Trabalho Semestral Respondido

Exercício Prático
Sessão 2
Sessão 3
Sessão 4
Sessão 5
Sessão 6
Sessão 7
Sessão 8
Sessão 9
Sessão 10
Gestão de Riscos de TI – NBR 27005
Sessão 2
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 2. Compreender e desenvolver o início de
Nas quatro atividades que fazem parte desta Atividades – Sessão 2

sessão, serão vistos os conceitos apreendidos
na sessão 2. 2.1 Defina o Contexto
Lembre-se: estas atividades devem ser feitas

na sequência e com o acompanhamento da 2.2 Identifique Restrições
norma 27005.
2.3 Defina o Escopo
Qualquer dúvida pergunte ao instrutor!!
2.4 Defina os Critérios

esenvolver o início de um processo de análise de risco.
exto
estrições
po
érios
Análise da Organização e Contexto
Propósito principal da A organização tem o propósito de se tornar a melhor no ramo, atendendo co

organização colaboradores
Negócio da organização Provedor de Internet
A sua missão Se tornar referência nacional no objetivo de prover acesso
Seus valores Sua missão é viabilizar soluções que contribuam para o desenvolvimento e acesso
A estrutura da Será utilizada a Estrutura em Rede permitindo a contratação de funcion

organização
Organograma A organização contará com uma direção geral, e sub-diretores administrativos, fin
hierárquico
A organização contará com uma direção geral, e sub-diretores administrativos, fin
Organograma
hierárquico
Estratégias Inicialmente o alvo estratégico será o de investimentos em infraestrutura para
Qual o setor que solicitou

o projeto? Qual o seu
nível hierárquico dentro Projeto solicitado pelo departamento técnico que responde diretam
do organograma? A quem
esta subordinado?
Qual ou quais os
No processo primário está a difusão da malha ótica dentro da localização com ob
principais processos de clientes finais
negócio da organização?
Quais os requisitos legais

ou regulatórios a que a Necessidade de aprovação da CPFL, ANATEL
organização esta sujeita?
Quais os seus principais

produtos Internet Banda Larga
Quais os seus
fornecedores principais Datacom
Quais os seus Datacom
fornecedores principais
Qual o número total de

funcionários? Quantos 20. Sendo 5 terceirizados
são terceirizados?
mo, atendendo com perfeição a todos os clientes e
res
ternet
o de prover acesso a informação
vimento e acesso a informações por meio da população
atação de funcionários em estilo home-office
ministrativos, financeiros e técnicos logo abaixo no nível

o
raestrutura para solidificar a organização localmente
responde diretamente ao Diretor Técnico
ocalização com objetivo de gerar valor diretamente aos

ais
da CPFL, ANATEL
Larga
eirizados
Análise das Restrições
Restrições Justificativa
Restrições que afetam a organização
orçamentárias Dificuldade de finaliza
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
RESTRIÇÕES JUSTIFICATIVA
Restrições que afetam o escopo
temporais Infraestrutura não consegue desenvolve
técnicas Dificuldade para encontrar m
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ificuldade de finalização de projeto ótico
consegue desenvolver suas atividades em tempo suficiente
dade para encontrar mão de obra especializada

Definição do Escopo
Descrição do escopo A infraestrutura que atende o serviço de banda larga do provedor
Seu entendimento do
escopo (da equipe de
risco - explique o escopo)
Quais os departamentos
(áreas/gerencias) Diretore técnico, supervisor técnico, técnicos de infraestrutura
envolvidas / abrangidas
pelo escopo?
Quais os processos e
sistemas envolvidos /
abrangidos pelo escopo?
Quantas pessoas
(Recursos Humanos) 4
envolvidos / abrangidos
pelo escopo?
Quantos ativos
envolvidos/abrangidos 0
pelo escopo? Aproximado
Quantos ativos
envolvidos/abrangidos 0
pelo escopo? Aproximado
Quais os limites do
escopo?
O que não faz parte do

escopo? JUSTIFIQUE
Critérios para Avaliação de Riscos
Critério de Probabilidade
Nível Definição
Frequente Tem ocorrido pelo menos uma vez a cada mês
É possível de ocorrer a cada 6 meses ou menos. Nos últimos seis meses já

Provável ocorreu
Ocasional Nos último ano já ocorreu pelo menos 1 vezes
Remoto Nos últimos cinco anos já ocorreu pelo menos 3 vezes
Improvável Nunca ocorreu.
2.1 Defina o Contexto

Relevância do Ativo
Nível Descrição
Insignificante Queda de energia em equipamentos com redudância
Baixo Perda de redundância
Significante Queda de energia em equipamento sem redundância
Importante Para de equipamento devido a queda de energia
Crítico Parada de equipamento por mais de 20 minutos devido a queda de energia
Severidade das Consequências
Nível Descrição
As ocorências não afetam os negócios ou não causam paradas maior que

Insignificante cinco minutos.
Baixa dez minutos.
Média
vinte minutos.
Alta
trinta minutos.
Elevada As ocorências não afetam os negócios ou não causam paradas maior que
uma hora.
Impacto
Nível Descrição
Desprezível Imperceptíveis ao cliente final
Baixo Cliente final com problemas por mais de 1 hora
Significativo Cliente final e empresa paradas por mais de 6 horas
Afetam a imagem da organização e causam interrupção de 12 horas nos

Importante
negócios. A empresa deixa de funcionar/produzir por 12 horas
Desastre A organização parada por mais de 24 horas
Critério de Risco
Nível Descrição
A organização pára totalmente seus serviços por mais de 48 horas,

Extremo impedindo de executar serviços e produzir, afetando sua imagem pública d
forma significativa. Prejuízos finaceiros elevados, ações na justiça.
Alto A organização pára totalmente seus serviços por mais de 24 horas,

impedindo de executar serviços e produzir, afetando sua imagem pública
Médio impedindo de executar serviços e produzir.
Baixo A organização pára parcialmente seus serviços por mais de 6 horas
Irrelevante A organização para parcialmente seus serviços por mais de 1 hora
Critério de Risco
Nível Descrição
Extremo de acordo com a organização
Alto de acordo com a organização

Médio de acordo com a organização
Baixo de acordo com a organização
Irrelevante de acordo com a organização
Exemplo de Critério de Impacto
Nível de risco Valor Descrição
Não ocorrem lesões/mortes na força de trabalho e /ou de pessoa

extra-muro. Podem ocorrer casos de primeiros socorros ou
Desprezível 1 tratamento médico sem afastamento. - Sem danos ou danos
insignificantes aos equipamentos ou instalações. - Sistemas de TI
ficaram fora de operação por até 05 (cinco) minutos.
Lesões leves na força de trabalho. Ausência de lesão extra-muros

Levemente Danos leves aos equipamentos ou instalações , controláveis e/ ou
prejudicial 2 de baixo custo de reparo. - Sistemas de TI ficaram fora de
operação por até 30 (trinta) minutos.
Lesões de gravidade moderada na força de trabalho ou em

pessoas extra-muros. Lesões leves em pessoas extra-muros. -
Prejudicial 3 Danos severos a equipamentos ou instalações - Sistemas de TI
ficaram fora de operação acima de 30 (trinta) minutos. Emissão
de NF por sistema alternativo. Houve necessidade de recuperar
backup
Provoca morte ou lesões graves em uma ou mais pessoas (na forç

de trabalho e /ou em pessoas extra-muros) - Danos irreparáveis a
Extremamente 5 equipamentos ou instalações (reparação lenta ou impossível) -
prejudicial Acionado site alternativo. Houve perda de dados e informações.
Clientes sem atendimento total.
s. Nos últimos seis meses já
3 vezes
udância
ndância
gia
os devido a queda de energia
causam paradas maior que

horas
terrupção de 12 horas nos

uzir por 12 horas
or mais de 48 horas,
etando sua imagem pública de
os, ações na justiça.
etando sua imagem pública
s por mais de 6 horas
s por mais de 1 hora

de trabalho e /ou de pessoas
primeiros socorros ou
o. - Sem danos ou danos
instalações. - Sistemas de TI
(cinco) minutos.
usência de lesão extra-muros. -

stalações , controláveis e/ ou
de TI ficaram fora de
.
rça de trabalho ou em
m pessoas extra-muros. -
stalações - Sistemas de TI
0 (trinta) minutos. Emissão
e necessidade de recuperar
uma ou mais pessoas (na força

muros) - Danos irreparáveis a
ação lenta ou impossível) -
da de dados e informações.
Sessão 3
OBJETIVO: Compreender e desenvolver o início de um processo de análise de risco e iniciar a identificação dos risco
Nas três atividades que fazem parte desta Atividades – Sessão 3

na sessão 3. 3.1 Identifique os Ativos

na sequência e com o acompanhamento da 3.2 Identifique as Ameaças
norma 27005.
3.3 Identifique os Controles Existentes
identificação dos riscos.
ão 3
Ativos
Ameaças
Controles Existentes ou Planejados

Identificação dos Ativos do Escopo
Justificativa / Evidê
At 01 Informações pessoais de clientes finais A perda de tais informações trariam um risco e
At 02 Sistema proprietário O sistema não pode parar ou todas at
At 03
Ativos Primários
At 04
At 05
At 06
At 07
At 08
At 09
At 10
At 11 Roteadores Responsáveis pelo rotea
At 12 DNS Responsavel pela resolu

At 13 Gerente de TI Responsável pela re
At 14 Radius Servidor de autenticaçã
At 15
At 16
Ativos de Suporte e Infraestrutura
At 17
At 18
At 19
At 20
At 21
At 22
At 23
At 24
At 25
At 26
At 27
At 28
At 29
At 30
Justificativa / Evidências
mações trariam um risco enorme a integridade da organização
não pode parar ou todas atividades são interrompidas
Responsáveis pelo roteamento da rede
Responsavel pela resolução de nomes

Responsável pela rede lógica
Servidor de autenticação de usuários

Identificação das Ameaças aos Ativos
Ativos Ameaça 1 Ameaças 2

Informações pessoais
At 01 Divulgação indevida Processamento ilegal de dados
de clientes finais
At 02 Sistema proprietário Falha de equipamento Alteração do software
At 03 0 Identifique uma Ameaça Identifique uma Ameaça

Falha do ar-condicionado ou do
At 11 Roteadores Identifique uma Ameaça
sistema de suprimento de água
Falha do equipamento de
At 12 DNS Identifique uma Ameaça
telecomunicação
At 13 Gerente de TI Acidente grave Identifique uma Ameaça
At 14 Radius Furto de equipamentos Identifique uma Ameaça

Justificativa / Evidências
Utilização de dados para fins indevidos
A parada por qualquer motivo causaria parada imediata das

Recurso Humano insubstituivel
Identificação dos Controles Existentes ou com Implementação Planejada
Controle Existente ou
Ativo Ameaças Planejado
Segurança da
Controle Informação
Divulgação indevida
Controle Firewall
Informações pessoais de
At 01
clientes finais
Controle Firewall
Processamento ilegal de
dados
Controle Não existe
Controle Monitores de energia

Falha de equipamento
Controle Alarme
At 02 Sistema proprietário
Controle Cameras
Alteração do software
Controle Logs

Identifique uma Ameaça
At 03 0

At 04 0

At 05 0

At 06 0

At 07 0
At 07 0

At 08 0

At 09 0

At 10 0
Falha do ar- Controle Backup do serviço
condicionado ou do
sistema de suprimento
de água Controle Câmeras
At 11 Roteadores
At 11 Roteadores

Controle Monitores de controle

Falha do equipamento
de telecomunicação
Controle Backup
At 12 DNS

Acidente grave
At 13 Gerente de TI

Furto de equipamentos
At 14 Radius

At 15 0

At 16 0

At 17 0

At 18 0

At 19 0

At 20 0
At 20 0

At 21 0

At 22 0

At 23 0

At 24 0
At 24 0


At 25 0

At 26 0

At 27 0

At 28 0

At 29 0

At 30 0
ção Planejada
Justificativa/Evidências
Fica a cargo da pessoa fisica a segurança de sua integridade
Sessão 4
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 4. Compreender e desenvolver a identifica
Nas duas atividades que fazem parte desta Atividades – Sessão 4

na sessão 4. 4.1 Identifique as Vulnerabilidades

4.2 Identifique as Consequencias
na sequência e com o acompanhamento da
norma 27005.
esenvolver a identificação dos riscos.
Vulnerabilidades
Consequencias
Identificação das Vulnerabilidades NÃO Atendidas pelos Controles Existentes
Ativo Ameaças Controle existente Nr. Vulnerabilidades Encon
1 CPF divulgados
Controle Segurança da Infor
2 Dados bancários divulg
3
Informações Controle Firewall
4
At 01 pessoais de
clientes finais 5 Processo da ANATEL
Controle Firewall
Processamento ilegal de 6
dados 7
8
1 Disjuntores falhando
Controle Monitores de energi
2
3
Controle Alarme
Sistema 4
At 02
proprietário 5 Câmeras com baixa res
Controle Cameras
6
7
Controle Logs
8
1
2
3
4
At 03 0
5
6
7
8
1
2
3
4
At 04 0
5
6
7
8
1
2
3
4
At 05 0
5
6
7
8
1
2
3
4
At 06 0
5
6
7
At 06 0

8
1
2
3
4
At 07 0
5
6
7
8
1
2
3
4
At 08 0
5
6
7
8
1
2
3
4
At 09 0
5
6
7
8
1
2
3
4
At 10 0
5
At 10 0
6
7
8
1 Nenhum equipamento
condicionado ou do 2
sistema de suprimento 3
4
At 11 Roteadores
5
6
7
8
1 Invasão em portas TCP

Controle Monitores de contro
Falha do equipamento 2
de telecomunicação 3
Controle Backup
4
At 12 DNS
5
6
7
8
1
2
Acidente grave
3
4
At 13 Gerente de TI
5
6
7
8
1
2
3
At 14 Radius
4
At 14 Radius
5
6
7
8
1
2
3
4
At 15 0
5
6
7
8
1
2
3
4
At 16 0
5
6
7
8
1
2
3
4
At 17 0
5
6
7
8
1
At 18 0
2
3
4
At 18 0
5
6
7
8
1
2
3
4
At 19 0
5
6
7
8
1
2
3
4
At 20 0
5
6
7
8
1
2
3
4
At 21 0
5
6
7
8
1
2
3
4
At 22 0
5
6
7
8
1
2
3
4
At 23 0
5
6
7
8
1
2
3
4
At 24 0
5
6
7
8
1
2
3
4
At 25 0
5
6
7
At 25 0

8
1
2
3
4
At 26 0
5
6
7
8
1
2
3
4
At 27 0
5
6
7
8
1
2
3
4
At 28 0
5
6
7
8
1
2
3
4
At 29 0
5
At 29 0
6
7
8
1
2
3
4
At 30 0
5
6
7
8
Controles Existentes
Vulnerabilidades Encontradas Justificativa/Evidências
CPF divulgados
Dados bancários divulgados
Processo da ANATEL
Disjuntores falhando
Câmeras com baixa resolução



Nenhum equipamento para substituição
Invasão em portas TCP





Identificação das Consequências das Vulnerabilidades Levantadas
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequências
Segurança da 1 CPF divulgados Perda de confidencialidade

Controle Dados bancários
Informação 2 Perda de confidencialidade
Divulgação indevida divulgados
3 0 DEFINA A CONSEQUÊNCIA:
Informações Controle Firewall
At 01 pessoais de
clientes finais 5 Processo da ANATEL Afeta imagem e reputação
Controle Firewall
Processamento ilegal de 6 0 DEFINA A CONSEQUÊNCIA:
dados 7 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 Disjuntores falhando Perda de Disponibilidade

Controle Monitores de energia
Controle Alarme
Sistema 4 0 DEFINA A CONSEQUÊNCIA:
At 02
proprietário
Sistema
At 02 Câmeras com baixa
proprietário 5 Prejuizo financeiro por retrabalho
Controle Cameras resolução
Controle Logs
Vulnerabilidades
At 03 0
Vulnerabilidades
At 04 0
Vulnerabilidades
At 05 0
Vulnerabilidades
At 06 0
Vulnerabilidades
At 07 0
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequencias
At 08 0
Vulnerabilidades
At 09 0
At 09 0
Vulnerabilidades
At 10 0
Vulnerabilidades
Nenhum equipamento Prejuizo financeiro por retrabalho
1 para substituição
condicionado ou do 2 0 DEFINA A CONSEQUÊNCIA:
sistema de suprimento 3 0 DEFINA A CONSEQUÊNCIA:
At 11 Roteadores
Vulnerabilidades
1 Invasão em portas TCP Perda de Integridade

Controle Monitores de controle
Falha do equipamento 2 0 DEFINA A CONSEQUÊNCIA:
de telecomunicação 3 0 DEFINA A CONSEQUÊNCIA:
Controle Backup
At 12 DNS
Vulnerabilidades
Acidente grave
At 13 Gerente de TI
Vulnerabilidades
At 14 Radius
Vulnerabilidades
At 15 0
Vulnerabilidades
At 16 0
At 16 0
Vulnerabilidades
At 17 0
Vulnerabilidades
At 18 0
Vulnerabilidades
At 19 0
Vulnerabilidades
At 20 0
Vulnerabilidades
At 21 0
Vulnerabilidades
At 22 0
Vulnerabilidades
At 23 0
At 23 0
Vulnerabilidades
At 24 0
Vulnerabilidades
At 25 0
Vulnerabilidades
At 26 0
Vulnerabilidades
At 27 0
Vulnerabilidades
At 28 0
Vulnerabilidades
At 29 0
Vulnerabilidades
At 30 0
At 30 0
Sessão 5
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 5. Compreender e desenvolver um process

sessão, serão vistos os conceitos apreendidos 5.1 Avaliação Qualitativa dos Ativos
na sessão 5.
Lembre-se: estas atividades devem ser feitas 5.2 Avaliação Qualitativa Severidade d
norma 27005
esenvolver um processo de avaliação QUALITATIVA de risco.
itativa dos Ativos
litativa Severidade das Consequencias

Avaliação das Consequências - Relevância dos Ativos
Vulnerabilidades Relevancia do Ativo

Ativo Ameaças Nr. Consequências Justificativa/Evidência
Encontradas para o Negócio
1 CPF divulgados Perda de confidencialidade
Dados bancários
2 divulgados Perda de confidencialidade
Informações 4 0 DEFINA A CONSEQUÊNCIA:
At 01 pessoais de Descrição
clientes finais 5 Processo da ANATEL Afeta imagem e reputação
Processamento ilegal 6 0 DEFINA A CONSEQUÊNCIA:
de dados 7 0 DEFINA A CONSEQUÊNCIA:
Ativo Ameaças Nr.

Vulnerabilidades
Consequências Relevancia do Ativo Justificativa/Evidência
1 Disjuntores falhando Perda de Disponibilidade
Sistema 4 0 DEFINA A CONSEQUÊNCIA:
At 02 Descrição
proprietário
Sistema
At 02 Câmeras com baixa Descrição
proprietário 5 Prejuizo financeiro por retrabalho
resolução
Ativo Ameaças Nr.

Vulnerabilidades
Identifique uma 2 0 DEFINA A CONSEQUÊNCIA:
Ameaça 3 0 DEFINA A CONSEQUÊNCIA:
At 03 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 04 0 Descrição

At 05 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 06 0 Descrição

Ativo Ameaças Nr. Encontradas Consequências Justificativa/Evidência
para o Negócio
At 07 0 Descrição
Ativo Ameaças Nr. Vulnerabilidades

At 08 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 09 0 Descrição
At 09 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 10 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
Nenhum equipamento
1 para substituição Prejuizo financeiro por retrabalho
Falha do ar-
condicionado ou do 2 0 DEFINA A CONSEQUÊNCIA:
sistema de suprimento 3 0 DEFINA A CONSEQUÊNCIA:
de água
At 11 Roteadores Descrição

1 Invasão em portas TCP Perda de Integridade
Falha do equipamento 2 0 DEFINA A CONSEQUÊNCIA:
de telecomunicação 3 0 DEFINA A CONSEQUÊNCIA:
At 12 DNS Descrição
Ativo Ameaças Nr.
Vulnerabilidades
Acidente grave
At 13 Gerente de TI Descrição

para o Negócio
At 14 Radius Descrição

At 15 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 16 0 Descrição
At 16 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 17 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
0
At 18 Descrição

At 19 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 20 0 Descrição

para o Negócio
At 21 0 Descrição

At 22 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 23 0 Descrição
At 23 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 24 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 25 0 Descrição

At 26 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 27 0 Descrição

para o Negócio
At 28 0 Descrição

At 29 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 30 0 Descrição
At 30 0 Descrição
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Avaliação das Consequências – Severidade
Ativo Ameaças Nr.

Vulnerabilidades
Consequências Relevancia do Ativo Severidade das
Encontradas para o Negócio Consequências
1 CPF divulgados Perda de confidencialidade Alta
Dados bancários
2 divulgados
Perda de confidencialidade Elevada
3 0 DEFINA A CONSEQUÊNCIA: Nível
Informações 4 0 DEFINA A CONSEQUÊNCIA: Nível
clientes finais 5 Processo da ANATEL Afeta imagem e reputação Nível
Processamento ilegal 6 0 DEFINA A CONSEQUÊNCIA: Nível
de dados 7 0 DEFINA A CONSEQUÊNCIA: Nível
Vulnerabilidades Relevancia do Ativo Severidade das

Ativo Ameaças Nr. Consequências
1 Disjuntores falhando Perda de Disponibilidade Média
Sistema 4 0 DEFINA A CONSEQUÊNCIA: Nível
At 02 Descrição
proprietário
Sistema
proprietário 5 Prejuizo financeiro por retrabalho Baixa
resolução

Identifique uma 2 0 DEFINA A CONSEQUÊNCIA: Nível
Ameaça 3 0 DEFINA A CONSEQUÊNCIA: Nível
At 03 0 Descrição

At 04 0 Descrição

Ativo Ameaças Nr.
Encontradas Consequências para o Negócio Consequências
At 05 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 06 0 Descrição

Ativo Ameaças Nr.
At 07 0 Descrição

At 08 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 09 0 Descrição
Ameaça
At 09 0 Descrição

Ativo Ameaças Nr.
At 10 0 Descrição

Nenhum equipamento
Prejuizo financeiro por retrabalho Média
Falha do ar-
condicionado ou do 2 0 DEFINA A CONSEQUÊNCIA: Nível
sistema de suprimento 3 0 DEFINA A CONSEQUÊNCIA: Nível
de água
Ativo Ameaças Nr.

Vulnerabilidades
1 Invasão em portas TCP Perda de Integridade Alta
Falha do equipamento 2 0 DEFINA A CONSEQUÊNCIA: Nível
de telecomunicação 3 0 DEFINA A CONSEQUÊNCIA: Nível
Acidente grave
Ativo Ameaças Nr.

Vulnerabilidades

At 15 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
Ameaça
Identifique uma
At 16 0 Descrição

At 17 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 18 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 19 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
Consequencias Relevancia do Ativo Severidade das
At 20 0 Descrição

At 21 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 22 0 Descrição

Ativo Ameaças Nr.
Ameaça
Identifique uma
At 23 0 Descrição

At 24 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 25 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 26 0 Descrição
At 27 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 28 0 Descrição

At 29 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
Ameaça
Identifique uma
At 30 0 Descrição
das Justificativa/Evidências
as
das
as
das
as
das
as
das
as Justificativa/Evidências
as
das
das
as
as
das
das
as
as
das
as
as
das
as
as
das
as
as
as
as
das
as
as
das
das
as
as
as
das
as
as
das
as
as
Sessão 6
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 6. Compreender, desenvolver a estimativa do risc
Nas três atividades que fazem parte desta Atividades – Sessão 6

na sessão 6. 6.1 Avaliação da Probabilidade

na sequência e com o acompanhamento da 6.2 Definição da Estimativa
norma 27005
6.3 Resultado da Estimativa Qualitativ
ver a estimativa do risco.
Probabilidade
Estimativa
Estimativa Qualitativa
Avaliação das Probabilidades

Ativo Ameaças Nr.
Dados bancários
2 divulgados
de dados 7 0 DEFINA A CONSEQUÊNCIA: Nível

Ativo Ameaças Nr.
At 02 Descrição
proprietário
Sistema
resolução

At 03 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 04 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 05 0 Descrição
At 06 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 07 0 Descrição

Ativo Ameaças Nr.
At 08 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 09 0 Descrição
At 09 0 Descrição

Ativo Ameaças Nr. Encontradas Consequências para o Negócio Consequências
At 10 0 Descrição

Nenhum equipamento
1 para substituição Prejuizo financeiro por retrabalho Média
Falha do ar-
de água
Ativo Ameaças Nr.

Vulnerabilidades
Acidente grave
Ativo Ameaças Nr.

Vulnerabilidades

Ativo Ameaças Nr.
At 15 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 16 0 Descrição
At 16 0 Descrição

At 17 0 Descrição

At 18 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 19 0 Descrição
At 20 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 21 0 Descrição

Ativo Ameaças Nr.
At 22 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 23 0 Descrição
At 23 0 Descrição

At 24 0 Descrição

At 25 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 26 0 Descrição
At 27 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 28 0 Descrição

Ativo Ameaças Nr.
At 29 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 30 0 Descrição
At 30 0 Descrição
das
as Probabilidade Justificativa/Evidências
Improvável
Improvável
Nível
Nível
Nível
Nível
Nível
Nível
das
Remoto
Nível
Nível
Nível
Ocasional
Nível
Nível
Nível
das
Probabilidade Justificativa/Evidências
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das Probabilidade Justificativa/Evidências

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Remoto
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Remoto
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Ocasional
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível

as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Definição das Estimativas (Pesos)
Defina aqui os pesos para cada item
Critério de Probabilidade
Nível Definição
Frequente Tem ocorrido pelo menos uma vez a cada mês
É possível de ocorrer a cada 6 meses ou menos. Nos últimos seis

Provável meses já ocorreu
Ocasional Nos último ano já ocorreu pelo menos 1 vezes
Remoto Nos últimos cinco anos já ocorreu pelo menos 3 vezes
Improvável Nunca ocorreu.
Relevância do Ativo
Nível Definição
Insignificante Queda de energia em equipamentos com redudância
Baixo Perda de redundância
Significante Queda de energia em equipamento sem redundância
Importante Para de equipamento devido a queda de energia
Crítico Parada de equipamento por mais de 20 minutos devido a queda de

energia
Severidade das Consequências
Nível Definição
Insignificante As ocorências não afetam os negócios ou não causam paradas maior

que cinco minutos.
As ocorências não afetam os negócios ou não causam paradas maior
Baixa que dez minutos.
Média que vinte minutos.
Alta As ocorências não afetam os negócios ou não causam paradas maior

que trinta minutos.
Elevada que uma hora.
Impacto
Nível Definição
Desprezível Imperceptíveis ao cliente final
Baixo Cliente final com problemas por mais de 1 hora
Significativo Cliente final e empresa paradas por mais de 6 horas

Afetam a imagem da organização e causam interrupção de 12 horas
Importante
nos negócios. A empresa deixa de funcionar/produzir por 12 horas
Desastre A organização parada por mais de 24 horas
Critério de Risco
Nível Definição

impedindo de executar serviços e produzir, afetando sua imagem
Extremo pública de forma significativa. Prejuízos finaceiros elevados, ações na
justiça.

Alto impedindo de executar serviços e produzir, afetando sua imagem
pública
Médio A organização pára totalmente seus serviços por mais de 12 horas,

impedindo de executar serviços e produzir.
Baixo A organização pára parcialmente seus serviços por mais de 6 horas
Irrelevante A organização para parcialmente seus serviços por mais de 1 hora

Peso
da mês 4
Atenção!
u menos. Nos últimos seis
3
Preencha
apenas os
pesos
1 vezes 2
menos 3 vezes 1
0
Peso
m redudância 0
m redundância 2
e energia 3
minutos devido a queda de

4
Peso
ou não causam paradas maior

0

1

2

3

4
Peso
0
0
e 1 hora 1
4
is de 6 horas 2
8
sam interrupção de 12 horas
onar/produzir por 12 horas 3
12
oras 4
16
Aceitação
De Até Prioridade
viços por mais de 48 horas,

uzir, afetando sua imagem
finaceiros elevados, ações na 49 64 1

uzir, afetando sua imagem 28 48 2

uzir. 9 27 3
erviços por mais de 6 horas 2 8 4
erviços por mais de 1 hora 1 1 5
Nenhuma
Estudo futuro
Resultado das Estimativas
Ativo Ameaças Nr.

Vulnerabilidades
Consequências Relevancia do Ativo Severidade Consequên
Dados bancários
2 divulgados Perda de confidencialidade Elevada
de dados 0 DEFINA A CONSEQUÊNCIA: Nível
7

Ativo Ameaças Nr. Consequências Severidade Consequên
Sistema
At 02 Descrição

resolução

At 03 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 04 0 Descrição

At 05 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 06 0 Descrição

Ativo Ameaças Nr.
Encontradas Consequências para o Negócio
Severidade Consequên

At 07 0 Descrição

At 08 0 Descrição

Ativo Ameaças Nr.
Encontradas Consequências Severidade Consequên
para o Negócio
At 09 0 Descrição
At 09 0 Descrição

At 10 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
Nenhum equipamento
Falha do ar-
de água

Ativo Ameaças Nr.
Vulnerabilidades
Acidente grave

Ativo Ameaças Nr.


At 15 0 Descrição

Ativo Ameaças Nr.
para o Negócio
At 16 0 Descrição
At 16 0 Descrição

At 17 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 18 0 Descrição

At 19 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 20 0 Descrição

Ativo Ameaças Nr.

At 21 0 Descrição

At 22 0 Descrição

Ativo Ameaças Nr.
para o Negócio
At 23 0 Descrição
At 23 0 Descrição

At 24 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 25 0 Descrição

At 26 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 27 0 Descrição

Ativo Ameaças Nr.

At 28 0 Descrição

At 29 0 Descrição

Ativo Ameaças Nr.
para o Negócio
At 30 0 Descrição
At 30 0 Descrição
IMPACTO= RELEVÂNCIA DO ATIVO * SEVERIDADE
onsequências Impacto Probabilidade Justificativa/Evidências
3 Desastre Improvável 0
4 Desastre Improvável 0
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
2 Desastre Remoto 1
Desastre Nível
Desastre Nível
Desastre Nível
1 Desastre Ocasional 2
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

2 Desastre Remoto 1
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

3 Desastre Remoto 1
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Ocasional 2
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível

Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Sessão 7
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 7. Compreender e desenvolver um process
calcular o risco.

nas sessão 7. 7.1 Calcular o Risco

7.2 Avaliar o Risco
norma 27005
esenvolver um processo de avaliação QUALITATIVA de risco e
o
Cálculo do Risco

Dados bancários
2 divulgados
7

resolução

At 03 0 Descrição

Ativo Ameaças Nr.

At 04 0 Descrição

Ativo Ameaças Nr.

At 05 0 Descrição
Ameaça

Ativo Ameaças Nr.

At 06 0 Descrição

Ativo Ameaças Nr.

At 07 0 Descrição

At 08 0 Descrição

Ativo Ameaças Nr.

Ameaça
Identifique uma
At 09 0 Descrição

Ativo Ameaças Nr.

At 10 0 Descrição

Ativo Ameaças Nr.
Nenhum equipamento
Falha do ar- 1 para substituição
de água

Ativo Ameaças Nr.
Vulnerabilidades
Acidente grave
Ativo Ameaças Nr.

Vulnerabilidades

Ativo Ameaças Nr.
para o Negócio
At 15 0 Descrição

At 16 0 Descrição
At 16 0 Descrição

Ativo Ameaças Nr.

At 17 0 Descrição

At 18 0 Descrição

At 19 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 20 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 21 0 Descrição

Ativo Ameaças Nr.
para o Negócio
At 22 0 Descrição

At 23 0 Descrição
At 23 0 Descrição

Ativo Ameaças Nr.

At 24 0 Descrição

At 25 0 Descrição

At 26 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 27 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 28 0 Descrição

Ativo Ameaças Nr.
para o Negócio
At 29 0 Descrição

At 30 0 Descrição
At 30 0 Descrição
onsequências Impacto Probabilidade Risco = Probabilidade * Impacto
3 Desastre Improvável 0 Extremo

4 Desastre Improvável 0 Extremo
Desastre Nível Extremo

2 Desastre Remoto 1 Extremo
1 Desastre Ocasional 2 Extremo










Desastre Ocasional 2 Extremo















Avaliação do Risco

Dados bancários
2 divulgados
7

proprietário Prejuizo financeiro por retrabalho Baixa
5 resolução

At 03 0 Descrição

Ameaça 0 DEFINA A CONSEQUÊNCIA: Nível
3
At 04 0 Descrição
7

Ameaça
Identifique uma
3
At 05 0 Descrição
7

3
At 06 0 Descrição
7

3
At 07 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 08 0 Descrição
Ameaça

At 08 0 Descrição
7

Ativo Ameaças Nr.

3
At 09 0 Descrição
7

3
At 10 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
Nenhum equipamento
Falha do ar-
sistema de suprimento 0 DEFINA A CONSEQUÊNCIA: Nível
de água 3
7

Ativo Ameaças Nr. Encontradas Consequências para o Negócio

de telecomunicação 0 DEFINA A CONSEQUÊNCIA: Nível
3
7

Acidente grave
7

Ativo Ameaças Nr.

Identifique uma
7

3
At 15 0 Descrição
7

3
At 16 0 Descrição
7

3
At 17 0 Descrição
Ameaça
Identifique uma
7

Ativo Ameaças Nr.
para o Negócio
3
At 18 0 Descrição
7

3
At 19 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 20 0 Descrição
7
Ameaça

3
At 21 0 Descrição
7

3
At 22 0 Descrição
7


3
At 23 0 Descrição
7
Ativo Ameaças Nr.
Vulnerabilidades
3
At 24 0 Descrição
7

Ativo Ameaças Nr.

3
At 25 0 Descrição
7

3
At 26 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 27 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 28 0 Descrição
7

Ativo Ameaças Nr.

3
At 29 0 Descrição
7

Ativo Ameaças Nr.

Ameaça
Identifique uma
3
At 30 0 Descrição
7
onsequências Impacto Probabilidade Risco = Probabilidade * Impacto Avaliação de Risco Justificativa/E
3 Desastre Improvável 0 Extremo Prioridade

4 Desastre Improvável 0 Extremo Prioridade
Desastre Nível Extremo Prioridade

2 Desastre Remoto 1 Extremo Prioridade
1 Desastre Ocasional 2 Extremo Prioridade










Desastre Ocasional 2 Extremo Prioridade


















ficativa/Evidências
Sessão 8
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 8. Compreender e desenvolver o tratamen
riscos.
Nas quatro atividades que fazem parte desta Atividades – Sessão 8

nas sessão 8. 8.1 Definir Tratamento

na sequência e com o acompanhamento da 8.2 Definir Controles do Plano
norma 27005
8.3 Levantar e Definir Riscos Residuais
8.4 Aceitação do Risco

esenvolver o tratamento de risco e realizar a aceitação dos
mento
oles do Plano
finir Riscos Residuais
Risco
Definição de Tratamento dos Risco

Dados bancários
2 divulgados
7
Ativo Ameaças Nr.

Vulnerabilidades
At 02 proprietário Câmeras com baixa Descrição
5 resolução
Prejuizo financeiro por retrabalho Baixa

At 03 0 Descrição

Ativo Ameaças Nr.

At 04 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 05 0 Descrição
Ativo Ameaças Nr.

At 06 0 Descrição

At 07 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 08 0 Descrição

Ativo Ameaças Nr.

At 09 0 Descrição
At 09 0 Descrição

At 10 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
Nenhum equipamento
Falha do ar-
de água



Ativo Ameaças Nr.
Acidente grave
Ativo Ameaças Nr.

Vulnerabilidades

Ativo Ameaças Nr.

At 15 0 Descrição

Ativo Ameaças Nr.

At 16 0 Descrição
Ameaça

Ativo Ameaças Nr.

At 17 0 Descrição

At 18 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 19 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
Ameaça
At 20 0 Descrição

At 21 0 Descrição

Ativo Ameaças Nr.

At 22 0 Descrição

At 23 0 Descrição
Ativo Ameaças Nr.
Vulnerabilidades
At 24 0 Descrição

Ativo Ameaças Nr.

At 25 0 Descrição

At 26 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 27 0 Descrição
Identifique uma
At 27 0 Descrição


At 28 0 Descrição
Ativo Ameaças Nr.

Vulnerabilidades
At 29 0 Descrição

Ativo Ameaças Nr.

At 30 0 Descrição
onsequências Impacto Probabilidade Risco = Probabilidade * Impacto Avaliação de Risco Tratamento
3 Desastre Improvável 0 Extremo 0 Prioridade Escolha o Trat

Desastre Nível Extremo 0 Prioridade Escolha o Trat
2 Desastre Remoto 1 Extremo 0 Prioridade Escolha o Trat

1 Desastre Ocasional 2 Extremo 0 Prioridade Escolha o Trat










Desastre Ocasional 2 Extremo 0 Prioridade Escolha o Trat
















amento Justificativa/Evidências
ESCOLHA O TRATAMENTO:
ha o Tratamento Redução do Risco
ha o Tratamento Retenção do Risco
ha o Tratamento Redução do Risco
ha o Tratamento Ação de Evitar o Risco
ha o Tratamento Transferência do Risco
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
Definição dos Controles

Ativo Ameaças Nr.

Dados bancários
2 divulgados
7

Ativo Ameaças Nr.

resolução
Ativo Ameaças Nr.

Vulnerabilidades
3
At 03 0 Descrição
At 03 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 04 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 05 0 Descrição
7

3
At 06 0 Descrição
Identifique uma
Ameaça
7

3
At 07 0 Descrição
7

Ativo Ameaças Nr.

3
At 08 0 Descrição
7


3
At 09 0 Descrição
Ameaça
Identifique uma
7

3
At 10 0 Descrição
7

Nenhum equipamento
Falha do ar-
de água 3
7
Ativo Ameaças Nr.

Vulnerabilidades
3
7
Ameaça

Ativo Ameaças Nr.

Acidente grave
7

7

3
At 15 0 Descrição
7
Ativo Ameaças Nr.
Vulnerabilidades
3
At 16 0 Descrição
7

Ativo Ameaças Nr.

3
At 17 0 Descrição
7

Ativo Ameaças Nr.

3
At 18 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 19 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 20 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 21 0 Descrição
7

Identifique uma
Ameaça
3
At 22 0 Descrição
7

3
At 23 0 Descrição
7

3
At 24 0 Descrição
7

Ativo Ameaças Nr.

Ameaça
Identifique uma
3
At 25 0 Descrição
7

3
At 26 0 Descrição
7

3
At 27 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 28 0 Descrição
Ameaça

At 28 0 Descrição
7

Ativo Ameaças Nr.

3
At 29 0 Descrição
7

Ativo Ameaças Nr.

3
At 30 0 Descrição
7
3 Desastre Improvável 0 Extremo 0 Prioridade Escolha o Trata

4 Desastre Improvável 0 Extremo 0 Prioridade Escolha o Trata
Desastre Nível Extremo 0 Prioridade Escolha o Trata
2 Desastre Remoto 1 Extremo 0 Prioridade Escolha o Trata

1 Desastre Ocasional 2 Extremo 0 Prioridade Escolha o Trata










Desastre Ocasional 2 Extremo 0 Prioridade Escolha o Trata


















amento Controle 1 Controle 2 Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento

ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento

ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento

ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
Levantamento dos Riscos Residuais
Ativo Ameaças Nr.

Vulnerabilidades
Dados bancários
2 divulgados Perda de confidencialidade Elevada
7

resolução

3
At 03 0 Descrição
At 03 0 Descrição
7

3
At 04 0 Descrição
7

3
At 05 0 Descrição
7

3
At 06 0 Descrição
Identifique uma
Ameaça
7

Ativo Ameaças Nr.

3
At 07 0 Descrição
7

Ativo Ameaças Nr.

3
At 08 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 09 0 Descrição
Ameaça
Identifique uma
7

Ativo Ameaças Nr.

3
At 10 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
Nenhum equipamento
Falha do ar-
de água 3
7

3
7
Ameaça
Ativo Ameaças Nr.

Vulnerabilidades
Acidente grave
7

Ativo Ameaças Nr.

7

Ativo Ameaças Nr.

3
At 15 0 Descrição
7
Ativo Ameaças Nr.

3
At 16 0 Descrição
7

3
At 17 0 Descrição
7

3
At 18 0 Descrição
7
Ativo Ameaças Nr.

3
At 19 0 Descrição
7

3
At 20 0 Descrição
7

3
At 21 0 Descrição
7
Ativo Ameaças Nr.

3
At 22 0 Descrição
7

3
At 23 0 Descrição
7

3
At 24 0 Descrição
7
Ativo Ameaças Nr.

3
At 25 0 Descrição
7

3
At 26 0 Descrição
7

3
At 27 0 Descrição
7
Ativo Ameaças Nr.

3
At 28 0 Descrição
7

3
At 29 0 Descrição
7

3
At 30 0 Descrição
7


1 Desastre Ocasional 2 Extremo 0 Prioridade Escolha o Trat




























amento Controle 1 Controle 2 Existem Riscos Residuais? Quais? Descreva
ha o Tratamento 0 0 RISCOS RESIDUAIS:






























Justificativa/Evidências Nova Severidade Nova Probabilidade Risco Residual é:
Nível Nível Extremo






























ERRO - RISCO DEVERIA SER MENOR!!!
























Aceitação dos Riscos

Dados bancários
2 divulgados
7
Ativo Ameaças Nr.

Vulnerabilidades
resolução
Ativo Ameaças Nr.

Vulnerabilidades
3
At 03 0 Descrição
7

3
At 04 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
Identifique uma
Ameaça
3
At 05 0 Descrição
7

Ativo Ameaças Nr.

3
At 06 0 Descrição
7

Ativo Ameaças Nr.

3
At 07 0 Descrição
7

Ameaça
Identifique uma
3
At 08 0 Descrição
7

Ativo Ameaças Nr.

3
At 09 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 10 0 Descrição
7

Nenhum equipamento
Falha do ar-
de água 3
sistema de suprimento
de água
7
Ativo Ameaças Nr.

Vulnerabilidades
3
7
Ativo Ameaças Nr.

Vulnerabilidades
Acidente grave
7

Ativo Ameaças Nr.

7

3
At 15 0 Descrição
7

3
At 16 0 Descrição
7

3
At 17 0 Descrição
Identifique uma
Ameaça
7

Ativo Ameaças Nr.

3
At 18 0 Descrição
7

Ativo Ameaças Nr.

3
At 19 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 20 0 Descrição
Ameaça
Identifique uma
7

Ativo Ameaças Nr.

3
At 21 0 Descrição
7
Ativo Ameaças Nr.

Vulnerabilidades
3
At 22 0 Descrição
7

3
At 23 0 Descrição
7
Ameaça
Ativo Ameaças Nr.

Vulnerabilidades
3
At 24 0 Descrição
7

Ativo Ameaças Nr.

3
At 25 0 Descrição
7

Ativo Ameaças Nr.

3
At 26 0 Descrição
7
Ativo Ameaças Nr.

3
At 27 0 Descrição
7

3
At 28 0 Descrição
7

3
At 29 0 Descrição
7
Ativo Ameaças Nr.

3
At 30 0 Descrição
7

Desastre Improvável 0 Extremo 0 Prioridade Escolha o Trat
0 Desastre Nível Extremo 0 Prioridade Escolha o Trat





























ha o Tratamento 0 0 RISCOS RESIDUAIS: 0






























Risco Residual é: Decisão Justificativa/Evidências Responsável
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão

Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Sessão 9
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 9. Compreender e desenvolver a comunica
Atividades – Sessão 9
Na atividade que faz parte desta sessão, serão
vistos os conceitos apreendidos na sessão 9. 9.1 Comunicação dos Riscos

norma 27005
esenvolver a comunicação dos riscos.
os Riscos
Comunicação dos Riscos
Quem são os
responsáveis pela Pedro
comunicação de riscos na
equipe de análise?
Quem são os
responsáveis pela Pedro
comunicação de riscos na
organização?
Qual o procedimento da
equipe ao identificar um Comunicar os responsáveis e iniciar a ánalise da solução de contorno
risco com alta gravidade?
Qual o procedimento da
equipe ao descobrir que Comunicar os responsáveis e iniciar a ánalise da solução de contorno
surgiram novas ameaças
em determinado ativo?
No meio do processo de
análise a equipe foi
avisada que a topologia
da rede irá mudar. Qual o Desenvolver um relatório detalhado tornando clara onde serão e quais os beneficios d
procedimento da equipe
para a comunicação desta
mudança?
Apresente o fluxograma
de comunicação que
funcionará durante a
realização deste projeto
Como é feita a
comunicação dos
resultados para o órgão
que solicitou a análise?
Em que momento inicia a

comunicação na gestão Suporte de primeiro nível
de risco?
Em que momento a
equipe de análise de risco
irá comunicar as Vulnerabilidade críticas devem ser comunicadas no momento da identificação
vulnerabilidades
consideradas críticas
identificadas na sessão 3?
Em que momento a
equipe de análise de risco
irá comunicar as Vulnerabilidade críticas devem ser comunicadas no momento da identificação
vulnerabilidades
consideradas críticas
identificadas na sessão 3?
Considerando este
exercício em quais
momentos foram
efetivamente realizadas
"comunicações" as partes
interessadas no projeto?
Considerando este
exercício quem deve
participar da reunião final Gestores e gerentes de processo
de apresentação dos
resultados?
Apresente os tópicos que

serão apresentados pela
equipe de análise de risco Medições de processos e serviços, relatório de incidentes
durante a comunicação
dos resultados finais?
Considerando este
exercício exemplifique
com as atividades já
realizadas um fato
gerador que necessite de
comunicação imediata?
Explique e justifique.
Como será formalizada a
comunicação?
Em que momento
termina a comunicação
dentro da gestão de
risco? Exemplifique neste
exercício.
Em que momento
termina a comunicação
dentro da gestão de
risco? Exemplifique neste
exercício.
o de contorno
o de contorno
de serão e quais os beneficios de tal mudança
mento da identificação
mento da identificação
es
Sessão 10
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 10. Compreender, desenvolver e realizar o
Atividades – Sessão 10
Nas duas atividades que fazem parte desta sessão, 10.1 Monitoramento e Análise Crítica
serão vistos os conceitos apreendidos na sessão 10.
A atividade 10.3 é um exemplo com gráficos dos
resultados da análise de risco. 10.2 Monitorar, Análise Crítica e Melh
Lembre-se: estas atividades devem ser feitas na

sequência e com o acompanhamento da norma 10.3 Gráficos
27005
esenvolver e realizar o monitoramento dos riscos.
nto e Análise Crítica de Riscos
Análise Crítica e Melhoria do Processo

Monitoramento e Análise Crítica dos Riscos de Segurança da Informação
Como funciona o
monitoramento na Por meio de sistemas inteligentes e real-tim
equipe de análise?
Qual o procedimento ao
identificar um novo
Comunicar os responsáveis
evento de segurança da
informação?
O que esta monitorado

durante a realização dos
Todos ativos e processos
trabalhos de análise de
risco?
Quem é o responsável
Pedro
pelo monitoramento?
Em que momento é
realizado o Real-time
monitoramento?
Qual a finalidade da
realização da análise Evitar riscos de vazamento de informações
crítica neste trabalho?
Como é feita a análise

critica neste trabalho?
Qual a relação entre o

monitoramento e a Evitar incidentes rotineiros que possam comprometer o processo e cria
análise crítica?
Qual o procedimento
para a análise crítica?
Qual o procedimento
para a análise crítica?
O que será feito ao

identificar um problema Comunicar os responsáveis
durante a anállise crítica?
Qual o procedimento,
para o monitoramento e
a análise crítica, ao serem
descobertas novas
ameaças? E para novos
ativos?
Considerando a análise
de risco do exercício,
quais as atividades que
necessitam de um
monitoramento bem
rígido?
Como a equipe de análise

pode fazer o
monitoramento dos
riscos residuais?
Como a equipe de análise

deve fazer a análise
crítica da aceitação dos
riscos?
Como deve ser conduzida

a análise critica da
identificação das
vulnerabilidades?
Como deve ser conduzida
a análise critica da
identificação das
vulnerabilidades?
ça da Informação
temas inteligentes e real-time
nicar os responsáveis
s ativos e processos
Pedro
Real-time
e vazamento de informações
mprometer o processo e criar assim, um incidente critico

nicar os responsáveis
Monitoramento, Análise Crítica e Melhoria do Processo de Gestão dos Riscos
Como é feito o
monitoramento do
processo de gestão de
riscos pela organização?
Qual a participação da
equipe de análise no
monitoramento do
processo de gestão dos
riscos?
Como é realizado a
análise critica pela
organização? Em que
momento é feito?
Como é realizado a
análise critica pela
organização? Em que
momento é feito?
equipe de análise na
análise crítica do
riscos?
O que a organização faz

com os resultados do
monitoramento? E da
análise crítica?
Como a organização
realiza a melhoria do
riscos?
equipe de análise na
melhoria do processo de
gestão dos riscos?
Conhecendo a
organização como você
conhece, por integrar a
equipe de análise, quais
as recomendações que
você dará para a melhoria
do processo?
Quando deverá ser feita

uma nova análise de
risco?
Quando deverá ser feita
uma nova análise de
risco?
No caso do exercício,
como a organização deve
acompanhar os trabalhos
para a melhoria do
risco?
No caso do exercício, ao
concluir seu trabalho qual
suas observações com
relação ao
monitoramento do
riscos?
No caso do exercício, ao
concluir seu trabalho qual
suas observações com
relação a melhoria
contínua do processo de
gestão de riscos?
de Gestão dos Riscos
Gráficos
DISTRIBUIÇÃO
ANÁLISE DE RISCO
Quant Após Plano

Crítico 0
Importante 0
Ativos
Significante 0
Baixo 0
Insignificante 0
SOMA 0
IMPACTO
ANÁLISE DE RISCO
Quantidade
250
Quant Após Plano
200
Desastre 240
Importante 0
Impactos
150
Significativo 0
100
Baixo 0
50
Desprezível 0
SOMA 240 0
QUANTIDADE
ANÁLISE DE RISCO
Quantidade
Quant Após Plano 250
Extremo 240 200

Alto 0
Riscos
150
100
50
0
Quantidade
250
200
150
Riscos
Médio 0
100
Baixo 0
Irrelevante 0 50
SOMA 240 0
DISTRIBUIÇÃO ATIVOS
Crítico
Importante
Significante
Baixo
Insignificante
IMPACTO
Desastre
Quantidade
250
Importante
200
Significativo
Baixo
150 Desprezível
100
50
QUANTIDADE de RISCOS
Extremo
Quantidade
250
Alto
200 Médio
Baixo
150
Irrelevante
100
50
0
Extremo
Quantidade
250
Alto
200 Médio
Baixo
150
Irrelevante
100
50
0
Tipo
1
2
3
Dano físico
4
5
6
7
8
9 Eventos naturais
10
11
12
13 Paralisação de serviços essenciais
14
15
16 Distúrbio causado por radiação
17
18
19
20
21
22
23 Comprometimento da informação
24
25
26
27
28
29
30
31 Falhas técnicas
32
Falhas técnicas
33
34
35
36 Ações não autorizadas
37
38
39
40
41 Comprometimento de funções
42
43
Fogo
Água
Poluição
Acidente grave
Destruição de equipamento ou mídia
Poeira, corrosão, congelamento
Fenômeno climático
Fenômeno sísmico
Fenômeno vulcânico
Fenômeno Meteorológico
Inundação
Falha do ar-condicionado ou do sistema de suprimento de água
Interrupção do suprimento de energia
Falha do equipamento de telecomunicação
Radiação eletromagnética
Radiação térmica
Pulsos eletromagnéticos
Interceptação de sinais de interferência comprometedores
Espionagem à distância
Escuta não autorizada
Furto de mídia ou documentos
Recuperação de mídia reciclada ou descartada
Dados de fontes não confiáveis
Alteração do hardware
Determinação da localização
Defeito de equipamento
Saturação do sistema de informação
Defeito de software
Violação das condições de uso do sistema de informação que possibilitam sua manutenção
Uso não autorizado de equipamento

Cópia ilegal de software
Uso de cópias de software falsificadas ou ilegais
Comprometimento dos dados
Processamento ilegal de dados
Erro durante o uso
Abuso de direitos
Forjamento de direitos
Repúdio de Ações
Indisponibilidade de recursos humanos
Origem
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
N
N
N
N
N
A, I
A, I, N
A, I
A, I, N
A, I, N
A, I, N
I
I
I
I
I
I
A, I
A, I
I
A, I
I
A
A
A, I
A
A, I
I
I
A, I
I
I
A
A, I
I
I
A, I, N
Geral
Operação
Marketing
Suprimentos
desatualizados
ORGANIZACIONAIS
Motivação pessoal
Resistência a mudanças
Tráfego informal de informações

Acesso de terceiros à rede Galena
Lista de clientes entregue a terceiros

Não bloqueio da estação de trabalho
Informações sem proprietário definido

Falta de política de segurança da informação
Informações não estão centralizadas no Datasul

Falta de definição de papéis e responsabilidades

Falta de definição de papéis e responsabilidades
Processos não documentados ou desatualizados
Perfis de acesso não definidos ou desatualizados

Perfis de acesso não definidos ou desatualizados
Armazenamento local de informações relevantes
Falta de backup de funcionários em papéis chaves

Falta de validação de dados de entrada no sistema
Processos de negócio não suportados pelos sistemas
Falta conhecimento/treinamento do sistema Datasul
Envio ou recebimento de informações críticas por e-mail

Uso de planilhas para manipulação de informações críticas

Procedimentos e instruções de trabalho não documentados ou

Falta de uma estrutura para a gestão da segurança da informação
Política de Segurança da Informação
X
X
X
Estrutura para a segurança da informação

X
Atribuições e responsabilidades associadas a segurança da
X
X
X
informação
Classificação das informações
X
Matriz de acesso a informação
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Processo de autorização para os recursos de processamento

X
X
da informação
Acordos de confidencialidade
X
X
X
X
Treinamento e conscientização do pessoal
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Processo de solicitação, concessão e retirada direito de acesso
X
X
X
Política de uso mídias removíveis

X
Processos de negócio atualizados e documentados
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Procedimentos e ITs complementares elaborada e atualizada
X
X
X
X
X
X
X
X
X
X
X
Adequação do sistema
X
X
X
X
X
X
X
X
X
X
X
X
Procedimento de armazenamento em áreas de rede
X
X
X
X
X
X
X
Requisitos de segurança para desenvolvimento de sistemas

X
Metodologia de análise de impacto em mudanças

X
Ações de retenção de pessoal

X
Segregação de funções críticas

X
Política de tela limpa e mesa limpa

X
Manual do usuário do sistema

X
Treinamento nos módulos do DATASUL

X
Monitoramento de funcionários com acesso a informações
X
X
X
estratégicas
Área compartilhada do servidor de arquivos
X
X
X
Mecanismos de supervisão da atividade do fornecedor

X
Revisão dos procedimentos de entrada de dados

X
Procedimento de back-up de conteúdo dos discos locais

X
Job rotation
X
Backup de funcionário
X
Cláusula contratual de quarentena

X
Disponibilizar informações para consulta on-line dos

vendedores externos
Revisão do cadastro
Revisão da área designada para RH
Documentação técnica, registro de ativos e procedimentos
Conscientização do pessoal sobre controle de acesso
Meios de fiscalização e penalização para infrações
Job rotation
Backup de funcionário
Contratação de funcionários
Processos de negócio revisados
Compra e legalização de todos os softwares
Procedimentos de descarte de mídias elaborado e divulgado
Procedimentos de restore elaborado e divulgado

Pagina 493 / 527
Testes periódicos de recuperaçãode dados
Procedimento de back-up revisado, incluindo armazenamento

seguro
Procedimento de back-up de conteúdo dos discos locais
Atribuições e responsabilidades associadas a segurança da

informação
Configuraração dos servidores para utilização de um único

serviço de sincronização de horário
Procedimento para controle de utilização de dispositivos

portáteis
Procedimento de padronização de configuração dos
computadores
Inclusão dos servidores de PABX nos ativos do procedimento
de backup
Elaboração de um sistema de monitoramento de chamadas
Revisar a necessidade de habilitação de encaminhamento de

chamadas celular e de longa distância
Criação de uma nova partição para armazenamento de
arquivos
Realização da migração
Remoção da permissão de sincronização de diretórios dos

usuários
Remoção dos privilégios administrativos
Documentação das árvores, florestas e domínios
Procedimento de gestão de mudanças
Registro das contas com privilégios administrativos
Aquisição ou upgrade de equipamento de nobreak
Realocação do equipamento para um local isolado e com

acesso controlado
Implementação de um serviço DHCP
Segregação de serviços de informação, usuários e sistemas

em redes distintas
Documentação de ativos e procedimentos
Implantação de um servidor de e-mail interno
Atualização e manutenção dos softwares dos switches
Política de verificação e atualização dos softwares dos

switches
Documentação técnica, registro de ativos e procedimentos
Remodelagem da arquitetura da rede local
Sistema de gerência de rede aderente às necessidades e porte

da empresa
Criação de VLANs e configuração de ACLs
Modificação das comunidades SNMP de leitura e escrita de

todos os switches da rede
Plano de contingência para caso de falhas
Políticas de senhas para os elementos de rede
Configuração, nos elementos de rede, de envio de traps e

geração de logs de falhas e incidentes de segurança
Estabelecimento te tempo máximo de inatividade nos acessos
administrativos
Configuração de ACLs nos elementos de rede
Habilitação de acesso administrativo exclusivamente através

de conexões seguras
Configuração das funcionalidades de AAA na rede local da
empresa
Configurar restrição de MAC nas portas dos switches da rede
Revisão do procedimento de abertura de chamados
Conscientização do pessoal sobre mecanismos de abertura de

chamada
Procedimento de suporte técnico
Elaboração e disponibilização de documentação técnica,

manuais e procedimentos
Processos de negócio atualizados e documentados
Adequação do sistema
Integração da base de usuários do sistema Datasul ao Active

Directory
Envio de dados em claro para terceiros
Uso de um ambiente de teste para a preparação destes dados
Uso do módulo de auditoria do sistema
Remoção da conta do usuário desligado da empresa, ou que

não necessite mais utilizá-la
Pagina 494 / 527
Adotação de uma política de senhas fortes para todas as
contas
Adoção de uma regra para formação de identificadores de
usuários mais complexos
Adoção de mecanismo de notificação de alteração de senhas
Adoção de funcionalidade “Esqueci minha senha” (seguro)
Bloqueio da conta do usuário após um número limite de

tentativas inválidas de autenticação
Adoção de autenticação mútua de entidades ao se conectar
ao banco de dados
Exibição da data e hora da última conexão realizada pelo
usuário à aplicação
Geração de trilha de auditoria para os eventos de segurança
relevantes
Monitoramento da taxa de ocupação das trilhas de auditoria
do sistema Datasul
Proteção das trilhas de auditoria contra leitura e modificações
não autorizadas
Configuraração dos servidores para utilização de um único
serviço de sincronização de horário
Adoção de um limite superior para o número de sessões
simultâneas
Estabelecimento te tempo máximo para sessões ociosas
Proteção das informações sensíveis contidas no banco de

dados
Proteção das senhas de usuários por meio de salts e de
funções de hash criptográficas
Plano de recuperação de desastres para a aplicação
Modificação dos dados antes que sejam enviados para a base

de desenvolvimento
Impedir que uma mesma conta inicie sessões a partir de IPs
distintos
Registro das contas compartilhadas ou migrar para o uso de
contas individuais se possível
Implementação de um sistema de auditoria de logs
Utilização de SSL para trânsito de informações
Implementação de sistema de detecção de intrusões
Configuração da remoção das permissões de ACLs do grupo

“everyone” dos arquivos compartilhados dos usuários
Desabilitação do logon no servidor dos grupos “everyone” e
“guest”
Desabilitação da opção que permite o shutdown sem a
necessidade de um logon
Habilitação da opção de limpeza da memória virtual na
ocasião de um shutdown
Habilitação da opção de exibição do aviso legal
Habilitação do timeout para conexões TCP de no máximo

300000
Troca do nome da conta de administrador
Habilitação da opção de ciframento do canal seguro sempre
Procedimento de monitoração de log
Habilitação da opção de não mostrar o último usuário
Configuração do apagamento automático da lixeira
Remoção do utilitário tkprof dos ambientes de produção ou

protegê-lo contra acesso indevido
Uso de endereços IP na configuração do arquivo listener.ora
Desabilitação do Oracle Trace
Configuração de uma porta não padrão para o Oracle Listener
Adoção de uma regra para formação de identificadores de

usuários mais complexos
Criação de contas separadas de sistema operacional para o
Oracle
Definição de GLOBAL_NAMES = TRUE no arquivo init.ora
Atribuição de DB, OS ou TRUE para a variável AUDIT_TRAIL no

arquivo init.ora
Não uso do parâmetro UTL_FILE_DIR, que não é definido por
padrão
Definição de SQL92_SECURITY = TRUE em init.ora
Definição de ADMIN_RESTRICTIONS_<listener> = “on” no

arquivo listener.ora
Definição de um valor para
INBOUND_CONNECT_TIMEOUT_<listener> no arquivo
listener.ora
Definição no arquivo sqlnet.ora com novos parâmetros
Definição de um valor para

SQLNET.INBOUND_CONNECT_TIMEOUT no arquivo sqlnet.ora
Impedir que usuários se conectem ao banco de dados com
contas que sejam proprietárias de esquemas de aplicações
Procedimento para testar a capacidade de recuperar de
informações
Definição do melhor valor do parâmetro CPU_PER_SESSION
Definição do melhor valor do parâmetro

LOGICAL_READS_PER_SESSION
Definição do limite superior para o número de sessões
simultâneas do Oracle
Concessão de privilégio de acesso à visão ALL_SOURCE
somente aos usuários que necessitarem
Concessão de privilégio de acesso à visão USER_TAB_PRIVS
somente aos usuários SYS e DBAs
Pagina 495 / 527
Concessão de privilégio de acesso à visão USER_ROLE_PRIVS
somente aos usuários SYS e DBAs
Atribuição de privilégios somente a roles
Remoção do privilégio de execução sobre o pacote UTL_FILE

de PUBLIC
Remoção do privilégio de execução sobre o pacote UTL_TCP
de PUBLIC
Remoção do privilégio de execução sobre o pacote UTL_HTTP
de PUBLIC
Remoção do privilégio de execução sobre o pacote UTL_SMTP
de PUBLIC
Remoção do privilégio de execução sobre o pacote
DBMS_LOB de PUBLIC
Concessão de privilégio de execução sobre o DBMS_SYS_SQL
somente para DBAs
Remoção do privilégio de execução sobre o pacote DBMS_JOB
de PUBLIC
Proteção das informações sensíveis contidas no banco de
dados
Revogação dos privilégios de acesso às visões ALL_[*]
Adoção de uma política de senhas fortes
Remoção do privilégio de execução sobre o pacote

DBMS_RANDOM de PUBLIC
Utilização do controle de acesso granular oferecido pelo
Oracle 10g
Remoção dos ambientes de produção os scripts de criação de
bancos de dados após o uso
Desabilitação da prática de envio de senhas na linha de
comando pela aplicação
Processo para recuperar as senhas de acesso ao banco de
dados
Armazenamento dos carimbos de tempo da criação, recarga e
compilação dos objetos do banco de dados
Utilização dos segmentos de rede diferentes para os bancos
de dados de produção e os de desenvolvimento/testes
Remoção do acesso de grupos de desenvolvimento/teste aos
bancos de dados de produção
Criação de listeners separados para clientes e administradores
Configuração do Oracle para registrar em trilhas de auditoria

toda execução do comando GRANT ALTER ANY TABLE
toda execução do comando ALTER USER
toda execução de comandos CREATE
toda execução de comandos DROP
toda execução do comando GRANT ANY PRIVILEGE
toda execução do comando GRANT ANY ROLE
Registro em trilhas de auditoria todo comando INSERT cuja
execução resulte em algum tipo de erro
Emprego de AUDIT ALL ON SYS.AUD$ BY ACCESS, para
proteção dos registros gerados
Definição de uma senha para acesso ao Unix em modo “Single
User”
Legalização do sistema operacional
Contratação de suporte de manutenção
Procedimento para aplicação de correções de segurança

publicadas pelos fornecedores
Criação e manutenção de baselines do sistema
Configuração do sistema operacional para desabilitar a conta

de usuário após três tentativas malsucedidas
Adicição de delay de quatro segundos para nova solicitação
de credenciais
Definição de um valor maior ou igual a 1 para o quarto campo
de cada usuário no arquivo /etc/shadow
Restrição das conexões da conta root somente ao console
Adoção das permissões sobre os arquivos e diretórios Unix

recomendadas pelas melhores práticas de segurança
Run control scripts executando somente programas
pertencentes a contas de sistema ou de aplicações
autorizadas
Incluisão do comando mesg –n nos arquivos de inicialização
global
Uso da opção "nosuid"
habilitação do sticky bit em todos os diretórios públicos
Diretórios públicos pertencentes à conta e ao grupo root
Remoção de todas as contas criadas por padrão e que não

sejam necessárias do sistema
Uso do valor 077 para a umask do sistema e dos usuários
Geração de trilha de auditoria, com proteção contra escrita
Agendamento no crontab uma tarefa a ser executada

diariamente para rotacionamento de logs
Habilitarção de trilhas de auditoria para o sistema de arquivos
raiz
Uso de white listing para o controle de acesso ao cron
Atribuição do valor 1 ao parâmetro

net.ipv4.icmp_echo_ignore_broadcasts
Remoção das ferramentas como tcpdump, ethereal e snoop
dos ambientes de produção
Desabilitação do comando HELP do Sendmail
Alteração do arquivo sendmail.cf

Pagina 496 / 527
Procedimento para a execução periódica de varreduras de
vulnerabilidades contra o sistema
Adoção de uma senha forte para a BIOS dos servidores
Adoção de uma senha para o grub, protegida por uma função

de hash criptográfica
Desabilitação da seqüência de teclas Ctrl-Alt-Del
Inserção de comentários em todas as linhas que referenciam

o módulo pam_console.so no diretório /etc/pam.d
Implementação de um sistema de controle de impressão
Emprego de protocolos que propiciem a confidencialidade e

integridade dos dados enviados/recebidos
Instalação somente os módulos necessários na máquina de
cada usuário
Exibição ao usuário mensagens de erro que não contenham
informações valiosas para um atacante
Criação de contas separadas no banco de dados para cada
usuário do sistema
Pagina 497 / 527

Dados de estoque não confiáveis X X X X X
Existência de usuário compartilhado X X X
Vendas
Perfis de acesso não definidos ou desatualizados X X X
Informações não estão centralizadas no Datasul X X X X X
Uso de planilhas para manipulação de informações críticas X X X X X
Envio ou recebimento de informações críticas por e-mail X X X X X X
Limitação de acesso a informações críticas à função X X X X X
Dados de estoque não confiáveis X X X X X
Gestão de Recursos
Perfis de acesso não definidos ou desatualizados X X X
Falta conhecimento/treinamento do sistema Datasul X X
Informações não estão centralizadas no Datasul X X X X X
Uso de planilhas para manipulação de informações críticas X X X X X
Envio ou recebimento de informações críticas por e-mail X X X X X X
Armazenamento local de informações relevantes X X X X
Falta de backup de funcionários em papéis chaves X X X X X
Cadastro de clientes no Datasul desatualizado X
Falta de procedimentos relacionados a contas de usuários X X X
Falta de segregação física da área para tratamento de informações

críticas X
Pagina 498 / 527

Pagina 499 / 527
Pagina 500 / 527
Pagina 501 / 527
Pagina 502 / 527
TECNOLÓGICAS
Gerais
Falta de documentação X
Controle de acesso físico falho X X
Falta de backup de funcionários X X X
Falta de funcionários X X
Softwares sem licença X
Inexistência de procedimento de descarte de mídias X
Inexistência de procedimento de restore X
Transporte e armazenamento de backup inadequado
Inexistência de backup de dados de usuários

Serviço de sincronização de horário não integrado a todos os
sistemas
Falta de procedimento de gerenciamento de contas de usuário
Falta de controle na utilização de dispositivos portáteis
Configurações não padronizadas
PABX
Backup de chamadas não é feito
Monitoramento parcial de chamadas
Encaminhamento de chamadas celular e longa distância habilitado
Active Directory
Arquivos do sistema localizados na mesma partição lógica dos
arquivos de usuários
Permissão de sincronização de diretórios associada a um usuário
Existência de conta de usuário com privilégios de administrador
Falta de documentação de árvores, florestas e domínios
Mudanças em schemas não documentados
Falta de documentação para contas administrativas
Infraestrutura
Nobreak sem contingência
Nobreak em local inadequado
Falta de controle de endereçamento IP
Rede não segregada
Falta de documentação de procedimentos e ativos
Servidor de e-mail controlado por terceiros

Ausência de política de atualização das versões dos softwares dos
switches
Falta de documentação
Arquitetura da rede local inadequada
Acesso à rede uniforme
Switches com comunidade SNMP padrão
Ausência de plano de contingência em caso de falhas
Acessos à administração dos elementos de rede sem uso de

criptografia
Políticas de senhas para os elementos de rede
Falta de configuração de traps e logs
Tempos de conexão máximos com inatividade no acesso

administrativo (telnet ou http) não configurados
Falta de ACL para conexões não seguras (telnet e http)
Pagina 503 / 527

X
X X X
X X
X X
X X
X X
Pagina 504 / 527

Pagina 505 / 527
Pagina 506 / 527
Pagina 507 / 527
Não são utilizadas formas de conexão segura para acesso
administrativo e gerência (SSH, SNMPv3)
Falta de configuração de funcionalidades de AAA
Falta de configuração de restrição de MAC nas portas dos switches
Suporte
Procedimento de abertura de chamados não é seguido
Falta de definição de papéis e responsabilidades X X X X
Falta de documentação de procedimentos
Falta de backup de funcionários X X X
Gerais
Falta de documentação do sistema
Não adequação ao negócio X X X X
Base de usuários não integradas ao Active Directory
Não conformidade com as especificações do órgão regulador X
Envio de dados em claro para terceiros
Módulo de auditoria desativado
Usuários Inativos não removidos
Política de senhas fortes não implementada
Identificadores fáceis de adivinhar
Notificação de alteração de senhas não é enviada
Recuperação de senha
O sistema permite múltiplas tentativas malsucedidas de

autenticação
Aplicação cliente não autentica o servidor
Data da última conexão não exibida
Eventos de segurança relevantes não são registrados
Capacidade das trilhas de auditoria não monitorada
Trilhas de auditoria não são protegidas
Horários não são sincronizados
Inexistência de limite superior para número de sessões
Sessões ociosas não são encerradas
Dados armazenados em claro
Uso de método proprietário para proteção de senhas
Inexistência de plano de recuperação de desastres
Exportação de dados para a base de desenvolvimento
Conexão com a mesma conta a partir de IPs distintos
Windows 2003
Contas de usuário compartilhadas não documentadas
Auditoria de logs não é realizada
Acesso remoto não cifrado ao servidor é permitido
Servidor sem sistema de detecção de intrusões
Grupo "everyone" em ACLs de compartilhamento de arquivos
Grupos "everyone" e "guests" podem logar localmente
Servidor permite shutdown direto via tela de logon
System pagefile não é limpo com um shutdown
Pagina 508 / 527

X
X X
X X X X
X X
X X
Pagina 509 / 527

X
Pagina 510 / 527

Pagina 511 / 527
Pagina 512 / 527
Aviso legal não é exibido após o logon
Servidor mantém conexões TCP ativas por tempo maior do que o
recomendável
Conta de administrador com nome padrão de instalação
Tráfego do canal seguro não cifrado
Falta de controle de logs de eventos
Último usuário é exibido na tela de logon
Lixeira não configurada para apagamento automático de arquivos
Oracle
Utilitário tkprof instalado no sistema
Uso de nomes de domínio em listener.ora
Oracle Trace está habilitado
O listener utiliza a porta padrão
Conta única de SO para os processos/serviços Oracle
Parâmetros Oracle
GLOBAL_NAMES = FALSE
AUDIT_TRAIL = NONE
Uso do parâmetro UTL_FILE_DIR
SQL92_SECURITY diferente de TRUE em init.ora
ADMIN_RESTRICTIONS_<listener> não está definido em listener.ora
INBOUND_CONNECT_TIMEOUT não é utilizado
Filtragem de conexão com base no IP não realizada
SQLNET.INBOUND_CONNECT_TIMEOUT não é utilizado
Contas proprietárias de esquemas de aplicação não estão travadas
Backup e recuperação de desastres
Inexistência de processo para verificação de backups
Oracle Profile Setup
CPU_PER_SESSION = unlimited (valor padrão)
LOGICAL_READS_PER_SESSION = unlimited (valor padrão)
SESSIONS_PER_USER = unlimited (valor padrão)
Oracle Profile Access
Privilégios de acesso à visão ALL_SOURCE
Privilégio de acesso à visão USER_TAB_PRIVS
Privilégio de acesso à visão USER_ROLE_PRIVS
Privilégios atribuídos a roles e a usuários
Privilégio público de execução sobre o pacote UTL_FILE
Privilégio público de execução sobre o pacote UTL_TCP
Privilégio público de execução sobre o pacote UTL_HTTP
Privilégio público de execução sobre o pacote UTL_SMTP
Privilégio público de execução sobre o pacote DBMS_LOB
Privilégio público de execução sobre o pacote DBMS_SYS_SQL
Privilégio público de execução sobre o pacote DBMS_JOB
Acesso público às visões ALL_[*]
Não existem roles protegidas por senhas
Pagina 513 / 527

Pagina 514 / 527
X
Pagina 515 / 527

X
Pagina 516 / 527

Pagina 517 / 527
Privilégio público de acesso ao pacote DBMS_RANDOM
Questões específicas da versão 10g
Controle de acesso granular não utilizado
Procedimentos e políticas gerais
Scripts de criação de bancos de dados não removidos
Senhas passadas na linha de comando
Arquivos em lote contêm usuários e senhas
Não é mantida uma baseline para verificação de integridade dos

objetos armazenados
Bancos de dados de desenvolvimento e produção no mesmo

segmento de rede
Grupos de desenvolvimento/teste possuem acesso ao banco de

produção
Não são utilizados listeners separados para clientes e

administradores
Procedimentos e políticas de auditoria
Uso de comandos GRANT ALTER ANY TABLE não é registrado
Uso do comando ALTER USER não é registrado pelo Oracle
Uso de comandos CREATE não é registrado pelo Oracle
Uso de comandos DROP não é registrado pelo Oracle

Uso de comandos GRANT ANY PRIVILEGE não é registrado pelo
Oracle
Uso de comandos GRANT ANY ROLE não é registrado pelo Oracle
Falha na execução de comandos “INSERT” não é registrada
AUDIT ALL ON SYS.AUD$ BY ACCESS não é empregado
Linux
Modo Single User sem senha
Sistema operacional não suportado pelo fornecedor
Falta de aplicação de correções de segurança
Baseline para verificação de integridade não é mantida
A conta não é desabilitada após um número de tentativas

malsucedidas e autenticação
Um delay não é definido para nova solicitação de credenciais, após

uma autenticação malsucedida
Senhas podem ser alteradas mais de uma vez em um período de 24

horas
Login da conta root não está restrito ao console
Permissões sobre arquivos e diretórios
Run control scripts executam programas potencialmente maliciosos
Comando mesg não é utilizado
Opção "nosuid" não utilizada
Sticky bit não está habilitado em diretórios públicos
Contas e grupos proprietários dos diretórios públicos
Contas instaladas por padrão habilitadas
Umask padrão não é 077
Trilhas de auditoria não são rotacionadas diariamente
Trilhas de auditoria não habilitadas para o sistema de arquivos raiz
Controle de acesso ao cron inadequado
Pagina 518 / 527

Pagina 519 / 527
Pagina 520 / 527
X
X X
Pagina 521 / 527

Pagina 522 / 527
Parâmetro de rede inseguro
Ferramentas de análise de rede habilitadas
Comando HELP do Sendmail habilitado
SMTP greeting exibe versão
Ferramentas de varredura de vulnerabilidades não são executadas
Senha de supervisor da BIOS desabilitada
Não é utilizada uma senha protegida criptograficamente para o grub
Ctrl-Alt-Del habilitado
Uso do módulo pam_console.so
Gerais
Falta de documentação
Não conformidade com as especificações da ANVISA X
Não são gerados logs de operações críticas X X X
Impressões não controladas
Base de usuários não integradas ao Active Directory
Desaparecimento de dados de clientes
Não adequação ao negócio X X X
Notificação de alteração de senhas não é enviada
Política de senhas fortes não implementada

O sistema permite múltiplas tentativas malsucedidas de
autenticação
Aplicação cliente não autentica o servidor
Data da última conexão não exibida
Horários não são sincronizados
Inexistência de limite superior para número de sessões
Dados em trânsito não protegidos
Uso de método proprietário para proteção de senhas
Módulos desnecessários são instalados
Exportação de dados para a base de desenvolvimento
Mensagem de erro não tratada
Conexão com a mesma conta a partir de IPs distintos
Credenciais de acesso armazenadas em arquivo de configuração
Pagina 523 / 527

X
Pagina 524 / 527

X
Pagina 525 / 527

X
Pagina 526 / 527

X
Pagina 527 / 527

Trabalho Semestral Respondido

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Trabalho Semestral Respondido

Enviado por

Direitos autorais:

Formatos disponíveis

Exercício Prático

Nas quatro atividades que fazem parte desta Atividades – Sessão 2

Lembre-se: estas atividades devem ser feitas

2.4 Defina os Critérios

Propósito principal da A organização tem o propósito de se tornar a melhor no ramo, atendendo co

Negócio da organização Provedor de Internet

A sua missão Se tornar referência nacional no objetivo de prover acesso

A estrutura da Será utilizada a Estrutura em Rede permitindo a contratação de funcion

Estratégias Inicialmente o alvo estratégico será o de investimentos em infraestrutura para

Qual o setor que solicitou

Quais os requisitos legais

Quais os seus principais

Qual o número total de

o de prover acesso a informação

vimento e acesso a informações por meio da população

atação de funcionários em estilo home-office

ministrativos, financeiros e técnicos logo abaixo no nível

responde diretamente ao Diretor Técnico

ocalização com objetivo de gerar valor diretamente aos

orçamentárias Dificuldade de finaliza

temporais Infraestrutura não consegue desenvolve

técnicas Dificuldade para encontrar m

consegue desenvolver suas atividades em tempo suficiente

dade para encontrar mão de obra especializada

Descrição do escopo A infraestrutura que atende o serviço de banda larga do provedor

O que não faz parte do

Frequente Tem ocorrido pelo menos uma vez a cada mês

É possível de ocorrer a cada 6 meses ou menos. Nos últimos seis meses já

Ocasional Nos último ano já ocorreu pelo menos 1 vezes

Remoto Nos últimos cinco anos já ocorreu pelo menos 3 vezes

Improvável Nunca ocorreu.

2.1 Defina o Contexto

Insignificante Queda de energia em equipamentos com redudância

Baixo Perda de redundância

Significante Queda de energia em equipamento sem redundância

Importante Para de equipamento devido a queda de energia

Crítico Parada de equipamento por mais de 20 minutos devido a queda de energia

Severidade das Consequências

As ocorências não afetam os negócios ou não causam paradas maior que

Desprezível Imperceptíveis ao cliente final

Baixo Cliente final com problemas por mais de 1 hora

Significativo Cliente final e empresa paradas por mais de 6 horas

Afetam a imagem da organização e causam interrupção de 12 horas nos

Desastre A organização parada por mais de 24 horas

A organização pára totalmente seus serviços por mais de 48 horas,

Alto A organização pára totalmente seus serviços por mais de 24 horas,

Baixo A organização pára parcialmente seus serviços por mais de 6 horas

Irrelevante A organização para parcialmente seus serviços por mais de 1 hora

Extremo de acordo com a organização

Alto de acordo com a organização

Baixo de acordo com a organização

Irrelevante de acordo com a organização

Exemplo de Critério de Impacto

Nível de risco Valor Descrição

Não ocorrem lesões/mortes na força de trabalho e /ou de pessoa

Lesões leves na força de trabalho. Ausência de lesão extra-muros

Lesões de gravidade moderada na força de trabalho ou em

Provoca morte ou lesões graves em uma ou mais pessoas (na forç

os devido a queda de energia

causam paradas maior que

causam paradas maior que

causam paradas maior que

causam paradas maior que