Você está na página 1de 14

Cartilha

Segurana de
Informaes

Prezado Servidor,
A preocupao com a segurana da informao crescente em empresas e governos de todos os
mbitos, isto porque cada vez mais dependemos de informao para a continuidade e
competitividade dos negcios e esta informao encontra-se em sistemas e equipamentos de
informtica.
Ciente da importncia estratgica em controlar e
garantir a proteo da informao e manter e zelar
pela integridade e sigilo dos dados corporativos
como meio eficaz para a consolidao de sua
credibilidade junto ao cidado, o municpio do Rio
de Janeiro, atravs de Portaria "N" IplanRio n 004
em 10 de abril de 2001 publica a Poltica de
Segurana de Informaes da Prefeitura da Cidade
do Rio de Janeiro.
A Poltica de Segurana tem como objetivo servir de base para normas, prticas e
procedimentos especficos de segurana para cada rgo da administrao direta ou indireta, o
que significa que ela deve ser objetiva e abrangente, cabendo a estes rgos um estudo criterioso
dos procedimentos a serem implantados para seguir estas diretrizes.
Entretanto temos algumas regras bsicas que a Poltica de Segurana deve atender:
Ser Pblica;
Ser do conhecimento de todos os funcionrios;
Mostrar as diretrizes de Segurana a serem seguidas;
Atribuir as responsabilidades de gestores, tcnicos e usurios.
Um axioma se aplica perfeitamente a Segurana da Informao: "Uma corrente no mais forte
do que seu elo mais fraco", e assim considerando temos que trabalhar juntos para garantir um
nvel de segurana proporcional importncia da informao.

Sendo assim, esperando contar com todos os servidores, prestadores de servio e parceiros, a
IplanRio elaborou este manual, contemplando o contedo da Poltica de Segurana de forma
didtica e recomenda a leitura da Portaria IplanRio 004 supramencionada.

Introduo

A Poltica de Segurana de Informaes (PSI) da PCRJ deve ser do conhecimento de todos pois
a Segurana da Informao uma responsabilidade de todos e o sucesso ou fracasso de um
Plano de Segurana Corporativa depende da aplicao deste conceito.

A PSI tem como principal objetivo traar as diretrizes de Segurana da Informao para o
ambiente PCRJ e atribuir as responsabilidades aos personagens do elenco que lidam com
informao, sejam eles, gestores, usurios ou tcnicos, visando a proteo da informao, que
um patrimnio da Prefeitura da Cidade do Rio de Janeiro (ou da Organizao).

A informao pode apresentar-se de diversas formas: banco de dados, relatrios, em disquetes,


em notebooks, etc e em todas estas formas deve ser garantido o mesmo nvel de segurana para
a informao. Alm disso, a informao deve ser classificada, para que se atribua um grau de
risco exposio da mesma e o conseqente investimento que ser feito, de maneira a
preserv-la.

Princpios Bs icos da Segurana da Informao (DICA)


Para garantir a Segurana da Informao preciso identificar e avaliar riscos. Para isso devemos
perguntar:

O que proteger?
Porque proteger?
De quem proteger?
A que custo proteger?
Com que riscos proteger?

Sabemos que os recursos so finitos e que 100% seguro no existe. , ento, necessrio
estabelecer prioridades em funo de alguns princpios bsicos:

Disponibilidade
Integridade
Confiabilidade
Autenticidade

Vamos esclarecer os conceitos:


Disponibilidade - garante que os recursos (informaes) estejam disponveis a qualquer
momento que se deseje utiliz-los.
Integridade - assegura-se que a informao a mesma (no sofreu nenhuma modificao no
autorizada, imprevista e at no intencional) desde sua gerao at a sua recuperao.
Confidencialidade - garante que os recursos (informaes) tenham proteo contra a
divulgao no autorizada.
Autenticidade - garante ao receptor da informao a origem informada. Assegura que o acesso
informao no possa ser realizado por terceiros em nome do receptor ou que se utilizem do
nome do originador para enviar informaes.
Alm destes princpios derivam-se outros dois complementares eles:
Controle de Acesso - Capacidade de limitar e/ou controlar o acesso
s informaes contidas em computadores ou aplicaes, bem como
o acesso fsico.
No repdio - No rejeitar usurios vlidos e com acesso legtimo
s informaes, assim como a no rejeio, por parte do usurio, de
uma ao por ele executada utilizando-se de um acesso concedido.

Programa de Segurana da Informao


Sabendo que a PSI composta de diretrizes e normas de Segurana da Informao e que estas
servem de base para a descrio de procedimentos internos e estabelecimento de padres,
podemos dividir em 3 dimenses:

Poltica

Norma
Procedimentos

A Poltica est publicada e existe uma Cmara Tcnica de Segurana de Informaes que se
rene mensalmente para debater necessidade de modificaes na PSI, avaliar o impacto de
novas tecnologias, etc. Este grupo est organizado da seguinte forma:

Prefeito

CGM

SMF

SMA

SMS

Cmara Tc.
Seg . Inform.

IplanRio

Asses. Seg
Informaes

Anlise do
Ambiente

......

Abordagem de
Segurana

Levantamento
Necessidades

Representantes:
GBP
SMG
SMF
SMA
PGM
CGM
IplanRio

Sendo assim, os procedimentos devem ser descritos por cada rgo, atravs de sua rea de
informtica, em funo das caractersticas do ambiente informatizado que possuem.

Diretrizes
O tratamento da informao deve ser conduzido em conformidade com a PSI, visando obedecer
s seguintes diretrizes:
1. Proteger as informaes contra acesso, alterao, destruio
ou divulgao no autorizados;
2. Garantir que os recursos colocados disposio sejam
utilizados apenas para as finalidades aprovadas pela PCRJ e
estejam inventariados, preservados, tenham protegidos seus
componentes internos e toda a sua documentao mantida
atualizada - obedecendo aos padres definidos internamente;
3. Garantir que os sistemas e informaes sob guarda da PCRJ estejam adequadamente
protegidos;
4. Garantir que recursos considerados crticos estejam resguardados por Plano de
Contingncia, afim de garantir a continuidade dos negcios em situaes de anormalidade;
5. Assegurar que toda informao possua um Gestor que definir sua classificao, quanto
confidencialidade, integridade, disponibilidade e autenticidade, autorizao de acessos e o
cancelamento dos mesmos;
6. Restringir a concesso de autorizao de acesso aos recursos mnimos necessrios para que
os usurios desenvolvam suas atividades;
7. Garantir que cada usurio possua sua identificao sendo ela nica,
pessoal e intransfervel, o que o qualifica como responsvel por qualquer
atividade desenvolvida atravs dela;
8. Cumprir as leis e normas que regulamentam os aspectos de propriedade
intelectual;
9. Selecionar mecanismos de Segurana da Informao, ponderando fatores de risco,
tecnologia e custo;
10. Garantir a disseminao da cultura de Segurana atravs das
reas de informtica dos rgos participantes da
administrao direta ou indireta.

Res pons abilidades atribudas


Usurios

Conhecer os conceitos de Segurana da Informao;

Manter sigilo sobre as informaes estratgicas e confidenciais a que tenha acesso;

Armazenar informaes confidenciais ou crticas atividade


da PCRJ de forma protegida;

Encerrar sua sesso de trabalho e desligar os equipamentos ao


final do expediente;

Manter a proteo de tela com senha ativada, para quando se


ausentar de sua estao de trabalho;

Cuidar dos recursos da informao da PCRJ;

Somente acessar sistemas e bancos de dados se autorizado e a


partir de estaes para este fim configuradas;

Utilizar apenas programas licenciados e homologados pela rea de informtica;

Restringir a utilizao de equipamentos aos fins autorizados pela rea de informtica;

Requerer autorizao para conectar equipamentos particulares nas redes internas;

Responder pelas mensagens de correio eletrnico enviadas atravs de sua caixa postal e
remover as mensagens obsoletas, no mais necessrias sua atividade;

Efetuar backup das informaes armazenadas localmente nas estaes com 2 cpias,
mantidas em ambientes diferentes e seguros e autorizados pelo gestor da informao;

Garantir o mesmo nvel de segurana para as informaes originais e os backup;

Manter sua senha em sigilo e diante da suspeita de sua perda efetuar a troca da mesma,
informando imediatamente a rea de informtica e a chefia imediata;

Adotar senhas com mais de 6 caracteres alfanumricos, misturando maisculas e


minsculas e evitando palavras conhecidas, datas, etc.;

Realizar o descarte de informaes crticas ou


confidenciais com destruio irrecupervel da
mesma;

Manter a configurao da estao de trabalho


inalterada, com anti-vrus padro instalado,
configurado, ativado e atualizado, salvo com
autorizao formal da rea de informtica;

Informar imediatamente rea de informtica


em caso de ocorrncia de vrus;

Acompanhar o atendimento do tcnico de


informtica quando ocorrer manuteno
corretiva;

No alimentar-se ou fumar prximo aos

equipamentos de informtica.

Responsvel Imediato:

Garantir a segurana das informaes armazenadas nos equipamentos de sua


rea ou a que seus subordinados tenham acesso;

Solicitar a disponibilizao dos recursos de informtica necessrios aos


servidores de sua rea para o bom desempenho de suas funes;

Informar as necessidades de acesso e uso de informaes ao gestor da


Informao bem como a excluso de acesso dos usurios de sua rea.

Gestor da Informao:

Determinar os nveis de acesso que os usurios devero ter s


informaes atravs de aplicativos e sistemas, solicitar
formalmente estes acessos rea de informtica e promover o
cancelamento dos mesmos;

Definir e classificar as informaes sob sua gesto em nveis;

Homologar, testar e autorizar a passagem para produo de


sistemas e aplicativos desenvolvidos;

Tcnicos

Manter duas identificaes distintas, uma para uso normal e outra com direitos especiais
para tarefas de administrao, quando o caso;

Configurar ambientes computacionais para que o usurio tenha direito a 5 (cinco) tentativas
de autenticao de senha. Na quinta tentativa errada, suspender o acesso a este ambiente at
que o usurio solicite liberao;

Obrigar, atravs do sistema, que o usurio


informe nova senha logo no primeiro acesso
aps a habilitao, que dever ter validade de
45 (quarenta e cinco) dias com troca solicitada
automaticamente ou sempre que o usurio
requerer e no possibilitar a repetio de senhas
em um perodo de 5 (cinco) trocas;

Configurar o sistema para, sempre que possvel,


no permitir o mesmo usurio com acessos
simultneos;

Armazenar as senhas com criptografia;

Criar usurios sem senha apenas para recursos


compartilhados e informaes pblicas, tais como impressora e rea de disco comum;

Possibilitar ao Gestor da informao, ou pessoa por ele autorizada, reinicializar senhas para
usurios que as tenham perdido, permitindo-o listar a relao dos cdigos de identificao,
com nome, status e perfil de acesso;

Criar mecanismos para que o sistema suspenda automaticamente cdigo de identificao


no utilizado por um perodo de 90 (noventa) dias;

Somente efetuar a autorizao ou cancelamento de acesso mediante autorizao formal do


responsvel imediato ou seu substituto;

Configurar desconexes automticas de acesso aps um perodo de at 30 minutos de


inatividade;

Considerar qualquer equipamento com canal de comunicao externo como crtico;

Controlar e registrar o acesso remoto, que


dever obrigatoriamente passar por um ponto
de controle com configuraes definidas pelo
rgo Gestor do Sistema Municipal de
Informtica;

Manter atualizada documentao lgica e


fsica da rede e disponibiliz-la ao rgo
Gestor do Sistema Municipal de Informtica
sempre que houver alterao;

Utilizar ferramentas de administrao da rede


e sistemas homologadas pelo rgo Gestor do Sistema Municipal de Informtica;

Instalar equipamentos crticos, tais como servidores e roteadores, em ambiente seguro e


controlado;

Realizar backup dos servidores com periodicidade mnima de uma semana e, alm dela, sua
reteno dever obedecer legislao vigente;

Realizar testes de restaurao e integridade do backup com periodicidade mxima de 180


(cento e oitenta) dias;

Guardar os Backups das informaes em local com controle de acesso, e fora do ambiente
onde se encontra a fonte principal da informao e, as informaes sigilosas, devem possuir
senha de acesso;

Implantar/Manter a verso corporativa do software anti-vrus padro nos servidores e


estaes de trabalho, atualizada e com a forma de instalao e configurao indicadas pelo
rgo Gestor do Sistema Municipal de Informtica;

Responsabilizar-se pela elaborao, teste e execuo de um Plano de


Contingncia em caso de anormalidades e reavalia -lo com
periodicidade mxima de 1 (hum) ano;

Disponibilizar recursos a produo somente aps serem testados em


ambiente segregado e controlado e os recursos devem estar
documentados e aprovados pela rea de produo;

Instalar ou disponibilizar softwares sensveis e aplicaes crticas ao


usurio de modo que o usurio no possa alterar suas configuraes;

Efetuar testes somente com dados fictcios, testes paralelos ou com dados de produo
devem ser realizados pela rea de produo;

Proteger as estaes de trabalho com lacres nos gabinetes;

Criar rotina de manuteno preventiva nos equipamentos;

Assegurar a existncia de senha de acesso a todas as aplicaes crticas.

Responsvel pela rea de Informtica:

Criar condies para uma eficiente, segura e controlada execuo de aplicaes e


armazenamento de informao sob sua custdia;

Analisar e homologar os treinamentos necessrios para a correta e eficiente utilizao dos


recursos informatizados;

Avaliar e autorizar o uso de equipamentos de informtica, bem como a conexo de


equipamento particular nas redes internas;

Solicitar aquisio e homologar equipamentos e


aplicativos pela PCRJ, alm de realizar as atualizaes
tecnolgicas e manuteno do ambiente informatizado;

Definir e capacitar administradores de sistemas dos


ambientes computacionais e seus substitutos;

Manter a documentao de todo o ambiente


informatizado atualizada, incluindo-se inventrio de
equipamentos, licenas de sistemas e aplicativos, antes
mesmo de serem colocados em produo;

Definir procedimentos de contingncia em situaes de anormalidade;

Manter backup das informaes e cdigos-fonte dos sistemas em produo, bem como
autorizar a restaurao das cpias de segurana;

Controlar a entrada e sada de recursos de sua rea ou sob sua custdia, autorizando
entradas e sadas ou delegando esta autoridade a outro servidor;

Garantir a integridade e disponibilidade das informaes e dos recursos do ambiente


informatizado, segundo controles estabelecidos pelo Gestor da Informao, rgo Gestor
do Sistema Municipal de Informtica e Auditoria de Sistemas;

Implementar solues de Segurana no ambiente informatizado.

Cmara Tcnica em Segurana de Informaes:

Rever a Poltica de Segurana de Informaes;

Orientar na definio de solues de segurana das


informaes para os rgos da Administrao Direta ou
Indireta da PCRJ;

Avaliar o impacto na segurana das novas tecnologias.

Auditoria de Sistemas

Verificar o cumprimento da Poltica de Segurana de Informaes da


PCRJ.

Cuidados adicionais

Senha

Utilize senhas fortes, isto , com mais de 6 caracteres, combinando numricos e


alfanumricos, maisculas e minsculas e no utilize datas comemorativas, sobrenomes,
nome do cnjuge, placas de carro, palavras de nosso vocabulrio, etc;

aproximadamente 78 possibilidades para cada


(A,a,B,b,C,...,0,1,2,...,/,-,$,...)

senha de 6 caracteres = + de 225 bilhes de combinaes possveis


senha de 8 caracteres = + de 1,37 quatrilhes de combinaes possveis

Nunca compartilhe sua senha, mantenha-a em sigilo, ela deve ser de seu conhecimento
exclusivo;

Todas as aes originadas atravs de


sua senha sero atribudas a voc.
Compartilhar sua senha como
assinar um cheque em branco.

Sempre que suspeitar de perda de sigilo, altere-a imediatamente.

Engenharia Social
Consiste na obteno de informaes importantes do usurio ou ambiente, atravs de uma
conversa informal, sua ingenuidade ou confiana.
O indivduo mal intencionado geralmente usa telefone, e-mail ou
salas de bate-papo para conseguir as informaes que procura.
Muito cuidado, desconfie de abordagens de pessoas que ligam e se
identificam como tcnicos ou funcionrios de determinada firma e
pedem dados sobre a empresa, ambiente, voc, etc. NUNCA d a
sua senha a ningum.

10

E-mail / Mensagem Instantnea (Chat, ICQ, entre outros)

No abra e-mails enviados por desconhecidos, principalmente se


eles contiverem arquivos anexados;
Os programas de troca de mensagem instantnea esto sempre
conectados a um servidor, podendo ser atacados por
crackers;
Nunca aceite arquivos de pessoas desconhecidas,
principalmente .exe e .doc;
No acredite em todos os e-mails sobre vrus, principalmente
aqueles de origem duvidosa que mandam em anexo um arquivo
para ser executado prometendo solucionar o problema, verifique
com a rea de informtica do seu rgo.

Vrus
H diversas formas de seu computador ser infectado:

Atravs de um disquete deixado no drive quando o micro


ligado;
Ao abrir um arquivo executvel, seja recebido pela internet,
num disquete ou at mesmo em um CD-ROM;
Ao instalar programas de origem duvidosa;
Ao abrir arquivo .doc, .exe, .xls, etc

Os vrus so programas que se multiplicam e podem atingir a


outros computadores por diversos meios, como j vimos anteriormente. Ao perceber que foi
infectado por um vrus, desligue seu computador e comunique imediatamente rea de
informtica. A melhor maneira de se proteger dos vrus utilizar o anti-vrus recomendado e
mant-lo atualizado.

Segurana Fsica
O acesso aos recursos crticos de Tecnologia da Informao deve ser restrito, com registros de
entrada e sada.
Papis, disquetes, CD's e outros meios de armazenamento de informao contendo informaes
confidenciais, devem receber o mesmo tratamento de segurana que seu computador, ou seja,
estar em local seguro e de acesso restrito.
O controle de acesso fsico deve ser utilizado em todos os ambientes onde hajam servidores,
roteadores, backup's, etc.

11

Atualizao constante
Procure estar sempre atualizado; participe dos treinamentos sobre Segurana da Informao
oferecidos; leia sobre o assunto em nossa intranet (ciclodepalestras).

Tornar Seguro

Gerenciar e evoluir

Poltica de
Segurana

Monitorar e Responder

Testar

A Segurana da Informao um ciclo, temos que estar


sempre vigilantes, conscientes e atualizados. No existe
ambiente 100% seguro, existe ambiente com menor risco.
Colabore!

12

Elaborao:

Av. Afonso Cavalcante 455 Anexo 2sobreloja


Telefone: 2503-3439

13