Você está na página 1de 13

Políticas de Segurança e Uso

Gerência de Redes de Computadores - Prof. Erasmo

Alan de Carvalho Ribeiro


Edgar Alberto
Leandro Gaio

7º Período
Sistemas de Informação

Lavras – MG
1
Índice

1.0 - Introdução ........................................................................................................... 3

2.0 - Controles Lógicos ............................................................................................... 3

2.1 - Política de Senha .................................................................................... 4

2.2 - Logs de Auditoria .................................................................................... 5

2.3 - Identificação e autenticação de Usuários ............................................... 5

3.0 - Segurança Física ............................................................................................... 6

4.0 - Política de Segurança e Uso .............................................................................. 6

5.0 - Plano de Contingência ....................................................................................... 11

6.0 - Conclusão .......................................................................................................... 12

7.0 - Referências Bibliográficas ................................................................................. 13

2
1.0 - Introdução
A Política de Segurança e Uso é um conjunto formal de regras que devem ser seguidas
pelos utilizadores dos recursos de uma organização. Ela gera um documento onde a instituição se
resguarda de processos penais por mau uso das ferramentas oferecidas pela instituição, pelo
usuário, além de concientizar o mesmo do funcionamento e uso das tecnologias e estabelecer
normas e procedimentos que visam garantir a segurança da informação, bem como penalidades
recebidas pelo não cumprimento das mesmas.

O Documento da Política Interna de Segurança e Uso da Informação, ou Termo de Uso,


deve ser elaborado levando em conta todos os recursos computacionais existentes na empresa,
não somente e-mail e internet, que comumente são os mais utilizados e mais lembrados pelos
Administradores de Rede. Esse documento deve considerar também recursos como o
compartilhamento de arquivos, instalação de softwares diversos, uso do hardware, senhas e
outros.

A política de segurança deve ser elaborada considerando:

A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário


necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.

A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.

A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.

A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e


este ter condições de analisar a identidade do sistema.

A Confidencialidade: dados privados devem ser apresentados somente aos donos dos
dados ou ao grupo por ele liberado.

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar
políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards
Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar
a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a
primeira, ISO 27001, foi publicada em 2005.

Para a implementação de uma boa política de segurança e uso, devemos também analisar
tópicos como: Política de Senhas, Planos de Contingência, Logs de Auditoria, etc, devem ser
levados em conta. Trataremos um a um a seguir.

.
2.0 - Controles Lógicos

São barreiras que impedem ou limitam o acesso a informação que encontra-se em


ambiente controlado, geralmente eletrônico, e que de outro modo, ficaria exposta a alteração não
autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

Mecanismos de criptografia: Permitem a transformação reversível da informação de


forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma
chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma
sequência de dados criptografados. A operação inversa é a decifração.

3
Assinatura digital: Um conjunto de dados criptografados, associados a um documento do
qual são função, garantindo a integridade do documento associado, mas não a sua
confidencialidade.

Mecanismos de garantia da integridade da informação: Usando funções de "Hashing"


ou de checagem, consistindo na adição.

Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls,


cartões inteligentes.

Mecanismos de certificação: Atesta a validade de um documento.

Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido


contra a personificação por intrusos.

Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de


um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema,
enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade
daquele sistema.

Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam


alguns dos mecanismos citados aqui

Existe atualmente um elevado número de ferramentas e sistemas que pretendem fornecer um


certo nível de segurança. Temos como exemplos: detectores de intrusões, anti-vírus, firewalls,
firewalls locais, filtros anti-spam, fuzzers, analisadores de código, entre outros.

2.1 - Política de Senha


Para que possa ser implementado um certo nível de controle de acesso lógico, podemos
utilizar autenticação do tipo login e senha. Uma boa senha pode garantir a segurança de suas
informações, porém, a recíproca é verdadeira. Segue abaixo, regras que devemos utilizar para
melhor criar nossas senhas.

> A senha deve ser formada por, no mínimo, 8 caractéres.

> Deve-se intercalar letras maiúsculas, minúsculas e números.

> A utilização de caracteres especiais tais como @, !, %, #, é bastante aconselhável.

> Recomenda-se não utilizar palavras de dicionário.

> Não utilizar sequências lógicas tais como: 123, 321654, 123456, 111, 333, entre outras;

> Não utilizar sequências de dados pessoais tais como: datas de aniversário; número de
cpf, identidade, matrícula, entre outros.

> Não utilizar nomes de pessoas, animais, filmes, objetos, entre outros.

> Não utilizar sequências já manjadas como: admin, adminadmin, 123admin, master,
default, entre outros.

> Alterar a senha com uma certa frequência. A frequência levará em conta o grau de
importância e vulnerabilidade das informações inseridas nos mais variados ambientes.

4
> Lembrar sempre, que a senha é uma informação totalmente confidencial e intransferível.

Uma vez que tais recomendações forem seguidas, não haverá com o que se preocupar à respeito
de violações e quebras de senha.

2.2 - Logs de Auditoria

A auditoria de segurança é extremamente importante para qualquer sistema corporativo,


uma vez que os logs de auditoria podem constituir a única indicação de que ocorreu uma violação
de segurança. Se você descobrir uma violação de uma outra maneira, configurações de auditoria
adequadas geram um log de auditoria que contém informações importantes sobre a violação.

Um logon de auditoria registra uma entrada toda vez que os usuários realizam ações que
podem ser especificadas. Por exemplo, a alteração de um arquivo ou de uma diretiva pode acionar
uma entrada de auditoria. A entrada de auditoria mostra a ação realizada, a conta de usuário
associada, e a data e hora da ação. Você pode auditar tanto as tentativas de ações bem–
sucedidas como as falhas.

Em um computador, o estado do sistema operacional e dos aplicativos é dinâmico. Por


exemplo, pode haver a necessidade de alterar os níveis de segurança temporariamente, para
ativar a resolução imediata de uma questão administrativa ou de rede; geralmente, tais alterações
são esquecidas e nunca são desfeitas. Isto significa que um computador pode não mais atender as
exigências da segurança corporativa.

Uma análise regular permite que um administrador rastreie e assegure um nível de


segurança adequado para cada computador como parte de um programa de gerenciamento de
risco corporativo. A análise se concentra em informações altamente específicas sobre todos os
aspectos do sistema relacionados à segurança. Isso permite que um administrador sintonize os
níveis de segurança e, o mais importante, detecte as falhas de segurança que podem ocorrer ao
longo do tempo no sistema.

Freqüentemente, os logs de falhas são muito mais informativos do que os logs de êxito,
uma vez que as falhas, geralmente, indicam um erro. Por exemplo, se um usuário faz um logon
bem–sucedido no sistema, isso seria considerado normal. Porém, se um usuário faz logon no
sistema sem sucesso por várias vezes, isso poderá indicar que alguém está tentando violar o
sistema usando o ID usuário de outra pessoa. Os logs de Evento registram os eventos no sistema.
O log de Segurança registra eventos de auditoria.

2.3 - Identificação e Autenticação de usuários

A Identificação e Autenticação de Usuário é vital para o processo de segurança das


informações. É através deste mecanismo que são definidos quem terá acesso às informações e de
que forma o acesso será feito às mesmas.

Existem diversas formas de se identificar, autenticar e autorizar os usuários de um sistema


ou rede, e atualmente os métodos de controle feitos por usuários e senhas já não são mais tão
eficientes, dependento do tipo de aplicação e informações.

Tradicionalmente e comumente, temos para controle de identificação e autenticação dos


usuários de rede, um servidor onde são guardadas todas as informações referentes aos usuários,
ou seja, para que o usuário seja autorizado a entrar na rede, o servidor autentica o cliente e
permite apenas os processos aos quais ele possui acesso. No Windows Server esse processo é

5
denominado como Active Directory, uma ferramenta que faz todo esse controle de segurança e
acesso.

Mas com as constantes evoluções da tecnologia, existem hoje diversas outras formas de
se identificar e autorizar os usuários. Podemos citar por exemplo o controle feito por cartões,
senhas variáveis de acordo com o horário e a biometria, que por sua vez oferece vários recursos
como a impressão digital, reconhecimento da íris, retina, geometria da mão, face entre outros.

O fato é que para obter a segurança de todas as informações com sucesso, é fundamental
que a Identificação e Autenticação dos usuários seja bem feita, definindo-se os grupos de acessos,
controles de acessos, permissões em processos que cada usuário ou grupo deverá ter dentro de
um sistema dentre outros, e deve sempre ser bem elaborado de acordo com cada necessidade.

3.0 - Segurança Física

A Segurança Física é tão importante quanto a segurança lógica, pois todos os dados da
empresa estão armazenados em um local físico. Em muitos casos a Segurança Física cai no
esquecimento dos Administrados de Rede, o que pode trazer grandes dores de cabeça ao mesmo.

Imagine, por exemplo, se o Administrador da Rede imunisa todo o seu ambiente lógico de
invasões e ataques externos, porém um raio atinge a rede elétrica da empresa e queima o HD do
servidor e não existe nenhum backup do HD. Seria inválido todo o esquema de segurança contra
invasões.
Para que a Segurança Física seja eficiente, devem ser feitos backup’s, no mínimo
diariamente, de todo o sistema armazenado em um HD em outra máquina que esteja localizada em
outro prédio separado fisicamente.

Vale ressaltar também as condições climáticas do ambiente localizado os servidores. A


climatização interfere diretamente na performance e durabilidade das máquinas, a temperatura
ideal varia de cada ambiente, mas nunca maior do que 21º.

O sistema de backup de energia elétrica também é muito importante para a segurança dos
dados, pois qualquer falha de energia pode gerar queima de equipamentos e indisponiblização dos
serviços. O ideal é que cada servidor tenha um nobreak dedicado e a empresa tenha ainda um
gerador alteranativo de energia, pois caso o problema da falta de energia for externo pode demorar
o reestabelecimento, e os nobreaks tem suas limitações de tempo.

Outro ponto importante é a restrição de acesso ao Data Center ou CPD. Deve ser evitado o
trânsito de pessoas não responsáveis pelo gerenciamento, e ser monitorado por câmeras de
segurança vigiando 24 X 7.

Todo o esquema de segurança física dos dados deve ser adequado à cada empresa, pois
depende do tamanho e necessidade particulares da mesma. O fato é que a Segurança Física dos
dados é um assunto muito importante, e não adotar essa política certamente trará grandes
problemas para a empresa.

4.0 - Política de Segurança e Uso

Segue um exemplo de política de uso e segurança:

6
INFORMAÇÕES PRELIMINARES

Esta Política - supervisionada e aprovada pela DIRETORIA da Empresa - estabelece


regras para a utilização dos EQUIPAMENTOS E RECURSOS DE INFORMÁTICA do EXPRESSO
NEPOMUCENO S.A., a fim de aumentar a segurança de nossos dados, garantir a durabilidade dos
equipamentos de informática e disciplinar a utilização correta de e-mails e Internet.

• Os recursos de informática disponibilizados pela empresa não devem ser encarados como um
direito pessoal irrestrito. Eles são privilégios, concedidos aos colaboradores autorizados, para
execução exclusiva de tarefas inerentes às suas atividades profissionais.

• Computadores, impressoras, programas de computador, e-mails e acesso a internet, só serão


fornecidos aos Colaboradores da empresa, mediante solicitação, através do FORMULÁRIO DE
LIBERAÇÃO (Pg.5) emitido pelo responsável de cada área funcional e autorizado pelos
Diretores das áreas após avaliação e recomendação do Departamento de Informática.
POLÍTICA

1. Softwares profissionais - Em regra, todo computador, conterá SOMENTE os softwares


Padrão da Empresa, necessários para a execução das tarefas profissionais inerentes a cada
Setor e/ou Departamento. A necessidade de outro[s] aplicativo[s] deverá[ão] ser
apresentado[s] ao Gerente da área que encaminhará o pedido ao Departamento de Informática
para avaliação e recomendação ao Diretor da área, para aprovação e implementação. O
software desejado só será instalado depois que o Departamento de Informática receber
autorização de instalação através de e-mail no FORMULÁRIO DE LIBERAÇÃO. Em hipótese
alguma, o usuário deverá instalar qualquer software profissional não autorizado, alterar o
Desktop Padrão ou qualquer outro dispositivo que for definido como Padrão da Empresa.
2. Softwares pessoais ou gratuitos (Freeware) - Não é permitida a instalação de programas
por Cds particulares ou Downloads da internet sem autorização do Departamento de
Informática. Os programas autorizados serão registrados em sua ficha pessoal. A solicitação
de instalação deste tipo de Software poderá ser apresentada, pelo próprio usuário sempre e
somente via e-mail, através do FORMULÁRIO DE LIBERAÇÃO. A forma e a autorização de
instalação serão feitas via e-mail.

3. Não é permitido utilizar os recursos de internet através de acesso discado (conexão Via
Modem) não-autorizado pelo Departamento de Informática;

4. Não é permitido utilizar qualquer dos Recursos de Informática da empresa para fins ilegais;
mensagens ou fotos de conteúdo pornográfico, correntes, piadas, jogos, etc.

5. Os usuários são responsáveis por todo e qualquer uso de seu equipamento, assim como o
acesso a e-mails e internet. Isso inclui escolher senhas seguras, a feitura regular de Backups
de seus dados e garantir a proteção de seus arquivos contra vírus ou outro meio que possa
causar dano ao equipamento.

6. Uma senha segura deverá conter no mínimo 8 caracteres alfanuméricos (letras e números)
com diferentes caixas (maiúsculas e minúsculas). Exemplos:

 eSus6C8x
 9Ssgianc
 s3Nh45cd

Todas as senhas serão testadas diariamente pelo Departamento de Informática em busca de


fragilidades. Caso a senha seja classificada como insegura, o usuário responsável será
notificado e deverá alterar a senha.

7
A senha é pessoal e intransferível. Caso desconfie que a senha não seja mais segura, o usuário
deverá alertar o Departamento de Informática e alterá-la;

7. Não é permitido a utilização de email-s pessoais em horário de trabalho (bol.com.br. -


uol.com.br. - hotmail.com. etc.) Podendo ser abertos somente em horários de folga ou seja:
das 11:00hs às 13:00hs e das 18:00 às 20:00hs. - Ou em situações especiais, com autorização
de seu encarregado. Este nível de liberação precisa estar regularmente registrado pelo
Departamento de Informática.

8. Não é permitida a utilização do e-mail da empresa para enviar mensagens gerais que não
tratem de assuntos relacionados especificamente com o trabalho.
Colaboradores, Departamentos ou Gerentes que quiserem fornecer informações GERAIS
REGULARES, devem primeiro obter aprovação de seus Diretores, pelo FORMULÁRIO DE
LIBERAÇÃO. Somente após o recebimento da autorização, o Departamento de Informática
fornecerá por e-mail a liberação de determinado uso para um ou mais usuários.

9. Não reenvie e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec,


criança desaparecida, criança doente, pague menos por alguma coisa, propagandas, etc;

10. Ao responder a uma mensagem geral, certifique-se de enviá-la SOMENTE


para o REMETENTE e NÃO para TODOS DA EMPRESA. Um modo de GARANTIR que isso
seja feito sem falhas, é utilizar sempre o comando ENCAMINHAR na Barra de ferramentas e
digitar o endereço desejado.

11. Todo usuário deve estar ciente que suas ações, quanto ao uso dos recursos de e-mails e
internet, serão monitoradas periodicamente, especialmente nos casos em que exista suspeita
ou evidência do mal-uso desses recursos;

12. O uso do navegador da internet, assim como a comunicação através de e-mails do Expresso
Nepomuceno S.A. deverá ser utilizado única e exclusivamente para assuntos profissionais
inerentes a empresa;

13. Todo e qualquer e-mail infectado com vírus que não for detectado pelo Servidor de E-mail, e
sim pelo computador do usuário, deverá ser Apagado Imediatamente Inclusive da Lixeira;

14. Nos lugares em que isso ainda não é feito automaticamente pelo servidor, é de
responsabilidade de cada colaborador atualizar a cada 02 dias o antivírus no seu equipamento
ou quando isso for adicionalmente solicitado, cabendo ao Departamento de Informática
disponibilizar a versão atualizada na rede interna da empresa, ou através da Internet;

15. Não é permitido abrir qualquer e-mails ou baixar arquivos que contenha anexo (Attachement)
com extensões .exe, .pif, .bat, .src, .lnk ou .com. Em caso de dúvidas com outras extensões
estranhas, comunique-se IMEDIATAMENTE com o Departamento de Informática sobre o
recebimento desses, para que seja instruído sobre o que deverá ser feito;

16. É proibido o uso de ferramentas P2P (Kazaa, Morpheus, Napster, Shareaza, etc) e IM (Msn,
Yahoo messenger, etc) não homologados/autorizados pelo Departamento de Informática.

17. O acesso à internet será monitorado constantemente e o usuário poderá vir prestar contas de
seu uso.

8
18. O direcionamento de e-mails do domínio expressonepomuceno.com.br, para qualquer outra
conta de e-mail deste mesmo domínio ou qualquer outro domínio, somente poderá ser feita
com autorização expressa e por escrito da Diretoria Administrativa da empresa.
Outras Recomendações

• Evite enviar e-mails com tamanho superior a 500 Kb; para mais de um endereço eletrônico ao
mesmo tempo. Isso congestiona o sistema de e-mails podendo vir a travá-lo.

• Evite o envio de e-mails com anexos para não congestionar o sistema a menos que sejam
realmente necessários;

• Cabe a cada colaborador zelar pela conservação e limpeza de seu(s) equipamento(s).

• Cabe a cada Colaborador, usuário dos Recursos de Informática da empresa, imprimir assinar e
enviar para o Departamento Pessoal esta pagina com o Termo de Responsabilidade abaixo
devidamente preenchido.

Termo de responsabilidade:

Ao receber aprovação para utilizar Recursos de Informática, estou ciente da


responsabilidade que a atribuição exige, conforme a POLÍTICA DE UTILIZAÇÃO DOS
RECURSOS DE INFORMÁTICA DO EXPRESSO NEPOMUCENO S.A. Comprometo-me
a obedecer rigorosamente as normas estabelecidas e concordo que a não observância por minha
culpa ou negligência ao solicitado, conforme instrução escrita que me foi ministrada, implicará
nas sanções cabíveis, conforme artigo 482 da CLT que reza: "Constituem JUSTA CAUSA para
rescisão do contrato de trabalho pelo empregador: h) “ato de indisciplina ou de
insubordinação” que serão assim caracterizadas pela não observância desta política.

________________________ _______/_______/_______ ____________________________


Nome do Colaborador Data Assinatura do Colaborador *
FORMULÁRIO DE LIBERAÇÃO PARA RECURSOS DE
INFORMÁTICA & FICHA PESSOAL
* Esta assinatura implica na aceitação total e incondicional das normas aqui presentes.

Equipamento(s) Solicitado(s):
Nome do Colaborador envolvido:
Justificativa do Encarregado do Departamento:
Recomendação do Departamento de Informática.
Autorização (NOME) do Diretor da área:

9
Nível de liberação para Utilização dos Recursos:

LIBERAÇÃO APROVADA PELO DIRETOR DE CADA ÁREA

SOFTWARES Padrão da Empresa Data da Liberação:


1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

LIBERAÇÃO APROVADA PELO DEPARTAMENTO DE INFORMÁTICA

Liberação para uso de Softwares pessoais ou gratuitos (Freeware) Data da Liberação

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Autorização para Utilização de e-mails pessoais fora do horário de Data da Liberação:


Trabalho.

Autorização ESPECIAL para Utilização de e-mails pessoais em. Data da Liberação:


horário de Trabalho

Autorização para fornecer informações Gerais REGULARES. Data da Liberação:

1 - e-mail "matriz" e "empresa" liberado somente para gerentes e diretores.


Assuntos do departamento que algum colaborador ache necessário divulgar para
todos na empresa ou matriz, deverão ser encaminhados para o gerente da área
e na máquina deste gerente transmitir a informação;

10
5.0 - Plano de Contingência

Como qualquer outro segmento, as Tecnologias e Informações de uma empresa


necessitam de um Plano de Contigência, pois qualquer Sistema, seja de informações ou de
qualquer outro negócio, está sujeito a sofrer sinistros provocados por variaveis internas ou mesmo
externas, e sua elaboração é de responsabilidade do departamento de Tecnologia da Informação.

O Plano de Contingência deve ser elaborado embasado em: manter regularmente backups
das bases de dados; manter um 'site de contingência' sempre atualizado; possuir ferramentas
seguras para acesso aos dados remotamente para o caso da impossibilidade chegar até o prédio
da empresa (VPN ou acesso discado, por exemplo); ter cópias completas e atualizadas de
servidores vitais para o funcionamento da empresa (principalmente os que requerem muito tempo
para reconstituição); manter senhas em local seguro mas de fácil acesso a pessoas chaves da
empresa no caso de uma emergência.

Para leaboração de um Plano de Contingência que garanta mais a segurança de seus


dados, devem ser observadas as seguintes regras:

• Identificar todos os processos de negócio da organização;

• Avaliar os impactos no negócio, ou seja, para cada processo identificado, avaliar o


impacto que a sua falha representa para a organização, levando em consideração também
as interdependências entre processos. Como resultado deste trabalho será possível
identificar todos processos críticos para a sobrevivência da organização;

• Identificar riscos e definir cenários possíveis de falha para cada um dos processos
críticos, levando em conta a probabilidade de ocorrência de cada falha, provável duração
dos efeitos, conseqüências resultantes, custos inerentes e os limites máximos aceitáveis
de permanência da falha sem a ativação da respectiva medida de contingência.

11
6.0 - Conclusão
Conclui-se que, uma instituição que se preze possui uma boa política de segurança e uso
implementada. Visando a proteção de seus dados e equipamentos tanto por parte de usuários
maliciosos quanto por parte de catástrofes climáticas, entre outros. Lembrando que a recíproca é
verdadeira.

12
7.0 - Referências Bibliográficas

Wikipédia: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

Wikipédia: http://pt.wikipedia.org/wiki/Plano_de_Conting%C3%AAncia

SERPRO - http://www1.serpro.gov.br/publicacoes/tematec/PUBTEM61.htm

Microsoft: http://www.microsoft.com/brasil/security/guidance/topics/ameaca/secmod50.mspx

Expresso Nepomuceno S/A. Política de Segurança e Uso

13