Empresa

A Core Group, empresa de médio porte que atua na área de tecnologia da informação na região de Americana, com serviços de suporte.

Projeto

Implementação da norma ISO/IEC 17799.

Infraestrutura

Equipamentos

Equipamentos

Rede

Arquiteturas da Rede

AVALIAÇÃO DO SISTEMA DA INFORMAÇÃO
Escalonamento de riscos, causas, probabilidades e impacto.  Identificação dos riscos e seu respectivo nível.  Soluções para os riscos.  Melhoria continua dos processo.

DEFINIÇÃO DOS RISCOS

Escalonamento dos níveis.
Nível Risco Nenhum Pouco Probabili dade Nível Impacto 0 1

Nível

0
1 2 3

Nenhuma
Pouco Médio Grande

0
1 2 3

Nenhum
Pouco Médio Grande

2
3 4 5

Médio
Eminente Grave Gravíssimo

Identificação das ameaças e riscos
Administração e gerenciamento da política de segurança.  Segurança do hardware e software  Confiabilidade e integridade dos dados  Ambiente lógico e físico  Ativos  Documentação do ambiente

Risco

Gerenciamento de segurança
Grau Prob. 4 4

Impacto

Causa Processos fora da política, processos não documentados e indisponibilidade.

Não existe um plano de auditoria periódico na área de TI

4

Solução:Desenvolvimento de um plano
periódico de auditoria semestral pelo departamento de TI junto ao de qualidade e anualmente por um auditor externo.

Risco Não estão claramente definidos as obrigações operacionais e gerenciais das áreas de informática e auditoria.

Grau

Prob.

Impacto

Causa Sobrecarga, desvio de foco operacional, não atribuição de tarefas e responsabilidades.

3

2

3

Solução:Definição de áreas de suporte, desenvolvimento, DBA e responsáveis pela auditoria.

Risco A documentação esta atualizada porem não existes diretrizes padronizadas para a documentação de informática

Grau

Prob.

Impacto

Causa Perca de tempo para a localização dos documentos

1

1

2

Solução:Identificação dos documentos como procedimento operacional (POP) com suas respectivas numeração. EX POP DTI 01.

Risco Não há normas para a atividade de terceiros na plataforma de informática.

Grau

Prob.

Impacto

Causa Risco a confidencialidade dos dados,acesso indevido,nenhuma identificação.

2

2

3

Solução: Documento com identificação do terceiro e equipamento que esta utilizando, com assinatura do mesmo e do responsável pela solicitação do serviço.

Risco Não há diretrizes claras quanto ao controle e segurança lógica a nível de desenvolvimento e operação de aplicativos.

Grau

Prob.

Impacto

Causa Não a prazos e metas a serem compridas.

3

2

3

Solução: Escalonamento de processos de desenvolvimento com respectivos prazos.

Segurança de Hardware
Risco Não existe um plano de manutenção e limpeza regularmente realizadas. Grau 3 Prob. 2 Impacto 2 Causa Possível danificação do equipamento.

Solução: Desenvolvimento da política de manutenção preventiva periódica dos equipamentos com sua respectiva documentação.

Risco Não e realizado registros de ocorrências quanto aos equipamentos, cabos sensores integrantes das plataformas de informática

Grau

Prob.

Impacto

Causa Perca de tempo ao realizar a solução de um mesmo chamado. Sem evidencia de problema/solução.

3

1

2

Solução: Realizar documentação dos chamados e suas respectivas soluções.

Risco Não existe esquema de backup dos equipamentos da plataforma de informática

Grau

Prob.

Impacto

Causa Paralisação da função ou usuário que utiliza o equipamento.

3

2

3

Solução: Desenvolvimento de um local de armazenagem e um estoque minimo dos equipamentos (Desktops, Notebooks, equipamentos de rede e equipamentos de energia).

Risco Não e documentado a homologação de testes de novos programas e das alterações

Grau 2

Prob. 2

Impacto 2

Causa Indisponibilidade de recursos do sistema.

Solução: Criar documentação dos novos programas e suas finalidades e armazenagem por certo período, e documentação das alterações e suas funcionalidades.

Risco Não existe uma biblioteca de softwares atualizadas

Grau 1

Prob. 1

Impacto 1

Causa Desatualização dos recursos da tecnologia da informação

Solução: Criar uma biblioteca dos softwares existentes e atualizá-los sempre que disponível.

Segurança Geral da informática
Risco Não há um plano de alternativas que estabelece continuidade operacional das plataformas de informática. Grau Prob. Impacto Causa Indisponibilidade de recursos providos pelo departamento afetado 5 1 3

Solução: Cria um plano de alternativas para a continuidade operacional como contratação de terceiros temporariamente.

Segurança Lógica
Risco Grau 4 Prob. 2 Impacto 4 Causa

Não existe normas de autenticação de usuários.

Não responsabilização acesso indevido.

Solução: Criação de um domínio em plataforma Windows Server com autenticação de cada usuário que utilizara os recursos computacionais.

Risco A norma de aconselhamento atual, não corresponde as necessidades atuais.

Grau

Prob.

Impacto

Causa Falta de controle. Falta de padronização

3

2

3

Solução: Identificação das necessidades atuais e atualização da norma mantendo a mesma sempre atualizada com as diretrizes atuais

Outros Desastres
Risco Não existe seguro para todos os equipamentos do ambiente computacional contra fogo, desastre, danos por água e sabotagem Grau Prob. Impacto Causa Danificação sem ressarcimento dos equipamentos não segurados

1

2

3

Solução: Renovação ou criação do seguro dos equipamentos ou troca dos mesmos deixando para backup.

Comunicação de Dados
Risco Não existe uma política de analise do trafego de transações nos canais de comunicação Grau 2 Prob. 2 Impacto 2 Causa Indisponibilidade de recursos,atraso indevido da comunicação.

Solução: Desenvolver uma política de analise periódica do trafego através dos logs gravados no sistema.

Construção e Localização
Risco Grau 2 Prob. 2 Impacto 1 Causa

Alguns cabos não são devidamente identificados

Atraso na identificação do problema.

Solução: Efetuar a identificação dos cabos restantes e indentifica-los.

Pessoal da Informática
Risco A empresa não possui uma política de registros de descontentamento dos funcionários. Grau Prob. Impacto Causa Falta de controle da empresa referente ao ambiente dos funcionários. 2 1 2

Solução: Desenvolver junto ao recursos humanos uma documentação referente a sugestões do funcionário.

Melhoria Continua
Definição do PDCA como pratica da filosofia da empresa.  Utilização de ferramentas para inovação como brainstorming e painel de sugestões.  Definição de auditorias periódicas.  Atualização constante das documentações e processos de TI.

OBRIGADO!