1.

Objetivo
Neste trabalho iremos analisar e tratar os riscos utilizando formas de segurana da

informao, utilizando os conceitos de anlise e gerenciamento de risco, avaliao de

consequncias e mecanismos de comunicao de riscos, utilizando planos de preveno e
recuperao de desastres.
O objetivo deste trabalho quantificar e discriminar o impacto dos riscos existentes dentro
de uma empresa e qual so o investimento que a empresa deve fazer para ter segurana em de sua
informao. Durante este trabalho avaliaremos as ameaas e vulnerabilidades dentro do ambiente
empresarial.

2. Identificao da Empresa
O Grupo Alren encontra-se ativa no mercado h mais de 20 anos na rea de
desenvolvimento de softwares para gesto hospitalar e laboratorial. Com mais de 100 clientes,
nossos sistemas controlam toda a parte gerencial, administrativa e financeira dos hospitais e
laboratrios. Todos os softwares so desenvolvidos com plataformas e conceitos atualizados.
Atualmente a sede do Grupo Alren est localizada na cidade de Taubat SP.
A misso do Grupo Alren prestar um servio e um atendimento de qualidade para
satisfazer os nossos clientes atendendo todas as necessidades e expectativas de forma inovadora e
com comprometimento.
A equipe do Grupo Alren formada por 24 pessoas sendo:

cinco programadores snior;

trs designers;
um analista de sistemas;
dois database managers;
um gerente de projetos;
cinco vendedores externos;
um gerente de vendas;
trs responsveis pelo financeiros;
um gerente de recursos humanos; e
dois scios proprietrios da empresa

Neste trabalho descreveremos como realizado o procedimento de anlise de risco no

Grupo Alren.

3. Anlise a avaliao dos riscos de segurana da informao

3.1 Anlise dos riscos
Como o grupo Alren foca especialmente no desenvolvimento de sistemas para a rea
hospitalar e laboratorial, todos as informaes gerenciadas e manipuladas so de carter sigiloso.
Toda a poltica de segurana focada principalmente da confidencialidade, de forma que toda a
manipulao tenha que ser autorizada.
Analisando todo o contexto da empresa, classificamos os riscos em Tecnolgico, Humano,
Processos e Fsico. Na Tabela 1, listamos os riscos separados por tipo:

Tipos de Riscos
Tecnolgico

Riscos
1. Queima de um ou mais servidores que hospedam os sistemas e

banco de dados dos clientes

2. Mudana de tecnologia de desenvolvimento de sistemas
3. Interrupo no fornecimento de energia eltrica
Pessoal
4. Manipulao das informaes de forma incorreta
5. Funcionrio descontente com a empresa
6. Roubo de informaes por pessoas no autorizadas
Organizacional
7. Informaes incoerentes entre os departamentos
8. No responsabilizao de atividades aos funcionrios
Tabela 1. Tipos de Riscos

Na Tabela 2 avaliamos a probabilidade do incidente do risco ocorrer e qual o impacto ao

Negcio ou SI:
Probabilidad

Muito

e do
Impacto ao
Negcio ou

Incidente
Muito Baixo
Baixo

Baixa

Baixa
0
1

1
2

Mdia
2
3

Alta
3
4
Risco 8

Muito Alta
4
5

SI

Mdio
Alto

6
7

Risco 7
6

Risco 2
5

Risco 5
6

Risco 6
7

Risco 1

Risco 4

Muito Alto

Risco 3
Tabela 2 . Probabilidade do Incidente por Impacto ao Negcio ou SI
No Risco 1, a probabilidade de incidente e o impacto ao negcio ou SI alta pois a queima
do servidor pode ocorrer devido a uma queda ou pico de energia, um mal funcionamento da rede
de distribuio de energia, ou at mesmo um uso indevido do computador, e essa falta de acesso as
informaes pode ocasionar a perda de dados indispensveis ao funcionamento da empresa e na
sade do cliente.
No Risco 2, a probabilidade do incidente baixa e o impacto ao negcio ou SI alta, pois
tecnologia utilizada para o desenvolvimento do software influencia diretamente na entrega do
produto final. Como os sistemas rodam em tempo real, a troca de tecnologia pode gerar perda de
informaes e atrasos na entrega de resultados laboratoriais.
No Risco 3, a probabilidade do incidente alta e o impacto ao negcio ou SI tambm ,
pois a falta de energia ir interromper o funcionamento da empresa e pode ocasionar a queima de
equipamentos.
No Risco 4, a probabilidade do incidente e o impacto ao negcio ou SI muito alta, pois
uma informao incoerente ou mal entendida ao ser programada em um de nossos sistemas pode
ocasionar um diagnstico errado, podendo causar a morte de um paciente. Porm muito comum
ocorrer falha de comunicao principalmente entre pessoas durante a manipulao das
informaes.
No Risco 5, a probabilidade do incidente mdia e o impacto ao negcio ou SI alto, pois
comum as empresas possurem funcionrios no motivados e descontentes, e possuindo acessos a
informaes confidenciais da empresa. Um funcionrio descontente com a empresa pode utilizar as
informaes acessadas em seu beneficio ou para prejudicar a empresa.

No Risco 6, a probabilidade do incidente e o impacto ao negcio ou SI alta pois qualquer

funcionrio pode ter acesso ao um computador da empresa e roubar as informaes restritas da
empresa contidas no computador.
No Risco 7, a probabilidade do incidente alta e o impacto ao negcio ou SI mdia, pois
geralmente a comunicao entre os departamentos no realizada de forma documental, que pode
gerar inconsistncias na tomada de decises da empresa.
No Risco 8, a probabilidade do incidente alta e o impacto ao negcio ou SI baixa, pois
muito comum as empresas no atribuir responsabilidades aos funcionrios, porm quando no
executada no h um responsvel para a execuo, e a tarefa acaba no sendo realizada.

3.2 Tratamento apropriado aos riscos

Aps a anlise, classificao e avaliao dos riscos, destacaremos as formas que sero
utilizadas para o tratamento destes riscos. Nesta etapa so citadas as formas mais apropriadas para
o tratamento de um risco, avaliando a importncia de cada risco.
Para a avaliao dos tratamentos utilizou-se como referencia a norma ISO 27001, que
prov de diversas ferramentas e controles para melhorar a segurana de informao em uma
empresa de forma metodolgica, processual e na conformidade para garantia de qualidade e
confidencialidade comercial.

Riscos
Queima de um ou mais

Preveno e Tratamento
Todos os computadores que so servidores passaram por

servidores que hospedam

manuteno preventiva todo ms.

os sistemas e banco de

Utilizao de servidores especiais para backup de forma que ao

dados dos clientes

parar um dos servidores o backup assuma, evitando a parada

Mudana de tecnologia

do sistema ou do banco de dados

As novas tecnologias sero testadas antes de ser implementada

de desenvolvimento de

nos sistemas.

sistemas

Todas as mudanas de tecnologia sero realizadas de forma

paralela de forma que no haja interrupo do servio

Interrupo no

Todos os equipamentos prescindveis ao funcionamento da

fornecimento de energia

empresa estaro conectados a um no-break.

eltrica

Ao interromper o fornecimento de energia ser utilizado um

Manipulao das

gerador para que os servidores no parem de funcionar.

Todas as informaes referentes empresa e ao

informaes de forma

desenvolvimento de software sero documentadas, e ficaram

incorreta

disponveis para que a equipe responsvel tenha as

Funcionrio descontente

informaes corretas.
Todos os funcionrios possuem um computador com Endereo

com a empresa

de IP fixo e um usurio de acesso nico. Todos os acessos so

gravados em um servidor e analisados pela equipe responsvel.
Caso o funcionrio faa algo inapropriado, este ser

Roubo de informaes

comunicado juntamente com o administrativo

proibida a utilizao de mdias digitais que no pertenam a

por pessoas no

empresa.

autorizadas

Ao demitir um funcionrio todo o seu acesso aos sistemas e

Informaes incoerentes

aos computadores so desativados.

Todas as informaes referentes empresa e ao

entre os departamentos

desenvolvimento de software sero documentadas de acordo

com o departamento envolvido, e ficaram disponveis para que

No responsabilizao de

a equipe responsvel tenha as informaes corretas.

Todos os funcionrios ao entrar na empresa, assinaram um

atividades aos

termo de responsabilidade por uma determinada tarefa. O no

funcionrios
cumprimento da tarefa fica a cargo do responsvel
Tabela 3 Previso e Tratamento de cada risco

Referencias Bibliograficas

http://www.blogsegurancadotrabalho.com.br/2015/07/como-fazer-uma-analise-de-risco.html

http://www.venki.com.br/blog/analise-e-gerenciamento-de-riscos/

http://segurancadotrabalhonwn.com/como-fazer-analise-de-risco/

http://www.infoprotect.com.br/consultoria/analise-de-risco/

https://securityinformationnews.wordpress.com/2014/01/12/como-elaborar-uma-analise-de-riscos/

http://riscotecnologico.cetesb.sp.gov.br/estudo-de-analise-de-risco/norma-cetesb-p4-261/

http://www.cin.ufpe.br/~if717/Pmbok2000/pmbok_v2p/wsp_11.3.html

http://advisera.com/27001academy/pt-br/blog/2014/02/11/visao-geral-do-anexo-a-da-iso270012013/?icn=free-blog-27001&ici=top-visao-geral-do-anexo-a-da-iso-27001-2013-txt

https://web.fe.up.pt/~jmcruz/seginf/seginf.1314/trabs-als/final/G4-ISO.27000.final.pdf

https://web.fe.up.pt/~jmcruz/seginf/seginf.1314/trabs-als/final/G4-ISO.27000.final.pdf