A SEGURANÇA E AUDITORIA DE SISTEMAS

UNIVERSIDADE VEIGA DE ALMEIDA

 SEGURANÇA E AUDITORIA DE SISTEMAS

Trabalho apresentado à Universidade Veiga de Almeida para obtenção da nota AVA 1: Erros na gestão da segurança da informação.

Cinco etapas para promover a segurança de redes entre a TI e a diretoria

1. Melhore a segurança de TI no nível do conselho

Comece com um discurso interno da equipe de TI ou CIO (Diretor de Tecnologia da Informação), descrevendo as medidas de segurança existentes, estratégias e procedimentos relacionados e exemplos de ataques reais que ocorreram no sistema. Os ataques principais podem não ser novos, mas os ataques constantes e a complexidade podem surpreendê-lo. Peça a consultores externos para avaliar o conselho. Esses especialistas podem orientá-lo na análise de sua estratégia de segurança de rede.

1. Transforme a mentalidade de segurança

Quando os controles virtuais podem identificar vulnerabilidades contínuas e prevenir efeitos colaterais adversos, os invasores digitais não são o fim do mundo. Se você confirmar que nenhum dado de cliente foi afetado e que o dano foi limitado, então sua empresa estará em boa forma porque é honesta sobre o que aconteceu e está totalmente preparada para minimizar os possíveis danos futuros.

1. Siga os protocolos pós-ataque corretamente. 

É planejar as respostas com antecedência. Quem vai falar com a imprensa? Com as partes interessadas? E com acionistas? O que eles vão dizer? Essas decisões devem ser tomadas no nível da diretoria, comunicadas e ensaiadas para que todos saibam o que fazer em caso de desastre virtual.

1. A segurança começa em casa

Os ataques mais bem-sucedidos são causados ​​por falhas internas. Exemplo: O vice-presidente executivo esqueceu o celular no restaurante. O gerente da loja que abre o e-mail desconhecido. A diretoria precisa promover a mudança cultural nessa área e desenvolver treinamentos e procedimentos para transmitir a mensagem de que a segurança cibernética é a principal prioridade para proteger a empresa.

1. Defina a alocação de recursos de forma adequada

O orçamento de TI alocado geralmente não inclui as melhorias necessárias em pessoas, planos estratégicos e táticos ou implantação de equipamentos. O conselho de administração não deve apenas priorizar a segurança da organização, mas também deve fazer os preparativos adequados.

Diagnóstico dos possíveis erros da empresa SELF IT

         Com base no discurso da equipe de TI ou CIO (Diretor de Tecnologia da Informação), descrever as medidas de segurança existentes, políticas e procedimentos relacionados e exemplos de ataques reais que ocorrem no sistema. Pedindo a consultores externos para avaliar o conselho. Esses especialistas podem orientá-lo na análise de sua estratégia de segurança de rede.

Os seguintes erros foram diagnosticados: faltam de investimento em segurança da informação, não ter controle sobre as alterações do sistema, falha na rotina de backup, ausência de políticas de segurança, profissionais inexperientes e não fazer o plano de gerenciamento de riscos. A seguir abordaremos cada risco com mais detalhes.

Seis erros em gestão e segurança da informação

1. Falta de investimento em segurança

Um dos principais motivos dos prejuízos da empresa é a falta de investimentos na área de segurança da informação. Com o desenvolvimento da tecnologia, as empresas estão cada vez mais dependentes do sistema e, portanto, vulneráveis ​​a vulnerabilidades. Nesse caso, é importante definir estratégias específicas para manter a proteção dos dados da empresa e do cliente. A segurança da informação é uma área estratégica da TI, que lida diretamente com a melhoria contínua de software, e hardware para evitar que as informações sejam perdidas ou roubadas.

1. Não ter controle sobre as alterações do sistema

Com a inovação contínua e as características dinâmicas das empresas mais modernas, é natural que haja mudanças contínuas nos sistemas de TI. No entanto, tais alterações devem ser devidamente registradas para evitar erros devido à falta de documentação suficiente ou notificação de outros funcionários. Todas as alterações ocorridas internamente devem ser registradas e mantidas, principalmente aquelas relacionadas à demissão ou transferência de funcionários. Isso deve ser registrado, arquivado, notificado e excluído (se aplicável) para garantir que a segurança e a produtividade da empresa - alterações não documentadas no sistema podem afetar a proteção de dados, levando a erros graves e vulnerabilidades.

...