Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA – UNIP EaD Projeto Integrado Multidisciplinar Curso Superior de Tecnologia em Segurança da Informação Plano de Auditoria de Sistemas amparado em testes de invasão com foco específico para a organização selecionada e devidamente alinhado ao Plano de Negócios da organização Polo Osasco, São Paulo 2021 UNIVERSIDADE PAULISTA – UNIP EaD Projeto Integrado Multidisciplinar Curso Superior de Tecnologia em Segurança da Informação Plano de Auditoria de Sistemas amparado em testes de invasão com foco específico para a organização selecionada e devidamente alinhado ao Plano de Negócios da organização Nome: Advaldo Alves de Santana RA: 2058130 Curso: Segurança da Informação Semestre: 2º Polo Osasco, São Paulo 2021 RESUMO Neste projeto de integração multidisciplinar (PIM), criamos uma proposta para a New.sec, empresa da área de segurança da informação, que demonstra o quão necessária é a segurança da empresa. Atualmente, estamos lidando com diversas ameaças no mundo digital, e os empreendedores devem estar atentos às novas inovações e defesas apresentadas ao mundo. Neste trabalho criado pela empresa, irá mostrar algumas das ameaças que podem ocorrer na empresa e como essas ameaças podem prejudicar toda a organização, sendo a segurança um investimento necessário para que todos os colaboradores e empresários estejam protegidos. Apresentaremos as melhores medidas de defesa contra ataques ao sistema, amostras de toda a estrutura organizacional de nossa empresa e planos de negócios para fortalecer o sistema. Explique o que são sistemas críticos e como lidamos com eles no campo da segurança da informação e como eles têm impacto econômico na organização e, por fim, determine a importância da auditoria na empresa e a forma correta de realizá-la. Palavra – chaves: Segurança, inovação, auditória, empresa, cliente. ABSTRACT In this multidisciplinary integration project (PIM), we created a proposal for New.sec, an information security company, which demonstrates how necessary the security of the company is. We are currently dealing with diverse threats in the digital world, and entrepreneurs must be aware of new innovations and defenses presented to the world. In this work created by the company, it will show some of the threats that can occur in the company and how these threats can harm the entire organization, with security being a necessary investment so that all employees and entrepreneurs are protected. We will present the best defense measures against system attacks, samples of the entire organizational structure of our company and business plans to strengthen the system. Explain what critical systems are and how we deal with them in the field of information security and how they have an economic impact on the organization and, finally, determine the importance of auditing in the company and the correct way to carry it out. Key words: Security, innovation, auditin, company, customer SUMÁRIO 1 INTRODUÇÃO............................................................................................................ 6 2 DESENVOLVIMENTO .............................................................................................. 7 2.1 OBJETIVOS ......................................................................................................... 9 2.2 JUSTIFICATIVA ................................................................................................ 10 2.3 IMPACTO DA PANDEMIA .............................................................................. 12 2.4 ESTRUTURA ORGANIZACIONAL ................................................................ 13 2.5 PLANO DE NEGÓCIO ..................................................................................... 15 3 AMEAÇAS E VULNERABILIDADES ................................................................... 17 3.1 DESAFIOS ..................................................................................................... 18 3.2 POLÍTICA DE SEGURANÇA ...................................................................... 19 4 SISTEMAS CRÍTICOS ............................................................................................ 21 5 AUDITORIA .............................................................................................................. 23 6 CONCLUSÃO ........................................................................................................... 25 REFERÊNCIAS ........................................................................................................... 26 6 1 INTRODUÇÃO Como as pessoas não se concentram mais no trabalho manual e são substituídas por máquinas, a principal preocupação passou a ser a segurança da informação. Hoje, essa é a maior preocupação de quem estabeleceu ou deseja montar uma empresa e garantir a segurança e integridade de suas informações. A informação tem maior valor do que o patrimônio de qualquer empresa e é a base para a sobrevivência. Ao escrever informações em papel, é fácil salvá-las porque estão trancadas em um local seguro para que ninguém possa tocá-las. Mas, com o desenvolvimento da tecnologia, o fato de as informações agora serem armazenadas em mídia digital as torna mais suscetíveis a roubo e perda. Portanto, há uma necessidade crescente de implementar estratégias de segurança. Portanto, as empresas podem usar essas informações na tomada de decisões. Atualmente, os dados sigilosos da empresa são armazenados digitalmente, o que torna extrema a atenção à segurança da informação. O risco de os cibercriminosos acessarem essas informações ou causar perda de dados tem levado muitas empresas a usar medidas e ferramentas de proteção. É necessário saber quais ferramentas usar em cada situação e as ferramentas mais utilizadas. Por isso, pensei em criar uma empresa coligada porque é muito importante para qualquer empresa. A criação da empresa "NEW.sec" fornecerá toda a orientação e segurança para empresas de qualquer setor, incluindo estratégia, estratégia, treinamento, conscientização do usuário e serviços profissionais (como análise de risco e ameaça, teste de penetração ou teste de intrusão, consultoria em processos de segurança da informação), Criação e gerenciamento, e ferramentas de uso (como antivírus, firewall, antispam, antimalware, etc.) para executar. 7 2 DESENVOLVIMENTO Segurança da informação significa que todos os dados e informações importantes para indivíduos ou organizações não são ameaçados por ameaças físicas ou lógicas. É melhor definir o conceito de segurança da informação no site da Wikipedia e declará-lo da seguinte forma: “A Segurança da Informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as pessoais.” Ao considerar a segurança das informações, é importante lembrar de manter a integridade, disponibilidade e confidencialidade das informações. Aproveitando ao máximo a segurança da informação, a empresa terá muitos benefícios e poderá continuar trabalhando. A segurança da informação visa proteger todos os dados e informações de empresas ou indivíduos de quaisquer ameaças. Basicamente, 3 princípios serão anunciados: confidencialidade da informação, integridade e disponibilidade de dados e não repúdio. Integridade: protege a precisão e os atributos de todo o conjunto de ativos. Disponibilidade: atributos que as entidades autorizadas podem acessar e usar sob demanda. Confidencialidade:propriedade de não ser capaz de obter ou divulgar informações a indivíduos, entidades ou processos não autorizados. • Não repudio: Ao enviar uma mensagem, o remetente ou destinatário pode dizer que não enviou nem recebeu a mensagem. O mesmo se aplica às pessoas que negociam e depois se recusam a negociar. A fim de garantir que tal negociação seja realizada ou para garantir que a mensagem seja enviada, é usada tecnologia de não repúdio. A principal ferramenta utilizada é o firewall, que é a primeira linha de defesa do sistema ou rede da empresa. Pode ser implementado de duas maneiras: por meio de hardware ou software. O hardware (o dispositivo físico conectado à rede) é geralmente mais poderoso porque geralmente requer o uso de vários computadores para gerenciar o ambiente, porque o software é mais oportuno quando implantado diretamente no computador cliente. O Firewall do Windows é um exemplo, a partir do qual você pode configurar regras para bloquear ou permitir o acesso à rede. Por exemplo, como medida de segurança, conceda acesso apenas a pessoal autorizado. O objetivo do firewall é controlar 8 as conexões de entrada e saída na rede e filtrar esse pacote de dados. Um pacote de dados é uma estrutura única de transmissão de dados, ou uma sequência de dados transmitidos pela rede, ou seja, informações que interrompem a transmissão. Com base na análise realizada na filtragem e nas regras aplicáveis a essa análise, o firewall determina se essa informação pode ser repassada ao usuário, por exemplo, visitando um determinado tipo de site. As principais funções que compõem um firewall moderno podem ajudar a melhorar determinados aspectos do ambiente de rede de acordo com as necessidades de cada empresa. Proxy: Esse tipo de segurança atua como intermediário entre a rede externa e o computador, evitando a comunicação direta entre os dois. Os dados são recebidos pelo agente e, em seguida, inspecionados e avaliados. Se nenhum problema com esses dados for detectado, o usuário pode recebê-los. IPS: O IPS (sistema de prevenção de intrusão) pode ser classificado como um conjunto de regras de análise de tráfego que rejeita certos pacotes de dados. Quando a solicitação chegar à sua infraestrutura, o IPS analisará todas as regras possíveis para rejeição desses pacotes e, na ausência dessas regras de rejeição, o IPS permitirá a análise do tráfego. Inspeção de estado: O firewall verificado determinará os dados de entrada e saída de acordo com os atributos técnicos do ambiente (como um protocolo, estado ou porta específico). Como em outros casos, o firewall de inspeção com monitoração de estado tomará essas decisões de filtragem de pacotes para determinar se os dados podem ser passados para o usuário, o que geralmente é criado pelo administrador. IDS: Por meio de IDS, sistema de detecção de intrusão, você pode visualizar o tráfego em diferentes pontos da rede monitorada em detalhes para identificar os tipos de atividades maliciosas. Quando um evento que viola a política de segurança é determinado, o IDS irá analisar o evento e passar seu registro detalhado para o administrador. O relatório pode ser usado como evidência para auxiliar na tomada de decisão. Resumindo, as informações que ele coleta podem ajudá-lo a entender melhor os incidentes que violam as políticas de segurança da infraestrutura. 9 UTM: O Unified Threat Management refere-se ao termo para uma única solução de segurança que fornece várias soluções em um único dispositivo. Normalmente, este dispositivo UTM contém funções básicas para segurança de rede, tais como: antivírus, antispyware, antispam, firewall de rede, detecção e defesa de intrusão (geralmente chamados de IDS e IPS), alguns até fornecem roteamento remoto, rede e Outras funções. Endereço (denominado NAT) e suporte para VPN (Virtual Private Network). Ao implementar e gerenciar firewalls, o nível de segurança do ambiente pode ser melhorado. No entanto, essa ferramenta sozinha não pode resolver seus problemas de segurança de rede. O maior diferencial está no gerenciamento dessas ferramentas, pois, se feitas e operadas corretamente, podem trazer os resultados esperados e aumentar a segurança da empresa. 2.1 OBJETIVOS A segurança da tecnologia da informação é usada para manter a segurança do sistema operacional, desempenha um papel estratégico na empresa, pois o uso desta tecnologia pode proteger toda a estrutura técnica da empresa. Nossa empresa apresenta várias ferramentas para a segurança de privacidade dos dados de qualquer ramo de empresa. E como nosso principais serviços que podemos oferecer é: 1. Defender os ataques de hackers aos sistemas da empresa; 2. Proteger as informações da empresa disponíveis na Internet; 3. Impedir que indivíduos não autorizados acessem dados confidenciais. As ferramentas que utilizamos são as melhores para a segurança e tranquilidade de empresários, como o Firewall que é um mecanismo para controlar a comunicação de dados entre computadores na rede interna e entre eles e outras redes externas. Funciona de acordo com um protocolo de segurança para garantir o funcionamento normal da comunicação entre as duas extremidades para evitar intrusões. Assim, garantimos a segurança de toda a empresa e seus colaboradores. Com nossa empresa garantimos que essas informações só podem ser acessadas e atualizadas por pessoal autorizado e devidamente autorizado. 10 Terceiros fora da empresa nunca podem acessar dados e informações importantes de determinados departamentos ou clientes. Para ter certeza, o pessoal autorizado pode acessar e obter continuamente essas informações. Hoje, os mecanismos de acesso remoto permitem que os usuários acessem informações em qualquer lugar do planeta e a qualquer hora do dia ou da noite. Este é o objetivo de garantir a integridade, precisão e retenção das informações para evitar alterações indevidas, fraude ou mesmo destruição. Portanto, o vazamento de informações pode ser evitado, seja acidental ou intencional. Também deve ser proporcionado treinamento e atualização de conhecimentos às equipes de TI e aos usuários de recursos técnicos. Afinal, obstáculos técnicos também podem causar vulnerabilidades de hardware e software. Possíveis vulnerabilidades de hardware e software devem ser detectadas rapidamente para que medidas imediatas possam ser tomadas para resolvê-las. Temos como objetivos: • Apresentar a estrutura organizacional e nosso plano de negócios para fortalecer os sistemas das empresas. • Explicar o significado dos principais sistemas críticos e onde a falha do sistema pode ter um impacto fatores humanos ou econômicos graves. • A importância da auditoria nas empresas e como e feita a mesma. 2.2 JUSTIFICATIVA A segurança deve ser a principal prioridade de qualquer empresa, e os empreendedores não devem perder dados importantes ou ser expostos a pessoas ruins. Para que a segurança de todos seja estabelecida, todos os departamentos devem estar em completa harmonia. As empresas estão começando a perceber que a segurança da informação não é apenas mais uma caixa no organograma, mas um grupo de pessoas, processos e tecnologias que protegem as operações da empresa sob a orientação de regras, políticas, negócios e meio ambiente da empresa. Geralmente, o campo da segurança da informação começa com a estrutura hierárquica da tecnologia da informação, pois os gestores associam o SI a servidores e senhas (ou seja, controle de acesso geral). Nosso cenário atual mostra como uma empresa está vulnerável a ataques cibernéticos. Com cada 11 vez mais pessoas trabalhando em casa, os empreendedores precisam se preocupar com a segurança de seus documentos e funcionários, portanto, criar uma empresa que possa proteger seus dados e funcionáriosé definitivamente Indispensável, proteger sua empresa está em primeiro lugar. Desde o início da pandemia, os ataques têm aumentado e, em um futuro próximo, o custo de tornar sua segurança uma segunda opção será muito alto. Segundo dados do CERT.BR (Centro Brasileiro de Pesquisa, Resposta e Processamento de Incidentes de Segurança), de janeiro a junho, o Brasil reportou mais de 50.000 incidentes por mês, conforme mostra a figura: Figura 1: Incidentes reportados entre Janeiro a Junho de 2020. - Fonte: CERT.BR Sob outras perspectivas, percebemos que o Brasil sofreu 3,4 bilhões de ataques cibernéticos em 2020. É importante que os empresários fiquem atentos a esses quadros e situações, por isso criamos o SI.sec, que será a melhor forma de proteger o seu empresa e funcionários. Entre 1º de janeiro e 3 de agosto de 2021, o Brasil sofreu mais de 439.000 ataques cibernéticos, respondendo por 7,1% do total global de 6,4 milhões de ataques, ocupando o segundo lugar entre os maiores alvos do mundo, atrás apenas dos Estados Unidos, que ficaram em primeiro lugar. De acordo com um relatório da empresa profissional Netscout, classificou-se em 1,33 milhão (21,7%). Em terceiro lugar está a Coreia do Sul com 385.808 ataques (6,3%), seguida pelo Reino Unido com 348.330 ataques (5,7%), seguido pela China com 256.985 ataques (4,2%). 12 Os dados coletados pelas empresas de segurança cibernética e soluções digitais correspondem a um valor médio baseado no monitoramento em tempo real de aproximadamente 30% de todo o tráfego IP do planeta. Os ataques registrados pertencem ao tipo de negação de serviço distribuída (DDoS), que é um ataque que usa as características e limitações de qualquer rede de serviço para interromper sua operação. Os dados mostram ainda que as principais fontes de ataques no Brasil são os Estados Unidos (62,4%), o país (60,8%), o Reino Unido (21,1%), a Holanda (31,1%) e a Alemanha (30,9%). 2.3 IMPACTO DA PANDEMIA A pandemia Covid-19 triplicou o número de ataques cibernéticos a empresas privadas em todo o mundo. A ampla adoção de escritórios domésticos, o crescimento significativo dos negócios digitais, como e-commerce e transações bancárias online, e a fragilidade dos sistemas digitais de algumas empresas levaram ao aumento do crime digital no Brasil e em outros países. Essas informações estão incluídas no estudo "Como a Covid-19 afeta os investimentos futuros em segurança e privacidade", preparado pela Ernst & Young. Mais de 130 empresas de cinco continentes ouviram, incluindo países como Estados Unidos, Brasil, África do Sul, Suíça, Índia e Dinamarca. Estima- se que os ataques ilegais a sistemas de tecnologia corporativa aumentaram cerca de 300% em comparação com antes da pandemia. De acordo com a pesquisa, 8 dos 10 líderes consultados alegaram que as operações de suas empresas foram afetadas negativamente, especialmente phishing. 69% dos entrevistados mencionaram isso, incluindo tentativas de roubo de senhas bancárias por meio de fraude. E outros dados, exemplos). Malware foi citado por 54% dos entrevistados, envolvendo roubo de dados e danos ao equipamento, e ataques de negação de serviço (59%) também foram destacados. Segundo ele, desde o início da pandemia, diversos fatores levaram a um aumento significativo dos ataques cibernéticos. O primeiro é a rápida adoção de escritórios domésticos pela maioria das instituições. Desta forma, a empresa torna-se muito dependente e vulnerável à influência da rede doméstica de Internet, que na maioria dos casos não apresenta o mesmo nível de complexidade na proteção da rede virtual do escritório. 13 2.4 ESTRUTURA ORGANIZACIONAL Geralmente, o campo da segurança da informação começa com a hierarquia da tecnologia da informação, pois os gerentes associam o SI a servidores e senhas (ou seja, controle de acesso geral). Mas para os gestores de segurança, o maior desafio é mostrar que essa não é a única tarefa, em alguns casos, o controle de acesso não resolve o problema. Na NEW.sec, propomos que sejam seguidos na parte de segurança da empresa. Mapeie os riscos atuais para os negócios da empresa. A tarefa é identificar as ameaças que ameaçam as operações da empresa, sejam pessoas, processos ou tecnologia. Resumir a cultura interna, principais processos internos e regulamentações relacionadas aos negócios da empresa. É necessário compreender totalmente o ambiente da empresa para formular medidas de controle com base nas operações futuras da empresa, identificar medidas de melhoria de segurança para processos internos e tomar medidas de acordo com as leis relevantes (incluindo leis ou regulamentos). Defina as políticas de segurança. A política de segurança da informação é o principal documento que orienta os direitos e obrigações relacionados a este incidente. Este é um documento que todos devem obter e entender. Ele deve conter orientações sobre como eliminar ou mitigar riscos e fornecer orientações sobre as melhores práticas de SI. Defina as operações diárias básicas. Cada área é atendida todos os dias, geralmente em uma área segura. O sistema é confiável e seguro apenas quando sabemos como e onde usar o sistema. É importante entender os riscos enfrentados pela empresa e os controles necessários para proteger o sistema. Projeto geral de controle-controle em toda a infraestrutura de TI, segurança e uso de programas de computador e segurança de arquivos de dados. Exemplos: operações de software, hardware e computador e controle de segurança de dados. Controles de aplicativos - são controles específicos para cada aplicativo de computador dolarizado, como o processamento da folha de pagamento. Podem ser: Controle de Acesso - Após entrar no sistema, eles verificarão a exatidão e integridade dos dados. Avaliação de processamento - Verifique se os dados durante a atualização estão completos 14 e precisos. Controle de saída - para garantir que os resultados do processo de cálculo sejam precisos, completos e corretamente distribuídos. Se uma determinada atividade ou processo não for controlado adequadamente, a avaliação de risco determinará o nível de risco da empresa. No sistema, a avaliação pode ser usada para determinar a frequência dos ativos de informação, vulnerabilidades e possíveis danos. Política de segurança - é uma declaração que estabelece uma hierarquia de risco de informações e determina metas de segurança aceitáveis. Política de uso aceitável - define o uso aceitável dos recursos de informação da empresa e equipamentos de informática. As políticas de autorização determinam diferentes níveis de permissões de acesso a ativos de informações para usuários de diferentes níveis. Uma auditoria de sistema avaliará o sistema de segurança geral da empresa e determinará todos os controles usados para gerenciar um único sistema de informações. Figura 2: Nível hierárquico de auditória. Fonte: Autor, 2021 Mas em toda empresa, temos outras áreas que precisam ser coordenadas para se desenvolver melhor. Formas: administração, marketing, etc. Ao explicar esta estrutura, entendemos o seguinte e deixamos os analistas de TI e infraestrutura reportarem ao gerente geral. Eles coordenarão as informações, concluirão os planos de negócios e avaliações de risco e, por fim, responderão e fornecerão informações para suas atividades. Diretamente relacionado à estratégia de negócios, quem formulará as políticas e seguirá os princípios norteadores. 15 2.5 PLANO DE NEGÓCIO Deve-se observar que as empresas precisam entender que a zona de segurança não é mais um custo, mas um investimento necessário para processar seus ativos de informação. Pelo menos deve haver um risco de segurança que a empresa aceita e compreende. Uma boa estrutura na área de gestão da segurança da informação é o item mais relevante, que estáem total conformidade com as diretrizes definidas pela gestão estratégica da empresa. Entender o que é segurança de dados e quão importante ela é para uma empresa é um conhecimento essencial para qualquer gerente que busca o sucesso nos negócios. Mesmo assim, esse ainda é um problema comum que muitas organizações ainda não perceberam, por isso acabaram optando por não investir nessa área estratégica. Acontece que muitas empresas dependem de dados de rede, o que lhes permite ajustar a estratégia da empresa para obter os melhores resultados. Entre outros motivos, garantir a segurança dessas informações é fundamental para a prevenção de ataques cibernéticos, pois os ataques cibernéticos também podem gerar enormes despesas para a organização, além de avaliar e reduzir os riscos associados ao armazenamento de qualquer tipo de informação virtual. A segurança da informação é um fator muito importante para as organizações, principalmente para organizações que processam dados todos os dias e contam com eles para otimizar suas ações e estratégias. Uma vez que os consumidores não fornecem informações financeiras ou cadastrais para empresas que não podem garantir sua proteção, isso é essencial para as empresas. Além disso, a segurança dos dados também é muito importante para evitar o vazamento de informações, pois além de representar diferenças de mercado, também pode trazer prejuízos catastróficos para a empresa. Dessa forma, podem ser atraídos clientes mais cautelosos e informados, que valorizam a seleção de organizações totalmente qualificadas. E como garantir a segurança? Muito simplesmente, NEW.sec possui todas as ferramentas e conhecimentos que podem proteger todo o seu negócio a qualquer momento. O firewall que mais usamos é o firewall, que é a primeira linha de defesa do sistema ou da rede da empresa. Pode ser implementado de duas maneiras: por meio de hardware ou software. Outros garantirão a proteção 16 da sua rede de informações, manutenção e criação de senhas empresariais. A empresa deve estabelecer barreiras para escrever códigos de acordo com um cronograma e lembrar os funcionários de atualizarem suas senhas regularmente. Criptografia: este mecanismo de segurança usa algoritmos e esquemas matemáticos para codificar as informações em um formato ilegível. Dessa forma, apenas a pessoa que possui a chave de acesso pode descriptografar o arquivo. Treinar sua equipe pode melhorar a maneira como os funcionários lidam com informações estratégicas para garantir a segurança dos dados. 17 3 AMEAÇAS E VULNERABILIDADES Uma ameaça é qualquer coisa que coloque seus dados e informações em risco. Essa ameaça pode ter duas origens: interna e externa. Ameaças internas existem no trabalho diário de uma organização, esteja ela conectada à Internet ou não. Vulnerabilidades são falhas de segurança na infraestrutura que podem tornar um ataque bem-sucedido. Algumas ameaças e vulnerabilidades que podem ocorrer em sua empresa: • O fogo pode acontecer em qualquer lugar, apenas faíscas. Se você não tomar medidas para controlar ou prevenir o incêndio, o prejuízo pode ser enorme. Além de perder todas as informações, pode causar danos à estrutura das edificações da empresa. • Os funcionários que não são treinados para manusear os equipamentos da empresa podem até mesmo danificar inadvertidamente o equipamento, resultando na perda de informações. • Divulgação de senhas de funcionários - alguns funcionários ainda escrevem suas senhas em papel ou em arquivos de texto em computadores. Qualquer pessoa que invada a empresa pode facilmente roubar ou destruir informações do computador. • Arquivos de informações de empresas de lixo eletrônico ou planos de trabalho não devem ser apenas "jogados na lata de lixo" porque qualquer pessoa que entrar na sala poderá encontrá-los e abusar deles. • Abuso dos serviços de Internet da empresa - acesso aos e-mails dos funcionários, páginas pornográficas e mídias sociais, além do abuso dos serviços de Internet da empresa e atrasos no trabalho, sem dúvida tornarão os sistemas da empresa mais vulneráveis a ataques. Ameaças externas são todos ataques vindos de fora do ambiente físico da empresa. Ele é o principal responsável pela perda de informações da empresa. Como exemplo de ameaças externas, existem invasores que usam presentes para burlar a tecnologia de segurança da empresa. Existem vários tipos, mas os mais comuns são: • Hackers - indivíduos que invadem sistemas defeituosos para obter informações de propriedade de terceiros. 18 • Crackers - ao contrário dos hackers, ele usa deflexão para invadir e alterar computadores para conectar ou cancelar certos serviços. • Phreaker- é uma pessoa com grande conhecimento e uso do telefone. Esses criminosos podem ser usados para fazer chamadas sem pagar. Os vírus podem danificar ou alterar o sistema. Informações sobre o uso de software antivírus para resolver o problema podem ser úteis, mas precisam ser configurados corretamente e estar sempre atualizados. Incêndio - O risco de perda de informações devido ao incêndio é alto, portanto, o equipamento de extinção de incêndio é necessário para evitar a queima parcial ou total do equipamento de armazenamento de dados. O caminhão de bombeiros deve ser fácil de chegar ao local. Deve ficar longe de locais que contenham explosivos. Deve haver um sistema de proteção contra incêndio. As paredes, pisos e tetos devem ser construídos com materiais refratários. Funcionários não treinados investem em treinamento para usar equipamentos que armazenam informações. Treine-os para usar este equipamento com segurança e certifique-se de que nenhuma informação seja perdida. As senhas merecem atenção especial porque muitos funcionários não estão dispostos a se lembrar delas e, eventualmente, anotá-las ou anotá-las, ou como arquivos de texto em seus computadores. E os abusos dos serviços de Internet da empresa - o uso de programas e programas que impedem o acesso ao site, esses programas são quando os funcionários desempenham suas funções dentro da empresa. Use firewalls para evitar que pessoas mal-intencionadas invadam os sistemas da empresa por meio da rede. O firewall precisa ser configurado e atualizado para se tornar uma ferramenta melhor. 3.1 DESAFIOS Garantir a segurança dos negócios exige a atualização constante das medidas de defesa para reduzir vulnerabilidades e ameaças. A segurança é difícil de implementar de maneira uniforme em toda a empresa. Você deve escolher uma combinação adequada de diferentes opções de solução e deve integrar diferentes ferramentas em toda a empresa para obter uma estratégia de 19 segurança estável. A fim de melhor se defender contra ameaças e evitar brechas, medidas de segurança precisam ser tomadas. Quando necessário, as políticas de segurança e outras medidas podem ajudar a prevenir ou resolver problemas. Esses são os padrões de melhores práticas para transmitir, processar, descartar e armazenar informações. 3.2 POLÍTICA DE SEGURANÇA A estratégia de segurança deve ser clara e objetiva. Deve ser desenvolvido por pessoal experiente e dedicado à empresa. Para quem não segue as regras, regras e punições devem ser estabelecidas. Defina a equipe responsável pela implementação e manutenção - primeiro, você precisa definir quem é responsável pela formulação, implementação e manutenção das políticas de segurança. Ao definir o responsável, é importante lembrar que todos são responsáveis e todos os colaboradores até o proprietário devem participar. Analise os requisitos de segurança da empresa - nesta fase, todos os requisitos de segurança da empresa devem ser considerados. Independentemente de ser informatizado ou não, todos os procedimentosdevem ser seguidos, pois afetam a segurança. Identifique os principais recursos e processos, que devem ser identificados e tratados de diferentes maneiras. Classificação da informação - a informação deve ser classificada e protegida de forma adequada. Um método deve ser usado para determinar esses níveis. Dependendo do nível, é importante estabelecer procedimentos para o processamento das informações. Estabeleça padrões para funcionários e usuários - desenvolva padrões nesta fase para melhorar a segurança da informação. Construa esta fase com base nas informações coletadas na fase anterior. Defina planos de contingência - são os planos que a empresa deve seguir no caso de um problema. Ajude a resolver problemas mais rapidamente e reduza o tempo para retomar o trabalho. Definir penalidades para o não cumprimento das normas de segurança - é necessário penalizar os funcionários que não cumprirem as políticas de segurança. 20 Divulgação da política de segurança - para implementar com sucesso uma política de segurança, é importante divulgá-la a todos que direta ou indiretamente usam e confiam na organização. Essas pessoas também devem ter acesso permanente à política de segurança, pois ela fornece orientações básicas para quem interage direta ou indiretamente com a empresa. Além de fornecer instruções básicas sobre como proceder. Uma implementação é demorada, além de extensível, também deve ser um processo formal. Para implantar com sucesso, uma série de etapas devem ser seguidas: descrição detalhada, aprovação, implementação, divulgação e manutenção. A estratégia de auditoria de segurança deve ser auditada regularmente para mantê-la atualizada e reduzir o risco de falha. O prazo para modificação deve ser definido. Mas você também pode corrigir esses erros quando algo der errado. As necessidades de segurança de cada empresa variam de empresa para empresa, portanto, para cada empresa, um estudo de caso deve ser realizado para determinar a melhor forma de implementar uma melhor estratégia de segurança. 21 4 SISTEMAS CRÍTICOS As falhas de software estão aumentando. Na maioria dos casos, os sistemas críticos podem causar interrupção dos negócios, causando perdas econômicas, ferimentos pessoais ou ameaças a humanos. O sistema central é a tecnologia social ou sistema técnico em que as pessoas confiam. Sistema crítico é definido como um tipo de software cujas características levarão a riscos inerentes de perdas naturais, pessoais e econômicas. Atualmente, existem principalmente os seguintes três tipos de sistemas: • Sistema crítico de segurança: sua falha pode causar danos ambientais e morte. Um exemplo de sistema de segurança crítico é o software que controla uma usina nuclear. • Sistema de missão crítica: sua falha pode causar problemas com certas atividades orientadas a objetivos. Um exemplo é o software de navegação de aeronaves. • Sistema crítico de negócios: sua falha fará com que a empresa pague altas taxas pelo uso do software. Um exemplo de sistema comercial crítico é o software de contabilidade do cliente do banco. Os sistemas considerados vitais devem ser totalmente confiáveis. Existem muitos motivos pelos quais a confiança é importante, como: • Sistema não confiável ou desprotegido: se as pessoas não confiarem nele, definitivamente não querem usá-lo. • O custo da falha de software é muito alto. • Usar um sistema não confiável causará perda de informações, e este software causará perda de informações e grandes perdas. Devido ao alto custo das falhas críticas do sistema, na maioria dos casos, elas são desenvolvidas usando tecnologia conhecida. Embora essas tecnologias estejam desatualizadas, suas vantagens e desvantagens são bem conhecidas. No entanto, ainda existem componentes que podem falhar, por exemplo, ele menciona: O software e o hardware podem funcionar incorretamente, pode haver erros nas especificações, design ou implementação e pode haver erros humanos nas operações do software. Em um sistema crítico, é necessário prestar atenção a todos os aspectos do sistema, como hardware, software e procedimentos operacionais, pois qualquer falha 22 pode causar sérios problemas no futuro. Além disso, a confiança também deve ser considerada porque é essencial em sistemas considerados vitais. No NEW.sec, a confiança no sistema é a base. A confiança no sistema pode ser definida como a confiança do usuário de que o sistema não falhará. O sistema possui quatro aspectos de confiabilidade, por exemplo: • Disponibilidade: refere-se à probabilidade de estar disponível a qualquer momento e poder ser usado o tempo todo. • Confiabilidade: O software deve fornecer todos os serviços que os usuários esperam. • Segurança: Todo software deve ser seguro, com disponibilidade, integridade, confiabilidade, verificação de identidade e irrefutabilidade. • Proteção: O software protegido não permite intrusão acidental ou deliberada. As empresas contam com um sistema crítico, e para isso precisam ter total confiança nele. Para isso, as empresas precisam entender os riscos e os requisitos para lidar com eles. Por meio do SI.sec, identificamos os riscos de cada sistema e aplicamos soluções melhores. 23 5 AUDITORIA A auditoria é um processo de inspeção usado para avaliar se as atividades e operações gerais atendem a um conteúdo predeterminado. Embora amplamente utilizados para a obtenção de vedações de alta qualidade, são essenciais para a otimização do dia a dia. Para qualquer empresa, o processo de auditoria é uma atividade essencial. Isso ocorre porque ele pode ser usado para determinar se a atividade está indo de acordo com o planejado. A auditoria de segurança da informação é uma avaliação sistemática da segurança do sistema de informação de uma empresa. Basicamente, ele tenta medir o quão bem o sistema atende a um conjunto de padrões estabelecidos. Ou pode-se dizer que uma auditoria de segurança da informação é avaliada para garantir que os processos e a infraestrutura estejam atualizados. Durante o processo de auditoria, o auditor conduz entrevistas cara a cara, verifica se há vulnerabilidades, analisa a configuração do sistema operacional, analisa o compartilhamento de rede e analisa dados históricos. O foco está em como aplicar políticas de segurança. Algumas perguntas que as auditorias de segurança da informação devem tentar responder: A senha é difícil de quebrar? As listas de controle de acesso estão instaladas nos dispositivos de rede para controlar quem pode acessar os dados compartilhados? Existe um log de auditoria para registrar quem acessa os dados? Você analisa os registros de auditoria? As configurações de segurança do sistema operacional estão de acordo com as práticas de segurança da empresa? Cada sistema elimina todos os aplicativos desnecessários? O sistema operacional e os patches de software são aplicados? Eles estão atualizados? Como a mídia de backup é armazenada? Quem tem o direito de usar? Foi atualizado? Existe um plano de recuperação de desastres? Após a conclusão deste processo, a empresa poderá avaliar de fato se a circulação e o armazenamento dos dados são realizados com toda a segurança 24 necessária. Com base nessa avaliação, a empresa poderá tomar medidas mais precisas para proteger um de seus valiosos ativos: a informação. 25 6 CONCLUSÃO Com a criação do NEW.sec, precisamos entrar em todas as etapas de uma empresa de segurança da informação, obviamente, a segurança da informação depende não só da tecnologia, mas também de um pessoal bem treinado. Requer planejamentoe ação eficaz. É necessário entender as ameaças e vulnerabilidades, assim como a própria organização e os negócios mais importantes, pois a segurança existe de acordo com o negócio. Uma empresa não é criada da noite para o dia. Ela precisa ter uma ideia, escrever todas as suas ideias no papel e, em seguida, melhorar no campo que deseja seguir. Não importa a empresa, todos estão sujeitos a ataques externos ou ataques internos. Se não forem tomadas medidas, podem ocorrer graves consequências, por isso investir nesta área é fundamental. Como o sistema crítico exige o comprometimento de toda a equipe, o resultado final de um sistema confiável atrairá a atenção de inúmeros clientes, e a confiança é o primeiro passo para o sucesso. A auditoria é fundamental para o desenvolvimento da empresa, e é fundamental para poder garantir a segurança dos colaboradores e dos equipamentos. Neste trabalho, apresentamos opções de perigos, riscos e proteção para empresas de qualquer departamento. É importante atingir um determinado nível de segurança para todos os colaboradores, minimizar qualquer impacto na empresa e saber que não existe segurança absoluta, mas erros podem ser evitados. 26 REFERÊNCIAS EY, Agência. ATAQUES CIBERNETICOS A EMPRESAS. < https://istoe.com.br/ataques-ciberneticos-a-empresas-aumentam-300-na- pandemia/> 30/08/2021. EFE, Agência. BRASIL É 2° MAIOR ALVO MUNDIAL DE CIBERATAQUES. < https://noticias.r7.com/tecnologia-e-ciencia/brasil-e-2- maior-alvo-mundial-de-ciberataques-revela-estudo-04082021 > 04/08/2021. INDUSTRIA, Portal. CIBERSEGURANÇA: O QUE É? IMPORTÂNCIA E COMO SE QUALIFICAR < http://www.portaldaindustria.com.br/industria-de-a- z/ciberseguranca/ > 13/09/2021. TECH, Mundo. 10 AMEAÇAS CIBERNÉTICAS EM ALTA NO PRIMEIRO SEMESTRE DE 2020. <https://mundomaistech.com.br/seguranca/10-ameacas- ciberneticas-em-alta-no-primeiro-semestre-de-2020/ > 13/07/2020. KASPERSKY. O QUE É CIBERSEGURANÇA? < https://www.kaspersky.com.br/resource-center/definitions/what-is-cyber- security> 13/09/2021. CISCO. O QUE É FIREWALL? < https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a- firewall.html> 13/09/2021. TRIPLA. O QUE É FIREWALL – O QUE VOCÊ PRECISA SABER SOBRE ESSA FERRAMENTA DE SEGURANÇA FUNDAMENTAL PARA SUA EMPRESA. < https://triplait.com/o-que-e-firewall/> 21/08/2019. VALESCO, Ariane. O QUE É SEGURANÇA DA INFORMAÇÃO? < https://canaltech.com.br/seguranca/seguranca-da-informacao-o-que-e- 158375/> 13/09/2021. https://istoe.com.br/ataques-ciberneticos-a-empresas-aumentam-300-na-pandemia/ https://istoe.com.br/ataques-ciberneticos-a-empresas-aumentam-300-na-pandemia/ https://noticias.r7.com/tecnologia-e-ciencia/brasil-e-2-maior-alvo-mundial-de-ciberataques-revela-estudo-04082021 https://noticias.r7.com/tecnologia-e-ciencia/brasil-e-2-maior-alvo-mundial-de-ciberataques-revela-estudo-04082021 http://www.portaldaindustria.com.br/industria-de-a-z/ciberseguranca/ http://www.portaldaindustria.com.br/industria-de-a-z/ciberseguranca/ https://mundomaistech.com.br/seguranca/10-ameacas-ciberneticas-em-alta-no-primeiro-semestre-de-2020/ https://mundomaistech.com.br/seguranca/10-ameacas-ciberneticas-em-alta-no-primeiro-semestre-de-2020/ https://www.kaspersky.com.br/resource-center/definitions/what-is-cyber-security https://www.kaspersky.com.br/resource-center/definitions/what-is-cyber-security https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html https://triplait.com/o-que-e-firewall/ https://canaltech.com.br/seguranca/seguranca-da-informacao-o-que-e-158375/ https://canaltech.com.br/seguranca/seguranca-da-informacao-o-que-e-158375/
Compartilhar