chu de são joão - plano execução plano prevenção riscos...

Plano de Prevenção de Riscos de Gestão,

incluindo os de Corrupção e Infrações Conexas

2018r e v i s ã o

C E N T R O H O S P I T A L A R U N I V E R S I T Á R I O D E S Ã O J O Ã O · P O R T O

SAÚDE

REPÚBLICA PORTUGUESA

2 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018

ÍNDICE

Índice de Abreviaturas 3

1. Enquadramento do Plano 4

2. Caracterização da Instituição, Organograma

e Identificação dos Responsáveis 5

3. Identificação das áreas e atividades, dos riscos

de corrupção e infrações conexas, da qualificação

da frequência dos riscos, das medidas

e dos responsáveis 8

3.1. Conselho de Administração /

Pessoal Dirigente 9

3.2. Serviço de Aprovisionamento 13

3.3. Serviço de Gestão de Recursos

Humanos 15

3.4. Serviços Financeiros 17

3.5. Cobrança de taxas moderadoras/

Atribuição Isenções 19

3.6. Serviços Hoteleiros 20

3.7. Serviços Farmacêuticos 23

3.8. Serviço de Controlo de Gestão 24

3.9. Serviço de Instalações e Equipamentos 25

3.10. Serviço de Sistemas e Tecnologias

de Informação e Comunicação 26

4. Controlo e Monitorização do Plano 41

5. Gestão de Conflitos de Interesses 42

3Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018

ÍNDICE DE ABREVIATURAS

CAM Centro de Ambulatório

CHUSJ Centro Hospitalar Universitário de São João

PPRGCIC Plano de Prevenção de Riscos de Gestão,

incluindo os de Corrupção

e Infrações Conexas

SA Serviço de Aprovisionamento

SF Serviços Financeiros

SSI Serviço de Gestão de Informação

SGRH Serviço de Gestão de Recursos Humanos

SIE Serviço de Instalações e Equipamentos


O Conselho de Prevenção da Corrupção (CPC), criado pela Lei n.º

54/2008, de 4 de Setembro, é uma entidade administrativa inde-

pendente, que funciona junto do Tribunal de Contas e desenvolve

uma atividade de âmbito nacional no domínio da prevenção da

corrupção e infrações conexas.

No âmbito da sua atividade, o CPC aprovou as Recomendações

nº1/2009 de 1 de Julho e nº 1/2010 de 7 de Abril relativa a “Pla-

nos de gestão de riscos de corrupção e infrações conexas”, que

incidem sobre a necessidade de “os dirigentes máximos de en-tidades gestoras de dinheiros, valores e patrimónios públicos, suas destinatárias, adotarem e divulgarem planos de gestão de riscos e infrações conexas”, assim como sobre a pertinência

de procederem à sua publicitação nomeadamente no respetivo

sítio da Internet.

Por outro lado, o Decreto-Lei n.º 18/2017, de 10 de fevereiro, que

aprova os Estatutos dos Hospitais EPE, no seu Artigo 19º do Ane-

xo II estabelece que o plano de gestão de riscos de corrupção e

infrações conexas e os respetivos relatórios anuais de execução

são aprovados e submetidos pelo conselho de administração ao

Conselho de Prevenção da Corrupção e aos membros do Gover-

no responsáveis pelas áreas das finanças e da saúde.

Tais planos devem conter, nomeadamente, os seguintes elementos:

a) Identificação, relativamente a cada área ou departamento,

dos riscos de corrupção e infrações conexas;

b) Com base na identificação dos riscos, identificação das me-

didas adotadas que previnam a sua ocorrência (por exemplo,

mecanismos de controlo interno, segregação de funções, defi-

nição prévia de critérios gerais e abstratos, designadamente na

concessão de benefícios públicos e no recurso a especialistas

externos, nomeação de júris diferenciados para cada concurso,

programação de ações de formação adequada, etc.);

c) Definição e identificação dos vários responsáveis envolvidos

na gestão do plano, sob a direção do órgão dirigente máximo do

organismo;

d) Elaboração anual de um relatório sobre a execução do plano.

Tendo em atenção as considerações antecedentes, consciente

de que a corrupção e as infrações conexas são um sério obstácu-

lo ao normal funcionamento das instituições, prejudicando a se-

riedade das relações entre as Instituições e os cidadãos, e, obs-

tando ao desejável desenvolvimento das economias e ao normal

funcionamento dos mercados, o Centro Hospitalar Universitário

de São João, E.P.E. apresenta o seu PLANO DE PREVENÇÃO DE

RISCOS DE GESTÃO, INCLUINDO OS DE CORRUPÇÃO E IN-

FRAÇÕES CONEXAS, de acordo com a seguinte estrutura:

a) Caracterização da Entidade e o respetivo Organograma;

b) Identificação das áreas e atividades, dos riscos de corrupção

e infrações conexas, da qualificação da frequência dos riscos,

das medidas e dos responsáveis;

c) Controlo e monitorização do Plano.

Neste âmbito, e considerando a aprovação do Plano de Gestão

de Riscos de Corrupção e Infrações Conexas, na sua versão de

2015, propõe-se agora a sua revisão, para que o Plano seja alarga-

do a novas Áreas/Serviços.

Tendo em conta as indicações fornecidas em normas internacio-

nalmente aceites sobre gestão do risco, nomeadamente o “En-terprise Risk Management – anintegrated Framework” (2004),

do COSO, opta-se, deste modo, por estabelecer um plano mais

amplo, em contraponto com o “mínimo” recomendado pelo Con-

selho de Prevenção da Corrupção, abrangendo os riscos de ges-

tão mais relevantes, onde naturalmente se incluem, com papel

relevante, os de corrupção e infrações conexas.

1. ENQUADRAMENTO DO PLANO


2. CARATERIZAÇÃO DA INSTITUIÇÃO, ORGANOGRAMA E IDENTIFICAÇÃO DOS RESPONSÁVEISESTRUTURA

O Centro Hospitalar Universitário de São João, abreviadamente

designado por CHUSJ, é uma pessoa coletiva de direito público

com a natureza de entidade empresarial dotada de autonomia

administrativa, financeira e patrimonial, nos termos do regime

jurídico do sector público empresarial tendo sido criado pelo

Decreto-Lei n.º 30/2011, de 2 de março. O CHUSJ está inscrito

na Conservatória do Registo Comercial do Porto com o número

individual de pessoa coletiva 509821197 e tem a sua sede na Ala-

meda Professor Hernâni Monteiro, código postal 4200-319, na

cidade do Porto.

O CHUSJ é constituído por duas unidades hospitalares:

• O Polo do Porto (Hospital de São João);

• O Polo de Valongo (Hospital Nossa Senhora da Conceição

de Valongo).

Em conformidade com o estipulado nos Estatutos, são órgãos

do CHUSJ:

a) O Conselho de Administração;

b) O Conselho Fiscal;

c) O Conselho Consultivo.

Em Fevereiro de 2018, foi homologado pela Senhora Secretária

de Estado o novo Regulamento Interno do novo Centro Hospi-

talar, cuja revisão obedeceu aos seguintes pressupostos funda-

mentais:

• A consolidação e o reforço do modelo de gestão intermédia

desconcentrada como estratégia para maximizar a partilha

de recursos e a criação de sinergias para atingir os mais ele-

vados níveis de eficiência;

• O reforço do processo de contratualização interna como

instrumento para garantir a melhor aplicação dos recursos

financeiros disponíveis tendo em vista o equilíbrio económi-

co e a sustentabilidade do Centro Hospitalar Universitário

de São João.

MISSÃO E VISÃO

O CHUSJ tem como missão prestar os melhores cuidados de

saúde, com elevados níveis de competência, qualidade e rigor,

fomentando a formação pré e pós-graduada e a investigação,

respeitando sempre o princípio da humanização e promovendo o

orgulho e sentido de pertença de todos os profissionais.

A visão do CHUSJ é ser um exemplo na prestação de cuidados

de saúde a nível nacional e internacional, com uma perspetiva de

crescimento sustentável, comprometimento, sentido de mudan-

ça e diferenciação, ambicionando a criação de valor para todos

os seus públicos, reforçando o estatuto de referência no setor da

saúde.

RECURSOS HUMANOS

No final de dezembro do ano de 2017, o CHUSJ contava com 5.672

profissionais com vínculo à instituição, que se distribuíam pelos

seguintes grupos profissionais.

Na categoria – Outros – estão incluídos os seguintes grupos pro-

fissionais: Pessoal de Informática; Pessoal Dirigente; Pessoal

Docente; Pessoal Técnico Superior de Saúde; Técnico Superior;

entre outros.

No que diz respeito ao vínculo à instituição associado aos profis-

sionais do CHUSJ, os profissionais com CIT – Contrato Individual

de Trabalho ultrapassaram os 48%, sendo desta forma o vínculo

predominante, seguido, do CTFP – Contrato de Trabalho em Fun-

ções Públicas, representando, 42,05%.

Pessoal de Enfermagem 38%Pessoal Médico 16%TDT’s 6%Assistente Operacional 20%Assistente Técnico 7%Pessoal em Formação Pré Carreira 9%Outros 4%

Distribuição dos profissionais por grupo

Fonte: RHV-SAG


As tipologias de contratos incluídas na categoria “Outros” são as

seguintes: Cedência de Interesse Público; Cedência Ocasional;

Comissão de Serviço Privada; Contrato Trab. Funções Públicas a

Termo Resolutivo; Mobilidade Interna - Artº 22-A do SNS.

Os profissionais do CHUSJ são maioritariamente do género fe-

minino (73%) e a faixa etária com maior peso no total é a que se

situa entre os 30 e 40 anos (35%), conforme se pode constatar

no gráfico seguinte.

Quanto às habilitações académicas da população profissional do

CHUSJ, podemos verificar no gráfico seguinte que, mais de me-

tade são licenciados (51%).

Distribuição dos profissionais por vínculo

48,11% 42,05% 9,84%

CIT - ContratoIndividual

de Trabalho

CTFP - Contrato de Trabalho em

Funções Públicas

Outros

Fonte: RHV-SAG

Profissionais por faixa etária e género

800

20 -24

30 - 34

40 - 44

50 - 54

60 - 64

70 - 74

N.º de Profissionais

Inte

rval

o et

ário

800600 600400 400200

Masculinos Femininos

2000

Fonte: RHV-SAG

Habilitações Académicas

Licenciatura

Mestrado

Doutoramento

Bacharelato

10 a 12 Anos Escolaridade

4 a 9 Anos Escolaridade

< 4 Anos Escolaridade

51,3%

11,7%

0,4%

10,4%

11,7%

14,3%

0,2%

Fonte: RHV-SAG


ORGANOGRAMA E IDENTIFICAÇÃO DOS RESPONSÁVEIS


O presente Plano toma como referência para a definição do ris-

co, o guião do Conselho de Prevenção e Corrupção (CPC) o qual

estabelece que os riscos devem ser classificados segundo uma

escala de risco (elevado, moderado e baixo) em função de duas

variáveis:

• Probabilidade de ocorrência das situações que comportam

o risco;

• Gravidade das consequências das infrações que pode susci-

tar (impacto previsível).

Neste sentido, estabelecem-se as seguintes classificações:

A - Probabilidade de Ocorrência:

• Elevada: o risco decorre de um processo corrente e frequen-

te da organização.

• Moderada: o risco está associado a um processo esporádico

da organização que se admite que venha a ocorrer ao longo

do ano.

• Baixa: o risco decorre de um processo que apenas ocorrerá

em circunstâncias excecionais.

B - Impacto Previsível:

• Elevado: quando da situação de risco identificada podem

decorrer prejuízos financeiros significativos para o Estado

e a violação grave dos princípios associados ao interesse

público, lesando a credibilidade do organismo e do próprio

Estado.

• Moderado: a situação de risco pode comportar prejuízos fi-

nanceiros para o Estado e perturbar o normal funcionamen-

to do organismo.

• Baixo: a situação de risco em causa não tem potencial para

provocar prejuízos financeiros ao Estado, não sendo as in-

frações suscetíveis de praticas causadoras de danos rele-

vantes na imagem e operacionalidade da instituição.

Da conjugação das duas variáveis é possível estabelecer uma

matriz com três níveis de risco:

Assim, neste terceiro capítulo efetuamos uma análise das várias

áreas consideradas como as mais suscetíveis de gerarem riscos,

procurando a sua identificação, bem como de eventos suscetí-

veis de corrupção e/ou infrações conexas, avaliando, simulta-

neamente, o grau de risco e concluindo com a transcrição das

medidas preventivas que proporcionem o seu controlo efetivo,

tendo simultaneamente em consideração as recomendações

do Conselho de Prevenção da Corrupção que preveem o alarga-

mento do Plano aos cargos de direção de topo, (Recomendação

de 3/2015 do CPC) e do enfoque na área da Contratação Publica

(Recomendação de 1/2015 do CPC).

• Conselho de Administração /Pessoal Dirigente

• Serviço de Aprovisionamento.

• Serviço de Gestão de Recursos Humanos.

• Serviços Financeiros.

• Cobrança de taxas moderadoras/Atribuição Isenções.

• Serviços Hoteleiros

• Serviços Farmacêuticos

• Serviço de Controlo de Gestão

• Serviço de Instalações e Equipamentos

• Serviço de Sistemas e Tecnologias de Informação e Comu-

nicação

3. IDENTIFICAÇÃO DAS ÁREAS E ATIVIDADES, DOS RISCOS DE CORRUPÇÃO E INFRAÇÕES CONEXAS, DA QUALIFICAÇÃO DA FREQUÊNCIA DOS RISCOS, DAS MEDIDAS E DOS RESPONSÁVEIS

MATRIZ DE RISCO

PROBABILIDADE DE OCORRÊNCIA

Elevada Moderada Baixa

IMPACTOPREVISÍVEL

Elevado Elevado Elevado Moderado

Moderado Elevado Moderado Baixa

Baixa Moderado Baixa Baixa


• MISSÃO

Nos dias de hoje exige-se cada vez mais que os Dirigentes de

Topo procurem a realização dos interesses públicos, tomando

as decisões mais adequadas e eficientes para a realização har-

moniosa dos interesses envolvidos, mas que o façam de forma

clara e transparente, permitindo que tais decisões possam ser

sindicáveis pelos cidadãos.

A transparência na gestão pública é umas das principais diretri-

zes para a construção de um ambiente de integridade. Trata-se

de um importante mecanismo de prevenção da corrupção e de

fortalecimento da cidadania.

Assim, todos os dirigentes e chefias, independentemente do res-

petivo grau, de modo consciente e constante, devem:

• Adotar uma conduta incensurável e uma postura irrepreen-

sível;

• Agir com isenção, zelo e em conformidade com a Lei;

• Atuar no respeito das regras deontológicas, pautando-se

pela observância de valores da boa administração e hones-

tidade no desempenho das suas funções;

• Agir de modo a reforçar a confiança dos cidadãos no que diz

respeito à integridade, transparência, ética, imparcialidade

e eficácia do poder público.

• Assumir o compromisso da divulgação da Política de Pre-

venção da Corrupção e implementação do respetivo Plano.

3.1 CONSELHO DE ADMINISTRAÇÃO / PESSOAL DIRIGENTE


Riscos IdentificadosProbabilidade

OcorrênciaImpacto Grau de Risco Medidas Preventivas

Abuso de autoridade delegada. Baixo Moderado Baixo

a) Publicação das delegações de competências/pelouros atribuídos no Relatório de Governo Societário; b) Existência de politica de sanções em caso de violação dos normativos legais, nomeadamente no Estatuto do Gestor Público

Utilização de recursos públicos no exercício da atividade privada.

Baixo Moderado Baixoa) Obrigatoriedade de apresentação de um pedido de autorização de acumulação de funções nos termos definidos no artigo 29º da Lei nº 12 A/2008, de 27 de Fevereiro assim como no Estatuto do Gestor Público b) Existência de politica de sanções em caso de violação dos normativos legais. c) Registo de Assiduidade biométrico transversal a todos os grupos profissionais

Exercício de atividades não autorizadas. Baixo Moderado Baixo

Exercício da atividade privada durante o horário de trabalho.

Baixo Moderado Baixo

Comprometimento da isenção e a imparcialidade exigidas no exercício de funções públicas.

Baixo Moderado Baixoa) Existência de Declaração escrita dos membros do CA em como não existem quaisquer relações susceptíveis de gerar conflitos de interesses com fornecedores, clientes, instituições financeiras ou quaisquer outros parceiros de negócios, nos termos do artigo 52.º do Decreto-Lei n.º 133/2013. b) Existência de Declaração escrita dos membros do CA em como não intervêm nas decisões que envolvam os seus próprios interesses, designadamente na aprovação de despesas por si realizadas, conforme determinado no artigo 51.º do Decreto-Lei n.º 133/2013 ou em outra legislação aplicável.

Não declaração de conflitos de interesse. Baixo Moderado Baixo

Tratamento privilegiado de familiar, amigo, concorrente, fornecedor ou alguém interessado na decisão.


Avaliações de desempenho irregulares favorecendo ou prejudicando trabalhadores.


a) Existência de uma estrutura hierarquizada;b) Definição legal das responsabilidades de dirigentes e chefias. c) No âmbito do SIADAP, existência de um Conselho Coordenador da Avaliação onde são validadas aos avaliações, assim como de uma Comissão Paritária onde se encontram representados os vários grupos profissionais.

Assédio moral ou discriminação contra os trabalhadores, por razões pessoais, sexuais, religiosas, ideológicas ou outras.

Baixo Moderado BaixoExistência de um Regulamento Interno de Comunicação de Irregularidades

• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO

E ATIVIDADES DE CONTROLO




Tomada de medidas lesivas contra os trabalhadores que reportem actos de corrupção, de má conduta ou violação dos deveres profissionais.


a) Existência de sanções em caso de violação do dever de obediência e lealdade;b) Controlo do trabalho de subordinados por dirigentes com bons conhecimentos técnicos;c) Formação de dirigentes e chefias em gestão de pessoal e liderança; d) Existência de mecanismos legais para os trabalhadores reportarem o eventual envolvimento de superiores hierárquios em condutas irregulares.

Dissimulação ou não deteção de conduta corrupta de trabalhadores.


a) Realização de ações de formação de dirigentes, chefias e trabalhadores sobre riscos de corrupção e as formas como os gerir;b) Existência de um Regulamento Interno de Comunicação de Irregularidades

Tratamento privilegiado de pessoas ou processos. Baixo Moderado Baixo a) Existência de regimes legais de incompatibilidades; b) Existência de Declaração escrita dos membros do CA em como não existem quaisquer relações susceptíveis de gerar conflitos de interesses com fornecedores, clientes, instituições financeiras ou quaisquer outros parceiros de negócios, nos termos do artigo 52.º do Decreto-Lei n.º 133/2013.c) Existência de politica de sanções em caso de violação dos normativos legais; d) Existência de uma estrutura hierarquizada com vários niveis de decisão; e) Promoção do registo informático dos conflitos de interesses declarados pelos dirigentes, chefias e trabalhadores; f) Rotatividade do pessoal;g)Promoção da tomada de decisões colegiais.

Favorecimento de concorrente a procedimento, no qual o dirigente, chefia ou trabalhador, seu familiar ou amigo tenha algum interesse na adjudicação.


Favorecimento de um fornecedor, no qual o dirigente, chefia ou trabalhador, seu familiar ou amigo tenha algum interesse execução do contrato.


Favorecimento de um particular, no qual o dirigente, chefia ou trabalhador, ou seu familiar ou amigo tenha algum interesse particular na tramitação do processo ou na tomada da decisão.


Prejuízo de uma pessoa na tramitação de processos, na tomada de decisão ou na execução do contrato.


Influência junto do dirigente, chefia ou do trabalhador para concederem um tratamento de favor ou ignorarem as disposições regulamentares.

Baixo Moderado Baixoa) Existência de mescanismos legais para prevenção em caso de incumprimento; b) Proibição dos dirigentes, chefias e trabalhadores do CHUSJ, EPE pedir ou aceitar dádivas e outros benefícios, excepcionando a aceitação de ofertas ou hospitalidade de reduzido valor, de acordo com a lei vigente c) Definição de procedimentos a serem observados no caso de recebimento de presente;d) Rotatividade do pessoal; e) Promoção da tomada de decisões colegiais;

Suspeita de decisões, tomadas de forma imparcial, terem sido influenciadas pelo recebimento de presentes ou previlégios.





Divulgação, fruto de relações interpessoais privilegiadas, de informações a ex-trabalhadores.

Baixo Moderado Baixoa) Sujeição de todos os dirigentes, chefias e trabalhadores do CHUSJ, EPE ao dever legal de sigilo;b) Existência de uma política de sanções em caso de violação dos regulamentos legais;c) Acesso à informação constante das bases de dados informáticas dependente de um processo de autenticação;d) Existência de um Responsável de Acesso à informação;e) Avaliação e implementação de níveis de segurança e controlo de acesso aos arquivos/registos.

Fornecimento de informação não autorizado a terceiros com o objectivo de obtenção de vantagens pessoais.


Divulgação aos meios de comunicação social de informação susceptível de criar perturbação interna ou externa.


Utilização de dados dos sistemas de informação para fins privados.


Violação dos princípios da igualdade e da proporcionalidade.


a) Criação de níveis de serviço que garantam que situações iguais têm tratamentos iguais;b) Rotatividade de pessoal;c) Promoção da tomada de decisões colegiais.




Aquisição de bens e serviços cujo procedimento concursal não respeite o CCP, nomeadamente, a violação das regras gerais de autorização de despesa, violação dos princípios gerais de contratação, participação económica em negócio, repetição de procedimentos de aquisição do mesmo bem/serviço ao longo do ano, fraccionamento da despesa).

Moderado Moderado Moderado

a)Em matéria de aquisições o CHUSJ aplica exclusivamente o Código dos Contratos Públicos.b) Em conjunto com o Serviço de Certificação, desenvolvimento de um Manual e implementação de modelo de gestão por processos (processo de certificação do Serviço de Aprovisionamento conforme a NP EN ISO 9001/2008)c) Aumento da competitividade, aumentando o leque de fornecedores consultados.d) O júri é designado procedimento a procedimento e tem composição distinta consoante o objeto do procedimento, atenta a constituição das equipas do SAP (setor).

Aquisição de bens e serviços por ajuste direto (incluindo aquisições diversas ao mesmo fornecedor, e/ou para favorecimento de fornecedores e violação dos princípios gerais de contratação).


Empreitadas públicas. Moderado Moderado Moderado

Entrega, pelos fornecedores, de quantidades de material inferiores às contratadas.


Todo o material é verificado pelos funcionários e a conferência não é realizada sempre pelo mesmo funcionário.

Fornecimento por familiares ou pessoas com relações de forte amizade ou inimizade.

Não definido

a) Ampla divulgação do regime de impedimentos (SA em parceria com Auditoria Interna).b) Segregação de funções com delegação de competência [quem elabora o processo administrativo é um funcionário do SAP, tem parecer da comissão de Apoio Técnico (se for o caso), e o Júri propõe ao Conselho de Administração].c) Os funcionários procederam à assinatura da declaração de inexistência de incompatibilidades (artigo 4.º do Decreto-lei n.º 14/2014, de 22 de janeiro) e comprometeram-se a comunicar qualquer alteração ou situação pontual de impedimento que se verifique em qualquer momento.

Informação privilegiada.

Intervenção em processo em situação de impedimento.

Violação de segredo por funcionário.

Conluio entre os adjudicatários e os funcionários.

Passagem de informação privilegiada.

Favorecimento de fornecedores de forma a obter benefícios.

3.2. SERVIÇO DE APROVISIONAMENTO

• MISSÃO

Neste âmbito o Serviço de Aprovisionamento assume um papel

fundamental. A missão do Serviço de Aprovisionamento pode

ser sintetizada da seguinte forma:

• Colocar bens e serviços no sítio certo, na hora certa, nas

quantidades necessárias.

• Garantir a aquisição de produtos adequados com uma mais-

-valia técnica e económica.

• Racionalizar os ativos gerindo imobilizados e existências.






Apresentação de documentos fora de prazo ou apresentação de documentos falsos (incluindo uma consideração como válida da adjudicação a um fornecedor que não está habilitada para tal).


a) Verificação periódica e aleatória de processos pela Auditoria Interna.b) Utilização da plataforma eletrónica nos processos de aquisição, podendo também ser aferidas as datas em questão, o que diminui o risco associado.

Existência de trabalhos a mais no âmbito das empreitadas, bem como o risco de avançar com a execução dos trabalhos sem prévia autorização do órgão competente e realizar novo procedimento para efetuar o pagamento destes trabalhos.


a) O SAP procede à verificação, no caso das empreitadas, de que a execução de trabalhos de suprimento de erros e omissões e de trabalhos a mais não excede os limites quantitativos estabelecidos na lei.b) Implementação de normas internas que garantam a boa e atempada execução dos contratos por parte dos fornecedores/prestadores de serviços/empreiteiros (SIE).

Renovação de contratos (ou seja, falha no sistema de alerta do termo dos contratos, provocando a sua renovação automática, sem possibilidade de avaliação da necessidade de renovação).


a) Verificação, pelo SAP, da base de dados de contratos e respectiva calendarização, com validação dos contratos susceptíveis de renovação, para que a avaliação da mesma se processe com a antecedência mínima necessária ao lanaçmento e conclusão de novo concurso, caso não seja de renovar o respetivo contrato, ou tenha chegado ao seu término (sem possibilidade de mais renovações); Por regra, não celebramos contratos com renovação automática;b) Pedido de criação/implementação de um sistema de alertas informático (STIC).




Processo de Recrutamento e Seleção de Pessoal (por ex.: Favorecimento na contratação de pessoal; Intervenção no procedimento de selecção ou no procedimento de avaliação do pessoal de elementos com relações de proximidade; relações familiares ou de parentesco com os candidatos ou com os avaliados).


a) Definição de um procedimento transversal a toda a Instituição com medidas anuais de controlo. b)Sensibilizar os intervenientes decisores no âmbito dos procedimentos de recrutamento e seleção, de avaliação ou de outros actos de gestão de pessoal para a necessidade de fundamentação das suas decisões.

Processo de Processamento de Abonos, incluindo processamento de remunerações, abonos, processamento/conferência de ajudas de custo.


Verificação anual num período aleatório, do cumprimento do programa específico para esta área, no âmbito do sistema de controlo interno existente (por ex: conferência da folha de processamento dos vencimentos e de ajudas de custo, numa base de amostragem, em meses sorteados, no sentido de confirmar a adequação das remunerações processadas e dos descontos efectuados ao trabalhador - segurança social, IRS e, de outros abonos recebidos).

Processo de Processamento de Absentismo (por ex.: Justificação indevida de faltas; Atribuição de férias em número superior ou devido).


Verificação anual por amostragem baseada em ausências prolongadas ou com padrões repetitivos. No que se refere ás férias, instituir procedimento de verificação anual do cumprimento específico para esta área no âmbito do sistema de controlo interno existente.

3.3. SERVIÇO DE GESTÃO DE RECURSOS HUMANOS

• MISSÃO

O Serviço de Gestão de Recursos Humanos (SGRH), tem vindo

a definir e adotar novas estratégias na implementação da sua

política, com vista a alcançar os objetivos propostos, com maior

brevidade possível. Sendo um Serviço dinâmico, tem procura-

do adquirir novas tecnologias e metodologias, que irão permitir

um aumento qualitativo do serviço prestado. Tal facto tem tido

a maior cooperação por parte de todos os colaboradores, cuja

participação proporciona uma maior satisfação e bem-estar

para todos os que recorrem a este Serviço. Convicto que o de-

sempenho qualitativo dos colaboradores é o valioso ativo deste

Hospital, o SGRH está a apostar na reformulação de procedi-

mentos que irão permitir alcançar maiores padrões de eficácia e

eficiência no atendimento ao colaborador.






Processo de Registo de Assiduidade. Baixo Moderado BaixoVerificação semestral por amostragem baseada nos saldos dos trabalhadores do Sistema de Registo Biométrico.

Processo de Avaliação de Desempenho, nomeadamente, no que respeita à ausência ou deficiente fundamentação dos resultados das decisões de avaliação.

Baixo Moderado BaixoVerificação anual por Amostragem baseada nas avaliações que se situem fora da média.

Processo de Gestão de Carreiras. Baixo Moderado BaixoVerificação anual das Promoções/Progressões existentes.

Prestadores de Serviço em nome individual. Baixo Moderado Baixo

Tendo em conta a transferência do processamento dos profissionais Prestadores de Serviços (do Serviço de Aprovisionamento para o SGRH a partir de Fev/2013), formalização de procedimento interno que garanta a seu controlo e correcção. Verificação Semestral.

Prémios não autorizados, ilegais ou sem cumprimentos dos objetivos

Baixo Moderado BaixoInstituir mecanismos de atribuição de prémios, em respeito pelo cumprimento das normas legais.




Conferência de valores (pagamento de faturas). Baixo Moderado Baixo a) Privilegiar os recebimentos por Transferência Bancária, bem como funcionalidades de Homebanking; b) Reduzir ao minimo possivel a utilização de cheques e dinheiro; c) Emissão obrigatória de recibos informatizados que possibilitem a conferência de emissão por listagem diária d) Procedimentos efectivos e documentados.

Emissão de recibos (de modo a eliminar a receita ou recebimento de dinheiro)


Cobranças não depositadas oportuna e integralmente


a) Recurso a meios de recebimento via Multibancob) Controlo diário do montante recebido por colaboradorc) Emissão obrigatória de recibos informatizadosd) Conferência de emissão por listagem diáriae) Conciliação bancária mensal

Desvio de Fundos Baixo Moderado Baixo

a) Conciliação bancária mensalb) Circularização periódica de saldos de fornecedores e clientesc) Fundos de maneio e de caixa em sistema de fundo fixo e controlo sistemático dos fundos de maneio d) Cheques em trânsito para além de prazo a determinar, são investigados e eventualmente anuladose) Os cheques por utilizar e os cheques emitidos que foram anulados estão convenientemente guardadosf) Segregação de funçõesg) Existência de normas para movimentação de contas bancárias

3.4. SERVIÇOS FINANCEIROS

• MISSÃO

Os Serviços Financeiros têm como objetivos principais:

• Disponibilizar toda a informação necessária ao processo de

gestão.

• Proceder a toda a faturação.

• Proceder a toda a codificação e respetiva auditoria.

• Elaborar e enviar toda a informação solicitada pelos clien-

tes internos e externos.

• Elaborar os documentos de prestação de contas.

• Efetuar a gestão de tesouraria.






Alteração não autorizada a dados mestre de fornecedores ou alteração com base em informação externa não validada (por exemplo, via email)


a)Segregação de funções com perfis de acesso aos dados;b)Circularização periódica de saldos de fornecedoresc) Revisão do Procedimento de alteração de dados de fornecedores

Pagamentos preferenciais a fornecedores Pagamentos em montantes superiores aos efectivamente faturados


a) Criação de modelo de gestão da tesouraria disponível para pagamentos, que estabeleçaas regras para seleção das de faturas apagar, identificando de forma sistemática as excepções consideradas. Decisão dos pagamentos validada por membro do CA responsável pelos serviços Financeiros.




Anulação indevida de recibo. Baixo Moderado Baixo

Todos os recibos anulados devem ser entregues, com registo do motivo da anulação, e devem constar da listagem diária extraída do SONHO enviada aos Serviços Financeiros.

Cobrança indevida de taxas Moderadoras (p.ex: Utentes com direito a dispensa na especialidade, mas com consulta agendada em especialidade não dispensada ou o/a médico/a na forneceu documento dispensa)

Moderado Baixo BaixoAgendar os utentes dispensados nas especialidades parameterizados com dispensa.

A não devolução de montantes cobrados em excesso pelo funcionário que cobrou a taxa

Baixo Moderado BaixoPriveligiar o pagamento por Multibanco e Cheque

Taxa de cobrança com valores inferiores a 50% Moderado Moderado Moderado

Constituição de um Grupo de Trabalho, sendo um dos objetivos implementar as ações necessárias à efetividade da cobrança

Atribuição de isenção/dispensa de taxa moderadoras devido à incorreta identificação ou favorecimento indevido.

Moderado Moderado ModeradoConferência de episódios de consulta e urgencia e análise por amostragem das isenções atribuidas

Aceitação de montantes monetários, por parte dos funcionários, em troca de favorecimentos.


Sensibilização dos funcionários, lembrando-os que tal procedimento não é admissivel e que resultará em processo disciplinar.

Dados de identificação de utentes insuficientes, incorretos ou desactualizados

Baixo Moderado BaixoSensibilização dos colaboradores para a importância da correta e completa identificação dos utentes na instituição.

Alteração não aprovada de dados de identificação dos utentes


Desenvolvimento de formação sobre o regime de acesso a dados pessoais.Sensibilização dos colaboradores para a importância da correta e completa identificação dos utentes na instituição.

3.5. COBRANÇA DE TAXAS MODERADORAS/ATRIBUIÇÃO ISENÇÕES

• MISSÃO

Nesta área, os principais Serviços intervenientes são o Centro

de Ambulatório, a UAG de Cirurgia, a UAG da Urgência e Cuida-

dos Intensivos e os Serviços Financeiros. O CAM compromete-

-se, no âmbito dos Serviços de Suporte à Prestação de Cuidados

do Hospital de S. João, EPE, a efetuar uma adequada resposta às

necessidades, expectativas e solicitações dos utentes/doentes/

clientes, visando a sua satisfação na marcação e acesso à presta-

ção de cuidados no CHUSJ.






Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de limpeza hospitalar.


Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas com a colaboração da UPCIRA (responsável e apoio de enfermagem) e pelo SOH (Tecnico Superior da área e Direção de Serviço). Existem ainda clausulas técnicas plasmadas em AQ da SPMS, caso aplicáveis.

"Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.


Registo Biométrico obrigatório no ambito das clausulas técnicas exigidas. Nas áreas de internamento com recursos humanos praticamente em permanencia na jornada laboral, o controlo é efetuado pelos responsáveis locais (Pessoal de Enfermagem, Pessoal Técnico). Nas áreas comuns, realização de verificações de presença.

Diminuição da qualidade de serviço, devido a deficiente desempenho dos trabalhadores.


Implementação de um sistema de auditorias de limpeza. Mensalmente, os serviços devem preencher e remeter ao SOH uma folha de assiduidade onde consta a avaliação dos serviços prestados. Possibilidade de pedido de substituição de recursos humanos afetos às empresas, no amito das clausulas tecnicas em vigor. Realização de formações de higiene e limpeza, controlo de infeção, da responsabilidade da empresa e do CHUSJ

Contratação de serviços a preços extraordinários, fora dos preços de mercado


Os contratos, quando em vigor, definem desde logo os valores para contratações de serviços extraordinários. Mesmo numa situação de inexistência de um contrato em vigor, o procedimento é um pedido de autorização prévio do orgão máximo (CA) que, se autorizado, é enviado ao Serviço de Aprovisionamento.

Contratação de serviços a preços muito baixos ou a empresas que praticam dumping, ora por estratégias comerciais, ora por incumprimento das suas obrigações contributivas e fiscais

Moderado Elevado Elevado

Definição de clausulas tecnicas exigentes, devidamente elencadas, o que não "favorece" o aparecimento de empresas não profissionais e sem credibilidade no mercado

Inexistência da figura de “alvarás” a obter pelas empresas para a higiene e limpeza de um Hospital.

Risco Exógeno ao CHUSJ, sendo que a respetiva mitigação não se encontra dependente de medidas tomadas internamente

3.6. SERVIÇOS HOTELEIROS

• MISSÃO

O Serviço de Operações Hoteleiras tem como missão proporcio-

nar as melhores condições hoteleiras de Alimentação, Ambiente,

Lavandaria, Limpeza e de Segurança e Controlo, de forma a as-

sistir às necessidades e expetativas dos utentes e profissionais,

promovendo políticas de eficiência e o conhecimento dos custos

das atividades junto dos seus clientes Serviços, numa perspetiva

de melhoria contínua.



Lim

peza

e H

igie

ne




Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de segurança e vigilancia.


Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas com a colaboração da UPCIRA (responsável e apoio de enfermagem) e pelo SOH (Tecnico Superior da área e Direção de Serviço). Existem ainda clausulas técnicas plasmadas em AQ da SPMS, caso aplicáveis.

Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.


Nesta área os vigilantes ocupam postos de entrada do CHUSJ, bem como de ronda e central de segurança. Dadas as atribuições de funções plasmadas em cada uma das instruções de trabalho, é pouco verosímel a diminuição dos recursos humanos afetos à atividade

Contratação de serviços a preços extraordinários, fora dos preços de mercado


Os contratos, quando em vigor, definem desde logo os valores para contratações de serviços extraordinários. Mesmo numa situação de inexistência de um contrato em vigor, o procedimento é um pedido de autorização prévio do orgão máximo (CA) que, se autorizado, é enviado ao Serviço de Aprovisionamento.

Contratação de serviços a preços muito baixos ou a empresas que praticam dumping, ora por estratégias comerciais, ora por incumprimento das suas obrigações contributivas e fiscais

Moderado Elevado Elevado

Definição de clausulas tecnicas exigentes, devidamente elencadas, o que não "favorece" o aparecimento de empresas não profissionais e sem credibilidade no mercado

Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de gestão de residuos hospitalares.


Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas pelo SOH (Tecnico Superior da área e Direção de Serviço) e reflexo de dispositivos normativos nacionais e internacionais.



Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente em relação a horários de recolha e entrega de contentores, bem como existência de penalidades em caso de incumprimento atempado do serviço

Os operadores de recolha intra-hospitalar podem aumentar artificalmente o peso dos contentores, de forma a aumentar a faturação.


Implementação de um sistema aleatório de controlo dos pesos, bem como existência de penalidades em caso de incumprimento dos pesos. Obrigatoriedade de registo informático dos pesos.

Mercado com reduzida concorrênciaRisco Exógeno ao CHUSJ, sendo que a respetiva mitigação não se encontra

dependente de medidas tomadas internamente

Seg

uran

ça e

Vig

ilânc

ia R

esíd

uos

Hos

pita

lare

s




Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de lavagem e tratamento de roupa hospitalar.


Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas pelo SOH (Tecnico Superior da área e Direção de Serviço). Existem ainda claiusulas técnicas plasmadas em AQ da SPMS, caso aplicáveis.

A faturação pode aumentar em função do peso da roupa limpa.

Médio Moderado MédioImplementação de um sistema aleatório de controlo dos pesos. Pesagem de roupa sempre que existe introdução de nova roupa no circuito.

A faturação pode aumentar em função do número de peças processadas limpa.


Implementação de um sistema continuo de contagem de peças recepcionadas. Utilizações de soluções informáticas internas e externas, base das guias de transporte que originama a faturação



Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente em relação a horários de recolha e entrega de roupa.

Mercado com reduzida concorrênciaRisco Exógeno ao CHUSJ, sendo que a respetiva mitigação não se encontra

dependente de medidas tomadas internamente

Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de alimentação


Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas com a colaboração da UND e SIE e pelo SOH (Tecnico Superior da área e Direção de Serviço) e tem como base, entre outros, dispositivos normativos nacionais e internacionais.

“Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.


Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente em relação a horários de recolha e entrega de alimentação, bem como existência de penalidades em caso de incumprimento atempado do serviço

Incumprimento do plano de dietas aprovado pelo hospital


Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente nas tarefas de recepção, confeção e empratamento, bem como existência de penalidades em caso de incumprimento atempado do serviço

Diminuição da qualidade de serviço, devido a deficiente desempenho dos trabalhadores.

Moderado Moderado ModeradoImplementação de um sistema de auditorias ao serviço. Exigência de implementação local do HACCP.

Lava

gem

e tr

atam

ento

de

roup

aA

limen

taçã

o




Acesso indevido às instalações e desvio de produtos farmacêuticos.

Alto Moderado Alto

Restrição do acesso ao Serviço Farmacêutico a pessoal autorizado; Existência de câmaras de segurança Estupefacientes e psicotrópicos encontram-se em cofre com acesso restritoRealização de inventários cíclicos e anuais aos armazéns com justificação de diferenças significativas

Receção não controlada física e qualitativamente de bens

Baixo Moderado BaixoSegregação de funções. Os Serviços Farmacêuticos são um Serviço Certificado.

Ultrapassagem de Prazos de validade Baixo Moderado BaixoEncontram-se implementados sistemas de alerta. (Os Serviços Farmacêuticos são um Serviço Certificado).

Falta de procedimento transversal para os serviços clínicos relativo ao Circuito de Medicamentos Críticos (Estupefacientes e Psicotrópicos, Eopetinas…)


Fecho do circuito electrónico do ciclo Prescrição » Distribuição » Administração, com a criação de armazéns avançados e registo de toda a medicação ao doente

Medicamentos em trânsito dos Serviços Farmacêuticos para os Serviços Clínicos e vice versa.


Alargamento da implementação do registo por PDA (quem entrega e quem recebe e a que horas), bem como as devoluções de medicamentos e de produtos farmacêuticos não administrados, com guia de transporte. Criação dos Armazéns Avançados dos Serviços Clínicos e Registo da Administração ao Doente pela aplicação dos Enfermeiros

Declaração de financiamento Baixo Moderado BaixoOs colaboradores efetuam comunicação na Plataforma de Comunicações - Transparência e Publicidade

Favorecimento de fornecedores por membros de comissões, de grupos de trabalho, de júris de procedimentos pré-contratuais que participam na escolha, avaliação, emissão de normas e orientações de carácter clínico, elaboração de formulários, nas áreas do medicamento

Baixo Elevado Moderado

Assinatura de Declarações de Inexistência de Incompatibilidades (nos termos do artigo 4.º do Decreto-Lei n.º 14/2014, de 22 de janeiro)

Fornecimento de Medicamentos em Ambulatório Baixo Elevado Moderado

Existência, manutenção e desenvolvimento do Sistema de Gestão de Qualidade (Os Serviços Farmacêuticos são um Serviço Certificado).

3.7. SERVIÇOS FARMACÊUTICOS

• MISSÃO

Os Serviços Farmacêuticos têm como missão assegurar a sa-

tisfação das necessidades medicamentosas dos doentes, pro-

movendo a utilização racional dos medicamentos, garantindo a

sua qualidade, a eficácia e a segurança para o doente, sendo uma

referência nacional da Farmácia Hospitalar, reconhecida pela

inovação, pelas boas práticas e pelos resultados atingidos.






Produção incorretamente registada Baixo Elevado ModeradoPromover, regularmente análises ao registo de Produção

Produção não registada em tempo útil Baixo Elevado Moderado

Promover, regularmente, análises ao Registo de ProduçãoManutenção de procedimentos que garantam o estabelecimento e cumprimento de prazos para registo de atividade/produção; Alargar o âmbito de cruzamento de informação entre os diversos aplicativos.”

Efectuar registos que permitam que se gerem GDH economicamente mais vantajosos

Baixo Moderado Moderado

a)Definição de limites nas verbas para remuneração da atividade adicional por serviço (contratualização interna) b) Realização de auditorias clínicas

Produção realizada sem que haja qualquer registo informático.

Baixo Moderado ModeradoImplementação de mecanismos de controlo para rastrear e mitigar a eventualidade destas situações.

Fiabilidade da informação das várias aplicações informáticas de registo de atividade (falha nos registos)

Baixo Moderado ModeradoAlargar o âmbito de cruzamento de informação entre os diversos aplicativos.

3.8. SERVIÇO DE CONTROLO DE GESTÃO

• MISSÃO

O Serviço de Planeamento e Controlo de Gestão tem como mis-

são apoiar o processo de decisão do Conselho de Administração

e dos outros níveis de Gestão do CHUSJ, através da análise e dis-

ponibilização de informação estatística, análise e planeamento

da atividade assistencial na vertente financeira e de produção.






Ocorrência de desvios/roubo/furto de Equipamentos


a) Controlo Anual dos equipamentos afectos a alguns centros de custo aleatoriamente seleccionados b) Responsabilização dos serviços pelos equipamentos à sua guardac) Partilha da informação das aplicações

Bens não Inventariados Moderado Moderado ModeradoRealização de testes de conformidade quanto ao cumprimento dos procedimentos internos estabelecidos.

Não inventariação de bens oferecidos com eventual apropriação ou utilização indevida de bens públicos


a) Aprovação, pelo Conselho de Administração, das ofertas,b) Controlo Anual dos equipamentos afectos a alguns centros de custo aleatoriamente seleccionadosc) Divulgação do procedimento interno de aceitação e inventariação de ofertas

Falta de acuidade no abate físico de bens e na sua valorização

Fraco Moderado Moderado

a) Existência de um parecer técnico relativo à inoperacionalidade ou obsolescência do bemb) Aprovação, pelo Conselho de Administração, dos abatesc) Remoção física dos serviços utilizadores, de equipamentos dados por inoperacionais/ inutilizados, que aguardam formalização de abate do inventário e remoção do CHUSJ

Entrada de equipamentos não autorizados(p.ex demonstrações)


a) Obrigatoriedade de pedido formação formal de demosntração e aprovação Conselho de Administração b) Registo dos bens em regime de empréstimo

Não conformidade das operações de manutenção contratadas com terceiros


a) Controlo da permanência dos prestadores de serviço nas instalações do Centro Hospitalarb) Monitorização das acções de manutenção preventiva por um interlocutor claramente definido ao nível de cada Serviço ou UAG

3.9. SERVIÇO DE INSTALAÇÕES E EQUIPAMENTOS

• MISSÃO

O SIE é um Serviço de Engenharia e Manutenção Técnica da Área

dos serviços logísticos e suporte ao CHUSJ, tendo como missão

“Projetar, manter e garantir o pleno funcionamento das infraes-

truturas e equipamentos no CHUSJ, de forma a proporcionar aos

profissionais de saúde as melhores condições técnicas para a

assistência clínica”.




3.10. SERVIÇO DE SISTEMAS E TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO

• MISSÃO

O Serviço de Sistemas e Tecnologias de Informação e Comunica-

ção encontra-se integrado no Centro de Gestão da Informação,

que inclui adicionalmente as seguintes áreas:

• Unidade de Desenvolvimento de Software (UDS).

• Serviço de Arquivo;

• Serviço de Inteligência de Dados.

Em termos de avaliação de Riscos, é de destacar a Implementa-

ção Projeto Segurança – Definição da metodologia de Analise de

Risco, Análise de Risco dos Sistemas de Informação do STIC.

Inserido no projeto de “Gestão do risco, da segurança da infor-mação e dos serviços de informação” foi realizada uma primeira

Avaliação dos Riscos de Segurança de Informação, tendo como

foco de análise o Sistema de Gestão Integrado do Circuito do

Medicamento (SGICM). Esta Avaliação dos Riscos foi executada

no sentido de identificar e avaliar os riscos inerentes aos Siste-

mas de Informação, pretendendo ser alvo de melhoria continua.


Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Falh

a no

aba

stec

imen

to d

e en

ergi

a

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

Cfa

lta

de p

lano

de

cont

ingê

ncia

5

Falh

a nu

ma

UPS

(ava

ria)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C10

Falh

a nu

ma

UPS

(em

ati

vida

de d

e m

anut

ençã

o)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C15

"(nã

o ap

licáv

el a

o S

GIC

M)

Font

e de

alim

enta

ção

redu

ndan

tePr

oced

imen

to d

e m

anut

ençã

o ad

equa

do (m

anut

ençã

o fa

sead

a - 1

UPS

de

cada

vez

)”

Dis

paro

de

um d

ijunt

orco

rrup

ção

da in

form

ação

po

r pro

cess

o de

en

cerr

amen

to fo

rçad

o

indi

spon

ibili

dade

dos

si

stem

as d

o D

C10

Falh

a de

refr

iger

ação

na

sala

té

cnic

a da

s U

PS

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C10

Inun

daçã

o na

Sal

a Té

cnic

a da

s U

PS

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C5

Avar

ia n

o si

stem

a de

AC

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C10

Inun

daçã

o no

DC

, por

rutu

ra d

e ca

naliz

ação

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

Cfa

lta

de d

eteç

ão

de á

gua

10

Falh

a no

sis

tem

a de

con

trol

o de

ac

esso

s

aces

sos

a co

nsol

as

que

poss

am

perm

itir

ace

ssos

in

devi

dos

e ro

ubo

de in

form

ação

(p.e

. R

DP/

SS

H)

aces

sos

a se

rviç

os

que

poss

am p

erm

itir

qu

ebra

s de

inte

grid

ade

na in

form

ação

(p.e

. RD

P/S

SH

)

prob

lem

as a

ssoc

iado

s à

oper

ação

inde

vida

a

prov

ocar

falh

as d

e se

rviç

os e

SO

"Con

trol

o bi

omét

rico

, co

m re

gist

o de

ace

ssos

Cha

ve fí

sica

(par

a o

caso

de

falh

a de

en

ergi

a) | “

5A

cess

o vi

a le

vant

amen

to d

e ch

ave

no s

egur

ança

ou

BtG

14

4

Ace

sso

inde

vido

ao

DC

, atr

avés

de

cha

ve

aces

sos

a co

nsol

as

que

poss

am

perm

itir

ace

ssos

in

devi

dos

e ro

ubo

de in

form

ação

(p.e

. R

DP/

SS

H)

aces

sos

a se

rviç

os

que

poss

am p

erm

itir

qu

ebra

s de

inte

grid

ade

na in

form

ação

(p.e

. RD

P/S

SH

)

prob

lem

as a

ssoc

iado

s à

oper

ação

inde

vida

a

prov

ocar

falh

as d

e se

rviç

os e

SO

“Reg

isto

de

quem

le

vant

a a

chav

e, q

ue

está

no

segu

ranç

aPa

ra “b

rake

theg

lass

e”,

tem

con

trol

o bi

omét

rico

| “

10im

plem

enta

r vid

eovi

gila

ncia

no

DC

e re

gist

o de

le

vant

amen

to d

e ch

ave

15

5

Incê

ndio

no

DC

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C5Valor Risco

= P * I”

Probabilidade 2

Probabilidade

Impacto 2

Impacto

Novo Risco = P2 * I2”

Energia Sala DC


Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Cab

o da

nifi

cado

indi

spon

ibili

dade

dos

si

stem

as d

o D

CLi

gaçõ

es re

dund

ante

s (2

cabo

s)5

Avar

ia d

e at

ivo

de re

de –

Ace

sso

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

Arq

uite

tura

re

dund

ante

, ape

nas

para

o C

AM

8

Avar

ia d

e at

ivo

de re

de –

Cor

ein

disp

onib

ilida

de d

os

sist

emas

do

DC

Arq

uite

tura

redu

ndan

te5

Avar

ia n

os S

AN

sw

itch

poss

ibili

dade

de

corr

upçã

o do

s da

dos

das

LUN

S

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

Red

undâ

ncia

nos

SW

SA

N | R

edun

dânc

ia n

os

SW S

AN

8

Falh

a na

inst

alaç

ão e

létr

ica

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

Ces

tare

m n

o m

esm

o ci

rcui

toC

lust

ers

de s

ervi

dore

s |

Clu

ster

s de

ser

vido

res

8

Falh

a de

HW

(enc

losu

re)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

clus

ter c

om

blad

es n

o m

esm

o en

clos

ure

10

Falh

a de

HW

(bla

de V

mw

are)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

clus

ter c

om

blad

es n

o m

esm

o en

clos

ure

Clu

ster

s de

ser

vido

res

| C

lust

ers

de s

ervi

dore

s8

Falh

a de

HW

(bla

de H

P-U

X)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

Ape

nas

uma

VM

, co

m m

igra

ção

man

ual

Clu

ster

s de

ser

vido

res

| C

lust

ers

de s

ervi

dore

s10

Falh

a de

HW

(Ser

vido

r M

iddl

ewar

e)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

clus

ter c

om

blad

es n

o m

esm

o en

clos

ure

Clu

ster

s de

ser

vido

res;

B

acku

ps d

a B

D |

Clu

ster

s de

ser

vido

res

10

Falh

a de

HW

(Ser

vido

r ap

licac

iona

l)

corr

upçã

o da

info

rmaç

ão

por p

roce

sso

de

ence

rram

ento

forç

ado

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s

10

Falh

a na

atu

aliz

ação

de

firm

war

e (e

nclo

sure

)

proc

esso

sem

suc

esso

qu

e po

de p

rovo

car

corr

upçã

o do

pro

duto

qu

e o

torn

e in

utili

záve

l

4Valor Risco = P * I”

Probabilidade 2

Probabilidade

Impacto 2

Impacto


ServidoresRedes


ServidoresA

mea

ças

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Falh

a na

atu

aliz

ação

de

firm

war

e (b

lade

/ser

vido

r)

proc

esso

sem

suc

esso

qu

e po

de p

rovo

car

corr

upçã

o do

pro

duto

qu

e o

torn

e in

utili

záve

l

10

Inca

paci

dade

de

recu

pera

r o

ambi

ente

de

prod

ução

indi

spon

ibili

dade

dos

si

stem

as d

o D

C

cont

rato

s de

m

anut

ençã

o te

mpo

rari

amen

te

não

form

aliz

ados

(p

roce

sso

de

cont

ratu

aliz

ação

), qu

e or

igin

e fa

lha

na p

rest

ação

do

ser

viço

de

man

uten

ção

12A

djud

icaç

ão e

form

aliz

ação

at

empa

da d

os c

ontr

atos

de

man

uten

ção

13

3

Sis

tem

a O

pera

tivo

des

atua

lizad

o W

indo

ws

aces

so a

in

form

ação

co

nfide

ncia

l

expl

oraç

ão d

e vu

lner

abili

dade

qu

e co

mpr

omet

a a

inte

grid

ade

dos

dado

s/ap

licaç

ões.

expl

oraç

ão d

e um

a vu

lner

abili

dade

que

co

mpr

omet

a o

SO

não

exis

tênc

ia

de p

roce

dim

ento

qu

e ob

rigu

e à

atua

lizaç

ão d

e S

O

"Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | A

V a

tual

izad

os

Bac

kups

de

Ser

vido

res”

10

Sis

tem

a O

pera

tivo

des

atua

lizad

o U

nix

(BD

inte

rméd

ia)

aces

so a

in

form

ação

co

nfide

ncia

l

expl

oraç

ão d

e vu

lner

abili

dade

qu

e co

mpr

omet

a a

inte

grid

ade

dos

dado

s/ap

licaç

ões.

expl

oraç

ão d

e um

a vu

lner

abili

dade

que

co

mpr

omet

a o

SO

não

exis

tênc

ia

de p

roce

dim

ento

qu

e ob

rigu

e à

atua

lizaç

ão d

e S

O

10

Expl

oraç

ão d

e vu

lner

abili

dade

em

Sis

tem

a O

pera

tivo

de

scon

tinu

ado/

sem

sup

orte

W

indo

ws

aces

so a

in

form

ação

co

nfide

ncia

l

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e do

s da

dos/

aplic

açõe

s e

que

o fo

rnec

edor

já n

ão c

orri

ja

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er o

S

O e

que

o fo

rnec

edor

já

não

corr

ija

Sis

tem

a O

pera

tivo

de

scon

tinu

ado/

sem

sup

orte

W

indo

ws

Gar

anti

do s

upor

te

cont

ratu

al c

om o

fa

bric

ante

, par

a ut

iliza

ção

| Clu

ster

s de

se

rvid

ores

; Bac

kups

de

Ser

vido

res

| Bac

kups

de

Ser

vido

res

12Ev

oluç

ão a

plic

acio

nal,

que

corr

a em

SO

atu

aliz

ado

14

4

Expl

oraç

ão d

e vu

lner

abili

dade

em

Sis

tem

a O

pera

tivo

de

scon

tinu

ado/

sem

sup

orte

Uni

x

aces

so a

in

form

ação

co

nfide

ncia

l

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e do

s da

dos/

aplic

açõe

s e

que

o fo

rnec

edor

já n

ão c

orri

ja

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er o

S

O e

que

o fo

rnec

edor

já

não

corr

ija

Bac

kups

de

Ser

vido

res

12Ev

oluç

ão a

plic

acio

nal,

que

corr

a em

SO

atu

aliz

ado

14

4

Con

figu

raçã

o do

SO

des

ajus

tada

prob

lem

as d

e pe

rfor

man

ce e

de

cras

hs

de s

iste

ma

Mon

itor

izaç

ão d

os

sist

emas

(ici

nga

e Z

abbi

x)9Valor Risco

= P * I”

Probabilidade 2

Probabilidade

Impacto 2

Impacto


SO + Amb Virtualiz


Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Con

figu

raçã

o do

s se

rviç

os

desa

just

ada

aces

sos

a co

nsol

as

que

poss

am

perm

itir

ace

ssos

in

devi

dos

e ro

ubo

de in

form

ação

(R

DP/

SS

H p

or

exem

plo)

aces

sos

a se

rviç

os

que

poss

am p

erm

itir

qu

ebra

s de

inte

grid

ade

na in

form

ação

(p.e

. RD

P/S

SH

)

prob

lem

as d

e pe

rfor

man

ce e

de

cras

hs d

e si

stem

a as

sim

co

mo

oper

ação

inde

vida

a

prov

ocar

falh

as

não

real

izaç

ão

de te

stes

de

vuln

erab

ilida

des

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all)

| Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or

Fire

wal

l); C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s | S

ervi

dore

s em

am

bien

te

segr

egad

o (p

rote

gido

po

r Fir

ewal

l); C

lust

ers

de s

ervi

dore

s; B

acku

ps

de S

ervi

dore

s

15

"Pla

neam

ento

de

test

es d

e vu

lner

abili

dade

regu

lare

sA

plic

ação

de

técn

icas

de

hard

dnin

g”

25

10

Con

figu

raçã

o do

s se

rviç

os

desa

just

ada

aces

sos

a co

nsol

as

que

poss

am

perm

itir

ace

ssos

in

devi

dos

e ro

ubo

de in

form

ação

(R

DP/

SS

H p

or

exem

plo)

aces

sos

a se

rviç

os

que

poss

am p

erm

itir

qu

ebra

s de

inte

grid

ade

na in

form

ação

(p.e

. RD

P/S

SH

)

prob

lem

as d

e pe

rfor

man

ce e

de

cras

hs d

e si

stem

a as

sim

co

mo

oper

ação

inde

vida

a

prov

ocar

falh

as

não

aplic

ação

de

técn

icas

de

Har

dnin

g

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all)

| Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or

Fire

wal

l); C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s | S

ervi

dore

s em

am

bien

te

segr

egad

o (p

rote

gido

po

r Fir

ewal

l); C

lust

ers

de s

ervi

dore

s; B

acku

ps

de S

ervi

dore

s

15

"Pla

neam

ento

de

test

es d

e vu

lner

abili

dade

regu

lare

sA

plic

ação

de

técn

icas

de

hard

dnin

g”

25

10

Ace

sso

inde

vido

a c

onso

las

e se

rviç

os

roub

o de

in

form

ação

(RD

P/S

SH

por

exe

mpl

o)

queb

ras

de in

tegr

idad

e na

info

rmaç

ão (R

DP/

SS

H

por e

xem

plo)

prob

lem

as a

ssoc

iado

s à

oper

ação

inde

vida

a

prov

ocar

falh

as d

e se

rviç

os e

SO

exis

tênc

ia

cred

enci

ais

de a

cess

o nã

o se

gura

s

Cre

denc

iais

mud

am d

e 12

0 em

120

dias

, com

re

gras

de

segu

ranç

a | S

ervi

dore

s em

am

bien

te s

egre

gado

(p

rote

gido

por

Fi

rew

all);

Clu

ster

s de

se

rvid

ores

; Bac

kups

de

Ser

vido

res

| Ser

vido

res

em a

mbi

ente

se

greg

ado

(pro

tegi

do

por F

irew

all);

Clu

ster

s de

ser

vido

res;

Bac

kups

de

Ser

vido

res

10

"Alt

eraç

ão d

e pa

ssw

ord

de

Adm

inis

trad

or d

e do

mín

ioPo

lític

a de

Ges

tão

de A

cess

os

para

ace

ssos

pri

velig

eado

s”

15

5

Ace

sso

inde

vido

a c

onso

las

e se

rviç

os

roub

o de

in

form

ação

(RD

P/S

SH

por

exe

mpl

o)

queb

ras

de in

tegr

idad

e na

info

rmaç

ão (R

DP/

SS

H

por e

xem

plo)

prob

lem

as a

ssoc

iado

s à

oper

ação

inde

vida

a

prov

ocar

falh

as d

e se

rviç

os e

SO

cons

erva

ção

das

cred

enci

ais

(use

r/pa

ss) d

e or

igin

ais

Cre

denc

iais

mud

am d

e 12

0 em

120

dias

, com

re

gras

de

segu

ranç

a;

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

rede

ncia

is m

udam

de

120

em 12

0 di

as, c

om

regr

as d

e se

gura

nça;

C

lust

ers

de s

ervi

dore

s;

Bac

kups

de

Ser

vido

res

5

SO + Amb Virtualiz

Valor Risco = P * I”

Probabilidade 2

Probabilidade

Impacto 2

Impacto



SO + Amb Virtualiz ProdutoA

mea

ças

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Vm

war

e de

satu

aliz

ado

expl

oraç

ão d

e um

a vu

lner

abili

dade

qu

e co

mpr

omet

a a

inte

grid

ade

das

VM

s e

cons

eque

ntem

ente

dos

da

dos/

aplic

açõe

s.

expl

oraç

ão d

e um

a vu

lner

abili

dade

que

co

mpr

omet

a as

VM

s.

não

exis

tênc

ia

de p

roce

dim

ento

qu

e ob

rigu

e à

atua

lizaç

ão d

e S

O

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s

8

Vm

war

e de

scon

tinu

ado/

sem

su

port

e

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e da

s V

Ms

e qu

e o

forn

eced

or já

não

co

rrija

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

s V

Ms

e qu

e o

forn

eced

or

já n

ão c

orri

ja

não

exis

tênc

ia

de p

roce

dim

ento

qu

e ob

rigu

e à

atua

lizaç

ão d

e S

O

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s

4

Atu

aliz

ação

do

SO

proc

esso

sem

suc

esso

po

de p

rovo

car u

m e

stad

o de

cor

rupç

ão d

a V

M

proc

esso

sem

suc

esso

po

de p

rovo

car u

m e

stad

o de

cor

rupç

ão d

a V

M q

ue

a to

rne

indi

spon

ível

não

exis

tênc

ia

de p

roce

dim

ento

qu

e ob

rigu

e à

atua

lizaç

ão d

e S

O

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s

8

Sis

tem

a se

m A

ntiV

irus

vuln

erab

ilida

des

que

poss

am

com

prom

eter

a

info

rmaç

ão d

as

VM

s pu

blic

ando

da

dos

em s

itio

s nã

o au

tori

zado

s

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e da

s V

Ms

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er

as V

Ms

Todo

s os

sis

tem

as tê

m

anti

viru

s |

5

Ant

iVir

us d

esat

ualiz

ado

vuln

erab

ilida

des

que

poss

am

com

prom

eter

a

info

rmaç

ão d

as

VM

s pu

blic

ando

da

dos

em s

itio

s nã

o au

tori

zado

s

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e da

s V

Ms

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er

as V

Ms

Todo

s os

sis

tem

as tê

m

anti

viru

s co

m a

últ

ima

assi

natu

ra |

5

Con

figu

raçã

o do

Ant

iVir

us

desa

just

ada

confi

gura

ções

não

ot

imiz

adas

que

tenh

am

impa

cto

na p

erfo

rman

ce

do p

rodu

to in

stal

ado

8

Prod

uto

desa

tual

izad

o, c

om

vuln

erab

ilida

des

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e da

s V

Ms

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er o

pr

odut

o

" Clu

ster

s de

se

rvid

ores

; Bac

kups

de

Ser

vido

res

| Ser

vido

res

em a

mbi

ente

se

greg

ado

(pro

tegi

do

por F

irew

all e

VLA

Ns)

B

acku

ps d

e S

ervi

dore

s”

10

Prod

uto

desc

onti

nuad

o/se

m

supo

rte

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

in

tegr

idad

e da

s V

Ms

vuln

erab

ilida

des

que

poss

am c

ompr

omet

er a

s V

Ms

e qu

e o

forn

eced

or

já n

ão c

orri

ja

" Clu

ster

s de

se

rvid

ores

; Bac

kups

de

Ser

vido

res

| Ser

vido

res

em a

mbi

ente

se

greg

ado

(pro

tegi

do

por F

irew

all e

VLA

Ns)

B

acku

ps d

e S

ervi

dore

s”


Probabilidade 2

Probabilidade

Impacto 2

Impacto


(SGBD|Serv Aplicacional|Middleware|…)


Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Con

figu

raçã

o de

saju

stad

a do

Pr

odut

o

confi

gura

ções

não

ot

imiz

adas

que

tenh

am

impa

cto

na p

erfo

rman

ce

aplic

acio

nal

8

Atu

aliz

ação

do

prod

uto

proc

esso

sem

suc

esso

po

de p

rovo

car u

m e

stad

o de

cor

rupç

ão d

o pr

odut

o

proc

esso

sem

suc

esso

po

de p

rovo

car u

m e

stad

o de

cor

rupç

ão d

o pr

odut

o qu

e o

torn

e in

utili

záve

l

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s

5

Cre

denc

iais

de

aces

so n

ão

segu

ras

aces

sos

inde

vido

s po

dem

pro

voca

r ro

ubo

de

info

rmaç

ão

aces

sos

inde

vido

s po

dem

pr

ovoc

ar a

lter

açõe

s in

devi

das

nos

dado

s pr

ovoc

ando

que

bras

na

inte

grid

ade

aces

sos

inde

vido

s po

dem

pr

ovoc

ar d

isru

pção

nos

pr

odut

os (e

xem

plo.

.. pa

rar u

ma

BD

Ora

cle

com

us

er S

YS

)

cred

enci

ais

conh

ecid

as n

o âm

bito

ala

rgad

o do

SN

S

Clu

ster

s de

ser

vido

res;

B

acku

ps d

e S

ervi

dore

s | C

lust

ers

de

serv

idor

es; B

acku

ps d

e S

ervi

dore

s

15"(

não

depe

nde

do S

TIC

)S

olic

itad

o à

SPM

S a

alt

eraç

ão

dos

Ace

ssos

”

Ata

que

"Man

-in-t

he-M

iddl

e"ac

esso

a

info

rmaç

ão

confi

denc

ial

utili

zaçã

o de

pr

otoc

olo

SS

L/TL

S n

ão s

egur

o ou

m

al c

onfi

gura

do

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s) |

6

Ata

que

"Man

-in-t

he-M

iddl

e"ac

esso

a

info

rmaç

ão

confi

denc

ial

utili

zaçã

o de

ch

aves

de

cifr

a nã

o se

gura

s

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s) |

6

Escu

ta d

e cr

eden

ciai

s de

ace

sso,

po

r pro

cess

o de

aut

enti

caçã

o nã

o se

guro

aces

so a

in

form

ação

co

nfide

ncia

l

aces

sos

inde

vido

s po

dem

pr

ovoc

ar a

lter

açõe

s in

devi

das

nos

dado

s pr

ovoc

ando

que

bras

na

inte

grid

ade

aces

sos

inde

vido

s po

dem

pr

ovoc

ar d

isru

pção

nos

pr

odut

os (e

xem

plo.

.. pa

rar u

ma

BD

Ora

cle

com

us

er S

YS

)

cred

enci

ais

pass

adas

por

H

TTP

em v

ez d

e H

TTPS

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s) | S

ervi

dore

s em

am

bien

te

segr

egad

o (p

rote

gido

po

r Fir

ewal

l e V

LAN

s)

| Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s)

10

Uti

lizaç

ao d

e té

cnic

as d

e C

lickj

acki

ng

aces

so a

in

form

ação

co

nfide

ncia

l

aces

sos

inde

vido

s po

dem

pr

ovoc

ar a

lter

açõe

s in

devi

das

nos

dado

s pr

ovoc

ando

que

bras

na

inte

grid

ade

aces

sos

inde

vido

s po

dem

pr

ovoc

ar d

isru

pção

nos

pr

odut

os (e

xem

plo.

.. pa

rar u

ma

BD

Ora

cle

com

us

er S

YS

)

aplic

ação

Web

vu

lner

ável

a

Clic

kjac

king

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s) | S

ervi

dore

s em

am

bien

te

segr

egad

o (p

rote

gido

po

r Fir

ewal

l e V

LAN

s)

| Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s)


Probabilidade 2

Probabilidade

Impacto 2

Impacto




AplicaçõesA

mea

ças

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Uti

lizaç

ao d

e té

cnic

as d

e C

lickj

acki

ng

aces

so a

in

form

ação

co

nfide

ncia

l

aces

sos

inde

vido

s po

dem

pr

ovoc

ar a

lter

açõe

s in

devi

das

nos

dado

s pr

ovoc

ando

que

bras

na

inte

grid

ade

aces

sos

inde

vido

s po

dem

pr

ovoc

ar d

isru

pção

nos

pr

odut

os (e

xem

plo.

.. pa

rar u

ma

BD

Ora

cle

com

us

er S

YS

)

utili

zaçã

o de

té

cnia

s de

pr

ogra

maç

ão n

ão

segu

ras

Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s) | S

ervi

dore

s em

am

bien

te

segr

egad

o (p

rote

gido

po

r Fir

ewal

l e V

LAN

s)

| Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s)

10

Erro

s ap

licac

iona

is

erro

s na

s fu

ncio

nalid

ades

de

gest

ão d

e ac

esso

e

que

perm

item

ac

esso

s in

devi

dos

erro

s qu

e co

mpr

omet

em

a in

tegr

idad

e da

s ap

licaç

ões

e do

s da

dos

erro

s qu

e im

pact

em

na p

erfo

rman

ce e

na

disp

onib

ilida

de d

a ap

licaç

ão (e

xem

plo,

m

emor

y le

ak

aplic

acio

nal)

não

exis

tênc

ia d

e pr

oced

imen

tos

de

test

e20

"Cri

ar a

mbi

ente

s de

pré

-pr

oduç

ão

Defi

nir p

roce

dim

ento

s de

te

ste

e en

trad

a em

pro

duçã

o”

25

10

Atu

aliz

açõe

s ap

licac

iona

is, c

om

proc

edim

ento

de

inst

alaç

ão

erra

dos

impa

cto

na u

tiliz

ação

dos

ci

rcui

tos

de n

egóc

io n

as

aplic

açoe

s15

"Pro

cedi

men

to d

e G

estã

o de

A

lter

açõe

s fo

rmal

izad

oD

efini

r pro

cedi

men

tos

de

test

e e

entr

ada

em p

rodu

ção”

15

5

Atu

aliz

açõe

s ap

licac

iona

is, s

em

noti

fica

ção

de fu

ncio

nalid

ades

al

tera

das

impa

cto

na u

tiliz

ação

dos

ci

rcui

tos

de n

egóc

io n

as

aplic

açoe

s15

Proc

edim

ento

de

Ges

tão

de

Alt

eraç

ões

form

aliz

ado,

com

"c

hang

e lo

g" d

etal

hado

15

5

Atu

aliz

açõe

s ap

licac

iona

is, c

om

impl

icaç

ão n

as p

aram

etri

zaçõ

es

(cir

cuit

o fu

ncio

nal)

impa

cto

na u

tiliz

ação

dos

ci

rcui

tos

de n

egóc

io n

as

aplic

açoe

s15

Proc

edim

ento

de

Ges

tão

de

Alt

eraç

ões

form

aliz

ado,

com

do

cum

enta

ção

deta

lhad

a de

pa

ram

etri

zaçã

o

15

5

Proc

edim

ento

s op

erac

iona

is

erra

dos

erro

s qu

e co

mpr

omet

em

a in

tegr

idad

e da

s ap

licaç

ões

e do

s da

dos

erro

s qu

e im

pact

em

na p

erfo

rman

ce e

na

disp

onib

ilida

de d

a ap

licaç

ão (e

xem

plo,

m

emor

y le

ak

aplic

acio

nal)

falt

a de

do

cum

enta

ção

de s

upor

te à

op

eraç

ão

20Pr

oced

imen

tos

de o

pera

ção

form

aliz

ados

25

10

Alt

eraç

ão d

e pa

ram

etri

zaçã

o qu

e ge

ra e

rro

erro

s na

s fu

ncio

nalid

ades

de

gest

ão d

e ac

esso

e

que

perm

item

ac

esso

s in

devi

dos

erro

s qu

e co

mpr

omet

em

a in

tegr

idad

e da

s ap

licaç

ões

e do

s da

dos

erro

s qu

e im

pact

em

na p

erfo

rman

ce e

na

disp

onib

ilida

de d

a ap

licaç

ão (e

xem

plo,

m

emor

y le

ak

aplic

acio

nal)

20Pr

oced

imen

to d

e G

estã

o de

A

lter

açõe

s fo

rmal

izad

o2

510


Probabilidade 2

Probabilidade

Impacto 2

Impacto




DadosA

mea

ças

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Ace

sso

inde

vido

por

fo

rnec

edor

es e

m a

cess

o re

mot

o

aces

sos

inde

vido

s po

dem

pro

voca

r ro

ubo

de

info

rmaç

ão

aces

sos

inde

vido

s po

dem

pr

ovoc

ar a

lter

açõe

s in

devi

das

nos

dado

s pr

ovoc

ando

que

bras

na

inte

grid

ade

aces

sos

inde

vido

s po

dem

pr

ovoc

ar d

isru

pção

no

s si

stem

as s

e fo

rem

el

imin

ados

dad

os

Polít

ica

de a

cess

o de

fo

rnec

edor

es, q

ue

requ

er p

edid

o de

at

ivaç

ão te

mpo

rári

o de

ac

esso

|

20

"Mon

itor

izar

ace

ssos

re

aliz

ados

(gra

var s

essã

o de

in

terv

ençã

o - p

.e. c

onso

la)

Rea

lizaç

ão d

e au

dito

rias

”

25

10

Exis

tênc

ia d

e di

fere

ntes

cóp

ias

de in

form

ação

não

con

trol

adas

, em

dif

eren

tes

fase

s do

pr

oces

so?

regi

stos

inco

rret

os d

e in

form

ação

defi

cien

te

cum

prim

ento

de

proc

edim

ento

s de

fini

dos

20Fo

rmal

izar

/doc

umen

tar

proc

edim

ento

s a

real

izar

(f

olha

de

obra

)2

510

Perd

a de

kno

w-h

ow e

m

plat

afor

mas

ou

sist

emas

crí

tico

s

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

per

form

ance

e n

a di

spon

ibili

dade

da

aplic

ação

conh

ecim

ento

não

re

dund

ante

ou

inex

iste

nte

20"P

roce

dim

ento

s de

ope

raçã

o fo

rmal

izad

osN

omea

r bac

kup

de fu

nçõe

s”2

510

Perd

a de

kno

w-h

ow e

m

plat

afor

mas

ou

sist

emas

crí

tico

s

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

per

form

ance

e n

a di

spon

ibili

dade

da

aplic

ação

falt

a de

form

ação

15Pl

ano

de fo

rmaç

ão a

linha

do

com

nec

essi

dade

s té

cnic

as d

o am

bien

te in

stal

ado

15

5

Ata

que

por t

écni

cos

expo

siçã

o in

devi

da d

e da

dos/

info

rmaç

ão

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

dis

poni

bilid

ade

da

aplic

ação

cola

bora

dore

s in

sati

sfei

tos

Logs

dos

sis

tem

as

estã

o, p

or d

efei

to

ativ

os |

5

Ata

que

por t

écni

cos

expo

siçã

o in

devi

da d

e da

dos/

info

rmaç

ão

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

dis

poni

bilid

ade

da

aplic

ação

falt

a de

pr

oced

imen

tos

de c

ontr

olo/

mon

itor

izaç

ão

15

"Mon

itor

izar

ace

ssos

re

aliz

ados

(gra

var s

essã

o de

in

terv

ençã

o - p

.e. c

onso

la)

Rea

lizaç

ão d

e au

dito

rias

”

25

10

Que

bra

de s

ervi

ço d

e su

port

e a

aplic

açõe

s/si

stem

as

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

per

form

ance

e n

a di

spon

ibili

dade

da

aplic

ação

perd

a de

co

mpe

tênc

ia

no s

upor

te e

de

senv

olvi

men

to

de a

plic

açõe

s/si

stem

as

5

Ata

que

por c

olab

orad

ores

dos

se

rviç

os s

ubco

ntra

tado

s

expo

siçã

o in

devi

da d

e da

dos/

info

rmaç

ão

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

dis

poni

bilid

ade

da

aplic

ação

cola

bora

dore

s m

al in

tenc

iona

dos

Polít

ica

de a

cess

o de

fo

rnec

edor

es, q

ue

requ

er p

edid

o de

at

ivaç

ão te

mpo

rári

o de

ac

esso

|

5

Ata

que

por c

olab

orad

ores

dos

se

rviç

os s

ubco

ntra

tado

s

expo

siçã

o in

devi

da d

e da

dos/

info

rmaç

ão

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

com

prom

etim

ento

da

dis

poni

bilid

ade

da

aplic

ação

defi

cien

te

cont

rolo

/m

onit

oriz

ação

do

serv

iço

pres

tado

Polít

ica

de a

cess

o de

fo

rnec

edor

es, q

ue

requ

er p

edid

o de

at

ivaç

ão te

mpo

rári

o de

ac

esso

|

5Fo

rmal

izar

/doc

umen

tar

proc

edim

ento

s a

real

izar

(f

olha

de

obra

)


Probabilidade 2

Probabilidade

Impacto 2

Impacto


Equipa IT Fornecedores


Utilizadores

Processos e Procedimentos de Segurança

Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Div

ulga

ção

inde

vida

de

cred

enci

ais

de a

cess

oac

esso

inde

vido

man

ipul

ação

de

info

rmaç

ão, o

rigi

nand

o qu

ebra

de

inte

grid

ade

defi

cien

te c

ultu

ra

de s

egur

ança

do

pess

oal

Cre

denc

ial ú

nica

de

aces

so (t

ambé

m d

á ac

esso

a in

from

ação

co

nfide

ncia

l) |

9Pl

anea

r açõ

es d

e se

nsib

iliza

ção

regu

lare

s1

33

Div

ulga

ção

inde

vida

de

cred

enci

ais

de a

cess

oac

esso

inde

vido

man

ipul

ação

de

info

rmaç

ão, o

rigi

nand

o qu

ebra

de

inte

grid

ade

falt

a de

form

ação

ou

sen

sibi

lizaç

ão

Exis

te s

ensi

biliz

ação

du

rant

e se

ssão

de

apre

sent

ação

aos

in

tern

os | E

xist

e se

nsib

iliza

ção

dura

nte

sess

ão d

e ap

rese

ntaç

ão a

os

inte

rnos

|

15Pl

anea

r açõ

es d

e se

nsib

iliza

ção

regu

lare

s1

33

Ace

sso

não

auto

riza

do à

rede

e

sist

emas

aces

so in

devi

dom

anip

ulaç

ão d

e in

form

ação

, ori

gina

ndo

queb

ra d

e in

tegr

idad

e

sess

ões

ativ

as d

uran

te

expe

dien

te

Ses

sões

com

pro

teçã

o de

ecr

ã | S

essõ

es c

om

prot

eção

de

ecrã

| 3

Ace

sso

não

auto

riza

do à

rede

e

sist

emas

aces

so in

devi

dom

anip

ulaç

ão d

e in

form

ação

, ori

gina

ndo

queb

ra d

e in

tegr

idad

e

expo

siça

o m

aior

, ap

ós h

orár

io d

e tr

abal

ho

Ses

sões

com

pro

teçã

o de

ecr

ã | S

essõ

es c

om

prot

eção

de

ecrã

| 6

Alt

eraç

ão e

rrón

ea d

e re

gist

osad

ulte

raçã

o da

in

form

ação

de

paci

ente

falt

a de

con

trol

o de

ent

rada

dad

os

Ace

ssos

ger

idos

por

pe

rfis,

com

atr

ibiç

ão n

o ba

ckof

fice

| 15

"Impl

emen

tar m

ecan

ism

os d

e va

lidaç

ão d

e en

trad

a de

dad

os

Ger

açao

de

logs

apl

icac

iona

is”

15

5

Erro

do

utili

zado

ral

tera

ção

inde

vida

da

info

rmaç

ãofa

lta

de c

ontr

olo

de e

ntra

da d

ados

20Im

plem

enta

r mec

anis

mos

de

valid

ação

de

entr

ada

de d

ados

34

12

Erro

do

utili

zado

ral

tera

ção

inde

vida

da

info

rmaç

ãopr

oced

imen

tos

inap

ropr

iado

s20

Prop

or a

os s

ervi

ços

defi

niçã

o de

pro

cedi

men

tos

inte

rnos

Uti

lizaç

ão d

e so

ftw

are

não

auto

riza

do

queb

ra d

e co

nfide

ncia

lidad

e de

info

rmaç

ão

com

prom

etim

ento

da

inte

grid

ade

das

aplic

açõe

s e

dos

dado

s

não

cont

rolo

de

SW in

stal

ado

Uti

lizad

or s

em

priv

ilégi

os d

e in

stal

ação

de

sw

| Uti

lizad

or s

em

priv

ilégi

os d

e in

stal

ação

de

sw |

5

Div

ulga

ção

não

auto

riza

da d

e in

form

ação

, inc

lusi

vé a

trav

és d

e re

des

soci

ais

queb

ra d

e co

nfide

ncia

lidad

e de

info

rmaç

ão

"Cód

igo

de c

ondu

ta

Con

trat

o de

trab

alho

| “8

Sen

sibi

lizaç

ão

Não

cum

prim

ento

da

legi

slaç

ãoqu

ebra

de

confi

denc

ialid

ade

de in

form

ação

info

rmaç

ão n

ão e

stá

atua

lizad

a de

aco

rdo

com

re

gula

ção

ou le

gisl

ação

desc

onhe

cim

ento

da

legi

slaç

ão o

u su

a at

ualiz

ação

Con

trat

o de

trab

alho

| 12

Defi

nir p

roce

dim

ento

de

divu

lgaç

ão d

e in

form

ação

de

legi

slaç

ão a

plic

ável

ao

STIC

14

4


Probabilidade 2

Probabilidade

Impacto 2

Impacto



Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Defi

cien

tes

cont

rolo

de

trat

amen

to d

e ex

cepõ

es n

as

aplic

açõe

s

queb

ras

de in

tegr

idad

e da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

defi

cien

te

dese

nvol

vim

ento

de

cód

igo

20

"Pla

no d

e de

senv

olvi

men

to

de s

oftw

are

que

incl

ua

trat

amen

to d

e ex

cepç

ões

Proc

edim

ento

s op

erac

iona

is

que

mon

itor

izem

e re

gist

em

ocor

rênc

ias

para

trat

amen

to

e ev

entu

al c

orre

ção

das

aplic

açõe

s”

25

10

Falh

as n

a ge

stão

da

segu

ranç

a da

info

rmaç

ão e

a re

spos

ta

apro

pria

da a

inci

dent

es, p

or

defi

cien

te m

odel

o de

gov

erna

ção

da s

egur

ança

(que

m é

e o

que

fa

zem

os

resp

onsá

veis

pel

a se

gura

nça

dos

sist

emas

)

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

As

resp

onsa

bilid

ades

de

seg

uran

ça d

a in

form

ação

não

se

enc

ontr

am

defi

nida

s e/

ou

não

se e

ncon

tram

at

ribu

ídas

a

nenh

uma

funç

ão

dent

ro d

a or

gani

zaçã

o

Cad

a té

cnic

o/es

peci

alis

ta é

re

spon

sáve

l pel

a se

gura

nça

da s

ua á

rea

de c

ompe

tênc

ia

34

12Fo

rmal

izaç

ão d

e re

spon

sabi

lidad

e de

seg

uran

ça1

44

Falh

as n

a ge

stão

da

segu

ranç

a da

info

rmaç

ão e

a re

spos

ta

apro

pria

da a

inci

dent

es, p

or

defi

cien

te m

odel

o de

gov

erna

ção

da s

egur

ança

(que

m é

e o

que

fa

zem

os

resp

onsá

veis

pel

a se

gura

nça

dos

sist

emas

)

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Inex

istê

ncia

de

segr

egaç

ão d

e fu

nçõe

s

"O a

cess

o de

fo

rnec

edor

es é

da

do p

or a

ped

ido/

inte

rven

ção

Seg

rega

ção

entr

e G

estã

o de

Inci

dent

e e

Ges

tão

de p

robl

emas

(T

écni

co/E

spec

ialis

ta)”

24

8

Falh

as n

a ge

stão

da

segu

ranç

a da

info

rmaç

ão e

a re

spos

ta

apro

pria

da a

inci

dent

es, p

or

defi

cien

te m

odel

o de

gov

erna

ção

da s

egur

ança

(que

m é

e o

que

fa

zem

os

resp

onsá

veis

pel

a se

gura

nça

dos

sist

emas

)

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Não

são

de

senv

olvi

das

inic

iati

vas

por f

orm

a a

dese

nvol

ver o

re

laci

onam

ento

co

m a

s au

tori

dade

s co

mpe

tent

es

Esta

bele

cido

can

al

com

SPM

S/C

NC

S p

ara

repo

rtar

inci

dent

es d

e se

gura

nça,

no

âmbi

to

do R

espo

nsáv

el d

e N

otifi

caçã

o O

brig

atór

ia

(RN

O)

25

10

Man

uten

ção

do a

cess

o de

co

labo

rado

res

a si

stem

as/

info

rmaç

ão, a

pós

alte

rem

a s

ua

rela

ção

cont

ratu

al (p

.e. m

udan

ça

de s

ervi

ço o

u fu

nção

)

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

Falh

a no

pr

oced

imen

to

form

al d

e co

mun

icaç

ão

List

agem

de

RH

par

a de

sati

vaçã

o do

per

fil

(def

erid

a no

tem

po -

men

sal)

43

12

Rev

er p

roce

dim

ento

de

alte

raçã

o de

ace

ssos

, com

pe

riod

icid

ade

mai

s cu

rta

(idea

lmen

te im

edia

ta) e

au

tom

atiz

ada

(Ges

tão

de

iden

tida

des/

aces

sos

pelo

s R

H)

23

6

Processos e Procedimentos de SegurançaUtilizadores


Probabilidade 2

Probabilidade

Impacto 2

Impacto



Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Ace

sso

inde

vido

ou

man

ipul

ação

in

adeq

uada

de

info

rmaç

ão,

por f

alha

no

proc

esso

de

inve

ntar

iaçã

o do

s si

stem

as, s

eus

resp

onsá

veis

e re

gras

par

a a

sua

prot

ecão

.

aces

so a

in

form

ação

co

nfide

ncia

l

Não

exi

ste

um

proc

esso

form

al

de g

estã

o de

in

vent

ário

do

s si

stem

as

info

rmaç

ão

que

proc

essa

m

info

rmaç

ão c

ríti

ca

Exis

te d

oc E

xcel

co

m in

form

ação

dos

se

rvid

ores

32

6

Div

ulga

ção

não

auto

riza

da d

e in

form

ação

, arm

azen

ada

em

supo

rtes

de

dado

s, p

or a

usên

cia

de p

roce

dim

ento

s e/

ou fa

lha

no c

ontr

olo

de a

cess

o a

esse

s su

port

es.

aces

so a

in

form

ação

co

nfide

ncia

l

Não

exi

ste

um

proc

edim

ento

pa

ra a

ges

tão

de

supo

rtes

de

dado

s am

ovív

eis

22

4

Ace

sso

inde

vido

de

utili

zado

res

a in

form

ação

, por

inad

equa

da

impl

emen

taçã

o de

pro

cess

os

e pr

oced

imen

tos

de a

nális

e e

atri

buiç

ão d

esse

s ac

esso

s.

aces

so a

in

form

ação

co

nfide

ncia

l

Não

exi

ste

um p

roce

sso

que

gara

nta

a re

moç

ão d

os

dire

itos

de

aces

so

após

a c

essa

ção

da re

laçã

o co

ntra

tual

"Ace

sso

é da

do p

or

perfi

l (ca

tego

ria/

serv

iço)

A

cess

os

com

plem

enta

res

dado

s a

pedi

do p

elo

supe

rior

H

iera

rqui

co”

15

5

Ace

sso

inde

vido

a in

form

ação

, ut

iliza

ndo

cred

enci

ais

de

aces

so o

btid

as il

egal

men

te o

u in

devi

dam

ente

ced

idas

por

um

co

labo

rado

r ou

terc

eiro

aces

so a

in

form

ação

co

nfide

ncia

l

Não

exi

ste

uma

resp

onsa

biliz

ação

do

s ut

iliza

dore

s pe

la p

rote

ção

das

cred

enci

ais

de

aute

ntic

ação

"Exi

stem

pro

gram

as

de s

ensi

biliz

ação

Ex

isti

ndo

SS

O q

ue

perm

ite

o ac

esso

ao

s da

dos

Pess

oais

, A

ssid

uida

de e

Fi

nanc

eiro

s, in

ibiu

a

part

ilha”

14

4

Ace

sso

não

auto

riza

do a

si

stem

as e

apl

icaç

ões,

incl

uind

o có

digo

font

e, p

oten

cian

do o

ac

esso

inde

vido

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Não

exi

ste

cont

rolo

na

utili

zaçã

o de

so

ftw

are

de

adm

inis

traç

ão d

e si

stem

as

15

5

Ris

cos

de a

cess

o ou

adu

lter

ação

de

info

rmaç

ão, n

a tr

ansm

issã

o,

arm

azen

amen

to, p

or u

tiliz

ação

de

mei

os c

onsi

dera

dos

inse

guro

s (c

anai

s de

com

unic

ação

, mei

os

de a

rmaz

enam

ento

am

ovív

eis)

aces

so a

in

form

ação

co

nfide

ncia

l

Não

exi

ste

uma

polít

ica

para

uti

lizaç

ão

de c

ontr

olos

cr

ipto

gráfi

cos

para

pro

teçã

o da

in

form

ação

"Ser

vido

res

em

ambi

ente

seg

rega

do

(pro

tegi

do p

or F

irew

all

e V

LAN

s)Ex

iste

a p

ráti

ca d

e im

plem

enta

ção

de

com

unic

açõe

s se

gura

s pa

ra o

ext

erio

r (H

TTPS

e

VPN

SS

L)”

15

5



Probabilidade 2

Probabilidade

Impacto 2

Impacto



Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Ope

raçã

o ou

man

uten

ção

inad

equa

da d

os s

iste

mas

de

info

rmaç

ão, q

ue p

oten

ciem

err

os

ou in

terfi

ram

na

sua

capa

cida

de

e pe

rfor

man

ce

alte

raçã

o da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

Os

proc

edim

ento

s de

ope

raçã

o nã

o se

enc

ontr

am

docu

men

tado

s

Exis

te m

anua

l de

oper

ação

, par

a a

gene

ralid

ade

das

aplic

açõe

s (s

em o

cu

idad

o de

atu

aliz

ação

co

ntin

ua)

25

10

Ope

raçã

o ou

man

uten

ção

inad

equa

da d

os s

iste

mas

de

info

rmaç

ão, q

ue p

oten

ciem

err

os

ou in

terfi

ram

na

sua

capa

cida

de

e pe

rfor

man

ce

alte

raçã

o da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

As

alte

raçõ

es

que

afec

tem

a

segu

ranç

a do

s si

stem

as

de in

form

ação

nã

o es

tão

a se

r co

ntro

lada

s ne

m

aval

iado

s os

seu

s im

pact

os

35

15

"Pro

cedi

men

to d

e G

estã

o de

Alt

eraç

ões

form

aliz

ado,

co

m a

tiva

ção

de lo

gs

corr

espo

nden

tes

à al

tera

ção

Defi

nir p

roce

dim

ento

s de

te

ste

e en

trad

a em

pro

duçã

o”

15

5

Ope

raçã

o ou

man

uten

ção

inad

equa

da d

os s

iste

mas

de

info

rmaç

ão, q

ue p

oten

ciem

err

os

ou in

terfi

ram

na

sua

capa

cida

de

e pe

rfor

man

ce

alte

raçã

o da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

Não

exi

ste

segr

egaç

ão

de a

mbi

ente

s D

esen

volv

imen

to,

Test

e e

Prod

ução

)

35

15

Cri

ação

de

ambi

ente

s de

am

bien

tes

segr

egad

os

(Des

envo

lvim

ento

, Tes

te e

Pr

oduç

ão)

15

5

Perd

a de

info

rmaç

ão, p

or fa

lta

ou in

eficá

cia

de p

roce

dim

ento

s pa

ra s

alva

guar

da e

recu

pera

ção

de d

ados

, pot

enci

ando

falh

as

nos

plan

os d

e re

cupe

raçã

o ou

a

resp

osta

a in

cide

ntes

.

alte

raçã

o da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

A p

olít

ica

de

back

ups

não

se

enco

ntra

aju

stad

a às

nec

essi

dade

s do

neg

ócio

Ora

cle

com

fu

ncio

nalid

ade

de

Arc

hive

Mod

e, c

om

cópi

a pa

ra ta

pe

15

5

Perd

a de

info

rmaç

ão, p

or fa

lta

ou in

eficá

cia

de p

roce

dim

ento

s pa

ra s

alva

guar

da e

recu

pera

ção

de d

ados

, pot

enci

ando

falh

as

nos

plan

os d

e re

cupe

raçã

o ou

a

resp

osta

a in

cide

ntes

.

alte

raçã

o da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

Não

são

re

aliz

ados

test

es

peri

ódic

os

de re

posi

ção

aos

back

ups

real

izad

os

Têm

sid

o re

aliz

adas

re

cupe

raçõ

es a

ped

ido

25

10

Perd

a de

info

rmaç

ão, p

or fa

lta

ou in

eficá

cia

de p

roce

dim

ento

s pa

ra s

alva

guar

da e

recu

pera

ção

de d

ados

, pot

enci

ando

falh

as

nos

plan

os d

e re

cupe

raçã

o ou

a

resp

osta

a in

cide

ntes

.

alte

raçã

o da

info

rmaç

ãoin

disp

onib

ilida

de d

a ap

licaç

ão

"Sol

ução

de

bac

kup

desa

tual

izad

aA

sol

ução

atu

al

está

no

limit

e de

cap

acid

ade,

qu

e or

igin

a qu

e se

não

cor

rer u

m

back

up, s

ó po

de

ser e

xecu

tado

no

perí

odo

segu

inte

”

35

15Im

plem

enta

ção

de s

oluç

ão

de b

acku

ps a

tual

izad

a e

com

ca

paci

dade

aju

stad

a1

55

Mon

itor

izaç

ão in

efici

ente

(log

s nã

o es

tão

a se

r dev

idam

ente

re

gist

ados

e m

onit

orad

os

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

"Sem

aná

lise

de

logs

S

em c

orre

laçã

o de

eve

ntos

”

“Par

a ac

eder

do

exte

rior

à re

de d

o H

SJ é

nec

essá

rio

pass

ar p

elo

Ope

rado

r e

Mec

anis

mos

de

segu

ranç

a da

RIS

In

tern

amen

te a

rede

es

tá s

egre

gada

”

25

10



Probabilidade 2

Probabilidade

Impacto 2

Impacto



Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Não

det

eção

ou

dete

ção

inefi

caz

de in

cide

ntes

de

segu

ranç

a no

s si

stem

as d

e in

form

ação

e re

de

de c

omun

icaç

ão

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Os

regi

stos

e lo

gs

de a

tivi

dade

não

se

enc

ontr

am

prot

egid

os c

ontr

a a

adul

tera

ção

e o

aces

so n

ão

auto

riza

do

25

10

Não

det

eção

ou

dete

ção

inefi

caz

de in

cide

ntes

de

segu

ranç

a no

s si

stem

as d

e in

form

ação

e re

de

de c

omun

icaç

ão

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

As

ativ

idad

es d

os

adm

inis

trad

ores

de

sis

tem

as

não

estã

o a

ser r

egis

tada

s ne

m re

vist

as

regu

larm

ente

(W

indo

ws

com

de

faul

t)

25

10

Inst

alaç

ão d

e so

ftw

are

não

auto

riza

do, p

oten

cian

do

adul

tera

ção

da in

form

ação

alte

raçã

o da

info

rmaç

ão

Não

exi

stem

pr

oced

imen

to

para

con

trol

ar

a in

stal

ação

de

soft

war

e no

s si

stem

as d

e pr

oduç

ão

25

10

Expo

siçã

o de

info

rmaç

ão

sens

ível

atr

avés

da

rede

e,

pote

ncia

ndo

impa

cto

na

segu

ranç

a da

info

rmaç

ão e

/ou

na

imag

em d

a em

pres

a.

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

As

rede

s de

dad

os

não

se e

ncon

tram

se

greg

adas

de

acor

do c

om a

cl

assi

fica

ção

da

info

rmaç

ão

15

5

Falh

a na

con

fide

ncia

lidad

e e/

ou in

tegr

idad

e da

info

rmaç

ão

tran

smit

ida

em m

eios

de

com

unic

ação

inse

guro

s,

pote

ncia

ndo

queb

ras

de

segu

ranç

a da

info

rmaç

ão.

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

Não

exi

ste

uma

polít

ica/

proc

edim

ento

qu

e re

gula

men

te

a tr

oca

de

info

rmaç

ão

atra

vés

de

qual

quer

mei

o de

co

mun

icaç

ão

15

5

Ace

sso

a in

form

ação

sen

síve

l no

ambi

ente

de

test

es

aces

so a

in

form

ação

co

nfide

ncia

l

Os

dado

s pa

ra

test

es n

ão s

ão

sele

cion

ados

te

ndo

em c

onta

a

sua

sens

ibili

dade

, ne

m s

ão

prot

egid

os e

nem

co

ntro

lado

s

25

10



Probabilidade 2

Probabilidade

Impacto 2

Impacto



Am

eaça

s

Cons

equê

ncia

s

Vuln

erab

ilida

des

Aval

iaçã

o in

tegr

ada

CID

Mit

igaç

ão

Con

fide

ncia

lidad

eIn

tegr

idad

eD

ispo

nibi

lidad

eC

ontr

olos

exi

sten

tes

Nov

o C

ontr

olo

Não

det

ecçã

o, c

omun

icaç

ão,

gest

ão o

u pr

eser

vaçã

o de

ev

idên

cias

de

inci

dent

es d

e se

gura

nça

da in

form

ação

, po

tenc

iand

o in

adeq

uada

aná

lise

e re

spos

ta a

inci

dent

es

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Não

se

enco

ntra

m

defi

nida

s ne

m

docu

men

tada

s as

aç

ões

de re

spos

ta

a in

cide

ntes

de

segu

ranç

a

25

10

Não

det

ecçã

o, c

omun

icaç

ão,

gest

ão o

u pr

eser

vaçã

o de

ev

idên

cias

de

inci

dent

es d

e se

gura

nça

da in

form

ação

, po

tenc

iand

o in

adeq

uada

aná

lise

e re

spos

ta a

inci

dent

es

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Não

exi

ste

um

proc

esso

de

anál

ise

das

caus

as

dos

inci

dent

es

nem

a u

tiliz

ação

do

con

heci

men

to

adqu

irid

o na

pr

even

ção

de

situ

açõe

s fu

tura

s

25

10

Não

det

ecçã

o, c

omun

icaç

ão,

gest

ão o

u pr

eser

vaçã

o de

ev

idên

cias

de

inci

dent

es d

e se

gura

nça

da in

form

ação

, po

tenc

iand

o in

adeq

uada

aná

lise

e re

spos

ta a

inci

dent

es

aces

so a

in

form

ação

co

nfide

ncia

lal

tera

ção

da in

form

ação

indi

spon

ibili

dade

da

aplic

ação

Não

exi

ste

um

proc

edim

ento

pa

ra re

colh

a,

trat

amen

to e

pr

eser

vaçã

o da

s ev

idên

cias

qu

e cu

mpr

a os

re

quis

itos

lega

is

no q

ue to

ca à

co

nsti

tuiç

ão d

e pr

ova

25

10

Expo

siçã

o in

devi

da, p

erda

ou

indi

spon

ibili

dade

de

info

rmaç

ão

e do

s si

stem

as e

m s

itua

ção

de

falh

a gr

ave

indi

spon

ibili

dade

da

aplic

ação

Não

iden

tifi

caçã

o de

pro

cedi

men

tos

de c

onti

nuid

ade

de n

egóc

io

35

15D

efini

r pro

cedi

men

to e

pla

nos

de c

onti

nuid

ade

de n

egóc

io,

ara

sist

emas

crí

tico

s1

33

Falt

a de

cap

acid

ade

de

resp

osta

ade

quad

a a

inci

dent

es

disr

upti

vos

pote

ncia

ndo

impa

ctos

neg

ativ

os n

a di

spon

ibili

dade

da

info

rmaç

ão

indi

spon

ibili

dade

da

aplic

ação

A B

D n

ão p

ossu

i re

dund

ânci

a qu

e ga

rant

a a

alta

-di

spon

ibili

dade

pe

rant

e ev

ento

s qu

e co

mpr

omet

am a

su

a in

tegr

idad

e fí

sica

e ló

gica

35

15In

stal

ação

de

FailS

afe

orac

le

ou O

racl

e R

AC

15

5



Probabilidade 2

Probabilidade

Impacto 2

Impacto



Após a implementação do Plano, o Centro Hospitalar Universitá-

rio de São João, E.P.E. deverá proceder a um rigoroso controlo de

validação, no sentido de verificar a conformidade factual entre

as normas do Plano e a aplicação das mesmas.

O presente Plano, sobretudo, a execução de medidas preventi-

vas de risco neles previstas, deverá ser objeto de avaliação, no

final de cada ano civil, elaborando-se o subsequente relatório de

execução.

Com o objetivo de aferir a efetividade, utilidade, eficácia e even-

tual alteração das medidas propostas o CHUSJ deverá:

• De acordo com as diretrizes estabelecidas e para a imple-

mentação das medidas preventivas previstas, constituir um

grupo de trabalho formado pelo Auditor Interno e por um

elemento designado pelas Direções de Serviço das áreas

abrangidas.

• Assim, o controlo e monitorização do corrente Plano será

remetido para o Serviço de Auditoria Interna em estreita

colaboração com o Conselho de Administração do Centro

Hospitalar Universitário de São João, EPE.

• É uma função de avaliação exercida independentemente,

para avaliar e examinar a atividade da organização e a pros-

secução do Plano, numa ótica de prestação de um serviço à

própria organização. Numa fase de implementação inicial

do Plano, o Centro Hospitalar Universitário de São João,

E.P.E. deve ter como objetivo de monitorização periódica a

emissão de um relatório anual onde é feita a auditoria/ava-

liação interna do Plano.

• Divulgar, pelos colaboradores, os relatórios decorrentes do

trabalho desenvolvido pela Comissão de Acompanhamento.

Neste âmbito, deverão ser criados métodos e definidos proce-

dimentos pelos responsáveis dos Serviços, que contribuam para

assegurar o desenvolvimento e controlo das atividades de forma

adequada e eficiente, de modo a permitir a salvaguarda dos ati-

vos, a prevenção e deteção de situações de ilegalidade, fraude

e erro, garantindo a exatidão dos registos contabilísticos e os

procedimentos de controlo a utilizar para atingir os objetivos

definidos.

4. CONTROLO E MONITORIZAÇÃO DO PLANO


O Conselho de Prevenção da Corrupção (CPC) aprovou, em reu-

nião de 7 de Novembro de 2012, a Recomendação n.º5/2012, que

prevê, nomeadamente, que “As Entidades de natureza pública, ainda que constituídas ou regidas pelo direito privado, devem dispor de mecanismos de acompanhamento e de gestão de conflitos de interesses, devidamente publicitados, que incluam também o período que sucede ao exercício de funções públicas, com indicação das consequências legais.”

Neste sentido, encontra-se neste momento em fase de audiên-

cia prévia e aprovação, a versão preliminar do Código de Ética

que permita dar cumprimento à referida recomendação, asse-

gurando que são recolhidos e incorporados todos os contributos

adequados, tendo sido revisto no sentido de incorporar a glo-

balidade dos princípios orientadores previstos no Despacho n.º

9456-C/2014 que regula o Código de Conduta Ética dos Serviços

e Organismos do Ministério da Saúde.

5. GESTÃO DE CONFLITOS DE INTERESSES


Centro Hospitalar Universitário de São JoãoAlameda Professor Hernâni Monteiro4202-451 Porto

T +351 225 512 100E [email protected] www.chusj.ptCe

ntro

Hos

pita

lar U

nive

rsitá

rio d

e Sã

o Jo

ão · R

egis

to n

a ER

S n.

º E10

2570

· Ser

viço

de

Com

unic

ação

e M

arca

· 201

8

chu de são joão - plano execução plano prevenção riscos...

Documents