Mecanismos de Segurança de Dados

1. Utilize uma Organização\Empresa (Real ou Fictícia; não há necessidade de citar o nome verdadeiro da organização) “a sua escolha” como modelo onde possam ser aplicados alguns “Mecanismos de Segurança” (Alguns exemplos de Mecanismos de Segurança: Anti-vírus, Firewall, IDS, IPS, Threat Center, Criptografia, Backup, Assinatura Digital, entre tantos outros.) ou Modelos de Governança de TI (Alguns exemplos de Modelos de Governança de TI: ITIL, COBIT, Val IT, Risk IT, SCRUM, CMM, BSC, entre tantos outros.). Obs.: Não limite se a utilizar somente os exemplos supra citados, como dito: “são exemplos” NÃO HÁ OBRIGAÇÃO para utilização dos mesmos. Leve em consideração que os “Mecanismos de Segurança” escolhidos devem garantir os Pilares da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.

Resposta: Iremos falar da empresa GAT, que atua no ramo logístico há 20 anos, situada em Guarulhos-SP, que hoje atende 15 clientes do ramo farmacêutico e de lubrificantes automotivos. Apresentaremos um panorama geral da atual situação da área de TI e, mais especificamente, iremos apresentar propostas de melhorias que possam garantir os Pilares da Segurança da Informação de alguns ativos da informação, segundo a norma ISO/IEC 17799:2000.

2. Cite o Foco\Segmento de Negócio da Organização escolhida e o cenário atual ao qual se encontra a TI. Há limitações em aquisição e/ou implementação de tecnologia. A TI atualmente atende as necessidade do negócio?

Resposta: A empresa atua no ramo logístico, tendo como foco o armazenamento e distribuição dos produtos de seus clientes para destino final. Distribuição facilitada pela sua localização próxima as principais rodovias do estado.

A TI atualmente é composta pelo Data Center que está alocado fisicamente com os servidores de arquivos, e-mail, firewall, impressão, banco de dados, proxy, dns e backup espelhados e existe uma replicação em nuvem do backup. Devido sua localização estar na divisa das cidades de São Paulo e Guarulhos, a mesma utiliza-se de dois links (redundância), um de cada cidade. A estrutura de rede utilizada está em topologia estrela e 65 Thinclient são usados e conectados ao Windows Server 2012 e gerenciados pelo Active Directory, onde o acesso ao servidor é feito por meio de permissão NTFS. A empresa utiliza Certificado Digital Tipo A para assinatura das suas atividades e documentos fiscais e para protecão das workstations utiliza o serviços de Antivírus da McAfee.

Existem limitações nas aquisições e implementações de tecnologia, pois com

base e coleta dessas informações, percebemos que à TI não está totalmente alinhada ao negócio e existe a dificuldade em mostrar a importância dessas implementações aos diretores e pessoas responsáveis.

Hoje a TI atende as necessidades do negócio, utilizando e gerenciando o WMS (STORE) e o ERP (RODOPAR), porém entendemos que eles focaram somente no serviços logístico e deixaram a TI em segundo plano e, consequentemente, existem riscos e lacunas a serem preenchidas no quesito segurança de dados e, até mesmo, na implementação de um modelo de governança de TI através do ITIL.

3. Cite a necessidade da TI para fazer jus à utilização dos Mecanismos de Segurança e\ou Modelos de Governança de TI escolhido.

Resposta: Entendemos que os serviços de antivírus, backup local, replicação em nuvem, servidor de firewal, certificado digital e gerenciamento de usuários através do AD são importantes aliados no combate a riscos, ameaças e vulnerabilidades e podem garantir alguns dos pilares da Segurança da Informação, mas devido ao grande fluxo de dados e arquivos dos clientes, fornecedores e colaboradores, além do número de usuários que fazem uso de informações importantes, identificamos a necessidade de implementação de Mecanismos de Segurança:

- em conjunto ao Firewall, a implementação do IDS e IPS, sendo o IDS responsável por detectar a intrusão, mas somente com função de avisar e o IPS que atua no bloqueio da porta do Firewall;

- troca do Certificado Digital Tipo A, que apenas assina o documento pelo Certificado Digital Tipo S, que garante o sigilo e confidencialidade através de criptografia de dados.

- utilização de Hash para verificar a integridade de um arquivo obtido através de internet, trocas de e-mail e também armazenado em wokstations ou backups;

- a abertura dos chamados que é atualmente realizada através de ligação diretamente no Service desk e agora passará a ser feita por abertura de chamados pelo usuário diretamente na intranet da empresa;

- limitação de destinatários por envio

...