Sistema de Gestão da Segurança da Informação de um banco

Negócio da organização O banco DIGI_PLUS não possui agências físicas, sendo assim uma instituição 100% digital, que não cobra tarifas dos seus clientes. Dessa forma, seus processos, como o de abertura de conta, são automatizados, o que reduz custos e aumenta a eficiência. O atendimento pode ser prestado em qualquer dia da semana e horário através de canais como: telefônico, aplicativo e pelo site. Assim, faz necessário que a instituição esteja sempre investimento em tecnologia de ponta, para que possa oferecer aos seus clientes comodidade e um elevado nível de segurança, pois os dados dos clientes e transações executadas são seu maior patrimônio. Sendo que os processos relativos a TI são coordenados pela diretoria de TI e executados pelo ambiente de TI, conforme células específicas.

Avaliar os Riscos Os riscos são avaliados devido ao impacto que podem ocasionar para a empresa, bem como a probabilidade que possam ocorrer. Identificação de Vulnerabilidades e Ameaças Por ser uma instituição 100% online, os dados são seu maior patrimônio, por isso as ameaças são relativas aos mesmos, seja de vazamento ou comprometimento dos mesmos, dessa forma apresentamos na tabela abaixo algumas possíveis ameaças e motivações envolvidas. Ameaça Motivação Vazamento de dados Comprometimento do nome da instituição Hacker, fator humano Financeira, ego Crime computacional Alteração de dados Fraude Destruição de dados Ransoware Financeira 2. Análise de Probabilidade e Impacto Temos então que qualquer incidente que comprometa a integridade dos dados tem um alto impacto, conforme demonstrado na tabela abaixo.

Ameaça Probabilidade Impacto Vazamento de dados Média Alto Fator humano Alta De média a alta Hacker Média De média a alta Crime computacional Baixa Médio Ransoware Baixa Alta 2. As permissões de acesso devem ser ser condizentes com as funções que o colaborador precisa executar; 5. Fica expressamente proibido conectar no computador de trabalho quaisquer mídias, tal como pen drives ou cds, que não tenham sido aprovados e verificados pela TI; 6. Não devem ser abertos anexos de e-mail no computador pessoal sem ter certeza de seu conteúdo e de quem enviou a mensagem, em caso de dúvida a TI deve ser notificada; 7. Computadores pessoais ou celular não podem ser conectados na rede da empresa; 8. É necessário um login e senha disponibilizado pela TI para conectar na rede da empresa, sendo que caso um dispositivo seja conectado, outro que já esteja conectado deve ter sua seção encerrada; 9.

Por fim, a confidencialidade é o elemento mais difícil de garantir, visto que depende também de fator humano, não somente técnico. Assim as diretorias já estão cientes que deverão investir uma boa quantidade de recursos na conscientização dos colaboradores acerca da segurança da informação. Aprovação, divulgação e responsabilidades Quaisquer alterações que sejam feitas nas políticas de segurança da informação ou na gestão da mesma deverá ser aprovada pelo Gestor de TI, e posteriormente pelo presidente da empresa, somente assim entrando em vigor as novas modificações. Após aprovação, caberá ao RH fazer a divulgação para todos os colaboradores, bem como informar ao Gestor de TI quando da contratação de novos funcionários, para que assim possam ser divulgadas as políticas vigentes, bem como seja feito um treinamento visando a segurança dos dados de toda a organização.

Modelo de Termo de Responsabilidade O modelo de termo de responsabilidade que deverá ser assinado por todos os colaboradores encontra-se abaixo. Não revelar minhas senhas a ninguém e tomar o máximo de cuidado para que ela permaneça somente de meu conhecimento; 6. Alterar minha senha regularmente e sempre que obrigatório ou que tenha suspeição de descoberta por terceiros, conforme os padrões descritos na política de segurança da informação. Responder, em todas as instâncias, pelas consequências das ações ou omissões de minha parte que possam pôr em risco ou comprometer a exclusividade de conhecimento de minha senha ou das transações a que tenha acesso. Não navegar em sites pornográficos, defensores do uso de drogas, de pedofilia ou sites de cunho racistas e similares ou realizar qualquer atividade tipificada como crime, bem como não fazer download de material protegido por direitos autorais ou com conteúdo impróprio; 9.

Respeitar as normas de segurança e restrições de sistema impostas pelos sistemas de segurança implantados na instituição; 10. Cidade, de de 20. Responsável 4. Avaliar/Medir o SGSI A identificação de não conformidades do SGSI pode ser feita através de softwares que permitem a verificação e validação das ações. Existe uma grande diversidade de ferramentas no mercado, com diferentes propositos e custos, conforme descrito a seguir. Objetivo e características do software A ferramenta escolhida para análise foi o Lynis devido a ela ser software livre, não necessitar instalação, ser de código aberto e que. Pontos positivos Pontos negativos Não necessita instalação (opcional) Dependendo da quantidade de ferramentas que a máquina instalada possui a auditoria pode demorar Leve Fácil de usar Versão trial da Enterprise deve ser solicitado para testes Escrito em schell script Roda em quase todos os sistemas e versões baseados em Unix Gratuito Código aberto (open source) Possibilidade de personalização dos testes 4.

Onde e como o software é aplicado O público-alvo da ferramenta são auditores, pen-testers, administradores de sistemas e redes e especialistas em segurança. Porém ele pode ser utilizado para os mais diferentes propósitos, como por exemplo: auditoria de segurança, testes de penetração, testes de conformidade com metodologias como HIPAA ou PCI, endurecimento do sistema ou detecção de vulnerabilidades. Algumas aplicações da ferramenta podem ser as seguintes, de acordo com Cisofy (2020): • Auditores de TI: verifica se a segurança está ou não em conformidade e os pontos que precisam ser melhorados. • Desenvolvedores: verifica se a aplicação está segura e verifica pontos fracos. Figura 3: Acompanhamento de execução da ferramenta. Temos então que a varredura ocorre da seguinte forma, segundo Cisofy (2020), resultando na Figura 4.

Inicialização 2. Execução de verificações básicas como propriedades de arquivos 3. Determinação do sistema operacional e ferramentas instaladas 4. Achados como avisos e sugestões são armazenados em um arquivo de relatório separado (lynis-report. dat), conforme demonstrado na Figura 5. Figura 5: Arquivos de log gerados. A Figura 6 demonstra alguns das dezenas de controles existentes e que podem ser consultados na documentação, sendo sobre processos, tempo, SSH, armazenamento, entre outros. Figura 6: Exemplos de controles na documentação. com/lynis/>. Acessado em 05 de novembro de 2020. SOUZA, Tiago. Ferramenta de Auditoria de Segurança para Unix/Linux – Lynis. Disponível em <https://tiagosouza.