1. O documento apresenta um relatório de auditoria de segurança realizado pela empresa CSC Auditoria na empresa R&L Extintores Ltda.
2. A auditoria analisou a segurança tecnológica, organizacional e física da empresa, identificando riscos e falhas, e fornecendo recomendações de melhoria.
3. Entre as recomendações estão a implantação de um plano de ação emergencial, regularização da instalação elétrica e instalação de cabeado estruturado.
Here is a three sentence summary of the document:
[SUMMARY] This document discusses information security management and preservation as it relates to internal and external communications in healthcare organizations. It highlights that investment in information security is a management challenge rather than a technical issue, and that safer systems are not necessarily slower or more expensive. The study aims to provide a structured view of major IT governance standards and tools in healthcare.
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Este documento fornece uma lista de verificação para auditoria interna do sistema de gestão da qualidade de acordo com a ISO 9001. Ele avalia os requisitos gerais e de documentação, além da responsabilidade da direção. O objetivo é garantir que os processos certificados estejam identificados e operando eficazmente e que haja documentação, monitoramento e comprometimento da liderança com a qualidade.
boas-praticas-iii.pdf
Segurança de redes na internet e dados. regulamanto /Lei da proteção de dados. Segurança Nacional.
Cibersegurança e proteção de redes
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Mini política de Segurança da Informação - Análise de RiscosAnderson Zardo
Este documento apresenta uma análise de riscos e uma mini-política de segurança da informação para uma empresa. Ele descreve dez riscos principais como níveis de privilégio elevados, softwares não homologados e demandas de infraestrutura sem envolvimento da área de TI. Além disso, fornece diretrizes para classificar informações e proteger a integridade, disponibilidade e confidencialidade dos dados. O objetivo é conscientizar os usuários sobre boas práticas de segurança e riscos potenciais.
Você sabe o que é que faz o Técnico Superior de Segurança?
O Técnico Superior de Segurança no Trabalho visa desenvolver competências para a planificação, desenvolvimento, coordenação e controlo do sistema de segurança e higiene, que serve de suporte às atividades de proteção contra riscos profissionais e doenças profissionais.
É uma boa aposta para aqueles que possuem formação superior e visam a integração no mercado de trabalho, progressão na carreira ou até uma reconversão profissional.
Aumente as Suas Oportunidades de Trabalho!
Este documento estabelece uma Política de Segurança da Informação (PSI) para uma organização fictícia, definindo diretrizes e procedimentos para proteger os dados e ativos de informação da organização. A PSI abrange questões de segurança física, lógica, de telecomunicações e continuidade dos negócios. Ela descreve os riscos a serem mitigados, ameaças a serem tratadas, controles mínimos necessários e regulamentações aplicáveis.
Here is a three sentence summary of the document:
[SUMMARY] This document discusses information security management and preservation as it relates to internal and external communications in healthcare organizations. It highlights that investment in information security is a management challenge rather than a technical issue, and that safer systems are not necessarily slower or more expensive. The study aims to provide a structured view of major IT governance standards and tools in healthcare.
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Este documento fornece uma lista de verificação para auditoria interna do sistema de gestão da qualidade de acordo com a ISO 9001. Ele avalia os requisitos gerais e de documentação, além da responsabilidade da direção. O objetivo é garantir que os processos certificados estejam identificados e operando eficazmente e que haja documentação, monitoramento e comprometimento da liderança com a qualidade.
boas-praticas-iii.pdf
Segurança de redes na internet e dados. regulamanto /Lei da proteção de dados. Segurança Nacional.
Cibersegurança e proteção de redes
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Mini política de Segurança da Informação - Análise de RiscosAnderson Zardo
Este documento apresenta uma análise de riscos e uma mini-política de segurança da informação para uma empresa. Ele descreve dez riscos principais como níveis de privilégio elevados, softwares não homologados e demandas de infraestrutura sem envolvimento da área de TI. Além disso, fornece diretrizes para classificar informações e proteger a integridade, disponibilidade e confidencialidade dos dados. O objetivo é conscientizar os usuários sobre boas práticas de segurança e riscos potenciais.
Você sabe o que é que faz o Técnico Superior de Segurança?
O Técnico Superior de Segurança no Trabalho visa desenvolver competências para a planificação, desenvolvimento, coordenação e controlo do sistema de segurança e higiene, que serve de suporte às atividades de proteção contra riscos profissionais e doenças profissionais.
É uma boa aposta para aqueles que possuem formação superior e visam a integração no mercado de trabalho, progressão na carreira ou até uma reconversão profissional.
Aumente as Suas Oportunidades de Trabalho!
Este documento estabelece uma Política de Segurança da Informação (PSI) para uma organização fictícia, definindo diretrizes e procedimentos para proteger os dados e ativos de informação da organização. A PSI abrange questões de segurança física, lógica, de telecomunicações e continuidade dos negócios. Ela descreve os riscos a serem mitigados, ameaças a serem tratadas, controles mínimos necessários e regulamentações aplicáveis.
Este documento fornece diretrizes sobre as boas práticas de segurança a serem implementadas pelas organizações para cumprir com o Regulamento Geral de Proteção de Dados (RGPD). Inclui deveres e responsabilidades das organizações no que diz respeito à proteção de dados pessoais, respeito pelos direitos dos titulares de dados, e desenvolvimento de uma estratégia de segurança para o tratamento de dados pessoais. Também discute a classificação, priorização e monitorização de dados, potenciais ameaças, e vulnerabilidades dos ativos de
O documento discute testes de invasão em redes corporativas, abordando conceitos como segurança da informação, tipos de ataques, ferramentas e técnicas para teste de invasão, como varreduras de rede, levantamento de informações e exploração de vulnerabilidades.
O documento discute testes de invasão em redes corporativas, abordando conceitos como segurança da informação, tipos de ataques, ferramentas e técnicas para realizar pentests. É dividido em 14 capítulos que cobrem tópicos como introdução à segurança, levantamento de informações, varreduras de rede, enumeração de serviços, exploração de vulnerabilidades e negação de serviço.
Estudo da segurança da informação da empresa Ocult contabilidadeGledson Scotti
Trabalho de conclusão de curso de segurança de informação e visa a analise e consultaria de uma empresa de contabilidade de nome fictício, porém com dados reais.
Este documento descreve o desenvolvimento de um protótipo de software para controlar as manutenções preventivas de uma empresa. O objetivo é melhorar o controle sobre os equipamentos e automatizar tarefas como relatórios de manutenção, materiais utilizados, tipo de manutenção, ocorrências e gastos, permitindo a criação de um cronograma anual de manutenção preventiva. O documento apresenta os fundamentos teóricos sobre manutenção, análise dos processos da empresa e as funcionalidades do protótipo.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
O documento discute a vulnerabilidade humana como o elo mais fraco da segurança da informação nas empresas. Ele propõe a criação de um plano de conscientização para alertar as empresas sobre esse risco, orientando-as a proteger suas informações valiosas. O objetivo é desenvolver uma política de segurança clara e conscientizar funcionários e gestores sobre os riscos da engenharia social.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
Trabalho de conclusão de curso- Vulnerabilidade humana - recomendação para conscientização do aspecto humano como elo mais fraco da segurança da informação nas empresas.
1. O documento discute mecanismos de controle de ameaças para preservar a disponibilidade, confidencialidade, integridade e autenticidade da informação, como controle de acesso, detecção de intrusos, criptografia e assinatura digital.
2. A norma ISO/IEC 27000 fornece um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação com base na gestão de riscos.
3. Um sistema de gestão de segurança da informação permite satisfazer
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
O documento descreve seminários de revisão para a certificação CISSP oferecida pelo (ISC)2. Os seminários cobrem os dez domínios do CBK do CISSP e fornecem uma revisão abrangente dos principais tópicos de segurança da informação. Apenas seminários oficiais ministrados por instrutores autorizados pelo (ISC)2 garantem a mais alta qualidade de educação.
Este documento apresenta um curso básico de segurança da informação dividido em 4 módulos. O primeiro módulo introduz conceitos fundamentais de segurança da informação, incluindo os princípios de integridade, confidencialidade e disponibilidade da informação. Também discute a evolução histórica da segurança da informação e lições aprendidas. Os demais módulos cobrem tópicos como ativos, ameaças, vulnerabilidades, riscos e medidas de segurança. O objetivo geral é capacitar profissionais nos conceitos e boas pr
Este documento apresenta um curso básico de segurança da informação dividido em 4 módulos. O primeiro módulo introduz conceitos fundamentais de segurança da informação, incluindo os princípios de integridade, confidencialidade e disponibilidade da informação. Também discute a evolução histórica da segurança da informação e lições aprendidas. Os demais módulos abordam ativos, ameaças e vulnerabilidades, riscos e medidas de segurança, respectivamente. O objetivo geral é capacitar profissionais nos conceitos e boas prá
52566307 apostila-gestao-de-seguranca-da-informacaoFernanda Santiago
Este documento discute os pilares e conceitos da segurança da informação, incluindo confidencialidade, integridade e disponibilidade. Também aborda a divisão da segurança em segurança física e lógica, e gestão da segurança, incluindo a criação de uma política de segurança e normas.
Este documento trata de um trabalho de conclusão de curso sobre proteção e recomendações para o problema do armazenamento criptográfico inseguro. O trabalho aborda questões como vulnerabilidades em códigos de aplicações web, sistemas de aplicações inseguros e como proteger armazenamentos de informações.
Este documento fornece diretrizes sobre políticas e procedimentos para garantir a segurança das redes e sistemas de informação de acordo com o RGPD, incluindo: 1) a definição de políticas de segurança claras e responsabilidades individuais; 2) procedimentos para a gestão de contas de utilizadores e perfis de acesso; 3) diretrizes sobre autenticação e bloqueio de contas. O objetivo é garantir que apenas utilizadores autorizados possam aceder aos dados pessoais e que as atividades sejam monitorizadas e auditadas.
Este documento discute os riscos físicos, químicos e biológicos no ambiente de trabalho, além de programas de saúde e segurança do trabalhador. Resumidamente:
1. Apresenta os principais riscos físicos como ruído, temperatura, vibração e radiação, além dos limites de tolerância para exposição a ruído.
2. Discorre sobre riscos químicos e classificação de substâncias, além de medidas de controle como equipamentos de proteção.
3. Aborda ris
Política de segurança da informação diretrizes geraisAdriano Lima
Este documento apresenta a Política de Segurança da Informação da Agência Estadual de Tecnologia da Informação (ATI) do estado de Pernambuco. Ele define as atribuições e responsabilidades do Comitê Gestor de Segurança, da Presidência da ATI, da Diretoria Executiva de Tecnologia da Informação e Comunicação e da Unidade de Segurança da Informação no que se refere à segurança da informação. Além disso, estabelece diretrizes gerais sobre gestão de segurança da informação, gestão de riscos, plano
A Computação Forense foi criada com o propósito de suprir as necessidades legais do mundo cibernético no que se refere a manipulação das novas formas de evidências eletrônicas. É uma ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em um tipo específico de mídia computacional.
O objetivo desta monografia é mostrar que incidentes de segurança ocorrem com bastante frequência, e a computação forense, a arte e ciência de coletar e analisar evidências digitais, reconstruir dados e ataques, rastrear invasores, como um todo, está se tornando cada vez mais importante, na medida em que, profissionais de tecnologia da informação e os órgãos policiais e judiciários se defrontam com uma verdadeira epidemia de crimes cibernéticos. Este trabalho detalha o processo da computação forense sobre incidentes de segurança, destacando também os fundamentos e princípios básicos que são necessários para avaliar os riscos, nos ambientes computacionais dentro das organizações atuais, com foco na importância da implantação de políticas de segurança, informações em potencial que servem como subsídio para minimização de incidentes de segurança computacional. O conteúdo nesta monografia, foca no tratamento de respostas a estes incidentes em como agir e se reportar nestas situações.
Organizações que definem e implementam políticas de segurança, muitas vezes desconhecem a forma de como devem se reportar em caso de detecção de um incidente, e acabam focando mais nas questões técnicas, deixando de lado propósitos relevantes, como os que serão abordados neste trabalho.
Como responder perante um acontecimento que coloca em risco informações importantes, dados sigilosos, reputação e credibilidade? Como fazer com que a resposta inicial atenda tanto o lado da organização quanto ao vinculo dela com a sociedade ou até mesmo com seus clientes? Este trabalho mostra conceitos que levam a esta visão e ajudam nos processos internos das organizações para que sejam implementada e implantada uma política de segurança clara e bem definida.
A Computação Forense foi criada com o propósito de suprir as necessidades legais do mundo cibernético no que se refere a manipulação das novas formas de evidências eletrônicas. É uma ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em um tipo específico de mídia computacional.
O objetivo desta monografia é mostrar que incidentes de segurança ocorrem com bastante frequência, e a computação forense, a arte e ciência de coletar e analisar evidências digitais, reconstruir dados e ataques, rastrear invasores, como um todo, está se tornando cada vez mais importante, na medida em que, profissionais de tecnologia da informação e os órgãos policiais e judiciários se defrontam com uma verdadeira epidemia de crimes cibernéticos. Este trabalho detalha o processo da computação forense sobre incidentes de segurança, destacando também os fundamentos e princípios básicos que são necessários para avaliar os riscos, nos ambientes computacionais dentro das organizações atuais, com foco na importância da implantação de políticas de segurança, informações em potencial que servem como subsídio para minimização de incidentes de segurança computacional. O conteúdo nesta monografia, foca no tratamento de respostas a estes incidentes em como agir e se reportar nestas situações.
Organizações que definem e implementam políticas de segurança, muitas vezes desconhecem a forma de como devem se reportar em caso de detecção de um incidente, e acabam focando mais nas questões técnicas, deixando de lado propósitos relevantes, como os que serão abordados neste trabalho.
Como responder perante um acontecimento que coloca em risco informações importantes, dados sigilosos, reputação e credibilidade? Como fazer com que a resposta inicial atenda tanto o lado da organização quanto ao vinculo dela com a sociedade ou até mesmo com seus clientes? Este trabalho mostra conceitos que levam a esta visão e ajudam nos processos internos das organizações para que sejam implementada e implantada uma política de segurança clara e bem definida.
Apostila auditoria e segurança de sistemasCapitu Tel
O documento discute conceitos de auditoria e segurança da informação. Apresenta definições de auditoria, auditor, objetivos, âmbito e áreas de auditoria. Também descreve mecanismos e ferramentas de segurança como criptografia, firewalls e protocolos seguros. Discorre sobre a importância da segurança da informação para empresas e sociedade.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Este documento fornece diretrizes sobre as boas práticas de segurança a serem implementadas pelas organizações para cumprir com o Regulamento Geral de Proteção de Dados (RGPD). Inclui deveres e responsabilidades das organizações no que diz respeito à proteção de dados pessoais, respeito pelos direitos dos titulares de dados, e desenvolvimento de uma estratégia de segurança para o tratamento de dados pessoais. Também discute a classificação, priorização e monitorização de dados, potenciais ameaças, e vulnerabilidades dos ativos de
O documento discute testes de invasão em redes corporativas, abordando conceitos como segurança da informação, tipos de ataques, ferramentas e técnicas para teste de invasão, como varreduras de rede, levantamento de informações e exploração de vulnerabilidades.
O documento discute testes de invasão em redes corporativas, abordando conceitos como segurança da informação, tipos de ataques, ferramentas e técnicas para realizar pentests. É dividido em 14 capítulos que cobrem tópicos como introdução à segurança, levantamento de informações, varreduras de rede, enumeração de serviços, exploração de vulnerabilidades e negação de serviço.
Estudo da segurança da informação da empresa Ocult contabilidadeGledson Scotti
Trabalho de conclusão de curso de segurança de informação e visa a analise e consultaria de uma empresa de contabilidade de nome fictício, porém com dados reais.
Este documento descreve o desenvolvimento de um protótipo de software para controlar as manutenções preventivas de uma empresa. O objetivo é melhorar o controle sobre os equipamentos e automatizar tarefas como relatórios de manutenção, materiais utilizados, tipo de manutenção, ocorrências e gastos, permitindo a criação de um cronograma anual de manutenção preventiva. O documento apresenta os fundamentos teóricos sobre manutenção, análise dos processos da empresa e as funcionalidades do protótipo.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
O documento discute a vulnerabilidade humana como o elo mais fraco da segurança da informação nas empresas. Ele propõe a criação de um plano de conscientização para alertar as empresas sobre esse risco, orientando-as a proteger suas informações valiosas. O objetivo é desenvolver uma política de segurança clara e conscientizar funcionários e gestores sobre os riscos da engenharia social.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
Trabalho de conclusão de curso- Vulnerabilidade humana - recomendação para conscientização do aspecto humano como elo mais fraco da segurança da informação nas empresas.
1. O documento discute mecanismos de controle de ameaças para preservar a disponibilidade, confidencialidade, integridade e autenticidade da informação, como controle de acesso, detecção de intrusos, criptografia e assinatura digital.
2. A norma ISO/IEC 27000 fornece um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação com base na gestão de riscos.
3. Um sistema de gestão de segurança da informação permite satisfazer
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
O documento descreve seminários de revisão para a certificação CISSP oferecida pelo (ISC)2. Os seminários cobrem os dez domínios do CBK do CISSP e fornecem uma revisão abrangente dos principais tópicos de segurança da informação. Apenas seminários oficiais ministrados por instrutores autorizados pelo (ISC)2 garantem a mais alta qualidade de educação.
Este documento apresenta um curso básico de segurança da informação dividido em 4 módulos. O primeiro módulo introduz conceitos fundamentais de segurança da informação, incluindo os princípios de integridade, confidencialidade e disponibilidade da informação. Também discute a evolução histórica da segurança da informação e lições aprendidas. Os demais módulos cobrem tópicos como ativos, ameaças, vulnerabilidades, riscos e medidas de segurança. O objetivo geral é capacitar profissionais nos conceitos e boas pr
Este documento apresenta um curso básico de segurança da informação dividido em 4 módulos. O primeiro módulo introduz conceitos fundamentais de segurança da informação, incluindo os princípios de integridade, confidencialidade e disponibilidade da informação. Também discute a evolução histórica da segurança da informação e lições aprendidas. Os demais módulos abordam ativos, ameaças e vulnerabilidades, riscos e medidas de segurança, respectivamente. O objetivo geral é capacitar profissionais nos conceitos e boas prá
52566307 apostila-gestao-de-seguranca-da-informacaoFernanda Santiago
Este documento discute os pilares e conceitos da segurança da informação, incluindo confidencialidade, integridade e disponibilidade. Também aborda a divisão da segurança em segurança física e lógica, e gestão da segurança, incluindo a criação de uma política de segurança e normas.
Este documento trata de um trabalho de conclusão de curso sobre proteção e recomendações para o problema do armazenamento criptográfico inseguro. O trabalho aborda questões como vulnerabilidades em códigos de aplicações web, sistemas de aplicações inseguros e como proteger armazenamentos de informações.
Este documento fornece diretrizes sobre políticas e procedimentos para garantir a segurança das redes e sistemas de informação de acordo com o RGPD, incluindo: 1) a definição de políticas de segurança claras e responsabilidades individuais; 2) procedimentos para a gestão de contas de utilizadores e perfis de acesso; 3) diretrizes sobre autenticação e bloqueio de contas. O objetivo é garantir que apenas utilizadores autorizados possam aceder aos dados pessoais e que as atividades sejam monitorizadas e auditadas.
Este documento discute os riscos físicos, químicos e biológicos no ambiente de trabalho, além de programas de saúde e segurança do trabalhador. Resumidamente:
1. Apresenta os principais riscos físicos como ruído, temperatura, vibração e radiação, além dos limites de tolerância para exposição a ruído.
2. Discorre sobre riscos químicos e classificação de substâncias, além de medidas de controle como equipamentos de proteção.
3. Aborda ris
Política de segurança da informação diretrizes geraisAdriano Lima
Este documento apresenta a Política de Segurança da Informação da Agência Estadual de Tecnologia da Informação (ATI) do estado de Pernambuco. Ele define as atribuições e responsabilidades do Comitê Gestor de Segurança, da Presidência da ATI, da Diretoria Executiva de Tecnologia da Informação e Comunicação e da Unidade de Segurança da Informação no que se refere à segurança da informação. Além disso, estabelece diretrizes gerais sobre gestão de segurança da informação, gestão de riscos, plano
A Computação Forense foi criada com o propósito de suprir as necessidades legais do mundo cibernético no que se refere a manipulação das novas formas de evidências eletrônicas. É uma ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em um tipo específico de mídia computacional.
O objetivo desta monografia é mostrar que incidentes de segurança ocorrem com bastante frequência, e a computação forense, a arte e ciência de coletar e analisar evidências digitais, reconstruir dados e ataques, rastrear invasores, como um todo, está se tornando cada vez mais importante, na medida em que, profissionais de tecnologia da informação e os órgãos policiais e judiciários se defrontam com uma verdadeira epidemia de crimes cibernéticos. Este trabalho detalha o processo da computação forense sobre incidentes de segurança, destacando também os fundamentos e princípios básicos que são necessários para avaliar os riscos, nos ambientes computacionais dentro das organizações atuais, com foco na importância da implantação de políticas de segurança, informações em potencial que servem como subsídio para minimização de incidentes de segurança computacional. O conteúdo nesta monografia, foca no tratamento de respostas a estes incidentes em como agir e se reportar nestas situações.
Organizações que definem e implementam políticas de segurança, muitas vezes desconhecem a forma de como devem se reportar em caso de detecção de um incidente, e acabam focando mais nas questões técnicas, deixando de lado propósitos relevantes, como os que serão abordados neste trabalho.
Como responder perante um acontecimento que coloca em risco informações importantes, dados sigilosos, reputação e credibilidade? Como fazer com que a resposta inicial atenda tanto o lado da organização quanto ao vinculo dela com a sociedade ou até mesmo com seus clientes? Este trabalho mostra conceitos que levam a esta visão e ajudam nos processos internos das organizações para que sejam implementada e implantada uma política de segurança clara e bem definida.
A Computação Forense foi criada com o propósito de suprir as necessidades legais do mundo cibernético no que se refere a manipulação das novas formas de evidências eletrônicas. É uma ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em um tipo específico de mídia computacional.
O objetivo desta monografia é mostrar que incidentes de segurança ocorrem com bastante frequência, e a computação forense, a arte e ciência de coletar e analisar evidências digitais, reconstruir dados e ataques, rastrear invasores, como um todo, está se tornando cada vez mais importante, na medida em que, profissionais de tecnologia da informação e os órgãos policiais e judiciários se defrontam com uma verdadeira epidemia de crimes cibernéticos. Este trabalho detalha o processo da computação forense sobre incidentes de segurança, destacando também os fundamentos e princípios básicos que são necessários para avaliar os riscos, nos ambientes computacionais dentro das organizações atuais, com foco na importância da implantação de políticas de segurança, informações em potencial que servem como subsídio para minimização de incidentes de segurança computacional. O conteúdo nesta monografia, foca no tratamento de respostas a estes incidentes em como agir e se reportar nestas situações.
Organizações que definem e implementam políticas de segurança, muitas vezes desconhecem a forma de como devem se reportar em caso de detecção de um incidente, e acabam focando mais nas questões técnicas, deixando de lado propósitos relevantes, como os que serão abordados neste trabalho.
Como responder perante um acontecimento que coloca em risco informações importantes, dados sigilosos, reputação e credibilidade? Como fazer com que a resposta inicial atenda tanto o lado da organização quanto ao vinculo dela com a sociedade ou até mesmo com seus clientes? Este trabalho mostra conceitos que levam a esta visão e ajudam nos processos internos das organizações para que sejam implementada e implantada uma política de segurança clara e bem definida.
Apostila auditoria e segurança de sistemasCapitu Tel
O documento discute conceitos de auditoria e segurança da informação. Apresenta definições de auditoria, auditor, objetivos, âmbito e áreas de auditoria. Também descreve mecanismos e ferramentas de segurança como criptografia, firewalls e protocolos seguros. Discorre sobre a importância da segurança da informação para empresas e sociedade.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
1. FACULDADE DE TECNOLOGIA DO NORDESTE
SEGURANÇA DE SISTEMAS – ADS-04
Professor Izequiel
CSC AUDITORIA
Auditores: FRANCISCO WAGNER COSTA
KLAUS FISCHER GOMES SANTANA
RAFAEL ARAUJO DE FREITAS
MARCOS MEIRELES
SERGIO ANDRADE
Fortaleza, novembro de 2011
2. SUMÁRIO
1. APRESENTAÇÃO ............................................................................................................. 3
2. INTRODUÇÃO................................................................................................................... 3
2.1 O que é Informação ..................................................................................................... 3
2.2 O que é Segurança ...................................................................................................... 3
2.3 O que é Segurança da Informação .............................................................................. 4
2.4 Como Garantir a Segurança das Informações ............................................................. 4
3. OBJETIVOS....................................................................................................................... 5
4. ABRANGÊNCIA................................................................................................................. 5
4.1 Identificação das necessidades de segurança da Organização ................................... 5
4.2 Recomendação de controles e medidas de proteção emergenciais adequados .......... 6
5. METODOLOGIA ................................................................................................................ 6
6. EQUIPE DE AUDITORIA ................................................................................................... 6
7. ANÁLISE GERAL DE SEGURANÇA ................................................................................. 7
7.1 Segurança Tecnológica ............................................................................................... 7
7.1.1 Sistema de Anti-Vírus ............................................................................................ 7
7.1.2 Controle da Internet............................................................................................... 7
7.1.3 Controle dos Notebooks ........................................................................................ 8
7.1.4 Atualização Periódica dos Softwares..................................................................... 8
7.1.5 Checagem Periódica de Vulnerabilidades ............................................................. 8
7.1.6 Equipe ou Profissional Responsável pela Segurança............................................ 8
7.1.7 Teste de Invasão Interno e Externo Periódico ....................................................... 8
7.1.8 Análise de Senhas para a Rede e de Senhas Pessoais ........................................ 8
7.2 Segurança Organizacional ........................................................................................... 8
7.2.1 Análise das Necessidades e Procedimentos Utilizados pela Organização ............ 9
7.2.2 Identificação dos Processos Críticos ..................................................................... 9
7.2.3 Classificação da Informação ................................................................................. 9
7.2.4 Existência e conformidade de normas, práticas, políticas e procedimentos para
técnicos e usuários ...................................................................................................... 10
7.2.4.1 Definição de um plano de testes de recuperação a desastres ou teste do
plano de contingência .............................................................................................. 10
7.3 Segurança Física ....................................................................................................... 10
7.3.1 Controle de Acesso Físico ................................................................................... 10
7.3.2 Energia Elétrica ................................................................................................... 10
7.3.3 Detecção e Combate a Incêndios........................................................................ 11
7.3.4 Backup e armazenamento de mídias .................................................................. 11
7.4 Resumo das Ameaças e Riscos Atuais ...................................................................... 11
7.4.1 Principais Riscos Identificados ............................................................................ 11
7.4.2 Principais Falhas Encontradas ............................................................................ 11
8. CONCLUSÃO .................................................................................................................. 12
9. RECOMENDAÇÕES ....................................................................................................... 12
9.1 Implantação do Plano de Ação Emergencial .............................................................. 12
9.2 Regularização da Instalação Elétrica ......................................................................... 13
9.3 Instalação de Cabeamento Estruturado ..................................................................... 13
9.4 Normatização dos Equipamentos de Informática ....................................................... 13
9.5 Estruturação da Rede Local ....................................................................................... 13
10. CONSIDERAÇÕES FINAIS ........................................................................................... 13
11. ANEXO – Checklist ........................................................................................................ 15
3. CSC Auditoria
1. APRESENTAÇÃO
A presente auditoria, realizada pela Empresa CSC Auditoria, formada por
alunos do Curso Superior de Tecnologia em Análise e Desenvolvimento de
Sistemas, disciplina de Segurança de Sistemas, da Faculdade de Tecnologia do
Nordeste – FATENE, tem a finalidade de aplicar os conhecimentos e conceitos
adquiridos para estudar e analisar os processos relativos à Tecnologia da
Informação da Empresa R&L Extintores Ltda, e ao seu término sugerir por meio
deste relatório, conforme diagnóstico obtido, melhorias nos processos gerenciais e
operacionais da Empresa auditada no tocante a Tecnologia da Informação,
doravante denominada TI.
2. INTRODUÇÃO
Para a correta evolução no entendimento do trabalho, enfatizamos aqui
alguns conceitos básicos:
2.1 O que é Informação
Existem diversas definições para informação, a que melhor se adapta ao
caso, é a definição do British Standards Institute, descrita abaixo:
Informação é um recurso que, como outros importantes recursos de
negócios, tem valor a uma organização e por conseguinte precisa ser protegido
adequadamente [BS 7799 -1: 1999, British Standards Institute].
2.2 O que é Segurança
A melhor definição para segurança pode ser obtida através do Dicionário
Aurélio, conforme descrito abaixo:
3
4. CSC Auditoria
segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição
daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro.
[Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado,
garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10.
Eficaz, eficiente. [Dicionário Aurélio]
2.3 O que é Segurança da Informação
A Segurança da Informação protege a informação de uma gama
extensiva de ameaças para assegurar a continuidade dos negócios, minimizar os
danos organizacionais e maximizar o retorno em investimentos e oportunidades. A
Segurança da Informação é caracterizada pela preservação da confidencialidade,
integridade e disponibilidade. [BS 7799 -1: 1999, British Standards Institute]
Para garantir a Segurança da Informação, é necessário que os seguintes
princípios básicos sejam respeitados:
• Confidencialidade: assegurar que a informação será acessível somente por
quem tem autorização de acesso;
• Integridade: assegurar que a informação não foi alterada durante o processo de
transporte da informação;
• Disponibilidade: assegurar que usuários autorizados tenham acesso a
informações e a recursos associados quando requeridos.
Recentemente, estão sendo abordados mais dois conceitos:
Autenticidade e Legalidade.
2.4 Como Garantir a Segurança das Informações
Foram criados diversos mecanismos de proteção, que somente tornam-se
efetivos, se forem devidamente conjugados de acordo com a necessidade e infra-
estrutura tecnológica de cada organização.
Para garantir a segurança a níveis aceitáveis, é necessário conhecer e
corrigir as vulnerabilidades presentes tanto no ambiente tecnológico, como no
4
5. CSC Auditoria
organizacional. Além disso, deve-se implementar uma política de segurança
eficiente, que discipline os acessos aos recursos, possua atualização constante e
gerenciamento sistêmico, pois soluções isoladas apenas criam um falso ar de
segurança.
O processo necessário para salvaguardar informações é composto de três
etapas: análise das vulnerabilidades, implantação e manutenção contínua de
segurança. O presente instrumento enquadra-se na primeira etapa.
3. OBJETIVOS
Dentro do escopo da inspeção técnica em segurança da informação no
que tange a Empresa auditada, foram estabelecidos os seguintes objetivos:
• Análise da atual estrutura de TI (parque tecnológico);
• Análise dos processos realizados pela Empresa com recursos de TI;
• Análise dos sistemas de TI utilizados pela a Empresa.
4. ABRANGÊNCIA
4.1 Identificação das necessidades de segurança da Organização
• Verificação dos riscos da organização, onde as ameaças aos patrimônios são
identificadas, vulnerabilidades e ameaças são avaliadas.
• Verificação do conjunto de princípios, objetivos e necessidades para o
processamento de informações.
• Identificação das necessidades básicas contratuais, de políticas definidas,
processos documentados e regulamentos entre a organização, seus parceiros,
colaboradores, contratados e provedores de serviço.
5
6. CSC Auditoria
4.2 Recomendação de controles e medidas de proteção
emergenciais adequados
Um ou mais mecanismos de controle ou de proteção adequados são
associados à cada ameaça grave, identificada na fase de análise de segurança e
processos, para garantir que os riscos serão reduzidos a um nível aceitável. Esta
seleção é baseada na criticidade da vulnerabilidade, em relação à redução dos
riscos, e levando-se em consideração as perdas potenciais.
5. METODOLOGIA
Para o trabalho em questão, foi aplicada uma metodologia, centrada na
análise de vulnerabilidades, para atender os requisitos de eficiência e tempo.
Baseando-se na norma ISO/IEC – 27001, dentre todos, foram escolhidos os
seguintes pontos de controle:
• Segurança física;
• Confidencialidade;
• Obediência à legislação em vigor;
• Eficiência e eficácia;
• Fidelidade e integridade da informação em relação ao dado.
6. EQUIPE DE AUDITORIA
• Francisco Wagner Costa Moreira;
• Klaus Fischer Gomes Santana;
• Rafael Araújo de Freitas;
• Sérgio Andrade Silva;
• Marcos da Silva Meireles.
6
7. CSC Auditoria
7. ANÁLISE GERAL DE SEGURANÇA
7.1 Segurança Tecnológica
Verificar nível de segurança das estações de trabalho, dispositivos móveis
e serviços disponíveis, que estão diretamente relacionados com os sistemas de
missão crítica, checando vulnerabilidades e configurações dos mesmos.
Outros equipamentos como modem, roteador, firewall, testados, que
também podem causar sério impacto na continuidade das operações, não foram
checados devido ao curto período de tempo disponível.
Com os procedimentos adotados, ficou constatado que a ausência de
profissionais especialistas em segurança da informação, bem como a falta de
dispositivos tecnológicos adequados, e principalmente normas de trabalho
seguras, culminou no quadro que vamos desenhar:
• Todos os equipamentos analisados apresentaram múltiplas vulnerabilidades
consideradas críticas no mais alto nível;
• Em todas as máquinas, tinha pelo menos uma vulnerabilidade que habilitava o
invasor a ter acesso irrestrito ao equipamento;
• As vulnerabilidades encontradas são consideradas primárias para qualquer
especialista em segurança;
• Em sumo, a integridade, disponibilidade e confidencialidade das informações de
todos os sistemas do ambiente, estão atualmente seriamente comprometidas.
7.1.1 Sistema de Anti-Vírus
O sistema de anti-vírus atual é o NOD32 licenciado para todas as
estações de trabalho e atualizado.
7.1.2 Controle da Internet
Não existe profissional responsável capacitado para esse trabalho.
7
8. CSC Auditoria
7.1.3 Controle dos Notebooks
Existem notebooks a disposição dos gerentes. A despeito disso, não há
controle sobre eles, e são conectados na rede interna sem qualquer reserva.
7.1.4 Atualização Periódica dos Softwares
Somente os navegadores de internet e o antivírus são atualizados
periodicamente.
7.1.5 Checagem Periódica de Vulnerabilidades
Não é aplicada.
7.1.6 Equipe ou Profissional Responsável pela Segurança
Não identificamos equipe ou profissional responsável pela segurança da
informação.
7.1.7 Teste de Invasão Interno e Externo Periódico
Como no caso do controle da Internet, não existe profissional responsável
capacitado para esse trabalho.
7.1.8 Análise de Senhas para a Rede e de Senhas Pessoais
Não existe uma política de controle de senhas para a rede e quanto ao
acesso as estações de trabalho, esta senha é compartilhada por todos usuários.
7.2 Segurança Organizacional
Trata de questões como procedimentos envolvendo informações
proprietárias, classificação das informações, entendimento do perfil da organização,
funcionamento da organização, fluxo que a informação possui da sua origem ao seu
destino no Workflow organizacional, dentre outros relacionados ao contexto
organizacional, entendimento de quem manipula as principais informações do órgão
8
9. CSC Auditoria
e qual segurança e responsabilidade destes usuários, quais setores precisam
acessar quais informações segundo o princípio “Need to Know”(quem realmente
necessita saber da informação).
7.2.1 Análise das Necessidades e Procedimentos Utilizados pela Organização
Nessa etapa são confrontados os procedimentos executados na
organização, que tenham relevância para o sistema focado, com a atual realidade da
execução dos processos. Levando-se em consideração todos os processos
informatizados ou não, que possam afetar direta ou indiretamente a segurança.
Após análise, verificou-se que poucos processos estão definidos na
empresa.
7.2.2 Identificação dos Processos Críticos
Após a checagem dos procedimentos, devem ser identificados os
processos considerados críticos à organização, ou seja, aqueles que contém
informações sensíveis aos negócios da organização.
• Sistema de cobrança bancária (Bancos Itau e Bradesco);
• Sistema de folha de pagamento;
• Controle de fornecedores, clientes e funcionários.
7.2.3 Classificação da Informação
Não existe hoje na organização, uma hierarquia de confidencialidade
definida para as informações.
Sendo assim não é possível assegurar que as informações recebam um
nível apropriado de proteção, pois as informações são classificadas para indicar a
necessidade, as prioridades e o grau de proteção. Tais como:
• Uso Confidencial - aplicada às informações de grande valor a organização, se
divulgadas indevidamente podem causar danos e prejuízos a organização ou a
seus parceiros. Seu uso e disseminação devem ser restritos e controlados.
9
10. CSC Auditoria
• Uso Interno - aplicada às informações restritas aos funcionários e a terceiros.
• Uso Público - Informações que podem ser divulgadas para o público em geral,
incluindo clientes, fornecedores, imprensa, etc.
7.2.4 Existência e conformidade de normas, práticas, políticas e procedimentos
para técnicos e usuários
As normas, políticas e procedimentos que devem ser seguidos pelos
funcionários da organização, não estão completas ou não foram especificadas.
Com base no check-list (em anexo) efetuado com a gestora da célula de
TI, devemos salientar os seguintes pontos:
7.2.4.1 Definição de um plano de testes de recuperação a desastres ou teste
do plano de contingência
O plano de contingência ou plano de recuperação é um plano que contém
as diretrizes que a organização deve seguir em caso de parada no processamento,
decorrente de desastre ou falhas. Este tem como objetivo auxiliar na recuperação
imediata do processamento das informações, levando em consideração a criticidade,
de modo que minimize eventuais prejuízos à organização.
Não há um plano de contingência englobando todas as possibilidades de
falhas possíveis, e também inexiste rotina de teste periódica.
7.3 Segurança Física
A estrutura de segurança física está configura de forma muito primária e
ineficiente.
7.3.1 Controle de Acesso Físico
A atual configuração não contempla níveis de acesso, e os respectivos e
adequados controles.
7.3.2 Energia Elétrica
Não existe controle de prevenção quanto a quedas de energia.
10
11. CSC Auditoria
7.3.3 Detecção e Combate a Incêndios
Os controles de detecção foram identificados de acordo com as normas
vigentes.
7.3.4 Backup e armazenamento de mídias
O controle de backup é manual é feito por meio de HD’s externos, que
muitas vezes ficam na própria empresa.
7.4 Resumo das Ameaças e Riscos Atuais
7.4.1 Principais Riscos Identificados
• Acesso e/ou cópia indesejada de dados;
• Alteração e/ou fabricação de dados;
• Deleção indesejada de dados;
• Extravio de documentos;
• Roubo de ativos importantes;
• Fragilidade a engenharia social;
• Fraude.
7.4.2 Principais Falhas Encontradas
• Intolerância a acidentes e falhas em ativos, sistemas, processos e infraestrutura;
• Conectividade externa e interna sem a devida segurança;
• Política de senhas não aplicada;
• Falta de controle sistêmico dos processos;
• Não identificação dos invasores externos e internos;
• Falta de controle de acesso e insegurança física nas instalações;
• Inexistência de controle das impressões.
11
12. CSC Auditoria
8. CONCLUSÃO
Conforme constatamos, a Empresa auditada não tem uma Política de
Segurança da Informação definida, bem assim, não tem um parque tecnológico
adequado para suas atividades atuais.
9. RECOMENDAÇÕES
9.1 Implantação do Plano de Ação Emergencial
a) Definição da equipe interna responsável pela implantação e
manutenção da segurança desvinculada das outras atividades
operacionais
a. Treinamento básico de segurança da informação para a
equipe.
b) Implementação das medidas de segurança básicas
a. Análise de compartilhamentos desprotegidos;
b. Troca do sistema de Firewall;
c. Desativação do serviço de acesso remoto;
d. Redefinição e aplicação das regras de conexões internas e
permissões;
e. Implantação de autenticação forte, e login único de usuários
e objetos;
f. Atualização do sistema de Backup e restauração de dados, e
aquisição de novas licenças;
g. Definição da política de segurança de notebooks;
h. Criação de uma política segura de acesso à Internet;
c) Remodelação da célula de informática
d) Construção do regimento interno
e) Implantação das novas rotinas de auditoria interna e externa
f) Implantação dos sistemas pendentes
12
13. CSC Auditoria
a. Levantamento das customizações indispensáveis;
b. Coordenação do treinamento dos usuários;
9.2 Regularização da Instalação Elétrica
• Aterramento unificado para todos os equipamentos de informática;
• Troca de tomadas de baixa qualidade;
• Instalação de No-Break inteligente;
9.3 Instalação de Cabeamento Estruturado
• Substituição do cabeamento atual;
9.4 Normatização dos Equipamentos de Informática
• Aquisição de pelo menos um servidor, novas estações e periféricos
necessários;
• Inventário geral de equipamentos com selagem destes e instalação
de travas nos gabinetes;
• Implementação de controle geral de ativos de informática, hardware
e software, com ocorrências e histórico.
9.5 Estruturação da Rede Local
• Migração dos dados, aplicativos e de pastas pessoais das estações
para o servidor;
• Implantação de permissões e política de uso local nas estações;
• Criação de CD’s de imagem dos perfis das estações;
10. CONSIDERAÇÕES FINAIS
Em sumo do que foi analisado e evidenciado nesse trabalho, definir níveis e
controles de segurança é como receitar um medicamento. Se muito fraco ou em
doses mínimas (abaixo do necessário para prover segurança), o problema persistirá
ou será reduzido a um nível insatisfatório. Por outro lado, comprar um remédio
13
14. CSC Auditoria
caríssimo para combater uma gripe simples certamente reduzirá seu potencial de
investimento destinado a prevenir ou combater doenças mais graves.
Outro ponto importante a ser considerado é o impacto dos controles sobre os
serviços da organização, pois um processo "engessado" demais pode ser traduzido
em prejuízos para a administração.
14