Segurança e Auditoria de Sistemas (IL10317) - AVA2

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA
CURSO SUPERIOR
Superior de Tecnologia em Análise e Desenvolvimento de Sistemas
Segurança e Auditoria de Sistemas (IL10317)
AVALIAÇÃO 2
ALEXANDRE SANTIGO
20221313362
RIO DE JANEIRO – RJ
JUNHO/2023
Segurança de rede
Conforme a internet evolui e as redes de computadores se tornam maiores e mais complexas, a segurança da informação e de redes transformam-se em um fator relevante para as empresas considerarem. Afinal, é preciso se proteger criando produtos de software que precisam ser protegidos constantemente contra os ataques de terceiros, e a empresa também.
Ao aumentar a segurança de redes, diminuímos a chance de acontecerem roubos de identidade, falsificações e vazamentos, e, se a pirataria é outra de suas preocupações, é apenas com a segurança de redes que podemos evitá-la.
A empresa RAZER TEC vem apresentando graves problemas na área da segurança da informação no que tange a processamento de dados, acesso à internet, controle de acesso a arquivos e execução de processos. Para investigar isso, você está sendo contratado como auditor de segurança da informação e deverá fazer uma análise dos possíveis problemas na gestão da TI: processos que não estão sendo executados, pessoas envolvidas nos processos, mecanismos de segurança, tecnologias embarcadas na empresa e a segurança da rede.
Resposta
Como auditor de segurança da informação, após analisar os problemas na gestão da TI da empresa RAZER TEC foram identificados os mecanismos abaixo descriminados:
1. POLÍTICA DE SEGURANÇA
Cria uma política de segurança que estabeleçam diretrizes claras para proteção da informação e que seja comunicada e seguida por todos os funcionários. Os termos devem incluir as políticas e o uso de senhas, o uso aceitável da rede, o acesso a informações confidenciais, entre outras, conforme modelo sugerido no ANEXO I.
2. CONTROLE DE ACESSO
Avaliar os mecanismos de controle de acesso à rede e aos sistemas da empresa. Fazer o uso de senhas complexas e autenticação em duas etapas ou autenticação biométrica. Apenas os funcionários autorizados devem ter acesso às informações e sistemas relevantes.
Realizar a segregação das redes, criando segmentos de rede separados e isolados para isolar o acesso a sistemas críticos.
3. CONTROLE DO CICLO DE VIDA DOS SOFTWARES
Criar um processo efetivo para aplicação de atualizações de segurança e patches em todos os sistemas e softwares utilizados. A falta de atualizações coloca a empresa em situação vulnerável a ataques conhecidos e exploráveis. O uso de ferramentas como o Microsoft WSUS (Windows Server Update Services), e o SCCM (System Center Configuration Manager), também da Microsoft, são indicados para esta finalidade.
4. MONITORAMENTO
Criar mecanismos de monitoramento contínuo da rede e dos sistemas. Isso inclui a detecção de intrusões, análise de logs, monitoramento de tráfego de rede e detecção de atividades suspeitas. Ter um sistema de monitoramento adequado pode ajudar a identificar ataques em tempo real. O uso de ferramentas como Zabbix (solução de monitoramento que oferece monitoramento avançado de redes, servidores, aplicativos e serviços) ou o Microsoft System Center Operations Manager (SCOM) - Solução de monitoramento da Microsoft que permite monitorar sistemas, aplicativos e serviços em ambientes Windows – são indicados para esta finalidade
5. CRIPTOGRAFIA DA INFORMAÇÃO
Utilização de criptografia para proteger dados sensíveis durante a transmissão e o armazenamento. Isso inclui o uso de protocolos seguros (como HTTPS, através de certificados) para comunicações pela internet e a criptografia de arquivos e bancos de dados. Uso de ferramentas de criptografia de discos, como o BitLocker ou VeraCrypt são indicados, além do uso de certificados emitidos por Autoridades Certificadoras confiáveis.
6. POLÍTICA DE BACKUPS E CONTROLE DE DANOS
Criação de uma política rígida de backups dos dados importantes, com procedimentos adequados para realizá-los de forma regular, com planos de recuperação em caso de incidentes, como ataques cibernéticos, desastres naturais ou falhas de hardware. Testes de recuperação devem ser realizados periodicamente.
7. POLÍTICA DE CONSCIENTIZAÇÃO 
Realizar investimentos na conscientização e treinamento dos funcionários em relação à segurança da informação. Os colaboradores deverão ser educados sobre práticas seguras, como identificação de phishing, uso adequado de senhas e cuidados com dispositivos móveis. 
8. TESTE DE SEGURANÇA
Realização de testes de segurança regulares, como testes de penetração e avaliações de vulnerabilidade. Esses testes ajudam a identificar falhas de segurança e áreas de melhoria na infraestrutura e nos aplicativos utilizados pela empresa. O uso das ferramentas abaixo, são indicados para esta finalidade:
Metasploit (framework de teste de penetração que fornece um conjunto de ferramentas e exploits para testar a segurança de sistemas e redes, identificando vulnerabilidades)
Burp Suite (suíte de ferramentas de testes de segurança e vulnerabilidades de aplicativos web realizando ataques de injeção, análise de segurança, etc.) ou 
O Nessus (ferramenta de scanner de vulnerabilidades de rede)
ANEXO I
Política de Segurança da Informação da Empresa RAZER TEC
Objetivo:
A política de segurança da informação da Empresa RAZER TEC visa proteger as informações confidenciais, garantir a integridade dos sistemas e promover práticas de segurança eficazes. Ela estabelece diretrizes e responsabilidades para todos os funcionários, contratados e partes envolvidas.
Uso de Senhas:
2.1. Os funcionários devem utilizar senhas exclusivas e fortes para acesso a sistemas, dispositivos e contas. As senhas devem conter uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais, e devem ser atualizadas regularmente.
2.2. As senhas não devem ser compartilhadas com terceiros e não devem ser armazenadas em locais físicos ou digitais de fácil acesso.
Acesso a Informações Confidenciais:
3.1. O acesso a informações confidenciais está restrito aos funcionários autorizados que precisam dessas informações para realizar suas atividades profissionais.
3.2. Os funcionários devem proteger as informações confidenciais contra acesso não autorizado, mantendo-as em locais seguros e utilizando as medidas de segurança apropriadas, como criptografia e controle de acesso.
3.3. É proibido copiar, reproduzir ou divulgar informações confidenciais sem autorização expressa.
Responsabilidade dos Funcionários:
4.1. Todos os funcionários são responsáveis por manter a segurança da informação e relatar quaisquer incidentes de segurança ou suspeitas de violação.
4.2. Os funcionários devem seguir as políticas e práticas de segurança estabelecidas, participar de treinamentos de conscientização e estar cientes das ameaças e melhores práticas de segurança.
4.3. Os funcionários devem relatar imediatamente qualquer perda, furto ou divulgação não autorizada de informações confidenciais à equipe responsável pela segurança da informação.
Uso Adequado dos Recursos:
5.1. Os recursos de tecnologia da informação, como computadores, dispositivos móveis e sistemas, devem ser utilizados apenas para fins comerciais legítimos.
5.2. Os funcionários devem evitar o acesso a sites não relacionados ao trabalho, a instalação de softwares não autorizados e o compartilhamento de informações confidenciais por meio de canais não seguros.
Conscientização e Treinamento:
6.1. A empresa fornecerá treinamentos periódicos sobre segurança da informação, abordando temas como proteção de senhas, identificação de ameaças, práticas seguras de uso de dispositivos e conscientização sobre phishing.
6.2. Os funcionários são encorajados a relatar quaisquer preocupações ou possíveis violações de segurança à equipe de TI ou ao responsável pela segurança da informação.
Consequências do Não Cumprimento:
7.1. O não cumprimento das políticas de segurança da informação pode resultar em medidas disciplinares, incluindo advertências, suspensões ou rescisõescontratuais, dependendo da gravidade da violação.
7.2. Caso ocorra uma violação de segurança, a empresa realizará uma investigação interna para identificar as causas e implementar medidas corretivas apropriadas.
Essa política de segurança da informação é apenas um exemplo e pode ser adaptada às necessidades e ao contexto específico da Empresa RAZER TEC. É fundamental que a política seja comunicada a todos os funcionários, revisada periodicamente e esteja alinhada com as melhores práticas de segurança da informação e as regulamentações aplicáveis.
Bibliografia
Magalhães, Edilberto - Gestão da Segurança da Informação - Brasport, 2016
Torres, Gabriel - Segurança da Informação: Como se proteger no mundo digital - Axcel Books, 2017
Barbosa, Alexandre F. - Segurança da Informação: Uma Abordagem Gerencial - Campus Elsevier, Ano: 2015
Villarinho, André L. - Gestão de Segurança da Informação: Como implantar, monitorar e manter um SGSI segundo a ISO 27001 – Brasport, 2017
Villarinho , André - Segurança da Informação: Uma visão executiva – Novatec, 2011
Windows Server Update Services (WSUS)
https://learn.microsoft.com/pt-br/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus
Microsoft System Center Configuration Manager (SCCM)
https://finalverse.com.br/o-que-e-sccm-system-center-configuration-manager-significado-funcionamento-e-beneficios/#:~:text=que%20é%20SCCM%3F-,O%20Microsoft%20System%20Center%20Configuration%20Manager%20(SCCM)%20é%20uma%20solução,integrado%20ao%20pacote%20Endpoint%20Manager.
Zabbix
https://www.zabbix.com/br/manuals
Microsoft System Center Operations Manager (SCOM)
https://learn.microsoft.com/pt-br/services-hub/health/getting-started-scom
BitLocker
https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/
VeraCrypt
https://www.veracrypt.fr/en/Home.html
Metasploit 
https://www.metasploit.com
Burp Suite
https://portswigger.net/burp/communitydownload
Nessus 
https://www.tenable.com/products/nessus