RELATÓRIO DE AVALIAÇÃO GERAL DA EMPRESA

...

• Livre acesso à Internet, sem uma política de acesso definida;

• Inexistência de infraestrutura de servidores;

• Os acessos às pastas gerenciais da empresa possuem livre acesso para todos os funcionários;

• Os documentos confidenciais da empresa são descartados no lixo comum;

• Invasão;

• Não há controle de acesso físico, visitantes entram livremente na empresa;

• Não há políticas punitivas para as infrações cometidas pelos funcionários;

• Não há clausulas especificas no contrato de trabalho sobre as penalidades sobre o uso de propriedade intelectual.

VIII – Plano de Ação

Com base no mapeamento das vulnerabilidades de segurança em TI identificadas através de análise de campo, nossa equipe sugere como medidas a serem tomadas as seguintes atividades:

- Elaboração de Política de Acesso à Sistemas de TI

Esse documento deve ser elaborado por equipe com conhecimento avançado sobre os sistemas da empresa. A Políca de Acesso tem como objetivo definir as regras de acesso à informações e sistemas informatizados da companhia a fim de prevenir o mau uso dos recursos oferecidos. Ademais, visa garantir a integridade e confidencialidade dos dados e informações disponibilizados internamente.

Tal documento também deve explicitar as sanções administrativas e legais aos usuários que infringirem tal politica.

- Modernização e Adequação do Parque Tecnológico

Durante levantamentos de campo foram identificadas vulnerabilidades à segurança devido ao fato de inexistência de infraestrutura de TI correta para o parque tecnológico da empresa. Visando a amplitude da informação, dados trafegados e consistência das informações, esse plano de ação recomenda a implantação de uma sala individual para os servidores e demais equipamentos de infraestrutura (CPD/DataCenter). Esse ambiente deve possuir as seguintes características: sistema de combate à incêndio com gás FM200, sistema de detecção de fumaça, sistema de vigilância por câmeras, controle de acesso biométrico, porta corta-fogo, piso elevado, cabeamento estruturado e racks adequados aos equipamentos.

Nessa sala deverão ser instalados os servidores: file server, mail server, print server, firewall e diretório de usuários (Active Directory). Além disso, todos os equipamentos de comunicação e telefonia também deverão estar devidamente alojados nesse ambiente.

- Monitoramento e Métricas

Para uma efetiva segurança do ambiente e como rotina de verificação, métricas deverão ser estabelecidas de acordo com a política de segurança definida no item 1 desse documento. Essas métricas fornecerão dados gerenciais ao gestor de TI para que o mesmo tenha condições mínimas de avaliação da performance e segurança do ambiente que está sendo gerenciado. Esses relatórios deverão conter informações, tais como: sites mais acessados, usuários com maior consumo de banda, usuários que tentaram acessar sites em black lists, relatório de anti-vírus a fim de verificar quais máquinas foram infectadas num determinado período, usuários com maior consumo de espaço em disco no servidor de e-mail, usuários spammers e usuários que realizaram a maior quantidade de impressão num determinado período.

- Auditoria

A auditoria nos sistemas de TI tem como base avaliar se as políticas implementadas estão sendo seguidas e cumpridas por todos os colaboradores da empresa, inclusive a fim de avaliar se os gestores de TI estão tomando as medidas de contorno necessárias para caso em específico. Essa avaliação também serve como parâmetro para futuras alterações no corrente documento.

Nada impede que novas versões sejam disponibilizadas de acordo com a necessidade, mediante prévio aviso aos usuários.

- Descarte de resíduos confidenciais

Sugere-se a instalação de fragmentadoras de papel nos seguintes departamentos: diretoria, financeiro e RH, uma vez que esses departamentos manipulam documentos impressos de caráter confidencial.

Documentos classificados como confidenciais ou que possuam teor importante ou estratégio de informação deve ser destruído após o seu uso. Caso haja a necessidade de arquivamento, o mesmo deve ser guardado em ambiente protegido com controle de acesso e sistema de combate à incêndio.

- Implantação de controle de acesso

Deverá ser implantado um controle de acesso nas dependências da empresa. Esse sistema visa controlar o acesso de visitantes e prestadores de serviços em áreas críticas da companhia. Caso esse acesso se faça necessária, deverá sempre haver a presença de um colaborador efetivo da empresa, o qual ficará encarregado pela visita do prestado de serviço/visita.

Tal controle deve ser feito através de cartões com chip/RFID, com identificação através de nome completo, endereço, telefone, rg, cpf, contato na empresa e origem do visitante. Além disso, esses cartões devem possuir data de expiração diária.

IX– Conclusão

Com base no exposto nesse documento, foram identificadas vulnerabilidades de segurança consideradas como críticas. Tal criticidade se deve ao fato de informações estratégicas não possuírem nenhum controle de acesso (lógico ou físico).

Foi apresentado um plano de ação para que os riscos identificados nessa análise preliminar sejam minimizados, porém a empresa deverá passar por uma segunda análise após implantação desse plano.

Além dessa primeira fase, recomenda-se também a realização de auditoria mensal a fim de validar a aplicação das normas e diretrizes recomendadas e monitoramento da segurança do ambiente.