Escolar Documentos
Profissional Documentos
Cultura Documentos
ndice
1 2 3 4 Sumrio Executivo ....................................................................................... 4 Justificativa .................................................................................................. 5 Objetivos ...................................................................................................... 5 Classificao das Informaes .................................................................... 5
4.1 4.2 4.3 4.4 Informaes Pblicas .................................................................................................... 5 Informaes Internas .................................................................................................... 6 Informaes Confidenciais ............................................................................................ 6 Informaes Restritas ................................................................................................... 6
Verses de Software no homologadas para uso na companhia ................................. 8 Risco Vulnervel .................................................................................................... 8 Ameaa .................................................................................................................. 8 Ao para mitigar riscos ........................................................................................ 8
6.3
Demandas de Infraestrutura levantadas e executadas sem o envolvimento da TI. ..... 8 Risco Vulnervel .................................................................................................... 8 Ameaa .................................................................................................................. 9 Ao para mitigar riscos ........................................................................................ 9
Formato de anexo do correio eletrnico no restrito ............................................... 9 Risco Vulnervel .................................................................................................... 9 Ameaa .................................................................................................................. 9 Ao para mitigar riscos ........................................................................................ 9
Ativos de rede fora do perodo da garantia .................................................................. 9 Risco Vulnervel .................................................................................................. 10 Ameaa ................................................................................................................ 10 Ao para mitigar ................................................................................................ 10
Procedimentos no documentados ............................................................................ 10 Risco Vulnervel .................................................................................................. 10 Ameaa ................................................................................................................ 10 Ao para mitigar ................................................................................................ 10
A TI no mencionada no processo de integrao .................................................... 10 Risco vulnervel................................................................................................... 10 Ameaa ................................................................................................................ 11 Ao para mitigar ................................................................................................ 11
Datacenter em local inapropriado (umidade excessiva) ............................................. 11 Risco vulnervel................................................................................................... 11 Ameaa ................................................................................................................ 11 Ao para mitigar ................................................................................................ 11
Documentos impressos abandonados ou esquecidos ................................................ 11 Risco vulnervel................................................................................................... 11 Ameaa ................................................................................................................ 11 Ao para mitigar ................................................................................................ 11
Fuga de expertise ........................................................................................................ 12 Risco Vulnervel .................................................................................................. 12 Ameaa ................................................................................................................ 12 Ao para mitigar ................................................................................................ 12
Consideraes finais.................................................................................. 12
1 Sumrio Executivo
A informao como qualquer outro ativo de grande valor, deve ser adequadamente utilizada e protegida contra as ameaas e riscos. A presente mini poltica de anlise de riscos visa antes de tudo garantir a adoo de melhores prticas para lidar com as situaes que foram selecionadas pela equipe de TI por representar uma potencial ameaa a Confiabilidade, Integridade e Disponibilidade da Informao, reduzindo-se os riscos que possam ocasionar prejuzos tanto de ordem material/financeira quanto reputao da organizao. Na elaborao do presente documento, houve a preocupao de que os assuntos, mtricas e casos aqui abordados fossem expostos com o maior nvel de clareza possvel, possibilitando at mesmo o entendimento por pessoal no familiarizado com as questes tcnicas da Tecnologia da Informao, aplicando-se, portanto no desenvolvimento do trabalho dirio dos usurios e profissionais de TI da companhia. A vigncia da presente mini poltica se dar automaticamente publicao da mesma, devendo todos os colaboradores firmar termo de cincia e concordncia, atividade essa que ficar sobre responsabilidade do setor de recursos humanos, bem como demais colaboradores j vinculados companhia e que fazem uso dos recursos de TI da companhia. O uso imprprio, bem como a no observncia ou ainda, qualquer dificuldade imposta no intuito de dificultar o cumprimento das regras aqui tratadas implicaro em medidas disciplinares, como advertncia por escrito, e no caso de reincidncia, poder implicar em desligamento do colaborador por justa-causa. A companhia, se assim desejar, pode fazer alteraes na presente poltica, exclusivamente a partir da sua prpria vontade, devendo a mesma estar disponvel para consulta a qualquer tempo pelos colaboradores da 4
2 Justificativa
A importncia da presente Mini Poltica reside em tornar de conhecimento dos usurios e profissionais da rea de Tecnologia da Informao os riscos aqui elencados e as aes para mitiga-los, tento em vista o potencial que cada um desses riscos tem de ameaar a Confidencialidade, Disponibilidade e Integridade da informao. Somente tendo conhecimento das vulnerabilidades do ambiente que nos cerca que podemos tomar precaues assertivas no intuito de prover segurana no ambiente de TI, mitigando riscos que ameaam a solidez da Segurana da Informao como um todo.
3 Objetivos
O objetivo do presente documento auxiliar os profissionais e usurios dos recursos de TI a ter um entendimento dos riscos a que o seu ambiente est exposto, bem como propor estratgias para que as situaes que favoream as ameaas em potencial que esses riscos proporcionam no ocorram. Procura-se tambm formalizar o compromisso da companhia com a proteo da informao, devendo, portanto, ser cumprida pelos colaboradores e por fim, fornecer diretrizes e melhore-prticas a serem seguidas, buscando uma compreenso e reduo do potencial de dano atribudo aos riscos aqui elencados.
necessrio), sendo o usurio que fez o login na estao onde esta sendo destinadas essas informaes, responsvel pelas mesmas.
armazenagem, no tendo ocorrido qualquer ao nesse intervalo que possa alterar as suas caractersticas.
6 Riscos Identificados:
Aps a equipe de TI ter feito uma anlise criteriosa das vulnerabilidades, ameaas e riscos presentes no ambiente da companhia, foi elaborada uma Matriz de Segurana, onde elencamos dez riscos em potencial e os descreveremos abaixo:
comprometimento da estabilidade do sistema, que impacta na produtividade do usurio, bem com riscos de acesso sem permisso a dados confidenciais, bem como a ameaa que isso representa no vazamento dessas informaes.
6.3.2 Ameaa No cumprimento das normas e boas prticas para este tipo de projeto, podendo ocasionar instabilidades no funcionamento dos ativos. Expanso fora do controle e no documentada acaba ocasionando tambm lentido na resoluo de problemas caso eles ocorram, pois ficar cada vez mais difcil identificar a causa. 6.3.3 Ao para mitigar riscos Deve-se buscar um apoio da alta-administrao da companhia no intuito de no autorizar modificaes na infraestrutura sem o laudo da ti. Toda e qualquer modificao na infraestrutura deve seguir o fluxo: Solicitao ao setor competente da TI > Avaliao tcnica inicial > Execuo do trabalho (no caso de se tratar de servio possvel de ser executado internamente) > Encerramento. Caso contrrio, o fluxo este: Solicitao ao setor competente da TI > Avaliao tcnica inicial > Contratao de terceiro para elaborao de projeto e oramento junto a T I > Aprovao por parte do setor solicitante > Encerramento.
Ativos de rede que no esto cobertos pela garantia do fabricante podem apresentar problemas de estabilidade por questes de desgaste natural, entre outros. 6.5.1 Risco Vulnervel Redes de computadores e demais servios e recursos apoiados por ela. 6.5.2 Ameaa Ao acontecer um evento de falha, haver prejuzo e demora no reestabelecimento do servio, pois devero ser obedecidos fluxos internos que so necessrios para aquisio de equipamento substituto ou peas de reposio. 6.5.3 Ao para mitigar Buscar acordo com os fabricantes para ampliao e, quando for o caso, renovao do perodo de garantia dos equipamentos. Desenvolver uma poltica de obsolescncia programada (ajuda na previso de gastos com equipamentos).
6.7.2 Ameaa Consiste em uma ameaa deste caso o uso de ativos para fins que no representam interesse da organizao, alocando recursos que poderiam estar sendo usados para o interesse da companhia. 6.7.3 Ao para mitigar Desenvolver as polticas, sempre envolvendo a gerncia e a rea de recursos humanos (colaborador toma conhecimento ao entrar na empresa), manter as normas e informaes a esse respeito sempre acessvel a qualquer tempo.
impressora se encontra e liberou o trabalho de impresso atravs de autenticao (biomtrica ou por chave numrica).
7 Consideraes finais
Acreditamos que este documento pode contribuir para criarmos um ambiente onde a eficincia e o respeito predomine, auxiliando companhia na obteno dos resultados almejados da melhor maneira possvel.
12