Baixe o app para aproveitar ainda mais
Prévia do material em texto
FATEC SÃO CAETANO DO SUL – ANTONIO RUSSO SEGURANÇA DA INFORMAÇÃO NOITE 4° SEMESTRE PROFESSOR: NILTON STRINGASCI MOREIRA EMILY DE OLIVEIRA - RA: 1680972013052 PRISCILA A AQUINO - RA: 1680972023037 GUILHERME A. Z. GORIA - RA: 1680972013029 VANDO SOUZA DA SILVA - RA: 1680972013054 ANÁLISE E GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO ANÁLISE DE RISCO DE UM E-COMMERCE São Caetano do Sul – SP 2021 A EMPRESA A CallIT é uma empresa no ramo de e-commerce, onde nosso foco é a facilidade na hora da escolha de seu produto, disponibilizando de forma simplificada nossas mercadorias. Criada por um grupo de amigos, oferecemos o que há de melhor no mercado da tecnologia, com produtos sempre atualizados e de marcas certificadas, garantindo assim a qualidade e a confiabilidade sempre! Contamos com profissionais altamente dispostos a ajudar na hora de realizar suas compras, dando total suporte e saneamento de dúvidas. Missão: Fornecer facilidade na hora da compra de produtos tecnológicos, oferecendo total segurança e agilidade no processo. Visão: Ser uma das principais referências no ramo de e-commerce na área tecnológica Valores: · Compromisso · Ética · Inovação · Facilidade · Agilidade · Sólida relação com nossos clientes TIPO DE NEGÓCIO Nosso foco é o e-commerce, onde vendemos equipamentos de tecnologia no geral, como notebooks, servidores, periféricos, câmeras, switches, roteadores, cabos no geral e tudo que há de necessário para sua infraestrutura, seja ela simples para sua residência ou de alta performance, em seu datacenter. Através do acesso ao nosso site ou app disponível para Android e iOS, você consegue aproveitar nossas ofertas e facilidades no pagamento, tudo em 12x sem juros no seu cartão de crédito. Com constante atualizações, garantimos total segurança em qualquer meio de acesso dos seus dados, de acordo com as normas de segurança e LGPD. CARACTERÍSTICAS TÉCNICAS Com aproximadamente 100 funcionários, contamos com um sistema em nuvem híbrida, onde a parte pública é dedicada para os clientes acessarem nossos produtos e a nuvem privada é de uso interno dos funcionários, com sistema de ponto e acessa à intranet. Também é onde os produtos são cadastrados e gerenciados, controle de estoque, solicitações de compras e financeiro, tudo isso através do nosso ERP SAP. LOCALIZAÇÃO Nossas lojas são apenas virtuais, porém nosso centro de distribuição e logística é localizado na Rodovia Anhanguera, KM 15 no Centro Logístico Anhanguera, tornando assim o percurso de entrega dos produtos mais rápido, com fácil acesso as principais avenidas e rodovias de São Paulo. MAPA DE RISCOS MONITORAMENTO DOS FATORES DE RISCOS FRAUDE Atualmente a empresa não faz uma análise dos pedidos realizados, é importante realizar esse tipo de análise para entender o comportamento dos clientes e identificar quando algo sair do padrão. Um exemplo é o cálculo do ticket médio, se a empresa tem um ticket médio de R$1.000,00, e um cliente novo faz uma compra de R$3.000,00, deve se analisar a compra e entrar em contato com cliente para verificar se ele realizou essa compra ou se é uma tentativa de fraude. Para realizar esse monitoramento dos pedidos, foi direcionado ao setor de pós-vendas para que fizessem o levantamento dos pedidos todo final de mês, para sempre atualizar o ticket médio, e sempre que um pedido alto entrasse o pós-vendas deve entrar em contato com o cliente para confirmar a compra. ProcessoAtivoObjetivo Ameaça (agente) Ameaça (Evento) Cenário do RiscoVulnerabilidadesPlano de tratamento – PreventivoPlano de tratamento – Detectivo Plano de tratamento – Corretivo ProbabilidadeImpacto Login na loja virtualServidorC/IHackerSQL Injection a) O atacante pode obter dados sobre usários e acessar o banco de dados mesmo sem autorização b) O atacante pode injetar código malicioso afetando o sistema a) Ausencia de bloqueio de tentativas de login b) Ausencia de bloqueio de metacaracteres a) Boas práticas de codificação, visando a segurança. b) Politica de gestão de acesso, não permitindo acesso administrativo ao banco de dados a) Realizar testes para construção de pedidos SQL de maneira a contornar eventuais mecanismos de proteção de uso de meta-caracteres. a) Patches de atualização no sistema b) Bloqueio de usuários MédiaAlto Falha no SistemaPlataformaD/IDevOps Loja Virtual fora do ar a) Parada dos processos de faturamentos, vendas, etc. a) Falta de atualizações dos sistema. b) Faltas de testes aplicativos em ambientes seguros. a) Realizar backup dos dados. b) Manter atualizações em dia. c) Realizar testes continuos. a) Criação de Logs. b) Monitoramento de Serviços e Recursos. a) Realizar em um ambiente seguro a atualização do sistema e a recuperação dos dados antes de atualizar na plataforma. MédioAlto Atualização de Estoque na Plataforma PlataformaDLogistica Produto Indisponivel a) Cliente não recebe o prodito pois ele está indisponível no esoque a) Erro na contagem e gestão b) Erro na atualização do estoque na plataforma a) Evitar ter muitos produtos parados na prateleira. b) Monitoramento das compras realizadas e atualização do estoque c) Utilizar sistema de gerenciamento integrado com a plataforma de vendas a) Verificar o estoque e realizar um levantamento de todos os produtos e depois atualizar na plataforma a) Entrar em contato com o cliente e verificar se o mesmo aceita um vale compra ou se prefere o estorno. BaixoBaixo DespachoProdutoDLogistica Produto danificado a) Cliente recebe o produto danificado a) Embalagens não apropriadas para o produto. a) Embalagem segura de acordo com o produto. a) Gestão de qualidade a) Envio de um novo produto. BaixoMédio FraudeProdutosC/D/IHacker Compra fraudulenta a) várias compras em um período curto. b) compras fora de padrão c) entrega rápida d) CPF inválido e) Chargeback a) Não verificar CPF do titular da compra b) Não haver nenhum tipo de validação do cliente (email/telefone) c) Não haver análise de pedidos de alto valor a) Politica de compra, onde será realizado o contato com o cliente para confirmar se o mesmo realizou essa compra. b) Validação do CPF, verificando se o mesmo pertence ao nome que está cadastrado na compra. c) Utilizar um sistema antifraude a) Verificar pedidos altos, analisando a localidade da entrega e a confirmação com o cliente. b) Verificar contas que tenha mais de uma compra em um curto período de tempo a) Entrar em contato com a operadora do cartão que foi realizada a compra. b) Procurar as autoridades para realizar a denúncia. MédioAlto Data: 20/10/2021Análise feita por: Emily / Vando / Priscila / GuilhermeEmpresa: E-commerce
Compartilhar