Resolução do Caso (N1)

Prévia do material em texto

Laura Regina Paz – RA 202230012 
Normas e Melhores Práticas de Segurança da Informação 
Especialização em Segurança da Informação e Gestão de TI 
 
Resolução do Caso (N1) - Como gerenciar a confidencialidade da informação dentro 
de uma instituição? 
 
Introdução 
Ao ser apresentado o estudo de caso durante a disciplina, foi dado o exemplo 
de uma empresa pública IBH a qual presta serviços gratuitos de assistência médica 
hospitalar, através de uma rede que inclui o órgão central e 40 hospitais que exerce 
na função de centro de referência do SUS. A sede fica em Brasília e os hospitais 
associados distribuídos por todo território nacional. Os hospitais assim como a sede 
da instituição possui um núcleo designado ao setor de TI, responsável pela 
implementação e gestão da área de TI de cada unidade. Cada instância do setor de 
TI é responsável pela rede de dados, seus ativos, servidores, backups, sistemas e 
política de SI de sua respectiva unidade. Não existe uma padronização no escopo 
relacionado a tecnologia, cada lugar tem seu padrão. 
Existem inúmeras vulnerabilidades, como por exemplo, não há auditoria para 
permitir verificar quem consultou determinada informação. Houve um vazamento de 
dados e durante a apuração do incidente, não foi possível identificar a fonte de 
vazamento dos dados, pois não havia mecanismo de geração de log para registrar os 
acessos ao sistema. Outro problema, foi no setor de recursos humanos, pois não havia 
classificação da informação. Arquivos sigilosos foram acessados por funcionários que 
não deveriam ter acesso. No contexto a nós apresentado é levantado os seguintes 
questionamentos: Como seria possível resolver essas questões para aumentar a 
segurança da informação nas redes de hospitais? Será que a variedade de sistemas 
facilita a invasão das redes? Uma solução baseada apenas em software resolveria o 
problema? 
 
Desenvolvimento 
Ao analisar o que precisa ser realizado primeiramente é a padronização de 
escopo em todas os hospitais e órgão central, onde deverá ser realizada a 
padronização dos firewalls, com autenticação dos usuários através do protocolo LDAP 
(Lightweight Directory Access Protocol) que é um protocolo padrão que fornece meios 
de armazenar e recuperar informações sobre pessoas, grupos ou objetos em um 
servidor de diretórios X.500 ou LDAP centralizado, disponibilizar e-mail institucional 
para cada usuário, a contratação de outsourcing de impressão onde vai ter as funções 
Laura Regina Paz – RA 202230012 
Normas e Melhores Práticas de Segurança da Informação 
Especialização em Segurança da Informação e Gestão de TI 
 
de: instalação de todos os equipamentos; treinamentos dos usuários; suporte técnico; 
atualizações e manutenções; reposição de peças; logística de suprimentos. 
Tendo em vista que não há conceitos de políticas de seguranças da 
informação, gestão de riscos, deverá ser iniciado a implantação de uma comissão 
para resolver essas questões. Para as políticas de segurança da informação onde 
será definida como as regras que ditam o acesso, o controle e a transmissão da 
informação em uma organização. Lembrando que uma política de segurança não é 
um documento imutável ou inquestionável. Muito pelo contrário, requer atualização 
constante e participação não só da diretoria da empresa, mas também dos 
funcionários e da equipe de TI. 
Em gestão de riscos será realizada um conjunto de atividades que têm como 
objetivo controlar a empresa em relação a possíveis riscos ou ameaças que possam 
afetar os objetivos da organização, onde será realizado o levantamento para 
prevenção da empresa se antecipar antes de qualquer situação de risco. 
Por fim, deverá ser implantado uma auditoria de sistema para que esteja de 
acordo com a LGPD (Lei Geral de Proteção de Dados), onde haverá um tratamento 
de dados reavaliado. Adotar uma gestão de compliance, contribui não apenas para 
que a organização esteja em conformidade com a lei, mas também para implantação 
de boas práticas de governança. 
 
Conclusão 
Ao buscar alternativas para que seja solucionado o problema, é encontrado 
inúmeras formas. Deve se atentar aos pré-requisitos, verificar se está conformidade 
com a norma ISO 19001:2018, seguir com as boas práticas existentes para ter uma 
entrega positiva de implantação de segurança. 
 
Referência Bibliográfica 
Lightweight Directory Access Protocol, IBM Documentação, 2021. Disponível em 
<https://www.ibm.com/docs/pt-br/was-
nd/8.5.5?topic=SSAW57_8.5.5/com.ibm.websphere.ihs.doc/ihs/cihs_ldap.html>. 
Acesso em: 22/10/2022. 
Política de segurança da informação: saiba como e por que desenvolvê-la, DocuSign, 
2018. Disponível em <https://www.docusign.com.br/blog/politica-de-seguranca-da-
informacao-saiba-como-e-por-que-desenvolve-la>. Acesso em: 22/10/2022. 
https://www.ibm.com/docs/pt-br/was-nd/8.5.5?topic=SSAW57_8.5.5/com.ibm.websphere.ihs.doc/ihs/cihs_ldap.html
https://www.ibm.com/docs/pt-br/was-nd/8.5.5?topic=SSAW57_8.5.5/com.ibm.websphere.ihs.doc/ihs/cihs_ldap.html
https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-la
https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-la
Laura Regina Paz – RA 202230012 
Normas e Melhores Práticas de Segurança da Informação 
Especialização em Segurança da Informação e Gestão de TI 
 
PINHEIRO, Kelma, Os 10 passos para implantar uma boa gestão de riscos na sua 
empresa, Boavista, 2019. Disponível em: 
<https://boavistatecnologia.com.br/blog/gestao-de-riscos/>. Acesso em: 22/10/2022. 
BARISTELLA, Carla, O que é auditoria de sistema e como se relaciona com a LGPD?, 
Certifiquei, 2020. Disponível em: <https://www.certifiquei.com.br/auditoria-sistemas/>. 
Acesso em: 22/10/2022. 
https://boavistatecnologia.com.br/blog/gestao-de-riscos/
https://www.certifiquei.com.br/auditoria-sistemas/