nunca se formalizou na SLTI
48

Figura 5.1: Dinamica operacional da Camara Tecnica (MACHADO; BEZERRA; LIMA,


2000)

para a APF.

5.1.5 A estrat
egia de seguranca de informac
ao

A estrategia de seguranca de informacao modelava tres componentes chaves: a mode-


lagem dos processos de seguranca, a avaliacao e a conformidade dos produtos de seguranca
e os servicos de controle de acesso.

Na figura 5.2 temos uma representacao da Estrategia de Seguranca de Informacao.

A Estrategia de Seguranca da Informacao seria por sua vez suportada por acoes nas
dimensoes institucional, funcional e especifica conforme a figura 5.3.
49

Figura 5.2: Representacao da Estrategia de Seguranca de Informacao (MACHADO; BE-


ZERRA; LIMA, 2000)

5.1.6 Considera
coes sobre a utilizac
ao do MR-SI da SLTI

Embora o modelo da SLTI mapeie as demandas por Seguranca da Informacao con-


forme as que constam em (CARDOSO, 2000), e da para as quatro areas de preocupacao
a saber: controles e avaliacao, planejamento procedimentos e normas, esquema da fi-
gura 5.1, o MR-SI e as areas de preocupacao mapeadas sao insuficientes para dar cabo da
complexidade e heterogeneidade dos orgaos da APF.

O significado da implantacao orientada a uma PSI ficou defasado em termos da ne-


cessidade de uma procura de conformidade com as boas praticas do macro-modelo de
Governanca de TI: COBIT, ISO 27000, ITIL, e PMBOK como ficou explicitado nos
estudos de interoperabilidade dos sistemas Padroes de Interoperabilidade de Governo
Eletronico (ePING) (MPOG, 2007).

Destaca-se principalmente o advento no Governo Federal da ICP-Brasil e da Coorde-


nacao Geral de Tratamento de Incidentes de Rede do DSIC, que exigiram uma revisao
das ideias de implantacao de um MGSIC no Governo Federal baseado tao somente nas
preocupacoes de uma PSI.

O GT-2005 levou essas caractersticas em conta na formulacao MGSIC do GT-2005,


50

Figura 5.3: Suporte `a estrategia de seguranca de informacao (MACHADO; BEZERRA;


LIMA, 2000)

sem deixar de incorporar os valores da preocupacao da interoperabilidade dos sistemas da


APF que o MR-SI da SLTI tinha incorporado inicialmente em sua formulacao.

5.2 O Modelo de Refer


encia do NI-DSIC

Esta secao resgata o MR-GSIC para a APF, descrito em (NI-DSIC, 2005). Essa
proposta de modelo foi o fundamento para os trabalhos do GT-2005.

Em conseq uencia, desde 2000, diversos grupos de trabalho estabelecidos


pelo CGSI tem estudado as diretrizes apontadas no decreto em busca
de soluc
oes para sua efetiva implementacao. O empreendimento tem se
mostrado de grande complexidade, haja vista o n umero de entidades
da APF e suas diferencas de pessoal qualificado, praticas e polticas j a
estabelecidas, adequacao dos nveis de seguranca, localizacao geogr
afica
no territorio nacional, alem de muitos outros fatores, inclusive de natu-
reza poltica, que dificultam o estabelecimento de acoes com abrangencia
global e eficiente (NI-DSIC, 2005).

O MI-GSIC tinha o objetivo de apresentar uma formulacao de base puramente termi-


nologica, que implicaria na construcao de uma rede de conceitos inter-relacionados para
atender a necessidade pratica de conformidade de boas praticas de GSIC, mas evolui ex-
51

perimental para um modelo abstrato sem embasamento em uma metodologia ou diretivas


de implantacao em termos de normas e servicos.

5.2.1 A estrutura do modelo

A proposta do NI-DSIC, visava originalmente estabelecer as bases do MI-GSIC, ins-


trumento de referencia para orientar a implementacao e o gerenciamento da PSIC da APF.
Procurava primeiramente a harmonia com os conceitos estabelecidos no Decreto 3.505 de
13 de junho de 2000, que instituiu a Poltica de Seguranca da Informacao nos orgaos e
entidades da APF, sendo que no artigo 6 criou o CGSI, com a missao de assessorar a
Secretaria Executiva do Conselho de Defesa Nacional, entidade personificada pelo GSI,
conforme paragrafo u
nico do artigo 16 da Lei 10.683 de 28 de maio de 2003.

5.2.2 A nota sem


antica: informac
ao & comunicac
ao

Logo de inicio uma consideracao acerca da termologia se impos, qual o significado de


Informacao e qual o significado de Comunicacao? Essa indagacao ficou como uma nota
semantica, a luz da seguinte consideracao:

O Decreto 3.505, apesar de seu conte udo expressar diversas acoes relacio-
nadas com as Comunicacoes no sentido de tecnologias relacionadas
com o tr ansito da informacao ao longo do espaco , manteve o nome da
poltica apenas com o vocabulo Informacao. Entretanto, para que haja
aderencia ao conceito de TIC (Tecnologia de Informacao e Comunica-
c
oes), termo usualmente empregado tanto no Brasil quanto no exterior,
sera usado o termo SIC, com o significado de Seguranca da Informac ao
e das Comunicacoes. Esta liberdade semantica parece nao trazer contra-
tempos legais, considerando-se que o Decreto 3.505 considera o conceito
Comunicac oes coincididas no de Informacao. (NI-DSIC, 2005).

5.2.3 As fun
coes e os processos do modelo

O modelo previa que, para a correta execucao da PSIC e implementacao de MI-GSIC,


numerosos subprocessos ou funcoes deveriam acontecer harmonica e simultaneamente no
espaco da APF, todos colaborando e convergindo para a perfeita materializacao do pro-
cesso global, qual seja, a implementacao e gestao da SIC na APF.

Analogo a um organismo vivo, se cada orgao cumprir com sua miss ao


especfica e de forma apropriada, espera-se que esse processo global fun-
cione satisfatoriamente. Para nao se cair na armadilha de uma vis ao
52

reducionista, e bom lembrar que a visao holstica devera permanecer no


GSI, por meio de suas assessorias especficas e, em especial, daquela de
maior abrangencia o CGSI (NI-DSIC, 2005).

E ainda para as funcoes necessarias a` correta atuacao do modelo:

O mapeamento das varias funcoes necessarias `a correta atuacao do


modelo em pauta, alem de considerar seus agentes executores corre-
latos, baseou-se no escrutnio das tres classes subjacentes ao nosso uni-
verso, quais sejam, a classe dos sujeitos (esprito), a dos objetos (mate-
ria/energia) e a das informacoes (iteracao entre sujeito e objeto, cultura).
Estes conceitos filosoficos aplicados ao nosso limitado problema, nos
conduziram ao levantamento de uma serie de funcoes e agentes, relacio-
nados respectivamente, com as categorias Homem, Infra-estrutura e Pro-
cessos. Na tabela mostrada no anexo I3 sera apresentado o conjunto de
funcoes e seus respectivos agentes executores, alguns com embasamento
jurdico especfico e bem definido, outros selecionados em razao de suas
competencias e especialidades, alem de seus desgnios jurdicos serem
capazes de abranger as novas funcoes. O estabelecimento pelo GSI das
articulacoes necessarias para estimular suas adesoes ao programa com-
plementa o modelo. Muitas das funcoes poderao ser exercidas por mais
de um agente, permanecendo apenas um orgao central como coordenador
das acoes a serem exercidas pelos demais (NI-DSIC, 2005).

5.2.4 A estrat
egia para a implementac
ao

Uma posicao equilibrada na execucao de modelos de PSIC e GSIC foram adotadas,


o equilbrio entre os dois extremos: o GSI permanece com sua atribuicao legal de orgao
central para o trato, articulacao e a regulamentacao das atividades de SIC, mas, com-
partilhando grande parte das funcoes executivas com outros orgaos da APF que sejam
detentores dos requisitos legais ou vocacionais para sua efetiva realizacao. Ficou conhecida
como a Premissa Fundamental do MI-GSIC, como representada na figura 5.4.

5.2.5 Os princpios de implementac


ao

Em (NI-DSIC, 2005), a implementacao do modelo depende da adequada aplicacao de


tres princpios que estiveram implcitos no mapeamento das funcoes necessarias:

1. transversalidade;

2. especializacao; e
3 O anexo I citado e a tabela 5.1.
53

Figura 5.4: Estrategia de Implementacao (NI-DSIC, 2005)

Funcoes Agentes
Conscientizacao GSI, Abin, PNPC
Capacitacao GSI-PR, CASNAV, Marinha, SER-
PRO, Escolas do Governo
Auditoria CGU
Interoperabilidade dos Sistemas SIC, MPOG, SLTI
Certificacao Digital Casa Civil, ITI
Homologacao Casa Civil, ITI
Normalizacao DSIC
Tratamento de incidentes de redes GSI, CTIR-Gov
Credenciamento de Seguranca GSI-PR, SISNAC
Infra-estrutura de Comunicacoes MINICOM, GSI, Abin, CEPESC
Ciencia, Tecnologia e Inovacao MCT, GSI, Abin, CEPESC
Forense Computacional MJ, DPF
Acordos Internacionais MRE
Defensoria AGU
Guerra Cibernetica MD

Tabela 5.1: Tabela funcoes e agentes no MR-GSIC

3. replicacao.

O princpio da transversalidade

o princpio que se diferencia pelos criterios basicos:


E

1. as atividades de implementacao da MI-GSIC sao de inteira responsabilidade do


dirigente de cada orgao da APF, permanecendo o GSI (CGSI e NI-DSIC) como
entidade catalisadora dos eventos e responsavel pela homogeneidade das normas e
metodologias empregadas nas atividades de implementacao e gestao; e
54

2. funcoes especializadas devem ser, em configuracao articulada com o GSI, desem-


penhadas por orgaos especficos habilitados a exerce-las de maneira transversal,
permeando toda a APF com suas acoes especficas no contexto da implementacao
ou gestao da PSIC (NI-DSIC, 2005).

O princpio da especializac
ao

Este princpio estipulava que as diversas funcoes do modelo deveriam ser executadas
por orgaos ou conjunto de orgaos que fossem especializados nas particularidades ou
caractersticas das funcoes que eram desempenhadas, muitas destas funcoes do modelo
da MI-GSIC ja estavam definidas na legislacao vigente ou vieram a se. Para aquelas que
ainda nao estavam estabelecidas juridicamente, deveria ser selecionado o orgao com a
melhor vocacao para seu desempenho, apos o que os instrumentos jurdicos e normativos
deverao ser institucionalmente estabelecidos.

O princpio da replicac
ao

Por analogia com aos fractais estruturas geometricas nas quais certos padroes
de nvel superior repetem-se indefinidamente nos nveis subseq
uentes , este princpio
estabelecia que os preceitos gerais fixados para a APF como um todo deveriam, com
suas devidas adaptacoes, serem replicados nos seus orgaos componentes, sub-componentes
e assim por diante, ate as unidades geograficas e estruturalmente isoladas da Uniao.
Uma das conseq
uencias deste princpio define que cada unidade isolada da APF deveria
repetir neste nvel as duas estruturas maiores (CGSI e DSIC), ou seja, em cada entidade
isolada da APF deve existir um Comite multidepartamental no nvel poltico e um ou
mais Grupos Executivos permanentes, inseridos no organograma da instituicao, com o
objetivo de implementar no cotidiano as acoes definidas pelo Comite.

5.2.6 O MR-GSIC do NI-DSIC e a auditoria do TCU

Os sucessivos relatorios de auditoria do TCU (BEMQUERER, 2005), na forma de


acordao, que a partir de 2004 observavam a nao existencia nos orgaos das PSI e de nor-
mas formalizadas que concorressem para a boa Gestao da Seguranca da Informacao e
Comunicacao na APF, levou o GSI a instituir o Grupo de Trabalho que teve o objetivo
de definir e desenvolver uma proposta de Modelo de Gestao de Seguranca da Informacao
para APF (MGSI-APF), com o correspondente conjunto de normas, padroes e procedi-
55

mentos para serem utilizados na parametrizacao com o Sistema de Controle Interno do


Poder Executivo Federal quando da realizacao dos processos de auditoria. O Grupo de
Trabalho (GT) foi denominado de Grupo de Trabalho Metodologia 2005 (GT-2005) e
produziu em 2006 o documento Metodologia para a Gestao da Seguranca da Informacao
e Comunicacao para a Administracao Publica Federal (FELIX, 2005) e (FELIX, 2006).

5.2.7 Considera
coes sobre a utilizac
ao do MI-GSIC do NI-DSIC

O MI-GSIC do NI-DSIC veio a` luz a partir da publicacao dos acordaos do TCU


relativos `a Seguranca da Informacao e Comunicacao para a APF que exigiam da APF
uma demonstracao da preocupacao nao so com a SIC mas tambem com o planejamento
estrategico para a TI na APF, mapeados em princpios de Governanca de TI. O TCU
considerava explicitamente os modelos de boas praticas de um framework composto de:
COBIT, ITIL e ISO/IEC 17799 e posteriormente a ISO/IEC 27001.

O MI-GSIC mesmo nao sendo considerado um modelo de implantacao da GSIC na


APF viabilizou a criacao do GT-2005 em termos demandas de um desenho de modelo que
atendesse os requisitos da conformidade com os controles do TCU e da Controladoria-
Geral da Uniao (CGU) (BEMQUERER, 2005).

5.3 O Modelo de Refer


encia do GT-2005

Com o titulo de Metodologia para a Gestao da Seguranca da Informacao e Comuni-


cacao para a Administracao Publica Federal, o GT-2005 apresentou o relatorio final com
uma solucao estruturada de MGSIC para a implantancao na APF e a metodologia de sele-
cao de implementacao gradual dos controles de seguranca para o MGSIC, fundamentado
em ciclo melhoria da qualidade PDCA.

5.3.1 A estrutura do modelo

O relatorio definiu os ciclos da estrategia gerencial de uma forma estruturada no ciclo


PDCA. A solucao e subsidiada por cinco anexos , sendo que:

O Anexo 1 e uma proposta de norma com aplicabilidade em todos os orgaos da


APF;

O Anexo 2 descreve as diretrizes dessa norma, num formato tatico-operacional;


56

O Anexo 3 descreve os procedimentos basicos de carater operacional para iniciar a


implantacao da Gestao da Seguranca da Informacao;

O Anexo 4 apresenta o detalhamento de itens do relatorio referente `as fases de


implantacao;

O Anexo 5 contem um extrato do Anexo 2, especialmente formatado para servir


de fonte de indicadores a serem aferidos em processos de conformidade interna e de
auditorias.

Todos os elementos da solucao proposta foram elaborados tomando por referencia as


melhores praticas correntes de Gestao de Seguranca da Informacao e Comunicacoes e as
particularidades da Administracao P
ublica Federal (GT-2005, 2006).

5.3.2 Os pressupostos de trabalho do GT-2005

O trabalho do GT-2005 foi elaborado tomando por referencia alguns pressupostos


para contemplar a diversidade dos ambientes e situacoes da APF:

1. Os orgaos da APF, em sua maioria, nao contam com conhecimento sobre SIC su-
ficiente para implementarem, em curto prazo, uma estrutura eficiente de gestao e,
portanto, devem contar com meios para, paulatinamente, resolverem a questao;

2. Os orgaos da APF, em sua maioria, carecem de uma orientacao mais especfica


sobre o que fazer e o como fazer a respeito da implementacao da seguranca das
suas informacoes, sendo que, mesmo aqueles que tem implementacoes na area, nao
contam com amparo legislativo e normativo suficiente que definam uma estrategia
de Estado sobre o assunto;

3. O estagio incipiente em que se encontram diversos orgaos da APF, seja a respeito do


nvel de conhecimento seja no tocante `as implementacoes de sua Seguranca da Infor-
macao, faz com que as primeiras orientacoes governamentais tenham que ser simples
e factveis, mantida a compatibilidade com as melhores praticas sobre Seguranca da
Informacao e Comunicacoes adotadas nacional e internacionalmente;

4. A pratica da SIC em qualquer organizacao da APF devera sempre contar com uma
estrutura gerencial que, alem de tracar rumos, monitorar acoes e adequar desvios,
deve ser hierarquicamente subordinada `a alta administracao da organizacao.
57

5.3.3 O modelo e a metodologia de implantac


ao

A complexidade, os requisitos e demandas da APF, relacionados `a SIC remetem a uma


visao de natureza sistemica. O gerenciamento desta complexidade contextualizada sugere
o desenvolvimento de um modelo e de uma metodologia, que servirao como um importante
recurso para a implementacao de acoes e diretrizes, dando sustentacao institucional aos
processos relacionados.

Este documento apresenta um modelo de gestao e uma metodologia. No seu desenvol-


vimento foram consideradas as diferentes missoes de cada orgao, a maturidade tecnologica
e a disponibilidade de recursos humanos, assim como as necessidades estrategicas da APF.

O modelo estabelece formas de identificacao de requisitos e estabelecimento de acoes


que representam os ciclos da estrategia gerencial.

A metodologia para a Gestao da Seguranca da Informacao e Comunicacoes na APF,


foi elaborada considerando as etapas e os procedimentos necessarios a` implementacao dos
ciclos do modelo de gestao, fundamentando a elaboracao de uma proposta de norma para
harmonizar a SIC na APF com um conjunto de procedimentos e padroes aceitos nacional
e internacionalmente.

5.3.4 O Ciclo PDCA

O MGSIC proposto baseia-se no modelo de gestao de processos ou modelo de melhoria


contnua dos processos denominada ciclo Plan-Do-Check-Act (PDCA), representado na
figura 5.5.

A escolha do ciclo PDCA baseou-se nos tres criterios basicos abaixo explicitados:

1. Simplicidade do modelo.

2. Compatibilidade com a cultura de Gestao de Seguranca da Informacao, em forma-


cao nos meios organizacionais brasileiros, que considera os padroes internacionais e
nacionais vigentes, sendo ABNT NBR ISO/IEC 27001:2006 a norma que recomenda
o modelo de gestao adotado neste trabalho.

3. Concordancia com praticas de qualidade e gestao adotadas em programas aplicados


na APF.

A simples adocao de ABNT NBR ISO/IEC 27001:2006 por norma jurdica podera
58

Figura 5.5: Ciclo PDCA (GT-2005, 2006)

comprometer os valores que eventualmente seriam incorporados ao corpo de conhecimento


da SIC, pois sao elementos culturais que influenciam o processo semelhante `a implantacao
de programas de qualidade em uma organizacao.

5.3.5 Diretivas para a implantac


ao

Para potencializar as chances de sucesso das decisoes decorrentes deste trabalho, o GT


elaborou algumas recomendacoes que, pela sua relevancia, foram consideradas em topico
especfico. Considerando as peculiaridades dos diferentes orgaos e entidades da APF que
ficarao submetidos a esta formulacao de modelo e metodologia, adotou-se como pressu-
posto basico do trabalho a heterogeneidade da APF; desta forma, foram identificados os
seguintes aspectos e ponderacoes:

1. Implantacao gradativa

Incluir no arcabouco legal a implantacao gradativa das exigencias sugeridas no pre-


sente trabalho; ou seja, criar um cronograma formulado por portaria conjunta
do GSI e CGU da PR com flexibilidade para ser alterado ao longo do tempo que
59

estabeleceria nveis graduais de controle, compatveis com a realidade de cada um


dos orgaos.

2. Forma de implantacao

Estabelecer normas gerais para se atingir as exigencias basicas. Os controles su-


plementares serao agregados em normas especiais e explicitados para os orgaos que
compoem a infra-estrutura crtica do pas.

3. Adequacao Orcamentaria

Alocar recursos destinados a` Seguranca da Informacao no Orcamento Geral da Uniao


(OGU).

4. Adaptacao da Estrutura Organizacional

Sugerir ao MPOG a criacao de uma estrutura mnima de Seguranca da Informacao


na forma de orgao ou comite dentro de cada ministerio e de alguma forma
vinculados ao orgao coordenador do sistema GSI da PR. A missao desse orgao
ou comite seria exclusivamente coordenar o processo de implantacao do metodo no
ambito daquele orgao (segregacao de funcoes).

5. Criacao de Estrutura Especfica

Sugerir ao MPOG a criacao de carreira funcional voltada para a Seguranca da In-


formacao, de modo a selecionar e especializar servidores com perfil especfico para o
setor, sem a necessidade de terceirizacao da mao-de-obra e conseq
uente manutencao
do conhecimento no ambito da APF.

6. Treinamento

Promover cursos presenciais, a` distancia, foruns de discussoes e parcerias, de modo


a estimular a disseminacao, o desenvolvimento e a padronizacao do conhecimento
relacionado `a Seguranca da Informacao.

7. Atribuicao de Responsabilidade

Definir as atribuicoes dos responsaveis pelas seguintes atividades:

(a) atualizacao das normas e procedimentos propostos neste documento;

(b) capacitacao dos auditores externos e internos para a verificacao de conformi-


dade ao Modelo de Seguranca da Informacao proposto; e
60

(c) pelo fiel cumprimento das normas, procedimentos e instrucoes pertinentes ao


Modelo de Seguranca da Informacao proposto, dentro dos diversos orgaos da
APF.

8. Divulgacao
Promover a divulgacao por meio de palestras, Internet etc. do Modelo de Seguranca
da Informacao proposto e suas respectivas normas, procedimentos e padroes, os
quais fazem parte dos anexos a este documento.

9. Nvel de Maturidade e Metricas


Elaborar processos de verificacao periodicos do nvel de maturidade em SIC nos
diversos orgaos da APF, por exemplo, pelo emprego de formularios eletronicos.

10. Criacao de GT Especfico pra o Projeto Piloto


Criar um Grupo de Trabalho com a atribuicao de aplicar o modelo proposto em
pelo menos um orgao da APF, a ttulo de projeto piloto.

5.3.6 Os controles de seguranca selecionados

Os controles foram estabelecidos tomando por referencia as normas ABNT NBR


ISO/IEC 17799:2005 (controles) e ABNT NBR ISO/IEC 27001:2006 (gestao), uma vez
que, entre as boas praticas existentes e referencias normativas de maior notoriedade e
aceitacao no Brasil e no exterior, consideradas neste trabalho, constatou-se serem essas
as menos complexas e com mais chances de produzir resultados em prazos mais curtos na
APF.

Logo, os controles adotados para servir como referencia na Gestao de Seguranca da


Informacao para os orgaos da Administracao P
ublica Federal sao os seguintes:

1. Politica de Seguranca: documento fundamental para o estabelecimento da seguranca


na organizacao que tem como objetivos principais fornecer o direcionamento e o
suporte administrativo necessarios para a Seguranca da Informacao.

2. Organizando a Seguranca da Informacao

(a) Infra-estrutura da Seguranca da Informacao: definicao de uma area da orga-


nizacao como responsavel pela implantacao das determinacoes da Poltica de
Seguranca da Informacao e de seus desdobramentos, bem como pelo gerencia-
mento da Seguranca da Informacao na organizacao;
61

(b) Partes Externas: classificacao dos riscos relacionados com partes externas a
organizacao relacionados `a seguranca dos recursos de tratamento de informa-
cao que sao acessados, processados, comunicados ou gerenciados por partes
externas.

3. Gestao de Risco: processo de monitoramento dos riscos a que a informacao a ser


protegida esta submetida de acordo com o seu valor estimado.

4. Gestao de Ativos: inventario dos principais ativos da organizacao e atribuicao de


responsabilidades aos seus gestores por qualquer quebra de seguranca provocada por
acao ou omissao decorrente de ato ilcito.

5. Seguranca em Recursos Humanos: garantia de que os funcionarios, fornecedores


e terceiros entendem as suas responsabilidades e tem conhecimento das normas
tecnicas sobre procedimentos e medidas de seguranca.

6. Seguranca Fsica e do Ambiente: conjunto de medidas voltadas para a prevencao e a


obstrucao das acoes ou ocorrencias adversas de qualquer natureza que possam com-
prometer as areas e as instalacoes da organizacao onde sejam tratadas informacoes
classificadas.

7. Gerenciamento das Operacoes e Comunicacoes: planejamento e orientacao de uma


area estrategica e competente de governo, de maneira a dar o suporte tecnico neces-
sario aos orgaos para que estes nao fiquem completamente dependentes de servicos
terceirizados.

8. Controle de Acessos: controle de acesso a` informacao atraves de credencial de segu-


ranca e demonstracao da necessidade de conhecer.

9. Aquisicao, Desenvolvimento e Manutencao de Sistemas de Informacao: definicao


de uma metodologia para a identificacao e a especificacao dos requisitos de segu-
ranca antes do desenvolvimento e/ou implementacao de sistemas de informacao. Na
metodologia devem estar contemplados: sistemas operacionais, infra-estrutura, apli-
cacoes e servicos desenvolvidos inclusive por usuarios internos. Os acordos baseados
em requisitos de seguranca devem ser explicitamente formulados com os fornecedo-
res, quando da aquisicao e desenvolvimento de sistemas pela APF.

10. Gestao de Incidentes e Seguranca da Informacao: conjunto de processos destinados


a assegurar que fragilidades e eventos de seguranca da informacao associados com os
62

sistemas de informacao sejam comunicados, permitindo a tomada de acao corretiva


em tempo habil.

11. Gestao da Continuidade de Negocio: mecanismo utilizado para impedir ou evitar a


interrupcao das atividades do negocio e proteger os processos crticos contra efeitos
de falhas ou desastres significativos e assegurar a sua retomada em tempo habil.

12. Conformidade: processo no qual e verificada a conformidade entre as acoes de se-


guranca implementadas e todos os requisitos de seguranca especficos do ambiente
independentemente do tipo de norma em que foi estabelecido.

Para cada um dos controles descritos, foram pormenorizados procedimentos para sua
implementacao, os quais constam do Anexo 2 de (GT-2005, 2006). Para o processo de
gestao, propriamente dito, a pormenorizacao das acoes esta detalhada no Anexo 3 de
(GT-2005, 2006).

Com o objetivo de facilitar a estruturacao dos processos de verificacao da conformidade


e de auditoria pelo orgao competente da APF, o Anexo 5 de (GT-2005, 2006) apresenta
uma sntese dos controles para verificacao da conformidade.

Tendo em vista a referencia basica ter sido a norma ABNT NBR ISO/IEC 17799:2005,
cabe ressaltar os controles: Gestao de Incidentes e Seguranca da Informacao e Aquisi-
cao, Desenvolvimento e Manutencao de Sistemas de Informacao apresentam elevada
complexidade no processo de implementacao, o que implicara em uma dificuldade para
a efetiva pratica em curto espaco de tempo. Para esses controles, nao foram definidos
procedimentos detalhados e personalizados nos anexos, sendo de implementacao opcional,
ate a proxima reavaliacao do modelo do GT-2005.

5.3.7 Considera
coes sobre o Modelo de Refer
encia do GT-2005

O GT-2005 por meio de seu Modelo de Referencia do SGSIC apresenta um conjunto


normativo que pretende agregar valor ao processo de implantacao da GSIC na APF (GT-
2005, 2006), mas cria o problema do gap conceitual da implantacao SGSIC na APF, por
isso faz a recomendacao da criacao de um Grupo de Trabalho com a atribuicao de aplicar
o modelo proposto em pelo menos um orgao da APF, a ttulo de projeto piloto.

Tenta viabilizar assim uma estrategia por meio da demanda urgente por uma entidade
governamental que tenha como finalidade o estabelecimento da gestao estrategica para
a area de GSIC. A entidade atuaria como ponto de convergencia e como gerador de
63

diretrizes para a area. As diretrizes e acoes seriam operacionalizadas em cada orgao e


entidade p
ublica com o acompanhamento e assessoramento tecnico fornecido pelo nvel
estrategico (GT-2005, 2006).

Essas recomendacoes conforme colocadas nao preenchem o gap conceitual da im-


plantacao do SGSIC, mas apenas tenta satisfazer o aspecto a interacao com a CGU, se
considerados os limites e obrigacoes de carater legal.

Isto porque, a elaboracao de uma metodologia de implantacao da GSIC para a APF


e uma tarefa estrategica e complexa, que devido ao nvel de detalhamento, leva a uma
solucao orientada a projeto, para contemplar todos os topicos, itens e aspectos, tanto
tecnicos como os de carater gerencial.

Solucoes centralizadas a nvel federal aumentarao o gap conceitual pela m


ultipla
interacao dos diversos contextos dos orgaos da APF. Na abordagem PMBOK esse gap
e reduzido e ate controlado pelas suas areas de conhecimento, como o Gerenciamento do
Escopo e Integracao do Projeto4 .

Embora o GT-2005 tenha avancado o tema da implantacao do modelo de GSIC na


APF, ele perde a oportunidade de avancar alem da satisfacao dos requisitos do controle
interno, para contemplar os princpios e modelos da Governanca de TI e da preencherem
os gaps conceituais da implantacao de um SGSIC na APF, pelo concurso da abordagem
PMBOK e de outras abordagens do modelo de Governanca de TI.

4 Ver sec
oes 4.3.2 e 4.3.1.
64

6 O Gap Conceitual na Implantacao do


SGSIC

O tema da metodologia de implantacao da GSIC conta com uma vasta literatura de


artigos, normas, livros e dissertacoes que agrega na sua formulacao desde a taxonomia
de normas ISO 27000 ate os modelos do National Institute of Standard and Technology
(NIST) (STONEBURNER, 2001). Apesar dessa diversidade, nao e tarefa facil encontrar
metodos e tecnicas que de uma forma sinergica viabilizem essa implantacao na APF.
Embora estejam disponveis normas e padroes internacionais esse gap conceitual para a
implantacao de modelo de GSIC prospera na APF.

O gap conceitual de implantacao e a distancia que separa o SGSIC pretendido do


resultado obtido do planejamento e do gerenciamento das atividades com os recursos
utilizados para esse objetivo. Ele aumenta na medida em que a cultura em SIC e as
carencias da APF nao sao contempladas de maneira critica no projeto de implantacao do
SGSIC. A figura 6.1 apresenta o mapa conceitual do gap de implantacao.

Uma metodologia para a implantacao do SGSI que controle o gap conceitual para
a implantacao do SGSIC implicara na necessidade de padronizacao da documentacao dos
procedimentos, ferramentas e tecnicas utilizadas, e principalmente na criacao de indica-
dores para a monitoramento dos processos envolvidos.

A adocao dos modelos de melhores praticas na metodologia de implantacao deve


formalizar-se na APF levando-se em conta uma abordagem de integracao e buscando a
aderencia aos princpios da Governanca de TI. A abordagem do guia PMBOK e o caminho
para o sucesso do tratamento do gap, pela integracao que as nove areas de conhecimento
pode oferecer. A relacao entre o gap conceitual e os componentes de projetos do PMBOK
e representada na figura 6.2
65

Figura 6.1: Representacao do gap da implantacao do SGSIC

6.1 O Mapeamento PMBOK e o Ciclo PDCA

No mapeamento PMBOK do ciclo PDCA podemos destacar que:

1. A primeira fase do ciclo do PDCA do SGSIC, a fase Planejar (Plan), e quando


estabelecemos o SGSIC;

2. A segunda fase do ciclo do PDCA do SGSIC, a fase Fazer (Do), e quando imple-
mentamos e operamos o SGSIC.

Nestas duas primeiras fases deve-se: definir o escopo do SGSIC, elaborar a poltica,
desenvolver uma analise de riscos, decidir a estrategia de gestao de riscos, e selecionar os
controles para reduzir os riscos.

Comecando o mapeamento do PMBOK e ciclo do PDCA, temos respectivamente:

Na fase Planejar e observado pelo projeto o desdobramento das principais atividades:

1. Estabelecer a Poltica de Seguranca da Informacao e Comunicacao (PSIC);

2. Definir o escopo da Seguranca da Informacao e Comunicacao (SIC) em termos do


mapeamento da missao dos orgaos da Administracao P
ublica Federal (APF) e dos
correspondentes requisitos da Seguranca da Informacao e Comunicacao (SIC);
66

Figura 6.2: Representacao do mapeamento do PMBOK e o gap de implantacao do


SGSIC

3. Estabelecer um esquema da analise de risco e controle de risco na abordagem de


Gestao de Risco a Informacao; e

4. Elaborar a Declaracao de Aplicabilidade em termos dos objetivos dos controles se-


lecionados, os atualmente implantados e os excludos.

Na fase Fazer e observado pelo projeto o desdobramento das principais atividades

1. Selecionar os controles de seguranca para atender aos objetivos de controle;

2. Implementar os controles selecionados para atender aos objetivos de controle;

3. Implantar metricas de afericao da eficacia dos controles e grupos de controle seleci-


onados;

4. Implementar programas de conscientizacao e treinamento; e

5. Implementar processos e controles que suportem a deteccao de eventos de seguranca


da informacao e resposta a incidentes de seguranca da informacao.

Com base nessas duas enumeracoes de atividades e considerada uma Declaracao do


Escopo Preliminar, em termos das macro-atividades do SGSIC, listadas abaixo:

1. A necessidade do estabelecimento de uma Poltica de Seguranca da Informacao (PSI)


com os objetivos para a Seguranca da Informacao e Comunicacao (SIC);

2. O entendimento dos requisitos da Seguranca da Informacao e Comunicacao (SIC)


por meio do treinamento e conscientizacao;
67

3. O controle dos riscos por meio da Gestao de Riscos de Seguranca da Informacao e


comunicacao;

4. A monitoracao e analise critica da eficacia do SGSIC;

5. O uso das medicoes para orientar a melhoria continuada do ciclo de gestao; e

6. A documentacao e registros para a auditoria e verificacao da conformidade interna.

A Declaracao de Escopo Preliminar fornece os recursos para a construcao da EAP do


projeto para o incio do projeto.

6.1.1 O Roteiro da Metodologia do GT-2005 no Ciclo PDCA

Os componentes do Roteiro da Metodologia sao os seguintes (GT-2005, 2006):

1. Mecanismo de gerenciamento dos processos: ciclo PDCA;

2. Elementos de planejamento (diagnostico da situacao e estruturacao da solucao):

(a) Entradas do processo de planejamento (Plan):

i. escolha de escopo;
ii. analise de riscos;
iii. definicao dos controles de seguranca;.

(b) Sada do processo de planejamento:

i. documentacao que consolida a estruturacao da solucao.

3. Elementos de execucao (Do):

(a) Entradas do processo de implementacao:

i. documentacao que consolida a estruturacao da solucao.

(b) Sada do processo de execucao:

i. acoes concretas, exeq


uveis, verificaveis, mensuraveis, passveis de acom-
panhamento que implementam o previsto no planejamento.

4. Elementos de verificacao:

(a) Entradas do processo de verificacao:

i. Eventos resultantes do planejamento;


68

ii. Indicadores e demais elementos de verificacao compatveis com acoes de


execucao monitoradas.

(b) Sada do processo de verificacao:

i. Leitura dos indicadores;


ii. Tomada de decisao com as seguintes possibilidades:
A. manutencao da conducao da solucao corrente;
B. replanejamento e, em conseq
uencia, nova execucao de algumas acoes
cujo resultado nao for satisfatorio;
C. potencializacao, se possvel, das acoes com resultado acima do espe-
rado.

5. Elementos de acao:

(a) Entradas do processo de adequacao:

i. Resultado da tomada de decisao da fase de verificacao.

(b) Sada do processo de verificacao:

i. Acoes necessarias para implementacao das acoes de adequacao dos desvios,


potencializacao dos resultados ou manutencao das acoes correntes.

6.2
O Mapeamento do Projeto nas Areas de Conheci-
mento do PMBOK

O mapeamento nas areas de conhecimento do projeto comeca pela consideracao do


ciclo de vida do projeto, composto pelo conjunto das fases: iniciar, planejar, executar,
controlar e encerrar. Cada uma destas fases e caracterizada por compromissos que sao
formalizados em termos de componentes que estao relacionados entre si pelos tres docu-
mentos principais de um GP: o Termo de Abertura do Projeto, a Declaracao de Escopo
do Projeto e o Plano de Gerenciamento do Projeto (PMI, 2004b), conforme a figura 6.3.

6.2.1 A Fase de Inicia


c
ao

Nesta fase, e necessario determinar a especificacao do produto ou servico, elaborar


o plano estrategico para o projeto, estabelecer criterios de selecao e levantar o historico
relativo a evolucoes das necessidades de seguranca e vulnerabilidades organizacionais.
69

Figura 6.3: Principais documentos do plano de projeto (PMI, 2004a)


70

Do ponto de vista do Gerente do Projeto e a partir do escopo do projeto que comeca o


trabalho, pois, e necessario definir um plano de acao corporativo alinhado com os objetivos
da direcao, obtendo-se o cenario de grau de seguranca desejado a alcancar, que leve a`
confeccao da EAP ou WBS, para subsidiar a implantacao dos controles nos diversos planos
de projeto. O Gerente do Projeto comeca pelo escopo preliminar a partir de requisitos
ao projeto, nesse mapeamento, o escopo preliminar do produto ja esta enderecado pelo
seguintes elementos: o modelo de gestao, a metodologia de implantacao e o conjunto de
controles que servirao de parametros para os processos de auditoria do controle interno.

A EAP, nesse caso, podera ser elaborada por inspecao desses elementos, que estao
descritos nos anexos do relatorio do GT-2005, considerando tambem, as necessidades
das fases Planeje e Faca do ciclo PDCA. Na fase de iniciacao do projeto nao se define
inteiramente o escopo do projeto, mas o escopo preliminar que pode ser afetado por um
eventual estudo de viabilidade. O escopo preliminar e o documento que participa no
fluxograma de processos em todas as areas de conhecimento do projeto (PMI, 2004b).

6.2.2 A Fase Planejamento

Nesta fase, e necessario definir o desdobramento do escopo, em termos das atividades


a serem realizadas: elaboracao de cronograma, planejamento de custos, de qualidade e
de aquisicoes e a formacao de equipe, tambem sera realizado o planejamento do gerenci-
amento do risco, constitudo da identificacao de riscos, analise qualitativa e quantitativa
e planejamento de respostas a riscos das vulnerabilidades de Seguranca da Informacao
identificadas na Organizacao e os riscos do gerenciamento do projeto propriamente dito.

Muito importante e escolha do metodo de avaliacao do risco, pois implicara na estra-


tegia da Gestao de Risco.

Outros exemplos de acoes sao: a criacao do comite interdepartamental de seguranca,


o incio da capacitacao em seguranca de tecnicos e executivos, a criacao da poltica de
seguranca da informacao e a realizacao de acoes corretivas e imediatas a partir das vul-
nerabilidades identificadas e preparacao do ciclo da analise e avaliacao de risco.

6.2.3 A Fase de Execu


cao

Nesta fase, e elaborado o plano de projeto, o plano da qualidade, a estruturacao e


desenvolvimento da equipe, os metodos e tecnicas para as aquisicoes e formas de admi-
nistrar contratos. No projeto de implantacao SGSIC, as atividades de divulgacao da SIC
71

na Organizacao, a capacitacao de todos os funcionarios envolvendo-os no projeto, alem


do esforco de alcancar o comprometimento de cada um. Tambem faz parte desta etapa
implementar os controles pre-definidos em todos os ambientes de acordo com a poltica
de seguranca e planos executivos.

6.2.4 A Fase de Encerramento

O encerramento do projeto ocorre apos seus objetivos terem sido atingidos. O encerra-
mento requer documentacao dos resultados a fim de formalizar a aceitacao dos resultados,
os produtos. O encerramento do projeto requer a confirmacao de que os produtos propos-
tos estao adequados a`s especificacoes e se os objetivos foram atingidos. Isto podera ser
demonstrado a partir de medicoes e relatorios com os resultados alcancados e comparados
necessario o arquivamento que toda documentacao gerada em cada
com os propostos. E
um das fases do ciclo. As licoes aprendidas tambem deverao ser descritas e representadas
em banco de dados, ou banco de conhecimentos, para os posteriores processos de melhoria
continuada da gestao e tambem de suporte aos subprojetos remanescente.

6.2.5 Os Principais Documentos de Projeto

Existem tres documentos principais descritos no Guia PMBOK e cada um deles possui
um objetivo especfico:

1. Termo de abertura do projeto, que autoriza formalmente o projeto;

2. Declaracao do escopo do projeto, que determina qual trabalho devera ser realizado
e quais entregas precisam ser produzidas;

3. Plano de gerenciamento do projeto, que determina como o trabalho sera realizado.

O plano de gerenciamento do projeto e formado pelos planos e documentos gerados


pelos diversos processos. Esses itens sao os planos e componentes auxiliares do plano de
gerenciamento do projeto.

Na figura 6.4, o fluxograma de processo e uma representacao sumarizada das entradas e


sadas do processo que passam por todos os processos dentro de uma area de conhecimento
especfica. Embora os processos estejam apresentados aqui como elementos distintos com
interfaces bem definidas, na pratica eles sao iterativos e podem se sobrepor e interagir
72

Figura 6.4: Fluxograma de processos nas areas de conhecimento (PMI, 2004a)


73

de maneiras nao detalhadas aqui (PMI, 2004a). Podemos a partir desse fluxo global,
decompor nas areas de conhecimento em termos de componentes que sao documentos.

6.2.6 Gerenciamento da Integrac


ao

Na area de gerenciamento da integracao tem-se tradicionalmente os seguintes docu-


mentos, representados no mapa mental da figura 6.5.

Figura 6.5: Documentos do Gerenciamento da Integracao (VARGAS, 2007)

Os documentos Apresentacao do Projeto e Termo de Abertura do projeto sao essen-


ciais para todo o conjunto de processos. Um outro e a Declaracao do Escopo do Projeto
da area do Gerenciamento do Escopo do Projeto.

Figura 6.6: Exemplo do formato do Grafico de Gantt

O Grafico de Gantt sintetiza a estrutura do projeto em termos de sua atividades


maiores, sem a alocacao de recursos.
74

O Sistema de Controle Integrado de Mudancas para o caso especfico e fixo e esta


apresentado no fluxo representado na figura 6.7.

Figura 6.7: Fluxo do Sistema de Controle Integrado de Mudancas (VARGAS, 2007)

6.2.7 Gerenciamento de Escopo

Na area de gerenciamento de escopo tem-se tradicionalmente os seguintes documentos,


representados no mapa mental da figura 6.8.

A EAP, o componente mais importante do projeto, nao deve ter variacao, pois reflete
as atividades a serem desenvolvidas pela metodologia de implantacao do SGSIC. O que
pode ocorrer e a necessidade de atividades complementares resultantes da execucao do
metodo, como o treinamento da Equipe ou desenvolvimento da Poltica de Seguranca
com base nas contra-medidas resultantes dos achados da metodologia. A EAP Analtica e
fornecido com a impressao das listas de atividades constantes no Microsoft Project, como
e mostrado na figura 6.9.

A EAP na forma de mapa hierarquico e apresentada na figura 6.10.


75

Figura 6.8: Documentos da Gerenciamento de Escopo (VARGAS, 2007)

Outro componente e o dicionario da EAP que pode ser preenchido como esta apresen-
tado abaixo, ou apenas imprimindo-se as anotacoes das tarefas constantes no Microsoft
Project. Pela especificidade do projeto, em se tratando da atividade especifica de analise
de vulnerabilidade da infra-estrutura para a avaliacao de risco, temos a seguir;

Figura 6.9: Exemplo do formato da EAP Analtica

Podemos considerar no Gerenciamento do Escopo o conjunto de fatores de sucesso


para o projeto de implantacao SGSIC, abaixo elencados:

1. Planejar detalhadamente as etapas do projeto, pois isso e chave para o sucesso na


execucao do sucesso do projeto;
76

Figura 6.10: Exemplo do formato da EAP Hierarquica


77

2. Definir o escopo na fase inicial do projeto, pois, nao importa quanta experiencia o
gerente de projeto tenha, e difcil compensar a falta de definicao inicial do escopo
em etapas posteriores;

3. Usar uma abordagem-padrao para o projeto, se possvel, garantir que haja atencao
aos requisitos negociados das partes interessadas e que o orgao cliente tenha uma
definicao clara do que o projeto requer, para minimizar a probabilidade de numerosas
mudancas durante o ciclo de vida do projeto;

4. Argumentar sempre se os anseios do cliente que aparentemente nao tem relacao com
a resolucao do problema;

5. Descrever as restricoes e premissas no plano de gerenciamento do escopo e revisa-


las periodicamente, elas devem ser includas na declaracao do trabalho conforme as
necessidades;

6. Verificar se alguns componentes crticos estao descritos no plano de gerenciamento


do escopo: a declaracao de trabalho, a EAP e as entregas, o processo de controle de
mudancas, as restricoes e premissas e as responsabilidades de cada parte;

7. Detalhar com precisao o que esta fora do escopo;

8. Fazer uma analise de risco ao projeto detalhada quando as entregas dependerem


de trabalhos fornecidos por subcontratadas ou quanto for exigida estimativas para
sistemas crticos das organizacoes da APF;

9. Gerenciar as mudancas de modo a garantir que quaisquer alteracoes no escopo acor-


dado estejam alinhadas com mudancas no cronograma, no orcamento e no valor do
contrato do projeto; e

10. Revisar o escopo e as entregas com o cliente, bem como o cronograma resultante e es-
tabeleca um procedimento para controle e gerenciamento de questoes em aberto (SO-
TILLE, 2007).

6.2.8 Gerenciamento de Tempo

Na area de gerenciamento de tempo tem-se tradicionalmente os seguintes documentos,


representados no mapa mental da figura 6.12.
78

Figura 6.11: Dicionario da EAP no Microsoft Project

A Lista de Atividades e a Lista de Atividades com Duracao sao construdas e mantidas


no Microsoft Project, de onde podem ser impressas em formato de formulario/relatorio.
Na figura 6.13 e apresentado o formato com duracao, os valores de duracao sao meramente
ilustrativos.

A Lista de Recursos do Projeto e construda e mantida no Microsoft Project, de onde


pode ser impressa em formato de formulario/relatorio. O formato e apresentado na figura
6.14; os valores constantes na figura sao meramente ilustrativos.

O documento de Alocacao de Recursos e construdo e mantido no Microsoft Project,


de onde pode ser impresso em formato de formulario/relatorio.

O Grafico de Gantt e construdo e mantido no Microsoft Project, de onde pode ser


impresso em formato de formulario/relatorio, entretanto, como ele retrata o cronograma
do projeto, deve ser aprovado no formato acordado previamente.

O Diagrama de Rede e um tradicional documento utilizado para calculo de folgas


e avaliacao do caminho crtico, mas em se tratando especificamente do projeto de im-
plantacao do SGSIC, nao ha possibilidade de haver paralelismo entre as atividades pela
abordagem adotada nesse trabalho, pois o resultado de uma fase e necessariamente utili-
zado nas seguintes, tornando-o seq
uencial. Mesmo assim e possvel obte-lo no Microsoft
Project, de onde pode ser impresso em formato de formulario/relatorio.

O Gerenciamento do Tempo demonstra-se particularmente difcil quando do projeto


de implantacao SGSIC na APF, isto porque, o proprio gerenciamento de projetos em
geral enfrenta diversos paradoxos, se considerado o gerenciamento de tempo, temos menos
79

Figura 6.12: Documentos da Gerencia de Tempo (VARGAS, 2007)

recursos e temos que fazer mais atividades, ser mais produtivos, mas ao mesmo tempo
economizar e manter a qualidade do produto a ser entregue, alem disso, e preciso entregar
todo o escopo combinado dentro do prazo especificado ou antes.

A dificuldade comeca pelo escopo e a sua influencia. Nos tres itens derivados da gestao
do escopo estao os insumos para o processo de definicao das atividades:

1. Declaracao do escopo do projeto;

2. Estrutura analtica do projeto EAP; e

3. Dicionario da EAP.

O objetivo do projeto, materializado pela declaracao de escopo, contem a estrategia


da organizacao para o projeto, informacao crucial para o desenvolvimento da EAP, para
a definicao das atividades e o restante dos processos e planejamento, desta forma esses
insumos criam a complexidade da escolha das alternativas para a construcao dessa EAP.

O Gerenciamento do Tempo deve adotar uma estrategia apropriada para controlar


essa complexidade (BACAUI, 2007).

6.2.9 Gerenciamento de Custos

Nesta proposta de projeto onde as duas organizacoes envolvidas sao instituicoes go-
vernamentais, e os trabalhos realizados sao firmados atraves de Termos de Cooperacao ou
80

Figura 6.13: Formato da Lista de Atividades com Duracao

Figura 6.14: Formato da Lista de Recursos

Convenios, a area de custos nao e abordada. Neste contexto, nao abordaremos esta area
de gerenciamento. Para estudos futuros sobre os documentos tradicionalmente utilizados,
recomendamos consultar (VARGAS, 2007).

6.2.10 Gerenciamento de Qualidade

Na area de gerenciamento de Qualidade tem-se tradicionalmente apenas o Plano de


Gerenciamento da Qualidade, mas podemos contemplar outros documentos, representados
no mapa mental da figura 6.15.

A Gerencia de Qualidade do Projeto aplicada a implantacao do SGSIC inclui os pro-


cessos necessarios para satisfazer as necessidades para as quais o projeto foi criado. Isso
inclui procedimentos para o planejamento, a garantia e o controle da qualidade.

Deve-se ter em mente a compatibilidade do projeto com os outros modelos: a Go-


vernanca de TI, e principalmente, as normas referenciadas pela Associacao Brasileira de
Normas Tecnicas (ABNT) Norma Brasileira (NBR) ISO/ International Electrotechnical
81

Figura 6.15: Documentos do Gerenciamento de Qualidade (VARGAS, 2007)

Commission (IEC) 27001:20051 .

A Gerencia de Qualidade deve ser direcionada tanto para o projeto, area de conheci-
mento do Gerenciamento da Qualidade do Projeto, quanto para o produto final do projeto,
no caso, a implantacao dos controles de seguranca baseada na NBR ISO/ IEC 27002:2005
Codigo de Pratica para a Gestao da Seguranca da Informacao) e da gestao de riscos
baseada na NBR ISO/ IEC27005:2008 Gestao de Risco de Seguranca da Informacao.

6.2.11 Gerenciamento de Recursos Humanos

Na area de gerenciamento de Recursos Humanos tem-se tradicionalmente os seguintes


documentos, representados no mapa mental da figura 6.16.

Figura 6.16: Documentos da Gerenciamento de Recursos Humanos (VARGAS, 2007)

O documento contendo a Listagem dos Recursos Humanos do Projeto e construda


e mantida no Microsoft Project, de onde pode ser impressa em formato de formula-
rio/relatorio. A seguir e apresentado o formato, novamente de forma ilustrativa.
1 ABNTNBRISO/9001:2000 Sistema de Gestao de Qualidade/ Requisitos;
ABNTNBRISO/14001:2004 Sistemas da Gestao Ambiental/Requisitos com orientacoes para
uso; ABNTNBRISO/19011:2002 Diretrizes para Auditorias de Sistema de Gestao da Qualidade e/ou
Ambiental; ABNTNBRISO/Guia 62:1997 Requisitos Gerais para Organismos que Operam Avaliac ao
e Certificac
ao/Registro de Sistemas da Qualidade
82

Figura 6.17: Formato da Listagem de Recursos Humanos (VARGAS, 2007)

O documento contendo o Diagrama de Funcoes e obtido no Microsoft Project, podendo


ser impressa em formato de formulario/relatorio.

A Gerencia de Recursos Humanos do Projeto aplicada a implantacao do SGSIC inclui


os processos necessarios possibilitar o uso mais eficiente de todas as pessoas envolvidas no
projeto, dentre patrocinadores, clientes e outros mais.

A Gerencia de Recursos Humanos envolve o planejamento organizacional, a criacao e


o desenvolvimento de equipes de trabalho. Destaca-se o treinamento como parte de uma
esquema maior para aumentar as habilidades e os conhecimentos de todos, com relacao a`
SIC no ambito da implantacao do SGSIC.

A Gerencia de Recursos Humanos do Projeto tem os processos para obter as opor-


tunidades de superar as dificuldades da cultura organizacional, por uma abordagem de
valorizacao do capital humano a partir do aumento das habilidades e dos conhecimento
de todos os envolvidos (MULCAHY, 2007).

6.2.12 Gerenciamento de Comunicac


oes

Na area de gerenciamento de comunicacoes tem-se tradicionalmente apenas o Plano


de Gerenciamento das Comunicacoes, representados no mapa mental da figura 6.18.

Uma comunicacao eficaz no projeto e a chave para o sucesso de um projeto, atividades


formais de comunicacao representam consumo de tempo de comunicacao e esforco pessoal.
Por isso, deve-se considerar, na estrategia e no plano de comunicacao, o cronograma,
restricoes de recursos e a carga administrativa incidentes sobre as partes interessadas do
projeto.

As comunicacoes em projetos ocorrem em entrevistas, reunioes, palestras, relatorios


escritos ou impressos e com auxlio eventual de computadores e da rede de telecomunica-
83

Figura 6.18: Documentos da Gerencia de Comunicacoes (VARGAS, 2007)

coes.

A correta identificacao do p
ublico-alvo e o primeiro passo para saber o que deve ser
produzido, para quem e em que quantidade e formato. Necessidades de informacao de alta
administracao sao diferentes daquelas da area contabil e auditoria. Informacoes julgadas
adequadas para gerentes e chefias podem ser insuficientes para profissionais de areas tec-
nicas e de implantacao, e ainda consideradas por demais detalhadas e desnecessarias para
patrocinadores ou diretores.

Dessa forma, e necessario balancear os requisitos de informacao com o tempo para


a preparacao de relatorios, e nao e recomendavel permitir que as atividades de reporte
interfiram com as atividades produtivas do projeto ou que estas sejam impactadas com o
tempo dedicado a reunioes e apresentacoes do projeto.

Devemos sempre, avaliar os resultados da comunicacao ao termino de cada comuni-


cacao efetuada e importante avaliar-se o impacto e os resultados que a comunicacao gerou
no seu p
ublico-alvo, gerando um feedback do que pode ser aprimorado, ajuste e melhorias
para as proximas comunicacoes (CHAVES, 2007).

6.2.13 Gerenciamento de Riscos

Na area de gerenciamento de Riscos tem-se tradicionalmente apenas o Plano de Ge-


renciamento de Riscos, representados no mapa mental da figura 6.19.

No Gerenciamento de Risco do Projeto, o futuro do projeto e feito de incertezas


84

Figura 6.19: Documentos da Gerencia de Riscos (VARGAS, 2007)

e oportunidades, demandando formas estruturadas para nos habilitar ao controle desse


futuro, e o fator crtico de sucesso para o projeto e tem uma semantica propria, la existem
riscos do tipo impacto e do tipo oportunidade ao projeto.

O Gerenciamento de Risco e interpretado em termos da restricao tripla do projeto e


a exposicao aos impactos e oportunidades. O Gerenciamento de Risco inclui os proces-
sos necessarios para possibilitar a identificacao do risco que envolve a maximizacao de
resultados positivos e a minimizacao de resultados negativos.

O Gerenciamento no ambito do projeto de implantacao do SGSIC e encarado nao


somente como perdas e danos, mas principalmente como perdas de oportunidades. No
caso devemos tambem contemplar os planos de contingencia para evitar e minimizar os
riscos, contudo, sempre havera no projeto uma margem de risco residual que devera ser

assumida por seus executores (SALLES JUNIOR, 2007).

O Gerenciamento de Risco do Projeto de implantacao do SGSIC na APF deve con-


siderar a separacao, tanto para o projeto quanto para o produto final, em termos do
Gerenciamento de Risco ao Projeto no PMBOK, como tambem dos riscos a serem tra-
tados pela Gestao do Risco conforme a NBR ISO/ IEC 27005:2008 Gestao de Risco
de Seguranca da Informacao. Esta separacao clara e objetiva e mapeada na Estrutura
Analtica dos Riscos do PMBOK.

6.2.14 Gerenciamento de Aquisico


es

Nesta proposta de projeto onde as duas organizacoes envolvidas sao instituicoes go-
vernamentais, todas as aquisicoes sao feitas de forma centralizada pela instituicao e com
previsao anual, inclusive os treinamento e participacao em eventos, nao sendo especi-
ficados projetos ou acoes coordenadas. Neste contexto, nao abordaremos esta area de
85

gerenciamento. Para estudos futuros sobre os documentos tradicionalmente utilizados,


recomendamos consultar (VARGAS, 2007).

Para que os projetos tenham qualidade, custos e prazos adequados e fundamental um


bom gerenciamento das aquisicoes, de forma que nao tenham impactos negativos para o
seu desempenho. O Gerente do Projeto deve estar atento para as oportunidades e riscos
desses cenarios.

Atualmente o ambiente globalizado e cada vez mais especializado em que estamos


inseridos, leva a um crescimento, a cada dia, da necessidade de aquisicoes de produtos e
servicos, e aquisicoes mal conduzida terao impactos negativos no sucesso do gerenciamento
do projeto, especialmente no cumprimento de prazos e orcamentos e na qualidade dos
produtos e servicos produzidos, podendo gerar a insatisfacao das partes.

Um aspecto importante a ser levado em consideracao por clientes, na decisao de


adquirir produtos ou servicos para projetos, consiste no fato de que, uma vez contratada
parte do escopo do projeto, o cliente e, portanto, a equipe do projeto dependerao do
fornecedor para o sucesso dele.

Embora um contrato geralmente procure conter todos os pontos e transferir para


o fornecedor os riscos inerentes ao mesmo, e sempre bom que exista uma margem de
negociacao e de tolerancia durante o fornecimento do produto ou servico contratado.
Desta forma, fica a sugestao: a negociacao com o fornecedor do que a aplicacao das penas
contratuais previstas no contrato, que podem vir a ser danosas para o projeto, pois podem
significar, atrazos no cronograma ou aumento de custos (XAVIER, 2007).
importante para o projeto de implantacao da SGSIC na APF que o gerente desse
E
projeto tenha em mente a importancia desse processo e procure desenvolver conhecimento
e habilidades no assunto, o que ira contribuir para uma maior chance de sucesso do
projeto. Embora na APF as aquisicoes do projeto se desenvolvam em cenarios que o
Gerente de Projeto aparentemente nao tenha a capacidade influenciar, existem processos
no gerenciamento de aquisicao que podem obter oportunidades de controlar os riscos
nestas formas de aquisicao (XAVIER, 2007).
86

7 Consideracoes Finais

A implantacao de um SGSIC na APF e tarefa complexa que exige uma visao holstica.
A orientacao ao ciclo PDCA da SGSIC com a abordagem do PMBOK de gerenciamento
de projeto fornece as maneiras de administrar essa complexidade e controlar os riscos da
implantacao do SGSIC na APF.

A orientacao a processos do ciclo PDCA tem uma grande afinidade com o estilo de
orientacao ao gerenciamento de projetos do PMBOK. As areas de conhecimento, as
metricas de avaliacao e principalmente a documentacao gerada pelas licoes aprendidas no
projeto implementacao do SGSIC sao fatores crticos de sucesso para a criacao da cultura
de Gestao da Seguranca da Informacao e Comunicacao.

O modelo de abordagem de projeto PMBOK e um componente do framework da


Governanca de TI, e e responsavel pela base de conhecimento em gestao de projetos; a
enfase do modelo e sobre a gestao de projetos e nao sobre a engenharia do desenvolvimento
de produtos resultante do projeto.

No desenvolvimento dessa monografia, observamos que mesmo em se tratando de


orgaos governamentais, que possuem varias especificidades em sua atuacao, e possvel
utilizar os metodos e os processos conhecidos e desenvolvidos em outras areas de aplicacao,
como no caso de analise de risco, utilizando a abordagem do gerenciamento de projetos
com o PMBOK. Apos a delimitacao do escopo, observa-se que o grau de formalidade
documental aumenta substancialmente e, por conseguinte, tambem, a distribuicao de
responsabilidades dentro do projeto. A clara atribuicao das responsabilidades eleva a
qualidade, a facilidade de deteccao de riscos e dos problemas de implantacao do SGSIC.

Solucoes centralizadas a nvel federal criam o gap conceitual pela m


ultipla interacao
dos diversos contextos dos orgaos da APF. Na abordagem do PMBOK proposta esse
gap e reduzido e ate controlado pela interacao e inter-relacionamento do Gerenciamento
do Escopo e da Integracao do Projeto, concorrentes na APF, ganha-se assim a oportu-
nidade de avancar alem da satisfacao dos requisitos do controle interno, e contempla-se
87

os princpios e modelos da Governanca de TI, a partir dos quais, preencheremos os gaps


conceituais da implantacao de um SGSIC na APF, pelo concurso da abordagem PMBOK
e de outras abordagens do modelo de Governanca de TI.

Outra consequencia imediata e a formacao de uma base de conhecimento documental


padronizada que servira de referencia em trabalhos futuros, para a analise e a melhoria
dos processos, que por sua vez, trara muitos benefcios a` Administracao P
ublica Federal,
e principalmente para os gestores da Seguranca da Informacao e Comunicacao.

7.1 Sugest
oes de Trabalhos Futuros

possvel que este trabalho se estenda, estruturando um PMO na APF, onde tera-
E
mos todas as areas de gerenciamento e abordando mais amplamente outros aspectos do
PMBOK aplicado no PDCA, como: metodologia de definicao dos projetos, estruturacao
de equipes, licitacoes, rateio de custo entre projetos, sistema de alocacao de recursos go-
vernamentais, planejamento institucional, missao da instituicao, objetivos institucionais
de pesquisa e desenvolvimento dos sistemas para a GSIC da APF.

Um extensao mais abrangente da abordagem da proposta no trabalho de pesquisa


e a criacao de uma realimentacao entre os processo de manter e melhorar (Act) do
PDCA, em termos de um re-projeto de implantacao do SGSIC da APF, contando com
o florescimento de uma area de gerenciamento de mudanca do projeto, para inicializar o
novo ciclo de implantacao das melhorias do SGSIC.
88

Indice Remissivo

PMBOK, 20 ISO/IEC
PMI, 21 20071, 17
gap, 16 20072, 17
gap conceitual ITIL, 17
da implantacao do SGSIC, 62
6 , 17 modelo de referencia, 42
Modelos ISO, 17
boas praticas, 18
BSC, 17 OPM3, 17

ciclo PDCA, 57 P3M3, 17


CMMI, 17 PMBOK, 17
COBIT, 17 Guia, 18, 20
PMO, 37
EAP, 18 princpio
eSCP-CL, 17 de implementacao
eSCP-SP, 17 da especializacao, 54
escritorio de gerenciamento de projetos, da replicacao, 54
37 da transversalidade, 53
estrategia PRINCE2, 17
da implantacao, 47 processos
de processo de modelo, 103 de encerramento, 38
de seguranca da informacao, 48 de execucao, 38
pra implementacao, 52 de gerenciamento de projeto, 38
de iniciacao, 38
gerenciamento de monitoracao e controle, 38
das comunicacoes do projeto, 32 de planejamento, 38
da integracao, 73
da qualidade do projeto, 29 relatorio
de aquisicoes do projeto, 34 relatorio do GT-2005, 2
de integracao do projeto, 24 restricao tripla dos projetos, 36
de recursos humanos, 31
de riscos do projeto, 33 SAS 70, 17
de tempo do projeto, 28 seguranca
do escopo do projeto, 25 ataques a`, 45
Governanca mecanismos de, 45
de TI, 42 servicos de, 45
Grupo de Trabalho Metodologia 2005, 2 Servico
Primario
ICP-Brasil, 2 da Autenticidade, 46
89

da Confidencialidade, 46 de Nao Rep


udio, 47
da Disponibilidade, 45
da Integridade, 45 TOGAF, 17
Secundario
de Controle de Acesso, 47 Val IT, 17
90

Referencias Bibliograficas

ABNT. Gestao de riscos Vocabulario Recomendacos para uso em normas: NBR


ISO/IEC Guide 73. [S.l.], 2005.

ABNT. Tecnologia da Informacao - Codigo de pratica para a gestao da seguranca da


informacao: NBR ISO/IEC 17799. Rio de Janeiro, 2005.

ABNT. Tecnologia da Informacao - Codigo de pratica para a gestao da seguranca da


informacao Requisitos: NBR ISO/IEC 27001. Rio de Janeiro, 2006.

ALBERTS, C.; DOROFEE, A. Octave Criteria 2.0. Pittsburgh, PA, 2001. Acesso em 12
de setembro de 2007.

ALBERTS, C.; DOROFEE, A. Introduction to the OCTAVE Approach. Pittsburgh,


PA, 2003. Acessado em 12 de setembro de 2007.

BACAUI, A. B. Gerenciamento do tempo em projetos. 2. ed. Rio de Janeiro: Editora


FGV, 2007. ISBN 85-225-0550-0.

BEMQUERER, M. Acordao 2023/2005 - Plenario. 2005. Acessado atraves da ferramenta


em http://contas.tcu.gov.br/portaltextual/ServletTcuProxy. Acessado em 11 de
outubro de 2008.

BRITTO, A. C. P. de; PINCOVSCY, J. A. Implementacao de Analise de Risco Seguindo


o PMBOK. Dissertacao (Mestrado) Centro Universitario Euroamericano, Braslia,
Junho 2008. Trabalho de conclusao de curso MBA em Gerenciamento de Projetos.

BRITTO, A. C. P. de; SOUSA, C. M.; PINCOVSCY, J. A. Metodologia de Analise


de Risco Risco@Gov. Braslia, Agosto 2008. Elaborado pela Coordenacao Geral de
Seguranca de Sistemas de Informacao do Centro de Pesquisa e Desenvolvimento para
Seguranca das Comunicacoes (CEPESC).

CANEDO, E. Introducao ao Gerenciamento de Projetos. Braslia: [s.n.], 2007. Apostila


utilizada no MBA da UNIEURO.

CANONGIA, C. et al. Convergencia da Inteligencia Competitiva com Construcao de


Visao de Futuro: Proposta Metodologica de Sistema de Informacao Estrategica (sie).
DataGramaZero: Revista de Ciencia da Informacao, Rio de Janeiro, v. 2, 2001.

CARDOSO, F. H. Decreto n 3.505. junho 2000. Acessado em http://www.planalto.


gov.br/ccivil_03/decreto/D3505.htm. Acessado em 11 de outubro de 2008.

CHAVES, L. E. Gerenciamento da comunicacao em projetos. 1. ed. Rio de Janeiro:


Editora FGV, 2007. ISBN 85-225-0563-2.
91

CICCO, F. de. Gestao de Riscos: AS/NZS 4360:200 guide 73. [S.l.], Dezembro 2004.

CMU/SEI. Risk Management Paradigm. Acessado em http://www.sei.cmu.edu/risk/


paradigm.html. Acessado em 7 de outubro de 2008.

FELIX, J. A. Portaria de 22 de novembro de 2005. novembro 2005. Primeira portaria do


Conselho de Defesa Nacional no Diario Oficial da Uniao de 23 de novembro de 2005,
n
umero 244, secao 2, pagina 3.

FELIX, J. A. Portaria de 20 de janeiro de 2006. janeiro 2006. Portaria do Conselho de


Defesa Nacional no Diario Oficial da Uniao de 22 de novembro de 2005, n
umero 16, secao
2, pagina 2.

FELIX, J. A. Instrucao Normativa GSI/PR n 1, de 13.06.2008. junho 2008. Instrucao


Normativa publicada no Diario Oficial da Uniao de 18 de junho de 2008, n
umero 115,
secao 1, pagina 6.

FELIX, J. A. Portaria n 33, de 13.10.2008. junho 2008. Portaria publicada no Diario


Oficial da Uniao de 15 de outubro de 2008, n
umero 200, secao 1, pagina 24.

FELIX, J. A. Portaria n 34, de 13.10.2008. junho 2008. Portaria publicada no Diario


Oficial da Uniao de 14 de outubro de 2008, n
umero 199, secao 1, pagina 1.

FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governanca de TI : Da


estrategia a` gestao dos processos e servicos. 2. ed. Rio de Janeiro: Brasport, 2008.

FERNANDES, J. H. C.; RALHA, C. G. Uma Introducao ao Gerenciamento de Servicos


em Organizacoes de TI, baseada no Modelo InformationTechnology Infrastructure Library
ITIL. 2005.

GT-2005. Metodologia para Gestao de Seguranca da Informacao para Administracao


P
ublica Federal. maio 2006. Acessado em https://www.governoeletronico.gov.
br/anexos/metodologia-para-gestao-de-seguranca-da-informacao/download.
Publicado pelo Grupo de Trabalho Metodologia 2005. Acesso em 16 de setembro de 2008.

ISO/IEC. Information technology Security techniques Information security incident


management: ISO/IEC 18044. [S.l.], 2004.

ISO/IEC. Information technology Security techniques Management of information


and communications technology security: Part 1: Concepts and models for information
and communications technology security management. [S.l.], 2004.

MACHADO, P. P. L.; BEZERRA, E. L.; LIMA, J. N. d. O. Fundamentos do


Modelo de Seguranca da Informacao. [S.l.], Agosto 2000. Acessado em http:
//www.lyfreitas.com/artigos_mba/Fundamentos_modelo_si.pdf. Acesso em 16 de
setembro de 2008.

MPOG. e-PING: Padroes de interoperabilidade de governo eletronico. 3.0. ed. [S.l.],


dezembro 2007.

MULCAHY, R. Preparatorio para Exame de PMP. 5. ed. [S.l.]: RMC Publications,


2007. ISBN 978-0-932735-08-6.
92

NAKAMURA, E. T.; LIMA, M. B. Estragegia de Protecao da Infra-estrutura Crtica da


Informacao. Campinas: Novatech, 2004.

NI-DSIC. Modelo de Implantacao e Gestao de Seguranca da Informacao e Comunicac oes


na Administracao P
ublica Brasileira. 2005. Acessado em http://gsisic.serpro.gov.
br/migsic/MIGSIC%20-%20Apresentacao.doc. Publicado pelo N ucleo de Implantacao
da Diretoria de Seguranca da Informacao e Comunicacoes. Acesso em 16 de setembro de
2008.

PMI. Project Management Body of Knowledge Guide. 3. ed. Pensilvania, novembro


2004.

PMI. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos: Guia


pmbok. 3. ed. [S.l.], 2004. Uma Norma Nacional Americana ANSI/PMI 99-001-2004.

RALHA, C. G. Gestao por Processos e Projetos. Braslia, 2008. Apostila do curso de


Especializacao em Ciencia da Computacao: Gestao da Seguranca da Informacao e
Comunicacoes.

RALHA, C. G.; G, F. R. Modelagem de Processos Aplicada na Gestao de um Ambiente


Real de TI. [S.l.], 2007.

ROCHA, S. J. J. Gerencia de Projetos de Software CMM&PMBOK. Janeiro 2004.


Acessado em http://www.pmtech.com.br/artigos/CMM&PMBOK.pdf. Acesso em 26 de
marco de 2008.

SALLES JUNIOR, C. A. C. Gerenciamento de riscos em projetos. 1. ed. Rio de Janeiro:
Editora FGV, 2007. ISBN 85-225-0582-9.

SOTILLE, M. A. Gerenciamento do escopo em projetos. 1. ed. Rio de Janeiro: Editora


FGV, 2007. ISBN 85-225-0579-9.

STONEBURNER, G. Underlying Technical Models for Information Technology Security.


Gaithersburg, Dezembro 2001.

TARAPANOFF, K. Inteligencia social e inteligencia competitiva. Encontro Bibli: Revista


Eletronica de Biblioteconomia e Ciencia da Informacao, 2004. Acessado em 20 de marco
de 2008.

VARGAS, R. V. Manual pratico de plano de projeto: utilizando o PMBOK guide. 3. ed.


Rio de Janeiro: Brasport, 2007. ISBN 978-85-7452-300-2.

VIEIRA, T. M. Direito `a Privacidade na Sociedade da Informacao. 1. ed. [S.l.]: Sergio


Antonio Fabris Editor, 2007.

XAVIER, C. M. d. S. Gerenciamento de aquisicoes em projetos. 1. ed. Rio de Janeiro:


Editora FGV, 2007. ISBN 85-225-0573-X.
93

Glossario

6 Conjunto de praticas, originalmente definido pela Motorola, para melhorar


processos e eliminar defeitos.

Aceitac
ao de riscos Decisao para aceitar um risco (ABNT, 2005a).

An
alise de riscos Uso sistematico da informacao para identificar as fontes e estimar
o risco (ABNT, 2005a).

Ativo Qualquer coisa que tenha valor para a organizacao (ISO/IEC, 2004b).

Autenticidade Propriedade de que a informacao foi produzida, expedida, modificada


ou destruda por uma determinada pessoa fsica, ou por um determinado sis-
tema, orgao ou entidade (FELIX, 2008a).

Avaliac
ao de risco Processo global da analise de risco e da valoracao do risco (ABNT,
2005a).

Ciclo de vida do produto Um conjunto de fases do produto que nao se sobrepoem,


geralmente em ordem seq
uencial, cujos nomes e quantidades sao determinados
pelas necessidades de fabricacao e controle da organizacao. A u
ltima fase do
ciclo de vida de um produto geralmente e a deterioracao e a morte do produto.
Geralmente, o ciclo de vida do projeto faz parte de um ou mais ciclos de vida
do produto (PMI, 2004a).

Ciclo de vida do projeto Um conjunto de fases do projeto, geralmente em ordem


seq
uencial, cujos nomes e quantidades sao determinados pelas necessidades de
94

controle da organizacao ou organizacoes envolvidas no projeto. Um ciclo de


vida pode ser documentado com uma metodologia (PMI, 2004a).

Confidencialidade Propriedade de que a informacao nao sera disponibilizada ou divul-


gada a indivduos, entidades ou processos sem autorizacao (ISO/IEC, 2004b).

Confidencialidade Propriedade de que a informacao nao esteja disponvel ou reve-


lada a pessoa fsica, sistema, orgao ou entidade nao autorizado e credenciado
(FELIX, 2008a).

Conhecimento Saber alguma coisa com a familiaridade obtida atraves de experiencia,


formacao, observacao ou investigacao; significa entender um processo, uma
pratica ou uma tecnica, ou como usar uma ferramenta (PMI, 2004a).

Conjunto de conhecimentos em gerenciamento de projetos Uma expressao


que significa literalmente Project Management Body of Knowledge (PMBOK),
e tem uma abrangente que descreve a soma dos conhecimentos contidos na
profissao de gerenciamento de projetos. Assim como em outras profissoes
como advocacia, medicina e contabilidade, o conjunto de conhecimentos
pertence aos profissionais e academicos que o aplicam e o desenvolvem. O
conjunto de conhecimentos em gerenciamento de projetos completo inclui
praticas tradicionais comprovadas amplamente aplicadas e praticas inovadoras
que estao surgindo na profissao. O conjunto de conhecimentos inclui materiais
publicados e nao publicados (PMI, 2004a).

Contrato Um contrato e um acordo que gera obrigacoes para as partes, e que obriga o
fornecedor a oferecer o produto, servico ou resultado especificado e o comprador
a pagar por ele (PMI, 2004a).

Controle Comparacao entre o desempenho real e o planejado, analise das variacoes,


avaliacao das tendencias para efetuar melhorias no processo, avaliacao das
alternativas possveis e recomendacao das acoes corretivas adequadas, conforme
necessario (PMI, 2004a).

Declarac
ao de aplicabilidade Declaracao documentada que descreve os objetivos de
controle e controles que sao pertinentes e aplicaveis ao sgsi da organizacao. Vale
notar que os objetivos de controle e controles estao baseados nos resultados e
95

conclusoes do processo de avaliacao de risco e tratamento de risco, requisitos


legais ou regulatorios, obrigacoes contratuais e os requisitos de negocio da
organizacao para a seguranca da informacao (ABNT, 2006).

Declarac
ao do escopo do projeto A descricao do escopo do projeto, que inclui as
principais entregas, os objetivos, suposicoes e restricoes do projeto e uma de-
claracao do trabalho, que fornece uma base documentada para futuras decisoes
do projeto e para confirmar ou desenvolver um entendimento comum do escopo
do projeto entre as partes interessadas. A definicao do escopo do projeto - o
que precisa ser realizado (PMI, 2004a).

Dicion
ario da estrutura analtica do projeto Tambem chamado de Work Break-
down Structure Dictionary (WBSD), e um documento que descreve cada com-
ponente da Estrutura Analtica do Projeto (EAP). Para cada componente da
EAP, o dicionario da EAP inclui uma breve definicao do escopo ou declaracao
do trabalho, entrega(s) definida(s), uma lista de atividades associadas e uma
lista de marcos. Outras informacoes podem incluir: organizacao responsavel,
datas de incio e de conclusao, recursos necessarios, uma estimativa de cus-
tos, n
umero de cobranca, informacoes do contrato, requisitos de qualidade e
referencias tecnicas para facilitar o desempenho do trabalho (PMI, 2004a).

Disciplina Um campo de trabalho que exige conhecimento especfico e que possui


um conjunto de regras que controlam a conduta do trabalho (por exemplo,
engenharia mecanica, programacao de computadores, estimativa de custos,
etc.) (PMI, 2004a).

Disponibilidade Propriedade de ser acessvel e utilizavel sob demanda por uma enti-
dade autorizada (ISO/IEC, 2004b).

Disponibilidade Propriedade de que a informacao esteja acessvel e utilizavel sob


demanda por uma pessoa fsica ou determinado sistema, orgao ou entidade
(FELIX, 2008a).

Entrega Qualquer produto, resultado ou capacidade para realizar um servico exclusi-


vos e verificaveis que devem ser produzidos para terminar um processo, uma
fase ou um projeto. Muitas vezes utilizado mais especificamente com referencia
96

a uma entrega externa, que e uma entrega sujeita `a aprovacao do patrocinador


ou do cliente do projeto (PMI, 2004a).

Escopo A soma dos produtos, servicos e resultados a serem fornecidos na forma de


projeto (PMI, 2004a).

Escopo do produto As caractersticas e funcoes que descrevem um produto, servico


ou resultado (PMI, 2004a).

Escrit
orio de programas Tambem chamado de Project Management Programs
(PMP), e o gerenciamento centralizado de um programa ou programas es-
pecficos de modo que o benefcio da empresa seja realizado atraves de com-
partilhamento de recursos, metodologias, ferramentas e tecnicas, e o foco de
gerenciamento de projetos de alto nvel relacionado. Veja tambem escritorio
de projetos (PMI, 2004a).

Escrit
orio de projetos Tambem chamado de Escritorio de Gerenciamento de Proje-
tos ou Project Management Office (PMO), e o corpo ou entidade organizacional
a` qual sao atribudas varias responsabilidades relacionadas ao gerenciamento
centralizado e coordenado dos projetos sob seu domnio. As responsabilida-
des de um PMO podem variar desde o fornecimento de funcoes de suporte ao
gerenciamento de projetos ate o gerenciamento direto de um projeto (PMI,
2004a).

Estrutura analtica do projeto contratado (EAPC) Tambem chamada de Con-


tract Work Breakdown Structure (CWBS), e uma parte da estrutura analtica
do projeto para o projeto desenvolvida e mantida por um fornecedor que as-
sina contrato para fornecer um subprojeto ou um componente do projeto (PMI,
2004a).

Estrutura analtica do projeto (EAP) Tambem chamada de Work Breakdown


Structure (WBS), e uma decomposicao hierarquica orientada `a entrega do
trabalho a ser executado pela equipe do projeto para atingir os objetivos do
projeto e criar as entregas necessarias. Ela organiza e define o escopo total
do projeto. Cada nvel descendente representa uma definicao cada vez mais
detalhada do trabalho do projeto. A EAP e decomposta em pacotes de tra-
balho. A orientacao da hierarquia para a entrega inclui entregas internas e
externas (PMI, 2004a).
97

Estrutura analtica do resumo do projeto Tambem chamada de Project Sum-


mary Work Breakdown Structure (PSWBS), e uma estrutura analtica do
projeto para o projeto que e desenvolvida somente ate o nvel de detalhe do
subprojeto dentro de algumas ramificacoes da EAP, e onde os detalhes desses
subprojetos sao fornecidos para que sejam usados pelas estruturas analticas
do projeto contratado (PMI, 2004a).

Estrutura analtica dos recursos (EARs) Tambem chamada de Resource Break-


down Structure (RBSs). Uma estrutura hierarquica de recursos por categoria
de recursos e tipo de recursos usada em cronogramas de nivelamento de recursos
e para desenvolver cronogramas limitados por recursos, e que pode ser usada
para identificar e analisar designacoes de recursos humanos do projeto (PMI,
2004a).

Estrutura analtica dos riscos (EARc) Tambem chamada de Risk Breakdown


Structure (RBSr), e uma representacao organizada hierarquicamente dos riscos
identificados do projeto ordenados por categoria e subcategoria de risco que
identifica as diversas areas e causas de riscos potenciais. A estrutura anal-
tica dos riscos geralmente e adaptada para tipos especficos de projetos (PMI,
2004a).

Evento de seguranca da informac


ao Ocorrencia identificada de um sistema, ser-
vico ou rede que indica uma possvel violacao da poltica de seguranca da
informacao ou falha de controles, ou uma situacao previamente desconhecida,
que possa ser relevante para a seguranca da informacao (ISO/IEC, 2004a).

Executa um processo que deve orientar, gerenciar, realizar e executar o trabalho


E
do projeto, fornecer as entregas e fornecer informacoes sobre o desempenho do
trabalho (PMI, 2004a).

Fase do projeto Um conjunto de atividades do projeto relacionadas de forma logica


que geralmente culminam com o termino de uma entrega importante. Na mai-
oria dos casos, as fases do projeto (tambem chamadas de fases) sao terminadas
seq
uencialmente, mas podem se sobrepor em algumas situacoes do projeto.
As fases podem ser subdivididas em subfases e depois em componentes; se o
projeto ou parte do projeto estiverem divididos em fases, essa hierarquia fara
98

parte da estrutura analtica do projeto. Uma fase do projeto e um componente


do ciclo de vida do projeto. Uma fase do projeto nao e um grupo de processos
de gerenciamento de projetos (PMI, 2004a).

Fatores ambientais da empresa Qualquer um ou todos os fatores ambientais ex-


ternos e fatores ambientais organizacionais internos que cercam ou influen-
ciam o sucesso do projeto. Esses fatores sao de qualquer uma ou de todas as
empresas envolvidas no projeto e incluem cultura e estrutura organizacional,
infra-estrutura, recursos existentes, bancos de dados comerciais, condicoes de
mercado e software de gerenciamento de projetos (PMI, 2004a).

Ferramenta Alguma coisa tangvel, como um modelo ou um programa de software,


usada na realizacao de uma atividade para produzir um produto ou resul-
tado (PMI, 2004a).

Gest
ao de riscos Atividades coordenadas para dirigir e controlar uma organizacao,
no que se refere aos risco. Vale notar que a gestao do risco normalmente inclui
a avaliacao do risco, o tratamento do risco, a aceitacao do risco e a comunicacao
do risco (ABNT, 2005a).

Gest
ao de Seguranca da Informac
ao e Comunicaco
es Acoes e metodos que vi-
sam a` integracao das atividades de gestao de riscos, gestao de continuidade do
negocio, tratamento de incidentes, tratamento da informacao, conformidade,
credenciamento, seguranca cibernetica, seguranca fsica, seguranca logica, se-
guranca organica e seguranca organizacional aos processos institucionais es-
trategicos, operacionais e taticos, nao se limitando, portanto, `a tecnologia da
informacao e comunicacoes (FELIX, 2008a).

Incidente de seguranca da informac


ao Um simples ou uma serie de eventos de se-
guranca da informacao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operacoes do negocio e ameacar a seguranca
da informacao (ISO/IEC, 2004a).
99

Iniciac
ao do projeto Lancamento de um processo que pode resultar na autorizacao
e na definicao do escopo de um novo projeto (PMI, 2004a).

Integridade Propriedade de protecao `a precisao e perfeicao de recursos (ISO/IEC,


2004b).

Integridade Propriedade de que a informacao nao foi modificada ou destruda de ma-


neira nao autorizada ou acidental (FELIX, 2008a).

Monitoramento e controle de riscos O processo de acompanhamento dos riscos


identificados, monitoramento dos riscos residuais, identificacao de novos riscos,
execucao de planos de respostas a riscos e avaliacao de sua eficiencia durante
todo o ciclo de vida do projeto (PMI, 2004a).

Monitorar Coletar dados de desempenho do projeto referentes a um plano, produzir


medicoes do desempenho e relatar e divulgar informacoes sobre o desempe-
nho (PMI, 2004a).

Monitorar e controlar o trabalho do projeto O processo de monitoramento e


controle dos processos necessarios para iniciar, planejar, executar e encerrar
um projeto para atender aos objetivos de desempenho definidos no plano de
gerenciamento do projeto e na declaracao do escopo do projeto (PMI, 2004a).

Norma Um documento estabelecido por consenso e aprovado por um organismo reco-


nhecido que fornece, para uso comum e repetido, regras, diretrizes ou carac-
tersticas para atividades ou seus resultados, visando `a obtencao de um grau
otimo de ordenacao em um dado contexto (PMI, 2004a).

Objetivo Algo em cuja direcao o trabalho deve ser orientado, uma posicao estrategica
a ser alcancada ou um objetivo a ser atingido, um resultado a ser obtido, um
produto a ser produzido ou um servico a ser realizado (PMI, 2004a).
100

Operac
oes Uma funcao organizacional que realiza a execucao contnua de atividades
que produzem o mesmo produto ou fornecem um servico repetitivo. Exem-
plos: operacoes de producao, operacoes de fabricacao e operacoes de contabi-
lidade (PMI, 2004a).

Poltica de Seguranca da Informac


ao e Comunicaco
es Documento aprovado
pela autoridade responsavel pelo orgao ou entidade da Administracao P
ublica
Federal, direta e indireta, com o objetivo de fornecer diretrizes, criterios e su-
porte administrativo suficientes `a implementacao da seguranca da informacao
e comunicacoes (FELIX, 2008a).

Premissas Sao fatores que, para fins de planejamento, sao considerados verdadeiros,
reais ou certos sem prova ou demonstracao. As premissas afetam todos os
aspectos do planejamento do projeto e fazem parte da elaboracao progressiva
do projeto. Freq
uentemente, as equipes do projeto identificam, documentam
e validam as premissas durante o processo de planejamento. Geralmente, as
premissas envolvem um grau de risco (PMI, 2004a).

Processo Um conjunto de acoes e atividades inter-relacionadas realizadas para obter


um conjunto especificado de produtos, resultados ou servicos (PMI, 2004a).

Processo de gerenciamento de projetos Um dos 44 processos exclusivos do geren-


ciamento de projetos e descritos no Guia do PMBOK (PMI, 2004a).

Processo de
area de conhecimento Um processo de gerenciamento de projetos
identificavel dentro de uma area de conhecimento (PMI, 2004a).

Processos de encerramento Os processos realizados para finalizar formalmente to-


das as atividades de um projeto ou fase e transferir o produto terminado para
outros ou encerrar um projeto cancelado (PMI, 2004a).

Processos de execuc
ao Os processos realizados para terminar o trabalho definido
no plano de gerenciamento do projeto para atingir os objetivos do projeto
definidos na declaracao do escopo do projeto (PMI, 2004a).

Processos de iniciac
ao Os processos realizados para autorizar e definir o escopo de
uma nova fase ou projeto ou que podem resultar na continuacao de um tra-
balho de projeto interrompido. Em geral, e realizado um grande n
umero de
101

processos de iniciacao fora do escopo de controle do projeto pelos processos


de organizacao, programa ou portfolio, e esses processos fornecem as entradas
para o grupo de processos de iniciacao do projeto (PMI, 2004a).

Processos de monitoramento e controle Os processos realizados para medir e mo-


nitorar a execucao do projeto de modo que seja possvel tomar acoes correti-
vas quando necessario para controlar a execucao da fase ou do projeto (PMI,
2004a).

Processos de planejamento Os processos realizados para definir e amadurecer o es-


copo do projeto, desenvolver o plano de gerenciamento do projeto e identificar
e programar as atividades do projeto que ocorrem dentro do projeto (PMI,
2004a).

Produto Um objeto produzido, quantificavel e que pode ser um item final ou um item
componente. Produtos tambem sao chamados de materiais ou bens. Compare
com resultado e servico. Veja tambem entrega (PMI, 2004a).

Profissional de gerenciamento de projetos Uma pessoa que tenha recebido a cer-


tificacao de PMP do Project Management Institute (PMI) (PMI, 2004a).

Programa Um grupo de projetos relacionados gerenciados de modo coordenado para


a obtencao de benefcios e controle que nao estariam disponveis se eles fossem
gerenciados individualmente. Programas podem incluir elementos de trabalho
relacionado fora do escopo dos projetos distintos no programa (PMI, 2004a).

Projeto Um esforco temporario empreendido para criar um produto, servico ou resul-


tado exclusivo (PMI, 2004a).

Quebra de seguranca Acao ou omissao, intencional ou acidental, que resulta no


comprometimento da seguranca da informacao e das comunicacoes (FELIX,
2008a).

Restric
ao O estado, a qualidade ou o sentido de estar restrito a uma determinada
acao ou inatividade. Uma restricao ou limitacao aplicavel, interna ou externa
102

ao projeto, que afetara o desempenho do projeto ou de um processo. Por


exemplo, uma restricao do cronograma e qualquer limitacao ou condicao colo-
cada em relacao ao cronograma do projeto que afeta o momento em que uma
atividade do cronograma pode ser agendada e geralmente esta na forma de
datas impostas fixas. Uma restricao de custos e qualquer limitacao ou condi-
cao colocada em relacao ao orcamento do projeto, como fundos disponveis ao
longo do tempo. Uma restricao de recursos do projeto e qualquer limitacao ou
condicao colocada em relacao a` utilizacao de recursos, como quais habilidades
ou disciplinas do recurso estao disponveis e a quantidade disponvel de um
determinado recurso durante um prazo especificado (PMI, 2004a).

Restric
ao tripla Uma estrutura para a avaliacao de demandas conflitantes. A restri-
cao tripla e freq
uentemente representada como um triangulo em que um dos
lados ou um dos cantos representa um dos parametros que esta sendo gerenci-
ado pela equipe do projeto (PMI, 2004a).

Resultado Uma sada dos processos e atividades de gerenciamento de projetos. Os


resultados podem incluir efeitos (por exemplo, sistemas integrados, processo
revisado, organizacao reestruturada, testes, pessoal treinado, etc.) e docu-
mentos (por exemplo, polticas, planos, estudos, procedimentos, especificacoes,
relatorios, etc.) Compare com produto e servico (PMI, 2004a).

Risco Um evento ou condicao incerta que, se ocorrer, provocara um efeito positivo


ou negativo nos objetivos de um projeto. Veja tambem categoria de risco e
estrutura analtica dos riscos (PMI, 2004a).

Risco residual Risco que permanece apos o tratamento de riscos (ABNT, 2005a).

Seguranca da informac
ao Preservacao da confidencialidade, integridade e disponi-
bilidade da informacao; adicionalmente, outras propriedades, tais como auten-
ticidade, responsabilidade, nao rep
udio e confiabilidade podem tambem estar
envolvidas cite (ABNT, 2005b).

Seguranca da Informac
ao e Comunicaco
es Acoes que objetivam viabilizar e asse-
gurar a disponibilidade, a integridade, a confidencialidade e a autenticidade
das informacoes (FELIX, 2008a).
103

Simulac
ao Uma simulacao utiliza um modelo de projeto que representa as incerte-
zas especificadas de maneira detalhada em relacao a seu possvel impacto nos
objetivos expressos no nvel do projeto como um todo. As simulacoes de proje-
tos usam modelos computacionais e estimativas de risco, geralmente expressas
como uma distribuicao de probabilidade dos possveis custos ou duracoes em
um nvel de trabalho detalhado, e sao normalmente realizadas utilizando a
Simulacao de Monte Carlo (PMI, 2004a).

Sistema Um conjunto integrado de componentes regularmente inter-relacionados e in-


terdependentes criados para realizar um objetivo definido, com relacoes defini-
das e mantidas entre seus componentes e cuja producao e operacao como um
todo e melhor que a simples soma de seus componentes. Os sistemas podem ser
fisicamente baseados em processos ou baseados em processos de gerenciamento
ou, mais freq
uentemente, uma combinacao dos dois. Os sistemas de gerencia-
mento de projetos sao formados por processos de gerenciamento de projetos,
tecnicas, metodologias e ferramentas operadas pela equipe de gerenciamento
de projetos (PMI, 2004a).

Sistema de gest
ao da seguranca da informac
ao SGSI Parte do sistema de ges-
tao global, baseada em uma aproximacao de risco empresarial, para estabele-
cer, implementar, operar, monitorar, revisar, manter e melhorar a seguranca
da informacao. Vale notar que o sistema de gestao inclui estrutura organi-
zacional, polticas, planejamento de atividades, responsabilidades, praticas,
procedimentos, processos e recursos (ABNT, 2006).

Tarefa Um termo usado para trabalho cujo significado e colocacao dentro de um plano
estruturado de um trabalho do projeto variam de acordo com a area de apli-
cacao, setor e marca do software de gerenciamento de projetos (PMI, 2004a).

T
ecnica Um procedimento sistematico definido usado por um recurso humano para
realizar uma atividade a fim de produzir um produto ou resultado ou oferecer
um servico, e que pode empregar uma ou mais ferramentas (PMI, 2004a).

Termo de abertura do projeto Um documento publicado pelo iniciador ou patro-


cinador do projeto que autoriza formalmente a existencia de um projeto e
104

concede ao gerente de projetos a autoridade para aplicar os recursos organiza-


cionais nas atividades do projeto (PMI, 2004a).

Tratamento da informac
ao Recepcao, producao, reproducao, utilizacao, acesso,
transporte, transmissao, distribuicao, armazenamento, eliminacao e controle
da informacao, inclusive as sigilosas (FELIX, 2008a).

Tratamento de riscos Processo de selecao e implementacao de medidas para modifi-


car um risco (ABNT, 2005a).

Val IT Modelo que estende e complementa o COBIT, abordando a tomada de decisoes


em relacao aos investimentos em TI e a relacao efetiva dos benefcios.

Valorac
ao do risco Processo de comparar o risco estimado contra criterios de risco
estabelecidos para determinar a significancia do risco (ABNT, 2005a).
105


APENDICE A -- A Criacao GT-2005

O Grupo de Trabalho foi institudo no ambito do GSI pelas portarias (FELIX, 2005)
e (FELIX, 2006).

A.1 Os Objetivos do GT-2005

Os objetivos do GT-2005 sao definir e desenvolver a metodologia de Gerenciamento


de Seguranca de Sistemas de Informacao para a APF, assim como normas, padroes e
procedimentos a serem utilizados no ambito da APF com relacao ao Gerenciamento da
Seguranca dos Sistemas de Informacao que servirao de parametrizacao para o Sistema
de Controle Interno do Poder Executivo Federal quando da realizacao dos processos de
auditoria e verificacao.

A.2 A Composic
ao do Grupo de Trabalho

O grupo de trabalho foi integrado por representantes dos seguintes orgaos e seus
representantes:

Gabinete de Seguranca Institucional da Presid


encia da Rep
ublica
Otavio Carlos Cunha da Silva (coordenador do GT-2005);
Antonio Carlos Pereira Brito;
Paulo Hideo Ohtoshi;
Yoshihisa Kawano;
Tatiana Malta Vieira;
Maria das Gracas Rolim Bilich.

Minist
erio da Defesa
Paulo Jose dos Santos;
Felipe Ferreira Neves Martins Rodrigues.
106

Comando da Marinha
Sergio Barbosa;
Edervaldo Teixeira de Abreu Filho.

Comando do Ex
ercito
Jose Ricardo Souza Camelo.

Comando da Aeron
autica
Flavio Marcio de Souza;
Luiz Guilherme Sa da Silva;
Nilton Daltro Santos.

Minist
erio do Planejamento, Orcamento e Gest
ao.
Ernandes Lopes Bezerra;
Jose Ney de Oliveira Lima.

Minist
erio da Fazenda
Tercio Marcus de Souza;
Augusto Ewerton Dias Ferreira;
Ariosto Rodrigues de Souza J
unior;
Nelida Maria Brito Ara
ujo;
Josenilson Torres Veras.

Controladoria-Geral da Uni
ao
Duque Dantas.
107

Figura A.1: Diagrama esquematico da metodologia de trabalho do GT-2005


108


APENDICE B -- A Estrategia de Processo do Modelo
do GT-2005

O Modelo de GSIC do GT-2005 basea-se na abordagem de processo como esta expli-


citado na norma ABNT NBR ISO/IEC 27001:2005.

Uma organizacao precisa identificar e administrar muitas atividades para


funcionar efetivamente. Qualquer atividade que faz uso de recursos e os
gerencia para habilitar a transformacao de entradas em sadas pode ser
considerada um processo. Freq uentemente a sada de um processo forma
diretamente a entrada do processo seguinte.
A aplicac
ao de um sistema de processos dentro de uma organizac ao,
junto com a identificacao e interacoes destes processos, e sua gest ao,
pode ser chamada de estrategia de processo.
A estrategia de processo para a gestao da seguranca da informacao apre-
sentada nesta Norma encoraja que seus usuarios enfatizem a import ancia
de:
a) Entendimento dos requisitos de seguranca da informacao de uma
organizacao e da necessidade de estabelecer uma poltica e objeti-
vos para a seguranca de informacao;
b) Implementacao e operacao de controles para gerenciar os riscos
de seguranca da informacao de uma organizacao no contexto dos
riscos de negocio globais da organizacao;
c) Monitoracao e revisao do desempenho e efetividade do SGSI; e
d) Melhoria contnua baseada em medidas objetivas (ABNT, 2006,
p. v)

O Modelo de GSIC do GT-2005 tambem adota o ciclo PDCA, que e aplicado para
estruturar todos os processos do Sistema de Gestao da Seguranca da Informacao (SGSI).

O SGSI considera as entradas de requisitos de seguranca de informacao e as expec-


tativas das partes interessadas, e como as acoes necessarias e processos de seguranca da
informacao produzidos resultam no tendimento a estes requisitos e expectativas.

O modelo com o ciclo PDCA e descrito a seguir em cada fase com os respectivos
processos.
109

Figura B.1: Modelo PDCA aplicado aos processos do SGSI

B.1 Planejar (Plan) Estabelecer o SGSIC

a fase do ciclo na qual o gestor de seguranca da informacao do orgao da APF devera


E
definir o escopo nas quais as acoes de seguranca irao ser desenvolvidas; qual o metodo
de analise de riscos deve ser aplicado; quais os objetivos, tarefas e recursos decorrentes;
quais os responsaveis pela execucao; que tipo de produto documental a execucao do pla-
nejamento ira gerar (projetos, relatorios, especificacao, processos de licitacao, processos
de auditoria etc.); alem de outras particularidades de planejamento compatveis com o
orgao da APF que executar o processo.

Para o estabelecimento do SGSIC os orgaos devem:

a) Definir o escopo e os limites do SGSIC nos termos das caractersticas do negocio;

b) Definir uma poltica do SGSIC;

c) Definir a abordagem de analise/avaliacao de riscos da organizacao;

d) Identificar os riscos;

e) Analisar e avaliar os riscos;

f) Identificar e avaliar as opcoes para o tratamento de riscos;

g) Selecionar objetivos de controle e controles para o tratamento de riscos;

h) Obter aprovacao da direcao dos riscos residuais propostos;


110

i) Obter autorizacao da direcao para implementar e operar o SGSIC;

j) Preparar uma Declaracao de Aplicabilidade.

B.2 Fazer (Do) Implementar e Operar o SGSIC

a fase do ciclo na qual o gestor devera implementar e operar as acoes definidas nos
E
documentos gerados no planejamento.

Para a implementacao e operacao do SGSIC os orgaos devem:

a) Formular um plano de tratamento de riscos que identifique a acao de gestao apropriada;

b) Implementar o plano de tratamento de riscos;

c) Implementar os controles selecionados;

d) Definir como medir a eficacia dos controles;

e) Implementar programas de conscientizacao e treinamento;

f) Gerenciar as operacoes do SGSIC;

g) Gerenciar os recursos para o SGSIC;

h) Implementar procedimentos e outros controles capazes de permitir a pronta deteccao de


eventos de seguranca da informacao e resposta a incidentes de seguranca da informacao.

B.3 Checar (Check) Monitorar e Revisar o SGSIC

a fase do ciclo na qual o gestor devera avaliar a execucao das acoes por meio de
E
indicadores ou outras formas de avaliacao que devem estar previstas nos documentos
gerados no planejamento, de modo a viabilizar a deteccao oportuna de desvios e sua
correcao.

Para o monitoramento e a analise crtica do SGSIC os orgaos devem:

a) Executar procedimentos de monitoracao e analise crtica;

b) Realizar analises crticas regulares da eficacia do SGSIC;


111

c) Medir a eficacia dos controles para verificar se os requisitos de seguranca da informacao


foram atendidos;

d) Analisar criticamente as analises/avaliacoes de riscos a intervalos planejados;

e) Conduzir auditorias internas do SGSIC a intervalos planejados;

f) Realizar uma analise crtica do SGSIC pela direcao em bases regulares;

g) Atualizar os planos de seguranca da informacao para levar em consideracao os resulta-


dos das atividades de monitoramento e analise de crtica;

h) Registrar acoes e eventos que possam ter um impacto na eficacia ou no desempenho do


SGSIC.

B.4 Agir (Act) Manter e Melhorar o SGSIC

a fase do ciclo na qual o gestor devera tomar as acoes corretivas e preventivas,


E
baseado nos resultados do processo de verificacao ou checagem utilizado na fase 3 (Checar)
do ciclo da auditoria interna do SGSIC e na revisao gerencial ou em outra informacao
pertinente, para alcancar a melhoria contnua do SGSIC.

Para a manutencao da melhoria continuada do SGSIC os orgaos devem regularmente:

a) Implementar as melhorias identificadas no SGSIC;

b) Executar as acoes corretivas apropriadas de acordo com: a identificacao de nao confor-


midades e as acoes preventivas conforme a identificacao de nao-conformidades poten-
ciais e suas causas;

c) Comunicar as acoes e melhorias a todas as partes interessadas com o nvel de detalhe


apropriado;

d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

O modelo de Gestao da Seguranca da Informacao e o macro-processo de melhoria con-


tinuada que satisfaz as demandas da APF. Adicionalmente, propicia a necessaria mudanca
cultural a partir da verificacao continuada dos processos, procedimentos e estruturas.
112


APENDICE C -- Casos do Mapeamento do PMBOK

A aplicacao das boas praticas do Guia PMBOK no CEPESC comeca em 2007 nos
projetos de desenvolvimento de solucoes criptograficas para a Seguranca da Informacao e
Comunicacao no ambito do GSI/PR e Agencia Brasileira de Inteligencia (Abin).

A Coordenacao de Seguranca da Informacao e Comunicacoes e hoje no centro a res-


ponsavel pelo estudo e pesquisa do arcabouco de normas e metodologias para a area de
SIC. Uma area no CEPESC especfica para a elaboracao de normas, padroes e metodo-
logias deve-se a necessidade do acompanhar a permanentemente evolucao dos modelos e
metodologias relacionados com a SIC, isto ja e feito historicamente com o desenvolvendo-se
dos estudos e das pesquisas no ambito das demandas dos Grupos de Trabalhos institudos
pelo CGSI do GSI, ora com o Centro como participante ora como Condenador de GTs

Varios foram os GTs que contaram essa coordenacao, mas destacam-se os trabalhos
de pesquisa que resultaram no uso do PMBOK: o Estudo da Infra-estrutura Crtica do
Governo Federal e a Metodologia Analise de Risco para a APF.

O primeiro resultado veio com no trabalho de Estudo de Infra-estrutura Crtica do


Brasil, um estudo do metodo de avaliacao de riscos OCTAVE e sua relacao com o modelo
de Servicos de Seguranca proposto pelo NIST (STONEBURNER, 2001).

O segundo resultado originou-se do trabalho de Metodologia Analise de Risco para


a APF, o desenvolvimento da Metodologia Risco@Gov. A Risco@Gov e uma metodo-
logia para aplicacao nos orgaos da APF para aumentar o nvel de seguranca e buscar a
conformidade da SIC em termos de controle interno CGU e externo TCU.

C.1 A Implementac
ao do M
etodo OCTAVE

A Metodologia OCTAVE, foi elaborada e desenvolvida pelo Software Engeneering


Institute (SEI) da Carnegie Mellon University (CMU). O que a diferencia de outras
metodologias sao os seguintes conceitos;
113

A missao da organizacao;

Os ativos /ativos crticos;

A estrategia de negocio da organizacao;

As necessidades de seguranca da informacao;

O risco ao negocio;

O plano estrategico de seguranca.

Tem uma abordagem em que o tratamento dos ativos crticos da organizacao e feito
em nvel de importancia estrategica, pois impacta na missao da organizacao.

De acordo com o SEI, um Ciclo de Vida para um Plano de Gerenciamento de Riscos


possui as seguintes fases:

1.Identificacao e Quantificacao;

2.Analise e Classificacao;

3.Planejamento e Implantacao;

4.Monitoramento

5.Controle.

A metodologia OCTAVE e uma metodologia de avaliacao de riscos de seguranca que


engloba basicamente as tres primeiras fases do Ciclo de Vida para um Plano de Gerenci-
amento de Riscos SEI.

A metodologia OCTAVE e diferente de outras consideradas, estas quase todas dire-


cionadas a uma visao so no aspecto tecnologico, onde se avaliam os riscos tecnologicos,
sendo que a metodologia OCTAVE esta direcionada pela analise dos riscos operacionais e
a imediata avaliacao da efetividade das praticas de seguranca. A metodologia OCTAVE e
aplicada no ambito da organizacao, nas questoes estrategicas, nos aspectos dos ativos crti-
cos, com o foco nas praticas de seguranca por meio da utilizacao de controles (ALBERTS;
DOROFEE, 2003).

Justifica-se o emprego de uma metodologia de analise de risco com a abordagem


da OCTAVE pela necessidade de caracterizar a infra-estrutura critica da APF, com a
informacao e seus sistemas permeando todo o contexto. A figura, apresentada a seguir,
mostra as areas de influencia do Metodo OCTAVE.
114

Figura C.1: Paradigma do gerenciamento de risco (CMU/SEI, )

C.1.1 O mapeamento OCTAVE com o Guia PMBOK

Com o ttulo Implementacao de Analise de Risco OCTAVE seguindo o PMBOK, e


apresentado por um Trabalho de Conclusao de Curso, Master in Business Administra-
tion (MBA) em Gestao de Projeto de Software da Centro Universitario Euro-americano
(UNIEURO), por Antonio Carlos Pereira de Britto e o Mestre Joao Alberto Pincovscy
(BRITTO; PINCOVSCY, 2008), uma proposta de modelo de implantacao de Gestao de
Risco da Seguranca da Informacao na APF, via mapeamento Guia PMBOK.

A separacao das abordagens de orientacao a processos e a projetos e o destaque do


trabalho. Os resultados esperados e a sinergia do mapeamento no contexto da Gover-
nanca.

C.2 A Implantac
ao da Metodologia Risco@Gov

A Risco@Gov e o resultado da elaboracao pelo CEPESC de uma Metodologia de


Analise de Risco voltada para os orgaos da APF. Na metodologia foram consideradas as
diferencas das estruturas organizacionais dos orgaos que compoem a APF. Este fato con-
115

Figura C.2: Principais fases da OCTAVE (ALBERTS; DOROFEE, 2001)

feriu um desafio de produzir uma Metodologia de Analise de Risco que fosse flexvel, com
escalabilidade e ao mesmo tempo robusta para que pudesse ser aplicada em qualquer am-
biente da APF. O seu desenvolvimento teve como base normas, padroes e recomendacoes
das boas praticas em Seguranca da Informacao e Comunicacao. Foi desenvolvida pela Co-
ordenacao de Normas do CEPESC, e ainda esta evoluindo em termos de compatibilidade
com os princpios de GRC de TI.

C.2.1 Objetivos da Risco@Gov

Esta metodologia tem como objetivo identificar e analisar riscos em sistemas de in-
formacao da APF.

Os processos e atividades da metodologia sao descritos de forma a subsidiar e fornecer


instrumentos para o orgao levantar, identificar e analisar os principais riscos envolvidos no
dia-a-dia de suas atribuicoes e os impactos resultantes nos ativos que compoem os sistemas
de informacao. Desta forma, o orgao pode atuar de forma mais eficaz, criando as melhores
condicoes para que a missao seja cumprida, com diminuicao da probabilidade de impactos
sociais, polticos ou economicos. Esta metodologia de analise de risco compreende fases
da gestao de risco. Na figura podem ser vistas as fases da gestao de risco.
possvel verificar no modelo e gestao que apos a analise de risco sao necessarias
E
atividades de avaliacao e de tratamento de riscos, de monitoramento e revisao e de comu-
nicacao e consulta. A analise de risco e executada apos o estabelecimento de contexto e
a identificacao de risco. Tres fases da gestao de risco estao inseridas nesta metodologia
de analise de risco, ou seja, a metodologia contempla os processos e atividades para o
116


Figura C.3: Areas de influencia do Metodo OCTAVE (BRITTO; PINCOVSCY, 2008)

estabelecimento de contexto, identificacao e analise de risco.

C.2.2 As premissas da Risco@Gov

As premissas sao:

Flexibilidade, escalabilidade e robustez: voltada para aplicacao em qualquer ambi-


ente da APF, independente da sua estrutura organizacional;

Empregabilidade: ser aplicada pela area de seguranca da informacao ou pela area


de TI da organizacao em questao;

Usabilidade: pode ser utilizada com auxlio de ferramentas, facilitando assim a


aplicacao e podendo ser integrada a um SGSI;

Fundamentacao: baseada em normas, padroes e recomendacoes de organizacoes


nacionais e internacionais.
117

Figura C.4: Modelo de Gestao de Risco (CICCO, 2004)

C.2.3 A estrutura da Risco@Gov

A metodologia e composta por cinco fases, onze processos composto de sessenta ati-
vidades. A metodologia e seq
uencial, ou seja, os resultados de cada processo sao insumos
para os processos subseq
uentes.

O relacionamento entre os elementos que fazem parte da analise de risco esta repre-
sentado na figura , assim como, conceito de risco utilizado nesta metodologia.

Figura C.5: Relacionamentos entre elementos do risco (BRITTO; SOUSA; PINCOVSCY,


2008)

A metodologia inicia-se com a preparacao para o processo de analise de risco a ser


conduzido, de acordo com o contexto da APF. O levantamento de informacoes e realizado
usando diferentes tecnicas e, apos a analise de risco que envolve vulnerabilidades e testes
de vulnerabilidade, as recomendacoes sao geradas, documentadas e apresentadas.
118

A metodologia esta dividida em fases, descritas abaixo, e o relacionamento entre estas


pode ser verificado na Figura:

Contextualizacao (Processo 1)

Levantamento de Informacoes (Processo 2 a 7)

Analises (Processo 8)

Recomendacoes (Processo 9)

Apresentacao dos Resultados (Processo 10 a 11)

Figura C.6: Fases da metodologia (BRITTO; SOUSA; PINCOVSCY, 2008)

A interacao entre a equipe de analise e os interlocutores da APF ocorrera nas fases


de contextualizacao, de levantamento de informacoes e de apresentacao dos resultados.
Nas demais fases o trabalho sera realizado pela equipe de analise, que pode contar com
profissionais do ambiente que esta sendo analisado. A equipe de analise e fundamental
para o sucesso do trabalho, ja que sera a responsavel pela conducao de todo o processo
da analise de risco, estando presente em todas as fases da metodologia.

C.2.4 Os resultados obtidos

Os resultados obtidos com aplicacao da abordagem PMBOK na implementacao da


Risco@Gov como um projeto de aplicacao interno a Organizacao sao ate agora:
119

1.Melhor definicao do escopo da aplicacao da Risco@Gov;

2.Definicao nao ambgua dos papeis no gerenciamento e o operacionalizacao da


Risco@Gov;

3.Maior precisao no controle da progressao do projeto via as linhas de base de tempo


e consumo de recursos.

4.Diminuicao dos conflitos entre a visao dos riscos ao projeto e as premissas da Pro-
tecao Corporativa;

5.Comprometimento com o processo de melhoria das praticas e padroes de seguranca


nos ambientes analisados.
120

ANEXO A -- Instrucao Normativa GSI/PR n 1, de


13.06.2008

Publicada no D.O.U. de 18.06.2008, Secao I, Pag. 6

Disciplina a Gestao de Seguranca da Informacao e Comunicacoes na Ad-


ministracao P
ublica Federal, direta e indireta, e da outras providencias.

O Ministro Chefe do Gabinete de Seguran


ca Institucional da Presi-
de blica, na condicao de Secreta
ncia da Repu rio-Executivo do Conselho de
Defesa Nacional, no uso de suas atribuicoes;

Considerando:

o disposto no artigo 6 e paragrafo u


nico do art. 16 da Lei n 10.683, de 28 de maio
de 2003;

o disposto no inciso IV do caput e inciso III do 1 do art. 1 e art. 8 do Anexo I


do Decreto n 5.772, de 08 de maio de 2006;

o disposto nos incisos I, VI, VII e XIII do artigo 4 do Decreto n 3.505, de 13 de


junho de 2000;

as informacoes tratadas no ambito da Administracao P


ublica Federal, direta e indi-
reta, como ativos valiosos para a eficiente prestacao dos servicos p
ublicos;

o interesse do cidadao como beneficiario dos servicos prestados pelos orgaos e enti-
dades da Administracao P
ublica Federal, direta e indireta;

o dever do Estado de protecao das informacoes pessoais dos cidadaos;

a necessidade de incrementar a seguranca das redes e bancos de dados governamen-


tais; e
121

a necessidade de orientar a conducao de polticas de seguranca da informacao e


comunicacoes ja existentes ou a serem implementadas pelos orgaos e entidades da
Administracao P
ublica Federal, direta e indireta.

Resolve:

Art. 1 Aprovar orientacoes para Gestao de Seguranca da Informacao e Comunicacoes que


deverao ser implementadas pelos orgaos e entidades da Administracao P
ublica Fe-
deral, direta e indireta.

Art. 2 Para fins desta Instrucao Normativa, entende-se por:

I Poltica de Seguranca da Informacao e Comunicacoes: documento aprovado


pela autoridade responsavel pelo orgao ou entidade da Administracao P
ublica
Federal, direta e indireta, com o objetivo de fornecer diretrizes, criterios e
suporte administrativo suficientes `a implementacao da seguranca da informacao
e comunicacoes;

II Seguranca da Informacao e Comunicacoes: acoes que objetivam viabilizar e


assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade
das informacoes;

III disponibilidade: propriedade de que a informacao esteja acessvel e utilizavel


sob demanda por uma pessoa fsica ou determinado sistema, orgao ou entidade;

IV integridade: propriedade de que a informacao nao foi modificada ou destruda


de maneira nao autorizada ou acidental;

V confidencialidade: propriedade de que a informacao nao esteja disponvel ou


revelada a pessoa fsica, sistema, orgao ou entidade nao autorizado e credenci-
ado;

VI autenticidade: propriedade de que a informacao foi produzida, expedida, modi-


ficada ou destruda por uma determinada pessoa fsica, ou por um determinado
sistema, orgao ou entidade;

VII Gestao de Seguranca da Informacao e Comunicacoes: acoes e metodos que vi-


sam `a integracao das atividades de gestao de riscos, gestao de continuidade do
negocio, tratamento de incidentes, tratamento da informacao, conformidade,
credenciamento, seguranca cibernetica, seguranca fsica, seguranca logica, se-
guranca organica e seguranca organizacional aos processos institucionais es-
122

trategicos, operacionais e taticos, nao se limitando, portanto, a` tecnologia da


informacao e comunicacoes;
VIII quebra de seguranca: acao ou omissao, intencional ou acidental, que resulta no
comprometimento da seguranca da informacao e das comunicacoes;
IX tratamento da informacao: recepcao, producao, reproducao, utilizacao, acesso,
transporte, transmissao, distribuicao, armazenamento, eliminacao e controle
da informacao, inclusive as sigilosas.

Art. 3 Ao Gabinete de Seguranca Institucional da Presidencia da Rep


ublica - GSI, por
intermedio do Departamento de Seguranca da Informacao e Comunicacoes - DSIC,
compete:

I planejar e coordenar as atividades de seguranca da informacao e comunicacoes


na Administracao P
ublica Federal, direta e indireta;
II estabelecer normas definindo os requisitos metodologicos para implementacao
da Gestao de Seguranca da Informacao e Comunicacoes pelos orgaos e entidades
da Administracao P
ublica Federal, direta e indireta;
III operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos
nas redes de computadores da Administracao P
ublica Federal, direta e indireta,
denominado CTIR.GOV;
IV elaborar e implementar programas destinados `a conscientizacao e `a capacitacao
dos recursos humanos em seguranca da informacao e comunicacoes;
V orientar a conducao da Poltica de Seguranca da Informacao e Comunicacoes
na Administracao P
ublica Federal, direta e indireta;
VI receber e consolidar os resultados dos trabalhos de auditoria de Gestao de
Seguranca da Informacao e Comunicacoes da Administracao P
ublica Federal,
direta e indireta;
VII propor programa orcamentario especfico para as acoes de seguranca da infor-
macao e comunicacoes.

Art. 4 Ao Comite Gestor de Seguranca da Informacao compete:

I assessorar o GSI no aperfeicoamento da Gestao de Seguranca da Informacao e


Comunicacoes da Administracao P
ublica Federal, direta e indireta;
II instituir grupos de trabalho para tratar de temas especficos relacionados a`
seguranca da informacao e comunicacoes.
123

Art. 5 Aos demais orgaos e entidades da Administracao P


ublica Federal, direta e indireta,
em seu ambito de atuacao, compete:

I coordenar as acoes de seguranca da informacao e comunicacoes;

II aplicar as acoes corretivas e disciplinares cabveis nos casos de quebra de segu-


ranca;

III propor programa orcamentario especfico para as acoes de seguranca da infor-


macao e comunicacoes;

IV nomear Gestor de Seguranca da Informacao e Comunicacoes;

V instituir e implementar equipe de tratamento e resposta a incidentes em redes


computacionais;

VI instituir Comite de Seguranca da Informacao e Comunicacoes;

VII aprovar Poltica de Seguranca da Informacao e Comunicacoes e demais normas


de seguranca da informacao e comunicacoes;

VIII remeter os resultados consolidados dos trabalhos de auditoria de Gestao de


Seguranca da Informacao e Comunicacoes para o GSI.

Par
agrafo u
nico. Para fins do disposto no caput, devera ser observado o
disposto no inciso II do art. 3 desta Instrucao Normativa.

Art. 6 Ao Comite de Seguranca da Informacao e Comunicacoes, de que trata o inciso VI


do art. 5, em seu ambito de atuacao, compete:

I assessorar na implementacao das acoes de seguranca da informacao e comuni-


cacoes;

II constituir grupos de trabalho para tratar de temas e propor solucoes especficas


sobre seguranca da informacao e comunicacoes;

III propor alteracoes na Poltica de Seguranca da Informacao e Comunicacoes; e

IV propor normas relativas a` seguranca da informacao e comunicacoes.

Art. 7 Ao Gestor de Seguranca da Informacao e Comunicacoes, de que trata o inciso IV


do art. 5, no ambito de suas atribuicoes, incumbe:

I promover cultura de seguranca da informacao e comunicacoes;


124

II acompanhar as investigacoes e as avaliacoes dos danos decorrentes de quebras


de seguranca;

III propor recursos necessarios `as acoes de seguranca da informacao e comunica-


coes;

IV coordenar o Comite de Seguranca da Informacao e Comunicacoes e a equipe


de tratamento e resposta a incidentes em redes computacionais;

V realizar e acompanhar estudos de novas tecnologias, quanto a possveis impac-


tos na seguranca da informacao e comunicacoes;

VI manter contato direto com o DSIC para o trato de assuntos relativos a` segu-
ranca da informacao e comunicacoes;

VII propor normas relativas a` seguranca da informacao e comunicacoes.

Art. 8 O cidadao, como principal cliente da Gestao de Seguranca da Informacao e Co-


municacoes da Administracao P
ublica Federal, direta e indireta, podera apresentar
sugestoes de melhorias ou den
uncias de quebra de seguranca que deverao ser averi-
guadas pelas autoridades.

Art. 9 Esta Instrucao Normativa entra em vigor sessenta dias apos sua publicacao.

Jorge Armando Felix

Publicada no D.O.U. de 18.06.2008, Secao I, Pag. 6.


125

ANEXO B -- Portaria n 33, de 13 de Outubro de 2008


CONSELHO DE DEFESA NACIONAL
SECRETARIA EXECUTIVA

DOU N 200 15.10.2008

Seco I

PORTARIA N 33, DE 13 DE OUTUBRO DE 2008

Homologa a Norma Complementar n 01/DSIC/GSIPR

O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANA


INSTITUCIONAL DA PRESIDNCIA DA REPBLICA, na condio de SECRETRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuio que lhe
confere o Decreto n 3.505, de 13 de junho de 2000, e o Decreto n 5.772, de 8 de maio de 2006;

RESOLVE:

Art. 1 Fica homologada a Norma Complementar n 01/DSIC/GSIPR aprovada pelo


Departamento de Segurana da Informao e Comunicaes, em anexo.

Art. 2 Esta Portaria entra em vigor na data de sua publicao.

JORGE ARMANDO FELIX

(...)

Pgina 1 de 5
1 OBJETIVO

Estabelecer critrios e procedimentos para elaborao, atualizao, alterao, aprovao e


publicao de normas complementares sobre Gesto de Segurana da Informao e Comunicaes,
no mbito da Administrao Pblica Federal, direta e indireta.

2 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR

Conforme disposto no inciso II do art. 3 da Instruo Normativa n 01, de 13 de Junho de 2008, do


Gabinete de Segurana Institucional, compete ao Departamento de Segurana da Informao e
Comunicaes - DSIC, estabelecer normas definindo os requisitos metodolgicos para
implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.

3 ELABORAO DAS NORMAS

Cabe a cada rgo e entidade da Administrao Pblica Federal, direta e indireta, em seu mbito de
atuao, aprovar as normas de segurana da informao e comunicaes.

4 APRESENTAO DAS NORMAS

4.1 A critrio da autoridade competente de cada rgo e entidade da Administrao Pblica Federal,
direta e indireta, a Poltica de Segurana da Informao e Comunicaes e demais normas de
segurana da informao e comunicaes podero ser elaboradas conforme a seguinte formatao:

4.2 Folha-de-Rosto e Folha de Continuao das Normas

4.2.1 A Folha-de-rosto de cada norma complementar contendo os elementos que a identifiquem e


explicitem o seu contedo, contemplando as seguintes informaes:
a) Indicao do rgo ou entidade da Administrao Pblica Federal, direta e indireta;
b) Nmero da Norma: cdigo estabelecido conforme detalhamento constante do subitem 4.6.1
desta Norma;
c) Reviso: nmero seqencial da reviso, identificada por dois algarismos arbicos, sendo 00 a
emisso original;
d) Emisso: dia, ms e ano de emisso da norma ou de sua reviso (exemplo: 22/JAN/00);
e) Folha: nmero da folha / total de folhas (exemplo: 1/13);
f) Ttulo da Norma: expresso identificadora do contedo da norma, de forma concisa, precisa e
inequvoca; digitado com a fonte "Times New Roman" tamanho 14 em negrito;
g) Origem: unidade responsvel pela atividade normativa;
h) Referncia Normativa: documentos normativos e respectivas datas de aprovao, se houver;
i) Campo de Aplicao: unidades onde se aplica a norma e/ou reas envolvidas com a execuo e
com o acompanhamento do assunto nela tratado;
j) Sumrio: lista dos itens constantes da norma, que permite uma viso global e facilita a sua
consulta;
k) Informaes adicionais esclarecimentos sobre a edio ou reviso da norma, especialmente
quanto a substituies e cancelamentos de normas anteriores; e
l) Aprovao: assinatura da norma pela autoridade competente.

4.2.2 As folhas de continuao da norma so identificadas, na sua parte superior direita, pelo
conjunto de informaes contendo: nmero da norma complementar, reviso, emisso e folha.

4.2.3 O modelo da folha-de-rosto das normas constitui o Anexo A desta Norma.

Pgina 2 de 5
4.3 Contedo das Normas

4.3.1 As normas complementares podem conter uma estrutura bsica, compostas dos seguintes
itens:
a) Objetivo: definir o escopo da norma e os aspectos por ela abrangidos;
b) Procedimentos: passos estabelecidos, em seqncia lgica, correspondentes ao assunto tratado,
abrangendo todas as tarefas envolvidas no processo;
c) Disposies Gerais: informaes adicionais julgadas necessrias, especialmente com relao a
esclarecimento de eventuais dvidas e casos omissos;
d) Vigncia: data em que a norma entra em vigor; e
e) Anexos: formulrios, fluxogramas e dados adicionais, necessrios execuo da atividade
constante da norma ou que facilitem a sua compreenso ou uso.

4.3.2 Os procedimentos podem estar divididos em vrios itens, observadas as orientaes constantes
do item 4.5.4 desta Norma.

4.3.3 Sempre que uma sigla citada pela primeira vez em uma norma, ela deve ser colocada entre
parnteses, logo aps o nome por extenso. O uso da sigla s se justifica quando usado
repetidamente na norma.

4.3.4 Sero grafadas por extenso quaisquer referncias, feitas no texto, a nmeros e percentuais
(trinta, dez, treze, dois vrgula quinze por cento, etc), exceto nos casos em que houver prejuzo para
compreenso do texto.

4.3.5 Valores monetrios devem ser expressos em algarismos arbicos, seguidos da indicao, por
extenso, entre parnteses.

4.4 Contedo das Normas

4.4.1 A redao deve ter estilo prprio, lingisticamente correta, sem preocupaes literrias e,
tanto quanto possvel, uniforme. A qualidade essencial a clareza do texto, que deve ser facilmente
compreensvel por pessoas que no tenham participado na elaborao da norma.

4.4.2 Para maior clareza e objetividade deve-se:


a) construir as frases em ordem direta (sujeito, verbo, complementos);
b) utilizar frases curtas, para facilitar o entendimento e evitar duplo sentido;
c) usar, preferencialmente, o substantivo em lugar do pronome, mesmo com o prejuzo da elegncia
da frase;
d) utilizar termos tcnicos j definidos em terminologia existente;
e) usar, preferencialmente, o presente do indicativo, salvo quando a regncia gramatical exigir o uso
de outros tempos ou modos;
f) utilizar o verbo no infinitivo nas descries de etapas (exemplos: elaborar, emitir, aprovar); e
g) evitar detalhes excessivos e desnecessrios que inibam a criatividade.

4.4.3 As aspas devem ser utilizadas para:


a) dar nfase a um determinado termo;
b) indicar termo de lngua estrangeira; e
c) indicar expresses de linguagem, comumente usadas no meio da especialidade, as quais, todavia,
ainda no foram incorporadas ao vernculo.

Pgina 3 de 5
4.5 Estrutura do Texto

4.5.1 O texto pode ser subdividido em:


a) itens e subitens; e
b) alneas e subalneas.

4.5.2 Os itens podem ser divididos em at trs subitens, numerados progressivamente em


algarismos arbicos, conforme exemplo apresentado no Anexo B desta Norma.

4.5.3 Os ttulos dos itens devem ser escritos em letras maisculas e em negrito, a fim de facilitar a
sua identificao e localizao. A escolha dos ttulos dos itens deve ser feita de maneira criteriosa,
de forma a permitir reconhecer a seqncia lgica de estruturao da norma. Para facilitar essa
estruturao, devese definir a lista de todos os aspectos a serem includos, antes do incio de sua
redao.

4.5.4 A matria do item deve ser apresentada em um nico pargrafo, podendo, entretanto, existir
uma ou mais frases. Caso o assunto seja extenso, o item deve ser dividido em dois ou mais subitens.

7.1 Ao Preventiva INCORRETO


7.1.1 A organizao deve... S deveria existir 7.1.1 se existisse o 7.1.2

7.2 Gesto de Recursos CORRETO


7.2.1 Proviso de Recursos... Existem 7.2.1 e 7.2.2
7.2.2 Treinamento, conscientizao e....

4.5.5 A numerao do item deve ficar junto margem esquerda da pgina. Aps o ltimo nmero
no se deve colocar ponto, parnteses ou hfen. Entre a numerao e a primeira letra seguinte (seja
ttulo ou no) deve ser dado um espaamento correspondente a dois espaos.

4.5.6 Sempre que o ttulo de um item ocupar mais de uma linha, a segunda e as demais linhas
devem ser alinhadas com a primeira letra do ttulo.

4.5.7 Em algumas situaes os subitens podem ter ttulos. Nestes casos, todas as palavras so
escritas com apenas a primeira letra em maisculo.

4.5.8 A apresentao do assunto de um subitem na forma de alneas, ordenadas alfabeticamente,


traz clareza e rapidez na compreenso e visualizao das idias. Na identificao das alneas deve
ser usado o alfabeto completo, incluindo-se as letras "k", "y" e "w".

4.5.9 A disposio grfica das alneas obedece s seguintes regras:


a) dentro da alnea somente devem ser usadas vrgulas, isto , a alnea deve ter uma nica frase;
b) as alneas devem ser ordenadas por letras minsculas, seguidas de parnteses, sem ponto ou hfen
aps os parnteses;
c) nas alneas de subitens:
- alinhamento das suas letras indicativas deve possuir recuo constante de dez espaos,
correspondente a um TAB, em relao margem esquerda do texto principal;
- seu texto, quando ocupar mais de uma linha, deve ser alinhado com a primeira letra da
alnea;
d) o texto da alnea deve terminar por ponto-e-vrgula, exceto:
- nos casos em que so seguidas de subalneas, quando deve terminar por dois-pontos;
- na ltima alnea, onde deve terminar por ponto; e

Pgina 4 de 5
e) nas seqncias de alneas e subalneas, o penltimo elemento pontuado com ponto e vrgula
seguido da conjuno "e", quando de carter cumulativo, ou da conjuno "ou" , se a seqncia for
disjuntiva.

4.5.10 As subalneas devem ser utilizadas para subdividir o assunto de uma alnea, tornando mais
clara a sua compreenso. A subalnea deve ser indicada apenas por um hfen, sem indicativo de
nmero ou letra.

4.5.11 O texto deve ser digitado em editor de texto, utilizando a fonte "Times New Roman",
tamanho 12.

4.5.12 A apresentao do texto com os recuos de seus elementos em relao s margens


apresentado no Anexo C desta Norma.

4.6 Numerao das Normas

4.6.1 As normas complementares podem ser numeradas conforme a seguinte ordem de formao,
exemplificada a seguir:

07/IN04/DSIC/GSIPR
-Nmero seqencial da norma complementar
-Identificao da Instruo Normativa

4.6.2 Os anexos so identificados por letra maiscula, seqencialmente pela ordem em que
aparecem no texto da norma. A citao dos anexos no texto ser em negrito.

5 ATUALIZAO DAS NORMAS

5.1 Uma norma pode ser atualizada ou cancelada pela ocorrncia de alguma das seguintes situaes:
a) alterao dos procedimentos vigentes ou adoo de novos;
b) estabelecimento de novos dispositivos legais ou regulamentares, bem como reformulao dos
existentes;
c) acolhimento de sugestes dos usurios, visando ao seu aperfeioamento; ou
d) encerramento de atividades.

5.2 Os procedimentos para aprovao e divulgao das normas alteradas seguem a mesma
tramitao de uma norma nova.

6 DISPOSIES GERAIS

Os casos omissos e as dvidas com relao a esta Norma sero submetidos ao Diretor do DSIC.

7 VIGNCIA

Esta Norma entra em vigor na data de sua publicao.

8 ANEXOS

A - Folha-de-rosto e folha de continuao das normas


B - Exemplo de numerao de itens
C - Apresentao da estrutura do texto com os recuos dos seus elementos em relao s margens
(...)

Pgina 5 de 5
131

ANEXO C -- Portaria n 34, de 13 de Outubro de 2008


DOU N 199 14.10.2008

SEO I

GABINETE DE SEGURANA INSTITUCIONAL

PORTARIA N 34, DE 13 DE OUTUBRO DE 2008

Homologa a Norma Complementar n


02/DSIC/GSIPR

O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANA


INSTITUCIONAL DA PRESIDNCIA DA REPBLICA, na condio de SECRETRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuio que lhe
confere o Decreto n 3.505, de 13 de junho de 2000, e o Decreto n 5.772, de 8 de maio de 2006;

RESOLVE:

Art. 1 Fica homologada a Norma Complementar n 02/DSIC/GSIPR aprovada pelo


Departamento de Segurana da Informao e Comunicaes, em anexo.

Art. 2 Esta Portaria entra em vigor na data de sua publicao.

JORGE ARMANDO FELIX

Pgina 1 de 6
PRESIDNCIA DA REPBLICA
Gabinete de Segurana Institucional
Departamento de Segurana da Informao e Comunicaes

METODOLOGIA DE GESTO DE SEGURANA DA INFORMAO


E COMUNICAES

ORIGEM
Departamento de Segurana da Informao e Comunicaes

REFERNCIA NORMATIVA
Instruo Normativa GSI n 1, de 13 de junho de 2008.
ABNT NBR ISO/IEC 27001:2006.

CAMPO DE APLICAO
Esta Norma se aplica no mbito da Administrao Pblica Federal, direta e indireta.

SUMRIO
1. Objetivo
2. Metodologia
3. Ciclo da Metodologia
4. Responsabilidades
5. Consideraes Finais
6. Vigncia

INFORMAES ADICIONAIS
No h

APROVAO

RAPHAEL MANDARINO JUNIOR


Diretor do Departamento de Segurana da Informao e Comunicaes

1. OBJETIVO

Definir a metodologia de gesto de segurana da informao e comunicaes utilizada pelos rgos


e entidades da Administrao Pblica Federal, direta e indireta.

2. METODOLOGIA

2.1 A metodologia de gesto de segurana da informao e comunicaes baseia-se no processo de


melhoria contnua, denominado ciclo "PDCA" (Plan-Do-Check-Act), estabelecido pela norma
ABNT NBR ISO/IEC 27001:2006.

2.2 A escolha desta metodologia levou em considerao trs critrios:

a) Simplicidade do modelo;
b) Compatibilidade com a cultura de gesto de segurana da informao em uso nas
organizaes pblicas e privadas brasileiras; e
c) Coerncia com as prticas de qualidade e gesto adotadas em rgos pblicos
brasileiros.

Pgina 2 de 6
3. CICLO DA METODOLOGIA

3.1 ("Plan - P") Planejar - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes planejar as aes de segurana da informao e comunicaes que sero
implementadas, considerando os requisitos ou pressupostos estabelecidos pelo planejamento
organizacional, bem como as diretrizes expedidas pela autoridade decisria de seu rgo ou
entidade. Para planejar necessrio:

3.1.1 Definir o escopo e os limites onde sero desenvolvidas as aes de segurana da informao e
comunicaes;

3.1.2 Definir os objetivos a serem alcanados com a implementao das aes de segurana da
informao e comunicaes, considerando as expectativas ou diretrizes formuladas pela autoridade
decisria de seu rgo ou entidade;

3.1.3 Definir a abordagem de gesto de riscos de seu rgo ou entidade, sendo necessrio:

a) definir uma metodologia de gesto de riscos que seja adequada ao escopo, limites e
objetivos estabelecidos;
b) identificar os nveis de riscos aceitveis e os critrios para sua aceitao,
considerando decises superiores e o planejamento estratgico do rgo ou entidade;

3.1.4 Identificar os riscos, sendo necessrio:

a) Identificar os ativos e seus responsveis dentro do escopo onde sero desenvolvidas


as aes de segurana da informao e comunicaes;
b) Identificar as vulnerabilidades destes ativos;
c) Identificar os impactos que perdas de disponibilidade, integridade, confidencialidade
e autenticidade podem causar nestes ativos;

3.1.5 Analisar os riscos, sendo necessrio:

a) identificar os impactos para a misso do rgo ou entidade que podem resultar de


falhas de segurana, levando em considerao as conseqncias de uma perda de
disponibilidade, integridade, confidencialidade ou autenticidade destes ativos;
b) identificar a probabilidade real de ocorrncia de falhas de segurana, considerando as
vulnerabilidades prevalecentes, os impactos associados a estes ativos e as aes de
segurana da informao e comunicaes atualmente implementadas no rgo ou
entidade;
c) estimar os nveis de riscos;
d) determinar se os riscos so aceitveis ou se requerem tratamento utilizando os
critrios para aceitao de riscos estabelecidos em 3.1.3;

3.1.6 Identificar as opes para o tratamento de riscos, considerando a possibilidade de:

a) aplicar aes de segurana da informao e comunicaes alm das que j esto


sendo executadas;
b) aceitar os riscos de forma consciente e objetiva, desde que satisfaam o planejamento
organizacional, bem como a diretrizes expedidas pela autoridade decisria de seu rgo
ou entidade, bem como aos critrios de aceitao de riscos estabelecidos em 3.1.3;
c) evitar riscos;
d) transferir os riscos a outras partes, por exemplo, seguradoras ou terceirizados;

Pgina 3 de 6
3.1.7 Selecionar as aes de segurana da informao e comunicaes consideradas necessrias
para o tratamento de riscos. (Alguns exemplos de aes de segurana da informao e
comunicaes so: Poltica de Segurana da Informao e Comunicaes, infra-estrutura de
segurana da informao e comunicaes, tratamento da informao, segurana em recursos
humanos, segurana fsica, segurana lgica, controle de acesso, segurana de sistemas, tratamento
de incidentes, gesta de continuidade, conformidade, auditoria interna, alm de outras que sero
exploradas em outras normas complementares);

3.1.8 Obter aprovao da autoridade decisria de seu rgo ou entidade quanto aos riscos residuais
propostos;

3.1.9 Obter autorizao da autoridade decisria de seu rgo ou entidade para implementar as aes
de segurana da informao e comunicaes selecionadas, mediante uma Declarao de
Aplicabilidade, incluindo o seguinte:

a) Os objetivos e os recursos necessrios para cada ao de segurana da informao e


comunicaes selecionada e as razes para sua seleo;
b) Os objetivos de cada ao de segurana da informao e comunicaes que j foram
implementadas em seu rgo ou entidade;
c) Um resumo das decises relativas gesto de riscos; e
d) Justificativas de possveis excluses de aes de segurana da informao e
comunicaes sugeridas pelo Gestor de Segurana da Informao e Comunicaes e
no autorizadas pela autoridade decisria de seu rgo ou entidade.

3.2 ("Do - D") Fazer - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes implementar as aes de segurana da informao e comunicaes definidas na
fase anterior. Para fazer necessrio:

3.2.1 Formular um plano de metas para cada objetivo das aes de segurana da informao e
comunicaes aprovadas na fase do planejamento em ordem de prioridade, incluindo a atribuio de
responsabilidades, os prazos para execuo, e os custos estimados;

3.2.2 Obter autorizao da autoridade decisria de seu rgo ou entidade para implementar o plano
de metas com a garantia de alocao dos recursos planejados;

3.2.3 Implementar o plano de metas para atender as aes de segurana da informao e


comunicaes aprovadas;

3.2.4 Definir como medir a eficcia das aes de segurana da informao e comunicaes,
estabelecendo indicadores mensurveis para as metas aprovadas;

3.2.5 Implementar programas de conscientizao e treinamento, sendo necessrio:

a) assegurar que todo pessoal que tem responsabilidades atribudas no plano de metas
receba o treinamento adequado para desempenhar suas tarefas;
b) manter registros sobre habilidades, experincias e qualificaes do efetivo do rgo
ou entidade relativos segurana da informao e comunicaes;
c) assegurar que todo efetivo do rgo ou entidade esteja consciente da relevncia e
importncia da segurana da informao e comunicaes em suas atividades e como
cada pessoa pode contribuir para o alcance dos objetivos das aes de segurana da
informao e comunicaes;

Pgina 4 de 6
3.2.6 Gerenciar a execuo das aes de segurana da informao e comunicaes;

3.2.7 Gerenciar os recursos empenhados para o desenvolvimento das aes de segurana da


informao e comunicaes; e

3.2.8 Implementar procedimentos capazes de permitir a pronta deteco de incidentes de segurana


da informao e comunicaes, bem como a resposta a incidentes de segurana da informao e
comunicaes.

3.3 ("Check - C") Checar - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes avaliar as aes de segurana da informao e comunicaes implementadas na
fase anterior. Para checar necessrio:

3.3.1 Executar procedimentos de avaliao e anlise crtica, a fim de:

a) detectar erros nos resultados de processamento;


b) identificar incidentes de segurana da informao e comunicaes;
c) determinar se as aes de segurana da informao e comunicaes delegadas a
pessoas ou implementadas por meio de tecnologia da informao e comunicaes esto
sendo executadas conforme planejado;
d) determinar a eficcia das aes de segurana da informao e comunicaes
adotadas, mediante o uso de indicadores;

3.3.2 Realizar anlises crticas regulares, a intervalos planejados de pelo menos uma vez por ano;

3.3.3 Verificar se os requisitos ou pressupostos estabelecidos pelo planejamento organizacional,


bem como as diretrizes expedidas pela autoridade decisria de seu rgo ou entidade foram
atendidos;

3.3.4 Atualizar a avaliao/anlise de riscos a intervalos planejados de pelo menos uma vez por ano;

3.3.5 Conduzir auditoria interna, tambm denominada auditoria de primeira parte, das aes de
segurana da informao e comunicaes a intervalos planejados de pelo menos uma vez ao ano;

3.3.6 Atualizar os planos de segurana da informao e comunicaes, considerando os resultados


da avaliao e anlise de crtica; e

3.3.7 Registrar e levar ao conhecimento da autoridade superior os possveis impactos na eficcia da


misso de seu rgo ou entidade.

3.4 ("Act - A") Agir - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes aperfeioar as aes de segurana da informao e comunicaes, baseando-se no
monitoramento realizado na fase anterior. Para aperfeioar e promover a melhoria contnua
necessrio:

3.4.1 Propor autoridade decisria de seu rgo ou entidade a necessidade de implementar as


melhorias identificadas;

3.4.2 Executar as aes corretivas ou preventivas de acordo com a identificao de no


conformidade real ou potencial;

Pgina 5 de 6
3.4.3 Comunicar as melhorias autoridade decisria de seu rgo ou entidade; e

3.4.4 Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

4. CONSIDERAES FINAIS

A metodologia apresentada nesta norma deve ser complementar aos primeiros processos de Gesto
de Segurana da Informao e Comunicaes, previstos na IN 01 GSI, de 13 de junho de 2008, a
serem implementados pelos rgos e entidades da Administrao Pblica Federal, direta e indireta.

5. VIGNCIA DA NORMA

Esta Norma entra em vigor na data de sua publicao.

Pgina 6 de 6