FACULDADE ANHANGUERA Ps Graduao Gesto da Segurana da Informao

Projeto de Segurana da Informao e Tratamento de Incidentes

Cleyton Gonalves R. Santos

Gleidson Jnior Barbosa

Belo Horizonte 2013

Poltica de segurana a ser implantada na Secretaria de Estado de Fazenda de Minas Gerais - SEF/MG

Visto o atual cenrio na Secretaria de Estado de Fazenda de Minas Gerais, foi identificada a necessidade de implementao de uma poltica de segurana para melhorar a segurana das informaes presentes na organizao, com isso evitar que informaes sejam publicadas sem devida autorizao, combater fraudes, espionagem comercial, uso indevido, sabotagens e diversos outros problemas que possam prejudicar o negcio. A segurana visa tambm aumentar a produtividade dos funcionrios atravs de um ambiente mais organizado e viabilizar aplicaes crticas das empresas. A informao, independentemente do seu formato, de vital importncia para qualquer instituio que queira se manter competitiva no mercado, e sem sombra de dvida, pode ser classificada como um dos seus ativos mais valiosos, merecendo ateno especial. A informao, assim como qualquer outro bem precioso, precisa ser protegida. A Poltica de Segurana da Informao tem como diretrizes: Proteo da informao: as informaes geradas, armazenadas, processadas, transmitidas e descartadas devem ter mecanismos de proteo adequados, de forma a resguardar sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade; Classificao da informao: as informaes devem ser classificadas de forma a serem protegidas adequadamente; Controle de acesso s informaes: toda informao deve ter seu acesso controlado de acordo com a sua classificao; Educao em segurana da informao: os usurios devem ser instrudos a respeito da correta utilizao das informaes e dos recursos computacionais disponibilizados pelo Estado. A tabela a seguir apresenta como cenrio atual da empresa e a proposta de melhoria para diversos pontos em que se diz respeito Segurana da Informao. O foco principal para criao da tabela foi o usurio.

Assunto

Cenrio Atual

Proposta de Melhoria Disponibilizar ao usurio o acesso remoto somente por meio de VPN. A SEF monitorar o uso do

O acesso remoto rede fazendria acesso remoto disponibilizado. Acesso Remoto Rede Corporativa permitido somente por meio de VPN. O acesso remoto rede

corporativa do rgo ou entidade em locais pblicos dever ser evitado.

A senha de acesso do usurio ter no mnimo 8 (oito) caracteres, contendo obrigatoriamente letras A senha de acesso do usurio e nmeros e caracteres especiais. deve ter no mnimo, 8 (oito) caracteres, obrigatoriamente nmeros. Senhas A troca de senha de acesso do usurio de no mximo, a cada 3 (trs) meses; O acesso ser bloqueado contendo letras e A senha dever ser trocada no mximo, a cada 3 (trs) meses.

automaticamente aps 05 (cinco) tentativas incorretas e

consecutivas de login a rede.

proibido a reutilizao das ltimas 5 (cinco) senhas. A No existe autorizao utilizao de notebook,

Utilizao de Dispositivos Particulares

smartphones, tablets, ou qualquer ou dispositivo mvel e da conexo controle para uso de dispositivos rede corporativa s ser permitida

particulares.

desde que haja uma solicitao da chefia imediata e a liberao da

Os funcionrios trazem e utilizam rea responsvel pela segurana de notebooks e tablets livremente. da informao.

Todo

funcionrio como

deve usurio

ser na

cadastrado

estao de trabalho.

Somente

usurios

autorizados

podero utilizar as estaes de trabalho, mediante a utilizao de um login e uma senha, individual e intransfervel. Cada funcionrio administrador de Utilizao das Estaes de Trabalho sua prpria estao de Todo usurio dever bloquear sua estao de trabalho ou efetuar logout da rede corporativa antes de se ausentar do seu local de Os dispositivos para gravao de trabalho. mdias magnticas ou pticas e as portas de comunicao a conexo que de O usurio dever desligar a sua dispositivos de armazenamento estao de trabalho no final do expediente. esto liberadas. permitem

trabalho.

O usurio ter acesso rede corporativa apenas durante seu horrio de trabalho.

vedada

utilizao

de

pendrives ou outros dispositivos de armazenamento na estao de trabalho.

Como

os

funcionrios

tem

permisso de administrador, no h como monitorar e restringir de forma efetiva a instalao de softwares trabalho. Instalao e Remoo de Softwares nas estaes de Instalaes e remoes de softwares devero ser efetuadas por uma rea destinada a estes fins, a qual detm a guarda das credenciais Tambm no existe uma maneira Instalaes de e administrador. remoes de

de confirmar que determinado softwares, s sero realizadas software foi desinstalado aps autorizao da chefia

completamente, o suporte utiliza imediata do usurio. da confiana, que determinado software foi desinstalado pelo usurio.

vedada a realizao de upload de qualquer software licenciado ao rgo sem a autorizao expressa da chefia imediata. O Utilizao da Internet servio de Internet disponibilizado pela SEF para contendo dados atividades Arquivos sigilosos devem estar protegidos profissionais dos usurios. com senhas e criptografados, execuo das quando transferidos pela Internet. A SEF reserva para si o direito de monitorar o uso da Internet disponibilizada, bloqueando o O monitoramento do uso da Internet disponibilizada ser

acesso a determinado sites, por auxiliado pela implantao de exemplo: Jogos, vdeos, redes recursos sociais, etc. e programas de

computador que registrem cada acesso Internet e que permitam a avaliao do contedo dos pacotes de rede, enviados e recebidos pelos seus usurios e que transitem entre a rede do rgo e a Internet.

O acesso a arquivos e sites no autorizados que comprometam o uso de banda da rede, bem como, que exponham a rede a riscos de segurana sero bloqueados.

Os discos rgidos disponibilizados nos servidores da rede sero utilizados exclusivamente para armazenamento de arquivos que contenham informaes

s atividades Os discos rgidos disponibilizados relacionadas nos servidores da rede fazendria profissionais do usurio. Armazenamento de Informaes so utilizados de usurio, para arquivos muitos A utilizao do espao em discos rgidos dos servidores limitada e monitorada.

armazenamento pessoais do

utilizam para compartilhamento de fotos, msicas, vdeos, jogos, etc.

As

informaes

consideradas

sigilosas devem ser protegidas contra acesso indevido e

armazenadas especficas.

em

pastas

Aps uma analise da situao atual da empresa, foram identificados alguns riscos que comprometem a segurana da organizao. Os riscos associados falta de segurana causam vrios problemas s atividades de negcio da empresa. Cada funcionrio administrador de sua estao de trabalho, com isso no se tem controle dos programas instalados no computador funcionrio. Isso pode ocasionar a instalao de softwares maliciosos que possam monitorar o trafico de dados da empresa e enviar pacotes com esses dados para um computador localizado fora da empresa. Utilizar software que interfira na rede, fazendo com que os sistemas saiam do ar. Os dispositivos para gravao de mdias magnticas e as portas de comunicao que permitem a conexo de dispositivos de armazenamento so liberados, com isso se tem facilidade de se fazer copias de documentos para CDs, DVDs ou pendrives. Nenhuma regra se aplica em relao utilizao de dispositivos particulares dentro da empresa, qualquer funcionrio pode levar seu notebook, tablet, smartphone, entre outros, e usar livremente, podendo at mesmo se conectar na rede da empresa. Um funcionrio mal intencionado pode utilizar desta para obter informaes sigilosas, basta conectar o seu dispositivo particular no seu computador de trabalho e fazer a transferncia de qualquer arquivo. Com essa analise, visualizamos o impacto que alguns riscos podem causar na organizao, como por exemplo, roubo de informaes, paralisao de servios, perdas financeiras entre outras. A partir dessas informaes podemos, por exemplo, mensurar o custo que a empresa ter caso fique fora do ar por determinado perodo de tempo e calcular se vale apena deixar a empresa parada ou investir em medidas que possam amenizar a possibilidades desse acontecimento. O uso indevido das informaes obtidas por um invasor podem gerar danos que tenham um custo de recuperao elevado, ou at mesmo danos irrecuperveis.

A melhor forma de garantir a segurana da informao atuar junto s pessoas que de alguma forma manipulam a informao (conscientizando-as atravs de treinamentos) e utilizar termos de confidencialidade. Estes termos permitem responsabilizar juridicamente as pessoas que de alguma forma causaram um dano financeiro empresa por vazamento de informao. Os benefcios esperados por adotar as melhorias propostas so: evitar que informaes sejam publicadas sem devida autorizao, combater fraudes, espionagem comercial, uso indevido, sabotagens e diversos outros problemas que possam prejudicar o negcio. A segurana visa tambm aumentar a produtividade dos funcionrios atravs de um ambiente mais organizado e viabilizar aplicaes crticas das empresas. O acesso remoto via VPN garante que os dados trafeguem na rede de forma segura, utilizando encapsulamento, criptografia e autenticao, dificultando a possibilidade de interceptao e obteno desses dados por uma pessoa m intencionada. As senhas ajudam a impedir que pessoas no autorizadas acessem arquivos, programas e outros recursos. Quando o funcionrio cria uma senha ela deve ser forte, o que significa ser difcil de adivinhar ou desvendar. A senha a primeira barreira de proteo dos dados que esto armazenados no computador. A utilizao de notebook, smartphones, tablets, ou qualquer dispositivo mvel e da conexo rede corporativa deve ser rigorosamente monitorada, a fim de evitar o vazamento de qualquer tipo de informao. Todo funcionrio deve ser cadastrado como usurio (mnimos privilgios) na estao de trabalho, e ter acesso controlado. Nenhum funcionrio ser o administrador de sua estao de trabalho, com isso possvel evitar que o funcionrio instale qualquer tipo de programa malicioso, que tenha como objetivo prejudicar algum servio que a empresa presta ou enviar dados da organizao para pessoas externas. O controle serve para garantir que nenhum funcionrio ira conseguir efetuar login na sua estao de trabalho quando no estiver no seu horrio de trabalho, sendo assim mesmo que outra pessoa descubra a senha desse funcionrio, no conseguir ter acesso estao de trabalho do mesmo em um horrio que o mesmo esteja ausente. O monitoramento do uso da Internet ser auxiliado pela implantao de recursos e programas de computador que registrem cada acesso Internet e que permitam avaliar o contedo dos pacotes de rede, enviados e recebidos pelos seus usurios e que transitem entre a rede e a

Internet, com isso possvel monitorar se algum funcionrio ou computador dentro da organizao est enviando alguma grande quantidade dados para fora da empresa, o que caracteriza vazamento de informao confidencial. A adoo das polticas de Segurana da Informao proporciona a transparncia e fornece credibilidade empresa perante a sociedade. Garantindo que a informao certa esteja disponvel na hora certa, para que a pessoa certa possa tomar a deciso estrategicamente adequada. Definies de termos tcnicos utilizadas neste documento: I. Acesso remoto: conexo distncia entre um dispositivo isolado (terminal ou microcomputador) e uma rede; II. Administrador: contas que permitem acesso total e irrestrito a quaisquer recursos do sistema em que esto configuradas; III. Autenticidade: garantia de que uma informao, produto ou documento do autor a quem se atribui, certificada por instrumento ou testemunho pblico; IV. Chefia imediata: titular da rea a qual est subordinado o usurio. Na sua ausncia deve ser observada a ordem hierrquica superior; V. Confidencialidade: garantia de que a informao acessvel somente a pessoas autorizadas; VI. Contas: cdigo de acesso atribudo a cada usurio. A cada conta associada uma senha individual e intransfervel, destinada a identificar o usurio, permitindo-lhe o acesso aos recursos disponveis; VII. Controle: forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal; VIII. Diretrizes: regras de alto nvel que representam os princpios bsicos que a Organizao resolveu incorporar a sua gesto de acordo com a viso estratgica da alta direo. Servem como base para que as normas e os procedimentos sejam criados e detalhados; IX. Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes;

X.

Dispositivos

mveis:

equipamentos

com

capacidade

de

armazenamento

processamento de dados e de fcil locomoo, interligados, ou no, rede corporativa do rgo ou entidade, tais como notebooks e Personal Digital Assistants (PDAs); XI. Estao de trabalho: computadores, notebooks e PDAs do rgo ou entidade interligados ou no na rede corporativa; XII. XIII. XIV. XV. Integridade: salvaguarda da exatido e completeza da informao; Internet: rede mundial de computadores; Login: identificao do usurio para acesso aos sistemas e servios; Logon: processo de identificao e autenticao de um usurio para permitir o seu acesso a um sistema; XVI. XVII. XVIII. Logout: processo de sada de um usurio dos sistemas e servios; Mdias: meio fsico utilizado para armazenar dados; Poltica de Segurana: conjunto de definies, diretrizes, restries e requisitos que servem para nortear o uso de boas prticas no trato com os ambientes, recursos e ativos computacionais, em aspectos fsicos, lgicos e de pessoal, com a finalidade de proporcionar maior segurana s informaes; XIX. Rede Corporativa: computadores e outros dispositivos interligados que compartilham informaes ou recursos do rgo ou entidade; XX. XXI. Risco: combinao da probabilidade de um evento e de suas consequncias; Segurana da Informao: preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, legalidade e confiabilidade, podem tambm estar envolvidas; XXII. Senha: conjunto de caracteres utilizado para permitir a validao da identidade do usurio, a fim de tornar possvel seu acesso a um sistema de informao ou servio de uso restrito; XXIII. Servidor: computador responsvel pelo compartilhamento de recursos e execuo de servios solicitados pelos demais computadores a ele conectados; XXIV. Site: local na Internet identificado por um nome de domnio, constitudo por uma ou mais pginas de hipertexto, que podem conter textos, grficos e informaes em multimdia; XXV. XXVI. Software: programa de computador; Upload: transferncia de um arquivo, de qualquer natureza, do computador do usurio, para algum equipamento da Internet;

XXVII.

Usurio: todo aquele que exera, ainda que transitoriamente e sem remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma de investidura ou vnculo, mandato, cargo, emprego ou funo pblica em rgo ou Entidade da Administrao Pblica Estadual direta ou indireta;

XXVIII.

VPN (Virtual Private Network): forma de comunicao que permite que uma ou mais mquinas acessem uma rede privada, utilizando como infraestrutura as redes pblicas, tal como a Internet. Os dados trafegam na rede de forma segura, utilizando encapsulamento, criptografia e autenticao.