Nas empresas o desafio é realizar ações que mapeiem e identifiquem ameaças, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da situação.
Para iniciar esse mapeamento, abaixo listei conforme a proposta deste artigo um inventário dos principais ativos atingidos pela vulnerabilidade apresentada associada a cláusula correspondente da ISO 17799.
Inventário (ISO 17799 aplicável) | ||
Vulnerabilidade | Ativo | Cláusula aplicável |
Não foi restingido o monitoramento de acesso a recursos (inclusive críticos) por parte dos usuários. | Servidores, Desktops, impressoras, scanners | 15.1.5 Prevenção de mau uso de recursos de processamento da informação. |
As listas de controle de acesso (ACLs) não tem verificação periódica. | Informações | 11.4.6 Controle de conexão de rede. |
Os horários de logon e uso de recursos computacionais é ilimitado. | Rede de computadores e materiais | 11.5.6 Limitação de horário de conexão. |
Não há controle adequado de entrada/saída de visitantes. | Recursos computacionais e informações | 9.1.2 Controles de entrada física. |
O acesso a computadores e impressoras que manipulam informações confidenciais não é restrito adequadamente | Informações | 6.1.5 Acordos de confidencialidade e 9 Segurança física e do ambiente. |
Durante a construção do prédio, não foram utilizados materiais resistentes à ação do fogo, nem a instalação de para-raios. | Todos | 9.1.1 Perímetro de segurança física. |
Os funcionários não têm conhecimento a respeito de procedimentos de uso dos dispositivos para emergências, tais como extintores de incêndio. | Todos | 9.1.4 Proteção contra ameaças externas e do meio ambiente. |
O grupo moto-gerador é antigo, não confiável e pequeno em relação ao prédio da Matriz. | Todos ( Falta de energia e falha no funcionamento do grupo moto-gerador) | 9.2.2 Utilidades. |
O descarte de material eletrônico, dispositivos e documentos em papel é feito sem controle. | Informação (Parte do ciclo de vida da informação, o descarte deve ser adotado critérios sob controle da empresa). | 10.7.2 Descarte de mídias. |
Há contas/senhas de ex-funcionários. habilitadas | Informação (ex-colaboradores ainda com acesso ao sistema) | 8.3 Encerramento ou mudança de contratação; 8.3.3 Retirada de direitos de acesso. |
Nenhum comentário:
Postar um comentário