Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Classificação: Pública UNIVERSIDADE VEIGA DE ALMEIDA Aluna: Renata Conceição Scheiner dos Santos Matrícula: 1220104412 SEGURANÇA E AUDITORIA DE SISTEMAS Professor: Rogerio Bailly AVALIAÇÃO 1 TRABALHO DA DISCIPLINA Rio de Janeiro/RJ 2023 2 Classificação: Pública Questão 1 Você está sendo contratado como consultor de segurança da informação. Você deverá fazer um diagnóstico dos possíveis erros de gestão na segurança da informação que uma empresa pode cometer. Relatório de Erros de Gestão na Segurança da Informação Após um levantamento de toda empresa, cheguei as seguintes conclusões: Falta de conscientização e treinamento: Falta investimento em programas de conscientização e treinamento sobre SI, e isso está acarreta funcionários desinformados sobre as práticas adequadas de segurança, aumentando o risco de violações. Má gestão de senhas: Senhas fracas, reutilização de senhas e falta de políticas de senha adequadas são erros comuns identificados na SELF IT , sem contar os acessos não autorizado às contas e sistemas, comprometendo a segurança dos dados. Falta de monitoramento e detecção de ameaças: A falta de sistemas de monitoramento contínuo e detecção de ameaças está gerando uma demora na identificação de atividades suspeitas e ataques em andamento, permitindo que as ameaças persistam e causem danos. Ausência de políticas e procedimentos claros: A falta de políticas e procedimentos bem definidos em relação à segurança da informação, deve ser corrida imediatamente pela Gestão de TI, isso está tornando mais difícil proteger os ativos de informação da empresa. Falta de backup e recuperação de dados adequados: A ausência de uma estratégia robusta de backup e recuperação de dados já está impactando a recuperação de dados, gerando atualmente perdas irreparáveis de informações importantes em caso de falhas técnicas, ataques cibernéticos ou desastres naturais. Acesso privilegiado excessivo: A concessão indiscriminada de privilégios administrativos a muitos usuários pode aumentar o risco de abusos, vazamento de informações confidenciais ou alterações indevidas nos sistemas. Inclusive alguns usuários compartilham senhas com os colegas de trabalho. Isso tudo está ligado a falta de conhecimentos dos funcionários em relação a Lei de proteção de dados. 3 Classificação: Pública Questão 2 Você deverá estar atento aos problemas ocorridos dentro da área de segurança da informação da empresa SELF IT. Importante verificar a possibilidade de uma reunião com o Diretor de TI e na sequência deverá descrever os seis erros mais comuns na gestão da segurança da informação. Melhorias Sugeridas: Falta de conscientização e treinamento: 1. Realizar treinamentos regulares sobre boas práticas de segurança da informação para todos os funcionários. 2. Disponibilizar materiais educativos, como cartilhas e vídeos, para conscientizar os funcionários sobre ameaças e medidas de segurança. 3. Promover uma cultura de segurança, incentivando os funcionários a relatarem incidentes e suspeitas de violações de segurança. Má gestão de senhas: 1. Implementar políticas de senha fortes, exigindo o uso de senhas complexas e a troca regular das mesmas. 2. Incentivar o uso de autenticação em dois fatores para adicionar uma camada extra de segurança. 3. Utilizar soluções de gerenciamento de senhas para armazenar senhas de forma segura e facilitar a sua gestão. Falta de monitoramento e detecção de ameaças: 1. Implementar sistemas de monitoramento de rede e sistemas para identificar atividades suspeitas e ataques em tempo real. 2. Utilizar ferramentas de detecção de intrusões e antivírus atualizados para identificar ameaças conhecidas. 3. Estabelecer processos de resposta a incidentes para lidar rapidamente com qualquer violação de segurança identificada. Ausência de políticas e procedimentos claros: 1. Desenvolver e implementar políticas de segurança da informação abrangentes, abordando aspectos como uso aceitável da tecnologia, classificação de dados e responsabilidades dos funcionários. 4 Classificação: Pública 2. Documentar e comunicar os procedimentos de segurança, como o processo de solicitação de acesso, a gestão de incidentes e a recuperação de desastres. 3. Realizar revisões periódicas das políticas e procedimentos para garantir sua relevância e eficácia contínuas. Falta de backup e recuperação de dados adequados: 1. Implementar um plano de backup regular e automático, garantindo que todos os dados importantes sejam copiados e armazenados em locais seguros. 2. Testar regularmente a recuperação de dados para verificar a eficácia dos backups e a capacidade de restaurar os dados quando necessário. 3. Armazenar cópias de backup em diferentes locais físicos ou utilizar serviços de armazenamento em nuvem confiáveis. Acesso privilegiado excessivo: 1. Realizar uma revisão completa dos privilégios de acesso dos funcionários, removendo privilégios desnecessários ou excessivos. 2. Implementar o princípio do menor privilégio, concedendo aos funcionários apenas os acessos necessários para desempenhar suas funções. 3. Utilizar soluções de gerenciamento de identidade e acesso para facilitar a administração e controle dos direitos de acesso. Como a TI pode deve proceder nessa nova fasede mudanças: Atualização e patching de software: Manter todos os sistemas, aplicativos e dispositivos atualizados com as versões mais recentes e os patches de segurança. Implementar processos automatizados de atualização e patching para garantir que as correções sejam aplicadas de forma oportuna. Políticas e procedimentos de segurança: Desenvolver e implementar políticas claras de segurança da informação que abranjam aspectos como uso aceitável da tecnologia, proteção de dados e responsabilidades dos funcionários. Documentar e comunicar os procedimentos de segurança, como o processo de solicitação de acesso, o manuseio de incidentes e a gestão de mudanças. Realizar treinamentos regulares para garantir que os funcionários estejam cientes das políticas e procedimentos de segurança. Criptografia: Utilizar criptografia para proteger dados confidenciais em trânsito (por exemplo, comunicações via internet) e em repouso (por exemplo, armazenamento de dados). 5 Classificação: Pública Implementar criptografia de disco em dispositivos móveis e laptops para proteger informações sensíveis em caso de perda ou roubo. Gestão de fornecedores e terceiros: Avaliar cuidadosamente a segurança de fornecedores e parceiros de terceiros antes de conceder acesso a sistemas ou compartilhar informações confidenciais. Incluir cláusulas de segurança em contratos e acordos com fornecedores para garantir a conformidade com as políticas de segurança da empresa. Conscientização e treinamento: Realizar treinamentos regulares sobre segurança da informação para todos os funcionários, destacando as principais ameaças e melhores práticas. Fomentar uma cultura de segurança, incentivando os funcionários a relatarem incidentes de segurança e fornecendo canais seguros para denúncias. Conformidade e regulamentações: Conhecer e cumprir as leis e regulamentações relacionadas à segurança da informação aplicáveis à indústria e ao país onde a empresa opera. Realizar auditorias e avaliações de conformidade regularmente para garantir que as políticas e controles de segurança estejam alinhados com os requisitos regulatórios. Como a TI pode ajudar no processo de melhoria da Segurança da Informação A TI deve criar um treinamento de conscientização dos usuários reforçando os seguintes tópicos: Conscientização sobre phishing e engenharia social: 1. Identificar e evitar e-mails de phishing, mensagens de texto e chamadas telefônicas fraudulentas. 2. Verificar a autenticidade de links e anexos antes de clicarou fazer download. 3. Não fornecer informações confidenciais por telefone ou e-mail, a menos que a autenticidade da solicitação seja verificada. Uso seguro de senhas: 1. Criar senhas fortes e exclusivas para cada conta. 2. Evitar o uso de senhas óbvias ou informações pessoais. 3. Utilizar ferramentas de gerenciamento de senhas seguras. 6 Classificação: Pública Atualização e patching de software: 1. Manter o software e os sistemas operacionais atualizados com as versões mais recentes e os patches de segurança. 2. Configurar atualizações automáticas para garantir que as correções de segurança sejam aplicadas de forma oportuna. Utilização segura de dispositivos móveis: 1. Utilizar senhas ou biometria para proteger dispositivos móveis. 2. Ativar recursos de rastreamento e bloqueio remoto para casos de perda ou roubo. 3. Evitar a conexão a redes Wi-Fi públicas não seguras. Uso adequado de dispositivos de armazenamento: 1. Não conectar dispositivos USB desconhecidos ao sistema sem avaliar os riscos de segurança. 2. Evitar o armazenamento de dados confidenciais em dispositivos de armazenamento portáteis, a menos que seja criptografado. Práticas de navegação segura na web: 1. Evitar visitar sites não confiáveis ou suspeitos. 2. Verificar se um site é seguro antes de fornecer informações pessoais ou financeiras. 3. Utilizar extensões de segurança do navegador e bloqueadores de anúncios. Gerenciamento adequado de e-mails e anexos: 1. Não abrir e-mails ou anexos de remetentes desconhecidos ou suspeitos. 2. Verificar a autenticidade dos remetentes antes de responder a e-mails solicitando informações confidenciais ou sensíveis. Proteção de dados confidenciais: 1. Conhecer e seguir as políticas e procedimentos da empresa para proteger informações confidenciais. 2. Evitar a divulgação não autorizada de informações confidenciais por meio de dispositivos de armazenamento externos, e-mails não seguros ou redes não confiáveis. Ao fim do processo de treinamento dos funcionários, a TI deve realizar um teste criando simulações reais para testar os usuários no dia a dia. Assim saberemos quem está ciente e apto com os novos padrões, e quem precisa de nova reciclagem. 7 Classificação: Pública REUNIÃO COM A DIRETORIA Familiarizar a Diretoria com os princípios, requisitos e obrigações estabelecidos pela LGPD. Leia o texto da lei, bem como os documentos de orientação e interpretação disponibilizados pela Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos competentes. Cobra um plano de ação do Gestor de TI , para Identifique os tipos de dados pessoais que sua empresa coleta, armazena e processa, incluindo dados de clientes, funcionários e outros envolvidos. Avalie a finalidade da coleta, a base legal para o processamento e o período de retenção desses dados. É necessário o mapeamento dos dados pessoais, transferidos, armazenados e compartilhados dentro da sua organização e com terceiros. Identifique possíveis riscos à privacidade e segurança dos dados ao longo desse fluxo. Revisar contratos e acordos estabelecidos com terceiros que têm acesso aos dados pessoais da sua empresa. Garanta que esses terceiros também estejam em conformidade com as disposições da LGPD. Desenvolva um plano de resposta a incidentes para lidar com possíveis violações de dados pessoais. Isso inclui a identificação, avaliação, notificação e mitigação de incidentes de segurança e violações de privacidade. Referências: https://www.isaca.org/ https://www.iso.org/isoiec-27001-information-security.html https://www.pcisecuritystandards.org/ https://www.cio.com/ https://www.phishing.org/ https://www.cio.com.br/ https://www.gov.br/anpd/pt-br
Compartilhar