| A | B | C | D | E | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | AA | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | COLETA DE DADOS - RISCOS INERENTES E INDICADORES DA GESTÃO DE RISCOS | ANÁLISE E AVALIAÇÃO DOS RISCOS: RISCOS INERENTES | ||||||||||||||||||||||
2 | ||||||||||||||||||||||||
3 | Processo: | DTI015 – Doc. e Informação: Gestão de Acessos a Sistemas Desenvolvidos pela TI UFV | Objetivo Estratégico | |||||||||||||||||||||
4 | ||||||||||||||||||||||||
5 | ||||||||||||||||||||||||
6 | Código do Risco: | Fatores de Risco: (Descreva as dificuldades ou fatores que caso ocorram causarão impactos ao processo ou a UFV): | Fator de Risco relacionado a(o) Processo / Pessoas / Tecnologia: | Fraqueza (Interna) ou Ameaça (Externa): | Possíveis Soluções (Ações propostas): | Evento de Risco: (qual é o evento que caso aconteça trará impactos?) (ator responsável + verbo de ação + complemento) Ex.: "Coordenador instruir de forma incorreta" | Causa/Fonte: | Efeitos / Consequências / Impacto: | Tipologia do Risco: | ANÁLISE: | AVALIAÇÃO: | |||||||||||||
7 | Probabilidade de Ocorrência: | P | Impacto (Consequência): | I | Risco Inerente (P * I): | Nível de Risco: | Resposta ao Risco: | |||||||||||||||||
8 | DTI015.R1 | A permissão errada ter sido dada a um determinado usuário. Ou o administrador do sistema vinculou a pessoa errada (sem ser o solicitado) OU deu acesso ao sistema errado para a pessoa certa. | Pessoas | Fraqueza (Interna) | De tempos em tempos, pedir aos usuários que revejam suas permissões. De acordo com a Norma de Acesso, eles são responsáveis por manter o mínimo de permissões necessárias ao seu trabalho. Além disso, os Administradores dos sistemas deveriam ter acesso 'A LISTA de TODOS os usuários CADASTRADOS' no sistema do qual são responsáveis... para pedir a retirada de acesso de alguém caso julguem necessário. Seria possivel ao administrador conferir e revalidar os acessos. Criar um site para que usuários possam consultar todos os seus vinculos ativos. Por exemplo, tentar alterar o guardião para que o usuário possa consultar os seus cadastros. | Responsável pelo acesso ter dado acesso a alguém que não precisava do acesso. Obs.: Ou o administrador do sistema vinculou a pessoa errada (sem ser o solicitado) OU deu acesso ao sistema errado para a pessoa certa. | Falta de conhecimento dos usuários sobre quais permissões eles realmente precisam. Falta de rigor/critérios por parte dos Responsáveis pelo acesso ao conceder acesso a alguém. Usuário pedir acesso a um sistema ou a um perfil em que não precisa de acesso e ADMNISTRADOR não conferir critérios objetivos ou negar o acesso se necessário | Causa acessos indevidos a sistemas e informações acarretando em falta de segurança e quebra da norma de acesso. Pessoa não autorizada ter acesso a informações importantes ou realizar ações que impactem o sistema de forma prejudicial para a UFV. etc. | Operacional | Média | 3 | Moderado | 3 | 9 | Risco Alto | Reduzir | ||||||||
9 | ||||||||||||||||||||||||
10 | DTI015.R2 | O acesso de alguém ter sido retirado indevidamente | Pessoas | Fraqueza (Interna) | Criar um site para que usuários possam consultar todos os seus vinculos ativos. Por exemplo, tentar alterar o guardião para que o usuário possa consultar os seus cadastros. A DTI deve conferir com atenção de qual matrícula o acesso será retirado, assim como qual acesso será retirado. De qualquer forma, o acesso pode ser dado novamente. | Responsável pelo acesso ter retirado o acesso de alguém indevidamente | Falta de conhecimento dos usuários sobre quais permissões eles realmente precisam. Falta de atenção por parte dos Responsáveis pelo acesso ao remover o acesso de alguém. Usuário pedir a retirada de acesso a um sistema ou a um perfil em que ele precisava que o acesso fosse mantido. | Durante um tempo, a pessoa não consegue acessar um determinado sistema ou funcionalidade que precise para alguma atividade laboral Retrabalho ao ter que dar novas permissões para as pessoas. | Operacional | Baixa | 2 | Pequeno | 2 | 4 | Risco Moderado | Compartilhar ou Transferir | ||||||||
11 | ||||||||||||||||||||||||
12 | DTI015.R3 | Informações inverídicas (sobre uma entidade externa) terem sido passadas para a concessão do acesso Obs: entidade externa = pessoa sem vinculo com a UFV Exemplos: nome inveridico, CPF falso, etc. | Pessoas | Ameaça (Externa) | O processo pode ter um termo em que o solicitante afirma que as informações passadas são verídicas. Ou tentar configurar sistemas integrados ao GOV.br ,obrigando que o CPF seja conferido. | Responsável pelo acesso cadastrar usuários com informações inveridicas. | Entidade Externa enviar dados inverídicos sobre sua pessoa. Má fé da Entidade Externa ou falta de conhecimento sobre a importância de se passar os dados corretos. Responsável pelo acesso não verificar os dados fornecidos por uma Entidade Externa . Excesso de confiança nas pessoas e não achar que é importante a conferência dos dados fornecidos | O acesso será dado a uma pessoa que não corresponde à pessoa real. Pessoa não autorizada ter acesso a informações importantes ou realizar ações que impactem o sistema de forma prejudicial para a UFV. etc. | Conformidade ou Legal | Baixa | 2 | Moderado | 3 | 6 | Risco Moderado | Compartilhar ou Transferir | ||||||||
13 | ||||||||||||||||||||||||
14 | DTI015.R4 | Um usuário passar seu login/senha para outro usuário | Pessoas | Fraqueza (Interna) | A DTI pode fazer campanhas de conscientização sobre segurança em TI e importância do não compartilhamento de login. Pensar em formas de facilitar a permissão de pessoas nos sistemas. Exemplo: acreditamos que muitos servidores compartilham senhas com estagiários, terceirizados e secratários (quando existe secretaria para docentes). | Usuário passar seu login/senha para outro usuário (de forma que terceiros acessem o sistema em nome de outrem) | Alguém ter passado seu login e senha para outra pessoa e a pessoa usar o sistema com o cadastro dele. Pessoa que compartilha a senha ter Preguiça de pedir cadastros para estagiários, terceirzados, etc. | O Sistema ser usado de forma indevida. O Sistema registrar que uma pessoa executou determinada tarefa quando, na verdade, foi outra pessoa. Etc. | Conformidade ou Legal | Alta | 4 | Grande | 4 | 16 | Risco Crítico | Evitar | ||||||||
15 | ||||||||||||||||||||||||
16 | DTI015.R5 | Pessoas terem mais permissões do que necessitam contrariando, assim, a política de acesso mínimo. Exemplo: Muitos usuários mudam de lotação e/ou de função e não solicitam a retirada dos acessos (não mais necessários) aos sistemas que utilizavam anteriormente. | Processo | Fraqueza (Interna) | Criar um site para que usuários possam consultar todos os seus vinculos ativos. Por exemplo, tentar alterar o guardião para que o usuário possa consultar os seus cadastros. De tempos em tempos, pedir aos usuários que revejam suas permissões. De acordo com a Norma de Acesso, eles são responsáveis por manter o mínimo de permissões necessárias ao seu trabalho. | Usuário estar com permissões ativas em sistemas que ele não precisa mais utilizar. | Usuário não gerir suas permissões de acesso baseando-se na política de acesso mínimo Desconhecimento da Política de Acesso, mas precisamente, desconhecimento na regra de acesso mínimo. Desconhecimento sobre quais permissões eles realmente precisam. Muitos usuários mudam de lotação e/ou de função e não solicitam a retirada dos acessos (não mais necessários) aos sistemas que utilizavam anteriormente. | Os usuários terem permissões indevidas à sistemas e funcionalidades. Descumprimento da Política de Acesso da UFV. Risco de Segurança. etc. Exemplo: pessoa não ter mais o cargo de chefia e continuar com acesso de chefe em diversos sistemas. | Operacional | Média | 3 | Moderado | 3 | 9 | Risco Alto | Reduzir | ||||||||
17 | ||||||||||||||||||||||||
18 | DTI015.R6 | Mais de uma matrícula ser criada para um mesmo usuário sem necessidade (estudantes, terceirizados, pessoas externas) | Pessoas | Fraqueza (Interna) | A DTI ou PPO/DGI/PGP devem conferir no sistema SERVIDOR EXTERNO, antes de criar uma nova matrícula, se a pessoa já possui alguma. A DTI deve questionar ao solicitante se ele precisa de uma matrícula (em alguns casos, servidores podem solicitar uma nova matricula temporária para acessar sistemas em locais diferentes de sua lotação original. Em alguns casos, o sistema exige que a pessoa esteja em uma lotação especifica). | UFV (dti/ppo/dgi/pgp) criar mais de uma matricula, de forma desnecessária, para um mesmo usuário | Desconhecimento por parte de quem cria as matrículas quanto a consultas no sistema para ver se a pessoa já possui uma matrícula. Desconhecimento por parte de quem cria as matrículas das regras para a criação de uma nova matrícula. | Fica difícil para os usuários gerenciarem quais permissões possuem em qual matrícula ou com qual matrícula ela possui acesso a qual sistema em que perfil. Usuários ficarem com muitas matrículas. Usuários terem matrículas que não deveriam ter. | Operacional | Média | 3 | Moderado | 3 | 9 | Risco Alto | Reduzir | ||||||||
19 | ||||||||||||||||||||||||
20 | DTI015.R7 | O pedido de acesso não ter sido feito por uma chefia. O próprio solicitante perdir acessos sem a anunencia da chefia responsável. | Pessoas | Fraqueza (Interna) | O responsável por dar o acesso deve conferir se o pedido foi feito por uma chefia. A DTI deve implementar uma maneira fácil de checar isso. | UFV (dti/ppo/dgi/pgp) liberar acessos de um usuário a um sistema sem a anunência da chefia | A Chefia não saber que deve ser ela quem deve pedir acesso para seu subordinados O solicitante não saber que a chefia deve ser quem deve pedir acesso para seu subordinados. | Pessoas não autorizadas por gestores (chefias) terem acesso a sistemas importantes da UFV e atuarem de forma prejudicial nos sistemas. Pessoas não capacitadas, etc. É necessário ter um responsável por cada usuário (no caso, as chefias).. | Operacional | Média | 3 | Moderado | 3 | 9 | Risco Alto | Reduzir | ||||||||
21 | ||||||||||||||||||||||||
22 | DTI015.R8 | Uma solicitação de permissão em um sistema administrativo ter sido pedido para um terceirizado quando a função pela qual ele foi contratado na UFV não necessita de acesso ao sistema. A UFV ter cadastrado a pessoa no sistema, mesmo sem compatibilidade com a função exercida. | Pessoas | Fraqueza (Interna) | A DGI deve conferir com atenção qual a função do terceirizado e qual o acesso está sendo pedido. As permissões aos terceirizados deve ser feito de forma temporária, ou seja, devem ser removidas de tempos em tempos. Chefe de contratos (DGI) pode fornecer aos setores que realizam cadastros (DGI/DTI,...) uma lista de funcionários TERCEIRIZADOS que possuem permissão para acessar alguns sistemas muito utilizados como o SEI. Dessa forma, antes de realizar por exemplo um cadastro do colaborador no SEI, o administrador poderia verificar nessa lista se o terceirizado é compativel ou não com aquela utilização. | Chefia de Contratos da UFV (DGI) liberar a permissão de acesso a um terceirizado que não poderia ter acesso ao sistema ou a funcionalidade por causa da função para a qual o terceirizado foi contratado. | Falta de checagem ou checagem incorreta pela DGI na conferência da função do terceirizado em comparação para qual sistema ou funcionalidade ele quer acesso. Administrador do SIstema ou DTI não solicitar ao chefe de contratos (DGI) a permissão do tercerizado. | O acesso ser dado a um terceirizado que não podia ter acesso. Vinculo empregatício gerado. Multas, etc. | Conformidade ou Legal | Alta | 4 | Catastrófico | 5 | 20 | Risco Crítico | Evitar | ||||||||
23 | ||||||||||||||||||||||||
24 | DTI015.R9 | Nos acessos temporários, a permissão não ter sido retirada automaticamente | Tecnologia | Fraqueza (Interna) | Investigar e criar sistemas redunantes para que a automação funcione sem erros, se necessário. Conferir no log se o processo que retira as permissões foi executado com sucesso. | A aplicação TECNOLOGICA que controla os prazos de acesso não ter retirado a permissão automaticamente nos acessos temporários | Falha tecnológica como: ausência de energia, processador cheio, memória cheia, alteração em horário do servidor… | O acesso continua permitido quando deveria ter sido encerrado, ou seja, o acesso aos sistemas e informações passa a ser indevido | Imagem ou Reputação | Baixa | 2 | Moderado | 3 | 6 | Risco Moderado | Compartilhar ou Transferir | ||||||||
25 | ||||||||||||||||||||||||
26 | DTI015.R10 | O responsável por dar acesso a determinado sistema pode ter mudado e não houve comunicação do fato junto a DTI. Nesses casos, podem atrasar atendimentos etc. | Processo | Fraqueza (Interna) | De tempos em tempos, rever os responsáveis por dar o acesso na UFV. | O responsável por dar acesso a um sistema deixar de ser administrador do sistema e não comunicar a DTI a mudança de responsabilidade. | Desconhecimento / esquecimento dos administradores dos sistemas quanto a necessidade de informar a DTI que outra pessoa assumiu a funcional. Mudanças no quadro pessoal da UFV, aposentadoria, mudança de lotação, mudança de função. | Demora no atendimento do pedido de acesso | Operacional | Média | 3 | Pequeno | 2 | 6 | Risco Moderado | Compartilhar ou Transferir | ||||||||
27 | ||||||||||||||||||||||||
28 | DTI015.R11 | O sistema que gerencia o acesso (Guardião) estar fora do ar. Quando isso ocorre, todos os sistemas da UFV ficam impossibilitados de serem acessaados. | Tecnologia | Fraqueza (Interna) | A DTI deve ter uma redundância do sistema de modo que se um Guaridão caia, o outro assuma. | O sistema guardião "estar fora do ar" e a UFV não ter um sistema de redundância ou o sistema não funcionar. | Falha tecnológica como: ausência de energia, processador cheio, memória cheia, nova versão instável, problemas na rede. | Demora no atendimento do pedido de acesso e usuário não conseguir realizar alguma tarefa laboral O responsável pelo acesso não conseguir dar ou remover o acesso de um usuário porque o Guardião está fora ar | Operacional | Baixa | 2 | Grande | 4 | 8 | Risco Alto | Reduzir | ||||||||
29 | ||||||||||||||||||||||||
30 | DTI015.R12 | O sistema que gerencia o acesso (Guardião) perder as informações armazenadas | Tecnologia | Fraqueza (Interna) | A DTI deve ter uma redundância dos dados | Banco de dados do sistema guardião ser apagado e não ter backup | Hacker, erro da equipe de TI, incêndio ou outro dano físico nos servidores. | Os usuários ficarem sem acesso aos sistemas e não conseguirem realizar suas tarefas laborais. Gerar um retrabalho gigantesco para cadastrar todos novamente. etc. | Operacional | Muito Baixa | 1 | Catastrófico | 5 | 5 | Risco Moderado | Compartilhar ou Transferir | ||||||||
31 | ||||||||||||||||||||||||
32 | DTI015.R13 | Morosidade no fornecimento de acesso/permissão a um usuário | Processo | Fraqueza (Interna) | O responsável pelo acesso deve priorizar esse tipo de demanda. Deve haver mais de uma pessoa com permissão de fornecer acesso à determinado sistema | O responsável por liberar acessos não conseguir dar o acesso de um usuário em tempo hábil | Não priorização da tarefa, sobrecarga de serviço, férias, licença do responsável pelo acesso. O responsaveis não terem metricas quanto ao tempo ideal de atendimento. Exemplo: atender em até 3 dias. | Os usuários ficarem sem acesso e não conseguirem realizar suas tarefas laborais | Imagem ou Reputação | Média | 3 | Moderado | 3 | 9 | Risco Alto | Reduzir | ||||||||
33 | ||||||||||||||||||||||||
34 | ||||||||||||||||||||||||
35 | ||||||||||||||||||||||||
36 | ||||||||||||||||||||||||
37 | ||||||||||||||||||||||||
38 | ||||||||||||||||||||||||
39 | ||||||||||||||||||||||||
40 | Art. 14. (Resolução nº 07/2021/Consu). A UFV adota as seguintes Tipologias dos Riscos: | |||||||||||||||||||||||
41 | ||||||||||||||||||||||||
42 | I - Imagem ou reputação do órgão: eventos que podem comprometer a confiança da sociedade em relação à capacidade da UFV em cumprir sua missão institucional, interferindo diretamente na imagem do órgão; | |||||||||||||||||||||||
43 | II - Financeiros ou orçamentários: eventos que podem comprometer a capacidade da UFV de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária e financeira; | |||||||||||||||||||||||
44 | III - Legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades da UFV; e | |||||||||||||||||||||||
45 | IV - Operacionais: eventos que podem comprometer as atividades da unidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas, afetando o esforço da gestão quanto à eficácia e eficiência dos processos organizacionais. | |||||||||||||||||||||||
46 | ||||||||||||||||||||||||
47 | Três pilares de uma organização (tente identificar fatores de risco em cada pilar): | |||||||||||||||||||||||
48 | ||||||||||||||||||||||||
49 | (i) Pessoas: São os responsáveis por pensar, planejar e executar todas as atividades da organização. | |||||||||||||||||||||||
50 | (ii) Tecnologia: Infraestrutura de rede local, servidores, estações de trabalho, telefonia, equiapamentos, softewares, bancos de dados, ... | |||||||||||||||||||||||
51 | (iii) Processos: Qualquer agrupamento de atividades de uma organização que tem por objetivo desenvolver e entregar produtos ou serviços ao cliente (usuário final) interno ou externo. | |||||||||||||||||||||||
52 | ||||||||||||||||||||||||
53 | - Atividade: é sempre executada por um agente (usuário ou sistema). Atividade sempre consume algum tipo de recurso (ex.: tempo). Toda atividade deve ter um prazo de entrega. | |||||||||||||||||||||||
54 | ||||||||||||||||||||||||
55 | Obs.: Se a solução de um problema for alterar o processo, então o fator de risco será relacionado ao processo. Se a solução envolver capacitação de usuários, será relacionado a pessoas. Se envolver aquisições de TI etc., será tecnologia. | |||||||||||||||||||||||
56 | ||||||||||||||||||||||||
57 | Fraquezas ou Ameaças: | |||||||||||||||||||||||
58 | ||||||||||||||||||||||||
59 | (i) Fraquezas: - Os processos são confiáveis? - Quais são as falhas que impactam os processos ou a organização? - Há problemas no produto ou serviço que impactam negativamente a organização? | |||||||||||||||||||||||
60 | ||||||||||||||||||||||||
61 | (ii) Ameaças: - O que pode vir a influenciar negativamente o processo ou a organização? - Há alguma questão pontual, sazonal ou de legislação que não favoreça o processo ou a organização? - Há outras organizações ou ações políticas que possam prejudicar o processo ou a organização? | |||||||||||||||||||||||
62 | ||||||||||||||||||||||||
63 | ||||||||||||||||||||||||
64 | Exemplo de Indicadores que Afetam um processso: | |||||||||||||||||||||||
65 | - Tempo Total de Tramitação do Processo? | |||||||||||||||||||||||
66 | - Quantidade de Entregas por período de tempo (ano ....)? | |||||||||||||||||||||||
67 | - Nível de Segurança Jurídica (qualitativo)? | |||||||||||||||||||||||
68 | - Valor Arrecado por período de tempo (ano, ...)? | |||||||||||||||||||||||
69 | ? | |||||||||||||||||||||||
70 | ||||||||||||||||||||||||
71 | ||||||||||||||||||||||||
72 | ||||||||||||||||||||||||
73 | ||||||||||||||||||||||||
74 | ||||||||||||||||||||||||
75 | ||||||||||||||||||||||||
76 | ||||||||||||||||||||||||
77 | ||||||||||||||||||||||||
78 | ||||||||||||||||||||||||
79 | ||||||||||||||||||||||||
80 | ||||||||||||||||||||||||
81 | ||||||||||||||||||||||||
82 | ||||||||||||||||||||||||
83 | ||||||||||||||||||||||||
84 | ||||||||||||||||||||||||
85 | ||||||||||||||||||||||||
86 | ||||||||||||||||||||||||
87 | ||||||||||||||||||||||||
88 | ||||||||||||||||||||||||
89 | ||||||||||||||||||||||||
90 | ||||||||||||||||||||||||
91 | ||||||||||||||||||||||||
92 | ||||||||||||||||||||||||
93 | ||||||||||||||||||||||||
94 | ||||||||||||||||||||||||
95 | ||||||||||||||||||||||||
96 | ||||||||||||||||||||||||
97 | ||||||||||||||||||||||||
98 | ||||||||||||||||||||||||
99 | ||||||||||||||||||||||||
100 | ||||||||||||||||||||||||