segurança de auditoria de sistemas (AVA1)

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA
GRADUAÇÃO EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS
DISCIPLINA: SEGURANÇA E AUDITORIA DE SISTEMAS
PROF: MAGNO LUÃ DE JESUS SOUZA
FABÍOLA DA SILVA RODRIGUES DOS SANTOS
TRABALHO DA DISCIPLINA (AVA1)
ERROS NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO
RIO DE JANEIRO
2022
Trabalho da disciplina – AVA1
(Enunciado da atividade)	
Erros na gestão da segurança da informação.
Com o crescimento da globalização e o advento da tecnologia da informação nas empresas, passamos a estar em uma época em que a informação vale ouro. A empresa deve assegurar ao máximo a segurança de seus dados. Se a organização não proceder dessa forma, corre sérios riscos de comprometer suas atividades e até mesmo sua existência: os erros de gestão de segurança da informação podem sim levar à falência.
A empresa SELF IT tem apresentado graves problemas na área de TI, no que tange a segurança das informações. Pensando nisso, você está sendo contratado como consultor de segurança da informação. Você deverá fazer um diagnóstico dos possíveis erros de gestão na segurança da informação que uma empresa pode cometer.
Você deverá estar atento aos problemas ocorridos dentro da área de segurança da informação da empresa SELF IT. Importante verificar a possibilidade de uma reunião com o Diretor de TI e na sequência deverá descrever os seis erros mais comuns na gestão da segurança da informação.
RESOLUÇÃO DO PROPOSTO
Será feito uma reunião com o Diretor para conhecer a empresa e passar a importância de ser ter um bom sistema de segurança de informação. O mesmo será orientado a incentivar os funcionários ao uso de palestras, cursos e demais recursos que conscientizem aos colaboradores dessa mesma importância. Será passado para a empresa que caso a mesma não aderir esse sistema poderá cometer alguns erros mais comuns, sendo eles:
 
1. Ver Segurança da Informação como despesas necessárias
A falta de investimento em segurança da informação poderá trazer um grande prejuízo para as empresas, talvez maior que o próprio valor que seria gasto com as mesmas. Empresas que não investem na segurança da informação corre um grande risco de percas dados. Exemplo disso é um backup mal projetado, onde o servidor de backup fica junto com o servidor principal ou fica próximo, nesse caso, se ocorrer um incêndio irá causar graves danos a sala de servidores. A empresa terá que gastar muito mais para recuperar os dados do que se ela tivesse investido, dependendo do dano causado poderá levar a empresa a falência. 
2. Privilegiar acesso (senha, sistemas) de alguns funcionários sem necessidade
Para que a empresa não corra riscos de vazamento das informações será necessário aderir uma boa política de segurança fazendo com que seja limitado e definido as informações utilizadas pelos funcionários. Os mesmos terão que acessar o sistema somente com senha e ter acesso somente ao que corresponde a atividade dele. Caso ocorra um roubo de credencial do funcionário, o criminoso terá seu acesso restrito as informações da empresa.
3. Não ter controle sobre as alterações do sistema
É natural que em uma empresa haja alterações constantes no sistema. Porém, é 
fundamental que tais mudanças sejam devidamente registradas para impedir que uma 
alteração indevida fique sem responsável. Um colaborador que esteja insatisfeito ou foi demitido da empresa poderá apagar algum dado importante e vindo a comprometer processos e até mesmo os outros colaboradores que dependem desse dado. 
4. Falha na conscientização dos colaboradores
Para garantir a eficiência do controle da TI, é preciso que todos aceitem o sistema de 
segurança e trabalhem em conformidade com ele. O Gestor poderá conscientizar seus colaboradores através de palestras, cursos e capacitações para disseminar uma política de segurança na empresa e mostrar os riscos existentes nas mais simples ações.
5. Não se atualizar com a evolução dos sistemas de segurança
A falta de atualizações deixa os sistemas vulneráveis aos cibercriminosos. Quando uma atualização é lançada, as ameaças que se utilizam das vulnerabilidades encontradas costumam se multiplicar com o intuito de atingir todos aqueles que não realizaram as devidas atualizações.
Um dos principais ataques de ramsonware já registrados até hoje, o WannaCry, se utilizou de uma vulnerabilidade do Windows Server 2003 para invadir computadores e criptografar dados, exigindo um resgate para a liberação.
O software já havia sido atualizado para corrigir a falha, porém, como muitos usuários não realizaram a atualização recomendada pela Microsoft, acabaram por sofrer com esse ataque.
6. Garantir a auditoria de segurança da TI
É fundamental uma vez por ano que seja feito uma auditoria dentro da empresa. Essa 
auditoria pode ser feita pela própria equipe de TI local ou por uma empresa terceira 
especializada.
.
Referências:
6 erros comuns de Gestão de TI que você não pode cometer, 03 set. 2015. Disponível em: https://globaldata.com.br/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/. Acesso em: 01 nov. 2022.
6 erros comuns de Gestão de TI que você não pode cometer. Disponível em: https://gaea.com.br/6-erros-comuns-de-gestao-de-ti-que-voce-nao-pode-cometer/. Acesso em: 01 nov. 2022.
Perda de dados: 6 impactos negativos para as empresas. Disponível em: https://www.microserviceit.com.br/perda-de-dados-6-impactos-negativos-para-as-empresas/. Acesso em: 01 nov. 2022.
6 erros em segurança da informação que você não pode cometer, 07 fev.2018. Disponível em: https://www.strongsecurity.com.br/blog/6-erros-em-seguranca-da-informacao-que-voce-nao-pode-cometer/. Acesso em: 01 nov. 2022.