Identificação do Projeto 

Código: S-ACCESS
Coordenador do projeto: Luís Valente

Calendarização 

Início: 2015.12.01
Fim: 2016.11.30

Descrição

A presente operação, promovida pela Universidade do Porto (U.PORTO), tem como objetivo implementar um novo e melhorado modelo de governação TIC que privilegia o reforço de competências, práticas e controlos para a gestão do risco, segurança da informação e gestão de serviços de informação. Especificamente, está em causa adotar na organização um conjunto de requisitos, processos e controlos que ajudem a mitigar e a gerir adequadamente o risco da organização, a gerir a segurança da informação, e bem assim a gerir os serviços de informação TIC, em alinhamento com os referenciais de boas práticas neste domínio.

Nesta altura, a U.PORTO tem já uma equipa de resposta a incidentes de segurança informática (CSIRT), faltando contudo promover a adoção de referenciais e boas  práticas internacionais. Simultaneamente, apesar de existir já um catálogo de serviços TIC, bem com um conjunto de indicadores de qualidade (SLA) associados a esses mesmos serviços, está pendente a adoção de uma framework que viabilize uma gestão mais eficiente e eficaz dos serviços de TIC, com foco na satisfação dos clientes e utilizadores dos Serviços de Informática da U.PORTO. É este justamente propósito do projeto S-ACCESS.

Impactos 

Ao nível do risco e da segurança da informação, a U.PORTO propõe-se, com o projeto S-ACCESS, estudar as normas ISO/IEC 31000 e ISO 27001, com o propósito de adotar um modelo adequado de implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação. Em matéria de segurança de informação, os impactos esperados com a adoção da norma ISO/IEC 31000 e norma  ISO 27001 prender-se-ão com:

1) Aumento da fiabilidade e da segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade por via da criação de um Sistema de Controlo da Gestão orientado à Segurança das TIC;

2) Garantia da realização de investimentos nas TIC mais eficientes e orientados ao risco, em detrimento de investimentos baseados apenas em tendências;

3) Identificação, de forma continuada, de novas oportunidades para melhorias no âmbito do Sistema de Gestão de Segurança da Informação;

4) Incremento dos níveis de sensibilidade, participação e motivação dos colaboradores da organização para com a Segurança da Informação;

5) Aumento da confiança e satisfação dos clientes e parceiros que interagem com a U.PORTO.

Já ao nível da gestão dos serviços de informação, a U.PORTO propõe-se aprofundar a norma ISO/IEC 20000 e o ITIL, de forma a preparar a organização para a implementação de um novo modelo de prestação de serviços TIC. Este modelo permitirá, sucintamente, uma gestão mais eficiente e eficaz dos serviços de TIC, por via de um sistema para gestão PDCA para as práticas ISO/IEC 20000 e processos  ITIL. 

Para o efeito, pretende-se definir as melhores práticas a aplicar para cada processo, práticas essas que ajudarão a lidar com a análise do Risco e gestão de Incidentes de forma continuada.

Implementação 

Neste projeto, as atividades previstas prendem-­‐se com:

 1) Proceder ao levantamento das necessidades, tecendo um diagnóstico da situação atual, da maturidade, estádio desejado, gap analysis e planos de ação em matéria de gestão do Risco, segurança da Informação e gestão de serviços TIC, atentas as melhores práticas;

2) Desenvolver um  Sistema  de  Gestão  de  Segurança  da  Informação  (SGSI),  Planos  para o  Disaster Recovery (DR); Planos para Business Continuity (BCP) Management;

3) Desenvolver as ferramentas de suporte ao modelo de gestão de serviços TIC, definindo e implementação melhorias nos processos de trabalho existentes;

4) Acompanhar o desenvolvimento, implementação e teste dos referidos Planos, Ferramentas e Sistemas, em estrita articulação com a AMA, criando-­‐se para o efeito grupos de trabalho internos e em cooperação institucional (de âmbito regional ou nacional) para acompanhamento e reforço na implementação de meios para alavancar a atividades de SGSI, BCP, DR e Gestão de Níveis de Serviço; e bem assim um plano de  Auditorias;

5) Formação em normas ou referenciais das boas práticas identificadas anteriormente, relativas ao Sistema de Gestão de Segurança da Informação (ISO/IEC 31000 e norma ISO 27001) e gestão de serviços de informação, nomeadamente ISO/IEC 20000.

Equipa do Projeto 

Luís Valente