SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

RIO DE JANEIRO, 18 DE MAIO DE 2020
Aluno: Cristovão Das Virgens Soraes
Faculdade: Universidade Veiga de Almeida
Curso: Análise e Desenvolvimento De Sistemas
Matéria: SEGURANÇA E AUDITORIA DE SISTEMAS
 Gestão e Segurança da Informação. !!!
Cinco etapas para promover a segurança cibernética entre a TI e o conselho.
1. Eleve a segurança de TI ao nível do conselho.
Comece internamente com uma apresentação da equipe de TI ou do CIO (diretor de Tecnologia da Informação), que descreva as medidas de segurança que estão implantadas, as políticas e os procedimentos associados e exemplos de ataques reais que ocorreram em seus sistemas. (Grandes ataques não devem ser novidade, mas você pode se surpreender com os ataques constantes e a crescente sofisticação.) Traga consultores externos para avaliar o conselho de administração. Esses especialistas podem orientá-lo por meio de uma análise da política de segurança cibernética.
2. Mude a mentalidade de segurança. 
Não se trata se um ataque será bem-sucedido, mas quando ocorrerá. A resposta é tão importante quanto a prevenção. A metáfora da segurança cibernética como um fosso ao redor do castelo é frequentemente usada; se os bárbaros violassem o fosso, tudo estaria perdido. Mas esse não é mais o caso. Um intruso digital não é o fim do mundo quando controles podem identificar uma violação em curso e deter os efeitos colaterais adversos. Se você confirmar que nenhum dado de cliente foi afetado e que o dano foi limitado em decorrência de uma cuidadosa preparação, a sua empresa estará em boa situação, pois foi honesta sobre o que estava acontecendo, além de estar bem preparada para minimizar os danos.
3. Siga os protocolos pós-ataque corretamente. 
Parte dessa preparação que acabamos de mencionar é planejar com antecedência como será a resposta. Quem vai falar com a imprensa? E com os stakeholders? E com os acionistas? O que eles dirão? Essas decisões devem ser tomadas no nível do conselho, comunicadas e ensaiadas para que todos saibam o que fazer quando ocorrer um desastre.
4. A segurança começa em casa.
 Os ataques mais bem-sucedidos são causados por falha interna. A vice-presidente executiva que esquece o smartphone no restaurante. O administrador que deixa cair um cartão de memória repleto de números de cartão de crédito ou de informações de contas de cliente identificáveis. O gerente da loja que abre um e-mail espontaneamente. O conselho precisa conduzir uma mudança de cultura a esse respeito e desenvolver processos e procedimentos que passem a mensagem de que a segurança cibernética consiste em uma prioridade. Já considerou começar por você mesmo? Que exemplo o conselho e a equipe de liderança estão estabelecendo para o restante da organização?
5. Defina a alocação de recursos de forma adequada. 
O orçamento de TI, como alocado hoje, não cobrirá as melhorias necessárias em termos de pessoal, estratégia e planejamento tático, nem com a implantação de equipamentos. O conselho não apenas deve tornar a segurança uma prioridade organizacional, mas prepará-la de forma adequada.
6 erros em gestão e segurança da informação que você não pode cometer.
Segurança da informação
Com a evolução da tecnologia, as empresas estão cada vez mais dependentes dos sistemas e, com isso, ficam expostas às suas vulnerabilidades. Desse cenário, vem a importância de determinar políticas específicas para manter a proteção dos dados da empresa e dos clientes.
A segurança da informação é uma área estratégica da TI que lida diretamente com a melhoria contínua dos softwares, hardwares e peopleware para evitar que informações sejam perdidas ou roubadas.
1. Falta de investimento em segurança.
O primeiro ponto a ser mencionado é o principal responsável por uma série de prejuízos nas empresas: a falta de investimentos na área de segurança da informação. Esse fato justifica-se pela falta de conhecimento da real necessidade de proteção contra ameaças e das consequências de um evento que prejudique os processos.
Quanto mais a tecnologia evolui, novas formas de ataques e novos vírus são criados, demandando um maior investimento em diferentes ferramentas de proteção por parte das empresas.
2. Não ter controle sobre as alterações do sistema.
Com as constantes inovações e o próprio caráter dinâmico das empresas modernas, é natural que haja alterações constantes no sistema de TI. Porém, é fundamental que tais mudanças sejam devidamente registradas para impedir erros por falta de documentação suficiente ou de notificação aos outros funcionários. Toda mudança ocorrida no âmbito interno deve ser gravada e repassada, principalmente aquelas relacionadas ao desligamento ou remanejamento de um funcionário. Isso deve ser registrado, arquivado, notificado e, se for o caso, apagado para garantir a segurança e a produtividade da empresa — alterações não documentadas no sistema podem afetar a proteção dos dados, causando erros críticos e vulnerabilidades.
3. Inexistência de política de segurança.
Outro ponto falho em algumas empresas é a falta de uma política de segurança bem-definida que oriente os colaboradores sobre as atitudes permitidas ou não em relação aos níveis de acesso aos dados da companhia.
A implementação de uma política de segurança facilita a disseminação da responsabilidade da proteção dos dados sobre todos os envolvidos no processo, uma vez que o prejuízo decorrente de ataques lesa a empresa e, por consequência, também os colaboradores.
4. Falha na rotina de backup.
A rotina de backup é muito importante para a segurança. No entanto, muitos gestores só percebem tal importância quando esbarram na necessidade de realizar um restore de banco de dados e, aí, já pode ser tarde demais.
Implementar uma rotina de backup eficiente pode salvar as operações de sua empresa no caso de algum desastre natural que destrua os servidores ou ataques de ramsonware, por exemplo, que sequestrem seus dados.
5. Dispensa da parceria com especialistas.
Contratar colaboradores especialistas em segurança da informação pode significar um alto custo, principalmente em pequenas empresas que não contam com grandes orçamentos para o setor de TI.
Por isso, nesses casos, contar com uma parceria, terceirizando a segurança da informação, pode ser a melhor opção. A empresa parceira conta com know-how de ferramentas e técnicas de proteção de dados que podem auxiliar na demanda de seu negócio.
6. Desconsiderar a auditoria de segurança da TI.
É preciso que o sistema de TI desenvolva a sua própria auditoria de segurança mais específica, chamada de gerenciamento de risco. Recomenda-se aplicar essa prática uma vez por ano, porém, investir em uma auditoria de segurança regular é fundamental, buscando definir questões sobre a responsabilidade individual, mudanças ocorridas e consequências das atividades (veja em nosso post como sobreviver a uma auditoria de TI).
REFERÊNCIAS: https://diligent.com/pt-br/blog/cinco-etapas-para-promover-seguranca-cibernetica-entre-ti-e-o-conselho/
 https://www.strongsecurity.com.br/blog/6-erros-em-seguranca-da-informacao-que-voce-nao-pode-cometer/
https://gdsolutions.com.br/seguranca-da-informacao/6-erros-de-gestao-de-seguranca-da-informacao-que-sua-equipe-de-ti-nao-deve-cometer/
https://gdsolutions.com.br/seguranca-da-informacao/mudancas-no-sistema-colocam-a-empresa-em-risco
https://gdsolutions.com.br/auditoria-de-ti/como-sobreviver-a-uma-auditoria-de-seguranca-de-t-i
RIO DE JANEIRO, 18 DE MAIO DE 2020