Guia de Ciberhigiene Informática

Preâmbulo

A evolução das Tecnologias de Informação e Comunicação, em concreto e em particular a

Internet, revolucionou decisivamente a forma de viver e trabalhar dos particulares e das
organizações, privadas e/ou públicas.

A elevada necessidade e dependência organizacional em relação aos sistemas de

informação conduzem a que, atualmente, a perda ou roubo de informações, ou a
indisponibilidade dos mesmos sistemas de informação, possa ter consequências graves
para as organizações e para todo o ecossistema em que opera, como sejam a perda de
confiança dos clientes, dos parceiros, desvantagem em relação a concorrentes ou a
afetação da capacidade operacional após a interrupção da produção.

A proteção de informações sensíveis, confiadas às organizações pelos clientes e parceiros,

podem agora criar vantagens competitivas assinaláveis, mas, mais importante ainda, a
proteção dos dados e da rede informática tornou-se crucial para a sobrevivência do negócio
e a para a sua competitividade.

Apesar do erro humano ou malícia por parte de um funcionário poder estar na origem de
um incidente, os ataques externos são cada vez mais frequentes, danosos e incisivos,
podendo ocorrer das mais variadas formas. Apesar das formas mais comuns de ataques
ocorrerem tendo como alvo o site da organização através de programas maliciosos
escondidos em anexos de e-mails ou dissimulados em dispositivos USB, existe outras formas
de ataques que têm normalmente em vista o roubo de palavras-passe e credenciais, que
depois permitem o acesso a informação crítica da organização.

É da responsabilidade dos gestores verificar que medidas de proteção adequadas são postas
em prática e operacionalizadas. Estas medidas devem ser necessariamente ser escritas,
difundidas, entendidas e conhecidas por toda a organização, abrangendo em si as medidas
políticas de segurança genéricas dos sistemas de informação e quais os sistemas que devem
ser verificados regularmente, no quadro do ambiente de informação da organização.

[2]
Entre essas medidas, existem medidas técnicas simples relacionadas com os computadores,
terminais ou estações de trabalho, que são qualificadas como medidas de higiene
informática e que garantem a transposição das regras básicas de segurança para o mundo
digital.

Resulta de uma análise transversal aos ataques conhecidos, que a maioria desses ataques
informáticos poderiam ter sido evitados se as medidas de higiene informática descritas
neste guia tivessem sido implementadas pelas organizações em causa. É precisamente esse
um dos objetivos deste guia. Poder chegar, de forma simples e pouco complexa, às pessoas
que operam sobre sistemas de informação, quer seja à pessoa individual enquanto
responsável apenas pelo computador, quer se trate de um responsável pela segurança dos
sistemas de informação ou qualquer outra pessoa que executa essa função.

As 40 regras de higiene informática aqui apresentadas não pretendem constituir-se como a

totalidade das regras importantes ou necessárias. Consideram-se estas regras como sendo,
isso sim, essenciais por constituírem uma base mínima de regras para proteger as
informações de uma organização.

[3]
Aos departamentos e funcionários de Tecnologias de Informação (TI)

Os departamentos de TI são responsáveis pela segurança de sistemas de informação da

organização e essa responsabilidade inclui também, na generalidade, o bom funcionamento
dos computadores ou estações de trabalho associadas. Ao longo dos anos os negócios
evoluíram com o advento da tecnologia da informação, alargando e tornando mais
premente as responsabilidades desses departamentos nas empresas, governos ou
autoridades locais. É indiscutível que novas formas de utilização da tecnologia implicam
muitas vezes sistemas de controlo mais complexos.

Atualmente estão disponíveis publicamente diversas bases de dados de clientes, contratos

comerciais e patentes, procedimentos administrativos e outro tipo de informação,
acessíveis de forma permanente através da Internet ou mesmo através de telefones fixos
ou móveis. Este facto coloca as organizações em posição de vulnerabilidade perante a perda
ou roubo de alguma informação ou a indisponibilidade dos sistemas e equipamentos de
suporte à informação, mas também é factual que a efetiva e eficaz proteção de informações
confidenciais, sensíveis ou que foram confiados por clientes, parceiros ou fornecedores, é
geradora de confiança e essencial para a fluidez e sucesso da atividade das organizações.

Se o erro humano ou malícia de um empregado pode às vezes ser a causa da falha, a

agressão externa, por espionagem ou mesmo sabotagem, é agora extremamente comum e
discreta. É amplamente consensual que muitos ataques a sistemas de informação e
equipamentos informáticos poderiam ter sido evitados se medidas técnicas essenciais
tivessem sido devidamente implementadas, acompanhadas e atualizadas pelas
organizações vítimas desses ataques. Dentro do espectro de medidas que podem ser
implementadas encontram-se medidas podem ser descritas como "regras básicas higiene
do computador". Não seguir estas regras pode expor desnecessariamente as organizações
a riscos de incidentes graves, idóneos a afetar o seu funcionamento e competitividade, ou
mesmo a possibilitar a interrupção da sua atividade.

[4]
Este guia destina-se às organizações em geral e, mais concretamente, aos seus
departamentos de TI. As 40 regras de higiene do computador apresentadas são essenciais
para garantir a segurança dos sistemas de informação e despertar na consciência dos
utilizadores a necessidade da adoção de rotinas e cuidados simples de implementar. Não
se pretende ser exaustivo ou abranger a totalidade das boas práticas referentes à utilização
e manutenção de equipamentos informáticos, atentos à especificidade e unicidade de cada
organização, considerando ainda assim que as regras constantes deste guia são a base
mínima para reforçar a proteção das informações da sua organização.

As regras que de seguida se explanam referem-se à utilização e manuseamento corrente de

computadores comummente conhecidos por desktop ou computadores de secretária
tradicionais.

[5]
Índice de Capítulos

I - Conhecer os Sistemas de Informação e os seus utilizadores

II - Gestão da Rede
III - Atualização de Software
IV - Autenticação dos utilizadores
V - Equipamentos terminais e estações de trabalho seguros
VI - Proteger a rede interna
VII - Proteger a rede interna da Internet
VIII - Sistemas de monitorização
IX - Garantir a segurança da administração da rede
X - Controlar os acessos e garantir a segurança física dos locais
XI - Preparar a reação em caso de incidente
XII - Sensibilizar
XIII - Auditar a segurança

[6]
 Índice de Regras

Regra n.º 1 - Definir um plano ou regulamento interno de utilização segura dos recursos
informáticos

Regra n.º 2 - Ter um diagrama ou mapa preciso da instalação e existência de computado-

res, mantendo-o atualizado

Regra n.º 3 - Ter um inventário completo de contas com privilégios elevados e mantê-lo
atualizado

Regra n.º 4 - Escrever e implementar procedimentos de criação e eliminação de utilizado-

res (funcionários, parceiros, fornecedores, etc)

Regra n.º 5 - Limitar o número de acessos à Internet ao considerado estritamente neces-

sário

Regra n.º 6 - Proibir a ligação de dispositivos pessoais à rede e aos sistemas de Informação
da organização

Regra n.º 7 - Conhecer as modalidades de atualização do software utilizado e manter-se

informado sobre as suas vulnerabilidades, assim como as atualizações neces-
sárias

Regra n.º 8 - Definir uma política de atualizações e aplicá-la com rigor

Regra n.º 9 - Identificar pelo nome cada pessoa que tenha acesso aos sistemas de infor-
mação

Regra n.º 10 - Definir regras para a seleção e dimensionamento das palavras-passe

Regra n.º 11 - Estabelecer meios técnicos para cumprir as normas relativas à autenticação

Regra n.º 12 - Não guardar palavras-passe em claro em arquivos ou ficheiros num compu-
tador

Regra n.º 13 - Renovar sistematicamente os elementos de autenticação padrão (senhas e

certificados default) em equipamentos (switches de rede, routers, servido-
res, impressoras)

Regra n.º 14 - Preferir, quando possível, a autenticação forte por smart card

[7]
Regra n.º 15 - Estabelecer um nível homogéneo de segurança transversal ao parque in-
formático

Regra n.º 16 - Proibir tecnicamente a ligação de dispositivos amovíveis, a menos que se-
jam estritamente necessários. Desativar a execução de ficheiros “autorun”
a partir desses dispositivos

Regra n.º 17 - Utilizar uma ferramenta de gestão para o parque informático que permita
implementar políticas de segurança e atualizações sobre equipamentos

Regra n.º 18 - Gerir dispositivos móveis segundo uma política de segurança pelo menos
tão rigorosa como a política aplicada aos telefones fixos

Regra n.º 19 - Proibir, em todos os casos possíveis, ligações ou acessos remotos a partir
de estações de trabalho clientes

Regra n.º 20 - Encriptar os dados sensíveis, especialmente em estações de trabalho por-

táteis e outros dispositivos que podem ser facilmente extraviados

Regra n.º 21 - Auditar frequentemente a configuração do diretório central (Active Direc-

tory, em ambientes Windows, ou qualquer outro serviço LDAP)

Regra n.º 22 - Implementar redes particionadas ou sub-redes. Para as estações de traba-

lho, dispositivos ou servidores que contêm informações importantes para
a organização, crie uma sub-rede protegida por uma interligação específica

Regra n.º 23 - Evitar o uso de infraestruturas de rede sem fios (Wi-Fi). Se o uso dessas
tecnologias não puder ser evitado, deve procurar-se a compartimentação
da rede de acesso sem fios da rede que suporta os principais sistemas de
informação

Regra n.º 24 - Utilizar sempre aplicações e protocolos seguros

Regra n.º 25 - Garantir a segurança das ligações com a Internet (gateways)

Regra n.º 26 - Certificar-se de que nenhum dispositivo de rede possui uma interface de
administração acessível a partir da Internet

Regra n.º 27 - Definir rigorosamente os objectivos da supervisão dos sistemas de informa-

ção e redes

Regra n.º 28 - Definir a modalidade de análise dos eventos registados

[8]
Regra n.º 29 - Proibir o acesso à Internet a partir das contas de administração

Regra n.º 30 - Use uma gestão dedicada para a administração dos dispositivos de rede ou,
pelo menos, uma rede lógica separada da rede dos utilizadores

Regra n.º 31 - Não dar privilégios de administração aos utilizadores. Não permitir exce-
ções a esta regra

Regra n.º 32 - Implementar, com os meios robustos, mecanismos fortes de autenticação,

proteção, integridade e confidencialidade das comunicações

Regra n.º 33 - Usar sempre mecanismos robustos de controlo de acesso às instalações

Regra n.º 34 - Proteger de forma rigorosa as chaves que permitem o acesso a locais res-
tritos e a códigos de alarme

Regra n.º 35 - Não permitir ou disponibilizar o acesso à rede interna a partir de locais
abertos ao público

Regra n.º 36 - Definir políticas e regras para a utilização de equipamentos de cópia e im-
pressão

Regra n.º 37 - Possuir um plano tecnológico de recuperação de desastres e continuidade

de negócio, ainda que sumário, atualizado regularmente e descrevendo
como efetuar e repor as salvaguardas (vulgo backups) de dados críticos a
empresa

Regra n.º 38 - Criar uma cadeia de alerta e resposta, conhecida por todos os intervenien-
tes

Regra n.º 39 - Não considerar terminada qualquer intervenção sobre uma infeção, ou ou-
tro incidente, sem procurar esclarecer por exemplo como o código malici-
oso pode ter sido instalado, se existe a possibilidade de se ter propagado
na rede ou qual a informação ou dados que foram manipulados ou afetados

Regra n.º 40 - Sensibilizar os utilizadores para as regras elementares de higiene informá-

tica

Regra n.º 41 - Implementar auditorias periódicas de segurança (pelo menos com uma fre-
quência anual). Cada auditoria efetuada deve estar associada a um plano
de ação, cuja implementação tem de ser aprovada e cumprida até ao mais
alto nível da organização

[9]
I - Conhecer os Sistemas de Informação e os seus utilizadores

A segurança dos recursos informáticos de uma organização e, bem assim, dos seus
sistemas de informação, é primariamente responsabilidade da organização, mas é
importante envolver todos os funcionários enquanto corresponsáveis e fonte de
contributos para esse estado de segurança.

O conhecimento de seu próprio sistema de informação é um pré-requisito importante

para a sua segurança. De facto, se o seu sistema de informação inclui equipamentos
deficientemente inventariados ou inexistentes, estes equipamentos, que assim se
tornam obsoletos, serão um alvo privilegiado para um atacante.

Regra n.º 1

Definir um plano ou regulamento interno de utilização segura dos recursos

informáticos

É necessária a definição e apresentação de medidas concretas a serem realizadas, de

modo a proteger a informação da organização e assegurar o pleno funcionamento dos
seus sistemas de informação.

Essas medidas devem estar materializadas num documento de divulgação alargada,

envolvimento obrigatoriamente os níveis hierárquicos superiores, devendo igualmente
ser reavaliado e atualizado periodicamente. Assim, o documento a produzir deve conter
os seguintes elementos:

 Mensagem da administração, reforçando a importância que a segurança assume;

 Objectivos, indicando:
o Quais os objetivos de segurança da organização, como por exemplo a proteção da inte-
gridade e propriedade dos dados ou informação;

[10]
o Qual o compromisso da organização em relação à segurança, ou seja, quais os esforços
que a organização pode de realizar para minimizar os prejuízos em caso de incidente;
o Estado atual em termos de segurança informática, indicando porventura alguns resulta-
dos obtidos através da análise de risco e as soluções tecnológicas de segurança já imple-
mentadas;
 Recomendações e requisitos, indicando as ações a realizar para implementar a política
de segurança, nomeadamente a definição dos direitos de acesso, das atividades lícitas
ou ilícitas e da política de reação em caso de incidente;
 Responsabilidades, definindo claramente quem é o responsável e quem tem autoridade
para implementar a política de segurança;
 Avaliação e revisão do documento, indicando quando se deve efetuar um ponto da situ-
ação em relação à segurança;
 Glossário, de modo a auxiliar a compreensão de alguma terminologia por pessoal não
técnico.

Regra n.º 2

Ter um diagrama ou mapa preciso da instalação e existência de computadores,

mantendo-o atualizado

O desenvolvimento de um mapeamento dos sistemas de informação é o primeiro passo

para uma melhor compreensão do sistema de informação. Este princípio Irá permitir o
desenvolvimento de medidas de segurança adequadas para os sistemas, por forma a
assegurar que nenhum equipamento seja esquecido durante a aplicação de uma medida
de segurança, facilitando assim a resposta aos incidentes.

Este mapeamento deverá incluir, pelo menos, os seguintes elementos:

[11]
 Lista de recursos de hardware (marca, modelo e data de instalação) e software (versão
e data de instalação), usado. Procure ser o mais específico possível. Para iniciar este pro-
cesso de inventariação é necessário o estabelecimento de uma lista de equipamentos
implantados, associados aos seus beneficiários e aos seus parâmetros técnicos (ende-
reço IP, endereço MAC), de um lado, e o software principal implementado nesses mes-
mos equipamentos (por exemplo o pacote Office, visualizador de ficheiros PDF, navega-
dor ou cliente de e-mail) com as suas respetivas versões. Adicionalmente a estes aspetos,
os cargos administrativos dos utilizadores devem também situar-se no âmbito do mape-
amento. Quanto mais homogéneo for o parque informático da organização mais fácil e
simples será a criação deste mapeamento.
 Arquitetura de rede da organização (hotspots identificados, conexões internas e exter-
nas1 a servidores de dados ou outros equipamentos com funções de armazenamento,
equipamentos sensíveis, etc).

Uma vez concluído este mapeamento inicial, ele deve ser mantido atualizado e ampliado
com os elementos relacionados com os protocolos utilizados (matrizes de fluxo). Este
mapeamento não deve, idealmente, ser armazenado na rede que esquematiza, pois será
certamente um dos elementos que um atacante irá procurar em primeiro lugar, se a
intrusão tiver sucesso.

Regra n.º 3

Ter um inventário completo de contas com privilégios elevados e mantê-lo atualizado

Este inventário deverá conter, no mínimo, os seguintes elementos:

1
Tenha especial atenção à inventariação de todo os sistemas de informação que façam uso da internet e que
necessitem de redes de interconexão com parceiros (fornecedores, parceiros de negócios, etc). Neste caso parti-
cular o inventário deve ser exaustivo e deve incluir a tipologia das conexões (ADSL, XDSL, etc) eventualmente
implementadas para as necessidades específicas dos utilizadores, bem como eventuais linhas alugadas

[12]
 Utilizadores que possuem uma conta de administrador (ou privilégios superiores aos de
um utilizador normal) nos sistemas de informação;
 Utilizadores que possuem privilégios suficientes para aceder aos relatórios e registo da
atividade dos dirigentes da organização ou, por exemplo, à relação dos restantes utiliza-
dores;
 Utilizadores que não ocupam uma fixa ou permanente no serviço e/ou nas estações de
trabalho que utilizam, uma vez não serão possivelmente abrangidos pelas políticas in-
ternas de segurança da organização.

Este inventário deve, naturalmente, ser mantido atualizado. Para além deste aspeto, é
desejável dispor igualmente de uma lista dos utilizadores que têm privilégios suficientes
para aceder ao endereço de correio electrónico da administração da organização ou de
outros utilizadores.

O estabelecimento de um inventário dos utilizadores que na verdade têm acesso a esta

informação é por vezes extremamente difícil. Caso este inventário não possa ser
estabelecido de forma confiável, procure criar um registo dos acessos às caixas de
correio (vulgarmente através do tratamento de logs ou auditando o diretório), por forma
a poder efetuar uma verificação periódica da lista de utilizadores que acederam às
contas de correio electrónico mais sensíveis.

Regra n.º 4

Escrever e implementar procedimentos de criação e eliminação de utilizadores

(funcionários, parceiros, fornecedores, etc)

Estes procedimentos são concebidos para assegurar que os privilégios concedidos para
acesso aos sistemas de informação são aplicados da forma correta e necessária. Em
particular, é importante que os privilégios atribuídos a um utilizador sejam revogados
caso cesse as funções que exercia.

[13]
 Os procedimentos devem descrever, pelo menos, o seguinte:

 Gestão (criação/eliminação) de contas de utilizador (e contas de correio electrónico as-

sociadas) e a atribuição de privilégios associados a essas contas em função dos sistemas
de informação, incluindo parceiros e fornecedores externos;
 Gestão de utilizadores com acesso às instalações (recolha e recuperação de acesso car-
tões, em particular);
 Gestão de utilizadores com dispositivos móveis da organização;
 Gestão de utilizadores com acesso a documentos sensíveis (detenção, tratamento, trans-
porte, eliminação, etc);
 Gestão de utilizadores com privilégios de controlo.

É importante refletir as mudanças de pessoal no universo de utilizadores da organização,

seja por chegada ou partida de pessoas, ou pela definição de um novo procedimento ou
função. Observa-se com frequência que os utilizadores possuem privilégios inflacionados
em relação às suas reais necessidades, por vezes devido a movimentos internos que
levaram ao aumento de privilégios, sem que fossem retirados os privilégios
desnecessários.

[14]
II - Gestão da Rede

Regra n.º 5

Limitar o número de acessos à Internet ao considerado estritamente necessário

É importante conhecer com precisão os pontos de acesso à Internet (routers, access

points, etc) e as interligações com as redes de parceiros, mantendo apenas as
estritamente necessárias por forma a tornar mais fácil, cómodo, centralizado e
homogêneo o controlo das comunicações.

Regra n.º 6

Proibir a ligação de dispositivos pessoais à rede e aos sistemas de Informação da

organização

A conexão de dispositivos pessoais (PDAs, tablets, smartphones, MP3 players, pen

drives) só deverá ser considerada se efetivamente conterem qualquer informação
sensível e necessária. A proliferação de dispositivos pessoais numa organização torna-se
efetivamente difícil de controlar na medida em são os próprios utilizadores que decidem
o nível de segurança dos seus equipamentos, pelo que as medidas de segurança no seio
de uma organização não podem, em essência, aplicar-se a este tipo de equipamentos.

Esta regra é muitas vezes considerada como uma restrição inaceitável e retrógrada por
muitos utilizadores. Ainda assim, é importante que se perceba que a renúncia a esta
regra facilita grande parte do trabalho de um atacante, pois contribui ativamente para o
enfraquecimento da rede corporativa. Na verdade, estima-se que em cerca de uma
centena de dispositivos pessoais conectados à rede corporativa, dez desses dispositivos
estarão comprometidos por código malicioso genérico (para não mencionar ataque
direcionado).

[15]
Por conseguinte, é importante proibir ou evitar a sua ligação à rede que suporta as
informações da organização. Esta proibição deve ser principalmente organizacional.
Mesmo que nenhuma regra técnica impeça a ligação de dispositivos pessoais, os
utilizadores devem ser sensibilizados e incentivados a não recorrer a tais práticas.

Esta proibição deve, tanto quanto possível, ser complementada por medidas técnicas,
mas a implementação poderá revelar-se mais complexa (controle sistemático da rede,
desabilitação das portas USB, etc). Se se revelar necessário o acesso à rede e sistemas
de informação fora do local de trabalho, a organização deve procurar fornecer os meios
adequados para permitir tal utilização.

A transferência de mensagens de correio electrónico das contas de correio electrónico

profissionais para contas pessoais deve ser explicitamente proibida.

[16]
III - Atualização de Software

Todos os dias são conhecidas e destacadas vulnerabilidades no software utilizado

regularmente nas organizações. O intervalo de tempo entre o conhecimento dessas
vulnerabilidades e o início da circulação na Internet de código malicioso explorando
essas mesmas vulnerabilidades é por vezes de poucas horas, sendo por isso muito
importante a utilização prioritária de tecnologias sustentadas em contratos de suporte
robustos e abrangentes.

Regra n.º 7

Conhecer as modalidades de atualização do software utilizado e manter-se informado

sobre as suas vulnerabilidades, assim como as atualizações necessárias

É importante determinar como os componentes de software usados pela organização

podem ser atualizados. Deve assumir-se o princípio de que se um componente não pode
ser atualizado não deve ser utilizado (ver Regra 7 para gerir exceções a esta regra). No
procedimento de atualização de software assegure-se que essas atualizações são
descarregadas a partir de sites confiáveis (normalmente o site do proprietário ou
distribuidor oficial).

Recomenda-se que seja dada prioridade aos componentes básicos (sistema operativo,
suíte de produtividade, navegador de internet e outras ferramentas para a navegação -
como a máquina virtual Java ou Flash player, e visualizadores de documentos).
Conseguida a normalização do procedimento de atualização para estes componentes,
deve avançar-se então com o procedimento de atualização para os outros componentes
de software inventariados e integrar esses procedimentos nos restantes já consolidados.

[17]
 É também necessário identificar e monitorizar sistematicamente as fontes de
informação idóneas a identificar as vulnerabilidades dos componentes inventariados e
as atualizações apropriada (sites do software inventariado, sites CERT, etc).

Regra n.º 8

Definir uma política de atualizações e aplicá-la com rigor

Essa política deve incluir:

 Software e hardware para atualizar;

 Responsabilidades dos vários intervenientes nas atualizações;
 Meios de recuperação e objetivos/finalidade das atualizações.

Pode ser usada uma simples tabela para este efeito, desde que contenha os elementos
necessários. Se estiver disponível, pode ser usada uma ferramenta específica para a
aplicação de atualizações (por exemplo o WSUS em ambientes Microsoft), por forma a
garantir a homogeneidade no parque informático alvo. Recomenda-se ainda que
eventuais avaliações das atualizações em termos de impacto sobre o funcionamento do
sistema, devem ser realizadas antes da aplicação das atualizações.

É imperativo, de acordo dom a Regra n.º 6 e por maioria de razão, não excluir qualquer
componente de software na aplicação das políticas de atualizações. Ainda assim, é
infelizmente comum os departamentos de TI confrontarem-se com sistemas
desatualizados em funcionamento, que não são mais suportadas pelos seus fabricantes
devido a uma utilização particular do sistema, por exemplo, ou por não serem mantidos
os níveis de serviço contratados. Nestes casos é essencial, para isolar estes sistemas e
ainda assim garantir a mitigação de riscos, o seguinte:

 Utilização de um filtro rigoroso ao nível da rede, permitindo apenas o acesso aos siste-
mas necessários;

[18]
 Não utilizar, ao nível de autenticação, senhas de acesso aos sistemas que sejam igual-
mente utilizadas nos restantes sistemas de informação;
 Garantir, ao nível aplicacional, que estes sistemas não usam recursos partilhados com os
restantes sistemas de informação.

Ainda no que se refere à política de atualizações, devem ser considerados também os

equipamentos isolados (desligados da rede), podendo ser necessário prever
procedimentos de atualização manual.

[19]
IV - Autenticação dos utilizadores

As senhas, ou palavras-passe, são muitas vezes o calcanhar de Aquiles dos sistemas de

informação das organizações. De facto, torna-se imperativo que as organizações
definam as políticas relativamente às palavras-passe, a serem aplicadas de forma
homogênea e transversal a toda a infraestrutura de TI.

Regra n.º 9

Identificar pelo nome cada pessoa que tenha acesso aos sistemas de informação

Esta regra, cuja finalidade é remover as contas de acesso genérico e anónimo, destina-
se a facilitar a concessão de um privilégio sobre um determinado sistema e será
particularmente útil no caso de um incidente.

É claro que esta regra não proíbe a manutenção de contas técnicas (chamadas de
serviço), não atribuídas a um indivíduo mas relacionadas com um determinado serviço,
comércio ou aplicação (por exemplo um utilizador "apache" para um servidor web). Estas
contas, no entanto, devem ser geridas por uma política, pelo menos, tão rigorosa quanto
a política aplicada às contas individuais.

Regra n.º 10

Definir regras para a seleção e dimensionamento das palavras-passe

Para proteger a informação das organizações, é necessário escolher e usar palavras-

passe fortes que sejam difíceis de descobrir usando ferramentas automatizadas.

[20]
 Recomenda-se o seguinte:

 Utilização de uma palavra-passe única para cada serviço ou sistema de informação crí-
tico. Em particular, deve ser absolutamente evitada a utilização da mesma palavra-passe
para a conta de correio electrónico pessoal e profissional;
 Escolher uma palavra-passe que não esteja relacionada com o utilizador (nome da em-
presa, data de nascimento, etc).
 Nunca pedir a uma terceira pessoa para gerar uma palavra-passe;
 Alterar de forma sistemática e a mais cedo possível as palavras-passe padrão que os sis-
temas contenham (default password);
 Renovar as palavras-passe com uma frequência razoável. A cada 90 dias é um bom com-
promisso para sistemas de informação que contêm dados sensíveis;
 Não guardar palavras-passe em arquivo ou ficheiros num computador particularmente
exposto a riscos (por exemplo com acesso à Internet), e muito menos em suportes de
papel de fácil acesso (blocos de notas, etc);
 Desencorajar ou mesmo proibir o envio, pelos utilizadores, das suas próprias palavras-
passe para as suas contas de correio electrónico pessoais;
 Configurar o software, incluindo o navegador de internet, para não guardar as palavras-
passe.

A força e robustez de uma palavra-passe depende geralmente de sua complexidade, mas

também devem ser considerados outros parâmetros. Uma regra simples poderá ser a
escolha de palavras-passe com pelo menos 12 caracteres de diferentes tipos (letras
maiúsculas, minúsculas, números e caracteres especiais)

Apesar das recomendações supra referidas, o mais crítico é esclarecer os utilizadores

sobre os riscos relacionados com a escolha de uma palavra-passe que pode ser
adivinhada com facilidade, assim como sobre a reutilização de palavras-passe,
especialmente entre sistemas e aplicações pessoais e da organização.

[21]
 Regra n.º 11

Estabelecer meios técnicos para cumprir as normas relativas à autenticação

Os meios para fazer cumprir a política de autenticação e de palavras-passe podem ser:

 Bloqueio de contas em que a palavra-passe não tenha sido alterada, a cada seis meses;
 Bloqueio de qualquer configuração dos computadores ou sistemas que permitam a uti-
lização de sistemas ou aplicações "sem palavra-passe" (autologon), ou a partir de uma
conta que não seja a de um utilizador (por exemplo uma conta convidado);
 Verificar se as palavras-passe escolhidas são difíceis de descobrir.

Existem algumas ferramentas que permitem verificar nativamente e no momento da

alterar as palavras-passe, se a escolha não permite, de forma trivial, ser encontrada a
partir da palavra-passe anterior. Embora o objectivo deste tipo de ferramenta seja
louvável (muitas vezes é fácil de adivinhar a palavra-passe nova de um utilizador a partir
do conhecimento de outras palavras-passe), é fortemente desaconselhada a sua
utilização, a menos que ocorra em ambientes controlados, uma vez que este tipo de
ferramentas obriga a manter um histórico de palavras-passe antigas.

Regra n.º 12

Não guardar palavras-passe em claro em arquivos ou ficheiros num computador

Com o objetivo de simplificar, os utilizadores ou administradores escrevem

frequentemente as suas palavras-passe em texto claro, guardando-as depois em
arquivos ou ficheiros armazenados nas suas estações de trabalho, ou enviando-as por
correio electrónico. Estas práticas deverão ser proibidas, pois as palavras-passe ou outra
informação sensível armazenadas nos computadores dos utilizadores são elementos de
pesquisa explorados pelos atacantes.

[22]
Também é importante não usar mecanismos automáticos de salvaguarda (backup) de
palavras-passe (por exemplo o botão "lembrar sempre palavra-passe" do navegador). Se
o número de palavras-passe existentes implicar ou aconselhar a utilização de uma
solução de armazenamento centralizado, é necessário utilizar um sistema cuja segurança
foi avaliada e certificada.

Regra n.º 13

Renovar sistematicamente os elementos de autenticação padrão (senhas e certificados

default) em equipamentos (switches de rede, routers, servidores, impressoras)

Os elementos padrão são sempre conhecidos pelos atacantes, para além de serem
normalmente triviais e inseguros (a mesma palavra-passe é compartilhado entre vários
dispositivos da mesmo gama, etc). Por esse motivo devem ser mudados. Se a mudança
não for possível (por hardware em alguns equipamentos certificados, por exemplo), esta
questão crítica deve ser comunicada ao fabricante para corrigir o mais rapidamente
possível esta vulnerabilidade.

Regra n.º 14

Preferir, quando possível, a autenticação forte por smart card

É altamente recomendada a implementação de processos de autenticação forte baseada

no uso de um smart card, cuja utilização exige conhecimento de um código PIN. O
estabelecimento de um mecanismo de controlo de acesso a sistemas por smart card
poderá, no entanto, ser mais longo e mais caro do que a implementação de outras regras
descritas no presente documento.

[23]
V - Equipamentos terminais e estações de trabalho seguros

Se até há poucos anos os alvos prioritários dos atacantes eram os servidores, atacar um
cliente tornou-se agora uma das formas mais fáceis para entrar na rede de uma
organização. Com efeito, é comum constatar que os clientes são menos seguros, e
certamente menos bem supervisionados, do que os servidores.

Regra n.º 15

Estabelecer um nível homogéneo de segurança transversal ao parque informático

É particularmente imperativo, no mínimo, desativar os serviços desnecessários e

restringir os privilégios das contas de utilizador. É também essencial considerar o uso de
uma firewall em cada estação de trabalho cliente, por forma a poder bloquear conexões
de entrada não solicitadas. Em sistemas que o permitam (por exemplo estações de
trabalho cliente ou servidores em Linux), deve ser considerado um incremento de outros
componentes opcionais de segurança.

Adicionalmente, o acesso à BIOS das estações de trabalho deve ser bloqueado com uma
palavra-passe não trivial, desabilitando também o arranque a partir de dispositivos
amovíveis ou através da rede (Wake On LAN).

No nível aplicacional, devem ser configurados, o mais pormenorizadamente possível, os

clientes de correio electrónico (forçar o envio e recepção de mensagens em texto
simples e não em HTML não é, por exemplo, uma boa prática), os navegadores de
internet (bloquear por defeito alguns conteúdos e habilitar o suporte caso a caso, por
exemplo), ou as aplicações de produtividade (por exemplo desativar a possibilidade de
execução de macros).

Sobre este último aspeto, note-se que o bloqueio de determinado conteúdo (JavaScript,
Flash), ainda que importante do ponto de vista da segurança, é muitas vezes difícil ou

[24]
impossível devido à necessidade do uso destas tecnologias no acesso à determinada
informação. Assim, é importante que, pelo menos em máquinas em que a utilização
destas tecnologias não sejam estritamente necessárias, estas tecnologias sejam
desativadas.

Regra n.º 16

Proibir tecnicamente a ligação de dispositivos amovíveis, a menos que sejam

estritamente necessários. Desativar a execução de ficheiros “autorun” a partir desses
dispositivos

Os dispositivos amovíveis são um excelente meio de propagação de código malicioso e

de roubo de informação. É, portanto, necessário tentar limitar ao máximo a sua
utilização. Por vezes não é realista proibir completamente qualquer ligação de
dispositivos amovíveis em todos os equipamentos, pelo que a abordagem adequada
poderá passar por identificar os equipamentos em que é necessária a utilização de um
dispositivo amovível, para não permitir a banalização deste tipo de utilização e minimizar
o número máquinas em que esse comportamento é permitido.

Muitas organizações preferem utilizar estações de trabalho fixas e através das quais
devem passar todos os dispositivos amovíveis antes serem ligados aos sistemas de
informação da organização. Se o objetivo é louvável (realizar o controlo de segurança
antes da ligação), essas estações de trabalho poderão tornar-se rapidamente em
próprios “sistema de informações” acessíveis a todos os utilizadores e, portanto, muito
expostos). Este tipo de utilização deve apenas ser considerado se puder ser bem
controlado. Em qualquer caso, a execução automática de código a partir de dispositivos
amovíveis (autorun) deve ser consistente e tecnicamente proibida.

É possível, por exemplo em sistemas Microsoft a partir do Windows XP, restringir a

possibilidade de execução de programas de acordo com vários critérios, através das

[25]
Políticas de Restrição de Software (Software Restriction Policies). Tal política pode ser
implementada de modo a limitar o risco de importação não intencional de malware em
geral, em particular a partir de dispositivos USB.

Regra n.º 17

Utilizar uma ferramenta de gestão para o parque informático que permita

implementar políticas de segurança e atualizações sobre equipamentos

Utilizar uma ferramenta de gestão do parque informático é essencial para monitorizar as

estações de trabalho da rede. Necessariamente, deve ser incluído o máximo de
equipamentos informáticos possíveis, no âmbito dos equipamentos geridos pela
ferramenta selecionada.

Regra n.º 18

Gerir dispositivos móveis segundo uma política de segurança pelo menos tão rigorosa
como a política aplicada aos telefones fixos

Porque o nível real de segurança da rede é aferido pelo seu elo mais fraco, é importante
minimizar ou excluir eventuais disparidades de tratamento entre terminais móveis e
terminais fixos.

Os terminais móveis devem ter, pelo menos, as mesmas medidas de segurança dos
terminais fixos (atualizações, restrição de privilégios, etc). As condições de utilização de
terminais móveis necessita com maior frequência de um reforço de alguns recursos de
segurança (por exemplo criptografia de disco ou autenticação forte), mas a
implementação de tais características em telefones fixos é também uma boa prática de
defesa em profundidade.

[26]
Regra n.º 19

Proibir, em todos os casos possíveis, ligações ou acessos remotos a partir de estações

de trabalho clientes

Por natureza, uma ferramenta de suporte remoto permite um amplo acesso aos recursos
disponíveis na estação de trabalho do utilizador assistido, permitindo por vezes examinar
todas as informações armazenadas na máquina, a utilização de diferentes dispositivos
presentes (microfone, Webcam, etc) ou usar as aplicações instaladas. Estas permissões
e possibilidades poderão levantar algumas questões relacionadas com o princípio da
necessidade de conhecer, com a rastreabilidade de ações e próprio controlo das
operações realizadas na máquina pelo utilizador remoto.

O estabelecimento de uma ligação remota entre um cliente e um servidor ou assistente,

potenciam o risco de fuga de informações confidenciais e/ou sensíveis, algumas das
quais podem ser reutilizados para aceder a outros recursos em sistemas de informação
ainda mais críticos (por exemplo o conhecimento de palavras-passe de administração ou
ataques do tipo man-in-the-middle).

Regra n.º 20

Encriptar os dados sensíveis, especialmente em estações de trabalho portáteis e outros

dispositivos que podem ser facilmente extraviados

A perda ou roubo de uma estação de trabalho ou dispositivo pode ter consequências

graves para a organização, pois na ausência de encriptação os dados armazenados no
dispositivo ficarão comprometidos, mesmo se o dispositivo estiver desligado ou se a
sessão do utilizador tiver sido encerrada. É, portanto, importante encriptar os dados
sensíveis. Existem vários produtos ou ferramentas de encriptação de discos e dados,

[27]
devendo ser usados produtos que ofereçam mecanismos robustos e seguros
encriptação.

A encriptação pode incidir sobre a totalidade do sistema (encriptação integral), um

subconjunto do sistema (encriptação de partições específicas) ou apenas sobre dados
sensíveis. Os mecanismos de encriptação integral são mais eficazes em termos de
segurança e dispensam ao utilizador a necessidade de identificar os arquivos a encriptar.
Se não for possível usar este tipo de encriptação (pode ser complexa para uma pequena
organização), é imperativo considerar pelo menos o fornecimento de soluções de
encriptação de dados aos utilizadores.

[28]
VI - Proteger a rede interna

É importante não implementar apenas medidas de segurança de perímetro (firewalls,

servidores ou proxy). Apesar de estas medidas de defesa serem essenciais, existem
outras formas de um atacante conseguir quebrar estas seguranças. É essencial que a
rede esteja protegida contra um atacante que possa ter contornado estes perímetros de
defesa.

Serviços de diretório (como por exemplo Active Directory ou Lightweight Directory

Access Protocol - LDAP), que permitem fornecer e controlar os acessos de um utilizador
a sistemas de informação, são elementos cruciais que constituem um alvo prioritário
para os atacantes, pelo que é importante verificar com frequência a sua integridade.

Regra n.º 21

Auditar frequentemente a configuração do diretório central (Active Directory, em

ambientes Windows, ou qualquer outro serviço LDAP)

É particularmente importante verificar estes serviços com intervalos regulares e também

sempre que houver suspeita de comprometimento do serviço, de modo a confirmar se
os privilégios de acesso aos dados dos utilizadores em geral, mas especialmente dos
utilizadores chave da organização, não foram comprometidos ou alterados sem
intervenção direta do utilizador ou da administração do departamento de TI.

Regra n.º 22

Implementar redes particionadas ou sub-redes. Para as estações de trabalho,

dispositivos ou servidores que contêm informações importantes para a organização,
crie uma sub-rede protegida por uma interligação específica

[29]
Quando a rede é única (cada máquina na rede tem a possibilidade de aceder a qualquer
outra máquina na mesma rede), no sentido de não ser particionada ou subdividida em
função da informação que suporta, pode ocorrer o comprometimento de toda a rede
devido a uma falha em qualquer ponto da mesma rede.

É importante ter em consideração esta regra no momento da concepção, criação e

montagem da rede. Dependendo do tamanho e da complexidade da rede, é frequente
que existam dificuldades subsequentes para a subdivisão da rede, caso não tenha sido
previsto este cenário no início. Para redes cuja subdivisão se possa revelar difícil
recomenda-se a avaliação da necessidades da nova subdivisão, considerando a atual
arquitetura e extensão da rede, assim como o âmbito dessa divisão à luz das regras de
higiene informática.

Regra n.º 23

Evitar o uso de infraestruturas de rede sem fios (Wi-Fi). Se o uso dessas tecnologias
não puder ser evitado, deve procurar-se a compartimentação da rede de acesso sem
fios da rede que suporta os principais sistemas de informação

Não é recomendado o uso de tecnologias de rede sem fios dentro de uma rede que se
pretende segura, dadas as intermitentes garantias de disponibilidade e a
dificuldade/custo em definir uma arquitetura que garanta acessos seguros.

Sendo imprescindível a utilização dessas tecnologias, a segmentação da arquitetura de

rede deve permitir a limitação de eventuais consequências de uma intrusão a uma área
específica. A separação do acesso à rede sem fios da restante rede da organização é
altamente recomendável. Caso a rede sem fios permita a interligação com a rede da
organização, essa interligação deve ocorrer através de uma porta de entrada controlada
por forma a mapear o caminho e restringir que apenas transmita a informação

[30]
necessária. O projeto de uma rede sem fios desse tipo (segura, controlável e passível de
ser auditada) está para além do âmbito das medidas básicas de higiene informática.

É ainda importante considerar como prioritária a utilização de encriptação neste tipo de

redes, como por exemplo WPA Empresarial (EAP-TLS com encriptação WPA2 CCMP), que
permite a autenticação das máquinas que acedem à rede através de certificados. Devem
ser proibidos os mecanismos de proteção com base em chaves partilhadas, assim como
deve ser minimizada a necessidade de utilizadores externos ou internos acederem a
redes sem fios.

Aconselha-se igualmente a evitar o uso de tecnologias PLC (Power Line Communication

- Tráfego de dados sobre a rede elétrica) sem a utilização de mecanismos de proteção
similares aos recomendados para tecnologias de rede sem fios, uma vez que é complexa
a definição da área coberta pelas redes PLC.

Regra n.º 24

Utilizar sempre aplicações e protocolos seguros

A utilização de protocolos seguros, aplicados a toda a rede interna, contribui

decisivamente para a defesa em profundidade e dificulta a ação de um atacante em
comprometer uma máquina na rede e procurar alargar o seu controlo sobre a rede.

Protocolos inseguros (telnet, FTP, POP, SMTP, HTTP) são geralmente protocolos que
devem ser evitados, ou mesmo proibidos, na rede da organização, devendo ser
substituídos pelos protocolos equivalentes que conferem segurança (SSH, SFTP, POPS,
SMTPS, HTTPS, etc).

Adicionalmente é importante que as aplicações sejam desenvolvidas considerando-se os

riscos de segurança. A adesão a uma determinada tecnologia (tipicamente versão de
sistema operativo ou máquina virtual Java) deve ser reduzida de modo a não limitar a

[31]
capacidade de manutenção e atualização das mesmas aplicações, no que respeita à
segurança.

[32]
VII - Proteger a rede interna da Internet

Se é verdade que alguns ataques podem ter origem na rede interna, uma das principais
formas de ataque reconhecida ainda se constitui na infecção por ligação a sites
comprometidos na Internet. Assim sendo, é importante, para além de medidas de
proteção rede interna, incluindo a limitação do número de ligações à Internet,
implementar medidas de defesa específicas para o perímetro externo da organização.

Regra n.º 25

Garantir a segurança das ligações com a Internet (gateways)

Para este efeito devem ser asseguradas as devidas configurações de segurança,

permitindo a separação entre a rede interna e a Internet com uma área de serviço e de
ligação à mesma (DMZ).

A concepção de uma ligação à Internet não se deve limitar à mera escolha de um

equipamento adequado ao efeito. É imperiosa a identificação prévia dos requisitos de
segurança para implementar a referida ligação e o seu posicionamento na arquitetura
global da rede da organização. A escolha dos equipamentos que irão constitui e
assegurar a porta de entrada na rede da organização deve então ser feita com base nos
seguintes critérios recomendados:

 A sua contribuição em termos de segurança;

 A sua própria segurança (embebida ou própria dos equipamentos);
 A capacidade do Departamento de TI para implementar um controlo efetivo e manter as
condições de segurança.

[33]
 São particularmente críticos, no projeto de uma ligação à Internet, os seguintes aspetos:

 Criar, ou atualizar, de forma rápida e eficiente as políticas a aplicar aos componentes que
garantem a ligação à Internet;
 Monitorizar a ligação em tempo real e analisar os alertas. Qualquer ligação não prevista
entre dois dispositivos deverá ser considerada como uma possível tentativa de ataque;
 Não usar o protocolo DNS para resolver nomes de hosts dentro da porta de entrada (ga-
teway) ou o protocolo ARP, devendo ser configurados os endereços Ethernet e associa-
ções de endereços IP. Esta configuração é projetada para minimizar o risco de roubo de
identidade de todos os elementos da rede;
 Usar o princípio da diversificação tecnológica dentro da capacidade de manutenção dos
equipamentos.

Regra n.º 26

Certificar-se de que nenhum dispositivo de rede possui uma interface de administração

acessível a partir da Internet

Muitos interfaces de administração de equipamentos de rede permitem a sua

administração a partir da rede pública (por exemplo, através de um servidor web).
Algumas dessas interfaces são acessíveis através de interfaces e credenciais default,
devendo ser desligados ou inibidos, pois são frequentemente explorados por atacantes
no processo de intrusão, especialmente se forem expostos na Internet. Esta regra aplica-
se em especial a impressoras, servidores, roteadores (routers) e switches de rede, bem
como equipamentos de produção.

[34]
VIII - Sistemas de monitorização

Grande parte das medidas descritas até ao momento são de natureza preventiva,
destinadas à redução do risco de exploração por um atacante a partir de uma
vulnerabilidade nos sistemas de informação ou rede da organização. É importante estar
ciente de que a implementação de medidas preventivas não fornece, por si só, uma
supervisão dos sistemas ou da rede durante sua operação. As medidas de supervisão, ou
monitorização, são propostas neste capítulo.

Regra n.º 27

Definir rigorosamente os objectivos da supervisão dos sistemas de informação e redes

Na maioria dos casos, os eventos que devem gerar um alerta e ser processados num
espaço de 24 horas são os seguintes:

 Ligação ou atividade de um utilizador fora de seus horários normais de trabalho ou du-

rante um período que o mesmo declarou de ausência;
 Transferência massiva de dados para fora da organização;
 Tentativas sucessivas ou repetidas de ligações a um serviço ou recurso;
 Tentativas de ligação a partir de uma conta não ativa ou desabilitada;
 Tentativas de contornar as políticas de segurança (por exemplo através de um serviço
proibido ou através da ligação a serviços externos não autorizados).

[35]
 Regra n.º 28

Definir a modalidade de análise dos eventos registados

É essencial definir os procedimentos para a verificação dos eventos que irão gerar um
alerta quando um dos objectivos identificados não for cumprido. Estes procedimentos
deverão garantir que os registos de eventos são frequentemente analisados.

Além dos itens mencionados na regra anterior, a análise de eventos (por exemplo os
logs) poderá concentrar-se particularmente nos seguintes pontos:

 A análise da lista de acesso às contas de correio electrónico de pessoas-chave da organi-

zação;
 A análise de acesso a máquinas ou recursos da organização considerados confidenciais
ou contendo informação sensível.

Para facilitar a verificação de eventos, é essencial assegurar o sincronismo horário e

temporal entre as máquinas e sistemas de informação.

[36]
IX - Garantir a segurança da administração da rede

São vários os casos conhecidos em que os agressores assumiram o controlo completo,

através da internet, das contas dos administradores ou das suas contas de correio
electrónico, de modo a obter privilégios elevados de acesso aos sistemas de informação
e às redes das organizações.

Regra n.º 29

Proibir o acesso à Internet a partir das contas de administração

Esta proibição aplica-se particularmente para todas máquinas ou estações de trabalho

dos administradores dos sistemas. Esta regra é geralmente bem aceite pelos utilizadores
e destina-se a produzir restrições operacionais através da utilização obrigatória de
contas diferentes em função das ações a realizar. Se a aplicação desta regra for
considerado constrangimento, o mesmo pode ser reduzido sensibilizando e garantindo
aos administradores contas distintas, por forma a capacitá-los, por exemplo, a consultar
documentação no site de um fabricante usando uma sem privilégios de administração,
mantendo a conta com privilégios de administração para administrar os equipamentos
ou sistemas de informação relevantes.

Regra n.º 30

Use uma gestão dedicada para a administração dos dispositivos de rede ou, pelo
menos, uma rede lógica separada da rede dos utilizadores

A divisão entre a rede de gestão, a rede de trabalho e a rede de utilizadores, deve ser
considerado um imperativo. Dependendo das capacidades da organização, recomenda-
se o seguinte:

[37]
 Privilegiar a divisão física das redes, se possível;
 Não sendo possível, considerar a implementação de particionamento lógico das redes,
com mecanismos de encriptação baseados em túneis IPSec, por forma a permitir a inte-
gridade e confidencialidade das informações transmitidas na rede;
 Implementar, no mínimo, um particionamento lógico das redes por VLANs.

Os locais onde se ocorrem as tarefas de administração de TI, sendo particularmente

críticas, devem ser seguidos com especial atenção, sendo fundamental garantir a
atualização das máquinas e equipamentos de onde é efetuada a gestão da rede.

Regra n.º 31

Não dar privilégios de administração aos utilizadores. Não permitir exceções a esta
regra

Muitos utilizadores, incluindo os do topo da hierarquia da organização, são tentados a

pedir ao seu departamento de TI o aumento dos privilégios na sua conta de utilizador e
sobre as suas estações de trabalho (para instalar software de forma autónoma, ligar
equipamentos individuais, etc). Este tipo de liberdade ou privilégios são, contudo,
demasiado perigosos e pode, colocar em risco toda a rede da organização.

Regra n.º 32

Implementar, com os meios robustos, mecanismos fortes de autenticação, proteção,

integridade e confidencialidade das comunicações

Privilegiar a utilização de mecanismos qualificados e certificados de autenticação e meios

de proteção da integridade e confidencialidade.

[38]
X - Controlar os acessos e garantir a segurança física dos locais

A segurança dos sistemas de controlo de acessos às instalações é fundamental para a

segurança da organização. De facto, a partir do momento que um atacante consegue
garantir o seu acesso à rede interna da organização, as medidas de segurança de
perímetro já implementadas tornam-se ineficazes. O equilíbrio entre as medidas de
segurança física e a necessidade de proteger os sistemas de informação é, por isso, mais
complexa, se considerarmos ainda que normalmente implica a coordenação entre
departamentos distintos. Por esse motivo, as responsabilidades de cada desses
departamentos devem ser esclarecidas, alinhadas e formalizadas.

Regra n.º 33

Usar sempre mecanismos robustos de controlo de acesso às instalações

O mecanismo de controlo de acesso deve ser implementado e mantido o mais atualizado

possível, para assegurar que não pode ser facilmente ultrapassado por um atacante ou
intruso.

Regra n.º 34

Proteger de forma rigorosa as chaves que permitem o acesso a locais restritos e a

códigos de alarme

Considerando que é por vezes difícil o controlo do fluxo habitual de entrada e saída dos
funcionários da organização, assim como de todas as outras pessoas que por diversos
motivos interagem com a mesma organização (clientes, parceiros, fornecedores, etc),
deve ser considerada a aplicação das seguintes regras:

[39]
 Recolha sistemática de chaves na posse dos funcionários, no momento em que se au-
senta da organização;
 Alteração frequente dos códigos de alarme da organização;
 Nunca fornecer códigos de alarme ou chaves a fornecedores externos, a menos que seja
possível limitar e rastrear o acesso e restringir tecnicamente os intervalos de tempo de
acesso necessários.

Regra n.º 35

Não permitir ou disponibilizar o acesso à rede interna a partir de locais abertos ao

público

Como lugar público devem também ser considerados os espaços de acesso público
dentro dos limites físicos da organização, como por exemplo salas de espera ou
corredores. A partir destes locais os atacantes podem obter, por exemplo, o acesso à
rede interna a partir da ligação de uma máquina a um ponto de rede existente. Nestes
locais encontram-se normalmente os seguintes equipamentos:

 Equipamentos de impressão e cópia;

 Equipamentos de projeção e divulgação de informação;
 Câmaras de vigilância;
 Telefones;
 Tomadas de rede em sala de espera.

Por esse facto, as configurações da rede, no que respeita aos caminhos e acessos aos
sistemas de informação da rede interna, não devem estar disponíveis em locais públicos.
Se se revelar necessário a disponibilidade de recursos da rede interna em espaços
públicos (por exemplo para levar a efeito uma apresentação), as configurações de rede
necessárias devem ser aplicadas apenas nessa ocasião, devendo ser eliminadas de
imediato, quando cessar a sua necessidade.

[40]
 Regra n.º 36

Definir políticas e regras para a utilização de equipamentos de cópia e impressão

Recomenda-se a definição das seguintes regras:

 Utilização de equipamentos de impressão com mecanismos de impressão que requeiram

a presença física do utilizador para iniciar a impressão;
 Destruição, no final do dia, dos documentos esquecidos nos equipamentos de cópia ou
impressão;
 Destruição segura dos documentos desnecessários (não colocar no cesto de lixo).

No seguimento das regras e princípios referidos, é igualmente desejável que sejam

estabelecidos procedimentos claros de destruição e reciclagem dos equipamentos de
cópia e impressão em final de vida ou objeto de alienação.

[41]
XI - Preparar a reação em caso de incidente

A partir do momento em que é descoberto o comprometimento de um computador ou

qualquer outro equipamento (por exemplo um computador ou estação de trabalho
infetada com um vírus), torna-se necessário determinar, de forma célere mas
organizada, os procedimentos necessários à avaliação da gravidade potencial do
incidente, por forma a determinar os procedimentos técnicos, organizacionais e
eventualmente jurídicos, proporcionais e necessários para controlar a infeção e isolar os
equipamentos comprometidos. É extremamente importante uma reflexão ponderada e
metódica antes de determinar a ação a tomar, por forma a evitar que a urgência de uma
decisão possa provocar efeitos nefastos e contrários ao pretendido.

Regra n.º 37

Possuir um plano tecnológico de recuperação de desastres e continuidade de negócio,

ainda que sumário, atualizado regularmente e descrevendo como efetuar e repor as
salvaguardas (vulgo backups) de dados críticos a empresa

Possuir um plano tecnológico de recuperação de desastres e continuidade de negócio,

incluindo idealmente uma secção dedicada aos procedimentos de reação a incidentes
e/ou ataque por software malicioso, é essencial para qualquer organização.

A análise das consequências possíveis que um conjunto de incidentes graves poderá

produzir sobre a atividade da organização, poderá ser um bom ponto de partida. Sobre
este aspeto, poderão por exemplo, ser procuradas respostas às seguintes questões:
“Que consequências, globais e sectoriais, poderão ocorrer se o acesso à Internet não
funcionar dois dias?” ou “Que consequências, globais e sectoriais, poderão ocorrer se
um atacante apagar todos os dados armazenados nos servidores?”.

[42]
Os dados da organização que sejam considerados sensíveis, devem ser salvaguardados
periodicamente. O procedimento de salvaguarda dos dados (vulgo backup) deve
preferencialmente ser automatizado e incidir sobre os equipamentos onde se
encontram os dados, não ficando dependente da boa vontade dos utilizadores que
acedem aos dados, que podem muitas vezes não ter tempo ou conhecimentos para fazer
esses backups. Os backups devem ainda ser verificados periodicamente e ser
convenientemente armazenados em locais fisicamente distintos dos locais onde os
equipamentos primários, que processam e armazenam esses dados, se encontram.

Regra n.º 38

Criar uma cadeia de alerta e resposta, conhecida por todos os intervenientes

Todos os utilizadores devem, pelo menos, ser capazes de endereçar um incidente ou

sinalização de anomalia a um interlocutor determinado, de forma rápida e de acordo
com procedimentos pré-definidos. É por isso importante que os intervenientes estejam
consciencializados de que devem participar ativamente no conjunto global dos
procedimentos relativos à segurança, assim como de que não é desejável que tentem
resolver problemas ou responder a incidentes de forma autónoma.

Quando a dimensão da organização assim o permitir, e logo que a situação ou contexto

o justifique, é desejável que os procedimentos da cadeia de alarme e resposta possuam
mecanismos de operação permanente, de modo que possa ser garantido que os
incidentes são tratados de forma eficaz e em tempo útil.

Regra n.º 39

Não considerar terminada qualquer intervenção sobre um incidente sem procurar

esclarecer por exemplo como o código malicioso pode ter sido instalado, se existe a

[43]
 possibilidade de se ter propagado na rede ou qual a informação ou dados que foram
manipulados ou afetados

Por vezes as organizações não procuram saber estes aspectos desde o início dos
sintomas de infecção, despendendo assim várias semanas ou meses no tratamento de
um incidente. Assegurar-se de que cada tratamento de um incidente é objeto de um
feedback, e bem assim de atualização permanente de conhecimento, torna mais eficaz
o tratamento de futuros incidentes semelhantes.

Para a recolha de informação podem procurar responder-se, por exemplo, às seguintes

questões:

 Qual é a natureza de comprometimento ocorrido? Revelou-se mais gravoso que outros

do mesmo tipo, expostos aos mesmos riscos e ameaça na rede?
 Que informação ou dados são prováveis de ter sido acedidos pelo atacante?
 A máquina, estação de trabalho ou equipamento comprometido permite a comunicação
com outras máquinas, estações de trabalho ou equipamentos?

Em caso de incidente, e para facilitar eventuais procedimentos de investigação, as

entidades responsáveis podem adoptar as seguintes medidas:

 Isolar as máquinas infectadas da rede (desligando o cabo de rede);

 Não desligar as máquinas infectadas da energia elétrica, de modo a preservar eventual
informação do código malicioso que esteja em memória;
 Realizar, ou assegurar a realização por pessoas competentes, cópias de informação resi-
dente em memória e dos discos rígidos de máquinas infectadas, para eventual necessi-
dade na condução das investigações.
 Verificar a integridade das cópias feitas, antes de proceder a qualquer atualização, alte-
rações das configurações, tentativa de limpeza ou eventual deslocalização das máquinas
comprometidas;

[44]
 Reinstalar integralmente a máquina comprometida, depois de efetuar as cópias já refe-
ridas, se se considerar que a mesma deve retornar ao ambiente produtivo, pois não é
suficiente e seguro a mera restauração ou "Limpeza".

[45]
XII - Sensibilizar

Regra n.º 40

Sensibilizar os utilizadores para as regras elementares de higiene informática

Todos os utilizadores devem sempre (pelo menos anualmente) ser lembrados de:

 A informação e dados processados devem ser considerados sensíveis;

 A segurança desta informação baseia-se, entre outros, no comportamento adequado e
no respeito pelas regras básicas de higiene informática (não ignorar a política de segu-
rança, bloqueio sistemático da sessão quando o utilizador se ausenta da sua posição de
trabalho, não ligar equipamentos pessoais na rede da organização, não divulgação de
palavras-passe a terceiros, não reutilizar palavras-passe de acesso a sistemas de infor-
mação pessoais no acesso aos sistemas de informação da organização, relatar de imedi-
ato eventos suspeitos, acompanhar sempre visitantes ou pessoas estranhas no interior
da organização, etc).

O respeito e cumprimento das regras básicas higiene informática que dizem respeito aos
utilizadores, devem constar de um regulamento de utilização de meios informáticos, do
conhecimento explícito de cada utilizador.

[46]
XIII - Auditar a segurança

Regra n.º 41

Implementar auditorias periódicas de segurança (pelo menos com uma frequência

anual). Cada auditoria efetuada deve estar associada a um plano de ação, cuja
implementação tem de ser aprovada e cumprida até ao mais alto nível da organização

É essencial a realização de auditorias técnicas aos sistemas de informação. Na verdade,

a auditoria é uma das melhores formas de testar e comprovar a eficácia das medidas
práticas implementadas na organização. De igual forma, das ações de auditoria deverão
ser apurados resultados que permitam a implementação de planos de ação corretiva,
contribuindo assim para a atualização dos planos de segurança já implementados. No
decorrer de uma auditoria devem ocorrer com frequência as necessárias reuniões de
acompanhamento, onde se permite, com maior eficiência, o acompanhamento do plano
de ação em curso e a recolha de indicadores destinados aos mais altos níveis de gestão
da organização.

[47]
O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos
termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou
usar gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que
não tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.

[48]