Segurança da Informação

Prévia do material em texto

Ana kesia 
SEGURANÇA E AUDITORIA DE SISTEMAS 
SEGURANÇA 
	Segurança de sistemas de Informação é um conjunto de estratégias cujo objetivo é gerenciar ferramentas, processos e políticas necessárias para prevenir, detectar, documentar e agir contra ameaças à informação. Em resumo: Segurança da Informação é pensar na prevenção, ou seja, em estratégias para prevenir que algum dano seja causado aos dados da organização. 
A definição de Segurança da Informação baseia-se no conceito de que um negócio sofrerá sérios danos se os dados perderem um de seus atributos: confidencialidade, integridade e disponibilidade. Sendo que:
-Confidencialidade: está relacionada à inacessibilidade da informação para pessoas ou entidades não autorizadas,
-Integridade: a informação só pode ser alterada e excluída com autorização,
-Disponibilidade: somente usuários ou entidades autorizadas podem ter acessão ao sistema e/ou à máquina.
	Auditoria Segurança da Informação é uma avaliação sistemática da segurança do sistema de informação de uma empresa. Por meio de um processo multidisciplinar, a auditoria de sistemas de informação tem o objetivo de avaliar a conformidade do ambiente informatizado da empresa. Assim, estabelece-se um meio íntegro de compilação, uso e manipulação de dados em cada computador e nos sistemas. Tudo isso, de acordo com a legislação vigente, as melhores práticas e checagem dos protocolos de segurança e qualidade.
	É, assim, uma metodologia similar aplicada em auditorias convencionais. A grande diferença está na sua aplicação dedicada ao ambiente digital. Basicamente, ela busca medir o quanto o sistema está em conformidade com um conjunto de critérios estabelecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da Informação conduz uma avaliação com o objetivo de garantir que processos e infraestrutura estejam atualizados. Durante o processo de auditoria, auditores realizam entrevistas pessoais, varredura de vulnerabilidades, análise de configurações do sistema operacional, análises de compartilhamentos de rede e análise de dados históricos. A preocupação está em como as políticas de segurança estão sendo aplicadas.
Pontos verificados por uma Auditoria
Algumas questões que as Auditorias em Segurança da Informação devem tentar responder:
· As senhas são difíceis de quebrar?
· Há listas de Controle de Acesso (ACL) instaladas em dispositivos de rede para controlar quem tem acesso a dados compartilhados?
· Há logs de auditoria para registrar quem acessa os dados?
· Os registros de auditoria são revisados?
· As configurações de segurança para sistemas operacionais estão de acordo com as práticas de segurança da indústria?
· Todas as aplicações desnecessárias foram eliminadas para cada sistema?
· São aplicados patches de sistemas operacionais e de softwares? Eles estão atualizados?
· Como é armazenada a mídia de backup? Quem tem acesso a ela? É atualizada?
· Existe um plano de recuperação de desastres?
· Existem ferramentas de criptografia adequadas para criptografar banco de dados? As ferramentas foram configuradas corretamente?
· As aplicações customizadas foram escritas com segurança? Como foram testadas?
· Como as mudanças de configuração e código são documentadas? Como os registros são revisados e quem conduz a revisão?
· Claro que essas são apenas algumas das questões avaliadas em uma Auditoria em Segurança da Informação. Após a condução do processo a empresa poderá avaliar, de maneira realística, se a circulação dos dados e seu armazenamento ocorrem com toda a segurança necessária. A partir dessa avaliação a empresa estará apta a tomar atitudes mais certeiras quanto à proteção de um de seus preciosos ativos: a informação.
LGPD
	LGPD é a Lei Geral de Proteção de Dados, aprovada em agosto de 2018 no Brasil que impôs regras sobre o tratamento de dados pessoais e que tem como finalidade proteger o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos. As regras dessa lei vale para pessoas físicas e jurídicas (publicas ou privadas), principalmente para que empresas e órgãos públicos sejam mais transparentes e responsáveis no manejo de dados alheios.
SEGURANÇA DE DADOS DO USUÁRIO
	A segurança de dados, ou ainda de informações, corresponde a toda e qualquer ação tomada— sejam elas preventivas ou reativas— com o propósito de resguardar os dados que as empresas e os usuários disponibilizam online. A saber, ela tem como objetivo mantê-los seguros contra furtos, alterações sem consentimento e acessos maliciosos de pessoas mal-intencionadas. 
Se essas informações forem violadas ou ocorrerem falhas no cumprimento de requisitos regulatórios, certamente podem gerar consequências à reputação das organizações, além da perda de valor da marca, comprometimento da propriedade intelectual, bem como em multas por não conformidade com a legislação. Por isso, a segurança de dados é tão importante hoje em dia.
E para que seja bem-sucedida, a implementação da segurança de dados deve se pautar nos seguintes aspectos:
Confidencialidade: somente pessoas autorizadas podem ter acesso às informações;
Integridade e autenticidade: garantia de que os dados sejam verdadeiros e preservem sua originalidade, impedindo alterações;
Conformidade: assegura que os dados sejam coletados e armazenados da forma correta, de acordo com as regras, leis e normas estabelecidas;
Disponibilidade: acesso aos dados pelos usuários autorizados sempre que preciso;
Irretratabilidade: tornar impossível negar a autoria de uma operação.
IMPORTÂNCIA DE UMA AUDITORIA
	Auditoria de TI é determinante para melhorar a relação das organizações e seus gestores com as novas tecnologias. E, é claro, também com relação ao papel do auditor nisso tudo.
	Trata-se de uma evolução natural da profissão e da forma com a qual nós recebemos, computamos, registramos e manipulamos a informação digital. 
	E isso tende a se traduzir em benefícios internos e externos. Afinal, passamos a compreender melhor como promover a segurança da empresa contra invasões e também contra a violação de dados. Sem falar que usamos com ética e responsabilidade os dados obtidos de usuários na internet. Algo que agrega mais qualidade aos processos aplicados, na empresa, e confere uma reputação mais positiva, em geral.
Mas veja o que isso tudo significa e o que mais a auditoria de sistemas de informação pode trazer para o seu empreendimento:
· Eficiência operacional;
· Redução de custos;
· Redução de riscos associados à auditoria;
· Alinhamento com as tendências e as futuras necessidades e características do mercado tecnológico.
Afinal, toda auditoria traz, em sua transparência, resultados que só têm a proporcionar uma rotina de trabalho mais produtiva e eficiente para as organizações. 
TIPOS DE AUDITORIA EM SISTEMAS DE INFORMAÇÃO
No geral, temos dois tipos de auditoria de sistemas: interna e externa.
A primeira é realizada dentro da própria empresa, por meio de auditores que realizam os procedimentos estipulados para avaliar seus sistemas e procedimentos.
E a auditoria externa não ocorre por profissionais da empresa, mas por um auditor independente. Um meio de ter visões e perspectivas de fora (literalmente) da empresa e averiguar se os processos estão de acordo com normas, diretrizes e leis em vigor.
Referências 
DA SILVEIRA, Kamilla Dória. Segurança em Banco de Dados para Adequação a LGPD. In: Anais do XXII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais. SBC, 2022. p. 278-287. 
DA SILVA, Adriano Pereira. AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES. Revista Valore, v. 7, n. 1, p. 165-175, 2022. 
LIMA, Rafael Antonio Gonçalves. Segurança e Auditoria de Sistemas. 2016. 
SILVA, Mónica Filipa Marques da. Auditoria de sistemas de informação e a utilização de CAATs. 2021. Tese de Doutorado. 
WASCHBURGER, Lucas Rafael. Segurança da informação: conhecimentos necessários para as empresas atuais. 2015.