Segurança da Informação
Por: michael.resende • 25/6/2015 • Trabalho acadêmico • 749 Palavras (3 Páginas) • 171 Visualizações
UNICARIOCA
SEGURANÇA DA INFORMAÇÃO 2015.1
ATIVIDADE SUPERVISIONADA
Proposta da atividade:
Você é o CIO em uma empresa. Seguindo uma das diretrizes da empresa, que é a adoção de práticas de segurança da informação, você iniciou um processo de identificação de riscos à segurança da informação e proposição de medidas de controle.
Como ponto de partida, você pediu a seus colaboradores para relacionarem elementos que eles considerem vulneráveis e, a partir desses dados, deverá elaborar um relatório que será entregue à Diretoria.
Abaixo está a relação consolidada de elementos vulneráveis identificados pelos colaboradores, porém sem detalhamento ou explicações:
- Existem 16 estações de trabalho com Windows XP e outras 2 com Windows 98.
- Existem 5 estações de trabalho sem ferramenta antivírus instalada por insistência de seus usuários.
- É prática comum o compartilhamento de arquivos por meio de mapeamento de disco nas estações de trabalho, geralmente com acesso livre a todos.
- Algumas impressoras, de uso coletivo, se encontram em área de acesso público.
- As fragmentadoras de papeis dos segundo e terceiro andares não funcionam.
- Durante uma forte chuva recente foi verificada infiltração no telhado e entrada de água no shaft do cabeamento vertical, com acúmulo em alguns Wiring Closets (salas com equipamentos de interconexão, como switches).
- Após um defeito no nobreak do terceiro andar, os computadores daquele piso estão conectados diretamente à rede elétrica da concessionária. São comuns as reclamações de picos e quedas de energia.
- O sistema de gestão de serviços e atendimentos está hospedado em um servidor subdimensionado. Rotineiramente o banco de dados precisa ser reiniciado para que o sistema retome sua operação normal.
- Após uma variação no fornecimento de energia elétrica, o ar-condicionado da sala de servidores pode desligar, sendo necessária intervenção manual.
- O site corporativo, na intranet, concentra quase toda a documentação e contratos da empresa. O acesso a ele requer o uso de senhas, que devem ser digitadas diversas vezes ao longo da navegação, o que gerou o descontentamento dos usuários. Porém, alguém descobriu, e ‘espalhou’ a informação, de que o site pode ser acessado com o login ‘admin’ (senha ‘123’), que só precisa ser digitado uma vez e fornece acesso irrestrito a todos os documentos armazenados.
- Recentemente os servidores que hospedam o site da empresa sofreram um ataque do tipo DDoS. O site possui serviços de e-commerce, newsletter e aplicações, de maneira que além de prejudicar os usuários, gerou prejuízos à corporação.
O relatório:
Utilize como base as normas ABNT NBR ISO/IEC 27001 e 27002 para:
- Fazer um levantamento considerando as vulnerabilidades, ameaças e riscos, e inclua uma previsão de impactos, para cada um dos itens acima.
- Detalhar os componentes da segurança de informação em risco e sugira de medidas de controle adequadas, levando-se em conta o custo-benefício envolvido.
- Identificar riscos residuais, indique-os e esclarecendo o porquê das tolerância, se houverem.
Você deverá elaborar um relatório técnico (e não acadêmico) que será entregue aos seus superiores, portanto, cuidado com a formatação e atenção às explicações. Pesquise na internet quando precisar de mais informações e sempre justifique suas decisões. Não se esqueça de inserir no final do relatório todas as referências utilizadas, como livros, sites, bem como as normas técnicas.
...