1

Avaliao de gesto de segurana em tecnologia

na Mercurio Studio

























Eduardo Bonfandini
Miguel Wolf

2

Resumo

Este trabalho visa fazer uma avaliao geral da gesto de segurana de TI na empresa
Mercurio Studio em comparao com a situao atual de gesto de segurana no mercado
atualmente.

Para isto foi utilizado diversas mtricas qualitativas, citando: avaliao SWOT, avaliao
da maturidade, anlise de riscos, mapa de apetite de risco e avaliao de vulnerabilidade

Estas formas de avaliao pretende apontar a situao atual da gesto de segurana
de TI na empresa, bem como, fazendo um comparativo com outras empresas. Este
comparativo feito atravs dos ndices de cada ferramenta.
Objetivos

Como objetivo temos, levantar as possveis fraquezas e qualidades da empresa.

Pretendemos avaliar a maturidade no quesito gesto de segurana, fazer uma anlise
dos riscos de seguranas, apontamentos de vulnerabilidades, bem como alinhas as possveis
falhas nos processos.

Tudo isso tem como objetivo final, apresentar melhorias e solues na gesto de
segurana da empresa estudada, bem como nas empresas em geral.

Hiptese

Com o uso do metodo quantitativo, pretendemos provar, analisar e tentar encontrar
meios de contornar falhas na segurana (vamos melhorar este texto) da empresa Mercurio
Studio. Focando principalmente em problemas de desleixo, falta de treinamento, preparo ou
seja, na falha humana.

(isso objetivo) Pretendemos fazer uma avaliao completa da situao atual da
gesto de segurana da empresa, avaliando ameas, vulnerabilidades, falhas, tambm como
avaliar a qualidades e oportunidades que a empresa possui, provando assim a real utilidade da
gesto de segurana de riscos.




3
Contextualizao

A literatura geral sobre gesto de segurana em TI, como deveria ser, pretende o
mximo de controle possvel, visa gerenciar cada processo, cada vulnerabilidade, deixando o
controle completo da segurana da empresa nas mos dos seus responsveis.

No dia a dia das empresas, na prtica, infelizmente, o gernciamento de segurana de
TI no feito da forma ideal, muitas empresas no possuem gerenciamento, ou ele efeito de
forma parcial e informal.
Por outro lado j existem diversas empresas preocupadas com essa questo, as
pessoas esto, cada vez mais enxergam a importncia de uma rede segura, de softwares
seguros, bem como esto percebendo a importncia da padronizao dos processos de gesto
de segurana de TI, visando o bem andar e a continuidade da empresa.

Falhas de segurana podem gerar srios problemas, inclusive problemas financeiros,
seja por roubo de tecnologia ou informao, seja por falta de produtividade, seja por mal
gerenciamento, cada vez a necessidade de uma boa gesto empresarial est relacionada com
uma boa gesto de TI e de segurana de TI.



4

A aplicao dos frameworks

Mercado

O mercado esta sobrecarregado de empresas desse gnero e sem um diferencial,
manter sua qualidades e confiana dos clientes acaba se perdendo trabalhos para os diversos
concorrentes.
um mercado que necessita muito de mo de obra especializada e cabe a empresa
tomar uma deciso de foco na mo de obra, se pretente treinar estagiarios e ter uma mo de
obra barata e que no de tanto lucro em primeiro momento ou expandir com mo de obra
experiente, arcar com as despesas maiores.
Levando em conta o mercado quente, a mo de obra escassa, voc tem sempre que
considerar o problema de tecnologias que vo e vem com esses funcionarios.


Anlise SWOT

Fator Peso Nota Resultado Observao
Foras (interna)
Administrao
experiente 0,15 4,00 0,60 A admistrao conhece a rea do negcio
Equipe experiente 0,15 5,00 0,75 A equipe domina a parte tcnica.
Motivao 0,10 5,00 0,50 A equipe est bem motivada.
Venda 0,10 3,00 0,30
Poderia melhorar com novas ferramentas de
cursos e ferramentas de CRM
Fraquezas (interna)
Custo operacional 0,15 2,00 0,30
O custo para manter a empresa inicialmente pode
ser muito alto.
Baixa produtividade 0,10 1,00 0,10
Inicialmente a equipe ser composta de somente
duas pessoas
Horrio flexvel 0,15 1,00 0,15
Horrio flexvel em acesso pode prejudicar a
produtividade.
Instalaes 0,10 1,00 0,10 No temos instalaes. Pode prejudicar negocios.
Oportunidades
(externa)
Concorrentes 0,20 4,00 0,80 Poucos concorrentes na regio.
Parcerias 0,20 5,00 1,00 Diversas parcerias de negocio esto acontecendo.
5
Mercado em
crescimento
0,10 4,00
0,40
A demanda de mercado para o ramo de atividade
tem se mostrado crescente.
Ameaas (externa)

Novos entrantes 0,30 1,00
0,30
Com o aumento da demanda, novos competidores
podem entrar no mercado.
Nova empresa 0,20 2,00
0,40
Por ser uma nova empresa, pode demorar para
conseguir novos clientes.
Positivas 4,35
Negativas 1,35
Resultado 3,00
Notas: 1- Ruim 2-Mdia baixo 3-Mdia 4-Muito boa 5- Excelente

6

A anlise SWOT consiste em uma metodologia bastante popular no mbito empresarial.
Uma anlise que visa obter as foras, fraquezas, oportunidades e ameaas relativas a
empresa estudada. A sigla montada utilizando dos termos ingleses Strengths (Foras),
Weaknesses (Fraquezas),Opportunities (Oportunidades) e Threats (Ameaas)
Em Administrao de Empresas, a Anlise SWOT um importante instrumento
utilizado para plajenamento estratgico que consiste em recolher dados importantes que
caracterizam o ambiente interno (foras e fraquezas) e externo (oportunidades e ameaas) da
empresa.

A empresa estudada teve um bom apontamento em caractersticas positivas, o que
demonstra a sua viabilidade. Este anlise deveria ser feita em todas as empresas
regularmente, principalmente antes de iniciar um novo negcio produto ou servio.



7

Avaliao de maturidade

Item Nvel
Ingnuo
Nvel
Consciente
Nvel
Definido
Nvel
Gerenciado
Nvel
Habilitado
Os objetivos da organizao esto claramente
definidos
Plano Diretor
Viso
Misso
Possivelmente Sim - mas abordagem
pode ser consciente
Sim Sim Sim
A direo conhece e compreende os riscos e as
suas responsabilidades por eles
No Algum treinamento
limitado
Sim Sim Sim
Existe um conselho atuante no processo de Gesto
de Riscos?
No No Sim, mas ainda
no se aplica .
Instituio toda
Sim Sim
Existe um sistema de pontuao definido e
conhecido para avaliar os riscos?
No Improvvel, sem
definio de
abordagem consistente
Sim Sim Sim
Existe definio quanto ao mapa do apetite por
riscos da organizao?
No No Sim Sim Sim
O mapa do apetite por riscos foi definido em termos
do sistema de pontuao?
No No Sim Sim Sim
Processos foram definidos para determinar os
riscos e os mesmos foram seguidos?
No Improvvel Sim, mas ainda
no se aplica .
Organizao
toda
Sim Sim
Todos os riscos foram compilados em uma lista? No Pode haver uma lista
incompleta
Sim, mas ainda
no se aplica
organizao
toda
Sim Sim
Os riscos foram alocados a cargos especficos? No No Sim, mas ainda
no se aplica
organizao
toda
Sim Sim
Todos os riscos foram avaliados de acordo com o
sistema de pontuao definido?
No Pode haver uma lista
incompleta
Sim, mas ainda
no se aplica
organizao
toda
Sim Sim
Respostas para os riscos foram selecionadas e
implementadas?
No Algumas respostas
identificadas
Sim, mas ainda
no se aplica
organizao
toda
Sim SIm
A direo estabeleceu mtodos para monitorar a
operao adequada dos processos-chave, das
respostas e dos planos de ao("controles de
No Alguns controles de
monitoramento
Sim, mas ainda
no se aplica a
organizao
Sim Sim
8
monitoramento")? toda
Riscos so analisados pela instituio
regularmente?
No Alguns riscos so
analisados
criticamente, mas no
frequentemente
Anlises
crticas
regulares,
provavelmente
anuais
Anlises
crticas
regulares,
provavelmente
trimestrais
Anlises
crticas
regulares,
provavelmente
trimestrais ou
contnuas
Administrao relata a existncia ou surgimento de
novos riscos aos superiores assim que so
identificados?
No No Sim, mas pode
no ser um
processo
formal
Sim Sim
A administrao relata riscos para os superiores
quando as respostas no manejaram os riscos
para um nvel aceitvel para o conselho?
No No Sim, mas pode
no ser um
processo
formal
Sim Sim
Todos os projetos novos, significativos para a
instituio so avaliados quanto a riscos
rotineiramente?
No No Maioria dos
projetos
Todos os
projetos
Todos os
projetos
Responsabilidade pela determinao, avaliao e
manejo dos riscos est includa nas descries de
cargos
No No Limitada Maioria das
descries de
cargos
Sim
Administradores/gerentes do garantia da eficcia
de sua gesto de riscos
No No No Alguns
gerentes
Sim
Gerentes so avaliados quanto ao seu
desempenho na gesto de riscos
No No No Alguns
gerentes
Sim
Abordagem de Avaliao Interna Desconhece a
gesto de riscos
e se baseia em
mtodos
alternativos
Promove abordagem
corporativa de gesto
de riscos, porm se
baseia em mtodos
alternativos
Facilita a
gesto de
riscos, se
relaciona com
os processos
da gesto de
riscos, porm
utilizada pela
direo quando
apropriado
Implementa os
processos de
gesto de
riscos e utiliza a
avaliao dos
riscos pela
direo
conforme
apropriado
Implementa os
processos de
gesto de
riscos e os
audita
regularmente
em toda a
organizao
rotineiramente


Classificao Indicao do avaliador
Ingnuo: Nenhuma abordagem formal desenvolvida para a gesto de riscos 16
Consciente: Abordagem para a gesto de riscos dispersa em "silos" 13
Definido: Estratgia e polticas implementadas e comunicadas. Apetite por riscos definido 3
Gerenciado: Abordagem corporativa para a gesto de riscos desenvolvida e comunicada 0
Habilitado: Gesto de riscos e controles internos totalmente incorporados s operaes 0



9
A avaliao especifica deixa claro que a empresa no possui uma maturidade no
quesito gesto de segurana de TI, a maioria do processo informal ou no existe, foi
conversado com a equipe responsvel, eles notaram a importncia da gerncia, foi comentado
sobre o custo evelado que alguns processos podem ter, mas foi despertado o interesse pela
gerncia.



10

Planilha de riscos











11


CONSEQUNICA

1 2 3 4 5
Grau: PROBABILIDADE 5 5 20 45 80 125
Muito baixo

4 4 16 36 64 100
Baixo

3 3 12 27 48 75
Mdio

2 2 8 18 32 50
Alto

1 1 4 9 16 25
Muito alto RELEVNCIA

1 2 3 4 5


Esta planilha de riscos tendo como alguns ativos em foco visa em identificar, priorizar,
planejar, divulgar, atualizar, monitorar.
Usando de um cruzamento entre a probabilidade, consequncia e relevncia de cada
uma das ameaas se concretizar, possivel se quantificar e tomar decises quanto a
prioridades.
Devido ao alto custo e a empresa ser pequena e nova, s foi levado em conta pela
gerncia as ameaas de alto grau e sero tomados os devidos controles para evitar problemas
maiores, como os 3 riscos altos so de dispositivos fisicos o maior controle no uso destes
dentro da empresa e um caixa para caso estragos ou danificar esses equipamentos e possiveis
trocas futuras.













12
Grau de aderncia


13

Na avaliao de aderencia, se idenfica que algumas mudanas j foram vistas logo depois do
levantamento dos riscos, porem importante dar um periodo maior para realmente ver se estes
resultados vo se manter, se vai desandar ou se vai surgir a necessidade de acrescentar mais
coisas.
14
Anlise de vulnerabilidades

Usando a tabela e as formulas da anlise de vulnerabilidades se nota que alguns riscos
que eram altos na avaliao de riscos se tornam medios na anlise de vulnerabilidades e 2
novos riscos aparecem como altos.
Foi recomendado tratar eles com cuidado, que seja anlisado com cuidado o custo
beneficio na hora que esta vulnerabilidade forem usadas e a empresa que muito dependente
destes ativos tenha que ficar parada.

Concluso

Conclumos que a gesto de segurana em TI muito importante para empresas de
todos os portes, apesar de que em pequenas empresas o processo ainda muito informal, ou
deixado de lado.

Em empresas de mdio ou grande porte a gesto de segurana em TI uma
ferramenta fundamental para o bem andar da empresa, mas importante cuidar para que a
burocracia no torne-se um impeditivo na produtividade da empresa.

Acreditamos que importante fazer avaliaes regulares dos processos de gesto de
segurana em TI para que os processos reflitam a situao corrente da empresa.

Mapa conceitual

Referncias

http://www.significados.com.br/swot/