Universidade de Brasília InstitutodeCiênciasExatas DepartamentodeCiênciadaComputação PLANO DE GERENCIAMENTO DE RISCOS PARA A INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO COMUM AOS CAMPI DO INSTITUTO FEDERAL DE BRASÍLIA Tiago Júnio Pires da Cunha Dissertação apresentada como requisito parcial para conclusão do Mestrado Profissional em Computação Aplicada Orientador Prof. Dr. Gladston Luiz da Silva Brasília 2016 Ficha catalográfica elaborada automaticamente, com os dados fornecidos pelo(a) autor(a) Cunha, Tiago Júnio Pires da CR595p PLANO DE GERENCIAMENTO DE RISCOS PARA A INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO COMUM AOS CAMPI DO INSTITUTO FEDERAL DE BRASÍLIA / Tiago Júnio Pires da Cunha; orientador Gladston Luiz da Silva. - Brasília, 2016. 261 p. Dissertação (Mestrado - Mestrado Profissional em Computação Aplicada) -- Universidade de Brasília, 2016. 1. Risco. 2. Infraestrutura de Tecnologia da Informação. 3. Instituição de Ensino. I. Silva, Gladston Luiz da, orient. II. Título. Universidade de Brasília InstitutodeCiênciasExatas DepartamentodeCiênciadaComputação PLANO DE GERENCIAMENTO DE RISCOS PARA A INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO COMUM AOS CAMPI DO INSTITUTO FEDERAL DE BRASÍLIA Tiago Júnio Pires da Cunha Dissertação apresentada como requisito parcial para conclusão do Mestrado Profissional em Computação Aplicada Prof. Dr. Gladston Luiz da Silva (Orientador) CIC/UnB Prof. Dr. Simone Borges Simão Monteiro Prof. Dr. Leandro Vaguetti UnB IFB Prof. Dr. Marcelo Ladeira Coordenador do Programa de Pós-graduação em Computação Aplicada Brasília, 16 de Dezembro de 2016 Dedicatória Àqueles que fazem parte de nossas vidas, aos quais dirigimos as mais diversas emoções e o nosso mais profundo amor, com todo carinho dedico o esforço e realizações deste trabalho. iv Agradecimentos Agradeço a todos aqueles que tornaram este trabalho possível, a todos que apoiaram, incentivaram e torceram pelo sucesso desta empreitada, tornando-a possível, direta ou indiretamente. v Resumo O Instituto Federal de Brasília é uma instituição de ensino composta por vários campi, tendo um importante papel na expansão do ensino básico, técnico e tecnológico e dis- seminação da tecnologia. Conta com uma infraestrutura de tecnologia da informação, comum em muitos pontos a seus vários campi, visando atender milhares de alunos. Esta infraestrutura está sujeita a riscos. A concretização destes riscos poderia trazer uma gama de efeitos negativos para a instituição, tornando-se institucionalmente interessante gerenciar estes riscos. Esta pesquisa objetivou realizar um diagnóstico, um levantamento inicial dos riscos aos quais esta infraestrutura comum aos campi estava sujeita. Foi uma pesquisa exploratória que adotou como método um estudo de caso, tendo uma abordagem qualitativa. Foram pesquisadas outras instituições de ensino com estrutura similar para importação de um possível processo de gestão de riscos, utilizando questionários, entre- vistas e documentos das instituições. Com práticas propostas pela ISO 31000, pela ISO 31010 e pelo Plano de Gerenciamento de Riscos da Universidade da Virgínia foram real- izadas pesquisas no Instituto Federal de Brasília para levantamento dos riscos. Obteve-se uma lista de riscos de acordo com a opinião da equipe de tecnologia da informação e a alta gestão dos campi, que foram então classificados pela equipe de tecnologia da informação. Os riscos foram validados por formadores de opinião dos respectivos campi, que também informaram o quanto a interrupção de cada serviço causada pela concretização dos riscos afetaria seu trabalho. As informações obtidas podem proporcionar as bases para um eventual plano de gerenciamento de riscos para a organização, tendo sido levadas para discussão no planejamento do Plano Diretor de Tecnologia da Informação do órgão para o biênio 2017-2018. Palavras-chave: Risco, Infraestrutura de Tecnologia da Informação, Instituição de En- sino vi Abstract The Brasilia Federal Institute is an educational institution with various campi, playing an important role in the expansion of the basic, technical and technological education as well as dissemination of technology. To support this role, the institution possesses its own information technology infrastructure, with similar assets in each campus, serving thousands of students per year. This infrastructure is subject to risks. If they occur, they could negatively affect the organization, showing that it is relevant to manage them. This research intended to realize a diagnostic, an initial risk assessment of the IT infrastructure common to the various campi of the organization. It was an exploratory research, taking the form of a case study with a qualitative approach. Similar educational institutions were researched to import a possible risk management process. Using ISO 31000, ISO 31010 and the University of Virginia Information Technology Security Risk Management Program as references, research was performed to assess the risks of the organization. A list of risks elicited by the IT staff and the upper management of the campi was obtained, prioritized by the IT staff and validated by people with opinion leadership in these campi, that also indicated how much a service interruption caused by risks would affect their job. The obtained information can be used as basis for a risk management plan to the organization and was brought to discussion to its Information Technology Master Plan draft for 2017-2018. Keywords: Risk, Information Technology Infrastructure, Educational Institution vii Sumário 1 Introdução 1 1.1 Breve Histórico da Rede Federal de Educação Profissional . . . . . . . . . . 1 1.2 O Problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3 Justificativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.4 Contribuição Esperada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5 Objetivo Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5.1 Objetivos Específicos . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5.2 Limitações da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.6 Estrutura da Dissertação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2 Revisão da Literatura 6 2.1 Governança Corporativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2 Governança de Tecnologia da Informação . . . . . . . . . . . . . . . . . . . 7 2.3 Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4 Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.4.1 ABNT NBR ISO 31000 . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.4.2 ABNT NBR ISO 31010 . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.5 Infraestrutura de Tecnologia da Informação . . . . . . . . . . . . . . . . . . 15 2.6 Ativos Críticos de Tecnologia da Informação . . . . . . . . . . . . . . . . . 16 2.7 Softwares de Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.8 Avaliação do Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3 Metodologia da Pesquisa 33 3.1 Métodos de Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 3.2 Estruturação da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4 Análise de Outras Instituições 37 4.1 Universidade da Virgínia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.2 Governança e Gestão de Riscos em Institutos Federais . . . . . . . . . . . . 40 4.2.1 Governança Corporativa . . . . . . . . . . . . . . . . . . . . . . . . 44 viii 4.2.2 Gestão de Riscos de TI . . . . . . . . . . . . . . . . . . . . . . . . . 46 4.2.3 Problemas na Infraestrutura de Tecnologia da Informação nos Ins- titutos Federais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 4.3 Avaliação da Gestão de Riscos no CPD da UnB . . . . . . . . . . . . . . . 47 5 Contextualização do Instituto Federal de Brasília 52 5.1 Contexto Externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.1.1 Ambiente Cultural, Social e Político . . . . . . . . . . . . . . . . . . 52 5.1.2 Contexto Regulatório Externo . . . . . . . . . . . . . . . . . . . . . 53 5.1.3 Relação com Partes Interessadas Externas . . . . . . . . . . . . . . 54 5.2 Contexto Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5.2.1 Governança, Estrutura Organizacional, Funções e Responsabilidades 55 5.2.2 Normas Internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 5.3 Visão Geral da Tecnologia da Informação no IFB e Ajuste de Escopo . . . 58 5.3.1 Campi Implantados do Ponto de Vista de Tecnologia da Informação 60 5.4 Processo de Gestão de Riscos da Infraestrutura do IFB . . . . . . . . . . . 60 5.4.1 Definição das Intenções e Objetivos das Atividades de Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 5.4.2 Definição dos Responsáveis pelo Processo de Gestão de Riscos . . . 62 5.4.3 Definição das Metodologias do Processo de Avaliação de Riscos . . . 63 5.4.4 Critérios do Risco, o Cálculo do Risco e o Nível em que o Risco se Torna Aceitável ou Tolerável . . . . . . . . . . . . . . . . . . . . . . 64 5.4.5 Evolução no Tempo da Probabilidade e/ou Consequência . . . . . . 64 6 Identificação e Validação de Riscos no IFB 65 6.1 Avaliação de Riscos no IFB. . . . . . . . . . . . . . . . . . . . . . . . . . . 65 6.1.1 Definição de Ativos Críticos . . . . . . . . . . . . . . . . . . . . . . 67 6.1.2 Identificação de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . 70 6.1.3 Resultados da Identificação de Riscos . . . . . . . . . . . . . . . . . 72 6.1.4 Avaliação de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.1.5 Pré-teste da Avaliação de Riscos . . . . . . . . . . . . . . . . . . . . 72 6.1.6 Resultados da Avaliação de Riscos . . . . . . . . . . . . . . . . . . . 72 6.2 Validação da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.2.1 População . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.2.2 Impacto dos Riscos nos Serviços Prestados pela TI . . . . . . . . . 78 6.2.3 Questionário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.2.4 Pré-teste e Versão Final . . . . . . . . . . . . . . . . . . . . . . . . 81 6.2.5 Cálculo Aplicado às Respostas dos Usuários . . . . . . . . . . . . . 82 ix 6.2.6 Resultados Esperados X Resultados Obtidos . . . . . . . . . . . . . 83 7 Considerações Finais 92 Referências 96 Apêndice 99 A Questionário sobre Gestão de Riscos e Tecnologia da Informação nos Institutos Federais 100 B Questionário sobre Gestão de Riscos e Tecnologia da Informação nos Institutos Federais - Respostas 109 C Roteiro de Entrevista com o Coordenador de Redes e Suporte do CPD da UnB (Tecnologia da Informação e Gestão de Riscos na UnB) 146 D Roteiro de Entrevista com os Setores Subordinados à Coordenação de Redes e Suporte do CPD da UnB (Tecnologia da Informação e Gestão de Riscos na UnB) 148 E Compilação das Respostas das Entrevistas com a Coordenação de Redes e Suporte do CPD da UnB (Tecnologia da Informação e Gestão de Riscos na UnB) 150 F Roteiro de Entrevista com a Coordenação de Redes do IFB (Visão Geral da Tecnologia da Informação no IFB) 160 G Compilação das Respostas da Entrevista com a Coordenação de Redes do IFB (Visão Geral da Tecnologia da Informação no IFB) 162 H Roteiro de Entrevista com a Coordenação de Redes do IFB (Ativos, Serviços e Estruturas de TI Críticas para o Funcionamento do Campus)166 I Questionário - Riscos da Infraestrutura de Tecnologia da Informação do IFB na Visão dos Profissionais de TI dos Campi 168 J Questionário - Riscos da Infraestrutura de Tecnologia da Informação dos Campi do IFB na Visão da Direção Geral 172 K Probabilidade e Impacto dos Riscos - Considerações Referentes ao Ques- tionário Piloto 176 x
Description: