FACULDADE SENAC MINAS

Bruno Luiz A. De Paiva

Política de segurança da Informação

Segurança: Controle de Acessos

Coronel Fabriciano, 2013

Bruno Luiz A. De Paiva

Política de segurança da Informação

Segurança: Controle de Acessos

Este trabalho estabelece a PSI - Política

de Segurança da Informação de uma

“organização” fictícia para o trabalho da

disciplina de Política de Segurança da

Informação do curso de Pós-Graduação

em Gestão em Tecnologia da Informação

– SENAC -MG

João Paulo Coelho Furtado

Coronel Fabriciano, 2013

SUMÁRIO

1. OBJETIVO GERAL.......................................................................................................................................4

2. ÂMBITO DE APLICAÇÃO............................................................................................................................4

3. DESCRIÇÃO DAS PRÁTICAS........................................................................................................................4

3.1. Apresentação.....................................................................................................................................4

3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:...............................................................5

3.1.2. Ameaças a serem tratadas pela PSI:...........................................................................................5

3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem estar devidamente identificados e documentados):...........................................................................................................6

3.1.4. Atores da PSI de uma organização:..............................................................................................................................................................6

3.1.5. Regulamentações que abrangem a PSI:..............................................................................................................................................................6

3.2. Áreas de Segurança da Informação a serem tratadas........................................................................6

3.2.1. Segurança Física de Controle de Acessos....................................................................................7

3.2.2. Segurança Lógica........................................................................................................................7

3.2.3. Segurança de Telecomunicação..................................................................................................7

3.2.4. Continuidade do Negócio...........................................................................................................7

4. SEGURANÇA DA INFORMAÇÃO.................................................................................................................8

4.1 Segurança Física..................................................................................................................................8

4.1.1. Área de Segurança......................................................................................................................8

4.1.2. Controles de Entrada e Saída de Pessoas....................................................................................8

4.1.3. Áreas de Expedição e Carga (Áreas Comuns)..............................................................................8

4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura...............................................................9

4.2. Segurança Lógica...............................................................................................................................9

4.2.1. Gerenciamento das Operações e Comunicações........................................................................9

4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção.............11

4.2.3. Procedimentos Operacionais....................................................................................................11

4.2.4. Segurança e Tratamento de Mídias...........................................................................................12

4.2.5. Controle de Acesso aos Recursos Computacionais...................................................................12

5. CONCLUSÃO............................................................................................................................................16

1. OBJETIVO GERAL

Assegurar à organização a conformidade da Política de Segurança da

Informação (PSI) com as Normas pertinentes, visando proteger os dados,

garantindo que as informações integrantes de seu patrimônio e aquelas sob

sua guarda, assim como as ferramentas utilizadas para obtenção, geração,

modificação, armazenagem e disponibilização das mesmas estejam em

conformidade com as leis vigentes no País;

2. ÂMBITO DE APLICAÇÃO

Aplica-se a todos os colaboradores, prestadores de serviços, fornecedores,

terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de

Segurança e responsabilidades pelo seu acesso a este Patrimônio,

evidenciando estas ações.

3. DESCRIÇÃO DAS PRÁTICAS

3.1. Apresentação

“Toda Informação obtida, gerada, modificada, armazenada e

disponibilizada pelos processos de negócio de uma organização integra seu

patrimônio, físico e lógico.“

Este documento estabelece a PSI - Política de Segurança da Informação de

uma organização, que é um conjunto das diretrizes, normas e/ou

procedimentos necessários à preservação e segurança das Informações.

A Informação é um ativo, como qualquer outro ativo importante do negócio,

que tem um valor para a organização e consequentemente necessita ser

protegida. A Segurança da Informação visa proteger os ativos de um grande

campo de ameaças, de forma a garantir a continuidade dos negócios,

minimizando os danos e maximizando o retorno dos investimentos e

oportunidades.

A Informação pode existir em muitas formas:

• pode ser impressa ou escrita em papel;

• guardada eletronicamente;

• transmitida pelo correio ou usando meios eletrônicos;

• mostrada em filmes, ou falada em conversação. Seja qual for a forma

tomada pela Informação, ou meio através do qual ela é compartilhada ou

armazenada, deve ser protegida adequadamente.

A Segurança da Informação é caracterizada pela preservação da:

• Confidencialidade, que é a garantia de que a Informação é acessível

somente a pessoas com acesso autorizado;

• Integridade, que é a salvaguarda da exatidão e completeza da Informação

e dos métodos de processamento;

• Disponibilidade, que é a garantia de que os usuários autorizados obtenham

acesso à Informação e aos ativos correspondentes, sempre que necessário.

A Segurança da Informação é alcançada a partir da implementação de uma

série de controles, que podem ser políticas, práticas, procedimentos,

estruturas organizacionais, instalações, softwares e ferramentas de controle

automatizadas. Estes controles devem ser estabelecidos para garantir que os

objetivos de segurança da organização sejam alcançados.

De forma crescente a organização e seu conjunto de Sistemas de Informação

são colocados à prova, com um grande universo de tipos de ameaças à

Segurança da Informação, incluindo fraudes eletrônicas, espionagem,

sabotagem, vandalismo, fogo e inundação. Quando as fontes dos danos são

vírus, hackers/crackers e ataques de negação de serviço e todas as demais

ameaças externas e acessos não autorizados, o que se pode observar é que

estão cada vez mais ambiciosos e sofisticados.

A dependência dos Sistemas de Informação deixa qualquer organização mais

vulnerável às ameaças de segurança. A interconexão de redes e o

compartilhamento de recursos de Informação aumentam a dificuldade de se

ter um controle de acesso realmente eficiente.

Vários Sistemas de Informação não foram projetados para implementar

Segurança. A Segurança que se pode ter através de meios técnicos é

limitada e deve ser suportada com procedimentos e um gerenciamento

contínuo dos riscos. A identificação de quais controles devem ser

implantados requer um planejamento cuidadoso e uma atenção redobrada

nos detalhes. O gerenciamento da Segurança da Informação necessita da

participação de todos os colaboradores da organização.

Apesar da maioria do corpo executivo das organizações estarem conscientes

da necessidade de criação e cumprimento de uma Política de Segurança da

Informação, ainda faz-se necessário um esforço enorme para que as

Unidades de Segurança possam lançar mão dos recursos necessários para

esta criação e manutenção.

Os controles de Segurança da Informação são considerados mais baratos e

mais eficientes quando incorporados e tratados diferentemente dos demais

processos das organizações. A Tecnologia da Informação só se torna uma

ferramenta capaz de alavancar verdadeiramente os negócios de uma

organização quando seu uso está vinculado a medidas de proteção dos dados

corporativos.

É nesse contexto que a definição de uma Política de Segurança da

Informação deixa de ser custo associado a ideias exóticas, para se tornar

investimento capaz de assegurar a continuidade e sobrevivência dos

negócios, sendo imperativo à competitividade da mesma, que ela possa

contar com um trabalho de profissionais especializados e qualificados, como

determinam as responsabilidades relativas à Segurança da Informação

dentro da organização.

3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:

a) Revelação de Informações sensíveis;

b) Modificações indevidas de dados e programas;

c) Perda de dados e programas;

d) Destruição ou perda de recursos computacionais e instalações;

e) Interdições ou interrupções de serviços essenciais;

f) Roubo de propriedades, seja qual for.

3.1.2. Ameaças a serem tratadas pela PSI:

a) Integridade: Prever ameaças de ambiente, externas ou internas, oriundas

de catástrofes, fenômenos da natureza e/ou qualquer evento provocado

intencionalmente ou não. Cita-se aqui, como exemplo, fogo, enchentes,

tempestades, inundações etc.

b) Indisponibilidade: Prever falhas em sistemas e/ou diversos ambientes

computacionais da Organização.

c) Divulgação da Informação: Prever a divulgação de Informações sensíveis

aos Processos de Negócio da organização, premeditada e/ou acidental.

d) Alterações não autorizadas: Prever alterações não autorizadas,

premeditadas e/ou acidentais em Sistemas e/ou equipamentos de Tecnologia

da Informação ou que suportem os Processos de Negócio.

3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem

estar devidamente identificados e documentados):

•Softwares de detecção de vírus, trojans, spywares, etc; - Software de

controle de acesso físico e lógico;

•Mecanismos de controle de acesso físico;

•Serviços críticos relativos a fenômenos da natureza (incêndio, inundações e

etc);

•Serviços críticos relativos a concessionárias Estaduais e/ou Federais

(energia, água, telefonia etc).

3.1.4. Atores da PSI de uma organização:

a) Gestor da Informação: Indivíduo responsável pela tomada de decisões em

nome da organização no que diz respeito ao uso, à identificação, à

classificação e à proteção de um recurso específico da Informação.

b) Custodiante: Agente responsável pelo processamento, organização e

guarda da Informação.

c) Usuário: Alguma pessoa que interage diretamente com o sistema

computadorizado. Um usuário autorizado com poderes de adicionar ou

atualizar a Informação.

3.1.5. Regulamentações que abrangem a PSI:

a) Formalizar seus Procedimentos Gerenciais de Segurança da Informação,

parte integrante da PSI, em conjunto com os Procedimentos Operacionais da

Segurança da Informação, compondo um documento ou pasta, impresso ou

eletrônico, a ser mantido e atualizado para consultas, ou seja, uma espécie

de Manual de Segurança da Informação;

b) Divulgar a todos os colaboradores, prestadores de serviços, fornecedores,

terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de

Segurança e responsabilidades pelo seu acesso a este Patrimônio,

evidenciando estas ações, no que lhe compete;

c) Todos os colaboradores da organização assim como seus prestadores de

serviços, fornecedores, terceiros, parceiros e clientes que de algum forma

possuírem acesso ao patrimônio de Informações, são responsáveis pelo

cumprimento dos Procedimentos Gerenciais de Segurança da Informação.

Assim, a Política de Segurança da Informação visa preservar a

Confiabilidade, Integridade e Disponibilidade das Informações,

recomendando e descrevendo as condutas adequadas para o seu manuseio,

controle, proteção e descarte.

3.2. Áreas de Segurança da Informação a serem tratadas

3.2.1. Segurança Física de Controle de Acessos

a) Conceituação: Conjunto de medidas destinadas à proteção e integridade

dos ativos da Organização e à continuidade dos seus serviços.

b) Vulnerabilidades: Devem ser previstos riscos naturais (inundações,

tempestades etc.), riscos acidentais (incêndios, interrupções de

abastecimentos diversos etc.), entradas não autorizadas, roubos de

patrimônio, etc.

c) Áreas sensíveis: Devem ser levantadas e mapeadas as áreas vulneráveis e

definida a criticidade de todos os ambientes físicos, principalmente os de alta

criticidade (equipamentos, patrimônio físico, recursos humanos etc).

Devem ser contemplados acessos físicos a todos os ambientes e o

monitoramento dos mesmos, principalmente os considerados de alta

criticidade.

3.2.2. Segurança Lógica

a) Conceituação: Conjunto de medidas destinadas à proteção de recursos

computacionais contra utilização indevida ou desautorizada, intencional ou

não.

b) Ambiente Lógico: O ambiente operacional, integrado pelos ativos de

informação e de processamento deve ser constantemente monitorado pela

Gerência Tecnologia da Informação. Sendo constatada qualquer

irregularidade, o superior responsável deve ser formalmente notificado, a fim

de tomar as providências cabíveis.

c) Vulnerabilidades: Devem estar previstos acidentes por falhas e/ou

sabotagem de hardware, software, aplicativos e procedimentos.

d) Áreas sensíveis: Sistemas Operacionais, Sistemas Gerenciais de Banco de

Dados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas de

apoio. Devem estar contempladas política de usuários e senhas com

definição de perfis de acesso aos ambientes e aplicativos.

3.2.3. Segurança de Telecomunicação

a) Conceituação: Conjunto de medidas destinadas à proteção das

Informações que trafegam por meios eletrônicos ou convencionais e dos

recursos utilizados para esse tráfego.

b) Vulnerabilidades: Devem estar previstos acessos não autorizados às redes

de comunicação de dados, adulteração de dados em tráfego, utilização não

autorizada de Informações e extravio de formulários ou documentos

classificados para não disponibilização pública.

c) Áreas sensíveis: Redes de comunicação de dados, redes locais, conexões

com redes externas, ligações de usuários externos aos servidores da

Organização, telefonia.

3.2.4. Continuidade do Negócio

a) Conceituação: Conjunto de Planos que contemplam as atividades

necessárias para a continuidade dos negócios da Organização, quando

houver algum tipo de interrupção nos processos, serviços e/ou equipamentos

considerados críticos.

b) Vulnerabilidades: Devem estar previstas interrupções significativas das

operações essenciais do negócio, causadas pelas vulnerabilidades nas áreas

de segurança da informação a serem tratadas.

c) Áreas sensíveis: Todas as áreas de segurança da informação a serem

tratadas.

4. SEGURANÇA DA INFORMAÇÃO

4.1 Segurança Física

4.1.1. Área de Segurança

A Organização deve possuir estabelecido em seu perímetro físico, cada

prédio que faça parte da empresa, identificando todas as suas “fronteiras” e

identificados todos os pontos de acesso.

Para as “fronteiras” com prédios vizinhos, devem ser estabelecidos os

controles necessários e suficientes, que salvaguardem o acesso às

instalações. As entradas e saídas de cada prédio devem ser dotadas de

Infraestrutura necessária e suficiente que permita o controle adequado de

fluxo de pessoas.

4.1.2. Controles de Entrada e Saída de Pessoas

Alguns controles mínimos devem ser implementados, sendo indispensável o

planejamento e implementação de Norma e/ou Procedimento que

regulamente estes controles, sendo este parte integrante da Política de

Segurança da Informação.

a) Classificação de todas as áreas dos prédios da organização, quanto à

criticidade , alta, média ou baixa; quanto à restrição de acesso, também alta,

média ou baixa.

b) Criação de mecanismos para identificação e controle de acesso de pessoal,

colaborador ou não, às instalações da organização, indicando quem teve

acesso, data e hora e quem autorizou o acesso, sendo este controle de

responsabilidade da área administrativa da organização. Acessos em horários

especiais, fora do expediente normal, apenas sob autorização formal da

Gestão responsável.

4.1.3. Áreas de Expedição e Carga (Áreas Comuns)

Por serem áreas de acesso para uma quantidade muito grande de pessoas,

estas áreas devem estar isoladas das áreas consideradas restritas e críticas.

Estas áreas devem estar previstas em Norma e/ou Procedimento que as

regulamente, sendo este parte integrante da Política de Segurança da

Informação.

4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura

A implantação de proteções mínimas, citadas abaixo, deve ser observada,

sendo indispensável Norma e/ou Procedimento que regulamente estas

proteções, sendo este parte integrante da Política de Segurança da

Informação.

a) Os equipamentos, principalmente os considerados críticos, devem estar

instalados em áreas protegidas de acesso.

b) Os equipamentos próprios, considerados de difícil reposição em função do

custo financeiro, devem estar segurados, pelo menos contra incêndio e, se

possível, dispor de contrato de manutenção do fabricante.

c) O cabeamento elétrico e de lógica, que alimenta e interliga os vários

equipamentos da organização, deve ser protegido de forma adequada e

recomendada por fabricantes e conforme Normas de Segurança.

d) A organização deve possuir um sistema de No-break e um gerador de

energia próprio, que alimentem pelo menos os equipamentos e os locais

considerados críticos.

e) A manutenção preventiva dos equipamentos deve ser feita conforme as

especificações do fabricante.

f) Devem existir mecanismos de proteção e combate a incêndio,

principalmente em locais considerados críticos, sob responsabilidade da área

administrativa da organização e conforme Leis vigentes no País. As

instalações prediais devem ser seguradas, pelo menos contra incêndio.

g) Os procedimentos internos para proteção dos equipamentos devem ser

replicados, sempre que possível e necessário, quando os mesmos forem

deslocados para fora de seu local padrão.

h) Devem ser planejados e implantados, onde for necessário, controles das

condições ambientais.

i) Devem ser criados mecanismos para identificação e controle de qualquer

movimentação, para fora das dependências da organização, de ativos de TI,

sejam eles equipamentos, programas e dados contidos em mídias ou

enviados via correio eletrônico, listagens contendo Informações e etc. Estas

movimentações devem registrar quem as realizou, a data e a hora de saída e

de retorno, quem autorizou e a identificação do ativo de TI movimentado.

j) Devem ser criados mecanismos especiais que protejam o acesso aos locais

considerados de alta restrição.

4.2. Segurança Lógica

4.2.1. Gerenciamento das Operações e Comunicações

a) Documentação dos Procedimentos de Operação

Todos os sistemas, sejam eles executados em batch, on-line e/ou misto,

estando em Produção, devem possuir documentação atualizada, conforme

padrões da metodologia de desenvolvimento de sistemas normatizada e em

vigência.

b) Ambiente Operacional

Todos os equipamentos de Infraestrutura, interligações das redes,

interligações de hardware de grande porte e softwares básicos e de apoio,

devem possuir documentação necessária e suficiente, bem como atualizada,

que possibilite entendimento a qualquer técnico capacitado e habilitado,

visando manutenções preventivas, corretivas e evolutivas, no ambiente

operacional da organização.

c) Gerenciamento e controle de mudanças

Toda e qualquer mudança no ambiente de produção, seja ela de

Infraestrutura, hardware, comunicações, softwares básicos, softwares de

apoio, sistemas aplicativos, procedimentos etc., deve ser executada

conforme procedimentos descritos no processo de Gestão de Mudanças.

d) Gerenciamento e controle de problemas

Quaisquer problemas que ocorram no ambiente operacional, sejam eles de

Infraestrutura, hardware, equipamentos de comunicação de dados, softwares

e sistemas aplicativos, devem ser registrados com, no mínimo, as seguintes

Informações:

• descrição do problema;

• data e hora da ocorrência;

• identificação de quem o registrou e quem foi acionado para solucioná-lo;

• consequências do problema;

• data e hora da solução;

• identificação de quem solucionou;

• descrição da solução adotada.

e) Monitoramento da Segurança

Testes periódicos de vulnerabilidade do ambiente de TI deverão ser

realizados com a finalidade de garantir que a implementação de segurança

de TI esteja vigiada e monitorada de forma proativa.

f) Incidentes de Segurança da Informação

Ocorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionado

à segurança lógica dos ativos da organização, deverão ser tratados conforme

Procedimento de Incidentes de Segurança.

g) Prevenção, Detecção e Correção de Softwares Maliciosos

Medidas para prevenção, detecção e correção de Softwares Maliciosos devem

ser implementadas por toda a organização, para garantir a proteção dos

ativos de informação contra softwares maliciosos.

O controle dessas medidas deve estar de acordo com os procedimentos

descritos pela infraestrutura.

O acesso a esses procedimentos são restritos ao pessoal da Infraestrutura.

h) Segurança de Redes

Assegurar que técnicas e procedimentos de segurança sejam usados para

autorizar acessos e controlar as informações que circulam nas redes da

Organização.

i) Segregação de ambientes

Devem existir 3 (três) ambientes distintos de softwares, jobs, sistemas

aplicativos, programas e dados:

• Ambiente de Produção.

Deve conter todo o ambiente de executáveis, em produção, dos sistemas

aplicativos, jobs, softwares básicos, softwares de apoio e os dados reais

residentes em arquivos convencionais e bancos de dados, necessários para a

execução dos processos. O controle de acesso a este ambiente deve ser de

responsabilidade do setor de Segurança da Informação, conforme Normas e

Procedimentos de acesso lógico da organização.

Este ambiente deve possuir acesso exclusivo aos colaboradores da

organização, restritos conforme Normas e Procedimentos da Política de

Segurança da Informação.

Em situação de exceção, outros poderão acessar o ambiente de produção,

através de um login especiais, criados para esta finalidade, conforme Normas

e Procedimentos da Política de Segurança da Informação, e mediante ciência

e aprovação formal da Gestão de Tecnologia da Informação.

• Ambiente de Desenvolvimento

Deve conter todo o ambiente de executáveis, em manutenção, dos sistemas

aplicativos, programas-fonte, jobs de teste, softwares básicos, softwares de

apoio e dados fictícios residentes em arquivos convencionais e bancos de

dados, necessários para o cumprimento das tarefas relativas a

desenvolvimento.

Por se tratar de um ambiente de desenvolvimento, seu controle de acesso

não deve estar sob a responsabilidade do setor de Segurança da Informação,

cabendo à Gestão de Tecnologia da Informação essa definição, conforme

Normas e Procedimentos.

Este ambiente deve ser de acesso exclusivo dos colaboradores da Gestão de

Tecnologia da Informação, responsáveis pelo desenvolvimento e manutenção

dos sistemas aplicativos, programas fonte, jobs de teste, softwares básicos e

softwares de apoio.

Em situação de exceção, outros poderão acessar o ambiente de

desenvolvimento, através de um login especiais, criado para esta finalidade e

mediante ciência e aprovação formal da Gestão de Tecnologia da Informação.

• Ambiente de Teste/Homologação

Deve conter todo o ambiente de teste / Homologação: jobs de teste, fontes

de softwares básicos, softwares de apoio e de sistemas aplicativos sob a

responsabilidade do setor de Segurança da Informação, quanto aos acessos,

além de dados fictícios, residentes em arquivos convencionais e bancos de

dados.

Esta área deverá ser de acesso exclusivo aos colaboradores autorizados para

a finalidade de teste / homologação, sendo negado acesso a qualquer outro

que não tenha função, devido aos dados presentes nesta área serem

próximos da Produção.

Em situação de exceção, outros poderão acessar o ambiente de teste /

homologação, através de um login e senha especial, criado para esta

finalidade, conforme Normas e Procedimentos da Política de Segurança da

Informação, e mediante ciência e aprovação formal da Gestão de Tecnologia

da Informação.

4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas

pela Produção

a) Planejamento de capacidade

São atividades de planejamento de capacidade dos recursos computacionais

sejam contínuas, tanto no ambiente de rede quanto no ambiente de grande

porte. Devem ser apuradas, conforme processo Gerenciamento de

performance e capacidade.

b) Aceitação de sistemas

Para serem aceitos no ambiente de produção, os sistemas aplicativos devem

estar previamente homologados pelas áreas de sistemas e áreas

demandantes e documentados operacionalmente, conforme a metodologia

de desenvolvimento vigente.

4.2.3. Procedimentos Operacionais

a) Política de backup

Deve ser estabelecida uma Política de backup nas dependências da

Instalação principal da organização e fora dela, que, em quaisquer situações,

permitam a recuperação de softwares, sistemas, dados, jobs e

documentação, guardados em meio magnético.

Simulações periódicas devem ser realizadas, com apresentação de relatórios

sobre as mesmas, que contenha informações do procedimento executado e

dos resultados.

b) Registros de Operações

Devem ser mantidos registros das operações de processamento, indicando

quem executou o serviço, qual o serviço executado, a data e hora de início e

fim e as ocorrências de não- conformidade.

4.2.4. Segurança e Tratamento de Mídias

Para todas as mídias da organização que contenham bens de Informação,

sejam elas em meio magnético, ótico ou papel, devem ser observados os

seguintes cuidados mínimos:

a) Devem ser guardadas em lugar seguro, diferente do local onde os dados

originais estão armazenados; devem estar ainda em local adequado, de

acordo com as especificações do fabricante da mídia.

b) As mídias que forem transitar para fora das instalações de sua origem

devem ter a sua saída registrada e a garantia de sua chegada ao destino,

também registrada. Além disso, devem ser embaladas, acondicionadas e

transportadas de forma adequada, para garantir sua integridade.

c) As mídias em meio magnético ou ótico devem ser identificadas

externamente, quanto ao seu conteúdo, indicando, quando necessário, o

prazo de retenção e observações sobre as mesmas.

d) Quando forem descartadas, devem ser apagadas e/ou destruídas de

forma completa e total, através de trituração ou incineração.

4.2.5. Controle de Acesso aos Recursos Computacionais

Devem ser adotados, no mínimo, os controles apresentados abaixo. Estes

devem estar previstos, detalhadamente, em Norma e/ou Procedimento

específico da Política de Segurança da Informação.

a) Identificação e autenticação de usuários

• O usuário somente deve possuir acesso ao ambiente computacional através

de uma identificação de acesso e uma senha;

• A identificação de acesso do usuário deve ser única, pessoal e

intransferível;

• A senha associada à identificação de acesso deve ser secreta e de

conhecimento exclusivo do usuário para o qual foi custodiada;

• A senha não pode ser divulgada a terceiros, devendo-se evitar o uso de

combinação simples ou óbvia na sua criação;

• Não devem ser permitidas senhas para grupos de usuários (senha

genérica), salvo com autorização formal da Gestão de Tecnologia da

Informação;

• Quando o usuário errar o seu login ou sua senha deve ser emitida

mensagem de “login/senha incorretos”;

• Sempre que possível e necessário, os logins devem ser associados a uma

determinada estação de trabalho;

• Sempre que possível e necessário, permitir logins para apenas uma sessão,

a cada acesso.

4.2.6. Uso das Estações de Trabalho

Os computadores e sistemas de comunicações não devem ser utilizados para

fins pessoais.

Compartilhamento de Recursos

O compartilhamento de diretórios e/ou arquivos nas estações de trabalho

deve ser atribuído única e exclusivamente para facilitar e/ou agilizar o

trabalho das atividades laborais, não devendo ocorrer em qualquer outra

situação.

4.2.7. Camadas De Segurança

Para a devida proteção do ambiente, devem ser projetadas 4 (quatro)

camadas de acesso:

• Acesso ao ambiente;

• Acesso aos sistemas aplicativos;

• Acesso às funções dos sistemas aplicativos;

• Acesso aos dados.

Sempre que possível o login e a senha de acesso devem ser únicos para

todas as camadas de Segurança.

Devem ser exibidos para os usuários apenas os arquivos, os softwares e as

funcionalidades a que os mesmo têm direito de acesso, ficando sob

responsabilidade do mesmo informar ao seu superior sobre acessos

disponibilizados em demasia.

4.2.8. Trilhas de Auditoria

Recomenda-se a existência de softwares de Segurança, e que estes

mantenham registros sobre os acessos dos usuários, indicando, sempre que

possível, o arquivo, o software, a data e hora que foram acessados.

Os SGBD – Sistemas de Gerenciamento de Bancos de Dados – devem

manter logs próprios que permitam a recuperação de Informações, em

qualquer situação. Estes logs devem estar documentados e serem de

conhecimento dos Especialistas das áreas de guarda dos mesmos.

Devem existir Procedimentos que contemplem uma política de auditoria, por

exemplo, definida e devidamente documentada, como parte integrante da

Política de Segurança da Informação, onde sejam previstos todos estes

detalhes, em especial:

• Auditorias a serem contemplados;

• Motivos da auditoria; como deve ser realizada;

• Resultado esperado;

• Periodicidade;

• Responsável por auditar.

4.2.9. Computação Móvel e Trabalho Remoto.

Todo e qualquer trabalho remoto deve ser evitado, ficando restrito aos

colaboradores da Gestão de Tecnologia da Informação e aqueles que forem

autorizados por esta Gestão, ambos em caráter de extrema necessidade e

mediante assinatura de Termo de Responsabilidade e Compromisso.

Para utilizar este acesso é obrigatória a existência de uma autorização formal

prévia do Gestor de Tecnologia da Informação.

Sempre que necessário e viável, a organização deve disponibilizar sistemas

na Internet, através de sua Gestão de Tecnologia da Informação. Para que os

acessos realizados a estes sistemas sejam feitos com segurança, devem ser

previstos e adotados mecanismos visando à proteção dos bens de

Informação, tais como Certificação digital, Softwares de Segurança,

Antivírus, Firewalls corporativos e individuais, Criptografia e etc.

4.2.10. Trânsito de Informações

O trânsito de Informações deve ser feito por um caminho ou meio confiável

com controles que ofereçam autenticidade do conteúdo, proteção de

submissão e recebimento e não repúdio da origem.

Devem existir Procedimentos que contemplem e padronizem a geração,

mudança, revogação, destruição, distribuição, certificação, armazenamento,

entrada, uso e arquivamento de chaves criptográficas para garantir a

proteção das chaves contra modificação e acessos não autorizados.

4.2.11. Acesso a Utilitários Poderosos

Deve existir na organização documentos que contendo a classificação de

todos os utilitários e programas considerados poderosos, ou seja, programas

que podem sobrepor os controles de Segurança estabelecidos e

implementados.

Estes utilitários, quando não puderem ser eliminados, devem possuir critérios

de proteção de acesso que os tornem de uso restrito aos analistas da Gestão

de Tecnologia da Informação para usufruto de afazeres relacionados a seu

trabalho.

São exemplares de alguns destes programas:

• Softwares de quebra de senhas. Ex: Brutus, LC4;

• Softwares de invasão de redes. Ex: nemesis;

• Softwares de reconhecimento de portas e de vulnerabilidades ativas. Ex:

nemesis; - Softwares de monitoramento de redes (sniffers). Ex: ethereal;

4.2.12. Administração de Acessos

Devem ser criados mecanismos que permitam registros de acessos aos

ambientes, indicando, minimamente e sempre que possível, os recursos

acessados, quem efetuou o acesso, data e hora, tentativas de acesso com

senhas erradas, tentativas de acesso de estações de trabalho não permitidas,

tentativas de acesso em horários não permitidos etc.

Consultas e relatórios devem ser criados, permitindo o monitoramento e

gerenciamento dos acessos, pela Gestão e por auditores que por ventura

sejam requisitados.

4.2.13. Desenvolvimento e Manutenção de Sistemas

Devem existir Procedimentos que regulamente a elaboração, implantação e

utilização desta metodologia, sendo este parte integrante da Política de

Segurança da Informação.

4.3. Segurança de TELECOM

4.3.1. Acesso à Internet, Intranet, correio eletrônico, telefone e mensagens

instantâneas

a) Internet

• O acesso à Internet da organização deve ser restrito às atividades

profissionais

É obrigatória a utilização de mecanismos de monitoramento que permitam o

gerenciamento do uso desse recurso e que o mesmo seja regido por Norma

e/ou Procedimento constante da Política de Segurança da Informação,

conforme Leis vigentes no País.

• Bloqueio e controle de Sites na Internet

Os sistemas da organização são configurados rotineiramente para evitar que

os colaboradores se conectem em sites não relacionados às atividades da

empresa. Os colaboradores que usam os sistemas de informações não têm

permissão para acessar um site cujo conteúdo seja de explicitação sexual,

racista ou outro material potencialmente ofensivo. A capacidade para

conectar-se a um site específico não implica em permissão para acessar o

mesmo.

O acesso de qualquer computador da rede da empresa à Internet deverá ser

feito exclusivamente através de equipamentos de controle (Firewall e Proxy)

corporativos. Outras formas de acessar à Internet, como conexões dial-up

através de um provedor externo ou cascateamento de proxies, visando

burlar as barreiras corporativas, são terminantemente proibidas de serem

empregadas.

b) Intranet

O acesso à Intranet deve ser restrito às atividades profissionais.

Requerimentos de segurança deverão ser adotados na rede interna da

organização a fim de assegurar que informações confidenciais não sejam

comprometidas e que os serviços disponibilizados estejam protegidos.

O gerenciamento do uso da Intranet deverá ser regido por Norma /ou

Procedimento constante da Política de Segurança da Informação, conforme

Leis vigentes no País.

c) Correio eletrônico

O endereço de correio eletrônico fornecido pela organização para cada

colaborador, prestador de serviço ou terceiro será utilizado única e

exclusivamente para atividades relacionadas aos trabalhos desenvolvidos.

Uso pessoal do sistema de correio eletrônico

O sistema de correio eletrônico é disponibilizado para ser usado nas

atividades da empresa, e somente seu uso profissional está autorizado. Tal

proibição leva em consideração principalmente a grande quantidade de

códigos maliciosos, vírus, cavalos de tróia, worms e exploits oriundos dos

provedores externos.

Restrições do conteúdo das mensagens

Filtros de Conteúdo

Com a finalidade de minimizar a contaminação por vírus, otimizar o tráfego

de rede e o espaço de armazenamento em disco no servidor de correio

eletrônico, são filtradas de forma automática as mensagens que possuam

arquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE,

COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem ser

adicionadas a esta lista, sem aviso prévio, qualquer outra extensão que a

Gerência de Tecnologia da Informação julgue conveniente.

É obrigatória a utilização de mecanismos de monitoramento que permitam o

gerenciamento do uso deste recurso, e que o mesmo seja regido por Norma

e/ou Procedimento constante da Política de Segurança da Informação,

conforme Leis vigentes no País.

d) Mensagens Instantâneas

A utilização de software relativo a mensagem instantânea é restrito ao

desempenho das atividades profissionais.

5. CONCLUSÃO

Este trabalho tem por finalidade descrever metodologias de Segurança da

Informação relativas ao controle de acesso físico/lógico, que podem ser

adotadas pelas organizações no intuito de prevenir que os ativos de

informação sejam acessados de forma indevida ou não autorizada. Dentre as

medidas a serem implementadas pelas organizações, ressalta-se a Política de

Segurança da Informação, que tem por finalidade definir normas,

procedimentos, ferramentas e responsabilidades a serem seguidas pelos

colaboradores das organizações. O objetivo é a garantir o tripé da segurança

da informação – Confidencialidade, Integridade e Disponibilidade.