Professional Documents
Culture Documents
N1 Auditoria de Seguranca Da Informacao
N1 Auditoria de Seguranca Da Informacao
A empresa Solution Papel está sofrendo há algum tempo com um golpe financeiro usando a
Internet. Faz cerca de dois meses que os clientes reclamam que estão recebendo boletos
clonados da empresa na hora de quitar a cobrança. Os clientes recebem um e-mail idêntico ao
que normalmente é enviado pelo financeiro da empresa, porém, o número da conta a receber é
adulterado.
● Falha na emissão e guarda de notas. As notas ficam disponíveis em local sem proteção
podendo ser vistas por qualquer pessoa que passe pelo escritório.
● Intermediário no encaminhamento das notas aos motoristas, com chances de perda,
visualização indevida e desvio intencional durante o trajeto.
● ERP externo à empresa, com possibilidade de acesso indevido dos dados tanto por
funcionários da empresa que presta o serviço quanto por atacantes externos.
● Forma de envio dos boletos, que sendo por e-mail, aumenta a possibilidade de forjar o
remetente.
Ainda existe o risco humano de ataques de engenharia social, que podem obter nomes de
usuário e senha dos funcionários da Solution no ERP e, considerando esta possibilidade, a
orientação é de se habilitar o acesso com MFA (multi-factor authentication) para todos os
usuários que acessam o sistema, a fim de evitar acessos com senhas obtidas por meios ilícitos.
E, finalmente, para evitar o transporte das notas até os motoristas, a orientação é a instalação
de uma impressora dedicada para que eles mesmos possam emitir suas notas, através de
identificação (a ser avaliada).
Referências
NIST. Risk Management Framework for Information Systems and Organizations, SP 800-37
Rev. 2. Disponível em: https://doi.org/10.6028/NIST.SP.800-37r2. Acesso em 19 mar. 2022.