SlideShare uma empresa Scribd logo
1 de 26
Baixar para ler offline
FACULDADE SENAC MINAS
Bruno Luiz A. De Paiva
Política de segurança da Informação
Segurança: Controle de Acessos
Coronel Fabriciano, 2013
Bruno Luiz A. De Paiva
Política de segurança da Informação
Segurança: Controle de Acessos
Este trabalho estabelece a PSI - Política
de Segurança da Informação de uma
“organização” fictícia para o trabalho da
disciplina de Política de Segurança da
Informação do curso de Pós-Graduação
em Gestão em Tecnologia da Informação
– SENAC -MG
João Paulo Coelho Furtado
Coronel Fabriciano, 2013
SUMÁRIO
1. OBJETIVO GERAL.......................................................................................................................................4
2. ÂMBITO DE APLICAÇÃO............................................................................................................................4
3. DESCRIÇÃO DAS PRÁTICAS........................................................................................................................4
3.1. Apresentação.....................................................................................................................................4
3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:...............................................................5
3.1.2. Ameaças a serem tratadas pela PSI:...........................................................................................5
3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem estar devidamente
identificados e documentados):...........................................................................................................6
3.1.4. Atores da PSI de uma organização:
..............................................................................................................................................................6
3.1.5. Regulamentações que abrangem a PSI:
..............................................................................................................................................................6
3.2. Áreas de Segurança da Informação a serem tratadas........................................................................6
3.2.1. Segurança Física de Controle de Acessos....................................................................................7
3.2.2. Segurança Lógica........................................................................................................................7
3.2.3. Segurança de Telecomunicação..................................................................................................7
3.2.4. Continuidade do Negócio...........................................................................................................7
4. SEGURANÇA DA INFORMAÇÃO.................................................................................................................8
4.1 Segurança Física..................................................................................................................................8
4.1.1. Área de Segurança......................................................................................................................8
4.1.2. Controles de Entrada e Saída de Pessoas....................................................................................8
4.1.3. Áreas de Expedição e Carga (Áreas Comuns)..............................................................................8
4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura...............................................................9
4.2. Segurança Lógica...............................................................................................................................9
4.2.1. Gerenciamento das Operações e Comunicações........................................................................9
4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção.............11
4.2.3. Procedimentos Operacionais....................................................................................................11
4.2.4. Segurança e Tratamento de Mídias...........................................................................................12
4.2.5. Controle de Acesso aos Recursos Computacionais...................................................................12
5. CONCLUSÃO............................................................................................................................................16
1. OBJETIVO GERAL
Assegurar à organização a conformidade da Política de Segurança da
Informação (PSI) com as Normas pertinentes, visando proteger os dados,
garantindo que as informações integrantes de seu patrimônio e aquelas sob
sua guarda, assim como as ferramentas utilizadas para obtenção, geração,
modificação, armazenagem e disponibilização das mesmas estejam em
conformidade com as leis vigentes no País;
2. ÂMBITO DE APLICAÇÃO
Aplica-se a todos os colaboradores, prestadores de serviços, fornecedores,
terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de
Segurança e responsabilidades pelo seu acesso a este Patrimônio,
evidenciando estas ações.
3. DESCRIÇÃO DAS PRÁTICAS
3.1. Apresentação
“Toda Informação obtida, gerada, modificada, armazenada e
disponibilizada pelos processos de negócio de uma organização integra seu
patrimônio, físico e lógico.“
Este documento estabelece a PSI - Política de Segurança da Informação de
uma organização, que é um conjunto das diretrizes, normas e/ou
procedimentos necessários à preservação e segurança das Informações.
A Informação é um ativo, como qualquer outro ativo importante do negócio,
que tem um valor para a organização e consequentemente necessita ser
protegida. A Segurança da Informação visa proteger os ativos de um grande
campo de ameaças, de forma a garantir a continuidade dos negócios,
minimizando os danos e maximizando o retorno dos investimentos e
oportunidades.
A Informação pode existir em muitas formas:
• pode ser impressa ou escrita em papel;
• guardada eletronicamente;
• transmitida pelo correio ou usando meios eletrônicos;
• mostrada em filmes, ou falada em conversação. Seja qual for a forma
tomada pela Informação, ou meio através do qual ela é compartilhada ou
armazenada, deve ser protegida adequadamente.
A Segurança da Informação é caracterizada pela preservação da:
• Confidencialidade, que é a garantia de que a Informação é acessível
somente a pessoas com acesso autorizado;
• Integridade, que é a salvaguarda da exatidão e completeza da Informação
e dos métodos de processamento;
• Disponibilidade, que é a garantia de que os usuários autorizados obtenham
acesso à Informação e aos ativos correspondentes, sempre que necessário.
A Segurança da Informação é alcançada a partir da implementação de uma
série de controles, que podem ser políticas, práticas, procedimentos,
estruturas organizacionais, instalações, softwares e ferramentas de controle
automatizadas. Estes controles devem ser estabelecidos para garantir que os
objetivos de segurança da organização sejam alcançados.
De forma crescente a organização e seu conjunto de Sistemas de Informação
são colocados à prova, com um grande universo de tipos de ameaças à
Segurança da Informação, incluindo fraudes eletrônicas, espionagem,
sabotagem, vandalismo, fogo e inundação. Quando as fontes dos danos são
vírus, hackers/crackers e ataques de negação de serviço e todas as demais
ameaças externas e acessos não autorizados, o que se pode observar é que
estão cada vez mais ambiciosos e sofisticados.
A dependência dos Sistemas de Informação deixa qualquer organização mais
vulnerável às ameaças de segurança. A interconexão de redes e o
compartilhamento de recursos de Informação aumentam a dificuldade de se
ter um controle de acesso realmente eficiente.
Vários Sistemas de Informação não foram projetados para implementar
Segurança. A Segurança que se pode ter através de meios técnicos é
limitada e deve ser suportada com procedimentos e um gerenciamento
contínuo dos riscos. A identificação de quais controles devem ser
implantados requer um planejamento cuidadoso e uma atenção redobrada
nos detalhes. O gerenciamento da Segurança da Informação necessita da
participação de todos os colaboradores da organização.
Apesar da maioria do corpo executivo das organizações estarem conscientes
da necessidade de criação e cumprimento de uma Política de Segurança da
Informação, ainda faz-se necessário um esforço enorme para que as
Unidades de Segurança possam lançar mão dos recursos necessários para
esta criação e manutenção.
Os controles de Segurança da Informação são considerados mais baratos e
mais eficientes quando incorporados e tratados diferentemente dos demais
processos das organizações. A Tecnologia da Informação só se torna uma
ferramenta capaz de alavancar verdadeiramente os negócios de uma
organização quando seu uso está vinculado a medidas de proteção dos dados
corporativos.
É nesse contexto que a definição de uma Política de Segurança da
Informação deixa de ser custo associado a ideias exóticas, para se tornar
investimento capaz de assegurar a continuidade e sobrevivência dos
negócios, sendo imperativo à competitividade da mesma, que ela possa
contar com um trabalho de profissionais especializados e qualificados, como
determinam as responsabilidades relativas à Segurança da Informação
dentro da organização.
3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:
a) Revelação de Informações sensíveis;
b) Modificações indevidas de dados e programas;
c) Perda de dados e programas;
d) Destruição ou perda de recursos computacionais e instalações;
e) Interdições ou interrupções de serviços essenciais;
f) Roubo de propriedades, seja qual for.
3.1.2. Ameaças a serem tratadas pela PSI:
a) Integridade: Prever ameaças de ambiente, externas ou internas, oriundas
de catástrofes, fenômenos da natureza e/ou qualquer evento provocado
intencionalmente ou não. Cita-se aqui, como exemplo, fogo, enchentes,
tempestades, inundações etc.
b) Indisponibilidade: Prever falhas em sistemas e/ou diversos ambientes
computacionais da Organização.
c) Divulgação da Informação: Prever a divulgação de Informações sensíveis
aos Processos de Negócio da organização, premeditada e/ou acidental.
d) Alterações não autorizadas: Prever alterações não autorizadas,
premeditadas e/ou acidentais em Sistemas e/ou equipamentos de Tecnologia
da Informação ou que suportem os Processos de Negócio.
3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem
estar devidamente identificados e documentados):
•Softwares de detecção de vírus, trojans, spywares, etc; - Software de
controle de acesso físico e lógico;
•Mecanismos de controle de acesso físico;
•Serviços críticos relativos a fenômenos da natureza (incêndio, inundações e
etc);
•Serviços críticos relativos a concessionárias Estaduais e/ou Federais
(energia, água, telefonia etc).
3.1.4. Atores da PSI de uma organização:
a) Gestor da Informação: Indivíduo responsável pela tomada de decisões em
nome da organização no que diz respeito ao uso, à identificação, à
classificação e à proteção de um recurso específico da Informação.
b) Custodiante: Agente responsável pelo processamento, organização e
guarda da Informação.
c) Usuário: Alguma pessoa que interage diretamente com o sistema
computadorizado. Um usuário autorizado com poderes de adicionar ou
atualizar a Informação.
3.1.5. Regulamentações que abrangem a PSI:
a) Formalizar seus Procedimentos Gerenciais de Segurança da Informação,
parte integrante da PSI, em conjunto com os Procedimentos Operacionais da
Segurança da Informação, compondo um documento ou pasta, impresso ou
eletrônico, a ser mantido e atualizado para consultas, ou seja, uma espécie
de Manual de Segurança da Informação;
b) Divulgar a todos os colaboradores, prestadores de serviços, fornecedores,
terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de
Segurança e responsabilidades pelo seu acesso a este Patrimônio,
evidenciando estas ações, no que lhe compete;
c) Todos os colaboradores da organização assim como seus prestadores de
serviços, fornecedores, terceiros, parceiros e clientes que de algum forma
possuírem acesso ao patrimônio de Informações, são responsáveis pelo
cumprimento dos Procedimentos Gerenciais de Segurança da Informação.
Assim, a Política de Segurança da Informação visa preservar a
Confiabilidade, Integridade e Disponibilidade das Informações,
recomendando e descrevendo as condutas adequadas para o seu manuseio,
controle, proteção e descarte.
3.2. Áreas de Segurança da Informação a serem tratadas
3.2.1. Segurança Física de Controle de Acessos
a) Conceituação: Conjunto de medidas destinadas à proteção e integridade
dos ativos da Organização e à continuidade dos seus serviços.
b) Vulnerabilidades: Devem ser previstos riscos naturais (inundações,
tempestades etc.), riscos acidentais (incêndios, interrupções de
abastecimentos diversos etc.), entradas não autorizadas, roubos de
patrimônio, etc.
c) Áreas sensíveis: Devem ser levantadas e mapeadas as áreas vulneráveis e
definida a criticidade de todos os ambientes físicos, principalmente os de alta
criticidade (equipamentos, patrimônio físico, recursos humanos etc).
Devem ser contemplados acessos físicos a todos os ambientes e o
monitoramento dos mesmos, principalmente os considerados de alta
criticidade.
3.2.2. Segurança Lógica
a) Conceituação: Conjunto de medidas destinadas à proteção de recursos
computacionais contra utilização indevida ou desautorizada, intencional ou
não.
b) Ambiente Lógico: O ambiente operacional, integrado pelos ativos de
informação e de processamento deve ser constantemente monitorado pela
Gerência Tecnologia da Informação. Sendo constatada qualquer
irregularidade, o superior responsável deve ser formalmente notificado, a fim
de tomar as providências cabíveis.
c) Vulnerabilidades: Devem estar previstos acidentes por falhas e/ou
sabotagem de hardware, software, aplicativos e procedimentos.
d) Áreas sensíveis: Sistemas Operacionais, Sistemas Gerenciais de Banco de
Dados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas de
apoio. Devem estar contempladas política de usuários e senhas com
definição de perfis de acesso aos ambientes e aplicativos.
3.2.3. Segurança de Telecomunicação
a) Conceituação: Conjunto de medidas destinadas à proteção das
Informações que trafegam por meios eletrônicos ou convencionais e dos
recursos utilizados para esse tráfego.
b) Vulnerabilidades: Devem estar previstos acessos não autorizados às redes
de comunicação de dados, adulteração de dados em tráfego, utilização não
autorizada de Informações e extravio de formulários ou documentos
classificados para não disponibilização pública.
c) Áreas sensíveis: Redes de comunicação de dados, redes locais, conexões
com redes externas, ligações de usuários externos aos servidores da
Organização, telefonia.
3.2.4. Continuidade do Negócio
a) Conceituação: Conjunto de Planos que contemplam as atividades
necessárias para a continuidade dos negócios da Organização, quando
houver algum tipo de interrupção nos processos, serviços e/ou equipamentos
considerados críticos.
b) Vulnerabilidades: Devem estar previstas interrupções significativas das
operações essenciais do negócio, causadas pelas vulnerabilidades nas áreas
de segurança da informação a serem tratadas.
c) Áreas sensíveis: Todas as áreas de segurança da informação a serem
tratadas.
4. SEGURANÇA DA INFORMAÇÃO
4.1 Segurança Física
4.1.1. Área de Segurança
A Organização deve possuir estabelecido em seu perímetro físico, cada
prédio que faça parte da empresa, identificando todas as suas “fronteiras” e
identificados todos os pontos de acesso.
Para as “fronteiras” com prédios vizinhos, devem ser estabelecidos os
controles necessários e suficientes, que salvaguardem o acesso às
instalações. As entradas e saídas de cada prédio devem ser dotadas de
Infraestrutura necessária e suficiente que permita o controle adequado de
fluxo de pessoas.
4.1.2. Controles de Entrada e Saída de Pessoas
Alguns controles mínimos devem ser implementados, sendo indispensável o
planejamento e implementação de Norma e/ou Procedimento que
regulamente estes controles, sendo este parte integrante da Política de
Segurança da Informação.
a) Classificação de todas as áreas dos prédios da organização, quanto à
criticidade , alta, média ou baixa; quanto à restrição de acesso, também alta,
média ou baixa.
b) Criação de mecanismos para identificação e controle de acesso de pessoal,
colaborador ou não, às instalações da organização, indicando quem teve
acesso, data e hora e quem autorizou o acesso, sendo este controle de
responsabilidade da área administrativa da organização. Acessos em horários
especiais, fora do expediente normal, apenas sob autorização formal da
Gestão responsável.
4.1.3. Áreas de Expedição e Carga (Áreas Comuns)
Por serem áreas de acesso para uma quantidade muito grande de pessoas,
estas áreas devem estar isoladas das áreas consideradas restritas e críticas.
Estas áreas devem estar previstas em Norma e/ou Procedimento que as
regulamente, sendo este parte integrante da Política de Segurança da
Informação.
4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura
A implantação de proteções mínimas, citadas abaixo, deve ser observada,
sendo indispensável Norma e/ou Procedimento que regulamente estas
proteções, sendo este parte integrante da Política de Segurança da
Informação.
a) Os equipamentos, principalmente os considerados críticos, devem estar
instalados em áreas protegidas de acesso.
b) Os equipamentos próprios, considerados de difícil reposição em função do
custo financeiro, devem estar segurados, pelo menos contra incêndio e, se
possível, dispor de contrato de manutenção do fabricante.
c) O cabeamento elétrico e de lógica, que alimenta e interliga os vários
equipamentos da organização, deve ser protegido de forma adequada e
recomendada por fabricantes e conforme Normas de Segurança.
d) A organização deve possuir um sistema de No-break e um gerador de
energia próprio, que alimentem pelo menos os equipamentos e os locais
considerados críticos.
e) A manutenção preventiva dos equipamentos deve ser feita conforme as
especificações do fabricante.
f) Devem existir mecanismos de proteção e combate a incêndio,
principalmente em locais considerados críticos, sob responsabilidade da área
administrativa da organização e conforme Leis vigentes no País. As
instalações prediais devem ser seguradas, pelo menos contra incêndio.
g) Os procedimentos internos para proteção dos equipamentos devem ser
replicados, sempre que possível e necessário, quando os mesmos forem
deslocados para fora de seu local padrão.
h) Devem ser planejados e implantados, onde for necessário, controles das
condições ambientais.
i) Devem ser criados mecanismos para identificação e controle de qualquer
movimentação, para fora das dependências da organização, de ativos de TI,
sejam eles equipamentos, programas e dados contidos em mídias ou
enviados via correio eletrônico, listagens contendo Informações e etc. Estas
movimentações devem registrar quem as realizou, a data e a hora de saída e
de retorno, quem autorizou e a identificação do ativo de TI movimentado.
j) Devem ser criados mecanismos especiais que protejam o acesso aos locais
considerados de alta restrição.
4.2. Segurança Lógica
4.2.1. Gerenciamento das Operações e Comunicações
a) Documentação dos Procedimentos de Operação
Todos os sistemas, sejam eles executados em batch, on-line e/ou misto,
estando em Produção, devem possuir documentação atualizada, conforme
padrões da metodologia de desenvolvimento de sistemas normatizada e em
vigência.
b) Ambiente Operacional
Todos os equipamentos de Infraestrutura, interligações das redes,
interligações de hardware de grande porte e softwares básicos e de apoio,
devem possuir documentação necessária e suficiente, bem como atualizada,
que possibilite entendimento a qualquer técnico capacitado e habilitado,
visando manutenções preventivas, corretivas e evolutivas, no ambiente
operacional da organização.
c) Gerenciamento e controle de mudanças
Toda e qualquer mudança no ambiente de produção, seja ela de
Infraestrutura, hardware, comunicações, softwares básicos, softwares de
apoio, sistemas aplicativos, procedimentos etc., deve ser executada
conforme procedimentos descritos no processo de Gestão de Mudanças.
d) Gerenciamento e controle de problemas
Quaisquer problemas que ocorram no ambiente operacional, sejam eles de
Infraestrutura, hardware, equipamentos de comunicação de dados, softwares
e sistemas aplicativos, devem ser registrados com, no mínimo, as seguintes
Informações:
• descrição do problema;
• data e hora da ocorrência;
• identificação de quem o registrou e quem foi acionado para solucioná-lo;
• consequências do problema;
• data e hora da solução;
• identificação de quem solucionou;
• descrição da solução adotada.
e) Monitoramento da Segurança
Testes periódicos de vulnerabilidade do ambiente de TI deverão ser
realizados com a finalidade de garantir que a implementação de segurança
de TI esteja vigiada e monitorada de forma proativa.
f) Incidentes de Segurança da Informação
Ocorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionado
à segurança lógica dos ativos da organização, deverão ser tratados conforme
Procedimento de Incidentes de Segurança.
g) Prevenção, Detecção e Correção de Softwares Maliciosos
Medidas para prevenção, detecção e correção de Softwares Maliciosos devem
ser implementadas por toda a organização, para garantir a proteção dos
ativos de informação contra softwares maliciosos.
O controle dessas medidas deve estar de acordo com os procedimentos
descritos pela infraestrutura.
O acesso a esses procedimentos são restritos ao pessoal da Infraestrutura.
h) Segurança de Redes
Assegurar que técnicas e procedimentos de segurança sejam usados para
autorizar acessos e controlar as informações que circulam nas redes da
Organização.
i) Segregação de ambientes
Devem existir 3 (três) ambientes distintos de softwares, jobs, sistemas
aplicativos, programas e dados:
• Ambiente de Produção.
Deve conter todo o ambiente de executáveis, em produção, dos sistemas
aplicativos, jobs, softwares básicos, softwares de apoio e os dados reais
residentes em arquivos convencionais e bancos de dados, necessários para a
execução dos processos. O controle de acesso a este ambiente deve ser de
responsabilidade do setor de Segurança da Informação, conforme Normas e
Procedimentos de acesso lógico da organização.
Este ambiente deve possuir acesso exclusivo aos colaboradores da
organização, restritos conforme Normas e Procedimentos da Política de
Segurança da Informação.
Em situação de exceção, outros poderão acessar o ambiente de produção,
através de um login especiais, criados para esta finalidade, conforme Normas
e Procedimentos da Política de Segurança da Informação, e mediante ciência
e aprovação formal da Gestão de Tecnologia da Informação.
• Ambiente de Desenvolvimento
Deve conter todo o ambiente de executáveis, em manutenção, dos sistemas
aplicativos, programas-fonte, jobs de teste, softwares básicos, softwares de
apoio e dados fictícios residentes em arquivos convencionais e bancos de
dados, necessários para o cumprimento das tarefas relativas a
desenvolvimento.
Por se tratar de um ambiente de desenvolvimento, seu controle de acesso
não deve estar sob a responsabilidade do setor de Segurança da Informação,
cabendo à Gestão de Tecnologia da Informação essa definição, conforme
Normas e Procedimentos.
Este ambiente deve ser de acesso exclusivo dos colaboradores da Gestão de
Tecnologia da Informação, responsáveis pelo desenvolvimento e manutenção
dos sistemas aplicativos, programas fonte, jobs de teste, softwares básicos e
softwares de apoio.
Em situação de exceção, outros poderão acessar o ambiente de
desenvolvimento, através de um login especiais, criado para esta finalidade e
mediante ciência e aprovação formal da Gestão de Tecnologia da Informação.
• Ambiente de Teste/Homologação
Deve conter todo o ambiente de teste / Homologação: jobs de teste, fontes
de softwares básicos, softwares de apoio e de sistemas aplicativos sob a
responsabilidade do setor de Segurança da Informação, quanto aos acessos,
além de dados fictícios, residentes em arquivos convencionais e bancos de
dados.
Esta área deverá ser de acesso exclusivo aos colaboradores autorizados para
a finalidade de teste / homologação, sendo negado acesso a qualquer outro
que não tenha função, devido aos dados presentes nesta área serem
próximos da Produção.
Em situação de exceção, outros poderão acessar o ambiente de teste /
homologação, através de um login e senha especial, criado para esta
finalidade, conforme Normas e Procedimentos da Política de Segurança da
Informação, e mediante ciência e aprovação formal da Gestão de Tecnologia
da Informação.
4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas
pela Produção
a) Planejamento de capacidade
São atividades de planejamento de capacidade dos recursos computacionais
sejam contínuas, tanto no ambiente de rede quanto no ambiente de grande
porte. Devem ser apuradas, conforme processo Gerenciamento de
performance e capacidade.
b) Aceitação de sistemas
Para serem aceitos no ambiente de produção, os sistemas aplicativos devem
estar previamente homologados pelas áreas de sistemas e áreas
demandantes e documentados operacionalmente, conforme a metodologia
de desenvolvimento vigente.
4.2.3. Procedimentos Operacionais
a) Política de backup
Deve ser estabelecida uma Política de backup nas dependências da
Instalação principal da organização e fora dela, que, em quaisquer situações,
permitam a recuperação de softwares, sistemas, dados, jobs e
documentação, guardados em meio magnético.
Simulações periódicas devem ser realizadas, com apresentação de relatórios
sobre as mesmas, que contenha informações do procedimento executado e
dos resultados.
b) Registros de Operações
Devem ser mantidos registros das operações de processamento, indicando
quem executou o serviço, qual o serviço executado, a data e hora de início e
fim e as ocorrências de não- conformidade.
4.2.4. Segurança e Tratamento de Mídias
Para todas as mídias da organização que contenham bens de Informação,
sejam elas em meio magnético, ótico ou papel, devem ser observados os
seguintes cuidados mínimos:
a) Devem ser guardadas em lugar seguro, diferente do local onde os dados
originais estão armazenados; devem estar ainda em local adequado, de
acordo com as especificações do fabricante da mídia.
b) As mídias que forem transitar para fora das instalações de sua origem
devem ter a sua saída registrada e a garantia de sua chegada ao destino,
também registrada. Além disso, devem ser embaladas, acondicionadas e
transportadas de forma adequada, para garantir sua integridade.
c) As mídias em meio magnético ou ótico devem ser identificadas
externamente, quanto ao seu conteúdo, indicando, quando necessário, o
prazo de retenção e observações sobre as mesmas.
d) Quando forem descartadas, devem ser apagadas e/ou destruídas de
forma completa e total, através de trituração ou incineração.
4.2.5. Controle de Acesso aos Recursos Computacionais
Devem ser adotados, no mínimo, os controles apresentados abaixo. Estes
devem estar previstos, detalhadamente, em Norma e/ou Procedimento
específico da Política de Segurança da Informação.
a) Identificação e autenticação de usuários
• O usuário somente deve possuir acesso ao ambiente computacional através
de uma identificação de acesso e uma senha;
• A identificação de acesso do usuário deve ser única, pessoal e
intransferível;
• A senha associada à identificação de acesso deve ser secreta e de
conhecimento exclusivo do usuário para o qual foi custodiada;
• A senha não pode ser divulgada a terceiros, devendo-se evitar o uso de
combinação simples ou óbvia na sua criação;
• Não devem ser permitidas senhas para grupos de usuários (senha
genérica), salvo com autorização formal da Gestão de Tecnologia da
Informação;
• Quando o usuário errar o seu login ou sua senha deve ser emitida
mensagem de “login/senha incorretos”;
• Sempre que possível e necessário, os logins devem ser associados a uma
determinada estação de trabalho;
• Sempre que possível e necessário, permitir logins para apenas uma sessão,
a cada acesso.
4.2.6. Uso das Estações de Trabalho
Os computadores e sistemas de comunicações não devem ser utilizados para
fins pessoais.
Compartilhamento de Recursos
O compartilhamento de diretórios e/ou arquivos nas estações de trabalho
deve ser atribuído única e exclusivamente para facilitar e/ou agilizar o
trabalho das atividades laborais, não devendo ocorrer em qualquer outra
situação.
4.2.7. Camadas De Segurança
Para a devida proteção do ambiente, devem ser projetadas 4 (quatro)
camadas de acesso:
• Acesso ao ambiente;
• Acesso aos sistemas aplicativos;
• Acesso às funções dos sistemas aplicativos;
• Acesso aos dados.
Sempre que possível o login e a senha de acesso devem ser únicos para
todas as camadas de Segurança.
Devem ser exibidos para os usuários apenas os arquivos, os softwares e as
funcionalidades a que os mesmo têm direito de acesso, ficando sob
responsabilidade do mesmo informar ao seu superior sobre acessos
disponibilizados em demasia.
4.2.8. Trilhas de Auditoria
Recomenda-se a existência de softwares de Segurança, e que estes
mantenham registros sobre os acessos dos usuários, indicando, sempre que
possível, o arquivo, o software, a data e hora que foram acessados.
Os SGBD – Sistemas de Gerenciamento de Bancos de Dados – devem
manter logs próprios que permitam a recuperação de Informações, em
qualquer situação. Estes logs devem estar documentados e serem de
conhecimento dos Especialistas das áreas de guarda dos mesmos.
Devem existir Procedimentos que contemplem uma política de auditoria, por
exemplo, definida e devidamente documentada, como parte integrante da
Política de Segurança da Informação, onde sejam previstos todos estes
detalhes, em especial:
• Auditorias a serem contemplados;
• Motivos da auditoria; como deve ser realizada;
• Resultado esperado;
• Periodicidade;
• Responsável por auditar.
4.2.9. Computação Móvel e Trabalho Remoto.
Todo e qualquer trabalho remoto deve ser evitado, ficando restrito aos
colaboradores da Gestão de Tecnologia da Informação e aqueles que forem
autorizados por esta Gestão, ambos em caráter de extrema necessidade e
mediante assinatura de Termo de Responsabilidade e Compromisso.
Para utilizar este acesso é obrigatória a existência de uma autorização formal
prévia do Gestor de Tecnologia da Informação.
Sempre que necessário e viável, a organização deve disponibilizar sistemas
na Internet, através de sua Gestão de Tecnologia da Informação. Para que os
acessos realizados a estes sistemas sejam feitos com segurança, devem ser
previstos e adotados mecanismos visando à proteção dos bens de
Informação, tais como Certificação digital, Softwares de Segurança,
Antivírus, Firewalls corporativos e individuais, Criptografia e etc.
4.2.10. Trânsito de Informações
O trânsito de Informações deve ser feito por um caminho ou meio confiável
com controles que ofereçam autenticidade do conteúdo, proteção de
submissão e recebimento e não repúdio da origem.
Devem existir Procedimentos que contemplem e padronizem a geração,
mudança, revogação, destruição, distribuição, certificação, armazenamento,
entrada, uso e arquivamento de chaves criptográficas para garantir a
proteção das chaves contra modificação e acessos não autorizados.
4.2.11. Acesso a Utilitários Poderosos
Deve existir na organização documentos que contendo a classificação de
todos os utilitários e programas considerados poderosos, ou seja, programas
que podem sobrepor os controles de Segurança estabelecidos e
implementados.
Estes utilitários, quando não puderem ser eliminados, devem possuir critérios
de proteção de acesso que os tornem de uso restrito aos analistas da Gestão
de Tecnologia da Informação para usufruto de afazeres relacionados a seu
trabalho.
São exemplares de alguns destes programas:
• Softwares de quebra de senhas. Ex: Brutus, LC4;
• Softwares de invasão de redes. Ex: nemesis;
• Softwares de reconhecimento de portas e de vulnerabilidades ativas. Ex:
nemesis; - Softwares de monitoramento de redes (sniffers). Ex: ethereal;
4.2.12. Administração de Acessos
Devem ser criados mecanismos que permitam registros de acessos aos
ambientes, indicando, minimamente e sempre que possível, os recursos
acessados, quem efetuou o acesso, data e hora, tentativas de acesso com
senhas erradas, tentativas de acesso de estações de trabalho não permitidas,
tentativas de acesso em horários não permitidos etc.
Consultas e relatórios devem ser criados, permitindo o monitoramento e
gerenciamento dos acessos, pela Gestão e por auditores que por ventura
sejam requisitados.
4.2.13. Desenvolvimento e Manutenção de Sistemas
Devem existir Procedimentos que regulamente a elaboração, implantação e
utilização desta metodologia, sendo este parte integrante da Política de
Segurança da Informação.
4.3. Segurança de TELECOM
4.3.1. Acesso à Internet, Intranet, correio eletrônico, telefone e mensagens
instantâneas
a) Internet
• O acesso à Internet da organização deve ser restrito às atividades
profissionais
É obrigatória a utilização de mecanismos de monitoramento que permitam o
gerenciamento do uso desse recurso e que o mesmo seja regido por Norma
e/ou Procedimento constante da Política de Segurança da Informação,
conforme Leis vigentes no País.
• Bloqueio e controle de Sites na Internet
Os sistemas da organização são configurados rotineiramente para evitar que
os colaboradores se conectem em sites não relacionados às atividades da
empresa. Os colaboradores que usam os sistemas de informações não têm
permissão para acessar um site cujo conteúdo seja de explicitação sexual,
racista ou outro material potencialmente ofensivo. A capacidade para
conectar-se a um site específico não implica em permissão para acessar o
mesmo.
O acesso de qualquer computador da rede da empresa à Internet deverá ser
feito exclusivamente através de equipamentos de controle (Firewall e Proxy)
corporativos. Outras formas de acessar à Internet, como conexões dial-up
através de um provedor externo ou cascateamento de proxies, visando
burlar as barreiras corporativas, são terminantemente proibidas de serem
empregadas.
b) Intranet
O acesso à Intranet deve ser restrito às atividades profissionais.
Requerimentos de segurança deverão ser adotados na rede interna da
organização a fim de assegurar que informações confidenciais não sejam
comprometidas e que os serviços disponibilizados estejam protegidos.
O gerenciamento do uso da Intranet deverá ser regido por Norma /ou
Procedimento constante da Política de Segurança da Informação, conforme
Leis vigentes no País.
c) Correio eletrônico
O endereço de correio eletrônico fornecido pela organização para cada
colaborador, prestador de serviço ou terceiro será utilizado única e
exclusivamente para atividades relacionadas aos trabalhos desenvolvidos.
Uso pessoal do sistema de correio eletrônico
O sistema de correio eletrônico é disponibilizado para ser usado nas
atividades da empresa, e somente seu uso profissional está autorizado. Tal
proibição leva em consideração principalmente a grande quantidade de
códigos maliciosos, vírus, cavalos de tróia, worms e exploits oriundos dos
provedores externos.
Restrições do conteúdo das mensagens
Filtros de Conteúdo
Com a finalidade de minimizar a contaminação por vírus, otimizar o tráfego
de rede e o espaço de armazenamento em disco no servidor de correio
eletrônico, são filtradas de forma automática as mensagens que possuam
arquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE,
COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem ser
adicionadas a esta lista, sem aviso prévio, qualquer outra extensão que a
Gerência de Tecnologia da Informação julgue conveniente.
É obrigatória a utilização de mecanismos de monitoramento que permitam o
gerenciamento do uso deste recurso, e que o mesmo seja regido por Norma
e/ou Procedimento constante da Política de Segurança da Informação,
conforme Leis vigentes no País.
d) Mensagens Instantâneas
A utilização de software relativo a mensagem instantânea é restrito ao
desempenho das atividades profissionais.
5. CONCLUSÃO
Este trabalho tem por finalidade descrever metodologias de Segurança da
Informação relativas ao controle de acesso físico/lógico, que podem ser
adotadas pelas organizações no intuito de prevenir que os ativos de
informação sejam acessados de forma indevida ou não autorizada. Dentre as
medidas a serem implementadas pelas organizações, ressalta-se a Política de
Segurança da Informação, que tem por finalidade definir normas,
procedimentos, ferramentas e responsabilidades a serem seguidas pelos
colaboradores das organizações. O objetivo é a garantir o tripé da segurança
da informação – Confidencialidade, Integridade e Disponibilidade.

Mais conteúdo relacionado

Mais procurados

Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.
Rodrigo Miranda
 

Mais procurados (20)

Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Segurança de dados
Segurança de dadosSegurança de dados
Segurança de dados
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Introducao à Informatica Aplicada
Introducao à Informatica AplicadaIntroducao à Informatica Aplicada
Introducao à Informatica Aplicada
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Sistemas de Informações Gerenciais - SIG
Sistemas de Informações Gerenciais - SIGSistemas de Informações Gerenciais - SIG
Sistemas de Informações Gerenciais - SIG
 
Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SI
 

Semelhante a Trabalho Segurança da Informação -

Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
Daiana de Ávila
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
Simba Samuel
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
gabrio2022
 

Semelhante a Trabalho Segurança da Informação - (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdf
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Apostila01 - segurança de redes
Apostila01 -  segurança de redesApostila01 -  segurança de redes
Apostila01 - segurança de redes
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Segurança da informação e sistema informatizado
Segurança da informação e sistema informatizadoSegurança da informação e sistema informatizado
Segurança da informação e sistema informatizado
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação Fícticia
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informação
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 

Trabalho Segurança da Informação -

  • 1. FACULDADE SENAC MINAS Bruno Luiz A. De Paiva Política de segurança da Informação Segurança: Controle de Acessos Coronel Fabriciano, 2013
  • 2. Bruno Luiz A. De Paiva Política de segurança da Informação Segurança: Controle de Acessos Este trabalho estabelece a PSI - Política de Segurança da Informação de uma “organização” fictícia para o trabalho da disciplina de Política de Segurança da Informação do curso de Pós-Graduação em Gestão em Tecnologia da Informação – SENAC -MG João Paulo Coelho Furtado Coronel Fabriciano, 2013
  • 3. SUMÁRIO 1. OBJETIVO GERAL.......................................................................................................................................4 2. ÂMBITO DE APLICAÇÃO............................................................................................................................4 3. DESCRIÇÃO DAS PRÁTICAS........................................................................................................................4 3.1. Apresentação.....................................................................................................................................4 3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir:...............................................................5 3.1.2. Ameaças a serem tratadas pela PSI:...........................................................................................5 3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem estar devidamente identificados e documentados):...........................................................................................................6 3.1.4. Atores da PSI de uma organização: ..............................................................................................................................................................6 3.1.5. Regulamentações que abrangem a PSI: ..............................................................................................................................................................6 3.2. Áreas de Segurança da Informação a serem tratadas........................................................................6 3.2.1. Segurança Física de Controle de Acessos....................................................................................7 3.2.2. Segurança Lógica........................................................................................................................7 3.2.3. Segurança de Telecomunicação..................................................................................................7 3.2.4. Continuidade do Negócio...........................................................................................................7 4. SEGURANÇA DA INFORMAÇÃO.................................................................................................................8 4.1 Segurança Física..................................................................................................................................8 4.1.1. Área de Segurança......................................................................................................................8 4.1.2. Controles de Entrada e Saída de Pessoas....................................................................................8 4.1.3. Áreas de Expedição e Carga (Áreas Comuns)..............................................................................8 4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura...............................................................9 4.2. Segurança Lógica...............................................................................................................................9 4.2.1. Gerenciamento das Operações e Comunicações........................................................................9 4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção.............11 4.2.3. Procedimentos Operacionais....................................................................................................11 4.2.4. Segurança e Tratamento de Mídias...........................................................................................12
  • 4. 4.2.5. Controle de Acesso aos Recursos Computacionais...................................................................12 5. CONCLUSÃO............................................................................................................................................16 1. OBJETIVO GERAL Assegurar à organização a conformidade da Política de Segurança da Informação (PSI) com as Normas pertinentes, visando proteger os dados, garantindo que as informações integrantes de seu patrimônio e aquelas sob sua guarda, assim como as ferramentas utilizadas para obtenção, geração, modificação, armazenagem e disponibilização das mesmas estejam em conformidade com as leis vigentes no País; 2. ÂMBITO DE APLICAÇÃO Aplica-se a todos os colaboradores, prestadores de serviços, fornecedores, terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de Segurança e responsabilidades pelo seu acesso a este Patrimônio, evidenciando estas ações. 3. DESCRIÇÃO DAS PRÁTICAS 3.1. Apresentação “Toda Informação obtida, gerada, modificada, armazenada e disponibilizada pelos processos de negócio de uma organização integra seu patrimônio, físico e lógico.“ Este documento estabelece a PSI - Política de Segurança da Informação de uma organização, que é um conjunto das diretrizes, normas e/ou procedimentos necessários à preservação e segurança das Informações.
  • 5. A Informação é um ativo, como qualquer outro ativo importante do negócio, que tem um valor para a organização e consequentemente necessita ser protegida. A Segurança da Informação visa proteger os ativos de um grande campo de ameaças, de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e oportunidades. A Informação pode existir em muitas formas: • pode ser impressa ou escrita em papel; • guardada eletronicamente; • transmitida pelo correio ou usando meios eletrônicos; • mostrada em filmes, ou falada em conversação. Seja qual for a forma tomada pela Informação, ou meio através do qual ela é compartilhada ou armazenada, deve ser protegida adequadamente. A Segurança da Informação é caracterizada pela preservação da: • Confidencialidade, que é a garantia de que a Informação é acessível somente a pessoas com acesso autorizado; • Integridade, que é a salvaguarda da exatidão e completeza da Informação e dos métodos de processamento; • Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à Informação e aos ativos correspondentes, sempre que necessário. A Segurança da Informação é alcançada a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais, instalações, softwares e ferramentas de controle automatizadas. Estes controles devem ser estabelecidos para garantir que os objetivos de segurança da organização sejam alcançados.
  • 6. De forma crescente a organização e seu conjunto de Sistemas de Informação são colocados à prova, com um grande universo de tipos de ameaças à Segurança da Informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo e inundação. Quando as fontes dos danos são vírus, hackers/crackers e ataques de negação de serviço e todas as demais ameaças externas e acessos não autorizados, o que se pode observar é que estão cada vez mais ambiciosos e sofisticados. A dependência dos Sistemas de Informação deixa qualquer organização mais vulnerável às ameaças de segurança. A interconexão de redes e o compartilhamento de recursos de Informação aumentam a dificuldade de se ter um controle de acesso realmente eficiente. Vários Sistemas de Informação não foram projetados para implementar Segurança. A Segurança que se pode ter através de meios técnicos é limitada e deve ser suportada com procedimentos e um gerenciamento contínuo dos riscos. A identificação de quais controles devem ser implantados requer um planejamento cuidadoso e uma atenção redobrada nos detalhes. O gerenciamento da Segurança da Informação necessita da participação de todos os colaboradores da organização. Apesar da maioria do corpo executivo das organizações estarem conscientes da necessidade de criação e cumprimento de uma Política de Segurança da Informação, ainda faz-se necessário um esforço enorme para que as Unidades de Segurança possam lançar mão dos recursos necessários para esta criação e manutenção. Os controles de Segurança da Informação são considerados mais baratos e mais eficientes quando incorporados e tratados diferentemente dos demais processos das organizações. A Tecnologia da Informação só se torna uma ferramenta capaz de alavancar verdadeiramente os negócios de uma organização quando seu uso está vinculado a medidas de proteção dos dados corporativos.
  • 7. É nesse contexto que a definição de uma Política de Segurança da Informação deixa de ser custo associado a ideias exóticas, para se tornar investimento capaz de assegurar a continuidade e sobrevivência dos negócios, sendo imperativo à competitividade da mesma, que ela possa contar com um trabalho de profissionais especializados e qualificados, como determinam as responsabilidades relativas à Segurança da Informação dentro da organização. 3.1.1. Riscos típicos que a PSI pretende eliminar ou reduzir: a) Revelação de Informações sensíveis; b) Modificações indevidas de dados e programas; c) Perda de dados e programas; d) Destruição ou perda de recursos computacionais e instalações; e) Interdições ou interrupções de serviços essenciais; f) Roubo de propriedades, seja qual for. 3.1.2. Ameaças a serem tratadas pela PSI: a) Integridade: Prever ameaças de ambiente, externas ou internas, oriundas de catástrofes, fenômenos da natureza e/ou qualquer evento provocado intencionalmente ou não. Cita-se aqui, como exemplo, fogo, enchentes, tempestades, inundações etc. b) Indisponibilidade: Prever falhas em sistemas e/ou diversos ambientes computacionais da Organização. c) Divulgação da Informação: Prever a divulgação de Informações sensíveis aos Processos de Negócio da organização, premeditada e/ou acidental.
  • 8. d) Alterações não autorizadas: Prever alterações não autorizadas, premeditadas e/ou acidentais em Sistemas e/ou equipamentos de Tecnologia da Informação ou que suportem os Processos de Negócio. 3.1.3. Controles mínimos necessários e providos pela PSI (os mesmos devem estar devidamente identificados e documentados): •Softwares de detecção de vírus, trojans, spywares, etc; - Software de controle de acesso físico e lógico; •Mecanismos de controle de acesso físico; •Serviços críticos relativos a fenômenos da natureza (incêndio, inundações e etc); •Serviços críticos relativos a concessionárias Estaduais e/ou Federais (energia, água, telefonia etc). 3.1.4. Atores da PSI de uma organização: a) Gestor da Informação: Indivíduo responsável pela tomada de decisões em nome da organização no que diz respeito ao uso, à identificação, à classificação e à proteção de um recurso específico da Informação. b) Custodiante: Agente responsável pelo processamento, organização e guarda da Informação. c) Usuário: Alguma pessoa que interage diretamente com o sistema computadorizado. Um usuário autorizado com poderes de adicionar ou atualizar a Informação.
  • 9. 3.1.5. Regulamentações que abrangem a PSI: a) Formalizar seus Procedimentos Gerenciais de Segurança da Informação, parte integrante da PSI, em conjunto com os Procedimentos Operacionais da Segurança da Informação, compondo um documento ou pasta, impresso ou eletrônico, a ser mantido e atualizado para consultas, ou seja, uma espécie de Manual de Segurança da Informação; b) Divulgar a todos os colaboradores, prestadores de serviços, fornecedores, terceiros, parceiros e clientes, sua PSI e seus Procedimentos Gerenciais de Segurança e responsabilidades pelo seu acesso a este Patrimônio, evidenciando estas ações, no que lhe compete; c) Todos os colaboradores da organização assim como seus prestadores de serviços, fornecedores, terceiros, parceiros e clientes que de algum forma possuírem acesso ao patrimônio de Informações, são responsáveis pelo cumprimento dos Procedimentos Gerenciais de Segurança da Informação. Assim, a Política de Segurança da Informação visa preservar a Confiabilidade, Integridade e Disponibilidade das Informações, recomendando e descrevendo as condutas adequadas para o seu manuseio, controle, proteção e descarte. 3.2. Áreas de Segurança da Informação a serem tratadas 3.2.1. Segurança Física de Controle de Acessos a) Conceituação: Conjunto de medidas destinadas à proteção e integridade dos ativos da Organização e à continuidade dos seus serviços.
  • 10. b) Vulnerabilidades: Devem ser previstos riscos naturais (inundações, tempestades etc.), riscos acidentais (incêndios, interrupções de abastecimentos diversos etc.), entradas não autorizadas, roubos de patrimônio, etc. c) Áreas sensíveis: Devem ser levantadas e mapeadas as áreas vulneráveis e definida a criticidade de todos os ambientes físicos, principalmente os de alta criticidade (equipamentos, patrimônio físico, recursos humanos etc). Devem ser contemplados acessos físicos a todos os ambientes e o monitoramento dos mesmos, principalmente os considerados de alta criticidade. 3.2.2. Segurança Lógica a) Conceituação: Conjunto de medidas destinadas à proteção de recursos computacionais contra utilização indevida ou desautorizada, intencional ou não. b) Ambiente Lógico: O ambiente operacional, integrado pelos ativos de informação e de processamento deve ser constantemente monitorado pela Gerência Tecnologia da Informação. Sendo constatada qualquer irregularidade, o superior responsável deve ser formalmente notificado, a fim de tomar as providências cabíveis. c) Vulnerabilidades: Devem estar previstos acidentes por falhas e/ou sabotagem de hardware, software, aplicativos e procedimentos. d) Áreas sensíveis: Sistemas Operacionais, Sistemas Gerenciais de Banco de Dados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas de apoio. Devem estar contempladas política de usuários e senhas com definição de perfis de acesso aos ambientes e aplicativos. 3.2.3. Segurança de Telecomunicação
  • 11. a) Conceituação: Conjunto de medidas destinadas à proteção das Informações que trafegam por meios eletrônicos ou convencionais e dos recursos utilizados para esse tráfego. b) Vulnerabilidades: Devem estar previstos acessos não autorizados às redes de comunicação de dados, adulteração de dados em tráfego, utilização não autorizada de Informações e extravio de formulários ou documentos classificados para não disponibilização pública. c) Áreas sensíveis: Redes de comunicação de dados, redes locais, conexões com redes externas, ligações de usuários externos aos servidores da Organização, telefonia. 3.2.4. Continuidade do Negócio a) Conceituação: Conjunto de Planos que contemplam as atividades necessárias para a continuidade dos negócios da Organização, quando houver algum tipo de interrupção nos processos, serviços e/ou equipamentos considerados críticos. b) Vulnerabilidades: Devem estar previstas interrupções significativas das operações essenciais do negócio, causadas pelas vulnerabilidades nas áreas de segurança da informação a serem tratadas. c) Áreas sensíveis: Todas as áreas de segurança da informação a serem tratadas. 4. SEGURANÇA DA INFORMAÇÃO 4.1 Segurança Física 4.1.1. Área de Segurança
  • 12. A Organização deve possuir estabelecido em seu perímetro físico, cada prédio que faça parte da empresa, identificando todas as suas “fronteiras” e identificados todos os pontos de acesso. Para as “fronteiras” com prédios vizinhos, devem ser estabelecidos os controles necessários e suficientes, que salvaguardem o acesso às instalações. As entradas e saídas de cada prédio devem ser dotadas de Infraestrutura necessária e suficiente que permita o controle adequado de fluxo de pessoas. 4.1.2. Controles de Entrada e Saída de Pessoas Alguns controles mínimos devem ser implementados, sendo indispensável o planejamento e implementação de Norma e/ou Procedimento que regulamente estes controles, sendo este parte integrante da Política de Segurança da Informação. a) Classificação de todas as áreas dos prédios da organização, quanto à criticidade , alta, média ou baixa; quanto à restrição de acesso, também alta, média ou baixa. b) Criação de mecanismos para identificação e controle de acesso de pessoal, colaborador ou não, às instalações da organização, indicando quem teve acesso, data e hora e quem autorizou o acesso, sendo este controle de responsabilidade da área administrativa da organização. Acessos em horários especiais, fora do expediente normal, apenas sob autorização formal da Gestão responsável. 4.1.3. Áreas de Expedição e Carga (Áreas Comuns) Por serem áreas de acesso para uma quantidade muito grande de pessoas, estas áreas devem estar isoladas das áreas consideradas restritas e críticas. Estas áreas devem estar previstas em Norma e/ou Procedimento que as
  • 13. regulamente, sendo este parte integrante da Política de Segurança da Informação. 4.1.4 Proteção de Prédio, Equipamentos e da Infraestrutura A implantação de proteções mínimas, citadas abaixo, deve ser observada, sendo indispensável Norma e/ou Procedimento que regulamente estas proteções, sendo este parte integrante da Política de Segurança da Informação. a) Os equipamentos, principalmente os considerados críticos, devem estar instalados em áreas protegidas de acesso. b) Os equipamentos próprios, considerados de difícil reposição em função do custo financeiro, devem estar segurados, pelo menos contra incêndio e, se possível, dispor de contrato de manutenção do fabricante. c) O cabeamento elétrico e de lógica, que alimenta e interliga os vários equipamentos da organização, deve ser protegido de forma adequada e recomendada por fabricantes e conforme Normas de Segurança. d) A organização deve possuir um sistema de No-break e um gerador de energia próprio, que alimentem pelo menos os equipamentos e os locais considerados críticos. e) A manutenção preventiva dos equipamentos deve ser feita conforme as especificações do fabricante. f) Devem existir mecanismos de proteção e combate a incêndio, principalmente em locais considerados críticos, sob responsabilidade da área administrativa da organização e conforme Leis vigentes no País. As instalações prediais devem ser seguradas, pelo menos contra incêndio. g) Os procedimentos internos para proteção dos equipamentos devem ser replicados, sempre que possível e necessário, quando os mesmos forem deslocados para fora de seu local padrão.
  • 14. h) Devem ser planejados e implantados, onde for necessário, controles das condições ambientais. i) Devem ser criados mecanismos para identificação e controle de qualquer movimentação, para fora das dependências da organização, de ativos de TI, sejam eles equipamentos, programas e dados contidos em mídias ou enviados via correio eletrônico, listagens contendo Informações e etc. Estas movimentações devem registrar quem as realizou, a data e a hora de saída e de retorno, quem autorizou e a identificação do ativo de TI movimentado. j) Devem ser criados mecanismos especiais que protejam o acesso aos locais considerados de alta restrição. 4.2. Segurança Lógica 4.2.1. Gerenciamento das Operações e Comunicações a) Documentação dos Procedimentos de Operação Todos os sistemas, sejam eles executados em batch, on-line e/ou misto, estando em Produção, devem possuir documentação atualizada, conforme padrões da metodologia de desenvolvimento de sistemas normatizada e em vigência. b) Ambiente Operacional Todos os equipamentos de Infraestrutura, interligações das redes, interligações de hardware de grande porte e softwares básicos e de apoio, devem possuir documentação necessária e suficiente, bem como atualizada, que possibilite entendimento a qualquer técnico capacitado e habilitado, visando manutenções preventivas, corretivas e evolutivas, no ambiente operacional da organização. c) Gerenciamento e controle de mudanças Toda e qualquer mudança no ambiente de produção, seja ela de Infraestrutura, hardware, comunicações, softwares básicos, softwares de
  • 15. apoio, sistemas aplicativos, procedimentos etc., deve ser executada conforme procedimentos descritos no processo de Gestão de Mudanças. d) Gerenciamento e controle de problemas Quaisquer problemas que ocorram no ambiente operacional, sejam eles de Infraestrutura, hardware, equipamentos de comunicação de dados, softwares e sistemas aplicativos, devem ser registrados com, no mínimo, as seguintes Informações: • descrição do problema; • data e hora da ocorrência; • identificação de quem o registrou e quem foi acionado para solucioná-lo; • consequências do problema; • data e hora da solução; • identificação de quem solucionou; • descrição da solução adotada. e) Monitoramento da Segurança Testes periódicos de vulnerabilidade do ambiente de TI deverão ser realizados com a finalidade de garantir que a implementação de segurança de TI esteja vigiada e monitorada de forma proativa. f) Incidentes de Segurança da Informação Ocorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança lógica dos ativos da organização, deverão ser tratados conforme Procedimento de Incidentes de Segurança. g) Prevenção, Detecção e Correção de Softwares Maliciosos Medidas para prevenção, detecção e correção de Softwares Maliciosos devem ser implementadas por toda a organização, para garantir a proteção dos ativos de informação contra softwares maliciosos. O controle dessas medidas deve estar de acordo com os procedimentos descritos pela infraestrutura. O acesso a esses procedimentos são restritos ao pessoal da Infraestrutura. h) Segurança de Redes
  • 16. Assegurar que técnicas e procedimentos de segurança sejam usados para autorizar acessos e controlar as informações que circulam nas redes da Organização. i) Segregação de ambientes Devem existir 3 (três) ambientes distintos de softwares, jobs, sistemas aplicativos, programas e dados: • Ambiente de Produção. Deve conter todo o ambiente de executáveis, em produção, dos sistemas aplicativos, jobs, softwares básicos, softwares de apoio e os dados reais residentes em arquivos convencionais e bancos de dados, necessários para a execução dos processos. O controle de acesso a este ambiente deve ser de responsabilidade do setor de Segurança da Informação, conforme Normas e Procedimentos de acesso lógico da organização. Este ambiente deve possuir acesso exclusivo aos colaboradores da organização, restritos conforme Normas e Procedimentos da Política de Segurança da Informação. Em situação de exceção, outros poderão acessar o ambiente de produção, através de um login especiais, criados para esta finalidade, conforme Normas e Procedimentos da Política de Segurança da Informação, e mediante ciência e aprovação formal da Gestão de Tecnologia da Informação. • Ambiente de Desenvolvimento Deve conter todo o ambiente de executáveis, em manutenção, dos sistemas aplicativos, programas-fonte, jobs de teste, softwares básicos, softwares de apoio e dados fictícios residentes em arquivos convencionais e bancos de dados, necessários para o cumprimento das tarefas relativas a desenvolvimento. Por se tratar de um ambiente de desenvolvimento, seu controle de acesso não deve estar sob a responsabilidade do setor de Segurança da Informação, cabendo à Gestão de Tecnologia da Informação essa definição, conforme Normas e Procedimentos.
  • 17. Este ambiente deve ser de acesso exclusivo dos colaboradores da Gestão de Tecnologia da Informação, responsáveis pelo desenvolvimento e manutenção dos sistemas aplicativos, programas fonte, jobs de teste, softwares básicos e softwares de apoio. Em situação de exceção, outros poderão acessar o ambiente de desenvolvimento, através de um login especiais, criado para esta finalidade e mediante ciência e aprovação formal da Gestão de Tecnologia da Informação. • Ambiente de Teste/Homologação Deve conter todo o ambiente de teste / Homologação: jobs de teste, fontes de softwares básicos, softwares de apoio e de sistemas aplicativos sob a responsabilidade do setor de Segurança da Informação, quanto aos acessos, além de dados fictícios, residentes em arquivos convencionais e bancos de dados. Esta área deverá ser de acesso exclusivo aos colaboradores autorizados para a finalidade de teste / homologação, sendo negado acesso a qualquer outro que não tenha função, devido aos dados presentes nesta área serem próximos da Produção. Em situação de exceção, outros poderão acessar o ambiente de teste / homologação, através de um login e senha especial, criado para esta finalidade, conforme Normas e Procedimentos da Política de Segurança da Informação, e mediante ciência e aprovação formal da Gestão de Tecnologia da Informação. 4.2.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção a) Planejamento de capacidade São atividades de planejamento de capacidade dos recursos computacionais sejam contínuas, tanto no ambiente de rede quanto no ambiente de grande
  • 18. porte. Devem ser apuradas, conforme processo Gerenciamento de performance e capacidade. b) Aceitação de sistemas Para serem aceitos no ambiente de produção, os sistemas aplicativos devem estar previamente homologados pelas áreas de sistemas e áreas demandantes e documentados operacionalmente, conforme a metodologia de desenvolvimento vigente. 4.2.3. Procedimentos Operacionais a) Política de backup Deve ser estabelecida uma Política de backup nas dependências da Instalação principal da organização e fora dela, que, em quaisquer situações, permitam a recuperação de softwares, sistemas, dados, jobs e documentação, guardados em meio magnético. Simulações periódicas devem ser realizadas, com apresentação de relatórios sobre as mesmas, que contenha informações do procedimento executado e dos resultados. b) Registros de Operações Devem ser mantidos registros das operações de processamento, indicando quem executou o serviço, qual o serviço executado, a data e hora de início e fim e as ocorrências de não- conformidade. 4.2.4. Segurança e Tratamento de Mídias Para todas as mídias da organização que contenham bens de Informação, sejam elas em meio magnético, ótico ou papel, devem ser observados os seguintes cuidados mínimos:
  • 19. a) Devem ser guardadas em lugar seguro, diferente do local onde os dados originais estão armazenados; devem estar ainda em local adequado, de acordo com as especificações do fabricante da mídia. b) As mídias que forem transitar para fora das instalações de sua origem devem ter a sua saída registrada e a garantia de sua chegada ao destino, também registrada. Além disso, devem ser embaladas, acondicionadas e transportadas de forma adequada, para garantir sua integridade. c) As mídias em meio magnético ou ótico devem ser identificadas externamente, quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e observações sobre as mesmas. d) Quando forem descartadas, devem ser apagadas e/ou destruídas de forma completa e total, através de trituração ou incineração. 4.2.5. Controle de Acesso aos Recursos Computacionais Devem ser adotados, no mínimo, os controles apresentados abaixo. Estes devem estar previstos, detalhadamente, em Norma e/ou Procedimento específico da Política de Segurança da Informação. a) Identificação e autenticação de usuários • O usuário somente deve possuir acesso ao ambiente computacional através de uma identificação de acesso e uma senha; • A identificação de acesso do usuário deve ser única, pessoal e intransferível; • A senha associada à identificação de acesso deve ser secreta e de conhecimento exclusivo do usuário para o qual foi custodiada; • A senha não pode ser divulgada a terceiros, devendo-se evitar o uso de combinação simples ou óbvia na sua criação; • Não devem ser permitidas senhas para grupos de usuários (senha genérica), salvo com autorização formal da Gestão de Tecnologia da Informação;
  • 20. • Quando o usuário errar o seu login ou sua senha deve ser emitida mensagem de “login/senha incorretos”; • Sempre que possível e necessário, os logins devem ser associados a uma determinada estação de trabalho; • Sempre que possível e necessário, permitir logins para apenas uma sessão, a cada acesso. 4.2.6. Uso das Estações de Trabalho Os computadores e sistemas de comunicações não devem ser utilizados para fins pessoais. Compartilhamento de Recursos O compartilhamento de diretórios e/ou arquivos nas estações de trabalho deve ser atribuído única e exclusivamente para facilitar e/ou agilizar o trabalho das atividades laborais, não devendo ocorrer em qualquer outra situação. 4.2.7. Camadas De Segurança Para a devida proteção do ambiente, devem ser projetadas 4 (quatro) camadas de acesso: • Acesso ao ambiente; • Acesso aos sistemas aplicativos; • Acesso às funções dos sistemas aplicativos; • Acesso aos dados. Sempre que possível o login e a senha de acesso devem ser únicos para todas as camadas de Segurança. Devem ser exibidos para os usuários apenas os arquivos, os softwares e as funcionalidades a que os mesmo têm direito de acesso, ficando sob
  • 21. responsabilidade do mesmo informar ao seu superior sobre acessos disponibilizados em demasia. 4.2.8. Trilhas de Auditoria Recomenda-se a existência de softwares de Segurança, e que estes mantenham registros sobre os acessos dos usuários, indicando, sempre que possível, o arquivo, o software, a data e hora que foram acessados. Os SGBD – Sistemas de Gerenciamento de Bancos de Dados – devem manter logs próprios que permitam a recuperação de Informações, em qualquer situação. Estes logs devem estar documentados e serem de conhecimento dos Especialistas das áreas de guarda dos mesmos. Devem existir Procedimentos que contemplem uma política de auditoria, por exemplo, definida e devidamente documentada, como parte integrante da Política de Segurança da Informação, onde sejam previstos todos estes detalhes, em especial: • Auditorias a serem contemplados; • Motivos da auditoria; como deve ser realizada; • Resultado esperado; • Periodicidade; • Responsável por auditar. 4.2.9. Computação Móvel e Trabalho Remoto. Todo e qualquer trabalho remoto deve ser evitado, ficando restrito aos colaboradores da Gestão de Tecnologia da Informação e aqueles que forem autorizados por esta Gestão, ambos em caráter de extrema necessidade e mediante assinatura de Termo de Responsabilidade e Compromisso. Para utilizar este acesso é obrigatória a existência de uma autorização formal prévia do Gestor de Tecnologia da Informação.
  • 22. Sempre que necessário e viável, a organização deve disponibilizar sistemas na Internet, através de sua Gestão de Tecnologia da Informação. Para que os acessos realizados a estes sistemas sejam feitos com segurança, devem ser previstos e adotados mecanismos visando à proteção dos bens de Informação, tais como Certificação digital, Softwares de Segurança, Antivírus, Firewalls corporativos e individuais, Criptografia e etc. 4.2.10. Trânsito de Informações O trânsito de Informações deve ser feito por um caminho ou meio confiável com controles que ofereçam autenticidade do conteúdo, proteção de submissão e recebimento e não repúdio da origem. Devem existir Procedimentos que contemplem e padronizem a geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, entrada, uso e arquivamento de chaves criptográficas para garantir a proteção das chaves contra modificação e acessos não autorizados. 4.2.11. Acesso a Utilitários Poderosos Deve existir na organização documentos que contendo a classificação de todos os utilitários e programas considerados poderosos, ou seja, programas que podem sobrepor os controles de Segurança estabelecidos e implementados. Estes utilitários, quando não puderem ser eliminados, devem possuir critérios de proteção de acesso que os tornem de uso restrito aos analistas da Gestão de Tecnologia da Informação para usufruto de afazeres relacionados a seu trabalho. São exemplares de alguns destes programas: • Softwares de quebra de senhas. Ex: Brutus, LC4; • Softwares de invasão de redes. Ex: nemesis;
  • 23. • Softwares de reconhecimento de portas e de vulnerabilidades ativas. Ex: nemesis; - Softwares de monitoramento de redes (sniffers). Ex: ethereal; 4.2.12. Administração de Acessos Devem ser criados mecanismos que permitam registros de acessos aos ambientes, indicando, minimamente e sempre que possível, os recursos acessados, quem efetuou o acesso, data e hora, tentativas de acesso com senhas erradas, tentativas de acesso de estações de trabalho não permitidas, tentativas de acesso em horários não permitidos etc. Consultas e relatórios devem ser criados, permitindo o monitoramento e gerenciamento dos acessos, pela Gestão e por auditores que por ventura sejam requisitados. 4.2.13. Desenvolvimento e Manutenção de Sistemas Devem existir Procedimentos que regulamente a elaboração, implantação e utilização desta metodologia, sendo este parte integrante da Política de Segurança da Informação. 4.3. Segurança de TELECOM 4.3.1. Acesso à Internet, Intranet, correio eletrônico, telefone e mensagens instantâneas a) Internet • O acesso à Internet da organização deve ser restrito às atividades profissionais É obrigatória a utilização de mecanismos de monitoramento que permitam o gerenciamento do uso desse recurso e que o mesmo seja regido por Norma e/ou Procedimento constante da Política de Segurança da Informação, conforme Leis vigentes no País.
  • 24. • Bloqueio e controle de Sites na Internet Os sistemas da organização são configurados rotineiramente para evitar que os colaboradores se conectem em sites não relacionados às atividades da empresa. Os colaboradores que usam os sistemas de informações não têm permissão para acessar um site cujo conteúdo seja de explicitação sexual, racista ou outro material potencialmente ofensivo. A capacidade para conectar-se a um site específico não implica em permissão para acessar o mesmo. O acesso de qualquer computador da rede da empresa à Internet deverá ser feito exclusivamente através de equipamentos de controle (Firewall e Proxy) corporativos. Outras formas de acessar à Internet, como conexões dial-up através de um provedor externo ou cascateamento de proxies, visando burlar as barreiras corporativas, são terminantemente proibidas de serem empregadas. b) Intranet O acesso à Intranet deve ser restrito às atividades profissionais. Requerimentos de segurança deverão ser adotados na rede interna da organização a fim de assegurar que informações confidenciais não sejam comprometidas e que os serviços disponibilizados estejam protegidos. O gerenciamento do uso da Intranet deverá ser regido por Norma /ou Procedimento constante da Política de Segurança da Informação, conforme Leis vigentes no País. c) Correio eletrônico O endereço de correio eletrônico fornecido pela organização para cada colaborador, prestador de serviço ou terceiro será utilizado única e exclusivamente para atividades relacionadas aos trabalhos desenvolvidos. Uso pessoal do sistema de correio eletrônico O sistema de correio eletrônico é disponibilizado para ser usado nas atividades da empresa, e somente seu uso profissional está autorizado. Tal proibição leva em consideração principalmente a grande quantidade de
  • 25. códigos maliciosos, vírus, cavalos de tróia, worms e exploits oriundos dos provedores externos. Restrições do conteúdo das mensagens Filtros de Conteúdo Com a finalidade de minimizar a contaminação por vírus, otimizar o tráfego de rede e o espaço de armazenamento em disco no servidor de correio eletrônico, são filtradas de forma automática as mensagens que possuam arquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE, COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem ser adicionadas a esta lista, sem aviso prévio, qualquer outra extensão que a Gerência de Tecnologia da Informação julgue conveniente. É obrigatória a utilização de mecanismos de monitoramento que permitam o gerenciamento do uso deste recurso, e que o mesmo seja regido por Norma e/ou Procedimento constante da Política de Segurança da Informação, conforme Leis vigentes no País. d) Mensagens Instantâneas A utilização de software relativo a mensagem instantânea é restrito ao desempenho das atividades profissionais. 5. CONCLUSÃO Este trabalho tem por finalidade descrever metodologias de Segurança da Informação relativas ao controle de acesso físico/lógico, que podem ser adotadas pelas organizações no intuito de prevenir que os ativos de informação sejam acessados de forma indevida ou não autorizada. Dentre as medidas a serem implementadas pelas organizações, ressalta-se a Política de Segurança da Informação, que tem por finalidade definir normas, procedimentos, ferramentas e responsabilidades a serem seguidas pelos
  • 26. colaboradores das organizações. O objetivo é a garantir o tripé da segurança da informação – Confidencialidade, Integridade e Disponibilidade.