Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de Projetos em Segurança da Informação - PMI Apresentação A construção de conhecimento na área de gestão de projetos é, em muitos casos, um verdadeiro processo de qualificação que envolve as melhores práticas de gerenciamento de projetos. O desafio é a elaboração de planos de recursos e custos, uma vez que implica em um processo de representação de um modelo de projeto, preservando as características que permitem ao aluno idealizar projetos que possam ser úteis no seu dia a dia. Desenvolver essas competências no aluno é o papel da disciplina Gestão de Projetos em Segurança da Informação. O ciclo de vida de um Projeto de Segurança da Informação, como qualquer outro projeto, deve ser dividido em fases como: início, planejamento, execução, controle e encerramento. Unidade 1: Conceitos de gerência de projeto 1.1 Objetivo desta unidade Nesta unidade, trataremos dos conceitos de PMI (Project Management Institute), Certificação PMP (Project Management Professional); projeto e gerenciamento de projeto; processo e programa; fases do projeto e o cicio de vida; habilidades gerenciais; processos da Gerência de Integração do PMBOK. 1.2 O que é um projeto? Segundo o PMBOK®, projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo. A natureza temporária dos projetos indica que eles têm um início e um término definidos. O término é alcançado quando os objetivos do projeto são atingidos ou quando o projeto é encerrado, porque os seus objetivos não serão ou não podem ser alcançados, ou quando a necessidade do projeto deixar de existir. Um projeto também poderá ser encerrado se o cliente (cliente, patrocinador ou financiador) desejar encerrá-lo. Cada projeto cria um produto, serviço ou resultado único. O resultado do projeto pode ser tangível ou intangível. Exemplos de projetos: Construção de um prédio; Implantação do ERP; Desenvolvimento de um sistema de segurança da informação; Campanha política; Implantação de um novo processo. Em virtude da natureza exclusiva dos projetos, pode haver incertezas ou diferenças quanto aos produtos, serviços ou resultados criados pelo projeto, conforme mostra esta figura: 1.3 Qual o significado de programa, projeto, subprojeto e sistema? Programa, projeto, subprojeto e sistema são empreendimentos semelhantes, de dimensões semelhantes. O relacionamento entre portfólios, programas e projetos é tal que um portfólio se refere a uma coleção de projetos, programas, subportfólios e gerenciadas para o alcance de objetivos estratégicos. Os programas são agrupados em um portfólio e englobam subprogramas, projetos ou outros trabalhos, que são gerenciados de forma coordenada para apoiar o portfólio. 1.4 O que é gerenciamento de projeto? Gerenciamento de projetos é a aplicação do conhecimento, habilidades, ferramentas e técnicas às atividades do projeto para atender aos seus requisitos. É realizado através da aplicação e integração apropriadas dos 47 processos de gerenciamento de projetos, logicamente agrupados em cinco grupos de processos: • Iniciação; • Planejamento; • Execução; • Monitoramento e controle; • Encerramento. O gerenciamento de um projeto normalmente inclui, mas não se limita a: • Identificação dos requisitos; • Abordagem das diferentes necessidades, preocupações e expectativas das partes interessadas no planejamento e execução do projeto; • Estabelecimento, manutenção e execução de comunicações ativas, eficazes e colaborativas entre as partes interessadas; • Gerenciamento das partes interessadas visando o atendimento aos requisitos do projeto; • Equilíbrio das restrições conflitantes do projeto que incluem: Escopo; Qualidade; Cronograma; Orçamento; Recursos; Riscos. 1.5 Habilidades do gerente de projetos O gerenciamento eficaz exige que o gerente de projetos possua as seguintes competências: • Conhecimento. Refere-se ao que o gerente de projetos sabe sobre gerenciamento de projetos; • Desempenho. Refere-se ao que o gerente de projetos é capaz de fazer ou realizar quando aplica o seu conhecimento em gerenciamento de projetos; • Pessoal. A efetividade pessoal abrange atitudes, liderança e relacionamento interpessoal, como: Motivação; Comunicação; Influência; Tomada de decisões; Consciência política e cultural; Negociação; Ganho de confiança; Administração de conflitos. 1.6 Base de conhecimento corporativa A base de conhecimento organizacional corporativa para o armazenamento e recuperação de informações inclui: • Bases de conhecimento de gerenciamento de configuração, contendo as versões e linhas de base de todas normas, políticas e procedimentos da organização executora e quaisquer documentos do projeto; • Bancos de dados financeiros, contendo informações como horas de mão de obra, custos incorridos, orçamentos e qualquer estouro dos custos do projeto; • Bases de conhecimento de informações históricas e lições aprendidas (registros e documentos de projetos anteriores e informações de atividades de gerenciamento de riscos); • Bancos de dados de gerenciamento de problemas, informações de controle, solução de problemas; • Arquivos de projetos anteriores (escopo, custo, cronograma, linhas de base de medição do desempenho, calendários dos projetos, cronogramas, registros dos riscos e impactos). 1.7 Ciclo de vida de um projeto Todo projeto se desenvolve através de um ciclo de vida que se constitui numa sequência de fases que vão desde a ideia inicial até o seu encerramento. 1.8 Certificações em gerência de projeto Além dos padrões que estabelecem as diretrizes para os processos de gerenciamento de projetos, o código de ética e conduta profissional do PMI (Project Management Institute Code of Ethics and Professional Conduct) orienta e descreve as expectativas que eles devem ter de si mesmos e dos outros. O código de ética e conduta profissional do PMI é específico quanto à obrigação básica de responsabilidade, respeito, justiça e honestidade. Exige que os praticantes demonstrem um compromisso com a conduta ética e profissional. Ele transmite a obrigação do cumprimento das leis, regulamentos e das políticas organizacionais e profissionais. Os profissionais são provenientes de ambientes e culturas diversas, e o código de ética e conduta profissional do PMI se aplica globalmente. Ao interagir com quaisquer partes interessadas, os profissionais devem estar comprometidos com práticas honestas, responsáveis e justas e relacionamentos respeitosos. A aceitação do código pelos gerentes de projetos é essencial e é um requisito para os seguintes exames do PMI e respectivas certificações: • Profissional técnico certificado em gerenciamento de projetos (CAPM); • Profissional de gerenciamento de projetos (PMP); • Profissional de gerenciamento de programas (PgMP); • Profissional certificado em métodos Ágeis do PMI (PMI-ACP); • Profissional de gerenciamento de riscos do PMI (PMI-RMP); • Profissional em gerenciamento de cronograma (PMI-SP). 1.9 Processos do PMBOK e o ciclo de vida do projeto Iniciação Estudar a viabilidade; Determinar o objetivo e as expectativas dos usuários; Definir o escopo do projeto; Selecionar os integrantes da equipe do projeto; Formalizar a constituição do projeto. Planejamento Detalhar o escopo do projeto: resultados, prazo e recursos; Listar e sequenciar as atividades; Elaborar o cronograma e alocação de recursos; Obter aprovação dos envolvidos e interessados no projeto. Execução Gerenciar a equipe do projeto; Reunir-se com a equipe; Solucionar conflitos; Assegurar os recursos necessários (financeiros e pessoais). Controle Monitorar os desvios; Tomar ações corretivas para harmonizar o executado com o programado; Avaliar as alterações do projeto; Reprogramar o projeto e ajustar os recursos, quando necessário,. Encerramento Encerrar as atividades e aprender com a experiência passada; Avaliar os resultados finais do projeto; Emitir o relatório final e dissolver a equipe do projeto. 1.10 Grupo de processos de gerenciamento de projetos e as áreas de conhecimento 1.11 Gerenciamento da integração do projeto O gerenciamento da integração do projeto inclui os processos para identificar, definir e unificar e coordenar os vários processos e atividades do projeto. Os processos de gerenciamento da integração de projetos são: Desenvolver o tempo de abertura do projeto – Desenvolver um documento que formalmente autoriza a existência de um projeto e dá ao gerente do projeto a autoridade necessária para aplicar recursos às atividades do projeto; Desenvolver o plano de gerenciamento do projeto – Definir, preparar, integrar e coordenar todos os demais planos; Orientar e gerenciar o trabalho do projeto – Liderar e realizar o trabalho definido no plano do projeto; Monitorar e controlar o trabalho do projeto – Acompanhar o progresso do projeto; Realizar o controle integrado de mudanças – Revisar e aprovar as mudanças; Encerrar o projeto – Finalização de todas as atividades do projeto. Unidade 2: Gerenciamento do escopo, de prazo e de custos 2.1 Objetivo desta unidade Nesta unidade, abordaremos os processos referentes às áreas de conhecimento do PMBOK: Gerência de Escopo, Gerência de Tempo e Gerência de Custos. 2.2 Gerenciamento do escopo do projeto O que é escopo? Escopo é a “descrição daquilo que vai ser feito”. A Gerência do Escopo abrange os processos requeridos para assegurar que o projeto inclua todo o trabalho necessário, e tão somente o trabalho necessário. Deve definir e controlar o que está ou não incluído no projeto. Os processos da Gerência de Escopo são: Planejar o gerenciamento do escopo Criação de um plano de gerenciamento do escopo do projeto, que documenta como tal escopo será definido, validado e controlado; Coletar os requisitos Determinar, documentar e gerenciar as necessidades e requisitos das partes interessadas, visando atender aos objetivos do projeto; Definir o escopo Desenvolvimento de uma descrição detalhada do projeto e do produto; Criar a EAP Subdivisão das entregas e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis; Validar o escopo Formalização da aceitação das entregas concluídas do projeto; Controlar o escopo Monitoramento do andamento do escopo do projeto e do produto e gerenciamento das mudanças feitas na linha de base do escopo. Exemplo de um escopo de projeto de desenvolvimento de um novo veículo: Escopo do projeto Fábrica Fornecedores Produto: Veículo Treinamento dos distribuidores Escopo do produto: características do veículo A Gerência do Escopo começa com uma definição sucinta até o detalhamento. Seguem os componentes do projeto: 2.2.2 EAP - Estrutura Analítica do Projeto EAP é o desdobramento do texto da Declaração do Escopo em um conjunto de componentes menores, que identificam todo o trabalho a ser realizado para a obtenção do produto do projeto. O nível de detalhe dos pacotes de trabalho varia com o tamanho e a complexidade do projeto. A decomposição do trabalho completo do projeto em pacotes de trabalho envolve as seguintes atividades: • Identificação e análise das entregas de seu trabalho relacionado; • Estruturação e organização da EAP; • Decomposição dos níveis mais altos da EAP em componentes detalhados em menor nível; • Desenvolvimento e designação de códigos de identificação aos componentes da EAP; • Verificação de que o grau de decomposição das entregas é apropriado. Uma parte de uma EAP com alguns ramos decompostos até o nível de pacote de trabalho é mostrada nas duas figuras a seguir: Declaração de escopo A declaração do escopo do projeto define o trabalho que será executado. O que será excluído pode ajudar a determinar a capacidade da equipe de gerenciamento do projeto de controlar seu escopo geral. A declaração de escopo inclui: Descrição do escopo do projeto (progressivamente elaborado); Critérios de aceitação; Entregas do projeto; Exclusões do projeto; Restrições do projeto; Premissas do projeto. Restrições - Um fator limitador que afeta a execução de um projeto ou processo. As restrições identificadas com a declaração do escopo do projeto listam e descrevem as restrições ou limitações internas e externas específicas associadas com o escopo do projeto que afetam sua execução como, por exemplo, um orçamento predefinido ou quaisquer datas impostas ou marcos do cronograma comunicados pelo cliente ou pela organização executora. Quando um projeto é feito sob contrato, as cláusulas contratuais geralmente serão restrições. As informações sobre as restrições podem ser listadas na declaração do escopo do projeto ou em um registro separado. Premissas - Um fator do processo de planejamento considerado verdadeiro, real ou certo, desprovido de prova ou demonstração. Também descreve o impacto potencial desses fatores se forem comprovados como falsos. As equipes de projetos frequentemente identificam, documentam e validam as premissas como parte do seu processo de planejamento. As informações sobre as premissas podem ser listadas na declaração do escopo do projeto ou em um registro separado. 2.3 Gerenciamento do tempo do projeto O gerenciamento do tempo do projeto inclui os processos necessários para gerenciar o término pontual do projeto. Os processos de gerenciamento do tempo do projeto são: Planejar o gerenciamento do cronograma - Estabelecer as políticas, os procedimentos e a documentação para o planejamento, desenvolvimento, gerenciamento, execução e controle do cronograma do projeto; Definir as atividades - Identificação e documentação das ações específicas a serem realizadas para produzir as entregas do projeto; Sequenciar as atividades - Identificação e documentação dos relacionamentos entre as atividades do projeto; Estimar os recursos das atividades - Estimativa dos tipos e quantidades de material, recursos humanos, equipamentos ou suprimentos que serão necessários para realizar cada atividade; Estimar as durações das atividades - Estimativa do número de períodos de trabalho que serão necessários para terminar atividades específicas com os recursos estimados; Desenvolver o cronograma - Análise das sequências das atividades, suas durações, recursos necessários e restrições do cronograma visando criar o modelo do cronograma do projeto; Controlar o cronograma - Monitoramento do andamento das atividades do projeto para a atualização no seu progresso e gerenciamento das mudanças feitas na linha de base do cronograma para realizar o planejado. Desenvolvimento do cronograma Para desenvolver o cronograma, é necessário construir o diagrama de rede, que é um esquema de apresentação das atividades do projeto e dos relacionamentos lógicos (dependências) entre elas. O exemplo a seguir mostra o diagrama de rede para um projeto de jantar beneficente: Diagrama de Gantt 2.4 Gerenciamento dos custos do projeto O gerenciamento dos custos do projeto inclui os processos envolvidosem planejamento, estimativas, orçamentos, financiamentos, gerenciamento e controle dos custos, de modo que o projeto possa ser terminado dentro do orçamento aprovado. Os processos de gerenciamento dos custos do projeto são: Planejar o gerenciamento dos custos - Estabelecer as políticas, os procedimentos e a documentação para o planejamento, gestão, despesas e controle dos custos do projeto; Estimar os custos - Desenvolvimento da estimativa de custos dos recursos monetários necessários para terminar as atividades do projeto; Determinar o orçamento - Agregação dos custos estimados de atividades individuais ou pacotes de trabalho para estabelecer uma linha de base dos custos autorizada; Controlar os custos - Monitoramento do andamento do projeto para atualização no seu orçamento e gerenciamento das mudanças feitas na linha de base de custos. O plano de gerenciamento do projeto contém informações usadas para desenvolver o plano de gerenciamento dos custos que incluem: • Linha de base do cronograma - Define quando os custos do projeto serão incorridos; • Outras informações - Outras decisões sobre custos, riscos e comunicações relacionadas com o desenvolvimento dos custos a partir do plano de gerenciamento do projeto; • Linha de base do escopo - Inclui o gerenciamento do escopo do projeto e os detalhes da EAP para a estimativa e gerenciamento dos custos. Compreende o seguinte: Especificação do escopo do projeto - A especificação do escopo do projeto fornece a descrição do produto, os critérios de aceitação, as entregas chave, os limites, as premissas e restrições do projeto. Uma premissa básica que precisa ser definida durante a estimativa de custos do projeto é se as estimativas serão limitadas somente aos custos diretos do projeto ou se incluirão também os custos indiretos. Os custos indiretos são aqueles que não podem ser diretamente rastreados até um projeto específico e, portanto, serão acumulados e igualmente distribuídos entre múltiplos projetos através de algum procedimento contábil aprovado e documentado. Uma das restrições mais comuns para muitos projetos é um orçamento limitado. Exemplos de outras restrições são as datas de entregas exigidas, os recursos habilitados disponíveis e as políticas organizacionais; Estrutura analítica do projeto - A estrutura analítica do projeto (EAP) fornece as relações entre todos os componentes do projeto e suas entregas; Dicionário da EAP - O dicionário da EAP (Seção 5.43) fornece informações detalhadas sobre as entregas e uma descrição do trabalho em cada componente da EAP necessário para produzir cada entrega. Termo de Abertura do Projeto O termo de abertura do projeto fornece um orçamento de resumo a partir do qual os custos detalhados do projeto serão desenvolvidos. Também define os requisitos de aprovação do projeto que influenciarão o gerenciamento dos custos do projeto. Linha de base de custos A linha de base dos custos é a versão aprovada do orçamento do projeto referenciado no tempo, excluindo quaisquer reservas de gerenciamento, que só pode ser mudada através de procedimentos formais de controle de mudanças e usada como base para comparação com os resultados reais. É desenvolvida como um somatório dos orçamentos aprovados para as várias atividades do cronograma. Análise financeira do projeto A análise financeira deve contempla as seguintes atividades: Análise de custo-benefício - Ferramenta de análise financeira usada para determinar os benefícios providos por um projeto em relação aos seus custos; Análise de decisão envolvendo critérios múltiplos – Esta técnica utiliza uma matriz de decisão que fornece uma abordagem analítica sistemática para o estabelecimento de critérios, como níveis de risco, incerteza e avaliação, para avaliar e classificar muitas ideias; Análise de desempenho (Performance Reviews) - Técnica usada para medir, comparar e analisar o desempenho real do trabalho do projeto em progresso, em relação à linha de base; Análise de fazer ou comprar (Make-or-Buy Analysis) - O processo de reunir e organizar dados sobre os requisitos do produto e analisá-los em relação às alternativas disponíveis, incluindo a compra ou manufatura interna do produto; Análise SWOT (de forças, fraquezas, oportunidades e ameaças) - A análise dos pontos fortes (strengths), fracos (weaknesses), das oportunidades (opportunities) e ameaças (threats) a uma organização, projeto ou opção; Análise de listas de verificação (Checklist Analysis) - Técnica para verificar os materiais de maneira sistemática, usando uma lista para determinar a exatidão e completude; Análise de premissas (Assumptions Analysis) - Técnica que explora a exatidão das premissas e identifica os riscos para o projeto causados pelo caráter inexato, inconsistente ou incompleto das premissas. Unidade 3: Demais áreas de conhecimento do PMI/PMBOK 3.1 Objetivo desta unidade Nesta unidade, abordaremos os demais processos referentes às áreas de conhecimento do PMBOK, como: gerência de qualidade, gerência de recursos humanos, de comunicação, de riscos, de aquisições e gerência das partes interessadas do projeto. 3.1 Gerenciamento da Qualidade do Projeto Inclui os processos e atividades da organização executora que determinam as políticas de qualidade, os objetivos e as responsabilidades, de modo que o projeto satisfaça às necessidades para as quais foi empreendido. Processos de gerenciamento da qualidade do projeto Planejar o gerenciamento da qualidade - Identificação dos requisitos e/ou padrões da qualidade do projeto e suas entregas, além da documentação de como o projeto demonstrará a conformidade com os requisitos e padrões de qualidade; Realizar a garantia da qualidade - Auditoria dos requisitos de qualidade e dos resultados das medições do controle de qualidade, para garantir o uso dos padrões de qualidade e das definições operacionais apropriadas; Realizar o controle da qualidade - Monitoramento e registro dos resultados da execução das atividades de qualidade, para avaliar o desempenho e recomendar as mudanças necessárias. Ferramentas de qualidade • Diagrama Ishikawa (espinha de peixe); • Fluxograma; • Folhas de verificação; • Diagrama de Pareto; • Histograma; • Diagrama de dispersão; • Brainstorming. Essa técnica é usada para gerar ideias (definidas na Seção 11.2.2.2). • Análise do campo de força. Esses são diagramas das forças a favor e contra a mudança; • Técnica de grupo nominal. É usada para permitir que as ideias passem pelo brainstorming em pequenos grupos e depois sejam analisadas por um grupo maior; • Ferramentas de gerenciamento e controle da qualidade. São usadas para conectar e sequenciar as atividades identificadas. 3.3 Gerenciamento dos recursos humanos do projeto O gerenciamento dos recursos humanos do projeto inclui os processos que organizam, gerenciam e guiam a equipe do projeto. A equipe do projeto consiste sas pessoas com papéis e responsabilidades designadas para completar o projeto. Os membros da equipe do projeto podem ter vários conjuntos de habilidades, atuar em regime de tempo integral ou parcial e podem ser acrescentados ou removidos da equipe à medida que o projeto progride. Eles também podem ser referidos como pessoal do projeto. Embora os papéis e responsabilidades específicos para os membros sejam designados, o envolvimento de todos os membros da equipe no planejamento do projeto e na tomada de decisões pode ser benéfico. A participação dos membros da equipe durante o planejamento agrega seus conhecimentos ao processo e fortalece o compromisso com o projeto. Os processos de gerenciamentodos recursos humanos do projeto são: Desenvolver o plano dos recursos humanos - Identificação e documentação de papéis, responsabilidades, habilidades necessárias, relações hierárquicas, além da criação de um plano de gerenciamento do pessoal; Mobilizar a equipe do projeto - Confirmação da disponibilidade dos recursos humanos e da obtenção da equipe necessária para terminar as atividades do projeto; Desenvolver a equipe do projeto - Melhoria de competências, da interação e do ambiente geral da equipe para aprimorar o desempenho do projeto; Gerenciar a equipe do projeto - Acompanhar o desempenho dos membros da equipe, fornecer feedback, resolver problemas e gerenciar mudanças para otimizar o desempenho do projeto. 3.4 Gerenciamento das comunicações do projeto O gerenciamento das comunicações do projeto inclui os processos necessários para assegurar que as informações sejam planejadas, coletadas, criadas, distribuídas, armazenadas, recuperadas, gerenciadas, controladas, monitoradas e finalmente dispostas de maneira oportuna e apropriada. Os gerentes de projetos passam a maior parte do tempo se comunicando com os membros da equipe e outras partes interessadas do projeto, quer sejam internas (em todos os níveis) ou externas à organização. A comunicação eficaz cria uma ponte entre as diversas partes interessadas do projeto, que podem ter diferenças culturais e organizacionais, diferentes níveis de conhecimento e diversas perspectivas e interesses que podem impactar ou influenciar na execução ou resultado do projeto. Os processos do gerenciamento das comunicações do projeto são: Planejar o gerenciamento das comunicações - Desenvolver uma abordagem apropriada e um plano de comunicações do projeto com base nas necessidades de informação e requisitos das partes interessadas e nos ativos organizacionais disponíveis; Gerenciar as comunicações - Criar, coletar, distribuir, armazenar, recuperar as informações do projeto de acordo com o plano de gerenciamento das comunicações; Controlar as comunicações - Monitorar e controlar as comunicações no decorrer do ciclo de vida do projeto para assegurar que as necessidades de informação das partes interessadas sejam atendidas. Os cinco passos para o gerenciamento eficaz da comunicação 1) Ouvir atentamente - Observe não apenas o que está sendo dito, mas como está sendo dito. A linguagem de corpo e entonação empregada dão subsídios adicionais; 2) Pensar objetivamente - Respire, dê-se um tempo para organizar as ideias. Só interrompa se for para obter esclarecimentos e peça para continuar; 3) Discutir abertamente - A discussão aberta permitirá ao GP obter mais esclarecimentos a respeito dos problema; 4) Desenvolver sensibilidade - É a percepção; olhe para além dos limites da mensagem e entenda em que circunstâncias ela ocorre; 5) Responder rapidamente às necessidades - É frustrante saber que a mensagem foi entendida, mas nenhuma ação foi tomada. A importância da comunicação no ambiente de projetos Uma comunicação eficaz acelera os processos internos e facilita a solução de problemas e de conflitos, o melhor desempenho e a tomada de decisão. A comunicação eficaz ocorre quando a mensagem é enviada, recebida e entendida conforme pretendida pelo emissor. Ela requer feedback. O que os clientes esperam do gerente de projetos: Interesse e atenção aos seus objetivos; Entender do seu segmento de negócio; Proativo; Respeito mútuo, confiança e credibilidade. Gerenciar expectativas não é simplesmente identificar o que o cliente quer; é guiar o cliente de forma tal que ele espere por aquilo que você pode oferecer (Jolyon Hallows. Information Systems Project Management, Amacom, 1998). 3.5 Gerenciamento dos riscos do projeto O gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, análise, planejamento de respostas e controle de riscos de um projeto. Seus objetivos são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto. Os processos de gerenciamento dos riscos do projeto são: Planejar o gerenciamento dos riscos - Definição de como conduzir as atividades de gerenciamento dos riscos de um projeto; Identificar os riscos - Determinação dos riscos que podem afetar o projeto e de documentação das suas características; Realizar a análise qualitativa dos riscos - Priorização de riscos para análise ou ação posterior, através da avaliação e combinação de sua probabilidade de ocorrência e impacto; Realizar a análise quantitativa dos riscos - Analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto; Planejar as respostas aos riscos - Desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto; Controlar os riscos - Implementar os planos de respostas aos riscos, acompanhar os riscos identificados, monitorar riscos residuais, identificar novos riscos e avaliar a eficácia do processo de gerenciamento dos riscos durante todo o projeto. Auditorias de riscos As auditorias de riscos examinam e documentam a eficácia das respostas para lidar com os riscos identificados e suas causas principais, bem como a eficácia do processo de gerenciamento dos riscos. O gerente de projetos é responsável por garantir que sejam realizadas auditorias com uma frequência adequada, conforme definido no plano de gerenciamento dos riscos do projeto. As auditorias de riscos podem ser incluídas nas reuniões rotineiras de revisão do projeto ou a equipe pode decidir fazer reuniões de auditoria separadas. O formato da auditoria e seus objetivos devem ser definidos claramente antes da execução da auditoria. Exemplo de uma análise de riscos: método da ponderação (escore de risco) IITTEEMM PPEESSOO NNOOTTAA TTOOTTAALL Custo do sistema 15 5 75 Valor diário das transações 15 10 150 Volume diário das transações 10 9 90 Visibilidade do cliente 10 10 100 Impacto 10 10 100 Extensão do sistema 5 8 40 Capacitação da equipe 5 8 40 TOTAL 595 Tabela de prioridade do risco EESSCCOORREE DDEE RRIISSCCOO PPRRIIOORRIIDDAADDEE Até 200 Baixa 201 a 300 Média 301 a 500 Alta 501 e maior Muito Alta Como a nota total foi 595, o projeto deve ser indicado para auditoria. 3.6 Gerenciamento das aquisições do projeto O gerenciamento das aquisições do projeto inclui os processos necessários para comprar ou adquirir produtos, serviços ou resultados externos à equipe do projeto. A organização pode ser tanto o comprador quanto o vendedor dos produtos, serviços ou resultados de um projeto. Abrange os processos de gerenciamento de contratos e controle de mudanças necessários para desenvolver e administrar contratos ou pedidos de compra emitidos por membros autorizados da equipe do projeto. Também inclui a administração de todos os contratos emitidos por uma organização externa (o comprador), que está adquirindo os resultados do projeto da organização executora (o fornecedor), e a administração das obrigações contratuais atribuídas à equipe do projeto pelo contrato. Os processos do gerenciamento das aquisições do projeto são: Planejar o gerenciamento das aquisições - Documentação das decisões de compras do projeto, especificando a abordagem e identificando fornecedores em potencial; Conduzir as aquisições - Obtenção de respostas de fornecedores, seleção de um fornecedor e adjudicação de um contrato; Controlar as aquisições - Gerenciamento das relações de aquisições, monitoramento do desempenho do contrato e realizações de mudanças e correções nos contratos,conforme necessário; Encerrar as aquisições - Finalizar cada uma das aquisições do projeto. Critérios para seleção de fornecedores Política e custo de atualização de versões (manutenção); Reputação do fornecedor; Nível e disponibilidade de suporte; Flexibilidade do sistema; Facilidade de interação (usabilidade); Disponibilidade e qualidade da documentação; Recursos de hardware e redes necessários; Treinamento necessário (e se está no custo da aquisição); Segurança; Tempo de aprendizado para desenvolvedores e usuários. 3.7 Gerenciamento das partes interessadas do projeto O gerenciamento das partes interessadas do projeto inclui os processos exigidos para identificar todas as pessoas, grupos ou organizações que podem impactar ou serem impactados pelo projeto, analisar as expectativas das partes interessadas e seu impacto no projeto, e desenvolver estratégias de gerenciamento apropriadas para o engajamento eficaz das partes interessadas nas decisões e execução do projeto. Também se concentra na comunicação contínua com as partes interessadas, para entender suas necessidades e expectativas, abordando as questões conforme elas ocorrem, gerenciando os interesses conflitantes e incentivando o comprometimento das partes interessadas com as decisões e atividades do projeto. A satisfação das partes interessadas deve ser gerenciada como um objetivo essencial do projeto. Os processos de gerenciamento das partes interessados do projeto são: Identificar as partes interessadas - Identificar pessoas, grupos ou organizações que podem impactar ou serem impactados por uma decisão, atividade ou resultado do projeto e analisar e documentar informações relevantes relativas aos seus interesses, nível de engajamento, interdependências, influência, e seu impacto potencial no êxito do projeto; Planejar o gerenciamento das partes interessadas - Desenvolver estratégias apropriadas de gerenciamento para engajar as partes interessadas de maneira eficaz no decorrer de todo o ciclo de vida do projeto, com base na análise das suas necessidades, interesses, e impacto potencial no sucesso do projeto; Gerenciar o engajamento das partes interessadas - Comunicar-se e trabalhar com as partes interessadas para atender às suas necessidades/ expectativas, abordar as questões à medida que elas ocorrem e incentivar o engajamento apropriado das partes interessadas nas atividades do projeto, no decorrer de todo o ciclo de vida do projeto; Controlar o engajamento das partes interessadas - Monitorar os relacionamentos das partes interessadas do projeto em geral e ajustar as estratégias e planos para o engajamento das partes interessadas. Identificação e análise dos stakeholders Todas as partes interessadas do projeto (nome, cargo); Definir cada parte interessada e o que vai fazer no projeto; Estabelecer os papéis e responsabilidades de cada um no projeto; Definir o comprometimento que eles devem ter no projeto; Como trabalhar em sintonia com os stakeholders; Qual a importância de cada um no projeto. Exemplos de stakeholders: • Acionistas, donos, investidores; • Empregados; • Fornecedores/ subministradores da empresa; • Sindicatos, associações profissionais; • Associações de vizinhos; • Grupos normativos; • Governos federal, estadual e municipal; • ONGs; • Concorrentes. Unidade 4: Projeto de segurança da informação 4.1 Introdução O profissional da área de Tecnologia da Informação atua diretamente no planejamento, implementação e implantação de soluções de TI nas organizações. Dessa forma, é imprescindível que o gerente de projeto entenda a importância das necessidades de segurança nas organizações e da própria informação, compreenda o conceito de segurança da informação e saiba aplicar as melhores práticas do mercado. O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos, serviços e capacidades que confiram a esta empresa vantagens estratégicas sobre as forças competitivas que ela enfrenta no mercado mundial. As razões fundamentais são: • Apoio às operações e aos processos; • Apoio à tomada de decisão; • Apoio às estratégias para vantagem competitiva. 4.2 O que é segurança da informação? A segurança da informação trata da proteção dos dados e informações contra ações não autorizadas (intencionais ou acidentais) relativas à divulgação, transferência, modificação ou destruição destes, condição em que pessoas, instalações, equipamentos, sistemas básicos, aplicativos, dados, informações e outros recursos significativos encontram-se a salvo de desastres ou ameaças naturais, bem como de desastres ou ameaças causados pelo homem. A segurança de informações está relacionada à proteção dos ativos. Todas as informações processadas por uma organização, bem como os equipamentos e sistemas utilizados, representam ativos valiosos, no sentido em que a continuidade do funcionamento da organização pode depender da preservação destes ativos. Um projeto de segurança da informação deve garantir a exatidão, a integridade e a disponibilidade das informações da organização, como também garantir a confidencialidade e a privacidade das informações dos clientes, fornecedores e colaboradores. 4.2 Proteção A proteção da informação está classificada em: • Prevenção: evita que acidentes ocorram; • Desencorajamento: desencoraja a prática de ações; • Monitoramento: monitora o estado e funcionamento dos ativos; • Detecção: detecta a ocorrência de incidentes; • Limitação: diminui os danos causados; • Reação: reage a determinados incidentes; • Correção: repara falhas existentes; • Recuperação: repara danos causados por incidentes. 4.3 Princípios • Integridade: trata-se da manutenção das informações tal e qual tenham sido geradas. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada; • Disponibilidade: consiste na possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 4.4 Fatores que impactam na segurança Valor: importância do ativo para a organização; Ameaça: evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas; Vulnerabilidade: a ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismos; Impacto: tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará. Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que, dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça. Exemplo: assalto a residência Ativos: objetos existentes na casa. Vulnerabilidade: porta com fechadura simples. Ameaça: pode haver um arrombamento e assalto. Impactos: perda de conforto, necessidade de comprar tudo novamente. Contramedidas: fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro etc. 4.5 Segurança da Informação segundo a NBR ISO 27.000ISO é uma palavra derivada do grego isos (igual), que aparece como prefixo em termos tais como: isometria (qualidade de medidas e dimensões) e isonomia (igualdade das pessoas perante à lei). Por decorrência, associa-se ISO (igual) a "padrão", o que levou a uma linha de pensamento que redundou na escolha de ISO como identificação mundial da International Organization for Standardization, para evitar a infinidade de siglas resultantes da tradução em diversas línguas dessa ONG criada em 1947 e sediada em Genebra, na Suíça. ISO 27.001 Esta norma define os requisitos para a implementação de um projeto de sistema de gestão de segurança da informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. ISO 27.002 Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Controle de acesso A Norma NBR ISO 27.002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação, levando em consideração as políticas para autorização e disseminação da informação. IDS - Intrusion detection system DMZ = zona desmilitarizada Web service SSL = Security sockets layers - provê uma camada de criptografia ao protocolo HTTP DNS = Domain name system (sistema de nomes de domínios - grandes bancos de dados espalhados em servidores localizados em várias partes mundo). VPN = Virtual private network, rede de comunicações privada usada por empresas. Desenvolvimento e manutenção de sistemas A Norma NBR ISO 27.002 orienta que a organização deve garantir que segurança é parte integrante de sistemas de informação seja na aquisição, desenvolvimento ou manutenção de sistemas de informação. Dessa forma, os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento do projeto de sistemas de informação. Gestão de incidentes de segurança da informação A norma NBR ISO 27.002 orienta que a organização deve assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Gestão da continuidade do negócio A norma NBR ISO 27.002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. Conformidade A norma NBR ISO 27002 orienta que o projeto deve evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. ISO 27.003 Esta norma fornece orientação para um sistema de gestão de segurança da informação com objetivos mais amplos que a norma ISO 27.001, especificamente no que tange à melhoria do desempenho global de uma organização e sua eficiência e eficácia. ISO 27.004 Esta norma define métricas e medições para avaliar a eficácia de um SGSI. Fornece orientações para elaboração, tabulação e acompanhamento de indicadores do projeto de sistema de gestão de segurança da informação. Visa o acompanhamento dos objetivos de segurança previstos para o sistema de gestão por meio da medição da eficácia dos controles de segurança implementados e permite aos gestores avaliar se os controles alcançam de forma satisfatória os objetivos de controle planejados. ISO 27.005 Fornece diretrizes para o processo de gestão de riscos de segurança da informação. Contém a descrição do processo de gestão de riscos de segurança da informação e das suas atividades. ISO 27.006 Guia para o processo de acreditação de entidades certificadoras. ISO 27.007 Orientações para gestão de um projeto de auditoria de sistemas de segurança da informação.
Compartilhar