SlideShare ist ein Scribd-Unternehmen logo

Análise de riscos TI

Als DOCX, PDF herunterladen
Anderson Zardo
Anderson Zardo

Este documento apresenta uma análise de riscos e uma mini-política de segurança da informação para uma empresa. Ele descreve dez riscos principais como níveis de privilégio elevados, softwares não homologados e demandas de infraestrutura sem envolvimento da área de TI. Além disso, fornece diretrizes para classificar informações e proteger a integridade, disponibilidade e confidencialidade dos dados. O objetivo é conscientizar os usuários sobre boas práticas de segurança e riscos potenciais.

Bildung
1 von 13
CONFECÇÃO DE UMA MINI-POLÍTICA DE SEGURANÇA DA INFORMAÇÃO / ANÁLISE DE RISCOS PROF. JOSÉ FERNANDO MARQUES WEEGE ALUNO: ANDERSON ZARDO CAXIAS DO SUL NOVEMBRO 2011
2 Avaliação de Grau B com peso 10. Requisito para conclusão da disciplina de Segurança da Informação – FTEC / Caxias do Sul
Índice 1 Sumário Executivo ....................................................................................... 5 2 Justificativa .................................................................................................. 5 3 Objetivos ...................................................................................................... 6 4 Classificação das Informações .................................................................... 6 4.1 Informações Públicas .................................................................................................... 6 4.2 Informações Internas .................................................................................................... 6 4.3 Informações Confidenciais ............................................................................................ 6 4.4 Informações Restritas ................................................................................................... 7 5 Os pilares da Segurança da Informação:..................................................... 7 5.1 Pilar da Integridade ....................................................................................................... 7 5.2 Pilar da Disponibilidade ................................................................................................. 7 5.3 Pilar da Confidencialidade ............................................................................................. 7 6 Riscos Identificados: .................................................................................... 8 6.1 Nível de privilégios elevado sem necessidade .............................................................. 8 6.1.1 Risco Vulnerável .................................................................................................... 8 6.1.2 Ameaça .................................................................................................................. 8 6.1.3 Ações para Mitigar os Riscos ................................................................................. 8 6.2 Versões de Software não homologadas para uso na companhia ................................. 8 6.2.1 Risco Vulnerável .................................................................................................... 8 6.2.2 Ameaça .................................................................................................................. 9 6.2.3 Ação para mitigar riscos ........................................................................................ 9 6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. ..... 9 6.3.1 Risco Vulnerável .................................................................................................... 9 6.3.2 Ameaça .................................................................................................................. 9 6.3.3 Ação para mitigar riscos ........................................................................................ 9 6.4 Formato de anexo do correio eletrônico não é restrito ............................................. 10 6.4.1 Risco Vulnerável .................................................................................................. 10 6.4.2 Ameaça ................................................................................................................ 10 6.4.3 Ação para mitigar riscos ...................................................................................... 10 6.5 Ativos de rede fora do período da garantia ................................................................ 10 6.5.1 Risco Vulnerável .................................................................................................. 10 6.5.2 Ameaça ................................................................................................................ 10 6.5.3 Ação para mitigar ................................................................................................ 10 6.6 Procedimentos não documentados ............................................................................ 11 3
6.6.1 Risco Vulnerável .................................................................................................. 11 6.6.2 Ameaça ................................................................................................................ 11 6.6.3 Ação para mitigar ................................................................................................ 11 6.7 A TI não é mencionada no processo de integração .................................................... 11 6.7.1 Risco vulnerável................................................................................................... 11 6.7.2 Ameaça ................................................................................................................ 11 6.7.3 Ação para mitigar ................................................................................................ 11 6.8 Datacenter em local inapropriado (umidade excessiva) ............................................. 11 6.8.1 Risco vulnerável................................................................................................... 11 6.8.2 Ameaça ................................................................................................................ 12 6.8.3 Ação para mitigar ................................................................................................ 12 6.9 Documentos impressos abandonados ou esquecidos ................................................ 12 6.9.1 Risco vulnerável................................................................................................... 12 6.9.2 Ameaça ................................................................................................................ 12 6.9.3 Ação para mitigar ................................................................................................ 12 6.10 Fuga de expertise ........................................................................................................ 12 6.10.1 Risco Vulnerável .................................................................................................. 12 6.10.2 Ameaça ................................................................................................................ 12 6.10.3 Ação para mitigar ................................................................................................ 12 7 Considerações finais.................................................................................. 13 4
1 Sumário Executivo A informação como qualquer outro ativo de grande valor, deve ser adequadamente utilizada e protegida contra as ameaças e riscos. A presente mini política de análise de riscos visa antes de tudo garantir a adoção de melhores práticas para lidar com as situações que foram selecionadas pela equipe de TI por representar uma potencial ameaça a Confiabilidade, Integridade e Disponibilidade da Informação, reduzindo-se os riscos que possam ocasionar prejuízostanto de ordem material/financeira quanto à reputação da organização. Na elaboração do presente documento, houve a preocupação de que os assuntos, métricas e casos aqui abordados fossem expostos com o maior nível de clareza possível, possibilitando até mesmo o entendimento por pessoal não familiarizado com as questões técnicas da Tecnologia da Informação, aplicando-se, portanto no desenvolvimento do trabalho diário dos usuários e profissionais de TI da companhia. A vigência da presente mini política se dará automaticamente à publicação da mesma, devendo todos os colaboradores firmar termo de ciência e concordância, atividade essa que ficará sobre responsabilidade do setor de recursos humanos, bem como demais colaboradores já vinculados à companhia e que fazem uso dos recursos de TI da companhia. O uso impróprio, bem como a não observância ou ainda, qualquer dificuldade imposta no intuito de dificultar o cumprimento das regras aqui tratadas implicarão em medidas disciplinares, como advertência por escrito, e no caso de reincidência, poderá implicar em desligamento do colaborador por justa-causa. A companhia, se assim desejar, pode fazer alterações na presente política, exclusivamente a partir da sua própria vontade, devendo a mesma estar disponível para consulta a qualquer tempo pelos colaboradores da companhia, passando a validar as alterações no momento da publicação da nova versão. 2 Justificativa A importância da presente Mini Política reside em tornar de conhecimento dos usuários e profissionais da área de Tecnologia da Informação os riscos aqui elencados e as ações para mitiga-los, tento em vista o potencial que cada um desses riscos tem de ameaçar a Confidencialidade, Disponibilidade e Integridade da informação.Somente tendo conhecimento das vulnerabilidades do ambiente que nos cerca é que podemos tomar precauções assertivas no intuito de prover segurança no ambiente de TI, mitigando riscos que ameaçam a solidez da Segurança da Informação como um todo. 5
3 Objetivos O objetivo do presente documento éauxiliar os profissionais e usuários dos recursos de TI a ter um entendimento dos riscos a que o seu ambiente está exposto, bem como propor estratégias para que as situações que favoreçam as ameaças em potencial que esses riscos proporcionam não ocorram. Procura-se também formalizar o compromisso da companhia com a proteção da informação, devendo, portanto, ser cumprida pelos colaboradores e por fim, fornecer diretrizes e melhore-práticas a serem seguidas, buscando uma compreensão e redução do potencial de dano atribuído aos riscos aqui elencados. 4 Classificação das Informações A Classificação das informações é feita de acordo com a sua relevância, grau de confidencialidade e criticidade para o negócio da companhia, sendo, em ordem crescente: Informações Públicas, Informações Internas, Informações Confidenciais e Informações Restritas. 4.1 Informações Públicas As informações oriundas de ambiente externo (sites externos, servidores externos, entre outras cuja hospedagem não é de responsabilidade da companhia) passam por filtros de conteúdo (antivírus, firewall, anti-spam e demais serviços que se julgar necessário), sendo o usuário que fez o login na estação onde esta sendo destinadas essas informações, responsável pelas mesmas. 4.2 Informações Internas Informações que dizem respeito apenas à companhia, não tendo qualquer valor, relevância ou aplicabilidade fora dela. São em geral, informações que não representam risco caso seja levado a conhecimento público. . 4.3 Informações Confidenciais São informações em caráter sigiloso, sendo portanto proibida a exposição das mesmas fora do ambiente da companhia, sob pena de acarretar sansões disciplinares ao responsável, como demissão por justa causa ou outra penalidade à critério do gestor imediato. Fazem parte desse grupo todas as informações que envolvem análises e 6
resultados da empresa nas suas áreas de negócio, bem como projeções destes resultados, projetos para lançamentos futuros, etc. 4.4 Informações Restritas São informações que estão disponíveis apenas para seu dono e/ou criador ou a um determinado grupo. Pode ser qualquer tipo de informação, desde que seu acesso esteja limitado apenas a determinado(s)colaboradores(s). A violação da restrição de acesso acarretará em medidas disciplinares. 5 Os pilares da Segurança da Informação: O avanço da tecnologia e das formas de comunicação e troca de informação nos possibilitam realizar as nossas tarefas com bastante praticidade, porém as brechas e precedentes para ocorrerem fuga destas informações também aumentaram consideravelmente. Por mais avançados que sejam as tecnologias, elas ainda dependem do fator humano para que possam ser usadas de maneira eficaz. Os pilares da informação tratados neste documento são: 5.1 Pilar da Integridade Um dado íntegro não necessariamente representa um dado que possua informações corretas. Um dado íntegro é o dado que quando foi resgatado, é idêntico ao mesmo dado no momento de sua armazenagem, não tendo ocorrido qualquer ação nesse intervalo que possa alterar as suas características. 5.2 Pilar da Disponibilidade Um dado deve estar disponível no exato momento em que for solicitado, ou seja, deve estar disponível a qualquer momento. Para isso, deve-se prover de qualquer recurso que torne isso possível, como por exemplo, links de acesso confiável, permissões de acesso, etc. 5.3 Pilar da Confidencialidade Um dado deve estar disponível apenas às pessoas ou grupos que tenham permissão para acessá-lo, sendo vetado o seu acesso aos demais. Um dado confidencial é disponível apenas a quem possui permissão para acessá-lo. 7
6 Riscos Identificados: Após a equipe de TI ter feito uma análise criteriosa das vulnerabilidades, ameaças e riscos presentes no ambiente da companhia, foi elaborada uma Matriz de Segurança, onde elencamos dez riscos em potencial e os descreveremos abaixo: 6.1 Nível de privilégios elevado sem necessidade Esta situação relata o caso em que um usuário possui permissões para realizar alterações nas características de sua estação de trabalho, bem como permissão de acesso a arquivos e documentos, sem que haja necessidade destes privilégios para que o colaborador possa desempenhar corretamente o seu trabalho. 6.1.1 Risco Vulnerável Informações de cunho confidencial e estabilidade do sistema como um todo 6.1.2 Ameaça Acesso a informações confidenciais e alterações em configurações que comprometam a estabilidade e segurança do sistema. Poderá ocorrer vazamento de informações, bem como comprometimento da estabilidade, causando prejuízos a integridade do sistema devido a ação de programas maliciosos e outras ameaças. 6.1.3 Ações para Mitigar os Riscos Devem ser revisados os acessos e permissões do usuário, de modo que todos devem ter o de permissão mínimo necessário para desempenho de suas atividades. Dessa forma, evita-se o comprometimento da estabilidade do sistema, que impacta na produtividade do usuário, bem com riscos de acesso sem permissão a dados confidenciais, bem como a ameaça que isso representa no vazamento dessas informações. 6.2 Versões de Software não homologadas para uso na companhia Todos os softwares oficialmente utilizados pela empresa passam por um período de testes para prevenir problemas como incompatibilidade com outros softwares já estabelecidos ou defeitos (bugs) que possam impactar na produtividade devido às panes que possam a vir ocorrer no sistema operacional. 6.2.1 Risco Vulnerável Sistemas Operacionais e aplicativos 8
6.2.2 Ameaça Softwares que não passam por um período de homologação estão em desacordo, pondo em risco a integridade do sistema operacional e demais aplicativos. Panes que ocorrerem pode impactar em perda de produtividade e/ou corrupção de dados, causando prejuízos. 6.2.3 Ação para mitigar riscos Realizar inventário de softwares através de ferramenta apropriada, devendo essa,levantar informações como nome, fabricante e versão, devendo esses dados, portantocoincidir com as versões liberadas para uso pelos usuários da companhia. Impedir a livre instalação de programas através de ferramentas de controle e permissões de acesso do Sistema Operacional ou outra forma de controle. 6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. Demandas que envolvem instalação e/ou ampliação de infraestrutura de rede, elétrica ou equipamentos devem ser solicitadas ao setor competente da TI, que irá proceder com a solicitação ou selecionar fornecedores que sejam capazes de fazê-lo, caso não haja recursos internos para tal. Ao setor competente de TI, portanto, cabe a responsabilidadede negociar aspectos técnicos, observando o cumprimento das normas e boas práticas, cabendo ao setor solicitante autorizar ou não a execução após a apresentação da proposta formal pela TI. 6.3.1 Risco Vulnerável Infraestrutura de rede, elétrica e equipamentos que dão apoio ao funcionamento dos ativos de TI da companhia. 6.3.2 Ameaça Não cumprimento das normas e boas práticas para este tipo de projeto, podendo ocasionar instabilidades no funcionamento dos ativos. Expansão fora do controle e não documentada acaba ocasionando também lentidão na resolução de problemas caso eles ocorram, pois ficará cada vez mais difícil identificar a causa. 6.3.3 Ação para mitigar riscos Deve-se buscar um apoio da alta-administração da companhia no intuito de não autorizar modificações na infraestrutura sem o laudo da ti. Toda e qualquer modificação na infraestrutura deve seguir o fluxo: Solicitação ao setor competente da TI > Avaliação técnica inicial > Execução do trabalho (no caso de se tratar de serviço possível de ser executado internamente) > Encerramento. Caso contrário, o fluxo é este: Solicitação ao setor competente da TI > Avaliação técnica inicial > Contratação de terceiro para elaboração de projeto e orçamento junto a TI> Aprovação por parte do setor solicitante > Encerramento. 9
6.4 Formato de anexo do correio eletrônico não é restrito Devemos ter ciência de que determinados arquivos recebidos por e-mail podem possuir conteúdo malicioso, podendo causar transtornos ao usuário e a companhia. A restrição destes formatos visa além de garantir a segurança, coibir o uso da ferramenta de e-mail para propagação de mensagens que não tenham relação com os interesses da companhia, impactando nodesempenho e nos recursos dos ativos que sustentam a ferramenta. 6.4.1 Risco Vulnerável Desempenho da ferramenta de correio eletrônico e integridade do sistema operacional e aplicativos das estações e servidores. 6.4.2 Ameaça Anexos maliciosos de determinados formatos enviados por e- mails maliciosos podem conter malwares e outras ameaças com potencial de causar danos à integridade dos sistemas e dados da companhia. Pode ocorrer também sobrecarga dos recursos devido ao fluxo de informação que não têm a ver com as atividades da companhia residentes em anexos como, por exemplo, formatos de arquivo de música, foto e vídeo ou formatos de apresentação do Microsoft Power Point. 6.4.3 Ação para mitigar riscos Usar Filtros e controles que previnem determinados formatos de circularem por e-mail, bem como fazer uso de ferramentas (Antivírus, etc.) que analisem o conteúdo anexo do e-mail a procura de ameaças. 6.5 Ativos de rede fora do período da garantia Ativos de rede que não estão cobertos pela garantia do fabricante podem apresentar problemas de estabilidade por questões de desgaste natural, entre outros. 6.5.1 Risco Vulnerável Redes de computadores e demais serviços e recursos apoiados por ela. 6.5.2 Ameaça Ao acontecer um evento de falha, haverá prejuízo e demora no reestabelecimento do serviço, pois deverão ser obedecidos fluxos internos que são necessários para aquisição de equipamento substituto ou peças de reposição. 6.5.3 Ação para mitigar Buscar acordo com os fabricantes para ampliação e, quando for o caso, renovação do período de garantia dos equipamentos. Desenvolver uma política de obsolescência programada (ajuda na previsão de gastos com equipamentos). 10
6.6 Procedimentos não documentados A eficiência com que os serviços são prestadosmuito se deve ao fato de os processos para realizar determinadas tarefas estarem documentados, de modo que a realização das tarefas seguindo as orientações destes procedimentos é altamente recomendado. 6.6.1 Risco Vulnerável Eficiência dos serviços de suporte da TI. 6.6.2 Ameaça Demora na execução de tarefas pelo desconhecimento da prática dos procedimentos, bem como a falta de garantia de que os procedimentos e o serviço sejam realizadoscorretamente. 6.6.3 Ação para mitigar Criar documentação de procedimentos com aprovação da gerência da área de TI, instruindo com clareza e exatidão os processos tratados, de modo que possa auxiliar na execução de tarefas a melhor maneira possível. 6.7 A TI não é mencionada no processo de integração Ao se contratar novos colaboradores, deve-se dar a devida importância de que eles estejam cientes da correta utilização dos serviços da TI, seus direitos e deveres como utilizador dos recursos, prevenindo assim problemas futuros. 6.7.1 Risco vulnerável Integridade e eficiência dos ativos e recursos da infraestrutura e sistemas de informação 6.7.2 Ameaça Consiste em uma ameaça deste caso o uso de ativos para fins que não representam interesse da organização, alocando recursos que poderiam estar sendo usados para o interesse da companhia. 6.7.3 Ação para mitigar Desenvolver as políticas, sempre envolvendo a gerência e a área de recursos humanos (colaborador toma conhecimento ao entrar na empresa), manter as normas e informações a esse respeito sempre acessível a qualquer tempo. 6.8 Datacenter em local inapropriado (umidade excessiva) O correto funcionamento de toda a estrutura de serviços da TI se deve à localização dos ativos de TI em local apropriado, livre de acesso externo de pessoal não autorizado e não estando sujeito a condições adversas de clima, vibrações e etc. 6.8.1 Risco vulnerável Ativos e informações 11
6.8.2 Ameaça Neste caso em específico, o elevado grau de umidade pode causar oxidação dos contatos elétricos e mecânicos dos ativos de rede, bem como demais avarias que podem interferir no correto funcionamento dos equipamentos. 6.8.3 Ação para mitigar Instalar condicionadores de ar que atenuem o problema, ou mesmo migrar a estrutura para um novo local caso o problema não seja possível de contornar ou os custos de adequação sejam acima do projeto de um novo local. 6.9 Documentos impressos abandonados ou esquecidos Impressos não resgatados no momento de sua impressão poderão conter informações de caráter sigiloso, portanto não autorizado seu conhecimento por outros colaboradores que não sejam o seu proprietário/criador, além de causar acúmulo de papel e desperdício. 6.9.1 Risco vulnerável Informações confidenciais, que podem representar vazamento se o seu destino for desviado. 6.9.2 Ameaça Revelação de informações confidenciais da companhia, seus projetos, previsões futuras, dados contábeis e outras informações dessa monta. 6.9.3 Ação para mitigar Instalar controle de cópia e impressão, de modo que a impressão seja liberada apenas quando o solicitante estiver próximo ao local onde a impressora se encontra e liberou o trabalho de impressão através de autenticação (biométrica ou por chave numérica). 6.10 Fuga de expertise O conhecimento deve estar acessível a todos a qualquer hora, não sendo propriedade ou exclusividade de um determinado profissional. 6.10.1 Risco Vulnerável Colaboradores chave para uma determinada tarefa ou conhecedores de um determinado processo podem vir a deixar a companhia ou mesmo podem estar inacessíveis por um período de tempo (férias, adoecimento, motivo de força maior, etc...). 6.10.2 Ameaça Dificuldade na execução de processos e perda de conhecimento. 6.10.3 Ação para mitigar Elencar todos os procedimentos essências a manutenção do ambiente e exigir a documentação dos procedimentos. Deve-se também 12
treinar outro profissional (de preferência de uma área afim) para que esse possa vir a suprir a demanda caso houver necessidade. 7 Considerações finais Acreditamos que este documento pode contribuir para criarmos um ambiente onde a eficiência e o respeito predomine, auxiliando à companhia na obtenção dos resultados almejados da melhor maneira possível. 13

Empfohlen

Certificação Digital : Uma Nova Era de Segurança Eletrônica
Certificação Digital : Uma Nova Era de Segurança EletrônicaCertificação Digital : Uma Nova Era de Segurança Eletrônica
Certificação Digital : Uma Nova Era de Segurança Eletrônicaluizrbs
 
SISCOSERV - 2ª Edição - IOB e-Store
SISCOSERV - 2ª Edição - IOB e-StoreSISCOSERV - 2ª Edição - IOB e-Store
SISCOSERV - 2ª Edição - IOB e-StoreIOB News
 
Bd apost
Bd apostBd apost
Bd apostBerenildoFelix
 
Ficha técnica automatos service management
Ficha técnica automatos service managementFicha técnica automatos service management
Ficha técnica automatos service managementhosanafj
 
Apostila treinamento básico
Apostila treinamento básicoApostila treinamento básico
Apostila treinamento básicoconfidencial
 
Apendice I - Resolução 115 da ANAC
Apendice I - Resolução 115 da ANACApendice I - Resolução 115 da ANAC
Apendice I - Resolução 115 da ANACEvertonhpn
 
SEI | CADE Sem Papel | Manual de Uso
SEI | CADE Sem Papel | Manual de UsoSEI | CADE Sem Papel | Manual de Uso
SEI | CADE Sem Papel | Manual de UsoColaborativismo
 
SEI | Procedimento Operacional Padrão
SEI | Procedimento Operacional PadrãoSEI | Procedimento Operacional Padrão
SEI | Procedimento Operacional PadrãoColaborativismo
 

Empfohlen

Certificação Digital : Uma Nova Era de Segurança Eletrônica
Certificação Digital : Uma Nova Era de Segurança EletrônicaCertificação Digital : Uma Nova Era de Segurança Eletrônica
Certificação Digital : Uma Nova Era de Segurança Eletrônicaluizrbs
 
SISCOSERV - 2ª Edição - IOB e-Store
SISCOSERV - 2ª Edição - IOB e-StoreSISCOSERV - 2ª Edição - IOB e-Store
SISCOSERV - 2ª Edição - IOB e-StoreIOB News
 
Bd apost
Bd apostBd apost
Bd apostBerenildoFelix
 
Ficha técnica automatos service management
Ficha técnica automatos service managementFicha técnica automatos service management
Ficha técnica automatos service managementhosanafj
 
Apostila treinamento básico
Apostila treinamento básicoApostila treinamento básico
Apostila treinamento básicoconfidencial
 
Apendice I - Resolução 115 da ANAC
Apendice I - Resolução 115 da ANACApendice I - Resolução 115 da ANAC
Apendice I - Resolução 115 da ANACEvertonhpn
 
SEI | CADE Sem Papel | Manual de Uso
SEI | CADE Sem Papel | Manual de UsoSEI | CADE Sem Papel | Manual de Uso
SEI | CADE Sem Papel | Manual de UsoColaborativismo
 
SEI | Procedimento Operacional Padrão
SEI | Procedimento Operacional PadrãoSEI | Procedimento Operacional Padrão
SEI | Procedimento Operacional PadrãoColaborativismo
 
Apostila completa de project 2007
Apostila completa de project 2007Apostila completa de project 2007
Apostila completa de project 2007dudubranco
 
Marcos_Antonio_V_Oliveira_TCC_Apr_Final
Marcos_Antonio_V_Oliveira_TCC_Apr_FinalMarcos_Antonio_V_Oliveira_TCC_Apr_Final
Marcos_Antonio_V_Oliveira_TCC_Apr_FinalMarcos Ventura
 
131444591 97430634-apostila-468-zabbix
131444591 97430634-apostila-468-zabbix131444591 97430634-apostila-468-zabbix
131444591 97430634-apostila-468-zabbixRodrigo Souza
 
Versão definitiva maria do carmo ramires
Versão definitiva maria do carmo ramiresVersão definitiva maria do carmo ramires
Versão definitiva maria do carmo ramiresmcarmo1978
 
Apostila de informática básica - PRONATEC
Apostila de informática básica - PRONATECApostila de informática básica - PRONATEC
Apostila de informática básica - PRONATECMatheus Alves
 
Apostila tre.rs2014 administracao_ravazolo(1)
Apostila tre.rs2014 administracao_ravazolo(1)Apostila tre.rs2014 administracao_ravazolo(1)
Apostila tre.rs2014 administracao_ravazolo(1)Fernando Macedo
 
Requisitos De Sistema (Aurus)
Requisitos De Sistema (Aurus)Requisitos De Sistema (Aurus)
Requisitos De Sistema (Aurus)Robson Silva Espig
 
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOSLIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOSOs Fantasmas !
 
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃOLIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃOOs Fantasmas !
 
01 introducao(3)
01 introducao(3)01 introducao(3)
01 introducao(3)Alan Scher
 
Formas 02-modelador estrutural
Formas 02-modelador estruturalFormas 02-modelador estrutural
Formas 02-modelador estruturalAnderson Ricardo Cunha
 
Manual sisprenatal
Manual sisprenatalManual sisprenatal
Manual sisprenatalMANOEL MESSIAS SANTOS SILVA
 
Access avançado
Access avançadoAccess avançado
Access avançadoAgnaldo Jardel Trennepohl
 
Plano de saneamento básico de itatiba do sul
Plano de saneamento básico de itatiba do sulPlano de saneamento básico de itatiba do sul
Plano de saneamento básico de itatiba do sulIvonir Santolin
 
Manual getic 23-out_09
Manual getic 23-out_09Manual getic 23-out_09
Manual getic 23-out_09Patrícia Eusébio
 
Curso De Acess
Curso De AcessCurso De Acess
Curso De Acessantonio correia leite junior
 
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃOLIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃOOs Fantasmas !
 
Administração de Sistema Unix
Administração de Sistema UnixAdministração de Sistema Unix
Administração de Sistema Unixelliando dias
 
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAISLIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAISOs Fantasmas !
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TIEberson Pereira
 

Weitere ähnliche Inhalte

Was ist angesagt?

Apostila completa de project 2007
Apostila completa de project 2007Apostila completa de project 2007
Apostila completa de project 2007dudubranco
 
Marcos_Antonio_V_Oliveira_TCC_Apr_Final
Marcos_Antonio_V_Oliveira_TCC_Apr_FinalMarcos_Antonio_V_Oliveira_TCC_Apr_Final
Marcos_Antonio_V_Oliveira_TCC_Apr_FinalMarcos Ventura
 
131444591 97430634-apostila-468-zabbix
131444591 97430634-apostila-468-zabbix131444591 97430634-apostila-468-zabbix
131444591 97430634-apostila-468-zabbixRodrigo Souza
 
Versão definitiva maria do carmo ramires
Versão definitiva maria do carmo ramiresVersão definitiva maria do carmo ramires
Versão definitiva maria do carmo ramiresmcarmo1978
 
Apostila de informática básica - PRONATEC
Apostila de informática básica - PRONATECApostila de informática básica - PRONATEC
Apostila de informática básica - PRONATECMatheus Alves
 
Apostila tre.rs2014 administracao_ravazolo(1)
Apostila tre.rs2014 administracao_ravazolo(1)Apostila tre.rs2014 administracao_ravazolo(1)
Apostila tre.rs2014 administracao_ravazolo(1)Fernando Macedo
 
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOSLIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOSOs Fantasmas !
 
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃOLIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃOOs Fantasmas !
 
01 introducao(3)
01 introducao(3)01 introducao(3)
01 introducao(3)Alan Scher
 
Plano de saneamento básico de itatiba do sul
Plano de saneamento básico de itatiba do sulPlano de saneamento básico de itatiba do sul
Plano de saneamento básico de itatiba do sulIvonir Santolin
 
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃOLIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃOOs Fantasmas !
 
Administração de Sistema Unix
Administração de Sistema UnixAdministração de Sistema Unix
Administração de Sistema Unixelliando dias
 
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAISLIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAISOs Fantasmas !
 

Was ist angesagt? (19)

Apostila completa de project 2007
Apostila completa de project 2007Apostila completa de project 2007
Apostila completa de project 2007
 
Marcos_Antonio_V_Oliveira_TCC_Apr_Final
Marcos_Antonio_V_Oliveira_TCC_Apr_FinalMarcos_Antonio_V_Oliveira_TCC_Apr_Final
Marcos_Antonio_V_Oliveira_TCC_Apr_Final
 
131444591 97430634-apostila-468-zabbix
131444591 97430634-apostila-468-zabbix131444591 97430634-apostila-468-zabbix
131444591 97430634-apostila-468-zabbix
 
Versão definitiva maria do carmo ramires
Versão definitiva maria do carmo ramiresVersão definitiva maria do carmo ramires
Versão definitiva maria do carmo ramires
 
Apostila de informática básica - PRONATEC
Apostila de informática básica - PRONATECApostila de informática básica - PRONATEC
Apostila de informática básica - PRONATEC
 
Apostila tre.rs2014 administracao_ravazolo(1)
Apostila tre.rs2014 administracao_ravazolo(1)Apostila tre.rs2014 administracao_ravazolo(1)
Apostila tre.rs2014 administracao_ravazolo(1)
 
Requisitos De Sistema (Aurus)
Requisitos De Sistema (Aurus)Requisitos De Sistema (Aurus)
Requisitos De Sistema (Aurus)
 
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOSLIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
LIVRO PROPRIETÁRIO - MODELAGEM DE DADOS
 
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃOLIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
LIVRO PROPRIETÁRIO - TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
 
01 introducao(3)
01 introducao(3)01 introducao(3)
01 introducao(3)
 
Formas 02-modelador estrutural
Formas 02-modelador estruturalFormas 02-modelador estrutural
Formas 02-modelador estrutural
 
Manual sisprenatal
Manual sisprenatalManual sisprenatal
Manual sisprenatal
 
Access avançado
Access avançadoAccess avançado
Access avançado
 
Plano de saneamento básico de itatiba do sul
Plano de saneamento básico de itatiba do sulPlano de saneamento básico de itatiba do sul
Plano de saneamento básico de itatiba do sul
 
Manual getic 23-out_09
Manual getic 23-out_09Manual getic 23-out_09
Manual getic 23-out_09
 
Curso De Acess
Curso De AcessCurso De Acess
Curso De Acess
 
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃOLIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
LIVRO PROPRIETÁRIO - FUNDAMENTOS DE SISTEMA DA INFORMAÇÃO
 
Administração de Sistema Unix
Administração de Sistema UnixAdministração de Sistema Unix
Administração de Sistema Unix
 
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAISLIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
LIVRO PROPRIETÁRIO - SISTEMAS OPERACIONAIS
 

Andere mochten auch

Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TIEberson Pereira
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 

Andere mochten auch (6)

Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 

Ähnlich wie Análise de riscos TI

Plano segurancasaude
Plano segurancasaudePlano segurancasaude
Plano segurancasaudeglauciaseg
 
Apendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANACApendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANACEvertonhpn
 
Apendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANACApendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANACEvertonhpn
 
Modelo de avaliação da qualidade creche
Modelo de avaliação da qualidade crecheModelo de avaliação da qualidade creche
Modelo de avaliação da qualidade crechelaruzinha
 
Metodologia de pesquisa (Elaboração de artigos cientifícos)
Metodologia de pesquisa (Elaboração de artigos cientifícos)Metodologia de pesquisa (Elaboração de artigos cientifícos)
Metodologia de pesquisa (Elaboração de artigos cientifícos)Brendel Luis
 
Relatório Pestana Porto Santo Eduardo Duarte
Relatório Pestana Porto Santo Eduardo DuarteRelatório Pestana Porto Santo Eduardo Duarte
Relatório Pestana Porto Santo Eduardo DuarteED Consulting
 
Computação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de SegurançaComputação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de SegurançaFrancielle Regeane Vieira da Silva
 
Computação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de SegurançaComputação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de SegurançaFrancielle Regeane Vieira da Silva
 
Caderno ssma
Caderno ssma Caderno ssma
Caderno ssma bia139
 
Caderno SSMA
Caderno SSMA Caderno SSMA
Caderno SSMA bia139
 
Manual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-Store
Manual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-StoreManual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-Store
Manual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-StoreIOB News
 
Apostila ms project 2007
Apostila ms project 2007Apostila ms project 2007
Apostila ms project 2007Renan Miranda
 
Controladoria para Gestão Empresarial - IOB e-Store
Controladoria para Gestão Empresarial - IOB e-StoreControladoria para Gestão Empresarial - IOB e-Store
Controladoria para Gestão Empresarial - IOB e-StoreIOB News
 

Ähnlich wie Análise de riscos TI (20)

Plano segurancasaude
Plano segurancasaudePlano segurancasaude
Plano segurancasaude
 
Gqrs apoio domiciliario_modelo_avaliação
Gqrs apoio domiciliario_modelo_avaliaçãoGqrs apoio domiciliario_modelo_avaliação
Gqrs apoio domiciliario_modelo_avaliação
 
Apendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANACApendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANAC
 
Apendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANACApendice I - Resolução 115 - ANAC
Apendice I - Resolução 115 - ANAC
 
Modelo de avaliação da qualidade creche
Modelo de avaliação da qualidade crecheModelo de avaliação da qualidade creche
Modelo de avaliação da qualidade creche
 
Metodologia de pesquisa (Elaboração de artigos cientifícos)
Metodologia de pesquisa (Elaboração de artigos cientifícos)Metodologia de pesquisa (Elaboração de artigos cientifícos)
Metodologia de pesquisa (Elaboração de artigos cientifícos)
 
Relatório Pestana Porto Santo Eduardo Duarte
Relatório Pestana Porto Santo Eduardo DuarteRelatório Pestana Porto Santo Eduardo Duarte
Relatório Pestana Porto Santo Eduardo Duarte
 
Pca
PcaPca
Pca
 
Computação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de SegurançaComputação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de Segurança
 
Computação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de SegurançaComputação Forense Aplicada à Resposta de Incidentes de Segurança
Computação Forense Aplicada à Resposta de Incidentes de Segurança
 
Caderno ssma
Caderno ssma Caderno ssma
Caderno ssma
 
Caderno SSMA
Caderno SSMA Caderno SSMA
Caderno SSMA
 
Banco de dados i
Banco de dados iBanco de dados i
Banco de dados i
 
Guia de estudo 101 completo
Guia de estudo 101 completoGuia de estudo 101 completo
Guia de estudo 101 completo
 
Manual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-Store
Manual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-StoreManual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-Store
Manual Prático das Obrigações Acessórias Junto ao Fisco Federal - IOB e-Store
 
Apostila ms project 2007
Apostila ms project 2007Apostila ms project 2007
Apostila ms project 2007
 
Controladoria para Gestão Empresarial - IOB e-Store
Controladoria para Gestão Empresarial - IOB e-StoreControladoria para Gestão Empresarial - IOB e-Store
Controladoria para Gestão Empresarial - IOB e-Store
 
ISO IEC 17799
ISO IEC 17799ISO IEC 17799
ISO IEC 17799
 
Access 2007 basico
Access 2007 basicoAccess 2007 basico
Access 2007 basico
 
64805565 access-basico
64805565 access-basico64805565 access-basico
64805565 access-basico
 

Mehr von Anderson Zardo

VLAN - Conceitos Básicos
VLAN - Conceitos BásicosVLAN - Conceitos Básicos
VLAN - Conceitos BásicosAnderson Zardo
 
Gerenciamento da disponibilidade itil
Gerenciamento da disponibilidade itilGerenciamento da disponibilidade itil
Gerenciamento da disponibilidade itilAnderson Zardo
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
Manual de consulta rápido de PL/SQL
Manual de consulta rápido de PL/SQLManual de consulta rápido de PL/SQL
Manual de consulta rápido de PL/SQLAnderson Zardo
 
Trabalho tolerância a falhas e recuperação de desastres
Trabalho tolerância a falhas e recuperação de desastresTrabalho tolerância a falhas e recuperação de desastres
Trabalho tolerância a falhas e recuperação de desastresAnderson Zardo
 
Trabalho de gerenciamento de usuários
Trabalho de gerenciamento de usuáriosTrabalho de gerenciamento de usuários
Trabalho de gerenciamento de usuáriosAnderson Zardo
 
Software proprietário e livre
Software proprietário e livreSoftware proprietário e livre
Software proprietário e livreAnderson Zardo
 
Sistemas especialistas
Sistemas especialistasSistemas especialistas
Sistemas especialistasAnderson Zardo
 
Fibra ótica cabeamento estruturado
Fibra ótica cabeamento estruturadoFibra ótica cabeamento estruturado
Fibra ótica cabeamento estruturadoAnderson Zardo
 
Aspectos positivos e negativos da virtualizaçã1
Aspectos positivos e negativos da virtualizaçã1Aspectos positivos e negativos da virtualizaçã1
Aspectos positivos e negativos da virtualizaçã1Anderson Zardo
 
Artigo o mundo inspirado por julio verne
Artigo o mundo inspirado por julio verneArtigo o mundo inspirado por julio verne
Artigo o mundo inspirado por julio verneAnderson Zardo
 
Anderson zardo principais componentes do cabeamento estruturado
Anderson zardo principais componentes do cabeamento estruturadoAnderson zardo principais componentes do cabeamento estruturado
Anderson zardo principais componentes do cabeamento estruturadoAnderson Zardo
 
Anderson zardo artigo sub-sistemas do cabeamento estruturado - cópia
Anderson zardo artigo sub-sistemas do cabeamento estruturado - cópiaAnderson zardo artigo sub-sistemas do cabeamento estruturado - cópia
Anderson zardo artigo sub-sistemas do cabeamento estruturado - cópiaAnderson Zardo
 
Anderson zardo artigo sobre cabeamento estruturado
Anderson zardo artigo sobre cabeamento estruturadoAnderson zardo artigo sobre cabeamento estruturado
Anderson zardo artigo sobre cabeamento estruturadoAnderson Zardo
 
Anderson zardo artigo fibra ótica no cabeamento estruturado
Anderson zardo artigo fibra ótica no cabeamento estruturadoAnderson zardo artigo fibra ótica no cabeamento estruturado
Anderson zardo artigo fibra ótica no cabeamento estruturadoAnderson Zardo
 
Trabalho windows x linux
Trabalho windows x linuxTrabalho windows x linux
Trabalho windows x linuxAnderson Zardo
 

Mehr von Anderson Zardo (20)

VLAN - Conceitos Básicos
VLAN - Conceitos BásicosVLAN - Conceitos Básicos
VLAN - Conceitos Básicos
 
Balanced Scorecard
Balanced ScorecardBalanced Scorecard
Balanced Scorecard
 
Gerenciamento da disponibilidade itil
Gerenciamento da disponibilidade itilGerenciamento da disponibilidade itil
Gerenciamento da disponibilidade itil
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
 
Manual de consulta rápido de PL/SQL
Manual de consulta rápido de PL/SQLManual de consulta rápido de PL/SQL
Manual de consulta rápido de PL/SQL
 
Trabalho frame relay
Trabalho frame relayTrabalho frame relay
Trabalho frame relay
 
Trabalho tolerância a falhas e recuperação de desastres
Trabalho tolerância a falhas e recuperação de desastresTrabalho tolerância a falhas e recuperação de desastres
Trabalho tolerância a falhas e recuperação de desastres
 
Trabalho de gerenciamento de usuários
Trabalho de gerenciamento de usuáriosTrabalho de gerenciamento de usuários
Trabalho de gerenciamento de usuários
 
Trabalho acl
Trabalho aclTrabalho acl
Trabalho acl
 
Software proprietário e livre
Software proprietário e livreSoftware proprietário e livre
Software proprietário e livre
 
Sistemas especialistas
Sistemas especialistasSistemas especialistas
Sistemas especialistas
 
Resumo transistor
Resumo transistorResumo transistor
Resumo transistor
 
Fibra ótica cabeamento estruturado
Fibra ótica cabeamento estruturadoFibra ótica cabeamento estruturado
Fibra ótica cabeamento estruturado
 
Aspectos positivos e negativos da virtualizaçã1
Aspectos positivos e negativos da virtualizaçã1Aspectos positivos e negativos da virtualizaçã1
Aspectos positivos e negativos da virtualizaçã1
 
Artigo o mundo inspirado por julio verne
Artigo o mundo inspirado por julio verneArtigo o mundo inspirado por julio verne
Artigo o mundo inspirado por julio verne
 
Anderson zardo principais componentes do cabeamento estruturado
Anderson zardo principais componentes do cabeamento estruturadoAnderson zardo principais componentes do cabeamento estruturado
Anderson zardo principais componentes do cabeamento estruturado
 
Anderson zardo artigo sub-sistemas do cabeamento estruturado - cópia
Anderson zardo artigo sub-sistemas do cabeamento estruturado - cópiaAnderson zardo artigo sub-sistemas do cabeamento estruturado - cópia
Anderson zardo artigo sub-sistemas do cabeamento estruturado - cópia
 
Anderson zardo artigo sobre cabeamento estruturado
Anderson zardo artigo sobre cabeamento estruturadoAnderson zardo artigo sobre cabeamento estruturado
Anderson zardo artigo sobre cabeamento estruturado
 
Anderson zardo artigo fibra ótica no cabeamento estruturado
Anderson zardo artigo fibra ótica no cabeamento estruturadoAnderson zardo artigo fibra ótica no cabeamento estruturado
Anderson zardo artigo fibra ótica no cabeamento estruturado
 
Trabalho windows x linux
Trabalho windows x linuxTrabalho windows x linux
Trabalho windows x linux
 

Kürzlich hochgeladen

Discurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptxDiscurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptxferreirapriscilla84
 
Slides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptxSlides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptxMauricioOliveira258223
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfTutor de matemática Ícaro
 
SLIDE DE Revolução Mexicana 1910 da disciplina cultura espanhola
SLIDE DE Revolução Mexicana 1910 da disciplina cultura espanholaSLIDE DE Revolução Mexicana 1910 da disciplina cultura espanhola
SLIDE DE Revolução Mexicana 1910 da disciplina cultura espanholacleanelima11
 
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfReta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfWagnerCamposCEA
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESCOMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESEduardaReis50
 
planejamento_estrategico_-_gestao_2021-2024_16015654.pdf
planejamento_estrategico_-_gestao_2021-2024_16015654.pdfplanejamento_estrategico_-_gestao_2021-2024_16015654.pdf
planejamento_estrategico_-_gestao_2021-2024_16015654.pdfmaurocesarpaesalmeid
 
FASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃO
FASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃOFASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃO
FASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃOAulasgravadas3
 
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdfENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdfLeloIurk1
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdfLeloIurk1
 
Introdução a Caminhada do Interior......
Introdução a Caminhada do Interior......Introdução a Caminhada do Interior......
Introdução a Caminhada do Interior......suporte24hcamin
 
Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Ilda Bicacro
 
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfPRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfprofesfrancleite
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfEmanuel Pio
 
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....LuizHenriquedeAlmeid6
 
BNCC Geografia.docx objeto de conhecimento
BNCC Geografia.docx objeto de conhecimentoBNCC Geografia.docx objeto de conhecimento
BNCC Geografia.docx objeto de conhecimentoGentil Eronides
 
Araribá slides 9ano.pdf para os alunos do medio
Araribá slides 9ano.pdf para os alunos do medioAraribá slides 9ano.pdf para os alunos do medio
Araribá slides 9ano.pdf para os alunos do medioDomingasMariaRomao
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...Rosalina Simão Nunes
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Mary Alvarenga
 

Kürzlich hochgeladen (20)

Discurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptxDiscurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptx
 
Slides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptxSlides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptx
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
 
SLIDE DE Revolução Mexicana 1910 da disciplina cultura espanhola
SLIDE DE Revolução Mexicana 1910 da disciplina cultura espanholaSLIDE DE Revolução Mexicana 1910 da disciplina cultura espanhola
SLIDE DE Revolução Mexicana 1910 da disciplina cultura espanhola
 
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfReta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESCOMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
 
planejamento_estrategico_-_gestao_2021-2024_16015654.pdf
planejamento_estrategico_-_gestao_2021-2024_16015654.pdfplanejamento_estrategico_-_gestao_2021-2024_16015654.pdf
planejamento_estrategico_-_gestao_2021-2024_16015654.pdf
 
FASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃO
FASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃOFASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃO
FASE 1 MÉTODO LUMA E PONTO. TUDO SOBRE REDAÇÃO
 
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdfENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
 
Introdução a Caminhada do Interior......
Introdução a Caminhada do Interior......Introdução a Caminhada do Interior......
Introdução a Caminhada do Interior......
 
Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"Nós Propomos! " Pinhais limpos, mundo saudável"
Nós Propomos! " Pinhais limpos, mundo saudável"
 
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfPRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdf
 
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
 
BNCC Geografia.docx objeto de conhecimento
BNCC Geografia.docx objeto de conhecimentoBNCC Geografia.docx objeto de conhecimento
BNCC Geografia.docx objeto de conhecimento
 
Araribá slides 9ano.pdf para os alunos do medio
Araribá slides 9ano.pdf para os alunos do medioAraribá slides 9ano.pdf para os alunos do medio
Araribá slides 9ano.pdf para os alunos do medio
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.
 

Análise de riscos TI

  • 1. CONFECÇÃO DE UMA MINI-POLÍTICA DE SEGURANÇA DA INFORMAÇÃO / ANÁLISE DE RISCOS PROF. JOSÉ FERNANDO MARQUES WEEGE ALUNO: ANDERSON ZARDO CAXIAS DO SUL NOVEMBRO 2011
  • 2. 2 Avaliação de Grau B com peso 10. Requisito para conclusão da disciplina de Segurança da Informação – FTEC / Caxias do Sul
  • 3. Índice 1 Sumário Executivo ....................................................................................... 5 2 Justificativa .................................................................................................. 5 3 Objetivos ...................................................................................................... 6 4 Classificação das Informações .................................................................... 6 4.1 Informações Públicas .................................................................................................... 6 4.2 Informações Internas .................................................................................................... 6 4.3 Informações Confidenciais ............................................................................................ 6 4.4 Informações Restritas ................................................................................................... 7 5 Os pilares da Segurança da Informação:..................................................... 7 5.1 Pilar da Integridade ....................................................................................................... 7 5.2 Pilar da Disponibilidade ................................................................................................. 7 5.3 Pilar da Confidencialidade ............................................................................................. 7 6 Riscos Identificados: .................................................................................... 8 6.1 Nível de privilégios elevado sem necessidade .............................................................. 8 6.1.1 Risco Vulnerável .................................................................................................... 8 6.1.2 Ameaça .................................................................................................................. 8 6.1.3 Ações para Mitigar os Riscos ................................................................................. 8 6.2 Versões de Software não homologadas para uso na companhia ................................. 8 6.2.1 Risco Vulnerável .................................................................................................... 8 6.2.2 Ameaça .................................................................................................................. 9 6.2.3 Ação para mitigar riscos ........................................................................................ 9 6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. ..... 9 6.3.1 Risco Vulnerável .................................................................................................... 9 6.3.2 Ameaça .................................................................................................................. 9 6.3.3 Ação para mitigar riscos ........................................................................................ 9 6.4 Formato de anexo do correio eletrônico não é restrito ............................................. 10 6.4.1 Risco Vulnerável .................................................................................................. 10 6.4.2 Ameaça ................................................................................................................ 10 6.4.3 Ação para mitigar riscos ...................................................................................... 10 6.5 Ativos de rede fora do período da garantia ................................................................ 10 6.5.1 Risco Vulnerável .................................................................................................. 10 6.5.2 Ameaça ................................................................................................................ 10 6.5.3 Ação para mitigar ................................................................................................ 10 6.6 Procedimentos não documentados ............................................................................ 11 3
  • 4. 6.6.1 Risco Vulnerável .................................................................................................. 11 6.6.2 Ameaça ................................................................................................................ 11 6.6.3 Ação para mitigar ................................................................................................ 11 6.7 A TI não é mencionada no processo de integração .................................................... 11 6.7.1 Risco vulnerável................................................................................................... 11 6.7.2 Ameaça ................................................................................................................ 11 6.7.3 Ação para mitigar ................................................................................................ 11 6.8 Datacenter em local inapropriado (umidade excessiva) ............................................. 11 6.8.1 Risco vulnerável................................................................................................... 11 6.8.2 Ameaça ................................................................................................................ 12 6.8.3 Ação para mitigar ................................................................................................ 12 6.9 Documentos impressos abandonados ou esquecidos ................................................ 12 6.9.1 Risco vulnerável................................................................................................... 12 6.9.2 Ameaça ................................................................................................................ 12 6.9.3 Ação para mitigar ................................................................................................ 12 6.10 Fuga de expertise ........................................................................................................ 12 6.10.1 Risco Vulnerável .................................................................................................. 12 6.10.2 Ameaça ................................................................................................................ 12 6.10.3 Ação para mitigar ................................................................................................ 12 7 Considerações finais.................................................................................. 13 4
  • 5. 1 Sumário Executivo A informação como qualquer outro ativo de grande valor, deve ser adequadamente utilizada e protegida contra as ameaças e riscos. A presente mini política de análise de riscos visa antes de tudo garantir a adoção de melhores práticas para lidar com as situações que foram selecionadas pela equipe de TI por representar uma potencial ameaça a Confiabilidade, Integridade e Disponibilidade da Informação, reduzindo-se os riscos que possam ocasionar prejuízostanto de ordem material/financeira quanto à reputação da organização. Na elaboração do presente documento, houve a preocupação de que os assuntos, métricas e casos aqui abordados fossem expostos com o maior nível de clareza possível, possibilitando até mesmo o entendimento por pessoal não familiarizado com as questões técnicas da Tecnologia da Informação, aplicando-se, portanto no desenvolvimento do trabalho diário dos usuários e profissionais de TI da companhia. A vigência da presente mini política se dará automaticamente à publicação da mesma, devendo todos os colaboradores firmar termo de ciência e concordância, atividade essa que ficará sobre responsabilidade do setor de recursos humanos, bem como demais colaboradores já vinculados à companhia e que fazem uso dos recursos de TI da companhia. O uso impróprio, bem como a não observância ou ainda, qualquer dificuldade imposta no intuito de dificultar o cumprimento das regras aqui tratadas implicarão em medidas disciplinares, como advertência por escrito, e no caso de reincidência, poderá implicar em desligamento do colaborador por justa-causa. A companhia, se assim desejar, pode fazer alterações na presente política, exclusivamente a partir da sua própria vontade, devendo a mesma estar disponível para consulta a qualquer tempo pelos colaboradores da companhia, passando a validar as alterações no momento da publicação da nova versão. 2 Justificativa A importância da presente Mini Política reside em tornar de conhecimento dos usuários e profissionais da área de Tecnologia da Informação os riscos aqui elencados e as ações para mitiga-los, tento em vista o potencial que cada um desses riscos tem de ameaçar a Confidencialidade, Disponibilidade e Integridade da informação.Somente tendo conhecimento das vulnerabilidades do ambiente que nos cerca é que podemos tomar precauções assertivas no intuito de prover segurança no ambiente de TI, mitigando riscos que ameaçam a solidez da Segurança da Informação como um todo. 5
  • 6. 3 Objetivos O objetivo do presente documento éauxiliar os profissionais e usuários dos recursos de TI a ter um entendimento dos riscos a que o seu ambiente está exposto, bem como propor estratégias para que as situações que favoreçam as ameaças em potencial que esses riscos proporcionam não ocorram. Procura-se também formalizar o compromisso da companhia com a proteção da informação, devendo, portanto, ser cumprida pelos colaboradores e por fim, fornecer diretrizes e melhore-práticas a serem seguidas, buscando uma compreensão e redução do potencial de dano atribuído aos riscos aqui elencados. 4 Classificação das Informações A Classificação das informações é feita de acordo com a sua relevância, grau de confidencialidade e criticidade para o negócio da companhia, sendo, em ordem crescente: Informações Públicas, Informações Internas, Informações Confidenciais e Informações Restritas. 4.1 Informações Públicas As informações oriundas de ambiente externo (sites externos, servidores externos, entre outras cuja hospedagem não é de responsabilidade da companhia) passam por filtros de conteúdo (antivírus, firewall, anti-spam e demais serviços que se julgar necessário), sendo o usuário que fez o login na estação onde esta sendo destinadas essas informações, responsável pelas mesmas. 4.2 Informações Internas Informações que dizem respeito apenas à companhia, não tendo qualquer valor, relevância ou aplicabilidade fora dela. São em geral, informações que não representam risco caso seja levado a conhecimento público. . 4.3 Informações Confidenciais São informações em caráter sigiloso, sendo portanto proibida a exposição das mesmas fora do ambiente da companhia, sob pena de acarretar sansões disciplinares ao responsável, como demissão por justa causa ou outra penalidade à critério do gestor imediato. Fazem parte desse grupo todas as informações que envolvem análises e 6
  • 7. resultados da empresa nas suas áreas de negócio, bem como projeções destes resultados, projetos para lançamentos futuros, etc. 4.4 Informações Restritas São informações que estão disponíveis apenas para seu dono e/ou criador ou a um determinado grupo. Pode ser qualquer tipo de informação, desde que seu acesso esteja limitado apenas a determinado(s)colaboradores(s). A violação da restrição de acesso acarretará em medidas disciplinares. 5 Os pilares da Segurança da Informação: O avanço da tecnologia e das formas de comunicação e troca de informação nos possibilitam realizar as nossas tarefas com bastante praticidade, porém as brechas e precedentes para ocorrerem fuga destas informações também aumentaram consideravelmente. Por mais avançados que sejam as tecnologias, elas ainda dependem do fator humano para que possam ser usadas de maneira eficaz. Os pilares da informação tratados neste documento são: 5.1 Pilar da Integridade Um dado íntegro não necessariamente representa um dado que possua informações corretas. Um dado íntegro é o dado que quando foi resgatado, é idêntico ao mesmo dado no momento de sua armazenagem, não tendo ocorrido qualquer ação nesse intervalo que possa alterar as suas características. 5.2 Pilar da Disponibilidade Um dado deve estar disponível no exato momento em que for solicitado, ou seja, deve estar disponível a qualquer momento. Para isso, deve-se prover de qualquer recurso que torne isso possível, como por exemplo, links de acesso confiável, permissões de acesso, etc. 5.3 Pilar da Confidencialidade Um dado deve estar disponível apenas às pessoas ou grupos que tenham permissão para acessá-lo, sendo vetado o seu acesso aos demais. Um dado confidencial é disponível apenas a quem possui permissão para acessá-lo. 7
  • 8. 6 Riscos Identificados: Após a equipe de TI ter feito uma análise criteriosa das vulnerabilidades, ameaças e riscos presentes no ambiente da companhia, foi elaborada uma Matriz de Segurança, onde elencamos dez riscos em potencial e os descreveremos abaixo: 6.1 Nível de privilégios elevado sem necessidade Esta situação relata o caso em que um usuário possui permissões para realizar alterações nas características de sua estação de trabalho, bem como permissão de acesso a arquivos e documentos, sem que haja necessidade destes privilégios para que o colaborador possa desempenhar corretamente o seu trabalho. 6.1.1 Risco Vulnerável Informações de cunho confidencial e estabilidade do sistema como um todo 6.1.2 Ameaça Acesso a informações confidenciais e alterações em configurações que comprometam a estabilidade e segurança do sistema. Poderá ocorrer vazamento de informações, bem como comprometimento da estabilidade, causando prejuízos a integridade do sistema devido a ação de programas maliciosos e outras ameaças. 6.1.3 Ações para Mitigar os Riscos Devem ser revisados os acessos e permissões do usuário, de modo que todos devem ter o de permissão mínimo necessário para desempenho de suas atividades. Dessa forma, evita-se o comprometimento da estabilidade do sistema, que impacta na produtividade do usuário, bem com riscos de acesso sem permissão a dados confidenciais, bem como a ameaça que isso representa no vazamento dessas informações. 6.2 Versões de Software não homologadas para uso na companhia Todos os softwares oficialmente utilizados pela empresa passam por um período de testes para prevenir problemas como incompatibilidade com outros softwares já estabelecidos ou defeitos (bugs) que possam impactar na produtividade devido às panes que possam a vir ocorrer no sistema operacional. 6.2.1 Risco Vulnerável Sistemas Operacionais e aplicativos 8
  • 9. 6.2.2 Ameaça Softwares que não passam por um período de homologação estão em desacordo, pondo em risco a integridade do sistema operacional e demais aplicativos. Panes que ocorrerem pode impactar em perda de produtividade e/ou corrupção de dados, causando prejuízos. 6.2.3 Ação para mitigar riscos Realizar inventário de softwares através de ferramenta apropriada, devendo essa,levantar informações como nome, fabricante e versão, devendo esses dados, portantocoincidir com as versões liberadas para uso pelos usuários da companhia. Impedir a livre instalação de programas através de ferramentas de controle e permissões de acesso do Sistema Operacional ou outra forma de controle. 6.3 Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. Demandas que envolvem instalação e/ou ampliação de infraestrutura de rede, elétrica ou equipamentos devem ser solicitadas ao setor competente da TI, que irá proceder com a solicitação ou selecionar fornecedores que sejam capazes de fazê-lo, caso não haja recursos internos para tal. Ao setor competente de TI, portanto, cabe a responsabilidadede negociar aspectos técnicos, observando o cumprimento das normas e boas práticas, cabendo ao setor solicitante autorizar ou não a execução após a apresentação da proposta formal pela TI. 6.3.1 Risco Vulnerável Infraestrutura de rede, elétrica e equipamentos que dão apoio ao funcionamento dos ativos de TI da companhia. 6.3.2 Ameaça Não cumprimento das normas e boas práticas para este tipo de projeto, podendo ocasionar instabilidades no funcionamento dos ativos. Expansão fora do controle e não documentada acaba ocasionando também lentidão na resolução de problemas caso eles ocorram, pois ficará cada vez mais difícil identificar a causa. 6.3.3 Ação para mitigar riscos Deve-se buscar um apoio da alta-administração da companhia no intuito de não autorizar modificações na infraestrutura sem o laudo da ti. Toda e qualquer modificação na infraestrutura deve seguir o fluxo: Solicitação ao setor competente da TI > Avaliação técnica inicial > Execução do trabalho (no caso de se tratar de serviço possível de ser executado internamente) > Encerramento. Caso contrário, o fluxo é este: Solicitação ao setor competente da TI > Avaliação técnica inicial > Contratação de terceiro para elaboração de projeto e orçamento junto a TI> Aprovação por parte do setor solicitante > Encerramento. 9
  • 10. 6.4 Formato de anexo do correio eletrônico não é restrito Devemos ter ciência de que determinados arquivos recebidos por e-mail podem possuir conteúdo malicioso, podendo causar transtornos ao usuário e a companhia. A restrição destes formatos visa além de garantir a segurança, coibir o uso da ferramenta de e-mail para propagação de mensagens que não tenham relação com os interesses da companhia, impactando nodesempenho e nos recursos dos ativos que sustentam a ferramenta. 6.4.1 Risco Vulnerável Desempenho da ferramenta de correio eletrônico e integridade do sistema operacional e aplicativos das estações e servidores. 6.4.2 Ameaça Anexos maliciosos de determinados formatos enviados por e- mails maliciosos podem conter malwares e outras ameaças com potencial de causar danos à integridade dos sistemas e dados da companhia. Pode ocorrer também sobrecarga dos recursos devido ao fluxo de informação que não têm a ver com as atividades da companhia residentes em anexos como, por exemplo, formatos de arquivo de música, foto e vídeo ou formatos de apresentação do Microsoft Power Point. 6.4.3 Ação para mitigar riscos Usar Filtros e controles que previnem determinados formatos de circularem por e-mail, bem como fazer uso de ferramentas (Antivírus, etc.) que analisem o conteúdo anexo do e-mail a procura de ameaças. 6.5 Ativos de rede fora do período da garantia Ativos de rede que não estão cobertos pela garantia do fabricante podem apresentar problemas de estabilidade por questões de desgaste natural, entre outros. 6.5.1 Risco Vulnerável Redes de computadores e demais serviços e recursos apoiados por ela. 6.5.2 Ameaça Ao acontecer um evento de falha, haverá prejuízo e demora no reestabelecimento do serviço, pois deverão ser obedecidos fluxos internos que são necessários para aquisição de equipamento substituto ou peças de reposição. 6.5.3 Ação para mitigar Buscar acordo com os fabricantes para ampliação e, quando for o caso, renovação do período de garantia dos equipamentos. Desenvolver uma política de obsolescência programada (ajuda na previsão de gastos com equipamentos). 10
  • 11. 6.6 Procedimentos não documentados A eficiência com que os serviços são prestadosmuito se deve ao fato de os processos para realizar determinadas tarefas estarem documentados, de modo que a realização das tarefas seguindo as orientações destes procedimentos é altamente recomendado. 6.6.1 Risco Vulnerável Eficiência dos serviços de suporte da TI. 6.6.2 Ameaça Demora na execução de tarefas pelo desconhecimento da prática dos procedimentos, bem como a falta de garantia de que os procedimentos e o serviço sejam realizadoscorretamente. 6.6.3 Ação para mitigar Criar documentação de procedimentos com aprovação da gerência da área de TI, instruindo com clareza e exatidão os processos tratados, de modo que possa auxiliar na execução de tarefas a melhor maneira possível. 6.7 A TI não é mencionada no processo de integração Ao se contratar novos colaboradores, deve-se dar a devida importância de que eles estejam cientes da correta utilização dos serviços da TI, seus direitos e deveres como utilizador dos recursos, prevenindo assim problemas futuros. 6.7.1 Risco vulnerável Integridade e eficiência dos ativos e recursos da infraestrutura e sistemas de informação 6.7.2 Ameaça Consiste em uma ameaça deste caso o uso de ativos para fins que não representam interesse da organização, alocando recursos que poderiam estar sendo usados para o interesse da companhia. 6.7.3 Ação para mitigar Desenvolver as políticas, sempre envolvendo a gerência e a área de recursos humanos (colaborador toma conhecimento ao entrar na empresa), manter as normas e informações a esse respeito sempre acessível a qualquer tempo. 6.8 Datacenter em local inapropriado (umidade excessiva) O correto funcionamento de toda a estrutura de serviços da TI se deve à localização dos ativos de TI em local apropriado, livre de acesso externo de pessoal não autorizado e não estando sujeito a condições adversas de clima, vibrações e etc. 6.8.1 Risco vulnerável Ativos e informações 11
  • 12. 6.8.2 Ameaça Neste caso em específico, o elevado grau de umidade pode causar oxidação dos contatos elétricos e mecânicos dos ativos de rede, bem como demais avarias que podem interferir no correto funcionamento dos equipamentos. 6.8.3 Ação para mitigar Instalar condicionadores de ar que atenuem o problema, ou mesmo migrar a estrutura para um novo local caso o problema não seja possível de contornar ou os custos de adequação sejam acima do projeto de um novo local. 6.9 Documentos impressos abandonados ou esquecidos Impressos não resgatados no momento de sua impressão poderão conter informações de caráter sigiloso, portanto não autorizado seu conhecimento por outros colaboradores que não sejam o seu proprietário/criador, além de causar acúmulo de papel e desperdício. 6.9.1 Risco vulnerável Informações confidenciais, que podem representar vazamento se o seu destino for desviado. 6.9.2 Ameaça Revelação de informações confidenciais da companhia, seus projetos, previsões futuras, dados contábeis e outras informações dessa monta. 6.9.3 Ação para mitigar Instalar controle de cópia e impressão, de modo que a impressão seja liberada apenas quando o solicitante estiver próximo ao local onde a impressora se encontra e liberou o trabalho de impressão através de autenticação (biométrica ou por chave numérica). 6.10 Fuga de expertise O conhecimento deve estar acessível a todos a qualquer hora, não sendo propriedade ou exclusividade de um determinado profissional. 6.10.1 Risco Vulnerável Colaboradores chave para uma determinada tarefa ou conhecedores de um determinado processo podem vir a deixar a companhia ou mesmo podem estar inacessíveis por um período de tempo (férias, adoecimento, motivo de força maior, etc...). 6.10.2 Ameaça Dificuldade na execução de processos e perda de conhecimento. 6.10.3 Ação para mitigar Elencar todos os procedimentos essências a manutenção do ambiente e exigir a documentação dos procedimentos. Deve-se também 12
  • 13. treinar outro profissional (de preferência de uma área afim) para que esse possa vir a suprir a demanda caso houver necessidade. 7 Considerações finais Acreditamos que este documento pode contribuir para criarmos um ambiente onde a eficiência e o respeito predomine, auxiliando à companhia na obtenção dos resultados almejados da melhor maneira possível. 13