Atividade Supervisionada 2015 2

Prévia do material em texto

UNICARIOCA
SEGURANÇA DA INFORMAÇÃO 2015.2
ATIVIDADE SUPERVISIONADA – INSTRUÇÕES
Proposta da atividade:
Você é o CIO em uma empresa. Seguindo uma das diretrizes da empresa, que é a adoção de práticas de segurança da informação, você iniciou um processo de identificação de riscos à segurança da informação e proposição de medidas de controle. 
Como ponto de partida, você pediu a seus colaboradores para relacionarem elementos que eles considerem vulneráveis e, a partir desses dados, deverá elaborar um relatório que será entregue à Diretoria.
Abaixo está a relação consolidada de elementos vulneráveis identificados pelos colaboradores, porém sem detalhamento ou explicações:
Existem 16 estações de trabalho com Windows XP e outras 2 com Windows 98.
Existem 5 estações de trabalho sem ferramenta antivírus instalada por insistência de seus usuários.
É prática comum o compartilhamento de arquivos por meio de mapeamento de disco nas estações de trabalho, geralmente com acesso livre a todos.
Algumas impressoras, de uso coletivo, se encontram em área de acesso público.
As fragmentadoras de papeis dos segundo e terceiro andares não funcionam.
Durante uma forte chuva recente foi verificada infiltração no telhado e entrada de água no shaft do cabeamento vertical, com acúmulo em alguns Wiring Closets (salas com equipamentos de interconexão, como switches).
Após um defeito no nobreak do terceiro andar, os computadores daquele piso estão conectados diretamente à rede elétrica da concessionária. São comuns as reclamações de picos e quedas de energia.
O sistema de gestão de serviços e atendimentos está hospedado em um servidor subdimensionado. Rotineiramente o banco de dados precisa ser reiniciado para que o sistema retome sua operação normal.
Após uma variação no fornecimento de energia elétrica, o ar-condicionado da sala de servidores pode desligar, sendo necessária intervenção manual. 
O site corporativo, na intranet, concentra quase toda a documentação e contratos da empresa. O acesso a ele requer o uso de senhas, que devem ser digitadas diversas vezes ao longo da navegação, o que gerou o descontentamento dos usuários. Porém, alguém descobriu, e ‘espalhou’ a informação, de que o site pode ser acessado com o login ‘admin’ (senha ‘123’), que só precisa ser digitado uma vez e fornece acesso irrestrito a todos os documentos armazenados. 
Recentemente os servidores que hospedam o site da empresa sofreram um ataque do tipo DDoS. O site possui serviços de e-commerce, newsletter e aplicações, de maneira que além de prejudicar os usuários, gerou prejuízos à corporação.
Critérios de Avaliação:
Utilize como base as normas ABNT NBR ISO/IEC 27001 e 27002 para:
FAZER UM LEVANTAMENTO CONSIDERANDO AS VULNERABILIDADES, AMEAÇAS E RISCOS, E INCLUA UMA PREVISÃO DE IMPACTOS, PARA CADA UM DOS ITENS ACIMA.
DETALHAR OS COMPONENTES DA SEGURANÇA DE INFORMAÇÃO EM RISCO E SUGIRA DE MEDIDAS DE CONTROLE ADEQUADAS, LEVANDO-SE EM CONTA O CUSTO-BENEFÍCIO ENVOLVIDO. 
IDENTIFICAR RISCOS RESIDUAIS, INDIQUE-OS E ESCLARECENDO O PORQUÊ DAS TOLERÂNCIAS, SE HOUVEREM.
Você deverá elaborar um RELATÓRIO TÉCNICO (e não acadêmico) que será entregue aos seus superiores, portanto: 
Cuidado com a formatação e atenção às explicações. 
Pesquise na internet quando precisar de mais informações e SEMPRE JUSTIFIQUE suas decisões.
Não se esqueça de inserir no final do relatório todas as REFERÊNCIAS UTILIZADAS, como livros, sites, bem como as normas técnicas.
	LEMBRE-SE: este relatório deve ser capaz de convencer os gestores a investir nas suas soluções, portanto, capriche na argumentação.
Entrega do trabalho e avaliação:
Grupos: ATÉ 4 (quatro) alunos por grupo. Todos os nomes (completos) deverão estar na capa do trabalho, e cada grupo deverá entregar apenas uma cópia do trabalho.
Entrega: impreterivelmente até o dia 01/11/2015, pelo AVA através de link específico. Não será aceito o envio por e-mail ou outros meios. O prazo se encerra às 23hs e 55mins (vale a hora indicada no AVA). 
Formato do arquivo: PDF ou DOC(X). 
Avaliação: O trabalho deverá atender aos critérios exigidos para avaliação. Também serão avaliadas a organização e clareza do trabalho.
Nota: O trabalho terá nota máxima de 4 (quatro) pontos. 
Na capa do trabalho devem estar indicados os nomes e sobrenomes de todos os membros do grupo. Os alunos que não estiverem relacionados na capa do trabalho receberão grau zero. Apenas um dos alunos deve entregar o trabalho do grupo.
Trabalhos com o nome de 5 ou mais alunos serão recusados e será atribuído grau zero aos membros do grupo.
Trabalhos invalidados mediante: plágio, cópia de trabalhos, conteúdo do arquivo em branco, incoerência total com os critérios de avaliação, Wikipédia usada como fonte bibliográfica.
O trabalho é uma oportunidade para que o aluno descubra novos assuntos através da pesquisa e exercite o desenvolvimento de ideias, a leitura e a escrita.
Não deixe para fazer “em cima da hora”.
BOA ATIVIDADE SUPERVISIONADA A TODOS!