Questão 1

A empresa Infinitus Sistemas Inteligentes está fazendo um projeto de automação de

negócios da empresa Tuttibuoni Massas Artesanais conforme os objetivos desta.
Descreva os requisitos necessários para estabelecer a segurança da rede da Tuttibuoni
Massas Artesanais.

Para que seja estabelecida a segurança de redes da empresa Tuttibuoni Massas

Artesanais ofereceremos soluções de TI, atendendo a necessidade do cliente visando
sempre a confidencialidade, integridade e disponibilidade de toda a informação e ativos
da empresa. Sempre incentivando o aperfeiçoamento da Segurança da Informação.

Responsabilidades específicas

Cada funcionário ou prestador de serviço independente de seu cargo tem a

responsabilidade de compreender e seguir esta Politica de Segurança da informação.
São consideradas informações importantes, qualquer ativo ou informação que não está
disponível ao público de fora da empresa ou até mesmo informações que não são da
alçada de cada setor da empresa. Destas informações podem ser classificadas em
documentos, por escrito ou formato eletrônico, papéis de qualquer natureza ou
verbalmente.. Entre outros.
Cada prestador ao receber uma informação importante deve guarda sigilo e limitar o seu
acesso, evitar cópias de documentos ou ate mesmo enviar essas informaçoes de um e-
mail pessoal.

No caso de Violação das normas, devem ser informadas imediatamente para a área de
Segurança da informação para a investigação e acoes necessárias .

Alguns exemplos de sanções:

- uso ilegal de software;
- introdução (intencional ou não) de vírus de informática;
- tentativas de acesso não autorizado a dados e sistemas;
- compartilhamento de informações sensíveis do negócio;
- divulgação de informações de clientes e das operações contratadas;

Politica de correio eletronico

O serviço de e-mail será implantado e gerenciamento para acesso interno via software
especifico e externo webmail ou cliente de dispositivo móvel, seja:
iPhone, Android ou Windows Phone.
Seguindo a normatização de criação de login do microsoft active directory (mesmo que o
active directory não seja implantando inicialmente) iremos por regra sempre criar o email
com a primeira letra do nome e o último sobrenome.

Por questão de segurança o acesso será única e exclusivamente do funcionário e

intransferível, devendo o email ser colocado em modo suspenso e/ou redirecionando
mensagens em caso de período de férias.

Algumas políticas de segurança já definidas:

A senha deverá seguir o critério do AD, uma Letra maiúscula no mínimo, caracteres
especiais e números (mesmo que não seja usado no domínio)
O cliente de e-mail a ser usado será o Outlook e não demais clientes pois será
controladas atualizações e patchs do software via system center.
Não será permitido a execução de scripts no corpo de e-mail.
Imagens não serão carregadas automaticamente exemplo assinaturas feitas e enviadas
como imagens serão apresentadas como anexo.
Anexos com extensões do tipo .exe .bat . vbe . jar .js .vbs .cmd .cpl .scr .sys entre outros
autoexecutáveis que podem embarcar algum tipo de ameaça.
Anexos terão limites de tamanho para envio.
As informações transitadas via e-mail corporativo não devem ser apenas sobre trabalho e
e-mail internos não devem ser enviados a e-mail pessoais de terceiros no caso de
pessoas do convívio particular como parentes e amigos fora da empresa.
Não utilizar o endereço de e-mail corporativo para fins pessoas como cadastro em sites,
blogs redes sociais e demais serviços.
Evitar cliques em links desconhecidos recebidos por e-mail a não ser de contatos
seguros e conhecidos como clientes, fornecedores e parceiros.

Politica de Senhas

O Colaborador é responsável pelo oque faz com o seu login, que é único e acompanhado
por uma senha individual de acesso aos recursos de tecnologia da empresa.

É importante que o colaborador faça os seguintes procedimentos:

- memorizar a senha e não deixar exposta ou escrita em nenhum lugar;

- Sempre alterar a senha em caso de suspeitas;
- Selecionar senhas que sejam difíceis de adivinhar;
- Bloquear sempre o equipamento ao se ausentar.

Backup e restore

Para a prevenção central e controle e contra perda de dados a aplicação Backup Exec
será o centro do processo de automação de backup e restore dos servidores e dados de
trabalho, para termos o suporte total a backup tanto em workstations, servidores físicos e
servidores virtuais.
Os arquivos de trabalho devem ser salvos em local seguro, uma pasta de trabalho será
criada na rede \\corp\unidades para cada setor conforme suas devidas necessidade e
permissões.
Lá todos os funcionários deveram salvar seus arquivos de trabalho principalmente os de
extensão a seguir
.doc e .docx (Word)
.xls e .xlsx (Excel)
.ppt e .pptx (Power Point)
.pdf .xps (Adobe Reader e Microsoft XPS Document Writer)
.msg (E-mail salvo do Outlook)
Observação: não será permitido salvar arquivos de fotos (pessoais) áudio e vídeo na
rede, haverá auditoria constante em cima das extensões de tais arquivos e caso
encontrados os mesmo serão deletados após aviso e aprovação do gestor da área.
Para os casos de incidentes ou requisições para verificação de arquivo ou realização de
restore deverá ser validado as seguintes informações antes do processo.
Identidade e legitimidade da requisição
Endereço do servidor de backup
Nome do arquivo ou pasta e horário da ultima modificação ou visualização do item que
deverá ser analisado ou restaurado.
O solicitante/reclamante tem permissão de acesso a determinada rede ou pasta (verificar
nas permissões)
O backup central será diariamente em horário após o expediente normal.

Questão 2
Como a criptografia poderia ser aplicada na empresa Tuttibuoni Massas Artesanais nas
operações de coleta de dados por meio dos dispositivos móveis dos clientes? Qual a
melhor técnica de criptografia a ser implementada: a simétrica ou a assimétrica?
Justifique sua resposta.

Questão 3

Para que a implantação das medidas de segurança de redes tenha sucesso na empresa
Tuttibuoni Massas Artesanais, garanta a melhoria contínua e atinjam os objetivos
definidos pela empresa, quais políticas de segurança devem ser utilizadas? Justifique sua
resposta.

Serão adotados de maneira efetiva controles para dificultar o acesso indevido. Portanto,
com a implantação de sistemas de intrusão mesclados a dispositivos de autenticação.
Firewall com a finalidade de diminuir efetivamente a possibilidade de vulnerabilidades.
Serão tomadas medidas que permitam identificar e gerir os acessos, definindo
perfis e autorizando permissões para estabelecer limites e acesso.
Serão instalados sistemas de monitoramento e auditagem para ajudar no
diagnóstico de condutas de exposição, antivírus e o sistema de detecção de intrusos com
a finalidade de detectar e reduzir o tempo de resposta (SLA) aos incidentes.
Serão realizadas constantemente procedimentos de análise de riscos que levem
em conta fatores tecnológicos, físicos e humanos objetivando realizar um trabalho prévio
bem orientado que possibilite com que o processo de investigação e análise de riscos
seja o mais preciso possível. Desta maneira, podemos mensurar e distribuir os
investimentos de forma proporcional e a partir disso corresponder às expectativas da
empresa ao atingir o nível de segurança adequado às nossas atividades.