N1- Sistema de segurança da informação - Fabricio Silva RA 2021315481

Prévia do material em texto

Nome : Fabricio Alexander Nepomuceno da Silva
RA : 2021315481
SGSI - Sistema de Gestão de Segurança da Informação
Resolução do Caso n1 
1. Estudo de Caso: SGSI na empresa CONSULTE Service
 
Questão 1
 
A empresa SIST TECNOLOGIA está fazendo o levantamento das estratégias que a empresa CONSULTE Service implementará de acordo com a política e seus objetivos. Descreva os requisitos necessários para estabelecer o SGSI nas etapas de definição do escopo e de definição da política da CONSULTE Service.
 
Questão 2
 
Como a eficiência poderia ser avaliada pela empresa SIST TECNOLOGIA na etapa de monitoramento e análise crítica do SGSI após a implantação do sistema na empresa CONSULTE Service? Justifique sua resposta.
 
Questão 3
 
Para que a implantação do SGSI na empresa CONSULTE Service tenha sucesso, garanta a melhoria contínua e atinja os objetivos definidos pela empresa, quais as ações devem ser tomadas? Justifique sua resposta.
Orientações para a realização da Atividade .
Introdução 
Iniciando o projeto na empresa SIST TECNOLOGIA, com a definição do escopo para implantação do SGSI. 
Atuamos juntamente com o comitê executivo da empresa cliente o tempo limite do projeto em 12 meses à partir da entrega do escopo para o fim do projeto. O objetivo principal é automatizar o processo de gerenciamento de TI , por meio de sistemas integrados e mapeamento detalhado dos processos de ativos da empresa e riscos a conformidade por meio de ameaças externas.
Desenvolvimento
Definimos no escopo do trabalho que todos os processos de ativação de sistema, políticas de segurança da informação e gestão de TI e a auditoria do mesmo, está sob a supervisão da empresa terceirizada CONSULTE SERVICES. Toda a Infraestrutura de TI e redes é fornecida para contratante SIST TECNOLOGIA e as demais gestão dela. O Budget do projeto está prefixado no termo de contrato com a terceirizada CONSULTE SERVICES, assim será repassado todos os valores de pessoal e recursos executados pela terceirizada.
Todo projeto terá base na ISO27001 e na diretiva SOX, pois a empresa e seus clientes são integrantes da bolsa de valores.
Nossa estratégia é reformular a política de segurança da informação (PSI) do qual verificamos vulnerabilidades externas no processo no controle de terceiros, parque de máquinas obsoletas, otimização de processos por meio de um sistema integrado para diminuir impactos ao negócio. 
Verificamos juntamente com a área de negócios a necessidade de centralizar um sistema automatizado do processo de gestão, pois com a alta demanda de clientes tivemos uma queda na qualidade dos produtos. Nesse cenário juntamente com a equipe diretiva da empresa notamos que precisamos maximizar os processos de TI e os demais projetos.
Vimos que a empresa contratante obteve um crescimento exponencial de seus serviços, sendo assim não obteve recursos para gerenciar seus ativos alocados nos clientes de forma segura. 
Implantaremos uma politica de segurança da informação no qual visa a capacitação online periodicamente nos funcionários, com testes de e-mail , phishing alarm e a criação da URA de atendimento interno juntamente com o Helpdesk de mercado Servicenow do qual integra tanto a área de serviços de TI quanto suporte de clientes assim otimizando recursos , melhorando o atendimento ao cliente , facilidade nos registros de chamados e auditoria. 
Com as devidas aprovações do budget já aprovado pela diretoria o gerente do projeto elaborar um relatório de implementação do sistema mensalmente e encaminhara ao gestor responsável pela área mensamente a partir da implantação.
 
Após a conclusão do sistema SERVICE NOW , teremos ferramentas para auditar e automatizar os processos de gestão de ativos e na gestão de recursos de TI , avaliando tempo operantes dos usuários e funcionários em tempo real.
A próxima implantação será na modernização do parque de máquinas do qual enviaremos um checklist para todos nossos analistas de TI para realizar rotinas de backup e atualização do Windows 10 e antivírus com rotinas diárias e mensais.
Cerca de 100 máquinas serão adquiridas como comodato da Lenovo do qual a mesma em contrato de 3 anos para modernização das máquinas e servidores lógicos. Agregando valor a empresa cliente e também mitigando engasgo de recursos e vulnerabilidade por hardwares legados. 
Realizaremos uma revisão de acessos ao ERP’s SAP e também o TOTV’s e os demais sistema, do qual focaremos nos padrões ISO/IEC 27000 e SOX , pois não havia nenhum workflow de acessos de forma automatizada. A empresa fazia o processo com base no envio do email para gestor na contratação e no desligamento. Hoje com a implantação do SERVICENOW já temos a aprovação de admissão e demissão bem mais transparentes para os gestores e terceiros.
Aplicamos o mapeamento de rede Zabix na sede da empresa do qual ativamos os servidores em nuvem e servidores locais , criamos a área especifica de segurança da informação , uma área especifica dentro da TI focada em gestão de acessos , controle de mudanças , analise de riscos e auditoria ,pois anteriormente ficava em baixo do pilar de infraestrutura de TI.
Modernizamos nossos servidores locais para serviço 100% em nuvem, tivemos um alto custo de implantação desse recursos, porém com os estudos baseados em 2021 tivemos um reflexo na receita da empresa positivo após deixar consultórios físicos da empresa e aplicar á política home office, juntamente de uma ampla campanha de conscientização de segurança da informação com uma serie de palestras e documentos de SI.
Após os 6 meses da implantações prosseguiremos com o processo de monitorar e medir, revisar todos os parâmetros e comprimento da PSI e relatórios de vulnerabilidades. Contrataremos uma empresa especializada em testes de penetração para checar níveis de maturidade dos sistemas e processos e análise GAP.
Conclusão 
Após ao longo de 12 meses do projeto verificamos que nossa equipe conseguiu implementar o SGSI da empresa contratante com êxito, assim mitigamos uma serie de riscos de vulnerabilidade. Boa parte do processo foi nas manutenções e melhorias da rede e infraestrutura com os devidos upgrades nas máquinas e o serviço em nuvem e com rotinas de backups e registros de logs automatizada e devidamente auditada por área especifica do cliente. Com plano de ações corretivas para melhoria permanente de forma pratica e seguindo os modelos internacionais.
O processo de gestão de chamados envolvendo TI e o catalogo de serviços da empresa cliente foi atualizada para um sistema de mercado SERVICENOW , do qual a plataforma gerencia e uniformiza o processo de gestão de TI de forma ampla para todas as demais unidades , juntamente com o controle de ativos de TI centralizado e altamente controlado por meio de registros e logs.
A empresa SIST TECNOLOGIA informa que após ao termino do projeto da terceirizada CONSULTE Service contratara seus serviços de forma ampla ao gerenciamento de chamados e auditória.
Referências bibliográficas 
Autor: Miguel Mendonza
Link : https://www.welivesecurity.com/br/2017/12/22/consideracoes-para-implantacao-do-sgsi/
Instituto PMI Santa Catarina 
Link : https://pmisc.org.br/oportunidades/guia-pmbok/
Blog- Gestão de TI – PMBOK Gestor de TI Marcio d’Avilla
Link : http://www.mhavila.com.br/topicos/gestao/pmbok.html
GALVÃO, M. da C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.