AVA 1 - SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

1 
 
Classificação: Pública 
UNIVERSIDADE VEIGA DE ALMEIDA 
 
Aluna: Renata Conceição Scheiner dos Santos 
Matrícula: 1220104412 
 
 
 
 
 
SEGURANÇA E AUDITORIA DE SISTEMAS 
Professor: Rogerio Bailly 
 
 
 
 
AVALIAÇÃO 1 
TRABALHO DA DISCIPLINA 
 
 
 
Rio de Janeiro/RJ 
2023 
 
 
 
2 
 
Classificação: Pública 
Questão 1 
Você está sendo contratado como consultor de segurança da informação. Você 
deverá fazer um diagnóstico dos possíveis erros de gestão na segurança da 
informação que uma empresa pode cometer. 
 
Relatório de Erros de Gestão na Segurança da Informação 
Após um levantamento de toda empresa, cheguei as seguintes conclusões: 
Falta de conscientização e treinamento: Falta investimento em programas de 
conscientização e treinamento sobre SI, e isso está acarreta funcionários desinformados 
sobre as práticas adequadas de segurança, aumentando o risco de violações. 
Má gestão de senhas: Senhas fracas, reutilização de senhas e falta de políticas de 
senha adequadas são erros comuns identificados na SELF IT , sem contar os acessos 
não autorizado às contas e sistemas, comprometendo a segurança dos dados. 
Falta de monitoramento e detecção de ameaças: A falta de sistemas de monitoramento 
contínuo e detecção de ameaças está gerando uma demora na identificação de atividades 
suspeitas e ataques em andamento, permitindo que as ameaças persistam e causem 
danos. 
Ausência de políticas e procedimentos claros: A falta de políticas e procedimentos 
bem definidos em relação à segurança da informação, deve ser corrida imediatamente 
pela Gestão de TI, isso está tornando mais difícil proteger os ativos de informação da 
empresa. 
Falta de backup e recuperação de dados adequados: A ausência de uma estratégia 
robusta de backup e recuperação de dados já está impactando a recuperação de dados, 
gerando atualmente perdas irreparáveis de informações importantes em caso de falhas 
técnicas, ataques cibernéticos ou desastres naturais. 
Acesso privilegiado excessivo: A concessão indiscriminada de privilégios 
administrativos a muitos usuários pode aumentar o risco de abusos, vazamento de 
informações confidenciais ou alterações indevidas nos sistemas. Inclusive alguns usuários 
compartilham senhas com os colegas de trabalho. Isso tudo está ligado a falta de 
conhecimentos dos funcionários em relação a Lei de proteção de dados. 
 
 
 
 
 
3 
 
Classificação: Pública 
Questão 2 
Você deverá estar atento aos problemas ocorridos dentro da área de segurança da 
informação da empresa SELF IT. Importante verificar a possibilidade de uma 
reunião com o Diretor de TI e na sequência deverá descrever os seis erros mais 
comuns na gestão da segurança da informação. 
Melhorias Sugeridas: 
Falta de conscientização e treinamento: 
 
1. Realizar treinamentos regulares sobre boas práticas de segurança da informação 
para todos os funcionários. 
2. Disponibilizar materiais educativos, como cartilhas e vídeos, para conscientizar os 
funcionários sobre ameaças e medidas de segurança. 
3. Promover uma cultura de segurança, incentivando os funcionários a relatarem 
incidentes e suspeitas de violações de segurança. 
Má gestão de senhas: 
 
1. Implementar políticas de senha fortes, exigindo o uso de senhas complexas e a 
troca regular das mesmas. 
2. Incentivar o uso de autenticação em dois fatores para adicionar uma camada extra 
de segurança. 
3. Utilizar soluções de gerenciamento de senhas para armazenar senhas de forma 
segura e facilitar a sua gestão. 
Falta de monitoramento e detecção de ameaças: 
 
1. Implementar sistemas de monitoramento de rede e sistemas para identificar 
atividades suspeitas e ataques em tempo real. 
2. Utilizar ferramentas de detecção de intrusões e antivírus atualizados para 
identificar ameaças conhecidas. 
3. Estabelecer processos de resposta a incidentes para lidar rapidamente com 
qualquer violação de segurança identificada. 
Ausência de políticas e procedimentos claros: 
 
1. Desenvolver e implementar políticas de segurança da informação abrangentes, 
abordando aspectos como uso aceitável da tecnologia, classificação de dados e 
responsabilidades dos funcionários. 
 
4 
 
Classificação: Pública 
2. Documentar e comunicar os procedimentos de segurança, como o processo de 
solicitação de acesso, a gestão de incidentes e a recuperação de desastres. 
3. Realizar revisões periódicas das políticas e procedimentos para garantir sua 
relevância e eficácia contínuas. 
Falta de backup e recuperação de dados adequados: 
1. Implementar um plano de backup regular e automático, garantindo que todos os 
dados importantes sejam copiados e armazenados em locais seguros. 
2. Testar regularmente a recuperação de dados para verificar a eficácia dos backups 
e a capacidade de restaurar os dados quando necessário. 
3. Armazenar cópias de backup em diferentes locais físicos ou utilizar serviços de 
armazenamento em nuvem confiáveis. 
Acesso privilegiado excessivo: 
1. Realizar uma revisão completa dos privilégios de acesso dos funcionários, 
removendo privilégios desnecessários ou excessivos. 
2. Implementar o princípio do menor privilégio, concedendo aos funcionários apenas 
os acessos necessários para desempenhar suas funções. 
3. Utilizar soluções de gerenciamento de identidade e acesso para facilitar a 
administração e controle dos direitos de acesso. 
Como a TI pode deve proceder nessa nova fasede mudanças: 
Atualização e patching de software: 
Manter todos os sistemas, aplicativos e dispositivos atualizados com as versões 
mais recentes e os patches de segurança. 
Implementar processos automatizados de atualização e patching para garantir que as 
correções sejam aplicadas de forma oportuna. 
Políticas e procedimentos de segurança: 
Desenvolver e implementar políticas claras de segurança da informação que 
abranjam aspectos como uso aceitável da tecnologia, proteção de dados e 
responsabilidades dos funcionários. 
Documentar e comunicar os procedimentos de segurança, como o processo de 
solicitação de acesso, o manuseio de incidentes e a gestão de mudanças. 
Realizar treinamentos regulares para garantir que os funcionários estejam cientes das 
políticas e procedimentos de segurança. 
Criptografia: 
Utilizar criptografia para proteger dados confidenciais em trânsito (por exemplo, 
comunicações via internet) e em repouso (por exemplo, armazenamento de dados). 
 
5 
 
Classificação: Pública 
Implementar criptografia de disco em dispositivos móveis e laptops para proteger 
informações sensíveis em caso de perda ou roubo. 
Gestão de fornecedores e terceiros: 
Avaliar cuidadosamente a segurança de fornecedores e parceiros de terceiros 
antes de conceder acesso a sistemas ou compartilhar informações confidenciais. 
Incluir cláusulas de segurança em contratos e acordos com fornecedores para garantir a 
conformidade com as políticas de segurança da empresa. 
Conscientização e treinamento: 
Realizar treinamentos regulares sobre segurança da informação para todos os 
funcionários, destacando as principais ameaças e melhores práticas. 
Fomentar uma cultura de segurança, incentivando os funcionários a relatarem incidentes 
de segurança e fornecendo canais seguros para denúncias. 
Conformidade e regulamentações: 
Conhecer e cumprir as leis e regulamentações relacionadas à segurança da 
informação aplicáveis à indústria e ao país onde a empresa opera. 
Realizar auditorias e avaliações de conformidade regularmente para garantir que as 
políticas e controles de segurança estejam alinhados com os requisitos regulatórios. 
 
Como a TI pode ajudar no processo de melhoria da Segurança da Informação 
A TI deve criar um treinamento de conscientização dos usuários reforçando os 
seguintes tópicos: 
Conscientização sobre phishing e engenharia social: 
1. Identificar e evitar e-mails de phishing, mensagens de texto e chamadas telefônicas 
fraudulentas. 
2. Verificar a autenticidade de links e anexos antes de clicarou fazer download. 
3. Não fornecer informações confidenciais por telefone ou e-mail, a menos que a 
autenticidade da solicitação seja verificada. 
Uso seguro de senhas: 
1. Criar senhas fortes e exclusivas para cada conta. 
2. Evitar o uso de senhas óbvias ou informações pessoais. 
3. Utilizar ferramentas de gerenciamento de senhas seguras. 
 
 
6 
 
Classificação: Pública 
Atualização e patching de software: 
1. Manter o software e os sistemas operacionais atualizados com as versões mais 
recentes e os patches de segurança. 
2. Configurar atualizações automáticas para garantir que as correções de segurança 
sejam aplicadas de forma oportuna. 
Utilização segura de dispositivos móveis: 
1. Utilizar senhas ou biometria para proteger dispositivos móveis. 
2. Ativar recursos de rastreamento e bloqueio remoto para casos de perda ou roubo. 
3. Evitar a conexão a redes Wi-Fi públicas não seguras. 
Uso adequado de dispositivos de armazenamento: 
1. Não conectar dispositivos USB desconhecidos ao sistema sem avaliar os riscos de 
segurança. 
2. Evitar o armazenamento de dados confidenciais em dispositivos de 
armazenamento portáteis, a menos que seja criptografado. 
Práticas de navegação segura na web: 
1. Evitar visitar sites não confiáveis ou suspeitos. 
2. Verificar se um site é seguro antes de fornecer informações pessoais ou 
financeiras. 
3. Utilizar extensões de segurança do navegador e bloqueadores de anúncios. 
Gerenciamento adequado de e-mails e anexos: 
1. Não abrir e-mails ou anexos de remetentes desconhecidos ou suspeitos. 
2. Verificar a autenticidade dos remetentes antes de responder a e-mails solicitando 
informações confidenciais ou sensíveis. 
Proteção de dados confidenciais: 
1. Conhecer e seguir as políticas e procedimentos da empresa para proteger 
informações confidenciais. 
2. Evitar a divulgação não autorizada de informações confidenciais por meio de 
dispositivos de armazenamento externos, e-mails não seguros ou redes não 
confiáveis. 
Ao fim do processo de treinamento dos funcionários, a TI deve realizar um teste 
criando simulações reais para testar os usuários no dia a dia. Assim saberemos quem 
está ciente e apto com os novos padrões, e quem precisa de nova reciclagem. 
 
 
 
7 
 
Classificação: Pública 
 
REUNIÃO COM A DIRETORIA 
 
Familiarizar a Diretoria com os princípios, requisitos e obrigações estabelecidos pela 
LGPD. Leia o texto da lei, bem como os documentos de orientação e interpretação 
disponibilizados pela Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos 
competentes. 
Cobra um plano de ação do Gestor de TI , para Identifique os tipos de dados pessoais 
que sua empresa coleta, armazena e processa, incluindo dados de clientes, funcionários 
e outros envolvidos. Avalie a finalidade da coleta, a base legal para o processamento e o 
período de retenção desses dados. 
É necessário o mapeamento dos dados pessoais, transferidos, armazenados e 
compartilhados dentro da sua organização e com terceiros. Identifique possíveis riscos à 
privacidade e segurança dos dados ao longo desse fluxo. 
Revisar contratos e acordos estabelecidos com terceiros que têm acesso aos dados 
pessoais da sua empresa. Garanta que esses terceiros também estejam em 
conformidade com as disposições da LGPD. 
Desenvolva um plano de resposta a incidentes para lidar com possíveis violações de 
dados pessoais. Isso inclui a identificação, avaliação, notificação e mitigação de 
incidentes de segurança e violações de privacidade. 
 
Referências: 
https://www.isaca.org/ 
https://www.iso.org/isoiec-27001-information-security.html 
https://www.pcisecuritystandards.org/ 
https://www.cio.com/ 
https://www.phishing.org/ 
https://www.cio.com.br/ 
https://www.gov.br/anpd/pt-br