Empresa

A Core Group, empresa de mdio porte que atua na rea de tecnologia da informao na regio de Americana, com servios de suporte.

Projeto

Implementao da norma ISO/IEC 17799.

Infraestrutura

Equipamentos

Equipamentos

Rede

Arquiteturas da Rede

AVALIAO DO SISTEMA DA INFORMAO

Escalonamento de riscos, causas, probabilidades e impacto. Identificao dos riscos e seu respectivo nvel. Solues para os riscos. Melhoria continua dos processo.

DEFINIO DOS RISCOS

Escalonamento dos nveis.

Nvel Risco Nenhum Pouco Probabili dade Nvel Impacto 0 1

Nvel

0
1 2 3

Nenhuma
Pouco Mdio Grande

0
1 2 3

Nenhum
Pouco Mdio Grande

2
3 4 5

Mdio
Eminente Grave Gravssimo

Identificao das ameaas e riscos

Administrao e gerenciamento da poltica de segurana. Segurana do hardware e software Confiabilidade e integridade dos dados Ambiente lgico e fsico Ativos Documentao do ambiente

Risco

Gerenciamento de segurana
Grau Prob. 4 4

Impacto

Causa Processos fora da poltica, processos no documentados e indisponibilidade.

No existe um plano de auditoria peridico na rea de TI

Soluo:Desenvolvimento de um plano
peridico de auditoria semestral pelo departamento de TI junto ao de qualidade e anualmente por um auditor externo.

Risco No esto claramente definidos as obrigaes operacionais e gerenciais das reas de informtica e auditoria.

Grau

Prob.

Impacto

Causa Sobrecarga, desvio de foco operacional, no atribuio de tarefas e responsabilidades.

Soluo:Definio de reas de suporte, desenvolvimento, DBA e responsveis pela auditoria.

Risco A documentao esta atualizada porem no existes diretrizes padronizadas para a documentao de informtica

Grau

Prob.

Impacto

Causa Perca de tempo para a localizao dos documentos

Soluo:Identificao dos documentos como procedimento operacional (POP) com suas respectivas numerao. EX POP DTI 01.

Risco No h normas para a atividade de terceiros na plataforma de informtica.

Grau

Prob.

Impacto

Causa Risco a confidencialidade dos dados,acesso indevido,nenhuma identificao.

Soluo: Documento com identificao do terceiro e equipamento que esta utilizando, com assinatura do mesmo e do responsvel pela solicitao do servio.

Risco No h diretrizes claras quanto ao controle e segurana lgica a nvel de desenvolvimento e operao de aplicativos.

Grau

Prob.

Impacto

Causa No a prazos e metas a serem compridas.

Soluo: Escalonamento de processos de desenvolvimento com respectivos prazos.

Segurana de Hardware
Risco No existe um plano de manuteno e limpeza regularmente realizadas. Grau 3 Prob. 2 Impacto 2 Causa Possvel danificao do equipamento.

Soluo: Desenvolvimento da poltica de manuteno preventiva peridica dos equipamentos com sua respectiva documentao.

Risco No e realizado registros de ocorrncias quanto aos equipamentos, cabos sensores integrantes das plataformas de informtica

Grau

Prob.

Impacto

Causa Perca de tempo ao realizar a soluo de um mesmo chamado. Sem evidencia de problema/soluo.

Soluo: Realizar documentao dos chamados e suas respectivas solues.

Risco No existe esquema de backup dos equipamentos da plataforma de informtica

Grau

Prob.

Impacto

Causa Paralisao da funo ou usurio que utiliza o equipamento.

Soluo: Desenvolvimento de um local de armazenagem e um estoque minimo dos equipamentos (Desktops, Notebooks, equipamentos de rede e equipamentos de energia).

Risco No e documentado a homologao de testes de novos programas e das alteraes

Grau 2

Prob. 2

Impacto 2

Causa Indisponibilidade de recursos do sistema.

Soluo: Criar documentao dos novos programas e suas finalidades e armazenagem por certo perodo, e documentao das alteraes e suas funcionalidades.

Risco No existe uma biblioteca de softwares atualizadas

Grau 1

Prob. 1

Impacto 1

Causa Desatualizao dos recursos da tecnologia da informao

Soluo: Criar uma biblioteca dos softwares existentes e atualiz-los sempre que disponvel.

Segurana Geral da informtica

Risco No h um plano de alternativas que estabelece continuidade operacional das plataformas de informtica. Grau Prob. Impacto Causa Indisponibilidade de recursos providos pelo departamento afetado 5 1 3

Soluo: Cria um plano de alternativas para a continuidade operacional como contratao de terceiros temporariamente.

Segurana Lgica
Risco Grau 4 Prob. 2 Impacto 4 Causa

No existe normas de autenticao de usurios.

No responsabilizao acesso indevido.

Soluo: Criao de um domnio em plataforma Windows Server com autenticao de cada usurio que utilizara os recursos computacionais.

Risco A norma de aconselhamento atual, no corresponde as necessidades atuais.

Grau

Prob.

Impacto

Causa Falta de controle. Falta de padronizao

Soluo: Identificao das necessidades atuais e atualizao da norma mantendo a mesma sempre atualizada com as diretrizes atuais

Outros Desastres
Risco No existe seguro para todos os equipamentos do ambiente computacional contra fogo, desastre, danos por gua e sabotagem Grau Prob. Impacto Causa Danificao sem ressarcimento dos equipamentos no segurados

Soluo: Renovao ou criao do seguro dos equipamentos ou troca dos mesmos deixando para backup.

Comunicao de Dados
Risco No existe uma poltica de analise do trafego de transaes nos canais de comunicao Grau 2 Prob. 2 Impacto 2 Causa Indisponibilidade de recursos,atraso indevido da comunicao.

Soluo: Desenvolver uma poltica de analise peridica do trafego atravs dos logs gravados no sistema.

Construo e Localizao
Risco Grau 2 Prob. 2 Impacto 1 Causa

Alguns cabos no so devidamente identificados

Atraso na identificao do problema.

Soluo: Efetuar a identificao dos cabos restantes e indentifica-los.

Pessoal da Informtica
Risco A empresa no possui uma poltica de registros de descontentamento dos funcionrios. Grau Prob. Impacto Causa Falta de controle da empresa referente ao ambiente dos funcionrios. 2 1 2

Soluo: Desenvolver junto ao recursos humanos uma documentao referente a sugestes do funcionrio.

Melhoria Continua
Definio do PDCA como pratica da filosofia da empresa. Utilizao de ferramentas para inovao como brainstorming e painel de sugestes. Definio de auditorias peridicas. Atualizao constante das documentaes e processos de TI.

OBRIGADO!