Faculdade de Tecnologia SENAC - Goiás
Projeto Integrador
Segurança da Informação
Levantamento dos ativos críticos para o sucesso da
Organização.
Diego Miranda
José Rodrigues Neto
Romário Sena
Warley Gabriel
Este documento tem como finalidade identificar e documentar os ativos críticos
para o sucesso da organização. Identificar riscos inerentes aos ativos. Estabelecer
medidas para controle dos riscos.
A política de segurança aqui apresentados, cita os ativos, riscos e modos de
prevenção de uma Software House, empresa fictícia, criada para este projeto, onde
podemos demonstrar alguns fatores de riscos inerentes a este tipo de empresa.
São os ativos:
 Software
 Hardware
 Funcionários
 Clientes
 Fornecedores/Parceiros
 Produto (código fonte do software)
Potenciais Riscos aos Ativos
Na atual conjuntura, e o mercado flutuante, toda empresa está suscetível a
riscos, tanto de negócios quanto da própria estrutura.
Para a definição das probabilidades e impactos foram utilizados os seguintes
critérios:
Classificação de probabilidade dos riscos
Classificação de impacto dos riscos
Então citaremos alguns potenciais de riscos que afetam o negócio.
ID 1 - Software
Risco: Todos os sistemas adquiridos pela empresa correm risco quanto a sua
vulnerabilidade, seja no controle dos chamados ou nos dados pessoais de nossos
clientes que são acessados por nossos colaboradores.
Probabilidade: Provável
Impacto: Alto
Plano de ação:
 Má codificação do programa: Contratar empresas de desenvolvimento de
software com uma boa reputação e que tenha qualidade na prestação de
serviços.

Vulnerabilidades: Identificar os erros de desenvolvimentos e apresentar
propostas de melhorias, testar periodicamente os sistemas contra invasão e
criar controles de acesso aos softwares.

Engenharia Social: Manter sempre atualizado os antivírus, para impossibilitar a
propagação de vírus nas maquinas e o roubo de informações sigilosas.
ID 2 - Hardware
Risco: As maquinas adquiridas para fabricação do software (servidores, estações, VM’s).
A falta de segurança, armazenamento inapropriado e uma manutenção sem qualidade
pode influenciar negativamente neste ativo.
Probabilidade: Pouco Provável
Impacto: Muito Alto
Plano de ação:
 Manutenção de Computadores e Periféricos: Contratar empresas terceirizadas
com qualidade e grande sigilo, realizando manutenção em todos os
equipamentos, para que o mesmo tenha sempre um ótimo desempenho.
ID 3 - Funcionários
Risco: São os colaboradores, nossa ligação direta e pessoal com nossos clientes, o
funcionário desmotivado pode fazer com que a empresa perca seus clientes, causando
prejuízos. O colaborador também é o responsável pela fabricação do nosso produto,
lembrando que a qualidade do mesmo é sempre bem exigida por nossos clientes.
Probabilidade: Improvável
Impacto: Médio
Plano de ação:
 Motivando os funcionários: Fazer campanhas motivacionais com premiações,
treinamentos, folgas e manter um ambiente de trabalho agradável.
ID 4 - Clientes
Risco: Cliente é o foco do negócio, podemos perder clientes por falta de qualidade no
atendimento, mesmo tendo um software de qualidade, precisamos ficar atentos quanto
a satisfação dos mesmos, bem como se o artefato está atendendo a regra de negócio de
quem paga por ele.
Probabilidade: Pouco provável
Impacto: Alto
Plano de ação:
 Atendimento: Oferecer cursos, treinamentos, seminários, com o intuito de
melhorar a usabilidade do sistema.
ID 5 - Fornecedores/Parceiros
Risco: São todas as empresas que atuam a favor do objetivo final, os quais podem ser
fornecedores de mercadoria ou prestadores de serviços. Um bom relacionamento com
fornecedor quanto a negociação de horários, quantidade de produtos ou serviços, ou o
desacordo financeiro entre as partes pode evitar um risco potencial a esse ativo.
Probabilidade: Pouco provável
Impacto: Médio
Plano de ação:
 Comunicação Precária: Uma comunicação precária entre fornecedor e empresa
pode resultar em desacordos comerciais e falta de compromisso na entrega
dos produtos. Portanto é importante criar mecanismos de comunicação
visando a melhoria de tais serviços.
ID 6 - Produto (código fonte)
Risco: Nosso produto é virtual e por este motivo devemos ter todo um cuidado com
nosso código fonte, pois ele é a fonte do software.
Probabilidade: Muito provável
Impacto: Muito alto
Plano de ação:
 Roubo: O fato de fabricar algo virtual aumenta bastante o risco de furto, devese elaborar uma política de segurança muito forte sobre o controle de código,
ao fazer a contratação de um novo colaborador deve-se estabelecer um
contrato protegendo o valor intelectual do software.
 Revisão de código: Deve ocorrer revisão de código antes de o mesmo ser
commitado, ou seja, ir para a versão estável do sistema. Garantindo assim uma
maior qualidade e evitando bugs.
Plano de contingência:
 Revert das alterações: Responsável pela equipe de desenvolvimento deve fazer
revert nas alterações que danificaram o software.
Legenda:
ID: Identificador do risco.
Risco: Descrição do risco.
Probabilidade: Probabilidade estimada de um risco ocorrer.
Impacto: Impacto estimado se ocorrer o risco.
Plano de ação: Ações a serem executadas na tentativa de evitar que o risco aconteça.
Plano de contingencia: Ações a serem executadas após acontecer o risco.
A figura abaixo apresenta a matriz de exposição do risco com a apresentação de cada
risco identificado quanto á sua exposição: