Prévia do material em texto
1 Classificação: Pública UNIVERSIDADE VEIGA DE ALMEIDA Aluna: Renata Conceição Scheiner dos Santos Matrícula: 1220104412 SEGURANÇA E AUDITORIA DE SISTEMAS Professor: Rogerio Bailly AVALIAÇÃO 2 TRABALHO DA DISCIPLINA Rio de Janeiro/RJ 2023 2 Classificação: Pública Auditor "Como auditor de segurança da informação, minha tarefa será analisar os possíveis problemas na gestão de TI da empresa RAZER TEC, especialmente relacionados ao processamento de dados, acesso à internet, controle de acesso a arquivos e execução de processos. Para realizar essa análise, vou considerar vários aspectos, incluindo processos, pessoas envolvidas, mecanismos de segurança, tecnologias utilizadas e a segurança da rede." Processos não executados: Vou examinar os processos de segurança da informação existentes na RAZER TEC e identificar se estão sendo adequadamente implementados. Avaliarei a existência de políticas de segurança, procedimentos de gerenciamento de vulnerabilidades, processos de monitoramento e detecção de intrusões, processos de backup e recuperação de dados, entre outros. Pessoas envolvidas nos processos: Analisarei as responsabilidades atribuídas às pessoas envolvidas nos processos de segurança da informação. Verificarei se há treinamentos adequados em segurança da informação, conscientização sobre boas práticas de segurança, segregação de funções, e se há uma equipe dedicada à segurança da informação. Mecanismos de segurança: Revisarei os mecanismos de segurança existentes, como sistemas de prevenção de intrusões (IPS), sistemas de detecção de intrusões (IDS), firewalls, antivírus, entre outros. Analisarei se esses mecanismos estão atualizados, configurados corretamente e se estão sendo monitorados de forma eficiente. Tecnologias embarcadas na empresa: Investigarei as tecnologias utilizadas pela RAZER TEC, como servidores, sistemas operacionais, softwares, aplicativos de terceiros, dispositivos de rede, entre outros. Irei verificar se estão atualizados com as últimas correções de segurança, se são configurados de forma segura e se existem vulnerabilidades conhecidas. 3 Classificação: Pública Segurança da rede: Avaliarei a infraestrutura de rede da empresa, incluindo a segmentação de rede, políticas de acesso à rede, autenticação, criptografia, controle de tráfego, monitoramento de tráfego e detecção de anomalias. Identificarei possíveis pontos fracos na segurança da rede que possam estar contribuindo para os problemas enfrentados. Auditor : Com base nessas análises, poderei fornecer uma avaliação abrangente dos possíveis problemas na gestão da TI da RAZER TEC. Isso incluirá recomendações específicas para melhorar a segurança da informação, mitigar riscos e fortalecer a postura de segurança da empresa. Após as informações levantadas, em reunião com a diretoria de TI vou citar os 8 pilares para boas práticas de segurança de informação da empresa: Políticas de segurança da informação: Implementar políticas claras e abrangentes que definam as diretrizes de segurança da informação, incluindo acesso a dados, uso adequado de sistemas, senhas e responsabilidades dos funcionários. Gestão de acesso e controle de privilégios: Estabelecer um sistema de controle de acesso que limite o acesso somente aos recursos e dados necessários para cada função. Isso inclui a implementação de autenticação forte, gerenciamento de senhas, revisões periódicas de acesso e restrição de privilégios administrativos. Monitoramento e detecção de ameaças: Implementar soluções de monitoramento de segurança que permitam a detecção precoce de atividades suspeitas, como sistemas de detecção de intrusões (IDS), sistemas de prevenção de intrusões (IPS), monitoramento de logs de eventos e análise de tráfego de rede. Gerenciamento de vulnerabilidades: Estabelecer um processo de gerenciamento proativo de vulnerabilidades, que inclua a aplicação regular de patches de segurança, a avaliação de riscos, testes de penetração e a implementação de soluções de segurança adequadas. 4 Classificação: Pública Conscientização e treinamento em segurança da informação: Realizar treinamentos regulares para conscientizar os funcionários sobre as melhores práticas de segurança da informação, como identificação de phishing, uso seguro de senhas, manipulação de dados confidenciais e reconhecimento de ameaças potenciais. Backup e recuperação de dados: Implementar um plano de backup e recuperação de dados eficaz, garantindo que os dados críticos sejam regularmente copiados e armazenados em local seguro. Os procedimentos de recuperação devem ser testados periodicamente para garantir sua eficácia. Criptografia de dados: Utilizar criptografia para proteger dados confidenciais em trânsito e em repouso. Isso pode incluir o uso de protocolos seguros (como SSL/TLS) para comunicações online e a criptografia de discos rígidos e dispositivos de armazenamento. Monitoramento contínuo e resposta a incidentes: Estabelecer um processo de monitoramento contínuo de segurança, com alertas configurados para atividades suspeitas. Além disso, implementar um plano de resposta a incidentes para lidar rapidamente com violações de segurança, minimizando seu impacto. Referências: https://blog.qualinut.com.br/boas-praticas/tipos-de-auditoria-1a-2a-e-3a-partes/ https://www.iso.org/isoiec-27001-information-security.html https://www.pcisecuritystandards.org/ https://www.gov.br/anpd/pt-br