·
Engenharia de Software ·
Engenharia de Software
Send your question to AI and receive an answer instantly
Recommended for you
2
Apresentação e Decomposição Funcional dos Processos da Pcf da Empresa
Engenharia de Software
UNIVATES
25
AWX-Automatizando-Configuracoes-com-Gerenciamento-em-Larga-Escala
Engenharia de Software
UNIVATES
1
Fratura de Jones e Fraturas do Metatarso Guia Completo para Diagnóstico e Tratamento
Engenharia de Software
UNIVATES
62
Diagrama de Casos de Uso Cronograma Fazer
Engenharia de Software
UNIVATES
Preview text
Universidade do Vale do Taquari Univates Segurança em Tecnologia da Informação 2022A Avaliação 3 Política de Segurança em TI Nome Cod Aluno Nome Cod Aluno Política de Segurança em TI Este Trabalho tem como principal objetivo a consolidação e aplicação dos conhecimentos adquiridos previamente em relação à Segurança em Tecnologia da Informação A compreensão deste preceito se faz necessário tendo em vista que a Segurança em TI é de grande relevância pois estabelece conjuntos de procedimentos que visam a integridade dos ativos relacionados com as tecnologias de informação como sistemas de computadores instalações físicas redes processos dados e pessoas Desse modo neste projeto serão trabalhados os conteúdos vistos anteriormente exercitando os conceitos padrões boas práticas e as tecnologias vistas até então Segurança em TI De acordo com os autores Kim e Solomon 2014 a tríade da segurança composta pela confidencialidade integridade e disponibilidade de sistemas visa representar os principais atributos para orientação a análise o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger Confidencialidade A confidencialidade referese à privacidade dos dados da organização Esse conceito é correlato com as ações necessárias para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas organizacionais por meio de ciberataques espionagem entre outras práticas Integridade A integridade corresponde à preservação da precisão consistência e confiabilidade das informações e sistemas da organização ao longo dos processos ou de seu ciclo de vida Disponibilidade A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa ou seja se eles estão acessíveis sempre que necessário Para Stallings 2014 esse entendimento consequentemente nos remete à compreensão de que a segurança é um processo contínuo e alimentado por um conjunto de critérios automatizados ou não para análise feedback e adaptação dos requisitos bem como da definição das soluções de Segurança em TI a serem implementadas Também significa que torna possível a implementação de atualizações e respostas aos incidentes de maneira rápida e holística acompanhando o panorama das mudanças pertinentes a esse tema Estas mudanças acompanhadas pelas organizações buscam soluções que acompanhem as tendências estabelecendo um conjunto de boas práticas por meio de políticas diretrizes e procedimentos de segurança gerenciadas em diferentes instâncias mediante uma gestão mais profissional definindo funções e responsabilidades a todos os envolvidos O conteúdo contido em cada seção que segue é orientativo e portanto não pode ser utilizado como conteúdo do seu trabalho A atividade avaliativa deverá contemplar todas as etapas relacionadas abaixo 1 Caracterização da empresa visão missão objetivos Nome Empresa teste de segurança LTDA Ramo Tratase de uma empresa de software software house com atuação na região sul do Brasil É especializada em ERP corporativo com módulos de RH estoque contabilidade financeiro e compras Atuação Atua em soluções desktop e WEB Características Possui 50 funcionários considerando desenvolvedores analistas e vendedores Todos podem trabalhar com acesso local ou remoto considerando as premissas de homeworking intranet e extranet Tecnologias Faz uso de um Data Center Privado para a manutenção dos softwares da organização e também para armazenamento e acessos remotos dos seus clientes Considera requisitos de continuidade disponibilidade e performance Diferencial A TI é reconhecida como um diferencial estratégico para a organização pois permite além de manter os clientes atuais operando dentro da normalidade dos seus negócios prospectar novas oportunidades de negócios que envolvem necessidades padronizadas eou customizadas de software 2 Política de Segurança da Informação política institucional A Tecnologia da Informação TI vital para a continuidade operacional desta organização vem modificando consideravelmente a relação com o trabalho e a forma de comunicação interna e externa a forma de fazer negócios e consequentemente a forma de armazenar e disponibilizar os dados Reconhecese portanto a necessidade de disciplinar o uso das TICs tecnologias da informação e comunicação com o objetivo central de prover normas de segurança buscando garantir a normalidade nas operações a continuidade da empresa e o reconhecimento dos seus valores por funcionários clientes fornecedores governo e sociedade Objetivos Para tanto o presente documento busca nas normas NBR ISOIEC 27002 NBR ISOIEC 27005 e NBR ISOIEC 31000 e nas leis n 129652014 e nº 137092018 os subsídios para a Política de Segurança da Informação da Empresa modelo SA conscientizando e definindo diretrizes normas e procedimentos necessários e suficientes para estabelecer níveis seguros de Confidencialidade Integridade e Disponibilidade das informações além de garantir a continuidade dos negócios A Empresa modelo SA prima pela atuação em conformidade às principais normas e boas práticas de segurança e a partir destas estabelece um conjunto de controles de segurança com foco na mitigação de riscos e atuação livre de incidentes Tais controles serão aplicados na preservação da tríade da segurança na disponibilização de um sistema de telecomunicação e rede seguro e disponível garantindo o tráfego de informações sensíveis ou públicas incluindo os equipamentos e sistemas que processam e armazenam tais informações Âmbito de aplicação Essa política deve ser aplicada e respeitada por todos os usuários de TICs desta empresa assim como por qualquer funcionário cliente fornecedor visitante ou pessoa custodiante de informações sensíveis Os casos de violação da política de segurança ou exposição indevida de informações confidenciais ou estratégicas serão analisados pela equipe de TI e devidamente encaminhados aos setores de Assessoria Jurídica e Recursos Humanos acompanhados por laudos técnicos Validade A Política de Segurança da Informação PSI integra o texto do Planejamento Estratégico organizacional portanto deve ser revisada e reeditada juntamente com cada versão deste documento 3 Diretrizes de Segurança exemplo da Univates Identificadores senhas e certificados digitais O identificador é a identidade do usuário perante os sistemas de informação O identificador deve ser pessoal intransferível e único para todos os sistemas e será estabelecido quando da efetivação do vínculo do usuário com a Univates Casos específicos como o do encerramento do vínculo do usuário com a Univates serão tratados nas respectivas Normas As senhas são pessoais intransferíveis secretas e de conhecimento e uso exclusivo do usuário Elas devem ser periodicamente trocadas em conformidade com as normas específicas de segurança O certificado digital é um documento eletrônico que possibilita comprovar com validade jurídica a identidade de uma pessoa para assegurar as transações eletrônicas de documentos mensagens e dados 4 Normas de Segurança Identificadores O identificador do usuário userid deve permitir reconhecer a sua identidade mas nunca os seus níveis de privilégio Para isso deverá ser utilizado um identificador com as seguintes regras de construção a Será formado por no máximo 40 caracteres alfanuméricos segundo a regra nomesobrenome Observação 1 A partícula sobrenome será o último nome de família 2 Em caso de homônimos deverá ser acrescentado um numeral correspondente ao nível de coincidência ocorrido 3 Casos de combinações nomesobrenome que possibilitem interpretações de duplo sentido ou pejorativas deverão ser tratados pontualmente pelo Coordenador do NTI mediante solicitação da pessoa interessada 4 Os identificadores em uso serão gradativamente convertidos para esta regra ou a qualquer momento por solicitação do interessado b O identificador deve ser pessoal intransferível e único para todos os sistemas c Os identificadores pertencentes a usuários que forem desligados de suas funções não deverão ser atribuídos a outros usuários Senha Password A senha juntamente com o identificador do usuário userid autentica o usuário e habilita o acesso aos sistemas de acordo com seus direitos de acesso papel O NTI como fiel depositário das senhas deverá resguardar o sigilo das mesmas armazenandoas criptografadas em suporte magnético Regras de construção a As senhas são pessoais e intransferíveis sendo de responsabilidade do usuário assegurar que a sua senha seja secreta e que não seja conhecida por mais ninguém b As senhas fornecidas por padrão na criação de um novo usuário ou implantação de um sistema ou aplicação deverão ser imediatamente alteradas pelo usuário garantindo sua privacidade c A escolha da senha é a critério do usuário ficando este no entanto obrigado a cumprir com as normas de construção de uma senha segura descritas na página de recadastro wwwunivatesbrrecadastro A segurança da senha será testada automaticamente quando da alteração da senha d A Área de TI deve implementar mecanismos que limitem o número de tentativas consecutivas de falhas de autenticação após o que o identificador deve ser bloqueado e A Área de TI deve implementar mecanismos de reativação de senhas mediante a identificação do usuário 5 Procedimentos de Segurança Recuperação da Senha Você deve saber a sua senha atual pois esta será solicitada a título de confirmar a sua identificação Se a senha antiga for confirmada então a nova senha deverá atender a pelo menos três dos requisitos abaixo a ter mais de 10 caracteres b conter letra maiúscula c conter letra minúscula d conter números e conter símbolos como Se não puder confirmar a senha antiga então você deverá ir pessoalmente até o NTI para gerar uma nova senha 6 Introdução ao processo de prevenção contingenciamento e continuidade A prevenção e o contingenciamento são premissas fundamentais nos sistemas de segurança A prevenção tem um caráter mais preventivo e o contingenciamento mais reativo Ambos são importantes e devem estar presentes em qualquer documento de segurança das organizações Prevenção Conceitos e soluções relevantes para a organização considerada para essa disciplina Por que prevenir Contingência Por que contingenciar E se ocorrer uma falha não prevista ou se tudo falhar Para este caso específico é necessário que se pense em um Plano de Continuidade de Negócios PCN O PCN objetiva minimizar as perdas provocadas por um evento de grandes proporções e pode integrar o planejamento estratégico inserindo um processo de Gestão de Continuidade de Negócio Também pode incluir um plano de recuperação Objetiva a preservação da integridade física humana funcionários visitantes clientes terceiros entre outros e a redução dos prejuízos e do impacto decorrente da possível descontinuidade dos serviços ou processo essenciais da organização Essa continuidade operacional é alcançada pela implantação de várias estratégias e ferramentas de acordo com as prioridades identificadas e planos estabelecidos Com a evolução das TICs com a oferta de novos serviços de hospedagem de serviços e servidores em Data Centers remotos e a evolução de soluções de virtualização do Software como Serviço Software as a Service SaaS da Infraestrutura como Serviço Infrastructure as a Service IaaS e da Plataforma como Serviço Platform as a Service PaaS estes planos se tornaram mais viáveis e promissores Outro ponto importante a ser considerado o qual veremos a seguir é a distinção entre contingência e continuidade Por que disponibilizar sistemas redundantes 7 Contextualização Como as normas de segurança podem contribuir para esse processo A seguir é apresentado um texto para embasamento Como a Gestão de Risco está envolvida e como a norma NBR ISOIEC 270022018 pode ser aplicada Considere também a Gestão de Vulnerabilidades A norma NBR ISOIEC 310002018 considera a análise SWOT FOFA em português como uma maneira de entender um pouco mais do contexto de uma organizaçãoPor ser essa uma ferramenta de gestão amplamente utilizada para auxiliar no planejamento estratégico e em novos projetos das organizações Como esse recurso pode ser utilizado no processo da gestão de contingenciamento e continuidade 8 Considerações finais Faça uma análise críticareflexiva sobre o contexto organizacional as ameaças relacionadas os ativos e os níveis de risco associados a cada ATIVO AMEAÇA Justifique as soluções e o plano de contingenciamento ou continuidade e se possível associandoas com as normas pertinentes 9 Referência Bibliográfica ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 270022013 Tecnologia da informação Técnicas de segurança Código de prática para controles de segurança da informação Rio de Janeiro 2013 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 270052018 Tecnologia da informação Técnicas de segurança Gestão de riscos de segurança da informação Rio de Janeiro 2018 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 310002018 Gestão de riscos princípios e diretrizes Rio de Janeiro 2018 BEZERRA Edson K Gestão de Riscos de TI NBR 27005 Rio de Janeiro RNPESR 2013 KIM David SOLOMON Michael G Fundamentos de Segurança de Sistemas de Informação Rio de Janeiro LTC 2014 Disponível em httpsintegradaminhabibliotecacombrbooks9788521635284 RAMOS Anderson et al Guia Oficial para Formação de Gestores em Segurança da Informação Porto Alegre Editora Zouk 2006 STALLINGS William BROWN Lawrie Segurança de Computadores Princípios e Práticas 2 ed Rio de Janeiro Elsevier Editora LTDA 2014 Cidade Ano NOME DOS AUTORES EM ORDEM ALFABÉTICA DISCIPLINA TÍTULO DO TRABALHO Subtítulo do Trabalho se Houver Cidade Ano TÍTULO DO TRABALHO Subtítulo do Trabalho se Houver Trabalho apresentado como requisito parcial para a obtenção de média semestral Orientadora Profa Nome do professor NOME DOS AUTORES EM ORDEM ALFABÉTICA SUMÁRIO 1 INTRODUÇÃO3 2 CARACTERIZAÇÃO DA EMPRESA4 3 POLITICA DE SEGURANÇA DA INFORMAÇÃO5 4 PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO6 5 falhas de segurança7 6 ANÁLISE CRÍTICA8 1 CONCLUSÃO10 1 INTRODUÇÃO A tecnologia da Informação é um grande instrumento de mudanças na forma como a sociedade se desenvolve No entanto com o avanço das tecnologias informacionais as falhas de segurança também cresceram Este trabalho tem por objetivo apresentar uma análise crítica a partir de um cenário hipotético que contempla diversos conceitos e técnicas fundamentais na área de segurança da informação 2 CARACTERIZAÇÃO DA EMPRESA Nome ClinProg Desenvolvimento de sistemas clínicos RamoProgramaçãomedicina Atuação Desenvolvimento de sistemas clínicos Características Possui 150 funcionários considerando desenvolvedores administradores médicos analistas vendedores marketing Todos podem trabalhar com acesso local ou remoto de acordo com o cronograma de trabalho desenvolvido por cada setor Tecnologias utiliza sistema ERP que roda em nuvem assim como a maioria da infraestrutura da empresa A empresa utiliza os principais sistemas operacionais do mercado principalmente para testes pelo sistema Diferencial empresa especializada na fusão de tecnologia da informação e medicina para a criação de produtos confiáveis e de alto nível de desempenho utilizados em diversos hospitais e clínicas da área médica 3 POLITICA DE SEGURANÇA DA INFORMAÇÃO A Tecnologia da Informação TI está cada dia mais presente nas empresas mudando radicalmente os hábitos e a maneira de comunicação sendo de vital importância a definição de normas de segurança que visem disciplinar o uso da tecnologia A ClinProg baseada na norma NBR ISOIEC 27001 definiu sua Política de Segurança da Informação PSI conscientizando e definindo as normas e procedimentos necessários para proteger a confidencialidade das informações e a continuidade dos negócios A Política de Segurança da Informação tem como principal objetivo documentar e proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio de uma organização padronizando e estabelecendo requisitos mínimos de segurança Garante a proteção das informações entre clientes e empresa nos aspectos de confidencialidade integridade e disponibilidade Confidencialidade Garantia de que o acesso à informação seja obtido apenas por pessoas autorizadas A quebra desse sigilo pode acarretar danos inestimáveis para a empresa ou até mesmo para uma pessoa física Integridade Garantia de que a informação não seja adulterada falsificada ou furtada Disponibilidade Garantia de que a informação esteja disponível sempre que requisitada pelos usuários autorizados mesmo com as interrupções involuntárias de sistemas ou seja não intencionais A PSI aplicase a todos os usuários da empresa e a qualquer colaborador ou pessoa custodiante de informações da ClinProg ou de seus clientes Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual industrial Lei nº 9279 e de direitos autorais Lei nº 9610 A ClinProg entende que o sistema de segurança da informação somente será eficaz com o comprometimento de todos 4 PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO Assinatura Digital É muito usado com chaves públicas e permitem ao destinatário verificar a autenticidade e a integridade da informação recebida Além disso uma assinatura digital não permite o repúdio isto é o emitente não pode alegar que não realizou a ação A chave é integrada ao documento com isso se houver alguma alteração de informação invalida o documento Sistemas biométricos Utilizam características físicas da pessoa como os olhos retina dedos digitais palma da mão ou voz Firewall É um mecanismo de controle do tráfego de dados entre os computadores de uma rede interna e destes com outras redes externas 5 FALHAS DE SEGURANÇA Os colaboradores externos da ClinProg utilizam uma conexão remota direta com os servidores da empresa que está publicado para a internet Nesse acesso eles encontram as ferramentas de desenvolvimento e acesso a todo o ambiente da empresa mas costumam instalar versões e softwares que estão mais habituados afinal de contas precisam entregar suas atividades o mais rápido possível mesmo não sabendo bem se poderiam instalar ou não esses softwares dentro do ambiente que acessam Eles também desconhecem se o uso de equipamentos pessoais é permitido uma vez que os equipamentos disponibilizados pela empresa muitas vezes são insuficientes ou muito lentos para algumas atividades Atualmente não existe ambiente de desenvolvimento teste e produção separados o que acaba gerando algumas falhas de acesso e até mesmo ocorrem problemas com atualização indevida do ambiente dos clientes gerando lentidão falhas e muita reclamação Já teve caso de o serviço ficar parado por horas Sobre a infraestrutura do sistema ele é hospedado e armazenado em Data Center local além do armazenamento em nuvem na sede da empresa em uma área térrea as margens do Rio Pinheiros Fisicamente o espaço comporta todos os servidores necessários possui 1 um arcondicionado de conforto e 1 um nobreak com baterias que duram cerca de 40 minutos caso a energia venha a faltar A conexão externa é realizada por 2 dois provedores de internet ambos por fibra ótica que chegam de forma aérea no posto em frente à sede Os servidores são mistos ou seja existem servidores mais novos em garantia e outros antigos e sem contrato de garantia e suporte ativo com o fabricante Quando um equipamento tem falha de hardware fonte disco memória etc o time de infraestrutura busca em empresas especializadas de São Paulo em peças de reposição para resolver o problema 6 ANÁLISE CRÍTICA A partir da análise de cenário realizada sobre a empresa descrita é possível destacar as seguintes vulnerabilidades Vulnerabilidade 1 primeiramente o descritivo da empresa informa que os colaboradores externos costumam instalar versões de softwares sem conhecimento sobre as políticas da empresa sobre esse tipo de prática Essa vulnerabilidade pode ser classificada como vulnerabilidade de software visto que os colaboradores estão realizando instalações indevidas de programas sem o conhecimento de um usuário ou administrador de rede responsável por essa atividade A partir da vulnerabilidade apresentada é possível destacar as seguintes ameaças Ameaça Involuntária os colaboradores realizam essas instalações de softwares com o intuito de tornar o seu trabalho cada vez mais produtivo No entanto acabam esquecendo de comunicar a empresa para saber se os programa utilizados são permitidos e se existe alguma politica na empresa para o seu uso Uma possivel solução para este problema seria a criação ou atualização de uma politica de segurança de informação que contemple as ações a serem tomadas pelos colaboradores para a utilização de softwares e equipamento não especificados pela empresa além de workshops voltados para o uso de softwares indevidos no ambiente de trabalho Vulnerabilidade 2 a segundo vulnerabilidade identificada na descrição das atividades da empresa está relacionada à inexistência de um ambiente de desenvolvimento unindo desenvolvimento teste e produção em um único meio Essa vulnerabilidade está classificada como vulnerabilidade de comunicação visto que a empresa carece de um ambiente de qualidade para separar desenvolvimento teste e produção Essa vulnerabilidade é altamente prejudicial principalmente para o cliente final que terá problemas em validar novas versões do software desenvolvido pela empresa A partir da vulnerabilidade apresentada é possível destacar as seguintes ameaças Ameaça Involuntária os responsáveis pela criação e manutenção dos ambientes de desenvolvimento por descuido não procuraram solucionar o problema Uma solução para sanar esse problema seria o treinamento da equipe responsável pelo ambiente de desenvolvimento ou em último caso a substituição da equipe Ameaça intencional colaborados descontentes com o seu trabalho na empresa poderiam de forma maliciosa manter intencionalmente o ambiente de desenvolvimento com problema com o intuito de causar danos para a empresa Para resolver esse problema uma possivel solução para resolver o problema seria a substituição dos responsáveis pelo ambiente de desenvolvimento Vulnerabilidade 3 é descrito no cenário da ClinProg que a empresa possui uma infraestrutura para o seu sistema onde o Data Center em que é hospedado e armazenado fica localizado na sede da empresa em uma área térreas às margens de um rio Esse ponto pode ser considerado uma vulnerabilidade natural pois está sujeito a colocar em risco as informações pela proximidade do rio com a infraestrutura do sistema A partir da vulnerabilidade apresentada é possível destacar as seguintes ameaças Ameaça natural é considerada uma ameaça natural por se tratar de uma infraestrutura que está localizada às margens de um rio o que pode causar a perda total ou parcial dos equipamentos em caso de enchente ou terremoto por exemplo Uma possivel solução para que essa ameaça não se concretize é a mudança do local onde está localizada a infraestrutura para um ponto físico onde as ameaças envolvendo desastres naturais possam ser reduzidas Ameaça Involuntária os responsáveis pela definição do local provavelmente não se atentaram para a ameaça que aquela escolha de local físico poderia gerar Uma possível solução para previnir essa vulnerabilidade é a realização de pequenos treinamentos sobre a importância do local físico para o armazenamento da infraestrutura do sistema 1 CONCLUSÃO O trabalho desenvolvido teve por objetivo apresentar por meio de um cenário envolvendo uma empresa fictícia alguns dos conceitos mais fundamentais de segurança da informação e como ela é aplicada no ambiente organizacional Conceitos como os de pilares da segurança da informação e técnicas de proteção da organização foram amplamente abordadas Outro ponto de destaque no desenvolvimento desse trabalho foi a análise crítica a partir das falhas de segurança seguidas de possíveis soluções para os problemas apresentados 8 REFERÊNCIAS Delamaro et al Introdução ao teste de software 2a edição ISBN 9788535226348 Campus 2016 RS Pressman BR Maxim BR Engenharia de Software Uma Abordagem Profissional 8ª edição Ed McGrawHill ISBN 9788563308337 2016 GAMMA E JOHNSON R VLISSIDES JM HELM R FOWLER M Padrões de projeto soluções reutilizáveis de software orientado a objetos Porto Alegre Bookman 2002 364 p TANENBAUM A S WOODHULL A S Sistemas Operacionais Projeto e Implementação 3 ed Porto Alegre Bookman 2008
Send your question to AI and receive an answer instantly
Recommended for you
2
Apresentação e Decomposição Funcional dos Processos da Pcf da Empresa
Engenharia de Software
UNIVATES
25
AWX-Automatizando-Configuracoes-com-Gerenciamento-em-Larga-Escala
Engenharia de Software
UNIVATES
1
Fratura de Jones e Fraturas do Metatarso Guia Completo para Diagnóstico e Tratamento
Engenharia de Software
UNIVATES
62
Diagrama de Casos de Uso Cronograma Fazer
Engenharia de Software
UNIVATES
Preview text
Universidade do Vale do Taquari Univates Segurança em Tecnologia da Informação 2022A Avaliação 3 Política de Segurança em TI Nome Cod Aluno Nome Cod Aluno Política de Segurança em TI Este Trabalho tem como principal objetivo a consolidação e aplicação dos conhecimentos adquiridos previamente em relação à Segurança em Tecnologia da Informação A compreensão deste preceito se faz necessário tendo em vista que a Segurança em TI é de grande relevância pois estabelece conjuntos de procedimentos que visam a integridade dos ativos relacionados com as tecnologias de informação como sistemas de computadores instalações físicas redes processos dados e pessoas Desse modo neste projeto serão trabalhados os conteúdos vistos anteriormente exercitando os conceitos padrões boas práticas e as tecnologias vistas até então Segurança em TI De acordo com os autores Kim e Solomon 2014 a tríade da segurança composta pela confidencialidade integridade e disponibilidade de sistemas visa representar os principais atributos para orientação a análise o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger Confidencialidade A confidencialidade referese à privacidade dos dados da organização Esse conceito é correlato com as ações necessárias para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas organizacionais por meio de ciberataques espionagem entre outras práticas Integridade A integridade corresponde à preservação da precisão consistência e confiabilidade das informações e sistemas da organização ao longo dos processos ou de seu ciclo de vida Disponibilidade A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa ou seja se eles estão acessíveis sempre que necessário Para Stallings 2014 esse entendimento consequentemente nos remete à compreensão de que a segurança é um processo contínuo e alimentado por um conjunto de critérios automatizados ou não para análise feedback e adaptação dos requisitos bem como da definição das soluções de Segurança em TI a serem implementadas Também significa que torna possível a implementação de atualizações e respostas aos incidentes de maneira rápida e holística acompanhando o panorama das mudanças pertinentes a esse tema Estas mudanças acompanhadas pelas organizações buscam soluções que acompanhem as tendências estabelecendo um conjunto de boas práticas por meio de políticas diretrizes e procedimentos de segurança gerenciadas em diferentes instâncias mediante uma gestão mais profissional definindo funções e responsabilidades a todos os envolvidos O conteúdo contido em cada seção que segue é orientativo e portanto não pode ser utilizado como conteúdo do seu trabalho A atividade avaliativa deverá contemplar todas as etapas relacionadas abaixo 1 Caracterização da empresa visão missão objetivos Nome Empresa teste de segurança LTDA Ramo Tratase de uma empresa de software software house com atuação na região sul do Brasil É especializada em ERP corporativo com módulos de RH estoque contabilidade financeiro e compras Atuação Atua em soluções desktop e WEB Características Possui 50 funcionários considerando desenvolvedores analistas e vendedores Todos podem trabalhar com acesso local ou remoto considerando as premissas de homeworking intranet e extranet Tecnologias Faz uso de um Data Center Privado para a manutenção dos softwares da organização e também para armazenamento e acessos remotos dos seus clientes Considera requisitos de continuidade disponibilidade e performance Diferencial A TI é reconhecida como um diferencial estratégico para a organização pois permite além de manter os clientes atuais operando dentro da normalidade dos seus negócios prospectar novas oportunidades de negócios que envolvem necessidades padronizadas eou customizadas de software 2 Política de Segurança da Informação política institucional A Tecnologia da Informação TI vital para a continuidade operacional desta organização vem modificando consideravelmente a relação com o trabalho e a forma de comunicação interna e externa a forma de fazer negócios e consequentemente a forma de armazenar e disponibilizar os dados Reconhecese portanto a necessidade de disciplinar o uso das TICs tecnologias da informação e comunicação com o objetivo central de prover normas de segurança buscando garantir a normalidade nas operações a continuidade da empresa e o reconhecimento dos seus valores por funcionários clientes fornecedores governo e sociedade Objetivos Para tanto o presente documento busca nas normas NBR ISOIEC 27002 NBR ISOIEC 27005 e NBR ISOIEC 31000 e nas leis n 129652014 e nº 137092018 os subsídios para a Política de Segurança da Informação da Empresa modelo SA conscientizando e definindo diretrizes normas e procedimentos necessários e suficientes para estabelecer níveis seguros de Confidencialidade Integridade e Disponibilidade das informações além de garantir a continuidade dos negócios A Empresa modelo SA prima pela atuação em conformidade às principais normas e boas práticas de segurança e a partir destas estabelece um conjunto de controles de segurança com foco na mitigação de riscos e atuação livre de incidentes Tais controles serão aplicados na preservação da tríade da segurança na disponibilização de um sistema de telecomunicação e rede seguro e disponível garantindo o tráfego de informações sensíveis ou públicas incluindo os equipamentos e sistemas que processam e armazenam tais informações Âmbito de aplicação Essa política deve ser aplicada e respeitada por todos os usuários de TICs desta empresa assim como por qualquer funcionário cliente fornecedor visitante ou pessoa custodiante de informações sensíveis Os casos de violação da política de segurança ou exposição indevida de informações confidenciais ou estratégicas serão analisados pela equipe de TI e devidamente encaminhados aos setores de Assessoria Jurídica e Recursos Humanos acompanhados por laudos técnicos Validade A Política de Segurança da Informação PSI integra o texto do Planejamento Estratégico organizacional portanto deve ser revisada e reeditada juntamente com cada versão deste documento 3 Diretrizes de Segurança exemplo da Univates Identificadores senhas e certificados digitais O identificador é a identidade do usuário perante os sistemas de informação O identificador deve ser pessoal intransferível e único para todos os sistemas e será estabelecido quando da efetivação do vínculo do usuário com a Univates Casos específicos como o do encerramento do vínculo do usuário com a Univates serão tratados nas respectivas Normas As senhas são pessoais intransferíveis secretas e de conhecimento e uso exclusivo do usuário Elas devem ser periodicamente trocadas em conformidade com as normas específicas de segurança O certificado digital é um documento eletrônico que possibilita comprovar com validade jurídica a identidade de uma pessoa para assegurar as transações eletrônicas de documentos mensagens e dados 4 Normas de Segurança Identificadores O identificador do usuário userid deve permitir reconhecer a sua identidade mas nunca os seus níveis de privilégio Para isso deverá ser utilizado um identificador com as seguintes regras de construção a Será formado por no máximo 40 caracteres alfanuméricos segundo a regra nomesobrenome Observação 1 A partícula sobrenome será o último nome de família 2 Em caso de homônimos deverá ser acrescentado um numeral correspondente ao nível de coincidência ocorrido 3 Casos de combinações nomesobrenome que possibilitem interpretações de duplo sentido ou pejorativas deverão ser tratados pontualmente pelo Coordenador do NTI mediante solicitação da pessoa interessada 4 Os identificadores em uso serão gradativamente convertidos para esta regra ou a qualquer momento por solicitação do interessado b O identificador deve ser pessoal intransferível e único para todos os sistemas c Os identificadores pertencentes a usuários que forem desligados de suas funções não deverão ser atribuídos a outros usuários Senha Password A senha juntamente com o identificador do usuário userid autentica o usuário e habilita o acesso aos sistemas de acordo com seus direitos de acesso papel O NTI como fiel depositário das senhas deverá resguardar o sigilo das mesmas armazenandoas criptografadas em suporte magnético Regras de construção a As senhas são pessoais e intransferíveis sendo de responsabilidade do usuário assegurar que a sua senha seja secreta e que não seja conhecida por mais ninguém b As senhas fornecidas por padrão na criação de um novo usuário ou implantação de um sistema ou aplicação deverão ser imediatamente alteradas pelo usuário garantindo sua privacidade c A escolha da senha é a critério do usuário ficando este no entanto obrigado a cumprir com as normas de construção de uma senha segura descritas na página de recadastro wwwunivatesbrrecadastro A segurança da senha será testada automaticamente quando da alteração da senha d A Área de TI deve implementar mecanismos que limitem o número de tentativas consecutivas de falhas de autenticação após o que o identificador deve ser bloqueado e A Área de TI deve implementar mecanismos de reativação de senhas mediante a identificação do usuário 5 Procedimentos de Segurança Recuperação da Senha Você deve saber a sua senha atual pois esta será solicitada a título de confirmar a sua identificação Se a senha antiga for confirmada então a nova senha deverá atender a pelo menos três dos requisitos abaixo a ter mais de 10 caracteres b conter letra maiúscula c conter letra minúscula d conter números e conter símbolos como Se não puder confirmar a senha antiga então você deverá ir pessoalmente até o NTI para gerar uma nova senha 6 Introdução ao processo de prevenção contingenciamento e continuidade A prevenção e o contingenciamento são premissas fundamentais nos sistemas de segurança A prevenção tem um caráter mais preventivo e o contingenciamento mais reativo Ambos são importantes e devem estar presentes em qualquer documento de segurança das organizações Prevenção Conceitos e soluções relevantes para a organização considerada para essa disciplina Por que prevenir Contingência Por que contingenciar E se ocorrer uma falha não prevista ou se tudo falhar Para este caso específico é necessário que se pense em um Plano de Continuidade de Negócios PCN O PCN objetiva minimizar as perdas provocadas por um evento de grandes proporções e pode integrar o planejamento estratégico inserindo um processo de Gestão de Continuidade de Negócio Também pode incluir um plano de recuperação Objetiva a preservação da integridade física humana funcionários visitantes clientes terceiros entre outros e a redução dos prejuízos e do impacto decorrente da possível descontinuidade dos serviços ou processo essenciais da organização Essa continuidade operacional é alcançada pela implantação de várias estratégias e ferramentas de acordo com as prioridades identificadas e planos estabelecidos Com a evolução das TICs com a oferta de novos serviços de hospedagem de serviços e servidores em Data Centers remotos e a evolução de soluções de virtualização do Software como Serviço Software as a Service SaaS da Infraestrutura como Serviço Infrastructure as a Service IaaS e da Plataforma como Serviço Platform as a Service PaaS estes planos se tornaram mais viáveis e promissores Outro ponto importante a ser considerado o qual veremos a seguir é a distinção entre contingência e continuidade Por que disponibilizar sistemas redundantes 7 Contextualização Como as normas de segurança podem contribuir para esse processo A seguir é apresentado um texto para embasamento Como a Gestão de Risco está envolvida e como a norma NBR ISOIEC 270022018 pode ser aplicada Considere também a Gestão de Vulnerabilidades A norma NBR ISOIEC 310002018 considera a análise SWOT FOFA em português como uma maneira de entender um pouco mais do contexto de uma organizaçãoPor ser essa uma ferramenta de gestão amplamente utilizada para auxiliar no planejamento estratégico e em novos projetos das organizações Como esse recurso pode ser utilizado no processo da gestão de contingenciamento e continuidade 8 Considerações finais Faça uma análise críticareflexiva sobre o contexto organizacional as ameaças relacionadas os ativos e os níveis de risco associados a cada ATIVO AMEAÇA Justifique as soluções e o plano de contingenciamento ou continuidade e se possível associandoas com as normas pertinentes 9 Referência Bibliográfica ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 270022013 Tecnologia da informação Técnicas de segurança Código de prática para controles de segurança da informação Rio de Janeiro 2013 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 270052018 Tecnologia da informação Técnicas de segurança Gestão de riscos de segurança da informação Rio de Janeiro 2018 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS NBR ISOIEC 310002018 Gestão de riscos princípios e diretrizes Rio de Janeiro 2018 BEZERRA Edson K Gestão de Riscos de TI NBR 27005 Rio de Janeiro RNPESR 2013 KIM David SOLOMON Michael G Fundamentos de Segurança de Sistemas de Informação Rio de Janeiro LTC 2014 Disponível em httpsintegradaminhabibliotecacombrbooks9788521635284 RAMOS Anderson et al Guia Oficial para Formação de Gestores em Segurança da Informação Porto Alegre Editora Zouk 2006 STALLINGS William BROWN Lawrie Segurança de Computadores Princípios e Práticas 2 ed Rio de Janeiro Elsevier Editora LTDA 2014 Cidade Ano NOME DOS AUTORES EM ORDEM ALFABÉTICA DISCIPLINA TÍTULO DO TRABALHO Subtítulo do Trabalho se Houver Cidade Ano TÍTULO DO TRABALHO Subtítulo do Trabalho se Houver Trabalho apresentado como requisito parcial para a obtenção de média semestral Orientadora Profa Nome do professor NOME DOS AUTORES EM ORDEM ALFABÉTICA SUMÁRIO 1 INTRODUÇÃO3 2 CARACTERIZAÇÃO DA EMPRESA4 3 POLITICA DE SEGURANÇA DA INFORMAÇÃO5 4 PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO6 5 falhas de segurança7 6 ANÁLISE CRÍTICA8 1 CONCLUSÃO10 1 INTRODUÇÃO A tecnologia da Informação é um grande instrumento de mudanças na forma como a sociedade se desenvolve No entanto com o avanço das tecnologias informacionais as falhas de segurança também cresceram Este trabalho tem por objetivo apresentar uma análise crítica a partir de um cenário hipotético que contempla diversos conceitos e técnicas fundamentais na área de segurança da informação 2 CARACTERIZAÇÃO DA EMPRESA Nome ClinProg Desenvolvimento de sistemas clínicos RamoProgramaçãomedicina Atuação Desenvolvimento de sistemas clínicos Características Possui 150 funcionários considerando desenvolvedores administradores médicos analistas vendedores marketing Todos podem trabalhar com acesso local ou remoto de acordo com o cronograma de trabalho desenvolvido por cada setor Tecnologias utiliza sistema ERP que roda em nuvem assim como a maioria da infraestrutura da empresa A empresa utiliza os principais sistemas operacionais do mercado principalmente para testes pelo sistema Diferencial empresa especializada na fusão de tecnologia da informação e medicina para a criação de produtos confiáveis e de alto nível de desempenho utilizados em diversos hospitais e clínicas da área médica 3 POLITICA DE SEGURANÇA DA INFORMAÇÃO A Tecnologia da Informação TI está cada dia mais presente nas empresas mudando radicalmente os hábitos e a maneira de comunicação sendo de vital importância a definição de normas de segurança que visem disciplinar o uso da tecnologia A ClinProg baseada na norma NBR ISOIEC 27001 definiu sua Política de Segurança da Informação PSI conscientizando e definindo as normas e procedimentos necessários para proteger a confidencialidade das informações e a continuidade dos negócios A Política de Segurança da Informação tem como principal objetivo documentar e proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio de uma organização padronizando e estabelecendo requisitos mínimos de segurança Garante a proteção das informações entre clientes e empresa nos aspectos de confidencialidade integridade e disponibilidade Confidencialidade Garantia de que o acesso à informação seja obtido apenas por pessoas autorizadas A quebra desse sigilo pode acarretar danos inestimáveis para a empresa ou até mesmo para uma pessoa física Integridade Garantia de que a informação não seja adulterada falsificada ou furtada Disponibilidade Garantia de que a informação esteja disponível sempre que requisitada pelos usuários autorizados mesmo com as interrupções involuntárias de sistemas ou seja não intencionais A PSI aplicase a todos os usuários da empresa e a qualquer colaborador ou pessoa custodiante de informações da ClinProg ou de seus clientes Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual industrial Lei nº 9279 e de direitos autorais Lei nº 9610 A ClinProg entende que o sistema de segurança da informação somente será eficaz com o comprometimento de todos 4 PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO Assinatura Digital É muito usado com chaves públicas e permitem ao destinatário verificar a autenticidade e a integridade da informação recebida Além disso uma assinatura digital não permite o repúdio isto é o emitente não pode alegar que não realizou a ação A chave é integrada ao documento com isso se houver alguma alteração de informação invalida o documento Sistemas biométricos Utilizam características físicas da pessoa como os olhos retina dedos digitais palma da mão ou voz Firewall É um mecanismo de controle do tráfego de dados entre os computadores de uma rede interna e destes com outras redes externas 5 FALHAS DE SEGURANÇA Os colaboradores externos da ClinProg utilizam uma conexão remota direta com os servidores da empresa que está publicado para a internet Nesse acesso eles encontram as ferramentas de desenvolvimento e acesso a todo o ambiente da empresa mas costumam instalar versões e softwares que estão mais habituados afinal de contas precisam entregar suas atividades o mais rápido possível mesmo não sabendo bem se poderiam instalar ou não esses softwares dentro do ambiente que acessam Eles também desconhecem se o uso de equipamentos pessoais é permitido uma vez que os equipamentos disponibilizados pela empresa muitas vezes são insuficientes ou muito lentos para algumas atividades Atualmente não existe ambiente de desenvolvimento teste e produção separados o que acaba gerando algumas falhas de acesso e até mesmo ocorrem problemas com atualização indevida do ambiente dos clientes gerando lentidão falhas e muita reclamação Já teve caso de o serviço ficar parado por horas Sobre a infraestrutura do sistema ele é hospedado e armazenado em Data Center local além do armazenamento em nuvem na sede da empresa em uma área térrea as margens do Rio Pinheiros Fisicamente o espaço comporta todos os servidores necessários possui 1 um arcondicionado de conforto e 1 um nobreak com baterias que duram cerca de 40 minutos caso a energia venha a faltar A conexão externa é realizada por 2 dois provedores de internet ambos por fibra ótica que chegam de forma aérea no posto em frente à sede Os servidores são mistos ou seja existem servidores mais novos em garantia e outros antigos e sem contrato de garantia e suporte ativo com o fabricante Quando um equipamento tem falha de hardware fonte disco memória etc o time de infraestrutura busca em empresas especializadas de São Paulo em peças de reposição para resolver o problema 6 ANÁLISE CRÍTICA A partir da análise de cenário realizada sobre a empresa descrita é possível destacar as seguintes vulnerabilidades Vulnerabilidade 1 primeiramente o descritivo da empresa informa que os colaboradores externos costumam instalar versões de softwares sem conhecimento sobre as políticas da empresa sobre esse tipo de prática Essa vulnerabilidade pode ser classificada como vulnerabilidade de software visto que os colaboradores estão realizando instalações indevidas de programas sem o conhecimento de um usuário ou administrador de rede responsável por essa atividade A partir da vulnerabilidade apresentada é possível destacar as seguintes ameaças Ameaça Involuntária os colaboradores realizam essas instalações de softwares com o intuito de tornar o seu trabalho cada vez mais produtivo No entanto acabam esquecendo de comunicar a empresa para saber se os programa utilizados são permitidos e se existe alguma politica na empresa para o seu uso Uma possivel solução para este problema seria a criação ou atualização de uma politica de segurança de informação que contemple as ações a serem tomadas pelos colaboradores para a utilização de softwares e equipamento não especificados pela empresa além de workshops voltados para o uso de softwares indevidos no ambiente de trabalho Vulnerabilidade 2 a segundo vulnerabilidade identificada na descrição das atividades da empresa está relacionada à inexistência de um ambiente de desenvolvimento unindo desenvolvimento teste e produção em um único meio Essa vulnerabilidade está classificada como vulnerabilidade de comunicação visto que a empresa carece de um ambiente de qualidade para separar desenvolvimento teste e produção Essa vulnerabilidade é altamente prejudicial principalmente para o cliente final que terá problemas em validar novas versões do software desenvolvido pela empresa A partir da vulnerabilidade apresentada é possível destacar as seguintes ameaças Ameaça Involuntária os responsáveis pela criação e manutenção dos ambientes de desenvolvimento por descuido não procuraram solucionar o problema Uma solução para sanar esse problema seria o treinamento da equipe responsável pelo ambiente de desenvolvimento ou em último caso a substituição da equipe Ameaça intencional colaborados descontentes com o seu trabalho na empresa poderiam de forma maliciosa manter intencionalmente o ambiente de desenvolvimento com problema com o intuito de causar danos para a empresa Para resolver esse problema uma possivel solução para resolver o problema seria a substituição dos responsáveis pelo ambiente de desenvolvimento Vulnerabilidade 3 é descrito no cenário da ClinProg que a empresa possui uma infraestrutura para o seu sistema onde o Data Center em que é hospedado e armazenado fica localizado na sede da empresa em uma área térreas às margens de um rio Esse ponto pode ser considerado uma vulnerabilidade natural pois está sujeito a colocar em risco as informações pela proximidade do rio com a infraestrutura do sistema A partir da vulnerabilidade apresentada é possível destacar as seguintes ameaças Ameaça natural é considerada uma ameaça natural por se tratar de uma infraestrutura que está localizada às margens de um rio o que pode causar a perda total ou parcial dos equipamentos em caso de enchente ou terremoto por exemplo Uma possivel solução para que essa ameaça não se concretize é a mudança do local onde está localizada a infraestrutura para um ponto físico onde as ameaças envolvendo desastres naturais possam ser reduzidas Ameaça Involuntária os responsáveis pela definição do local provavelmente não se atentaram para a ameaça que aquela escolha de local físico poderia gerar Uma possível solução para previnir essa vulnerabilidade é a realização de pequenos treinamentos sobre a importância do local físico para o armazenamento da infraestrutura do sistema 1 CONCLUSÃO O trabalho desenvolvido teve por objetivo apresentar por meio de um cenário envolvendo uma empresa fictícia alguns dos conceitos mais fundamentais de segurança da informação e como ela é aplicada no ambiente organizacional Conceitos como os de pilares da segurança da informação e técnicas de proteção da organização foram amplamente abordadas Outro ponto de destaque no desenvolvimento desse trabalho foi a análise crítica a partir das falhas de segurança seguidas de possíveis soluções para os problemas apresentados 8 REFERÊNCIAS Delamaro et al Introdução ao teste de software 2a edição ISBN 9788535226348 Campus 2016 RS Pressman BR Maxim BR Engenharia de Software Uma Abordagem Profissional 8ª edição Ed McGrawHill ISBN 9788563308337 2016 GAMMA E JOHNSON R VLISSIDES JM HELM R FOWLER M Padrões de projeto soluções reutilizáveis de software orientado a objetos Porto Alegre Bookman 2002 364 p TANENBAUM A S WOODHULL A S Sistemas Operacionais Projeto e Implementação 3 ed Porto Alegre Bookman 2008