Fase 3 – Implantado

A Fase 3 é responsável pela execução do planejamento da Gestão da Segurança da Informação, pela coordenação das atividades definidas na Fase 2 e pela implantação das práticas e controles de segurança, e por isso é denominado Implantado, e suas principais funções são:

• Coordenar a execução das atividades definidas pela Gestão da Segurança da Informação;

• Executar o Plano de Execução das Atividades;

• Implantar os níveis de segurança necessários ao negócio;

• Acompanhar e controlar a implantação do Plano de Execução das Atividades; • Validar a implantação dos níveis de segurança em conformidade com o Plano de

GSI.

A Fase Implantado é composto por quatro processos, conforme apresentados abaixo: • Implantação de Controles;

• Execução das Atividades; • Verificação;

A Fase 3 é responsável por coordenar a execução das atividades definidas na Fase 2, e por validar essas implementações, garantindo que o nível de segurança desejado pela organização seja alcançado. É na Fase 3 que são implantados os controles e as métricas da GSI, garantindo que os custos de implantação não excedam os benefícios esperados e que haja visibilidade nos processos da GSI. Ou seja, ao término deste etapa as práticas de segurança estão implantadas na organização.

A organização dos processos e a maneira como eles interagem ente si estão representadas no diagrama de processos da figura abaixo:

" ! 0 $ 1 * &

%

-

2

2

Figura 5.17 - Diagrama de Processos da Fase 3 do Modelo Faseado de GSI

5.2.3.1.Processo de Implantação de Controles

Segundo Koontz e O’Donnell (1989), a finalidade básica do controle é medir e corrigir o desempenho das atividades a fim de assegurar que os objetivos empresariais e os planos idealizados para atingi-los estão sendo realizados. Desta forma, os principais objetivos do processo de Implantação de Controles são o estabelecimento e a manutenção de técnicas de mensuração do andamento das atividades, visando garantir que os objetivos da GSI sejam alcançados, que os custos da GSI não sejam extrapolados e que os níveis de segurança sejam atingidos.

O processo de Implantação de Controles deve implantar os controles antecipados definidos no Plano de Execução das Atividades, no entanto, controles extras podem ser desenvolvidos por este processo, conforme necessidades, visando melhorar a eficiência e a visibilidade do processo de Execução das Atividades, mantendo o alinhamento com os objetivos estabelecidos no Plano de GSI.

Desta forma, compreendem os inputs deste processo o Plano de Execução das Atividades, as definições do custo da GSI, as definições dos níveis aceitáveis de riscos, a lista de atividades, a documentação dos resultados e a lista de desvios.

Os resultados deste processo são os controles adicionais de segurança, métricas de segurança e a documentação dos controles implantados.

- , '! , ( , 3 , % , 14 ! , ,

Figura 5.18 - Inputs e Outputs do Processo de Implantação de Controles

5.2.3.2.Processo de Execução das Atividades

O processo de Execução das Atividades é o responsável pela execução das atividades definidas no Plano de Execução das Atividades, e têm como norteadores, as métricas e os controles definidos no Plano e implantados pelo processo de Implantação de Controles.

Desta forma, são atribuições do processo de Execução das Atividades a organização e o seqüenciamento das atividades, além de coordenar e acompanhar os envolvidos no processo de execução e confrontar os resultados com os controles definidos.

Deve existir a interação entre o processo de Execução das Atividades e o processo de Implantação de Controles, de maneira que, o processo de Execução das Atividades siga os nortes indicados pelo processo de Implantação de Controles. Mas, em contrapartida, deve haver o repasse dos resultados obtidos ao processo de Implantação de Controles para que seja certificado que os controles estão sendo corretamente aplicados.

A Lista de Atividades Executadas e a Documentação dos Resultados, que inclui a atualização do Banco de Dados de Ativos, são os principais resultados do processo, e os elementos de inputs do processo são as atividades e os controles descritos e definidos no Plano de Execução das Atividades, e os controles adicionais.

- , % , * - , ,

Figura 5.19 - Inputs e Outputs do Processo de Execução das Atividades

5.2.3.3.Processo de Verificação

O processo de verificação tem como objetivo identificar os desvios resultantes do processo de Execução das Atividades ou antecipar os possíveis desvios.

Os desvios são todos os resultados que estão em desconformidade ou não endereçam os objetivos do planejamento, e desta forma, representam desperdícios de recursos, falhas ou até mesmo vulnerabilidades.

Desta forma, o objetivo deste processo não é confrontar os resultados com métricas ou controles definidos, pois estas atividades já são endereçadas pelo processo de Execução das Atividades. O objetivo deste processo é confrontar os resultados com os objetivos definidos

no Plano de Gestão da Segurança da Informação, observando o cumprimento dos requisitos definidos pela organização e o atendimento das expectativas do negócio.

Assim, o processo de Verificação é responsável por assegurar que os resultados atingirão os níveis de segurança necessários pela organização dentro dos custos desejados, e com isso, a GSI cumprirá com seus objetivos.

Os principais elementos de output deste processo são os desvios ou a inexistência deles, e compreendem os elementos de input o Plano de Gestão da Segurança da Informação, a Definição dos Níveis Aceitáveis de Riscos e a Documentação dos Resultados.

'! , , ( , * - 5 ,

Figura 5.20 - Inputs e Outputs do Processo de Verificação

Os desvios identificados pelo processo de Verificação são utilizados como elementos de inputs no processo de Implantação de Controles, que deve proceder ao desenvolvimento de controles adicionais para que auxilie o processo de Execução das Atividades a realizar as atividades necessárias para alcançar os objetivos remanescentes.

A inexistência de desvios garante que os resultados do processo de Execução das Atividades alcançaram as expectativas da organização, e determina, portanto, que as atividades que endereçavam aquelas expectativas foram concluídas. Neste momento, o processo de Validação é iniciado.

5.2.3.4.Processo de Validação

O processo de Validação é responsável por consolidar as informações e os resultados dos processos de Implantação de Controles, Execução das Atividades e Verificação, e dar legitimidade a esses resultados através do Termo de Aceitação dos Resultados.

Desta forma, o processo de Validação delimita o encerramento da Fase Implantado por meio do Termo de Aceitação dos Resultados da GSI, que deve ser aprovado e aceito pela direção da organização ou pelos responsáveis pela delegação de autoridade à GSI, conforme definição no processo de Atribuição de Responsabilidades, ainda na Fase Iniciado do Modelo Faseado.

A inexistência de desvios, a documentação dos resultados, o Plano de GSI e a Definição dos Níveis Aceitáveis de Riscos compõem os elementos de inputs do processo, e o Termo de Aceitação dos Resultados é o elemento de output.

'! , , ( , - 5 , ,

Figura 5.21 - Inputs e Outputs do Processo de Validação