Buscar

A Empresa KYK acabou de passar por uma profunda mudança no que diz respeito a Segurança da Informação. Executou todas as fases de planejamento util...

A Empresa KYK acabou de passar por uma profunda mudança no que diz respeito a Segurança da Informação. Executou todas as fases de planejamento utilizando o Plano Diretor, sob a liderança do Security Office criou os Comitês de Segurança corporativa, os Comitês interdepartamentais, o Plano de continuidade do negócio, a Política de Segurança da Informação e realizou a Análise de Riscos e Vulnerabilidades. Seis meses após implantar todos os processos de segurança, o Security Office solicitou um teste de invasão para avaliar o grau de segurança da empresa. O formato do teste solicitado foi o teste interno, não cego, isto é, o analista que realizou o teste estava dentro da empresa e possuía informações privilegiadas. O Analista utilizou uma ferramenta de dicionário de senha, além de ele trazer uma série de combinações de senhas pré-definidas ainda consegui inserir novas senhas para execução do teste. O teste consistia em realizar testes com todos os usuários existentes no servidor de serviço de diretório utilizando as senhas do dicionário de senhas. O Analista que efetuou o teste conhecia a senha padrão de criação de usuário e a senha que o suporte técnico colocava sempre que era solicitada a troca de senha de rede do usuário. Ao final dos testes, foi identificado que 30% dos usuários utilizavam a senha padrão e nunca a haviam trocado. Essas informações são bem preocupantes, pois, se o analista de testes fosse um invasor, com um teste simples e um pouco de conhecimento o mesmo teria capturado 30% de usuários e senhas de contas de redes e poderia utilizá-las para instalar, por exemplo, um código malicioso que enviasse todas as informações classificadas como confidenciais para um e-mail criminoso, causando um grande prejuízo para a empresa. Considerando o caso apresentado e os conteúdos abordados ao longo da disciplina, quais diretrizes, normas, procedimentos e instruções da Gestão de Segurança apresentaram essas falhas, que, caso não sejam tratadas, podem colocar a imagem e a credibilidade da empresa em risco e quais medidas precisam ser tomadas para o ajuste dessas falhas? SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança da informação: aplicada ao Security Officer. Rio de Janeiro: Elsevier, 2014. NBR ISO/IEC 27002:2013. Tecnologia da informação. Técnicas de segurança. Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas, 2013. 2. KRAUSE M.

Segurança da Informação

FMU

0
Dislike0
0
Dislike0
Reply1
User badge image

Raimundo Ivan Almeida Sa

💡 1 Resposta

User badge image

Ed Verified user icon

Com base no cenário apresentado, algumas diretrizes, normas, procedimentos e instruções da Gestão de Segurança que apresentaram falhas são: 1. Política de Segurança da Informação: A política de segurança da informação não foi efetiva em garantir que os usuários trocassem suas senhas padrão e não as mantivessem por um longo período de tempo. É importante que a política de segurança da informação estabeleça diretrizes claras sobre a criação e troca de senhas, além de incentivar a utilização de senhas fortes e únicas. 2. Plano de Continuidade do Negócio: O plano de continuidade do negócio não contemplou ações para mitigar o risco de invasões por meio de testes internos. É fundamental que o plano de continuidade do negócio inclua medidas de segurança para prevenir e responder a incidentes de segurança, como testes de invasão regulares. 3. Análise de Riscos e Vulnerabilidades: A análise de riscos e vulnerabilidades não identificou adequadamente o risco associado ao uso de senhas padrão e à falta de troca regular de senhas pelos usuários. É necessário que a análise de riscos e vulnerabilidades seja abrangente e considere todos os aspectos relacionados à segurança da informação. Para ajustar essas falhas e garantir a segurança da empresa, algumas medidas que podem ser tomadas são: 1. Reforçar a Política de Segurança da Informação: Atualizar a política de segurança da informação, estabelecendo diretrizes claras sobre a criação e troca de senhas, além de promover a conscientização dos usuários sobre a importância da segurança da informação. 2. Realizar Treinamentos e Conscientização: Promover treinamentos e campanhas de conscientização para os usuários, visando educá-los sobre boas práticas de segurança da informação, como a criação de senhas fortes e a importância de trocá-las regularmente. 3. Implementar Controles de Acesso: Reforçar os controles de acesso, como a exigência de senhas complexas, a implementação de autenticação em dois fatores e a revisão periódica dos privilégios de acesso dos usuários. 4. Realizar Testes de Invasão Regulares: Realizar testes de invasão regulares, tanto internos quanto externos, para identificar vulnerabilidades e falhas de segurança, permitindo que sejam corrigidas antes que sejam exploradas por invasores reais. É importante ressaltar que essas medidas devem ser adaptadas às necessidades e características específicas da empresa, levando em consideração as melhores práticas de segurança da informação e as normas aplicáveis, como a NBR ISO/IEC 27002:2013.

0
Dislike0

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

✏️ Responder

SetasNegritoItálicoSublinhadoTachadoCitaçãoCódigoLista numeradaLista com marcadoresSubscritoSobrescritoDiminuir recuoAumentar recuoCor da fonteCor de fundoAlinhamentoLimparInserir linkImagemFórmula

Para escrever sua resposta aqui, entre ou crie uma conta

User badge image

Outros materiais

Outros materiais