Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE VEIGA DE ALMEIDA GRADUAÇÃO EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS DISCIPLINA: SEGURANÇA E AUDITORIA DE SISTEMAS PROF.: THIAGO ALBERTO RAMOS GABRIEL EDUARDO FERREIRA TRINDADE TRABALHO DA DISCIPLINA (AVA2) SEGURANÇA DE REDE NITERÓI 2022 2 Trabalho da disciplina – AVA 2 (Transcrição do enunciado) Conforme a internet evolui e as redes de computadores se tornam maiores e mais complexas, a segurança da informação e de redes transformam-se em um fator relevante para as empresas considerarem. Afinal, é preciso se proteger criando produtos de software que precisam ser protegidos constantemente contra os ataques de terceiros, e a empresa também. Ao aumentar a segurança de redes, diminuímos a chance de acontecerem roubos de identidade, falsificações e vazamentos, e, se a pirataria é outra de suas preocupações, é apenas com a segurança de redes que podemos evitá-la. A empresa RAZER TEC vem apresentando graves problemas na área da segurança da informação no que tange a processamento de dados, acesso à internet, controle de acesso a arquivos e execução de processos. Para investigar isso, você está sendo contratado como auditor de segurança da informação e deverá fazer uma análise dos possíveis problemas na gestão da TI: processos que não estão sendo executados, pessoas envolvidas nos processos, mecanismos de segurança, tecnologias embarcadas na empresa e a segurança da rede. Você deverá estar atento aos problemas ocorridos dentro da questão da segurança da informação da empresa RAZER TEC. É importante verificar a possibilidade de uma reunião com o diretor de TI, e, na sequência, deverá descrever oito mecanismos importantes para tratar da questão da segurança da informação nessa empresa.1 1 Enunciado da segunda avaliação disponível em: https://uva.instructure.com/courses/28488/pages/enunciado-da-avaliacao-2?module_item_id=325205 acessado em: 23/06/2022. https://uva.instructure.com/courses/28488/pages/enunciado-da-avaliacao-2?module_item_id=325205 3 SEGURANÇA DE REDE A implantação de uma segurança da informação eficaz se inicia com a mudança da filosofia corporativa e da mentalidade de cada um dos colaboradores para que haja consonância de ideias, ações e processos sobre tudo que diz respeito à segurança computacional. É necessário que se estabeleça uma cultura de segurança dentro da empresa e que todos estejam cientes e empenhados em pensar e praticar a segurança como prioridade. Com este conceito compreendido, devemos iniciar o desenvolvimento deste trabalho criando um cronograma de palestras e treinamentos para todos que estão direta e indiretamente envolvidos com a segurança da rede e dos dados da empresa. Essa ação visa capacitar os colaboradores e fazer com que estejam aptos não só a tomar as atitudes corretas para a prevenção de falhas, mas também para que saibam como agir no momento de crise. O mecanismo que é proposto para nortear os processos e as tomadas de decisões é a implantação uma política de segurança completamente nova que fundamentará as ações desta empresa deste momento em diante. Políticas de segurança tem como objetivo definir direitos e deveres que cada um tem em relação à segurança computacional da empresa. É ela que vai estabelecer diretrizes e normas de comportamento e como devem ser tratados os desvios e erros ocorridos. Dentro dessa política de segurança podem, e devem, ser incluídas outras políticas mais específicas que estão atreladas ao conceito de segurança de rede e da informação como uma política de privacidade e uma política de uso aceitável (PUA), por exemplo. A falha no controle de usuários a informações é um erro importante que eleva significativamente o risco de quebra de sigilo e invasão. Visto que a confidencialidade das informações é um dos pilares da segurança da informação, é preciso que criemos um sistema de contas e senhas baseadas em níveis que auxilie no monitoramento e gerenciamento de usuários a fim de restringir o acesso a determinados dados e informações que podem ser vazados ou roubados caso não sejam utilizados de forma correta. 4 Os registros de eventos, ou logs, do sistema operacional são importantes recursos que os sistemas operacionais oferecem e que se adequadamente conhecidos e utilizados, fornecem importante subsídio para segurança, usabilidade, manutenção e correção de problemas. Logs são arquivos de textos nos quais são registradas todas e quaisquer atividades do sistema e tem como primeiro propósito permitir a um administrador, mas também a usuários, saber tudo o que aconteceu em um período específico, seja um problema ou um evento qualquer que mereça controle ou conhecimento. Utilizaremos essa ferramenta como um dos mecanismos de segurança com o objetivo de monitorar e detectar atividades de usuários e programas que podem expor o sistema a vulnerabilidades, erros e falhas. Outro mecanismo de segurança que é fundamental para a proteção, em especial, da infraestrutura de rede da empresa, é a recorrente atualização de equipamentos de hardware e softwares utilizados na rede interna da empresa bem como nos sistemas utilizados por ela. A desatualização das tecnologias de dispositivos, sistemas e programas criam vulnerabilidades e abrem brechas que podem ser exploradas por invasores e malwares. Imaginando um cenário extremo de perda ou roubo dos dados da empresa, ou ainda danificação dos equipamentos que armazenam esses dados, é crucial que tenhamos um sistema robusto e automático de backup que garanta a disponibilidade e a integridade de todos os dados e informações. Precisamos assegurar que os backups sejam realizados frequentemente e estejam sempre atualizados, de forma a prevenir esse tipo cenário que significaria um grave prejuízo para os resultados e a credibilidade da corporação. Criptografia em segurança virtual é a conversão de dados de um formato legível em um formato codificado. Os dados criptografados só podem ser lidos ou processados depois de serem descriptografados. A criptografia é um elemento fundamental da segurança de dados, e é o próximo mecanismo que implantaremos na busca das melhores soluções para os problemas que a Razer vem enfrentando com a questão da segurança. É a forma mais simples e mais importante de garantir que as informações do sistema de um computador não sejam roubadas e lidas por alguém que deseja usá-las para fins maliciosos. 5 A preferência por armazenamento em nuvem é uma solução que foi rapidamente adotada por empresas e organizações que entenderam que esse tipo de sistema oferece altos níveis de confiabilidade e segurança. Existem 3 tipos de estrutura em nuvem: a pública, a privada e a híbrida. A pública é de total responsabilidade do provedor do serviço. A privada é de propriedade da empresa e sua gestão é de responsabilidade da própria organização. Já a nuvem híbrida, por sua vez, combina características de ambos os tipos. A proposta para a Razer é a utilização da uma estrutura híbrida, pois oferece a chance de escolha de quais dados manter sob cuidado próprio e quais podem ser protegidos pelo provedor do serviço. Por fim, mas não menos importante, temos o mecanismo de redundância de sistemas. Este, que tem seu principal foco voltado para a infraestrutura de rede física da empresa, é um mecanismo que visa garantir que se algum equipamento ou servidor entre em falha ou sofra dano, existe outro que imediatamente entra em operação para dar continuidade às atividades. Este tipo de mecanismo é extremamente eficaz e é muito necessário para dar robustez e confiabilidade a toda a rede da empresa. É evidente que existem diversos outros tipos de mecanismos existentes que podem ser utilizados a fim de garantir que o conceito de segurança da informação seja de fatoimplementado da forma correta por uma organização. As ferramentas e mecanismos propostos acima foram pensados para a realidade da Razer Tec com o intuito de suprir as demandas apresentadas pela empresa e corrigir os problemas de segurança que ela vem enfrentando. Todos esses mecanismos devem funcionar em harmonia porque, em certo nível, estão interconectados, e o seu bom funcionamento sem dúvida trará solidez, eficiência e segurança para a corporação. 6 Referências: MELANI, Rafaella. 7 principais mecanismos de segurança da informação. [S. l.]: Unico, 4 mar. 2020. Disponível em: https://unico.io/unicocheck/blog/mecanismos- seguranca-informacao. Acesso em: 23 jun. 2022. FUNDAJ. Mecanismos de segurança. [S. l.]: Ministério da Educação, 21 dez. 2020. Disponível em: https://www.gov.br/fundaj/pt-br/centrais-de-conteudo/noticias-1/7- mecanismos-de-seguranca. Acesso em: 23 jun. 2022. https://unico.io/unicocheck/blog/mecanismos-seguranca-informacao https://unico.io/unicocheck/blog/mecanismos-seguranca-informacao https://www.gov.br/fundaj/pt-br/centrais-de-conteudo/noticias-1/7-mecanismos-de-seguranca https://www.gov.br/fundaj/pt-br/centrais-de-conteudo/noticias-1/7-mecanismos-de-seguranca
Compartilhar