Prévia do material em texto
UNIVERSIDADE VEIGA DE ALMEIDA GRADUAÇÃO EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS DISCIPLINA: SEGURANÇA E AUDITORIA DE SISTEMAS PROF.: THIAGO ALBERTO RAMOS GABRIEL EDUARDO FERREIRA TRINDADE TRABALHO DA DISCIPLINA (AVA1) ERROS NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO NITERÓI 2022 2 Trabalho da disciplina – AVA 1 (Transcrição do enunciado) Com o crescimento da globalização e o advento da tecnologia da informação nas empresas, passamos a estar em uma época em que a informação vale ouro. A empresa deve assegurar ao máximo a segurança de seus dados. Se a organização não proceder dessa forma, corre sérios riscos de comprometer suas atividades e até mesmo sua existência: os erros de gestão de segurança da informação podem sim levar à falência. A empresa SELF IT tem apresentado graves problemas na área de TI, no que tange a segurança das informações. Pensando nisso, você está sendo contratado como consultor de segurança da informação. Você deverá fazer um diagnóstico dos possíveis erros de gestão na segurança da informação que uma empresa pode cometer. Você deverá estar atento aos problemas ocorridos dentro da área de segurança da informação da empresa SELF IT. Importante verificar a possibilidade de uma reunião com o Diretor de TI e na sequência deverá descrever os seis erros mais comuns na gestão da segurança da informação.1 1 Enunciado da primeira avaliação disponível em: https://uva.instructure.com/courses/28488/pages/enunciado-da-avaliacao-1?module_item_id=325199 acessado em: 03/06/2022. https://uva.instructure.com/courses/28488/pages/enunciado-da-avaliacao-1?module_item_id=325199 3 ERROS NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO O desenvolvimento de ferramentas tecnológicas e a popularização da internet fizeram uma verdadeira revolução nos modos como as empresas estruturam e gerenciam as suas atividades de mercado, o que inclui o surgimento bem como a consolidação de mecanismos virtuais de processamento de informações corporativas. Nesse cenário, a segurança de dados passa a ser uma preocupação central no mundo dos negócios, tornando-se a razão para a elaboração de sistemas, dispositivos, políticas e processos que protejam e previnam o roubo, o vazamento ou a perda desses dados. Contudo, muitas organizações ainda falham em evitar e corrigir problemas comuns, e muitas vezes básicos, que podem trazer transtornos e gerar problemas importantes para os negócios. A seguir, estão listados alguns dos erros mais frequentes que podem ser cometidos por uma empresa. Falta de controle de usuários Fazer o controle de acesso a informações é algo que um grande número de empresas ainda negligencia. Contudo, este é um dos graves erros que uma organização pode cometer e que expõe a companhia a riscos consideráveis de quebra de sigilo e invasão. É preciso classificar todos os dados corporativos e compor políticas de controle de acesso que devem ser devidamente documentadas e rigorosamente seguidas. Problemas com senhas Pode parecer óbvio, mas ainda hoje a grande maioria dos usuários de computadores e outros dispositivos e sistemas, seja dentro de companhias ou em suas casas, ainda negligenciam o quão desastroso pode ser usar uma senha fraca ou repeti-la em diversos sites ou plataformas diferentes. Além disso, o famoso lembrete de senha escrito em um pedaço de papel em sua mesa, um post-it colado no seu monitor, ainda são, em plena era digital, um dos maiores motivos para falhas graves de segurança dentro de organizações. 4 Tratar falhas de segurança como problema de TI, não de negócio A falta de uma abordagem holística para a gestão da segurança da informação pode levar a uma visão superficial do problema. Achar que somente o departamento de TI é responsável pela segurança dos dados da companhia é um erro que não se pode mais cometer nos dias atuais. A tecnologia é uma parte da solução, mas a resposta holística requer estratégias, políticas e processos abrangentes. Embora o diretor de TI ou o diretor de segurança da informação seja o executivo responsável, todos na organização, especialmente a diretoria, possuem os dados e têm a responsabilidade de proteger os principais ativos da empresa. Ausência de um plano de contingência Nenhuma organização está imune a falhas, nem mesmo as maiores corporações do planeta. Tão importante quanto a prevenção de riscos é compor um plano de contingência completo que vá ser posto em prática em caso de ruptura na segurança dos dados. Um plano de contingência tem como finalidade estabelecer medidas emergenciais e diretrizes ideais para que as equipes responsáveis e todos os envolvidos na segurança dos dados saibam exatamente como proceder diante das situações que podem surgir. Entender a segurança da informação como gasto e não como investimento Esta é uma cultura que tem sido mudada nos últimos anos, mas ainda hoje existem diversas organizações que não entendem que custos com a segurança de seus dados não são somente meros gastos, e sim um investimento. Sem dúvida, investir em segurança da informação é uma estratégia que impacta diretamente no resultado dos negócios ao evitar perdas financeiras e problemas, muitas vezes irreversíveis, associados à reputação da marca e de seus serviços. No entanto, investir só em tecnologia não basta. É preciso envolver pessoas, parceiros e clientes e ter processos para enfrentar de forma inteligente a estratégia dos cibercriminosos. 5 Não realizar backup Inúmeros gestores e organizações ainda falham em dar a devida importância para a rotina de backup de dados. Com o ritmo acelerado que caracteriza o mundo dos negócios atualmente, frequentemente o backup dos dados é deixado para depois, o que é um enorme erro. Como nem mesmo as maiores empresas ou as empresas mais seguras do mundo estão isentas de sofrerem ataques ou falhas de equipamentos, o mais adequado é que sejam feitas cópias de segurança com periodicidade, para que nada seja perdido ou para que possa ser recuperado em casos de perda. Podemos concluir então, que zelar pela segurança de dados da empresa é um dos principais segredos para que ela seja capaz de alcançar e manter o sucesso almejado. Assim, a proteção das informações corporativas é uma prática que deve ser incorporada à política da companhia e fomentada junto a todos os colaboradores, a fim de criar uma cultura organizacional baseada na prevenção e no cuidado. 6 Referências: TOTVS. 6 erros de segurança da informação que você nunca deve cometer. [S. l.], 23 nov. 2018. Disponível em: https://www.totvs.com/blog/negocios/erros-de- seguranca-da-informacao. Acesso em: 3 jun. 2022. CYBRIANT. 10 common cybersecurity mistakes to avoid for your business. [S. l.], [2020?]. Disponível em: https://cybriant.com/10-common-cybersecurity-mistakes- to-avoid-for-your-business. Acesso em: 3 jun. 2022. STRONG SECURITY. 6 erros em segurança da informação que você não pode cometer. [S. l.], 7 fev. 2018. Disponível em: https://www.strongsecurity.com.br/blog/6-erros-em-seguranca-da-informacao-que- voce-nao-pode-cometer. Acesso em: 3 jun. 2022. https://www.totvs.com/blog/negocios/erros-de-seguranca-da-informacao/ https://www.totvs.com/blog/negocios/erros-de-seguranca-da-informacao/ https://cybriant.com/10-common-cybersecurity-mistakes-to-avoid-for-your-business https://cybriant.com/10-common-cybersecurity-mistakes-to-avoid-for-your-business https://www.strongsecurity.com.br/blog/6-erros-em-seguranca-da-informacao-que-voce-nao-pode-cometer https://www.strongsecurity.com.br/blog/6-erros-em-seguranca-da-informacao-que-voce-nao-pode-cometer