Exrcito Brasileiro

Brao Forte Mo Amiga

Cartilha Emergencial de Segurana

Tecnologia da Informao e Comunicaes Exrcito Brasileiro

Departamento de Cincia e Tecnologia

Presente e Futuro se encontram aqui

Verso 1.0 - 2011

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

Sumrio
1 INTRODUO ........................................................ 2 2 REGRAS BSICAS DE SEGURANA COMPUTACIONAL AOS CMT OM ............................... 3 3 COMPUTADORES DA OM ....................................... 5 4 REDE DA OM ......................................................... 7 5 PGINA DE INTERNET DA OM ............................... 9 6 INCIDENTES DE SEGURANA ............................... 9 7 TELEFONIA e VIDEO-CONFERNCIA NA OM ........ 10 8 PROTEO CONTRA SPAM .................................. 11 9 LEGISLAO DE REFERNCIA .............................13

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

A no observncia das medidas previstas nesta publicao de emergncia implicar em imputao de responsabilidade pessoal, caso haja violao dos Sistemas de Tecnologia da Informao e Comunicaes (TIC) do Exrcito Brasileiro.
1 ! INTRODUO 1.1 !A insero das ferramentas de TI nos ambientes de trabalho das Instituies e Empresas veio acompanhada de uma exigncia altamente prioritria, que j existia, sob outras condies, em situaes convencionais: A SEGURANA DOS SISTEMAS. 1.2 !O assunto de tal relevncia para as atividades administrativas e operacionais, que o Exrcito implantou recentemente o Ncleo do Centro de Defesa Ciberntica (NuDCiber), cuja misso a de definir o arcabouo de um ambiente de segurana corporativa de alto nvel, estabelecendo o arsenal de medidas, tecnologias e marcos regulatrios destinados a manter a integridade da sua infraestrutura de TI, em qualquer cenrio. 1.3 !Esta Cartilha Emergencial sobre Segurana de TIC, destinase a implantar, desde j, procedimentos de segurana bsicos, de baixo custo e complexidade, muitos dos quais j previstos e adotados pelas OM. As recomendaes contidas nesta publicao so de carter impositivo, cabendo aos Comandantes, Chefes e Diretores a responsabilidade pelo seu cumprimento.

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

! Instrues Reguladoras Sobre Anlise de Risco para

1.4 !As aes contidas neste documento baseiam-se na experincia dos profissionais responsveis pelos Sistemas de Telemtica do Exrcito, ao longo dos ltimos anos, e nos ensinamentos obtidos junto aos mais importantes rgos de Segurana de Informao, constituindo-se em uma coletnea das melhores prticas. 1.5 !Por fim, ressalta-se que alm de preservao dos Sistemas de TIC, as medidas de segurana contribuem para resguardar a imagem da Instituio, dificultando a violao desses sistemas e a obteno de informaes sensveis por intermdio de aes criminosas. 2 ! REGRAS BSICAS DE SEGURANA COMPUTACIONAL AOS CMT OM 2.1 !Cada OM dever organizar, publicando em Boletim Interno, um Comit permanente de auditoria interna das medidas de segurana preconizadas na regulamentao vigente, constantes ao final desta Cartilha e parcialmente abordadas no texto, cabendo ao DCT a realizao de verificaes externas de carter programado ou inopinado, como autoridade validadora dos nveis de segurana dos sistemas sustentados pela TI do Exrcito Brasileiro.

Ambientes de Tecnologia da Informao do Exrcito Brasileiro IRRISC (IR-13-10);

! Instrues Reguladoras sobre Segurana da Informao nas

Redes de Comunicao e de Computadores do Exrcito Brasileiro IRESER (IR 13-15);

! Instrues Reguladoras sobre Segurana da Infraestrutura de

Chaves Pblicas do Exrcito Brasileiro IRESICP (IR 80-05);

! Instrues Reguladoras para Prticas de Certificao da

Autoridade Raiz do Exrcito Brasileiro IRESRAIZ (IR 80-06);

! Instrues Reguladoras para Prticas de Certificao da

Autoridade Certificadora do Exrcito Brasileiro IRESPCAC (IR 80-07); e

! Portaria 111 DCT, de 29MAR10 Plano de Padronizao do

Ambiente e Migrao para Software Livre no Exrcito Brasileiro.

14

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

2.2 ! Controlar o acesso Internet na OM, restringindo-o, apenas, s estaes de trabalho que efetivamente necessitarem de tal acesso. Ainda assim, devem ser bloqueados os stios que reduzam a produtividade, ou que sejam incompatveis com a seriedade e a responsabilidade esperada no ambiente de trabalho. 2.3 ! Estabelecer uma rotina de permanente conscientizao dos integrantes da organizao quanto ao emprego adequado dos recursos de Tecnologia da Informao e Comunicaes (TIC) disposio da OM. 2.4 ! Solicitar o apoio tcnico OM de Telemtica do Exrcito (CTA ou CT) que atende OM considerada, sempre que houver dvidas. 2.5 ! Proibir a utilizao de dispositivos mveis de armazenamento (pendrives, HD externos ou cartes de memria), particularmente em ambientes onde operam mquinas com dados sensveis. Quando absolutamente necessrio, liberar o acesso de tais dispositivos, sob superviso, somente nas mquinas com antivrus configurado para verificar, automaticamente, qualquer dispositivo removvel conectado ao computador.

9 ! LEGISLAO DE REFERNCIA Abaixo, segue a legislao que regula a atividade de TIC no EB. Consult-la sempre que necessrio. Em caso de dvidas, consultar o CTA/CT de sua rea. ! Instrues Gerais de Segurana da Informao para o Exrcito Brasileiro (IG-20-19);
! Instrues Gerais para Salvaguarda de Assuntos Sigilosos (IG-

10-51);
! Normas para o Controle da Utilizao dos Meios de Tecnologia

da Informao no Exrcito NORTI - 3 Edio, BE 034, de 22 Ago 08;

! Instrues Reguladoras para Utilizao da Rede Mundial de

Computadores (Internet) por Organizaes Militares e Militares do Exrcito (IR-20-26);

! Instrues Reguladoras para o Emprego Sistmico do Servio

de Correio Eletrnico no Exrcito Brasileiro - IRESCE (IR 13-06);

! Instrues Reguladoras para Emprego Sistmico da

Informtica no Exrcito Brasileiro - IREMSI (IR 13-07);

! Instrues Reguladoras Sobre Auditoria de Segurana de

Sistemas de Informao do Exrcito Brasileiro IRASEG (IR 13-09);

13

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

8.3.2 ! Desconsiderar todos os e-mails de supostas instituies bancrias ou governamentais, solicitando atualizao de cadastro ou instalao de programas; 8.3.3 ! Ficar atento a e-mails ou telefonemas solicitando dados pessoais (nmeros de carto, senhas, etc.) ou dados sobre a tecnologia que est sendo utilizada (sistema operacional, antivrus, etc.).

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

2.6 ! Manter o sigilo das senhas utilizadas nos sistemas computacionais. As senhas so pessoais, no podendo, portanto, ser compartilhadas. Os cadastros de usurios que acessam os sistemas devem ser mantidos atualizados e supervisionados pela contrainteligncia da OM. 2.7 ! Estabelecer uma poltica clara e supervisionada relativa ao descredenciamento de usurios que tenham sido transferidos de OM ou de funo. 2.8 !Divulgar com regularidade o cumprimento das diretrizes, manuais, instrues e normas em vigor no mbito do Exrcito que tratam da Segurana da Informao e Comunicaes (SIC). 3 ! COMPUTADORES DA OM 3.1 !Utilizar somente software original e licenciado e os constantes no Anexo E ao Plano de Padronizao do Ambiente e Migrao para Software Livre no Exrcito Brasileiro publicado na separata ao BE Nr 17 de 30ABR10. 3.2 !Adotar os seguintes tipos de programas de segurana em todos os computadores da OM, utilizando software adquirido ou padronizado pelo Exrcito:

12

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

3.2.1! Antivrus: para evitar a propagao de vrus de computador; 3.2.2 !Antispyware: para manter a mquina protegida de programas espies; 3.2.3 !Antispam: para evitar o trfego de mensagens de correio eletrnico indesejadas; e 3.2.4 !Firewall pessoal: para proteger a mquina de acessos remotos ao seu equipamento e furto de dados. 3.3 !Manter permanentemente atualizados e com as mais recentes correes de segurana, todos os programas instalados. Os atos hostis exploram as vulnerabilidades conhecidas que, normalmente, so corrigidas nas verses mais recentes. Recomenda-se a adoo de ferramentas como CACIC ou OCS Inventory para gerenciamento de atualizaes.

8 ! PROTEO CONTRA SPAM 8.1 ! No utilizar a conta de correio corporativo funcional em cadastros de stios na Internet. Se necessrio, manter uma conta em provedor pblico (Gmail, Yahoo, Hotmail, etc) para esta finalidade. 8.2 ! DISPOSITIVOS DE ARMAZENAMENTO REMOVVEIS 8.2.1 ! Configurar o antivrus para verificar automaticamente

todos os dispositivos de armazenamento removveis (CD, DVD, pendrive, carto de memria, HD externo etc.) conectados ao computador. 8.2.2 ! Desabilitar a execuo automtica de quaisquer No permitir o uso descontrolado de qualquer tipo dispositivos mveis. 8.2.3 ! trabalho. 8.3 ! PROTEO CONTRA FRAUDES VIA INTERNET 8.3.1 ! No clicar em links ou abrir arquivos recebidos por ede dispositivo de armazenamento removvel no ambiente de

mail, a menos que se tenha absoluta certeza da origem e integridade do mesmo. Ter em mente que um arquivo enviado por uma pessoa de confiana pode no ter sido realmente enviado por ela;

11

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

6.2 Retirar os equipamentos comprometidos da rede, mas preservar as evidncias para posterior anlise forense por pessoal especializado, mantendo-o, inclusive, ligado. 7 ! TELEFONIA e VIDEO-CONFERNCIA NA OM 7.1 ! As comunicaes telefnicas e por videoconferncia devem tratar somente de assuntos ostensivos. 7.2 ! So vedadas teleconferncias, ainda que de assuntos ostensivos, utilizando-se de servios no homologados pelo Exrcito, por intermdio do DCT.

4 ! REDE DA OM 4.1 ! Quando a OM possuir acesso Internet disponibilizado pelo CITEx ou pelo CTA/CT da sua rea, no deve haver contratao de outros acessos junto s empresas provedoras do servio. O DCT est atualizando e ampliando o provimento de servios necessrios s atividades institucionais. 4.2 ! Na imperiosa necessidade de contratao de acesso Internet, no permitir que as estaes conectadas rede mundial estejam, simultaneamente, conectadas tambm EBNet. 4.3 ! Utilizar exclusivamente o correio eletrnico corporativo para troca de mensagens relativas ao servio. 4.4 ! Os servidores e os sistemas que armazenam dados corporativos devem conter mecanismos fortes de autenticao, conforme prev o Art. 47 das IR 13-15. 4.5 ! Utilizar servios criptogrficos para o intercmbio de informaes (correio eletrnico corporativo, transferncia de arquivos, etc.). 4.6 ! Proteger os ativos de rede para evitar o furto de equipamentos que armazenem informaes ou a interceptao do trfego da rede (sniffers). Mesmo equipamentos obsoletos e descarregados podem

10

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

armazenar dados sensveis, facilmente recuperveis. A mesma recomendao vale para equipamentos que deixaro a OM para manuteno. Os discos devero ser retirados e, se for o caso, formatados com software que elimine, definitivamente, os dados existentes (tcnicas de wipe). 4.7 ! Solicitar ao CTA/CT de apoio a verificao de vulnerabilidades em sistemas disponibilizados na Internet. 4.8 ! Executar rigoroso controle das mquinas e dos usurios que podem ter acesso rede de computadores da OM. No permitir que mquinas de visitantes sejam conectadas rede local. 4.9 Evitar a utilizao de redes sem fio (wireless). Se for imprescindvel seu emprego, adotar protocolos de proteo seguros (WPA ou superior) e s permitir o acesso dos equipamentos previamente cadastrados (controle de endereos MAC). No caso de instalao dessa soluo, solicitar apoio tcnico do CTA/CT da rea.

Cartilha Emergencial de Segurana de Tecnologia da Informao e Comunicaes

5 ! PGINA DE INTERNET DA OM 5.1 ! Priorizar a segurana da pgina: elaborar pginas simples, utilizando componentes de origem confivel, homologados pelo Departamento de Cincia e Tecnologia, observando o previsto nas IR 20-26. 5.2 ! Observar as normas de contra-inteligncia: no divulgar dados pessoais ou informaes sobre a rotina da OM. 5.3 ! Hospedar a pgina exclusivamente nos servidores do CITEx ou do CTA/CT que apoia a OM. 6 ! INCIDENTES DE SEGURANA 6.1 ! Na ocorrncia de qualquer violao de segurana aos recursos de TIC da OM, o fato dever ser imediatamente comunicado, pelo meio mais rpido, Seo de Tratamento de Incidentes de Rede (STIR) do CTA/CT de sua rea, que determinar as medidas exigidas para cada caso. A OM atingida, obrigatoriamente, ser objeto de uma auditoria tcnica por parte da STIR correspondente. O Relatrio decorrente dever ser encaminhado ao CITEx e DCT pelo CT/CTA para anlise e para que sejam tomadas as medidas complementares, inclusive em relao s responsabilidades da OM.