AVA 1 segurança e auditoria

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA
SUPERIOR DE TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS
SEGURANÇA E AUDITORIA DE SISTEMAS 
ISADORA DAINEZI FERREIRA MARINS
RIO DE JANEIRO – RJ
2023 
	Erros na gestão da segurança da informação.
	Com o crescimento da globalização e o advento da tecnologia da informação nas empresas, passamos a estar em uma época em que a informação vale ouro. A empresa deve assegurar ao máximo a segurança de seus dados. Se a organização não proceder dessa forma, corre sérios riscos de comprometer suas atividades e até mesmo sua existência: os erros de gestão de segurança da informação podem sim levar à falência.
	A empresa SELF IT tem apresentado graves problemas na área de TI, no que tange a segurança das informações. Pensando nisso, você está sendo contratado como consultor de segurança da informação. Você deverá fazer um diagnóstico dos possíveis erros de gestão na segurança da informação que uma empresa pode cometer.
	Você deverá estar atento aos problemas ocorridos dentro da área de segurança da informação da empresa SELF IT. Importante verificar a possibilidade de uma reunião com o Diretor de TI e na sequência deverá descrever os seis erros mais comuns na gestão da segurança da informação.
A importância da segurança da informação para os negócios
A segurança da informação é um conjunto de medidas destinadas a proteger os dados da empresa e dos usuários, principalmente os dados mais sensíveis. Em resumo, seu principal objetivo é protegê-los de invasões e outros atos maliciosos que ponham em risco a integridade, o valor e a confidencialidade desses materiais
Considerar os gastos com segurança como despesas desnecessárias:
É um erro grave pensar que os gastos com segurança não são necessários. A proteção de funcionários, clientes, patrimônio e assessoria da empresa é essencial. A empresa pode enfrentar vários problemas se não fornecer segurança adequada, como: roubo e furto de produtos e bens; ataques cibernéticos; acidentes de trabalho; negligência judicial; perda de clientes e danos à confiança da empresa. Além disso, empresas que violam os procedimentos de segurança podem ser punidas e suas operações podem ser interrompidas ou suspensas. Como resultado, as empresas devem priorizar a segurança e instituir medidas de proteção adequadas. Investir em TI é uma forma de evitar prejuízos financeiros iminentes, que podem ser muito maiores do que os gastos necessários para instalar um sistema de segurança adequado para proteger e proteger seus dados. 
Privilegiar o acesso de alguns funcionários em excesso: 
 Existem vários problemas de segurança e privacidade que podem surgir se uma empresa permitir que muitos funcionários tenham acesso excessivo aos sistemas de informação. Algumas dessas dificuldades incluem: Falhas na proteção de dados efetivas: a probabilidade de fugas de dados efetivados aumenta quando um grande número de funcionários pode acessar os sistemas de informação. Aumento do risco de ataques internos: dar aos funcionários muito acesso aos sistemas de informações pode abrir caminho para ataques internos.
Dificuldade em atribuir responsabilidades: se vários funcionários tiverem o mesmo acesso aos sistemas de informação, pode ser difícil determinar quem é o responsável pelos erros ou ações específicas. 
 Maior custo e dificuldade de gerenciamento: quanto mais funcionários tiveram acesso aos sistemas de informação, maior será o custo e a complexidade de gerenciá-los e manter a segurança dos dados. 
Eficiência menor: o excesso de acesso aos sistemas de informação pode causar distrações e complicações contínuas, produtividade da empresa. 
Uma boa política combinada com uma solução de segurança especializada deve limitar e definir o acesso dos usuários a dados específicos. Um dos principais métodos de defesa é usar senhas. Outra maneira de proteger a privacidade dos dados é limitar as entradas no sistema conforme às funções de cada funcionário. Em outras palavras, cada funcionário só poderá acessar os dados relacionados ao seu setor de trabalho. É necessário ter muita cautela com ameaças externas; isso inclui aumentar a segurança ao transmitir dados corporativos na rede e verificar continuamente se há vírus e software mal-intencionado.
Não ter controle sobre as alterações do sistema:
O problema de não ter controle sobre as mudanças no sistema da empresa é que pode causar instabilidade, falhas e vulnerabilidades que interferem na produtividade e segurança da empresa. As alterações que não são gerenciadas podem afetar a disponibilidade do sistema e a continuidade das operações. Além disso, problemas no sistema podem ser difíceis de detectar e resolver sem controle adequado, o que aumenta o tempo necessário para resolver problemas e os custos associados. É comum que os sistemas de TI permanecem constantemente alterados devido às constantes inovações e à natureza dinâmica das empresas modernas. Por outro lado, é essencial que essas mudanças sejam registradas corretamente para evitar erros por falta de documentos suficientes ou notificação aos outros funcionários. Todas as alterações que ocorrem no nível interno devem ser registradas e transmitidas, especialmente aquelas relacionadas ao desligamento ou remanejamento de um funcionário. É necessário registrar, arquivar, notificar e, se for o caso, apagar isso para garantir a segurança e a produtividade da empresa. Alterações não documentadas no sistema podem causar erros críticos e vulnerabilidades.
Falhar na conscientização dos funcionários:
A falta de cooperação entre os funcionários de uma empresa é um dos erros mais comuns na gestão da segurança da informação. Isso pode colocar em risco a confidencialidade, integridade e disponibilidade das informações sensíveis da empresa, como dados financeiros, informações pessoais dos clientes e propriedade intelectual. Além disso, a falta de conscientização pode resultar em erros humanos, como clicar em links mal-intencionados, compartilhar senhas ou dispositivos de armazenamento de dados com pessoas não autorizadas, o que pode levar a violações de segurança. Portanto, é fundamental que os funcionários entendam a importância da segurança da informação e sejam treinados para seguir as políticas e procedimentos de segurança da empresa. Todos devem concordar com o sistema de segurança e trabalhar de acordo com ele para garantir que o controle da TI seja eficaz. Se todos entenderem que usar senhas é necessário para acessar informações seguras, eles ajudam a proteger dados sigilosos que são essenciais para o crescimento da empresa e a segurança do trabalho.
Não acompanhar a evolução dos sistemas de segurança:
Parte superior do formulário
Parte inferior do formulário
Não acompanhar a evolução dos sistemas de segurança da empresa pode resultar em vulnerabilidades e brechas de segurança que permitem que hackers e cibecriminosos acessem informações confidenciais, como dados de clientes e dados financeiros. Isso pode levar a perda de dinheiro, reputação e confiança dos clientes, além de possíveis litígios legais. Além disso, o cumprimento de regulamentações e legislações de segurança pode ser comprometido, resultando em possíveis multas e sanções legais. Portanto, é importante estar atualizado e implementar as últimas tecnologias e práticas de segurança para garantir a proteção da empresa e de seus clientes. 
Desconsiderar a auditoria de segurança da TI:
Desconsiderar a auditoria de segurança da TI em uma empresa pode levar a uma série de problemas significativos. Aqui estão algumas das principais consequências de nãorealizar uma auditoria de segurança da TI:
Vulnerabilidades não identificadas: A auditoria de segurança da TI é essencial para identificar e avaliar vulnerabilidades nos sistemas e na infraestrutura da empresa. Ao ignorar a auditoria, a empresa corre o risco de não identificar falhas de segurança, deixando sua rede e sistemas expostos a possíveis ataques. 
Exposição a ameaças de segurança: A falta de auditoria de segurança da TI significa que a empresa não está monitorando adequadamente as atividades suspeitas, como tentativas de invasão, malware ou acesso não autorizado. Isso aumenta a probabilidade de a empresa ser vítima de ataques cibernéticos, roubo de dados ou interrupção dos serviços.
 Incapacidade de estar em conformidade com regulamentações: Muitos setores têm regulamentações específicas de segurança da informação que as empresas devem seguir. Sem a auditoria de segurança da TI, é difícil garantir que a empresa esteja em conformidade com essas regulamentações, o que pode resultar em multas, sanções legais ou perda de reputação. 
Falta de detecção precoce de incidentes: A auditoria de segurança da TI desempenha um papel fundamental na detecção precoce de incidentes de segurança, permitindo uma resposta rápida e eficaz. Sem a auditoria, a empresa pode não ser capaz de identificar prontamente incidentes de segurança, resultando em danos maiores e custos mais elevados para mitigar os impactos. 
Prejuízo à reputação da empresa: A exposição a ameaças de segurança e a violações de dados podem causar danos significativos à reputação da empresa. A falta de uma auditoria de segurança adequada pode levar à perda de confiança dos clientes, parceiros comerciais e investidores, afetando negativamente os negócios a longo prazo. Em resumo, a falta de uma auditoria de segurança da TI coloca a empresa em risco de ataques cibernéticos, violações de dados, não conformidade com regulamentações e danos à reputação. É essencial realizar auditorias regulares para identificar e mitigar vulnerabilidades de segurança e garantir a proteção dos ativos de informação da empresa.
Fonte:https://globaldata.com.br/6-erros-de-gestao-de-seguranca-da-informacao- que-sua-equipe-de-ti-nao-deve-cometer/ 
2