Segurança Informação Unicarioca

1 - RELATÓRIO GERENCIAL

Seguem abaixo a lista de relatórios encaminhada à diretoria a fim de identificar os riscos à segurança da informação com o objetivo de propor medidas de controle em nosso ambiente de trabalho.

RELATÓRIO N° 1

• Elemento vulnerável identificado:
Existem 16 estações de trabalho com Windows XP e outras 2 com Windows 98.

• Vulnerabilidades, ameaças e risco:
O principal risco para o uso do Windows XP é o de segurança. Segundo notícia publicada no site Techtudo, a Microsoft não fará mais atualizações de segurança e nem dará mais suporte virtual ou por telefone.

• Previsão de impactos:
O fim do suporte implica em um risco associado de que o PC, suas informações, seus dados, suas fotos, possam se perder caso ocorra uma invasão, por exemplo. Evento que o usuário pode perceber e não perceber.

• Medidas de controle a fazer:
Atualizar os softwares de todas as máquinas.

• Custo benefício da medida:
O custo de atualizações de cada máquina é de R$699 para o Windows 8 Pro, como são 16 máquinas com XP e 2 com 98, se totalizam a R$12.582. Considerando que é o software ideal para empresas por ter funções de criptografia, Windows Media Center e outros recursos, também pode citar a loja com aplicativos que hoje é muito utilizada e fácil de ser desenvolvida. Por mais que tenha dificuldades de adaptação por parte dos funcionários, breve será notado que a dificuldade não é tanta assim e que o custo benefício é muito vantajoso para a empresa.

RELATÓRIO N° 2

• Elemento vulnerávelidentificado:
Existem 5 estações de trabalho sem ferramenta antivírus instalada por insistência de seus usuários.

• Vulnerabilidades, ameaças e risco:
A falta de antivírus em algumas máquinas pode atrapalhar o bom funcionamento da empresa com vírus, malwares , cookies indesejados entre outras ameaças, acarretando uma maior manutenção nas mesmas e também podendo ameaçar outras máquinas que estão na mesma rede da empresa incluindo o servidor. Gerando um possível transtorno.

• Previsão de impactos:
Estações de trabalho paradas, negócios interrompidos.

• Medidas de controle a fazer:
Instalação de antivírus nas máquinas seguindo padrão de instalação dos restantes das máquinas.

• Custo benefício da medida:
Baixo custo benefício, uma vez que os antivírus instalados nas máquinas previnem as mesmas de vírus, malwares ou outros possíveis ataques.

RELATÓRIO N° 3

• Elemento vulnerável identificado:
É prática comum o compartilhamento de arquivos por meio de mapeamento de disco nas estações de trabalho, geralmente com acesso livre a todos.

• Vulnerabilidades, ameaças e risco:
Vazamento de informações ou arquivos de total importância da empresa que contenham informações sigilosas, para pessoas de dentro ou de fora da empresa (concorrentes).

• Previsão de impactos:
Perdas de negócios por motivos de vazamento de informação para empresas concorrentes. 

• Medidas de controle a fazer:
Implantação de permissão de acesso a arquivos ou pastas, para que somente pessoas que possuam permissão possam saber do que é de comum ao seu trabalho evitando o vazamento de informação. 

• Custo benefício da medida:
Custo zero uma vez que a empresa possua umresponsável de TI. Caso contrário contratação de um funcionário que fique responsável por essa e outras medidas que possam ser tomadas. 

RELATÓRIO N° 4

• Elemento vulnerável identificado:
Algumas impressoras, de uso coletivo, se encontram em área de acesso público.

• Vulnerabilidades, ameaças e risco:
Vazamento de informações que podem ser utilizadas por pessoas de fora da empresa ou até mesmo pelas próprias pessoas de dentro da empresa. Uma vez que a impressora estando em local público, pessoas de fora da empresa ou até mesmo de dentro da empresa que não possam saber de tal informação se prevaleçam de tais informações para benefício próprio ou de terceiros através da informação impressa.

• Previsão de impactos:
Vazamentos de informações que possam prejudicar a empresa com perdas de negócios por tal motivo ou até mesmo informações vazadas prejudicarem a empresa em uma determinada decisão para seu benefício.

• Medidas de controle a fazer:
Implantação das impressoras em cada setor para que assim não possa haver troca de informação. Sendo assim cada setor usaria sua impressora de uso coletivo para aquele determinado setor.

• Custo benefício da medida:
É prioridade de a empresa cuidar para que não haja vazamento de informação nem de forma interna ou externa, ou seja, não afetando o andamento da empresa.

RELATÓRIO N° 5

• Elemento vulnerável identificado:
As fragmentadoras de papéis dos segundo e terceiro andares não funcionam.

• Vulnerabilidades, ameaças e risco:
Vazamento de informações, uma vez que a informação impressa não sendo descartada de forma correta possa vir a prejudicar a empresa em negociações ou até mesmo em decisões quepossam ser tomadas para o benefício da mesma.

• Previsão de impactos:
Perdas de negócios ou transtorno em tomadas de decisões internas ou externas que possam beneficiar a empresa.

• Medidas de controle a fazer:
Implantação de novas fragmentadoras para que a informação impressa não possa ser conduzida. Uma vez que a informação impressa depois de utilizada possa ser descartada de forma correta. 

• Custo benefício da medida:
É prioridade de a empresa cuidar para que não haja vazamento de informação nem de forma interna ou externa, ou seja, não afetando o andamento da empresa.

RELATÓRIO N° 6

• Elemento vulnerável identificado:
Durante uma forte chuva recente foi verificada infiltração no telhado e entrada de água no shaft do cabeamento vertical, com acúmulo em alguns Wiring Closets (salas com equipamentos de interconexão, como switches).

• Vulnerabilidades, ameaças e risco:
Os cabeamentos e as salas de equipamentos de interconexão podem sofrer curtos com a água e parando a conexão de sistemas e equipamentos da empresa.

• Previsão de impactos:
Perda de equipamentos, sistema parado e negócios interrompidos.

• Medidas de controle a fazer:
Reformar o telhado onde ocorreu o sinistro, enxugar/secar cabeamentos e equipamentos atingidos.

• Custo benefício da medida:
É prioridade impedir o ocorrido para não afetar o andamento da empresa.

N° 7 - Após um defeito no nobreak do terceiro andar, os computadores daquele piso estão conectados diretamente à rede elétrica da concessionária. São comuns as reclamações de picos e quedas de energia.

Vulnerabilidade: defeito no nobreak do terceiro andar


• Vulnerabilidades, ameaças e riscos:
A falta denobreak compromete não só na segurança física como na segurança lógica. Os computadores sendo ligados diretamente na rede elétrica corre o risco de, numa falta de energia, uma série de complicações, tais como: perda de dados não salvos, bugs, software comprometido (pode causar erro ao iniciar), hardware danificado (queima de alguma peça), danos na rede elétrica (comprometendo também qualquer outro aparelho da empresa) atrasando os projetos da empresa.

• Previsão de impactos:
Pode causar grandes impactos gerando altos custos dependendo do que for atingido, e podendo também causar danos irreparáveis como informações que não foram feitas backup e não ter como resgatá-las.

• Medidas de controle a fazer:
Necessário urgentemente a compra de um novo nobreak analisando as condições do ambiente onde será utilizado, como quantidade de aparelhos que serão ligados no nobreak para solicitar a capacidade específica e inspecionar se a área é refrigerada para não acontecer aquecimentos danificando novamente.

• Custo benefício da medida:
Baixo custo benefício. O uso de nobreak preserva a vida útil do aparelho evitando prejuízo e perdas.

RELATÓRIO N° 8

• Elemento vulnerável identificado:
O sistema de gestão de serviços e atendimentos está hospedado em um servidor subdimensionado. Rotineiramente o banco de dados precisa ser reiniciado para que o sistema retome sua operação normal.

• Vulnerabilidades, ameaças e risco:
O pouco espaço em disco, e/ou configuração de processador e memória RAM inferior ao necessário faz com que o sistema trave. 

• Previsão de impactos:
A paralisação do sistema causa grandes prejuízos na empresa. É sempre necessário que alguém reinicie o sistema e quando acontece com expediente fechado e nos fins de semana só será feito no próximo dia útil.

• Medidas de controle a fazer:
Montar um servidor com a configuração suportada pelo sistema e se possível, ter uma segunda máquina a nível de contingência.

• Custo benefício da medida:
O valor gasto nas máquinas é um investimento para a empresa fazendo ter competência para o sistema agir como deve ser feito e assim, evita prejuízos nos negócios que tinham quando não funcionava.


RELATÓRIO N° 9

• Elemento vulnerável identificado:
Após uma variação no fornecimento de energia elétrica, o ar-condicionado da sala de servidores pode desligar, sendo necessária intervenção manual.

• Vulnerabilidades, ameaças e risco:
É possível que todo sistema da empresa entre em colapso, assim como a presença de pessoas não autorizadas na sala dos servidores dependendodo horário que poderia vir a acontecer a falta de energia.

• Previsão de impactos:
Paralização do sistema da empresa.

• Medidas de controle a fazer:
Suprir a possível falta de energia com nobreaks ou geradores que possam manter um período mínimo das salas dos servidores em funcionamento. Ter cadastrados os funcionários aptos a adentrar na sala de servidores.

• Custo benefício da medida:
De imediato com baixo custo seria a aquisição de pequenos nobreaks com o intuito de continuar o fornecimento de energia pelo menos temporário, para que seja salvo o trabalho realizado no momento.

RELATÓRIO N° 10

• Elemento vulnerável identificado:
O site corporativo, na internet, concentra quase toda a documentação e contratos da empresa. O acesso a ele requer o uso de senhas que devem ser digitadas diversas vezes ao longo da navegação, o que gerou o descontentamento dos usuários. Porém, alguém descobriu, e distribuiu a informação, de que o site pode ser acessado com o login ‘admin’ (senha ‘123’), que só precisa ser digitado uma vez e fornece acesso irrestrito a todos os documentos armazenados.

• Vulnerabilidades, ameaças e risco:
Vazamento de informações contratuais da empresa, podem gerar um risco inestimável a organização. 

• Previsão de impactos:
Descontentamento entre funcionários, pois cada um saberia da informação contratual do outro. Outras empresas poderiam usar dessas informações para conseguir contratos melhores.

• Medidas de controle a fazer:
Mudar a senha admin imediatamente, bem como procurar fazer no futuro intervenções no site corporativo para tornar o uso mais compacto e menos burocrático, se possível.

• Custo benefício damedida:
Baixo custo para a mudança de senha e um custo alto para elaborar processos mais velozes e mudança de site.

RELATÓRIO N° 11

• Elemento vulnerável identificado:
Não há uma sala de espera no prédio e poucas salas de reunião, onde convidados e fornecedores externos possam ser conduzidos. Em geral as discussões, entre poucas pessoas, acontecem nas mesas de trabalho dos funcionários envolvidos.

• Vulnerabilidades, ameaças e risco:
Documentos importantes da empresa ou dos funcionários a amostra. Fica em evidência o modo de funcionamento da empresa bem como todas as medidas que são adotadas em um dia de trabalho.

• Previsão de impactos:
Visitantes podem elaborar uma visão errada do funcionamento da empresa, arquivos importantes ficam expostos sobre à mesa podendo haver vazamento de informação

• Medidas de controle a fazer:
Criar uma sala para receber essas visitas, reuniões. Ter um serviço de recepção para poder organizar as visitas e agendar uso da sala de reunião

• Custo benefício da medida:
Custo elevado se a organização não possuir espaço adequado, mas necessário para evitar vazamento de informações.

3 – CONCLUSÃO

A informação como qualquer outro ativo importante, é essencial para os negócios de uma organização e necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectados, as empresas tem necessidade garantir e proteger a informação de ameaças e vulnerabilidades

4 - REFERÊNCIAS BIBLIOGRÁFICAS

Fonte de informação pelo link: 
http://www.techtudo.com.br/noticias/noticia/2014/04/tire-toda-suas-duvidas-sobre-o-fim-do-suporte-windows-xp-entenda.html

...