Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia PIM VII PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO BATATAIS/SP 2022 UNIP Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia PIM VII PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO Aluno: Tito Alexandre de Paiva RA:2186761 Projeto Integrado Multidisciplinar – PIM VII, apresentado como um dos pré- requisitos para aprovação do bimestre vigente, no Curso Superior de Tecnologia em Segurança da Informação. Prof.: Ricardo Sewaybriker Orientador (a): Rosemeire Desiderio BATATAIS/SP 2022 RESUMO O presente projeto, PIM VII, visa especificamente abordar e explanar os conhecimentos adquiridos nas disciplinas de Empreendedorismo, Gestão da Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão. E para tal finalidade, foi criada a empresa TAP - Cyber Security and Protection, empresa fictícia, criada especialmente para desenvolver este trabalho, expondo desta forma uma visão empreendedora e futurística, principalmente no ramo de ferramentas de auditoria e testes de invasão. Com objetivo e foco na Gestão da Qualidade a meta de nossos colaboradores é fornecer um serviço de qualidade e atender as expectativas dos clientes através da somatória de técnicas e estratégias que vão além do campo do empreendedorismo, inovando e aprimorando projetos e mudanças, capazes de gerar um impacto positivo, implantando através da Gestão de Qualidade, procedimentos estes que visam a adequação e expansão desses negócios utilizando o método de melhorias PDCA como ferramenta de crescimento, planejamento e controle. Um dos pilares da empresa é garantir a proteção dos ativos e dados contra ameaças, engenharia social, vírus, ataques hackers e principalmente buscar onde estão as vulnerabilidades que possam expor e colocar em risco o nome ou marca de seus produtos. Através de uma auditoria dos sistemas, testes de invasão serão realizados conforme protocolo interno e normas, gerando relatórios e pareceres confiáveis visando a segurança cibernética interna e externamente. Palavras-chave: Empreendedorismo; Gestão de Qualidade; Auditoria de Sistemas; Pareceres e Testes de Invasão. ABSTRACT The present, PIM VII, specifically aims to acquire a project and explain the knowledge in the subjects of Entrepreneurship, Systems Audit and Opinions and Penetration Testing. And for that purpose, it was created for the company TAP - Cyber Security and Protection, a fictitious company, created especially to develop this work, exposing this form of an enterprising and futuristic, mainly in the field of auditing tools and penetration testing. In addition to focusing on quality management, employees provide a quality service and serve as customers with the sum of quality techniques and strategies in the field of entrepreneurship, innovating and improving projects and changes, through generating results with a positive impact, through Quality Management, procedures aimed at managing and expanding these businesses the PDCA improvement method as a tool for improvement, planning and control. One of the company's pillars is to ensure the protection of assets and data against threats, social engineering, hacker attacks and especially where they are as vulnerabilities that can expose and jeopardize the name or brand of their products. Through the systems maintenance protocol, penetration tests will be carried out according to internal audit protocols and protocols and internal and external security standards. Keywords: Entrepreneurship; Quality management; Systems Audit; Opinions and Penetration Tests. SUMÁRIO INTRODUÇÃO ........................................................................................................... 6 1 EMPREENDEDORISMO ........................................................................................ 7 1.1 TAP – Cyber Security and Protection............................................................ 7 1.2 Estrutura Organizacional e Plano de Negócio ............................................. 7 2 GESTÃO DA QUALIDADE ..................................................................................... 9 3 SISTEMAS CRÍTICOS .......................................................................................... 10 3.1 Identificação 1: Vulnerabilidade no Sistema – Porta Aberta ..................... 11 3.2 Ferramenta Utilizada: Nmap ......................................................................... 12 3.3 Identificação 2: Ataque de Negação de Serviço - DoS .............................. 13 3.4 Ferramenta Utilizada: Wireshark - Sniffer ................................................... 13 3.5 Sobre os Testes de Invasão ......................................................................... 13 3.6 Segurança na LGPD...................................................................................... 14 3.7 ISO-27001 ....................................................................................................... 14 3.8 ISO-27701 ....................................................................................................... 15 4 RELATÓRIO DE CONCLUSÃO ..................................................................... 15 CONCLUSÃO .......................................................................................................... 17 REFERÊNCIAS........................................................................................................ 18 6 INTRODUÇÃO O objetivo principal desse projeto é fomentar e elucidar o empreendedorismo como fonte de inspiração, como conhecimento acadêmico, principalmente com os avanços tecnológicos, globalizado e competitivo do mercado, onde exigências são cada vez mais cobradas através de atualizações constantes e modernas, e a qualidade se torna uma ferramenta primordial que faz toda diferença no espaço corporativo e organizacional. Planejar, executar e administrar. Damos então, ênfase a Gestão como forma de organizar as atividades e projetos que colocamos em prática. E com os avanços tecnológicos, conexões, internet, home office, aparecem também os riscos, as vulnerabilidades, os ataques cibernéticos, os sequestros de dados e informações. Surgindo então a necessidade de verificação, de proteção e análise de sistemas, assim como também testes de penetração, auditorias e verificação de vulnerabilidades nos equipamentos, aplicativos ou falhas intencionalmente (ou não) humanas. 7 1 EMPREENDEDORISMO "Além das características distintas de um empreendedor, ele pode ser de dois estilos diferentes: o executor e o administrador. (CHIAVENATO,2012).” Já em se tratando de tipos, existem diversos tipos (nato; oportunidade; corporativo; necessidade; família) de empreendedor, o que significa que não podemos determinar um padrão exato. Habilidades são características marcantes em um empreendedor e segundo Razzolini Filho (2012, pág. 148) aponta quatro tipos de habilidades essenciais para o sucesso do empreendedor: gerenciais, comportamentais, críticas e morais e intelectuais. 1.1 TAP – Cyber Security and Protection Com base no fator empreendedor, criamos uma empresa (fictícia) que atua no ramo de segurança cibernética, criada especificamente para protegersistemas, rede e dados contra acesso não autorizado. Ou seja, em um nível pessoal, todos precisam proteger sua identidade, seus dados e seus dispositivos computacionais. No nível corporativo, é responsabilidade dos funcionários proteger a reputação, os dados e os clientes da organização. 1.2 Estrutura Organizacional e Plano de Negócio A TAP – Cyber Security and Protection, coloca à disposição de seus clientes uma estrutura de atendimento, sendo ele físico ou a distância, remotamente, com serviços de pronta resposta a qualquer alteração ou incidente em sua rede ou dados. Atuando em diversos lugares e/ou situações, combatendo e prevenindo ataques criminosos virtuais contra organizações, pessoas ou simplesmente buscando fragilidades, vulnerabilidades (sistemas; aplicativos; protocolos; rede; login; erros de programação; configuração etc.) que possam colocar em risco sua organização, seus ativos, sua imagem ou reputação. Como filosofia japonesa, adotamos o 5S, um sistema de organização de espaços para que o trabalho possa ser realizado com eficiência, eficácia e segurança. 8 Esse sistema se concentra em colocar tudo no seu devido lugar e manter o local de trabalho organizado e limpo. Imagem 01: Metodologia 5S Fonte: https://eprconsultoria.com.br/conheca-os-principios-da-metodologia-5s- 2-2/ A tecnologia da informação está em constante mudança e isso também ocorre com a segurança cibernética, sendo o treinamento e a conscientização outra ferramenta essencial para prevenir riscos, acidentes ou crimes cibernéticos. Outra ferramenta bastante utilizada são as redes sociais (Face Book; Instagram; LinkedIn; etc.) como forma de difundir nossas propostas de trabalhos como organização. Nossa estrutura opera da seguinte forma: ► Operar e manter inclui proporcionar o suporte, a administração e a manutenção necessários para garantir a segurança e o desempenho do sistema de TI. ► Proteger e defender inclui a identificação, a análise e a mitigação de ameaças a sistemas internos e a redes. ► Investigar inclui a investigação de evento e/ou crimes digitais que envolvem recursos de TI. 9 ► Coletar e operar inclui as operações de negação e fraude especializadas e a coleta de informações de segurança cibernética. ► Analisar Provisionar de forma segura inclui a conceitualização, o projeto e a construção de sistemas de TI seguros. ► Supervisão e desenvolvimento proporcionando liderança, gestão e orientação para realizar o trabalho de segurança cibernética de forma eficaz. ► Provisionar de forma segura inclui a conceitualização, o projeto e a construções de sistemas de TI seguros. Com a intenção de promover a segurança cibernética e fornecer soluções que melhorem a segurança tecnológica de todos, temos parceria com a CERT – Centro e Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. 2 GESTÃO DA QUALIDADE A ética e a moral são essenciais para o exercício de qualquer profissão, em qualquer ramo de atuação ou área, esse valor deve ser um atributo obrigatório, somando-se a qualidade nos serviços prestados. Investir muito dinheiro em tecnologia não fará diferença se as pessoas dentro da empresa forem o elo mais fraco da segurança cibernética. Um programa de conscientização sobre segurança é extremamente importante para uma organização. Esse é nosso diferencial: • Treinamento de conscientização de segurança como parte do processo de integração do funcionário; • Conscientização de segurança aos requisitos do trabalho aliado às avaliações de desempenho funcional; • Sessões de treinamento on-line; • Princípios éticos; transparência; boa administração e comunicação; • Melhoria dos processos e motivação dos funcionários; • Espírito de Equipe e envolvimento das pessoas, promovendo atitude de cooperação. • Planejamento; • Execução; • Controle. 10 Com a inclusão da ferramenta do PDCA em nossa organização, conseguimos alcançar e melhorar nossos objetivos na execução das tarefas, melhorando resultados, planos estratégicos eficazes e na solução constante de problemas, acelerando e aperfeiçoando desta forma aquilo que nos propusemos a fazer, cuidar da segurança cibernética. Imagem 02: Etapas do PDCA Fonte: https://www.siteware.com.br/metodologias/ciclo-pdca/ 3 SISTEMAS CRÍTICOS Princípio básico: As ameaças à segurança da informação estão diretamente relacionadas à perda de uma dessas três características principais: perda de confidencialidade, perda de integridade ou perda de disponibilidade. Estas ameaças podem vir de agentes mal-intencionados, geralmente conhecidos como Hackers ou mesmos de usuários legítimos. Já uma vulnerabilidade de segurança está relacionada a um fator que pode contribuir para gerar invasões, roubo de dados ou acesso não autorizado a recursos, facilitando o acesso de usuários não autorizados. Exemplos são softwares mal configurados, dispositivos com sistemas desatualizados e arquivos internos expostos publicamente por engano. Encontrar vulnerabilidades de segurança 11 é uma necessidade absoluta para as empresas modernas. Para isso, é necessário definir as seguintes etapas: • Identificar o que é necessário para proteger o sistema; • Definir metas de segurança; • Identificar as principais fontes de ameaças e como combatê-las; • Refinar e atualizar as proteções de segurança cibernética; • Monitorar ameaças cibernéticas e estratégias de ataque novas e emergentes; • Usar um provedor de serviços de segurança gerenciado (MSSP). Dados corporativos incluem informações de funcionários, propriedades intelectuais e informações financeiras. As informações de funcionários incluem materiais de aplicação, folha de pagamento, cartas de oferta, contratos de funcionários e todas as informações usadas na tomada de decisões de emprego. Propriedade intelectual, como patentes, marcas registradas e planos de novos produtos, permite que uma empresa obtenha vantagem econômica sobre seus concorrentes. Essa propriedade intelectual pode ser considerada um segredo comercial. Perder essas informações pode ser desastroso para o futuro da empresa. As informações financeiras, como declarações de rendimentos, balanços e demonstrações de fluxo de caixa de uma empresa, proporcionam detalhes sobre a integridade da empresa. Após introdução e coleta de informações específicas da organização que será submetida ao teste de invasão, problemas apontavam para vulnerabilidades na rede. Dois sistemas críticos ficaram nítidos nesse primeiro momento, portas abertas, expostas e sobrecarga na rede. Pelo perfil do ataque, o objetivo era retirar do “ar” e coletar informações desta organização ligada ao ramo de Marketing. 3.1 Identificação 1: Vulnerabilidade no Sistema – Porta Aberta O objetivo dos Hackers era coletar informações sobre o computador de destino desta determinada rede relacionada a Marketing (Sistema Operacional; aplicativos; etc.), scaneando as portas em busca de vulnerabilidades, pontos fracos para obterem acesso não autorizado, identificando endereços de IP, hosts, procurando locais de servidores abertos e vulneráveis. Explorar vulnerabilidades é outro método comum de infiltração. Os invasores fazem a varredura de computadores para obter informações sobre eles. 12 Durante o teste de invasão nesta determinada organização conhecida, denominada contratante de nossos serviços, onde pelo qual amparados pela LGPD, pelo contrato de ambas as partes, pela não divulgação da razão social, optamos por explanar somente as vulnerabilidades encontradas e medidas adotas, para garantir e preservar a integridade de seus dados, assim como sua reputação. 3.2 Ferramenta Utilizada: Nmap O desafio neste caso, para os administradores de T.I. é tentar bloquear as portas abertas instalando firewalls para protegê-las sem limitar o acesso de usuárioslegítimos. Neste caso, foi reconfigurado adequadamente todas as portas, negando o acesso da Internet em casos desnecessários e reconfigurado o Firewall para que possa detectar tentativas de varredura de portas impedindo que Hacker possam tentar coletar informações. Figura 03: Amostra de scan do Nmap Fonte: https://nmap.org/man/pt_BR/index.html Encontrar portas abertas normalmente é o objetivo geral da varredura de portas e uma vitória para um Hacker que procura uma via de ataque. 13 Foi utilizado a ferramenta Nmap: Ferramenta de auditoria de segurança e exploração de rede, impedindo que pessoas não autorizadas coletassem informações desta organização, devido a falhas de configuração neste sistema. 3.3 Identificação 2: Ataque de Negação de Serviço - DoS Detectado o ataque à rede desta organização de Marketing, agora visando a interrupção de serviços aos usuários, dispositivos ou aplicações por meio de grande quantidade de tráfego e através de pacotes formatados de forma mal-intencionada. Os ataques de negação de serviço (DoS) representam um grande risco porque podem facilmente interromper a comunicação e causar perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado. 3.4 Ferramenta Utilizada: Wireshark - Sniffer Ferramenta de auditoria de segurança que visa o monitoramento da rede, tráfego, sendo usado para investigar as ameaças encontradas, principalmente após a utilização do Nmap apontar para falhas em portas abertas que foram corrigidos e reconfigurados. A ferramenta agora utilizada, Sniffer, apontou grande tráfego de pings sobrecarregando a rede desta organização, sendo apontado um ataque DoS. Os indicadores de auditoria apontavam para: • Desempenho da rede lento, demora de carregamento de arquivos ou sites; • Incapacidade de acessar determinado site; • Uma súbita perda de conectividade na mesma rede. 3.5 Sobre os Testes de Invasão Os invasores (Hackers) são indivíduos ou grupos que tentam explorar vulnerabilidades para ganho pessoal ou financeiro. Os invasores estão interessados em tudo, de cartões de crédito a projetos de produtos e qualquer coisa com valor. A Lei nº 13.709/2018 - Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da 14 personalidade da pessoa natural. A recente Lei Geral de Proteção de Dados Pessoais (LGPD), reforça que os dados pessoais são de acesso restrito. Testes de Invasão (PENTEST), ferramenta relacionada a Segurança de T.I. e Segurança da Informação, são mencionados tanto na LGPD como também citados na ISO-27001 e ISO-27701. Dentro dos procedimentos legais (Normas e Legislação vigente) e com tudo documentado e autorizado pela contratante, a realização de testes de invasão é justificável na Lei. 3.6 Segurança na LGPD • Art. 6 – VII – Princípio da Segurança (obrigatório): utilização de MEDIDAS TÉCNICAS E ADMINISTRATIVAS aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; • Art. 46 – Medidas Práticas de Segurança: Os agentes de tratamento DEVEM ADOTAR MEDIDAS DE SEGURANÇA, técnicas e administrativas aptas a proteger os dados pessoais de acesso; 3.7 ISO-27001 Normas técnicas: A.18.2.3 – Análise de crítica da conformidade técnica - Controle: Os sistemas de informação DEVEM SER ANALIZADOS CRÍTICAMENTE, a intervalos regulares, para verificar a conformidade com as normas e políticas de segurança da informação da organização. A equipe de gerência de uma empresa usa os objetivos de controle do padrão ISO 27001 para definir e publicar as políticas de segurança da empresa. Os objetivos de controle proporcionam uma checklist que deve ser usada durante as auditorias de gerenciamento de segurança. Muitas empresas precisam passar uma auditoria de ISMS para ganhar uma designação de conformidade com ISO 27001. Exemplo: Controlar o acesso a redes usando os mecanismos de autenticação apropriados para usuários e equipamentos. 15 3.8 ISO-27701 Normas técnicas: 6.15.2.3 – Convém que a organização inclua métodos de análise crítica dessas ferramentas e componentes relacionados ao tratamento de dados pessoais. Podendo incluir: • Monitoramento contínuo para verificar que somente o tratamento permitido está sendo executado; • Testes específicos de VULERABILIDADES OU INVASÃO. 4 RELATÓRIO DE CONCLUSÃO RELATÓRIO DE CONCLUSÃO DE AUDITORIA INTERNA OUTUBRO/2022 Empresa Auditora: TAP – Cyber Security and Protection. Auditor: Tito A. Paiva Auditada: Empresa de Marketing (Sigilo) O presente relatório apresenta os motivos específicos que levaram a auditoria da empresa de Marketing que vinha através de vulnerabilidades, principalmente no tocante as configurações e medidas protetivas em sua rede, externa e interna, através de espionagem, procuravam e de fato continha, portas abertas bastante vulnerável e também, ataques que visam a retirada do “ar” de seu site, assim como tornar inoperante, toda e qualquer transação, impedindo também que usuários pudessem acessar sua página na Web, ou que os próprios colaboradores da empresa pudessem operar ou manipular dados corporativos. TAP – Cyber Security and Protection, empresa consolidada no ramo de segurança e proteção cibernética, atua por meios lícitos que obedecem os padrões internações, normas e legislações vigente nas áreas de auditoria e testes de invasão. Área de redes mal configurada, firewall foram dos padrões normativos, desatualizado, sistema operacional desatualizado e fragilizados por falta de senhas de usuários, assim como também ausência que delimitassem o que cada colaborar poderia ter acesso, ou seja, todos tinha acesso a qualquer setor, que demostra inviabilidade no momento de identificar quem acessou o que, arquivos registrados em 16 logs de usuário e senha, tendo desta forma precisão na auditoria para apontar exatamente quem e quando obtém acesso aos sistemas organizacionais. Leis que normatizam esta auditoria, tais como a LGPD, ISOs 27701 e 27001 traduzem a jurisprudência e amparo em executar e buscar fragilidades em organização de forma transparente e lícita, conforme nos é autorizado contrato que definem muito bem, tudo o que é feito. Após intenso monitoramento na rede desta empresa de marketing, o único objetivo dos atacantes era realmente obter informações da organização atacada e posterior prejudicar sua atuação on-line. Recomendações finais: Aprimoramento nas linhas de defesa, mecanismos de defesa, sistema de rastreamento de pacotes como prevenção, além claro, melhorar os aplicativos e sistemas operacionais, melhorias no desenvolvimento de projetos e testes e inclusão de ferramentas automatizadas, compatíveis com área de atuação da organização atacada. Outro fator importante na defesa e prevenção contra-ataques cibernéticos é a conscientização e treinamento de seu corpo funcional. 17 CONCLUSÃO O projeto em tese, denominado de Plano de Auditoria de Sistemas, amparado em teste de invasão com foco específico para organização selecionado e alinhado ao Plano de Negócios da Organização, trouxe a experiencia de colocar em prática, com base no empreendedorismo, a idealização e criação de uma empresa fictícia, que atua no ramos de defesa e segurança cibernética, que como cliente final, uma outra organização do ramo de marketing, que diante de uma aprendizagem de Auditoria de Sistemas, Gestão da Qualidade, Pareceres e Testes de Invasão, abordou um ataqueDoS – utilizando-se de uma ferramenta para monitorar a rede e sistemas, onde posteriormente também encontrou-se falhas de configuração na defesa da rede, portas vulneráveis abertas que também invasores vasculhavam obter informações confidenciais. Dentro do que foi absorvido academicamente e buscando a integração com as técnicas e tecnologias utilizadas, tentando colocar o máximo dentro das metodologias científica no tocante ao ensino e aprendizagem. Fica claro que o maior processo aqui adquirido é conhecimento que alinhado a prática cria as condições necessárias e compatíveis para o crescimento e fortalecimento técnico profissional para o qual nos propusemos e aceitamos como tarefa. 18 REFERÊNCIAS “Empreendedorismo – Teresa Cristina Lopes Fabrete - São Paulo : Pearson Education do Brasil, 2019. ISBN 978-85-430-2561-2. 1.Administração de empresas 2.Empreendedorismo.1924635. CCDD-658.421”. Biblioteca Virtual: <https://plataforma.bvirtual.com.br/Acervo/Publicacao/173412>. Acesso em 29 de setembro/2022. "Gestão da Qualidade - organizador Eliacy Cavalcanti Lélis. – São Paulo : Pearson Prentice Hall, 2012. ISBN 978-85-64574-13-7. 1. Controle de qualidade 2. Qualidade total – Gerenciamento.11-8903 CDD-658.4013". Biblioteca Virtual: <https://plataforma.bvirtual.com.br/Acervo/Publicacao/3016>.Acesso: 29 de setembro/2022. “Gestão da Qualidade. Autor: Professora Andréa Martins Cristóvão – Editora: Sol, 2013. CDU 658.5. 1. Gestão da qualidade. 2. Gerenciamento. 3. Qualidade”. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ano XVII, n.2-052/13, ISSN 1517-9230. Acesso em setembro/2022. PDCA. Disponível em <https://www.siteware.com.br/metodologias/ciclo-pdca/>. Acesso em 30 de setembro/2022. CERT. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Disponível em <https://www.cert.br/cursos/>. Acesso em 30 de setembro/2022. “Auditoria de Sistemas – Conceito e Aplicação. Autor: Professor Anderson Aparecido Alves da Silva. São Paulo – Editora: Sol, 2021. CDU 658.011.56. 1. Auditoria. 2. Planejamento. 3. Análise de risco. U510.51-21”. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517- 9230. Acesso em 02 de outubro/2022. LGPD. Lei Geral de Proteção de Dados (LGPD). Disponível em: <https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados- pessoais>. Acesso em: 04 outubro/2022. ISO 27001 e ISSO 27701. Normas. Disponível em: <https://stancebrasil.com.br/iso- 27701-o-que-e-e-quais-as-vantagens-da-sua-implementacao/>. Acesso em 06 de outubro/2022. “Pareceres e Testes de Invasão. Autor: Professor Ricardo Sewaybriker. São Paulo – Editora: Sol, 2021. CDU 681.3.004.4. 1. Comandos. 2. Ferramentas. 3. Teste. U510.36-21”. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. Acesso em 08 de outubro/2022. https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados-pessoais https://www.gov.br/inss/pt-br/acesso-a-informacao/lei-geral-de-protecao-de-dados-pessoais PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO PLANO DE AUDITORIA DE SISTEMAS, AMPARADO EM TESTES DE INVASÃO COM FOCO ESPECÍFICO PARA ORGANIZAÇÃO SELECIONADO E DEVIDAMENTE ALINHADO AO PLANO DE NEGÓCIOS DA ORGANIZAÇÃO (1) INTRODUÇÃO 1 EMPREENDEDORISMO 1.1 TAP – Cyber Security and Protection 1.2 Estrutura Organizacional e Plano de Negócio 2 GESTÃO DA QUALIDADE 3 SISTEMAS CRÍTICOS 3.1 Identificação 1: Vulnerabilidade no Sistema – Porta Aberta 3.2 Ferramenta Utilizada: Nmap 3.3 Identificação 2: Ataque de Negação de Serviço - DoS 3.4 Ferramenta Utilizada: Wireshark - Sniffer 3.5 Sobre os Testes de Invasão 3.6 Segurança na LGPD 3.7 ISO-27001 3.8 ISO-27701 4 RELATÓRIO DE CONCLUSÃO CONCLUSÃO REFERÊNCIAS
Compartilhar