AVA2 NOTA 100 - Seguranca e Auditoria de Sistemas UVA UNIJORGE

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA 
 SISTEMAS DE INFORMAÇÃO 
 Segurança e Auditoria de Sistemas 
 AVA2 
 Professor Luciano de Pinna Vieira 
 Aluna: Elen Pires de Araújo 
 Mat.: 20203301257 
 NOVA IGUAÇU 
 Novembro de 2021 
 ENUNCIADO DA ATIVIDADE 
 Segurança de rede 
 Conforme a internet evolui e as redes de computadores se tornam maiores e 
 mais complexas, a segurança da informação e de redes transformam-se em um fator 
 relevante para as empresas considerarem. Afinal, é preciso se proteger criando 
 produtos de software que precisam ser protegidos constantemente contra os 
 ataques de terceiros, e a empresa também. 
 Ao aumentar a segurança de redes, diminuímos a chance de acontecerem roubos 
 de identidade, falsificações e vazamentos, e, se a pirataria é outra de suas 
 preocupações, é apenas com a segurança de redes que podemos evitá-la. 
 A empresa RAZER TEC vem apresentando graves problemas na área da segurança 
 da informação no que tange a processamento de dados, acesso à internet, controle 
 de acesso a arquivos e execução de processos. Para investigar isso, você está 
 sendo contratado como auditor de segurança da informação e deverá fazer uma 
 análise dos possíveis problemas na gestão da TI: processos que não estão sendo 
 executados, pessoas envolvidas nos processos, mecanismos de segurança, 
 tecnologias embarcadas na empresa e a segurança da rede. 
 Você deverá estar atento aos problemas ocorridos dentro da questão da segurança 
 da informação da empresa RAZER TEC. É importante verificar a possibilidade de 
 uma reunião com o diretor de TI, e, na sequência, deverá descrever oito 
 mecanismos importantes para tratar da questão da segurança da informação nessa 
 empresa. 
 DESENVOLVIMENTO 
 A reunião com o diretor de TI da RAZOR TEC é indispensável, visto que é 
 essencial que a gestão compreenda a necessidade e impactos reais que problemas 
 de segurança podem causar à empresa, pois muitos consideram que o dinheiro 
 utilizado em segurança é gasto e não investimento. Devo questionar ao diretor de TI 
 se a RAZOR TEC possui uma Política de Segurança da Informação que esteja em 
 conformidade com o que é determinado na NBR ISO/IEC 27001:2005. Explicar sem 
 termos técnicos e de forma clara sobre o impacto que a falta de uma boa estratégia 
 e técnicas de segurança podem trazer ao negócio, tanto num nível de perda 
 financeira quanto até mesmo o encerramento do negócio. 
 Algumas iniciativas que podem tratar da questão de segurança da empresa RAZOR 
 TEC é: 
 1) Controle de acesso a arquivos, páginas e diretórios virtuais 
 Colaboradores só deverão ser capazes de acessar diretórios, arquivos 
 e pastas da empresa na nuvem somente que forem necessários para a 
 execução de seus trabalhos. Ou através de solicitação de acesso 
 previamente justificado e com data de expiração (não dar acesso uma vez e 
 permitir que fique para sempre se não houver motivo) . 
 2) Verificação em 2FA para acesso aos sistemas internos 
 A tecnologia de autenticação em dois fatores (2FA) devem ser 
 implementada para acesso a VPN, acesso a nuvem corporativa (Buckets 
 AWS, drive do Google etc) e qualquer outro sistema interno (intranet, ERPs, 
 etc) 
 3) Armazenamento de dados somente na nuvem da empresa 
 Os colaboradores deverão ser orientados sobre somente armazenar 
 arquivos que sejam relativos à empresa, na nuvem da empresa. Nunca 
 transportar arquivos em mídias portáteis ou em nuvem privada (conta pessoal 
 do Google drive, por exemplo). 
 4) Treinamentos de segurança e testes antiphishing 
 É uma prática muito comum em diversas empresas que o time de 
 segurança dispare com uma certa frequência emails de falso phishing para 
 seus colaboradores após realizar um treinamento sobre como identificar 
 phishing. Colaboradores que caiam na “armadilha” da equipe de segurança 
 poderiam facilmente cair num email de phishing real, podendo comprometer a 
 segurança da organização em vários níveis diferentes. Os colaboradores que 
 forem pegos no teste deverão realizar o curso/treinamento novamente. 
 5) Ferramentas de monitoria e controle 
 Utilização do MailMarshal Exchange e IQ.Suite for Domino para 
 monitoria e controle dos emails da conta corporativa e gerenciamento e 
 controle do ciclo de vida dos emails, verificação de vírus etc, para assegurar 
 que o email está sendo usado para a finalidade para o qual foi criado, e não 
 para atividades pessoais diversas, cadastros em lojas etc. 
 6) Atualização do antivírus nas máquinas de todos os funcionários 
 Para uma empresa com muitos colaboradores pode ser complicado 
 manter os computadores de todos os colaboradores com o antivírus em dia, 
 principalmente a modalidade de trabalho remoto. No entanto, um bom 
 processo pode ser criado e automatizado para fazer esse serviço, e é de 
 extrema importância que a empresa entenda o quão necessário é manter o 
 antivírus das máquinas em dia e quais prejuízos arquivos infectados 
 circulando nos computadores e nuvem da companhia poderiam causar, como 
 por exemplo o roubo de dados e informações internas até o corrompimento 
 dos mesmos de forma irreversível. 
 7) Conformidade com a LGPD 
 Já faz algum tempo que a LGPD (Lei Geral de Proteção de Dados) 
 entrou em vigor no Brasil, mas muitas empresas ainda não compreendem 
 seus direitos e deveres com relação a isso, tampouco treinam seus 
 colaboradores e criam processos para verificar constantemente o 
 cumprimento das regras. É necessário deixar o diretor de TI e toda a gestão 
 ciente das multas e consequências que o não cumprimento da LGPD podem 
 acarretar. 
 8) Engenharia Social 
 A RAZOR TEC pode ter o melhores melhores sistemas de segurança 
 possíveis, que ainda terá problemas se seus colaboradores forem uma 
 brecha de segurança. Muitas pessoas não sabem o que é engenharia social e 
 por falta de conhecimento e ingenuidade podem acabar comprometendo a 
 segurança da companhia, seja emprestando login e senha para outro 
 colaborador usar, ou passando o crachá para aquele amigo “que esqueceu o 
 seu em casa”, a falha de segurança provinda do ser humano pode ser até 
 mais danosa do que a causada por brechas nos sistemas. 
 REFERÊNCIAS 
 TERUEL, Evandro Carlos. Principais ferramentas utilizadas na auditoria de sistemas 
 e suas características. 
 < https://dhg1h5j42swfq.cloudfront.net/2018/06/28174439/teruel-evandro-carlos.pdf > 
 - Acesso em 19 de novembro de 2021. 
 PINHEIRO, José Maurício. Soluções de Segurança no Ambiente Corporativo. 
 < https://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa. 
 php > - Acesso em 19 de novembro de 2021. 
 FONTES, Edison. Políticas e Normas para a Segurança da Informação . Brasport, 
 2012. 
 CORRÊA, Françoa Taffarel Rosário. A segurança da informação: um foco nas falhas 
 humanas . 
https://dhg1h5j42swfq.cloudfront.net/2018/06/28174439/teruel-evandro-carlos.pdf
https://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa.php
https://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa.php
https://books.google.com.br/books?hl=pt-BR&lr=&id=X61rbEWwJ_UC&oi=fnd&pg=PA17&dq=seguran%C3%A7a+da+informa%C3%A7%C3%A3o+nas+organiza%C3%A7%C3%B5es&ots=PZppbGG1zk&sig=SHR0cKH3xS93KhQ_x_sLt1Mn2V4#v=onepage&q=seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%20nas%20organiza%C3%A7%C3%B5es&f=falsehttps://app.uff.br/riuff/handle/1/5632
https://app.uff.br/riuff/handle/1/5632