Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE VEIGA DE ALMEIDA SISTEMAS DE INFORMAÇÃO Segurança e Auditoria de Sistemas AVA2 Professor Luciano de Pinna Vieira Aluna: Elen Pires de Araújo Mat.: 20203301257 NOVA IGUAÇU Novembro de 2021 ENUNCIADO DA ATIVIDADE Segurança de rede Conforme a internet evolui e as redes de computadores se tornam maiores e mais complexas, a segurança da informação e de redes transformam-se em um fator relevante para as empresas considerarem. Afinal, é preciso se proteger criando produtos de software que precisam ser protegidos constantemente contra os ataques de terceiros, e a empresa também. Ao aumentar a segurança de redes, diminuímos a chance de acontecerem roubos de identidade, falsificações e vazamentos, e, se a pirataria é outra de suas preocupações, é apenas com a segurança de redes que podemos evitá-la. A empresa RAZER TEC vem apresentando graves problemas na área da segurança da informação no que tange a processamento de dados, acesso à internet, controle de acesso a arquivos e execução de processos. Para investigar isso, você está sendo contratado como auditor de segurança da informação e deverá fazer uma análise dos possíveis problemas na gestão da TI: processos que não estão sendo executados, pessoas envolvidas nos processos, mecanismos de segurança, tecnologias embarcadas na empresa e a segurança da rede. Você deverá estar atento aos problemas ocorridos dentro da questão da segurança da informação da empresa RAZER TEC. É importante verificar a possibilidade de uma reunião com o diretor de TI, e, na sequência, deverá descrever oito mecanismos importantes para tratar da questão da segurança da informação nessa empresa. DESENVOLVIMENTO A reunião com o diretor de TI da RAZOR TEC é indispensável, visto que é essencial que a gestão compreenda a necessidade e impactos reais que problemas de segurança podem causar à empresa, pois muitos consideram que o dinheiro utilizado em segurança é gasto e não investimento. Devo questionar ao diretor de TI se a RAZOR TEC possui uma Política de Segurança da Informação que esteja em conformidade com o que é determinado na NBR ISO/IEC 27001:2005. Explicar sem termos técnicos e de forma clara sobre o impacto que a falta de uma boa estratégia e técnicas de segurança podem trazer ao negócio, tanto num nível de perda financeira quanto até mesmo o encerramento do negócio. Algumas iniciativas que podem tratar da questão de segurança da empresa RAZOR TEC é: 1) Controle de acesso a arquivos, páginas e diretórios virtuais Colaboradores só deverão ser capazes de acessar diretórios, arquivos e pastas da empresa na nuvem somente que forem necessários para a execução de seus trabalhos. Ou através de solicitação de acesso previamente justificado e com data de expiração (não dar acesso uma vez e permitir que fique para sempre se não houver motivo) . 2) Verificação em 2FA para acesso aos sistemas internos A tecnologia de autenticação em dois fatores (2FA) devem ser implementada para acesso a VPN, acesso a nuvem corporativa (Buckets AWS, drive do Google etc) e qualquer outro sistema interno (intranet, ERPs, etc) 3) Armazenamento de dados somente na nuvem da empresa Os colaboradores deverão ser orientados sobre somente armazenar arquivos que sejam relativos à empresa, na nuvem da empresa. Nunca transportar arquivos em mídias portáteis ou em nuvem privada (conta pessoal do Google drive, por exemplo). 4) Treinamentos de segurança e testes antiphishing É uma prática muito comum em diversas empresas que o time de segurança dispare com uma certa frequência emails de falso phishing para seus colaboradores após realizar um treinamento sobre como identificar phishing. Colaboradores que caiam na “armadilha” da equipe de segurança poderiam facilmente cair num email de phishing real, podendo comprometer a segurança da organização em vários níveis diferentes. Os colaboradores que forem pegos no teste deverão realizar o curso/treinamento novamente. 5) Ferramentas de monitoria e controle Utilização do MailMarshal Exchange e IQ.Suite for Domino para monitoria e controle dos emails da conta corporativa e gerenciamento e controle do ciclo de vida dos emails, verificação de vírus etc, para assegurar que o email está sendo usado para a finalidade para o qual foi criado, e não para atividades pessoais diversas, cadastros em lojas etc. 6) Atualização do antivírus nas máquinas de todos os funcionários Para uma empresa com muitos colaboradores pode ser complicado manter os computadores de todos os colaboradores com o antivírus em dia, principalmente a modalidade de trabalho remoto. No entanto, um bom processo pode ser criado e automatizado para fazer esse serviço, e é de extrema importância que a empresa entenda o quão necessário é manter o antivírus das máquinas em dia e quais prejuízos arquivos infectados circulando nos computadores e nuvem da companhia poderiam causar, como por exemplo o roubo de dados e informações internas até o corrompimento dos mesmos de forma irreversível. 7) Conformidade com a LGPD Já faz algum tempo que a LGPD (Lei Geral de Proteção de Dados) entrou em vigor no Brasil, mas muitas empresas ainda não compreendem seus direitos e deveres com relação a isso, tampouco treinam seus colaboradores e criam processos para verificar constantemente o cumprimento das regras. É necessário deixar o diretor de TI e toda a gestão ciente das multas e consequências que o não cumprimento da LGPD podem acarretar. 8) Engenharia Social A RAZOR TEC pode ter o melhores melhores sistemas de segurança possíveis, que ainda terá problemas se seus colaboradores forem uma brecha de segurança. Muitas pessoas não sabem o que é engenharia social e por falta de conhecimento e ingenuidade podem acabar comprometendo a segurança da companhia, seja emprestando login e senha para outro colaborador usar, ou passando o crachá para aquele amigo “que esqueceu o seu em casa”, a falha de segurança provinda do ser humano pode ser até mais danosa do que a causada por brechas nos sistemas. REFERÊNCIAS TERUEL, Evandro Carlos. Principais ferramentas utilizadas na auditoria de sistemas e suas características. < https://dhg1h5j42swfq.cloudfront.net/2018/06/28174439/teruel-evandro-carlos.pdf > - Acesso em 19 de novembro de 2021. PINHEIRO, José Maurício. Soluções de Segurança no Ambiente Corporativo. < https://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa. php > - Acesso em 19 de novembro de 2021. FONTES, Edison. Políticas e Normas para a Segurança da Informação . Brasport, 2012. CORRÊA, Françoa Taffarel Rosário. A segurança da informação: um foco nas falhas humanas . https://dhg1h5j42swfq.cloudfront.net/2018/06/28174439/teruel-evandro-carlos.pdf https://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa.php https://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa.php https://books.google.com.br/books?hl=pt-BR&lr=&id=X61rbEWwJ_UC&oi=fnd&pg=PA17&dq=seguran%C3%A7a+da+informa%C3%A7%C3%A3o+nas+organiza%C3%A7%C3%B5es&ots=PZppbGG1zk&sig=SHR0cKH3xS93KhQ_x_sLt1Mn2V4#v=onepage&q=seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%20nas%20organiza%C3%A7%C3%B5es&f=falsehttps://app.uff.br/riuff/handle/1/5632 https://app.uff.br/riuff/handle/1/5632
Compartilhar