CARTILHA BÁSICA

DE SEGURANÇA DA
INFORMAÇÃO E
COMUNICAÇÕES

71°BIMTz

1- INTRODUÇÃO
O objetivo desta cartilha é conscientizar
todos os usuários dos recursos de TI das
organizações militares do 71° Batalhão de
Infantaria Motorizado acerca dos cuidados
que devem ser observados para que
exerçam suas tarefas sempre de maneira
segura.
2- CONCEITOS
2.1 Por que minha OM deve adotar
um PSI?
Porque é neste documento que serão
definidas as diretrizes para garantir a
confidencialidade, a integridade, a
disponibilidade e a autenticidade,
princípios básicos da segurança da
informação. Uma vez publicada, ela tem
força de regulamento interno e, se
implantada de forma eficiente, tem o
poder de abolir práticas inseguras por
parte dos usuários contribuindo para o uso
mais responsável de recursos essenciais ao
ambiente de trabalho. A adoção de uma
Política de Segurança da Informação pelas
organizações militares do Exército
Brasileiro está prevista nas Instruções
Reguladoras Sobre Segurança da
Informação nas Redes de Comunicações e
Computadores do Exército Brasileiro -
IRESER (IR 13-15).
2.2 Por que tenho que me preocupar
com a informação?
Vivemos numa época em que informação é
poder. Ela é o recurso mais importante de
qualquer organização e, como tal, deve ser
protegida para evitar-se prejuízos
financeiros e à imagem da instituição e das
pessoas que fazem parte dela.
3- REGRAS GERAIS DE
SEGURANÇA DA INFORMAÇÃO
3.1 Responsabilidade pela Segurança da
Informação
A segurança da informação é
responsabilidade de todos os usuários da
rede, dos sistemas e de qualquer
informação produzida dentro da
organização e que tenha caráter
institucional. O primeiro passo para a
elevação dos níveis de segurança começa
com a conscientização de cada um sobre
suas responsabilidades e a fiscalização das
medidas básicas dentro de sua área de
atuação.
3.2 Termo de Responsabilidade e
Manutenção do Sigilo
Esse documento determina que, para ter
acesso aos recursos de TI, o usuário deve
ter conhecimento da Política de Segurança
da Informação da OM. Ao assinar o Termo
de Responsabilidade e Manutenção de
Sigilo, o usuário atesta que leu e concordou
com os termos da Política, tem
conhecimento dos seus direitos e deveres
e se compromete a cumprir as regras
previstas, podendo ser sancionado caso a
descumpra.
3.3 Divulgação da Política de Segurança da
Informação e Comunicação
Do comandante ao soldado mais moderno,
todos devem ter perfeito conhecimento da
PSI. Para isso, não basta apenas a sua
publicação no Boletim Interno da OM. É
preciso haver instruções para a
apresentação dos seus pontos mais
importantes e retirada de dúvidas. É
interessante que haja, periodicamente, a
realização de campanhas orientando o
público da OM quanto às melhores práticas
em segurança e às medidas que podem ser
tomadas para o cumprimento do previsto
na PSI.
3.4 Cuidados com Impressão
A má utilização de impressoras é uma das
maiores causas de vazamento de
informação. Esses equipamentos podem
ser compartilhados por muitas pessoas,
inclusive de seções diferentes. Ao executar
a impressão de qualquer documento, o
interessado deve providenciar a retirada
imediata do material da bandeja de
impressão. Isso evita que outros usuários
que venham a utilizar a impressora
posteriormente tenham acesso indevido a
informações. Impressoras compartilhadas
por muitas pessoas devem possuir um
militar especialmente designado para o
controle das impressões. Entre outras
atribuições, ele deve ser responsável pelo
descarte apropriado de documentos que
não sejam retirados pelos respectivos
donos dentro de um certo período de
tolerância
3.5 Utilização do Sistema de Protocolo
Eletrônico de Documento (SPED)
A utilização do SPED na OM contribui para
a melhoria da segurança da informação,
pois o armazenamento dos documentos é
centralizado e em formato digital. Os
documentos são enviados seguindo a
cadeia de comando e há o controle efetivo
sobre a visualização das informações
apenas por usuários devidamente
autorizados. O arquivamento é facilitado e
possibilita a realização de cópias de
segurança, já que todos os documentos de
caráter interno e ostensivo são
armazenados no mesmo servidor. Outra
vantagem no uso do SPED é a economia de
papel e de outras despesas com impressão,
como cartuchos de tinta e manutenção de
impressoras.
3.6 Utilização do Sistema de Boletins e
Alterações (SISBOL)
A utilização do Sisbol na OM contribui para
confecção e consulta de Alterações,
boletins internos, Boletins de Acesso
restrito, etc. Para ter acesso a esse sistema
o usuário deverá solicitar autorização à 2ª
Seção da OM, atualmente somente os
Chefes de Seção e Cmt Cia, em casos
excepcionais, as seções possuem uma
conta de auxiliar ou adjunto.
3.7 Conscientização dos Usuários da Rede
Corporativa
O processo de conscientização do público
interno da organização é de fundamental
importância na elevação dos níveis de
segurança da informação na rede da OM.
Esclarecer os usuários da necessidade de se
proteger informações, tanto pessoais
quanto institucionais, evita desgastes
disciplinares e possíveis prejuízos
financeiros ou à imagem da Organização.
Assim, é necessário que seja previsto no
programa de instrução da OM, palestras
sobre procedimentos básicos de segurança
da informação, fazendo ampla divulgação
das normas em vigor.
3.8 Dispositivos móveis pessoais
A utilização de dispositivos móveis pessoais
(como notebooks, celulares e tablets) na
rede interna deve ser proibida. Essa prática
comum é uma das maiores causas de
incidentes de segurança, como vazamento
de informação e disseminação de pragas
virtuais (worms, cavalos-de-tróia e vírus de
computador). Esses equipamentos muitas
vezes não apresentam configurações
básicas de segurança e estão sempre
propensos a serem contaminados por
malwares, devido à livre utilização da
Internet, de programas desatualizados e
uso de mídias removíveis. Também é
comum, em computadores pessoais, logins
e senhas de acesso a sistemas serem
memorizados por navegadores, o que
agrava mais ainda a situação, redundando
em elevação dos riscos à segurança da
informação.
3.9 Equipe de Segurança da Tecnologia da
Informação e Comunicação
A implementação eficiente de uma política
de segurança a ser adotada pela OM como
um todo deve, necessariamente, contar
com o suporte do Comando e dos
membros do Estado-Maior. A Equipe
Interno de Segurança da Informação e
Comunicações, grupo responsável pela
implantação da política de segurança e sua
fiscalização, deve ser multidisciplinar,
abrangendo todas as áreas da OM. A
equipe deve, também, ser formado por
militares em posição de cobrar o
cumprimento das regras previstas dentro
da organização, sendo este a
representação do comando da OM no que
tange à aplicação das normas da PSI. A
função da equipe não é executar a
implementação da política, mas garantir
que os controles estabelecidos na política
estejam sendo executados por seus
responsáveis e apurar o descumprimento
da norma à luz do regulamento.
4- UTLIZAÇÃO DE SENHAS
4.1 Dos Sistemas
É obrigatório a mudança de senha pelos
usuários do SPED e SISBOL, de modo que,
preserve- se a segurança dessas contas
4.2 Compartilhamento de Senhas
O acesso aos sistemas deve sempre ser
feito de maneira individualizada e as
contas para os serviços devem ser feitas
sempre para cada usuário que necessita
utilizá-lo. O compartilhamento de senhas
representa uma falha grave de segurança,
pois permite que usuários façam abuso do
acesso a determinado sistema sem que
possam ser identificados, pois apenas uma
conta é utilizada.
5- SEGURANÇA E ACESSO AO
CABEAMENTO DA REDE
5.1 A OM deve adotar medidas que evitem
a exposição de cabos de rede, hubs e
switches. O fácil acesso a esses ativos
possibilita também o fácil acesso à rede
local. Os ativos de rede devem ser
acondicionados em locais protegidos e o
acesso físico a esses deve ser restrito.
Outro ponto importante a respeito de
ativos de rede é que a proliferação de hubs
e switches, que são colocados para suprir a
deficiência de pontos de rede, acaba
causando o cascateamento da rede e a
perda de desempenho. Por isso, a
infraestrutura de rede da OM deve sempre
ser planejada de modo a dimensionar
adequadamente os pontos de rede, sem
que haja a necessidade de ativos em
excesso
6- SEGURANÇA DE SOFTWARE
6.1 Padronização do Parque Computacional
A OM deve, na medida do possível,
padronizar seu parque computacional,
tanto em termos de hardware quanto de
sistemas operacionais e outras ferramentas
de escritório. Isso facilita o processo de
manutenção e a resolução de problemas
pela Seção de Informática ou pela equipe
de TI da OM. A organização deve buscar a
padronização para atender a fins
institucionais e cumprir diretrizes em vigor
no Exército, como o Plano de Migração
para Software Livre.
6.2 Software Livre
A adoção do software livre no Exército
Brasileiro atende a políticas já aprovadas
pelo Governo Federal e que englobam toda
a Administração Pública. Ainda em fase de
consolidação, esse plano de migração traz
inúmeros benefícios: economia com
despesas necessárias à manutenção de
sistemas proprietários; elimina os diversos
riscos legais envolvidos na prática muito
comum de se utilizar software não
licenciados; e propicia elevação dos níveis
de segurança na rede, pois sistemas de
código aberto, em especial o sistema
operacional Linux, são menos vulneráveis a
ataques e pragas virtuais
6.3 Software Pirata
A OM deve combater veementemente a
utilização de software não- licenciado, pois
essa prática, além de ser crime previsto no
Art. 184 do Código Penal Brasileiro,
representa um risco à rede. Os softwares
pirateados podem trazer consigo um
grande número de vulnerabilidades que
não são atualizadas e corrigidas
exatamente por não serem licenciadas. Há
ainda o risco de falhas de segurança
intencionais, que têm como objetivo
comprometer a máquina e utilizá-la para
atividades danosas.
6.4 Usuários do Sistema
Os sistemas operacionais das estações de
trabalho devem ter tantos diretórios
pessoais quanto forem o número de
usuários da estação. Essa medida tem
como objetivo facilitar a identificação de
usuários responsáveis por abusos que
porventura sejam cometidos. Nas estações
que são compartilhadas, cada usuário deve
acessar o sistema autenticando-se com o
seu login e senha individual. Nas situações
em que documentos precisem ser
manipulados por vários usuários, os
arquivos devem ser hospedados em um
servidor próprio de armazenamento
6.5 Administradores do Sistema
Apenas a equipe responsável pela
manutenção deve ter acesso aos sistemas
operacionais com privilégios de
administrador (usuário root no Linux). Com
isso, apenas ela tem autorização para
instalar ou remover softwares e fazer
configurações avançadas no sistema. Deve
ser retirado do usuário comum da estação
de trabalho todo e qualquer poder de
administração, evitando assim que este, de
maneira intencional ou não, instale
programas que possam comprometer o
computador ou até mesmo a rede interna.
7- SEGURANÇA DOS SERVIÇOS DE REDE
7.1 A concessão ou cancelamento de
acesso aos serviços de rede deve ser
realizado de maneira formal, seguindo um
fluxo bem definido. O ideal é que a
concessão de acesso a qualquer serviço
seja condicionada à assinatura do Termo
de Responsabilidade e Manutenção de
Sigilo e que obedeça ao princípio do
privilégio mínimo. Uma boa prática é que a
criação ou exclusão das contas dos
usuários sejam feitas de acordo com as
publicações, em boletim interno, da função
que o militar ocupará ou deixará de ocupar
7.2 Acesso as Redes Sociais
O acesso a redes sociais pode ser permitido
a todos os usuários que tenham permissão
para navegar na Internet. No entanto,
como as redes sociais são usadas para fins
de entretenimento, que não estão
relacionados ao trabalho, deve haver um
certo controle para que não haja impacto
na produtividade. É aconselhável que essa
permissão seja concedida apenas nos
intervalos para almoço e ao final do
expediente, sempre deixando claro para os
usuários que a navegação é registrada,
para coibir o acesso a conteúdo impróprio
nas redes sociais.
7.3 Padronização de Papel de Parede e
Proteção de Tela
A padronização de papeis de parede e
protetores de tela é uma medida que visa
preservar a imagem da organização. O
objetivo dessa medida é impedir os
usuários de exporem em suas áreas de
trabalho imagens pessoais ou com
conteúdo que não seja condizente com o
ambiente profissional. Assim, é passada
aos usuários a impressão de que o
computador não deve ser encarado como
um bem particular, e sim como uma
ferramenta de trabalho
7.4 Cópia de Segurança (Backup)
A cópia de segurança é uma medida
preventiva que garante que determinado
sistema ou arquivo será restaurado no
menor tempo possível, após a ocorrência
de um sinistro. A OM deve estabelecer
uma política formal de cópia de segurança,
especialmente dos bancos de dados de
sistemas corporativos, como SPED,
SISCOFIS, entre outros.
7.5 Utilização de Rede sem Fio
As redes sem fio devem ter utilização
restrita e sua instalação deve ser precedida
de avaliação de necessidade e de riscos
pela Seção de Informática do 71° BIMTz.
Caso a utilização de redes sem fio seja
imperiosa, essa deve ser configurada de
modo a garantir o máximo de segurança
aos seus usuários. Para isso, deve ser
designado um responsável pelo ponto de
acesso, que irá desligar o equipamento
fora dos horários de expediente. O
equipamento deve ser configurado de
modo a utilizar criptografia WiFi Protected
Access 2 (WPA2) ou superior, fazer o
controle dos dispositivos autorizados a se
conectarem à rede sem fio por meio de
filtro de endereço MAC (Media Access
Control). Deve ser também desabilitada a
função de broadcast do Service Set
IDentifier (SSID), impedindo assim a
identificação da rede sem fio por
dispositivos Wireless, como smartphones,
tablets e notebooks. Também é importante
que seja utilizada a potência mínima
necessária, para que o sinal não se
propague por áreas onde a rede não deve
estar disponível.
7.8 Rede Virtual Privada
A utilização do serviço de VPN (do inglês
Virtual Private Network), fornecido pelo 5º
CTA, deve ser precedida de uma criteriosa
avaliação. Antes de enviar a solicitação de
criação de contas, deve ser analisada a
concreta necessidade desse serviço. Ao
estender o acesso à EBNet para lugares
fora do domínio da organização e,
frequentemente, com a utilização de
equipamentos pessoais e redes
domésticas, pode haver o acesso inseguro
a sistemas corporativos. É necessário que
esses usuários sejam orientados a nunca
utilizarem o serviço de VPN a partir de
máquinas ou redes públicas e sempre com
condições satisfatórias de segurança.
8- CONSIDERAÇÕES FINAIS
Esta cartilha pode ser entendida como um
guia básico de segurança da informação.
Sua adoção pura e simples coloca a OM em
um nível minímo de segurança e
maturidade, contudo, medidas adicionais
compatíveis com as peculiaridades de cada
OM devem ser adotas pois, só assim,
poderemos ter uma ambiente de rede
verdadeiramente seguro.
REFERENCIAS
– Norma Complementar nº 03/IN01/
DSIC/GSIPR – Diretrizes para a Elaboração
de Política de Segurança da Informação e
Comunicações nos Órgãos e Entidades da
Administração Pública Federal; – Decreto
nº 7.845, de 14 de novembro de 2012; –
Portaria n° 049-DCT, de 19 de dezembro de
2005 – Aprova as Instruções Reguladoras
para Emprego Sistêmico do Serviço de
Correio Eletrônico no Exército Brasileiro –
IRESCE (IR 13-06); – Portaria n° 026-DCT, de
31 de março de 2006 – Aprova as
Instruções Reguladoras para Emprego
Sistêmico da Informática no Exército
Brasileiro (IR 13-07); – Portaria n° 003-DCT,
de 31 de janeiro de 2007 – Aprova as
Instruções Reguladoras sobre Auditoria de
Segurança de Sistemas de Informação do
Exército Brasileiro – IRASEG (IR 13-09); –
Portaria n° 004-DCT, de 31 de janeiro de
2007 – Aprova as Instruções Reguladoras
sobre Segurança da Informação nas Redes
de Comunicação e de Computadores do
Exército Brasileiro – IRESER (IR 13-15); –
Portaria n° 006-DCT, de 5 de fevereiro de
2007 – Aprova as Normas para Controle da
Utilização dos Meios de Tecnologia da
Informação no Exército – NORTI (2ª
Edição); – Portaria n° 011-DCT, de 29 de
março de 2010 – Aprova o Plano de
Migração para Software Livre no Exército
Brasileiro, versão 2010; – DIEx nº 2-SEC
INTLG/DCT, de 21 de janeiro de 2014.

- Cartilha Básica de Segurança da

Informação e Comunicações, Rede
Metropolitana do Comando Militar do
Planalto/ 7° CTa.