Documento de Poltica de Segurana

Empresa: MDM Empreendimentos - ME. Tipo: Consultoria de RH. Estrutura da Empresa: Servios de consultoria e contabilidade, com estrutura funcional de 12 pessoas, e parte fsica de rede embutida e conexo de internet oi velox.

Introduo Em um cenrio de globalizao, as empresas utilizam e at mesmo dependem cada vez mais de recursos tecnolgicos para realizar negcios, desenvolver novos produtos, ou simplesmente permitir que a operao diria ocorra da forma mais eficiente possvel. Esta dependncia cada vez maior da informtica e das telecomunicaes para o sucesso das organizaes gera tambm, como consequncia, diversos novos problemas, principalmente com relao segurana dos recursos e informaes que esto disponveis nos sistemas e nas redes de computadores, visto que cada informao um objeto precioso da empresa num mundo de concorrncia acirrada e ataques constantes de pessoas maliciosas. A poltica de segurana um conjunto de diretrizes, normas e orientaes de procedimentos que visam conscientizar e orientar os funcionrios, clientes, parceiros, colaboradores e fornecedores para o uso seguro das informaes da empresa. Existem muitos fatores que podem definir se uma poltica de segurana da informao vai ser um sucesso ou no. Portanto devemos eliminar ou minimizamos suas vulnerabilidades, que so as fraquezas que podem ser violadas em um sistema, ou as informaes ali contidas.

Objetivos de uma Poltica de Segurana

O principal objetivo de uma poltica de segurana informar aos usurios, funcionrios e gerentes de seus requisitos obrigatrios para proteger a tecnologia e os ativos de informao. A poltica deve especificar os mecanismos de atuao, atravs dos quais estes requisitos podem ser atendidos. Outro objetivo consiste em fornecer uma base a partir da qual devemos adquirir, configurar e auditar sistemas de computadores e redes para o cumprimento da poltica.

Documento da Poltica de Segurana A elaborao de uma poltica de segurana da informao uma tarefa complexa e trabalhosa. Devido a alguns fatores como, monitoramento contnuo, revises e atualizaes peridicas e seus benefcios, muitas das vezes s sero notados a um mdio ou longo prazo. Mas com a situao atual do mundo dos negcios onde se tem o crescimento do uso de tecnologias, para diminuir custos e aumentar a produtividade, com sistemas cada vez mais interligados. Cria-se ento a necessidade de tornar esta tecnologia segura e confivel. A primeira coisa a ser feita a criao de uma comisso composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comisso maior ser a divulgao das diretrizes de segurana na empresa, ou um administrador geral, que tenha conhecimento na ambincia da empresa e TI. Depois necessrio definir quais os informaes e acessos e autorizaes na empresa devem ser protegidos e principalmente, qual o nvel de segurana e permisses que usurios internos e externos podem ter. Esta analise dos riscos de cada informao deve considerar o impacto no negcio causado por uma falha de segurana e a probabilidade de

ocorrncia desta falha. Outro ponto da periodicidade de atualizao do risco para a informao em sua confidencialidade, autenticidade e vulnerabilidade. Atravs desta analise possvel definir quais aspectos de informaes precisam ser mais protegidas e consequentemente onde ser empregado mais recursos e protees, lembrando que o custo da proteo da informao no deve ser maior que o valor financeiro da informao ou o impacto causado por uma falha de segurana. Ameaas que exploram vulnerabilidades em aplicativos corporativos, interceptam dados confidenciais enviados por canais de comunicao inseguros e conexes de dispositivos de hardware rede com a inteno de copiar dados para terceiros, esses so apenas alguns dos motivos que fazem os administradores se preocuparem em implementar solues corporativas de segurana, como criptografia, antivrus, DLP, firewalls para diferentes nveis do modelo de OSI, entre outros. Considerando os desafios de execuo e manuteno das polticas corporativas de segurana, deve unificar todos os vrios componentes de proteo em um nico console de gerenciamento de segurana. Isso permite ainda trocar informaes entre os componentes, criando um ambiente interligado no qual cada elemento responsvel por seu prprio escopo conectado a outros elementos. (Eljo, Arago) Com base na estrutura organizacional primeiramente devemos colocar os pontos de segurana j mencionados anteriormente.

Ambientao do sistema de TI O ambiente estrutural ter como acesso carto funcional e carto de identificao para visitantes e na parte de TI acessvel apenas para o administrador de segurana de rede e gerencial responsvel pelo setor da empresa, funcionrio autorizado por ambos ou pessoa externa coforme restrio ao nvel de acesso com autorizao do administrador ou gerencial responsvel na empresa, com termo de acesso para respaldar de qualquer dano ocorrido por acessos indevidos nesses momentos e fcil identificao do usurio. Hardware e software precisam de um cuidado especial para seu acesso, localizando em local especfico e pouca movimentao para melhor monitorao. (site Manual de Segurana RCF).

Controle do Usurio - Senha

Definir o mais alto nvel de privacidade e autenticao em relao a questes como o acesso de usurios da empresa no sistema, atravs de login e senha com algoritmos de criptografia, uma poltica de autenticao que estabelea confiana atravs de senhas efetivas, e definindo diretrizes para remota autenticao, localizao e a utilizao de dispositivos de autenticao (Por exemplo, senha pessoal, de uso nico, intransfervel). Senha ser renovada com um prazo de 60 dias. - Sistema utilizado do Windows - conta de usurios (atribuio de senhas e acessos).

Email Monitoramento do correio eletrnico, acesso aos arquivos dos usurios e bloqueio de softwares includos indevidamente. Uma poltica de acesso que define os direitos de acesso e privilgios para proteger as informaes de perda ou divulgao, especificando aceitvel utilizao e orientaes para os usurios, pessoal de operaes e de gesto. Privilgios e restries para as conexes externas, comunicao, conexo de dispositivos a uma rede, podero obter punies devidas. Tambm deve o sistema bloquear

qualquer

mensagem

indevida

com

antisspam,

antiphishing,

exibindo

mensagem de notificao (por exemplo, mensagens de conexo devem fornecer advertncias sobre o uso autorizado e monitoramento). - Programa Firewall criptografia antivirus registro de logs
controle de contedo termo de aceitao, termo de infrao
Backups