FACULDADE SENAC MINASBruno Luiz A. De PaivaPolítica de segurança da InformaçãoSegurança: Controle de AcessosCoronel Fabric...
Bruno Luiz A. De PaivaPolítica de segurança da InformaçãoSegurança: Controle de AcessosEste trabalho estabelece a PSI - Po...
SUMÁRIO1. OBJETIVO GERAL.....................................................................................................
4.2.5. Controle de Acesso aos Recursos Computacionais...................................................................12...
A Informação é um ativo, como qualquer outro ativo importante do negócio,que tem um valor para a organização e consequente...
De forma crescente a organização e seu conjunto de Sistemas de Informaçãosão colocados à prova, com um grande universo de ...
É nesse contexto que a definição de uma Política de Segurança daInformação deixa de ser custo associado a ideias exóticas,...
d) Alterações não autorizadas: Prever alterações não autorizadas,premeditadas e/ou acidentais em Sistemas e/ou equipamento...
3.1.5. Regulamentações que abrangem a PSI:a) Formalizar seus Procedimentos Gerenciais de Segurança da Informação,parte int...
b) Vulnerabilidades: Devem ser previstos riscos naturais (inundações,tempestades etc.), riscos acidentais (incêndios, inte...
a) Conceituação: Conjunto de medidas destinadas à proteção dasInformações que trafegam por meios eletrônicos ou convencion...
A Organização deve possuir estabelecido em seu perímetro físico, cadaprédio que faça parte da empresa, identificando todas...
regulamente, sendo este parte integrante da Política de Segurança daInformação.4.1.4 Proteção de Prédio, Equipamentos e da...
h) Devem ser planejados e implantados, onde for necessário, controles dascondições ambientais.i) Devem ser criados mecanis...
apoio, sistemas aplicativos, procedimentos etc., deve ser executadaconforme procedimentos descritos no processo de Gestão ...
Assegurar que técnicas e procedimentos de segurança sejam usados paraautorizar acessos e controlar as informações que circ...
Este ambiente deve ser de acesso exclusivo dos colaboradores da Gestão deTecnologia da Informação, responsáveis pelo desen...
porte. Devem ser apuradas, conforme processo Gerenciamento deperformance e capacidade.b) Aceitação de sistemasPara serem a...
a) Devem ser guardadas em lugar seguro, diferente do local onde os dadosoriginais estão armazenados; devem estar ainda em ...
• Quando o usuário errar o seu login ou sua senha deve ser emitidamensagem de “login/senha incorretos”;• Sempre que possív...
responsabilidade do mesmo informar ao seu superior sobre acessosdisponibilizados em demasia.4.2.8. Trilhas de AuditoriaRec...
Sempre que necessário e viável, a organização deve disponibilizar sistemasna Internet, através de sua Gestão de Tecnologia...
• Softwares de reconhecimento de portas e de vulnerabilidades ativas. Ex:nemesis; - Softwares de monitoramento de redes (s...
• Bloqueio e controle de Sites na InternetOs sistemas da organização são configurados rotineiramente para evitar queos col...
códigos maliciosos, vírus, cavalos de tróia, worms e exploits oriundos dosprovedores externos.Restrições do conteúdo das m...
colaboradores das organizações. O objetivo é a garantir o tripé da segurançada informação – Confidencialidade, Integridade...
Próximos SlideShares
Carregando em…5
×

Trabalho Segurança da Informação -

2.309 visualizações

Publicada em

Assegurar à organização a conformidade da Política de Segurança da
Informação (PSI) com as Normas pertinentes, visando proteger os dados,
garantindo que as informações integrantes de seu patrimônio e aquelas sob
sua guarda, assim como as ferramentas utilizadas para obtenção, geração,
modificação, armazenagem e disponibilização das mesmas estejam em
conformidade com as leis vigentes no País;

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.309
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
84
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Trabalho Segurança da Informação -

  1. 1. FACULDADE SENAC MINASBruno Luiz A. De PaivaPolítica de segurança da InformaçãoSegurança: Controle de AcessosCoronel Fabriciano, 2013
  2. 2. Bruno Luiz A. De PaivaPolítica de segurança da InformaçãoSegurança: Controle de AcessosEste trabalho estabelece a PSI - Políticade Segurança da Informação de uma“organização” fictícia para o trabalho dadisciplina de Política de Segurança daInformação do curso de Pós-Graduaçãoem Gestão em Tecnologia da Informação– SENAC -MGJoão Paulo Coelho FurtadoCoronel Fabriciano, 2013
  3. 3. SUMÁRIO1. OBJETIVO GERAL.......................................................................................................................................42. ÂMBITO DE APLICAÇÃO............................................................................................................................43. DESCRIÇÃO DAS PRÁTICAS........................................................................................................................43.1. Apresentação.....................................................................................................................................43.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:...............................................................53.1.2. Ameaças a serem tratadas pela PSI:...........................................................................................53.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem estar devidamenteidentificados e documentados):...........................................................................................................63.1.4. Atores da PSI de uma organização:..............................................................................................................................................................63.1.5. Regulamentações que abrangem a PSI:..............................................................................................................................................................63.2. Áreas de Segurança da Informação a serem tratadas........................................................................63.2.1. Segurança Física de Controle de Acessos....................................................................................73.2.2. Segurança Lógica........................................................................................................................73.2.3. Segurança de Telecomunicação..................................................................................................73.2.4. Continuidade do Negócio...........................................................................................................74. SEGURANÇA DA INFORMAÇÃO.................................................................................................................84.1 Segurança Física..................................................................................................................................84.1.1. Área de Segurança......................................................................................................................84.1.2. Controles de Entrada e Saída de Pessoas....................................................................................84.1.3. Áreas de Expedição e Carga (Áreas Comuns)..............................................................................84.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura...............................................................94.2. Segurança Lógica...............................................................................................................................94.2.1. Gerenciamento das Operações e Comunicações........................................................................94.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção.............114.2.3. Procedimentos Operacionais....................................................................................................114.2.4. Segurança e Tratamento de Mídias...........................................................................................12
  4. 4. 4.2.5. Controle de Acesso aos Recursos Computacionais...................................................................125. CONCLUSÃO............................................................................................................................................161. OBJETIVO GERALAssegurar à organização a conformidade da Política de Segurança daInformação (PSI) com as Normas pertinentes, visando proteger os dados,garantindo que as informações integrantes de seu patrimônio e aquelas sobsua guarda, assim como as ferramentas utilizadas para obtenção, geração,modificação, armazenagem e disponibilização das mesmas estejam emconformidade com as leis vigentes no País;2. ÂMBITO DE APLICAÇÃOAplica-se a todos os colaboradores, prestadores de serviços, fornecedores,terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais deSegurança e responsabilidades pelo seu acesso a este Patrimônio,evidenciando estas ações.3. DESCRIÇÃO DAS PRÁTICAS3.1. Apresentação“Toda Informação obtida, gerada, modificada, armazenada edisponibilizada pelos processos de negócio de uma organização integra seupatrimônio, físico e lógico.“Este documento estabelece a PSI - Política de Segurança da Informação deuma organização, que é um conjunto das diretrizes, normas e/ouprocedimentos necessários à preservação e segurança das Informações.
  5. 5. A Informação é um ativo, como qualquer outro ativo importante do negócio,que tem um valor para a organização e consequentemente necessita serprotegida. A Segurança da Informação visa proteger os ativos de um grandecampo de ameaças, de forma a garantir a continuidade dos negócios,minimizando os danos e maximizando o retorno dos investimentos eoportunidades.A Informação pode existir em muitas formas:• pode ser impressa ou escrita em papel;• guardada eletronicamente;• transmitida pelo correio ou usando meios eletrônicos;• mostrada em filmes, ou falada em conversação. Seja qual for a formatomada pela Informação, ou meio através do qual ela é compartilhada ouarmazenada, deve ser protegida adequadamente.A Segurança da Informação é caracterizada pela preservação da:• Confidencialidade, que é a garantia de que a Informação é acessívelsomente a pessoas com acesso autorizado;• Integridade, que é a salvaguarda da exatidão e completeza da Informaçãoe dos métodos de processamento;• Disponibilidade, que é a garantia de que os usuários autorizados obtenhamacesso à Informação e aos ativos correspondentes, sempre que necessário.A Segurança da Informação é alcançada a partir da implementação de umasérie de controles, que podem ser políticas, práticas, procedimentos,estruturas organizacionais, instalações, softwares e ferramentas de controleautomatizadas. Estes controles devem ser estabelecidos para garantir que osobjetivos de segurança da organização sejam alcançados.
  6. 6. De forma crescente a organização e seu conjunto de Sistemas de Informaçãosão colocados à prova, com um grande universo de tipos de ameaças àSegurança da Informação, incluindo fraudes eletrônicas, espionagem,sabotagem, vandalismo, fogo e inundação. Quando as fontes dos danos sãovírus, hackers/crackers e ataques de negação de serviço e todas as demaisameaças externas e acessos não autorizados, o que se pode observar é queestão cada vez mais ambiciosos e sofisticados.A dependência dos Sistemas de Informação deixa qualquer organização maisvulnerável às ameaças de segurança. A interconexão de redes e ocompartilhamento de recursos de Informação aumentam a dificuldade de seter um controle de acesso realmente eficiente.Vários Sistemas de Informação não foram projetados para implementarSegurança. A Segurança que se pode ter através de meios técnicos élimitada e deve ser suportada com procedimentos e um gerenciamentocontínuo dos riscos. A identificação de quais controles devem serimplantados requer um planejamento cuidadoso e uma atenção redobradanos detalhes. O gerenciamento da Segurança da Informação necessita daparticipação de todos os colaboradores da organização.Apesar da maioria do corpo executivo das organizações estarem conscientesda necessidade de criação e cumprimento de uma Política de Segurança daInformação, ainda faz-se necessário um esforço enorme para que asUnidades de Segurança possam lançar mão dos recursos necessários paraesta criação e manutenção.Os controles de Segurança da Informação são considerados mais baratos emais eficientes quando incorporados e tratados diferentemente dos demaisprocessos das organizações. A Tecnologia da Informação só se torna umaferramenta capaz de alavancar verdadeiramente os negócios de umaorganização quando seu uso está vinculado a medidas de proteção dos dadoscorporativos.
  7. 7. É nesse contexto que a definição de uma Política de Segurança daInformação deixa de ser custo associado a ideias exóticas, para se tornarinvestimento capaz de assegurar a continuidade e sobrevivência dosnegócios, sendo imperativo à competitividade da mesma, que ela possacontar com um trabalho de profissionais especializados e qualificados, comodeterminam as responsabilidades relativas à Segurança da Informaçãodentro da organização.3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:a) Revelação de Informações sensíveis;b) Modificações indevidas de dados e programas;c) Perda de dados e programas;d) Destruição ou perda de recursos computacionais e instalações;e) Interdições ou interrupções de serviços essenciais;f) Roubo de propriedades, seja qual for.3.1.2. Ameaças a serem tratadas pela PSI:a) Integridade: Prever ameaças de ambiente, externas ou internas, oriundasde catástrofes, fenômenos da natureza e/ou qualquer evento provocadointencionalmente ou não. Cita-se aqui, como exemplo, fogo, enchentes,tempestades, inundações etc.b) Indisponibilidade: Prever falhas em sistemas e/ou diversos ambientescomputacionais da Organização.c) Divulgação da Informação: Prever a divulgação de Informações sensíveisaos Processos de Negócio da organização, premeditada e/ou acidental.
  8. 8. d) Alterações não autorizadas: Prever alterações não autorizadas,premeditadas e/ou acidentais em Sistemas e/ou equipamentos de Tecnologiada Informação ou que suportem os Processos de Negócio.3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devemestar devidamente identificados e documentados):•Softwares de detecção de vírus, trojans, spywares, etc; - Software decontrole de acesso físico e lógico;•Mecanismos de controle de acesso físico;•Serviços críticos relativos a fenômenos da natureza (incêndio, inundações eetc);•Serviços críticos relativos a concessionárias Estaduais e/ou Federais(energia, água, telefonia etc).3.1.4. Atores da PSI de uma organização:a) Gestor da Informação: Indivíduo responsável pela tomada de decisões emnome da organização no que diz respeito ao uso, à identificação, àclassificação e à proteção de um recurso específico da Informação.b) Custodiante: Agente responsável pelo processamento, organização eguarda da Informação.c) Usuário: Alguma pessoa que interage diretamente com o sistemacomputadorizado. Um usuário autorizado com poderes de adicionar ouatualizar a Informação.
  9. 9. 3.1.5. Regulamentações que abrangem a PSI:a) Formalizar seus Procedimentos Gerenciais de Segurança da Informação,parte integrante da PSI, em conjunto com os Procedimentos Operacionais daSegurança da Informação, compondo um documento ou pasta, impresso oueletrônico, a ser mantido e atualizado para consultas, ou seja, uma espéciede Manual de Segurança da Informação;b) Divulgar a todos os colaboradores, prestadores de serviços, fornecedores,terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais deSegurança e responsabilidades pelo seu acesso a este Patrimônio,evidenciando estas ações, no que lhe compete;c) Todos os colaboradores da organização assim como seus prestadores deserviços, fornecedores, terceiros, parceiros e clientes que de algum formapossuírem acesso ao patrimônio de Informações, são responsáveis pelocumprimento dos Procedimentos Gerenciais de Segurança da Informação.Assim, a Política de Segurança da Informação visa preservar aConfiabilidade, Integridade e Disponibilidade das Informações,recomendando e descrevendo as condutas adequadas para o seu manuseio,controle, proteção e descarte.3.2. Áreas de Segurança da Informação a serem tratadas3.2.1. Segurança Física de Controle de Acessosa) Conceituação: Conjunto de medidas destinadas à proteção e integridadedos ativos da Organização e à continuidade dos seus serviços.
  10. 10. b) Vulnerabilidades: Devem ser previstos riscos naturais (inundações,tempestades etc.), riscos acidentais (incêndios, interrupções deabastecimentos diversos etc.), entradas não autorizadas, roubos depatrimônio, etc.c) Áreas sensíveis: Devem ser levantadas e mapeadas as áreas vulneráveis edefinida a criticidade de todos os ambientes físicos, principalmente os de altacriticidade (equipamentos, patrimônio físico, recursos humanos etc).Devem ser contemplados acessos físicos a todos os ambientes e omonitoramento dos mesmos, principalmente os considerados de altacriticidade.3.2.2. Segurança Lógicaa) Conceituação: Conjunto de medidas destinadas à proteção de recursoscomputacionais contra utilização indevida ou desautorizada, intencional ounão.b) Ambiente Lógico: O ambiente operacional, integrado pelos ativos deinformação e de processamento deve ser constantemente monitorado pelaGerência Tecnologia da Informação. Sendo constatada qualquerirregularidade, o superior responsável deve ser formalmente notificado, a fimde tomar as providências cabíveis.c) Vulnerabilidades: Devem estar previstos acidentes por falhas e/ousabotagem de hardware, software, aplicativos e procedimentos.d) Áreas sensíveis: Sistemas Operacionais, Sistemas Gerenciais de Banco deDados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas deapoio. Devem estar contempladas política de usuários e senhas comdefinição de perfis de acesso aos ambientes e aplicativos.3.2.3. Segurança de Telecomunicação
  11. 11. a) Conceituação: Conjunto de medidas destinadas à proteção dasInformações que trafegam por meios eletrônicos ou convencionais e dosrecursos utilizados para esse tráfego.b) Vulnerabilidades: Devem estar previstos acessos não autorizados às redesde comunicação de dados, adulteração de dados em tráfego, utilização nãoautorizada de Informações e extravio de formulários ou documentosclassificados para não disponibilização pública.c) Áreas sensíveis: Redes de comunicação de dados, redes locais, conexõescom redes externas, ligações de usuários externos aos servidores daOrganização, telefonia.3.2.4. Continuidade do Negócioa) Conceituação: Conjunto de Planos que contemplam as atividadesnecessárias para a continuidade dos negócios da Organização, quandohouver algum tipo de interrupção nos processos, serviços e/ou equipamentosconsiderados críticos.b) Vulnerabilidades: Devem estar previstas interrupções significativas dasoperações essenciais do negócio, causadas pelas vulnerabilidades nas áreasde segurança da informação a serem tratadas.c) Áreas sensíveis: Todas as áreas de segurança da informação a seremtratadas.4. SEGURANÇA DA INFORMAÇÃO4.1 Segurança Física4.1.1. Área de Segurança
  12. 12. A Organização deve possuir estabelecido em seu perímetro físico, cadaprédio que faça parte da empresa, identificando todas as suas “fronteiras” eidentificados todos os pontos de acesso.Para as “fronteiras” com prédios vizinhos, devem ser estabelecidos oscontroles necessários e suficientes, que salvaguardem o acesso àsinstalações. As entradas e saídas de cada prédio devem ser dotadas deInfraestrutura necessária e suficiente que permita o controle adequado defluxo de pessoas.4.1.2. Controles de Entrada e Saída de PessoasAlguns controles mínimos devem ser implementados, sendo indispensável oplanejamento e implementação de Norma e/ou Procedimento queregulamente estes controles, sendo este parte integrante da Política deSegurança da Informação.a) Classificação de todas as áreas dos prédios da organização, quanto àcriticidade , alta, média ou baixa; quanto à restrição de acesso, também alta,média ou baixa.b) Criação de mecanismos para identificação e controle de acesso de pessoal,colaborador ou não, às instalações da organização, indicando quem teveacesso, data e hora e quem autorizou o acesso, sendo este controle deresponsabilidade da área administrativa da organização. Acessos em horáriosespeciais, fora do expediente normal, apenas sob autorização formal daGestão responsável.4.1.3. Áreas de Expedição e Carga (Áreas Comuns)Por serem áreas de acesso para uma quantidade muito grande de pessoas,estas áreas devem estar isoladas das áreas consideradas restritas e críticas.Estas áreas devem estar previstas em Norma e/ou Procedimento que as
  13. 13. regulamente, sendo este parte integrante da Política de Segurança daInformação.4.1.4 Proteção de Prédio, Equipamentos e da InfraestruturaA implantação de proteções mínimas, citadas abaixo, deve ser observada,sendo indispensável Norma e/ou Procedimento que regulamente estasproteções, sendo este parte integrante da Política de Segurança daInformação.a) Os equipamentos, principalmente os considerados críticos, devem estarinstalados em áreas protegidas de acesso.b) Os equipamentos próprios, considerados de difícil reposição em função docusto financeiro, devem estar segurados, pelo menos contra incêndio e, sepossível, dispor de contrato de manutenção do fabricante.c) O cabeamento elétrico e de lógica, que alimenta e interliga os váriosequipamentos da organização, deve ser protegido de forma adequada erecomendada por fabricantes e conforme Normas de Segurança.d) A organização deve possuir um sistema de No-break e um gerador deenergia próprio, que alimentem pelo menos os equipamentos e os locaisconsiderados críticos.e) A manutenção preventiva dos equipamentos deve ser feita conforme asespecificações do fabricante.f) Devem existir mecanismos de proteção e combate a incêndio,principalmente em locais considerados críticos, sob responsabilidade da áreaadministrativa da organização e conforme Leis vigentes no País. Asinstalações prediais devem ser seguradas, pelo menos contra incêndio.g) Os procedimentos internos para proteção dos equipamentos devem serreplicados, sempre que possível e necessário, quando os mesmos foremdeslocados para fora de seu local padrão.
  14. 14. h) Devem ser planejados e implantados, onde for necessário, controles dascondições ambientais.i) Devem ser criados mecanismos para identificação e controle de qualquermovimentação, para fora das dependências da organização, de ativos de TI,sejam eles equipamentos, programas e dados contidos em mídias ouenviados via correio eletrônico, listagens contendo Informações e etc. Estasmovimentações devem registrar quem as realizou, a data e a hora de saída ede retorno, quem autorizou e a identificação do ativo de TI movimentado.j) Devem ser criados mecanismos especiais que protejam o acesso aos locaisconsiderados de alta restrição.4.2. Segurança Lógica4.2.1. Gerenciamento das Operações e Comunicaçõesa) Documentação dos Procedimentos de OperaçãoTodos os sistemas, sejam eles executados em batch, on-line e/ou misto,estando em Produção, devem possuir documentação atualizada, conformepadrões da metodologia de desenvolvimento de sistemas normatizada e emvigência.b) Ambiente OperacionalTodos os equipamentos de Infraestrutura, interligações das redes,interligações de hardware de grande porte e softwares básicos e de apoio,devem possuir documentação necessária e suficiente, bem como atualizada,que possibilite entendimento a qualquer técnico capacitado e habilitado,visando manutenções preventivas, corretivas e evolutivas, no ambienteoperacional da organização.c) Gerenciamento e controle de mudançasToda e qualquer mudança no ambiente de produção, seja ela deInfraestrutura, hardware, comunicações, softwares básicos, softwares de
  15. 15. apoio, sistemas aplicativos, procedimentos etc., deve ser executadaconforme procedimentos descritos no processo de Gestão de Mudanças.d) Gerenciamento e controle de problemasQuaisquer problemas que ocorram no ambiente operacional, sejam eles deInfraestrutura, hardware, equipamentos de comunicação de dados, softwarese sistemas aplicativos, devem ser registrados com, no mínimo, as seguintesInformações:• descrição do problema;• data e hora da ocorrência;• identificação de quem o registrou e quem foi acionado para solucioná-lo;• consequências do problema;• data e hora da solução;• identificação de quem solucionou;• descrição da solução adotada.e) Monitoramento da SegurançaTestes periódicos de vulnerabilidade do ambiente de TI deverão serrealizados com a finalidade de garantir que a implementação de segurançade TI esteja vigiada e monitorada de forma proativa.f) Incidentes de Segurança da InformaçãoOcorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionadoà segurança lógica dos ativos da organização, deverão ser tratados conformeProcedimento de Incidentes de Segurança.g) Prevenção, Detecção e Correção de Softwares MaliciososMedidas para prevenção, detecção e correção de Softwares Maliciosos devemser implementadas por toda a organização, para garantir a proteção dosativos de informação contra softwares maliciosos.O controle dessas medidas deve estar de acordo com os procedimentosdescritos pela infraestrutura.O acesso a esses procedimentos são restritos ao pessoal da Infraestrutura.h) Segurança de Redes
  16. 16. Assegurar que técnicas e procedimentos de segurança sejam usados paraautorizar acessos e controlar as informações que circulam nas redes daOrganização.i) Segregação de ambientesDevem existir 3 (três) ambientes distintos de softwares, jobs, sistemasaplicativos, programas e dados:• Ambiente de Produção.Deve conter todo o ambiente de executáveis, em produção, dos sistemasaplicativos, jobs, softwares básicos, softwares de apoio e os dados reaisresidentes em arquivos convencionais e bancos de dados, necessários para aexecução dos processos. O controle de acesso a este ambiente deve ser deresponsabilidade do setor de Segurança da Informação, conforme Normas eProcedimentos de acesso lógico da organização.Este ambiente deve possuir acesso exclusivo aos colaboradores daorganização, restritos conforme Normas e Procedimentos da Política deSegurança da Informação.Em situação de exceção, outros poderão acessar o ambiente de produção,através de um login especiais, criados para esta finalidade, conforme Normase Procedimentos da Política de Segurança da Informação, e mediante ciênciae aprovação formal da Gestão de Tecnologia da Informação.• Ambiente de DesenvolvimentoDeve conter todo o ambiente de executáveis, em manutenção, dos sistemasaplicativos, programas-fonte, jobs de teste, softwares básicos, softwares deapoio e dados fictícios residentes em arquivos convencionais e bancos dedados, necessários para o cumprimento das tarefas relativas adesenvolvimento.Por se tratar de um ambiente de desenvolvimento, seu controle de acessonão deve estar sob a responsabilidade do setor de Segurança da Informação,cabendo à Gestão de Tecnologia da Informação essa definição, conformeNormas e Procedimentos.
  17. 17. Este ambiente deve ser de acesso exclusivo dos colaboradores da Gestão deTecnologia da Informação, responsáveis pelo desenvolvimento e manutençãodos sistemas aplicativos, programas fonte, jobs de teste, softwares básicos esoftwares de apoio.Em situação de exceção, outros poderão acessar o ambiente dedesenvolvimento, através de um login especiais, criado para esta finalidade emediante ciência e aprovação formal da Gestão de Tecnologia da Informação.• Ambiente de Teste/HomologaçãoDeve conter todo o ambiente de teste / Homologação: jobs de teste, fontesde softwares básicos, softwares de apoio e de sistemas aplicativos sob aresponsabilidade do setor de Segurança da Informação, quanto aos acessos,além de dados fictícios, residentes em arquivos convencionais e bancos dedados.Esta área deverá ser de acesso exclusivo aos colaboradores autorizados paraa finalidade de teste / homologação, sendo negado acesso a qualquer outroque não tenha função, devido aos dados presentes nesta área serempróximos da Produção.Em situação de exceção, outros poderão acessar o ambiente de teste /homologação, através de um login e senha especial, criado para estafinalidade, conforme Normas e Procedimentos da Política de Segurança daInformação, e mediante ciência e aprovação formal da Gestão de Tecnologiada Informação.4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemaspela Produçãoa) Planejamento de capacidadeSão atividades de planejamento de capacidade dos recursos computacionaissejam contínuas, tanto no ambiente de rede quanto no ambiente de grande
  18. 18. porte. Devem ser apuradas, conforme processo Gerenciamento deperformance e capacidade.b) Aceitação de sistemasPara serem aceitos no ambiente de produção, os sistemas aplicativos devemestar previamente homologados pelas áreas de sistemas e áreasdemandantes e documentados operacionalmente, conforme a metodologiade desenvolvimento vigente.4.2.3. Procedimentos Operacionaisa) Política de backupDeve ser estabelecida uma Política de backup nas dependências daInstalação principal da organização e fora dela, que, em quaisquer situações,permitam a recuperação de softwares, sistemas, dados, jobs edocumentação, guardados em meio magnético.Simulações periódicas devem ser realizadas, com apresentação de relatóriossobre as mesmas, que contenha informações do procedimento executado edos resultados.b) Registros de OperaçõesDevem ser mantidos registros das operações de processamento, indicandoquem executou o serviço, qual o serviço executado, a data e hora de início efim e as ocorrências de não- conformidade.4.2.4. Segurança e Tratamento de MídiasPara todas as mídias da organização que contenham bens de Informação,sejam elas em meio magnético, ótico ou papel, devem ser observados osseguintes cuidados mínimos:
  19. 19. a) Devem ser guardadas em lugar seguro, diferente do local onde os dadosoriginais estão armazenados; devem estar ainda em local adequado, deacordo com as especificações do fabricante da mídia.b) As mídias que forem transitar para fora das instalações de sua origemdevem ter a sua saída registrada e a garantia de sua chegada ao destino,também registrada. Além disso, devem ser embaladas, acondicionadas etransportadas de forma adequada, para garantir sua integridade.c) As mídias em meio magnético ou ótico devem ser identificadasexternamente, quanto ao seu conteúdo, indicando, quando necessário, oprazo de retenção e observações sobre as mesmas.d) Quando forem descartadas, devem ser apagadas e/ou destruídas deforma completa e total, através de trituração ou incineração.4.2.5. Controle de Acesso aos Recursos ComputacionaisDevem ser adotados, no mínimo, os controles apresentados abaixo. Estesdevem estar previstos, detalhadamente, em Norma e/ou Procedimentoespecífico da Política de Segurança da Informação.a) Identificação e autenticação de usuários• O usuário somente deve possuir acesso ao ambiente computacional atravésde uma identificação de acesso e uma senha;• A identificação de acesso do usuário deve ser única, pessoal eintransferível;• A senha associada à identificação de acesso deve ser secreta e deconhecimento exclusivo do usuário para o qual foi custodiada;• A senha não pode ser divulgada a terceiros, devendo-se evitar o uso decombinação simples ou óbvia na sua criação;• Não devem ser permitidas senhas para grupos de usuários (senhagenérica), salvo com autorização formal da Gestão de Tecnologia daInformação;
  20. 20. • Quando o usuário errar o seu login ou sua senha deve ser emitidamensagem de “login/senha incorretos”;• Sempre que possível e necessário, os logins devem ser associados a umadeterminada estação de trabalho;• Sempre que possível e necessário, permitir logins para apenas uma sessão,a cada acesso.4.2.6. Uso das Estações de TrabalhoOs computadores e sistemas de comunicações não devem ser utilizados parafins pessoais.Compartilhamento de RecursosO compartilhamento de diretórios e/ou arquivos nas estações de trabalhodeve ser atribuído única e exclusivamente para facilitar e/ou agilizar otrabalho das atividades laborais, não devendo ocorrer em qualquer outrasituação.4.2.7. Camadas De SegurançaPara a devida proteção do ambiente, devem ser projetadas 4 (quatro)camadas de acesso:• Acesso ao ambiente;• Acesso aos sistemas aplicativos;• Acesso às funções dos sistemas aplicativos;• Acesso aos dados.Sempre que possível o login e a senha de acesso devem ser únicos paratodas as camadas de Segurança.Devem ser exibidos para os usuários apenas os arquivos, os softwares e asfuncionalidades a que os mesmo têm direito de acesso, ficando sob
  21. 21. responsabilidade do mesmo informar ao seu superior sobre acessosdisponibilizados em demasia.4.2.8. Trilhas de AuditoriaRecomenda-se a existência de softwares de Segurança, e que estesmantenham registros sobre os acessos dos usuários, indicando, sempre quepossível, o arquivo, o software, a data e hora que foram acessados.Os SGBD – Sistemas de Gerenciamento de Bancos de Dados – devemmanter logs próprios que permitam a recuperação de Informações, emqualquer situação. Estes logs devem estar documentados e serem deconhecimento dos Especialistas das áreas de guarda dos mesmos.Devem existir Procedimentos que contemplem uma política de auditoria, porexemplo, definida e devidamente documentada, como parte integrante daPolítica de Segurança da Informação, onde sejam previstos todos estesdetalhes, em especial:• Auditorias a serem contemplados;• Motivos da auditoria; como deve ser realizada;• Resultado esperado;• Periodicidade;• Responsável por auditar.4.2.9. Computação Móvel e Trabalho Remoto.Todo e qualquer trabalho remoto deve ser evitado, ficando restrito aoscolaboradores da Gestão de Tecnologia da Informação e aqueles que foremautorizados por esta Gestão, ambos em caráter de extrema necessidade emediante assinatura de Termo de Responsabilidade e Compromisso.Para utilizar este acesso é obrigatória a existência de uma autorização formalprévia do Gestor de Tecnologia da Informação.
  22. 22. Sempre que necessário e viável, a organização deve disponibilizar sistemasna Internet, através de sua Gestão de Tecnologia da Informação. Para que osacessos realizados a estes sistemas sejam feitos com segurança, devem serprevistos e adotados mecanismos visando à proteção dos bens deInformação, tais como Certificação digital, Softwares de Segurança,Antivírus, Firewalls corporativos e individuais, Criptografia e etc.4.2.10. Trânsito de InformaçõesO trânsito de Informações deve ser feito por um caminho ou meio confiávelcom controles que ofereçam autenticidade do conteúdo, proteção desubmissão e recebimento e não repúdio da origem.Devem existir Procedimentos que contemplem e padronizem a geração,mudança, revogação, destruição, distribuição, certificação, armazenamento,entrada, uso e arquivamento de chaves criptográficas para garantir aproteção das chaves contra modificação e acessos não autorizados.4.2.11. Acesso a Utilitários PoderososDeve existir na organização documentos que contendo a classificação detodos os utilitários e programas considerados poderosos, ou seja, programasque podem sobrepor os controles de Segurança estabelecidos eimplementados.Estes utilitários, quando não puderem ser eliminados, devem possuir critériosde proteção de acesso que os tornem de uso restrito aos analistas da Gestãode Tecnologia da Informação para usufruto de afazeres relacionados a seutrabalho.São exemplares de alguns destes programas:• Softwares de quebra de senhas. Ex: Brutus, LC4;• Softwares de invasão de redes. Ex: nemesis;
  23. 23. • Softwares de reconhecimento de portas e de vulnerabilidades ativas. Ex:nemesis; - Softwares de monitoramento de redes (sniffers). Ex: ethereal;4.2.12. Administração de AcessosDevem ser criados mecanismos que permitam registros de acessos aosambientes, indicando, minimamente e sempre que possível, os recursosacessados, quem efetuou o acesso, data e hora, tentativas de acesso comsenhas erradas, tentativas de acesso de estações de trabalho não permitidas,tentativas de acesso em horários não permitidos etc.Consultas e relatórios devem ser criados, permitindo o monitoramento egerenciamento dos acessos, pela Gestão e por auditores que por venturasejam requisitados.4.2.13. Desenvolvimento e Manutenção de SistemasDevem existir Procedimentos que regulamente a elaboração, implantação eutilização desta metodologia, sendo este parte integrante da Política deSegurança da Informação.4.3. Segurança de TELECOM4.3.1. Acesso à Internet, Intranet, correio eletrônico, telefone e mensagensinstantâneasa) Internet• O acesso à Internet da organização deve ser restrito às atividadesprofissionaisÉ obrigatória a utilização de mecanismos de monitoramento que permitam ogerenciamento do uso desse recurso e que o mesmo seja regido por Normae/ou Procedimento constante da Política de Segurança da Informação,conforme Leis vigentes no País.
  24. 24. • Bloqueio e controle de Sites na InternetOs sistemas da organização são configurados rotineiramente para evitar queos colaboradores se conectem em sites não relacionados às atividades daempresa. Os colaboradores que usam os sistemas de informações não têmpermissão para acessar um site cujo conteúdo seja de explicitação sexual,racista ou outro material potencialmente ofensivo. A capacidade paraconectar-se a um site específico não implica em permissão para acessar omesmo.O acesso de qualquer computador da rede da empresa à Internet deverá serfeito exclusivamente através de equipamentos de controle (Firewall e Proxy)corporativos. Outras formas de acessar à Internet, como conexões dial-upatravés de um provedor externo ou cascateamento de proxies, visandoburlar as barreiras corporativas, são terminantemente proibidas de seremempregadas.b) IntranetO acesso à Intranet deve ser restrito às atividades profissionais.Requerimentos de segurança deverão ser adotados na rede interna daorganização a fim de assegurar que informações confidenciais não sejamcomprometidas e que os serviços disponibilizados estejam protegidos.O gerenciamento do uso da Intranet deverá ser regido por Norma /ouProcedimento constante da Política de Segurança da Informação, conformeLeis vigentes no País.c) Correio eletrônicoO endereço de correio eletrônico fornecido pela organização para cadacolaborador, prestador de serviço ou terceiro será utilizado única eexclusivamente para atividades relacionadas aos trabalhos desenvolvidos.Uso pessoal do sistema de correio eletrônicoO sistema de correio eletrônico é disponibilizado para ser usado nasatividades da empresa, e somente seu uso profissional está autorizado. Talproibição leva em consideração principalmente a grande quantidade de
  25. 25. códigos maliciosos, vírus, cavalos de tróia, worms e exploits oriundos dosprovedores externos.Restrições do conteúdo das mensagensFiltros de ConteúdoCom a finalidade de minimizar a contaminação por vírus, otimizar o tráfegode rede e o espaço de armazenamento em disco no servidor de correioeletrônico, são filtradas de forma automática as mensagens que possuamarquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE,COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem seradicionadas a esta lista, sem aviso prévio, qualquer outra extensão que aGerência de Tecnologia da Informação julgue conveniente.É obrigatória a utilização de mecanismos de monitoramento que permitam ogerenciamento do uso deste recurso, e que o mesmo seja regido por Normae/ou Procedimento constante da Política de Segurança da Informação,conforme Leis vigentes no País.d) Mensagens InstantâneasA utilização de software relativo a mensagem instantânea é restrito aodesempenho das atividades profissionais.5. CONCLUSÃOEste trabalho tem por finalidade descrever metodologias de Segurança daInformação relativas ao controle de acesso físico/lógico, que podem seradotadas pelas organizações no intuito de prevenir que os ativos deinformação sejam acessados de forma indevida ou não autorizada. Dentre asmedidas a serem implementadas pelas organizações, ressalta-se a Política deSegurança da Informação, que tem por finalidade definir normas,procedimentos, ferramentas e responsabilidades a serem seguidas pelos
  26. 26. colaboradores das organizações. O objetivo é a garantir o tripé da segurançada informação – Confidencialidade, Integridade e Disponibilidade.

×