PLANO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

E SEGURANÇA CIBERNÉTICA
Objetivo
Planejar as ações de segurança da informação e comunicações que serão implementadas, considerando
os requisitos ou pressupostos estabelecidos pelo planejamento organizacional, bem como as diretrizes
expedidas pela autoridade decisória da referida organização

Itens
1 – Introdução
A empresa, cujo qual desenvolve atividades de treinamento em áreas da tecnologia e administração, não
possui plano de segurança da informação, somente algumas regras de utilização dos equipamentos, bem
como locais adequados para armazenamento de informações em formato físico.

2 – Escopo e Limites
A avaliação consiste em todo o ambiente da empresa no qual se faz o uso de equipamentos, rede para
compartilhamento de informações e informações físicas, que se caracterizam em três laboratórios de
informática e recepção.

3 – Diretrizes
A empresa não possui normas e diretrizes em relação à segurança da informação, somente algumas
regras aplicadas aos alunos que frequentam a escola de treinamento e aos funcionários, que usufruem
dos equipamentos, redes e arquivos físicos.

4 – Justificativa
O plano de segurança de informação se faz necessário na empresa, visto que a mesma trabalha com o uso
de informações baseada somente em algumas regras. Dessa forma, é necessário que sejam implantadas
medidas que projetam as informações, principalmente no que se refere à área administrativa da empresa.

5 – Objetivos de SIC
Com a implementação de um plano de segurança da informação, objetiva-se alcançar a segurança dos
dados, arquivos físicos, equipamentos e meios de monitoramento de acessos, a fim de zelar pelas
informações e garantir a continuidade dos negócios da organização.
6 – Abordagem da Gestão de Riscos
6.1 – Metodologia de Gestão de Riscos
A organização não dispõe de uma metodologia de gestão de riscos, há somente um método utilizado
para caso ocorra alguma eventualidade indesejada que, no caso, refere-se ao backup de dados.
Desta forma, visa-se a adoção de uma metodologia eficiente da gestão de riscos, abordando os itens de
maior relevância para a organização, como informações que são cruciais para as atividades da
mesma. A partir da organização dos itens mais relevantes, adotam-se medidas de prevenção e
tratamento de riscos.
6.2 – Aceitabilidade de Riscos
Tratando-se de uma escola especializada em ensino profissionalizante, existem critérios a serem
considerados cruciais para suas atividades, como os equipamentos e sistemas de aprendizado, por
exemplo, mas, muito além disso os dados dos alunos, funcionários e faturamento são de extrema
importância também. Dessa forma, pode-se estabelecer os seguintes aspectos (caso ocorra alguma
eventualidade):
-As informações de maior relevância para a escola de treinamento são os dados
financeiros/administrativos, e dados de alunos e funcionários, que devem ser mantidas em segurança.
Caso ocorra alguma eventualidade indesejada com essas informações, pode colocar a organização em
uma situação de risco no que se refere à exercer suas atividades.

7 – Identificação de Riscos

7.1 – Lista de Ativos

-Computadores;
-Arquivo morto;
-Informações virtuais e físicas;
-Equipamentos de rede;
-Equipamentos para backup;
-Dispositivos de monitoramento;
-Sistema de gestão educacional;
-Equipamentos de aula (hardware para montagem de computadores…);

7.2 – Lista de Vulnerabilidades

Quanto às informações físicas (em papel):
- documentos suscetíveis à fogo, umidade, perda, extravio…
- não há cópia de segurança;
- perda de confidencialidade, devido à falta de proteção dessas informações.
 Quanto aos computadores, dispositivos de rede, equipamentos de ensino e dispositivos de
monitoramento:
- com o passar do tempo, pode se tornar obsoleto;
- vulneráveis à fogo, água, quedas de energia, que podem danificar os equipamentos;
- curto-circuitos;
- falhas humanas;
- vulnerável às questões naturais;

Quanto às informações virtuais (sistemas, dados armazenados em sistemas):

- pode ocorrer de muitas informações virtuais não terem cópias físicas, como contratos;
- vulnerabilidade à vírus;
- falha humana: acessos limitados à pessoas específicas, que podem não estar presentes;

7.3 – Lista de Impactos

- Em casos de mau funcionamento dos computadores, atrapalha nas atividades
educacionais, tanto no ensino, quanto na questão administrativa;
- Perdas de informações no arquivo morto, ou outras informações físicas, sem as devidas
cópias de segurança, evidenciam perda de informação.

8 – Análise de Riscos
Tratadas na planilha de Plano de Gerenciamento dos Riscos.