PIM VIII SISTEMA DA INFORMAÇÃO

Prévia do material em texto

UNIVERSIDADE PAULISTA 
 
 
 
 
 
 
 
 
FULANO DE TAL - 0123456 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
PIM –PROJETO INTEGRADO MULTIDICIPLINAR: 
 
SISTEMAS DE SEGURANÇA - UNIP 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SÃO PAULO 2021 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
FULANO DE TAL 
 
 
 
PIM –PROJETO INTEGRADO MULTIDICIPLINAR: 
 
SEGURANÇA DA INFORMAÇÃO - UNIP 
 
 
 
 
 
Trabalho para a conclusão do bimestre, requisito parcial na 
obtenção do título de graduação em segurança da Informação 
apresentado à Universidade Paulista – UNIP. 
 
 
 
 
Orientador: Prof. BELTRANO DA SILVA 
 
 
 
 
 
 
 
São Paulo 2021 
 
RESUMO 
 
 
 
 
O desenvolvimento deste projeto será elaborado uma clinica médica fictícia 
onde terá o principal objetivo buscar o entendimento de mapeamento dos riscos que 
ameaçam esse tipo de setor, propondo medidas preventivas de ação aos riscos e 
ameaças encontradas, no desenrolar da ação será analizado e proposto um método 
de forense computacional na simulação de um vazamento de informação devido a 
um furto cibernético, a empresa ficticia terá todos os prontuários médicos 
alimentados, acessados e armazenados em uma plataforma em núvem da Amazon 
ao mesmo tempo que o contrato de fornecimento não foi previsto nenhum 
contigenciamento fora dos padrões estabelecidos pela fornecedora, será proposto a 
documentação descrevendo a proposta de medidas que serão tomadas na 
prevenção, identificação e recuperação por meio de um plano de continuidade de 
negócios, também serão mapeados os princípais riscos a segurança da informação 
no ambiente do cliente onde estão sendo manipuladas e armazenadas as 
informações de prontuários médicos com isso identificando todas as possíveis 
vulnerabilidades, o projeto foi desenvolvido com base em todos os fundamentos e 
conhecimentos adquiridos em disciplinas de Computação Forense, Gestão e Análise 
de Riscos, e Desastre, Recuperação e Gestão de Continuidade de Negócios, sendo 
o alicerce no desenvolvimento desse projeto. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Palavras-Chaves: Computação Forense, Gestão, Análise de Riscos, 
Desastre, Recuperação, Continuidade do Negócio, Ameaças.
 
ABSTRACT 
 
 
 
 
 
The development of this project will be a fictitious medical clinic where the 
main objective will be to seek the understanding of mapping the risks that threaten 
this type of sector, proposing preventive action measures against the risks and 
threats found, in the course of the action, a computational forensics method will be 
analyzed and proposed to simulate an information leak due to cyber theft, the 
fictitious company will have all medical records fed, accessed and stored on an 
Amazon cloud platform at the same time that the supply contract has not foreseen 
any contingency outside the standards established by the supplier, documentation 
will be proposed describing the proposed measures that will be taken in prevention, 
identification and recovery through a business continuity plan, the main risks to 
information security in the client's environment will also be mapped, where the 
information from medical records is being manipulated and stored, thereby identifying 
all possible vulnerabilities, the project was developed based on all the fundamentals 
and knowledge acquired in the disciplines of Computer Forensics, Risk Management 
and Analysis, and Disaster, Recovery and Business Continuity Management, being 
the foundation in the development of this project. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Keywords: Computer Forensics, Management, Risk Analysis, Disaster, 
Recovery, Business Continuity, Threats.
 
SUMÁRIO 
 
 
 
1 INTRODUÇÃO ...................................................................................................... 8
2 METODOLOGIA – Desenvolvimento do Projeto ................................................... 9
3 Monitorar os Riscos ............................................................................................ 10
 3.1 Mapeamento dos Risco................................................................................11
4 Aplicação do Método de Computação Forense .................................................. 12
 4.1 Manipulação de evidências......................................................................... 12
 4.2 Comparação de Hash .................................................................................... 12
 4.3 Preservação das Evidências ......................................................................... 13
5 Análise Criptográfica.............................................................................................. 14
5.1 Quebra de senha do Windows ....................................................................14
6 Análise de Malwares identificados ..............................................................15
7 Gestão da Continuidade de Negócios ....................................................... 16
7.1 Etapas do plano de Continuidade de Negócios ........................................ 17
7.2 Determinar o tempo de inatividade aceitável para cada atividade crítica... 18
8 Criando o plano de Ação e Recuperação de Desastres ............................ 18
9 Conclusão do Projeto ................................................................................. 19
10 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................... 20
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
8 
 
 
 
 
 
1 INTRODUÇÃO 
 
 
O projeto trata se de uma empresa fictícia no setor de saúde, uma clinica 
médica que atualmente utiliza a plataforma de armazenamento em nuvém da 
Amazon, atualmente ela oferece um espaço de 10GB gratuito, porém a plataforma 
possui recursos limitados se comparado com o rival Google Drive, com poucos 
serviços integrados e possibilidades reduzidas de compartilhamento e documentos 
colaborativos. 
A empresa citada, clínica médica que por meio de um plano de continuidade 
de negócio será proposto medidas a serem adotadas após o mapeamento dos 
possíveis riscos que envolvem o negócio. 
Em tempos de uma pândemia global a Gestão e Análise de Riscos em uma 
organização acaba por se tornar vital para sobrevivência da empresa, identificar, 
monitorar e fazer gestão e análise de riscos de maneira eficaz fará toda a diferença 
no resultado final da empresa, a gestão e análise de riscos nada mais é que um 
processo de identificação, avaliação e controle de ameaças ao capital e lucro da 
empresa. 
Qualquer empresa que não tenha um plano pré desenvolvido para enfrentar 
qualquer situação de crise não conseguirá passar por ela, por esse motivo a 
necessidade da Continuidade do Negócio se faz tão importante, o conhecimento, 
desenvolvimento e sua composição são fundamentais para a sobrevivência da 
empresa em momentos de crise. 
 
 
 
 
 
 
 
 
 
 
9 
 
 
 
2 Metodologia - Desenvolvimento do Projeto 
 
 
Tipo de pesquisa: O trabalho realizado a seguir é de natureza qualitativa e 
acadêmica. 
 
Dados a serem obtidos: 
 Baseado no conhecimento adquirido na disciplina de 
Desastre, Recuperação e Gestão da Continuidade do Negócio a preparação 
para emergências não é mais uma preocupação de empresas localizadas 
em áreas propensas a terremotos ou tornados, a preparação agora leva em 
consideração desastres provocados pelo homem, como ataques 
cibernéticos, ataques terroristas, crises politicas, crises financeiras, além de 
pandemias e desastres naturais, por esses motivos se dá a necessidade de 
um planejamento. 
 
 Baseado no conhecimento adquirido na disciplina de 
Computação Forense será exemplificado o conjunto de praticas adotadas 
para a preservação,coleta, validação, identificação, análise, interpretação, 
documentação e apresentação de evidencias digítais que tenham validade 
em processos digitais. 
 
 Baseado no conhecimento adquirido na disciplina de 
Gestão e Análise de Riscos será aplicado um conjunto de atividades 
coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos, um 
processo que visa conferir razoável segurança quanto ao alcance dos 
objetivos. 
 
Como resultado deste trabalho, o que se espera é contribuir para a 
implementação da gestão de riscos de processos na Clínica Médica e por 
consequência, para o aperfeiçoamento de seus controles internos, minimização de 
riscos a níveis aceitáveis e tomada de decisão fundamentada e tempestiva. 
Limitações da pesquisa: Tendo em vista a realidade da pesquisa ser apenas 
teórica, ou seja, não ser apresentado traços práticos, nos impede de termos os reais 
resultados na prática do projeto abordado. Outra limitação será o teste prático em 
campo, que não será realizado. 
 
Tratamento e análise dos dados: Separação por assunto, leitura e resumo 
dos artigos e matérias, para que seja realizado o trabalho. 
Forma de pesquisa: Serão realizadas pesquisas através de sites da internet 
e e-boks. 
10 
 
 
 
 
 
3 Monitorar os Riscos 
 
 
Conforme descrito pela ISO 31000/18 , o monitoramento é parte integrante e 
essencial da gestão de riscos, cuja finalidade é: 
 
 Identificar alterações no contexto interno e externo, incluindo 
alterações nos critérios de risco e no próprio risco, que podem 
requerer revisão dos tratamentos atualmente adotados e suas 
prioridades, e levar a identificação de riscos emergentes; 
 Obtenção de informações adicionais para melhoria na política, a 
estrutura e o processo de gestão de risco; 
 Analisar os eventos – adicionando os “quase incidentes”, mudanças, 
tendências, fracassos e sucesso e com eles aprender; 
 Garantir que os controles sejam eficientes e eficazes no desenho e na 
operação 
 
O monitoramento dos riscos fornecerão as informações atualizadas e 
objetivas, identificar fragilidades e possibilidades de melhorias, como aprimorar o 
fluxo de processos, bem como verificar a eficiência e o desempenho do Plano de 
Ação,operacionalizado por meo dos controles implementados. 
 
Um fator importantissimo é que mesmo a empresa tomando todas as 
medidas de segurança possíveis, sempre ocorrerá a chance de arquivos maliciosos 
enviados para o mesmo servidor onde os dados da empresa estão hospedados 
podem também infectá-los ou de alguma outra forma impactar em suas operaões. 
 
Alguns serviços de armazenamento em nuvem disponibilizam recursos de 
segurança adicionais que podem ser adquiridos para evitar perda de dados, no 
entanto interrupções podem ocorrer a qualquer momento, até mesmo em 
infraestruturas de TI sem histórico prévio de problemas . 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
11 
 
 
 
 
 
 
3.1 Mapeamento dos Risco 
 
 
Ataques ocasionado como o ransomware WannaCry continuam a integrar a 
lista de preocupações com a segurança, uma simples vulnerabilidade descoberta no 
sistema operacional da empresa acabou por gerar estragos gigantescos devido a 
contaminação desta ameaça, prejudicando os usuários e a empresa 
 
Mesmo que o provedor de nuvem esteja oferecendo uma criptografia, 
mantendo uma robusta política de segurança e de privacidade, sem a restrição de 
dados e mantendo uma equipe interna longe das senhas de seus clientes, cada 
empresa possui diferentes políticas de atualização para o software e hardware de 
sua estrutura nelas instaladas, exatamente o que ocorreu na clinica onde as políticas 
acabam se chocando com regras importantes de segurança. 
 
Durante o processo de mapeamento foi verificado que todos os prontuarios 
são disponibilizados em uma pasta compartilhada na nuvem sem utilização de 
qualquer tipo de backup, com usuário e senha únicos disponibilizado para utilização 
de todos os funcionários, o que acabou por gerar brechas na segurança, tendo em 
vista a falta de controle para o acesso em nuvem de todos os prontuários da clinica 
informações valiosas sobre pacientes acabaram vazando. 
 
Após efetuado o mapeamento de risco na empresa se chegou a conclusão 
de que há abertura para vulnerabilidades, o que implica em medidas protetivas 
urgentes, tendo em vista a urgência para a retomada do processo de atualização 
dos prontuários de seus pacientes. 
 
 
12 
 
 
 
 
4 Aplicação do Método de Computação Forense 
 
 
A computação Forense pode se definir como uma área da ciência da 
computação que evoluiu gradativamente para atender a uma demanda oriunda da 
criminalística e como uma parte da criminalística que se apropria de fundamentos da 
Ciência da Computação. 
Resumidamente será utilizado o conjunto de práticas de preservação, coleta, 
validação, identificação, analise, interpretação, documentação e apresentação de 
evidências digitais que tenham validade em processos judiciais. 
 
4.1 Manipulação de evidências 
 
 As evidências são peças utilizadas por advogados em tribunais e cortes no 
mundo inteiro, para que sejam consideradas provas válidas é muito importante que o 
perito realize o processo de investigação de maneira cuidadosa e sistemática. 
Portanto, todas as evidências devem ser preservadas e detalhadamente 
documentadas. 
 
O propósito do exame forense será a extração de informações de qualquer 
vestígio relacionado ao episódio investigado que permitam a formulação de 
conclusões acera da inocência ou infração do crime cibernético. Para a aquisição de 
dados, será importante também a definição de padrões, será estabelecido políticas 
para a manipulação destes e por meio delas desenvolver os protocolos e 
procedimentos. 
 
 
4.2 Comparação de Hash 
 
As Hashes serão utilizadas para comprovar se determinada cópia ou versão 
de um suposto arquivo tem os mesmo dados armazenados da versão original. O 
Hash averigua a autenticidade de uma evidência. 
A Hash é gerada por meio de um script que irá analisar byte a byte de 
determinado arquivo para gerar de maneira única, um código que só aquele arquivo 
terá. Portanto, hashing é um mecanismo para descobrir se duas coisas são 
semelhantes e se trata de um processo unidirecional. 
Utilizando um objeto (arquivo, sequência de texto, ISO) e o converte a uma 
string de tamanho fixo, podemos então utilizar essa chave para verificar se alguma 
outra coisa é a mesma coisa. 
 
 
 
 
13 
 
4.3 Preservação das Evidências 
 
Nessa etapa a preservação das evidências é inicializada com os 
procedimentos relativos à documentação do material recebido, onde constará o 
relato de todas as caracteristicas individuais e o estado de conservação de uma 
possível midea recebida, no caso de um disco rígido por exemplo, o conjunto das 
seguintes caracteristicas permite identífica-los de forma inequívoca: nome do 
fabricante, modelo, numero de série e a capacidade nominal, já o estado de 
conservação no momento do recebimento pode conter algumas informações, como 
existência de riscos e danos ou a ausênsia de alguma parte. 
Algo importante a ser citado é de que nunca devemos fazer a investigação 
na unidade original, portanto deve se fazer várias cópias para iniciar o trabalho 
investigativo. 
Com a utilização do CAINE (Computer Aided Ingestigative Environment) 
uma distribuição da GNU/Linux italiana que oferece um ambiente forense completo e 
organizado para integrar ferramentas de softwares existentes como módulos de 
software fornecendo excelente interface gráfica, sua distribuição feita para Digital 
Forensics e resposta a incidentes, com o objetivo de executar sistemas sem 
adulterar ou corromper dispositivos (discos rígidos, pendrives, entre outros) 
conectados ao micro em que o processo de inicialização ocorre. 
Dando a sequência, a equipe do DEFT se dedicará na implementação e no 
desenvolvimento de aplicativos que serão liberados para a empresa de consultoria 
Digital Forensicse Mobile Forensics, o Enforcement Officer e os investigadores. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
14 
 
 
5 Análise Criptográfica 
 
No período do processo de coleta de evidências foi verificado a utilização da 
cifra de Vinegère, a condição com essa cifra tem muitas semelhanças com a 
codificação César, com exeção que a primeira usa uma chave mais longa para 
neutralizar o principal problema da codificação César, isso é, o fato de uma letra só 
pode ser codificado de uma maneira. Então este problema para ser resolvido, utiliza-
se uma palavra chave ao invés de um simples caracter. Em primeiro lugar, cada letra 
é associada a um número correspondente. 
 
Nesse tipo de ataque, o retorno obtido foi de algumas prováveis chaves, 
então sendo definido quais delas fizeram mais sentido, se apenas parte do texto 
descriptografado fizer sentido, fica a probabilidade de que a chave real corresponda 
à parte da chave indicada pela plataforma. 
 
5.1 Quebra de senhas do Windows 
 
Em meio ao processo da investigação forense é muito normal encontrar 
arquivos, partições, discos ou maquinas inteiras protegidas por senha, nesses casos 
foram utilizados alguns softwares para a quebra das senhas, esses programas 
atacam o sistema operacional Windows nos retornando com a própria senha, 
retornando o hash da senha ou mesmo promovendo o ataque de força bruta. 
 Retornando a própria senha: Não é comum, mas alguns programas 
são tão vulneráveis que exibem facilmente a senha procurada, sem 
dificuldades 
 Retornando a Hash da senha: Alguns programas não armazenam 
senha em si, mas fica armazenada a Hash correspondente, comum 
para contas de usuários Windows. 
 Ataque de força bruta: Essa técnica é usada quando não se tem 
acesso à senha ou à sua Hash. 
 
O Windows costuma armazenar a Hash da senha de suas contas de 
usuário, essas Hashs podem ser adquiridas com softwares como o OSForensics ou 
o Cain & Abel. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 
 
 
 
6 Análise de Malwares identificados 
 
 
A forma mais comum e simples para esse processo de primeiro identificar 
um malware é através da execução de um antivírus confiável, segundo algumas 
diretrizes, pois a preservação dos elementos a serem investigados são uma 
prioridade, tendo em vista que ao menos dois fatores indesejados podem ocorrer 
durante esse processo: o primeiro seria a aliminação automática da ameaça 
causada pelo antivírus, a segunda seria as mudanças de comportamento ou a 
ofuscação geeradas pelo próprio script malicioso quando o mesmo é aborado por 
um antivírus, seguiremos o seguinte roteiro para a detecção do possível Malware: 
 Gerar uma cópia do disco que estará sob a análise. 
 Em outra maquina montar uma imagem física no formato só leitura. 
 Na imagem montada só como leitura será executado o antivírus. 
Corremos o risco de em uma maquina existir malwares que nunca foram 
executados, que por alguma razão estão inativos, os mesmos assim que 
identificados serão eliminados, pois a permanencia deles podem confundir o 
desenrolar da investigação, o foco da investigação são malwares em execução. 
Mesmo cientes de que na maioria das vezes é muito difícil saber quais estão 
sendo executados, como por exemplo na inicialização do sistema operacional 
Windows. 
 
 
 
 
 
 
 
 
 
 
 
 
 
16 
 
 
7 Gestão da Continuidade de Negócios 
 
 
Todos os prontuários médicos dos pacientes são alimentados e acessados 
pela plataforma em núvem da Amazon, necessáriamente proposto um plano de ação 
para a segurança e acessibilidade dos arquivos lá mantidos, uma interrupção no 
acesso a plataforma pode gerar transtornos irreversíveis. 
O plano de ação terá a função de cumprir com os objetivos organizacionais e 
proporcionar confiança no que diz respeito à eficácia e eficiência aos recursos, 
atravéz da minimização dos riscos relevantes. 
O tratamento dos riscos, pressupõe a elaboração de um plano de ação, o 
qual estabelecerá o que será feito, qual controle será implementado ou 
aperfeiçoado, a implementação e os responsáveis pelo acompanhamento. 
Como já foi noticiado algumas vezes na internet o serviços de nuvem da 
Amazon já caiu, deixando fora do ar (off-line) sites como Foursquare, Reddit e 
Quora, com isso afetando milhares de consumidores da Amazon, isso não significa 
que os serviços de nuvem são simplismente muito arriscados e que as empresas 
devem evitar utilizar esse tipo de serviço, existem muitos benefícios na utilização 
desses serviços, a Nuvem precisa ser tratada como qualquer outra tecnologia na 
qual a empresa confia e depende. 
Para isso será muito importante as tratativas locais durante o mapeamento 
de riscos e durante o a investigação forense, onde foram apontados falhas e 
possíveis ameaças a serem tratadas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
17 
 
 
 
7.1 Etapas do plano de Continuidade de Negócios 
 
O desenvolvimento do plano de continuidade de negócios não é complexo, 
porém muito abrangente, afinal, já conhecendo os processos internos da empresa 
não será difícil para definir como eles devem ser adaptados em caso de desastres. 
 
 Definição do objetivo do Plano: o primeiro passo para a a 
elaboração do PCN será definir o objetivo, se não soubermos onde 
se quer chegar, não se chegará a lugar algum, então definido de 
maneira clara o escopo em que ele se desenrola e seus objetivos que 
serão alcançados. Para qualquer organização a finalidade do PCN é 
única para manter as atividades durante um eventual desastre 
 Identificando as áreas principais: Na empresa haverá algumas 
áreas que não será necessário entrar no PDC, já estão estruturadas 
ou porque não são vitais de forma que uma catastrofe não afetará as 
atividades. O setor de TI figura praticamente em todos os planos de 
continuidade de negócios, isso se torna fácil entender, porque 
simplesmente se trata de um setor vital para o andamento das 
demais áreas nos dias atuais. 
 Identificando as atividades críticas: Após ser definidas as áreas 
internas da clínica que farão parte do PCN o seguinte passo é 
identificar as atividades de cada uma que são críticas para a 
continuidade do negócio, é de conhecimento que existem tarefas que 
são menos ou mais vitais dentro da organização, mas isso não 
significa que são dispensáveis. Durante essa fase o objetivo deve ser 
de diferenciá-las para detectar quais operações necessitam 
obrigatóriamente, entrar no plano de continuidade de negócios para 
atividade da empresa não ser gravemente afetada quando ocontecer 
um desastre 
. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
18 
 
 
7.2 Determinar o tempo de inatividade aceitável para cada atividade crítica 
 
Torna se indiscutível que a ocorrência de um desastre causará algum 
impacto nas atividades da organização, por esse motivo a proposta do plano de 
continuidade de negócios é minimizar esse impacto reduzindo ao máximo o tempo 
de reação da empresa. 
Para isso, será determinado o tempo aceitável que cada atividade crítica 
pode ficar comprometida, atividades mais vitais terão mais prioridade no 
restabelicimento das funções normais da empresa, sendo assim, além de definir os 
prazos de inatividade aceitáveis, será também estabelecido a ordem de prioridade 
da lista de atividades criticas. 
 
8 Criando o plano de Ação e Recuperação de Desastres 
 
Com os objetivos já definidos, as áreas principais da empresa envolvidas e 
as atividades críticas definidas, ´chega o momento de criar e apresentar o plano de 
ação e recuperação de desastres, traduzindo o mesmo deverá ser incluido no PCN 
como ele será implementado quando necessário. 
Em termos práticos o plano de ação simplesmente resume o plano de 
continuidade de negócios, nesta etapa será analisado as opções de software de 
continuidade de negócio e selecionado o que melhor se adapta as definições 
efetuadas até o momento. 
Para completar de maneira abrabgente será efetuado a inclusão do 
responsáveis e osprazos de cada ação, essencialmente haverá os pontos de 
controle para que seja verificado se a implementação do plano está conforme o 
esperado, será efetuado algumas simulações antes da ocorrência de um caso real. 
O PCN é como um seguroque não se quer utilizar nunca, mas também 
oferece para a empresa a tranquilidade de ter um plano de ação para mantê-la em 
atividade caso algum desastre ocorra. 
 
 
 
 
 
 
 
 
 
 
19 
 
 
9 Conclusão do projeto 
 
 
Conclui-se deste trabalho acadêmico que toda empresa está propensa a 
desastres ou interrupções críticas, mas uma empresa que se prepara para isso está 
a frente da concorrência, um plano pré desenvolvido para enfrentar situações de 
crise traz maior segurança na continuidade do negócio. 
No desenvolvimento do projeto o aprendizado sobre desastre, recuperação e 
gestão da continuidade do negócio mostrou a importância da prevenção e obtenção 
de um plano de ação para situações de risco, minimizando impactos e priorizando 
situações de maior urgência o que pode gerar menos impacto em situações de risco, 
uma empresa sem qualquer plano pré desenvolvido em uma situação de crise 
claramente não conseguira se manter após ela. 
A computação forense se mostrou indispensável na concretização dos riscos 
expostos, ameaças reais e perigos que levam a desastres e prejuizos em qualquer 
empresa, o uso de ferramentas específicas na obtenção de evidencias se torna 
crucial para o desenrolar da investigação forense dentro da empresa. 
Por fim a gestão e análise de riscos mapeou os pontos críticos e frágeis da 
empresa, apontando as vulnerabilidades no sistema e nas politicas de segurança da 
empresa, a falta de controle no acesso a informações armazenadas na nuvém foi 
algo critico e determinante para mudanças, foi apontado o vazamento de 
informações sigilosas sobre prontuários de pacientes. 
Encerrando com a afirmação de que se torna indispensável para toda 
empresa a necessida de um plano de ação para a gestão da continuidade do 
negócio na melhoria de qualidade e entrega dos resultados. 
 
 
 
20 
 
 
 
10 REFERÊNCIAS BIBLIOGRÁFICAS 
 
 
 
 
 
 
Livro - Computação Forense (Sandro de Araujo): 
<https://plataforma.bvirtual.com.br/Leitor/Publicacao/186353/pdf/0?code=QS
QHwPCoGoZKiwVG/w+ZgtxfYYS7tmVq0HGTvHtaXSOdTTHXpCajpqCCLq4ZJ2jA25
veWYLMDlYNHnuk47glew==>. Acesso em: 09 de Novembro de 2021. 
 
Livro - Crimes Cibernéticos e Computação Forense - Wilson Leite da Silva F: 
< http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf>. 
Acesso em: 14 de Novembro de 2021. 
 
Website Telium 
< https://telium.com.br/blog/recuperacao-de-desastres-ou-continuidade-dos-
negocios-veja-o-que-garantir> 
Acesso em: 15 de Novembro de 2021 
 
Livro - Gestão de continuidade de negócios - (GTAG) 
< https://iiabrasil.org.br/korbilload/upl/ippf/downloads/livro-1-gesto-d-ippf-
00000001-12122018093750.pdf> 
Acesso em: 15 de Novembro de 2021 
 
Livro - GESTÃO DE RISCOS - Eduardo Person Pardini 
< https://www.legiscompliance.com.br/images/pdf/ebook_pardini.pdf> 
Acesso em: 15 de Novembro de 2021 
 
Website maislaudo 
<https://maislaudo.com.br/blog/aprenda-a-elaborar-o-planejamento-
estrategico-para-clinica-medica/> 
Acesso em: 19 de Novembro de 2021 
 
Website Amazon 
<https://aws.amazon.com/pt/what-is-cloud-storage/> 
Acesso em: 19 de Novembro de 2021