Este documento estabelece uma Política de Segurança da Informação (PSI) para uma organização fictícia, definindo diretrizes e procedimentos para proteger os dados e ativos de informação da organização. A PSI abrange questões de segurança física, lógica, de telecomunicações e continuidade dos negócios. Ela descreve os riscos a serem mitigados, ameaças a serem tratadas, controles mínimos necessários e regulamentações aplicáveis.
1. FACULDADE SENAC MINAS
Bruno Luiz A. De Paiva
Política de segurança da Informação
Segurança: Controle de Acessos
Coronel Fabriciano, 2013
2. Bruno Luiz A. De Paiva
Política de segurança da Informação
Segurança: Controle de Acessos
Este trabalho estabelece a PSI - Política
de Segurança da Informação de uma
“organização” fictícia para o trabalho da
disciplina de Política de Segurança da
Informação do curso de Pós-Graduação
em Gestão em Tecnologia da Informação
– SENAC -MG
João Paulo Coelho Furtado
Coronel Fabriciano, 2013
3. SUMÁRIO
1. OBJETIVO GERAL.......................................................................................................................................4
2. ÂMBITO DE APLICAÇÃO............................................................................................................................4
3. DESCRIÇÃO DAS PRÁTICAS........................................................................................................................4
3.1. Apresentação.....................................................................................................................................4
3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:...............................................................5
3.1.2. Ameaças a serem tratadas pela PSI:...........................................................................................5
3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem estar devidamente
identificados e documentados):...........................................................................................................6
3.1.4. Atores da PSI de uma organização:
..............................................................................................................................................................6
3.1.5. Regulamentações que abrangem a PSI:
..............................................................................................................................................................6
3.2. Áreas de Segurança da Informação a serem tratadas........................................................................6
3.2.1. Segurança Física de Controle de Acessos....................................................................................7
3.2.2. Segurança Lógica........................................................................................................................7
3.2.3. Segurança de Telecomunicação..................................................................................................7
3.2.4. Continuidade do Negócio...........................................................................................................7
4. SEGURANÇA DA INFORMAÇÃO.................................................................................................................8
4.1 Segurança Física..................................................................................................................................8
4.1.1. Área de Segurança......................................................................................................................8
4.1.2. Controles de Entrada e Saída de Pessoas....................................................................................8
4.1.3. Áreas de Expedição e Carga (Áreas Comuns)..............................................................................8
4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura...............................................................9
4.2. Segurança Lógica...............................................................................................................................9
4.2.1. Gerenciamento das Operações e Comunicações........................................................................9
4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção.............11
4.2.3. Procedimentos Operacionais....................................................................................................11
4.2.4. Segurança e Tratamento de Mídias...........................................................................................12
4. 4.2.5. Controle de Acesso aos Recursos Computacionais...................................................................12
5. CONCLUSÃO............................................................................................................................................16
1. OBJETIVO GERAL
Assegurar à organização a conformidade da Política de Segurança da
Informação (PSI) com as Normas pertinentes, visando proteger os dados,
garantindo que as informações integrantes de seu patrimônio e aquelas sob
sua guarda, assim como as ferramentas utilizadas para obtenção, geração,
modificação, armazenagem e disponibilização das mesmas estejam em
conformidade com as leis vigentes no País;
2. ÂMBITO DE APLICAÇÃO
Aplica-se a todos os colaboradores, prestadores de serviços, fornecedores,
terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de
Segurança e responsabilidades pelo seu acesso a este Patrimônio,
evidenciando estas ações.
3. DESCRIÇÃO DAS PRÁTICAS
3.1. Apresentação
“Toda Informação obtida, gerada, modificada, armazenada e
disponibilizada pelos processos de negócio de uma organização integra seu
patrimônio, físico e lógico.“
Este documento estabelece a PSI - Política de Segurança da Informação de
uma organização, que é um conjunto das diretrizes, normas e/ou
procedimentos necessários à preservação e segurança das Informações.
5. A Informação é um ativo, como qualquer outro ativo importante do negócio,
que tem um valor para a organização e consequentemente necessita ser
protegida. A Segurança da Informação visa proteger os ativos de um grande
campo de ameaças, de forma a garantir a continuidade dos negócios,
minimizando os danos e maximizando o retorno dos investimentos e
oportunidades.
A Informação pode existir em muitas formas:
• pode ser impressa ou escrita em papel;
• guardada eletronicamente;
• transmitida pelo correio ou usando meios eletrônicos;
• mostrada em filmes, ou falada em conversação. Seja qual for a forma
tomada pela Informação, ou meio através do qual ela é compartilhada ou
armazenada, deve ser protegida adequadamente.
A Segurança da Informação é caracterizada pela preservação da:
• Confidencialidade, que é a garantia de que a Informação é acessível
somente a pessoas com acesso autorizado;
• Integridade, que é a salvaguarda da exatidão e completeza da Informação
e dos métodos de processamento;
• Disponibilidade, que é a garantia de que os usuários autorizados obtenham
acesso à Informação e aos ativos correspondentes, sempre que necessário.
A Segurança da Informação é alcançada a partir da implementação de uma
série de controles, que podem ser políticas, práticas, procedimentos,
estruturas organizacionais, instalações, softwares e ferramentas de controle
automatizadas. Estes controles devem ser estabelecidos para garantir que os
objetivos de segurança da organização sejam alcançados.
6. De forma crescente a organização e seu conjunto de Sistemas de Informação
são colocados à prova, com um grande universo de tipos de ameaças à
Segurança da Informação, incluindo fraudes eletrônicas, espionagem,
sabotagem, vandalismo, fogo e inundação. Quando as fontes dos danos são
vírus, hackers/crackers e ataques de negação de serviço e todas as demais
ameaças externas e acessos não autorizados, o que se pode observar é que
estão cada vez mais ambiciosos e sofisticados.
A dependência dos Sistemas de Informação deixa qualquer organização mais
vulnerável às ameaças de segurança. A interconexão de redes e o
compartilhamento de recursos de Informação aumentam a dificuldade de se
ter um controle de acesso realmente eficiente.
Vários Sistemas de Informação não foram projetados para implementar
Segurança. A Segurança que se pode ter através de meios técnicos é
limitada e deve ser suportada com procedimentos e um gerenciamento
contínuo dos riscos. A identificação de quais controles devem ser
implantados requer um planejamento cuidadoso e uma atenção redobrada
nos detalhes. O gerenciamento da Segurança da Informação necessita da
participação de todos os colaboradores da organização.
Apesar da maioria do corpo executivo das organizações estarem conscientes
da necessidade de criação e cumprimento de uma Política de Segurança da
Informação, ainda faz-se necessário um esforço enorme para que as
Unidades de Segurança possam lançar mão dos recursos necessários para
esta criação e manutenção.
Os controles de Segurança da Informação são considerados mais baratos e
mais eficientes quando incorporados e tratados diferentemente dos demais
processos das organizações. A Tecnologia da Informação só se torna uma
ferramenta capaz de alavancar verdadeiramente os negócios de uma
organização quando seu uso está vinculado a medidas de proteção dos dados
corporativos.
7. É nesse contexto que a definição de uma Política de Segurança da
Informação deixa de ser custo associado a ideias exóticas, para se tornar
investimento capaz de assegurar a continuidade e sobrevivência dos
negócios, sendo imperativo à competitividade da mesma, que ela possa
contar com um trabalho de profissionais especializados e qualificados, como
determinam as responsabilidades relativas à Segurança da Informação
dentro da organização.
3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:
a) Revelação de Informações sensíveis;
b) Modificações indevidas de dados e programas;
c) Perda de dados e programas;
d) Destruição ou perda de recursos computacionais e instalações;
e) Interdições ou interrupções de serviços essenciais;
f) Roubo de propriedades, seja qual for.
3.1.2. Ameaças a serem tratadas pela PSI:
a) Integridade: Prever ameaças de ambiente, externas ou internas, oriundas
de catástrofes, fenômenos da natureza e/ou qualquer evento provocado
intencionalmente ou não. Cita-se aqui, como exemplo, fogo, enchentes,
tempestades, inundações etc.
b) Indisponibilidade: Prever falhas em sistemas e/ou diversos ambientes
computacionais da Organização.
c) Divulgação da Informação: Prever a divulgação de Informações sensíveis
aos Processos de Negócio da organização, premeditada e/ou acidental.
8. d) Alterações não autorizadas: Prever alterações não autorizadas,
premeditadas e/ou acidentais em Sistemas e/ou equipamentos de Tecnologia
da Informação ou que suportem os Processos de Negócio.
3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem
estar devidamente identificados e documentados):
•Softwares de detecção de vírus, trojans, spywares, etc; - Software de
controle de acesso físico e lógico;
•Mecanismos de controle de acesso físico;
•Serviços críticos relativos a fenômenos da natureza (incêndio, inundações e
etc);
•Serviços críticos relativos a concessionárias Estaduais e/ou Federais
(energia, água, telefonia etc).
3.1.4. Atores da PSI de uma organização:
a) Gestor da Informação: Indivíduo responsável pela tomada de decisões em
nome da organização no que diz respeito ao uso, à identificação, à
classificação e à proteção de um recurso específico da Informação.
b) Custodiante: Agente responsável pelo processamento, organização e
guarda da Informação.
c) Usuário: Alguma pessoa que interage diretamente com o sistema
computadorizado. Um usuário autorizado com poderes de adicionar ou
atualizar a Informação.
9. 3.1.5. Regulamentações que abrangem a PSI:
a) Formalizar seus Procedimentos Gerenciais de Segurança da Informação,
parte integrante da PSI, em conjunto com os Procedimentos Operacionais da
Segurança da Informação, compondo um documento ou pasta, impresso ou
eletrônico, a ser mantido e atualizado para consultas, ou seja, uma espécie
de Manual de Segurança da Informação;
b) Divulgar a todos os colaboradores, prestadores de serviços, fornecedores,
terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de
Segurança e responsabilidades pelo seu acesso a este Patrimônio,
evidenciando estas ações, no que lhe compete;
c) Todos os colaboradores da organização assim como seus prestadores de
serviços, fornecedores, terceiros, parceiros e clientes que de algum forma
possuírem acesso ao patrimônio de Informações, são responsáveis pelo
cumprimento dos Procedimentos Gerenciais de Segurança da Informação.
Assim, a Política de Segurança da Informação visa preservar a
Confiabilidade, Integridade e Disponibilidade das Informações,
recomendando e descrevendo as condutas adequadas para o seu manuseio,
controle, proteção e descarte.
3.2. Áreas de Segurança da Informação a serem tratadas
3.2.1. Segurança Física de Controle de Acessos
a) Conceituação: Conjunto de medidas destinadas à proteção e integridade
dos ativos da Organização e à continuidade dos seus serviços.
10. b) Vulnerabilidades: Devem ser previstos riscos naturais (inundações,
tempestades etc.), riscos acidentais (incêndios, interrupções de
abastecimentos diversos etc.), entradas não autorizadas, roubos de
patrimônio, etc.
c) Áreas sensíveis: Devem ser levantadas e mapeadas as áreas vulneráveis e
definida a criticidade de todos os ambientes físicos, principalmente os de alta
criticidade (equipamentos, patrimônio físico, recursos humanos etc).
Devem ser contemplados acessos físicos a todos os ambientes e o
monitoramento dos mesmos, principalmente os considerados de alta
criticidade.
3.2.2. Segurança Lógica
a) Conceituação: Conjunto de medidas destinadas à proteção de recursos
computacionais contra utilização indevida ou desautorizada, intencional ou
não.
b) Ambiente Lógico: O ambiente operacional, integrado pelos ativos de
informação e de processamento deve ser constantemente monitorado pela
Gerência Tecnologia da Informação. Sendo constatada qualquer
irregularidade, o superior responsável deve ser formalmente notificado, a fim
de tomar as providências cabíveis.
c) Vulnerabilidades: Devem estar previstos acidentes por falhas e/ou
sabotagem de hardware, software, aplicativos e procedimentos.
d) Áreas sensíveis: Sistemas Operacionais, Sistemas Gerenciais de Banco de
Dados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas de
apoio. Devem estar contempladas política de usuários e senhas com
definição de perfis de acesso aos ambientes e aplicativos.
3.2.3. Segurança de Telecomunicação
11. a) Conceituação: Conjunto de medidas destinadas à proteção das
Informações que trafegam por meios eletrônicos ou convencionais e dos
recursos utilizados para esse tráfego.
b) Vulnerabilidades: Devem estar previstos acessos não autorizados às redes
de comunicação de dados, adulteração de dados em tráfego, utilização não
autorizada de Informações e extravio de formulários ou documentos
classificados para não disponibilização pública.
c) Áreas sensíveis: Redes de comunicação de dados, redes locais, conexões
com redes externas, ligações de usuários externos aos servidores da
Organização, telefonia.
3.2.4. Continuidade do Negócio
a) Conceituação: Conjunto de Planos que contemplam as atividades
necessárias para a continuidade dos negócios da Organização, quando
houver algum tipo de interrupção nos processos, serviços e/ou equipamentos
considerados críticos.
b) Vulnerabilidades: Devem estar previstas interrupções significativas das
operações essenciais do negócio, causadas pelas vulnerabilidades nas áreas
de segurança da informação a serem tratadas.
c) Áreas sensíveis: Todas as áreas de segurança da informação a serem
tratadas.
4. SEGURANÇA DA INFORMAÇÃO
4.1 Segurança Física
4.1.1. Área de Segurança
12. A Organização deve possuir estabelecido em seu perímetro físico, cada
prédio que faça parte da empresa, identificando todas as suas “fronteiras” e
identificados todos os pontos de acesso.
Para as “fronteiras” com prédios vizinhos, devem ser estabelecidos os
controles necessários e suficientes, que salvaguardem o acesso às
instalações. As entradas e saídas de cada prédio devem ser dotadas de
Infraestrutura necessária e suficiente que permita o controle adequado de
fluxo de pessoas.
4.1.2. Controles de Entrada e Saída de Pessoas
Alguns controles mínimos devem ser implementados, sendo indispensável o
planejamento e implementação de Norma e/ou Procedimento que
regulamente estes controles, sendo este parte integrante da Política de
Segurança da Informação.
a) Classificação de todas as áreas dos prédios da organização, quanto à
criticidade , alta, média ou baixa; quanto à restrição de acesso, também alta,
média ou baixa.
b) Criação de mecanismos para identificação e controle de acesso de pessoal,
colaborador ou não, às instalações da organização, indicando quem teve
acesso, data e hora e quem autorizou o acesso, sendo este controle de
responsabilidade da área administrativa da organização. Acessos em horários
especiais, fora do expediente normal, apenas sob autorização formal da
Gestão responsável.
4.1.3. Áreas de Expedição e Carga (Áreas Comuns)
Por serem áreas de acesso para uma quantidade muito grande de pessoas,
estas áreas devem estar isoladas das áreas consideradas restritas e críticas.
Estas áreas devem estar previstas em Norma e/ou Procedimento que as
13. regulamente, sendo este parte integrante da Política de Segurança da
Informação.
4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura
A implantação de proteções mínimas, citadas abaixo, deve ser observada,
sendo indispensável Norma e/ou Procedimento que regulamente estas
proteções, sendo este parte integrante da Política de Segurança da
Informação.
a) Os equipamentos, principalmente os considerados críticos, devem estar
instalados em áreas protegidas de acesso.
b) Os equipamentos próprios, considerados de difícil reposição em função do
custo financeiro, devem estar segurados, pelo menos contra incêndio e, se
possível, dispor de contrato de manutenção do fabricante.
c) O cabeamento elétrico e de lógica, que alimenta e interliga os vários
equipamentos da organização, deve ser protegido de forma adequada e
recomendada por fabricantes e conforme Normas de Segurança.
d) A organização deve possuir um sistema de No-break e um gerador de
energia próprio, que alimentem pelo menos os equipamentos e os locais
considerados críticos.
e) A manutenção preventiva dos equipamentos deve ser feita conforme as
especificações do fabricante.
f) Devem existir mecanismos de proteção e combate a incêndio,
principalmente em locais considerados críticos, sob responsabilidade da área
administrativa da organização e conforme Leis vigentes no País. As
instalações prediais devem ser seguradas, pelo menos contra incêndio.
g) Os procedimentos internos para proteção dos equipamentos devem ser
replicados, sempre que possível e necessário, quando os mesmos forem
deslocados para fora de seu local padrão.
14. h) Devem ser planejados e implantados, onde for necessário, controles das
condições ambientais.
i) Devem ser criados mecanismos para identificação e controle de qualquer
movimentação, para fora das dependências da organização, de ativos de TI,
sejam eles equipamentos, programas e dados contidos em mídias ou
enviados via correio eletrônico, listagens contendo Informações e etc. Estas
movimentações devem registrar quem as realizou, a data e a hora de saída e
de retorno, quem autorizou e a identificação do ativo de TI movimentado.
j) Devem ser criados mecanismos especiais que protejam o acesso aos locais
considerados de alta restrição.
4.2. Segurança Lógica
4.2.1. Gerenciamento das Operações e Comunicações
a) Documentação dos Procedimentos de Operação
Todos os sistemas, sejam eles executados em batch, on-line e/ou misto,
estando em Produção, devem possuir documentação atualizada, conforme
padrões da metodologia de desenvolvimento de sistemas normatizada e em
vigência.
b) Ambiente Operacional
Todos os equipamentos de Infraestrutura, interligações das redes,
interligações de hardware de grande porte e softwares básicos e de apoio,
devem possuir documentação necessária e suficiente, bem como atualizada,
que possibilite entendimento a qualquer técnico capacitado e habilitado,
visando manutenções preventivas, corretivas e evolutivas, no ambiente
operacional da organização.
c) Gerenciamento e controle de mudanças
Toda e qualquer mudança no ambiente de produção, seja ela de
Infraestrutura, hardware, comunicações, softwares básicos, softwares de
15. apoio, sistemas aplicativos, procedimentos etc., deve ser executada
conforme procedimentos descritos no processo de Gestão de Mudanças.
d) Gerenciamento e controle de problemas
Quaisquer problemas que ocorram no ambiente operacional, sejam eles de
Infraestrutura, hardware, equipamentos de comunicação de dados, softwares
e sistemas aplicativos, devem ser registrados com, no mínimo, as seguintes
Informações:
• descrição do problema;
• data e hora da ocorrência;
• identificação de quem o registrou e quem foi acionado para solucioná-lo;
• consequências do problema;
• data e hora da solução;
• identificação de quem solucionou;
• descrição da solução adotada.
e) Monitoramento da Segurança
Testes periódicos de vulnerabilidade do ambiente de TI deverão ser
realizados com a finalidade de garantir que a implementação de segurança
de TI esteja vigiada e monitorada de forma proativa.
f) Incidentes de Segurança da Informação
Ocorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionado
à segurança lógica dos ativos da organização, deverão ser tratados conforme
Procedimento de Incidentes de Segurança.
g) Prevenção, Detecção e Correção de Softwares Maliciosos
Medidas para prevenção, detecção e correção de Softwares Maliciosos devem
ser implementadas por toda a organização, para garantir a proteção dos
ativos de informação contra softwares maliciosos.
O controle dessas medidas deve estar de acordo com os procedimentos
descritos pela infraestrutura.
O acesso a esses procedimentos são restritos ao pessoal da Infraestrutura.
h) Segurança de Redes
16. Assegurar que técnicas e procedimentos de segurança sejam usados para
autorizar acessos e controlar as informações que circulam nas redes da
Organização.
i) Segregação de ambientes
Devem existir 3 (três) ambientes distintos de softwares, jobs, sistemas
aplicativos, programas e dados:
• Ambiente de Produção.
Deve conter todo o ambiente de executáveis, em produção, dos sistemas
aplicativos, jobs, softwares básicos, softwares de apoio e os dados reais
residentes em arquivos convencionais e bancos de dados, necessários para a
execução dos processos. O controle de acesso a este ambiente deve ser de
responsabilidade do setor de Segurança da Informação, conforme Normas e
Procedimentos de acesso lógico da organização.
Este ambiente deve possuir acesso exclusivo aos colaboradores da
organização, restritos conforme Normas e Procedimentos da Política de
Segurança da Informação.
Em situação de exceção, outros poderão acessar o ambiente de produção,
através de um login especiais, criados para esta finalidade, conforme Normas
e Procedimentos da Política de Segurança da Informação, e mediante ciência
e aprovação formal da Gestão de Tecnologia da Informação.
• Ambiente de Desenvolvimento
Deve conter todo o ambiente de executáveis, em manutenção, dos sistemas
aplicativos, programas-fonte, jobs de teste, softwares básicos, softwares de
apoio e dados fictícios residentes em arquivos convencionais e bancos de
dados, necessários para o cumprimento das tarefas relativas a
desenvolvimento.
Por se tratar de um ambiente de desenvolvimento, seu controle de acesso
não deve estar sob a responsabilidade do setor de Segurança da Informação,
cabendo à Gestão de Tecnologia da Informação essa definição, conforme
Normas e Procedimentos.
17. Este ambiente deve ser de acesso exclusivo dos colaboradores da Gestão de
Tecnologia da Informação, responsáveis pelo desenvolvimento e manutenção
dos sistemas aplicativos, programas fonte, jobs de teste, softwares básicos e
softwares de apoio.
Em situação de exceção, outros poderão acessar o ambiente de
desenvolvimento, através de um login especiais, criado para esta finalidade e
mediante ciência e aprovação formal da Gestão de Tecnologia da Informação.
• Ambiente de Teste/Homologação
Deve conter todo o ambiente de teste / Homologação: jobs de teste, fontes
de softwares básicos, softwares de apoio e de sistemas aplicativos sob a
responsabilidade do setor de Segurança da Informação, quanto aos acessos,
além de dados fictícios, residentes em arquivos convencionais e bancos de
dados.
Esta área deverá ser de acesso exclusivo aos colaboradores autorizados para
a finalidade de teste / homologação, sendo negado acesso a qualquer outro
que não tenha função, devido aos dados presentes nesta área serem
próximos da Produção.
Em situação de exceção, outros poderão acessar o ambiente de teste /
homologação, através de um login e senha especial, criado para esta
finalidade, conforme Normas e Procedimentos da Política de Segurança da
Informação, e mediante ciência e aprovação formal da Gestão de Tecnologia
da Informação.
4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas
pela Produção
a) Planejamento de capacidade
São atividades de planejamento de capacidade dos recursos computacionais
sejam contínuas, tanto no ambiente de rede quanto no ambiente de grande
18. porte. Devem ser apuradas, conforme processo Gerenciamento de
performance e capacidade.
b) Aceitação de sistemas
Para serem aceitos no ambiente de produção, os sistemas aplicativos devem
estar previamente homologados pelas áreas de sistemas e áreas
demandantes e documentados operacionalmente, conforme a metodologia
de desenvolvimento vigente.
4.2.3. Procedimentos Operacionais
a) Política de backup
Deve ser estabelecida uma Política de backup nas dependências da
Instalação principal da organização e fora dela, que, em quaisquer situações,
permitam a recuperação de softwares, sistemas, dados, jobs e
documentação, guardados em meio magnético.
Simulações periódicas devem ser realizadas, com apresentação de relatórios
sobre as mesmas, que contenha informações do procedimento executado e
dos resultados.
b) Registros de Operações
Devem ser mantidos registros das operações de processamento, indicando
quem executou o serviço, qual o serviço executado, a data e hora de início e
fim e as ocorrências de não- conformidade.
4.2.4. Segurança e Tratamento de Mídias
Para todas as mídias da organização que contenham bens de Informação,
sejam elas em meio magnético, ótico ou papel, devem ser observados os
seguintes cuidados mínimos:
19. a) Devem ser guardadas em lugar seguro, diferente do local onde os dados
originais estão armazenados; devem estar ainda em local adequado, de
acordo com as especificações do fabricante da mídia.
b) As mídias que forem transitar para fora das instalações de sua origem
devem ter a sua saída registrada e a garantia de sua chegada ao destino,
também registrada. Além disso, devem ser embaladas, acondicionadas e
transportadas de forma adequada, para garantir sua integridade.
c) As mídias em meio magnético ou ótico devem ser identificadas
externamente, quanto ao seu conteúdo, indicando, quando necessário, o
prazo de retenção e observações sobre as mesmas.
d) Quando forem descartadas, devem ser apagadas e/ou destruídas de
forma completa e total, através de trituração ou incineração.
4.2.5. Controle de Acesso aos Recursos Computacionais
Devem ser adotados, no mínimo, os controles apresentados abaixo. Estes
devem estar previstos, detalhadamente, em Norma e/ou Procedimento
específico da Política de Segurança da Informação.
a) Identificação e autenticação de usuários
• O usuário somente deve possuir acesso ao ambiente computacional através
de uma identificação de acesso e uma senha;
• A identificação de acesso do usuário deve ser única, pessoal e
intransferível;
• A senha associada à identificação de acesso deve ser secreta e de
conhecimento exclusivo do usuário para o qual foi custodiada;
• A senha não pode ser divulgada a terceiros, devendo-se evitar o uso de
combinação simples ou óbvia na sua criação;
• Não devem ser permitidas senhas para grupos de usuários (senha
genérica), salvo com autorização formal da Gestão de Tecnologia da
Informação;
20. • Quando o usuário errar o seu login ou sua senha deve ser emitida
mensagem de “login/senha incorretos”;
• Sempre que possível e necessário, os logins devem ser associados a uma
determinada estação de trabalho;
• Sempre que possível e necessário, permitir logins para apenas uma sessão,
a cada acesso.
4.2.6. Uso das Estações de Trabalho
Os computadores e sistemas de comunicações não devem ser utilizados para
fins pessoais.
Compartilhamento de Recursos
O compartilhamento de diretórios e/ou arquivos nas estações de trabalho
deve ser atribuído única e exclusivamente para facilitar e/ou agilizar o
trabalho das atividades laborais, não devendo ocorrer em qualquer outra
situação.
4.2.7. Camadas De Segurança
Para a devida proteção do ambiente, devem ser projetadas 4 (quatro)
camadas de acesso:
• Acesso ao ambiente;
• Acesso aos sistemas aplicativos;
• Acesso às funções dos sistemas aplicativos;
• Acesso aos dados.
Sempre que possível o login e a senha de acesso devem ser únicos para
todas as camadas de Segurança.
Devem ser exibidos para os usuários apenas os arquivos, os softwares e as
funcionalidades a que os mesmo têm direito de acesso, ficando sob
21. responsabilidade do mesmo informar ao seu superior sobre acessos
disponibilizados em demasia.
4.2.8. Trilhas de Auditoria
Recomenda-se a existência de softwares de Segurança, e que estes
mantenham registros sobre os acessos dos usuários, indicando, sempre que
possível, o arquivo, o software, a data e hora que foram acessados.
Os SGBD – Sistemas de Gerenciamento de Bancos de Dados – devem
manter logs próprios que permitam a recuperação de Informações, em
qualquer situação. Estes logs devem estar documentados e serem de
conhecimento dos Especialistas das áreas de guarda dos mesmos.
Devem existir Procedimentos que contemplem uma política de auditoria, por
exemplo, definida e devidamente documentada, como parte integrante da
Política de Segurança da Informação, onde sejam previstos todos estes
detalhes, em especial:
• Auditorias a serem contemplados;
• Motivos da auditoria; como deve ser realizada;
• Resultado esperado;
• Periodicidade;
• Responsável por auditar.
4.2.9. Computação Móvel e Trabalho Remoto.
Todo e qualquer trabalho remoto deve ser evitado, ficando restrito aos
colaboradores da Gestão de Tecnologia da Informação e aqueles que forem
autorizados por esta Gestão, ambos em caráter de extrema necessidade e
mediante assinatura de Termo de Responsabilidade e Compromisso.
Para utilizar este acesso é obrigatória a existência de uma autorização formal
prévia do Gestor de Tecnologia da Informação.
22. Sempre que necessário e viável, a organização deve disponibilizar sistemas
na Internet, através de sua Gestão de Tecnologia da Informação. Para que os
acessos realizados a estes sistemas sejam feitos com segurança, devem ser
previstos e adotados mecanismos visando à proteção dos bens de
Informação, tais como Certificação digital, Softwares de Segurança,
Antivírus, Firewalls corporativos e individuais, Criptografia e etc.
4.2.10. Trânsito de Informações
O trânsito de Informações deve ser feito por um caminho ou meio confiável
com controles que ofereçam autenticidade do conteúdo, proteção de
submissão e recebimento e não repúdio da origem.
Devem existir Procedimentos que contemplem e padronizem a geração,
mudança, revogação, destruição, distribuição, certificação, armazenamento,
entrada, uso e arquivamento de chaves criptográficas para garantir a
proteção das chaves contra modificação e acessos não autorizados.
4.2.11. Acesso a Utilitários Poderosos
Deve existir na organização documentos que contendo a classificação de
todos os utilitários e programas considerados poderosos, ou seja, programas
que podem sobrepor os controles de Segurança estabelecidos e
implementados.
Estes utilitários, quando não puderem ser eliminados, devem possuir critérios
de proteção de acesso que os tornem de uso restrito aos analistas da Gestão
de Tecnologia da Informação para usufruto de afazeres relacionados a seu
trabalho.
São exemplares de alguns destes programas:
• Softwares de quebra de senhas. Ex: Brutus, LC4;
• Softwares de invasão de redes. Ex: nemesis;
23. • Softwares de reconhecimento de portas e de vulnerabilidades ativas. Ex:
nemesis; - Softwares de monitoramento de redes (sniffers). Ex: ethereal;
4.2.12. Administração de Acessos
Devem ser criados mecanismos que permitam registros de acessos aos
ambientes, indicando, minimamente e sempre que possível, os recursos
acessados, quem efetuou o acesso, data e hora, tentativas de acesso com
senhas erradas, tentativas de acesso de estações de trabalho não permitidas,
tentativas de acesso em horários não permitidos etc.
Consultas e relatórios devem ser criados, permitindo o monitoramento e
gerenciamento dos acessos, pela Gestão e por auditores que por ventura
sejam requisitados.
4.2.13. Desenvolvimento e Manutenção de Sistemas
Devem existir Procedimentos que regulamente a elaboração, implantação e
utilização desta metodologia, sendo este parte integrante da Política de
Segurança da Informação.
4.3. Segurança de TELECOM
4.3.1. Acesso à Internet, Intranet, correio eletrônico, telefone e mensagens
instantâneas
a) Internet
• O acesso à Internet da organização deve ser restrito às atividades
profissionais
É obrigatória a utilização de mecanismos de monitoramento que permitam o
gerenciamento do uso desse recurso e que o mesmo seja regido por Norma
e/ou Procedimento constante da Política de Segurança da Informação,
conforme Leis vigentes no País.
24. • Bloqueio e controle de Sites na Internet
Os sistemas da organização são configurados rotineiramente para evitar que
os colaboradores se conectem em sites não relacionados às atividades da
empresa. Os colaboradores que usam os sistemas de informações não têm
permissão para acessar um site cujo conteúdo seja de explicitação sexual,
racista ou outro material potencialmente ofensivo. A capacidade para
conectar-se a um site específico não implica em permissão para acessar o
mesmo.
O acesso de qualquer computador da rede da empresa à Internet deverá ser
feito exclusivamente através de equipamentos de controle (Firewall e Proxy)
corporativos. Outras formas de acessar à Internet, como conexões dial-up
através de um provedor externo ou cascateamento de proxies, visando
burlar as barreiras corporativas, são terminantemente proibidas de serem
empregadas.
b) Intranet
O acesso à Intranet deve ser restrito às atividades profissionais.
Requerimentos de segurança deverão ser adotados na rede interna da
organização a fim de assegurar que informações confidenciais não sejam
comprometidas e que os serviços disponibilizados estejam protegidos.
O gerenciamento do uso da Intranet deverá ser regido por Norma /ou
Procedimento constante da Política de Segurança da Informação, conforme
Leis vigentes no País.
c) Correio eletrônico
O endereço de correio eletrônico fornecido pela organização para cada
colaborador, prestador de serviço ou terceiro será utilizado única e
exclusivamente para atividades relacionadas aos trabalhos desenvolvidos.
Uso pessoal do sistema de correio eletrônico
O sistema de correio eletrônico é disponibilizado para ser usado nas
atividades da empresa, e somente seu uso profissional está autorizado. Tal
proibição leva em consideração principalmente a grande quantidade de
25. códigos maliciosos, vírus, cavalos de tróia, worms e exploits oriundos dos
provedores externos.
Restrições do conteúdo das mensagens
Filtros de Conteúdo
Com a finalidade de minimizar a contaminação por vírus, otimizar o tráfego
de rede e o espaço de armazenamento em disco no servidor de correio
eletrônico, são filtradas de forma automática as mensagens que possuam
arquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE,
COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem ser
adicionadas a esta lista, sem aviso prévio, qualquer outra extensão que a
Gerência de Tecnologia da Informação julgue conveniente.
É obrigatória a utilização de mecanismos de monitoramento que permitam o
gerenciamento do uso deste recurso, e que o mesmo seja regido por Norma
e/ou Procedimento constante da Política de Segurança da Informação,
conforme Leis vigentes no País.
d) Mensagens Instantâneas
A utilização de software relativo a mensagem instantânea é restrito ao
desempenho das atividades profissionais.
5. CONCLUSÃO
Este trabalho tem por finalidade descrever metodologias de Segurança da
Informação relativas ao controle de acesso físico/lógico, que podem ser
adotadas pelas organizações no intuito de prevenir que os ativos de
informação sejam acessados de forma indevida ou não autorizada. Dentre as
medidas a serem implementadas pelas organizações, ressalta-se a Política de
Segurança da Informação, que tem por finalidade definir normas,
procedimentos, ferramentas e responsabilidades a serem seguidas pelos
26. colaboradores das organizações. O objetivo é a garantir o tripé da segurança
da informação – Confidencialidade, Integridade e Disponibilidade.