Como Convencer a Administração a Investir num Plano Global de Segurança Empresarial Jorge Cunha...

Como Convencer a AdministraçãoComo Convencer a Administração a Investir num Plano Global a Investir num Plano Global de Segurança Empresarial de Segurança Empresarial

Jorge CunhaPaulo AndréJosé Pedro Rodrigues 2006.Nov.02

Planeamento de Emergência, Gestão de Risco e Sistemas de Segurança

2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02

AgendaAgenda

ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens

Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro

ConclusãoConclusão


ApresentaçãoApresentaçãoApresentação Auto-Estradas do AtlânticoApresentação Auto-Estradas do Atlântico

Constituída em Dezembro de 1998Constituída em Dezembro de 1998 Objecto do Contrato de Concessão com:Objecto do Contrato de Concessão com:

Exploração e manutenção dos 85Km da Exploração e manutenção dos 85Km da A8 SulA8 Sul

Concepção, construção e financiamento Concepção, construção e financiamento de novos troços, numa extensão total de de novos troços, numa extensão total de 85Km, divididos entre a A8 Norte (Caldas 85Km, divididos entre a A8 Norte (Caldas da Rainha – Leiria) e a A15 (Caldas da da Rainha – Leiria) e a A15 (Caldas da Rainha – Santarém)Rainha – Santarém)

30 Anos de duração30 Anos de duração 170 km de Concessão170 km de Concessão 21 Portagens21 Portagens 875 M€ investimento em 875 M€ investimento em Project FinanceProject Finance Sedeada em Torres VedrasSedeada em Torres Vedras Centro de Controlo de Tráfego em Centro de Controlo de Tráfego em

Torres VedrasTorres Vedras

Auto-Estradas do Atlântico Auto-Estradas do Atlântico


AgendaAgenda





Infra-Estrutura de Suporte

Sistemas de Suporte ao Negócio

Sistemas de Suporte à Operação

Sistemas Complementares/Infra-Estrutura

ApresentaçãoApresentação Organização dos SistemasOrganização dos Sistemas

Backbone Fibra Óptica

Sistema de Transporte de Comunicações - SDH

Comunicações Dados Comunicações de Voz

Comunicações Dados (Gb Ethernet), SOS e CCTV

Sistemas da Concessão

Sis

tem

as d

e C

obra

nça

de P

orta

gem

Bac

kOffi

ce E

xplo

raçã

o

ER

P M

inim

al

Sis

tem

as d

e C

ontr

olo

EA

O

SIG

A –

Ges

tão

Infr

a-E

stru

tura

Rod

oviá

ria

SO

S

Red

e R

ádio

Sis

tem

as S

egur

ança

Web

Site

Arm

azen

amen

to

Aut

entic

ação

E-M

ail


AgendaAgenda





www.aeatlantico.pt

BackOffice DE (SiDE)

Sistema de Portagens

Nível Via Nível Distribuição Nível CentralNível Estação

ERP

ApresentaçãoApresentaçãoSistemas Suporte ao NegócioSistemas Suporte ao Negócio

Sistema Gestão Manutenção


AgendaAgenda





Nível Via Nível Estação

POS SIBS

CE Estação

TPS Via Verde

Entidades Externas

Nível Distribuição

Dist. ServerManual Entrada

Verde Saída

VerdeEntrada

Manual Saída

Nível Central

Host

Sistemas de Gestão

ERPBackOffice (SiDE)SGM

ApresentaçãoApresentaçãoSistema PortagensSistema Portagens


Nível Via Nível Estação

POS SIBS

CE Estação

TPS Via Verde

Entidades Externas

Nível Distribuição

Dist. ServerManual Entrada

Verde Saída

VerdeEntrada

Manual Saída

Nível Central

Host

Sistemas de Gestão

ERPBackOffice (SiDE)SGM

Ped

ido

Res

post

a

ApresentaçãoApresentaçãoSistema PortagensSistema Portagens


AgendaAgenda





1999

2nd Half

2000

1st Half 2nd Half

2001

1st Half 2nd Half

2002

1st Half 2nd Half

2003

1st Half 2nd Half

2004

1st Half 2nd Half

2005

1st Half 2nd Half

Estudo Estratégico

Expl.Model/ Tec.Car. Eq. Mar Oct

Adapt. Sist.Portagens Set Jun

Inst. Data Center Jun Jul

Inst. Equipam- Portagem Abr Mai

Backoffice DE (SiDE) OutNov

WebSite MaiJan

Proj. Interno Segurança Fev

Implementação ERP SetOut

SGM – Sist. Gestão Man. Jan Jun

Rede Rádio Set Dez

Propagação SIP A8 Sul AbrOut

Projecto Interno Segurança Projecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC


AgendaAgenda





Preparação

Definição do Projecto

Definição Âmbito

DecisãoAdministração

Consulta Mercado

Desenvolvimento

Avaliação Situação Actual

Definição Politica Segurança

Análise Risco

Estratégia Desastre

Estratégia Execução

Fim Preparação

Execução

Renovação Tecnológica

Ambientes Office

Projecto Interno SegurançaProjecto Interno SegurançaEstratégia de AbordagemEstratégia de Abordagem

Conclusão

Fim Execução Fim Projecto

ImplementaçãoPolitica

Segurança

Actualização Tecnológica Rede

Comunicações

Implementação de Recomendações de

Auditoria

Implementação do Modelo de Disaster

Recovery

Preparação e ExecuçãoSimulacro

Avaliação

Objectivo

Promover a renovação e o crescimento dos sistemas da concessionária, enquadrados

numa perspectiva de segurança


AgendaAgenda





Deliveries

Auditoria Politica de Segurança Disaster Recovery

Auditoria de Rede

Auditoria de Vulnerabilidades

Redacção Documento

Validação Jurídica

Validação Interna

Recolha Dados Sistemas

Recolha Dados Negócio

Caracterização Riscos

Caracterização Vulnerabilidades

Plano Prevenção

Plano Contingência

Plano Testes

Análise Impacto Organização

Recomendações

Desenho do “Active Directory”

Projecto Interno SegurançaProjecto Interno SegurançaPreparaçãoPreparação

Avaliação da Situação Actual

Reavaliação da Estratégia de Execução

Manual Segurança Sistemas Informáticos


Projecto Interno SegurançaProjecto Interno SegurançaConclusões Preparação – Conclusões Preparação – RiscoRisco

Perca de ReceitaPerca de Receita

Perca de Informação ControloPerca de Informação Controlo

DowntimeDowntime Sistemas Sistemas

Compromissos FiscaisCompromissos Fiscais

Compromissos para com o Compromissos para com o ConcedenteConcedente


Projecto Interno SegurançaProjecto Interno SegurançaConclusões Preparação – Conclusões Preparação – Disaster RecoveryDisaster Recovery

Centro de Dados SecundárioCentro de Dados Primário

Servidores Aplicacionais

ServidoresAplicacionais

Servidores Base de Dados

PC Clientes

Firewall

Desenv.

Produção

ServidoresBase de Dados

Desenv.

Produção

Qualidade Qualidade

CWDM

GbEth

Produção Produção


AgendaAgenda





Conclusão

Fim Projecto


Avaliação

Projecto Interno SegurançaProjecto Interno SegurançaExecução -Execução - Fase I e Fase IIFase I e Fase II


Definição Âmbito


Consulta Mercado

Desenvolvimento



Análise Risco



Fim Preparação

Preparação Execução


Ambientes Office

Fim Execução


Segurança


Comunicações


Auditoria


Recovery


Ambientes Office

Fim Execução


Segurança


Comunicações


Auditoria


Recovery

ExecuçãoExecução

Fase IIFase IIFase IFase I

Implementação Recomendações Auditoria

Implementação Politica Segurança

Instalação Ferramentas Controlo E-Mail e Web

Renovação Antivírus

Implementação Sistema Monitorização Rede e

Servidores

Acesso Remoto via VPN

Actualização TecnológicaAmbiente Backoffice

Migração Domínio Rede

Migração Servidor E-Mail

Sistema Controlo Acessos

Redimensionamento do Sistema e politica

Backup’s

Revisão das Condições Físicas da Sala Técnica

Construção Site Secundário

Implementação Tecnológica Site Secundário

Melhoria na Rede de Comunicações

Implementação Redundância nos Sistemas Firewall

Transferência Servidores para Site Secundário

Implementação SAN e Site Secundário


AgendaAgenda





Execução

Projecto Interno SegurançaProjecto Interno SegurançaSimulacroSimulacro

Simulacro colectivo

Simulacro individual

Correcções?

Preparação

Validação de Recomendações

Anteriores

Levantamento

Entrevistas com área de negócio

Análises e Documentação

Criação de Base de dados de suporte

Formação

DesenvolvimentoPlanos

Plano de ContingênciaPlano de TestesPlano de ComunicaçãoPlano de Recuperação

Deliveries

Avaliação

Relatório Final


Projecto Interno SegurançaProjecto Interno SegurançaSimulacroSimulacro

Seg Ter Qua Qui Sex

Lab

oral

Lab

oral

Formação Final e Revisão aos Processos

Backup Especial

- Incidente - Activação Plano

Comunicação - Reunião Comité

Desastre - Deslocação das

Equipas para o Site Secundário

- Início da Recuperação

RecuperaçõesFailover

Validação Backups Correctos Site

Secundário

Operação no Site

SecundárioRecuperação

FailBack

Reposição dos

Ambientes de Qualidade

no Site Secundário

Validação Backups Correctos Site

Secundário

Validação Backups Correctos

Validação Backups Correctos


AgendaAgenda





Preparação


Definição Âmbito


Consulta Mercado

Desenvolvimento



Análise Risco



Fim Preparação

Execução


Ambientes Office

Conclusão

Fim Execução Fim Projecto


Segurança


Comunicações


Auditoria


Recovery


Avaliação

ConclusãoConclusãoProcessos de Decisão em Pontos ChaveProcessos de Decisão em Pontos Chave

Aspectos Chave

BigBang tem elevados riscos e baixo controle

O facto de a duração ser alargada permite:• Dosear a sensibilidade/expectativa para os aspectos

da segurança - HOMEOPATIA• O Desembolso Financeiro é diluído ao longo do

tempo - SUAVIDADE• Obtiveram-se ganhos financeiros, com redução de

30% face à estimativa inicial – GANHO em ESCALA


ConclusãoConclusãoResumoResumo

O que não se mede, não se consegue controlar

Como Convencer a Administração a Investir num Projecto de Segurança

Se não se medir, não se consegue ganhar a tomada de decisão favorável

Quantificar o Risco inicial versus a Segurança obtida no final, são factores eficazes para obter a decisão

Dar a decidir em Milestones importantes do processo, sempre de acordo com a estratégia predefinida

Dar a conhecer o método de execução do Projecto A fase de preparação e o método são Cruciais e a disciplina

Fundamental

Obrigado

[email protected] [email protected]

[email protected]

Como Convencer a Administração a Investir num Plano Global de Segurança Empresarial Jorge Cunha...

Documents

Transcript of Como Convencer a Administração a Investir num Plano Global de Segurança Empresarial Jorge Cunha...