PROCEDIMENTOS PARA INDICADORES

OBJETIVO

Estabelecer metodologia para orientação, acompanhamento e revisão de instrumentos normativos, visando à padronização das normas e procedimentos contidos neste documento.

ABRANGÊNCIA

Aplica-se ao setor de Infraestrutura e Segurança da Informação do projeto SciELO/FAPUNIFESP.

DEFINIÇÕES

RESPONSABILIDADES


RESPONSABILIDADES

Responsável pela Coleta de Dados

É o colaborador da Infraestrutura que terá a responsabilidade de incluir na Ficha de Indicador, os dados da Planilha de Controle pertinente a cada indicador.

Responsável pela Análise de Dados

É o colaborador com capacidade técnica para desempenhar esta tarefa.

INDICADORES DE EFETIVIDADE DE SEGURANÇA DA INFORMAÇÃO

TOTAL DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Objetivo

Manter integridade,  disponibilidade e, quando aplicável, confidencialidades das fontes de informação e de informação derivadas

Forma de cálculo

Soma de chamados classificados como incidentes de SI

Unidade de medida

Soma

Meta

Reduzir para <2 o número de incidentes de SI. E se for >=2 contigenciar

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Migitação

  • Relatório quinzenal que garante que os endpoints de usuários, especificamente os notebooks estejam atualizados.
  • Relatório mensal que controlar a quantidade de atualizações dos Blogs Wordpress.
  • Relatório mensal que que mede a porcentagem de sistemas sem vulnerabilidades graves.
  • Checklist diário das tentativas de intrusão no firewall;
  • Análise semanal dos relatórios gerado pelo firewall.

Contingência

  • Conter e mitigar;
  • Rever a eficácia dos processos que envolve a elaboração dos relatórios mensais e semanais relacionados ao controle de vulnerabilidade.

TOTAL DE NÃO CONFORMIDADES

Objetivo

Avaliar a quantidade de número de não conformidade relacionado a segurança da informação

Forma de cálculo

Soma de RNCS emitidas relacionadas a SI

Unidade de medida

Soma

Meta

Reduzir para <2 o número de não conformidade. Se for igual a 2 mitigar. Se for maior que 2 contingenciar.

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Mitigação

  • Campanha de endomarketing;
  • Campanha periódica de conscientização em SI;
  • Seguir os cronogramas:
    • Análise Crítica de SI
    • Campanha de conscientização
    • Campanha anti-phishing
    • Recuperação de desastres
    • Gestão de Capacidade
  • Revisão dos processos:
    • Controle dos ativos
    • Controle de acesso lógico e físico
    • Controle de acesso a sistemas e sites
    • Controle de contratação e demissão de colaboradores
    • Desenvolvimento Seguro
    • GMUD
    • Gestão de incidentes
    • Classificação da Informação e manuseio

Contingência

  • Reciclagem dos colaboradores na conscientização em SI
  • Monitorar os processos envolvidos com as NCs
  • Garantir que os cronogramas estão sendo seguidos

TOTAL DE RISCOS DE SI COM DADOS PESSOAL COM GRAU ALTO MAIOR QUE 6

Objetivo

Manter integridade,  disponibilidade e, quando aplicável, confidencialidades das fontes de informação e de informação derivadas

Forma de cálculo

Soma de chamados classificados como incidentes de SI

Unidade de medida

Soma

Meta

Reduzir para 0. Se for igual a 1 mitigar e se for >=2 contigenciar

Fonte de dados

  • Sistema de Suporte (https://suporte.scielo.org)
  • E-mail

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Mitigação

  • Classificação e Manuseio da informação
  • Conscientização em SI
  • Data Loss Protection

Contingência

  • Reciclagem dos colaboradores na conscientização em SI
  • Rever a eficácia do DLP
  • Fazer uma análise crítica sobre o risco

DESEMPENHO DOS PERIÓDICOS INDEXADOS NO SciELO

Objetivo

Medir o Desempenho dos Periódicos

Forma de cálculo

Soma de total de acessos mensal / quantidade de dias do mês

Unidade de medida

Soma

Meta

Entre 700 mil à 800 mil acessos diários
<= 600 mil: mitigação
<= 500 mil: contingência

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Trimestral

Mitigação

  • No que tange a tecnologia:
    • Monitoramento dos servidores/websites/serviços
  • No que tange a avaliação e controle de qualidade:
    • Levantamento bibliométricos
    • Avaliação periódica dos periódicos

Contingência

  • Se for decorrente a questões da infraestrutura, seguir as mesmas ações do indicador: DISPONIBILIDADE DOS SITES/SERVIÇOS DO SciELO
  • Se for decorrente da performance dos periódicos:
    • Reunir o comitê de avaliação dos periódicos para rever política e procedimentos que possam mitigar o problema;
    • Dados bibliométricos serão levantados para mapear o motivo.

DISPONIBILIDADE DOS SITES/SERVIÇOS DO SciELO

Objetivo

Garantir que os sites/serviços do SciELO tenham uma disponibilidade >= à 99%

Forma de cálculo

(Tempo de indisponibilidade / Hora total mês)*100

Unidade de medida

Porcentagem

Meta

ao menos 99% do tempo no ar
Entre 96% à 99%: mitigação
<95%: contingência

Fonte de dados

Responsável

Gestor de Segurança da Informação

Periodicidade

Mensal

Mitigação

  • Monitoramento dos servidores/websites/serviços
  • Plano de Recuperação de desastre
  • Manual e Procedimento para Recuperação de  Desastre - SciELO

Contingência

  • Se o problema é decorrente do link, rever a distribuição do tráfego do link;
  • Se o problema é decorrente da infraestrutura de servidores, rever a infraestrutura que atende os serviços;
    • Caso precisarmos comprar equipamentos para atender a demanda, gerar relatório de capacidade e apresentar a diretoria.
  • Se o problema é decorrente de ataque hacker, ativar o plano de DR;
  • Se o problema é decorrente com desastre no DC, ativar o plano de DR

ENTREGA DAS PRESTAÇÕES DE CONTA DENTRO DO PRAZO ESTIPULADO

Objetivo

Atendimento às regras de prestação de contas

Forma de cálculo

Análises e aprovações da FAPESP no sistema SAGe

Unidade de medida


Meta

Entrega dentro do prazo, sem revisão ou auditorias
Entrega dentro do prazo e com revisão ou Auditoria posterior: mitigação
Entrega fora do prazo: contingência

Fonte de dados

  • Sistema SAGe/FAPESP

Responsável

Gestor da Unidade de Administração

Periodicidade

Anual

Mitigação

  • Elaboração do relatório científico da FAPESP com 2 meses de antecedência.
  • Revisão do relatório científico da FAPESP com no máximo de 2 semana de antecedência
  • Submissão com prazo máximo de 24 horas

Contingência

  • Unidade de Administração terá o prazo máximo de 1 semana para providenciar a correção.

PROCEDIMENTOS

As ações abaixo elencadas nortearão alguns aspectos que deverão ser observados, neste Instrumento Normativo, após o recebimento do mesmo.

Revisão, verificação e Aprovação do Manual - Todas as Normas e Procedimentos a serem editados neste Manual de Normas e Procedimentos deverão ser previamente revisados pelo Gestor de Segurança da Informação.


Revision #12
Created 14 July 2023 09:55:15 by Rondineli G. Saad
Updated 18 July 2023 19:20:33 by Rondineli G. Saad