Estudo de Caso

Empresa Fictícia- Equipment Solution.com

Localizada no município de Franco da Rocha, segue no ramo de e-commerce para produtos

tecnológicos. Há 12 anos no mercado, possui uma ótima localização, entre tantas lojas, comércios e
postos de gasolina da região.
A organização disponibiliza na internet o aplicativo para aquisição dos produtos. Ao entrar no site, o
cliente consulta o catálogo dos produtos para revenda e mediante um cadastro solicita a compra.
O fluxograma do processo de uso da aplicação é ilustrado na figura abaixo.

Cliente → site Web → Compra Produtos → Insere Dados → servidor recebe dados → dep.
Compras e vendas → retorna dados ao cliente.

Há vários responsáveis pelos setores envolvidos no processo de compra, e dentre os ativos

tecnológicos, menciona-se.

– servidor de firewall
– servidor de banco de dados
– servidor gerenciador de usuários
– servidor de backup
– servidor de internet/e-mail
– servidor com aplicação web
– roteadores
– switchs
– estações de trabalho

Os servidores se comunicam por um switch interligado a um firewall com saída para a internet
através de um roteador.

Descoberta de Vulnerabilidades

O questionário abaixo foi realizado e vulnerabilidades foram encontradas.

Check List para descoberta de Vulnerabilidades (Processos)

Item de Controle Sim Não Parcialmente

(implementado) implementado
Contas e senhas

As senhas contêm pelo menos oito caracteres x

São usadas senhas diferentes para cada serviço? x
São alteradas com frequência x
Programas leitores de e-mails
Seu programa está sempre atualizado x
Os usuários não clicam em links no conteúdo do e- x
mail.
Estão desabilitadas as opções que permitem abrir ou x
executar automaticamente arquivos ou programas
anexados às mensagens
Os usuários não costumam abrir arquivos ou executar x
programas anexados aos e-mails, sem antes verificá-
los com um antivirus
Os usuários evitam utilizar o seu programa leitor de e- x
mails como browser, desligando as opções de
execução de JavaScript e Java e o modo de
visualização de e-mails no formato HTML
Browsers
O browser está sempre atualizado nas estações? x
Os usuários certificam-se a procedência do site e da x
utilização de conexões seguras ao realizar transações
via web
Os usuários somente acessam sites de instituições x
financeiras e de comercio eletrônico digitando o
endereço diretamente no browser
Programas de troca de mensagens
Os usuários não aceitam arquivos de pessoas x
desconhecidas, principalmente programas de
computadores
Os usuários utilizam um bom antivírus, sempre x
atualizado, para verificar todo e qualquer arquivo ou
software obtido, mesmo que venha de pessoas
conhecidas
O cliente usado para troca de mensagens está X
configurado para ocultar o endereço IP da estação
Compartilhamento de recursos
As estações possuem um bom antí-virus instalado, x
atualizado para verificar qualquer arquivo ou
programa compartilhado, pois eles podem conter
vírus, cavalos de troia, entre outros tipos de malware
Os usuários estabelecem senhas para os x
compartilhamentos, caso seja estritamente necessário
compartilhar recursos
Cópias de segurança
São feitas cópias de segurança dos dados de todos os x
computadores regularmente
As cópias são armazenadas em local acondicionado, x
de acesso restrito e com segurança física
As cópias são armazenadas em um local diferente x
daquele onde está o computador
Engenharia Social
Os usuários não fornecem dados pessoais, números de x
cartões e senhas através de contato telefônico na
empresa
Sempre que existe dúvida sobre a real identidade do x
autor de uma mensagem ou ligação telefônica, os
usuários costumam entrar em contato com a
instituição, provedor ou empresa para verificar a
veracidade dos fatos.
Os usuários não costumam acessar sites ou seguir x
links recebidos por e-mail ou presentes em páginas
sobre as quais não se saiba procedência
Infra-estrutura de rede
Existe um firewall esperando a rede interna da internet x
Existe algum tipo de proxy instalado x
O proxy está configurado para que aceite apenas x
informações da rede interna
Existem equipamentos reservas para substituição x
imediata de roteadores e switchs
Os servidores são robustos o suficiente para suportar x
demanda de serviços
Todos os equipamentos e sistemas operacionais são x
atualizados periodicamente
Existe procedimento de gerência de mudança d x
configurações
Aplicações s sistemas
As aplicações utilizam mecanismos de autenticação x
forte
As aplicações sofrem ataques constantes x
Fraudes foram constatadas através da aplicação web x
As aplicações possuem perfis de acesso diferenciado x
para a necessidade de cada usuário
O acesso a sistemas críticos só é feito por quem tem x
de fato privilégio deste acesso
Desenvolvimento e Manutenção de Sistemas
Exigências de segurança estão incorporadas como x
exigências do negócio
As avaliações de risco estão sendo avaliadas antes do x
desenvolvimento do sistema
A entrada dos dados das aplicações esta validada para x
se assegurar de que seja correta e apropriada
As áreas de risco estão identificadas no ciclo do x
processo
Uma avaliação de risco é feita para determinar a x
autenticidade da mensagem, detectando mudanças não
autorizadas, ou corrompidas
A saída de dados está validada segurando que o x
processamento é armazenado em lugar apropriado
Técnicas de encriptação foram utilizadas para proteger x
os dados
Foram utilizadas assinaturas digitais x
Existe autenticidade e integridade dos documentos x
eletrônicos
Há controle para execução do software em sistemas x
operacionais
Os dados de teste do sistema estão protegidos e x
controlados não sendo utilizados com informações
pessoais
Há um procedimento para assegurar que o sistema da x
aplicação seja testado após mudança do sistema
operacional

Controle de acesso
As exigências para tais controles estão documentadas x
Os usuários e terceirizados possuem dados em local x
desbloqueado fora da área de risco da empresa,
monitorados por controles de acesso
Há procedimentos formais que expliquem como é o x
acesso aos sistemas e serviços
Foi fornecido um documento formal indicando para x
manter a senha como algo confidencial
Existe mecanismo para autenticação de conexões x
externas, juntamente com suas regras
Os sistemas remotos são gerenciados periodicamente x
Existem controles de conexões de rede x
O acesso ao sistema de informação é tangível apenas x
através de login legal
Existe um sistema de gerenciamento de senhas que x
forcem a variação da mesma
Existe limitação de tempo de conexão para aplicações x
de alto risco
Os sistemas sensíveis estão em ambiente x
computacional isolado
Os resultados das atividades de monitoração estão x
sendo revistos regularmente
Segurança pessoal
Realizam-se verificações periódicas quanto ao caráter, x
qualificações pessoais e profissionais e identidade do
pessoal.
Os empregados assinam acordo de não divulgação de x
seus termos e condições de emprego
Os termos e as condições do emprego cobrem a x
responsabilidade do empregado para a segurança da
informação
Treinamento de usuários
Existem treinamentos para os funcionários e x
terceirizados com regras e padrões institucionais
Existe um relatório formal para relatar rapidamente x
incidente de segurança
Gerência das comunicações e das operações
As atividades já mencionadas são auditadas e relatadas x
periodicamente por equipe especializada
Realizam-se testes de aceitação de novos programas, x
aplicações e Sos
Há controle de registros de logs, erros, nomes, x
atividades, ações de correção.
O CID é protegido na organização x

Após análise, reflita:

Quais os ativos merecem tratamento prioritário? Por quê? (pessoas, tecnologias,

infraestrutura e informações)

___________________________________________________________

Quais os problemas com segurança física a empresa está exposta?

___________________________________________________________

Quais os problemas com segurança lógica a empresa está exposta?