AVA 2- Seguranção e Auditoria de Sistemas

Prévia do material em texto

1 
 
Classificação: Pública 
UNIVERSIDADE VEIGA DE ALMEIDA 
 
Aluna: Renata Conceição Scheiner dos Santos 
Matrícula: 1220104412 
 
 
 
 
 
SEGURANÇA E AUDITORIA DE SISTEMAS 
Professor: Rogerio Bailly 
 
 
 
AVALIAÇÃO 2 
TRABALHO DA DISCIPLINA 
 
 
 
Rio de Janeiro/RJ 
2023 
 
 
 
 
2 
 
Classificação: Pública 
Auditor "Como auditor de segurança da informação, minha tarefa será analisar os 
possíveis problemas na gestão de TI da empresa RAZER TEC, especialmente 
relacionados ao processamento de dados, acesso à internet, controle de acesso a 
arquivos e execução de processos. Para realizar essa análise, vou considerar vários 
aspectos, incluindo processos, pessoas envolvidas, mecanismos de segurança, 
tecnologias utilizadas e a segurança da rede." 
 
Processos não executados: 
Vou examinar os processos de segurança da informação existentes na RAZER TEC e 
identificar se estão sendo adequadamente implementados. Avaliarei a existência de 
políticas de segurança, procedimentos de gerenciamento de vulnerabilidades, processos 
de monitoramento e detecção de intrusões, processos de backup e recuperação de 
dados, entre outros. 
 
Pessoas envolvidas nos processos: 
Analisarei as responsabilidades atribuídas às pessoas envolvidas nos processos de 
segurança da informação. Verificarei se há treinamentos adequados em segurança da 
informação, conscientização sobre boas práticas de segurança, segregação de funções, e 
se há uma equipe dedicada à segurança da informação. 
 
Mecanismos de segurança: 
Revisarei os mecanismos de segurança existentes, como sistemas de prevenção de 
intrusões (IPS), sistemas de detecção de intrusões (IDS), firewalls, antivírus, entre outros. 
Analisarei se esses mecanismos estão atualizados, configurados corretamente e se estão 
sendo monitorados de forma eficiente. 
 
Tecnologias embarcadas na empresa: 
Investigarei as tecnologias utilizadas pela RAZER TEC, como servidores, sistemas 
operacionais, softwares, aplicativos de terceiros, dispositivos de rede, entre outros. Irei 
verificar se estão atualizados com as últimas correções de segurança, se são 
configurados de forma segura e se existem vulnerabilidades conhecidas. 
 
 
 
 
3 
 
Classificação: Pública 
Segurança da rede: 
Avaliarei a infraestrutura de rede da empresa, incluindo a segmentação de rede, 
políticas de acesso à rede, autenticação, criptografia, controle de tráfego, monitoramento 
de tráfego e detecção de anomalias. Identificarei possíveis pontos fracos na segurança da 
rede que possam estar contribuindo para os problemas enfrentados. 
 
 Auditor : Com base nessas análises, poderei fornecer uma avaliação abrangente 
dos possíveis problemas na gestão da TI da RAZER TEC. Isso incluirá recomendações 
específicas para melhorar a segurança da informação, mitigar riscos e fortalecer a postura 
de segurança da empresa. 
 
Após as informações levantadas, em reunião com a diretoria de TI vou citar os 8 
pilares para boas práticas de segurança de informação da empresa: 
 
Políticas de segurança da informação: Implementar políticas claras e abrangentes 
que definam as diretrizes de segurança da informação, incluindo acesso a dados, uso 
adequado de sistemas, senhas e responsabilidades dos funcionários. 
 
Gestão de acesso e controle de privilégios: Estabelecer um sistema de controle de 
acesso que limite o acesso somente aos recursos e dados necessários para cada função. 
Isso inclui a implementação de autenticação forte, gerenciamento de senhas, revisões 
periódicas de acesso e restrição de privilégios administrativos. 
 
Monitoramento e detecção de ameaças: Implementar soluções de monitoramento 
de segurança que permitam a detecção precoce de atividades suspeitas, como sistemas 
de detecção de intrusões (IDS), sistemas de prevenção de intrusões (IPS), monitoramento 
de logs de eventos e análise de tráfego de rede. 
 
Gerenciamento de vulnerabilidades: Estabelecer um processo de gerenciamento 
proativo de vulnerabilidades, que inclua a aplicação regular de patches de segurança, a 
avaliação de riscos, testes de penetração e a implementação de soluções de segurança 
adequadas. 
 
 
4 
 
Classificação: Pública 
Conscientização e treinamento em segurança da informação: Realizar 
treinamentos regulares para conscientizar os funcionários sobre as melhores práticas de 
segurança da informação, como identificação de phishing, uso seguro de senhas, 
manipulação de dados confidenciais e reconhecimento de ameaças potenciais. 
 
Backup e recuperação de dados: Implementar um plano de backup e recuperação 
de dados eficaz, garantindo que os dados críticos sejam regularmente copiados e 
armazenados em local seguro. Os procedimentos de recuperação devem ser testados 
periodicamente para garantir sua eficácia. 
 
Criptografia de dados: Utilizar criptografia para proteger dados confidenciais em 
trânsito e em repouso. Isso pode incluir o uso de protocolos seguros (como SSL/TLS) 
para comunicações online e a criptografia de discos rígidos e dispositivos de 
armazenamento. 
 
Monitoramento contínuo e resposta a incidentes: Estabelecer um processo de 
monitoramento contínuo de segurança, com alertas configurados para atividades 
suspeitas. Além disso, implementar um plano de resposta a incidentes para lidar 
rapidamente com violações de segurança, minimizando seu impacto. 
 
 
Referências: 
https://blog.qualinut.com.br/boas-praticas/tipos-de-auditoria-1a-2a-e-3a-partes/ 
https://www.iso.org/isoiec-27001-information-security.html 
https://www.pcisecuritystandards.org/ 
https://www.gov.br/anpd/pt-br