Políticas de Segurança Estudo de caso: USPNet

Transcrição

1 O GSeTI (Grupo de Segurança em Tecnologia da Informação) Trata das questões relativas à segurança de sistemas e redes da USP Recebe, identifica e processa os incidentes de segurança que foram notificados à USP Atua em parceria com os Centros de Informática e as Unidades da USP Provê sugestões para melhorar a segurança e elabora estatísticas, divulgando alertas sobre vulnerabilidades de sistemas

2 Estrutura da Política de Seguança Apresentação da política Políticas de Segurança Assessorar a Comissão Central de Informática e os Centros de Informática da capital e do Interior no tratamento de questões de segurança Elaborar uma Política de Segurança que dê sustentação às atividades de proteção da informação eletrônica da Universidade Propor Planos de Segurança e de Contingência para os sistemas computacionais, de acordo com a norma NBR ISO/IEC Acompanhar a implantação e execução dos planos propostos

3 Estrutura da Política de Seguança Introdução motivação A Rede Computacional da USP - USPnet, oferece à Universidade a possibilidade de se integrar a outros centros de ensino, pesquisa e extensão no exterior Oferece recursos computacionais e de redes para acesso aos Sistemas de Informação Coorporativos Sendo assim, a política se caracterizará pela tentativa de manter a confidencialidade, a integridade e a disponibilidade da informação disponível através desses recursos

4 Estrutura da Política de Seguança Objetivo Definir uma Política de Segurança para a Universidade, especialmente quanto à proteção dos seus ativos relacionados à USPnet, estabelecendo procedimentos e recomendações visando prevenir e responder a incidentes de segurança

5 Estrutura da Política de Seguança Abrangência A abrangência da segurança é definida pela Comissão Central de Informática - CCI, no tocante as responsabilidades dos Centros de Informática da capital e do interior sobre a USPnet Fora desse escopo, deve servir de recomendação, podendo ser aplicada pelas Unidades, Institutos, Departamentos ou outros setores integrantes da USP

6 Estrutura da Política de Seguança Pessoas responsáveis e suas atribuições Comissão Central de Informática: formular a política Centros de Informática: Executar as políticas de informática formuladas pela CCI Consultoria Jurídica: avaliar os incidentes de segurança causados por servidores da Universidade, recomendando as penalidades cabíveis Alunos, servidores e demais pessoas: cumprir com as determinações da política de segurança

7 Estrutura da Política de Seguança Aspectos da Segurança A segurança pode ser enfocada sob dois aspectos: físico e lógico Penalidades Centro de Informática, Instituto ou Unidade de Ensino devem avaliar as infrações ocorridas no âmbito de sua responsabilidade e aplicar ou recomendar as penalidades para cada caso Documentos da política de Seguança Normas

8 Norma geral Abrangência Segurança física dos dispositivos de rede da USPnet e da infra-estrutura Segurança lógica dos equipamentos de rede da USPnet Segurança da Informação Segurança administrativa Segurança do funcionário e do usuário

9 Norma geral Exemplos de recomendações: Segurança física Em relação à rede elétrica, aconselha-se o uso dos pára-raios de baixa tensão nos quadros elétricos de entrada do edifício É altamente recomendado o uso de no-break em equipamentos que suportam atividades críticas Uso de alarme que envie alguma mensagem a uma estação de gerenciamento remota caso ocorra algum acesso não autorizado

10 Norma geral Exemplos de recomendações: Segurança física Restrições de acesso baseadas em crachás de identificação, chaves e/ou cartão inteligente A instalação, manutenção e atualização de equipamentos é de responsabilidade única e exclusiva dos Centros de Informática Terminais públicos devem estar presos via dispositivos de alarme antifurto e cabos com travas Sejam adotados, ainda, procedimentos restringindo comida, bebida e fumo dentro das Instalações de Processamento

11 Norma geral Políticas de Segurança Exemplos de recomendações: Segurança lógica ou segurança da informação O acesso às mídias de back-up deve ser restrito ao pessoal autorizado A solicitação de abertura de contas em quaisquer dos sistemas se dará pelo preenchimento de um Termo de Identificação e Compromissos Também é recomendada a utilização de antivírus que monitorem as mensagens de correio eletrônico Para o caso do gerenciamento SNMP, não deve estar habilitado se não estiver em uso, do contrário, garantir acesso estritamente aos administradores responsáveis

12 Norma geral Políticas de Segurança Exemplos de recomendações: Segurança lógica ou segurança da informação Os visitantes devem se dirigir à recepção, ou outro setor responsável, a fim de receber uma conta de convidado (guest) As senhas de acesso lógico aos equipamentos devem ser trocadas periodicamente, a cada 90 dias no máximo, ou quando o administrador ou funcionário que as detenha venha a se desligar da Universidade ou da função Somente os Centros de Informática podem fornecer acesso remoto à USPnet, sendo estes os responsáveis pela configuração do hardware

13 Norma geral Políticas de Segurança Exemplos de recomendações: Segurança administrativa É proibido o acesso aos arquivos e informações do usuário, exceto em caso de segurança ou apuração de algum fato envolvendo o próprio usuário, sempre com a ciência do gerente ou responsável pela rede A monitoração de dados e voz que circulam através dos meios só deverá ser praticada visando a detecção de invasão ou outro assunto relacionado à segurança

14 Norma geral Políticas de Segurança Exemplos de recomendações: Segurança do funcionário e do usuário A utilização dos recursos de rede da Universidade só é concedida mediante a adesão dos usuários às normas e diretivas de segurança vigentes, lendo, entendendo e assinando o termo adequado Notebooks, PDAs ou outros dispositivos portáteis estão sujeitos a inspeção pelo administrador O usuário deve estar ciente de que atos impróprios resultarão em investigação, podendo acarretar punição

15 Norma geral Políticas de Segurança Exemplos de recomendações: Segurança do funcionário e do usuário É violação das regras: Utilizar os recursos computacionais da Universidade para fins comerciais ou políticos, tais como mala direta ou propaganda política Utilizar os recursos computacionais da Universidade para ganho indevido Utilizar os recursos computacionais da Universidade para intimidar, assediar, difamar ou aborrecer qualquer pessoa Consumir inutilmente os recursos computacionais da Universidade de forma intencional

16 Bibliografia NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 6.