www.hu60.com


Análise de Risco da Empresa APOIO	Contato: (61)91440026

Índice

Apresentação
Comprometimento
Conceituação
Cenário

4.1 Descrição da Empresa
4.2 Missão da Empresa
4.3 Organograma da Empresa
4.4 Descrição do Ambiente
4.5 Documentos de Entrada e Saída

4.5.1 Entrada
4.5.2 Saída

4.6 Diagrama de Contexto
4.7 Ambiente

4.7.1 Planta Baixa
4.7.2 Diagrama de Ligação Física
4.7.3 Diagrama de Ligação Lógica
4.7.4 Segurança Física e Lógica

Tabela de Análise de Risco
Gráfico
Plano de Minimização de Risco
Considerações Finais
Bibliografia

1. Apresentação

O primeiro passo para garantir segurança ao seu negócio é identificar as situações que podem comprometer suas informações, para então planejar soluções.
O diagnóstico ideal é realizado através de uma análise de risco e vulnerabilidades, envolvendo os processos organizacionais, as pessoas que interagem com esses processos, a infra-estrutura tecnológica que os suporta e a própria estrutura física da organização.
Diversas são as ameaças ao seu negócio, e essas compreendem desde hackers tentando obter acesso à sua rede até situações onde seus próprios funcionários, por descuido ou má intenção, levam documentos com informações importantes para casa sem tomar os cuidados necessários para protegê-los.
Através de uma análise de risco e vulnerabilidades aprofundada, é possível determinar os maiores riscos aos quais sua empresa está sujeita e, assim, determinar quais ações devem ser tomadas para evitar uma situação de comprometimento.
Este documento servirá de base para se estabelecer a Política de Segurança da Informação, que é um conjunto de medidas necessárias à preservação e segurança dos bens de informação da empresa APOIO, que são constituídos pelos seguintes componentes da Tecnologia da Informação: sistemas aplicativos desenvolvidos e adquiridos, softwares básicos e de apoio, dados, hardware, instalações físicas e equipamentos de infra-estrutura.

2. Comprometimento

A direção da empresa APOIO declara-se comprometida em proteger todos os ativos ligados à Tecnologia da Informação. Para cumprir este objetivo, será executada uma análise de risco e vulnerabilidades na empresa.

3. Conceituação

Conforme definição da norma NBR ISO/IEC 17799, a informação é um ativo que, como qualquer outro ativo importante para negócios, tem um valor para a organização e, conseqüentemente, necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios, minimizando os danos aos negócios e maximizando o retorno dos investimentos e as oportunidades de negócio. A informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

A segurança da informação é aqui caracterizada pela preservação de:

a) Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
b) Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
c) Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.

A segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança específicos da APOIO sejam atendidos.

4. Cenário

4.1 Descrição da Empresa

A APOIO é uma empresa que atua há mais de 10 anos em Brasília, com a razão social: D &D Impermeabilização Ltda., nome fantasia: Apoio Construções, CNPJ: 04.162.345/0001-00, inscrição estadual CF/DF: 07.417.373/001-26, localizada na SCRLN 711 Bloco ‘C’ Loja 27, especializou-se na manutenção de prédios, residências e prestação de serviços, oferecendo produtos de revestimento, impermeabilização e representações para construção civil. O corpo técnico da empresa é composto de engenheiros e arquitetos, além de pessoal administrativo, entre outros, totalizando um quadro de 12 funcionários. As equipes são treinadas nas indústrias fornecedoras das quais são representantes / parceiros de forma a garantir a qualidade da mão-de-obra e dos produtos que são adquiridos. Contam ainda com assistência do corpo técnico das empresas terceirizadas, o que possibilita aos seus clientes maior garantia dos serviços executados.

Possui quadro de vendas estruturado para calendário de visitas a obras e captação de novos clientes, através de cronograma de 40 visitas mensais incluindo obras de pequeno e grande porte. A captação de novos clientes pode ocorrer via telefone, Internet, anúncios, mala direta e/ou recomendações, possuindo atualmente nome reconhecido no mercado da construção civil.

A empresa possui também supervisão e acompanhamento de obras em andamento, responsável também por providenciar transporte, refeição, materiais e equipamentos de segurança aos profissionais executores e fazer o controle de qualidade dos serviços prestados. Conta também com a seção de divulgação e treinamento, responsável pela formação de mão de obra qualificada, atualização da lista de preços dos serviços, acompanhamento da concorrência, visita a obras e captação de novos clientes.

4.2 Missão da Empresa

Venda e aplicação de produtos de impermeabilização, serviços e gerenciamento de obras e atendimento ao cliente.

4.3 Organograma da Empresa

CONSELHO GESTOR -->Formado pelos gerentes comercial e de obras, decidem as prioridades da empresa.
GERÊNCIA OBRAS -->Gerencia obras e serviços, decidindo equipes e equipamentos adequados para cada serviço ou obra.
GERÊNCIA COMERCIAL E DE REPRESENTAÇÕES -->Coordena as visitas de divulgação da empresa.
GERÊNCIA ADMINISTRATIVA, FINANCEIRA E DE PESSOAL -->Gerencia orçamentos, controle de caixa, compra de material, efetiva contratos e informa a cada cliente sobre o andamento de sua obra ou serviços.
DEPARTAMENTO DE SUPERVISÃO E ACOMPANHAMENTO -->Responsável pela formação e treinamento de vendedores e pelo controle de satisfação de clientes.
SETOR DE VENDAS -->Visita a obras e captação de novos clientes através de cronograma de 40 visitas mensais incluindo obras grandes e pequenas.
SECRETARIA -->Age de forma centralizadora, recebendo e repassando as propostas para a seção competente até a assinatura do contrato.
DEPARTAMENTO DE ENCARREGADORIA -->Responsável por providenciar transporte, refeição, materiais e equipamentos de segurança e distribuição de mão de obra.
SETOR DE EXECUÇÃO DE OBRAS -->Executa o serviço, dentro do cronograma de entrega de material pelo fornecedor.

4.4 Descrição do Ambiente

A Empresa Apoio ocupa dois pavimentos de um prédio comercial, sendo que no térreo fica localizada, a recepção e a gerência e no subsolo os departamentos de vendas, administrativo e financeiro. Os departamentos são interligados em uma rede com nove pontos, sendo que quatro pontos estão interligados por um HUB de seis portas.

Os equipamentos de hardwares da Empresa Apoio necessitam de atualização pois estão em uso há mais de 5 anos, apesar de satisfazerem as necessidades atuais da empresa.

Os softwares instalados nos equipamentos da empresa não são licenciados e não estão sendo utilizados adequadamente, pois não existe treinamento de pessoal para utilização dos mesmos.

O programa de controle financeiro da empresa é constituído por planilhas do Microsoft Excel, que contém a visão financeira da empresa (datas de pagamento e recebimento, capital, controle de obras) e é o sumário de todas as informações do dia em relação à área financeira da empresa. Estas planilhas, não geram relatórios e suas informações não são armazenadas em um Banco de Dados.

A rotina de trabalho é a seguinte: A seção de vendas entrega à secretaria uma solicitação de orçamento;uma vez orçada, a solicitação passa a ser acompanhada pela secretaria – que age de forma centralizadora, recebendo e repassando a solicitação para a seção competente até a transformação da solicitação em contrato. Feito o contrato o setor financeiro - que é encarregado pelo controle de caixa, gera um pedido de compra de produtos e/ou monta uma equipe de prestação de serviços para o atendimento ao cliente, dentro do cronograma de entrega de produtos pela indústria e distribuição de mão de obra.

4.5 Documentos de Entrada e Saída

4.5.1 Entrada

Fichas de Visitas;
Dados do Cliente;
Dados do Fornecedor;
Dados do Funcionário;
Dados de Produto;
Dados de Serviços;
Dados de Equipamentos;
Dados de Orçamento;
Pagamentos de Clientes.

4.5.2. Saída

Autoriza Contrato;
Pedido de Produto;
Pedido de Serviço;
Relatório de Clientes;
Relatório de Funcionários;
Relatório de Fornecedores;
Relatório de Produtos;
Relatório de Serviços;
Relatório de Orçamentos;
Relatório de Contratos;
Relatório de Pagamento/Recebimento.

4.6 Diagrama de Contexto

4.7 Ambiente

4.7.1 Planta Baixa

4.7.2 Diagrama de Ligação Física

4.7.3 Diagrama de Ligação Lógica

Existem 4 micros interligados a um hub de 12 portas, onde o meio de transmissão é tipo par trançado, com velocidade de 10/100 Mbps, passados por calhas na altura dos rodapés, interligando assim os departamentos da empresa APOIO, são gerenciados pelo Windows XP, utilizando a topologia de rede em estrela barramento. Os micros estão ligados a um hub, utilizando a ligação multiponto e a tecnologia Fast Ethernet. Um dos micros é utilizado como servidor onde são armazenadas todas as informações comerciais da empresa APOIO.

4.7.4 Segurança Física e Lógica

A localização da empresa Apoio não oferece risco com relação à viabilidade de invasões, pois a área ao redor da empresa é bem movimentada. Os pagamentos são feitos através de cheques nominais e/ou boletos bancários, não havendo, portanto, movimentação de dinheiro em espécie e com isso não gerando situações de risco de furto ou invasão. Com relação aos materiais ali armazenados são de difícil deslocamento, por causa do peso e pelo fato do local do estoque não estar acessível a todos, não oferecendo portanto perigo de violação.

5. Análise de Risco

A tabela 1 demonstra a abordagem qualitativa com base no método NIST.

Intensidade	Valor
Crítica	7
Alta	5
Média	2
Baixa	1

Tabela 1 - Abordagem Qualitativa

Com base na análise feita na empresa APOIO cada ativo é correlacionado a seu respectivo nível de criticidade.

Item	Ativo	Nível Crítico
1	Servidor	7
2	Estações de trabalho	5
3	Banco de dados	7
4	Instalações prediais	1
5	Recursos humanos	5
6	Aplicativos empregados	2

Tabela 2 - Nível de Criticidade

Levando-se em conta os valores descritos na Tabela 2 faz-se uma graduação de impacto em relação à vulnerabilidade e a probabilidade de ocorrência de riscos.

Item	Vulnerabilidade	Impacto	Incidência
1.1	Erro de sistema	5	1
1.2	Ataque por vírus, worm, etc	5	2
1.3	Queda de energia	1	1
1.4	Gerenciamento de permissões e privilégios	5	2
1.5	Pane no hardware	7	2
2.1	Pane no hardware	5	2
2.2	Vírus, worm, trojans, etc	2	5
2.3	Queda de energia	1	1
3.1	Problemas no disco	7	2
3.2	Inconsistência	5	2
3.3	Geração extemporânea de cópia de segurança	5	2
3.4	Estouro de capacidade de disco	7	2
3.5	Apagamento acidental de dados	5	2
4.1	Inexistência de vigilância remota	2	7
4.2	Sala de pagamentos vulnerável fisicamente	2	1
4.3	Controle de chaves das portas	1	5
4.4	Risco de invasão através de janelas	1	1
5.1	Funcionários vulneráveis a engenharia social	2	2
5.2	Desatualização tecnológica	2	5
5.3	Concentração de funções em um único funcionário	5	7
6.1	Antivírus inexistentes ou desatualizados	5	7
6.2	Softwares piratas ou não autorizados	5	7
6.3	Erro de aplicativo	2	2
6.4	Apagamento acidental de programas	2	2
6.5	erro por versões incompatíveis	1	2

Tabela 3 - Nível de Vulnerabilidade

Como proposto no modelo NIST, com base nas estimativas apresentadas na tabela 2, faz-se a relação entre os Ativos x Vulnerabilidade x Probabilidade. Desta forma é possível observar o resultado através da tabela 4.

Item	Nível Crítico	Impacto	Probabiliddade	Resultado
1.1	7	5	2	70
1.2	7	5	2	70
1.3	7	1	1	7
1.4	7	5	2	70
1.5	7	7	2	98
2.1	5	5	2	50
2.2	5	2	5	50
2.3	5	1	1	5
3.1	7	7	2	98
3.2	7	5	2	70
3.3	7	5	2	70
3.4	7	7	2	98
3.5	7	5	2	70
4.1	1	2	7	14
4.2	1	2	1	2
4.3	1	1	5	5
4.4	1	1	1	1
5.1	5	2	2	20
5.2	5	2	5	50
5.3	5	5	7	175
6.1	2	5	7	70
6.2	2	5	7	70
6.3	2	2	5	20
6.4	2	2	2	8
6.5	2	1	2	4

Tabela 4 - Ativos x Vulnerabilidade x Probabilidade

Com base nas observações feitas na tabela 4 faz-se necessário as seguintes recomendações.

Item	Vulnerabilidade	Nível Crítico	Novo Impacto	Prob	Risco Residual
1.1	Atualizações do fabricante (path)	7	2	1	14
1.2	Utilização e atualização e anti-vírus	7	1	1	7
1.3	Utilização e no-break	7	1	1	7
1.4	Implementação sistema de privilégios e permissões	7	2	1	14
1.5	Sistema de back-up	7	2	2	28
2.1	Contrato dde manutenção	5	2	2	20
2.2	Implementaçãode política de segurança	5	2	1	10
2.3	Utilização e no-break	5	1	1	5
3.1	Espelhamento de disco	7	2	2	28
3.2	Implementação de sistema orintedo a objeto	7	2	1	14
3.3	Política de cópia de segurança	7	2	1	14
3.4	Sistema de back-up	7	2	1	14
3.5	Política de cópia de segurança	7	2	1	14
4.1	Implantação de circuito fechado de TV	1	1	2	2
4.2	Gradiamento do compartimento	1	1	1	1
4.3	Claviculário	1	1	1	1
4.4	Gradiamento das janelas	1	1	1	1
5.1	Consientização sobre segurança	5	1	1	5
5.2	Capacitação funcional	5	1	1	5
5.3	Descentralização decisória	5	1	2	10
6.1	Utilização e atualização e anti-vírus	2	2	2	8
6.2	Política de legalização de software	2	1	1	2
6.3	Implementação de sistema orintedo a objeto	2	1	1	2
6.4	Política de cópia de segurança	2	1	1	2
6.5	Padronização de versões	2	1	1	2

Tabela 5 - Recomendações

6. Gráficos

7. Plano de Minimização de Risco

Em relação à segurança dos dados o sistema de gerenciamento de informações, é composto de senhas com vários níveis de acesso ao sistema, para restrição de acesso às informações por parte de pessoas não autorizadas e controle das informações compartilhadas na rede.

Os computadores deverão ser conectados a um computador (Servidor), com gravadora de CD e Nobreak, com a finalidade de resguardar as informações geradas na empresa, possibilitando a confecção de cópias de segurança diárias e semanais, que serão feitas em CD regravável e as mensais e anuais em CD comum. As cópias mensais e anuais serão armazenadas da seguinte forma: uma cópia ficará na empresa e outras duas cópias ficarão na responsabilidade dos gerentes.

Deverá ser feito treinamento dos funcionários para a utilização da estrutura de TI a fim de melhorar o rendimento na utilização de ferramentas empregadas na empresa Apoio.

A empresa Apoio necessita da atualização dos hardwares, softwares e reorganização da localização dos ambientes, com intuito de facilitar a sistematização dos processos de execução de trabalho dentro da empresa. Necessita também, da instalação de uma rede padronizada para agilizar o sistema de controle e acompanhamento dos contratos de serviços de construção civil, para os projetos da empresa a serem implantados, além de um sistema computadorizado para área financeira, com estrutura cliente-servidor e banco de dados.

A empresa Apoio pretende manter uma base de dados centralizada e atualizada das informações que trafegam dentro da empresa, com a intenção de controlar contratos, clientes, funcionários, produtos, fornecedores e financeiro institucional.

8. Considerações Finais

Pretendemos com esta análise sistematizar os processos da empresa Apoio com intuito de que possa melhorar seu desempenho junto às concorrentes e minimizar o risco de eventos danosos ao negócio da mesma.
Com a visualização do risco é possível sistematizar os processos e métodos de trabalho visando à agilidade e inviolabilidade das informações.
Esperamos que a análise, por nós elaborada, possa contribuir positivamente na busca da empresa Apoio em alcançar seus objetivos.
Esperamos que a análise ajude na interação das informações, evitando a dispersão da mesma e possibilitando o acompanhamento em tempo hábil, do andamento dos contratos e serviços.

9. Bibliografia

YOURDON, Edward. Análise estruturada moderna. Rio de Janeiro: Campus, 1992.
BARBIERI, Carlos. Modelagem de dados. Rio de Janeiro: Infobook, 1994.
GANE, Chris. Análise estruturada de sistemas. Rio de Janeiro: LTC,1983.
CASTRO, CHAMON, Gilberto e Valéria. Microsoft Press, Dicionário de Informática / tradução (3ª ed. Americana)- Rio de Janeiro: Campus, 1998.
OLIVEIRA, Djalma de Pinho Rebouças. Sistemas, Organização &Métodos. São Paulo: Editora Atlas, 2000, 11ª Edição Revista e Ampliada.
CHEN, P. The Entity-Relationship Aproach to Logical Data Base Design. Q.E.D, Information Sciences, Wellesley, Massachussets, 1977.
TANENBAUM, Adrew S., Sistemas Operacionais Modernos. São Paulo: Prentice Hall, 2003.

Entrevista com Gerentes e Funcionários. Empresa APOIO
Documentos internos fornecidos pelos Gerentes.Empresa APOIO

Sociedade Virtual, Michael Stanton, 17/12/2004, http://www.estadao.com.br/tecnologia/coluna/stanton/2000/out/23/135.htm
Microsoft Brasil, Protegendo Clientes Remotos e Computadores Portáteis, 17/12/2004,
http://www.microsoft.com/brasil/security/guidance/smb/sec_remote_port_comp.mspx#EIAA