Responsabilidades dos usuários

Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação.

A cooperação de usuários autorizados é essencial para uma efetiva segurança.

Convém que os usuários estejam conscientes de suas responsabilidades para manter efetivo controle de acesso, particularmente em relação ao uso de senhas e de segurança dos equipamentos de usuários.

Convém que uma política de mesa e tela limpa seja implementada para reduzir o risco de acessos não autorizados ou danos a documentos/papéis, mídias e recursos de processamento da informação.

11.3.1 Uso de senhas

Controle

Convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas.

Diretrizes para implementação

Convém que todos os usuários sejam informados para: a) manter a confidencialidade das senhas;

b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos móveis), a menos que elas possam ser armazenadas de forma segura e o método de armazenamento esteja aprovado; c) alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da

própria senha;

d) selecionar senhas de qualidade com um tamanho mínimo que sejam: 1) fáceis de lembrar;

2) não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário;

3) não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário);

4) isentas de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos; e) modificar senhas regularmente ou com base no número de acessos (convém que senhas de acesso a

contas privilegiadas sejam modificadas mais freqüentemente que senhas normais) e evitar a reutilização ou reutilização do ciclo de senhas antigas;

f) modificar senhas temporárias no primeiro acesso ao sistema;

g) não incluir senhas em nenhum processo automático de acesso ao sistema, por exemplo, armazenadas em um macro ou funções-chave;

h) não compartilhar senhas de usuários individuais;

i) não utilizar a mesma senha para uso com finalidades profissionais e pessoais.

Se os usuários necessitam acessar múltiplos serviços, sistemas ou plataformas, e forem requeridos para manter separadamente múltiplas senhas, convém que eles sejam alertados para usar uma única senha de qualidade (ver d) acima) para todos os serviços, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Informações adicionais

A gestão do sistema de help desk que trata de senhas perdidas ou esquecidas necessita de cuidado especial, pois este caminho pode ser também um dos meios de ataque ao sistema de senha.

11.3.2 Equipamento de usuário sem monitoração

Controle

Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada. Diretrizes para implementação

Convém que todos os usuários estejam cientes dos requisitos de segurança da informação e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas proteções. Convém que os usuários sejam informados para:

a) encerrar as sessões ativas,a menos que elas possam ser protegidas por meio de um mecanismo de bloqueio, por exemplo tela de proteção com senha;

b) efetuar a desconexão com o computador de grande porte, servidores e computadores pessoais do escritório, quando a sessão for finalizada (por exemplo: não apenas desligar a tela do computador ou o terminal);

c) proteger os microcomputadores ou terminais contra uso não autorizado através de tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando não estiver em uso (ver 11.3.3). Informações adicionais

Equipamentos instalados em áreas de usuários, por exemplo, estações de trabalho ou servidores de arquivos, podem requerer proteção especial contra acesso não autorizado, quando deixados sem monitoração por um período extenso.

11.3.3 Política de mesa limpa e tela limpa

Controle

Convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação.

Diretrizes para implementação

Convém que uma política de mesa limpa e tela limpa leve em consideração a classificação da informação (ver 7.2), requisitos contratuais e legais (ver 15.1), e o risco correspondente e aspectos culturais da organização. Convém que as seguintes diretrizes sejam consideradas:

a) informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado;

b) computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticação similar quando sem monitoração e protegidos por tecla de bloqueio, senhas ou outros controles, quando não usados; c) pontos de entrada e saída de correspondências e máquinas de fac-símile sem monitoração sejam

protegidos;

d) sejam evitados o uso não autorizado de fotocopiadoras e outra tecnologia de reprodução (por exemplo, scanners, máquinas fotográficas digitais);

e) documentos que contêm informação sensível ou classificada sejam removidos de impressoras imediatamente.

Informações adicionais

Uma política de mesa limpa e tela limpa reduz o risco de acesso não autorizado, perda e dano da informação durante e fora do horário normal de trabalho. Cofres e outras formas de instalações de armazenamento seguro também podem proteger informações armazenadas contra desastres como incêndio, terremotos, enchentes ou explosão.

Considerar o uso de impressoras com função de código PIN, permitindo desta forma que os requerentes sejam os únicos que possam pegar suas impressões, e apenas quando estiverem próximos às impressoras.