Você está na página 1de 16

POLÍTICA DE SEGURANÇA

A política de segurança é utilizada para definir as normas que serão utilizadas na


gestão da empresa, práticas que deverão ser seguidas pelos agentes da empresa,
colaboradores, clientes, prestadores de serviços, fornecedores, informações, software,
hardware, etc. Para obter a integridade e confidencialidade da informação, deve-se proteger e
controlar a informação, para uma melhor utilização e diminuição de riscos provenientes da má
utilização dos recursos disponíveis.

A Implantação da política de segurança tem por objetivo reduzir incidentes e danos a


empresa implementando procedimentos para recuperação de eventuais danos causados por
incidentes.

Redução de incidentes:

 Medidas preventivas e normativas;


 Previsão de riscos para minimização de incidentes;

Redução dos danos provocados por incidentes:

 Apesar da política de segurança para e redução de incidentes, devemos fazer


uma análise de riscos, e quais os danos que pode acontecer quando ocorrer um incidente,
para reduzir o impacto deste incidente na organização.

Recuperação de eventuais danos:

 Quando ocorre o incidente temos que saber o que deve ser feito para a
recuperação dos danos causados pelo incidente, temos que ter procedimentos que
viabilizam esta recuperação de forma eficiente, com um mínimo de custo possível, e
menor impacto na estrutura da empresa.

ELABORANDO A POLÍTICA DE SEGURANÇA

Devemos inicialmente definir a equipe que será responsável pela elaboração,


implantação e manutenção da política, definir as responsabilidades de cada pessoa da equipe,
e trabalhar em conjunto com a gerencia administrativa da empresa para aprovação da política
e obter maior respeito dos colaboradores que já estarão também conhecendo a política.

Principais fases para a elaboração de uma política:

 Identificação dos recursos críticos: mapeamento dos processos da empresa e


definir prioridades, importância de cada processo, definindo assim prioridades de
segurança nos processos que mais influenciam na organização.
 Classificação das informações: deve-se classificar a importância da
informação dentro da organização e assim definir o grau de proteção e as medidas para a
sua manipulação, podendo ser: confidencial, que é de extrema importância para empresa,
tendo que ter maior segurança; uso interno: que pode ser utilizada internamente pelos
funcionários/setores, que necessitam dessa informação tendo um escopo de
segurança/confidencialidade em cima do setor/parte que a utiliza; pública: na qual
pessoas ou entidades externas podem ter conhecimento, informações que não causam
impactos nos ativos da empresa.

 Check List: Normas e procedimentos;


 Acessos externos, internos, físico e lógico;
 Uso da Intranet e Internet;
 Uso e instalação de softwares;
 Uso de correio eletrônico;
 Política de senhas;
 Política de Backup;
 Uso e utilização de antivírus;
 Auditoria;
 Outros

Definição de planos de recuperação, contingência, continuidade pós incidente.

Definir um plano que será utilizado após acontecer um incidente para diminuir o
impacto causado e dar sequência as atividades da organização o mais rápido possível,
minimizando os prejuízos.

Fazer sanções ou aplicar penalidades caso não se cumpra a política. Definir punições
de acordo com a organização, normalmente o grau da punição é medido pelo grau do
incidente, ou tamanho do dano causado, podendo ser até demitido. Por isso a alta organização
deve estar de acordo com a política de segurança e os colaboradores deve ter aderido e
concordado com um termo de compromisso, podendo assim sofrer penalizações em âmbito
judicial.

Direitos do usuário:

São as atividades/procedimentos que o usuário tem autorização para realizar,


garantido que a utilização/realização de forma correta dessas atividades, procedimentos, está
de acordo com os direitos a ele garantido.

Obrigações do usuário:

São as regras nas quais é obrigado a realizar, todas estas obrigações são determinadas
no termo, na política de segurança.

Proibições ao usuário:

São as regras que define o que o usuário não pode fazer, são as restrições, são
detalhadas na política de segurança.

Termo de compromisso de responsabilidade do Colaborador:

É utilizado na formalização do comprometimento dos colaboradores em seguir a


política de segurança, e deixando-os cientes das consequências do seu não cumprimento.
Deve ser assinado juntamente com o contrato de trabalho, ou adicionado ao mesmo caso a
política seja implantada depois de sua contratação, a área jurídica da organização deve fazer
uma análise do documento.

Revisão e autorização das políticas de segurança.

Após os passos anteriores devemos comunicar a diretoria da empresa sobre a


implantação e a importância da implantação da política na organização, definir o comunicado
e a forma de comunicação que será feita para deixar os funcionários cientes do início da
implantação.

Divulgação da política.

Criação de informe para os colaboradores da empresa. Os métodos mais utilizados


são: campanhas internas, palestras de conscientização; jornais e folhetos internos; mailing;
Intranet;

Criação de Manual de Políticas de Segurança da Empresa com linguagem de fácil


entendimento.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO NORMAS DE USUÁRIOS
UTILIZAÇÃO DE SENHAS

1. FINALIDADE
1.1. Estabelecer os regulamentos para a utilização de senhas de acessos à rede
corporativa da empresa.

2. APLICABILIDADE
2.1. Todos os usuários da empresa.

3. CONCEITOS
3.1. T.I – Área responsável pela Segurança da Informação na empresa.
3.2. Incidente de Segurança da Informação – É uma indicação de eventos, indesejados ou
inesperados, que podem ameaçar a Segurança da Informação.
3.3. Logon – Processo de entrada de um usuário no sistema.
3.4. Rede Corporativa – São computadores e outros dispositivos interligados que
compartilham informações ou recursos da empresa.
3.5. Senha – Validação da identidade do usuário para obtenção de acesso a um sistema
de informação ou serviço.
3.6. Servidor - Computador responsável pelo compartilhamento de recursos com os
demais computadores a ele conectados.
3.7. Usuário – É todo aquele que exerça, ainda que transitoriamente e sem remuneração,
por eleição, nomeação, designação, contratação ou qualquer outra forma de
investidura ou vínculo, mandato, cargo, emprego ou função pública em Órgão ou
Entidade da Administração Pública Direta e Indireta do Estado de Minas Gerais.

4. GERENCIAMENTO DE SENHAS
4.1. As identificações e as senhas para acesso à rede corporativa são de uso pessoal e
intransferível.
4.2. Na liberação da identificação para o usuário é fornecida uma senha temporária, que
deve ser alterada no primeiro acesso.
4.3. A senha de acesso do usuário tem, no mínimo, 6 (seis) caracteres.
4.4. A senha deverá ser compostas de no mínimo um(01) Caractere alfabético maiúsculo
e um caractere numérico.
4.5. É solicitada a troca de senha a cada 6 (seis) meses.
4.6. O usuário deve trocar sua senha sempre que existir qualquer indicação de possível
comprometimento da rede corporativa ou da própria senha.
4.7. Recomenda-se fortemente que o usuário selecione senhas que:
4.7.1. Sejam fáceis de lembrar.
4.7.2. Sejam isentas de caracteres idênticos consecutivos ou de grupos de caracteres
somente numéricos ou alfabéticos.
4.7.3. Não sejam baseadas em coisas que outras pessoas possam facilmente
adivinhar ou obter a partir de informações pessoais, tais como nome,
sobrenome, números de documentos, placas de carros, números de telefones,
datas importantes, entre outras.

5. NÃO É PERMITIDO
5.1. Registrar senha em papel ou em qualquer outro meio que coloque em risco a
descoberta da senha por outro usuário.
5.2. Fornecer a senha de acesso à rede corporativa da empresa para outro usuário.
5.3. Acessar qualquer rede da empresa por meio da identificação de outro usuário.
5.4. Tentar obter acesso não autorizado, tais como tentativa de fraudar autenticação de
usuário ou segurança de qualquer servidor da rede corporativa da empresa.
5.5. Incluir senhas em processos automáticos, como por exemplo, em macros ou teclas
de função.

6. RESPONSABILIDADES
6.1. Usuários
6.1.1. Manter o sigilo da senha.
6.1.2. Responder pelo acesso à rede corporativa, por meio de sua identificação.
6.1.3. Reportar incidentes de segurança da informação à área de T.I.

6.2. Direção
6.2.1. Orientar os usuários sob sua coordenação sobre a utilização de senhas.

6.3. Área de Informática


6.3.1. Padronizar e configurar os critérios das senhas de acesso à rede.
6.4. Área de T.I
6.4.1. Analisar os incidentes de segurança da informação e recomendar ações
corretivas e preventivas.
6.5. Auditoria Setorial
6.5.1. Verificar a conformidade com o estabelecido nesta norma e recomendar as
ações necessárias.

7. PENALIDADES
7.1. O não cumprimento desta norma está sujeito às penalidades previstas em Lei.
SISTEMA DE FIREWALL – INSTALAÇÃO E CONFIGURAÇÃO

Firewall Linux com Interface Gráfica com Gufw

GUFW é um front-end para a firewall do Linux (iptables). Gufw é uma maneira


fácil e intuitiva de configurar a firewall do Linux. Suporta tarefas tão comuns como: permitir
ou bloquear portas por omissão, p2p, ou individuais e muitas outras! Gufw tem como motor o
ufw, roda no Ubuntu ou em outra Distro, desde que estejam instalados o Python, GTK e ufw.
Segundo os desenvolvedores:
“O motivo pelo qual o ufw foi criado foi que queríamos criar uma ferramenta para
configurar a firewall de servidores que fosse mais voltada ‘para seres humanos’, ou seja que fosse
mais simples”. “É certo que ao nível das aplicações gráficas já existia a Firestarter. Mas porque não
criar uma interface gráfica ainda mais fácil de usar para os ’seres humanos?’ Utilizando como motor
o ufw, é aqui que entra o Gufw”.

Versão 13.10 e 14.04 possui:


 Suporte para perfis
 Mais de 230 regras pré-configuradas
 Possibilidade de editar regras
 Importar/Exportar regras
 Possibilidade de atribuir nomes a regras
 Novas funcionalidades ao nível dos logs
 Novo layout
Como instalar?
Basta abrir o Ubuntu Software Center e procurar por gufw. Depois é só mandar instalar.

Ou se preferir fazê-lo através do terminal, é mais fácil ainda, basta digitar: sudo apt-get install
gufw
Depois de instalado basta abrir.
Por padrão o Firewall no Ubuntu vem desativado, e você poderá ativá-lo pela interface.
Ele vem com 3 perfis padrão, Home, Office e Público, mas você poderá criar mais perfis com
suas regras em cada um.
No perfil padrão Home, ele recusa o Incoming e Permite o Outgoing, ou seja, você acessa o
que quiser, mas não é acessado de fora.
Clicando em Regras você pode começar a adicionar regras personalizadas para o que quiser.
Neste ponto temos 4 campos:
Política: Permitir ou Negar
Categoria: Games, Network, Sistema, Office e etc
Subcategoria: Categorias de rede como P2P, de jogos, e etc
Application: Aqui você escolhe o tipo de aplicação que deseja incluir na regra, como um jogo
ou software específico, como Counter Strike, Bittorrent e etc.
Poderá ainda configurar opções avançadas.
Com esta simples aplicação, conseguimos criar regras avançadas e salvar um conjunto de
regras como um perfil.
Através da Aba Editar, você consegue editar seus perfis ou redefiní-los para o padrão, na aba
Arquivos você poderá exportar e importar perfis, e editar as Preferências gerais.
Fontes:

http://www.vivaolinux.com.br

http://www.linuxdescomplicado.com.br

https://desmontacia.wordpress.com