SlideShare uma empresa Scribd logo

FINAL_Apresentação2 Template FCCN vHR Versão 26.06.2023- FC.pptx

Transferir como PPTX, PDF
P
PaulaSerdeiraAzevedo2

Este documento apresenta um projeto de implementação de uma metodologia e governança de privacidade e segurança da informação nos Institutos Politécnicos de Viseu, Viana do Castelo e Guarda para cumprirem com o Regulamento Geral de Proteção de Dados. O projeto inclui diagnósticos, definição de políticas e processos, e um programa de comunicação e capacitação para promover a mudança organizacional necessária.

Liderança e gerenciamento
1 de 34
- Apresentação do Projeto - Definição e Implementação da Metodologia e Governance do Programa de Privacidade(RGPD/Segurança da Informação), Comunicação e Gestão da Mudança no IPV, IPVC e IPG Filipe Caldeira (IPV); Paula Bettencourt (IPV); Luís Barreto (IPVC); Pedro Pinto (IPG) FCCN-29.06.2023
Enquadramento Com a entrada em vigor com caráter obrigatório a 25 de maio de 2018, do Regulamento Geral de Proteção de Dados (RGPD) – Regulamento UE 2016/679, de 27 de abril de 2016, as Entidades Públicas e Privadas dos 28 Estados membros que compõem a União Europeia, tem necessariamente de se adaptar e reformular os seus procedimentos, com vista a uma correta aplicação do RGPD.
Enquadramento  Neste contexto, o Instituto Politécnico de Viseu (IPV), em consórcio com os Institutos Politécnicos de Viana do Castelo (IPVC) e Guarda (IPG), no âmbito do financiamento POCI para projetos de modernização administrativa, apresentou uma candidatura que foi aprovada.  Utilizou os Recursos obtidos através da candidatura, para recorrer a uma consultoria externa especializada, no acompanhamento da Implementação do Projeto nos 3 Institutos.
Dados do Projeto • Identificação do Projeto: Cyber& Data Protection IP ‐Cibersegurança e Proteção de Dados no IPVC, IPV e IPG • Entidade Proponente: Instituto Politécnico de Viseu • Entidades Parceiras: Instituto Politécnico de Viana do Castelo e Instituto Politécnico da Guarda • Código do Projeto POCI‐05‐5762‐FSE‐000360 • Data de início: 27.07.2021 • Data de fim: 30.06.2023 • Investimento: 984.492,00€ Elegível 984.492,00€ Incentivo 836.818,20€
Objetivos Gerais Capacitação do IPV, IPVC e IPG de mecanismos organizacionais e tecnológicos, que facilitem o cumprimento da regulamentação em vigor (RGPD/CIBERSEGURANÇA) bem como a sua evidência perante autoridades nacionais de controlo:  Comissão Nacional de Proteção de Dados Centro (CNPD)  Centro Nacional de Cibersegurança (CNCS)
RGPD nas IES No início de cada ano letivo, a entrada de novos alunos, dá origem ao tratamento de muitos e relevantes dados nas Instituições de Ensino Superior, aos quais se juntam todos com que essas organizações já lidam como “proprietárias” de dados. Mesmo quando os alunos concluem o seu percurso formativo, alguns dados têm de ser conservados, com processos que se mantêm em bases de dados, arquivos e até fluxos de e-mail, que exigem políticas documentadas para a sua proteção, retenção e processamento. As informações sobre alunos, docentes e demais colaboradores, recolhidas e tratadas nas instituições de ensino superior, atendem a múltiplos propósitos, tais com a gestão académica, gestão de recursos humanos, cooperação institucional, etc; Constituindo um Universo aparentemente infinito de dados que circulam pela organização, sendo que grande parte desses dados, são dados pessoais.
Objetivos Específicos  Conceber, desenvolver e implementar ao nível organizacional (pessoas, processos, documentos, políticas, estratégias, sistemas de informação),um programa integrado de gestão e de transformação;  Com o objetivo da adequação institucional ao quadro normativo aplicável à Proteção de Dados e Segurança da Informação das 3 IES;  Através da cocriação de uma solução inovadora, que permita evidenciar internamente e perante terceiros, a “compliance”, adequada;  … e de um modelo colaborativo, capaz de disseminar as melhores práticas e partilhar conhecimentos neste domínio, no Ensino Superior Politécnico.
Desafio Desenvolver uma nova cultura organizacional nos três Institutos, promotora: • Do legítimo tratamento de dados pessoais e da livre circulação desses dados • Da segurança da informação • Da modernização e transformação digital • Da melhoria do desempenho e da capacidade de resposta às necessidades de segurança da informação, proteção de dados e “compliance” com o quadro normativo aplicável
Proposta • Diagnóstico às três IES, para avaliação do grau de conformidade com o RGPD e Regime Jurídico da Cibersegurança: • Identificação, conceção e implementação de um Programa Integrado de Gestão e de Transformação; • Com o objetivo da Adequação Institucional ao Quadro Normativo Aplicável à Proteção de Dados e Segurança da Informação das 3 IES; • Assente numa Lógica Multidisciplinar • Através de uma estratégia de Comunicação da Mudança adequada • Com Envolvimento de todos os intervenientes
Metodologia A intervenção assentou em Dois Eixos Fundamentais: I- Governance de Privacidade e Segurança da Informação - Definição, desenvolvimento e implementação de um conjunto de políticas, processos e procedimentos transversais, a adotar pelos 3 Institutos , com o objetivo de criar uma base central de regras comuns.
Metodologia II- Comunicação e Gestão da Mudança - Assegurar a comunicação e capacitação para as iniciativas do projeto, criando condições para que as 3 IES integrem no seu funcionamento e cultura organizacional, a monitorização e a conformidade com o RGPD e Regime Jurídico da Segurança da Informação.
Metodologia Governance de Privacidade e Segurança da Informação Para concretização do Programa Transformador no Universo das 3 IES, foi feita uma abordagem metodológica a 4 grandes Áreas: • I- Jurídica -Conformidade com o RGPD, RGSC e outros normativos……. • II- Processos- Operação de tratamento de dados nas diversas áreas funcionais • III- Organização- Estruturas orgânicas de suporte ao Sistema e aos DPO´S • IV- Sistemas –Plataforma e infraestruturas de suporte ao tratamento de dados
Metodologia Governance de Privacidade e Segurança da Informação • Revisão dos modelos da Organização e implementação de novos modelos, facilitadores do cumprimento dos requisitos do RGPD e do RJCS(exº capacitação dos 3 DPO’S, definição e implementação do modelo de governo de privacidade das 3 IES). • Análise e definição de Processos que envolvam o tratamento de dados pessoais(recolha, consulta, conservação, eliminação, armazenamento, exercício dos direitos dos titulares, incidentes de violação de dados, relações com terceiros…)
Metodologia Governance de Privacidade e Segurança da Informação • Suporte e acompanhamento Jurídico para assegurar a conformidade legal de políticas, processos, procedimentos, formulários, distribuição de funções, contratos com colaboradores e terceiros, e das aplicações informáticas. • Conformidade da Infraestrutura Tecnológica e dos Sistemas de acordo com os requisitos do RGPD e com Regime Jurídico da Segurança no Ciberespaço
Metodologia Gestão da Mudança - Objetivo • Capacitar os 3 Institutos para a Implementação do RGPD e do Regime Jurídico da Cibersegurança • Acomodar o Processo de Transformação (Antecipar, Planear e Abordar o Impacto da Mudança) • Envolver os Intervenientes(Planos de Comunicação e de Capacitação)
Metodologia Gestão da Mudança- Intervenção I- Preparar a Mudança • Definição da Estratégia de Gestão da Mudança • Preparação da Equipa de Gestão da Mudança • Desenvolvimento do Modelo de Sponsorship II- Gerir a Mudança • Desenvolvimento do Plano de Gestão da Mudança • Implementação do Plano III- Reforçar a Mudança • Recolha e Análise do Feedback • Identificação de Gaps e Gestão das Resistências • Implementação de Ações Corretivas e Celebração de Sucessos
Metodologia Gestão da Mudança- Três Níveis de Intervenção • Organizacional: assegurando o alinhamento com novos processos, procedimentos, politicas, interfaces organizacionais em matéria de proteção de dados; • Grupo: através da capacitação dos líderes e agentes de mudança e da promoção de um trabalho em equipa/rede; • Individual: através de um programa de capacitação e de comunicação para reforçar a adesão dos stakeholders
Metodologia Gestão da Mudança- Visão Integrada do RGPD e RJSC Pessoas: • Permitir que as pessoas conheçam e apliquem os princípios, politicas e procedimentos associados à Privacidade e Proteção de Dados, construindo um sentido de responsabilidade relativamente ao novo modus operandi • Facilitar a mudança de cultura em relação à Privacidade e Proteção dos Dados • Analisar o Impacto da mudança nas áreas/funções Processos • Politicas e Procedimentos de trabalho alinhados com o RGPD/RJSC • Melhoria das práticas e processos
Metodologia Gestão da Mudança- Visão Integrada do RGPD e RJSC Organização • Melhoria dos Interfaces Internos/Externos em matéria de Privacidade e Proteção de Dados • Melhoria dos Processos de Decisão em matéria de Privacidade e Proteção de Dados Tecnologia • Identificação das principais alterações aos sistemas e aplicações decorrentes da implementação do RGPD e RJSC • Normalização de práticas ao nível dos 3 Institutos.
Metodologia Gestão da Mudança- Fatores críticos de sucesso Liderança: • Fator chave do sucesso para implementar qualquer mudança numa organização • Líderes Patrocinadores são os principais agentes de mudança, pelo que têm de ser envolvidos e estar preparados para suportar a implementação de um novo modus operandi. Formação & Aprendizagem: • Fator chave do sucesso para permitir a aquisição de skills e competências para que a mudança de modus operandi ocorra, através da formação adequada.
Metodologia Gestão da Mudança- Fatores Críticos para o Sucesso Organização e Funções: • Fator chave do sucesso para assegurar o alinhamento entre o novo modus operandi e as atividades realizadas no dia-a-dia, implicando uma avaliação detalhada do impacto das alterações nas atividades/funções desempenhadas Comunicação: • Fator chave do sucesso para desenvolver responsabilidade, ownership, vontade de aderir à mudança e gestão da resistência à implementação do novo modus operandi.
Metodologia Gestão da Mudança- Fatores Críticos para o Sucesso Permitem: • Suportar a implementação e os implementadores • Assegurar o alinhamento organizacional com a mudança • Desenvolver capacidade de atuação e implementação • Envolver os diversos Stakeholders • Minimizar a resistência à mudança
Vertente Tecnológica (e não só)
Maturidade das Instituições • Usados requisitos identificados pelo Centro Nacional de CiberSegurança • 5 etapas do ciclo de vida de um evento de segurança • Identificar • Proteger • Detetar • Responder • Recuperar Quadro Nacional de Referência para a CiberSegurança (CNCS 2019)
Âmbito de análise • Politicas e Procedimentos existentes na Organização • Práticas recorrentes das Equipas técnicas e dos utilizadores • Manuais e regulamentos internos • Sistemas e infraestrutura técnica existente • Aplicações implementadas • Equipa técnica em funções • Estrutura Organizacional
Metodologia de análise • Realização de reuniões remotas • Grau de maturidade face aos requisitos do CNCS • Grau de maturidade ao nível de segurança de informação e privacidade • Pedidos de Informação / Documentação existente • Respostas a questionários (por parte dos fornecedores)
Conformidade com o RGPD • Rastreabilidade de Dados • Encriptação de Dados • Pseudonimização e Anonimização • Gestão de Incidentes de Segurança • Privacy by Default & Privacy by Design • Conservação de Dados • Políticas de Segurança da Informação • Organização da Segurança da informação • Gestão de Incidentes de Segurança • ...
Políticas / Processos • Política de Segurança de Informação (Interna) • Política de Utilização Aceitável de Recursos Informáticos • Processo de Eliminação Segura de Dados • Política de Classificação de Informação • Política de Gestão de Palavras-Passe
Gestão de Incidentes de Segurança • Equipa e Responsabilidades • Processo de Gestão de Incidentes de Segurança • Deteção • Triagem/Análise/Decisão • Contenção/Erradicação/Recuperação • Atividade Pós-Resposta
Principais Soluções • Gestão e Controlo de Identidades e Acessos e Gestão de Acessos Privilegiado • Proteção avançada de dispositivos e dados para utilizadores em mobilidade • Componente Recolha, análise de Eventos e Informação • Componente Gestão e Monitorização de alertas • Gestão de Incidentes de Segurança
Principais Serviços • Serviços de implementação, testes, consultoria, capacitação e evolução e apoio a objetivos e indicadores projeto • Serviços de análise de vulnerabilidade e testes externos/Pentesting • Inclusão Black-box Pentesting (testes periódicos)
OBRIGADO! Filipe Caldeira (IPV) Paula Bettencourt (IPV) Luís Barreto (IPVC) Pedro Pinto (IPG) Fonte Imagens: Microsoft
FINAL_Apresentação2 Template FCCN vHR Versão 26.06.2023- FC.pptx

Recomendados

Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-stiHaroldo Borges da Costa
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-stiHaroldo Borges da Costa
 
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...Dalton Martins
 
Qualidade de dados - data quality & GDPR
Qualidade de dados - data quality & GDPRQualidade de dados - data quality & GDPR
Qualidade de dados - data quality & GDPRFernando Rui Campos
 
Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016edinaldo lopes da cr lopes
 
Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...
Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...
Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...Conferência Luso-Brasileira de Ciência Aberta
 
Portfolio em grupo ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviarPortfolio em grupo ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviaredinaldo lopes da cr lopes
 
Esquema de suporte e gestão de dados científicos em organizações de pesquisae...
Esquema de suporte e gestão de dados científicos em organizações de pesquisae...Esquema de suporte e gestão de dados científicos em organizações de pesquisae...
Esquema de suporte e gestão de dados científicos em organizações de pesquisae...Cariniana Rede
 

Recomendados

Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-stiHaroldo Borges da Costa
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-stiHaroldo Borges da Costa
 
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...Dalton Martins
 
Qualidade de dados - data quality & GDPR
Qualidade de dados - data quality & GDPRQualidade de dados - data quality & GDPR
Qualidade de dados - data quality & GDPRFernando Rui Campos
 
Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016edinaldo lopes da cr lopes
 
Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...
Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...
Dados governamentais na perspectiva da Ciência Aberta: potencialidades e desa...Conferência Luso-Brasileira de Ciência Aberta
 
Portfolio em grupo ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviarPortfolio em grupo ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviaredinaldo lopes da cr lopes
 
Esquema de suporte e gestão de dados científicos em organizações de pesquisae...
Esquema de suporte e gestão de dados científicos em organizações de pesquisae...Esquema de suporte e gestão de dados científicos em organizações de pesquisae...
Esquema de suporte e gestão de dados científicos em organizações de pesquisae...Cariniana Rede
 
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...Pedro Príncipe
 
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Portal da Inovação em Saúde
 
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Portal da Inovação em Saúde
 
1a Web Aula - Gestão de Tecnologia da Informação.pdf
1a Web Aula - Gestão de Tecnologia da Informação.pdf1a Web Aula - Gestão de Tecnologia da Informação.pdf
1a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Brochura arcsi 3ª Edição 2014
Brochura arcsi 3ª Edição 2014Brochura arcsi 3ª Edição 2014
Brochura arcsi 3ª Edição 2014Filipe Pontes
 
00 13092011-1600-governança-da-gestão-documental
00 13092011-1600-governança-da-gestão-documental00 13092011-1600-governança-da-gestão-documental
00 13092011-1600-governança-da-gestão-documentalguiabusinessmedia
 
Gerenciamento Estratégico de Sistemas
Gerenciamento Estratégico de SistemasGerenciamento Estratégico de Sistemas
Gerenciamento Estratégico de SistemasJosé Passos
 
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados EmpresariaisGestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados EmpresariaisRoberto C. S. Pacheco
 
Artefato petic do gt1 2014 2016 - versão final
Artefato petic do gt1 2014 2016 - versão finalArtefato petic do gt1 2014 2016 - versão final
Artefato petic do gt1 2014 2016 - versão finalEdton Lemos
 
Curso de Gestão e Proteção de Estruturas Estratégicas
Curso de Gestão e Proteção de Estruturas EstratégicasCurso de Gestão e Proteção de Estruturas Estratégicas
Curso de Gestão e Proteção de Estruturas EstratégicasHumberto de Sá Garay
 
Avaliar o IT em uso nas organizações
Avaliar o IT em uso nas organizaçõesAvaliar o IT em uso nas organizações
Avaliar o IT em uso nas organizaçõesRicardo Saragoça
 
Projeto i (ver. 1.0)
Projeto i (ver. 1.0)Projeto i (ver. 1.0)
Projeto i (ver. 1.0)Carla Dias
 
Information Management
Information Management Information Management
Information Management Daniel Gorita
 
Oficina preservação digital Módulo 3
Oficina preservação digital Módulo 3Oficina preservação digital Módulo 3
Oficina preservação digital Módulo 3Roberto Lopes
 
Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Carla Dias
 
Outsourcing Desenvolvimento Aplicações
Outsourcing Desenvolvimento AplicaçõesOutsourcing Desenvolvimento Aplicações
Outsourcing Desenvolvimento AplicaçõesFernando Albuquerque
 
A experiência de uma empresa de P&D na construção de uma política de governan...
A experiência de uma empresa de P&D na construção de uma política de governan...A experiência de uma empresa de P&D na construção de uma política de governan...
A experiência de uma empresa de P&D na construção de uma política de governan...Projeto RCAAP
 
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...Organizacion Universitaria Interamericana
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...dgovs_pucrs
 
Plano Director de Sistemas de Informação
Plano Director de Sistemas de InformaçãoPlano Director de Sistemas de Informação
Plano Director de Sistemas de InformaçãoGermano Magalhães
 

Mais conteúdo relacionado

Semelhante a FINAL_Apresentação2 Template FCCN vHR Versão 26.06.2023- FC.pptx

Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...Pedro Príncipe
 
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Portal da Inovação em Saúde
 
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Portal da Inovação em Saúde
 
1a Web Aula - Gestão de Tecnologia da Informação.pdf
1a Web Aula - Gestão de Tecnologia da Informação.pdf1a Web Aula - Gestão de Tecnologia da Informação.pdf
1a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Brochura arcsi 3ª Edição 2014
Brochura arcsi 3ª Edição 2014Brochura arcsi 3ª Edição 2014
Brochura arcsi 3ª Edição 2014Filipe Pontes
 
00 13092011-1600-governança-da-gestão-documental
00 13092011-1600-governança-da-gestão-documental00 13092011-1600-governança-da-gestão-documental
00 13092011-1600-governança-da-gestão-documentalguiabusinessmedia
 
Gerenciamento Estratégico de Sistemas
Gerenciamento Estratégico de SistemasGerenciamento Estratégico de Sistemas
Gerenciamento Estratégico de SistemasJosé Passos
 
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados EmpresariaisGestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados EmpresariaisRoberto C. S. Pacheco
 
Artefato petic do gt1 2014 2016 - versão final
Artefato petic do gt1 2014 2016 - versão finalArtefato petic do gt1 2014 2016 - versão final
Artefato petic do gt1 2014 2016 - versão finalEdton Lemos
 
Curso de Gestão e Proteção de Estruturas Estratégicas
Curso de Gestão e Proteção de Estruturas EstratégicasCurso de Gestão e Proteção de Estruturas Estratégicas
Curso de Gestão e Proteção de Estruturas EstratégicasHumberto de Sá Garay
 
Avaliar o IT em uso nas organizações
Avaliar o IT em uso nas organizaçõesAvaliar o IT em uso nas organizações
Avaliar o IT em uso nas organizaçõesRicardo Saragoça
 
Projeto i (ver. 1.0)
Projeto i (ver. 1.0)Projeto i (ver. 1.0)
Projeto i (ver. 1.0)Carla Dias
 
Information Management
Information Management Information Management
Information Management Daniel Gorita
 
Oficina preservação digital Módulo 3
Oficina preservação digital Módulo 3Oficina preservação digital Módulo 3
Oficina preservação digital Módulo 3Roberto Lopes
 
Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Carla Dias
 
Outsourcing Desenvolvimento Aplicações
Outsourcing Desenvolvimento AplicaçõesOutsourcing Desenvolvimento Aplicações
Outsourcing Desenvolvimento AplicaçõesFernando Albuquerque
 
A experiência de uma empresa de P&D na construção de uma política de governan...
A experiência de uma empresa de P&D na construção de uma política de governan...A experiência de uma empresa de P&D na construção de uma política de governan...
A experiência de uma empresa de P&D na construção de uma política de governan...Projeto RCAAP
 
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...Organizacion Universitaria Interamericana
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...dgovs_pucrs
 
Plano Director de Sistemas de Informação
Plano Director de Sistemas de InformaçãoPlano Director de Sistemas de Informação
Plano Director de Sistemas de InformaçãoGermano Magalhães
 

Semelhante a FINAL_Apresentação2 Template FCCN vHR Versão 26.06.2023- FC.pptx (20)

Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
Estratégia Institucional para a gestão de dados de investigação na UMINHO: o ...
 
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
 
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
Da organização do grupo de pesquisadores à Rede de Pesquisa Brasil: perspect...
 
1a Web Aula - Gestão de Tecnologia da Informação.pdf
1a Web Aula - Gestão de Tecnologia da Informação.pdf1a Web Aula - Gestão de Tecnologia da Informação.pdf
1a Web Aula - Gestão de Tecnologia da Informação.pdf
 
Brochura arcsi 3ª Edição 2014
Brochura arcsi 3ª Edição 2014Brochura arcsi 3ª Edição 2014
Brochura arcsi 3ª Edição 2014
 
00 13092011-1600-governança-da-gestão-documental
00 13092011-1600-governança-da-gestão-documental00 13092011-1600-governança-da-gestão-documental
00 13092011-1600-governança-da-gestão-documental
 
Gerenciamento Estratégico de Sistemas
Gerenciamento Estratégico de SistemasGerenciamento Estratégico de Sistemas
Gerenciamento Estratégico de Sistemas
 
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados EmpresariaisGestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
Gestão e Engenharia do Conhecimento: Perspectivas e Resultados Empresariais
 
Artefato petic do gt1 2014 2016 - versão final
Artefato petic do gt1 2014 2016 - versão finalArtefato petic do gt1 2014 2016 - versão final
Artefato petic do gt1 2014 2016 - versão final
 
Curso de Gestão e Proteção de Estruturas Estratégicas
Curso de Gestão e Proteção de Estruturas EstratégicasCurso de Gestão e Proteção de Estruturas Estratégicas
Curso de Gestão e Proteção de Estruturas Estratégicas
 
Avaliar o IT em uso nas organizações
Avaliar o IT em uso nas organizaçõesAvaliar o IT em uso nas organizações
Avaliar o IT em uso nas organizações
 
Projeto i (ver. 1.0)
Projeto i (ver. 1.0)Projeto i (ver. 1.0)
Projeto i (ver. 1.0)
 
Information Management
Information Management Information Management
Information Management
 
Oficina preservação digital Módulo 3
Oficina preservação digital Módulo 3Oficina preservação digital Módulo 3
Oficina preservação digital Módulo 3
 
Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Projeto i (ver. 1.1)
Projeto i (ver. 1.1)
 
Outsourcing Desenvolvimento Aplicações
Outsourcing Desenvolvimento AplicaçõesOutsourcing Desenvolvimento Aplicações
Outsourcing Desenvolvimento Aplicações
 
A experiência de uma empresa de P&D na construção de uma política de governan...
A experiência de uma empresa de P&D na construção de uma política de governan...A experiência de uma empresa de P&D na construção de uma política de governan...
A experiência de uma empresa de P&D na construção de uma política de governan...
 
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
Eficiência, Eficácia ou Efetividade, para onde o está orientado o modelo de ...
 
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
PROPOSTA DE UM MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO PARA UMA EMPR...
 
Plano Director de Sistemas de Informação
Plano Director de Sistemas de InformaçãoPlano Director de Sistemas de Informação
Plano Director de Sistemas de Informação
 

FINAL_Apresentação2 Template FCCN vHR Versão 26.06.2023- FC.pptx

  • 1. - Apresentação do Projeto - Definição e Implementação da Metodologia e Governance do Programa de Privacidade(RGPD/Segurança da Informação), Comunicação e Gestão da Mudança no IPV, IPVC e IPG Filipe Caldeira (IPV); Paula Bettencourt (IPV); Luís Barreto (IPVC); Pedro Pinto (IPG) FCCN-29.06.2023
  • 2. Enquadramento Com a entrada em vigor com caráter obrigatório a 25 de maio de 2018, do Regulamento Geral de Proteção de Dados (RGPD) – Regulamento UE 2016/679, de 27 de abril de 2016, as Entidades Públicas e Privadas dos 28 Estados membros que compõem a União Europeia, tem necessariamente de se adaptar e reformular os seus procedimentos, com vista a uma correta aplicação do RGPD.
  • 3. Enquadramento  Neste contexto, o Instituto Politécnico de Viseu (IPV), em consórcio com os Institutos Politécnicos de Viana do Castelo (IPVC) e Guarda (IPG), no âmbito do financiamento POCI para projetos de modernização administrativa, apresentou uma candidatura que foi aprovada.  Utilizou os Recursos obtidos através da candidatura, para recorrer a uma consultoria externa especializada, no acompanhamento da Implementação do Projeto nos 3 Institutos.
  • 4. Dados do Projeto • Identificação do Projeto: Cyber& Data Protection IP ‐Cibersegurança e Proteção de Dados no IPVC, IPV e IPG • Entidade Proponente: Instituto Politécnico de Viseu • Entidades Parceiras: Instituto Politécnico de Viana do Castelo e Instituto Politécnico da Guarda • Código do Projeto POCI‐05‐5762‐FSE‐000360 • Data de início: 27.07.2021 • Data de fim: 30.06.2023 • Investimento: 984.492,00€ Elegível 984.492,00€ Incentivo 836.818,20€
  • 5. Objetivos Gerais Capacitação do IPV, IPVC e IPG de mecanismos organizacionais e tecnológicos, que facilitem o cumprimento da regulamentação em vigor (RGPD/CIBERSEGURANÇA) bem como a sua evidência perante autoridades nacionais de controlo:  Comissão Nacional de Proteção de Dados Centro (CNPD)  Centro Nacional de Cibersegurança (CNCS)
  • 6. RGPD nas IES No início de cada ano letivo, a entrada de novos alunos, dá origem ao tratamento de muitos e relevantes dados nas Instituições de Ensino Superior, aos quais se juntam todos com que essas organizações já lidam como “proprietárias” de dados. Mesmo quando os alunos concluem o seu percurso formativo, alguns dados têm de ser conservados, com processos que se mantêm em bases de dados, arquivos e até fluxos de e-mail, que exigem políticas documentadas para a sua proteção, retenção e processamento. As informações sobre alunos, docentes e demais colaboradores, recolhidas e tratadas nas instituições de ensino superior, atendem a múltiplos propósitos, tais com a gestão académica, gestão de recursos humanos, cooperação institucional, etc; Constituindo um Universo aparentemente infinito de dados que circulam pela organização, sendo que grande parte desses dados, são dados pessoais.
  • 7. Objetivos Específicos  Conceber, desenvolver e implementar ao nível organizacional (pessoas, processos, documentos, políticas, estratégias, sistemas de informação),um programa integrado de gestão e de transformação;  Com o objetivo da adequação institucional ao quadro normativo aplicável à Proteção de Dados e Segurança da Informação das 3 IES;  Através da cocriação de uma solução inovadora, que permita evidenciar internamente e perante terceiros, a “compliance”, adequada;  … e de um modelo colaborativo, capaz de disseminar as melhores práticas e partilhar conhecimentos neste domínio, no Ensino Superior Politécnico.
  • 8. Desafio Desenvolver uma nova cultura organizacional nos três Institutos, promotora: • Do legítimo tratamento de dados pessoais e da livre circulação desses dados • Da segurança da informação • Da modernização e transformação digital • Da melhoria do desempenho e da capacidade de resposta às necessidades de segurança da informação, proteção de dados e “compliance” com o quadro normativo aplicável
  • 9. Proposta • Diagnóstico às três IES, para avaliação do grau de conformidade com o RGPD e Regime Jurídico da Cibersegurança: • Identificação, conceção e implementação de um Programa Integrado de Gestão e de Transformação; • Com o objetivo da Adequação Institucional ao Quadro Normativo Aplicável à Proteção de Dados e Segurança da Informação das 3 IES; • Assente numa Lógica Multidisciplinar • Através de uma estratégia de Comunicação da Mudança adequada • Com Envolvimento de todos os intervenientes
  • 10. Metodologia A intervenção assentou em Dois Eixos Fundamentais: I- Governance de Privacidade e Segurança da Informação - Definição, desenvolvimento e implementação de um conjunto de políticas, processos e procedimentos transversais, a adotar pelos 3 Institutos , com o objetivo de criar uma base central de regras comuns.
  • 11. Metodologia II- Comunicação e Gestão da Mudança - Assegurar a comunicação e capacitação para as iniciativas do projeto, criando condições para que as 3 IES integrem no seu funcionamento e cultura organizacional, a monitorização e a conformidade com o RGPD e Regime Jurídico da Segurança da Informação.
  • 12. Metodologia Governance de Privacidade e Segurança da Informação Para concretização do Programa Transformador no Universo das 3 IES, foi feita uma abordagem metodológica a 4 grandes Áreas: • I- Jurídica -Conformidade com o RGPD, RGSC e outros normativos……. • II- Processos- Operação de tratamento de dados nas diversas áreas funcionais • III- Organização- Estruturas orgânicas de suporte ao Sistema e aos DPO´S • IV- Sistemas –Plataforma e infraestruturas de suporte ao tratamento de dados
  • 13. Metodologia Governance de Privacidade e Segurança da Informação • Revisão dos modelos da Organização e implementação de novos modelos, facilitadores do cumprimento dos requisitos do RGPD e do RJCS(exº capacitação dos 3 DPO’S, definição e implementação do modelo de governo de privacidade das 3 IES). • Análise e definição de Processos que envolvam o tratamento de dados pessoais(recolha, consulta, conservação, eliminação, armazenamento, exercício dos direitos dos titulares, incidentes de violação de dados, relações com terceiros…)
  • 14. Metodologia Governance de Privacidade e Segurança da Informação • Suporte e acompanhamento Jurídico para assegurar a conformidade legal de políticas, processos, procedimentos, formulários, distribuição de funções, contratos com colaboradores e terceiros, e das aplicações informáticas. • Conformidade da Infraestrutura Tecnológica e dos Sistemas de acordo com os requisitos do RGPD e com Regime Jurídico da Segurança no Ciberespaço
  • 15. Metodologia Gestão da Mudança - Objetivo • Capacitar os 3 Institutos para a Implementação do RGPD e do Regime Jurídico da Cibersegurança • Acomodar o Processo de Transformação (Antecipar, Planear e Abordar o Impacto da Mudança) • Envolver os Intervenientes(Planos de Comunicação e de Capacitação)
  • 16. Metodologia Gestão da Mudança- Intervenção I- Preparar a Mudança • Definição da Estratégia de Gestão da Mudança • Preparação da Equipa de Gestão da Mudança • Desenvolvimento do Modelo de Sponsorship II- Gerir a Mudança • Desenvolvimento do Plano de Gestão da Mudança • Implementação do Plano III- Reforçar a Mudança • Recolha e Análise do Feedback • Identificação de Gaps e Gestão das Resistências • Implementação de Ações Corretivas e Celebração de Sucessos
  • 17. Metodologia Gestão da Mudança- Três Níveis de Intervenção • Organizacional: assegurando o alinhamento com novos processos, procedimentos, politicas, interfaces organizacionais em matéria de proteção de dados; • Grupo: através da capacitação dos líderes e agentes de mudança e da promoção de um trabalho em equipa/rede; • Individual: através de um programa de capacitação e de comunicação para reforçar a adesão dos stakeholders
  • 18. Metodologia Gestão da Mudança- Visão Integrada do RGPD e RJSC Pessoas: • Permitir que as pessoas conheçam e apliquem os princípios, politicas e procedimentos associados à Privacidade e Proteção de Dados, construindo um sentido de responsabilidade relativamente ao novo modus operandi • Facilitar a mudança de cultura em relação à Privacidade e Proteção dos Dados • Analisar o Impacto da mudança nas áreas/funções Processos • Politicas e Procedimentos de trabalho alinhados com o RGPD/RJSC • Melhoria das práticas e processos
  • 19. Metodologia Gestão da Mudança- Visão Integrada do RGPD e RJSC Organização • Melhoria dos Interfaces Internos/Externos em matéria de Privacidade e Proteção de Dados • Melhoria dos Processos de Decisão em matéria de Privacidade e Proteção de Dados Tecnologia • Identificação das principais alterações aos sistemas e aplicações decorrentes da implementação do RGPD e RJSC • Normalização de práticas ao nível dos 3 Institutos.
  • 20. Metodologia Gestão da Mudança- Fatores críticos de sucesso Liderança: • Fator chave do sucesso para implementar qualquer mudança numa organização • Líderes Patrocinadores são os principais agentes de mudança, pelo que têm de ser envolvidos e estar preparados para suportar a implementação de um novo modus operandi. Formação & Aprendizagem: • Fator chave do sucesso para permitir a aquisição de skills e competências para que a mudança de modus operandi ocorra, através da formação adequada.
  • 21. Metodologia Gestão da Mudança- Fatores Críticos para o Sucesso Organização e Funções: • Fator chave do sucesso para assegurar o alinhamento entre o novo modus operandi e as atividades realizadas no dia-a-dia, implicando uma avaliação detalhada do impacto das alterações nas atividades/funções desempenhadas Comunicação: • Fator chave do sucesso para desenvolver responsabilidade, ownership, vontade de aderir à mudança e gestão da resistência à implementação do novo modus operandi.
  • 22. Metodologia Gestão da Mudança- Fatores Críticos para o Sucesso Permitem: • Suportar a implementação e os implementadores • Assegurar o alinhamento organizacional com a mudança • Desenvolver capacidade de atuação e implementação • Envolver os diversos Stakeholders • Minimizar a resistência à mudança
  • 24. Maturidade das Instituições • Usados requisitos identificados pelo Centro Nacional de CiberSegurança • 5 etapas do ciclo de vida de um evento de segurança • Identificar • Proteger • Detetar • Responder • Recuperar Quadro Nacional de Referência para a CiberSegurança (CNCS 2019)
  • 25.
  • 26. Âmbito de análise • Politicas e Procedimentos existentes na Organização • Práticas recorrentes das Equipas técnicas e dos utilizadores • Manuais e regulamentos internos • Sistemas e infraestrutura técnica existente • Aplicações implementadas • Equipa técnica em funções • Estrutura Organizacional
  • 27. Metodologia de análise • Realização de reuniões remotas • Grau de maturidade face aos requisitos do CNCS • Grau de maturidade ao nível de segurança de informação e privacidade • Pedidos de Informação / Documentação existente • Respostas a questionários (por parte dos fornecedores)
  • 28. Conformidade com o RGPD • Rastreabilidade de Dados • Encriptação de Dados • Pseudonimização e Anonimização • Gestão de Incidentes de Segurança • Privacy by Default & Privacy by Design • Conservação de Dados • Políticas de Segurança da Informação • Organização da Segurança da informação • Gestão de Incidentes de Segurança • ...
  • 29. Políticas / Processos • Política de Segurança de Informação (Interna) • Política de Utilização Aceitável de Recursos Informáticos • Processo de Eliminação Segura de Dados • Política de Classificação de Informação • Política de Gestão de Palavras-Passe
  • 30. Gestão de Incidentes de Segurança • Equipa e Responsabilidades • Processo de Gestão de Incidentes de Segurança • Deteção • Triagem/Análise/Decisão • Contenção/Erradicação/Recuperação • Atividade Pós-Resposta
  • 31. Principais Soluções • Gestão e Controlo de Identidades e Acessos e Gestão de Acessos Privilegiado • Proteção avançada de dispositivos e dados para utilizadores em mobilidade • Componente Recolha, análise de Eventos e Informação • Componente Gestão e Monitorização de alertas • Gestão de Incidentes de Segurança
  • 32. Principais Serviços • Serviços de implementação, testes, consultoria, capacitação e evolução e apoio a objetivos e indicadores projeto • Serviços de análise de vulnerabilidade e testes externos/Pentesting • Inclusão Black-box Pentesting (testes periódicos)
  • 33. OBRIGADO! Filipe Caldeira (IPV) Paula Bettencourt (IPV) Luís Barreto (IPVC) Pedro Pinto (IPG) Fonte Imagens: Microsoft