Trabalho De SASI

226 visualizações

Publicada em

Trabalho de Segurança e Auditoria de Sistemas de Informação

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
226
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Trabalho De SASI

  1. 1. Segurança e Auditoria de Sistemas de Informação Prof. Rêmulo Maia Período: 2015/1 AAlunos Empresa Cristiano Mesquita Garcia (201010706) Eduardo Almeida Soares (201020439) Elder Ferreira (200920461) Rodrigo Tavares Coimbra (201410761)
  2. 2. A Organização A Empresa A HI Transportes tem por razão social o nome de HI Transportes LTDA. Foi fundada em 1982, atuando na área de transportes de carga granel. Hoje, a empresa é considerada de médio porte, contando com um quadro de aproximadamente 272 funcionários, sendo 166 motoristas e 106 funcionários administrativos. A HI possui, ainda, um faturamento anual aproximado de R$ 72 milhões. A Empresa presta serviços na área de transporte de granéis sólidos minerais, químicos e agrícolas. Atua também no transporte de produtos perigosos e matérias­primas para indústrias química, siderúrgicas, de cimento, de papel e celulose, fertilizantes, usinas de açúcar e álcool, entre outras. Atualmente, tem como principais clientes: AngloAmerican, AcelorMittal, Belocal, Heringer, Gerdau, Imerys, InterCement, Lafarge, Petrocoque, Samarco, Suzano, Tortuga, Usiminas e Votorantim. Como principais concorrentes, a HI considera: CESARoma Transportes e Rodolatina Transportes. Cenário A empresa possui sua matriz situada na cidade de Lavras/MG. a HI Transportes atua nas regiões Sudeste e Centro­Oeste, com filiais em Atibaia/SP, Cubatão/SP, Ipatinga/MG, São José da Lapa/MG, Perdões/MG e Barro Alto/GO. A HI tem como política a busca permanente pela eficácia e qualidade na prestação dos serviços de transporte, de forma sustentável, acreditando no comprometimento de seus colaboradores, zelando pela saúde, segurança, patrimônio, meio ambiente, responsabilidade social, respeitando os clientes e a legislação aplicável, em prol de melhorias contínuas de seus processos, através da inovação de seus equipamentos. Missão, Visão e Valores ● Missão “Conduzir seus negócios com responsabilidade, oferecendo transporte rodoviário de carga, priorizando a satisfação do cliente e relações duradouras. Garantindo qualidade, segurança, eficiência e fidelidade no serviço prestado.” 1
  3. 3. ● Visão “Ser empresa referência no mercado nacional de transporte de carga.” ● Valores “Ética e transparência na condução de seus negócios. Respeito em relacionamentos internos e externos. Comprometimento com o desenvolvimento sustentável. Honestidade como princípio básico para gerir o patrimônio humano e físico.” Organograma O organograma completo da HI Transportes é mostrado na Figura 1. Já o organograma específico da área de TI, contendo o Coordenador de TI, Analista de TI e Sistemas, Estagiário e Consultor é mostrado na Figura 2. Figura 1: Organograma completo da HI Transportes Ltda. 2
  4. 4. Figura 2: Organograma área de TI Funções e Responsabilidades do gestor de Segurança da Informação A responsabilidade sobre a Segurança da Informação é distribuída entre os integrantes da Tecnologia da Informação, especialmente entre o Analista de TI e Sistemas e o Consultor. As atribuições do Analista de TI, que foi o entrevistado, são, entre outras: ● Monitoramento de Servidores; ● Monitoramento de Controladores de Rede; ● Análise de Desempenho de Servidores e Rede; ● Gerência instalação e manutenção de softwares nos servidores; ● Coordenação da equipe de suporte ao ERP e ao TMS (Track Management System). Tecnologia de Informação A TI na HI O Departamento de Tecnologia da Informação, conta com 3 (três) funcionários próprios: um Coordenador de TI & Sistemas, um Analista de TI & Sistemas e um Estagiário. Há também um consultor para tratar da parte de infra­estrutura (Servidores/Rede). 3
  5. 5. A HI Transportes possui 40 computadores na matriz, sendo 3 servidores, 3 patch panels e 1 switch Dell. A empresa também possui um software de gestão chamado Visual Rodopar, bem como um sistema de folha de pagamento, como será apresentado na próxima Seção. Sistemas de Informação A HI Transportes conta com 2 (dois) Sistemas de Informação para auxílio na gestão das atividades operações e estratégicas. São eles: Visual Rodopar Visual Rodopar é um sistema de gestão avançado que permite o gerenciamento de transporte de cargas e logística para empresas de qualquer tamanho. O sistema foi adquirido juntamente com os módulos de controle ERP (Enterprise Resource Planning), WMS (Warehouse Management System, para gerência de armazéns e carga), TMS (Track Management System, para rastreio de caminhões e cargas) e BI (Business Intelligence). Este sistema é utilizado em todos os setores da empresa, auxiliando desde a entrega da carga até mesmo no cálculo de combustível. A exceção da utilização do sistema é apenas por parte folha de pagamento dos funcionários. ADP Folha ADP Folha é um sistema Web de controle de ponto e gestão da folha de pagamento dos funcionários, onde é gerenciado o histórico de pagamentos, cálculo de acordos sindicais, recálculo de salário por grupo de funcionários, geração de guias de recolhimento, entre outras atividades. Além destes sistemas, a HI Transportes conta também com um sistema de rastreamento tempo­real via satélite da frota da empresa: o OnixSat. Com este sistema, também é possível fazer bloqueios, emitir alertas e trocar mensagens com o motorista. A HI conta com outros sistemas auxiliares, como o AMANDA, utilizado para Backup; Google for Work, utilizado para emails, criação e compartilhamento de documentos; Google Vault, para auditoria de emails e conversas utilizando Google Hangout; e o próprio Google Hangout, para chamadas e vídeo conferências. 4
  6. 6. Diagnóstico da Gestão de Seg. da Informação Foi utilizada a ISO 27002 como guia, foram avaliados os seguintes pontos, com seu respectivo número de seção na norma e com sua capacidade avaliada de acordo com o framework COBIT 5: 5 ­ Política de Segurança da Informação Este item diz respeito à criação de um documento de política de segurança da informação aprovado pela direção e comunicado aos funcionários. Na empresa não existe um documento como este. Logo, este processo se encontra incompleto. 6 ­ Organizando a Segurança da Informação Este item refere­se ao comprometimento da direção, à atribuição de responsabilidades sobre a SI, acordos de confidencialidade, e contato com autoridades e grupos especiais (especialistas), além da identificação de riscos relacionados às partes externas. Neste quesito, as atribuições são definidas e estão sobre o Analista de TI e Sistemas e o consultor externo. Há um início de comprometimento da direção com a SI. Não há acordos de confidencialidade, e os contatos com autoridades e grupos especiais ficam por conta do consultor em segurança. Neste caso, o processo é considerado realizado, pois existe e é executado, no entanto tem muito o que melhorar. 7 ­ Gestão de Ativos Diz respeito à responsabilidade por ativos e classificação da informação. Quanto à responsabilidade sobre os ativos, ela está sobre o Analista de TI e Sistemas, que gerencia os ativos, embora não haja nada formalizado, portanto, realizado. No entanto, quanto à classificação da informação, não existe nada especificado, sendo classificado como incompleto. Pesando ambos para uma única saída, temos que a gestão de ativos é considerada incompleta. 8 ­ Segurança em Recursos Humanos No que se refere à segurança em recursos humanos, a função deste controle é documentar papéis e responsabilidades antes, durante e após a contratação de pessoal, a fim de reduzir o risco de roubo, fraude ou mau uso de recursos. Neste ponto, também não há 5
  7. 7. nada documentado em sua maioria. Segundo o Analista de TI e Sistemas, os funcionários são orientados a não deixar o recinto com informações importantes à mostra, computador desbloqueado, entre outros pontos. Além desta, não há nenhum outro tipo de conscientização. As permissões de acesso aos sistemas são revogadas com a saída do funcionário da empresa. Este processo foi classificado como incompleto. 9 ­ Segurança Física e do Ambiente Neste ponto, que também inclui a segurança de equipamentos, ainda há muito o que se fazer. A construção da empresa é muito aberta, embora conte com portão eletrônico, câmeras de vigilância e vigias noturnos. Há terrenos baldios nas redondezas, e a construção não tem muros na frente. A estrutura se assemelha mais a de um escritório. Quanto aos equipamentos, não há nenhum dispositivo, como cadeados, para impedir roubo. Há um cofre, onde fica armazenado o backup extra. O descarte de equipamentos como disco rígido é realizado somente após a formatação completa. Este processo é considerado realizado. 10 ­ Gerenciamento das Operações e Comunicações No que diz respeito ao gerenciamento das operações e comunicações, não há documentação que regulamente as operações dentro do contexto da organização, como por exemplo os critérios de aceitação para novos sistemas e atualizações. Na proteção da integridade dos softwares e da informação, existe a proteção com o auxílio de antivírus e um firewall, além do monitoramento por parte do Analista e do Consultor externo. São realizados 5 backups durante o dia. Um dos backups é armazenado em um cofre físico. A segurança de serviços de redes é monitorada pelo Analista de TI e Sistemas, mas o Consultor também auxilia na verificação. As mensagens eletrônicas e conversas do Google Hangout são armazenadas e podem ser auditadas com a ajuda da ferramenta Google Vault. Este processo foi avaliado como realizado, porém não existe nada formalizado. 11 ­ Controle de Acesso Os privilégios são gerenciados também pelo Analista de TI e Sistemas, porém há pouca conscientização sobre a utilização de senhas fortes e a análise crítica dos direitos de acesso de usuário. 6
  8. 8. Há política de mesa limpa devido a treinamentos, como em 5S. Os usuários possuem ID único de uso intransferível e os Sistemas Operacionais são programados para fazer logoff por inatividade. Este processo foi avaliado como incompleto. 12 ­ Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Os sistemas que foram adquiridos já são utilizados em/por outras empresas, o que trouxe a suposição que o sistema funciona corretamente. Como não existe desenvolvimento e manutenção de Sistemas de Informação na empresa, este processo foi avaliado como incompleto. 13 ­ Gestão de Incidentes de Segurança da Informação Eventos de segurança são monitorados através do monitoramento de rotina realizado pelo Analista de TI e Sistemas, porém não há uma documentação para o aprendizado nem documentação de evidências. Este processo foi avaliado como realizado. 14 ­ Gestão da Continuidade do Negócio Não há uma gestão de continuidade de negócio. Mesmo para o backup que é guardado num cofre, não há uma cópia redundante em outra localização para o caso de uma catástrofe. Este processo foi avaliado como incompleto. A tabela abaixo resume a situação dos níveis de capacidade da Segurança da Informação na Empresa, de acordo com o COBIT 5. Cód Processo Nível de Capacidade Incompleto Realizado Gerenciado Estabelecido Previsível Em Otimização 5 Política de Segurança da Informação X 6 Organizando a Segurança da Informação X 7 Gestão de Ativos X 7
  9. 9. 8 Segurança em Recursos Humanos X 11 Segurança Física e do Ambiente X 10 Gerenciamento das Operações e Comunicações X 11 Controle de Acesso X 12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação X 13 Gestão de Incidentes de Segurança da Informação X 14 Gestão da Continuidade do Negócio X Como é planejado o investimento em SI da empresa O investimento em segurança da informação na empresa HI Transportes ocorre por demanda, ou seja o capital investido é de acordo com as necessidades do negócio da empresa. Como as decisões são tomadas Segundo o Analista de Sistemas, as decisões da empresa relacionadas a segurança da informação são tomadas conforme os problemas ocorrem, não possuindo então um padrão para tal devido a falta de planejamento em SI. Como se garante segurança, quais as formas de controle, como se administra, como se investe, como se controla o patrimônio e as atividades utilizando a TI? A HI transporte utiliza vários recursos tecnológicos como uma forma de controle de segurança da informação. Será detalhado abaixo, os mecanismos que ela utiliza conforme 8
  10. 10. descrito pelo analista de sistemas da organização: Para previnir ataques de intrusos a suas preciosas informações a empresa utiliza um Firewall UTM da empresa BluePex, que é uma evolução do firewall tradicional, unindo a execução de várias funções de segurança em um único dispositivo. Esta unificação das funções permite o gerenciamento da segurança em um único painel, facilitando a prevenção, detecção e ação contra ameaças de variadas fontes. O UTM também garante que as soluções de segurança encontradas nele sejam compatíveis e complementares, diminuindo brechas ou falhas de segurança. Há também na empresa um sistema de backup denominado AMANDA. Sistema no qual possuí livre distribuição e necessita de um servidor de sistema Linux para instalação. Através dessa ferramenta todas as informações da organização são gravadas diariamente em fitas LTO (Linear Tape­Open), que é um padrão que foi desenvolvido pela Hewlett­Packard, IBM e Certance com objetivo de atender a servidores de médio porte. Para a segurança e controle de sua frota de veículos, a HI transportes utiliza o sistema de rastreamento via satélite OnixSat, que possibilita monitorar o status de sua frota em tempo real, permitindo verificar a localização de veículos no mapa, bem como os principais pontos de referência: postos policiais, postos de combustível e assistências técnicas autorizadas. Outra vantagem é a possibilidade de se obter relatórios para análise de mensagens, posições, comandos e alertas recebidos e enviados para o motorista, Além de possibilitar a comunicação entre operador e motorista através de macros no computador de bordo. Na matriz da empresa, há um backup de todas as máquinas disponíveis, através de um perfil denominado "nômade", possibilitando que usuário veja em seu desktop apenas um espelho de toda informação que está contida no servidor, sendo que o backup Amanda faz a segurança de toda informação uma vez ao dia. Todos os e­mails da organização são auditorados por uma ferramenta denominada VAULT que é fornecida pela Google. O Google Apps Vault é um complemento do Google Apps que permite reter, arquivar, pesquisar e exportar as mensagens de e­mail e bate­papo de toda organização de acordo com as necessidades de compliance e descoberta eletrônica. também permitindo que o usário pesquise e exporte os arquivos da organização no Google Drive. O Google Apps Vault é inteiramente baseado na Web, portanto não há necessidade de fazer nenhuma instalação ou manutenção de software. Há também na empresa um antívirus, Symantec, que é responsável pelo controle de dispositivos móveis, de arquivo nos computadores da organização, evitando ameaças. O antivírus Symantec possuí excelente desempenho e gerenciamento inteligente para ambientes físicos e virtuais. Utilizando a maior rede de informações globais do mundo inteiro, 9
  11. 11. a Symantec identificando proativamente arquivos em risco e interrompendo ameaças de dia zero sem prejudicar o desempenho dos computadores da organização. Qualquer computador que queira se conectar ao domínio da organização é forçado a instalar o antivírus Symantec por questões de segurança. Logo, os visitantes necessitam de uma rede paralela para se conectarem a Web quando dentro da organização, o que protege a rede principal. O backup completo do banco de dados da HI transportes ocorre à 00:00h, paralelamente ocorrem 4 backups diferenciais a cada 6 horas, para a segurança completa da informação. Por medida de segurança, os logs de modificação do sistemas são gravados a cada hora no banco de dados. Todos os backups realizados, são armazenados em um servidor paralelo, no qual a cada início de “turno” do departamento de tecnologia da informação, são transferidos para um disco rígido externo onde é depositado em um cofre da empresa. Elaboração do PESI (Plano Estratégico de Segurança da Informação) Plano Estratégico de Segurança da Informação Código de Registro: PESI ­ 001 data : 26/05/2015 Localidade : Lavras ­ Minas Gerais Assunto : Plano estratégico de Segurança da Informação ­ HI transportes Elaborado por : Grupo 04 1 Disposições Iniciais 1.1 Finalidade Este documento tem por finalidade apresentar o planejamento estratégico de Segurança da Informação para empresa HI Transportes. 1.2 Metodologia 10
  12. 12. O processo de preparação do plano estratégico de Segurança da Informação, englobou as seguintes etapas: 1. Reunião para entendimento do projeto e definição de escopo 2. Planejamento de entrevistas com a alta direção 3. Extração dos requisitos com a alta direção 4. Definição do modelo de Gestão de SI. 5. Mapeamento das áreas de Negócio 6. Diagnóstico de governança de SI e gestão de SI 7. Realização da analise e avaliação de riscos. 2 Diagnósticos da Segurança da Informação Nesta etapa tem­se que identiticar cada área da organização e posteriormente identificar os responsáveis por cada área e sua relevância para os seus objetivos estratégicos. 2.1 Mapeamento da Organização Nome do processo Área Responsável Relevância Vendas Comercial Dir. Com&Oper Muito alta Faturamento Financeira Dir. Admi.Financ Muito alta Logística Transporte Dir. Com&Ope Altíssima Marketing Comercial Ger. Admi.Financ Média Licitações Jurídica Dir. Jurídico Muito Alta 2.2 Análise sobre a Governança de SI Análise da escala de relevância do processo da área da organização Mapeamento Área/Processo Classificação do Impacto Classificação da Prioridade Relevância Criticidade Processo Rel. Processo C I D G U T Comercial Vendas MA MA MA A AT AT A MA A Financeira Faturamento MA MA MA MA AT AT A MA A Transporte Logística MA MA MA MA AT AT A AT AT 11
  13. 13. Comunicação Marketing M M M M B M A M M Jurídicas Contrato A MA MA MA MA AT A MA A Para facilitar a disposição dos dados da tabela acima, foi construído um esquema de siglas para a legenda: Siglas: C Confidencialidade AT Altíssimo I Integridade MA Muito Alto D Disponibilidade A Alto G Gravidade M Médio U Urgência B Baixo T Tendência MB Muito baixo Consolidação dos resultados do estudo de impacto e prioridade 3 Posicionamento estratégico de SI 3.1 Missão e Visão Missão: Prover segurança eficiente às informações da organização, propondo soluções de tecnologia da informação para garantia de tal, assegurando o alinhamento do negócio com os objetivos de Segurança da Informação e garantindo continuidade do negócio. Visão: Ser empresa atualizada quanto as questões de Segurança da Informação, alinhando as questões de Segurança da Informação com os objetivos de negócio. 3.2 Objetivos de Segurança da Informação 1 Objetivo: Proteção das áreas críticas da organização contras possíveis ataques e ameaças, implantando controles de Segurança da Informação, para que se possa garantir a integridade 12
  14. 14. destas. 2 Objetivo: Não permitir a interrupção das atividades dos processos organizacionais, garantindo a continuidade do negócio, protegendo os processos críticos contra falhas, ameaças ou desastres, garantindo a retomada das ações em tempo considerável. 3 Objetivo: Implantação de Governança de Segurança da Informação, que estabeleça diretrizes gerais de Segurança da Informação. 4 Objetivo: Educação, treinamento e conscientização dos recursos humanos quantos as questões relacionadas com a Segurança da Informação. 3.3 Matriz dos objetivos estratégicos X objetivos de SI 13
  15. 15. 4. Implantação do Plano Estratégico de Segurança da Informação 4.1 Plano de Ação 14
  16. 16. 15
  17. 17. 4.2 Período de Planejamento 4.3 Fatores Críticos de Sucesso ­ Apoio político e financeiro da empresa, para que se possam ser desenvolvidas as etapas de ações de Segurança da Informação ­ Divulgação da Segurança da Informação no âmbito empresarial de modo claro e eficiente ­ Entendimento da Segurança da Informação como parte do planejamento estratégico da empresa ­ Treinamento adequado para certificação de Segurança da Informação ­ Aquisição da infraestrutura necessária para implementação do plano de ação. ­ Estrutura de gerenciamento de Segurança da Informação. 5 Aprovação Aprovado por :______________________________________________ Presidente do comitê de SI 16
  18. 18. Conclusão A HI Transportes Ltda. é uma empresa que atua no ramo de transporte de granéis. Apesar de ser uma empresa em franco crescimento, com muitos funcionários e diversas filiais, deixa a desejar quanto às questões relacionadas à Segurança da Informação. Como previsto, a segurança da informação é tratada pela empresa mais como um gasto do que como investimento. O objetivo deste trabalho foi propor uma série de ações de melhoria da Segurança da Informação na organização, utilizando como base as normas internacionais ISO/IEC 27002, avaliando os processos de segurança da informação com auxílio do COBIT 5. Este trabalho foi de grande valia para os integrantes do grupo 4, que puderam estar em contato direto com segurança da informação em uma empresa do mundo real, analisando e sugerindo melhorias de acordo com o conhecimento obtido no decorrer do semestre. Esta experiência prática proporcionou uma visão mais ampla e profunda sobre as questões de Segurança da Informação, que até então passam despercebidas. O plano de ação resultante do trabalho será entregue aos profissionais responsáveis pela tecnologia da informação na empresa objeto de estudo. 17
  19. 19. Apêndice  Perguntas levantadas para HI Transportes   1. Qual o ramo de negócio da HI Transportes?  2. Existem filiais? Se sim, onde?   3. Desde quando a empresa existe?   4. Quantos funcionários?   5. Quem são os principais clientes?   6. Quem são os principais concorrentes?   7. Quais são os principais produtos transportados?   8. Qual o faturamento anual da empresa?   9. Existem missão, visão e valores da empresa? Se sim, quais são?   10. Como os funcionários estão organizados na empresa?   11. Como é organizada a TI?  12. Quais são os sistemas de informação utilizados pela empresa?  13. Vocês possuem ferramentas ou equipamentos auxiliares? Se sim, quais?  14. Quais/quantos equipamentos vocês possuem?  15. Quem são os responsáveis pela Seg. da Informação?  16. Existem treinamentos em Seg. da Inf.  dos funcionários?  17. Como a empresa protege suas informações?  18. Como a empresa enxerga as questoes de Seg. da Informação? Como e quanto é  investido?  19. Existem políticas de segurança da informação? De quanto em quanto tempo estas  políticas são revisadas?  20. A direção é comprometida com a segurança da informação na empresa?  21. As atribuições de responsabilidades sobre a segurança da informação são  formalmente definidas?  22. Como é tratada a proteção da informação?  23. Os profissionais responsáveis pela Seg. da Informação se mantém atualizados?  24. Existe acessos externo aos dados da empresa? VPN  25. Os equipamentos são identificados e gerenciados? Quem é responsável pela  gerência dos ativos? Existe uma documentação que regula o uso de informações e  ativos?  26. Os equipamentos são classificados por ordem de importância?  27. Os funcionários recém contratados recebem instruções sobre proteção da  informação? Eles são informados sobre suas responsabilidades e sobre o que  uma quebra de sigilo pode acarretar? Eles assinam um termo de sigilo sobre as  informações?  28. Quando os funcionários são demitidos, suas permissões são revogadas?  29. A rede interna possui algum tipo de proteção?  30. Existe uma manutenção preventiva dos equipamentos?  31. Existe alguma política de descarte de equipamentos?  32. Existem políticas que objetivam minimizar as falhas nos sistemas?  33. Existe alguma política de aceitação e validação de sistemas? 
  20. 20. 34. Existem políticas para proteger a integridade de software e das informações?  35. Vocês realizam atividades de backup? Como são feitos? Qual a frequência? Onde  voces armazenam o backup?  36. Existe política de utilização de mídias pessoas nos computadores da empresa?  37. Existe algum mecanismo que monitora o envio de email e troca de mensanges?  38. Existem registros de auditoria?  39. Os relógios são sincronizados?  40. As permissões dos usuários são analisadas criticamente de tempos em tempos?  41. Existe uma orientação sobre utilização de senhas seguras?  42. Existem equipamentos sem monitoramento?  43. Existe política de mesa limpa e tela limpa?  44. Os usuários possuem ID único?  45. Existe política de análise e especificação de requisitos de segurança para  aquisição de novos sistemas?  46. Os SO são atualizados periodicamente?  47. Eventos de segurança da informapção são notificados à direção?  48. Existe uma gestão de conhecimentos para as lições aprendidas com as incidentes  de segurança da informação?  49. Existem mecanismos que garantam a continuidade do negócio?  50. Existe um plano de continuidade de negócio? Ele é revisado periodicamente?  51. Quantos e quais são os departamentos da empresa?   52. Qual seria a gravidade de uma falha de segurança em cada departamento?  53. Qual a urgência na correção de uma falha de segurança em cada departamento?  54. O quão grave é uma falha de confidencialidade em cada departamento?  55. O quão grave é uma falha de integridade em cada departamento?  56. O quão grave é uma falha de disponibilidade em cada departamento?   

×