Gestão de riscos e levantamento de ativos



Documentos relacionados
Atualmente, a LSoft recomenda seus clientes a adquirirem servidores com o sistema operacional Windows Server 2008.

Vivo Soluciona TI Manual de Autoinstalação

Especificação Técnica Sistema ABS TEM+

ANEXO I-A CATÁLOGO DE SERVIÇOS

O que é backup/cópia de segurança

Open - audit Ferramenta para gerenc iamento de rede

ADMINISTRAÇÃO E SERVIÇOS DE REDE

1. Objetivos dos Laboratórios de Informática fixo e móveis; Os Laboratórios de Informática têm como objetivo atender às seguintes necessidades da IES:

Plano de Continuidade de Negócios

Sistemas de Informação

Acordo de Nível de Serviço (SLA)

Motivos para você ter um servidor

Levantamento dos Ativos

Unidade IV GERENCIAMENTO DE SISTEMAS. Prof. Roberto Marcello

O Sistema foi inteiramente desenvolvido em PHP+Javascript com banco de dados em MySQL.

Conceitos Básicos de Rede. Um manual para empresas com até 75 computadores

CATÁLOGO DE SERVIÇOS DIRETORIA DE SUPORTE COMPUTACIONAL VERSÃO 1.0

Segurança em Redes. <Nome> <Instituição> < >

ITIL v3 - Operação de Serviço - Parte 1

Descomplicando Tecnologia

Profª MSc. Heloína Alves Arnaldo

SEGURANÇA DA INFORMAÇÃO NO AMBIENTE CORPERATIVO

REGULAMENTO DA UTILIZAÇÃO DA REDE DE COMPUTADORES DA FACULDADE CENECISTA DE OSÓRIO

PDTI-Geo PMPV Questionário de Apoio ao Diagnóstico Entrevistas Direcionadas as Escolas Municipais

SERVIÇOS EMERGENCIAIS SEGURO RESIDENCIAL. Plano Emergencial Quadro Resumo LIMITES DE UTILIZAÇÃO

Política de Celular Corporativo LIBBS

Auditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia

SISTEMA OPERACIONAL - WINDOWS

Datasheet NETCONTROL Pacote 49

Segurança. Guia do Usuário

MONITORAMENTO DO AMBIENTE TECNOLÓGICO FoccoMONITOR

NORMAS DO LABORATÓRIO DE INFORMÁTICA DA FACULDADE DE MANTENA FAMA /2010

SERVIÇO PÚBLICO FEDERAL SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL GOIANO CÂMPUS POSSE-GO

Política de Segurança Corporativa da Assembleia Legislativa do Estado do Ceará

Implantação do Sistema de Controle de Tempos Nas Agências de Atendimento - TMA

PORTARIA CPF N.º 004 DE 14 DE MAIO DE 2001

Serviços e Projetos de Tecnologia para Laboratórios Ulysses Azevedo

PROGRAMA DE GERENCIAMENTO DE SEGURANÇA

PREÇOS VÁLIDOS PARA PAGAMENTO À VISTA

Planejamento 2011 Diretoria de TI

Acionamento através de senha*, cartão de proximidade e biometria. Compatível com fechaduras magnéticas, eletroímãs e cancelas.

Soluções para gerenciamento de clientes e Impressão móvel

PLANO DE CONTINGÊNCIA DE BANCO DE DADOS

Simplificando a TECNOLOGIA

Acordos de Nível de Serviço (SLA)

Comparativo entre câmeras analógicas e Câmeras IP.

BTS Viewer Control. Solução em Acesso Remoto

FEATI Faculdade de Educação, Administração e Tecnologia de Ibaiti Mantida pela União das Instituições Educacionais do Estado de São Paulo UNIESP Av.

Epson Professional Imaging Gerenciamento de cores

SIMARPE Sistema de Arquivo Permanente

EXTRATO DA POLÍTICA DE GESTÃO DE RISCOS

Produtividade. Sem tempo a

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. 1 INFORMÁTICA BÁSICA

MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇAO, CIÊNCIA E TECNOLOGIA DE RONDÔNIA 1. DESCRIÇÃO DA SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO

Procedimentos de Configuração Técnica SEGDVR04N, SEGDVR08N e SEGDVR16N

Redes Ponto a Ponto. Os drivers das placas de rede devem estar instalados.

PROPOSTA DE MANUTENÇÃO RESIDENCIAL. UNION INFOTEC Av. Cesário de Melo, Anexo (21) / / /

Sistema Datachk. Plano de Projeto. Versão <1.0> Z u s a m m e n a r b e i t I d e i a s C o l a b o r a t i v a s

Processo de Controle do Refeitório

Projuris Enterprise Visão Geral da Arquitetura do Sistema

SISTEMA OPERACIONAL MAC OS

Segurança da Informação. Ativos Críticos

SISTEMA/MÓDULO: SYSMO S1 / CONFIGURACOES CORRUPÇÃO DE BASE DE DADOS VERSÃO: 1.01 DATA: 11/06/2007

UNIVERSIDADE FEDERAL DO PARANÁ Setor de Ciências Agrarias

TRIBUNAL DE CONTAS DO ESTADO DO AMAZONAS ACP NET Transmissor de Dados Manual do Usuário

Comprador: Endereço: Cidade: Bairro: CEP: Revendedor: Fone: Data da venda: / / ID: P Rev. 1

Laboratórios de Informática Regulamento

Fale.com. Manual do Usuário

TECNOCOMM Soluções inteligentes em TI.

SOBRE NoBreak s Perguntas e respostas. Você e sua empresa Podem tirar dúvidas antes de sua aquisição. Contulte-nos. = gsrio@gsrio.com.


OBJETIVOS DA APRESENTAÇÃO

Leroy Merlin leva backup a toda sua rede de lojas com soluções arcserve

Uma nova marca para um novo futuro

CONSULTA PÚBLICA Nº 014/2015

Elipse E3 contribui para redução dos gastos com reagentes químicos usados no tratamento da água em São Gabriel

Atualização, Backup e Recuperação de Software. Número de Peça:

TERMO DE REFERÊNCIA. desenvolvimento das atividades do SEBRAE/RO.

Catálogo de Serviços Tecnologia da Informação

ORIENTAÇÕES PARA A MONTAGEM DOS KITS NOS TELECENTROS APOIADOS PELO PROGRAMA

Nome do modelo: LG Smart AC App. P/NO : MFL

Transcrição:

Faculdade de Tecnologia Gestão de riscos e levantamento de ativos Alunos: Anderson Mota, André Luiz Misael Bezerra Rodrigo Damasceno. GTI 5 Noturno Segurança da Informação Prof. Dinailton Junho 2015 Goiânia GO

ÍNDICE 1 Introdução... 1 2 Levantamento dos ativos... 1 2.1 Ativo Físico... 1 2.2 Ativo de Software... 2 2.3 Ativo de Informação... 3 3 Levantamento dos riscos... 4 3.1 Definição de probabilidade e impacto de riscos... 4 3.2 Matriz de probabilidade x impacto... 5 3.3 Identificação dos riscos físicos... 6 3.4 Identificação dos riscos... 9 3.5 Identificação dos riscos de informação... 12 3.6 Matriz de gerenciamento dos riscos... 15

Gestão de riscos e levantamento de ativos 1 Introdução Este documento tem como objetivo levantar os ativos de sucesso para o funcionamento da corporação e gerir os seus riscos. Não é de hoje que a preocupação com os riscos fizeram com que o homem antigo procurasse abrigos para se livrarem dos raios. A segurança nacional tem por finalidade proteger ou tentar diminuir as consequências por incertezas da parte humana. Atualmente organizações têm buscado estabelecerem diretivas e políticas que visam resguardar seus interesses, o onze de setembro, por exemplo, é um fato que colabora para que cada vez mais haja uma preocupação com a análise e o gerenciamento de riscos. 2 Levantamento dos ativos empresa: Abaixo nestes quadros levantamos os ativos de interesse à informação da 2.1 Ativo Físico N Descrição Quant. 1 Servidor Principal 1 2 Servidor Backup 1 3 Hack para os servidores 2 4 Nobreak de 4kva 4 5 Pabx 2 6 Telefones fixos 7 1

7 Terminal Server 8 8 Monitores 11 9 Teclados 11 10 Mouse 11 11 Notebook 4 12 Cpu de mesa 3 13 Impressora Laser (Colorida) 2 14 Impressora Multifuncional (Colorida com Fax, scanner e copiadora) 1 15 Cameras de vigilância 8 16 Roteador Wifi 1 17 Modem de internet 2 18 Switch 2 19 Patch Panel 2 20 Firewall (físico) 1 21 Envelopadora 1 22 Cabo de Rede Cat 5e 350m 23 Cabo Fibra Ótica 4m 24 Celulares Smartphones 8 25 Ar Condicionado 7 26 Fechadura Biométrica com Maçaneta 6 27 Relógio de Ponto Digital 1 28 Gerador de Energia movido a diesel 1 29 Móveis e Utensílios - 2.2 Ativo de Software N Descrição Quant. 1 Sistema de Processamento da Gotrans 1 2 Microsoft Windows Server 2012 2 3 Microsoft Windows 8.1 4 4 Microsoft - Licenças CALS (para os terminais) 8 5 Microsoft Office Server 2 6 Microsoft Office 2013 Home & Student 7 2

7 Adobe Photoshop CC 3 8 Corel Draw Suite X7 3 9 Firebird SQL 2 10 Apache Tomcat 2 11 Oracle Java Server JRE 2 12 Oracle Java JDK 2 13 IDE Eclipse Java EE 2 14 IDE Netbeans Java EE 2 15 Mozilla Thunderbird 15 2.3 Atívos de Informação N Descrição Quant. 1 Base de dados com Dados dos clientes 1 2 Base de dados de Usuários 1 3 Base de dados de E-mail 1 4 Base de dados da Câmera de segurança 1 5 Base de dados do Controle de Acesso 1 6 Base de dados do Registro de Ponto 1 7 Base de dados do Financeiro, Contabilidade e Faturamento 1 8 Base de dados do Servidor Web 1 9 Manual de Operação do Sistema 1 10 Documentação das Implementações de Softwares 1 11 Documentação dos Contratos e Acordos 13 12 Documentação Geral (*) * São todos os outros documentos, não mencionado que pertencem a organização. 3

3 Levantamento dos riscos 3.1 - Definição de probabilidade e impacto dos riscos Probabilidade Descrição da Probabilidade % de certeza 2-Média A origem da ameaça está muito motivada e é capaz, e os controles são ineficientes. A origem está motivada e é capaz, mas os controles podem impedir o ataque. A origem da ameaça está motivada e é capaz, ou os controles são eficazes, ou pelo menos dificultam significativamente o ataque. 0 a 30% 30 a 60% > 60% Impacto Descrição do Impacto 1-Baixo 2-Médio 3-Alto O ataque pode resultar em alguma perda de ativos ou recursos. Pode afetar, de forma perceptível, as tarefas da organização e a reputação. O ataque pode resultar em perdas financeiras de ativos ou recursos. Pode causar danos a imagem da organização, impede que ela cumpra as suas tarefas junto ao clientes, resulta em perda da reputação ou interesse, ou ainda, em ferimentos graves de pessoas. O ataque pode resultar em graves perdas financeiras de ativos ou recursos. Pode causar danos significativos à imagem da organização, impede que ela cumpra as suas tarefa junto aos clientes, resulta em grande perda da reputação ou interesse, ou ainda, em morte ou ferimentos graves de pessoas. 4

Nível do Risco 1-Baixo 2-Médio 3-Alto Descrição das Ações Se o risco é baixo, o gerente do sistema deverá determinar se as ações corretivas são ainda necessárias ou decidir aceitar o risco. Se o risco é médio, são necessárias ações corretivas e um plano deve ser desenvolvido para incorporar essas ações dentro de um período razoável de tempo. Se o risco é alto, existe uma grande necessidade de se tornarem medidas corretivas. Deve existir algum plano com medidas corretivas para manter o sistema em funcionamento. 3.2 - Matriz de probabilidade x impacto Probabilidade Quantitativamente 3 3 6 9 2 2 4 6 1 1 2 3 Impacto 1 2 3 Probabilidade Qualitativamente Alto Médio Médio Alto Médio Razoável Médio Médio Baixo Baixo Razoável Médio Impacto Baixo Médio Alto 5

3.3 - Identificação dos Riscos Físicos Ref. Severidade Descrição do risco Probabilidade Impacto Descrição do Impacto Ação Descrição da ação Responsável Previsão Comentários A1 6 Servidor Principal Inativo A2 6 A3 4 Servidor Secundário Inativo Falha de comunicação entre Servidores. A4 9 Falta de Energia A5 9 Falha no Nobreak A6 6 Falha no PABX A7 2 Falha no Monitor A8 1 Falha no Teclado ou Mouse A9 6 Falha no Notebook A10 6 Falha no PC de Mesa A11 6 Falha na Impressora Deixa os serviço de informática inativo. Perda no Faturamento e na entrega dos serviço caso o principal também falhe. backup dos arquivos e sincronismo dos dados. Pode deixar o sistema fora do ar. Falha de comunicação entre os funcionários e os clientes. Pode comprometer o agendamento de reuniões. Pode perder clientes importantes. Transferir Aceitar, para que ele direcione sua equipe para solucionar o caso., para que ele direcione sua equipe para solucionar o caso. Se for o caso entrar em contato com empresa terceirizada. equipe de Manutenção. Se for o caso entrar em contato com a companhia Energética. Se for o caso entrar em contato com a equipe de manutenção. empresa terceirizada. Se for o caso entrar em contato com empresa terceirizada. Manutenção Fornecedor Durante o expediente 6

A12 3 Falha nas Câmera de Segurança A13 3 Falha no Switch A14 2 Falha no Roteador Wifi A15 6 Falha no Modem de Internet A16 3 Falha na Rede Cabeada A17 9 Falha no Firewall A18 2 Falha na Envelopadora A19 4 Falha nos Celulares A20 4 Falha no Ar condicionado A21 6 Falha na Fechadura Biometrica A22 3 Falha no Terminal Sever A23 1 A24 9 Falha no Relógio de Ponto Falha no Gerador de Energia Perda nos Registros de Eventos Vulneráveis ao estabelecimento Falha na Rede. Perda no Faturamento e na entrega dos s serviços da Gerência. Clientes sem acesso. Falha na rede, possível perda de dados. Perda no Faturamento e na entrega dos Perda de dados. Atraso na entrega dos serviços Aquecimento do ambiente. Falha na operação dos dispositivos. Menor produtividade Falha no acesso. Queda no Faturamento e Atraso na entrega dos Falha no fechamento e faturamento da horas extras e banco de horas funcionamento de toda a empresa. Queda no Faturamento e Atraso na entrega dos Transferir Transferir Transferir empresa terceirizada., para que ele direcione sua equipe para solucionar o caso., para que ele direcione sua equipe para solucionar o caso., para que ele direcione sua equipe para solucionar o caso. empresa terceirizada. empresa terceirizada. Se for o caso entrar em contato com a equipe de manutenção. Se for o caso entrar em contato com a equipe de manutenção. equipe de Manutenção. Se for o caso entrar em contato com empresa terceirizada. Fornecedor Fornecedor Fornecedor Manutenção Durante o expediente 7

A25 2 A26 6 A27 6 A28 2 A29 3 Perda ou roubo de móveis Perda ou roubo de celulares Perda ou roubo de notebooks, cpu, monitor e acessórios Perda ou roubo de Câmeras de Segurança Perda ou roubo de Documentos A30 6 Falha no HD A31 2 Falha de Memória Ram Prejuízo financeiro. Falha na segurança do local. Prejuízo financeiro. Imagem comprometida da organização. Falha na segurança do local. Prejuízo financeiro. Imagem comprometida da organização. Atraso na entrega dos Prejuízo financeiro. Falha na segurança do local. Prejuízo financeiro. Imagem comprometida da organização. Falha na segurança do local. Prejuízo financeiro. Imagem comprometida da organização. Falha na segurança do local. Prejuízo financeiro. Falha na manutenção Gerente e acionar a seguradora. Gerente, o e acionar a seguradora. Gerente, o e acionar a seguradora. Se for o caso entrar em contato com a equipe de manutenção. Supervisor. Se for o caso entrar em contato com o gerente. Anualmente A32 1 Falha de Iluminação Prejuízo financeiro. Falha na manutenção manutenção Manutenção A33 2 A34 1 A35 2 Falha de Fornecimento de Água Rompimento nas tubulações de água. Falha na tubulação de esgoto, entupimento Limpeza comprometida A36 9 Falha na eletricidade A37 3 Terremoto A38 3 Queda de Aeronaves Prejuízo financeiro. Queima de equipamentos. Perdas de dados e documentos. Falha na manutenção Limpeza e imagem da empresa comprometida. Pode perder clientes. Prejuízo financeiro. Falha na manutenção. Atraso na entrega dos serviços Perca Total, muitas vezes irreversível. Perca Total, muitas vezes irreversível. Aceitar Aceitar Aceitar manutenção manutenção manutenção manutenção Gerente e acionar a seguradora. Gerente e acionar a seguradora. Manutenção Manutenção Manutenção Manutenção Gerente Gerente 8

A39 9 Invasão e vandalismo A40 4 Acidente de Funcionário Perda parcial e com prejuízo grande. Falha na segurança do local Prejuízo Financeiro. Queda no Faturamento e Atraso na entrega dos segurança, avisar o gerente e acionar a seguradora. Técnico de segurança do Trabalho. Segurança Armada Téc. Segurança do Trabalho 3.4 - Identificação dos Riscos de Software Ref. Severidade Descrição do risco Probabilidade Impacto Descrição do Impacto Ação Descrição da ação Responsável Previsão Comentários B1 9 B2 4 B3 9 B4 2 B5 6 B6 3 B7 3 B8 3 B9 3 Aplicação da Gotrans Inativo Falha na Aplicação da Gotrans Ataque ao Sistema da Gotrans Falha de Cadastro no Sistema da Gotrans Falha de administração de usuários no Sistema da Gotrans Licença do Windows Server vencida Licenças CALS do windos vencida Licença do Windows 8.1 vencida Licença do Office Server vencida Deixa o serviço paralisado. Deixa o serviço instável. Provoca queda na produção. Impacto no Faturamento. Pode vir a retirar o sistema fora do ar. Imagem da empresa comprometida. Perda e roubo de informações vitais dos clientes e da empresa. Perdas financeiras e perda de possíveis cliente. Perdas de dados, usuários não tem acesso, falha no controle de usuários. Sistema ficará inoperante. Sistema ficará inoperante. Sistema ficará inoperante. Software ficará inoperante. gestor de TI. Se for o caso reinicie o sistema. equipe de desenvolvimento. Caso necessário contratar terceiros. Avisar ao gerente de TI. gestor de TI. Se for o caso entre em contato com a equipe de desenvolvimento. Avisar ao gerente de TI. Avisar ao gerente de TI. Avisar ao gerente de TI. Avisar ao gerente de TI. desenvolvimento Durante o expediente Durante o expediente Durante o expediente Anualmente Anualmente Anualmente Anualmente 9

B10 2 B11 2 B12 6 B13 3 Licença do Adobe Photoshop vencida Licença do Corel Draw vencida Desatualização dos servidores Windows Destualização dos desktops Windows Software ficará inoperante. Software ficará inoperante. B14 3 Desatualização do Office B15 2 B16 2 Desatualização do Corel Draw Desatualização do Photoshop B17 3 Falha no Firebird sql B18 2 Desatualização do Firebird sql B19 3 Falha no Apache Tomcat B20 2 B21 3 B22 6 Desatualização do Apache Tomcat Falha no Oracle Java Server JRE Desatualização no Oracle Java Server JRE Falha no sistema. Falha no sistema. Falha no software. Falha no software. Deixa o Falha no software. Compromete todos os dados inseridos no banco de dados. Falha no software. Deixa o sistema da Gotrans fora do ar. Falha no sistema. Deixa toda a aplicação da Gotrans comprometida, com falhas e pode deixar sistema inoperante. Falha no sistema. Avisar ao gerente de TI. Avisar ao gerente de TI. gestor de TI. Se for o caso entre em contato com a equipe de desenvolvimento. Entra em contato com o gestor de TI. Se for o caso entre em contato com a equipe de desenvolvimento. Entra em contato com o gestor de TI. Se for o caso entre em contato com a equipe de desenvolvimento. Anualmente Anualmente 10

B23 2 Falha no Oracle Java JDK B24 2 B25 1 B26 1 B27 1 B28 1 B29 1 B30 1 B31 3 B32 9 B33 9 B34 2 Desatualização do Oracle Java JDK Falha na IDE Eclipse Java EE Desatualização da IDE Eclipse Java EE Falha na IDE Netbeans Java EE Desatualização da IDE Netbeans Java EE Falha no Mozilla Thunderbird Desatualização do Mozilla Thunderbird Usuário desinstalou softwares Usuário Instalou software vulnerável Usuário disseminou vírus, cavalo de troia, trojans entre outros malwares Usuário desativou atualização Deixa as máquinas da empresa com falhas na operação da aplicação do sistema da Gotrans. E compromete a equipe de desenvolvimento. Falha no software. desenvolvimeto da aplicação da Gotrans. Falha no software. desenvolvimeto da aplicação da Gotrans. Falha no software. Falha no recebimento de Emails. Pode ter falha de comunicação entre funcinários e clientes. Falha no software. Perda de produtividade. Perdas financeiras. Compromete todos os software da máquina e dos outros dispositivos na rede. Baixo desempenho e deixa o Todo o sistema e softwares da máquina ficam vulnerável. Ataque na rede. Disseminação de malwares pela rede. Softwares ficam vulneráveis a ataques e instalação de malwares advindos da rede. Se for o caso encaminhá-lo para o RH para as devidas providência. Se for o caso encaminhá-lo para o RH para as devidas providência. Se for o caso encaminhá-lo para o RH para as devidas providência. 11

B35 2 B36 6 B37 9 B38 3 Usuário não tem treinamento para utilização do sistema da Gotrans Falha de controle de acesso de usuários na rede Falha na Administração do Firewall Senhas dos Roteadores, switches, firewall, servidores e outros dispositivos e softwares de fácil descoberta pela rede Perda de produtividade. Usuário pode comprometer os dados da empresa. Deixa a rede vulnerável a ataques, instalação de malwares, espionagem, perda de dados e vazamento das informações. Deixa toda a rede comprometida a todo tipo de ataques externos e internos aos servidores e dispositivos na rede. Perda de dados, roubo e vazamento de informações. Imagem da empresa comprometida. Perda de acesso, falha na administração, serviços inoperante, perda de dados, falha nos sistemas. Pode ter grande prejuízo econômico. equipe de TI para que possa receber suporte e treinamento. Entra em contato com o gestor de TI. Planejar medidas para inibir as falhas. Se for o caso fazer uma revisão e alteração das senhas. Durante o expediente 3.5 - Identificação dos Riscos de Informação Ref. Severidade Descrição do risco Probabilidade Impacto Descrição do Impacto Ação Descrição da ação Responsável Previsão Comentários C1 6 C2 9 Falha no controle entre as interações entre o mesmo objeto no banco de dados Ataque de sql injection no banco de dados Falha na integridade da informação. Causa falha na aplicação. Falha de segurança com todas as informações no banco de dados gestor de TI equipe de TI 12

C3 3 C4 6 C5 2 C6 9 C7 3 Banco de dados sem criptografia Falha no controle de acesso de usuários ao banco de dados Falha na aplicação que comunica com o banco de dados Usuários não cadastrados acessam o banco de dados Banco de dados sem mecanismos de Recovery C8 9 Perda ou defeito do HD C9 2 C10 9 C11 2 C12 2 C13 9 C14 4 C15 4 HD sem espaço para novos dados Perda de informação no banco de dados Perda da integridade das informações no banco de dados Falha na disponibilidade das informações no banco de dados Falha na construção da modelagem do banco de dados Falha na performance do banco de dados Falha de conectividade no banco de dados Dados são vazados facilmente pela rede, ou em uma operação de backup Usuários sem autorização podem alterar dados ou visualizar dados sem autorização Usuários ficam sem acessar o sistema. Prejuízo financeiro Falha na integridade da informação. Dados são vazados ou apagados facilmente Falha na integridade da informação. Causa falha na aplicação. Causa instabilidade do sistema. Perda de informações que poderiam ser gravadas Falha na aplicação. Perda financeiras Prejuízo econômico. Falha no sistema em geral. Queda de produtividade.. Prejuízo econômico Falha na aplicação. Perda financeiras gestor de TI equipe de TI equipe de desenvolvimento gestor de TI gestor de TI equipe de TI equipe de TI equipe de TI equipe de TI equipe de TI equipe de desenvolvimento gestor de TI equipe de desenvolvimento desenvolvimento desenvolvimento desenvolvimento Durante o expediente 13

C16 3 Falha na gravação por erro de tipagem no banco de dados Falha na aplicação. Perda financeiras equipe de desenvolvimento desenvolvimento C17 2 Falha no driver de conexão com o banco de dados Falha na aplicação. Perda financeiras equipe de desenvolvimento desenvolvimento C18 2 Erro com a manipulação de string no banco de dados Falha na aplicação. Perda financeiras equipe de desenvolvimento desenvolvimento C19 9 C20 9 C21 4 C22 9 C23 9 C24 3 C25 3 C26 3 C27 3 O acesso remoto não foi devidamente configurado no banco de dados Falha na política de segurança no banco de dados Falha ao gravar linhas com valores nulos O acesso ao banco de dados pode ser feito por qualquer usuário na rede interna Dados dos clientes ou da organização vazados na internet Extravio ou perda da documentação do software Extravio ou perda do manual de operações de software Extravio ou perda da documentação dos contratos e acordos Extravio ou perda de todos documentos necessário a organização Falha de segurança com todas as informações no banco de dados Aceitar Aceitar gestor de TI gestor de TI equipe de desenvolvimento equipe de TI gestor de TI e comunicar a gerência. supervisor e comunicar a gerência supervisor e comunicar a gerência supervisor e comunicar a gerência supervisor e comunicar a gerência desenvolvimento 14

3.6 - Matriz de gerenciamento de riscos Ativos que devem ser monitorados e priorizados conforme as tabelas de identificação de riscos A4, A5, A17, A24, A36, A39, B1, B3, B32, B33, B37, C2, C6, C8, C10, C13, C19, C20, C22, C23 A1, A2, A3, A6, A9, A10, A11, A12, A13, A15 A16, A19, A20, A21, A22, A26, A27, A29, A30, A37, A38, A40, B2, B5, B6, B7, B8, B9, B12, B13, B14, B17, B19, B21, B22, B31, B36, B38, C1, C3, C4, C7, C14, C15, C16, C21, C24, C25, C26, C27 A7, A14, A18, A25, A28, A31, A33, A35, B4, B10, B11, B15, B16, B18, B20, B23, B24, B34, B35, C5, C9, C11, C12, C17, C18 A8, A23, A32, A34, B25, B26, B27, B28, B29, B30 DEVE SER CONSTANTEMENTE MONITORADOS, NÃO PODENDO HAVER FALHAS. DEVER SER PERIODICAMENTE MONITORADO E PROMOVER AÇÕES PARA INIBIR O IMPACTO. DEVE SER DIARIAMENTE MONITORADO E INCENTIVAR MEDIDAS DE CONTROLE PARA REDUZIR A SUA PROBABILIDADE. EMBORA NÃO CAUSE GRANDE IMPACTO, DEVE SER MONITORADO SEMANALMENTE. 15

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback