Uniritter - Especialização em Segurança da Informação e Gestão de TI

Resolução do Caso (N1)

POS0476 Auditoria de Segurança da Informação - Turma PG0147-DL05-A
Michel Gularte Recondo
Porto Alegre, maio de 2022

A empresa Solution Papel está sofrendo há algum tempo com um golpe financeiro usando a
Internet. Faz cerca de dois meses que os clientes reclamam que estão recebendo boletos
clonados da empresa na hora de quitar a cobrança. Os clientes recebem um e-mail idêntico ao
que normalmente é enviado pelo financeiro da empresa, porém, o número da conta a receber é
adulterado.

Considerando que já tivemos um incidente, foram identificados riscos de natureza humana e

riscos de natureza digital/eletrônica que possuem potencial de risco para a ocorrência deste
incidente.

Os riscos de natureza humana foram identificados como:

● Falha na emissão e guarda de notas. As notas ficam disponíveis em local sem proteção
podendo ser vistas por qualquer pessoa que passe pelo escritório.
● Intermediário no encaminhamento das notas aos motoristas, com chances de perda,
visualização indevida e desvio intencional durante o trajeto.

Os riscos de natureza digital/eletrônica foram identificados como:

● ERP externo à empresa, com possibilidade de acesso indevido dos dados tanto por
funcionários da empresa que presta o serviço quanto por atacantes externos.
● Forma de envio dos boletos, que sendo por e-mail, aumenta a possibilidade de forjar o
remetente.

Como o ERP é um serviço externo, orienta-se a realização de testes de penetração (pentests)

para que se possa avaliar possíveis vulnerabilidades no sistema que permitam o acesso
indevido aos dados armazenados no mesmo.

Ainda existe o risco humano de ataques de engenharia social, que podem obter nomes de
usuário e senha dos funcionários da Solution no ERP e, considerando esta possibilidade, a
orientação é de se habilitar o acesso com MFA (multi-factor authentication) para todos os
usuários que acessam o sistema, a fim de evitar acessos com senhas obtidas por meios ilícitos.

Para os boletos, a orientação é disponibilizar um acesso via site, aplicativo ou no próprio

sistema de ERP, caso esse permita.

E, finalmente, para evitar o transporte das notas até os motoristas, a orientação é a instalação
de uma impressora dedicada para que eles mesmos possam emitir suas notas, através de
identificação (a ser avaliada).

A implantação destas orientações exigirá uma revisão nos processos e investimento em

treinamento e conscientização e em novos equipamentos. Considerando o montante a ser
investido, o retorno deve ser a curto prazo ao evitar prejuízos com boletos não recebidos e
com a imagem a empresa perante a seus clientes.

Referências

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 –

Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da
informação – Requisitos. ABNT, 2013.

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 –

Tecnologia da informação – Técnicas de segurança – Código de prática para controles de
segurança da informação. ABNT, 2013.

DOS FRAPORTI, Simone; SANTOS, Jeanine Barreto. Gerenciamento de riscos. Grupo A,

2018. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788595023352/.
Acesso em: 19 mar. 2022.

NIST. Information Security, SP 800-55 Rev. 1. Disponível em:

https://doi.org/10.6028/NIST.SP.800-55r1. Acesso em 14 mai. 2022.

NIST. Risk Management Framework for Information Systems and Organizations, SP 800-37
Rev. 2. Disponível em: https://doi.org/10.6028/NIST.SP.800-37r2. Acesso em 19 mar. 2022.