PIM SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

UNIP EAD
Projeto Integrado Multidisciplinar - PIM
Cursos Superiores de Tecnologia
PROJETO INTEGRADOR MULTIDISCIPLINAR VII - PLANO DE AUDITORIA DE SISTEMAS AMPARADO EM TESTES DE INVASÃO
São Paulo
 2022
UNIP EAD
Projeto Integrado Multidisciplinar - PIM
Cursos Superiores de Tecnologia
PROJETO INTEGRADOR MULTIDISCIPLINAR VII - PLANO DE AUDITORIA DE SISTEMAS AMPARADO EM TESTES DE INVASÃO
Bruna Santos de Deus – RA: 2134717
Carlos Pereira da Silva Amaral - RA: 2114695 
Paulo Roberto de Souza Bernardo - RA: 2131563 
Wellington Gomes Pissini - RA 2125523 
Curso: Segurança da Informação
Semestre: 2022.2
São Paulo
 2022
RESUMO 
 
A proposta deste projeto é elaborar práticas gerenciais fundamentadas nas disciplinas de Empreendedorismo, Gestão da Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão, propondo um plano de auditoria de sistemas que deverá priorizar os sistemas críticos mapeados e ajustados ao Plano de Negócios. Para o desenvolvimento deste projeto, foi utilizado como estudo de caso a empresa Doutor Saúde localizada na Avenida Castro Alves na região metropolitana de Osasco/SP. Através de pesquisas bibliográficas e de consultas às informações disponibilizadas pela empresa exclusivamente em seu site, foi possível montar o estudo com dados qualitativos e quantitativos que será demonstrado nesta pesquisa. Os resultados da pesquisa demonstram que os colaboradores da empresa possuem características práticas de um empreendedor. Quanto à gestão de qualidade é importante estar sempre buscando a excelência tendo uma visão objetiva, buscando analisar o negócio como um todo, procurando informações externas e se aprimorando nos assuntos sobre qualidade que no nosso caso foi do ramo financeiro. A auditoria é algo eficiente e tem um grande papel não só para uma etapa mas sim para todos os processos que envolvem a empresa. 
Palavras-chave: Empreendedorismo. Gestão da qualidade. Auditoria de sistemas. Testes de invasão.
 
ABSTRACT
 
The purpose of this project is to develop management practices based on the disciplines of Entrepreneurship, Quality Management, Systems Audit and Opinions and Penetration Tests, proposing a systems audit plan that should prioritize critical systems mapped and adjusted to the Business Plan. For the development of this project, the company Doutor Saúde located on Avenida Castro Alves in the metropolitan region of Osasco/SP was used as a case study. Through bibliographic research and consultations to the information made available by the company exclusively on its website, it was possible to assemble the study with qualitative and quantitative data that will be demonstrated in this research. The survey results demonstrate that the company's employees have practical characteristics of an entrepreneur. As for quality management, it is important to always be looking for excellence with an objective view, seeking to analyze the business as a whole, looking for external information and improving on quality matters, which in our case was in the financial sector. The audit is something efficient and has a great role not only for one stage but for all the processes that involve the company.
Keywords: Entrepreneurship. Quality management. Systems audit. Penetration tests.
SUMÁRIO
1. INTRODUÇÃO	6
2. DESCRIÇÃO DA ORGANIZAÇÃO	7
3 EMPREENDEDORISMO	19
4 GESTÃO DA QUALIDADE	19
5 AUDITORIA DE SISTEMAS	19
6 TESTES DE INVASÃO	19
6 CONSIDERAÇÕES FINAIS	21
REFERÊNCIAS	23
1. INTRODUÇÃO
A proposta deste projeto é elaborar práticas gerenciais fundamentadas nas disciplinas de Empreendedorismo, Gestão da Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão, propondo um plano de auditoria de sistemas que deverá priorizar os sistemas críticos mapeados e ajustados ao Plano de Negócios.
Para o desenvolvimento deste projeto, foi utilizado como estudo de caso a empresa Doutor Saúde localizada na Avenida Castro Alves na região metropolitana de Osasco/SP.
Nesse viés, ao apresentar esse estudo de caso, estaremos apresentando uma proposta de empreendimento com foco na gestão de qualidade e segurança da informação utilizando metodologias e conceitos de testes de invasão e auditoria de sistemas, assim sendo esse trabalho atenderá objetivos gerais e específicos como os transcritos abaixo
As disciplinas serão utilizadas para demonstrar a empresa como um todo, descrevendo suas características e funções, de modo claro e objetivo, trazendo assim uma visão ampla e detalhada da mesma.
Através de pesquisas bibliográficas e de consultas às informações
disponibilizadas pela empresa exclusivamente em seu site, foi possível montar o
estudo com dados qualitativos e quantitativos que será demonstrado nesta pesquisa, que será apresentada da seguinte forma: Inicia-se com a apresentação da empresa
e após uma breve revisão bibliográfica sobre os assuntos a serem tratados, e por fim
as considerações finais da pesquisa e referências bibliográficas utilizadas.
2. DESCRIÇÃO DA ORGANIZAÇÃO
A Doutor Saúde, empresa-alvo para o estudo de caso deste trabalho, é constituída de capital social próprio, sociedade empresarial limitada, pessoa jurídica do direito privado, atua no ramo de comércio e distribuição de produtos médico-hospitalares, ortopédicos e de reabilitação. A mais, a empresa atua prestando serviços de assistência técnica em aparelhos e equipamentos médico-hospitalares. Sua sede situa-se à Avenida Presidente Dutra na cidade de São Paulo/SP. 
A empresa nasceu da necessidade de atender ao público de forma diferenciada, implantando o sistema de auto-atendimento, acessibilidade e estacionamento para portadores de necessidades especiais. Uma vez que as empresas do setor, no mercado local, não eram capazes de suprir tais desejos aos clientes.
Consciente da responsabilidade que assumia socialmente ao propor uma empresa voltada para o bem-estar, a saúde e a qualidade de vida das pessoas, a diretoria da Doutor Saúde trata de dirigir meus esforços para a busca de informações e o conhecimento de novas tecnologias e produtos que, levados até o cliente, pudessem acrescentar vantagens em relação aos já existentes no mercado. 
A visão dos diretores, desde o início da empresa, foi o de oferecer saúde a toda a cidade de São Paulo e elevar a qualidade de vida da população. Sua missão é a de ser a melhor e maior distribuidora na área da saúde, destacando-se de seus concorrentes, através de práticas voltadas para o bem de toda a comunidade. Com uma equipe altamente treinada, a Doutor Saúde se prepara para atender todas as necessidades dos seus clientes, buscando soluções rápidas e práticas, proporcionando conforto, segurança e comodidade, e as melhores formas de satisfazer sempre, todos os seus desejos.
A estrutura organizacional da empresa é simples, linear e com apenas um cargo de chefia. Mesmo sendo constituída por sete áreas funcionais distintas (contudo, entrelaçadas), apenas a alta diretoria detém as informações gerenciais e administrativas, bem como o planejamento, o controle e as estratégias da empresa. Entretanto, as opiniões dos funcionários são ouvidas e aproveitadas, quando se percebe coerência.
Vide, abaixo, o organograma da empresa Doutor Saúde:
Figura 01: Organograma da empresa.
Fonte: Elaborado pelo autor (2022).
A Doutor Saúde conta com uma equipe de onze pessoas, incluído os dois sócios, sete funcionários registrados e dois menores aprendizes. As áreas funcionais da empresa estão assim distribuídas:
Setor de vendas: três funcionários são responsáveis pelo atendimento ao cliente, identificação de suas necessidades, demonstração dos produtos, esclarecimento de dúvidas e a finalização das vendas;
Setor de caixa: uma funcionária é responsável pelo recebimento dos valores referentes às vendas, emissão de notas fiscais aos consumidores (pessoa física), pagamento de contas (sob autorização da diretoria);
Setor de crédito e cobrança: uma funcionária se encarrega da análise de crédito dos novos clientes, faturamentode notas fiscais para pessoas jurídicas, emissão de boletos bancários, contas a receber;
Setor de assistência técnica: um técnico em eletro-eletrônica responde pela prestação de serviços de manutenção e conserto de aparelhos e equipamentos médicos-hospitalares e de odontologia;
Setor de compras e licitações: uma funcionária se ocupa com as compras, lançamento de notas fiscais de entradas, lançamento e acompanhamento de contas a pagar, licitações, cotações e orçamentos;
Setor de estoque: este setor fica a cargo de um funcionário responsável pelo recebimento das mercadorias, reposição dos produtos nas prateleiras, separação dos produtos para vendas, lançamento (junto ao setor de compras e licitações) das notas fiscais de entrada;
Diretoria/administração: responsável pelo setor financeiro, análise dos dados gerados pelos demais setores e tomada das decisões, marketing e divulgação da marca. Este setor recebe o auxílio de dois menores aprendizes, os quais são responsáveis pelo lançamento dos documentos da empresa, em protocolo e encaminhamento aos devidos setores.
	Atualmente, a empresa possui, em parceria com um dos seus maiores fornecedores, um comercial em rádio local e rede de televisão regional, de grande audiência, transmitido em horário estratégico, tendo em vista atingir um maior número de ouvintes e telespectadores. Outros comerciais, igualmente, foram transmitidos por outras redes regionais e até estaduais, entretanto, a rede de televisão utilizada para a veiculação da propaganda, não possuía, por parte das pessoas, atenção suficiente para promover maior conhecimento da marca.
3 EMPREENDEDORISMO
Central a temática do empreendedorismo está um sujeito que possui características que se tornam significativas para a iniciativa empreendedora. Para Rodrigues et al. (2019, p. 74), “empreendedor é uma pessoa que é capaz de estabelecer objetivos e atingi-los, utilizando sua criatividade e visão crítica do ambiente em que vive para identificar oportunidades de negócios”. Por certo, para se atingir objetivos, faz-se necessário ser uma pessoa proativa e com determinação para correr os riscos que a iniciativa empreendedora envolve, além de conseguir gerenciar as mudanças recorrentes demandadas pelo ambiente, sejam elas econômicas, políticas e sociais. 
Reis, Armond e Oliveira (2018, p. 19) colaboram com essa perspectiva ao apontar que:
[...] Empreendedor é o termo utilizado para qualificar o indivíduo que detêm uma forma especial e inovadora de se dedicar às atividades de organização, de administração e de execução, principalmente na geração de riquezas, na transformação de conhecimentos e bens em novos produtos – mercadorias ou serviços – gerando um novo método com o próprio conhecimento. É o profissional inovador que modifica, com sua forma de agir, qualquer área do conhecimento humano. Também é utilizado – no cenário econômico – para designar o fundador de uma empresa ou entidade, aquele que construiu e criou o que ainda não existia.
Como visto, os empreendedores se dedicam a uma atividade que colabora para o cenário econômico e social que é capaz de gerar transformação. Eles criam novos negócios e, para isso, detêm particularidades que os qualificam. Além de serem inovadores, produzem novos produtos e serviços e precisam ter atributos para conduzir seus empreendimentos.
Muraro et al. (2018) citam as principais características intrínsecas ao empreendedor com base nos principais atributos recorrentes em estudos sobre empreendedorismo. Destacam-se a autonomia e autoconfiança, busca de oportunidades e visão, capacidade de assumir riscos moderados, energia e comprometimento, capacidade de inovar, liderança e necessidade de poder, obstinação e necessidade de realização e planejamento sistemático.
Pode-se verificar que as particularidades citadas são pressupostos para iniciativa de um novo negócio, ou seja, é importante acreditar no potencial pessoal, buscar conhecimento para identificar novas oportunidades, assumir riscos e ter comprometimento com aquilo que se pretende realizar. Vale citar também a liderança, aspecto importante na condução de equipes, o planejamento e a realização.
Ou seja, o empreendedorismo tem como objetivo oferecer um serviço ou produto inovador, que acompanha as tendências e demandas atuais do mercado, e elabora seu plano estratégico visando reduzir custos de produção e operação e alcançar uma margem de lucro satisfatória. Para isso, é necessário que o empreendedor invista não apenas em um produto final inovador, mas também em encontrar soluções para suas atividades de modo a desenhar um plano de custo-benefício que seja positivo tanto para sua organização quanto para as demais partes (clientes, colaboradores e outros), assim criando um potencial para o crescimento no mercado.
Não há uma receita para ser um empreendedor de sucesso. Porém, existem algumas características pessoais que fornecem o caminho para tal sucesso. Essas características são enumeradas pelos mais diversos pesquisadores, de acordo com as suas áreas e visões.
Na empresa Toro Investimentos, os colaboradores possuem as seguintes características empreendedoras:
· São visionários - Têm a visão de como será o futuro para o seu negócio
· Sabem tomar decisões corretas na hora certa
· São indivíduos que fazem a diferença 
· Transformam algo de difícil definição em algo concreto
· Sabem explorar ao máximo as oportunidades
· São determinados e dinâmicos
· Implementam ações com total comprometimento
· São comprometidos totalmente ao trabalho
· Possuem senso de liderança incomum
· Sabem recrutar os melhores funcionários
· Sabem construir uma boa rede de contatos
· Tem vontade e habilidade para criar algo novo ou inédito que possa proporcionar melhorias para sociedade.
· Capacidade de encontrar novas utilidades para velhas idéias.
· Talento para melhorar a eficiência de um sistema, sendo reduzido custos
· Autoconfiança; pessoas que dão ênfase nas suas habilidades pessoais creditando em si para a resolução de problemas.
· Planejam cada passo do negócio
· São sedentos pelo saber e aprendem continuamente
· Assumem riscos calculados 
· Sabe gerenciar o risco, avaliando as reais chances de sucesso
· Geram empregos, dinamizam a economia e inovam sempre com criatividade para melhorar a vida das pessoas.
Considerando o exposto, pode-se dizer que, por mais que se tente definir um perfil empreendedor, nem todos os aspectos levantados serão inerentes a todos os empreendedores. Evidente que cada um possui atributos peculiares, que compõe sua personalidade. Sendo assim, é relevante ressaltar que as características devem ser equilibradas fazendo-se fundamentais na prática empreendedora. A descrição de alguns traços observados no comportamento de um empreendedor propicia visualizar aspectos que permitem compreender de forma mais concisa este indivíduo que identifica boas oportunidades de negócio e atuação.
Desse modo, entende-se que o empreendedor necessita ter determinadas particularidades, pois o sucesso do negócio pode ser decorrente de capacidades adquiridas ao longo do tempo. Destas, podem se destacar aptidões voltadas para inovação, atenção e desenvolvimento de oportunidade e a manutenção da rede de relacionamentos com clientes e colaboradores. Essa última construída com base na competência relacional.
4. GESTÃO DE QUALIDADE
Manter-se no mercado nos dias atuais não é uma tarefa fácil, pois o mundo globalizado traz sempre novidade e faz com que as organizações estejam atentas a essas transformações. Dessa forma, é necessário que as empresas, compreendam que qualidade envolve todos os setores de uma empresa, seja da produção, administrativo ou área comercial, pois todos devem desempenhar suas funções em prol da satisfação dos clientes.
Ao longo do tempo, a visão sobre qualidade foi se modificando, deixando de ter apenas uma preocupação com a técnica, conformidade, custo e especificação para atender as necessidades e satisfação do cliente. Essa visão impulsionou a gestão da qualidade a transformar o ambiente organizacional,tal como a qualidade da produção, serviços, cultura organizacional, a interação entre os públicos interno e externo e a melhoria contínua no processo.
Dessa maneira, a qualidade envolve não somente atribuir características aos produtos e serviços para satisfazer clientes mas, aprimorar sua produtividade, alcançando melhor rentabilidade através da diminuição de tempo, retrabalhos e perdas durante o processo produtivo. Nesse ponto de vista, adotar um modelo de gestão da qualidade visando atender as necessidades dos clientes, é imprescindível para as empresas que desejam continuar no mercado de forma competitiva e garantir resultados satisfatórios.
A figura 01 abaixo apresenta os benefícios da qualidade, as quais são descritas abaixo:
Figura 01: Benefícios do processo de qualidade
Pensando na Qualidade dos serviços oferecidos, a empresa Toro Investimentos desenvolveu as seguintes estratégias de gestão da qualidade:
· Auditoria e testes contínuos dos serviços e disponibilidade deles;
· Serviço de Ouvidoria;
· Tratamento imediato das requisições dos clientes;
· Normas de Segurança e Acesso aos Funcionários;
· Sistema de monitoramento contínuo dos sistemas;
· Monitoramento da qualidade de atendimento via pesquisa de satisfação;
· Incentivo aos funcionários que desenvolvem soluções eficientes.
Como consultoria do projeto PIM VII representamos os parceiros de negócio que têm contrato com a Toro Investimentos, tendo como premissa o atendimento aos requisitos que cada objetiva em seu respectivo ambiente, onde cada um deseja que funções sejam adaptadas às demandas de cada negócio.
Como principais requisitos tais parceiros exigem que objetive-se prover uma infraestrutura de segurança física e lógica, para que isso seja possível nos atentarmos a seguir os preceitos da norma NBR ISSO/IEC 27001 que versa sobre segurança da informação em sistemas distribuídos como redes de computadores corporativas, neste caso tomando como alínea máxima o preceito do artigo 05 de tal norma que diz que a toda rede com múltiplos usuários e que seja interconectada remotamente deve apresentar um ambiente seguro, criptografado, pensado e planejado para que haja o menor risco possível de vazamento de dados, interceptação de informações e acessos não autorizados. Poderemos obter isso ao aplicar ferramentas e mecanismos que serão implementados em um ambiente físico e lógico de ampliado nível e grau de segurança gerenciados por firewall
A busca incessante por melhorias visa atender o cliente de forma integral, superando as suas expectativas e anseios, tendo como meta a fidelização e a criação de um vínculo de confiança entre o prestador de serviços e o cliente que o contrata, para isso foi aplicado o método seis sigma.
Figura 1 - Método seis sigma
Adotar essa metodologia em seus processos produtivos pode te ajudar a trilhar o caminho rumo à excelência. Alguns de seus benefícios são:
· Aumento da qualidade de produtos e serviços;
· Melhor eficiência dos processos internos e externos;
· Fidelização de clientes;
· Maior padronização nos processos;
· Redução de custos organizacionais;
· Eliminação de defeitos.
Desse modo, a empresa visa sempre manter o foco em seus usuários, melhorando cada a cada dia o seu produto, o acesso a plataforma, a segurança, a flexibilidade de condições a todos, a facilidade de integração aos sistemas dos parceiros, aberto às novas soluções e parcerias, proporcionando conforto, segurança e confiabilidade a todos que utilizam dos seus produtos e serviços.
5 AUDITORIA DE SISTEMAS
O exame completo e cuidadoso da infraestrutura de tecnologia da informação de uma organização é chamado de auditoria de sistema, também conhecida como auditoria de sistema de informação (SI). A Auditoria do Sistema é realizada para determinar se o sistema de informação implantado está garantindo a integridade dos dados, salvaguardando os ativos da organização e operando, de forma eficiente para ajudar a organização a atingir suas metas e objetivos. Uma auditoria do sistema de informação também avalia ineficiências ou brechas no sistema atual e sugere formas de superar tais deficiências.
Em uma auditoria de sistemas, o foco está nos sistemas e práticas de gestão, incluindo sistemas de controle interno, usados ​​por uma organização para alcançar, manter, demonstrar e melhorar a eficiência de seus serviços ou operações. Em termos práticos, o trabalho de auditoria de sistemas significa examinar os principais sistemas organizacionais, práticas, procedimentos e controles que dão suporte à eficiência, como sistemas de medição e relatórios de desempenho, sistemas de custeio e sistemas de gerenciamento para benchmarking de desempenho organizacional. 
De acordo com Chiavenato (2007) uma auditoria de sistema garante que o sistema de informação da entidade esteja efetivamente posicionado e funcionando adequadamente para apoiar a causa da gestão. Os principais benefícios incluem:
· Reduza a possibilidade de fraudes e erros
·  Melhore a eficiência nas operações comerciais
· Descubra as brechas do sistema
· Identifique áreas de risco na segurança do sistema.
Pires (2011, p.57) destaca que uma abordagem sistêmica pode ser usada em auditorias de eficiência de três maneiras:
1. A auditoria pode examinar a estratégia geral da entidade e focar na eficiência.
2. A auditoria pode examinar os sistemas e práticas que se relacionam com a eficiência em um determinado programa ou atividade.
3. A auditoria pode combinar essas duas opções.
A opção específica escolhida dependerá do conhecimento do negócio  adquirido, do mandato do auditor e da análise de significância e risco do auditor. 
O ciclo PDCA é uma ferramenta criada por W. Edwards Deming, as siglas são desmistificadas em Planejar (Plan), Fazer (Do), Verificar (check) e Agir (Action). Segundo Correia (2007), essa ferramenta é principalmente utilizada quando ocorre a identificação de um problema ou necessidade de melhoramento, dessa forma são planejadas as ações através da análise e escolha de alternativas, executa o plano, avalia seus resultados, corrigindo o que for necessário.
Albuquerque (2015, p.48) traz a relação do ciclo PDCA com o processo decisório:
A tomada de decisão não pode ser aleatória. Ela deve atender a critérios técnicos e estar em harmonia com todos os objetivos organizacionais. O processo decisório deve estar embasado nas estratégias adotadas pelas organizações com vista a enfrentarem os desafios que o mercado impõe, de forma a minorar riscos, assim como prevenir falhas e proporcionar maiores ganhos aos empreendimentos realizados. Nesta perspectiva o Ciclo PDCA, desenvolvido por W. Edwards Deming, em 1950 e ampliado em 1996 e 2009, apresenta-se como um mecanismo de extrema importância na inclusão de estratégias e métodos para desenvolver, testar e programar mudanças capazes de influenciar e remodelar os aspectos dos processos decisórios que irão repercutir no arquétipo da administração de uma organização.
Figura 2 – Ciclo PDCA
Para que a empresa Toro Investimentos tenha um processo de autenticação eficaz, é importante a realização de auditoria que requer a necessidade de cadastro e login que servirão como identificação do usuário, tendo esses dois componentes pode se acessar os dados de cadastro armazenados.
Para a autenticação e auditoria de cadastro e login, devemos seguir os passos:
· Coleta: Nesta parte coletamos dados do usuário, como nome, números de documentos e dados biométricos;
· Conversão: A etapa seguinte passaremos os dados coletados para um formato digital;
· Padronização: Após a coleta de dados e a vinculação com a biometria, nesta etapa procuramos por algumas características específicas do usuário.
· Comparação: Aqui comparamos os dados coletados com os dados do usuário onde checamos se os ambos conferem com os dados coletados ou se pertencem a um outro usuário qualquer.
22
6 TESTES DE INVASÃO
Weidman (2014, p.177) afirma que os testes de invasão o pentesteing:
envolvem a simulação de ataques reais para avaliar os riscos associados a potenciaisbrechas de segurança. Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas. 
A inovação tecnológica, apesar de apresentar um avanço em práticas e produtos voltados para a integridade de bancos de dados e sistemas, também permite que surjam novas ferramentas e políticas para invasões indevidas, o que significa que as formas como a segurança de informação necessitem ser ajustada de acordo com a nova gama de ameaças identificadas.
O teste de invasão deve considerar essas ameaças quanto elaborado e executado, mas também deve ser condicionado a atender as necessidades específicas da empresa em que está sendo implementado.
Para o nosso caso iremos testar dois sistemas críticos para o setor financeiro que são os sistemas de login e o sistema de cadastro. Se um atacante encontrar alguma falha nesses dois sistemas pode ocorrer um prejuízo enorme, como por exemplo ter acesso a conta de algum cliente se passando pelo mesmo. Além de ter acesso a informações pessoais desses clientes, pode ocorrer ainda prejuízos financeiros, pois o atacante pode tentar transferir ou retirar valores pertencentes ao cliente.
Um teste do tipo pode ser dividido em fases, sendo estas:
· Preparação: etapa em que devem ser definidos: o escopo do teste, janela de testes, informações de contato; autorização para testes;
· Coleta de informações: o teste coleta informações públicas sobre o cliente para determinar possíveis rotas de invasão, utilizando um processo conhecido como OSINT (Open Source Intelligence, ou dados de fontes abertas);
· Modelagem das ameaças
· Análise de vulnerabilidades
· Exploração de falhas:
· Pós-exploração de falhas
· Geração de relatórios
· Sumário executivo:
· Relatório técnico
O teste será do tipo Black Box, onde a estrutura é totalmente desconhecida para quem está realizando os testes, isso faz com que possa ser pensado em possibilidades não mapeadas pela equipe interna. Trabalharemos bastante em cima das metodologias apresentadas pela OWASP, que é uma entidade sem fins lucrativos com foco em segurança de softwares. Diversos especialistas em segurança compartilham informações que auxiliam no gerenciamento dos riscos e a melhor forma de combatê-los.
Iniciamos o teste pela fase de planejamento, onde iremos realizar a definição do projeto. Nela faremos a definição de escopo, onde iremos definir os objetivos dos testes, no nosso caso, em cima dos sistemas críticos citados anteriormente. Na fase de planejamento também iremos definir o tempo e esforço aplicado para os testes, como estamos focando em sistemas específicos, esse tempo necessário acaba sendo menor em comparação a um teste mais completo, onde teríamos que avaliar diversos outros cenários. Fica definido também nessa fase algumas regras para execução dos testes de invasão, novamente para os sistemas escolhidos será feito primeiro testes em ambiente de homologação para posterior teste em produção, pois os testes podem gerar indisponibilidade dos sistemas. Serão entregues reportes pontuais caso algum teste encontre alguma falha crítica e um reporte completo na conclusão dos testes de invasão.
Com o planejamento definido, a equipe poderá iniciar a aplicação dos testes. Como iremos realizar os testes com pouca informação sobre os sistemas, o primeiro passo é coletar o maior número de informações sobre a empresa que possa ser útil durante os testes. Faremos utilização de uma ferramenta que automatiza a busca por informações relevantes, como portas abertas, sistema operacional utilizado, linguagem de programação utilizada e versões de software que possam já estar comprometidas. Com as informações coletadas começa uma exploração na tentativa de efetivar algum ataque ou encontrar uma brecha que possa comprometer o sistema, começando pelos ataques com maiores chances de obterem sucesso, para que possíveis sistemas de defesa não detectem rapidamente os testes sendo realizados.
Algumas técnicas e ferramentas que serão utilizadas para encontrar falhas ou vulnerabilidades:
· Pesquisa de vulnerabilidades conhecidas na internet, como no site Exploit Database;
· Ataque negação de serviço (DDoS), a fim de testar se os sistemas podem sofrer indisponibilidade;
· Escaneamento de portas abertas de serviços que podem comprometer a 
Realizada a exploração, entramos agora na fase de pós-exploração onde avaliamos o quanto um sistema invadido pode comprometer os demais, fazendo uma exploração mais a fundo, onde poderemos obter informações como itens específicos do sistema operacional, programas instalados e suas versões, bases de dados, códigos fontes, etc.
Antes de finalizar, a equipe deve fazer o descarte das evidências encontradas de maneira segura, para impedir que outras pessoas possam se aproveitar delas. Após tudo finalizado é o momento de escrever o relatório contendo todas as informações obtidas durante o processo de testes. O relatório técnico é onde deve constar todos os detalhes do projeto, contendo principalmente informações relevantes que possam ser úteis para a equipe interna de segurança poder atuar no entendimento e na resolução dos problemas encontrados.
Porém nosso foco está no relatório executivo. Esse relatório é entregue aos executivos da empresa, que provavelmente não têm o conhecimento técnico necessário para se aprofundar no relatório técnico e, portanto, deve constar uma visão geral e de fácil entendimento. Deve constar no relatório uma visão geral sobre o propósito do teste, os problemas encontrados, as ferramentas utilizadas, o grau de sucesso obtido durante os testes e as recomendações de segurança baseadas nos testes executados. Também deve constar o nível de segurança que a empresa se encontra levando em consideração empresas do mesmo setor ou ramo. E obviamente também está nesse relatório as recomendações que a empresa deve adotar para a correção dos problemas encontrados e qual a postura que a empresa deve adotar em relação a segurança a partir da entrega do próprio relatório.
6 CONSIDERAÇÕES FINAIS
Os resultados da pesquisa demonstram que os colaboradores da empresa possuem características práticas de um empreendedor. Eles se enquadraram num perfil satisfatório, mas devem buscar qualificação profissional, para atender às exigências do mercado. É necessário que os gestores ousem mais em suas decisões e nas estratégias, que também devem ser dosadas com planejamento estratégico, de forma que o risco possa ser minimizado com planejamentos e ações possam ser tomadas para incrementar mais a organização.
Quanto à gestão de qualidade é importante estar sempre buscando a excelência tendo uma visão objetiva, buscando analisar o negócio como um todo, procurando informações externas e se aprimorando nos assuntos sobre qualidade que no nosso caso foi do ramo financeiro. Para que obtenhamos uma análise de qualidade bem sucedida precisamos ter uma boa estratégia no negócio e estar constantemente buscando por melhorias.
A auditoria é algo eficiente e tem um grande papel não só para uma etapa mas sim para todos os processos que envolvem a empresa. O seu objetivo principal é analisar minuciosamente um objeto ou processo para evitar possíveis falhas e se assim tiver saber onde ocorreu e como ocorreu, recorrendo assim para outras ferramentas, como por exemplo, o ciclo PDCA que é uma grande aliada da auditoria, e suas classificações beneficiam as empresas para que tenham resultados satisfatórios e resolutivos.
REFERÊNCIAS
ABNT NBR ISO/IEC 27001. Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação. 2013
BATEMAN, Thomas S., SNELL, Scott A. Administração: construindo vantagem competitiva. São Paulo: Atlas, 1998.
CARVALHO, M. M.; PALADINI, E.P. (Org.) Gestão da Qualidade: Teoria e Casos. Rio de Janeiro: Editora Campus,2006, 376 p.
CHIAVENATO, Idalberto. Empreendedorismo: dando asas ao espírito empreendedor. São Paulo: Saraiva, 2007.
DORNELAS, J. Planejando incubadoras de empresas: como desenvolver um plano de negócios para incubadoras. Rio de Janeiro: Campus. 2012.
PALADINI, Edson Pacheco. Gestão da qualidade: teoria e prática. 2. ed. – São Paulo: Atlas, 2018.
PIRES, António Ramos. Sistemas de Gestão da Qualidade - Ambiente, Segurança, Responsabilidade Social, Indústria, Serviços, Administração Pública e Educação. Lisboa: Edições Silabo, 2012.
22
OWASP Foundation | Open Source Foundation for Application Security. OWASP. Disponível em: <https://owasp.org>. Acesso em: 2 de Outubro de 2021.
WEIDMAN, G. Testes de invasão. São Paulo: Novatec, 2014.
WEILL PETER, W. ROSS JEANNE, Governança de TI: Editora M. Books, 2006 - 276 p.
REFERÊNCIAS