Política de Segurança Exemplo V1r0 PDF

Exemplus-Corp
Poltica Corporativa de Segurana da Informao

1 INTRODUO
OBJETIVO
A Poltica de Segurana da Informao um documento que objetiva estabelecer instrues e diretrizes relacionadas segurana da informao. Tambm esclarece as responsabilidades dos associados (Definir associado X funcionrio X colaborador), clientes, administradores, suporte, terceiros, parceiros e fornecedores; bem como as diretrizes a serem consideradas para proteger as informaes, equipamentos que processam e/ou transportam estas informaes. Este documento descreve meios para prevenir e responder a uma variedade de ameaas incluindo acessos no autorizados, uso indevido, duplicao, perda, modificao e revelao das informaes de propriedade e associadas ao(s) negcio(s) da Exemplus-Corp.
ESCOPO
Esta poltica abrange todos os sistemas, equipamentos e informaes da Exemplus-Corp incluindo tambm seus asssociados, estagirios, terceirizados, temporrios e fornecedores em quaisquer das dependncias da Exemplus-Corp ou locais onde estes se faam presentes atravs da utilizao, manuseio ou processamento eletrnico das informaes.
RESPONSABILIDADES
A integridade e coerncia so princpios bsicos das aes na Exemplus-Corp, bem como a adoo de melhores prticas de segurana para garantir a confidencialidade, integridade e disponibilidade das informaes do(s) negcio(s) da Exemplus-Corp e de seus clientes. Portanto, o valor da informao para os processos de negcio da Exemplus-Corp inquestionvel. Como resultado a Segurana da Informao um fator crtico de sucesso aos processos de negcios da Empresa e em reconhecimento a este fato, a Diretoria de Segurana da Informao a responsvel pelas questes de segurana Um Comit de Segurana da Informao, composto por gerentes seniores ou seus delegados de cada departamento/diviso da Exemplus-Corp, deve se reunir pelo menos semestralmente ou em situaes especiais definidas pelo mesmo; visando revisar o estado corrente da Segurana da Informao na Exemplus-Corp, revisar e aprovar projetos de segurana da informao, aprovar novas ou modificar polticas de segurana e deliberar sobre outras questes relacionadas s atividades de gesto da segurana da informao. (A Exemplus-Corp dever criar um comit de Segurana da Informao)
CARTA DA PRESIDNCIA
As empresas dependem cada vez mais da informao e de seus sistemas de tecnologia para suportar e diferenciar-se no cenrio de competitividade dos negcios. Como fator crtico de sucesso para o(s) negcio(s) Exemplus-Corp extremamente importante garantirmos a segurana das informaes. Desta forma, a Exemplus-Corp, publica a primeira verso da POLTICA CORPORATIVA DE SEGURANA DA INFORMAO, atualizada, revisada e adequada ao(s) nosso(s) negcio(s). Esta poltica consiste em um conjunto de orientaes que valorizam e definem o uso adequado das informaes, possibilitando um ambiente cada vez mais seguro, confivel e ntegro.
Poltica Seg. Verso
1.0
Data Publicao Modificao
MM, DD, YYYY 0
Email Pgina
security@ExemplusCorp.com.br
Exemplus-Corp
Seu comprometimento em conhecer e vivenciar esta poltica de extrema importncia para alcanarmos um padro de excelncia na gesto de segurana, proporcionando a evoluo dos nossos negcios de forma cada vez mais transparente e segura para nossos associados, clientes, parceiros e fornecedores. Atenciosamente. (Sugesto do texto da carta do presidente) Caius Maximus Exemplus Presidente
EXCEES
Toda e qualquer exceo a esta poltica deve ser apresentada a Diretoria de Segurana da Informao, onde ser discutida e avaliada e podendo, posteriormente, ser levada ao Comit de Segurana da Informao. Se necessrio for, a referida rea e comit levaro o assunto discusso com a alta direo da Empresa.
DVIDAS E SUGESTES
A equipe de Segurana da Informao da Diretoria de Segurana da Informao responsvel pelo esclarecimento de dvidas e pela recepo de sugestes. Tambm responsvel por atualizar e manter a Poltica Corporativa de Segurana da Informao da Exemplus-Corp. As dvidas e sugestes devem ser enviadas para o endereo security@Exemplus-Corp.com.br, ou abuse@Exemplus-Corp.com.br ou atravs do telefone ????????. (Os emails listados so padro internacional e devem ser criados no domnio Exemplus-Corp)
4
4.1
USO DE SOFTWARE E RECURSOS DE TECNOLOGIA

USO DE SOFTWARE
O uso de software regulamentado por legislao especfica e qualquer ato que a contrarie pode ser punido com os rigores da lei. Desta forma, alguns cuidados devem ser tomados: Existem softwares de livre distribuio (freeware) e outros licenciados. Para os licenciados necessrio que a Exemplus-Corp possua as devidas licenas para que estes possam ser instalados e usados nas estaes de trabalho, laptops, equipamentos de rede e servidores da empresa. Cuidado adicional deve ser prestado aos softwares de livre distribuio (freeware), pois a grande maioria deles para uso pessoal, ou seja, no pode ser utilizados em equipamentos da Empresa sem a devida homologao equipe de Suporte Tcnico do Depto de Tecnologia da Informao. Sempre que houver dvida sobre a legalidade de uso de algum software a equipe de Suporte Tcnico, responsvel pelo inventrio e administrao de software, deve ser consultada a fim de fornecer os esclarecimentos pertinentes. vedada ao associado, a instalao e/ ou remoo de softwares nos equipamentos da Exemplus-Corp, salvo com o consentimento formal da equipe de Suporte Tcnico do Depto de Tecnologia da Informao.
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
Exemplus-Corp
Manter cpia no original de software licenciado bem como mdias com msicas e vdeos protegidos por direito autoral tambm enquadrado como crime de pirataria, salvo em caso de cpia de salvaguarda feita e mantida por rea competente. Por isso, no permitido que sejam mantidos nas dependncias da Exemplus-Corp, CDs, DVD`s ou outras mdias com cpias pirateadas de software licenciados, msicas e vdeos, mesmo que para uso pessoal.
4.2
USO DE HARDWARE
Como estaes de trabalho a Exemplus-Corp considera quaisquer equipamentos de sua propriedade associados aos domnios e grupos de trabalho disponibilizados pelo Depto de Tecnologia da Informao. Assim, desktops, laptops, notebooks, PDAs (Personal Digital Assistant) e celulares so considerados estaes de trabalho. Como equipamentos de rede a Exemplus-Corp considera quaisquer equipamentos de sua propriedade associados ao transporte e segurana das informaes entre as redes da Exemplus-Corp, Internet, parceiros e fornecedores, tais como switches, roteadores, firewalls e equipamentos detectores de intrusos (IPS). Todos os servidores e estaes de trabalho devem ser obrigatoriamente associados aos domnios de controle definidos pelo Depto de Tecnologia da Informao. vedada a utilizao de estaes de trabalho que no estejam associadas a algum domnio de responsabilidade da Exemplus-Corp nas redes da Empresa; salvo em condies previamente aprovadas pela equipe de Segurana da Informao. Os associados/terceiros no devem utilizar computadores e perifricos pessoais, tais como discos externos e impressoras, bem como software pessoal nas redes da Exemplus-Corp, salvo com autorizao prvia da equipe de Segurana da Informao. Todos os servidores, estaes de trabalho e equipamentos de rede da Exemplus-Corp devem obrigatoriamente apresentar aviso de advertncia no processo de logon (banner) para reiterar a propriedade da Exemplus-Corp e uso somente por pessoas autorizadas. Os servidores e equipamentos de rede crticos da Empresa tm que estar em local fisicamente protegido, que possua condies de temperatura e umidade adequadas ao bom funcionamento destes. responsabilidade do Depto de Tecnologia da Informao garantir estas condies. Para sites remotos, onde no exista infra-estrutura fsica adequada, necessrio considerar o uso de cofres e racks com controle de acesso. Manutenes e intervenes realizadas por terceiros nos equipamentos de rede e servidores requer acompanhamento obrigatrio por pessoal especializado da Exemplus-Corp. Todas as intervenes devem ser registradas atravs de procedimento de gesto de mudana. O transporte de equipamentos que em sua caracterstica no possuem mobilidade natural, tais como servidores, desktops, switches e roteadores s poder ser realizado atravs de liberao formal do Depto de Tecnologia da Informao e sob acondicionamento adequado.
4.3
ARMAZENAMENTO DE INFORMAES
Proteger a informao tambm implica em armazen-la de forma adequada de modo a coibir acessos no autorizados. Assim, alguns cuidados no armazenamento, para que as informaes no sejam perdidas ou expostas, devem ser considerados:
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
Exemplus-Corp
Nenhuma informao vital ao negcio deve ser armazenada localmente nos computadores ou dispositivos mveis. A Exemplus-Corp disponibiliza mecanismos de armazenamento das informaes em diretrios de rede. Estes mecanismos devem apresentar opes de redundncia, controle e registro de acesso, bem como, cpias de segurana. Salvo os casos como exceo analisados e aprovados pelo Depto de Tecnologia da Informao. Arquivos no relacionados ao trabalho, tais como fotos pessoais, vdeos, msicas e software pirata, no devem ser armazenados em servidores, diretrios de rede e estaes de trabalho; j que estes recursos so limitados e preciosos para o negcio da Exemplus-Corp. Software de instalao, mesmo com as devidas licenas, no devem ser armazenados nos diretrios de rede e sim em mdias adequadas como CD's, DVD`s ou fitas de backup. Apenas os softwares da Exemplus-Corp podem ser armazenados pelo pessoal responsvel do Depto de Tecnologia da Informao. Nenhuma informao estratgica deve ser armazenada em mdias removveis e repassadas a entidades externas, tais como fornecedores, parceiros e prestadores de servio, sem a prvia autorizao da equipe de Segurana da Informao do Depto de Tecnologia da Informao e devida assinatura de Acordo de Confidencialidade (NDA) pelas partes envolvidas. No permitido o armazenamento de software ou arquivos com contedo pornogrfico, racista, preconceituoso, hacker ou outros contedos inadequados em qualquer tipo de mdia, mesmo que para uso pessoal, dentro das dependncias e sistemas da Exemplus-Corp.
4.4
ACESSO REMOTO AS INFORMAES

Os requisitos atuais de mobilidade e flexibilidade para o trabalho exigem alto nvel de acessibilidade e produtividade, logo, cada vez mais comum a necessidade de acessos entre diversas redes, de empresas diferentes ou no. Desta forma, alguns cuidados se fazem necessrios: O acesso remoto (s) rede(s) da Exemplus-Corp, ou seja, o acesso a partir de outra empresa ou de algum ponto da Internet, deve ser realizado somente atravs de projeto elaborado e implementado pelo Depto de Tecnologia da Informao ou atravs dos meios de VPN j implantados e disponveis aos associados da empresa. O acesso remoto para terceiros s pode ser feito por intermdio de projeto especfico da equipe de Segurana da Informao, considerando que tero acesso controlado apenas ao que for necessrio e no a todo o ambiente. Sempre que o associado estiver trabalhando remotamente dever observar todos os demais cuidados descritos nesta poltica. Ateno redobrada s informaes disponveis na tela tem que ser observada quando o associado estiver em ambientes pblicos, tais como aeroportos, hotis e redes sem fio de outras empresas. Os equipamentos conectados rede corporativa da Exemplus-Corp no podem ser diretamente conectados outras redes ou diretamente Internet. Estas conexes devem ser feitas somente atravs de firewall, desde que aprovadas e configuradas pela equipe de Segurana da Informao. Nenhuma estao de trabalho, estando conectada a(s) rede(s) da Exemplus-Corp, deve ao mesmo tempo fazer uso de modems conectados a linhas dedicadas ou discadas que forneam acesso a outras redes ou Internet, salvo os casos analisados e aprovados pela equipe de Segurana da Informao. Estes acessos criam um caminho alternativo entre estas redes, permitindo que ataques ocorram por estes caminhos.
Poltica Seg. Verso Data Publicao Modificao MM, DD, YYYY 0 Email Pgina security@ExemplusCorp.com.br
1.0
Exemplus-Corp
5
5.1
E-MAIL CORPORATIVO E INTERNET

INTERNET
A Internet uma opo de comunicao na qual no existem barreiras nem limites. E na maioria das vezes, no existem regras efetivas contra o seu uso indiscriminado. Por ser uma rede distribuda com abrangncia mundial, permite a conexo de entidades com todos os tipos de propsitos e em virtude disso, vrios cuidados devem ser considerados. O acesso Internet pode ser feito de vrias formas: Atravs da navegao (acesso web) com o uso do Protocolo de Transferncia de Hipertexto (HTTP), no qual se navega por pginas e sites; Atravs da navegao segura, via protocolos de segurana para se acessar bancos e lojas virtuais como o caso do HTTPS ou Secure Socket Layer (SSL); Atravs da comunicao instantnea, ou seja, uma conversa on-line em tempo real conhecidos como os bate-papos via web, Messenger, IRC, ICQ e etc; Atravs da troca de arquivos, msicas, filmes e outros documentos, por intermdio do Protocolo de Transferncia de Arquivos (FTP) ou de ferramentas do tipo ponto-a-ponto. Dentre estas podemos destacar, por exemplo, o Kazaa, e-Mule, Gnutella entre outros.
As recomendaes seguintes TM que ser observadas e consideradas para que um bom nvel de segurana seja alcanado durante a navegao na Internet. A navegao na Internet propicia o acesso a qualquer tipo de contedo. Desde pginas idneas, teis e produtivas at as pginas de pirataria e sexo. Desta forma proibida a navegao em sites de contedo adulto e sites ilcitos, porque estes podem promover as atividades de agressores e improdutividade funcional. A Exemplus-Corp se reserva o direito de bloquear acesso a sites de contedo ilcito, sexo, atividades hacker e outros sem aviso prvio e de forma automtica. A Exemplus-Corp armazena os registros de navegao na Internet e poder monitor-los para buscar atividades ilcitas, estatsticas e possveis fraudes. Ao acessar sites seguros, relacionados a bancos e lojas virtuais, o associado deve verificar sempre se o servio de endereamento da web, a URL, est corretamente digitado. Muitas vezes estes endereos sofrem pequenas alteraes e conduzem o usurio a sites falsificados. Deve verificar ainda se o protocolo utilizado o HTTPS, pois somente este utilizado na rea segura dos bancos e lojas virtuais. Outros protocolos no garantem a segurana das informaes quando esto em trnsito na Internet. O associado deve estar atento s alteraes no site. Telas com definio, cores e formatos diferentes so freqentemente utilizadas por programas que capturam senhas. Cuidado tambm com as solicitaes de senhas em duplicidade, em alguma das vezes pode ser o programa espio e na outra o programa legtimo. Cuidado com as telas que fazem alertas sobre certificados digitais tambm deve ser observado. So estes que garantem a autenticidade do site; se eles estiverem vencidos, mal formados ou assinados por uma empresa no confivel, no aceite sua entrada no computador porque, na maioria dos casos, isso representa algum tipo de ameaa. O associado no deve preencher cadastros em sites desconhecidos ou no confiveis, estas informaes podem ser utilizadas com vrios intuitos, inclusive para o envio de mensagens eletrnicas no solicitadas conhecidas como SPAM ou at mesmo em seqestros falsos.
1.0
Exemplus-Corp
Cuidados especiais devem ser prestados nos sites que exibem caixas de dilogo solicitando que o usurio aceite ou execute algum tipo de programa. Estes programas podem executar qualquer tipo de ao no computador utilizado na navegao. Um bom exemplo a instalao de um programa espio de teclado que envia para o agressor tudo o que digitado no referido computador, incluindo as senhas utilizadas.
5.2
E-MAIL
O e-mail uma ferramenta imprescindvel nos dias atuais, e da mesma maneira que facilita o dia-a-dia de usurios e empresas, pode tornar-se um grande inconveniente diminuindo a produtividade devido ao elevado nmero de mensagens indesejveis. Assim, alguns cuidados devem ser tomados. Cuidados especiais devem ser prestados aos e-mails recebidos de origens desconhecidas. A grande maioria so transportes que carregam vrus, armadilhas e outros cdigos maliciosos. Nenhum anexo destes e-mails deve ser visualizado, baixado ou executado. Mesmo nas mensagens de origem conhecida, deve-se evitar abrir e/ou executar arquivos anexados no solicitados. Muitos vrus quando infectam uma estao enviam mensagens para outros usurios cadastrados no catlogo de endereos daquele computador, assim, possvel que o colaborador receba um e-mail de uma pessoa muito conhecida e idnea e que este esteja carregando um vrus. Desta forma, no execute estes anexos, e se necessrio, salve-os no computador local e inspecione-os com um sistema antivrus. Cuidado com os e-mails fraudulentos, os chamados Phishing Scam, eles tm como objetivo, enganar o usurio com mensagens e links de sites que se parecem com os de alguma instituio idnea. Estes emails trazem um texto convidativo e persuasivo. Sua principal meta aplicar algum golpe no usurio. Alguns exemplos deste tipo de mensagem: Um e-mail informa que voc recebeu um prmio e que deve acessar um site e preencher seus dados para que possa receber o prmio; Um e-mail diz que seu CPF est inativo devido a dbitos no pagos, mas voc no deve nada e mesmo assim o site requisita que preencha um cadastro; E-mails solicitando o recadastramento em bancos.
Ao redigir e-mails os associados devem anexar somente os arquivos necessrios. Tendo cincia que cada mensagem enviada, principalmente com anexos, consome considerveis recursos da rede e do(s) servidor(es), alm disso, consome o precioso tempo de quem a recebeu. Os associados devem considerar a criao de um e-mail em provedor particular ou algum site de e-mail gratuito para uso pessoal e no relacionado ao trabalho. O acesso a este e-mail, desde que feito via Web permitido, mesmo a partir da(s) rede(s) corporativa(s) da Exemplus-Corp. vedada a utilizao de emails pessoais para o tratamento de assuntos relacionados ao trabalho e vice-versa. A comunicao via e-mail pode ser monitorada em casos de investigao relacionada a incidentes de segurana e/ou fraudes, incluindo-se os e-mails pessoais acessados no ambiente corporativo da Exemplus-Corp ou usando recursos desta empresa. E-mails no solicitados no devem ser respondidos, pois na maioria das vezes e-mails so enviados a uma infinidade de destinatrios vlidos ou no. O ato de responder o e-mail confirma ao agressor que o enviou, a validade do endereo de e-mail, logo este e-mail poder ser inserido em um cadastro que ser comercializado para a prtica do SPAM.
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
Exemplus-Corp
No permitido o uso do sistema de e-mail cujos domnios pertencentes a Exemplus-Corp ou aqueles administrados pela Exemplus-Corp para o repasse de correntes, mensagens com contedos ilegais, racistas, pornografia, religiosos, preconceituosos, pejorativos ou ameaadores, bem como qualquer outro contedo inadequado ao ambiente corporativo e ou que possa trazer instabilidade de relacionamento pessoal e desempenho nos recursos de Tecnologia da Informao. Mensagens que objetivam o comrcio de quaisquer itens, a divulgao de empresas, produtos ou servios somente so permitidas com a aprovao prvia da rea de Ecossistema Humano.
6
6.1
ACESSO FSICO E LGICO

CONTROLE DE ACESSO S INFORMAES
Acesso s informaes e sistemas da Exemplus-Corp deve ser autorizado de acordo com as atividades atribudas ao cargo ou funo exercida pelo colaborador/terceiro. Os privilgios de acesso atribudos aos Associados/terceiros devem ser revistos periodicamente pelas coordenaes responsveis pelos mesmos. Todo associado/terceiro deve possuir uma nica identificao de usurio (User IDs, ou logon) e senha(s) (password) relacionada s suas atribuies ou funes em exerccio no contrato de trabalho ou de prestao de servio. Os privilgios e direitos de acesso devem ser atribudos de acordo com as atribuies ou funes em exerccio no contrato de trabalho ou de prestao de servio. Cada associado/terceiro responsvel pelo uso e segurana de sua senha. proibido o emprstimo e compartilhamento de identificao de usurios e senhas associadas a qualquer tipo acesso s informaes, sistemas e equipamentos da Exemplus-Corp. Nenhum equipamento ou sistema contendo senhas de fbrica (default) deve ser colocado em regime de operao sem que antes estas senhas sejam alteradas de acordo com os procedimentos definidos pelas reas responsveis pelos mesmos. Usurios administrativos de sistemas operacionais, bancos de dados e equipamentos de rede no devem ser genricos para garantir a possibilidade de auditorias, controles de mudana e configuraes. A construo de qualquer senha deve considerar o uso e composio entre caracteres alfabticos, maisculos, minsculos, nmeros e alfanumricos. Toda senha deve ter no mnimo 8 (oito) caracteres, por exemplo Abe$10sa2. O colaborador/terceiro no poder repetir nenhuma das ltimas 13 (treze) senhas j previamente utilizadas. responsabilidade da equipe de Segurana da Informao garantir configuraes no domnio(s) de controle para assegurar a construo de senhas fortes, aplicao de histrico e expirao automtica das senhas. Os associados/terceiros devem escolher senhas fceis de serem memorizadas, porm ao mesmo tempo difceis de serem descobertas ou quebradas. Tcnicas para esta escolha incluem: Combinar palavras de fcil memorizao atravs de caracteres alfanumricos, por exemplo: Mar04@aberto, Verde06claro#; Combinar as primeiras letras das palavras que compe o trecho de uma msica ou frase;
1.0
Exemplus-Corp
Combinar sinais de pontuao e nmeros com uma palavra conhecida, por exemplo: Carro1020v.
No processo de elaborao de uma senha os associados no devem utilizar padres repetidos ,atravs de seqncia bsica de caracteres, por exemplo: aaaaa10, 101010. Senhas idnticas e similares no devem ser utilizadas, por exemplo: mes01a, mes02a e mes03b. As senhas devem obrigatoriamente ser alteradas a cada 60 (sessenta) dias. responsabilidade da rea de Tecnologia da Informao garantir as configuraes necessrias nos sistemas para que as senhas expirem automaticamente. Informaes de expirao da senha devem ser apresentadas no mnimo 7 (sete) dias antes da expirao no processo de identificao (logon) do usurio. Quando o associado/terceiro suspeitar de utilizao indevida de sua(s) senha(s) dever alter-la(s) imediatamente e tratar a situao como um incidente de segurana (vide seo 11 Gerenciamento de Incidentes). As senhas no devem ser armazenadas em forma compreensvel (leitura) em cdigo fonte, scripts, macros e papel para evitar a divulgao inadvertida e uso indevido destas. Todas as estaes de trabalho da Exemplus-Corp devem utilizar proteo de tela (screen saver) previamente homologada pelo Depto de Tecnologia da Informao e com ao automtica de execuo a partir de 10 (dez) minutos de inatividade da estao de trabalho. responsabilidade da equipe de Tecnologia da Informao configurar polticas nos diversos domnios para assegurar a utilizao de proteo de tela. vedada ao colaborador/terceiro a remoo das configuraes de proteo de tela da estao de trabalho.
6.2
ENGENHARIA SOCIAL
Embora parea inofensiva, a engenharia social uma das mais eficientes tcnicas de ataque. Neste caso, o agressor (cracker) faz uso de tcnicas sociais com objetivo de conseguir informaes, senhas ou at mesmo a realizao de uma invaso. Alguns exemplos incluem: Um agressor, dizendo-se ser um analista do suporte da empresa, liga para um usurio questionando se seu sistema est mais lento do que o normal, provavelmente o usurio responder que sim, e neste caso o agressor dir que existe um problema no sistema Windows, e que eles esto instalando uma correo e pode at solicitar a senha do associado. Educadamente, ainda questiona se o usurio pode executar o procedimento de atualizao naquele momento ou se prefere deixar para o perodo da tarde. O usurio aceita executar o procedimento e, inadvertidamente, acessa um endereo web, de acordo com as orientaes do agressor e acaba instalando um backdoor em seu computador; O associado recebe um e-mail indicando que acaba de ser sorteado com um prmio de alguns milhares de reais para utilizar em compras em uma loja. O site indica que o mesmo deve acessar um endereo e preencher um pequeno cadastro, neste caso, algumas informaes sero coletadas e utilizadas indevidamente alguns dias depois; Em um almoo com um fornecedor, este cita exemplos de outras empresas e disfaradamente questiona sobre dados, processos e resultados de sua empresa, obtendo informaes privilegiadas.
Portanto, muito importante que o associado esteja sempre atento e alerta, desconfiando de tudo o que possa parecer um golpe. Sempre que houver dvidas, a equipe de segurana da informao da ExemplusPoltica Seg. Verso Data Publicao Modificao MM, DD, YYYY 0 Email Pgina security@ExemplusCorp.com.br
1.0
Exemplus-Corp
Corp dever ser contatada para verificar a veracidade da informao atravs dos e-mails ou atravs do telefone referenciados na seo 3 (Dvidas e Sugestes). responsabilidade dos associados/terceiros cuidar para que informaes sensveis impressas no estejam ao alcance de pessoas indevidas, ou seja, no devem permanecer sobre mesas e na prpria impressora. Toda vez que ausentar-se de sua estao de trabalho o associado/terceiro dever efetuar o processo de bloqueio da estao de trabalho (lock) bem como o armazenamento de informaes sensveis impressas em gavetas que possuam trancas.
MALWARE
Malware (cdigo malfico), juno das palavras malicious e software um software projetado para infiltrar e danificar um sistema de computador sem o consentimento do proprietrio do sistema. A expresso constitui um termo geral utilizado pelos profissionais da rea de Tecnologia da Informao para designar uma srie de ameaas hostis, intrusivas e perigosas inseridas em algum cdigo de computador. O termo vrus de computador o mais abrangente e utilizado para incluir todos os tipos de malware. Porm, existem tambm os chamados vermes, cavalos de tria, spyware, keystroke loggers, e etc. Vrus um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo de programa ou arquivo hospedeiro para que possa se tornar ativo e continuar o processo de contaminao a outros computadores e arquivos. So capazes de destruir e danificar informaes, causando grandes transtornos e prejuzos para as empresas. Alguns sintomas de equipamento contaminado so: Tempo de carga de programas muito demorado, fora do usual; Reduo abrupta de memria e espao em disco repentinamente; Mensagens de erros no usuais; Atividades de tela anormais, por exemplo: letras caindo, bolinhas saltando, e etc; Queda ou interrupes freqentes do sistema; Situaes estranhas esto acontecendo com os arquivos, isto , desaparecem, ou no carregam, ou no executam, aumentam de tamanho exageradamente, etc.
Vermes so parecidos com os vrus, porm a grande diferena que no necessitam da interao humana para propagarem-se e contaminar os sistemas. Descobrem as falhas de segurana dos sistemas (vulnerabilidades) e se instalam automaticamente atravs destas. Geralmente difundem-se atravs de email (correio eletrnico), descobrindo a caixa postal do usurio e disparando cpias para outros usurios automaticamente. Cavalos de Tria (Trojan Horses) so programas no autorizados escondidos dentro de outros programas, isto , por trs da finalidade aparentemente inocente de um programa existe um cdigo malfico a ser executado, que poder causar perda, desvio e destruio de informaes. Por definio, o cavalo de tria distingue-se de um vrus ou de um verme por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste em um nico arquivo que necessita ser explicitamente executado. Um exemplo comum: o associado baixa (download) um novo jogo da Internet e este jogo esconde um cdigo para roubar informaes do computador e enviar para um agressor.
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
Exemplus-Corp
As recomendaes seguintes se fazem mandatrias para que os riscos de contaminao por malware e conseqentes prejuzos ao negcio, produtividade e instabilidade dos sistemas sejam minimizados.
7.1
SERVIDORES E ESTAES DE TRABALHO

Todos os servidores sob responsabilidade da Exemplus-Corp TM que possuir software antivrus instalado. O processo de remoo de vrus e atualizao da base de dados de vrus dever ser automtico e transparente. A gerao de registros de ocorrncia, comumente conhecidos como log, imprescindvel para monitoramento e evoluo das polticas antivrus. Todas as estaes de trabalho da Exemplus-Corp TM que possuir software antivrus instalado. O processo de remoo de vrus e atualizao da base de dados de vrus dever ser automtico e transparente. vedada ao associado/terceiro a remoo ou desabilitar o software antivrus. A instalao e configurao do software antivrus ser realizada pelo Depto de Tecnologia da Informao utilizando-se sempre de software previamente testado e homologado.
7.2
SUSPEITA DE CONTAMINAO
Se existir a suspeita de contaminao por Malware o associado/terceiro dever interromper a utilizao da estao de trabalho imediatamente. O associado/terceiro dever avisar imediatamente a equipe de Segurana da Informao. O processo de erradicao dever ser realizado o mais rpido possvel pelo Depto de Tecnologia da Informao com apoio do suporte do fornecedor do produto antivrus.
7.3
SOFTWARE DE FONTE DUVIDOSA

Os sistemas e redes de computadores das empresas podem ser atacados por vrus, vermes, cavalos de tria e ou outros malwares. Para prevenir problemas resultantes da ao destes proibida a execuo de software cuja fonte seja duvidosa. Fontes aparentemente NO duvidosas seriam: Fornecedores de software e hardware estabelecidos no mercado; Entidades de segurana bem conhecidas no mercado; Empresas de negcio conhecidas.
Software extrado (download) da Internet, sites de shareware, software de domnio pblico (freeware) no devem ser utilizados sem que processos de teste e homologao sejam previamente realizados pela equipe de Segurana da Informao.
BACKUP
Todas as informaes crticas de negcio da Exemplus-Corp tm que possuir cpia de segurana (backup) realizada pelo menos uma vez por semana. responsabilidade do Depto de Tecnologia da Informao providenciar os recursos fsicos e lgicos para armazenamento e restaurao das cpias de segurana. As cpias de segurana devem ser verificadas sistemicamente para assegurar o processo de restaurao. responsabilidade do Depto de Tecnologia da Informao prover os recursos necessrios e realizar a restaurao das cpias de segurana regularmente.
1.0
10
Exemplus-Corp
O processo de restaurao das informaes crticas armazenadas em cpias de segurana responsabilidade exclusiva do Depto de Tecnologia da Informao. A restaurao da informao dever ser solicitada formalmente a este departamento pelo dono da informao e registrada atravs de gesto de mudana. Informaes crticas armazenadas em cpias de segurana no devem ser utilizadas com o propsito de restaurao a no ser que as mesmas informaes existam em cpias adicionais e mdias distintas. Se no existe cpia adicional, uma cpia deve obrigatoriamente ser realizada em equipamento diferente do destino final da informao. Informaes crticas ao negcio da Exemplus-Corp presentes em equipamentos mveis, tais como laptops, celulares e PDAs (Personal Digital Assistant) tambm devem estar presentes em diretrios de rede para que o processo de cpia de segurana seja assegurado. responsabilidade dos associados garantir a cpia das informaes nos diretrios de rede. Todas as alteraes de configurao na rede e sistemas crticos da Exemplus-Corp obrigatoriamente requerem a realizao de cpia de segurana das configuraes antes e aps a realizao das mudanas. A equipe responsvel pelas alteraes tambm responsvel pela realizao, classificao e armazenamento das cpias de segurana.
CRIPTOGRAFIA
Criptografia a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. usada, dentre outras finalidades para: autenticar a identidade de usurios; autenticar transaes bancrias; proteger a integridade de transferncias eletrnicas de fundos; proteger o sigilo de comunicaes pessoais e comerciais. As comunicaes e transferncias de informaes entre a Exemplus-Corp, instituies financeiras, parceiros e fornecedores estratgicos devem ser realizadas preferencialmente atravs de redes privadas (VPNs) utilizando-se de esquemas criptogrficos previamente avaliados e aprovados pela equipe de Segurana da Informao.
10 AQUISIO E DESENVOLVIMENTO DE SISTEMAS

O processo de desenvolvimento e aquisio de novos sistemas deve considerar as melhores prticas de segurana da informao. Estas prticas devem ser atualizadas, discutidas e disseminadas dentro da Exemplus-Corp pela equipe de Segurana da Informao. Todo o software desenvolvido pelos associados da Exemplus-Corp, com o intuito de processar informao critica, valiosa e sensvel deve possuir uma especificao formal escrita. Esta especificao deve ser parte de um acordo entre o(s) proprietrio(s) envolvido(s) com informao e o(s) desenvolvedor(es) do sistema. Esta declarao deve ser elaborada e aprovada antes do momento em que se iniciam os esforos de programao. Todas as aquisies de novos sistemas devem considerar a verificao de requisitos mnimos de segurana da informao. A definio destes requisitos responsabilidade da equipe de Segurana da Informao. A Poltica de Corporativa Segurana da Informao deve obrigatoriamente fazer parte como anexo de qualquer contrato envolvendo a aquisio de novos sistemas. O fornecedor proponente dever atender as
1.0
11
Exemplus-Corp
condies estabelecidas neste documento para garantir a integridade, disponibilidade e confidencialidade das informaes.
11 GERENCIAMENTO DE INCIDENTES
Incidente de segurana qualquer fato que possa comprometer o bom andamento dos sistemas do Exemplus-Corp. Exemplos incluem o uso no autorizado de senhas, a adulterao de informaes em um banco de dados, o envio ou recepo de mensagens ameaadoras, roubo de informao, ocorrncia de vrus, ou qualquer outro fato que contrarie as disposies dessa poltica. Qualquer incidente de segurana deve ser informado ao superior imediato e por e-mail para os endereos referenciados na seo 3 (Dvidas e Sugestes). Os incidentes recebidos por este canal sero analisados pela equipe de Segurana da Informao da Exemplus-Corp de acordo com as prticas internacionalmente estabelecidas. responsabilidade de todos os associados da Exemplus-Corp informar sobre incidentes dos quais tenham cincia ou estejam envolvidos. Casos de omisso podero ser considerados como negligncia ou cumplicidade. responsabilidade da equipe de Segurana da Informao da Exemplus-Corp dar o devido tratamento aos incidentes recebidos e com o mais alto nvel de sigilo.
12 CLASSIFICAO DA INFORMAO
A informao o ativo mais importante para o negcio da Exemplus-Corp. Portanto, o proprietrio das informaes so os coordenadores/gerentes dos departamentos, membros das altas gerncias ou aqueles que receberam delegao na Exemplus-Corp para aquisio, desenvolvimento e manuteno das aplicaes em regime de produo que processam as informaes da Exemplus-Corp. Aplicaes em regime de produo so programas de computador que provem relatrios e informaes para suportar o processo decisrio e de negcio. Todos os sistemas de informao da empresa tm que possui um proprietrio (responsvel) designado. Para cada tipo de informao, o Proprietrio responsvel por designar a respectiva classificao, o nvel de risco, definir quais associados tero acesso e o nvel deste acesso, bem como aprovar requisies para os vrios modos de utilizao destas informaes. Custodiantes so os indivduos que tm a possesso fsica ou lgica das informaes da Exemplus-Corp. Os membros dos departamentos administradores de sistemas e associados que utilizam e transportam informaes em dispositivos pessoais tambm so custodiantes. Os custodiantes so responsveis pela salva-guarda das informaes, incluindo a implementao de controles de acesso para prevenir acesso e divulgao inadvertida; responsveis pelas cpias de segurana (backup) para garantir que informaes crticas no sero perdidas. Os custodiantes so responsveis pela implementao, operao e manuteno das medidas de segurana requisitadas pelos Proprietrios da informao.
12.1
TIPOS DE CLASSIFICAO
As informaes sob responsabilidade da Exemplus-Corp devem ser classificadas como:
Poltica Seg. Verso
PBLICA - poder ser divulgada externamente e internamente sem qualquer aprovao formal;
Data Publicao Modificao MM, DD, YYYY 0 Email Pgina security@ExemplusCorp.com.br
1.0
12
Exemplus-Corp
CONFIDENCIAL somente poder ser divulgada para as entidades (usurios, clientes, fornecedores, e outros) definidos como autorizados a receberem a informao, por exemplo: informaes relacionadas a novos planos de negcio e estratgias de crescimento da empresa; USO RESTRITO poder ser divulgada/utilizada somente dentro da Exemplus-Corp. para reas devidamente designadas, requerendo aprovao formal para ser divulgada externamente, por exemplo: frmulas dos produtos e informaes de operao da Empresa;
12.2
CLASSIFICAO DEFAULT
Informao que no foi designada como CONFIDENCIAL e de USO RESTRITO TEM que ser tratada como PBLICA at que o Proprietrio estabelea a classificao. Adicionalmente, informaes pertencentes a terceiros, veiculadas na Exemplus-Corp, TM que ser tratadas como CONFIDENCIAIS caso no exista nenhum contrato ou acordo escrito especificando o contrrio.
12.3
RECLASSIFICAO
Informao designada como CONFIDENCIAL, assim permanecer at que o Proprietrio ou outro usurio designado pelo Proprietrio altere a classificao. A nica exceo quando a informao possui um rtulo ou especificao de data ou realizao de um evento para automaticamente tornarse PBLICA.
12.4
DIVULGAO
Divulgao de informao CONFIDENCIAL para qualquer pessoa, associado ou no da ExemplusCorp, proibida caso o Proprietrio no tenha previamente autorizado. Todas as entidades externas TM que previamente assinar o Acordo de Confidencialidade das informaes da Exemplus-Corp antes de receberem informao CONFIDENCIAL da Empresa. Custodiantes de informao CONFIDENCIAL Tm que assegurar a existncia deste Acordo antes da divulgao da informao para a entidade externa.
12.5
RTULOS
12.5.1 CONFIDENCIAL
Todo documento em papel ou eletrnico designado como CONFIDENCIAL TEM que possuir a palavra CONFIDENCIAL escrita em cada pgina impressa do documento, preferencialmente no cabealho e/ou rodap das pginas. Verses eletrnicas de documentos CONFIDENCIAIS Tm que apresentar o rtulo CONFIDENCIAL na primeira tela apresentada ao usurio. Mdias magnticas ou pticas (discos magnticos, fitas, CD-ROMS, etc) contendo informao CONFIDENCIAL Tm que possuir uma etiqueta com o rtulo CONFIDENCIAL.
12.5.2 USO RESTRITO

Todo documento em papel ou eletrnico designado como USO RESTRITO Tem que possuir as palavras USO RESTRITO escritas em cada pgina impressa do documento, preferencialmente no cabealho e rodap das pginas. Verses eletrnicas de documentos de USO RESTRITO Tm que apresentar o rtulo na primeira tela apresentada ao usurio. Mdias magnticas ou pticas (discos
1.0
13
Exemplus-Corp
magnticos, fitas, CD-ROMS, e etc) contendo informao de USO RESTRITO Tm que possuir uma etiqueta com o rtulo USO RESTRITO. Arquivos contendo registros de eventos de segurana (logs) por definio devem ser tratados e considerados como USO RESTRITO. Estes arquivos so importantes para a correo de erros, auditorias internas, causas forenses, tratamento de incidentes de segurana e esforos relacionados.
12.5.3 AUSNCIA DE RTULO

Documentos em papel, arquivo ou mdia eletrnica que no apresentarem os rtulos USO RESTRITO e CONFIDENCIAL sero automaticamente considerados como PBLICO.
12.6
DIVULGAO INADVERTIDA
Assocaidos/terceiros que trabalham com informaes CONFIDENCIAIS, de USO INTERNO e USO RESTRITO Tm que estar sempre vigilantes para evitarem a divulgao inconsciente ou inadvertida para usurios no autorizados. O armazenamento das informaes CONFIDENCIAIS em locais seguros, bem como a utilizao de screen savers, log-off, ou aes similares so necessrias quando usurios no autorizados esto presentes.
12.7
ARMAZENAMENTO
Quando no estiver em uso, a informao CONFIDENCIAL e de USO RESTRITO em papel ou arquivo eletrnico dever estar armazenada em locais seguros ou que evitem a exposio, tais como: cofres apropriados, gavetas, armrios com mecanismos de tranca, diretrios da rede com nveis de permisso apropriados. Informao CONFIDENCIAL em arquivos eletrnicos localizada em computadores portteis, ou mdias magnticas portteis Tem que estar codificada atravs dos mtodos de criptografia aprovados pela equipe de Segurana da Informao. responsabilidade da equipe de Segurana da Informao definir os logs crticos e essenciais para o processo de tratamento de incidentes bem como a custdia dos mesmos. Os arquivos contendo registros de eventos de segurana devem ser armazenados de forma centralizada por pelo menos 1 (um) ano. Durante este perodo devem ser armazenados com segurana para no serem modificados e nem acessados por pessoas no autorizadas, considerando-se controles rgidos de acesso fsico e lgico, bem como proteo contra perdas de informao.
12.8
DESTRUIO
Quando informaes CONFIDENCIAIS, PBLICAS e de USO RESTRITO no so mais necessrias e seus requisitos legais e jurdicos j expiraram, devero ser destrudas atravs de mecanismos que no permitam a reconstruo da informao, tais como picotadeiras e incinerao. As mdias magnticas contendo as informaes CONFIDENCIAIS Tm que ser formatadas fisicamente, pois a simples deleo permite a recuperao da informao. Se a mdia no for reaproveitada a sua destruio faz-se mandatria.
13
RECURSOS HUMANOS
1.0
14
Exemplus-Corp
Todos os associados da Exemplus-Corp em processo de contratao devem receber esta poltica, ler e assinar o Termo de Aceite caracterizando a concordncia com as diretrizes definidas neste documento. responsabilidade do Departamento de Recursos Humanos a garantia deste processo. Todos os associados em processo de terminao do contrato de trabalho devem ter os acessos revogados imediatamente. responsabilidade do Depto Recursos Humanos iniciar o processo de revogao e garantir o trmino com sucesso deste processo. responsabilidade do depto Recursos Humanos e equipe de Segurana da Informao prover meios de divulgao desta poltica e de aculturao relacionada Segurana da Informao para associados j contratados e/ou em fase de contratao.
14 DIREITOS AUTORAIS E PROPRIEDADE INTELECTUAL

A Exemplus-Corp proprietria de todos os direitos sobre patentes, direitos autorais, invenes ou outras propriedades intelectuais originadas e desenvolvidas por seus associados individualmente ou em grupo constitudo por outros associados ou fornecedores de servio externos, durante a vigncia dos respectivos contratos de trabalho e prestao de servio. Todos os programas e documentos criados ou providos pelos associados em benefcio da ExemplusCorp so considerados propriedade da Exemplus-Corp. A Exemplus-Corp proprietria legal das informaes contidas em sistemas de informao sob seu controle e/ou administrao. A Exemplus-Corp se reserva o direito de acesso, uso e poder de deciso sob estas informaes. vedado ao associados, visitantes, parceiros, terceiros e fornecedores o uso de cmera de vdeo, fotogrfica ou celulares que possuam esta funo no interior das dependncias da Exemplus-Corp, salvo com o consentimento formal da Diretoria de Segurana da Informao. Esta poltica se faz necessria para evitar o vazamento de informao e segredos de negcio de forma inadvertida ou proposital. Informaes importantes, tais como projetos, listas de clientes e outras, disponveis em papel e mdias de fcil transporte, tais como CDs, DVDs e pen drives; devem se acondicionadas em gavetas e armrios com chaves.
15 REDES WIRELESS
A(s) rede(s) local(is) sem fios (WIRELESS), instalada(s) na Exemplus-Corp tem o objetivo de melhorar a produtividade e flexibilizar o acesso de seus associados e visitantes. No entanto, alguns cuidados se fazem necessrios: Apenas os equipamentos provedores de acesso (Access Points) e interfaces homologados pelo Depto de Tecnologia da Informao podem ser utilizados nesta rede. As configuraes de segurana, autenticao e criptografia da rede devem seguir as melhores prticas de segurana do mercado. responsabilidade da equipe de Segurana da Informao definir e divulgar estas prticas atravs de procedimentos.
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
15
Exemplus-Corp
Os recursos de segurana disponveis e configurados nos equipamentos no podem ser desabilitados pelos usurios. A concesso de acesso para visitantes est condicionada ao cadastro prvio das informaes de contato: nome completo, Registro Geral (RG), contato na Exemplus-Corp e assinatura do termo de Uso de Redes Wireless. O termo assinado dever ser armazenado em local fisicamente seguro por pelo menos 1 (um) ano. Este armazenamento responsabilidade da equipe de Segurana da Informao. Todas as consideraes que compe a Poltica de Segurana Corporativa da Exemplus-Corp devem ser observadas quando se fizer uso da(s) rede(s) local(is) sem fios. Nenhum equipamento que fornea algum tipo de acesso sem fios (Wireless) pode ser instalado no ambiente corporativo da Exemplus-Corp, salvo quando especificado atravs de projeto elaborado e implantado pela equipe Tecnologia da Informao.
16 AUDITORIAS, SANES E PUNIES

A Exemplus-Corp se reserva o direito de monitorar e manter registros de todos os tipos de acesso aos seus sistemas, redes e informaes, incluindo-se e-mails pessoais, quando recursos de Tecnologia da informao da empresa forem utilizados. Estes registros so utilizados para anlises estatsticas e para verificao em casos relacionados com incidentes de segurana. A Exemplus-Corp se reserva o direito de executar auditorias internas para a verificao do atendimento das consideraes que compe esta poltica, sem prvio aviso. No caso de descumprimento de quaisquer das consideraes desta poltica e tambm nos casos de no conformidade de auditorias internas, medidas disciplinares sero tomadas, junto rea de Recursos Humanos, cada caso ser avaliado face aos impactos e contexto aplicveis. Como medidas disciplinares podero ser consideradas desde a simples advertncia ao trmino do contrato de trabalho por justa causa.
17 Referncias
Cdigo de tica e Conduta da Exemplus-Corp. Misso e Viso Exemplus-Corp
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
16
Exemplus-Corp
18 GLOSSRIO
Acesso remoto Acesso no qual o usurio utiliza-se de algum mecanismo, rede ou ligao telefnica, para obter acesso a um sistema fisicamente localizado em outro local. Exemplos incluem um acesso via VPN, atravs de linha discada, banda larga. Antivrus - Programa ou software especificamente desenvolvido para detectar, anular e eliminar de um computador vrus e outros tipos de cdigo malicioso. Access Point(AP) - Dispositivo que atua como ponte entre uma rede sem fio e uma rede tradicional. Atacante - Pessoa responsvel pela realizao de um ataque. Veja tambm Ataque. Ataque - Tentativa, bem ou mal sucedida, de acesso ou uso no autorizado a um programa ou computador. Tambm so considerados ataques as tentExemplus-Corp de negao de servio. Backdoor - Cdigo malicioso instalado em um computador, geralmente sem o consentimento do usurio. O backdoor, como indicado no nome, prov uma porta dos fundos por onde um cracker pode obter acesso indevidamente. Backup - Processo que objetiva manter as informaes a salvo de problemas nos meios de armazenamento, feita uma cpia de segurana que pode ser restaurada caso haja necessidade. Banner - uma forma publicitria mais comum na internet, em que as empresas utilizam para divulgar informaes de seus sistemas para seus associados. Cavalo de tria - Programa, normalmente recebido como um "presente" (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Cdigo malicioso - Termo genrico que se refere a todos os tipos de programa que executam aes maliciosas em um computador. Exemplos de cdigos maliciosos so os vrus, worms, bots, cavalos de tria, rootkits, etc. Criptografia - Cincia e arte de escrever mensagens em forma cifrada ou em cdigo. parte de um campo de estudos que trata das comunicaes secretas. usada, dentre outras finalidades, para: autenticar a identidade de usurios; autenticar transaes bancrias; proteger a integridade de transferncias eletrnicas de fundos, e proteger o sigilo de comunicaes pessoais e comerciais. Desktop - Veja Estao de trabalho. Dispositivo Mvel - Designado popularmente em ingls por handheld um computador de bolso habitualmente equipado com um pequeno monitor (sada de infomao) e um teclado em miniatura (entrada de informao). No caso dos PDAs, a sada de infomao e a entrada de informao combinam-se num monitor de contato. Os dispositivos mveis mais comuns so: Smartphone, PDA, Telemvel, Console porttil, Ultra Mobile PC e Televiso porttil. E-mail - Veja Endereo eletrnico Endereo eletrnico - um mtodo que permite compor, enviar e receber mensagens atravs de sistemas eletrnicos de comunicao
1.0
17
Exemplus-Corp
Endereo IP - Este endereo um nmero nico para cada computador conectado Internet, composto por uma seqncia de 4 nmeros que variam de 0 at 255, separados por ".". Por exemplo: 192.168.34.25. Engenharia social - Mtodo de ataque onde uma pessoa faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. Estao de trabalho - Nome genrico dado a computadores, situados, em termos de potncia de clculo, entre o computador pessoal e o computador de grande porte Firewall - Dispositivo constitudo pela combinao de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores. Freeware - Software de livre distribuio, no necessrio que sejam adquiridas licenas para que tal tipo de software seja usado. FTP - File Transfer Protocol, um protocolo de transferncia de arquivos muito utilizado na Internet. Este protocolo no tem mecanismos de segurana em sua implementao. Hacker - Indivduo com elevados conhecimentos de computao e segurana que os utiliza com propsitos de identificar e publicar falhas relacionadas segurana em aplicativos, sistemas e equipamentos. Hardware - Parte fsica do computador. HTTP - Hyper Text Transfer Protocol, um protocolo de transferncia de pginas utilizado quando acessamos a maioria dos sites na Internet. HTTPS - Hyper Text Transfer Protocol Secure, um protocolo de transferncia de pginas em modo seguro utilizado quando acessamos a maioria dos sites de bancos e lojas virtuais. ICQ - um tradicional programa de comunicao instantnea, o nome surgiu da pronncia das letras ICQ em ingls, fazendo referncia frase I Seek You. IDS - Do Ingls Intrusion Detection System. Programa, ou um conjunto de programas, cuja funo detectar atividades maliciosas ou anmalas. Invaso - Ataque bem sucedido que resulte no acesso, manipulao ou destruio de informaes em um computador. Invasor - Pessoa responsvel pela realizao de uma invaso (comprometimento). Veja tambm Invaso. IP - Veja Endereo IP. Laptop - Veja Estao de trabalho. Log - Registro de atividades gerado por programas de computador. No caso de logs relativos a incidentes de segurana, eles normalmente so gerados por firewalls ou por IDSs. Malware - Do Ingls Malicious software (software malicioso). Veja Cdigo malicioso.
1.0
18
Exemplus-Corp
Mdia Removvel - qualquer meio de armazenamento que pode facilmente ser conectado e desconectado de computadores, exemplos incluem disquetes, CDs, DVD`s, ZipDrives, PenDrives, fitas magnticas e outros. Mdia Magntica ou pticas - uma mdia de armazenamento no-voltil que consiste em uma fita plstica coberta de material magnetizvel. A fita pode ser utilizada para registro de informaes analgicas ou digitais, incluindo udio, vdeo e dados de computador. Modem - Dispositivo que permite o envio e recebimento de dados utilizando as linhas telefnicas. Notebook - Veja Estao de trabalho. PDA - Veja Personal digital assistants. Password - Veja Senha. Personal digital assistants (PDAs ou Handhelds), ou Assistente Pessoal Digital - um computador de dimenses reduzidas, dotado de grande capacidade computacional, cumprindo as funes de agenda e sistema informtico de escritrio elementar, com possibilidade de interconexo com um computador pessoal e uma rede informtica sem fios - wi-fi - para acesso a correio electrnico e internet. Phishing - Tambm conhecido como phishing scam ou phishing/scam. Mensagem no solicitada que se passa por comunicao de uma instituio conhecida, como um banco, empresa ou site popular, e que procura induzir usurios ao fornecimento de dados pessoais e financeiros. Inicialmente, este tipo de mensagem induzia o usurio ao acesso a pginas fraudulentas na Internet. Atualmente, o termo tambm se refere mensagem que induz o usurio instalao de cdigos maliciosos, alm da mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros. Rede sem fio - Rede que permite a conexo entre computadores e outros dispositivos atravs da transmisso e recepo de sinais de rdio. Rootkit - Conjunto de programas que tem como finalidade esconder e assegurar a presena de um invasor em um computador comprometido. importante ressaltar que o nome rootkit no indica que as ferramentas que o compem so usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para manter o acesso privilegiado em um computador previamente comprometido. Scam - Esquemas ou aes enganosas e/ou fraudulentas. Normalmente, tm como finalidade obter vantagens financeiras. Scan - Tcnica normalmente implementada por um tipo de programa, projetado para efetuar varreduras em redes de computadores. Veja Scanner. Scanner - Programa utilizado para efetuar varreduras em redes de computadores, com o intuito de identificar quais computadores esto ativos e quais servios esto sendo disponibilizados por eles. Amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possveis vulnerabilidades aos servios habilitados em um computador. Screen Saver - uma imagem animada que ativada quando nenhuma atividade no computador do usurio for detectada por um determinado tempo.
1.0
19
Exemplus-Corp
Senha - Conjunto de caracteres, de conhecimento nico do usurio, utilizado no processo de verificao de sua identidade, assegurando que ele realmente quem diz ser. Servidor - um sistema de computao que fornece servios a uma rede de computadores. Esses servios podem ser de natureza diversa, por exemplo, arquivos e correio eletrnico Software - Um programa de computador composto por uma seqncia de instrues, que interpretada e executada por um processador ou por uma mquina virtual. Em um programa correto e funcional, essa sequncia segue padres especficos que resultam em um comportamento desejado Spam - Termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, este tipo de mensagem tambm referenciada como UCE (do Ingls Unsolicited Commercial E-mail). Spammer - Pessoa que envia spam. Spyware - Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Podem ser utilizados de forma legtima, mas, na maioria das vezes, so utilizados de forma dissimulada, no autorizada e maliciosa. SSH - Do Ingls Secure Shell. Protocolo que utiliza criptografia para acesso a um computador remoto,p ermitindo a execuo de comandos, transferncia de arquivos, entre outros. SSL - Do Ingls Secure Sockets Layer. Protocolo que fornece confidencialidade e integridade na comunicao entre um cliente e um servidor, atravs do uso de criptografia. Veja tambm HTTPS. Trojan horse - Veja Cavalo de tria. UCE - Do ingls Unsolicited Commercial E-mail. Termo usado para se referir aos e-mails comerciais no solicitados. URL - Do Ingls Universal Resource Locator. URL a especificao de endereos de pginas web, como por exemplo: http://www.bertin.com.br. Verme - Um tipo especial de vrus que no depende de estmulo para ser ativado, geralmente usa a rede para novas infeces. Vrus - Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. VPN - Virtual Private Network uma rede que prov uma conexo remota de forma segura. Muito utilizada por usurios que esto fora das dependncias da empresa e para a interconexo de vrias unidades de uma empresa. Vulnerabilidade - Falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
20
Exemplus-Corp
Wi-Fi - Do Ingls Wireless Fidelity. Termo usado para se referir genericamente a redes sem fio que utilizam qualquer um dos padres 802.11. Wireless - Veja Rede sem fio. Worms - Programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.
Poltica Seg. Verso
1.0
MM, DD, YYYY 0
Email Pgina
21

Política de Segurança Exemplo V1r0 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Política de Segurança Exemplo V1r0 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Exemplus-Corp

Poltica Corporativa de Segurana da Informao

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

USO DE SOFTWARE E RECURSOS DE TECNOLOGIA

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

ACESSO REMOTO AS INFORMAES

E-MAIL CORPORATIVO E INTERNET

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

ACESSO FSICO E LGICO

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

SERVIDORES E ESTAES DE TRABALHO

SOFTWARE DE FONTE DUVIDOSA

10 AQUISIO E DESENVOLVIMENTO DE SISTEMAS

12.5.2 USO RESTRITO

12.5.3 AUSNCIA DE RTULO

14 DIREITOS AUTORAIS E PROPRIEDADE INTELECTUAL

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

16 AUDITORIAS, SANES E PUNIES

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

Poltica Seg. Verso

Data Publicao Modificao

MM, DD, YYYY 0

Você também pode gostar