Como Convencer a Administração a Investir num Plano Global de Segurança Empresarial Jorge Cunha...
Transcript of Como Convencer a Administração a Investir num Plano Global de Segurança Empresarial Jorge Cunha...
Como Convencer a AdministraçãoComo Convencer a Administração a Investir num Plano Global a Investir num Plano Global de Segurança Empresarial de Segurança Empresarial
Jorge CunhaPaulo AndréJosé Pedro Rodrigues 2006.Nov.02
Planeamento de Emergência, Gestão de Risco e Sistemas de Segurança
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
ApresentaçãoApresentaçãoApresentação Auto-Estradas do AtlânticoApresentação Auto-Estradas do Atlântico
Constituída em Dezembro de 1998Constituída em Dezembro de 1998 Objecto do Contrato de Concessão com:Objecto do Contrato de Concessão com:
Exploração e manutenção dos 85Km da Exploração e manutenção dos 85Km da A8 SulA8 Sul
Concepção, construção e financiamento Concepção, construção e financiamento de novos troços, numa extensão total de de novos troços, numa extensão total de 85Km, divididos entre a A8 Norte (Caldas 85Km, divididos entre a A8 Norte (Caldas da Rainha – Leiria) e a A15 (Caldas da da Rainha – Leiria) e a A15 (Caldas da Rainha – Santarém)Rainha – Santarém)
30 Anos de duração30 Anos de duração 170 km de Concessão170 km de Concessão 21 Portagens21 Portagens 875 M€ investimento em 875 M€ investimento em Project FinanceProject Finance Sedeada em Torres VedrasSedeada em Torres Vedras Centro de Controlo de Tráfego em Centro de Controlo de Tráfego em
Torres VedrasTorres Vedras
Auto-Estradas do Atlântico Auto-Estradas do Atlântico
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Infra-Estrutura de Suporte
Sistemas de Suporte ao Negócio
Sistemas de Suporte à Operação
Sistemas Complementares/Infra-Estrutura
ApresentaçãoApresentação Organização dos SistemasOrganização dos Sistemas
Backbone Fibra Óptica
Sistema de Transporte de Comunicações - SDH
Comunicações Dados Comunicações de Voz
Comunicações Dados (Gb Ethernet), SOS e CCTV
Sistemas da Concessão
Sis
tem
as d
e C
obra
nça
de P
orta
gem
Bac
kOffi
ce E
xplo
raçã
o
ER
P M
inim
al
Sis
tem
as d
e C
ontr
olo
EA
O
SIG
A –
Ges
tão
Infr
a-E
stru
tura
Rod
oviá
ria
SO
S
Red
e R
ádio
Sis
tem
as S
egur
ança
Web
Site
Arm
azen
amen
to
Aut
entic
ação
E-M
ail
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
www.aeatlantico.pt
BackOffice DE (SiDE)
Sistema de Portagens
Nível Via Nível Distribuição Nível CentralNível Estação
ERP
ApresentaçãoApresentaçãoSistemas Suporte ao NegócioSistemas Suporte ao Negócio
Sistema Gestão Manutenção
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Nível Via Nível Estação
POS SIBS
CE Estação
TPS Via Verde
Entidades Externas
Nível Distribuição
Dist. ServerManual Entrada
Verde Saída
VerdeEntrada
Manual Saída
Nível Central
Host
Sistemas de Gestão
ERPBackOffice (SiDE)SGM
ApresentaçãoApresentaçãoSistema PortagensSistema Portagens
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Nível Via Nível Estação
POS SIBS
CE Estação
TPS Via Verde
Entidades Externas
Nível Distribuição
Dist. ServerManual Entrada
Verde Saída
VerdeEntrada
Manual Saída
Nível Central
Host
Sistemas de Gestão
ERPBackOffice (SiDE)SGM
Ped
ido
Res
post
a
ApresentaçãoApresentaçãoSistema PortagensSistema Portagens
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
1999
2nd Half
2000
1st Half 2nd Half
2001
1st Half 2nd Half
2002
1st Half 2nd Half
2003
1st Half 2nd Half
2004
1st Half 2nd Half
2005
1st Half 2nd Half
Estudo Estratégico
Expl.Model/ Tec.Car. Eq. Mar Oct
Adapt. Sist.Portagens Set Jun
Inst. Data Center Jun Jul
Inst. Equipam- Portagem Abr Mai
Backoffice DE (SiDE) OutNov
WebSite MaiJan
Proj. Interno Segurança Fev
Implementação ERP SetOut
SGM – Sist. Gestão Man. Jan Jun
Rede Rádio Set Dez
Propagação SIP A8 Sul AbrOut
Projecto Interno Segurança Projecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Preparação
Definição do Projecto
Definição Âmbito
DecisãoAdministração
Consulta Mercado
Desenvolvimento
Avaliação Situação Actual
Definição Politica Segurança
Análise Risco
Estratégia Desastre
Estratégia Execução
Fim Preparação
Execução
Renovação Tecnológica
Ambientes Office
Projecto Interno SegurançaProjecto Interno SegurançaEstratégia de AbordagemEstratégia de Abordagem
Conclusão
Fim Execução Fim Projecto
ImplementaçãoPolitica
Segurança
Actualização Tecnológica Rede
Comunicações
Implementação de Recomendações de
Auditoria
Implementação do Modelo de Disaster
Recovery
Preparação e ExecuçãoSimulacro
Avaliação
Objectivo
Promover a renovação e o crescimento dos sistemas da concessionária, enquadrados
numa perspectiva de segurança
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Deliveries
Auditoria Politica de Segurança Disaster Recovery
Auditoria de Rede
Auditoria de Vulnerabilidades
Redacção Documento
Validação Jurídica
Validação Interna
Recolha Dados Sistemas
Recolha Dados Negócio
Caracterização Riscos
Caracterização Vulnerabilidades
Plano Prevenção
Plano Contingência
Plano Testes
Análise Impacto Organização
Recomendações
Desenho do “Active Directory”
Projecto Interno SegurançaProjecto Interno SegurançaPreparaçãoPreparação
Avaliação da Situação Actual
Reavaliação da Estratégia de Execução
Manual Segurança Sistemas Informáticos
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Projecto Interno SegurançaProjecto Interno SegurançaConclusões Preparação – Conclusões Preparação – RiscoRisco
Perca de ReceitaPerca de Receita
Perca de Informação ControloPerca de Informação Controlo
DowntimeDowntime Sistemas Sistemas
Compromissos FiscaisCompromissos Fiscais
Compromissos para com o Compromissos para com o ConcedenteConcedente
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Projecto Interno SegurançaProjecto Interno SegurançaConclusões Preparação – Conclusões Preparação – Disaster RecoveryDisaster Recovery
Centro de Dados SecundárioCentro de Dados Primário
Servidores Aplicacionais
ServidoresAplicacionais
Servidores Base de Dados
PC Clientes
Firewall
Desenv.
Produção
ServidoresBase de Dados
Desenv.
Produção
Qualidade Qualidade
CWDM
GbEth
Produção Produção
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Conclusão
Fim Projecto
Preparação e ExecuçãoSimulacro
Avaliação
Projecto Interno SegurançaProjecto Interno SegurançaExecução -Execução - Fase I e Fase IIFase I e Fase II
Definição do Projecto
Definição Âmbito
DecisãoAdministração
Consulta Mercado
Desenvolvimento
Avaliação Situação Actual
Definição Politica Segurança
Análise Risco
Estratégia Desastre
Estratégia Execução
Fim Preparação
Preparação Execução
Renovação Tecnológica
Ambientes Office
Fim Execução
ImplementaçãoPolitica
Segurança
Actualização Tecnológica Rede
Comunicações
Implementação de Recomendações de
Auditoria
Implementação do Modelo de Disaster
Recovery
Renovação Tecnológica
Ambientes Office
Fim Execução
ImplementaçãoPolitica
Segurança
Actualização Tecnológica Rede
Comunicações
Implementação de Recomendações de
Auditoria
Implementação do Modelo de Disaster
Recovery
ExecuçãoExecução
Fase IIFase IIFase IFase I
Implementação Recomendações Auditoria
Implementação Politica Segurança
Instalação Ferramentas Controlo E-Mail e Web
Renovação Antivírus
Implementação Sistema Monitorização Rede e
Servidores
Acesso Remoto via VPN
Actualização TecnológicaAmbiente Backoffice
Migração Domínio Rede
Migração Servidor E-Mail
Sistema Controlo Acessos
Redimensionamento do Sistema e politica
Backup’s
Revisão das Condições Físicas da Sala Técnica
Construção Site Secundário
Implementação Tecnológica Site Secundário
Melhoria na Rede de Comunicações
Implementação Redundância nos Sistemas Firewall
Transferência Servidores para Site Secundário
Implementação SAN e Site Secundário
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Execução
Projecto Interno SegurançaProjecto Interno SegurançaSimulacroSimulacro
Simulacro colectivo
Simulacro individual
Correcções?
Preparação
Validação de Recomendações
Anteriores
Levantamento
Entrevistas com área de negócio
Análises e Documentação
Criação de Base de dados de suporte
Formação
DesenvolvimentoPlanos
Plano de ContingênciaPlano de TestesPlano de ComunicaçãoPlano de Recuperação
Deliveries
Avaliação
Relatório Final
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Projecto Interno SegurançaProjecto Interno SegurançaSimulacroSimulacro
Seg Ter Qua Qui Sex
Lab
oral
Lab
oral
Formação Final e Revisão aos Processos
Backup Especial
- Incidente - Activação Plano
Comunicação - Reunião Comité
Desastre - Deslocação das
Equipas para o Site Secundário
- Início da Recuperação
RecuperaçõesFailover
Validação Backups Correctos Site
Secundário
Operação no Site
SecundárioRecuperação
FailBack
Reposição dos
Ambientes de Qualidade
no Site Secundário
Validação Backups Correctos Site
Secundário
Validação Backups Correctos
Validação Backups Correctos
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
AgendaAgenda
ApresentaçãoApresentação Auto-Estradas AtlânticoAuto-Estradas Atlântico Organização dos SistemasOrganização dos Sistemas Sistemas de Suporte ao NegócioSistemas de Suporte ao Negócio O Sistema de PortagensO Sistema de Portagens
Projecto Interno SegurançaProjecto Interno Segurança Enquadramento na História das TICEnquadramento na História das TIC Estratégia de AbordagemEstratégia de Abordagem PreparaçãoPreparação Execução – Fase I e Fase IIExecução – Fase I e Fase II SimulacroSimulacro
ConclusãoConclusão
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
Preparação
Definição do Projecto
Definição Âmbito
DecisãoAdministração
Consulta Mercado
Desenvolvimento
Avaliação Situação Actual
Definição Politica Segurança
Análise Risco
Estratégia Desastre
Estratégia Execução
Fim Preparação
Execução
Renovação Tecnológica
Ambientes Office
Conclusão
Fim Execução Fim Projecto
ImplementaçãoPolitica
Segurança
Actualização Tecnológica Rede
Comunicações
Implementação de Recomendações de
Auditoria
Implementação do Modelo de Disaster
Recovery
Preparação e ExecuçãoSimulacro
Avaliação
ConclusãoConclusãoProcessos de Decisão em Pontos ChaveProcessos de Decisão em Pontos Chave
Aspectos Chave
BigBang tem elevados riscos e baixo controle
O facto de a duração ser alargada permite:• Dosear a sensibilidade/expectativa para os aspectos
da segurança - HOMEOPATIA• O Desembolso Financeiro é diluído ao longo do
tempo - SUAVIDADE• Obtiveram-se ganhos financeiros, com redução de
30% face à estimativa inicial – GANHO em ESCALA
2006.Nov.02Como Convencer a Administração a Investir num Projecto de SegurançaComo Convencer a Administração a Investir num Projecto de Segurança 2006.Nov.02
ConclusãoConclusãoResumoResumo
O que não se mede, não se consegue controlar
Como Convencer a Administração a Investir num Projecto de Segurança
Se não se medir, não se consegue ganhar a tomada de decisão favorável
Quantificar o Risco inicial versus a Segurança obtida no final, são factores eficazes para obter a decisão
Dar a decidir em Milestones importantes do processo, sempre de acordo com a estratégia predefinida
Dar a conhecer o método de execução do Projecto A fase de preparação e o método são Cruciais e a disciplina
Fundamental