Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE VEIGA DE ALMEIDA SISTEMAS DE INFORMAÇÃO Segurança e Auditoria de Sistemas AVA1 Professor Luciano de Pinna Vieira Aluna: Elen Pires de Araújo Mat.: 20203301257 NOVA IGUAÇU Novembro de 2021 ENUNCIADO DA ATIVIDADE Erros na gestão da segurança da informação Com o crescimento da globalização e o advento da tecnologia da informação nas empresas, passamos a estar em uma época em que a informação vale ouro. A empresa deve assegurar ao máximo a segurança de seus dados. Se a organização não proceder dessa forma, corre sérios riscos de comprometer suas atividades e até mesmo sua existência: os erros de gestão de segurança da informação podem sim levar à falência. A empresa SELF IT tem apresentado graves problemas na área de TI, no que tange a segurança das informações. Pensando nisso, você está sendo contratado como consultor de segurança da informação. Você deverá fazer um diagnóstico dos possíveis erros de gestão na segurança da informação que uma empresa pode cometer. Você deverá estar atento aos problemas ocorridos dentro da área de segurança da informação da empresa SELF IT. Importante verificar a possibilidade de uma reunião com o Diretor de TI e na sequência deverá descrever os seis erros mais comuns na gestão da segurança da informação. DESENVOLVIMENTO A reunião com o diretor de TI da SELF IT é indispensável, visto que é essencial que a gestão compreenda a necessidade e impactos reais que problemas de segurança podem causar à empresa, pois muitos consideram que o dinheiro utilizado em segurança é gasto e não investimento. Devo questionar ao diretor de TI se a SELF IT possui uma Política de Segurança da Informação que esteja em conformidade com o que é determinado na NBR ISO/IEC 27001:2005. Explicar sem termos técnicos e de forma clara sobre o impacto que a falta de uma boa estratégia e técnicas de segurança podem trazer ao negócio, tanto num nível de perda financeira quanto até mesmo o encerramento do negócio. O primeiro erro mais comum no que diz respeito à gestão de segurança da informação foi justamente o ponto pelo qual comecei no parágrafo anterior, que é tratar assuntos de segurança da informação como um gasto desnecessário e não como um investimento indispensável nos dias de hoje, em que os dados são os principais ativos que as empresas possuem. Muitos gestores têm essa visão por não conseguirem enxergar diretamente os impactos práticos e perdas que a empresa pode sofrer, e isso ocorre quando a área responsável por tecnologia não apresenta as ideias de forma clara para pessoas não técnicas. Um segundo erro que também ocorre bastante é dar acesso demais a pessoas que não precisam / não devem ter. E isso se diz tanto sobre acesso físico, onde um funcionário tem acesso a salas e arquivos que não precisa ter para executar seu ofício, quanto ao ambiente virtual, onde o correto é se ter o controle de acesso de usuários baseado em grupos. A permissão para acessar e alterar informações do banco de dados da empresa, não deve ser dada a um colaborador da área de marketing, por exemplo, ou qualquer outra área que não justifique possuir esse acesso. A regra é só conceder acessos conforme houver necessidade, e não o contrário, onde se libera tudo para todo mundo logo de cara. O terceiro erro mais comum é o de não registrar as ações que são realizadas com relação a um sistema. Seja uma query alterando alguma coluna num banco de dados, seja um deploy de uma nova feature para produção, os times devem estar sempre cientes do estado do sistema, de forma que caso haja qualquer problema, qualquer um saiba onde pode ser o erro, onde mexer e como consertar. O quarto erro pode parecer muito trivial, que é manter seus colaboradores conscientizados sobre as práticas de segurança, mas em grande parte dos casos em que ocorrem falhas de segurança é por falha humana. Não adianta ter a melhor política ou o melhor sistema de segurança, se os funcionários não entenderem o porquê dessas medidas, a importância delas e os riscos que correm caso não sejam seguidas. Desde emprestar seu login para outro funcionário até compartilhar informações internas com pessoas de fora da empresa, todos os colaboradores devem ser constantemente lembrados de seguir e respeitar os protocolos de segurança. Sobre o quinto erro mais comum, como diz Rafael Narezzi, de todas as áreas da TI, a área de segurança pode ser uma das mais frustrantes pois evolui muito rápido. Você pode ter aprendido algo incrível e eficaz hoje, e amanhã alguém já inventou alguma forma de burlar isso. Por essa razão, tanto os profissionais quanto as empresas precisam se preocupar constantemente em acompanhar as novidades do mercado, sempre fazer um health check dos seus sistemas e políticas de segurança e ir se adaptando ao novo e aperfeiçoando o que já se tem. No entanto, muitas empresas agem uma única vez a respeito de seus sistemas de segurança, estruturam eles e depois nunca mais passam por essa parte. É de extrema falta de cuidado achar que seu sistema de segurança de ponta arquitetado em 1995 ainda vai proteger alguma coisa nos dias de hoje. O sexto e último erro mais comum cometido pela gestão da segurança da informação é não fazer a gestão de riscos e não realizar auditoria de sua segurança da informação de forma regular. Autoria ainda pode ser vista como algo ruim, como um processo que só existe para "procurar cabelo em ovo" e apontar dedos, mas a verdade é que ela existe para identificar pontos que não estão em conformidade e corrigi-los antes que algo pior aconteça, para que ela não precise ser acionada depois que o pior acontece. REFERÊNCIAS FONTES, Edison. Políticas e Normas para a Segurança da Informação . Brasport, 2012. CORRÊA, Françoa Taffarel Rosário. A segurança da informação:um foco nas falhas humanas . < https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranc a-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/ > - Acesso em 5 de novembro de 2021. https://books.google.com.br/books?hl=pt-BR&lr=&id=X61rbEWwJ_UC&oi=fnd&pg=PA17&dq=seguran%C3%A7a+da+informa%C3%A7%C3%A3o+nas+organiza%C3%A7%C3%B5es&ots=PZppbGG1zk&sig=SHR0cKH3xS93KhQ_x_sLt1Mn2V4#v=onepage&q=seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%20nas%20organiza%C3%A7%C3%B5es&f=false https://app.uff.br/riuff/handle/1/5632 https://app.uff.br/riuff/handle/1/5632 https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/ https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/
Compartilhar