Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE DO OESTE DE SANTA CATARINA Políticas de Segurança Estudo de casos e aplicação de Normas Gabriela Gugel, Giovani Raci Paganini, Fernando Cesar R., Leonir Clen e Alexandre Finger. Professor: Tiago Moraes 26/05/2012 Joaçaba, SC 1 INTRODUÇÃO Podemos dizer que não existe segurança absoluta se for observado o mundo globalizado de hoje, frente a isso torna-se necessário agirmos no sentido dos pontos vulneráveis e a partir daí avaliar os riscos e impactos, e rapidamente providenciar uma política de segurança para que a segurança da informação seja eficaz e segura o máximo possível. Esta política criada pode vir a ser um guia prático para estabelecer práticas e procedimentos referentes à segurança da informação da UNOESC. 2 OBJETIVOS Elaboração A política de segurança aqui estabelecida deve informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação da instituição de ensino UNOESC - Joaçaba. Nesse documento apresentaremos um conjunto de instruções e procedimentos para normatizar e melhorar a visão e atuação em segurança dentro da UNOESC – UNIVERSIDADE DO OESTE DE SANTA CATARINA. Processual Tem como principal objetivo formalizar a missão da área de segurança da informação e formalizar as responsabilidades da própria área, dos usuários e gestores da instituição. Tecnológica Garantir que os serviços da área tecnológica sejam levados em consideração, dentre seus aspectos mais importantes e críticos do funcionamento do mesmo, sem deixar de lado as questões relacionadas à boa conduta e a ética profissional dos usuários. Humana Objetivo de tornar todos os conceitos pertinentes à segurança compreendido e seguidos por todos dentro da organização, inclusive sem distinção de níveis hierárquicos. Elaboração da Política A política elaborada tendo como base a cultura da UNOESC e o conhecimento de segurança dos profissionais envolvidos na sua aplicação e comprometimento, sendo necessário criar um comitê de segurança responsável pelas definições da política, elaborando um documento final e oficializando o uso da política, com critérios de segurança adotados em cada área necessária para o alcance de tais critérios. 3 CAPÍTULO 1 Política de Segurança Todas as normas aqui estabelecidas serão seguidas à risca por todos os funcionários, parceiros, prestadores de serviços e acadêmicos. Ao receber essa cópia da Política de Segurança, o(a) Sr.(Sra.) comprometeu-se a respeitar todos os tópicos aqui abordados e está ciente de que seus e-mails e navegação na internet/intranet podem estar sendo monitorados. A equipe de segurança encontra-se a total disposição para esclarecimentos de dúvidas e auxílio técnico. Não cumprimento de normas ou Roubo de Dados: O não comprimento dessas políticas acarretará em sanções administrativas, podendo ocasionar o desligamento do funcionário/acadêmico e demais usuários que possuem quaisquer ligações com a UNOESC de acordo com a gravidade da ocorrência. Responsabilidade e Penalidades: É de grande importância conhecer e identificar os responsáveis pelo gerenciamento da segurança e estabelecer normas de aplicação de sansões resultantes de casos de inconformidade com a política elaborada, com relação às penalidades e casos de infração da política de segurança da empresa. Oficialização da Política A aprovação desta política deve ser aceita pela administração da UNOESC, incluindo o Reitor, devendo ser publicada e comunicada para todos os funcionários, acadêmicos e colaboradores que possuam qualquer ligação com a instituição de ensino. Algumas ações podem comprometer a eficácia da política de segurança como, por exemplo, se os funcionários não a conhecem ou aplicam corretamente. 4 1. ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS Tratativas regulamentadoras segundo Gabriela Schmitz Gugel: 1.1 Ameaças Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através de auditorias internas. Fatores que podem vir a ameaçar a instituição e torná-la vulnerável: Acesso a conteúdos nocivos e impróprios; Consequências: Poluição da rede. Uso da internet para download de jogos, filmes, programas e afins para utilização pessoal. Consequências: Diminuição da qualidade do tráfego na rede. Utilização da internet por parte de pessoas que não possuem vínculo com a universidade. Consequências: Perda de controle da área estabelecida como restrita. Exposição de dados confidenciais. Consequências: Quebra de sigilo permitindo que sejam expostas informações restritas às quais seriam acessíveis apenas por um determinado grupo de usuários. 1.2 Impacto Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através de auditorias internas. Tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na Empresa, dentre eles: o roubo de informação, paralisação de serviços, perdas financeiras, diminuição da qualidade do tráfego, poluição da rede entre outros. 1.3 Disponibilidade Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através de auditorias internas. Garantir que a UNOESC e demais usuários vinculados a Universidade tenham acesso à rede sempre que necessário (Período Integral). Serão monitorados 24h por dia com acompanhamento de um instrutor: Páginas de Conteúdo impróprio (Pornografia, Site de Jogos Online entre outros). 5 Portal de Ensino Tráfego da rede Servidores de e-mail Servidores de Proxy Firewall Exceções para a Área da Informática (Cursos, Especializações, Pós-graduações, Mestrados, Doutorados e Ph.D.): Deverá ser disponibilizada uma Porta de Rede específica para os acadêmicos, professores e membros relacionados à área da informática, para utilização da internet com acesso mais rápido devido à dependência direta da mesma. 1.4 Integridade: Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através de auditorias internas. Deverá ser garantido o controle quanto à alteração das informações pelos meios acima citados. 1.5 Confidencialidade: Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através de auditorias internas. Os dados privados deverão ser apresentados somente aos donos dos dados ou ao grupo por ele liberado. É de suma importância que os autorizados tenham à informação e os ativos correspondentes sempre que necessário. 1.6 Autenticidade: Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através de auditorias internas. O sistema deve ter condições de identificar a identidade dos usuários através de seus respectivos códigos de acesso, disponibilizados em suas matrículas pela UNOESC, e este deve ter condições de analisar a identidade do sistema. (utilização de logs). Quanto à tipificação dos utilizadores: Residentes: Pessoas que exercem suas atividades laborais continuamente no local. Sem término definido. Devem conhecer e cumprir todas as regras de segurança. 6 Não Residentes: Pessoas que exercem suas atividades laborais com ou sem regularidade, com término definido. Devem conhecer e cumprir todas as regras de segurança. Visitantes: Pessoas que se deslocam no local por um determinado período de tempo. Devem conhecer e cumprir todas as regras de segurança. 2.ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO Tratativas Regulamentadoras segundo Gabriela Gugel: 2.1 Comprometimento da direção frente à segurança da informação: Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Responsabilidade pela contratação da equipe de segurança da informação e de supervisionar o gerenciamento da segurança (TI) da instituição. Manter a segurança dos recursos de processamento da informação e da informação da organização que são acessados, processados, comunicados e/ou gerenciados por partes externas (clientes, fornecedores, terceiros). Para que nossa política de segurança tenha um nível de cultura desejado é imprescindível o apoio da administração, coordenadoria e direção da UNOESC. Soluções técnicas não contemplam totalmente a integridade segurança. 2.2 Objetivo da Política: Período de duração e planejamento: Após 3 anos esta tratativa deverá ser revisada através de auditorias internas. Esta política visa estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da UNOESC. A estrutura da segurança tem enfoque multidisciplinar e sua disponibilidade deverá envolver os colaboradores (acadêmicos, diretorias, coordenações) de todas as áreas da UNOESC. Devem-se priorizar serviços terceirizados, tendo a possibilidade de contratar profissionais especializados em vigilância para área de TI e utilização da compra de softwares, com a finalidade de auxiliar a instituição e seus membros estabelecendo, mantendo e melhorando a área de segurança da informação. 7 2.3 Confidencialidade: Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Tem o objetivo de proteger todo o conhecimento, técnico ou informação confidencial capaz de possibilitar vantagens no processo produtivo econômico da UNOESC. 2.4 Gestão de Emergências: Esferas de Competência e Incidentes de Segurança (gráfico): Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Este gráfico tem como objetivo medir o nível da gravidade do fator problema classificando os possíveis riscos que a Segurança da Instituição pode vir a ter. Figura 1 - Pirâmide de Riscos: Controle de Acessos Alto Risco * Controle de acesso aos servidores * Controle de acesso as maquinas de fora da UNOESC *Controle de acesso (perfis) Médio Risco * Controle de acesso por usuário nas maquinas locais, gerando log. Baixo Risco * Controle de acesso nas bibliotecas * Controle de acesso com utilização de etiquetas 8 2.5 Organograma Operacional da Segurança da Informação Figura 2: Organograma Operacional da Segurança da Informação 2.6. Modelo da Estrutura da Política de Segurança: Período de duração e planejamento: Após 1 ano esta tratativa deverá ser revisada através de auditorias internas. Sua estrutura é composta por 11 seções, sendo que cada uma possui seu responsável conforme na figura 3. Vale lembrar de que sua integridade deverá ser mantida para que a informação mantenha suas características originais. Chefe de Segurança Central de Vulnerabilidade Gabinete de Riscos Controle de Acessos Técnico de Manutenção de Sistema Supervisão Central de Segurança 9 Figura 3: Estrutura da Politica de Segurança 2.7 Perfil do Gestor de Segurança ou Chefe de Segurança (Chief Security Officer): Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Visão Global e Foco; Saber tomar decisões baseados na Análise de Riscos observando possíveis ameaças; Criar e multiplicar padrões; Ser especialista em segurança na área de TI; Boa relação interpessoal e capacidade de liderança; Ser um profissional orientado a metas ligadas à missão da UNOESC; 1. ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS 2. ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO • Responsável: Gabriela Schmitz Gugel 3. GESTÃO DE ATIVOS 4. SEGURANÇA EM RECURSOS HUMANOS • Responsável: Alexandre Finger 5. SEGURANÇA FÍSICA E DO AMBIENTE 6. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES 7.CONTROLE DE ACESSO 8.AQUISIÇÃO, MANUTENÇÃO E DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO 9.GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÕES 10.GESTÃO DA CONTINUIDADE DO NEGOCIO 11.CONFORMIDADE Responsável: Fernando Cesar Rigo Responsável: Giovani Raci Paganini Responsável: Leonir Clen Responsável: Giovani Raci Paganini 10 3. GESTÃO DE ATIVOS Tratativas de regulamentação segundo: Fernando Cesar Rigo. Objetivos: Alcançar e manter a proteção dos ativos da organização. Convém que todos os ativos tenham um inventário e tenham um responsável pelo mesmo. 3.1 Sanções Gerais: Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Os ativos de trabalho deverão ser identificados e classificados de acordo com a importância para o funcionamento da organização. Os ativos deverão ter o seu formato (. DOC, .EXE, .TXT, ECT...) , tipo e localização sobre onde estão armazenados, tipos de licenças e a importância para o funcionamento da organização salvos em copias de segurança em um servidor interno para consulta e um servidor externo para a possível recuperação dos mesmos em caso de acidentes ou desastres, incidentes de segurança ou ataque a segurança dos mesmos. Todos os ativos deverão ter um proprietário para assegurar os recursos que foram a ele designados. Os ativos serão classificados como: Ativos de informação: Banco de Dados do sistema, contratos de matricula, contratos de bolsa de estudos, contratos de Funcionários em geral, contratos de professores, materiais de Aula, regras e regimentos. Ativos de software: aplicativos, sistemas, e utilitários. Ativos físicos: Computadores, notebooks, impressoras, pen drives, HDs externos entre outros. Serviços: Serviço de acesso à internet, Serviço de Utilização de computadores, acesso a biblioteca, iluminação dos espaços físicos e serviço de rede de internet. Pessoas e suas qualificações habilidades e experiências; 3.2 Deveres: Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. 11 O proprietário do ativo deverá: Assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados, bem como manter o registro do local onde os mesmo estão armazenados dentro da instituição, para posterior consulta ou alteração dos mesmos. Definir e analisar dentro de um período as classificações e restrições de acesso levando em conta as políticas de controle de acesso, dentro de um período e um ano o proprietário deverá analisar e atualizar a classificação dos ativos e verificar se houve alteração no local de armazenamento dos mesmos e fazer alterações se necessário. Em caso de desligamento da pessoa encarregada de gerir determinado ativo deverá ser designado um novo proprietário para o ativo em questão e o mesmo deverá fazer a revisão e classificação do ativo, visando sua posterior integridade. 3.3 Proibições Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. O proprietáriode um ativo será proibido de: Alterar informações, ou classificação de ativos a qual não foi designado, visando à legalidade do autor. Infringir as regras de uso de internet e de e-mail. Infringir as regras de uso de dispositivos móveis especialmente as regras de uso fora das instalações. Classificações da Informação Objetivos: Assegurar que a informação receba um nível adequado de proteção. 3.4 Recomendações Para Classificação Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. A Classificação dos ativos deve levar em conta as suas necessidades de compartilhamento e restrição, risco - médio: Os ativos serão Classificados de acordo com a sua usabilidade, e importância para a instituição. Serão incluídos no máximo três ativos da informação por 12 classificação, para evitar a probabilidade de possuir esquemas muitos complexos são inviáveis para a instituição. 3.5 Nível de proteção, risco - alto: os ativos terão três níveis de proteção, alta, media e baixa, que serão avaliadas analisando a confidencialidade, integridade e disponibilidade da informação para a UNOESC. 3.6 Tratamentos dos ativos: Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Cada nível de informação deverá ter o seguinte tratamento, levando em conta o seu nível de classificação: Os ativos serão armazenados e ou disponilizados em pastas, de acordo com classificação, dentro de cada pasta os mesmos serão organizados em arquivos de acordo com o nível de segurança. 4. SEGURANÇA EM RECURSOS HUMANOS Tratativas de regulamentação segundo: Fernando Cesar Rigo. Objetivos: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papeis, e reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos da instituição UNOESC. 4.1 Papeis e responsabilidades Risco - médio: Papeis e responsabilidades de todos os funcionários e candidatos a ingressar como o mesmo na instituição. Período de duração e planejamento: Após 3 anos esta tratativa deverá ser revisada através de auditorias internas. Todos os contratados, empregadores e candidatos a vagas deveram seguir e agir de acordo com a política de segurança da informação da instituição; Os funcionários deveram ter níveis de acesso aos ativos para evitar uso não autorizado, divulgação ou destruição dos mesmos. Os Funcionários terão um tempo de experiência ao ingressar na instituição de três meses, durante esse tempo os mesmos não terão disponibilidade de acesso às informações sobre os ativos da instituição. Os funcionários terão cargos que delimitarão o acesso às informações da instituição, os mesmos serão: 13 1. Assistente: Funcionário em período de experiência. 2. Efetivo: Funcionário que já passou pelo período de experiência. 3. Supervisor: Funcionário que tem uns níveis maiores de confiabilidade na instituição que deverá ser responsável pelos níveis de assistentes e efetivos. 4. Gerentes: funcionários com total acesso a totós os níveis de ativos. As diretrizes acima citadas deverão ser passadas no para o funcionário em seu período de treinamento durante os três meses de experiência. 4.2 Seleção de Funcionários Risco – alto: Diretrizes para a contratação de pessoal, para a instituição: Período de duração e planejamento: Após 1 ano esta tratativa deverá ser revisada através de auditorias internas. Deverá ser levado em conta o caráter do candidato de acordo com as referências que ele disponibilizará no momento da entrevista para avaliação O candidato devera apresentar curriculum vitae apresentável, com informações relevantes sobre experiências profissionais anteriores. Deverá ser avaliada a qualificação acadêmica do candidato e suas experiências profissionais anteriores em outras empresas. Deverá ser pesquisado e verificado a veracidade de TODAS as informações que o candidato forneceu, tanto pessoais quanto profissionais. Verificar antecedentes criminais e créditos financeiros do candidato; O candidato que apresentar todos os requisitos de forma satisfatória será apto para a contratação, tendo a instituição total autonomia para decidir entre candidatos que apresentarem aptidões parecidas. 4.3 Temos e condições para contratação Risco – baixo: Ambas as partes contratante e contratado deverão concordar com as condições contratuais. Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Os funcionários que forem contratados para os cargos de gerente e supervisor deverão assinar um termo de confidencialidade e não divulgação dos dados sensíveis à instituição. 14 O não cumprimento deste termo resultará em total desligamento do funcionário da instituição podendo de acordo com a gravidade de o ato ser gerado processo judicial contra o mesmo. Ao momento da contratação deverão ser expostas ao contratado todos os seus direitos e deveres legais. Deverá ser exposta a todos os funcionários contratados a política externa da instituição. Deverá ser exposta ao novo funcionário a política de tratamento dos demais funcionários dentro da instituição; Poderá ser utilizado um código de conduta para apresentas os requisitos acima citados ao contratado. Se ambas as partes concordarem com os termos de contrato, o usuário deverá ser contratado, caso o usuário discorde de algum termo poderá haver um novo processo de seleção. 4.4 Durante a contratação – Risco Médio: Assegurar que os funcionários estejam cientes de suas responsabilidades e obrigações evitando o não repúdio. Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Os diretores devem assegurar que os funcionários estejam cientes de suas responsabilidades e que os mesmo recebam as diretrizes sobre a segurança da empresa. Os funcionários recém-contratados deveram passar por um período de treinamento, composto por um curso teórico sobre a política de segurança da empresa. 4.5 Processo Disciplinar Risco – Alto: Os funcionários que tenham cometido uma violação na segurança da informação deverão passar por um processo disciplinar. Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através de auditorias internas. Um processo disciplinar não deve ser iniciado sem uma verificação prévia se o fato realmente ocorreu. Caso comprovado que o funcionário realmente cometeu a infração ou utilizou o não repúdio deverá ser imposto ao mesmo, um processo disciplinar que dependendo da gravidade 15 do assunto poderá ser uma advertência, restrição de acesso a determinadas áreas de segurança dos ativos ou até desligamento da instituição e processo judicial. 4.6 Encerramento ou mudança de contratação Risco – Alto: todos os funcionários que deixarem a instituição deverão faz isso de forma ordenada. Período de duração e planejamento: Após 1 ano esta tratativa deverá ser revisada através de auditorias internas. O funcionário que deixar a instituição deverá ter todos os seus direitos assegurados. Quando o motivo do desligamento do funcionário for por sua própria vontade, deverá haver um aviso prévio de 30 dias para que haja um novo processo de admissão. O funcionário que estiver deixando a instituição deverá repassar por meio de um treinamento superficial suas funções ao novo funcionário contratado. Deverá ser retirado todo e qualquer nível de acesso, por senha ou por outros meios de um funcionário que deixe a instituiçãopara evitar possíveis incidentes de segurança. 16 CAPÍTULO 2 Fraudes e bots – O combate às fraudes de internet deve ser uma prioridade, pois elas representam mais de 55% dos 4015 registradas durante o ano de 2005. Os ataques são realizados através de envio de mensagens falsas utilizando a imagem de instituições idôneas como IBGE, hospedando cavalos de Tróia que monitoram o computador da vítima por acessos a sites financeiros enviando os dados obtidos para diversas contas de e- mail. Diretrizes As diretrizes, que são a parte estratégica da política de segurança, correspondem às preocupações da empresa sobre a segurança das informações, ao estabelecer seus objetivos, meios e responsabilidades. Procedimentos e Instruções de Trabalho (Operacional) Procedimentos Atividades operacionais de segurança envolvendo procedimentos, permitindo sua execução detalhada e padronizada. Instruções de trabalho Conjunto de comandos operacionais a serem executados em um procedimento de segurança estabelecido por uma norma. Exemplo de procedimentos e instruções Integrar uma lista com procedimentos para realizações de suporte no banco de dados que são os responsáveis, a periodicidade, o armazenamento, etc. Instruções de trabalho para a restauração de equipamentos portáteis que precisem ser reinstalados com um guia passo a passo sobre o que fazer em cada caso. 5. SEGURANÇA FÍSICA E DO AMBIENTE Tratativas de regulamentação segundo: Alexandre Finger. A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos. 17 5.1 Controle de entrada e saída de materiais da instituição, ou pessoal em locais de acesso restrito, registrando data e horários: Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Funcionários responsáveis pela segurança devem manter registro de equipamentos e materiais que entram e saem do estabelecimento para evita incidente de segurança. E proibir entradas com mochilas e afins, inclusive de funcionários. O Aluno ou funcionário pode manifestar-se em caso de furto ou danos gerados caso não havendo este controle, e comprovado o dano. Poderá acarretar na demissão do funcionário, ou expulsão do aluno; 5.2 Utilização de aparelhos eletrônicos para monitoramento em vídeo 24hs dos acontecimentos realizados na instituição: Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Manter as informações geradas por câmeras visuais, em servidores por períodos mínimos de 3 meses em locais seguros. Caso a necessidade de visualização das imagens por pessoas que sintam-se mobilizadas ou que tiveram sua privacidade violada será necessidade de requerimento via protocolo. Não é permitida a utilização das gravações, sem devida autorização e para fins que não sejam o de manter a segurança no estabelecimento. 5.3 Manter equipamentos que forneçam acesso à rede interna da corporação, em lugares com acesso restrito: Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Apenas pessoas autorizadas poderão ter acesso a estes equipamentos que devem ser instalados em salas fechadas e/ou rack. Caso ocorra um incidente de segurança a universidade não pode exigir que os aparelhos estejam seguros. O responsável pelas chaves é de total responsável pelos danos em aparelhos em caso de descumprimento disto. O acesso a estes equipamentos só podem ser aceitos pelo pessoal responsável pela rede, sendo que as chaves ficam apenas com uma pessoa e esta controla todas as utilizações; 5.4 Utilizar-se de equipamentos para prevenção e combate a: Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. 18 Incêndios; Danos pela Água; Climatização. Devem ser utilizados equipamentos e técnicas para a prevenção e combate, que são: extintores, alarmes de incêndio, manter equipamentos e materiais longe de tubulações de água, equipamentos e materiais devem ser mantidos em temperatura ideal para conservação dos mesmos. No caso de não serem utilizadas estas medidas, os responsáveis por isso poderão punidos com multas e expulsões. 5.5 Proteger fisicamente as unidades de backup: Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Unidades de backup devem estar em locais fechados, com temperatura ambiente com baixa umidade e com acesso restrito. Todas as unidades devem estar catalogadas identificado conteúdo armazenado. Além disso, deve manter-se uma rotina de verificação de consistência dos backups, para manter a confiabilidade da segurança dos dados guardados. 5.6 Segurança no cabeamento elétrico e telecomunicações: Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Sempre que possível utilizar-se de linhas subterrâneas para passagem do cabeamento, separando os cabos de energia dos de redes ou telecomunicações, evitando a probabilidade de ocorrência de ruídos ou interferências que provocam falhas de comunicação. O cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, uso de conduítes ou evitando trajetos que passem por áreas públicas. 19 6. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Tratativas de regulamentação segundo: Alexandre Finger. Garantir a operação segura e correta dos recursos de processamento da informação. 6.1 Gestão de mudanças: Risco: Baixo Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Atualizações ou modificações nas mudanças de sistema operacionais ou versões de software que trabalham em compatibilidade com outros sistemas devem ser analisados para não causarem nenhum impacto à confiabilidade da aplicação e integridade dos dados. Caso mudanças em versões sejam realizadas, deve ser mantido um registro contendo todas as informações relevantes. 6.2 Gerenciamento de serviços terceirizados: Risco: Médio Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Devem-se implementar acordos para aquisição de serviços terceirizados, para garantir que serviços entregues atendam a todos os requisitos acordados com terceiros. Utilizar-se de serviço terceirizado para seguintes áreas: Segurança e vigilância da instituição, manutenção dos equipamentos de comunicação e unidades de backup, limpeza, desenvolvimento e manutenção de sistemas, mantendo registro dos acordos como trilha de auditoria. 6.3 Proteger a integridade de software e da informação: Risco: Médio Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Deve-se bloquear/proibir o uso de softwares não autorizados pela instituição para evitar ataques e ameaças aos sistemas. Proibir a instalação de qualquer software nas maquinas da instituição, delimitado isso por níveis de acesso do usuário. Toda a vez que o equipamento for reiniciado volte a uma configuração padrão determinada pelo departamento de segurança de TI da universidade. 6.4 Gerenciamento da segurança Serviços de redes: Risco: Alto Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reuniãocom o conselho gestor. 20 Gerenciamento dos serviços de rede como: controle de acesso, limitação de horários para utilização dos serviços de rede, limitação de banda larga para downloads, detecção de intrusos, autenticação de usuários, troca de regular de senhas dos aparelhos de rede. O usuário tem a total responsabilidade do seu acesso aos equipamentos da instituição, caso dados importantes do usuário sejam expostos à rede publica a instituição não terá responsabilidade sobre o ocorrido. 6.5 Manuseio de mídias Removíveis: Risco: Médio Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. O uso de mídias removíveis (CDs, Hard-drivers, Pen-Drivers, etc...), será inteiramente bloqueado a equipamentos com acesso restrito que forneçam dados da instituição e pessoais de acadêmicos e funcionários. Quando a necessidade de acesso a esta maquinas deverá ser efetuada uma autorização por meio de protocolo mantendo o registro como trilha de auditoria. 6.6 Monitoramento: Risco: Alto Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Devem ser mantidos registros (log) de usuários e funcionários, registro de falhas para assegurar que os problemas e incidentes de segurança sejam identificados. Estes registros precisam ser mantidos por um período de tempo para auxiliar futuras investigações caso necessário. Nos registro deverá constar: Usuário logado, data e hora, arquivos acessados, identidade do terminal, configuração do sistema. Identificado usuário que causou problemas ou violação das políticas de segurança, acarretara na demissão (Em caso Funcionário) ou expulsão (Em caso Acadêmico). 7. CONTROLE DE ACESSOS Tratativas de regulamentação segundo: Giovani Raci Paganini. 7.1 Controle de acesso aos servidores – Risco: alto Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Pessoas autorizadas tem acesso às maquinas para manutenção e utilização. 21 O usuário é totalmente responsável por sua senha e deve substituí-la conforme determinado. O registro deve ser realizado remotamente, gerando um log de tudo o que é feito nessas máquinas e por qual usuário. Pessoas não autorizadas tem o acesso proibido, exceto quando estiverem acompanhadas de pessoas autorizadas. É de responsabilidade de a segurança garantir que não haja vulnerabilidade para evitar ataques. Para os casos em que for evidenciado quebra na segurança, os responsáveis pela segurança serão alertados por escrito a respeito. 7.2 Controle de acesso às maquinas de fora da UNOESC – Risco: alto Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Os responsáveis pela rede devem informar a necessidade do bloqueio externo a quem pretender acessar. A rede deve estar configurada para acesso remoto e deve requerer a autenticação às maquinas para conexões advindas de redes da própria UNOESC e registrar esses acessos em logs. Acessos provenientes de outras redes são proibidos. E de responsabilidade da empresa de segurança (Contratada), fazer com que as normas sejam cumpridas. Toda a conexão as maquina, devem ser realizadas somente dentro das redes da universidade. Caso haja o descumprido e com isso gerem problemas, ou seja, evidencia do apenas o descumprimento, os responsáveis serão advertidos. 7.3 Controle de acesso por usuário nas maquinas locais, gerando log. – Risco: médio. Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Funcionários e alunos da instituição tem acesso à rede com cabo e sem fio, tanto utilizando maquinas disponibilizadas, quanto em maquinas pessoais utilizando seu usuário e senha. Quem utilizar a rede deve respeitar as regras impostas. O usuário e senha são de total responsabilidade do usuário. Não é permitido o acesso à rede para uso pessoal. Sites que são comumente utilizados com intuitos diferentes desses são bloqueados (Mais informações em 6.6). 22 Não é permitida a autenticação em duas maquinas com o mesmo usuário ao mesmo tempo. Caso isso ocorra à primeira maquina tem a conexão desconectada. Caso algum funcionário utilizar a rede e acessar informações não permitidas, o mesmo será advertido verbalmente. Caso haja descumprimento por acadêmico, sua rematrícula ficara bloqueada ate que o mesmo assine o termo de que esta ciente da política de utilização da rede da instituição, e caso haja reincidência poderá ter o acesso bloqueado pelo tempo determinado pela comissão responsável. 7.4 Controle de acesso nas bibliotecas – Risco: baixo. Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Os alunos podem utilizar dos computadores dispostos nas bibliotecas para realização de pesquisas de livros disponíveis além de reservar os que não estão disponíveis. Porem não há necessidade de autenticação para utilizar estes recursos. É proibido o uso para fins que não sejam o de busca e reserva de livros. Quando burlado o uso das maquinas para um fim não determinado, os responsáveis serão punidos conforme decidido pela comissão. 7.5 Controle de acesso (perfis) – Risco: alto. Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Alunos e funcionários podem utilizar-se da internet da universidade, desde que possuam um login e senha de acesso. Os usuários são separados por perfis de acesso, onde cada perfil determina o que o usuário pode acessar, horários e dias. Um usuário pode ter seu perfil alterado caso necessário. Nenhum usuário pode fazer autenticação com as informações de outra pessoa, considerando-se que o usuário da rede é o responsável por tudo que venha a ocorrer com seu usuário. Não existem punições diretamente ligadas para o descumprimento deste. 7.6 Controle de acesso com utilização de etiquetas – Risco: baixo. 23 Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Todos que frequentam as dependências da universidade devem possuir um cartão de identificação que contem os dados da pessoa e um código de barras. Este controle garante que ocorra algum incidente de segurança com o equipamento de algum aluno ou funcionário. Os equipamentos devem ser registrados e adesivados com um código de barras que identifique o equipamento. Todos os notebooks, netbooks e tablets devem ter seu cadastro obrigatório. Ao entrar e sair das dependências da universidade, o aluno ou funcionário deve entregar seu cartão e mostrar os equipamentos para que os seguranças possam utilizar de um sistema para conferir se o usuário é realmente dono do equipamento. Os seguranças também devem revistar mochilas, malas e afins. 8. AQUISIÇÃO, MANUTENÇÃO E DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO. Tratativas de regulamentação segundo: Giovani Raci Paganini. 8.1 Prevenir a ocorrência de erros: Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Incorporar nas aplicações checagens de validação com o objetivo de detectar dados que podem estar corrompidos einformar isso no e-mail de todos os responsáveis todos os dias, enquanto o problema não for solucionado. Os responsáveis devem registrar todas as ocorrências de erros e quando determinado que o problema ocorreu por falha humana este será repassado para o responsável geral pela segurança para que este tome as medidas cabíveis. No caso da descoberta de que o incidente de segurança ocorreu por negligencia de algum funcionário o mesmo será responsabilidade segundo o que o responsável geral definir. 8.2 Proteger os dados e a integralidade de informações por meios criptográficos: Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. 24 Devem ser criados métodos criptográficos nos casos em que as informações devem permanecer seguras, baseando-se nas chaves criptográficas e certificados digitais. Cada pessoa que tenha acesso a informações restritas devem possuir um certificado digital para criptografar as informações. Quando alguém se desliga da instituição seu certificado deve ser imediatamente revogado e todas as informações anteriormente geradas devem ser analisadas e então armazenadas por um período mínimo de 5 anos para uma possível auditoria. 8.4 Garantir a segurança de arquivos de sistemas: Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Todos os arquivos de sistemas devem possuir estes itens de segurança: Dois backups ao mínimo, Logs de modificações no BD que não as comuns; Disponibilidade ao código fonte a apenas os programadores dos sistemas, Proteger as informações dos sistemas em maquinas fora da instituição Armazenar dados temporários em partição separada. 8.5 Prevenir a ocorrência de erros, perdas, modificações não autorizadas. Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Utilizar ferramentas que conferem e corrigem tabelas e informações dos bancos de dados de sistemas quando o mesmo for iniciado. Não permitir modificações em informações que são sensíveis, e quando isso ocorrer uma copia do arquivo original deve ser mantida em uma pasta e removida manualmente apenas pelo pessoal autorizado. Diariamente devem ser verificadas as consistências dos sistemas e testadas todas as modificações. Quando ocorrer a disponibilidade de uma nova ferramenta utilizada pelo sistema, mesmo um sistema operacional, é obrigatório testar todas as funcionalidades do mesmo antes de autorizar atualizações destas ferramentas. 8.6. Procedimentos para modificação de softwares Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de uma reunião com o conselho gestor e o pessoal da área de TI. Devem ser seguidas etapas de testes de software para que a versão nova seja aprovada, sendo necessário registrar informações em todas as etapas, que são: Teste unitário: Aplicado em menores componentes de código; 25 Teste de integração: Testa-se a integração entre partes do software, as dependências entre as unidades de componentes; Teste de sistema: Os testes devem ser executados por profissionais de teste; Teste de aceitação: Os testes devem ser executados pelos usuários finais. Caso seja detectado incidente de segurança no software, deve ser negada a aceitação e testado novamente quando o erro for concertado. 9. GESTÃO DE INCIDENTES DE INCIDENTES DA SEGURANÇA DA INFORMAÇÃO Tratativas de regulamentação segundo: Leonir Clen. 9.1 Caso ocorra invasão do sistema: Deverá ser identificado o responsável, e em no máximo 12 horas devera ser feito um boletim de ocorrência para posteriores ações. Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 9.2 Caso ocorra, de alguma forma, exposição de dados confidenciais de alunos, professores ou outro funcionário: Deverão imediatamente serem desligados os equipamentos pra evitar danos maiores. Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 9.3 Caso ocorra danos na estrutura física do servidor principal, por incêndio ou por causas naturais: O primeiro procedimento será identificar se existe a possibilidade de salvar os equipamentos, em seguida acionar órgãos responsáveis, bombeiros ou defesa civil. Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 9.4 Caso ocorra uma invasão da área onde esta o servidor, por pessoas não autorizadas: O individuo não poderá sair da instituição portando, pen drive, CD, DVD, HD Externo, ou qualquer outra forma de equipamento que possibilite a passagem de dados. O mesmo responderá perante a instituição por seus atos. 26 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 9.5 Ocorrendo modificações no sistema, sem o conhecimento, instruções ou consentimento prévio da instituição, tornando o sistema vulnerável: O responsável será penalizado de acordo com as regras da universidade. Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 9.6 Caso ocorra uma pane técnica, em que incida indisponibilidade, em qualquer equipamento de T.I, computadores ou servidores: Deverá ser automaticamente detectado onde ocorreu o problema. Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 10. GESTÃO DA CONTINUIDADE DO NEGÓCIO Tratativas de regulamentação segundo: Leonir Clen. 10.1 Se durante uma invasão o sistema for prejudicado ou removidos os dados do servidor: Deverá imediatamente haver troca de servidor com backups dos dados. Período de duração e planejamento: Caso não atenda a necessidade para continuidade do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 10.2 Se terceiros tiverem acesso aos dados confidenciais expostos acidentalmente, causando a falta de Confidencialidade do sistema. Os prejudicados deverão ser indenizados pelo ocorrido. Período de duração e planejamento: Caso não atenda a necessidade para continuidade do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 10.3 Em caso de não haver a possibilidade de salvar os equipamentos do servidor principal: Um segundo servidor, onde nele estão todos os dados do principal feitos por backup, devera ser ativado. Período de duração e planejamento: Caso não atenda a necessidade para continuidade do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 27 10.4 Em caso de ter ocorrido uma invasão na área restrita do servidor: Deverá ser feito uma inspeção, para verificar se ouve ou não danos a software ou hardware. Período de duração e planejamento: Caso não atenda a necessidade para continuidade do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 10.5 Em caso de ter ocorrido umamodificação, prejudicando a integridade do sistema, sem consentimento da universidade: Deverão ser reparadas todas as partes do sistema independente de ter sido modificado ou não, isso por precaução, por possíveis prejuízos causados. Período de duração e planejamento: Caso não atenda a necessidade para continuidade do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 10.6 Em caso de ter ocorrido algum tipo de pane técnica, em que incida indisponibilidade em algum equipamento: O mesmo deverá imediatamente entrar em manutenção ou ser substituído. Período de duração e planejamento: Caso não atenda a necessidade para continuidade do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 11. CONFORMIDADE Para garantir a inexistência de não conformidades é necessário que este estatuto seja seguido à risca. Além do que já foi anteriormente citado, abaixo são relatados mais 6 tópicos mais específicos à conformidade. Toda não conformidade deve ser registrada e cobrada uma solução na próxima auditoria. Em casos em que a não conformidade persiste, deve-se encaminhar o relatório ao chefe da segurança de TI. 11.1 Direitos autorais de software Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. 28 Para estar em conformidade é necessário emitir padrões para procedimentos de aquisição de produtos de software, manter atenção sobre a política de aquisição e de direitos autorais de software e notificar a intenção de tomar ações disciplinares contra colaboradores que violarem essas políticas para evitar incidente de segurança. 11.2 Privacidade da informação pessoal Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Todos os dados dos usuários são armazenados e feitos backup para uso da universidade, além de que é armazenado informação do que ele faz na internet. Essas informações são de uso exclusivo da UNOESC e assim deve permanecer. Desta maneira devem-se considerar esses dados como sendo confidencias e aplicar praticas de segurança conforme especificado nesta norma para evitar incidente de segurança. 11.3 Proteção das ferramentas de auditoria de sistemas Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. A função da auditoria de sistemas é promover a adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos em qualquer um dos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. Por esse motivo, faz-se necessidade que seja mantida uma politica rígida para manter essas ferramentas de auditoria seguras e autenticas. 11.4 Conformidade com Requisitos Legais Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Deve-se definir uma estrutura que atenda aos principais requisitos legais para a atuação da área de TI. Requisitos legais são as leis e regulamentos que devem ser seguidos pelas organizações. 11.5 Proteção de informações e dados Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. 29 Os dados considerados restritos devem ser protegidos contra ataque, roubo, perda ou qualquer outro meio que possa prejudicar os mesmos. Para que isso ocorra é necessário seguir este estatuto, principalmente os capítulos que se referem ao controle de acessos e segurança do ambiente físico. 11.6 Prevenção do mau uso dos recursos disponíveis Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de uma reunião com o conselho gestor. Mesmo havendo bloqueio para garantir incidentes de segurança, são necessários que sejam informados e orientados os usuários sobre o uso correto dos recursos que possuem. É obrigatório informar a cada usuário a causa da correta utilização dos recursos disponíveis. 30 GLOSSÁRIO DA POLÍTICA Log: uma expressão utilizada para descrever o processo de registro de eventos relevantes num sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em sistemas computacionais. BD (Banco de Dados): Armazenamento de dados de forma ordenada, objetivando controlar a existência de duplicidade nas informações e facilitando o acesso às informações armazenadas. Acesso remoto: acesso, por meio de uma rede, aos dados de um computador fisicamente distante da máquina do usuário. Certificado digital: Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes à entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente à chave privada que se acredita ser de posse unicamente da entidade especificada no certificado. Conduíte: Tubo de ferro ou plástico, rígido ou flexível, usado em instalações elétricas para passagem de fios condutores de energia.
Compartilhar