CARTA DO PRESIDENTE CLÉSIO ANDRADE

Transcrição

1 de segurança da informação

2

3 CARTA DO PRESIDENTE Vivemos em uma era de grandes transformações proporcionadas pelo avanço da tecnologia e da inovação, o que tem provocado rápidas mudanças na forma como as instituições se organizam, se comunicam e se desenvolvem. Neste mundo hiperconectado, mais do que bens materiais, os maiores patrimônios das organizações são o conhecimento e a informação. No SEST SENAT, esses valiosos ativos estão voltados exclusivamente para o cumprimento da missão e dos objetivos da instituição. Trata-se de um compromisso ético que todos os dirigentes, empregados e prestadores de serviços devem reafirmar, sempre que possível, perante os contribuintes que confiam a nós a existência e o desenvolvimento do SEST SENAT. É notório o esforço de modernização e aprimoramento das atividades operacionais e dos instrumentos de gestão que vem sendo realizado pelo SEST SENAT para responder aos desafios impostos por um ambiente de negócios e um mercado de trabalho em constante evolução. Este Manual de Segurança da Informação é mais uma ferramenta de apoio e orientação desse processo. Nele estão estabelecidos critérios, parâmetros e procedimentos para o uso seguro das informações pertencentes ao SEST SENAT. Conhecer e atuar em conformidade com este Manual é uma obrigação que todos os colaboradores do SEST SENAT, diretos e indiretos, devem assumir com clareza e de forma consciente. A busca da excelência vai além das qualificações e habilidades ades técnicas. Ela requer postura ética, sintonia com os valores institucionais e respeito ao patrimônio construído pelo SEST SENAT e pertencente aos trabalhadores do transporte e aos seus familiares. Parabéns a todos por mais essa conquista! CLÉSIO ANDRADE Presidente dos Conselhos Nacionais do SEST e do SENAT

4

5 SUMÁRIO 1. Introdução Controle de acesso Política de senhas Rastreabilidade Instalação de hardware e software Backup corporativo Acesso à Internet Malware Segurança física e do ambiente Classificação da informação a. Executando...13 b. Backup...14 c. Transmissão...14 d. Descarte...15 e. Diretrizes gerais...15

6

7 1. INTRODUÇÃO A informação é o principal ativo de uma organização. Os profissionais e sistemas do SEST SENAT, em suas atividades diárias, geram, coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal. O valor da informação vai além de palavras escritas, números e imagens. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações necessitam de proteção contra vários riscos, os quais podem expor as instituições e pessoas a riscos financeiros e de imagem. Portanto, proteger a informação tornou-se um fator crítico para o sucesso, e a segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando for necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos. Este manual traz um eixo básico em que todos os profissionais devem estar conscientes do seu papel e devem segui-lo para que possamos criar um ambiente seguro em busca da proteção do nosso maior ativo, a informação. 5

8 2. CONTROLE DE ACESSO Os acessos aos recursos computacionais (sistemas, rede corporativa, Internet e ) são realizados por meio de computadores disponibilizados pelo SEST SENAT. Para que um profissional recém-admitido tenha acesso à rede e aos sistemas, é necessário que o Gestor solicite à Coordenação de Desenvolvimento Pessoal por meio da Intranet (Base de Chamados). Após a avaliação, o usuário será criado pela Coordenação de Informática. 3. POLÍTICA DE SENHAS O acesso à rede corporativa, s, sistemas, internet e a outros recursos tecnológicos é concedido por meio de autenticação por senha, sendo de responsabilidade do profissional a não divulgação de sua senha e este será responsabilizado por qualquer utilização indevida. A senha da rede corporativa deverá respeitar o seguinte padrão: A senha tem um comprimento de, pelo menos, 8 (oito) caracteres. A senha contém caracteres de 3 (três) das 4 (quatro) categorias seguintes: letras maiúsculas (A a Z); letras minúsculas (a a z); números (0 a 9); caracteres não alfanuméricos como:!@#$%&*()+?. Vencimento da senha a cada 45 (quarenta e cinco) dias. Após a troca da senha, esta não deve ser alterada novamente antes do período de 1 (um) dia. O bloqueio acontecerá após 5 (cinco) tentativas inválidas, e o desbloqueio será feito somente pela Coordenação de Informática. Não poderão ser reutilizadas as últimas 5 (cinco) senhas. 6

9 DICAS PARA DEFINIÇÃO DE SENHA 1- Pensar em uma expressão de seu conhecimento. 2- Utilizar letras maiúsculas e minúsculas na frase. 3- Alterar as letras para caracteres especiais ou números que lembrem, por exemplo: E - 3, I -!, a O 0, l 1. Exemplos: Brasil é pentacampeão Br@sil5campeao Eduardo e Mônica 3duardo&M0nica Águas de 4. RASTREABILIDADE O acesso à rede corporativa, s, sistemas, internet e a outros recursos tecnológicos tem que ser feito por um único usuário que identifique a pessoa. Não é permitido utilizar um usuário que tenha a senha compartilhada por um grupo de profissionais. Dessa forma, não haverá dúvidas do que cada profissional faz nos recursos tecnológicos. Os principais acessos são registrados e podem ser monitorados para identificação de utilização indevida do recurso. 7

10 5. INSTALAÇÃO DE HARDWARE E SOFTWARE Caso tenha necessidade de adquirir qualquer equipamento ou novo programa para uma necessidade específica, é necessário que seja solicitado à Coordenação de Informática e à Segurança da Informação para fins de avaliação. Esse procedimento é necessário para que seja avaliado se o novo programa ou equipamento é compatível com a infraestrutura. Um equipamento ou programa instalado incorretamente pode causar problemas de vazamento de dados ou causar queda de performance da rede. 6. BACKUP A Coordenação de Informática é responsável por zelar pelo backup da rede corporativa, dos sistemas e do . Cabe a cada profissional utilizar as pastas de rede para armazenar os arquivos considerados importantes. As pastas de rede possuem backups, que são cópias de segurança. O armazenamento de arquivos somente no computador não é garantia de que sejam recuperados caso ocorra algum incidente com o equipamento. 7. CORPORATIVO Os profissionais devem fazer bom uso do e utilizá-lo somente para atividades profissionais. O limite total de anexos da mensagem não pode ultrapassar 12 Mb (doze megabytes). O não deve ser utilizado para divulgação de ameaças, difamação ou assédio a outras pessoas, assuntos de caráter obsceno, prática de qualquer tipo de discriminação relativa a 8

11 raça, sexo ou crença religiosa, distribuição de qualquer material que caracterize violação do direito autoral. Também não é permitido utilizar o para propagar s do tipo: SPAM s com propagandas de venda de produtos não solicitadas. Phishing s que têm o objetivo de enganar e persuadir as pessoas a acessar um site falso ou instalar um programa falso. Corrente s que indicam, em sua mensagem, a necessidade de serem repassados para que as pessoas obtenham um benefício. HOAX s com boatos. Envie s somente para pessoas que necessitem da informação. Caso seja necessário enviar um para um grupo de profissionais e não seja necessário que todos saibam quem está recebendo, considere utilizar o recurso de cópia oculta. Ao responder um que foi enviado para vários profissionais, evite responder com cópia para todos, salvo se a informação realmente deva ser compartilhada. O acesso ao , por ser considerada uma ferramenta de trabalho, é monitorado. Cuidado com s falsos! Nunca clique em links e não abra arquivos de s enviados por bancos e outras entidades, caso não tenha solicitado. Na dúvida, procure a Coordenação de Informática ou a Segurança da Informação. 8. ACESSO À INTERNET O acesso à Internet deve ser restrito às necessidades profissionais. Para permitir uma melhor utilização desse recurso e de acordo com as necessidades da Instituição, o acesso é controlado pela Coordenação de Informática por meio de perfis diferenciados. Independente dos acessos diferenciados, ficam totalmente bloqueados os acessos às seguintes categorias de sites: 9

12 Pornografia; Drogas; Racismo; Abuso infantil; Pirataria; Hacking. Também não é permitido utilizar o acesso à internet para acesso a URLs de SPAMS, ou seja, sites que permitem criar s de SPAM. A utilização de sites de proxy, que são sites que permitem o acesso a sites bloqueados, já que conseguem esconder a navegação, também não é permitida. O uso restrito da Internet permite que a rede de computadores seja melhor utilizada para a utilização dos sistemas e s. A navegação na Internet é monitorada, já que é considerada uma importante ferramenta de trabalho e deve ser utilizada somente para esse fim. O acesso ao conteúdo não permitido é bloqueado por ferramentas de informática. Porém, a Internet é uma rede dinâmica, e novos sites entram no ar todos os dias, o que permite que um site de conteúdo indevido seja acessível. Dessa forma, não acessem sites desconhecidos e não cliquem em links enviados através de por pessoas desconhecidas, a fim de evitar a instalação de algum vírus ou acesso a conteúdo não permitido. 9. MALWARE Malware é o termo que designa os programas criados para causar danos, realizar espionagem ou roubar informações e arquivos. 10 Vírus tipo mais conhecido e o mais simples. Trata-se de programa que invade outros arquivos, como planilhas, e copia o código do vírus para esses arquivos, espalhando-se para um computador e para a rede. Esse comportamento é similar ao vírus biológico, por isso, tem o mesmo nome. Spyware programa que é instalado de forma oculta no momento da instalação de outro programa. Após instalado, o programa coleta informações, como toda a digitação e

13 imagens da tela e envia para um terceiro. Esse comportamento de espião dá nome à categoria, já que a tradução de spy é espião. Trojan programa que aparenta ter uma finalidade útil, porém, de forma oculta, executa atividades que trazem prejuízos, como permitir a invasão de uma pessoa mal-intencionada. O termo trojan vem do mito do Cavalo de Troia, que aparentava ser um presente para os moradores da cidade de Troia, mas na verdade era uma arma para invasão. Ransomware programa que restringe o acesso dos documentos por meio de criptografia e só permite a liberação dos arquivos após o pagamento de um valor para o desenvolvedor. Essa solicitação de um resgate dá nome à categoria, já que a tradução de resgate é ransom. Os computadores possuem antivírus, atualmente melhor designados de anti-malwares, que são programas que permitem proteger os equipamentos das ameaças. Esses programas são monitorados para que recebam atualização diariamente. A Coordenação de Informática mantém programas nos computadores e na rede para que malwares não ataquem o ambiente. Porém, a melhor proteção ainda continua sendo a do profissional, que deve ter bom senso ao utilizar o computador e evitar a execução de arquivos e programas de origem desconhecida. 10. SEGURANÇA FÍSICA E DO AMBIENTE A segurança da informação não é restrita ao ambiente lógico. Portanto, é importante também preocupar-se com a segurança física dos equipamentos. As áreas de processamento onde se localiza o servidor, computador com capacidade de processamento maior e que atende a uma rede, e equipamentos de rede como firewall, roteadores, modems e switches devem ser restritas e possuir controles contra sinistros, por exemplo: incêndio, alagamento, roubo e furto. Todos os empregados e visitantes devem estar identificados nas dependências portando crachá em local visível. 11

14 11. CLASSIFICAÇÃO DA INFORMAÇÃO A informação deve ser classificada para que seja adequadamente tratada no armazenamento (backup), transmissão e descarte. PÚBLICA a informação é pública, podendo ser compartilhada por todos os profissionais da instituição e divulgada para o público externo. INTERNA a informação não deve ser divulgada para o público externo. O acesso deve ser restrito aos empregados da instituição. CONFIDENCIAL a informação não deve ser divulgada e pode causar danos financeiros ou à imagem da organização, devendo ser restrita a poucos profissionais. 12

15 A. EXECUTANDO Toda documentação gerada ou recebida deve ser classificada da seguinte forma: Tipo Documento impresso Documentos eletrônicos Procedimento Caso o documento seja gerado no SEST SENAT, a classificação da informação deve constar no rodapé das páginas. Caso seja um documento recebido, a área que recebeu deve colar uma etiqueta que informe a classificação. Deve ter o nível de segurança identificado no título dentro dos separadores [] e/ ou no corpo da mensagem. A documentação deve apresentar um cabeçalho com a informação da classificação. - + PÚBLICA INTERNA CONFIDENCIAL BACKUP TRANSMISSÃO DESCARTE 13

16 B. BACKUP Tipo Pública Interna Confidencial Procedimento Sem necessidades específicas de backup. Armazenada em pasta de rede com backup diário, porém sem restrição de acesso. Armazenada em pasta de rede com backup diário e com restrição de acesso. C. TRANSMISSÃO Tipo Pública Interna Confidencial Procedimento Sem necessidades específicas de restrição de acesso. A informação pode ser transmitida aos profissionais da instituição e deve ser evitada a transmissão para receptores externos. A informação deve ser restrita e transmitida somente aos profissionais que precisam da informação e deve ser evitada a transmissão para receptores externos. 14

17 D. DESCARTE Tipo Pública Interna Confidencial Procedimento Sem necessidades específicas de restrição de acesso ao descarte e ele deve ser executado logo que possível. O descarte pode ser realizado diretamente nas lixeiras ou excluído o arquivo lógico após o uso. A informação impressa deve ser destruída antes do descarte na lixeira utilizando fragmentadora de papel. Realizar a exclusão definitiva do arquivo lógico no computador, evitando que fique uma cópia na lixeira. Caso haja o descarte do equipamento, avaliar com a área de TI a possibilidade de realizar a sanitização de dados nos discos. E. DIRETRIZES GERAIS O nível de segurança da informação é definido por cada profissional de cada setor da Instituição, sendo que o Gestor possui direito de redefinir a classificação de sua área. Utilize as pastas de rede para manter os arquivos Internos e Confidenciais. A correta classificação da informação vai permitir aprimorar os controles e garantir a proteção adequada aos arquivos. 15

18

19

20 de segurança da informação SAUS Quadra 01, Bloco J, Ed. CNT CEP: Brasília-DF Fale com o SEST SENAT: seginfo@sestsenat.org.br