POLTICA DE SEGURANA EM TI

A Informao o patrimnio mais precioso que as Empresas possuem, por essa razo, desenvolver, aplicar e manter uma Poltica de Segurana fundamental. Uma informao incorreta circulando dentro da Organizao ou o vazamento de assuntos confidenciais podem causar um desastre de propores irreversveis, tanto no aspecto financeiro como na imagem da Empresa. Seria importante desenvolver o que ns da G2TI denominamos de Permetro de Segurana, a linha que delimita as fronteiras internas e externas, onde a informao deve ficar protegida. A Proteo est diretamente vinculada aos privilgios de acesso, armazenamento e distribuio da Informao. Nveis de acesso, privilgio e autorizaes devem ser claramente definidos nesta poltica. Na maioria dos casos, dever ser nominal, determinando especificamente, qual o profissional interno da Empresa que pode utilizar a Informao, em procedimento bem claro. Quando falamos em Segurana, nos vm mente as senhas (Cadeia de caracteres que autoriza o acesso a um conjunto de operaes em um sistema de computadores ou em equipamentos computadorizados), para autorizar os acessos, quer seja fsico (entradas, sadas), ou lgico (sistemas, arquivos). A Tecnologia de Segurana est cada vez progredindo mais na busca da melhor forma de proteo. Sistemas de Vdeo monitoram e gravam a circulao de pessoas. Sistemas de biometria permitem acesso atravs da validao da impresso digital ou da ris. Novos conceitos so amplamente discutidos ultrapassando a rea de TI, indo principalmente para a rea jurdica, para que se evite o excesso de controle e no se atinja a privacidade do cidado. Um tema muito debatido o e-mail das pessoas que trabalham nas Empresas.H vrias perguntas devem ser monitorados uma delas, pois, cada endereo de e-mail tem ao seu final o nome da Empresa, bem como a utilizao do e-mail particular, nas dependncias da Empresa, pois, a ele pode ser anexado algum documento eletrnico que somente deva ser utilizado dentro da Organizao. So vrios os componentes que devem ser analisados e definidos no Permetro de Segurana. Contedo da Poltica de Segurana A Poltica de Segurana deve conter todas as medidas de administrao da Informao da Empresa, recomendado que seu desenvolvimento seja realizado por um grupo neutro, isento, externo e competente. Abrangncia O seu contedo deve ser extremamente abrangente, totalmente adequada ao negcio. Esta abrangncia deve ir alm das fronteiras da Empresa, deve contemplar: a Matriz, as Filiais, os Bancos, os Clientes, os Fornecedores, os Parceiros, os Beneficiados, os Concorrentes, as Unidades de Negcio, o Governo, os Representantes e a Comunidade como um todo. As questes regionais devem ser previstas. Multinacionais com presena em diversos pases devem verificar as leis e padres do Pas em que esto sediadas, pois estas podem, em tese, interferir na Poltica de Segurana. Aps a definio dos componentes da Poltica de Segurana, devem ser pesquisados regionalmente os recursos de Tecnologia (equipamentos, sistemas, procedimentos), que compem a infraestrutura necessria para a viabilizao dessa Poltica. Usurios habilitados A rea de Recursos Humanos imprescindvel para manter o controle sobre os usurios nos aspectos de sua capacitao. O usurio deve ser qualificado, a fixao do conhecimento adquirido dever, ser realizado atravs de reciclagens ou treinamentos. O conceito de usurio (Cada um daqueles que usam ou desfrutam alguma coisa coletiva, ligada a um servio pblico ou particular); passvel de habilitao tambm deve ser definido, considerando-se que existem profissionais na Empresa que ainda no esto qualificados para tal, uma vez que esse trabalho especfico, exige muita responsabilidade. Os Estagirios so um exemplo, eles ainda no podem ser considerados como profissionais efetivos da Empresa. O usurio deve ser identificado pelo seu nome, cada acesso deve ter o registro de todas as suas aes e jamais as senhas devem ser divulgadas entre os usurios, bem como, alteradas periodicamente, isto j dever ser automatizado. Deve existir um Termo de Responsabilidade para cada usurio assinar, concordando com o respeito Poltica de Segurana vigente. Caso algum possa vir a infringir s normas de Segurana, a demisso por Justa Causa poder vir a ocorrer. Para evitar essa possibilidade, a Poltica de Segurana dever vir a ser amplamente divulgada entre os usurios, bem como treinamentos devem ser realizados. Apoio e suporte No os ter, serem precrios ou desestruturados porta aberta para o risco. Caso no existam, o usurio poder incorrer em erros, e se no houver reciclagem e treinamento, a situao poder se tornar conflitante. Estruturar o apoio acima significa ter um Help Desk que funcione, apie em primeiro nvel e transfira para um profissional mais preparado caso a necessidade seja mais grave. Todo o registro, desde a solicitao at a soluo final deve ser mantido. Anlises peridicas devem ser realizadas nestes registros, para conhecimento dos pontos vulnerveis e a tomada de aes pro-ativas e corretivas. Redes Interna e Externa Os Arquivos departamentais devem ser acessados somente pelo grupo de trabaho autorizado. Esta uma regra de segurana que identifica ilhas departamentais. Acesso com tentativas indevidas devem resultar no bloqueio de login, e as recorrncias investigadas.

A G2TI uma empresa integradora e provedora de Gesto e modelos de Governana em Tecnologia de Informao abrangendo as reas de Infraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED Gesto Eletrnica de Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br

A estruturao das senhas deve ser determinada, deve-se evitar nmeros de documentos, as datas de nascimento, as repeties de seqncia de digitos, para evitar ao mximo sua deduo. Sistemas aplicativos S os usurios autorizados podem acessar as funcionalidades e mdulos a eles determinados, ou seja, somente os que j os tenham determinado e j estejam integrados ao seu perfil de atuao na empresa. A identificao do usurio ocorre pelo monitoramento e pelo que j foi processado e registrado. Acesso Fsico Somente pessoal autorizado pode entrar no local onde esto os servidores e equipamentos de comunicao. Pessoas que cuidam da limpeza devem receber acompanhamento e orientao na prestao de servios, pois os produtos de limpeza ou a gua podem queimar os equipamentos. Produtividade do Trabalho A produtividade no trabalho normalmente evitada com bloqueio aos entretenimentos, isto realizado com a remoo caso existam, e ao bloqueio na instalao de jogos, acesso pginas imprprias, que podem conter os chamados Cavalos de Tria, que so vrus ou programas maliciosos (cookies), podendo trazer consigo e instalando programas piratas, que realizaram monitoramento empresarial. Profissionais em trnsito O nvel de proteo dos equipamentos mveis deve se o melhor. O ideal seria que estivessem presos s mesas de trabalho atravs de cabo com cadeado. O acesso configurao do equipamento deve ser protegido por senha, assim como, o acesso s informaes. Um dos critrios adotado por ns, realizar a criptografia com software adequado. A biometria muito utilizada nestes equipamentos, assim como cartes (smart cards), que possuem senhas variveis e sincronizadas com Provedores externos (ISP Internet Service Providers). Acesso remoto Os computadores de mesa (desktops) devem ter sua configurao de modens

realizada por profissionais autorizados, pois, atravs do ramal telefnico podem ser ligados e acessados remotamente, por softwares apropriados. Pode utilizar-se os equipamentos de proteo (firewall), que tambm permitem acesso a rede pela Internet ou no. Somente os clientes, os fornecedores, ou outros profissionais autorizados, todavia sempre com monitoramento constante. Concesso de uso de programas Os programas instalados devem ter correspondncia com as atividades do negcio, somente programas autorizados pelos fabricantes para cada cpia ou para cada licena de uso devem ser instalados. A Poltica de Segurana deve ser bem clara quanto proibio de programas tipo: FREEWARE, SHAREWARE e ADDWARE. Processo de homologao A escolha de produtos de TI deve ser realizada atravs de um processo de homologao, considerando a sua real adequao s necessidades do negcio da Empresa. Adquirir tais produtos e/ou servios, sem um proceso de homologao, pode acarretar em possveis investimentos desnecessrios ou inadequados. Critrios para a escolha devem considerar padres de qualidade em seu funcionamento, suporte do fornecedor e a rspectiva de vida do mesmo. e-Business O comrcio eletrnico, as compras ou at mesmo o recebimento de e-mail, devem ser alvo de extrema segurana. Atravs deles podem entrar desde os virus j referidos, bem como os como hackers,, destruindo ou propagando informaes sigilosas. Projetos Novos programas, novas funcionalidades ou at mesmo em alteraes de sistemas em plena atividade, devem passar por uma quarentena, similar a das matrias primas recebidas dos fornecedores, as quais, aps testes e avaliaes, so colocadas para a produo. Um programa contendo um erro pode repercutir em novo erro na informao armazenada, sem falar na total distoro no gerenciamento da Organizao.

Proteo eltrica A rede eltrica assim como a rede de dados deve ter aterramento e total independncia. Protetores, nobreaks devem existir, evitando prejuzo no investimento e/ou paralisao do negcio. Disponibilidade Paradas na rede ou no servidor devem ser evitadas, com um forte gerenciamento pro -ativo, atravs de produtos existentes no mercado gerenciadores do processamento e da rede (fsica). Redundncia de processadores e de disco em uma ligao cluster,so alternativas usadas para evitar a paralisao. As informaes devem ser copiadas (backups) diariamente e guardadas em local distante de preferncia em cofres que protejam contra fogo. O nvel mximo de segurana a contratao de sites externos, pois em caso de desastres o processamento estar a salvo, podendo continuar sendo executado. Alertas dos sistemas (operacional, aplicativos e equipamentos) devem ser sempre checados, pois via de regra, preconizam uma futura paralisao. Integridade das informaes A Manuteno no Banco de Dados tem o objetivo de manter o sincronismo e apurar rupturas na integridade, devem ser realizadas sistematicamente. Padronizao Padro em todos os sentidos facilita a administrao. Pastas de arquivos, sistemas padronizados, fornecedores homologados, existncia de documentao so fatores vitais de sucesso. Manuteno e Atualizao Manter as atualizaes ou correes de aplicativos, sistemas operacionais disponibilizadas pelos fornecedores evita transtornos. Uma forte parceria com estes fornecedores deve ser realizada, a maioria destas atualizaes encontra-se disponvel na Internet. A Origem e o destino das Informaes Trocar informaes com Pases ou grupos extremistas de procedncia no aceita pelos organismos internacionais no deve existir. Isto pode qualificar a Organizao como simpatizante desses, ou ainda, acarretar embargos ou investigaes e processos Internacionais.

A G2TI uma empresa integradora e provedora de Gesto e modelos de Governana em Tecnologia de Informao abrangendo as reas de Infraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED Gesto Eletrnica de Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br