MAPA – TI – SEGURANÇA E AUDITORIA DE SISTEMAS – 53_2023

Você foi acionado por um amigo que também é Gestor de TI, mas não tem os mesmos conhecimentos que você em Segurança da Informação e pediu que o ajuda-se em uma tarefa muito importante em uma empresa que ele entrou para trabalhar recentemente, onde a primeira missão dada pela diretoria foi de criar uma Política de Segurança da Informação.

O seu amigo então solicitou que você avaliasse o cenário atual da empresa através das informações que ele passaria e o você devolvesse a ele quais recomendações você indicaria para colocar na política de segurança da empresa, justificando a escolha. Para que fosse possível ele te explicou como funciona o negócio: trata-se de uma empresa do ramo imobiliário, que atua com locação e venda de imóveis. Possui quatro unidades físicas, que estão localizadas em cidades diferentes, conectadas via internet comum sem nenhum tipo de proteção até a matriz, que também é uma unidade de compra, venda e locação de imóveis, que fica instalada na cidade de Belo Horizonte.

Tecnologicamente, a empresa possui alguns servidores na matriz, que ficam em uma sala que também é o depósito da empresa, que frequentemente as pessoas entram para pegar produtos de limpeza, higiene ou alimentos, que ficam estocados nesse local. Por vezes, ocorre de desligar o servidor por encostarem na tomada da parede, parando toda a operação da empresa. Já não bastasse esse problema, as vezes o sistema fica tão lento que é necessário reiniciar a rede, porque muitos funcionários e clientes usam a rede da empresa para conectar celulares particulares, o que afeta a performance.

Devido à ausência de um local centralizado, seja local ou nuvem, muitos arquivos da empresa ficam armazenados localmente nos computadores ou em HDs externos, alguns inclusive do próprio funcionário, que o utiliza por medo de perder os dados do computador que já ocorreu de queimar e gerar um grande transtorno.

A comunicação dos clientes com os agentes de venda e locação ocorrem através dos mais diversos meios, inclusive pessoais, como e-mails @gmail @hotmail ou qualquer provedor gratuito e por WhatsApp pessoal, já que quase ninguém tem telefone da empresa. Isso ocorre em todas as unidades.

Por fim, o seu amigo te informou que pela ausência de uma equipe interna ou terceiro responsável pela administração do banco de dados, o próprio desenvolvedor do sistema utilizado na empresa tem acesso completo e irrestrito ao banco de dados, mas ficou sabendo que já aconteceu dele deletar sem querer dados importantes.

1 – Elencar 4 (quatro) riscos que você identificou na empresa, descrevendo impactos que podem ocorrer ao negócio caso se concretize em um incidente de segurança.

2 – Para cada um dos 4 (quatro) riscos que você elencou, indicar o que seu amigo deveria colocar em uma política de segurança da informação como forma de mitigar, eliminar ou terceirizar esse risco. Como ele irá apresentar a proposta para a diretoria, é importante que você justifique bem o porquê da sua indicação de colocar esse item em uma política da empresa, ou seja, quais os benefícios esperados e os motivadores que fizeram você indicá-lo. Foi indicado que não haja também restrições técnicas ou financeiras, ou seja, considere tudo que precisa ser resolvido independentemente se será caro ou não para o negócio, pois essa discussão será realizada futuramente pelo seu amigo com a diretoria dele. Não será seu papel avaliar se é financeiramente viável.