Este trabalho visa fazer uma avaliao geral da gesto de segurana de TI na empresa Mercurio Studio em comparao com a situao atual de gesto de segurana no mercado atualmente.
Para isto foi utilizado diversas mtricas qualitativas, citando: avaliao SWOT, avaliao da maturidade, anlise de riscos, mapa de apetite de risco e avaliao de vulnerabilidade
Estas formas de avaliao pretende apontar a situao atual da gesto de segurana de TI na empresa, bem como, fazendo um comparativo com outras empresas. Este comparativo feito atravs dos ndices de cada ferramenta. Objetivos
Como objetivo temos, levantar as possveis fraquezas e qualidades da empresa.
Pretendemos avaliar a maturidade no quesito gesto de segurana, fazer uma anlise dos riscos de seguranas, apontamentos de vulnerabilidades, bem como alinhas as possveis falhas nos processos.
Tudo isso tem como objetivo final, apresentar melhorias e solues na gesto de segurana da empresa estudada, bem como nas empresas em geral.
Hiptese
Com o uso do metodo quantitativo, pretendemos provar, analisar e tentar encontrar meios de contornar falhas na segurana (vamos melhorar este texto) da empresa Mercurio Studio. Focando principalmente em problemas de desleixo, falta de treinamento, preparo ou seja, na falha humana.
(isso objetivo) Pretendemos fazer uma avaliao completa da situao atual da gesto de segurana da empresa, avaliando ameas, vulnerabilidades, falhas, tambm como avaliar a qualidades e oportunidades que a empresa possui, provando assim a real utilidade da gesto de segurana de riscos.
3 Contextualizao
A literatura geral sobre gesto de segurana em TI, como deveria ser, pretende o mximo de controle possvel, visa gerenciar cada processo, cada vulnerabilidade, deixando o controle completo da segurana da empresa nas mos dos seus responsveis.
No dia a dia das empresas, na prtica, infelizmente, o gernciamento de segurana de TI no feito da forma ideal, muitas empresas no possuem gerenciamento, ou ele efeito de forma parcial e informal. Por outro lado j existem diversas empresas preocupadas com essa questo, as pessoas esto, cada vez mais enxergam a importncia de uma rede segura, de softwares seguros, bem como esto percebendo a importncia da padronizao dos processos de gesto de segurana de TI, visando o bem andar e a continuidade da empresa.
Falhas de segurana podem gerar srios problemas, inclusive problemas financeiros, seja por roubo de tecnologia ou informao, seja por falta de produtividade, seja por mal gerenciamento, cada vez a necessidade de uma boa gesto empresarial est relacionada com uma boa gesto de TI e de segurana de TI.
4
A aplicao dos frameworks
Mercado
O mercado esta sobrecarregado de empresas desse gnero e sem um diferencial, manter sua qualidades e confiana dos clientes acaba se perdendo trabalhos para os diversos concorrentes. um mercado que necessita muito de mo de obra especializada e cabe a empresa tomar uma deciso de foco na mo de obra, se pretente treinar estagiarios e ter uma mo de obra barata e que no de tanto lucro em primeiro momento ou expandir com mo de obra experiente, arcar com as despesas maiores. Levando em conta o mercado quente, a mo de obra escassa, voc tem sempre que considerar o problema de tecnologias que vo e vem com esses funcionarios.
Anlise SWOT
Fator Peso Nota Resultado Observao Foras (interna) Administrao experiente 0,15 4,00 0,60 A admistrao conhece a rea do negcio Equipe experiente 0,15 5,00 0,75 A equipe domina a parte tcnica. Motivao 0,10 5,00 0,50 A equipe est bem motivada. Venda 0,10 3,00 0,30 Poderia melhorar com novas ferramentas de cursos e ferramentas de CRM Fraquezas (interna) Custo operacional 0,15 2,00 0,30 O custo para manter a empresa inicialmente pode ser muito alto. Baixa produtividade 0,10 1,00 0,10 Inicialmente a equipe ser composta de somente duas pessoas Horrio flexvel 0,15 1,00 0,15 Horrio flexvel em acesso pode prejudicar a produtividade. Instalaes 0,10 1,00 0,10 No temos instalaes. Pode prejudicar negocios. Oportunidades (externa) Concorrentes 0,20 4,00 0,80 Poucos concorrentes na regio. Parcerias 0,20 5,00 1,00 Diversas parcerias de negocio esto acontecendo. 5 Mercado em crescimento 0,10 4,00 0,40 A demanda de mercado para o ramo de atividade tem se mostrado crescente. Ameaas (externa)
Novos entrantes 0,30 1,00 0,30 Com o aumento da demanda, novos competidores podem entrar no mercado. Nova empresa 0,20 2,00 0,40 Por ser uma nova empresa, pode demorar para conseguir novos clientes. Positivas 4,35 Negativas 1,35 Resultado 3,00 Notas: 1- Ruim 2-Mdia baixo 3-Mdia 4-Muito boa 5- Excelente
6
A anlise SWOT consiste em uma metodologia bastante popular no mbito empresarial. Uma anlise que visa obter as foras, fraquezas, oportunidades e ameaas relativas a empresa estudada. A sigla montada utilizando dos termos ingleses Strengths (Foras), Weaknesses (Fraquezas),Opportunities (Oportunidades) e Threats (Ameaas) Em Administrao de Empresas, a Anlise SWOT um importante instrumento utilizado para plajenamento estratgico que consiste em recolher dados importantes que caracterizam o ambiente interno (foras e fraquezas) e externo (oportunidades e ameaas) da empresa.
A empresa estudada teve um bom apontamento em caractersticas positivas, o que demonstra a sua viabilidade. Este anlise deveria ser feita em todas as empresas regularmente, principalmente antes de iniciar um novo negcio produto ou servio.
7
Avaliao de maturidade
Item Nvel Ingnuo Nvel Consciente Nvel Definido Nvel Gerenciado Nvel Habilitado Os objetivos da organizao esto claramente definidos Plano Diretor Viso Misso Possivelmente Sim - mas abordagem pode ser consciente Sim Sim Sim A direo conhece e compreende os riscos e as suas responsabilidades por eles No Algum treinamento limitado Sim Sim Sim Existe um conselho atuante no processo de Gesto de Riscos? No No Sim, mas ainda no se aplica . Instituio toda Sim Sim Existe um sistema de pontuao definido e conhecido para avaliar os riscos? No Improvvel, sem definio de abordagem consistente Sim Sim Sim Existe definio quanto ao mapa do apetite por riscos da organizao? No No Sim Sim Sim O mapa do apetite por riscos foi definido em termos do sistema de pontuao? No No Sim Sim Sim Processos foram definidos para determinar os riscos e os mesmos foram seguidos? No Improvvel Sim, mas ainda no se aplica . Organizao toda Sim Sim Todos os riscos foram compilados em uma lista? No Pode haver uma lista incompleta Sim, mas ainda no se aplica organizao toda Sim Sim Os riscos foram alocados a cargos especficos? No No Sim, mas ainda no se aplica organizao toda Sim Sim Todos os riscos foram avaliados de acordo com o sistema de pontuao definido? No Pode haver uma lista incompleta Sim, mas ainda no se aplica organizao toda Sim Sim Respostas para os riscos foram selecionadas e implementadas? No Algumas respostas identificadas Sim, mas ainda no se aplica organizao toda Sim SIm A direo estabeleceu mtodos para monitorar a operao adequada dos processos-chave, das respostas e dos planos de ao("controles de No Alguns controles de monitoramento Sim, mas ainda no se aplica a organizao Sim Sim 8 monitoramento")? toda Riscos so analisados pela instituio regularmente? No Alguns riscos so analisados criticamente, mas no frequentemente Anlises crticas regulares, provavelmente anuais Anlises crticas regulares, provavelmente trimestrais Anlises crticas regulares, provavelmente trimestrais ou contnuas Administrao relata a existncia ou surgimento de novos riscos aos superiores assim que so identificados? No No Sim, mas pode no ser um processo formal Sim Sim A administrao relata riscos para os superiores quando as respostas no manejaram os riscos para um nvel aceitvel para o conselho? No No Sim, mas pode no ser um processo formal Sim Sim Todos os projetos novos, significativos para a instituio so avaliados quanto a riscos rotineiramente? No No Maioria dos projetos Todos os projetos Todos os projetos Responsabilidade pela determinao, avaliao e manejo dos riscos est includa nas descries de cargos No No Limitada Maioria das descries de cargos Sim Administradores/gerentes do garantia da eficcia de sua gesto de riscos No No No Alguns gerentes Sim Gerentes so avaliados quanto ao seu desempenho na gesto de riscos No No No Alguns gerentes Sim Abordagem de Avaliao Interna Desconhece a gesto de riscos e se baseia em mtodos alternativos Promove abordagem corporativa de gesto de riscos, porm se baseia em mtodos alternativos Facilita a gesto de riscos, se relaciona com os processos da gesto de riscos, porm utilizada pela direo quando apropriado Implementa os processos de gesto de riscos e utiliza a avaliao dos riscos pela direo conforme apropriado Implementa os processos de gesto de riscos e os audita regularmente em toda a organizao rotineiramente
Classificao Indicao do avaliador Ingnuo: Nenhuma abordagem formal desenvolvida para a gesto de riscos 16 Consciente: Abordagem para a gesto de riscos dispersa em "silos" 13 Definido: Estratgia e polticas implementadas e comunicadas. Apetite por riscos definido 3 Gerenciado: Abordagem corporativa para a gesto de riscos desenvolvida e comunicada 0 Habilitado: Gesto de riscos e controles internos totalmente incorporados s operaes 0
9 A avaliao especifica deixa claro que a empresa no possui uma maturidade no quesito gesto de segurana de TI, a maioria do processo informal ou no existe, foi conversado com a equipe responsvel, eles notaram a importncia da gerncia, foi comentado sobre o custo evelado que alguns processos podem ter, mas foi despertado o interesse pela gerncia.
10
Planilha de riscos
11
CONSEQUNICA
1 2 3 4 5 Grau: PROBABILIDADE 5 5 20 45 80 125 Muito baixo
4 4 16 36 64 100 Baixo
3 3 12 27 48 75 Mdio
2 2 8 18 32 50 Alto
1 1 4 9 16 25 Muito alto RELEVNCIA
1 2 3 4 5
Esta planilha de riscos tendo como alguns ativos em foco visa em identificar, priorizar, planejar, divulgar, atualizar, monitorar. Usando de um cruzamento entre a probabilidade, consequncia e relevncia de cada uma das ameaas se concretizar, possivel se quantificar e tomar decises quanto a prioridades. Devido ao alto custo e a empresa ser pequena e nova, s foi levado em conta pela gerncia as ameaas de alto grau e sero tomados os devidos controles para evitar problemas maiores, como os 3 riscos altos so de dispositivos fisicos o maior controle no uso destes dentro da empresa e um caixa para caso estragos ou danificar esses equipamentos e possiveis trocas futuras.
12 Grau de aderncia
13
Na avaliao de aderencia, se idenfica que algumas mudanas j foram vistas logo depois do levantamento dos riscos, porem importante dar um periodo maior para realmente ver se estes resultados vo se manter, se vai desandar ou se vai surgir a necessidade de acrescentar mais coisas. 14 Anlise de vulnerabilidades
Usando a tabela e as formulas da anlise de vulnerabilidades se nota que alguns riscos que eram altos na avaliao de riscos se tornam medios na anlise de vulnerabilidades e 2 novos riscos aparecem como altos. Foi recomendado tratar eles com cuidado, que seja anlisado com cuidado o custo beneficio na hora que esta vulnerabilidade forem usadas e a empresa que muito dependente destes ativos tenha que ficar parada.
Concluso
Conclumos que a gesto de segurana em TI muito importante para empresas de todos os portes, apesar de que em pequenas empresas o processo ainda muito informal, ou deixado de lado.
Em empresas de mdio ou grande porte a gesto de segurana em TI uma ferramenta fundamental para o bem andar da empresa, mas importante cuidar para que a burocracia no torne-se um impeditivo na produtividade da empresa.
Acreditamos que importante fazer avaliaes regulares dos processos de gesto de segurana em TI para que os processos reflitam a situao corrente da empresa.