Plano de Auditoria de Sistemas para Segurança da Informação

Prévia do material em texto

UNIVERSIDADE PAULISTA – UNIP EaD 
Projeto Integrado Multidisciplinar 
Curso Superior de Tecnologia em Segurança da Informação 
 
 
 
 
 
 
 
 
 
 
 
 
Plano de Auditoria de Sistemas amparado em testes de invasão 
com foco específico para a organização selecionada e devidamente 
alinhado ao Plano de Negócios da organização 
 
 
 
 
 
 
 
 
 
 
 
 
Polo Osasco, São Paulo 
2021 
 
 
UNIVERSIDADE PAULISTA – UNIP EaD 
Projeto Integrado Multidisciplinar 
Curso Superior de Tecnologia em Segurança da Informação 
 
 
 
 
 
 
 
Plano de Auditoria de Sistemas amparado em testes de invasão 
com foco específico para a organização selecionada e devidamente 
alinhado ao Plano de Negócios da organização 
 
 
 
 
Nome: Advaldo Alves de Santana 
RA: 2058130 
Curso: Segurança da Informação 
Semestre: 2º 
 
 
 
 
 
 
 
 
 
Polo Osasco, São Paulo 
2021 
 
 
RESUMO 
Neste projeto de integração multidisciplinar (PIM), criamos uma proposta 
para a New.sec, empresa da área de segurança da informação, que demonstra 
o quão necessária é a segurança da empresa. Atualmente, estamos lidando com 
diversas ameaças no mundo digital, e os empreendedores devem estar atentos 
às novas inovações e defesas apresentadas ao mundo. 
Neste trabalho criado pela empresa, irá mostrar algumas das ameaças 
que podem ocorrer na empresa e como essas ameaças podem prejudicar toda 
a organização, sendo a segurança um investimento necessário para que todos 
os colaboradores e empresários estejam protegidos. Apresentaremos as 
melhores medidas de defesa contra ataques ao sistema, amostras de toda a 
estrutura organizacional de nossa empresa e planos de negócios para fortalecer 
o sistema. Explique o que são sistemas críticos e como lidamos com eles no 
campo da segurança da informação e como eles têm impacto econômico na 
organização e, por fim, determine a importância da auditoria na empresa e a 
forma correta de realizá-la. 
Palavra – chaves: Segurança, inovação, auditória, empresa, cliente. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ABSTRACT 
In this multidisciplinary integration project (PIM), we created a proposal for 
New.sec, an information security company, which demonstrates how necessary 
the security of the company is. We are currently dealing with diverse threats in 
the digital world, and entrepreneurs must be aware of new innovations and 
defenses presented to the world. 
In this work created by the company, it will show some of the threats that 
can occur in the company and how these threats can harm the entire 
organization, with security being a necessary investment so that all employees 
and entrepreneurs are protected. We will present the best defense measures 
against system attacks, samples of the entire organizational structure of our 
company and business plans to strengthen the system. Explain what critical 
systems are and how we deal with them in the field of information security and 
how they have an economic impact on the organization and, finally, determine 
the importance of auditing in the company and the correct way to carry it out. 
Key words: Security, innovation, auditin, company, customer 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SUMÁRIO 
 
1 INTRODUÇÃO............................................................................................................ 6 
2 DESENVOLVIMENTO .............................................................................................. 7 
2.1 OBJETIVOS ......................................................................................................... 9 
2.2 JUSTIFICATIVA ................................................................................................ 10 
2.3 IMPACTO DA PANDEMIA .............................................................................. 12 
2.4 ESTRUTURA ORGANIZACIONAL ................................................................ 13 
2.5 PLANO DE NEGÓCIO ..................................................................................... 15 
3 AMEAÇAS E VULNERABILIDADES ................................................................... 17 
3.1 DESAFIOS ..................................................................................................... 18 
3.2 POLÍTICA DE SEGURANÇA ...................................................................... 19 
4 SISTEMAS CRÍTICOS ............................................................................................ 21 
5 AUDITORIA .............................................................................................................. 23 
6 CONCLUSÃO ........................................................................................................... 25 
REFERÊNCIAS ........................................................................................................... 26 
 
 
 
 
 
 
 
6 
 
 
 
 
1 INTRODUÇÃO 
Como as pessoas não se concentram mais no trabalho manual e são 
substituídas por máquinas, a principal preocupação passou a ser a segurança 
da informação. Hoje, essa é a maior preocupação de quem estabeleceu ou 
deseja montar uma empresa e garantir a segurança e integridade de suas 
informações. A informação tem maior valor do que o patrimônio de qualquer 
empresa e é a base para a sobrevivência. 
Ao escrever informações em papel, é fácil salvá-las porque estão 
trancadas em um local seguro para que ninguém possa tocá-las. Mas, com o 
desenvolvimento da tecnologia, o fato de as informações agora serem 
armazenadas em mídia digital as torna mais suscetíveis a roubo e perda. 
Portanto, há uma necessidade crescente de implementar estratégias de 
segurança. Portanto, as empresas podem usar essas informações na tomada de 
decisões. Atualmente, os dados sigilosos da empresa são armazenados 
digitalmente, o que torna extrema a atenção à segurança da informação. 
O risco de os cibercriminosos acessarem essas informações ou causar 
perda de dados tem levado muitas empresas a usar medidas e ferramentas de 
proteção. É necessário saber quais ferramentas usar em cada situação e as 
ferramentas mais utilizadas. Por isso, pensei em criar uma empresa coligada 
porque é muito importante para qualquer empresa. 
A criação da empresa "NEW.sec" fornecerá toda a orientação e segurança 
para empresas de qualquer setor, incluindo estratégia, estratégia, treinamento, 
conscientização do usuário e serviços profissionais (como análise de risco e 
ameaça, teste de penetração ou teste de intrusão, consultoria em processos de 
segurança da informação), Criação e gerenciamento, e ferramentas de uso 
(como antivírus, firewall, antispam, antimalware, etc.) para executar. 
 
 
 
 
 
7 
 
 
 
2 DESENVOLVIMENTO 
Segurança da informação significa que todos os dados e informações 
importantes para indivíduos ou organizações não são ameaçados por ameaças 
físicas ou lógicas. É melhor definir o conceito de segurança da informação no 
site da Wikipedia e declará-lo da seguinte forma: 
“A Segurança da Informação refere-se à proteção existente sobre as informações de 
uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas 
quanto as pessoais.” 
Ao considerar a segurança das informações, é importante lembrar de 
manter a integridade, disponibilidade e confidencialidade das informações. 
Aproveitando ao máximo a segurança da informação, a empresa terá muitos 
benefícios e poderá continuar trabalhando. A segurança da informação visa 
proteger todos os dados e informações de empresas ou indivíduos de quaisquer 
ameaças. Basicamente, 3 princípios serão anunciados: confidencialidade da 
informação, integridade e disponibilidade de dados e não repúdio. 
 Integridade: protege a precisão e os atributos de todo o conjunto de ativos. 
 Disponibilidade: atributos que as entidades autorizadas podem acessar e 
usar sob demanda. 
 Confidencialidade:propriedade de não ser capaz de obter ou divulgar 
informações a indivíduos, entidades ou processos não autorizados. • Não 
repudio: Ao enviar uma mensagem, o remetente ou destinatário pode dizer que 
não enviou nem recebeu a mensagem. O mesmo se aplica às pessoas que 
negociam e depois se recusam a negociar. A fim de garantir que tal negociação 
seja realizada ou para garantir que a mensagem seja enviada, é usada 
tecnologia de não repúdio. 
A principal ferramenta utilizada é o firewall, que é a primeira linha de 
defesa do sistema ou rede da empresa. Pode ser implementado de duas 
maneiras: por meio de hardware ou software. O hardware (o dispositivo físico 
conectado à rede) é geralmente mais poderoso porque geralmente requer o uso 
de vários computadores para gerenciar o ambiente, porque o software é mais 
oportuno quando implantado diretamente no computador cliente. O Firewall do 
Windows é um exemplo, a partir do qual você pode configurar regras para 
bloquear ou permitir o acesso à rede. Por exemplo, como medida de segurança, 
conceda acesso apenas a pessoal autorizado. O objetivo do firewall é controlar 
8 
 
 
 
as conexões de entrada e saída na rede e filtrar esse pacote de dados. Um 
pacote de dados é uma estrutura única de transmissão de dados, ou uma 
sequência de dados transmitidos pela rede, ou seja, informações que 
interrompem a transmissão. Com base na análise realizada na filtragem e nas 
regras aplicáveis a essa análise, o firewall determina se essa informação pode 
ser repassada ao usuário, por exemplo, visitando um determinado tipo de site. 
As principais funções que compõem um firewall moderno podem ajudar a 
melhorar determinados aspectos do ambiente de rede de acordo com as 
necessidades de cada empresa. 
 Proxy: Esse tipo de segurança atua como intermediário entre a 
rede externa e o computador, evitando a comunicação direta entre os dois. Os 
dados são recebidos pelo agente e, em seguida, inspecionados e avaliados. Se 
nenhum problema com esses dados for detectado, o usuário pode recebê-los. 
 IPS: O IPS (sistema de prevenção de intrusão) pode ser 
classificado como um conjunto de regras de análise de tráfego que rejeita certos 
pacotes de dados. Quando a solicitação chegar à sua infraestrutura, o IPS 
analisará todas as regras possíveis para rejeição desses pacotes e, na ausência 
dessas regras de rejeição, o IPS permitirá a análise do tráfego. 
 Inspeção de estado: O firewall verificado determinará os dados de 
entrada e saída de acordo com os atributos técnicos do ambiente (como um 
protocolo, estado ou porta específico). Como em outros casos, o firewall de 
inspeção com monitoração de estado tomará essas decisões de filtragem de 
pacotes para determinar se os dados podem ser passados para o usuário, o que 
geralmente é criado pelo administrador. 
 IDS: Por meio de IDS, sistema de detecção de intrusão, você pode 
visualizar o tráfego em diferentes pontos da rede monitorada em detalhes para 
identificar os tipos de atividades maliciosas. Quando um evento que viola a 
política de segurança é determinado, o IDS irá analisar o evento e passar seu 
registro detalhado para o administrador. O relatório pode ser usado como 
evidência para auxiliar na tomada de decisão. Resumindo, as informações que 
ele coleta podem ajudá-lo a entender melhor os incidentes que violam as 
políticas de segurança da infraestrutura. 
9 
 
 
 
 UTM: O Unified Threat Management refere-se ao termo para uma 
única solução de segurança que fornece várias soluções em um único 
dispositivo. Normalmente, este dispositivo UTM contém funções básicas para 
segurança de rede, tais como: antivírus, antispyware, antispam, firewall de rede, 
detecção e defesa de intrusão (geralmente chamados de IDS e IPS), alguns até 
fornecem roteamento remoto, rede e Outras funções. Endereço (denominado 
NAT) e suporte para VPN (Virtual Private Network). 
Ao implementar e gerenciar firewalls, o nível de segurança do ambiente 
pode ser melhorado. No entanto, essa ferramenta sozinha não pode resolver 
seus problemas de segurança de rede. O maior diferencial está no 
gerenciamento dessas ferramentas, pois, se feitas e operadas corretamente, 
podem trazer os resultados esperados e aumentar a segurança da empresa. 
2.1 OBJETIVOS 
 A segurança da tecnologia da informação é usada para manter a 
segurança do sistema operacional, desempenha um papel estratégico na 
empresa, pois o uso desta tecnologia pode proteger toda a estrutura técnica da 
empresa. 
 Nossa empresa apresenta várias ferramentas para a segurança de 
privacidade dos dados de qualquer ramo de empresa. E como nosso principais 
serviços que podemos oferecer é: 
1. Defender os ataques de hackers aos sistemas da empresa; 
2. Proteger as informações da empresa disponíveis na Internet; 
3. Impedir que indivíduos não autorizados acessem dados 
confidenciais. 
 As ferramentas que utilizamos são as melhores para a segurança e 
tranquilidade de empresários, como o Firewall que é um mecanismo para 
controlar a comunicação de dados entre computadores na rede interna e entre 
eles e outras redes externas. Funciona de acordo com um protocolo de 
segurança para garantir o funcionamento normal da comunicação entre as duas 
extremidades para evitar intrusões. 
 Assim, garantimos a segurança de toda a empresa e seus colaboradores. 
 Com nossa empresa garantimos que essas informações só podem ser 
acessadas e atualizadas por pessoal autorizado e devidamente autorizado. 
10 
 
 
 
Terceiros fora da empresa nunca podem acessar dados e informações 
importantes de determinados departamentos ou clientes. Para ter certeza, o 
pessoal autorizado pode acessar e obter continuamente essas informações. 
Hoje, os mecanismos de acesso remoto permitem que os usuários acessem 
informações em qualquer lugar do planeta e a qualquer hora do dia ou da noite. 
 Este é o objetivo de garantir a integridade, precisão e retenção das 
informações para evitar alterações indevidas, fraude ou mesmo destruição. 
Portanto, o vazamento de informações pode ser evitado, seja acidental ou 
intencional. Também deve ser proporcionado treinamento e atualização de 
conhecimentos às equipes de TI e aos usuários de recursos técnicos. Afinal, 
obstáculos técnicos também podem causar vulnerabilidades de hardware e 
software. Possíveis vulnerabilidades de hardware e software devem ser 
detectadas rapidamente para que medidas imediatas possam ser tomadas para 
resolvê-las. 
 Temos como objetivos: 
• Apresentar a estrutura organizacional e nosso plano de negócios 
para fortalecer os sistemas das empresas. 
• Explicar o significado dos principais sistemas críticos e onde a falha 
do sistema pode ter um impacto fatores humanos ou econômicos graves. 
• A importância da auditoria nas empresas e como e feita a mesma. 
2.2 JUSTIFICATIVA 
A segurança deve ser a principal prioridade de qualquer empresa, e os 
empreendedores não devem perder dados importantes ou ser expostos a 
pessoas ruins. Para que a segurança de todos seja estabelecida, todos os 
departamentos devem estar em completa harmonia. As empresas estão 
começando a perceber que a segurança da informação não é apenas mais uma 
caixa no organograma, mas um grupo de pessoas, processos e tecnologias que 
protegem as operações da empresa sob a orientação de regras, políticas, 
negócios e meio ambiente da empresa. 
Geralmente, o campo da segurança da informação começa com a 
estrutura hierárquica da tecnologia da informação, pois os gestores associam o 
SI a servidores e senhas (ou seja, controle de acesso geral). Nosso cenário atual 
mostra como uma empresa está vulnerável a ataques cibernéticos. Com cada 
11 
 
 
 
vez mais pessoas trabalhando em casa, os empreendedores precisam se 
preocupar com a segurança de seus documentos e funcionários, portanto, criar 
uma empresa que possa proteger seus dados e funcionáriosé definitivamente 
Indispensável, proteger sua empresa está em primeiro lugar. 
Desde o início da pandemia, os ataques têm aumentado e, em um futuro 
próximo, o custo de tornar sua segurança uma segunda opção será muito alto. 
Segundo dados do CERT.BR (Centro Brasileiro de Pesquisa, Resposta e 
Processamento de Incidentes de Segurança), de janeiro a junho, o Brasil 
reportou mais de 50.000 incidentes por mês, conforme mostra a figura: 
 
Figura 1: Incidentes reportados entre Janeiro a Junho de 2020. - Fonte: 
CERT.BR 
Sob outras perspectivas, percebemos que o Brasil sofreu 3,4 bilhões de 
ataques cibernéticos em 2020. É importante que os empresários fiquem atentos 
a esses quadros e situações, por isso criamos o SI.sec, que será a melhor forma 
de proteger o seu empresa e funcionários. 
Entre 1º de janeiro e 3 de agosto de 2021, o Brasil sofreu mais de 439.000 
ataques cibernéticos, respondendo por 7,1% do total global de 6,4 milhões de 
ataques, ocupando o segundo lugar entre os maiores alvos do mundo, atrás 
apenas dos Estados Unidos, que ficaram em primeiro lugar. De acordo com um 
relatório da empresa profissional Netscout, classificou-se em 1,33 milhão 
(21,7%). Em terceiro lugar está a Coreia do Sul com 385.808 ataques (6,3%), 
seguida pelo Reino Unido com 348.330 ataques (5,7%), seguido pela China com 
256.985 ataques (4,2%). 
12 
 
 
 
Os dados coletados pelas empresas de segurança cibernética e soluções 
digitais correspondem a um valor médio baseado no monitoramento em tempo 
real de aproximadamente 30% de todo o tráfego IP do planeta. Os ataques 
registrados pertencem ao tipo de negação de serviço distribuída (DDoS), que é 
um ataque que usa as características e limitações de qualquer rede de serviço 
para interromper sua operação. Os dados mostram ainda que as principais 
fontes de ataques no Brasil são os Estados Unidos (62,4%), o país (60,8%), o 
Reino Unido (21,1%), a Holanda (31,1%) e a Alemanha (30,9%). 
2.3 IMPACTO DA PANDEMIA 
A pandemia Covid-19 triplicou o número de ataques cibernéticos a 
empresas privadas em todo o mundo. A ampla adoção de escritórios domésticos, 
o crescimento significativo dos negócios digitais, como e-commerce e 
transações bancárias online, e a fragilidade dos sistemas digitais de algumas 
empresas levaram ao aumento do crime digital no Brasil e em outros países. 
Essas informações estão incluídas no estudo "Como a Covid-19 afeta os 
investimentos futuros em segurança e privacidade", preparado pela Ernst & 
Young. Mais de 130 empresas de cinco continentes ouviram, incluindo países 
como Estados Unidos, Brasil, África do Sul, Suíça, Índia e Dinamarca. Estima-
se que os ataques ilegais a sistemas de tecnologia corporativa aumentaram 
cerca de 300% em comparação com antes da pandemia. De acordo com a 
pesquisa, 8 dos 10 líderes consultados alegaram que as operações de suas 
empresas foram afetadas negativamente, especialmente phishing. 69% dos 
entrevistados mencionaram isso, incluindo tentativas de roubo de senhas 
bancárias por meio de fraude. E outros dados, exemplos). Malware foi citado por 
54% dos entrevistados, envolvendo roubo de dados e danos ao equipamento, e 
ataques de negação de serviço (59%) também foram destacados. 
Segundo ele, desde o início da pandemia, diversos fatores levaram a um 
aumento significativo dos ataques cibernéticos. O primeiro é a rápida adoção de 
escritórios domésticos pela maioria das instituições. Desta forma, a empresa 
torna-se muito dependente e vulnerável à influência da rede doméstica de 
Internet, que na maioria dos casos não apresenta o mesmo nível de 
complexidade na proteção da rede virtual do escritório. 
13 
 
 
 
2.4 ESTRUTURA ORGANIZACIONAL 
Geralmente, o campo da segurança da informação começa com a 
hierarquia da tecnologia da informação, pois os gerentes associam o SI a 
servidores e senhas (ou seja, controle de acesso geral). Mas para os gestores 
de segurança, o maior desafio é mostrar que essa não é a única tarefa, em 
alguns casos, o controle de acesso não resolve o problema. Na NEW.sec, 
propomos que sejam seguidos na parte de segurança da empresa. 
Mapeie os riscos atuais para os negócios da empresa. A tarefa é identificar as 
ameaças que ameaçam as operações da empresa, sejam pessoas, processos 
ou tecnologia. 
Resumir a cultura interna, principais processos internos e 
regulamentações relacionadas aos negócios da empresa. É necessário 
compreender totalmente o ambiente da empresa para formular medidas de 
controle com base nas operações futuras da empresa, identificar medidas de 
melhoria de segurança para processos internos e tomar medidas de acordo com 
as leis relevantes (incluindo leis ou regulamentos). 
Defina as políticas de segurança. A política de segurança da informação 
é o principal documento que orienta os direitos e obrigações relacionados a este 
incidente. Este é um documento que todos devem obter e entender. Ele deve 
conter orientações sobre como eliminar ou mitigar riscos e fornecer orientações 
sobre as melhores práticas de SI. 
Defina as operações diárias básicas. Cada área é atendida todos os dias, 
geralmente em uma área segura. 
O sistema é confiável e seguro apenas quando sabemos como e onde 
usar o sistema. É importante entender os riscos enfrentados pela empresa e os 
controles necessários para proteger o sistema. Projeto geral de controle-controle 
em toda a infraestrutura de TI, segurança e uso de programas de computador e 
segurança de arquivos de dados. Exemplos: operações de software, hardware e 
computador e controle de segurança de dados. Controles de aplicativos - são 
controles específicos para cada aplicativo de computador dolarizado, como o 
processamento da folha de pagamento. Podem ser: Controle de Acesso - Após 
entrar no sistema, eles verificarão a exatidão e integridade dos dados. Avaliação 
de processamento - Verifique se os dados durante a atualização estão completos 
14 
 
 
 
e precisos. Controle de saída - para garantir que os resultados do processo de 
cálculo sejam precisos, completos e corretamente distribuídos. Se uma 
determinada atividade ou processo não for controlado adequadamente, a 
avaliação de risco determinará o nível de risco da empresa. No sistema, a 
avaliação pode ser usada para determinar a frequência dos ativos de informação, 
vulnerabilidades e possíveis danos. Política de segurança - é uma declaração 
que estabelece uma hierarquia de risco de informações e determina metas de 
segurança aceitáveis. Política de uso aceitável - define o uso aceitável dos 
recursos de informação da empresa e equipamentos de informática. As políticas 
de autorização determinam diferentes níveis de permissões de acesso a ativos 
de informações para usuários de diferentes níveis. Uma auditoria de sistema 
avaliará o sistema de segurança geral da empresa e determinará todos os 
controles usados para gerenciar um único sistema de informações. 
 
Figura 2: Nível hierárquico de auditória. Fonte: Autor, 2021 
Mas em toda empresa, temos outras áreas que precisam ser coordenadas 
para se desenvolver melhor. Formas: administração, marketing, etc. Ao explicar 
esta estrutura, entendemos o seguinte e deixamos os analistas de TI e 
infraestrutura reportarem ao gerente geral. Eles coordenarão as informações, 
concluirão os planos de negócios e avaliações de risco e, por fim, responderão 
e fornecerão informações para suas atividades. Diretamente relacionado à 
estratégia de negócios, quem formulará as políticas e seguirá os princípios 
norteadores. 
15 
 
 
 
2.5 PLANO DE NEGÓCIO 
Deve-se observar que as empresas precisam entender que a zona de 
segurança não é mais um custo, mas um investimento necessário para 
processar seus ativos de informação. Pelo menos deve haver um risco de 
segurança que a empresa aceita e compreende. Uma boa estrutura na área de 
gestão da segurança da informação é o item mais relevante, que estáem total 
conformidade com as diretrizes definidas pela gestão estratégica da empresa. 
Entender o que é segurança de dados e quão importante ela é para uma 
empresa é um conhecimento essencial para qualquer gerente que busca o 
sucesso nos negócios. Mesmo assim, esse ainda é um problema comum que 
muitas organizações ainda não perceberam, por isso acabaram optando por não 
investir nessa área estratégica. Acontece que muitas empresas dependem de 
dados de rede, o que lhes permite ajustar a estratégia da empresa para obter os 
melhores resultados. Entre outros motivos, garantir a segurança dessas 
informações é fundamental para a prevenção de ataques cibernéticos, pois os 
ataques cibernéticos também podem gerar enormes despesas para a 
organização, além de avaliar e reduzir os riscos associados ao armazenamento 
de qualquer tipo de informação virtual. A segurança da informação é um fator 
muito importante para as organizações, principalmente para organizações que 
processam dados todos os dias e contam com eles para otimizar suas ações e 
estratégias. 
Uma vez que os consumidores não fornecem informações financeiras ou 
cadastrais para empresas que não podem garantir sua proteção, isso é essencial 
para as empresas. Além disso, a segurança dos dados também é muito 
importante para evitar o vazamento de informações, pois além de representar 
diferenças de mercado, também pode trazer prejuízos catastróficos para a 
empresa. Dessa forma, podem ser atraídos clientes mais cautelosos e 
informados, que valorizam a seleção de organizações totalmente qualificadas. 
E como garantir a segurança? Muito simplesmente, NEW.sec possui 
todas as ferramentas e conhecimentos que podem proteger todo o seu negócio 
a qualquer momento. O firewall que mais usamos é o firewall, que é a primeira 
linha de defesa do sistema ou da rede da empresa. Pode ser implementado de 
duas maneiras: por meio de hardware ou software. Outros garantirão a proteção 
16 
 
 
 
da sua rede de informações, manutenção e criação de senhas empresariais. A 
empresa deve estabelecer barreiras para escrever códigos de acordo com um 
cronograma e lembrar os funcionários de atualizarem suas senhas regularmente. 
Criptografia: este mecanismo de segurança usa algoritmos e esquemas 
matemáticos para codificar as informações em um formato ilegível. Dessa forma, 
apenas a pessoa que possui a chave de acesso pode descriptografar o arquivo. 
Treinar sua equipe pode melhorar a maneira como os funcionários lidam com 
informações estratégicas para garantir a segurança dos dados. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
17 
 
 
 
3 AMEAÇAS E VULNERABILIDADES 
Uma ameaça é qualquer coisa que coloque seus dados e informações em 
risco. Essa ameaça pode ter duas origens: interna e externa. Ameaças internas 
existem no trabalho diário de uma organização, esteja ela conectada à Internet 
ou não. Vulnerabilidades são falhas de segurança na infraestrutura que podem 
tornar um ataque bem-sucedido. 
Algumas ameaças e vulnerabilidades que podem ocorrer em sua 
empresa: 
• O fogo pode acontecer em qualquer lugar, apenas faíscas. Se você não 
tomar medidas para controlar ou prevenir o incêndio, o prejuízo pode ser enorme. 
Além de perder todas as informações, pode causar danos à estrutura das 
edificações da empresa. 
• Os funcionários que não são treinados para manusear os equipamentos 
da empresa podem até mesmo danificar inadvertidamente o equipamento, 
resultando na perda de informações. 
• Divulgação de senhas de funcionários - alguns funcionários ainda 
escrevem suas senhas em papel ou em arquivos de texto em computadores. 
Qualquer pessoa que invada a empresa pode facilmente roubar ou destruir 
informações do computador. 
• Arquivos de informações de empresas de lixo eletrônico ou planos de 
trabalho não devem ser apenas "jogados na lata de lixo" porque qualquer pessoa 
que entrar na sala poderá encontrá-los e abusar deles. 
 • Abuso dos serviços de Internet da empresa - acesso aos e-mails dos 
funcionários, páginas pornográficas e mídias sociais, além do abuso dos 
serviços de Internet da empresa e atrasos no trabalho, sem dúvida tornarão os 
sistemas da empresa mais vulneráveis a ataques. 
Ameaças externas são todos ataques vindos de fora do ambiente físico 
da empresa. Ele é o principal responsável pela perda de informações da 
empresa. Como exemplo de ameaças externas, existem invasores que usam 
presentes para burlar a tecnologia de segurança da empresa. 
Existem vários tipos, mas os mais comuns são: 
• Hackers - indivíduos que invadem sistemas defeituosos para obter 
informações de propriedade de terceiros. 
18 
 
 
 
 • Crackers - ao contrário dos hackers, ele usa deflexão para invadir e 
alterar computadores para conectar ou cancelar certos serviços. 
• Phreaker- é uma pessoa com grande conhecimento e uso do telefone. 
Esses criminosos podem ser usados para fazer chamadas sem pagar. 
Os vírus podem danificar ou alterar o sistema. Informações sobre o uso 
de software antivírus para resolver o problema podem ser úteis, mas precisam 
ser configurados corretamente e estar sempre atualizados. 
Incêndio - O risco de perda de informações devido ao incêndio é alto, 
portanto, o equipamento de extinção de incêndio é necessário para evitar a 
queima parcial ou total do equipamento de armazenamento de dados. O 
caminhão de bombeiros deve ser fácil de chegar ao local. Deve ficar longe de 
locais que contenham explosivos. Deve haver um sistema de proteção contra 
incêndio. As paredes, pisos e tetos devem ser construídos com materiais 
refratários. 
Funcionários não treinados investem em treinamento para usar 
equipamentos que armazenam informações. Treine-os para usar este 
equipamento com segurança e certifique-se de que nenhuma informação seja 
perdida. 
As senhas merecem atenção especial porque muitos funcionários não 
estão dispostos a se lembrar delas e, eventualmente, anotá-las ou anotá-las, ou 
como arquivos de texto em seus computadores. 
E os abusos dos serviços de Internet da empresa - o uso de programas e 
programas que impedem o acesso ao site, esses programas são quando os 
funcionários desempenham suas funções dentro da empresa. 
Use firewalls para evitar que pessoas mal-intencionadas invadam os 
sistemas da empresa por meio da rede. O firewall precisa ser configurado e 
atualizado para se tornar uma ferramenta melhor. 
3.1 DESAFIOS 
Garantir a segurança dos negócios exige a atualização constante das 
medidas de defesa para reduzir vulnerabilidades e ameaças. A segurança é 
difícil de implementar de maneira uniforme em toda a empresa. Você deve 
escolher uma combinação adequada de diferentes opções de solução e deve 
integrar diferentes ferramentas em toda a empresa para obter uma estratégia de 
19 
 
 
 
segurança estável. A fim de melhor se defender contra ameaças e evitar 
brechas, medidas de segurança precisam ser tomadas. Quando necessário, as 
políticas de segurança e outras medidas podem ajudar a prevenir ou resolver 
problemas. Esses são os padrões de melhores práticas para transmitir, 
processar, descartar e armazenar informações. 
3.2 POLÍTICA DE SEGURANÇA 
A estratégia de segurança deve ser clara e objetiva. Deve ser 
desenvolvido por pessoal experiente e dedicado à empresa. 
Para quem não segue as regras, regras e punições devem ser 
estabelecidas. Defina a equipe responsável pela implementação e manutenção 
- primeiro, você precisa definir quem é responsável pela formulação, 
implementação e manutenção das políticas de segurança. 
Ao definir o responsável, é importante lembrar que todos são 
responsáveis e todos os colaboradores até o proprietário devem participar. 
Analise os requisitos de segurança da empresa - nesta fase, todos os 
requisitos de segurança da empresa devem ser considerados. 
Independentemente de ser informatizado ou não, todos os procedimentosdevem 
ser seguidos, pois afetam a segurança. Identifique os principais recursos e 
processos, que devem ser identificados e tratados de diferentes maneiras. 
Classificação da informação - a informação deve ser classificada e 
protegida de forma adequada. Um método deve ser usado para determinar esses 
níveis. Dependendo do nível, é importante estabelecer procedimentos para o 
processamento das informações. 
Estabeleça padrões para funcionários e usuários - desenvolva padrões 
nesta fase para melhorar a segurança da informação. Construa esta fase com 
base nas informações coletadas na fase anterior. 
Defina planos de contingência - são os planos que a empresa deve seguir 
no caso de um problema. Ajude a resolver problemas mais rapidamente e reduza 
o tempo para retomar o trabalho. 
Definir penalidades para o não cumprimento das normas de segurança - 
é necessário penalizar os funcionários que não cumprirem as políticas de 
segurança. 
20 
 
 
 
Divulgação da política de segurança - para implementar com sucesso uma 
política de segurança, é importante divulgá-la a todos que direta ou indiretamente 
usam e confiam na organização. Essas pessoas também devem ter acesso 
permanente à política de segurança, pois ela fornece orientações básicas para 
quem interage direta ou indiretamente com a empresa. Além de fornecer 
instruções básicas sobre como proceder. Uma implementação é demorada, além 
de extensível, também deve ser um processo formal. 
Para implantar com sucesso, uma série de etapas devem ser seguidas: 
descrição detalhada, aprovação, implementação, divulgação e manutenção. 
A estratégia de auditoria de segurança deve ser auditada regularmente 
para mantê-la atualizada e reduzir o risco de falha. 
O prazo para modificação deve ser definido. Mas você também pode 
corrigir esses erros quando algo der errado. 
As necessidades de segurança de cada empresa variam de empresa para 
empresa, portanto, para cada empresa, um estudo de caso deve ser realizado 
para determinar a melhor forma de implementar uma melhor estratégia de 
segurança. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
21 
 
 
 
4 SISTEMAS CRÍTICOS 
As falhas de software estão aumentando. Na maioria dos casos, os 
sistemas críticos podem causar interrupção dos negócios, causando perdas 
econômicas, ferimentos pessoais ou ameaças a humanos. O sistema central é 
a tecnologia social ou sistema técnico em que as pessoas confiam. Sistema 
crítico é definido como um tipo de software cujas características levarão a riscos 
inerentes de perdas naturais, pessoais e econômicas. 
Atualmente, existem principalmente os seguintes três tipos de sistemas: 
 • Sistema crítico de segurança: sua falha pode causar danos ambientais 
e morte. Um exemplo de sistema de segurança crítico é o software que controla 
uma usina nuclear. 
• Sistema de missão crítica: sua falha pode causar problemas com certas 
atividades orientadas a objetivos. Um exemplo é o software de navegação de 
aeronaves. 
• Sistema crítico de negócios: sua falha fará com que a empresa pague 
altas taxas pelo uso do software. Um exemplo de sistema comercial crítico é o 
software de contabilidade do cliente do banco. Os sistemas considerados vitais 
devem ser totalmente confiáveis. 
Existem muitos motivos pelos quais a confiança é importante, como: 
• Sistema não confiável ou desprotegido: se as pessoas não confiarem 
nele, definitivamente não querem usá-lo. 
• O custo da falha de software é muito alto. 
• Usar um sistema não confiável causará perda de informações, e este 
software causará perda de informações e grandes perdas. Devido ao alto custo 
das falhas críticas do sistema, na maioria dos casos, elas são desenvolvidas 
usando tecnologia conhecida. 
Embora essas tecnologias estejam desatualizadas, suas vantagens e 
desvantagens são bem conhecidas. No entanto, ainda existem componentes 
que podem falhar, por exemplo, ele menciona: O software e o hardware podem 
funcionar incorretamente, pode haver erros nas especificações, design ou 
implementação e pode haver erros humanos nas operações do software. Em um 
sistema crítico, é necessário prestar atenção a todos os aspectos do sistema, 
como hardware, software e procedimentos operacionais, pois qualquer falha 
22 
 
 
 
pode causar sérios problemas no futuro. Além disso, a confiança também deve 
ser considerada porque é essencial em sistemas considerados vitais. 
No NEW.sec, a confiança no sistema é a base. A confiança no sistema 
pode ser definida como a confiança do usuário de que o sistema não falhará. O 
sistema possui quatro aspectos de confiabilidade, por exemplo: 
• Disponibilidade: refere-se à probabilidade de estar disponível a qualquer 
momento e poder ser usado o tempo todo. 
• Confiabilidade: O software deve fornecer todos os serviços que os 
usuários esperam. 
• Segurança: Todo software deve ser seguro, com disponibilidade, 
integridade, confiabilidade, verificação de identidade e irrefutabilidade. 
• Proteção: O software protegido não permite intrusão acidental ou 
deliberada. 
As empresas contam com um sistema crítico, e para isso precisam ter 
total confiança nele. Para isso, as empresas precisam entender os riscos e os 
requisitos para lidar com eles. Por meio do SI.sec, identificamos os riscos de 
cada sistema e aplicamos soluções melhores. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
23 
 
 
 
5 AUDITORIA 
A auditoria é um processo de inspeção usado para avaliar se as atividades 
e operações gerais atendem a um conteúdo predeterminado. Embora 
amplamente utilizados para a obtenção de vedações de alta qualidade, são 
essenciais para a otimização do dia a dia. Para qualquer empresa, o processo 
de auditoria é uma atividade essencial. Isso ocorre porque ele pode ser usado 
para determinar se a atividade está indo de acordo com o planejado. 
A auditoria de segurança da informação é uma avaliação sistemática da 
segurança do sistema de informação de uma empresa. Basicamente, ele tenta 
medir o quão bem o sistema atende a um conjunto de padrões estabelecidos. 
Ou pode-se dizer que uma auditoria de segurança da informação é avaliada para 
garantir que os processos e a infraestrutura estejam atualizados. 
Durante o processo de auditoria, o auditor conduz entrevistas cara a cara, 
verifica se há vulnerabilidades, analisa a configuração do sistema operacional, 
analisa o compartilhamento de rede e analisa dados históricos. O foco está em 
como aplicar políticas de segurança. 
 Algumas perguntas que as auditorias de segurança da informação devem 
tentar responder: 
A senha é difícil de quebrar? 
As listas de controle de acesso estão instaladas nos dispositivos de rede 
para controlar quem pode acessar os dados compartilhados? 
Existe um log de auditoria para registrar quem acessa os dados? Você 
analisa os registros de auditoria? 
As configurações de segurança do sistema operacional estão de acordo 
com as práticas de segurança da empresa? 
Cada sistema elimina todos os aplicativos desnecessários? 
O sistema operacional e os patches de software são aplicados? Eles 
estão atualizados? 
Como a mídia de backup é armazenada? Quem tem o direito de usar? 
Foi atualizado? Existe um plano de recuperação de desastres? 
Após a conclusão deste processo, a empresa poderá avaliar de fato se a 
circulação e o armazenamento dos dados são realizados com toda a segurança 
24 
 
 
 
necessária. Com base nessa avaliação, a empresa poderá tomar medidas mais 
precisas para proteger um de seus valiosos ativos: a informação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
25 
 
 
 
6 CONCLUSÃO 
Com a criação do NEW.sec, precisamos entrar em todas as etapas de 
uma empresa de segurança da informação, obviamente, a segurança da 
informação depende não só da tecnologia, mas também de um pessoal bem 
treinado. Requer planejamentoe ação eficaz. É necessário entender as 
ameaças e vulnerabilidades, assim como a própria organização e os negócios 
mais importantes, pois a segurança existe de acordo com o negócio. Uma 
empresa não é criada da noite para o dia. Ela precisa ter uma ideia, escrever 
todas as suas ideias no papel e, em seguida, melhorar no campo que deseja 
seguir. Não importa a empresa, todos estão sujeitos a ataques externos ou 
ataques internos. Se não forem tomadas medidas, podem ocorrer graves 
consequências, por isso investir nesta área é fundamental. Como o sistema 
crítico exige o comprometimento de toda a equipe, o resultado final de um 
sistema confiável atrairá a atenção de inúmeros clientes, e a confiança é o 
primeiro passo para o sucesso. A auditoria é fundamental para o 
desenvolvimento da empresa, e é fundamental para poder garantir a segurança 
dos colaboradores e dos equipamentos. Neste trabalho, apresentamos opções 
de perigos, riscos e proteção para empresas de qualquer departamento. É 
importante atingir um determinado nível de segurança para todos os 
colaboradores, minimizar qualquer impacto na empresa e saber que não existe 
segurança absoluta, mas erros podem ser evitados. 
 
 
 
 
 
 
 
 
 
 
 
 
26 
 
 
 
REFERÊNCIAS 
EY, Agência. ATAQUES CIBERNETICOS A EMPRESAS. < 
https://istoe.com.br/ataques-ciberneticos-a-empresas-aumentam-300-na-
pandemia/> 30/08/2021. 
EFE, Agência. BRASIL É 2° MAIOR ALVO MUNDIAL DE 
CIBERATAQUES. < https://noticias.r7.com/tecnologia-e-ciencia/brasil-e-2-
maior-alvo-mundial-de-ciberataques-revela-estudo-04082021 > 04/08/2021. 
INDUSTRIA, Portal. CIBERSEGURANÇA: O QUE É? IMPORTÂNCIA E 
COMO SE QUALIFICAR < http://www.portaldaindustria.com.br/industria-de-a-
z/ciberseguranca/ > 13/09/2021. 
TECH, Mundo. 10 AMEAÇAS CIBERNÉTICAS EM ALTA NO PRIMEIRO 
SEMESTRE DE 2020. <https://mundomaistech.com.br/seguranca/10-ameacas-
ciberneticas-em-alta-no-primeiro-semestre-de-2020/ > 13/07/2020. 
KASPERSKY. O QUE É CIBERSEGURANÇA? < 
https://www.kaspersky.com.br/resource-center/definitions/what-is-cyber-
security> 13/09/2021. 
CISCO. O QUE É FIREWALL? < 
https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-
firewall.html> 13/09/2021. 
TRIPLA. O QUE É FIREWALL – O QUE VOCÊ PRECISA SABER SOBRE 
ESSA FERRAMENTA DE SEGURANÇA FUNDAMENTAL PARA SUA 
EMPRESA. < https://triplait.com/o-que-e-firewall/> 21/08/2019. 
VALESCO, Ariane. O QUE É SEGURANÇA DA INFORMAÇÃO? < 
https://canaltech.com.br/seguranca/seguranca-da-informacao-o-que-e-
158375/> 13/09/2021. 
 
https://istoe.com.br/ataques-ciberneticos-a-empresas-aumentam-300-na-pandemia/
https://istoe.com.br/ataques-ciberneticos-a-empresas-aumentam-300-na-pandemia/
https://noticias.r7.com/tecnologia-e-ciencia/brasil-e-2-maior-alvo-mundial-de-ciberataques-revela-estudo-04082021
https://noticias.r7.com/tecnologia-e-ciencia/brasil-e-2-maior-alvo-mundial-de-ciberataques-revela-estudo-04082021
http://www.portaldaindustria.com.br/industria-de-a-z/ciberseguranca/
http://www.portaldaindustria.com.br/industria-de-a-z/ciberseguranca/
https://mundomaistech.com.br/seguranca/10-ameacas-ciberneticas-em-alta-no-primeiro-semestre-de-2020/
https://mundomaistech.com.br/seguranca/10-ameacas-ciberneticas-em-alta-no-primeiro-semestre-de-2020/
https://www.kaspersky.com.br/resource-center/definitions/what-is-cyber-security
https://www.kaspersky.com.br/resource-center/definitions/what-is-cyber-security
https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html
https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html
https://triplait.com/o-que-e-firewall/
https://canaltech.com.br/seguranca/seguranca-da-informacao-o-que-e-158375/
https://canaltech.com.br/seguranca/seguranca-da-informacao-o-que-e-158375/