An�lise de Risco de Processos SI/TI na TDM - Road Map Metodol�gico

Na figura que se segue, encontra-se ilustrado o road map metodol�gico utilizado na concretiza��o da an�lise de risco associada aos processos de gest�o e de governa��o dos SI/TI do Departamento de Sistemas de Informa��o da TDM (Telecomunica��es de Mo�ambique). De forma necessariamente sucinta, s�o descritos os seus principais passos.

Clique na imagem para a visualizar em tamanho maior.

1. DESI 1: Arranque do Projecto. Consiste num conjunto de actividades com o objectivo de obter uma descri��o geral do projecto, bem como obter a descri��o detalhada da sua execu��o, enquanto documento que define o plano relativo ao seu desenvolvimento. Em simult�neo, s�o identificados os requisitos de informa��o relevantes, bem como normas e regulamentos internos aplic�veis ao caso concreto.

2. DESI 2: Defini��o do enquadramento estrat�gico de neg�cio e da estrutura organizacional, visando obter um contexto onde os processos neg�cio se cruzam com os processos de SI/TI e os objectivos que os SI/TI devem definir e respeitar, por forma a que os processos de neg�cio satisfa�am os objectivos a que est�o associados.

3. DESI 3: Obtido o enquadramento estrat�gico e os respectivos processos de neg�cio, concretiza-se a defini��o do cat�logo dos processos de gest�o e de governa��o dos SI/TI. Para o efeito, recorre-se ao referencial internacional COBIT, obtendo-se por compara��o das boas pr�ticas, uma avalia��o "as-is" por compara��o ao modelo de refer�ncia. Nesta iniciativa, obt�m-se assim o �mbito dos processos que mais se adequam � realidade do dia a dia da organiza��o.

4. DESI 4: Tendo como base, por um lado, o modelo de refer�ncia COBIT e, por outro, o cat�logo de processos que respondem �s necessidades identificadas, procede-se � auditoria de governa��o, que incide em tr�s planos distintos: (1) no plano da formaliza��o e das evid�ncias da realiza��o dos processos; (2) no plano da cobertura dos processos e extens�o de implementa��o dentro da organiza��o; (3) no plano do n�vel de maturidade que os mesmos apresentam face aos crit�rios de classifica��o de acordo com o referencial CMMI.

Esquema 1

A metodologia usada abrange quatro dom�nios principais:

Planeamento e organiza��o de SI/TI;
Aquisi��o e implementa��o de SI/TI;
Entrega de servi�os e suporte de SI/TI;
Monitoriza��o dos SI/TI.

Cada dom�nio, que por sua vez se encontra estruturado em processos e actividades, � analisado de acordo com os seguintes requisitos de avalia��o da informa��o:

Efic�cia (efectividade);
Efici�ncia;
Confidencialidade;
Integridade;
Disponibilidade;
Conformidade;
Credibilidade.

Clique na imagem para a visualizar em tamanho maior.

Cada dom�nio tamb�m � analisado de acordo com os seguintes requisitos de avalia��o de recursos de informa��o: (1) pessoas e "skills"; (2) sistemas aplicacionais; (3) tecnologia; (4) instala��es; (5) dados. Sempre que aplic�vel, � efectuada uma an�lise de conformidade ao n�vel de confidencialidade, integridade e disponibilidade, desses activos informacionais, aplicando os crit�rios propostos pelo standard mundial ISO/IEC 17799.

5. DESI 5: Execu��o da auditoria em seguran�a da informa��o, que � regida pelo exposto na norma brit�nica com reconhecimento internacional, BS7799-2, a qual tem como finalidade a verifica��o da implanta��o de controlos (127, no m�nimo) espec�ficos para a seguran�a da informa��o cr�tica de neg�cio, abrangendo �reas distintas especificadas no referencial internacional de excel�ncia em boas pr�ticas de seguran�a da informa��o ISO/IEC 17799. Para o efeito, concretiza-se todo um conjunto de iniciativas, tais como, por exemplo: (1) prepara��o da auditoria; (2) elabora��o do plano de auditoria; (3) recolha, selec��o e estudo de informa��o; (4) realiza��o do diagn�stico de vulnerabilidades e; (5) elabora��o do respectivo relat�rio.

6. DESI 6: Concretiza-se a an�lise de risco dos processos de SI/TI, incluindo a defini��o das principais vari�veis e par�metros no �mbito de BPI (Business Process Improvement). Para o efeito, baseamo-nos no modelo de refer�ncia proposto pelo COSO e concretizamos uma grelha que relaciona entidades de an�lise, relacionadas entre si, conforme a seguir se descreve:

Por cada processo s�o identificados e definidos objectivos.
Por cada objectivo, s�o identificados e definidos "FCS - factores cr�ticos de sucesso", factores estes que, n�o existindo, comprometem o objectivo, isto �, constituem uma condi��o necess�ria, contudo, n�o suficiente.
Por cada FCS e/ou grupo s�o identificados um "evento de risco", o qual, caso tenha lugar, "atacando" o FCS, tem como consequ�ncia o comprometimento do objectivo.
Por cada evento de risco, s�o identificados indicadores de desempenho que possibilitem medir/avaliar o quanto afastados estamos do objectivo (isto �, neste caso, o indicador mede directamente o objectivo) e o quanto afastados estamos de conseguir controlar (monitorizar) o evento de risco, por forma a tomar a iniciativa mais correcta dentro das estrat�gias poss�veis, nomeadamente: (1) evitar; (2) aceitar; (3) mitigar.
Por evento ou grupo de riscos, s�o identificadas e definidas as iniciativas ou ac��es que visam a mitiga��o do mesmo (risco ou grupo de risco).

Esquema 3

7. DESI 7: Re�nem-se todos os elementos relevantes produzidos e fundamentados em sede das etapas anteriores, por forma a elaborar o Plano de Desenvolvimento da Estrat�gia dos SI/TIC a concretizar no curto, m�dio e longo prazos. Este plano, ser� desenvolvido de acordo com as prioridades apercebidas no momento da sua concretiza��o e ter� como base de refer�ncia de enquadramento para o seu desenvolvimento a "framework" proposta por McFarlan (posicionamento das solu��es SI/TIC definidas em quatro quadrantes, com as seguintes designa��es: alto potencial; estrat�gico; opera��es cr�ticas para o neg�cio; opera��es de suporte.

Efectuado o estudo de an�lise de risco dos processos de SI/TI do departamento de inform�tica da TDM (Telecomunica��es de Mo�ambique) havia que agrupar e ordenar, segundo crit�rios de curto, m�dio e longo prazos, todo um conjunto de "findings"e de recomenda��es associadas aos riscos e factores cr�ticos de sucesso determinados. A abordagem teve como base um enquadramento escalonado em camadas de n�veis de abstrac��o, nomeadamente, as seguintes (conforme ilustrado na figura):

A camada dos processos e aplica��es que os suportam;
A camada dos dados de neg�cio;
A camada da infra-estrutura tecnol�gica;
A camada da rede e infra-estrutura de comunica��es (na sua componente de implanta��o e de gest�o).

Clique na imagem para a visualizar em tamanho maior.

Assim, enquanto princ�pios de curto prazo, numa perspectiva de medidas correctivas, foram considerados os seguintes fundamentos, conforme apresentados na figura que se segue.

Clique na imagem para a visualizar em tamanho maior.

Na sequ�ncia, foram detalhados aspectos para cada uma das camadas atr�s identificadas. Esta sequ�ncia apresenta-se nos passos seguintes, segundo as camadas atr�s referidas.

Vis�o 1:

Clique na imagem para a visualizar em tamanho maior.

Vis�o 2:

Clique na imagem para a visualizar em tamanho maior.

Vis�o 3:

Clique na imagem para a visualizar em tamanho maior.

Vis�o 4:

Clique na imagem para a visualizar em tamanho maior.

As solu��es prescritas enquadradas nas vis�es apresentadas, apresentaram-se tamb�m agrupadas como pilares do desenvolvimento organizacional de curto prazo (processos, tecnologias e pessoas), atendendo, em simult�neo, � necessidade de assegurar o desenvolvimento de longo prazo rumo ao capital intelectual (enfoque no capital humano, capital cliente; capital estrutural.

Assegurar este caminho significa a implementa��o de um conjunto de processos no �mbito da gest�o do planeamento estrat�gico, conforme se ilustra na figura abaixo.

Clique na imagem para a visualizar em tamanho maior.

Topo

Agenda

Destaques