Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia de Ciberhigiene Informatica
Guia de Ciberhigiene Informatica
Preâmbulo
Apesar do erro humano ou malícia por parte de um funcionário poder estar na origem de
um incidente, os ataques externos são cada vez mais frequentes, danosos e incisivos,
podendo ocorrer das mais variadas formas. Apesar das formas mais comuns de ataques
ocorrerem tendo como alvo o site da organização através de programas maliciosos
escondidos em anexos de e-mails ou dissimulados em dispositivos USB, existe outras formas
de ataques que têm normalmente em vista o roubo de palavras-passe e credenciais, que
depois permitem o acesso a informação crítica da organização.
É da responsabilidade dos gestores verificar que medidas de proteção adequadas são postas
em prática e operacionalizadas. Estas medidas devem ser necessariamente ser escritas,
difundidas, entendidas e conhecidas por toda a organização, abrangendo em si as medidas
políticas de segurança genéricas dos sistemas de informação e quais os sistemas que devem
ser verificados regularmente, no quadro do ambiente de informação da organização.
[2]
Entre essas medidas, existem medidas técnicas simples relacionadas com os computadores,
terminais ou estações de trabalho, que são qualificadas como medidas de higiene
informática e que garantem a transposição das regras básicas de segurança para o mundo
digital.
Resulta de uma análise transversal aos ataques conhecidos, que a maioria desses ataques
informáticos poderiam ter sido evitados se as medidas de higiene informática descritas
neste guia tivessem sido implementadas pelas organizações em causa. É precisamente esse
um dos objetivos deste guia. Poder chegar, de forma simples e pouco complexa, às pessoas
que operam sobre sistemas de informação, quer seja à pessoa individual enquanto
responsável apenas pelo computador, quer se trate de um responsável pela segurança dos
sistemas de informação ou qualquer outra pessoa que executa essa função.
[3]
Aos departamentos e funcionários de Tecnologias de Informação (TI)
[4]
Este guia destina-se às organizações em geral e, mais concretamente, aos seus
departamentos de TI. As 40 regras de higiene do computador apresentadas são essenciais
para garantir a segurança dos sistemas de informação e despertar na consciência dos
utilizadores a necessidade da adoção de rotinas e cuidados simples de implementar. Não
se pretende ser exaustivo ou abranger a totalidade das boas práticas referentes à utilização
e manutenção de equipamentos informáticos, atentos à especificidade e unicidade de cada
organização, considerando ainda assim que as regras constantes deste guia são a base
mínima para reforçar a proteção das informações da sua organização.
[5]
Índice de Capítulos
[6]
Índice de Regras
Regra n.º 1 - Definir um plano ou regulamento interno de utilização segura dos recursos
informáticos
Regra n.º 3 - Ter um inventário completo de contas com privilégios elevados e mantê-lo
atualizado
Regra n.º 6 - Proibir a ligação de dispositivos pessoais à rede e aos sistemas de Informação
da organização
Regra n.º 9 - Identificar pelo nome cada pessoa que tenha acesso aos sistemas de infor-
mação
Regra n.º 11 - Estabelecer meios técnicos para cumprir as normas relativas à autenticação
Regra n.º 12 - Não guardar palavras-passe em claro em arquivos ou ficheiros num compu-
tador
Regra n.º 14 - Preferir, quando possível, a autenticação forte por smart card
[7]
Regra n.º 15 - Estabelecer um nível homogéneo de segurança transversal ao parque in-
formático
Regra n.º 16 - Proibir tecnicamente a ligação de dispositivos amovíveis, a menos que se-
jam estritamente necessários. Desativar a execução de ficheiros “autorun”
a partir desses dispositivos
Regra n.º 17 - Utilizar uma ferramenta de gestão para o parque informático que permita
implementar políticas de segurança e atualizações sobre equipamentos
Regra n.º 18 - Gerir dispositivos móveis segundo uma política de segurança pelo menos
tão rigorosa como a política aplicada aos telefones fixos
Regra n.º 19 - Proibir, em todos os casos possíveis, ligações ou acessos remotos a partir
de estações de trabalho clientes
Regra n.º 23 - Evitar o uso de infraestruturas de rede sem fios (Wi-Fi). Se o uso dessas
tecnologias não puder ser evitado, deve procurar-se a compartimentação
da rede de acesso sem fios da rede que suporta os principais sistemas de
informação
Regra n.º 26 - Certificar-se de que nenhum dispositivo de rede possui uma interface de
administração acessível a partir da Internet
[8]
Regra n.º 29 - Proibir o acesso à Internet a partir das contas de administração
Regra n.º 30 - Use uma gestão dedicada para a administração dos dispositivos de rede ou,
pelo menos, uma rede lógica separada da rede dos utilizadores
Regra n.º 31 - Não dar privilégios de administração aos utilizadores. Não permitir exce-
ções a esta regra
Regra n.º 34 - Proteger de forma rigorosa as chaves que permitem o acesso a locais res-
tritos e a códigos de alarme
Regra n.º 35 - Não permitir ou disponibilizar o acesso à rede interna a partir de locais
abertos ao público
Regra n.º 36 - Definir políticas e regras para a utilização de equipamentos de cópia e im-
pressão
Regra n.º 38 - Criar uma cadeia de alerta e resposta, conhecida por todos os intervenien-
tes
Regra n.º 39 - Não considerar terminada qualquer intervenção sobre uma infeção, ou ou-
tro incidente, sem procurar esclarecer por exemplo como o código malici-
oso pode ter sido instalado, se existe a possibilidade de se ter propagado
na rede ou qual a informação ou dados que foram manipulados ou afetados
Regra n.º 41 - Implementar auditorias periódicas de segurança (pelo menos com uma fre-
quência anual). Cada auditoria efetuada deve estar associada a um plano
de ação, cuja implementação tem de ser aprovada e cumprida até ao mais
alto nível da organização
[9]
I - Conhecer os Sistemas de Informação e os seus utilizadores
A segurança dos recursos informáticos de uma organização e, bem assim, dos seus
sistemas de informação, é primariamente responsabilidade da organização, mas é
importante envolver todos os funcionários enquanto corresponsáveis e fonte de
contributos para esse estado de segurança.
Regra n.º 1
[10]
o Qual o compromisso da organização em relação à segurança, ou seja, quais os esforços
que a organização pode de realizar para minimizar os prejuízos em caso de incidente;
o Estado atual em termos de segurança informática, indicando porventura alguns resulta-
dos obtidos através da análise de risco e as soluções tecnológicas de segurança já imple-
mentadas;
Recomendações e requisitos, indicando as ações a realizar para implementar a política
de segurança, nomeadamente a definição dos direitos de acesso, das atividades lícitas
ou ilícitas e da política de reação em caso de incidente;
Responsabilidades, definindo claramente quem é o responsável e quem tem autoridade
para implementar a política de segurança;
Avaliação e revisão do documento, indicando quando se deve efetuar um ponto da situ-
ação em relação à segurança;
Glossário, de modo a auxiliar a compreensão de alguma terminologia por pessoal não
técnico.
Regra n.º 2
[11]
Lista de recursos de hardware (marca, modelo e data de instalação) e software (versão
e data de instalação), usado. Procure ser o mais específico possível. Para iniciar este pro-
cesso de inventariação é necessário o estabelecimento de uma lista de equipamentos
implantados, associados aos seus beneficiários e aos seus parâmetros técnicos (ende-
reço IP, endereço MAC), de um lado, e o software principal implementado nesses mes-
mos equipamentos (por exemplo o pacote Office, visualizador de ficheiros PDF, navega-
dor ou cliente de e-mail) com as suas respetivas versões. Adicionalmente a estes aspetos,
os cargos administrativos dos utilizadores devem também situar-se no âmbito do mape-
amento. Quanto mais homogéneo for o parque informático da organização mais fácil e
simples será a criação deste mapeamento.
Arquitetura de rede da organização (hotspots identificados, conexões internas e exter-
nas1 a servidores de dados ou outros equipamentos com funções de armazenamento,
equipamentos sensíveis, etc).
Uma vez concluído este mapeamento inicial, ele deve ser mantido atualizado e ampliado
com os elementos relacionados com os protocolos utilizados (matrizes de fluxo). Este
mapeamento não deve, idealmente, ser armazenado na rede que esquematiza, pois será
certamente um dos elementos que um atacante irá procurar em primeiro lugar, se a
intrusão tiver sucesso.
Regra n.º 3
1
Tenha especial atenção à inventariação de todo os sistemas de informação que façam uso da internet e que
necessitem de redes de interconexão com parceiros (fornecedores, parceiros de negócios, etc). Neste caso parti-
cular o inventário deve ser exaustivo e deve incluir a tipologia das conexões (ADSL, XDSL, etc) eventualmente
implementadas para as necessidades específicas dos utilizadores, bem como eventuais linhas alugadas
[12]
Utilizadores que possuem uma conta de administrador (ou privilégios superiores aos de
um utilizador normal) nos sistemas de informação;
Utilizadores que possuem privilégios suficientes para aceder aos relatórios e registo da
atividade dos dirigentes da organização ou, por exemplo, à relação dos restantes utiliza-
dores;
Utilizadores que não ocupam uma fixa ou permanente no serviço e/ou nas estações de
trabalho que utilizam, uma vez não serão possivelmente abrangidos pelas políticas in-
ternas de segurança da organização.
Este inventário deve, naturalmente, ser mantido atualizado. Para além deste aspeto, é
desejável dispor igualmente de uma lista dos utilizadores que têm privilégios suficientes
para aceder ao endereço de correio electrónico da administração da organização ou de
outros utilizadores.
Regra n.º 4
Estes procedimentos são concebidos para assegurar que os privilégios concedidos para
acesso aos sistemas de informação são aplicados da forma correta e necessária. Em
particular, é importante que os privilégios atribuídos a um utilizador sejam revogados
caso cesse as funções que exercia.
[13]
Os procedimentos devem descrever, pelo menos, o seguinte:
[14]
II - Gestão da Rede
Regra n.º 5
Regra n.º 6
Esta regra é muitas vezes considerada como uma restrição inaceitável e retrógrada por
muitos utilizadores. Ainda assim, é importante que se perceba que a renúncia a esta
regra facilita grande parte do trabalho de um atacante, pois contribui ativamente para o
enfraquecimento da rede corporativa. Na verdade, estima-se que em cerca de uma
centena de dispositivos pessoais conectados à rede corporativa, dez desses dispositivos
estarão comprometidos por código malicioso genérico (para não mencionar ataque
direcionado).
[15]
Por conseguinte, é importante proibir ou evitar a sua ligação à rede que suporta as
informações da organização. Esta proibição deve ser principalmente organizacional.
Mesmo que nenhuma regra técnica impeça a ligação de dispositivos pessoais, os
utilizadores devem ser sensibilizados e incentivados a não recorrer a tais práticas.
Esta proibição deve, tanto quanto possível, ser complementada por medidas técnicas,
mas a implementação poderá revelar-se mais complexa (controle sistemático da rede,
desabilitação das portas USB, etc). Se se revelar necessário o acesso à rede e sistemas
de informação fora do local de trabalho, a organização deve procurar fornecer os meios
adequados para permitir tal utilização.
[16]
III - Atualização de Software
Regra n.º 7
Recomenda-se que seja dada prioridade aos componentes básicos (sistema operativo,
suíte de produtividade, navegador de internet e outras ferramentas para a navegação -
como a máquina virtual Java ou Flash player, e visualizadores de documentos).
Conseguida a normalização do procedimento de atualização para estes componentes,
deve avançar-se então com o procedimento de atualização para os outros componentes
de software inventariados e integrar esses procedimentos nos restantes já consolidados.
[17]
É também necessário identificar e monitorizar sistematicamente as fontes de
informação idóneas a identificar as vulnerabilidades dos componentes inventariados e
as atualizações apropriada (sites do software inventariado, sites CERT, etc).
Regra n.º 8
Pode ser usada uma simples tabela para este efeito, desde que contenha os elementos
necessários. Se estiver disponível, pode ser usada uma ferramenta específica para a
aplicação de atualizações (por exemplo o WSUS em ambientes Microsoft), por forma a
garantir a homogeneidade no parque informático alvo. Recomenda-se ainda que
eventuais avaliações das atualizações em termos de impacto sobre o funcionamento do
sistema, devem ser realizadas antes da aplicação das atualizações.
É imperativo, de acordo dom a Regra n.º 6 e por maioria de razão, não excluir qualquer
componente de software na aplicação das políticas de atualizações. Ainda assim, é
infelizmente comum os departamentos de TI confrontarem-se com sistemas
desatualizados em funcionamento, que não são mais suportadas pelos seus fabricantes
devido a uma utilização particular do sistema, por exemplo, ou por não serem mantidos
os níveis de serviço contratados. Nestes casos é essencial, para isolar estes sistemas e
ainda assim garantir a mitigação de riscos, o seguinte:
Utilização de um filtro rigoroso ao nível da rede, permitindo apenas o acesso aos siste-
mas necessários;
[18]
Não utilizar, ao nível de autenticação, senhas de acesso aos sistemas que sejam igual-
mente utilizadas nos restantes sistemas de informação;
Garantir, ao nível aplicacional, que estes sistemas não usam recursos partilhados com os
restantes sistemas de informação.
[19]
IV - Autenticação dos utilizadores
Regra n.º 9
Identificar pelo nome cada pessoa que tenha acesso aos sistemas de informação
Esta regra, cuja finalidade é remover as contas de acesso genérico e anónimo, destina-
se a facilitar a concessão de um privilégio sobre um determinado sistema e será
particularmente útil no caso de um incidente.
É claro que esta regra não proíbe a manutenção de contas técnicas (chamadas de
serviço), não atribuídas a um indivíduo mas relacionadas com um determinado serviço,
comércio ou aplicação (por exemplo um utilizador "apache" para um servidor web). Estas
contas, no entanto, devem ser geridas por uma política, pelo menos, tão rigorosa quanto
a política aplicada às contas individuais.
Regra n.º 10
[20]
Recomenda-se o seguinte:
Utilização de uma palavra-passe única para cada serviço ou sistema de informação crí-
tico. Em particular, deve ser absolutamente evitada a utilização da mesma palavra-passe
para a conta de correio electrónico pessoal e profissional;
Escolher uma palavra-passe que não esteja relacionada com o utilizador (nome da em-
presa, data de nascimento, etc).
Nunca pedir a uma terceira pessoa para gerar uma palavra-passe;
Alterar de forma sistemática e a mais cedo possível as palavras-passe padrão que os sis-
temas contenham (default password);
Renovar as palavras-passe com uma frequência razoável. A cada 90 dias é um bom com-
promisso para sistemas de informação que contêm dados sensíveis;
Não guardar palavras-passe em arquivo ou ficheiros num computador particularmente
exposto a riscos (por exemplo com acesso à Internet), e muito menos em suportes de
papel de fácil acesso (blocos de notas, etc);
Desencorajar ou mesmo proibir o envio, pelos utilizadores, das suas próprias palavras-
passe para as suas contas de correio electrónico pessoais;
Configurar o software, incluindo o navegador de internet, para não guardar as palavras-
passe.
[21]
Regra n.º 11
Bloqueio de contas em que a palavra-passe não tenha sido alterada, a cada seis meses;
Bloqueio de qualquer configuração dos computadores ou sistemas que permitam a uti-
lização de sistemas ou aplicações "sem palavra-passe" (autologon), ou a partir de uma
conta que não seja a de um utilizador (por exemplo uma conta convidado);
Verificar se as palavras-passe escolhidas são difíceis de descobrir.
Regra n.º 12
[22]
Também é importante não usar mecanismos automáticos de salvaguarda (backup) de
palavras-passe (por exemplo o botão "lembrar sempre palavra-passe" do navegador). Se
o número de palavras-passe existentes implicar ou aconselhar a utilização de uma
solução de armazenamento centralizado, é necessário utilizar um sistema cuja segurança
foi avaliada e certificada.
Regra n.º 13
Os elementos padrão são sempre conhecidos pelos atacantes, para além de serem
normalmente triviais e inseguros (a mesma palavra-passe é compartilhado entre vários
dispositivos da mesmo gama, etc). Por esse motivo devem ser mudados. Se a mudança
não for possível (por hardware em alguns equipamentos certificados, por exemplo), esta
questão crítica deve ser comunicada ao fabricante para corrigir o mais rapidamente
possível esta vulnerabilidade.
Regra n.º 14
[23]
V - Equipamentos terminais e estações de trabalho seguros
Se até há poucos anos os alvos prioritários dos atacantes eram os servidores, atacar um
cliente tornou-se agora uma das formas mais fáceis para entrar na rede de uma
organização. Com efeito, é comum constatar que os clientes são menos seguros, e
certamente menos bem supervisionados, do que os servidores.
Regra n.º 15
Adicionalmente, o acesso à BIOS das estações de trabalho deve ser bloqueado com uma
palavra-passe não trivial, desabilitando também o arranque a partir de dispositivos
amovíveis ou através da rede (Wake On LAN).
Sobre este último aspeto, note-se que o bloqueio de determinado conteúdo (JavaScript,
Flash), ainda que importante do ponto de vista da segurança, é muitas vezes difícil ou
[24]
impossível devido à necessidade do uso destas tecnologias no acesso à determinada
informação. Assim, é importante que, pelo menos em máquinas em que a utilização
destas tecnologias não sejam estritamente necessárias, estas tecnologias sejam
desativadas.
Regra n.º 16
Muitas organizações preferem utilizar estações de trabalho fixas e através das quais
devem passar todos os dispositivos amovíveis antes serem ligados aos sistemas de
informação da organização. Se o objetivo é louvável (realizar o controlo de segurança
antes da ligação), essas estações de trabalho poderão tornar-se rapidamente em
próprios “sistema de informações” acessíveis a todos os utilizadores e, portanto, muito
expostos). Este tipo de utilização deve apenas ser considerado se puder ser bem
controlado. Em qualquer caso, a execução automática de código a partir de dispositivos
amovíveis (autorun) deve ser consistente e tecnicamente proibida.
[25]
Políticas de Restrição de Software (Software Restriction Policies). Tal política pode ser
implementada de modo a limitar o risco de importação não intencional de malware em
geral, em particular a partir de dispositivos USB.
Regra n.º 17
Regra n.º 18
Gerir dispositivos móveis segundo uma política de segurança pelo menos tão rigorosa
como a política aplicada aos telefones fixos
Porque o nível real de segurança da rede é aferido pelo seu elo mais fraco, é importante
minimizar ou excluir eventuais disparidades de tratamento entre terminais móveis e
terminais fixos.
Os terminais móveis devem ter, pelo menos, as mesmas medidas de segurança dos
terminais fixos (atualizações, restrição de privilégios, etc). As condições de utilização de
terminais móveis necessita com maior frequência de um reforço de alguns recursos de
segurança (por exemplo criptografia de disco ou autenticação forte), mas a
implementação de tais características em telefones fixos é também uma boa prática de
defesa em profundidade.
[26]
Regra n.º 19
Por natureza, uma ferramenta de suporte remoto permite um amplo acesso aos recursos
disponíveis na estação de trabalho do utilizador assistido, permitindo por vezes examinar
todas as informações armazenadas na máquina, a utilização de diferentes dispositivos
presentes (microfone, Webcam, etc) ou usar as aplicações instaladas. Estas permissões
e possibilidades poderão levantar algumas questões relacionadas com o princípio da
necessidade de conhecer, com a rastreabilidade de ações e próprio controlo das
operações realizadas na máquina pelo utilizador remoto.
Regra n.º 20
[27]
devendo ser usados produtos que ofereçam mecanismos robustos e seguros
encriptação.
[28]
VI - Proteger a rede interna
Regra n.º 21
Regra n.º 22
[29]
Quando a rede é única (cada máquina na rede tem a possibilidade de aceder a qualquer
outra máquina na mesma rede), no sentido de não ser particionada ou subdividida em
função da informação que suporta, pode ocorrer o comprometimento de toda a rede
devido a uma falha em qualquer ponto da mesma rede.
Regra n.º 23
Evitar o uso de infraestruturas de rede sem fios (Wi-Fi). Se o uso dessas tecnologias
não puder ser evitado, deve procurar-se a compartimentação da rede de acesso sem
fios da rede que suporta os principais sistemas de informação
Não é recomendado o uso de tecnologias de rede sem fios dentro de uma rede que se
pretende segura, dadas as intermitentes garantias de disponibilidade e a
dificuldade/custo em definir uma arquitetura que garanta acessos seguros.
[30]
necessária. O projeto de uma rede sem fios desse tipo (segura, controlável e passível de
ser auditada) está para além do âmbito das medidas básicas de higiene informática.
Regra n.º 24
Protocolos inseguros (telnet, FTP, POP, SMTP, HTTP) são geralmente protocolos que
devem ser evitados, ou mesmo proibidos, na rede da organização, devendo ser
substituídos pelos protocolos equivalentes que conferem segurança (SSH, SFTP, POPS,
SMTPS, HTTPS, etc).
[31]
capacidade de manutenção e atualização das mesmas aplicações, no que respeita à
segurança.
[32]
VII - Proteger a rede interna da Internet
Se é verdade que alguns ataques podem ter origem na rede interna, uma das principais
formas de ataque reconhecida ainda se constitui na infecção por ligação a sites
comprometidos na Internet. Assim sendo, é importante, para além de medidas de
proteção rede interna, incluindo a limitação do número de ligações à Internet,
implementar medidas de defesa específicas para o perímetro externo da organização.
Regra n.º 25
[33]
São particularmente críticos, no projeto de uma ligação à Internet, os seguintes aspetos:
Criar, ou atualizar, de forma rápida e eficiente as políticas a aplicar aos componentes que
garantem a ligação à Internet;
Monitorizar a ligação em tempo real e analisar os alertas. Qualquer ligação não prevista
entre dois dispositivos deverá ser considerada como uma possível tentativa de ataque;
Não usar o protocolo DNS para resolver nomes de hosts dentro da porta de entrada (ga-
teway) ou o protocolo ARP, devendo ser configurados os endereços Ethernet e associa-
ções de endereços IP. Esta configuração é projetada para minimizar o risco de roubo de
identidade de todos os elementos da rede;
Usar o princípio da diversificação tecnológica dentro da capacidade de manutenção dos
equipamentos.
Regra n.º 26
[34]
VIII - Sistemas de monitorização
Grande parte das medidas descritas até ao momento são de natureza preventiva,
destinadas à redução do risco de exploração por um atacante a partir de uma
vulnerabilidade nos sistemas de informação ou rede da organização. É importante estar
ciente de que a implementação de medidas preventivas não fornece, por si só, uma
supervisão dos sistemas ou da rede durante sua operação. As medidas de supervisão, ou
monitorização, são propostas neste capítulo.
Regra n.º 27
Na maioria dos casos, os eventos que devem gerar um alerta e ser processados num
espaço de 24 horas são os seguintes:
[35]
Regra n.º 28
É essencial definir os procedimentos para a verificação dos eventos que irão gerar um
alerta quando um dos objectivos identificados não for cumprido. Estes procedimentos
deverão garantir que os registos de eventos são frequentemente analisados.
Além dos itens mencionados na regra anterior, a análise de eventos (por exemplo os
logs) poderá concentrar-se particularmente nos seguintes pontos:
[36]
IX - Garantir a segurança da administração da rede
Regra n.º 29
Regra n.º 30
Use uma gestão dedicada para a administração dos dispositivos de rede ou, pelo
menos, uma rede lógica separada da rede dos utilizadores
A divisão entre a rede de gestão, a rede de trabalho e a rede de utilizadores, deve ser
considerado um imperativo. Dependendo das capacidades da organização, recomenda-
se o seguinte:
[37]
Privilegiar a divisão física das redes, se possível;
Não sendo possível, considerar a implementação de particionamento lógico das redes,
com mecanismos de encriptação baseados em túneis IPSec, por forma a permitir a inte-
gridade e confidencialidade das informações transmitidas na rede;
Implementar, no mínimo, um particionamento lógico das redes por VLANs.
Regra n.º 31
Não dar privilégios de administração aos utilizadores. Não permitir exceções a esta
regra
Regra n.º 32
[38]
X - Controlar os acessos e garantir a segurança física dos locais
Regra n.º 33
Regra n.º 34
Considerando que é por vezes difícil o controlo do fluxo habitual de entrada e saída dos
funcionários da organização, assim como de todas as outras pessoas que por diversos
motivos interagem com a mesma organização (clientes, parceiros, fornecedores, etc),
deve ser considerada a aplicação das seguintes regras:
[39]
Recolha sistemática de chaves na posse dos funcionários, no momento em que se au-
senta da organização;
Alteração frequente dos códigos de alarme da organização;
Nunca fornecer códigos de alarme ou chaves a fornecedores externos, a menos que seja
possível limitar e rastrear o acesso e restringir tecnicamente os intervalos de tempo de
acesso necessários.
Regra n.º 35
Como lugar público devem também ser considerados os espaços de acesso público
dentro dos limites físicos da organização, como por exemplo salas de espera ou
corredores. A partir destes locais os atacantes podem obter, por exemplo, o acesso à
rede interna a partir da ligação de uma máquina a um ponto de rede existente. Nestes
locais encontram-se normalmente os seguintes equipamentos:
Por esse facto, as configurações da rede, no que respeita aos caminhos e acessos aos
sistemas de informação da rede interna, não devem estar disponíveis em locais públicos.
Se se revelar necessário a disponibilidade de recursos da rede interna em espaços
públicos (por exemplo para levar a efeito uma apresentação), as configurações de rede
necessárias devem ser aplicadas apenas nessa ocasião, devendo ser eliminadas de
imediato, quando cessar a sua necessidade.
[40]
Regra n.º 36
[41]
XI - Preparar a reação em caso de incidente
Regra n.º 37
[42]
Os dados da organização que sejam considerados sensíveis, devem ser salvaguardados
periodicamente. O procedimento de salvaguarda dos dados (vulgo backup) deve
preferencialmente ser automatizado e incidir sobre os equipamentos onde se
encontram os dados, não ficando dependente da boa vontade dos utilizadores que
acedem aos dados, que podem muitas vezes não ter tempo ou conhecimentos para fazer
esses backups. Os backups devem ainda ser verificados periodicamente e ser
convenientemente armazenados em locais fisicamente distintos dos locais onde os
equipamentos primários, que processam e armazenam esses dados, se encontram.
Regra n.º 38
Regra n.º 39
[43]
possibilidade de se ter propagado na rede ou qual a informação ou dados que foram
manipulados ou afetados
Por vezes as organizações não procuram saber estes aspectos desde o início dos
sintomas de infecção, despendendo assim várias semanas ou meses no tratamento de
um incidente. Assegurar-se de que cada tratamento de um incidente é objeto de um
feedback, e bem assim de atualização permanente de conhecimento, torna mais eficaz
o tratamento de futuros incidentes semelhantes.
[44]
Reinstalar integralmente a máquina comprometida, depois de efetuar as cópias já refe-
ridas, se se considerar que a mesma deve retornar ao ambiente produtivo, pois não é
suficiente e seguro a mera restauração ou "Limpeza".
[45]
XII - Sensibilizar
Regra n.º 40
Todos os utilizadores devem sempre (pelo menos anualmente) ser lembrados de:
O respeito e cumprimento das regras básicas higiene informática que dizem respeito aos
utilizadores, devem constar de um regulamento de utilização de meios informáticos, do
conhecimento explícito de cada utilizador.
[46]
XIII - Auditar a segurança
Regra n.º 41
[47]
O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos
termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou
usar gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que
não tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.
[48]