Você está na página 1de 17

GESTÃO DE RISCOS

BRASÍLIA/DF
2011
CARLOS EDUARDO BONTEMPO
ENIO OLIVEIRA
JOSE LUIZ GUERRA
MANUELLE RODRIGUES BACELLAR
SHEISTON DA SILVA QUIRINO
VALÉRIA DE SOUSA BEZERRA

GESTÃO DE RISCOS

DISCIPLINA: Gestão de Riscos


PROFESSOR: Alcimar Rangel

BRASÍLIA/DF
2011

2
Sumário

APRESENTAÇÃO ......................................................................................................... 4
INTRODUÇÃO ............................................................................................................... 5
ESCOPO ......................................................................................................................... 5
REFERÊNCIAS NORMATIVAS .................................................................................. 6
TERMOS E DEFINIÇÕES ............................................................................................ 7
CONTEXTUALIZAÇÃO ................................................................................................ 7
VISÃO GERAL DO PROCESSO DE GRSI ............................................................... 8
DEFINIÇÃO DO CONTEXTO ...................................................................................... 8
ANÁLISE E AVALIAÇÃO DE RISCO ......................................................................... 9
INVENTÁRIO:............................................................................................................. 9
AMEAÇAS: ................................................................................................................. 9
TIPO ............................................................................................................................. 9
AMEAÇAS................................................................................................................... 9
ORIGEM ...................................................................................................................... 9
CONTROLES: .......................................................................................................... 10
VULNERABILIDADES: ........................................................................................... 12
CONSEQUENCIAS (IMPACTOS) ........................................................................ 13
ESTIMATIVA DE RISCOS ..................................................................................... 13
ANÁLISE QUALITATIVA .................................................................................... 13
PLANO DE TRATAMENTO DE RISCOS ................................................................ 14
CRITÉRIO DE ACEITAÇÃO DE RISCO .............................................................. 15
PLANO DE AÇÃO PARA TRATAMENTO DOS RISCOS................................. 15
PLANO DE ESTRUTURAÇÃO E CONSCIENTIZAÇÃO DA UNIDADE
BARATA HUMANA .................................................................................................. 15
TRATAMENTO DOS RISCOS .............................................................................. 16
CONCLUSÃO .............................................................................................................. 17
REFERENCIAS ........................................................................................................... 17
 Norma ABNT NBR ISO/IEC 27000:2005 ....................................................... 17
 Relatório de Gestão de Risco da Empresa Barata Humana ................. 17

3
APRESENTAÇÃO

RELATÓRIO DE GESTÃO DE RISCO DA EMPRESA “BARATA


HUMANA”

4
INTRODUÇÃO

O objetivo do presente relatório é o gerenciamento de riscos da empresa


“Barata Humana”, levando em consideração que toda organização enfrenta incertezas
e o grande desafio de seus administradores é determinar até que ponto essas podem
ser aceitas e como definir as mesmas no impacto que causarão a instituição.
Incertezas representam riscos e oportunidades, com potencial para destruir ou
agregar valores. Este relatório possibilita o apontamento e o tratamento dos riscos,
para que possam ser tratados de forma eficaz, assim como as oportunidades
associadas às incertezas, com a finalidade de agregar ainda mais o bom
funcionamento da empresa.
O êxito é alcançado mais rapidamente quando são estabelecidas estratégias e
objetivos para que possamos alcançar o equilíbrio entre o bom funcionamento dos
serviços aliados aos tratamentos dos riscos encontrados, para que sejam explorados
os seus recursos com eficácia e eficiência na busca dos objetivos da organização.
A missão da “Barata Humana” é assegurar e manter as informações
produzidas pelos órgãos, autarquias e empresas do GDF.
Sua visão é ser referência nacional e internacional em assuntos referentes à
guarda e segurança de informações de governo.

ESCOPO

A ISO 27005 se aplica a todos os tipos de organização que pretendam gerir os


riscos que poderiam comprometer a segurança da informação da empresa.
Os ativos são:
 Ambientes: Ambientes críticos ou sensíveis ao negócio. Podem ser salas
de servidores, Datacenters, salas/escritórios ou ambientes de fábrica.;
 Pessoas: Pessoas ou funções que detêm informações ou componentes
importantes para o negócio. Podem ser usuários, gerentes,
administradores de rede, analistas de sistemas, etc.;
 Processos: Práticas e Processos críticos ou sensíveis ao negócio. Podem
ser processos de planos de contingência, processo de política de
segurança, etc.;
 Tecnologia: Ativos físicos de conectividade hardware de servidores,
estações de trabalho, computação móvel e também se inserem neste tipo

5
qualquer software que esteja dentro de servidores ou computadores,
Sistema Gerenciador de Banco de Dados, Servidores de WEB, sistemas
operacionais e aplicativos específicos.

A empresa “Barata Humana”, que está localizada no Distrito Federal, SHIS


Quadra 15, nas proximidades do Aeroporto Internacional de Brasília, se trata de uma
empresa distrital ligada diretamente ao Governador do DF.
Considerando a estrutura ser antiga e construída antes do aeroporto e estar
localizada a 1 km do lago Paranoá.
O presente relatório analisará a empresa em sua integralidade, observando
todos seus departamentos e divisões, a fim de minimizar os riscos para que a
organização se torne referência nacional e internacional em assuntos referentes à
guarda e segurança de informações de governo.

REFERÊNCIAS NORMATIVAS

A ISO/IEC 27005 fornece diretrizes para o processo de Gestão de Riscos de


Segurança da Informação de uma organização, atendendo particularmente aos
requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001.

6
ABNT NBR ISO/IEC 27002:2005 – Gestão de Risco de Segurança da Informação

TERMOS E DEFINIÇÕES

 Impacto: mudança adversa no nível obtido dos objetivos do negócio;


 Riscos de segurança da informação: a possibilidade de uma determinada ameaça
explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira
prejudicando a organização;
 Ação de evitar o risco: decisão de não se envolver ou agir de forma a se retirar de
uma situação de risco;
 Comunicação do risco: troca ou compartilhamento de informação sobre o risco
entre o tomador de decisão e outras partes interessadas;
 Estimativa de riscos: processo utilizado para atribuir valores à probabilidade e
consequências de um risco;
 Identificação de riscos: processo para localizar, listar e caracterizar elementos do
risco;
 Redução do risco: ações tomadas para reduzir a probabilidade, as conseqüências
negativas, ou ambas, associadas a um risco;
 Transferência do risco: compartilhamento com uma ou outra entidade do ônus da
perda ou do benefício do ganho associado a um risco.

CONTEXTUALIZAÇÃO

Trata-se de uma empresa ligada ao Governo do Distrito Federal, localizada


próxima ao aeroporto e ao lago Paranoá a qual faremos neste trabalho uma
sistemática de gestão de risco de segurança da informação para que possamos
identificar as necessidades da “Barata Humana” em relação aos requisitos de
segurança da informação e criaremos um sistema de gestão de segurança da
informação que seja eficaz. Ressaltamos que, a gestão de riscos deverá ser um

7
processo contínuo, onde será definido o contexto, avaliados e tratados os riscos com a
utilização de um plano de tratamento com a finalidade de implementar as
recomendações e decisões.
Sendo pertinente também a avaliação dos possíveis acontecimentos e suas
consequências, para que sejam definidas as ações a serem tomadas e quando tomá-
las.
O processo de gestão de riscos de segurança da informação será aplicado à
empresa de uma forma geral, em todos seus departamentos e divisões.

VISÃO GERAL DO PROCESSO DE GRSI

PROCESSO DE PROCESSO DE GESTÃO DE RISCO DA SEGURANÇA DA


SGSI INFORMAÇÃO
Planejar Definição do contexto
Análise/avaliação de riscos
Plano de tratamento do risco
Executar Implementação do plano de tratamento do risco
Verificar Monitoramento contínuo e análise crítica de riscos
Agir Manter e melhorar o processo de Gestão de Riscos de
Segurança da
Informação

DEFINIÇÃO DO CONTEXTO

Dentro do modelo PDCA, será feito a análise, avaliação e tratamento dos riscos
encontrados nos seguintes departamentos da empresa:
a. Departamento de Documentação;
b. Departamento de Administração;
c. Departamento de Informática.

Os riscos serão avaliados com probabilidade e impacto baixo, médio e alto todos
os riscos encontrados serão tratados e não haverá aceitação de nenhum desses
conforme orientação do diretor da empresa.

8
ANÁLISE E AVALIAÇÃO DE RISCO

INVENTÁRIO:

TIPO DESCRIÇÃO
Usuários
Gerente do Departamento de Arquivo - A
Pessoa
Gerente do Departamento de Administração - B
Gerente do Departamento de Informática - C
Desktop
Servidor WWW
Tecnologia
Servidor DNS
Servidor SMTP
Datacenter
Ambiente
Escritório
Processos Arquivo

AMEAÇAS:

Ameaças podem ser intencionais, acidentais ou de origem natural (ambiental) e


podem resultar, por exemplo, no comprometimento ou na paralisação de serviços
essenciais. A lista também indica, para cada tipo de ameaça, se ela pode ser
considerada I (intencional), A (acidental) ou N (natural). A letra I é utilizada para indicar
as ações intencionais direcionadas contra os ativos de informação; a letra A é usada
para indicar as ações de origem humana que podem comprometer acidentalmente os
ativos de informação; e a letra N é utilizada para todos os incidentes que não são
provocados pela ação dos seres humanos.

TIPO AMEAÇAS ORIGEM


Fogo A, I, N
Água A, I, N
Dano físico
Acidente grave A, I, N
Destruição de equipamento ou mídia A, I, N
Fenômeno climático N
Eventos naturais Inundação N
Fenômeno Meteorológico N
Falha do ar condicionado ou do sistema de A, I
Paralisação de serviços suprimento de água
Interrupção do suprimento de energia A, I, N
Falha de equipamento A
Defeito de equipamento A
Falhas técnicas Defeito de software A
Indisponibilidade de recursos humanos A, I, N
Erro durante o uso A
Furto de mídia ou documentos I
Comprometimento da
Furto de equipamentos I
informação
Espionagem à distância I

9
CONTROLES:

Foram identificados na ABNT NBR ISO/IEC 17799:2005 as recomendações e


um guia de implementação das melhores práticas para apoiar os controles
especificados.

A.5.1.1 Documento da política de segurança da informação - Um documento da


política de segurança da informação deve ser aprovado pela direção, publicado e
comunicado para todos os funcionários e partes externas relevantes.
A.6.1.2 Coordenação da segurança da informação - As atividades de segurança da
informação devem ser coordenadas por representantes de diferentes partes da
organização, com funções e papéis relevantes.
A.6.1.5 Acordos de confidencialidade - Os requisitos para confidencialidade ou
acordos de não divulgação que reflitam as necessidades da organização para a
proteção da informação devem ser identificados e analisados criticamente, de forma
regular.
A.6.2.3 Identificando segurança da informação nos acordos com terceiros - Os
acordos com terceiros envolvendo o acesso, processamento, comunicação ou
gerenciamento dos recursos de processamento da informação ou da informação da
organização, ou o acréscimo de produtos ou serviços aos recursos de processamento
da informação devem cobrir todos os requisitos de segurança da informação
relevantes.
A.7.1.1 Inventário dos ativos - Todos os ativos devem ser claramente identificados e
um inventário de todos os ativos importantes deve ser estruturado e mantido.
A.7.2.1 Recomendações para classificação - A informação deve ser classificada em
termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.
A.7.2.2 Rótulos e tratamento da informação - Um conjunto apropriado de
procedimentos para rotular e tratar a informação deve ser definido e implementado de
acordo com o esquema de classificação adotado pela organização.
A.8.1.3 Termos e condições de contratação - Como parte das suas obrigações
contratuais, os funcionários, fornecedores e terceiros devem concordar e assinar os
termos e condições de sua contratação para o trabalho, os quais devem declarar as
suas responsabilidades e da organização para a segurança da informação.
A.8.2.2 Conscientização, educação e treinamento em segurança da informação -
Todos os funcionários da organização e, onde pertinente, fornecedores e terceiros
devem receber treinamento apropriado em conscientização, e atualizações regulares
nas políticas e procedimentos organizacionais relevantes para as suas funções.
A.8.2.3 Processo disciplinar - Deve existir um processo disciplinar formal para os
funcionários que tenham cometido uma violação da segurança da informação.
A.8.3.3 Retirada de direitos de acesso - Os direitos de acesso de todos os
funcionários, fornecedores e terceiros às informações e aos recursos de
processamento da informação devem ser retirados após o encerramento de suas
atividades, contratos ou acordos, ou devem ser ajustados após a mudança destas
atividades.
A.9.1.1 Perímetro de segurança física - Devem ser utilizados perímetros de segurança
(barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de
recepção com recepcionistas) para proteger as áreas que contenham informações e
recursos de processamento da informação.

10
A.9.1.2 Controles de entrada física - As áreas seguras devem ser protegidas por
controles apropriados de entrada para assegurar que somente pessoas autorizadas
tenham acesso.
A.9.1.3 Segurança em escritórios salas e instalações - Deve ser projetada e aplicada
segurança física para escritórios, salas e instalações.
A.9.1.4 Proteção contra ameaças externas e do meio ambiente - Deve ser projetada e
aplicada proteção física contra incêndios, enchentes, terremotos, explosões,
perturbações da ordem pública e outras formas de desastres naturais ou causados
pelo homem.
A.9.1.6 Acesso do público, áreas de entrega e de carregamento - Pontos de acesso,
tais como áreas de entrega e de carregamento e outros pontos em que pessoas não
autorizadas possam entrar nas instalações, devem ser controlados e, se possível,
isolados dos recursos de processamento da informação, para evitar o acesso não
autorizado.
A.9.2.1 Instalação e proteção do equipamento - Os equipamentos devem ser
colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio
ambiente, bem como as oportunidades de acesso não autorizado.
A.9.2.5 Segurança de equipamentos fora das dependências da organização - Devem
ser tomadas medidas de segurança para equipamentos que operem fora do local,
levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das
dependências da organização.
A.10.1.1 Documentação dos procedimentos de operação - Os procedimentos de
operação devem ser documentados, mantidos atualizados e disponíveis a todos os
usuários que deles necessitem.
A.10.4.1 Controle contra códigos maliciosos - Devem ser implantados controles de
detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim
como procedimentos para a devida conscientização dos usuários.
A.10.6.1 Controles de redes - Redes devem ser adequadamente gerenciadas e
controladas, de forma a protegê-las contra ameaças e manter a segurança de
sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.
A.10.7.1 Gerenciamento de mídias removíveis - Devem existir procedimentos
implementados para o gerenciamento de mídias removíveis.
A.10.7.2 Descarte de mídias - As mídias devem ser descartadas de forma segura e
protegida quando não forem mais necessárias, por meio de procedimentos formais.
A.10.7.3 Procedimentos para tratamento de informação - Devem ser estabelecidos
procedimentos para o tratamento e o armazenamento de informações, para proteger
tais informações contra a divulgação não autorizada ou uso indevido.
A.10.7.4 Segurança da documentação dos sistemas - A documentação dos sistemas
deve ser protegida contra acessos não autorizados.
A.10.8.4 Mensagens eletrônicas - As informações que trafegam em mensagens
eletrônicas devem ser adequadamente protegidas.
A.10.10.1 Registros de auditoria - Registros (log) de auditoria contendo atividades dos
usuários, exceções e outros eventos de segurança da informação devem ser
produzidos e mantidos por um período de tempo acordado para auxiliar em futuras
investigações e monitoramento de controle de acesso.
A.11.1.1 Política de controle de acesso - A política de controle de acesso deve ser
estabelecida, documentada e analisada criticamente, tomando-se como base os
requisitos de acesso dos negócios e da segurança da informação.

11
A.11.2.1 Registro de usuário - Deve existir um procedimento formal de registro e
cancelamento de usuário para garantir e revogar acessos em todos os sistemas de
informação e serviços.
A.11.2.2 Gerenciamento de privilégios - A concessão e o uso de privilégios devem ser
restritos e controlados.
A.11.2.3 Gerenciamento de senha do usuário - A concessão de senhas deve ser
controlada por meio de um processo de gerenciamento formal.
A.11.5.2 Identificação e autenticação de usuário - Todos os usuários devem ter um
identificador único (ID de usuário), para uso pessoal e exclusivo, e uma técnica
adequada de autenticação deve ser escolhida para validar a identidade alegada por
um usuário.
A.12.3.1 Política para o uso de controles criptográficos - Deve ser desenvolvida e
implementada uma política para o uso de controles criptográficos para a proteção da
informação.
A.14.1.2 Continuidade de negócios e análise/avaliação de risco - Devem ser
identificados os eventos que podem causar interrupções aos processos de negócio,
junto à probabilidade e impacto de tais interrupções e as consequências para a
segurança de informação.

VULNERABILIDADES:

ATIVO VULNERABILIDADES
Inexistência de mecanismos de monitoramento;
Falta de conscientização em segurança (ausência de
Pessoa
procedimento de recebimento de estações na chegada
do servidor).
Falha de mecanismo de segurança no webservice;
Utilizar uma diversidade de sistemas operacionais,
Tecnologia sem levar em consideração a disponibilidade de
atualizações dos mesmos.

Ausência de controle da umidade do ambiente;


Sensibilidade à umidade;
Inexistência de compartimentos adequados para o
Ambiente
arquivamento da documentação;
Armazenamento não protegido;
Inexistência de manutenção predial periódica.
Inexistência de classificação dos arquivos;
Inexistência de cópias que entram para ser arquivada
na empresa “Barata Humana” e no órgão de origem;
Processos
Inexistência de classificação dos arquivos;
Acesso de pessoas não autorizadas.

12
CONSEQUENCIAS (IMPACTOS)

De acordo com a ISO 27005, um incidente envolvendo a segurança da


informação pode trazer consequências a vários ativos ou apenas a parte de um único
ativo. O impacto está relacionado à medida do sucesso do incidente. Por conseguinte,
existe uma diferença importante entre o valor do ativo e o impacto resultante do
incidente. Considera-se que o impacto tem um efeito imediato (operacional) ou uma
consequência futura (relativa ao negócio como um todo), a qual inclui aspectos
financeiros e de mercado.
O impacto imediato (operacional) pode ser direto ou indireto.
Direto:
a) O valor financeiro de reposição do ativo perdido (ou parte dele)
b) O custo de aquisição, configuração e instalação do novo ativo ou do
“backup”.
c) O custo das operações suspensas devido ao incidente até que o serviço
prestado pelos ativos afetados seja restaurado.
d) Consequências resultantes de violações da segurança da informação
Indireto:
a) Custo de oportunidade (recursos financeiros necessários para repor ou
reparar um ativo poderiam estar sendo utilizados para outro fim).
b) O custo das operações interrompidas.
c) Mau uso das informações obtidas através da violação da segurança.
d) Violação de obrigações estatutárias ou regulatórias.
e) Violação dos códigos éticos de conduta.

ESTIMATIVA DE RISCOS

ANÁLISE QUALITATIVA

IMPACTO
Alto Médio Baixo

PROBABILIDADE
Alto Médio Baixo

RISCO
Alto Médio Baixo

PRIORIDADE
1 2 3

13
Ativo Ameaça Impacto Probabilidade Risco Prioridade
Usuários Indisponibilidad Alto Alto Alto 1
Gerente A e de recursos
Pessoa

Gerente B humanos
Gerente C Erro durante o Médio Médio Médio 2
uso
Desktop Acidente grave Alto Médio Alto 1
Servidor Defeito de Alto Baixo Médio 2
WWW equipamento
Servidor Defeito de Alto Baixo Médio 2
DNS software
Tecnologia

Servidor Falha de Alto Médio Alto 1


SMTP equipamento
Destruição de Alto Baixo Médio 2
equipamento ou
mídia
Datacenter Fogo Alto Baixo Médio 2
Escritório Água Alto Médio Alto 1
Acidente grave Médio Baixo Baixo 3
Inundação Alto Médio Alto 1
Falha do ar Médio Médio Médio 2
condicionado
Interrupção de Alto Média Alto 1
energia
Ambiente

Fenômeno Baixo Baixo Baixo 3


meteorológico
Fenômeno Baixo Baixo Baixo 3
climático
Arquivo Furto de mídia Alto Média Alto 1
ou documentos

Furto de Alto Médio Alto 1


equipamentos
Processo

Espionagem à Baixo Baixo Baixo 3


distância

PLANO DE TRATAMENTO DE RISCOS

Este documento apresenta o plano de tratamento para os riscos identificados


durante o processo de análise de riscos, realizado.

O plano de tratamento de risco tem como proposta apresentar os critérios que foram
utilizados para nortear as ações de segurança da informação que serão executadas na
empresa Batata Humana, objetivando alcançar condições necessárias para minimizar
as vulnerabilidades encontradas.

14
CRITÉRIO DE ACEITAÇÃO DE RISCO

Considerando que a empresa visa à identificação dos riscos existentes e


apresentar recomendações detalhadas de medidas de segurança, priorizado conforme
riscos encontrados, para que a Barata Humana possa melhor direcionar seus recursos
a fim de aumentar efetivamente o nível de segurança da informação, a Alta Direção
decidiu que não aceitará qualquer tipo de risco que venha comprometer a
missão e visão da mesma. Os esforços devem, neste primeiro momento, ser
concentrados na implementação dos controles que representam maior risco.

PLANO DE AÇÃO PARA TRATAMENTO DOS RISCOS

Conforme a metodologia adotada para análise e avaliação dos riscos. Essa


categorização auxilia tanto o gestor quanto o técnico especialista na priorização das
ações de implementação dos controles analisados.

De forma a atender as decisões da Alta Direção, o tratamento dos riscos foi dividido
em três momentos: o primeiro momento, efetuar o tratamento dos riscos com o valor
Altos , o segundo, efetuar a implementação dos Médios e o terceiro Baixos.

PLANO DE ESTRUTURAÇÃO E CONSCIENTIZAÇÃO DA UNIDADE BARATA


HUMANA

Conforme observado na análise de riscos, é importante tomar algumas


medidas iniciais que impactam de maneira alta o índice de risco.

 Criar uma recomendação e disponibilizá-la aos interessados de outros órgãos e


fundações sobre quais serão as novas formas de envio e recebimento dos
documentos dessa Unidade Barata Humana.
 Criar uma Coordenação para controle de microfilmagem dos dados que
existem nos arquivos dessa Unidade Barata Humana, e que esses documentos
estejam devidamente armazenados e que possam ser acessados a qualquer
momento a quem se interessar.
 Atribuir funções para que os arquivos em mídia estejam devidamente
guardados em locais apropriados e que suas cópias possam ser enviadas as
unidades externas a fim de que se tenham backups.

15
 Atribuir função de salvaguarda dos backups onde uma equipe será responsável
pelos documentos, assim como as disponibilizações quando estas forem
requeridas;
 Criar ações de conscientização dos processos de solicitação de documentos a
esta Unidade Barata Humana.

TRATAMENTO DOS RISCOS

Controle Risco Prioridade Forma de tratamento Responsável Prazo

A.5.1.1 Alto 1 Elaborar uma política de Gerente A,B,C 6 meses


segurança da informação.
A.6.1.2 Alto 1 Criar uma coordenação de Gerente A,B,C 6 meses
segurança da informação
A.6.1.5 Médio 2 Criar requisitos para Gerente B 9 meses
confidencialidade nos contratos.
A.6.2.3 Médio 2 Identificar segurança da Gerente B 12 meses
informação nos acordos com
terceiros.
A.7.1.1 Baixo 3 Criar inventário dos ativos. Gerente B 12 meses
A.7.2.1 Alto 1 Criar norma de classificação da Gerente A 6 meses
informação.
A.7.2.2 Médio 2 Criar rótulos e tratamento da Gerente A 9 meses
informação.
A.8.1.3 Médio 2 Criar termos e condições de Gerente B 9 meses
contratação.
A.8.2.2 Médio 2 Efetuar treinamento, educação e Gerente B 9 meses
conscientização em segurança da
informação aos funcionários.
A.9.1.1 Alto 1 Devem ser utilizados perímetros Gerente B 6 meses
de segurança.
A.9.1.4 Alto 1 Deve ser projetada e aplicada Gerente B 6 meses
proteção física contra desastres
naturais ou causados pelo
homem.
A.9.1.6 Médio 2 Criar controles nos pontos de Gerente B 9 meses
acesso público.
A.9.2.1 Médio 2 Criar mecanismos de proteção do Gerente C 9 meses
equipamento.
A.9.2.5 Médio 2 Criar norma de segurança de Gerente C 9 meses
equipamentos fora das
dependências da organização.
A.10.1.1 Baixo 3 Criar documentação dos Gerente C 12 meses
procedimentos de operação.
A.10.4.1 Alto 1 Implantados controles de Gerente C 6 meses
detecção, prevenção e
recuperação para proteger contra
códigos maliciosos.
A.10.7.1 Média 2 Criar procedimentos de Gerente C 9 meses
gerenciamento de mídias

16
removíveis.
A.10.7.2 Alto 1 Criar procedimentos de descarte Gerente C 6 meses
de mídias.
A.10.7.3 Alto 1 Criar procedimentos para Gerente A 6 meses
tratamento de informação.
A.10.8.4 Médio 2 Criar registros de auditoria. Gerente C 9 meses
A.11.1.1 Médio 2 Elaborar política de controle de Gerente C 9 meses
acesso lógico.
A.11.2.1 Baixo 3 Criar procedimento formal de Gerente C 12 meses
registro e cancelamento de
usuário.
A.11.2.2 Médio 2 Criar procedimento de Gerente C 9 meses
gerenciamento de privilégios.
A.11.2.3 Médio 2 Criar procedimento de senha do Gerente C 9 meses
usuário.
A.11.5.2 Baixo 3 Criar procedimento de Gerente C 12 meses
identificação e autenticação de
usuário.
A.12.3.1 Alto 1 Elaborar política para o uso de Gerente C 6 meses
controles criptográficos.
A.14.1.2 Alto 1 Estabelecer plano de Gerente A,B,C 6 meses
continuidade de negócios e
análise/avaliação de risco.
Gerente Departamento de Arquivos (A)
Gerente Departamento de Administração (B)
Gerente Departamento de informática (C)

COMUNICAÇÃO E MONITORAÇÃO

Haverá um canal de comunicação entre os envolvidos chamado: fórum


RISCO_BARATA, que servirá para enviar informações, alterações e observações que
necessitem de alguma ação rápida.
As demais informações e alterações que venham ser observados por parte dos
envolvidos na gestão, como críticas no modelo de gestão, mudança de fatores de risco
(impacto, probabilidade, critérios de avaliação) bem como alteração do prazo,
responsabilidade, entre outras, poderão ser levadas pelos interessados durante a
reunião que acontecerá no 5º dia útil de cada mês.

CONCLUSÃO

REFERENCIAS

 Norma ABNT NBR ISO/IEC 27000:2005


 Relatório de Gestão de Risco da Empresa Barata Humana

17