AVA1 NOTA 100 - Seguranca e Auditoria de Sistemas UVA UNIJORGE

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA 
 
 
 
 
SISTEMAS DE INFORMAÇÃO 
 
 
 
 
 
Segurança e Auditoria de Sistemas 
 
 
AVA1 
 
 
Professor Luciano de Pinna Vieira 
 
 
 
 
Aluna: Elen Pires de Araújo 
Mat.: 20203301257 
 
 
 
 
 
 
 
 
NOVA IGUAÇU 
Novembro de 2021 
ENUNCIADO DA ATIVIDADE 
 
Erros na gestão da segurança da informação 
Com o crescimento da globalização e o advento da tecnologia da informação 
nas empresas, passamos a estar em uma época em que a informação vale ouro. A 
empresa deve assegurar ao máximo a segurança de seus dados. Se a organização 
não proceder dessa forma, corre sérios riscos de comprometer suas atividades e até 
mesmo sua existência: os erros de gestão de segurança da informação podem sim 
levar à falência. 
A empresa SELF IT tem apresentado graves problemas na área de TI, no que 
tange a segurança das informações. Pensando nisso, você está sendo contratado 
como consultor de segurança da informação. Você deverá fazer um diagnóstico dos 
possíveis erros de gestão na segurança da informação que uma empresa pode 
cometer. 
Você deverá estar atento aos problemas ocorridos dentro da área de 
segurança da informação da empresa SELF IT. Importante verificar a possibilidade 
de uma reunião com o Diretor de TI e na sequência deverá descrever os seis 
erros mais comuns na gestão da segurança da informação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
DESENVOLVIMENTO 
 
A reunião com o diretor de TI da SELF IT é indispensável, visto que é 
essencial que a gestão compreenda a necessidade e impactos reais que problemas 
de segurança podem causar à empresa, pois muitos consideram que o dinheiro 
utilizado em segurança é gasto e não investimento. Devo questionar ao diretor de TI 
se a SELF IT possui uma Política de Segurança da Informação que esteja em 
conformidade com o que é determinado na NBR ISO/IEC 27001:2005. Explicar sem 
termos técnicos e de forma clara sobre o impacto que a falta de uma boa estratégia 
e técnicas de segurança podem trazer ao negócio, tanto num nível de perda 
financeira quanto até mesmo o encerramento do negócio. 
 
O primeiro erro mais comum no que diz respeito à gestão de segurança da 
informação foi justamente o ponto pelo qual comecei no parágrafo anterior, que é 
tratar assuntos de segurança da informação como um gasto desnecessário e não 
como um investimento indispensável nos dias de hoje, em que os dados são os 
principais ativos que as empresas possuem. Muitos gestores têm essa visão por não 
conseguirem enxergar diretamente os impactos práticos e perdas que a empresa 
pode sofrer, e isso ocorre quando a área responsável por tecnologia não apresenta 
as ideias de forma clara para pessoas não técnicas. 
 
Um segundo erro que também ocorre bastante é dar acesso demais a pessoas que 
não precisam / não devem ter. E isso se diz tanto sobre acesso físico, onde um 
funcionário tem acesso a salas e arquivos que não precisa ter para executar seu 
ofício, quanto ao ambiente virtual, onde o correto é se ter o controle de acesso de 
usuários baseado em grupos. A permissão para acessar e alterar informações do 
banco de dados da empresa, não deve ser dada a um colaborador da área de 
marketing, por exemplo, ou qualquer outra área que não justifique possuir esse 
acesso. A regra é só conceder acessos conforme houver necessidade, e não o 
contrário, onde se libera tudo para todo mundo logo de cara. 
 
O terceiro erro mais comum é o de não registrar as ações que são realizadas com 
relação a um sistema. Seja uma query alterando alguma coluna num banco de 
dados, seja um deploy de uma nova feature para produção, os times devem estar 
sempre cientes do estado do sistema, de forma que caso haja qualquer problema, 
qualquer um saiba onde pode ser o erro, onde mexer e como consertar. 
 
O quarto erro pode parecer muito trivial, que é manter seus colaboradores 
conscientizados sobre as práticas de segurança, mas em grande parte dos casos 
em que ocorrem falhas de segurança é por falha humana. Não adianta ter a melhor 
política ou o melhor sistema de segurança, se os funcionários não entenderem o 
porquê dessas medidas, a importância delas e os riscos que correm caso não sejam 
seguidas. Desde emprestar seu login para outro funcionário até compartilhar 
informações internas com pessoas de fora da empresa, todos os colaboradores 
devem ser constantemente lembrados de seguir e respeitar os protocolos de 
segurança. 
 
Sobre o quinto erro mais comum, como diz Rafael Narezzi, de todas as áreas da 
TI, a área de segurança pode ser uma das mais frustrantes pois evolui muito rápido. 
Você pode ter aprendido algo incrível e eficaz hoje, e amanhã alguém já inventou 
alguma forma de burlar isso. Por essa razão, tanto os profissionais quanto as 
empresas precisam se preocupar constantemente em acompanhar as novidades do 
mercado, sempre fazer um health check dos seus sistemas e políticas de segurança 
e ir se adaptando ao novo e aperfeiçoando o que já se tem. No entanto, muitas 
empresas agem uma única vez a respeito de seus sistemas de segurança, 
estruturam eles e depois nunca mais passam por essa parte. É de extrema falta de 
cuidado achar que seu sistema de segurança de ponta arquitetado em 1995 ainda 
vai proteger alguma coisa nos dias de hoje. 
 
O sexto e último erro mais comum cometido pela gestão da segurança da 
informação é não fazer a gestão de riscos e não realizar auditoria de sua segurança 
da informação de forma regular. Autoria ainda pode ser vista como algo ruim, como 
um processo que só existe para "procurar cabelo em ovo" e apontar dedos, mas a 
verdade é que ela existe para identificar pontos que não estão em conformidade e 
corrigi-los antes que algo pior aconteça, para que ela não precise ser acionada 
depois que o pior acontece. 
 
 
REFERÊNCIAS 
 
FONTES, Edison. Políticas e Normas para a Segurança da Informação . Brasport, 
2012. 
 
CORRÊA, Françoa Taffarel Rosário. A segurança da informação:um foco nas falhas 
humanas . 
 
< https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranc 
a-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/ > - Acesso em 5 de 
novembro de 2021. 
https://books.google.com.br/books?hl=pt-BR&lr=&id=X61rbEWwJ_UC&oi=fnd&pg=PA17&dq=seguran%C3%A7a+da+informa%C3%A7%C3%A3o+nas+organiza%C3%A7%C3%B5es&ots=PZppbGG1zk&sig=SHR0cKH3xS93KhQ_x_sLt1Mn2V4#v=onepage&q=seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%20nas%20organiza%C3%A7%C3%B5es&f=false
https://app.uff.br/riuff/handle/1/5632
https://app.uff.br/riuff/handle/1/5632
https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/
https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/