1 | Grupo | ID | Objetivos | Responsável | Data de verificação / atualização | Componentes do Risco | Categoria de Risco | Natureza do Risco | Avaliação do Nível de Risco | Nota Vulnerabilidade | Grau de Vulnerabilidade | Resposta | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2 | Nº | Evento de risco | Causa | Efeito/Consequência | Estratégico | Operacional | Imagem/ Reputação | Integridade | Legal | Probabilidade | Grau de impacto | Nível | Classificação do Nível de Risco | |||||||||
3 | 1.6. Infraestrutura de TI e Equipamentos | 1.6.1. | Disponibilizar Infraestrutura de processamento e armazenamento de dados para suportar os sistemas e serviços digitais | SGV/DGTI | 2/6/2022 | 1 | - Indisponibilidade ou desempenho inadequado dos sistemas de informação | - Falha em procedimento operacional - Falha em ativo de TI - Falha na infraestrutura do datacenters | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | Não Orçamentário/Financeiro | 50 | 84 | 4200 | Alto | 60 | Médio | Mitigar | |||||
4 | 1.6. Infraestrutura de TI e Equipamentos | 1.6.2. | Disponibilizar Infraestrutura de Rede e Telecomunicações para atender a demanda de serviços de conectividade institucionais | SGV/DGTI | 2/6/2022 | 2 | - Indisponibilidade ou desempenho inadequado dos serviços de rede e telecomunicação | - Falha em procedimento operacional - Falha em ativo de TI - Falha na infraestrutura do datacenter - Falha na infraestrutura de salas de telecomunicações das unidades organizacionais atendidas pelos serviços | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | Não Orçamentário/Financeiro | 25 | 77 | 1925 | Médio | 60 | Médio | Mitigar | |||||
5 | 1.6. Infraestrutura de TI e Equipamentos | 1.6.3. | Gerir a Segurança da Informação e Privacidade de Dado em conformidade com a legislação e boas práticas | CIGOV | 2/6/2022 | 3 | - Violação dos sistemas de informação ou vazamento de dados | - Desconhecimento dos procedimentos de segurança da informação - Vulnerabilidade nos sistemas de informação | - Perda de confiança pela comunidade interna e externa - Perda do direito processamento de dados | Não Orçamentário/Financeiro | 50 | 94 | 4700 | Alto | 80 | Alto | Mitigar | |||||
6 | 1.6. Infraestrutura de TI e Equipamentos | 1.6.4. | Realizar a manutenção corretiva e evolutiva dos Sistemas de Informação Gerenciais da UFLA em conformidade com o processo de s software instituciional | SGV/DGTI | 2/6/2022 | 4 | - Não atendimento de demandas de TI estratégicas para a governança e gestão da UFLA | - Falhas na priorização pelos responsáveis das áreas de negócio em relação às necessidades de informação que apresentam concorrência de recursos de TI (demandas totais existentes na UFLA) - Indisponibilidade de recursos humanos devido à quantidade de demandas em relação ao tamanho do quadro de profissionais da Coordenadoria de Sistemas de Informação/DGTI - Grande concorrência de recursos de TI para atendimento às demandas das áreas de negócio da UFLA ao mesmo tempo | - Iniciativas de desenvolvimento de sistemas avulsos por unidades organizacionais fora do órgão central de TI da UFLA, sem garantia de controle de segurança adequado, e sem a supervisão e ciência do órgão central de TI da instituição
- Falta de satisfiação das áres de negócio com os serviços prestados pela TI - Equipe de TI sobrecarregada - Permanência de processos institucionais não informatizados | Não Orçamentário/Financeiro | 50 | 64 | 3200 | Alto | 60 | Médio | Compartilhar | |||||
7 | 1.6. Infraestrutura de TI e Equipamentos | 1.6.5. | Manter o parque computacional (equipamentos de TI) funcional e atualizado conforme demanda institucional | SGV/DGTI | 2/6/2022 | 5 | - Funcionamento inadequado dos equipamentos de TI | - Ativo de TI obsoleto - Demanda superior à capacidade suportada - Planejamento inadequado da aquisição ou contratação de soluções de TIC - Invetário de ativos de TI (hardware e software) desatualizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviablizando a continuidade dos trabalhos | Não Orçamentário/Financeiro | 50 | 30 | 1500 | Médio | 80 | Alto | Mitigar | |||||
8 | ||||||||||||||||||||||
9 | ||||||||||||||||||||||
10 | ||||||||||||||||||||||
11 | ||||||||||||||||||||||
12 | ||||||||||||||||||||||
13 | ||||||||||||||||||||||
14 | ||||||||||||||||||||||
15 | ||||||||||||||||||||||
16 | ||||||||||||||||||||||
17 | ||||||||||||||||||||||
18 | ||||||||||||||||||||||
19 | ||||||||||||||||||||||
20 | ||||||||||||||||||||||
21 | ||||||||||||||||||||||
22 | ||||||||||||||||||||||
23 | ||||||||||||||||||||||
24 | ||||||||||||||||||||||
25 | ||||||||||||||||||||||
26 | ||||||||||||||||||||||
27 | ||||||||||||||||||||||
28 | ||||||||||||||||||||||
29 | ||||||||||||||||||||||
30 | ||||||||||||||||||||||
31 | ||||||||||||||||||||||
32 | ||||||||||||||||||||||
33 | ||||||||||||||||||||||
34 | ||||||||||||||||||||||
35 | ||||||||||||||||||||||
1 | Número | 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
2 | Evento | - Indisponibilidade ou desempenho inadequado dos sistemas de informação | |||||||||
3 | Classificação do Nível de Risco | Alto | |||||||||
4 | Grau de vulnerabilidade | Médio | |||||||||
5 | Resposta | Mitigar | |||||||||
6 | Ocorrência do Evento | Não | |||||||||
7 | Data da última atualização | ||||||||||
8 | Responsável | ||||||||||
9 | |||||||||||
10 | Causa | Medidas de Preventivas | Efeito | Medidas de Mitigação | |||||||
11 | Ação | Responsável | Prazo | Dias restantes/ Realizado | Ação a ser implementada | Responsável | Prazo | Dias restantes/ Realizado | |||
12 | - Falha em procedimento operacional | - Gestão de incidentes em sistemas de informação | DGTI | Continuo | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | - Acionar instância de redundância do serviço de TI | DGTI | |||
13 | - Falha em ativo de TI | - Monitoramento dos serviços de TI | DGTI | Continuo | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | - Restaurar ou criar ambiente temporário para continuidade do serviço de TI | DGTI | |||
14 | - Falha na infraestrutura do datacenter | - Monitoramento dos sistemas de controle do DataCenter | DGTI | Continuo | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | - Aprimoramento da gerência de configuração e dos procedimentos gestão de mudanças | DGTI | |||
15 | - Checklist de manutenção semanal
| DGTI | 15/07/2022 | -195 | |||||||
16 | - Realizar contrato de manutenção com empresa especializada | DGTI | 30/12/2022 | -27 | |||||||
17 | |||||||||||
18 | |||||||||||
19 | Número | 2 | |||||||||
20 | Evento | - Indisponibilidade ou desempenho inadequado dos serviços de rede e telecomunicação | |||||||||
21 | Classificação do Nível de Risco | Médio | |||||||||
22 | Grau de vulnerabilidade | Médio | |||||||||
23 | Resposta | Mitigar | |||||||||
24 | Ocorrência do Evento | Não | |||||||||
25 | Data da última atualização | ||||||||||
26 | Responsável | ||||||||||
27 | |||||||||||
28 | Causa | Medidas de Preventivas | Efeito | Medidas de Mitigação | |||||||
29 | Ação | Responsável | Prazo | Dias restantes/ Realizado | Ação a ser implementada | Responsável | Prazo | Dias restantes/ Realizado | |||
30 | - Falha em procedimento operacional | - Gestão de incidentes em sistemas de informação - Desenvolver documentar processo para gestão de problemas e operação de ativos | DGTI | Contínuo | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | - Acionamento do ambiente de redundância | DGTI | |||
31 | - Falha em ativo de TI | - Monitoramento dos serviços de TI - Monitoramento de SLA dos ativos - Acionar comissão de processo sancionatório | DGTI | Contínuo | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | - Aprimoramento da gerência de configuração, gestão de mudanças e dos procedimentos de administração de redes | DGTI | |||
32 | - Interrupção ou atraso de atividades nas unidades organizacionais, inviabilizando a continuidade dos trabalhos e prestacao de serviços à comunidade | - Manter ambiente de redundância operante | DGTI | ||||||||
33 | |||||||||||
34 | |||||||||||
35 | |||||||||||
36 | Número | 3 | |||||||||
37 | Evento | - Violação dos sistemas de informação ou vazamento de dados | |||||||||
38 | Classificação do Nível de Risco | Alto | |||||||||
39 | Grau de vulnerabilidade | Alto | |||||||||
40 | Resposta | Mitigar | |||||||||
41 | Ocorrência do Evento | Não | |||||||||
42 | Data da última atualização | ||||||||||
43 | Responsável | ||||||||||
44 | |||||||||||
45 | Causa | Medidas de Preventivas | Efeito | Medidas de Mitigação | |||||||
46 | Ação | Responsável | Prazo | Dias restantes/ Realizado | Ação a ser implementada | Responsável | Prazo | Dias restantes/ Realizado | |||
47 | - Desconhecimento dos procedimentos de segurança da informação | - Incentivar a sensibilização da comunidade acadêmica sobre procedimentos de segurança da informação e LGPD | CIGOV | Continuo | Realizado | - Perda de confiança pela comunidade interna e externa - Perda do direito processamento de dados | - Notificar Autoridade Nacional de Proteção de Dados (ANPD) e pessoas afetadas pelo incidente - Divulgar atuação para prevenir nova ocorrência do incidente e compensação dos afetados | CIGOV | |||
48 | - Vulnerabilidade nos sistemas de informação | - Auditorias de segurança e testes de intrusão nos sistemas de informação | DGTI | Continuo | Realizado | - Perda de confiança pela comunidade interna e externa - Perda do direito processamento de dados | - Acordar com a ANPD o restabelecimento dos serviços de processamento de dados | CIGOV | |||
49 | Vulnerabilidades nos procedimentos operacionais padrão e arquivamentos de documentos das unidades organizacionais. | - Incentivar a sensibilização da comunidade acadêmica sobre procedimentos de segurança da informação e LGPD | CIGOV | Continuo | Realizado | ||||||
50 | |||||||||||
51 | |||||||||||
52 | |||||||||||
53 | Número | 4 | |||||||||
54 | Evento | - Não atendimento de demandas de TI estratégicas para a governança e gestão da UFLA | |||||||||
55 | Classificação do Nível de Risco | Alto | |||||||||
56 | Grau de vulnerabilidade | Médio | |||||||||
57 | Resposta | Compartilhar | |||||||||
58 | Ocorrência do Evento | Não | |||||||||
59 | Data da última atualização | ||||||||||
60 | Responsável | ||||||||||
61 | |||||||||||
62 | Causa | Medidas de Preventivas | Efeito | Medidas de Mitigação | |||||||
63 | Ação | Responsável | Prazo | Dias restantes/ Realizado | Ação a ser implementada | Responsável | Prazo | Dias restantes/ Realizado | |||
64 | - Falhas na priorização pelos responsáveis das áreas de negócio em relação às necessidades de informação que apresentam concorrência de recursos de TI (demandas totais existentes na UFLA) | Aprimoramento na priorização das necessidades conforme gravidade, urgência e tendência | CIGOV | 01/07/2022 | -209 | - Iniciativas de desenvolvimento de sistemas avulsos por unidades organizacionais fora do órgão central de TI da UFLA, sem garantia de controle de segurança adequado, e sem a supervisão e ciência do órgão central de TI da instituição
- Falta de satisfiação das áres de negócio com os serviços prestados pela TI - Equipe de TI sobrecarregada - Permanência de processos institucionais não informatizados | Requisitante da solução ou recurso de TI deverá formalizar sua demanda junto ao CIGOV para priorização. | Solicitante da solução ou recurso de TI / CIGOV | |||
65 | - Indisponibilidade de recursos humanos devido à quantidade de demandas em relação ao tamanho do quadro de profissionais da Coordenadoria de Sistemas de Informação/DGTI | Avaliação da capacidade operacional da equipe de TI Aprimoramento na priorização das necessidades conforme gravidade, urgência e tendência | PROPLAG/DGTI | Continuo | Realizado | - Iniciativas de desenvolvimento de sistemas avulsos por unidades organizacionais fora do órgão central de TI da UFLA, sem garantia de controle de segurança adequado, e sem a supervisão e ciência do órgão central de TI da instituição
- Falta de satisfiação das áres de negócio com os serviços prestados pela TI - Equipe de TI sobrecarregada - Permanência de processos institucionais não informatizados | Requisitante da solução ou recurso de TI deverá formalizar sua demanda junto ao CIGOV para priorização. | Solicitante da solução ou recurso de TI / CIGOV | |||
66 | - Grande concorrência de recursos de TI para atendimento às demandas das áreas de negócio da UFLA ao mesmo tempo | Aprimoramento na priorização das necessidades conforme gravidade, urgência e tendência | PROPLAG/DGTI | Continuo | Realizado | - Iniciativas de desenvolvimento de sistemas avulsos por unidades organizacionais fora do órgão central de TI da UFLA, sem garantia de controle de segurança adequado, e sem a supervisão e ciência do órgão central de TI da instituição
- Falta de satisfiação das áres de negócio com os serviços prestados pela TI - Equipe de TI sobrecarregada - Permanência de processos institucionais não informatizados | Requisitante da solução ou recurso de TI deverá formalizar sua demanda junto ao CIGOV para priorização. | Solicitante da solução ou recurso de TI / CIGOV | |||
67 | |||||||||||
68 | |||||||||||
69 | |||||||||||
70 | Número | 5 | |||||||||
71 | Evento | - Funcionamento inadequado dos equipamentos de TI | |||||||||
72 | Classificação do Nível de Risco | Médio | |||||||||
73 | Grau de vulnerabilidade | Alto | |||||||||
74 | Resposta | Mitigar | |||||||||
75 | Ocorrência do Evento | Não | |||||||||
76 | Data da última atualização | ||||||||||
77 | Responsável | ||||||||||
78 | |||||||||||
79 | Causa | Medidas de Preventivas | Efeito | Medidas de Mitigação | |||||||
80 | Ação | Responsável | Prazo | Dias restantes/ Realizado | Ação a ser implementada | Responsável | Prazo | Dias restantes/ Realizado | |||
81 | - Ativo de TI obsoleto | - Planejamento de aquisição ou contração de ativos de TI | DGTI | 31/12/2021 | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviablizando a continuidade dos trabalhos | - Acionar instância de redundância do serviço de TI | DGTI | |||
82 | - Demanda superior à capacidade suportada | - Planejamento de aquisição ou contração de ativos de TI - Escalonamento e prioziação de provimento de serviço | DGTI | 31/12/2021 | Realizado | - Interrupção ou atraso de atividades nas unidades organizacionais, inviablizando a continuidade dos trabalhos | - Restaurar ou criar ambiente temporário para continuidade do serviço de TI | DGTI | |||
83 | - Planejamento inadequado da aquisição ou contratação de soluções de TIC | - Aprimoramento do proceso de aquisição ou contratação de soluções de TIC' | DGTI | 31/12/2021 | Realizado | ||||||
84 | - Inventário de ativos de TI (hardware e software) desatualizado | - Aprimorar solução de inventário de ativos de TI - Consolidar processo de inventário de ativos de TI | DGTI | 30/12/2022 | -27 | ||||||