PROCEDIMENTOS PARA INDICADORES
OBJETIVO
Estabelecer metodologia para orientação, acompanhamento e revisão de instrumentos normativos, visando à padronização das normas e procedimentos contidos neste documento.
ABRANGÊNCIA
Aplica-se ao setor de Infraestrutura e Segurança da Informação do projeto SciELO/FAPUNIFESP.
DEFINIÇÕES
- Indicador – “Indicador é uma unidade de medida de uma atividade, com a qual se está relacionado ou, ainda, uma medida quantitativa que pode ser usada como um guia para monitorar e avaliar a qualidade de importantes cuidados providos ao paciente e as atividades dos serviços de suporte.” (Olimpio J. Nogueira V. Bittar - Artigo Original); Tem por finalidade avaliar a execução dos objetivos e metas e consequentemente aumentar a previsibilidade dos resultados alcançados em todas as ouvidorias da SES.
- Meta - “É um objetivo específico, que é quantificado e deve ser atingido dentro de um certo período de tempo.” (VAUGHAN; MORROW, 1992).
- Ficha de Indicadores (FI) – É a ficha que será utilizada para registrar informações predeterminadas sobre cada indicador de qualidade.
- Mitigar: Tem como objetivo minimizar a probabilidade da ocorrência do risco e/ou seu impacto.
- Contigenciar: Tem como objetivo indicar o que deve ser feito caso o risco ocorra
- Referencial Comparativo – É o índice definido como padrão de comparação para o indicador utilizado.
RESPONSABILIDADES
RESPONSABILIDADES
|
Responsável pela Coleta de Dados
|
É o colaborador da Infraestrutura que terá a responsabilidade de incluir na Ficha de Indicador, os dados da Planilha de Controle pertinente a cada indicador.
|
Responsável pela Análise de Dados
|
É o colaborador com capacidade técnica para desempenhar esta tarefa.
|
INDICADORES DE EFETIVIDADE DE SEGURANÇA DA INFORMAÇÃO
TOTAL DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
|
Objetivo
|
Manter integridade, disponibilidade e, quando aplicável, confidencialidades das fontes de informação e de informação derivadas
|
Forma de cálculo
|
Soma de chamados classificados como incidentes de SI
|
Unidade de medida
|
Soma
|
Meta
|
Reduzir para <2 o número de incidentes de SI. E se for >=2 contigenciar
|
Fonte de dados
|
|
Responsável
|
Gestor de Segurança da Informação
|
Periodicidade
|
Mensal
|
Migitação
|
- Relatório quinzenal que garante que os endpoints de usuários, especificamente os notebooks estejam atualizados.
- Relatório mensal que controlar a quantidade de atualizações dos Blogs Wordpress.
- Relatório mensal que que mede a porcentagem de sistemas sem vulnerabilidades graves.
- Checklist diário das tentativas de intrusão no firewall;
- Análise semanal dos relatórios gerado pelo firewall.
|
Contingência
|
- Conter e mitigar;
- Rever a eficácia dos processos que envolve a elaboração dos relatórios mensais e semanais relacionados ao controle de vulnerabilidade.
|
TOTAL DE RISCOS DE SI COM DADOS PESSOAL COM GRAU ALTO MAIOR QUE 6
|
Objetivo
|
Manter integridade, disponibilidade e, quando aplicável, confidencialidades das fontes de informação e de informação derivadas
|
Forma de cálculo
|
Soma de chamados classificados como incidentes de SI
|
Unidade de medida
|
Soma
|
Meta
|
Reduzir para 0. Se for igual a 1 mitigar e se for >=2 contigenciar
|
Fonte de dados
|
- Sistema de Suporte (https://suporte.scielo.org)
- E-mail
|
Responsável
|
Gestor de Segurança da Informação
|
Periodicidade
|
Mensal
|
Mitigação
|
- Classificação e Manuseio da informação
- Conscientização em SI
- Data Loss Protection
|
Contingência
|
- Reciclagem dos colaboradores na conscientização em SI
- Rever a eficácia do DLP
- Fazer uma análise crítica sobre o risco
|
DESEMPENHO DOS PERIÓDICOS INDEXADOS NO SciELO
|
Objetivo
|
Medir o Desempenho dos Periódicos
|
Forma de cálculo
|
Soma de total de acessos mensal / quantidade de dias do mês
|
Unidade de medida
|
Soma
|
Meta
|
Entre 700 mil à 800 mil acessos diários <= 600 mil: mitigação <= 500 mil: contingência
|
Fonte de dados
|
|
Responsável
|
Gestor de Segurança da Informação
|
Periodicidade
|
Trimestral
|
Mitigação
|
- No que tange a tecnologia:
- Monitoramento dos servidores/websites/serviços
- No que tange a avaliação e controle de qualidade:
- Levantamento bibliométricos
- Avaliação periódica dos periódicos
|
Contingência
|
- Se for decorrente a questões da infraestrutura, seguir as mesmas ações do indicador: DISPONIBILIDADE DOS SITES/SERVIÇOS DO SciELO
- Se for decorrente da performance dos periódicos:
- Reunir o comitê de avaliação dos periódicos para rever política e procedimentos que possam mitigar o problema;
- Dados bibliométricos serão levantados para mapear o motivo.
|
DISPONIBILIDADE DOS SITES/SERVIÇOS DO SciELO
|
Objetivo
|
Garantir que os sites/serviços do SciELO tenham uma disponibilidade >= à 99%
|
Forma de cálculo
|
(Tempo de indisponibilidade / Hora total mês)*100
|
Unidade de medida
|
Porcentagem
|
Meta
|
ao menos 99% do tempo no ar Entre 96% à 99%: mitigação <95%: contingência
|
Fonte de dados
|
|
Responsável
|
Gestor de Segurança da Informação
|
Periodicidade
|
Mensal |
Mitigação
|
- Monitoramento dos servidores/websites/serviços
- Plano de Recuperação de desastre
- Manual e Procedimento para Recuperação de Desastre - SciELO
|
Contingência
|
- Se o problema é decorrente do link, rever a distribuição do tráfego do link;
- Se o problema é decorrente da infraestrutura de servidores, rever a infraestrutura que atende os serviços;
- Caso precisarmos comprar equipamentos para atender a demanda, gerar relatório de capacidade e apresentar a diretoria.
- Se o problema é decorrente de ataque hacker, ativar o plano de DR;
- Se o problema é decorrente com desastre no DC, ativar o plano de DR
|
ENTREGA DAS PRESTAÇÕES DE CONTA DENTRO DO PRAZO ESTIPULADO
|
Objetivo
|
Atendimento às regras de prestação de contas
|
Forma de cálculo
|
Análises e aprovações da FAPESP no sistema SAGe
|
Unidade de medida
|
|
Meta
|
Entrega dentro do prazo, sem revisão ou auditorias Entrega dentro do prazo e com revisão ou Auditoria posterior: mitigação Entrega fora do prazo: contingência
|
Fonte de dados
|
|
Responsável
|
Gestor da Unidade de Administração
|
Periodicidade
|
Anual |
Mitigação
|
- Elaboração do relatório científico da FAPESP com 2 meses de antecedência.
- Revisão do relatório científico da FAPESP com no máximo de 2 semana de antecedência
- Submissão com prazo máximo de 24 horas
|
Contingência
|
- Unidade de Administração terá o prazo máximo de 1 semana para providenciar a correção.
|
PROCEDIMENTOS
As ações abaixo elencadas nortearão alguns aspectos que deverão ser observados, neste Instrumento Normativo, após o recebimento do mesmo.
Revisão, verificação e Aprovação do Manual - Todas as Normas e Procedimentos a serem editados neste Manual de Normas e Procedimentos deverão ser previamente revisados pelo Gestor de Segurança da Informação.
No Comments