Escolar Documentos
Profissional Documentos
Cultura Documentos
Gsi 2.0
Gsi 2.0
Discentes Código
Adélia Matsimbe 20211013
Objectivo
Geral
Especifica
Para FAGUNDES a firma que impacto de perda de dados ou até mesmo violação de
informações para uma empresa é enorme e pode, em alguns casos, levá-la a falência.
Existem casos reais de empresas que tiveram seus sistemas invadidos por hackers e que
sofreram quedas no valor de suas acções nas bolsas de valores.
Segundo KERDNA( 2006) diz que a informação é todo conteúdo ou dado valioso para
uma organização, que serve a determinado propósito e que é de utilidade do ser
humano. A Segurança da Informação está relacionada com a protecção de um conjunto
de dados, no sentido de preservar o valor que possuem para uma organização.
Actualmente a informação digital é um dos principais produtos de nossa era e necessita
ser protegida. A segurança de determinadas informações pode ser afectada por vários
factores, como os comportamentais e do próprio usuário, pelo ambiente/infra-estrutura
em que ela se encontra armazenada e através de pessoas que tem o objectivo de agir de
má-fé (roubar, destruir ou modificar essas informações).
Níveis de confidencialidade
Existem quatro tipos de Sistemas de Informação que podem ser aplicados por sectores e
áreas distintas em organizações:
Conceito de Auditoria de SI
O conceito atribuído á auditoria de S.I. não difere muito do atribuído á dita auditoria
tradicional.
Para Ron Weber (1999) define a auditoria a um S.I. como o processo de recolha e
avaliação de evidência para determinar se um sistema computorizado salvaguarda os
bens, mantem a integridade dos dados e permite atingir os objectivos da organização de
forma eficaz e eficiente. A definição que melhor demonstra o significado de uma
auditoria a um S.I e que melhor foca as principais características é da autoria da
Intevencion General de la Administración del Estado, uma entidade espanhola mais
conhecida como IGAE e que é responsável pela autoridade de auditoria na península
ibérica, em coordenação com a inspecção-geral das finanças de Portugal.
Auditoria tradicional
Forneceu á auditoria informática o seu Know-how e experiência em avaliação de
controlos internos que foram utilizados para a elaboração dos seus próprios manuais de
auditoria assim como na elaboração de testes e controlos a utilizar nas plataformas
informáticas.
Ciências do comportamento
A utilização dos suportes informáticos por parte dos colaboradores da empresa podem
levar a falhas que os programadores não anteverão, como por exemplo a resistência das
pessoas com mais idade em trabalhar com este tipo de plataformas pode muitas vezes
culminar com erros considerados graves e que minam toda a informação dependente do
desenvolver dos seus trabalhos
Ciência informática
Esta ciência tanto produz benefícios para a empresa como também riscos, visto que
embora não seja necessário duvidar da fiabilidade dos dados provenientes dos
equipamentos informáticos, a verdade é que podem ser manipulados de maneira errada,
situação que o auditor pode ter dificuldade em descortinar.
Objectivos de uma Auditoria de Sistemas de Informação
Segundo Oliveira (2006:23), são objectivos de sistema de informação os seguintes:
As auditorias ocasionais apenas têm lugar quando surge algum acontecimento que não
estava previsto. Só em casos de acções imprevistas, de forma a conseguir corrigir ou
mitigar o problema.
Por fim temos a auditoria de fim de exercício que é a prática mais comum em
Portugal, que consiste na verificação anual ou semestral que tem como finalidade
analisar e verificar se os resultados e informações apresentadas pela entidade espelham
o seu verdadeiro estado e se apresentam uma imagem real e apropriada do valor
financeiro da organização. Por fim as auditorias podem ser definidas com base na sua
extensão e profundidade, dividindo-se neste caso em integrais ou completas e por
provas ou sondagens.
Você verá que os casos de falha na segurança da informação podem trazer grandes
problemas se não tratados com a devida importância. E pode acreditar, esses casos de
falha na segurança da informação são mais comuns do que você imagina.
Malware
Ransomware
Spyware
Phishing
DDoS
Malware
Malware é a abreviação das palavras em inglês: malicious software. E é o nome que se
dá para um tipo de programa desenvolvido para infectar computadores. Um Malware
pode causar grandes danos se infiltrando nos sistemas de uma empresa e conseguindo
acesso não autorizado a dados sensíveis, para isso ele precisa ser executado dentro do
computador, iniciando assim suas acções. Utilizador deve ter o cuidado com anexos de
email, pen-drives e links desconhecidos deve ser sempre observado. Malware é apenas o
nome que se dá a este tipo de arquivo ele pode trazer diversos tipos de ameaças
diferentes, de acordo com o objectivo do criminoso por trás de sua criação.
A grande parte das ameaças à segurança da informação que vamos falar aqui são tipos
de Malware onde temos os seguintes:
Ransomware
Ransomware é um dos exemplos de riscos de segurança da informação que mais cresce
nos últimos anos.Com Ransomware, hackers se apossam de informações dos
computadores da empresa sem apagar ou movê-los, apenas encriptando todos os seus
dados. Dessa forma você perde acesso aos dados das máquinas atingidas. Esse tipo de
ataque à segurança da informação vem seguido de extorsão, na qual os hackers pedem
um pagamento, em bitcoin, em troca da chave que libera os arquivos.
O melhor caminho, ao invés de pagar aos hackers, é contratar o serviço de empresas de
segurança da informação para que eles possam tentar trazer seus arquivos de volta e
mesmo evitar que eles sejam roubados.
Spyware
Como o próprio nome sugere, o Spyware se encarrega de espionar as actividades de um
sistema. Ou Seja informações de acesso, tráfego de rede e qualquer outro tipo de
informações digitadas ou armazenadas nos computadores de sua empresa. É de extrema
importância que sua empresa tenha sistemas de seguranças que se encarreguem de
minimizar os casos de falha na segurança da informação, para que seus dados não caiam
em mãos erradas.
Phishing
Phishing é a forma que os hackers usam para enganar os usuários de um sistema ou
serviço, a fim de ter acesso a informações confidenciais como logins, senhas e
informações de cartões de crédito. Este tipo de ataque usa falsos sites que imitam o site
oficial do serviço que eles querem obter as informações, e confunde os usuários fazendo
com que eles entreguem suas informações confidenciais.
Temos como exemplo: já deve ter recebido um email, SMS falso se passando por
algum serviço como um banco, ou empresas em promoções.
DDOS
Vulnerabilidade de hardware
Quando o armazenamento de informação é realizado de forma física, é preciso levar em
conta que o aparelho está sujeito a certas vulnerabilidades. Uma delas é o acesso por
pessoas indevidas, que possam invadir o computador em questão.
Para evitar esse problema, o ideal é ter uma sala de acesso restrito onde esses
computadores sejam operados. Porém, além de levar em consideração essa questão, há a
própria infra-estrutura tecnológica. Os computadores precisam ser bem conservados
para evitar deteriorações de estrutura. Da mesma forma, é preciso estar atento a
hardwares mal instalados e defeitos de fabricação. Qualquer defeito dessa natureza pode
abrir brecha ao acesso por invasores, então, é muito importante ter certeza de que os
equipamentos estão funcionando tranquilamente.
Isso é particularmente importante com dados que ficam salvos na nuvem. É preciso
investir em bons códigos de protecção, firewalls e medidas que restrinjam o acesso. Por
isso, além de um código que cubra todos os detalhes, é de extrema importância
criptografar as informações. Essa é uma medida de segurança extra que o protegerá
contra essa vulnerabilidade em particular.
Vulnerabilidade humana
Sem hardwares e softwares envolvidos, ainda há a questão dos erros humanos para
levar em consideração. Muitas vezes, isso pode acontecer até mesmo de forma não
intencional, mas é uma vulnerabilidade que deve ser levada em consideração. Isso
envolve o compartilhamento de informações sigilosas com terceiros, por exemplo, o
acesso a links maliciosos dentro do computador da empresa.