Auditoria de segurança utilizando teste de invasão de redes em ambientes de tecnologia da informação

Abstract

Com o crescimento dos sistemas de informação e das redes de computadores, consequentemente novas ameaças e vulnerabilidades surgem. A interconexão dessas redes ou dispositivos eletrônicos com a internet deixam as organizações expostas a diversos tipos de ataques que podem causar danos irreversíveis a imagem ou aos dados sigilosos nelas armazenados. Para que os sistemas se tornem resistentes e com níveis de segurança aceitáveis, alguns procedimentos de controles são aplicados para aferir se as proteções das redes de computadores estão em conformidade com as principais normas de segurança nacionais e internacionais. O objetivo deste trabalho é identificar a importância de um processo conhecido como Auditoria Teste de Invasão, um método que realiza simulações reais de ataque aos ativos de informação das empresas que solicitam este serviço. Para alcançar esse objetivo, o trabalho buscou nos teóricos que conceituam os fundamentos do tema abordado, juntamente com um estudo de caso que demostrou de forma pratica quais são os procedimentos que giram em torno de um pentest. A principal conclusão desse trabalho é que a contratação de serviços de auditoria teste de invasão para a execução de procedimentos que testem os controles aplicados no âmbito da segurança de redes vai além da identificação de potenciais vulnerabilidades, incluindo também uma avaliação do risco real que estas vulnerabilidades representam para a infraestrutura computacional, realizando posteriormente a correção das fragilidades dos ambientes informatizados corporativos.