Relatório de Risco

..
Relatório de Análise
..
..
..
..
..
..
de Riscos
..
..
..
..
..
..
..
..
..
..
..
..
..
.. Tribunal Regional do Trabalho da 13ª Região
..
..
.. ANÁLISE DATACENTER
..
..
.. RODRIGO MAFRA
.. CHEFE SETOR DE SEGURANÇA DA INFORMAÇÃO
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
.. Análise Completa
..
.. 21/07/2011
..
..
..
..
..
..
..
..
..
V. 300 TRT 13 7/21/2011 DOCUMENTO RESTRITO

..
.. RELATÓRIO DE ANÁLISE DE RISCOS
..
..
..
..
..
..
.. ATENÇÃO
..
..
.. As informações existentes neste documento e em seus anexos são para uso restrito aos usuários do sistema
.. “Modulo Risk Manager ™” desenvolvido pela Módulo Security Solutions S.A, sendo seu sigilo protegido por lei.
..
.. Caso não tenha autorização de acesso a estas informações, saiba que sua leitura, divulgação e cópia são proibidas.
.. O uso impróprio será tratado pela legislação em vigor com base em acordos de sigilo.
..
.. Os controles existentes nos Knowledge Bases são criação e/ou objeto de compilação da Módulo Security Solutions
.. S/A, encontrando-se protegido pela legislação de direito autoral. A reprodução não autorizada, em todo ou em parte,
..
.. gerará a competente responsabilização civil e criminal dos responsáveis.
..
..
..
..
..
.. Convém que todos os controles de segurança sejam avaliados em relação à sua aplicabilidade, antes da
.. implementação em ambiente de produção.
..
.. Os responsáveis pela implementação devem saber que as recomendações técnicas apresentadas no anexo deste
.. Relatório são válidas para sistemas genéricos.
..
.. Em ambientes de produção, deve-se sempre avaliar o impacto de se habilitar ou desabilitar qualquer serviço. Da
.. mesma forma, a alteração de parâmetros de configuração ou de permissões no sistema de arquivos pode causar
.. impactos sobre aplicações e devem levar em conta as características do sistema em análise.
..
.. Quaisquer resultados alcançados com o uso pelo cliente de Knowledge Bases criados por ele através da ferramenta
.. Editor de Knowledge Bases do sistema Modulo Risk Manager serão de responsabilidade do próprio cliente. A
..
.. criação de Knowledge Bases com metodologia diferente da utilizada pela Módulo Security no desenvolvimento de
.. Knowledge Bases pode levar a resultados (inclusive indicadores de riscos) distorcidos ou tendenciosos. A Módulo
.. Security não será responsável por validar, comentar ou suportar Knowledge Bases criados pelo cliente ao usar o
.. Editor de Knowledge Bases, ou ainda por qualquer espécie de erro ou distorção ocorridos mediante uso destes
..
.. Knowledge Bases pelo cliente.
..
..
..
..
..
..
..
..
..
..
.. www.trt13.jus.br
..
..
..
..
..
..
..
..
..
.. Modulo Security Solutions S.A.
.. www.modulo.com.br
..
..
..
..
..
..
..
..
..
..
..
..
..
TRT 13 7/21/2011 DOCUMENTO RESTRITO - 2/26

..
..
..
..
..
..
.. Sumário
..
..
.. 1. SUMÁRIO EXECUTIVO .............................................................4
4. ANÁLISE DE RISCO CONSOLIDADA........................................ 15
..
.. 1.1. APRESENTAÇÃO ................................................................................4
4.1. RISCOS POR NÍVEIS ........................................................................ 15
.. 1.2. LIMITAÇÕES EXISTENTES...................................................................4
.. 1.3. METODOLOGIA ..................................................................................5 4.2. RISCO POR AGENTES (DAS AMEAÇAS) ............................................ 17
.. 1.4. CÁLCULO DO RISCO – PSR® ............................................................5 4.3. RISCOS POR AMEAÇAS AO NEGÓCIO ............................................... 18
.. 1.5. TIPOS DE ATIVOS INVESTIGADOS .......................................................6 4.4. RISCOS POR TIPO DE ATIVO ............................................................ 19
.. 4.5. DISTRIBUIÇÃO DO GRAU DE RISCO POR TIPO DE ATIVOS.................. 19
.. 2. PRINCIPAIS CONCLUSÕES ......................................................7 4.6. RISCOS POR PERÍMETROS .............................................................. 20
.. 4.7. RISCOS POR ATIVOS (QUANTITATIVO).............................................. 20
.. 2.1. GESTÃO POR INDICADORES ...............................................................7
.. 2.2. CONTROLES POR SITUAÇÃO ..............................................................8
4.8. RISCOS POR ATIVOS (QUALITATIVO)................................................ 20
.. 4.9. DISTRIBUIÇÃO DOS RISCOS POR ATIVO............................................ 20
.. 2.3. CONTROLES POR NÍVEL DE RISCO ......................................................9
.. 2.4. CONTROLES NÃO IMPLEMENTADOS EM ATIVOS (COMPLIANCE) .........10 5. RISCOS POR COMPONENTE DE NEGÓCIO ............................... 21
.. 2.5. RISCOS ENCONTRADOS NOS ATIVOS (RISK).....................................11
.. 2.6. CONCLUSÕES E PRÓXIMOS PASSOS ................................................11 5.1. CN - DATACENTER ......................................................................... 21
..
.. 3. ESCOPO DA ANÁLISE ...........................................................13 6. ANEXOS ............................................................................. 22
..
.. 3.1. PERÍMETROS CONSIDERADOS .........................................................13 6.1. PROCESSO DE NEGÓCIO X SISTEMA................................................ 22
.. 3.2. ATIVOS CONSIDERADOS ..................................................................13 6.2. AGENTES X AMEAÇAS ..................................................................... 22
.. 3.3. AGENTES CONSIDERADOS...............................................................13 6.3. AMEAÇAS ....................................................................................... 24
.. 3.4. TIPOS DE KNOWLEDGE BASES UTILIZADOS ......................................14
..
.. 3.5. EQUIPE ENVOLVIDA NAS ANÁLISES ..................................................14
..
..
..
..
..
..
..
.. Outros Relatórios Associados:
..
..
.. Relatório Operacional de Riscos
.. Relatório técnico detalhado dos controles e recomendações, priorizados pelo seu nível de risco,
.. consolidado por ativo.
..
..
.. Risco em Ativos e Componentes
..
.. Relatório Gerencial dos Riscos aos ativos e nos seus componentes.
..
..
.. Risco nos Ativos por Tipo (Tecnologia, Ambiente, Processo e Pessoa).
.. É um Relatório Gerencial dos Riscos agrupados por um dos tipos acima definidos.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 1. SUMÁRIO EXECUTIVO
..
..
.. 1.1. Apresentação
..
..
.. Este documento apresenta o resultado final da análise de riscos no TRT 13. A execução de uma análise de risco é vital para
.. apoiar na priorização das ações para minimizar o risco existente e engloba as seguintes atividades:
..
.. Definição do escopo a ser analisado
..
..
.. Levantamentos nos ativos (investigações, entrevistas, vistorias às instalações, análise de documentos).
..
.. Consolidação das informações
..
.. O documento está dividido em 4 (quatro) seções:
..
.. Sumário Executivo
..
.. Escopo
..
.. Análise de Risco
..
.. Resultado das investigações
..
.. No sumário executivo são tratados assuntos referentes aos objetivos, metodologia, limitações e principais conclusões. Na
..
.. seção escopo são tratadas as considerações sobre os perímetros, ativos, componentes de negócio, agentes e tipos de
..
.. Knowledge Bases utilizados.
..
.. A seção análise de risco possui informações estratégicas sobre os riscos, a saber:
..
.. Ameaças e seus agentes,
..
.. Principais ativos com risco e
..
.. Riscos encontrados nos componentes de negócio, bem como a consolidação por tipo de ativo.
..
.. Na seção resultado das investigações estão consolidadas as informações sobre os riscos encontrados na análise
..
.. realizada.
..
..
.. 1.2. Limitações Existentes
..
.. Os resultados encontrados basearam-se essencialmente nos Knowledge Bases existentes no Modulo Risk Manager
..
.. ™. Estes resultados devem ser utilizados como insumos permitindo que o tratamento dos riscos seja executado na
..
.. instituição conforme as melhores práticas do mercado.
..
.. implementação em ambiente de produção. Os responsáveis pela implementação devem saber que as
..
.. recomendações técnicas apresentadas no anexo deste Relatório são válidas para sistemas genéricos.
..
.. Em ambientes de produção, deve-se sempre avaliar o impacto de se habilitar ou desabilitar qualquer serviço. Da
..
.. mesma forma, a alteração de parâmetros de configuração ou de permissões no sistema de arquivos pode causar
.. impactos sobre aplicações e devem levar em conta as características do sistema em análise.
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 1.3. Metodologia
..
.. Este trabalho está baseado na metodologia GRC MetaFramework, exclusiva da Modulo Security Solutions S.A. em
..
.. conformidade com as diretrizes descritas na NBR ISO/IEC 17799, NBR ISO/IEC 27001, ISO/TR 13335 e ISO Guide 73 – Risk
.. management – Vocabulary – Guidelines for use in Standards.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
.. Para as análises foi utilizado o software especialista Modulo Risk Manager - Sistema de Análise de Risco e Gestão de
..
.. Conhecimento em Segurança da Informação que verifica a existência de controles aplicáveis em cada ambiente, a partir de
..
.. ampla base de conhecimento constantemente atualizada.
..
..
.. 1.4. Cálculo do Risco – PSR®
..
.. Em conformidade com a ISO Guide 73, que define o risco como “a combinação da probabilidade de um evento e sua
..
.. conseqüência”, o Modulo Risk Manager considera para cálculo do risco um índice (PSR®) que representa a estimativa
.. destes fatores.
..
.. Este valor PSR® representa o grau de risco associado à ausência de um controle, e sendo calculado pela equação Risco =
..
.. Probabilidade x Severidade x Relevância, onde os fatores da Probabilidade e Severidade são pontuados durante as análises
..
.. técnicas e a Relevância pontuada considerando-se a visão do negócio, em termos da relevância do ativo para a organização.
..
..
..
.. PROBABILIDADE SEVERIDADE RELEVÂNCIA
.. É a possibilidade da vulnerabilidade (na É a conseqüência na segurança da informação É o grau de importância do Ativo para
..
.. falta do controle) ser explorada pelas caso as ameaças explorem a vulnerabilidade nos o negócio da instituição considerando
.. ameaças. aspectos de Confidencialidade, Integridade e os componentes de negócio que ele
.. Disponibilidade. apóia.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
.. 1.5. Tipos de Ativos Investigados
..
.. Os ativos analisados são agrupados nos seguintes tipos:
..
..
..
..
.. Tipo Descrição
..
.. Tecnologia Ativos físicos de conectividade (Switch, roteador, Hub, etc.), hardware de servidores (Risc, Intel, etc.),
.. estações de trabalho, computação móvel e outros equipamentos (telefones celulares, Palmpilot, etc.).
.. Também se inserem neste tipo qualquer software que esteja dentro de servidores ou computadores,
..
.. podendo ser Sistema Gerenciador de Banco de Dados, Servidores de WEB, sistemas operacionais e
.. aplicativos específicos.
..
..
.. Pessoas Pessoas ou funções que detêm informações ou componentes importantes para o negócio. Podem ser
.. usuários, gerentes, administradores de rede, analistas de sistemas, etc.
..
..
.. Ambientes Ambientes críticos ou sensíveis ao negócio. Podem ser salas de servidores, Data centers,
.. salas/escritórios ou ambientes de fábrica.
..
..
.. Processos Práticas e Processos críticos ou sensíveis ao negócio. Podem ser processos de planos de
.. contingência, processo de política de segurança, etc.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 2. PRINCIPAIS CONCLUSÕES
..
..
.. 2.1. Gestão por Indicadores
..
..
.. A gestão de segurança da informação orientada por indicadores permite algumas conclusões que orientam priorização das
.. decisões de correções (ou implementações).
..
.. Os indicadores utilizados são :
..
..
.. Compliance Index (Indicador de Conformidade) – Este indicador é calculado dividindo-se a quantidade total de controles
.. implementados pela quantidade total de controles aplicáveis. Este indicador é expresso em números percentuais e pode
..
.. variar de 0% a 100%.
..
.. Security Index (Indicador de Segurança) – Este indicador é calculado dividindo-se o total de riscos dos controles
..
.. implementados (PSR evitado) pelo total de riscos dos controles aplicáveis (PSR total). Este indicador também é expresso em
.. números percentuais e pode variar de 0% a 100%.
..
.. PSR (Indicador de Risco absoluto) – Este indicador é calculado através soma dos resultados de PSR (multiplicação dos
..
.. fatores P, S e R em cada controle) dos controles que não estão implementados.
..
..
..
.. Controles Aplicáveis (112) Riscos Aplicáveis (6430)
..
.. Controles Implementados Controles não Implementados Riscos Evitados Riscos Existentes
..
.. (64) – 57.14% (48) – 42.86% (3500) – 54.43% (2930) – 45.57%
..
..
..
..
.. Compliance Index (visão Quantitativa)
..
.. O gráfico a seguir nos mostra que do total de 112 controles aplicáveis na análise, 48 não estão implementados (42.86%).
.. Assim, o resultado do Compliance Index foi de 57.14%. Deve-se observar que quanto maior for este valor, mais em
..
.. conformidade estarão os resultados com a base de Knowledge Bases utilizada. Como se pode observar na tabela anterior, o
..
.. Non-Compliance Index encontrado foi de 42.86%.
..
..
.. Por Controles
..
.. 112
.. 120
.. 100
..
.. 80
64
.. 48
.. 60
.. 40
..
.. 20
..
.. 0
Controles Aplicáveis Controles Implementados Controles Não Implementados
..
..
..
.. Security Index (Visão Qualitativa)
..
.. Analogamente, o gráfico a seguir nos mostra que a partir de um risco total aplicável de 6430, foi encontrado um total de risco
.. evitado de 3500, revelando um Security Index no patamar de 54.43%. Vale ressaltar que quanto maior for este valor, mais
..
.. baixo é o nível de risco dos ativos que estão no escopo. Como se pode observar na tabela anterior, o Risk Index encontrado
..
.. foi de 45.57%.
..

..
..
..
..
.. Por PSR
..
.. 9,000 7,440
.. 8,000
.. 6,430
.. 7,000
.. 6,000
.. 5,000
.. 4,000
2,930
.. 3,000
..
.. 2,000
.. 1,000
.. 0
.. Riscos Investigados Riscos Aplicáveis Riscos Encontrados
..
..
..
..
.. Caso o Security Index seja maior que o Compliance Index, significa que os controles implementados são os que possuem
..
.. maior risco, aumentando a segurança. Caso contrário, o resultado nos revela que os controles que não estão implementados
.. possuem maior risco, diminuindo a segurança. Caso os valores sejam semelhantes, pode-se concluir que existe uma
..
.. distribuição homogênea entre o grau de risco e prioridade dos controles a implementar.
..
..
.. 2.2. Controles por situação
..
.. Os gráficos abaixo apresentam a distribuição dos controles aplicáveis (implementados e não implementados) e seus
.. percentuais relativos em termos quantitativos e qualitativos.
..
.. O primeiro gráfico representa o percentual de controles implementados e de controles não implementados, sendo
..
.. estes últimos separados por nível de risco.
..
..
..
.. Distribuição dos Controles Aplicáveis
..
..
.. Alto 8%
Muito Alto 29%
.. Médio 5%
..
..
..
..
..
..
..
..
..
.. Implementados 57%
..
..
..
.. 57.14% dos controles aplicáveis possuem situação implementado.
..
.. 42.86% dos controles aplicáveis possuem situação não implementado.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
.. Já o segundo gráfico representa o percentual dos riscos evitados e dos riscos existentes. Da mesma forma, os riscos
..
.. existentes aparecem separados por nível de risco.
..
..
..
.. Distribuição de Risco em Controles Aplicáveis
..
.. Muito Alto 37%
..
.. Alto 6%
.. Médio 3%
..
..
..
..
..
..
..
..
.. Implementados 54%
..
..
..
.. 54.43% dos riscos são riscos evitados.
.. 45.57% dos riscos são riscos existentes.
..
..
..
..
.. 2.3. Controles por nível de risco
..
.. As informações abaixo apresentam o nível de risco dos controles não implementados e o percentual relativo em
.. termos quantitativos e qualitativos.
..
..
..
.. Nível de Risco
Muito
Alto Médio Baixo
Muito
TOTAL
.. Alto Baixo
.. Quantitativo QTDE 33 9 6 0 0 48
.. % 68.75% 18.75% 12.50% 0.00% 0.00% 100,00 %
..
.. Qualitativo PSR 2360 400 170 0 0 2930
.. % 80.55% 13.65% 5.80% 0.00% 0.00% 100,00 %
..
..
.. O gráfico abaixo apresenta os totais de controles não implementados por nível de risco.
..
..
.. Distribuição de Controles por Níveis de Risco
..
..
.. Muito Alto 69%
..
..
..
..
..
..
..
.. Médio 13%
..
..
.. Alto 19%
..
..
..
.. 87.50% dos controles não implementados possuem níveis de risco Alto e Muito Alto.
..
.. 12.50% dos controles não implementados possuem níveis de risco Médio.
..
.. 0.00% dos controles não implementados possuem níveis de risco Baixo e Muito Baixo
..
..
..

..
..
..
..
.. O gráfico abaixo apresenta os totais de riscos existentes por nível de risco.
..
..
..
.. Distribuição de PSR Total
.. por Nível de Risco
..
..
..
.. Muito Alto 81%
..
..
..
..
.. Médio 6%
..
..
.. Alto 14%
..
..
..
..
.. 94.20% dos riscos encontrados são referentes aos controles não implementados que possuem níveis
..
.. de risco Alto e Muito Alto.
.. 5.80% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de
..
.. risco Médio.
..
.. 0.00% dos riscos encontrados são referentes aos controles não implementados que possuem níveis de
.. risco Baixo e Muito Baixo
..
..
.. 2.4. Controles não Implementados em ativos (Compliance)
..
..
.. A tabela abaixo resume os principais ativos com controles não implementados que devem ser priorizados. Na tabela,
.. está sendo considerado apenas o total de controles aplicáveis para os cálculos, desconsiderando-se os não
..
.. aplicáveis.
..
..
..
..
.. Tipo do
Total
Controles Compliance Controles
Non- CN /
.. Ativo
Ativo.
Relevância Aplicável
Implem. Index não Implem.
Compliance
Total TA
.. Index
.. TA CI CI / TA CN CN / TA
.. Datacenter Ambiente Muito Alta 112 64 57.14% 48 42.86 % 42.86%
..
.. TOTAL (1) 112 64 57.14% 48 42.86% 42.86%
.. OUTROS (0) 0 0 0.00% 0 0.00% 0.00%
..
.. TOTAL GERAL (1) 112 64 57.14% 48 42.86% 42.86%
..
..
.. Os ativos acima correspondem a 100.00% da quantidade total de ativos no escopo (1), e seu índice de
..
.. compliance foi de 57.14%.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
.. 2.5. Riscos encontrados nos Ativos (Risk)
..
..
.. A tabela abaixo resume os principais ativos com riscos que devem ser priorizados ser priorizados. Estão sendo
.. considerados apenas os controles aplicáveis para os cálculos, desconsiderando os não aplicáveis.
..
..
..
.. Tipo do Total Riscos Security Riscos EX /
.. Ativo
Ativo.
Relevância Aplicável Evitados Index Existentes
Risk Index
TOTAL AP
..
.. AP EV EV / AP EX EX / AP
..
.. TOTAL (1) 6430 3500 54.43% 2930 45.57% 45.57%
.. OUTROS (0) 0 0 0.00% 0 0.00% 0.00%
..
.. TOTAL GERAL (1) 6430 3500 54.43% 2930 45.57% 45.57%
..
..
.. Os riscos encontrados nestes primeiros ativos correspondem a 45.57% do total dos riscos aplicáveis
..
.. no escopo.
..
..
.. 2.6. Conclusões e Próximos passos
..
.. A análise identificou os principais riscos nos ativos com as respectivas ações para minimizar os problemas e garantir
.. a conformidade com os requisitos de segurança definidos pela instituição. A tradução do Risco encontrado (PSR) em
..
.. cada controle, o nível de risco e a sua respectiva interpretação de tratamento são sugeridos conforme a tabela
.. abaixo:
..
..
..
.. Nível de Risco do Valores Possíveis PSR®
.. Controle PSR®
Interpretação
..
.. Muito Alto
São riscos inaceitáveis, e os gestores dos ativos devem ser orientados
60,64,75,80,100,125
.. que os eliminem imediatamente.
.. São riscos inaceitáveis e os gestores dos ativos devem ser orientados
.. Alto
para pelo menos controlá-los.
32,36,40,45,48,50
.. São riscos que podem ser aceitáveis após revisão e confirmação dos
..
.. Médio gestores dos ativos, contudo a aceitação do risco deve ser feita por 18,20,24,25,27,30
.. meios formais.
.. Baixo
São riscos que podem ser aceitáveis após revisão e confirmação dos
8,9,10,12,15,16
.. gestores dos ativos.
.. São riscos aceitáveis e devem ser informados para os Gestores dos
.. Muito Baixo
ativos.
1,2,3,4,5,6
..
..
..
.. Sugerimos que a implementação das ações - quer sejam políticas, planos, treinamento, soluções customizadas ou
.. outras necessárias – sejam organizadas por atividades em projetos, acrescida do gerenciamento e revisão periódica
..
.. do nível de segurança.
..
.. Para o processo de trabalho os critérios iniciais para atuação, as ações podem partir de três opções distintas: com
.. base nos ativos - orientação pelos ativos de maior risco, com base na visão do negócio - Componentes de
..
.. Negócio com maior risco ou com base nos componentes dos ativos – Componentes com maior risco.
..
..
..
.. Na orientação por ativos de maior risco, os seguintes passos iniciais devem ser efetuados:
..
.. • Identificar os 10 ativos com maior risco.
..
.. Na orientação por Componentes de Negócio com maior risco, os seguintes passos devem ser efetuados:
..
.. • Buscar o Componente de Negócio com maior risco;
..
.. • Identificar os seus 10 ativos com maior risco.
..
Na orientação de Componentes com maior risco, os seguintes passos devem ser efetuados:

..
..
..
..
.. • Buscar os Componentes que são prioritários (com maior risco);
..
.. • Identificar os 10 ativos com maior risco para cada tipo de componente.
..
.. Após a ação em um três pontos de partida, os seguintes passos operacionais devem ser executados:
..
.. • Identificar os controles com Risco Alto e Muito Alto;
..
.. • Verificar os possíveis impactos da implementação dos controles na operação dos ativos, sistemas e
..
.. negócio;
..
.. • Implementar imediatamente os controles com Risco Alto e Muito Alto;
..
.. • Identificar os controles com Risco Médio;
..
.. • Verificar os possíveis impactos da implementação dos controles na operação dos ativos e sistemas;
..
.. • Avaliar a necessidade de Implementar em curto prazo os controles com Risco Médio;
..
.. • Apresentar o benefício da redução dos riscos nos Componentes de Negócio onde os ativos apóiam;
..
.. • Apresentar o benefício da redução dos riscos na instituição;
..
.. • Verificar se os riscos residuais são satisfatórios;
..
.. • Refazer a análise de risco e continuar o processo cíclico.
..
..
..
.. A nossa orientação por ação baseia-se prioritariamente no grau de risco encontrado. É importante que seja analisada
.. o custo de implementação de cada controle, de tal forma que a relação custo-benefício das ações seja sempre
..
.. positiva. Esta avaliação deve ser feita em conjunto com a avaliação dos impactos na funcionalidade e operação da
.. instituição.
..
..
..
.. implementação em ambiente de produção. Os responsáveis pela implementação devem saber que as
..
.. recomendações técnicas apresentadas no anexo deste Relatório são válidas para sistemas genéricos. Em ambientes
.. de produção, deve-se sempre avaliar o impacto de se habilitar ou desabilitar qualquer serviço. Da mesma forma, a
..
.. alteração de parâmetros de configuração ou de permissões no sistema de arquivos pode causar impactos sobre
.. aplicações e devem levar em conta as características do sistema em análise.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 3. ESCOPO DA ANÁLISE
..
..
.. 3.1. Perímetros Considerados
..
..
.. Os perímetros são fronteiras físicas ou lógicas que existem dentro da Estrutura Funcional da Organização e servem
.. para organizar a distribuição dos Ativos. Por sua natureza, é um elemento customizável.
..
.. Os seguintes perímetros foram considerados como parte do escopo:
..
..
..
.. Nome Descrição Responsável
..
.. SETIC Secretaria de Tecnologia da Informação e Comunicação Max Frederico F. Guedes Pereira
.. Datacenter Datacenter principal Paulo Sérgio Costa
..
..
.. 3.2. Ativos Considerados
..
..
.. Cada ativo analisado pode estar associado a um ou mais Componente de Negócio e possui um grau de relevância definida
.. considerando-se a visão do negócio da organização. Os seguintes ativos foram considerados no escopo:
..
..
.. Ativo Tipo de Ativo Relevância
.. Datacenter Ambiente Muito Alta
..
..
..
..
.. 3.3. Agentes Considerados
..
.. Os agentes das ameaças são os sujeitos que possuem motivação, método, conhecimento e oportunidade para
..
.. executar um ataque à Organização (ameaças intencionais) ou são componentes do ambiente ou da natureza que
.. provocam condições indesejáveis, erros, perigos ou desastres (ameaças acidentais). Os agentes possuem um grau
..
.. de relevância definida considerando-se a visão do negócio da organização. O relacionamento entre Agentes e
..
.. Ameaças encontra-se na Tabela do Anexo 6.1.
..
..
.. Agente Relevância
..
.. Funcionários insatisfeitos Muito Alta
.. Hacker externo Alta
..
.. Terceirizados Alta
.. Adversários Politicos Média
..
.. Agências Reguladoras Média
.. Crime Organizado Média
.. Funcionários Média
..
.. Imprensa Média
.. Chantagistas e Estelionatários Baixa
..
.. Tempo de uso Baixa
.. Pandemia Baixa
..
.. Tempestades Muito Baixa
.. Terremotos Muito Baixa
..
.. Terroristas Muito Baixa
..
..
..
..
..
..
..

..
..
..
..
.. 3.4. Tipos de Knowledge Bases utilizados
..
..
.. Para cada ativo selecionado foram utilizados um ou mais Knowledge Bases que contém o conjunto de controles que
.. devem ser verificados para cada componente do ativo.
..
.. A coluna Total de controles Investigados representa a soma dos controles aplicáveis (encontrados como
..
.. implementados ou não implementados), dos não aplicáveis e dos que não foram respondidos. Caso existam controles
..
.. não respondidos, a análise é considerada em andamento.
..
..
.. Knowledge Base Qtde de Total de Risco Total % Risco Sobre
.. Componentes Controles Encontrado os Aplicáveis
.. analisados Investigados PSR®
.. Data Center 1 130 2930 45.57%
..
.. Total 1 130 2930 45.57%
..
..
..
.. 3.5. Equipe envolvida nas Análises
..
..
.. A equipe reunida para o desenvolvimento das análises foi organizada conforme as suas funções e responsabilidades:
..
..
..
.. Níveis Funções Responsabilidades Principal
..
..
.. Gestão Responsável pela • Definir o Escopo dos Projetos Rodrigo Mafra
.. Gestão • Definir os Perímetros
.. • Definir os Componentes de Negócio
..
.. • Definir os Agentes
.. • Definir os Ativos e Componentes
.. • Requisitar recursos responsáveis pelas análises
.. • Acompanhar as análises, monitorando a qualidade
.. •
.. Solicitar suporte dos responsáveis pelas análises
.. • Montar e Consolidar o RAR e ROR
.. Execução Responsáveis • Executar as análises dos componentes dos ativos. Rodrigo Mafra
.. pelas análises • Apoiar os Projetos
.. • Oferecer consultoria especializada e suporte técnico
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 4. ANÁLISE
NÁLISE DE RISCO CONSOLIDADA
..
..
.. 4.1. Riscos por Níveis
..
..
.. O Modulo Risk Manager permite que os riscos identificados nos ativos que sustentam o negócio sejam consolidados
.. em dois níveis, sendo um opcional.
..
.. No caso foram definidos os seguintes níveis - Processo de Negócio e Sistema.
..
..
.. A visualização consolidada destes riscos permite que o executivo e os gestores possam identificar que caminho
.. tomar buscando o tratamento dos riscos com base em uma visão corporativa.
..
..
..
.. O relacionamento entre Processo de Negócio e Sistema pode ser visualizado no anexo 6.1 deste documento.
..
..
..
..
.. Risco relativo à Processo de Negócio
..
.. O primeiro nível foi customizado para consolidar os riscos relacionados com Processo de Negócio.
..
.. A tabela a seguir apresenta as informações e consolidações dos indicadores de Processo de Negócio – PSR,
..
.. Conformidade e Risco, que devem ser utilizadas para priorizar as ações nos ativos que suportam cada Processo de
.. Negócio de maior risco, ou mesmo para acompanhar a evolução dos riscos.
..
..
.. Controles Controles Compliance Riscos Riscos Security
.. Processo de Negócio Relevância
Implem. não implem. Index Evitados Existentes Index
..
.. Processo Digital Muito Alta 64 48 57.14 % 3500 2930 54.43 %
..
..
..
..
.. O valor do Risco (PSR®) de cada Processo de Negócio é calculado por meio da soma dos riscos de todos os ativos
..
.. que sustentam cada Sistema relacionado a este Processo de Negócio
..
.. O gráfico a seguir apresenta o resultado dos riscos encontrados em cada Processo de Negócio.
..
..
.. Índices por Processo de Negócio
..
..
..
..
..
..
..
..
.. 54.43 %
.. Processo Digital
.. 57.14 %
..
..
..
..
..
..
..
.. 0% 10 % 20 % 30 % 40 % 50 % 60 %
..
..
.. Compliance Index Security Index
..
..
..

..
..
..
..
.. Risco relativo à Sistema
..
..
..
..
.. O segundo nível foi customizado para consolidar os riscos relacionados com Sistema.
..
.. A tabela a seguir apresenta as informações e consolidações dos indicadores de cada Sistema – PSR, Conformidade
..
.. e Risco, que devem ser utilizadas para priorizar as ações de segurança nos ativos que suportam os Sistema de
.. maior risco, ou mesmo para acompanhar a evolução dos riscos.
..
..
..
.. Controles Controles Compliance Riscos Riscos Security
.. Sistema Relevância
Implem. não implem. Index Evitados Existentes Index
..
.. Datacenter Muito Alta 64 48 57.14 % 3500 2930 54.43 %
..
..
..
.. O gráfico a seguir apresenta o resultado dos riscos encontrados em cada Sistema
..
..
.. Índices por Sistema
..
..
..
..
..
..
..
..
.. 54.43 %
.. Datacenter
.. 57.14 %
..
..
..
..
..
..
..
.. 0% 5% 10 % 15 % 20 % 25 % 30 % 35 % 40 % 45 % 50 % 55 % 60 % 65 %
..
..
.. Compliance Index Security Index
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 4.2. Risco por Agentes (das Ameaças)
..
.. O valor do Risco (PSR®) de cada Agente é calculado por meio da soma dos riscos de todas as ameaças (potenciais
..
.. incidentes) que podem ser efetuados pelos agentes. O relacionamento entre agentes e ameaças foi definido pelo
.. Security Officer (ou responsáveis pela segurança da informação) e encontra-se em anexo deste documento.
..
.. O gráfico a seguir apresenta o resultado dos riscos encontrados em cada Agente.
..
..
..
.. Riscos dos Possíveis Agentes Considerados
..
.. Terceirizados 2,810
.. Funcionários 2,810
..
.. Funcionários insatisfeitos 2,744
.. Crime Organizado 2,566
.. Terroristas 2,427
..
.. Adversários Politicos 2,245
.. Chantagistas e Estelionatários 2,202
.. Imprensa 1,108
..
.. Hacker externo 1,057
.. Tempestades 808
.. Terremotos
.. 772
.. Agências Reguladoras 765
.. Tempo de uso 296

..
.. Pandemia 130
.. 0 500 1,000 1,500 2,000 2,500
..
..
.. Terceirizados (2810), Funcionários (2810), Funcionários insatisfeitos (2744), Crime Organizado (2566),
..
.. Terroristas (2427) foram considerados os principais agentes de risco ao negócio.
..
..
.. Agente % Risco Relevância
..
.. Terceirizados 12.35 % Alta
.. Funcionários 12.35 % Média
.. Funcionários insatisfeitos 12.07 % Muito Alta
.. Crime Organizado 11.29 % Média
.. Terroristas 10.67 % Muito Baixa
..
.. Adversários Politicos 9.87 % Média
.. Chantagistas e Estelionatários 9.69 % Baixa
.. Imprensa 4.87 % Média
.. Hacker externo 4.65 % Alta
.. Tempestades Muito Baixa
.. 3.55 %
.. Terremotos 3.39 % Muito Baixa
.. Agências Reguladoras 3.37 % Média
.. Tempo de uso 1.30 % Baixa
.. Pandemia 0.57 % Baixa
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 4.3. Riscos por Ameaças ao Negócio
..
.. O gráfico a seguir apresenta o resultado dos riscos encontrados nas ameaças ao Negócio.
..
..
..
.. Riscos das Principais Ameaças Possíveis
.. Acesso físico não autorizado 585
.. Furto ou roubo 467
.. Fraude ou sabotagem 466
.. Indisponibilidade de serviços ou informações 350
.. Erros, omissões ou uso indevido 271
.. Dano a instalações 244
.. Perda de rastreabilidade 123
.. Dano a pessoas 109
.. Incêndio 72
.. Acesso lógico não autorizado 57
.. Falha emmeios de comunicação 29
.. Extremos de temperatura ou umidade 29
.. Falha de hardware 29
.. Falha de energia 27
.. Contaminação ambiental 21
.. Fenômenos por ação da água 20
.. Queda de performance 16
.. Falha de software 16
..
.. 0 100 200 300
Valores em PSR (Risco*)
400 500 600
..
.. Acesso físico não autorizado (585), Furto ou roubo (467), Fraude ou sabotagem (466), Indisponibilidade
..
.. de serviços ou informações (350), Erros, omissões ou uso indevido (271) foram as ameaças que
..
.. possuem maior risco ao negócio.
..
..
.. O risco de uma ameaça específica é a soma do rateio dos riscos em cada controle relacionado a ela, uma vez que
..
.. cada controle pode ser explorado por mais de uma ameaça.
..
.. A tabela abaixo apresenta o percentual de contribuição de risco de cada ameaça em relação ao total de risco
..
.. encontrado nos ativos.
..
..
.. Ameaça Risco % Risco
..
.. Acesso físico não autorizado 585 19.97%
.. Furto ou roubo 467 15.94%
..
.. Fraude ou sabotagem 466 15.90%
.. Indisponibilidade de serviços ou informações 350 11.95%
..
.. Erros, omissões ou uso indevido 271 9.24%
.. Dano a instalações 244 8.33%
..
.. Perda de rastreabilidade 123 4.21%
.. Dano a pessoas 109 3.73%
..
.. Incêndio 72 2.46%
.. Acesso lógico não autorizado 57 1.95%
..
.. Falha em meios de comunicação 29 0.99%
.. Extremos de temperatura ou umidade 28 0.97%
..
.. Falha de hardware 28 0.97%
.. Falha de energia 27 0.92%
.. Contaminação ambiental 21 0.72%
..
.. Fenômenos por ação da água 20 0.68%
.. Queda de performance 16 0.55%
..
.. Falha de software 16 0.55%
..

..
..
..
..
..
..
.. 4.4. Riscos por Tipo de Ativo
..
.. Na tabela abaixo, podemos observar a consolidação dos riscos dos ativos de forma quantitativa (quantidade de controles
..
.. ausentes).
..
.. Non
.. Tipo de Ativo Qtde Ativos
Controles Controles Compliance Controles não
Compliance
% Qtde
.. Aplicáveis Implem. Index Implementados.
Index
Encontrado
..
.. Ambiente 1 112 64 57.14% 48 42.86 % 42.86%
.. Total 1 112 64 57.14% 48 42.86% 42.86%
..
..
.. Na tabela abaixo, podemos observar a consolidação dos riscos dos ativos de forma qualitativa (soma total dos riscos - PSR®).
..
..
.. Riscos Riscos Security Existentes /
.. Tipo de Ativo Qtde Ativos
Aplicáveis Evitados Index
Riscos Existentes Risk Index
Total Aplic
..
.. Ambiente 1 6430 3500 54.43% 2930 45.57 % 45.57%
.. Total 1 6430 3500 54.43% 2930 45.57% 45.57%
..
..
..
.. Os ativos do tipo Ambiente representam 100.00% do total de ativos investigados e são responsáveis
.. por 100.00 % dos riscos existentes (2930 ).
..
..
.. 4.5. Distribuição do Grau de Risco por tipo de Ativos
..
..
..
.. A melhor prática recomenda que o tratamento dos riscos priorize inicialmente os controles que possuem riscos Muito Alto e
..
.. Alto, devendo-se em seguida, verificar a necessidade de implementação daqueles que foram considerados baixos.
..
..
.. Muito Muito
.. Tipo Ativo
Alto
Alto Médio Baixo
Baixo
Total %
..
.. Ambiente Qtde 33 9 6 0 0 48 100.00%
..
.. % 68.75% 18.75% 12.50% 0.00% 0.00% 100,00% -
.. PSR 2360 400 170 0 0 2930 100.00%
.. % 80.55% 13.65% 5.80% 0.00% 0.00% 100.00 % -
..
.. TOTAL QTDE 33 9 6 0 0 48 100,00%
.. % 68.75% 18.75% 12.50% 0.00% 0.00% 100,00 % -
..
.. PSR 2360 400 170 0 0 2930 100,00%
.. % 80.55% 13.65% 5.80% 0.00% 0.00% 100,00 % -
..
..
..
..
.. Foram observados 48 controles não implementados, evidenciados durante a análise de cada um dos
.. ativos analisados.
..
..
.. Para se garantir a disponibilidade, confidencialidade e, principalmente, a integridade das informações e
..
.. dos sistemas é fundamental que sejam implementadas as recomendações estratégicas e gerenciais
..
.. descritas nesse documento e no Relatório Operacional de Riscos.
..
..
.. A quantidade de controles com riscos Muito Alto e Alto representa 87.50% do Total.
..
..
..
..
..

..
..
..
..
..
..
.. 4.6. Riscos por Perímetros
..
.. Abaixo segue a tabela dos riscos dos perímetros considerados:
..
.. Non
.. Perímetro
Controles Controles
Compliance
Riscos Riscos
Risk Index
% Risco
.. presentes ausentes
Index
Evitados Existentes Existente
.. SETIC 64 48 42.86 % 3500 2930 45.57 100.00 %
..
.. Datacenter 64 48 42.86 % 3500 2930 45.57 100.00 %
..
..
..
.. Estas informações podem ser utilizadas para priorizar as ações de segurança nos ativos que suportam os
..
.. Componentes de Negocio de maior risco ou mesmo para acompanhar a evolução dos riscos.
..
..
.. 4.7. Riscos por ativos (Quantitativo)
..
.. Abaixo segue a tabela com os dados quantitativos de controles de todos os ativos considerados, auxiliando na
.. tomada de decisão para priorização das ações de segurança.
..
..
..
.. Tipo do Total Controles Compliance Controles
Non
% Qtde Total
.. Ativo
Ativo
Relevância
Aplicável presentes Index ausentes
Compliance
Index
Aplicável
..
.. TOTAL 112 64 57.14% 48 42.86% 42.86%
..
..
..
.. 4.8. Riscos por ativos (Qualitativo)
..
.. Abaixo segue a tabela com os dados qualitativos de risco nos controles dos ativos considerados, auxiliando na
.. tomada de decisão para priorização das ações de segurança.
..
..
..
..
.. Tipo do Total Riscos Security Riscos % PSR Total
.. Ativo
Ativo
Relevância
Aplicável Evitados Index Existentes
Risk Index
Aplicável
..
.. TOTAL 6430 3500 54.43% 2930 45.57% 45.57%
..
..
.. 4.9. Distribuição dos Riscos por ativo
..
.. A tabela abaixo resume o total de controles com status de não implementados por grau de risco em cada um dos
..
.. ativos considerados, sendo que os percentuais são calculados sempre em relação ao Total aplicável (sejam controles
.. ou PSR).
..
..
..
.. Muito Muito % Total % Risco
.. Ativo Tipo Ativo
Alto
Alto Médio Baixo
Baixo
Total Aplicável
PSR Aplicável
..
.. Datacenter Ambiente 33 9 6 0 0 48 42.86% 2930 45.57%
.. TOTAL 33 9 6 0 0 48 42.86% 2930 45.57%
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 5. RISCOS POR COMPONENTE DE NEGÓCIO
..
..
.. 5.1. CN - Datacenter
..
.. Abaixo seguem as tabelas (com dados quantitativos e qualitativos) dos riscos dos ativos que apóiam o componente
..
.. de negócio Datacenter :
..
.. Visão Quantitativa (Compliance)
..
.. Ativo Tipo do Ativo
Controles Controles Compliance Controles Non
Compliance
Não Implem. /
.. Aplicáveis Implem. Index não Implem. Index Aplicáveis
..
.. Datacenter Ambiente 112 64 57.14% 48 42.86% 42.86%
.. TOTAL 112 64 57.14% 48 42.86% 42.86%
..
.. Os ativos possuem um nível de compliance de 57.14% para este componente de negócio (Datacenter ).
..
.. Visão Qualitativa (Riscos)
..
.. Existentes /
.. Ativo Tipo do Ativo
Total Riscos Security Riscos
Risk Index Total
.. Aplicável Evitados Index Existentes
Aplicável
..
.. Datacenter Ambiente 6430 3500 54.43% 2930 45.57% 45.57%
.. TOTAL 6430 3500 54.43% 2930 45.57% 45.57%
..
.. Os riscos encontrados no(s) ativo(s) deste componente de negócio (Datacenter ), correspondem a 45.57% do total
..
.. dos riscos aplicáveis ao Componente de Negócio.
..
.. Este índice foi obtido devido ao risco dos ativos que sustentam este componente de negócio (100.00% do total)
.. atingir o total de risco de 2930 (em PSR).
..
.. O(s) ativo(s) com maior risco possue(m) 100.00% do risco total do componente de negócio (Datacenter ).
.. 87.50% dos controles a implementar no componente de negócio (Datacenter ) estão na faixa de Muito Alto e Alto.
..
.. Dos controles não implementados (48), o gráfico a seguir apresenta a sua distribuição por nível de risco.
..
..
.. Distribuição de Controles por Níveis de Risco
..
..
.. Muito Alto 69%
..
..
..
..
..
..
.. Médio 13%
..
..
..
.. Alto 19%
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

..
..
..
..
..
..
.. 6. ANEXOS
..
..
.. 6.1. Processo de Negócio x Sistema
..
.. Abaixo segue a tabela de relacionamento entre os Processo de Negócio e Sistema.
..
..
..
.. Processo de Negócio Relevância Sistema (relevância)
.. Processo Digital Muito Alta Datacenter (Muito Alta)
..
..
.. 6.2. Agentes x Ameaças
..
..
.. Abaixo segue a tabela de relacionamento entre os agentes definidos e as possíveis ameaças provocadas por eles.
..
.. Agente Relevância Ameaças
..
.. Funcionários insatisfeitos Muito Alta Contaminação ambiental
.. Falha de energia
.. Falha de software
.. Queda de performance
.. Ação de código malicioso
.. Acesso lógico não autorizado
.. Fraude ou sabotagem
..
.. Indisponibilidade de serviços ou informações
.. Erros, omissões ou uso indevido
.. Acesso físico não autorizado
.. Dano a instalações
.. Incêndio
.. Falha em meios de comunicação
.. Violação de propriedade intelectual
.. Perda de rastreabilidade
..
.. Furto ou roubo
.. Multas, indenizações ou sanções legais
.. Repúdio
.. Hacker externo Alta Falha de software
..
.. Terceirizados Alta Extremos de temperatura ou umidade
.. Contaminação ambiental
..
.. Incêndio
..
.. Dano a pessoas
.. Furto ou roubo
.. Repúdio
.. Adversários Politicos Média Queda de performance
..
Acesso físico não autorizado

..
..
..
..
.. Incêndio
..
.. Dano a pessoas
.. Furto ou roubo
.. Repúdio
.. Agências Reguladoras Média Acesso lógico não autorizado
..
.. Crime Organizado Média Contaminação ambiental
.. Falha de energia
..
.. Incêndio
.. Falta de mão-de-obra essencial
.. Dano a pessoas
.. Furto ou roubo
..
.. Funcionários Média Contaminação ambiental
.. Falha de hardware
..
.. Incêndio
.. Dano a pessoas
..
.. Furto ou roubo
.. Repúdio
.. Imprensa Média Acesso lógico não autorizado
..
.. Repúdio
.. Chantagistas e Estelionatários Baixa Queda de performance
..
.. Dano a pessoas
.. Furto ou roubo
.. Tempo de uso Baixa Falha de energia
.. Falha de hardware
..
.. Incêndio
Pandemia Baixa Contaminação ambiental

..
..
..
..
..
.. Dano a pessoas
.. Tempestades Muito Baixa Fenômenos por ação da água
.. Extremos de temperatura ou umidade
.. Falha de energia
..
.. Incêndio
.. Terremotos Muito Baixa Extremos de temperatura ou umidade
.. Falha de energia
..
.. Incêndio
.. Terroristas Muito Baixa Interferência eletromagnética
..
.. Falha de energia
.. Incêndio
..
.. Dano a pessoas
.. Furto ou roubo
..
..
.. 6.3. Ameaças
..
..
.. Ameaça Descrição
.. Tempestade, inundação, granizo, alagamento, ou outros fenômenos, em galpões, salas ou demais ambientes com risco
.. Fenômenos por ação da água potencial, que provocam danos a instalações, equipamentos, mídias, etc.
..
.. Relâmpagos, emissões magnéticas ou cargas eletrostáticas que provocam danos ou interferências nas linhas de comunicação,
.. Interferência eletromagnética perda de integridade ou apagamento dos dados armazenados em mídias, falhas em equipamentos, queima de equipamentos,
.. etc.
.. Extremos de temperatura ou Excesso de calor, frio ou umidade, por ação direta em mídias de armazenamento ou equipamentos, que provocam deterioração
.. umidade
.. das mídias, redução da vida útil dos equipamentos, travamentos de sistemas, etc.
.. Contaminação do ar, partículas, poeira, fumaça, gases, ruído, produtos químicos ou biológicos, fungos ou outros agentes que
.. Contaminação ambiental provocam perda de informações armazenadas, deterioração de mídias, curto-circuitos em equipamentos, falta de condições
.. ambientais de trabalho, etc.
..
.. Falha de energia Falta de suprimento, flutuações ou picos de tensão que provocam desligamento de equipamentos, travamento de sistemas,
.. queima de equipamentos, falta de refrigeração, perda de comunicação, etc.
.. Falha mecânica ou eletrônica causada por stress, desgaste ou fim da vida útil de componentes ou outras causas intrínsecas ao
.. equipamento, que provocam indisponibilidade de sistemas, erros de transmissão ou outras falhas na comunicação de dados ou
.. Falha de hardware voz, perda de performance, incêndios, etc. Em caso de falhas em dispositivos de segurança, há exposição do ambiente a
.. novas vulnerabilidades.
..
.. Código ineficaz, fora de especificação, incompatível com outros módulos de software ou de hardware, ou falhas provocadas por
.. Falha de software parâmetros configurados indevidamente, que provocam perda da integridade de dados, falhas de processamento, perda de
.. sincronismo, erros de transmissão ou outras falhas na comunicação de dados ou voz, paralisação de sistemas, etc.
.. Excesso de utilização de recursos de comunicação ou processamento, ou sobrecarga de tráfego, que provocam queda de
.. Queda de performance performance, perda de produtividade, etc.
..
.. Contaminação eletrônica por vírus ou worms, ou outros códigos que afetam sistemas de forma não autorizada, como cavalos-
.. Ação de código malicioso de-tróia, exploits, bombas lógicas, etc., que provocam perda de produtividade, desconfiança, constrangimento na troca de
.. informação, retrabalho, perda de dados, etc.

..
..
..
..
..
.. Acesso a programas, sistemas, redes ou ativos de TI por usuários, por meio de ações ilícitas (escuta, interceptação de
.. Acesso lógico não autorizado mensagens, infiltração, análise de tráfego, vazamentos, espionagem, etc.), que provocam revelação não autorizada de
.. informações proprietárias ou segredos de negócio.
.. Caracterizam-se por ações de escrita ilícita ou trapaça, por meio de ações enganosas de usuários ou técnicos autorizados -
.. normalmente familiarizados com o sistema alvo - como métodos falsos, fornecimento de dados incorretos, adulteração de
informações, manipulação premeditada de ambientes ou equipamentos, etc., visando tirar proveito próprio ou de outrem ou
.. provocar prejuízos financeiros, decisões equivocadas, etc.
..
.. Indisponibilidade de serviços ou Impedimento do acesso autorizado à informação ou a ativos de informação, através de ações como a desabilitação de redes ou
.. informações sistemas, furto ou roubo de informação ou outras, que provocam retardamento ou interrupção de operações, etc.
.. Erros de entrada de dados ou omissão de controles, causados por usuários, administradores, operadores de sistema ou
.. programadores sem o devido preparo, desatentos ou descuidados, que provocam resultados incompatíveis, travamento de
sistemas, retrabalho, contaminação de backup, etc. Incluem-se falhas na instalação ou configurações inseguras de sistemas,
.. ou erros de manutenção, permitindo o aparecimento de novas vulnerabilidades.
..
.. Acesso a ambientes, pessoas, equipamentos ou dispositivos de controle físico por pessoas não-autorizadas, que provocam
vazamento de informações, desativação de controles, etc.
..
Acidentes, choques de veículos, desabamentos, trepidações, explosões, ações de vandalismo, terrorismo, guerrilhas ou outras,
.. que provocam dano ou destruição das instalações, equipamentos, sistemas, documentos, mídias de armazenamento, etc.
.. Danos por ação de fogo, que provocam perda de patrimônio, de informações, de mão-de-obra, ou falta de condições de
.. Incêndio
trabalho, etc.
..
Greve, piquete, demissão, seqüestro, epidemia, distúrbio civil, etc., que provocam bloqueio de acesso a indivíduos ou equipes,
.. ou indisponibilidade de mão-de-obra.
.. Falha em meios de
.. comunicação
Interrupção de linhas, interferências, etc. provocando perda de comunicação de dados ou voz.
..
.. Violação de propriedade Violação de leis reguladoras de direito autoral, direito de propriedade industrial, importação/exportação ilícita de algoritmos
.. intelectual criptográficos implantados em software ou em hardware, que provocam processos legais, multas, prisões, etc.
.. Dano a pessoas Perigo de vida causado por desconhecimento, obstrução de acesso ou de escape, fogo, explosões, contaminações, etc.
..
.. Redução da possibilidade de se verificar eventos de segurança importantes, tais como acessos não autorizados, erros,
.. omissões, etc., ou de se buscar os respectivos agentes causadores. É provocada por falta ou inconsistência de registros de
eventos, por exemplo, os existentes nos logs de auditoria de software, nos livros de ocorrências, etc., podendo resultar em
.. repúdio dos usuários, acusação imprópria, recorrência de incidentes ou outras conseqüências.
..
.. Furto ou roubo
Crime contra o patrimônio cometido por pessoa que subtrai coisa alheia, com intenção ilegítima de apropriação, provocando
.. perda de patrimônio, indisponibilidade de mídias com informações, etc.
.. Multas, indenizações ou
.. sanções legais
Penalidade financeira ou criminal, imposta por atos ilícitos (violações legais, regulamentares ou contratuais).
..
.. Repúdio
Negativa no reconhecimento da autoria de uma ação; irretratabilidade. OBS.: não deve ser confundida com a dificuldade em se
.. comprovar a autoria de uma ação, que corresponde à Perda de Rastreabilidade.
.. Penalidade disciplinar administrativa (não judicial) imposta por atos indevidos (inobservância a regulamentações, políticas
.. Sanções Administrativas
internas e outras normas).
..
.. Não-atendimento à Inobservância ou pontos em desacordo com leis, normas ou regulamentos de entidades reguladoras, que podem provocar
.. regulamentação penalidades administrativas, financeiras ou legais.
.. Divulgação não autorizada de informações, obtida por meio de acesso não autorizado, que representa revelação de planos,
.. Vazamento de Informação segredos de negócio, estratégias, etc., que provoca perda de propriedade intelectual, vantagem a concorrente, exposição
.. negativa, etc.
..
.. Paralisação temporária ou permanente nas atividades contratadas junto a fornecedor, decorrente de falhas administrativas,
.. Interrupção da prestação do
operacionais ou contratuais, ou ainda por eventos inesperados e não controlados, que pode provocar insatisfação em clientes,
.. serviço
sanções administrativas e indenizações por conta de processos judiciais.
..
.. Perda de Satisfação do Cliente Perda de Satisfação do Cliente
.. Serviços diferentes das Resultados ineficazes, ineficientes ou inefetivos, decorrentes de processos obsoletos ou controles que não resolvem
.. expectativas originais deficiências conhecidas, que podem provocar desalinhamento com os objetivos de negócios ou organizacionais definidos.
..
.. Acesso indevido a informações
Acesso de informações confidenciais pelos competidores
.. confidenciais
.. Custos acima do esperado Custos acima do esperado
..
.. Perda de qualidade do serviço Queda na qualidade do serviço
.. Perda de expertise na
.. organização
Perda de expertise na organização
..
.. Dependência extrema do
.. fornecedor
Aprisionamento a um fornecedor
..
.. Dano à imagem da organização Perda de credibilidade perante o mercado

..
..
..
..
..
.. Disputas com o fornecedor Término da relação de fornecimento
.. Fortalecimento excessivo do
.. fornecedor
Criação de um competidor
..
.. Atraso na entrega do serviço Atraso na entrega do serviço
.. Impossibilidade de auditoria da
.. organização
Impossibilidade de auditoria da organização.
..
.. Falta de Apoio Interno Falta de Apoio Interno
..
.. Perda de Margem Perda de Margem
.. Inviabilidade Financeira Inviabilidade Financeira
..
.. Perda de Produtividade Perda de Produtividade
.. Atraso de Entrega Atraso de Entrega
..
.. Funcionário Insatisfeito Funcionário Insatisfeito.
.. Lei Estadual 13226 Lei Estadual 13226
..
.. CMN - Resolução 3477 CMN - Resolução 3477
..
.. Portaria 2014 Portaria 2014
.. Decreto 6523 Decreto 6523
..
.. Lei Federal 11800 Lei Federal 11800
.. Decreto 6524 Decreto 6524
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..

Relatório de Risco

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Relatório de Risco

Enviado por

Direitos autorais:

Formatos disponíveis

..

V. 300 TRT 13 7/21/2011 DOCUMENTO RESTRITO

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 2/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 3/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 4/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 5/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 6/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 7/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 8/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 9/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 10/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 11/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 12/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 13/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 14/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 15/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 16/26

.. Crime Organizado 2,566

.. Chantagistas e Estelionatários 2,202

.. Agências Reguladoras 765

.. Tempo de uso 296

.. 0 500 1,000 1,500 2,000 2,500

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 17/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 18/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 19/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 20/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 21/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 22/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 23/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 24/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 25/26

TRT 13 7/21/2011 DOCUMENTO RESTRITO - 26/26

Você também pode gostar