EAD LAUREATE

Marcos Guilherme Perdomo de Castro

AUDITORIA DE SEGURANCA DA INFORMAÇÃO

São Paulo
2021
O caso da Solution Paper é prova viva de que apenas a utilização de meios
tecnológicos como garantia de nível de segurança, jamais será o bastante sem
que haja meios e gestão para que uma política de segurança seja
implementada e executada. A tecnologia é somente um meio para atingir dado
objetivo e não um fim em si mesma. Abaixo referencio quais são as melhores
medidas a serem tomadas para garantir a continuidade de negócio e
segurança de nosso case:
SEGURANÇA GERAL- Um dos maiores desafios os últimos anos está
relacionado a garantir a segurança dos meios digitais. De acordo com o olhar
digital, só em 2021 no Brasil no período da pandemia, tivemos um aumento de
mais de 860% nos casos. A adesão das boas práticas e recomendações tanto
da ABNT NBR ISO/IEC 27001 como da ABNT NBR ISO/IEC 27002 para que
se consiga mitigar quaisquer tipos de riscos atrelados à segurança da
informação, assim como trabalhar de forma preventiva, evitando eventos
futuros que possam prejudicar a reputação da organização, seus clientes e
colocar seu patrimônio em risco.
Antes de iniciar qualquer processo de adesão à quaisquer normas, frameworks
ou guia de boas práticas, sempre se faz necessário criar o que na área de
levantamento de requisitos, chamamos de Landscape ( panorama) acerca da
situação atual, seja de estrutura física, incluindo distribuição geográfica,
infraestrutura de tecnologia e apoio, ativos de software, hardware,
disponibilidade técnica e muito mais.
SEGURANÇA FÍSICA- Nota-se o total descontrole e falta de gestão no que se
refere a segurança física dos documentos, tanto desde a Cleuza que é
responsável por manipular os dados no ERP, até mesmo Roberval
encarregado de entregar as notas e romaneio aos caminhoneiros. Há a
necessidade imediata de haver controles conforme PCI que além de reforçar os
controles, absorvem camadas de auditorias simples que podem ser
implementadas no dia a dia, como rondas frequentes afim de verificar se as
pessoas autorizadas estão em suas respectivas áreas, se dispositivos físicos
estão em local permitido e fora do alcance de pessoas não autorizadas assim
como documentos e etc..
SEGURANÇA DOS DADOS – Juntamente com o responsável de TI, Wagner,
fazer uma auditoria completa em relação a todo parque tecnológico, camadas
de segurança digital como segurança perimetral da rede, identidade e acesso,
subnets, firewalls, antivírus, antimalware e suas configurações.
Verificar quais são as medidas de segurança provenientes do sistema de ERP
para garantir como se dá a transferência dos dados e informações e
principalmente implementar uma solução robusta de antiphishing, uma vez que
essa é a mais conhecida prática de engenharia social e principal recurso
utilizado para clonar boletos hoje em dia.
DESFECHO – Após todas as medidas tomadas, há a necessidade imediata em
entrar em contato com o banco gerador dos boletos afim de que uma nova
chave seja gerada para garantir que após a concretização de todas as medidas
de segurança, todos os boletos a partir de agora tenham nova chave.
E como última instância de tecnologia e segurança, criar um calendário onde
ao menos anualmente haja testes de penetração para identificar e mitigar
quaisquer riscos de caráter de invasão, exposição e sequestro de informação.

REFERÊNCIAS
ARIMA, CARLOS. – Auditoria do negócio com TI - 1º Ed. Benvirá 2018
WESTERMAN, GEROGE. – O Risco de TI - 1ª Ed., M.Books, 2008.
DONEDA, DANILO. – Da privacidade à proteção de dados pessoais 9º Ed.
2019