Segurança da Informação

Maio de 2015

Segurança da Informação

Marcelo Gonçalves | João Lucas Pecin | Marcos Antônio | Guilherme Nogueira

Sumário

1. Introdução ... 3

2. Escopo ... 3

3. Revisão ... 3

4. Ativos Críticos Para o Sucesso do Negócio ... 4

5. Ativos de Software ... 4

6. Serviços ... 4

7. Recursos Humanos ... 4

8. Identificação e tratamento dos riscos ... 5

8.1. Tabela de Classificação da Probabilidade de Riscos ... 5

8.2. Tabela de Classificação de Impacto dos Riscos ... 5

8.3. Matriz de exposição de risco ... 5

9. Tabela de riscos ... 1

10. Diretrizes ... 1

10.1. Classificações das informações ... 1

10.2. Tratamento das Informações ... 2

10.3. Informação Confidencial ... 2 10.4. Manuseio ... 2 10.5. Transporte ... 2 10.6. Descarte ... 2 10.7. Manuseio ... 3 10.8. Transporte ... 3 10.9. Descarte ... 3 10.10. Informação Pública ... 3

Uso do Correio Eletrônico ... 4

10.11. Uso da Internet... 5

10.12. Uso dos Recursos de TI ... 5

10.13. Monitoração de Uso e Acesso aos Sistemas ... 6

10.14. Aceitação da Política de Segurança da Informação ... 6

11. Violações e Sanções ... 6

11.1. Violações ... 6

11.2. Sanções ... 7

1. Introdução

Atender as regras de Segurança da Informação da empresa constitui uma das mais importantes contribuições dos colaboradores para proteger os ativos da empresa.

Os ativos de informação englobam todas as informações da empresa, os objetos que as suportam e as pessoas que as utilizam. Desta forma, as informações da empresa devem ser protegidas em todos os meios, sejam eles tecnológicos, impressos e tácitos. As informações devem ser classificadas e disponibilizadas somente a quem tenha a necessidade e autorização em virtude de sua função ou cargo e de acordo com suas responsabilidades na companhia. Proteger estes ativos de informação significa, também, mantê-los seguros contra ameaças que possam afetar sua funcionalidade.

Assim, a Segurança da Informação visa proteger estes ativos com base na preservação de três princípios básicos:

 Confidencialidade: Ter confidencialidade é garantir que o que foi dito a alguém ou

escrito em algum lugar somente será escutado ou lido por quem tiver direito.

 Integridade: Uma informação íntegra é uma informação original que não tenha sido

alterada indevidamente (sem autorização) ou danificada.

 Disponibilidade: Para que uma informação possa ser utilizada ela precisa estar

disponível. Garantir a disponibilidade é permitir que quem necessite da informação e esteja autorizado a tenha no momento de fazer uso dela.

A fim de gerenciar estes ativos de informação da Web Rock, serão utilizados todos os meios tecnológicos ou não para monitorar e controlar seu uso por todos os colaboradores, não devendo haver expectativa de privacidade por parte dos mesmos.

Todas as informações produzidas, geradas, criadas e armazenadas na empresa e por seus colaboradores são de propriedade da Web Rock, que poderá usar para qualquer propósito e em qualquer momento.

2. Escopo

Esta política abrange todos os colaboradores (funcionários e prestadores de serviço) que tenham qualquer tipo de acesso, tecnológico ou não, às informações da empresa.

3. Revisão

É de responsabilidade do Departamento de TI manter, disseminar e atualizar esta política semestralmente e os documentos a ela relacionados, a contar de sua data de vigência ou sempre que houver uma mudança de qualquer natureza que se julgue necessária a revisão para refletir eventuais alterações nos objetivos de negócios ou no ambiente de risco (ameaças de segurança e medidas de proteção para mitigar estas ameaças).

4. Ativos Críticos Para o Sucesso do Negócio

 Bases de dados e arquivos;

 Documentações de sistemas;

 Informações sobre pesquisas;

 Planos de continuidade do negócio;

 Procedimentos de recuperação;

 Trilhas de auditoria e informações armazenadas.

5. Ativos de Software

 Sistemas;  Aplicativos;  Ferramentas de desenvolvimento;  Utilitários.  5.3 Ativos de Hardware

 Servidores de banco de dados;

 Servidores de arquivos;

 Servidores de aplicações;

 Estruturas de rede corporativa;

 Estações de trabalho;

 Dispositivos de comunicação;

 Dispositivos e ferramentas de armazenamento.

6. Serviços

 Link de internet;

 Serviços de telefonia fixa e móvel;

 Eletricidade.

7. Recursos Humanos

8. Identificação e tratamento dos riscos

A identificação dos riscos foi feita por meio de reuniões usando o método do brainstorm, com a participação dos responsáveis pelo departamento de TI. Cada item foi identificado os riscos relevantes, sua descrição, probabilidade de impacto, consideramos os grupos de ações definidos para cada meta.

8.1.

Tabela de Classificação da Probabilidade de Riscos

Pontos Probabilidade 5 Inerente (> 80%) 4 Muito Provável (60% a 80%) 3 Provável (40% a 60%) 2 Pouco Provável (20% < 40%) 1 Improvável (< 20%)

8.2.

Tabela de Classificação de Impacto dos Riscos

Pontos Impacto Critérios de Classificação (Riscos Negativos)

5 Muito Alto Impede o funcionamento do sistema de forma crítica. 4 Alto Interfere na base de dados e na continuidade do negócio 3 Médio Interfere no procedimento de recuperação do sistema

2 Baixo Afeta o recuso humano, causando lentidão para o desenvolvimentos das atividades 1 Muito Baixo Afeta o funcionamento das maquinas do usuários

8.3.

Matriz de exposição de risco

P ro b ab ilid ad e 5 5 10 15 20 25 4 4 8 12 16 20 3 3 6 9 12 15 2 2 4 6 8 10 1 1 2 3 4 5 1 2 3 4 5 Impacto

1

9. Tabela de riscos

10. Diretrizes

10.1.

Classificações das informações

As informações devem ser classificadas para indicar a necessidade, prioridade e o nível esperado de proteção quanto ao tratamento da informação.

A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Assim, um sistema de classificação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento. Desta forma, todas as informações da empresa devem ser classificadas em termos do seu valor, requisitos legais, sensibilidade e criticidade.

Na Web Rock as informações devem ser classificadas de acordo com os três níveis abaixo:

 Informação Confidencial: São aquelas que devem ser utilizadas somente por

colaboradores autorizados e protegidas do público externo. Se divulgadas a pessoas não autorizadas podem causar danos financeiros, à imagem, à reputação, jurídicos e de competitividade a empresa.

 Informação Interna: São informações utilizadas normalmente dentro da empresa por

seus colaboradores para suas atividades rotineiras, não se destinando, contudo, ao público externo. Apesar de seu conteúdo não causar graves consequências ao negócio se divulgadas, devem ser protegidas e acessadas somente pelo público interno da empresa.

 Informação pública: São informações criadas para fins de distribuição pública,

livremente disponíveis fora da empresa ou que a empresa determinou que fosse

Ativos Risco Controle

Base de Dados

Invasão e roubo de

informações Revisar as regras do firewall. Perca dos dados Manter um backup atualizado. Base de dados

danificada Manter um backup atualizado.

Falta de energia Queda do sistema geral

Manter o gerador de energia de pequeno porte conectado ao servidor em perfeito estado de funcionamento.

Falta de mão de obra Paradas de serviços Ter pessoas capazes de trabalhar em mais de uma tarefa Documentações de sistemas Perda da continuidade do negócio

Manter o documento atualizado e armazenado em mais de um lugar em segurança.

Informações sobre

pesquisas Queda de vendas

Somente pessoas autorizadas podem acessar as informações

2 liberado o acesso como tal. Estas informações não necessitam nenhum tipo de proteção ou tratamento específico.

10.2.

Tratamento das Informações

Todas as informações da empresa devem ser tratadas adequadamente em todo seu ciclo de vida, assim após a sua criação ou geração, esteja ela em meio físico ou eletrônico, deve ser armazenada, manuseada, transportada e descartada ao final de sua vida útil adequadamente.

10.3.

Informação Confidencial

Meio Eletrônico – Devem ser armazenados em diretórios de servidores da rede da empresa com acesso concedido criteriosamente somente às pessoas ou grupos necessários.

Mídias Físicas – Devem ser armazenadas em armários ou gavetas de mesas que possam ser trancados e sob a manutenção de vigilância nas dependências internas da empresa.

10.4.

Manuseio

Devem ser manuseadas somente pelas pessoas ou grupos autorizados no ambiente interno da empresa, preferencialmente longe do fluxo de circulação normal de pessoas, de forma cuidadosa, verificando sempre se não há pessoas não autorizadas observando.

10.5.

Transporte

 Meio Eletrônico – Devem preferencialmente trafegar no ambiente interno da empresa entre as pessoas com acessos concedidos. Se necessário trafegar para ambiente externo, as informações devem obrigatoriamente ser enviadas criptografadas a destinatários autorizados e de preferência através de SFTP da empresa, nunca através de FTP públicos, blogs, Messenger ou qualquer outro meio considerado de acesso público, principalmente internet.

 Mídias Físicas – No caso de mídias físicas com conteúdo eletrônico (CDs. DVDs, Pen Drives, Fitas de Backup, etc.) este conteúdo deve estar criptografado. Caso sejam mídias impressas, estas devem estar acondicionadas adequadamente em volumes lacrados, livre de observação de conteúdo ou parte deste através de incidência de luz e/ou de outros mecanismos. O transporte deve ser realizado por empresa prestadora de serviço em regime de contrato pactuado com cláusulas de confidencialidade. A parte recebedora deve ser instruída a comunicar imediatamente o recebimento de volumes violados.

10.6.

Descarte

 Meio Eletrônico – Destruir fisicamente, se possível, ou utilizar meios eletrônicos que tornem as informações irrecuperáveis.

 Meio Eletrônico – Devem ser armazenados em diretórios de servidores da rede da empresa com acesso concedido criteriosamente somente às pessoas ou grupos necessários.

3

 Mídias Físicas – Devem ser armazenadas em armários ou gavetas de mesas sem acesso do público externo.

10.7.

Manuseio

Devem ser manuseadas somente por colaboradores da empresa dentro do perímetro interno da empresa.

10.8.

Transporte

Devem ser enviados somente a colaboradores da empresa. Caso a informação interna tenha que ser enviada para o meio externo, ela deverá ser reclassificada como Confidencial.

10.9.

Descarte

Meio Eletrônico – Destruir fisicamente, se possível, ou utilizar meios eletrônicos que tornem as informações irrecuperáveis.

Mídias Físicas – Triturar, incinerar ou reduzir a mídia em partes que não possam ser recompostas de modo que as informações não possam ser recuperadas.

10.10. Informação Pública

Não requer proteção.

O Controle de Acesso Lógico é a base da proteção de todas as informações residentes em sistemas eletrônicos da empresa.

O acesso à informação, recursos de processamento das informações e processos de negócios devem ser controlados com base nos requisitos de negócio e segurança da informação.

Cabe ao Departamento de Tecnologia da Informação o controle de acesso a todos os sistemas de informação de forma a conceder, bloquear, suspender e excluir acessos de quaisquer colaboradores (empregados, terceiros ou prestadores de serviço).

Deve ser assegurado que todo colaborador ao acessar sistemas da empresa tenha um identificador e senha.

a) Este identificador deve ser único, exclusivo e intransferível em cada sistema.

b) Não devem ser usadas contas e senhas em grupo, compartilhadas ou genéricas em quaisquer equipamentos ou sistemas. Equipamentos ou sistemas onde não seja possível desativar os usuários de administração ou de serviço, as senhas deverão ser guardadas sob dupla custódia ou sob o conhecimento de uma única pessoa que será a única responsável por todos os atos realizados com esta conta.

Devem existir mecanismos para cadastramento do tempo de vida das contas de acesso (bloqueando e/ou excluindo ao final do prazo) para prestadores de serviços (auditores, consultores, terceirizados), de acordo com o contrato estabelecido entre a empresa prestadora do serviço e a empresa.

4 Deve haver uma interação entre a Diretoria de Recursos Humanos e a Diretoria de Tecnologia da Informação de forma a, mensalmente, verificar a existência de colaboradores demitidos, afastados (por qualquer motivo) ou transferidos nas bases de colaboradores ativos de todos os sistemas.

Toda conta de acesso à rede ou sistemas deve ter uma senha configurada, considerando:

 Tamanho mínimo de 8 caracteres alfanuméricos.

 Deverá conter caracteres maiúsculos e minúsculos.

 Deverá conter, pelo menos, um número ou caractere especial (!, $, #, %, etc.).

 Senha inicial expirada e única para cada colaborador.

 Troca periódica e obrigatória a cada 120 dias ou a qualquer momento pelo próprio colaborador. Caso o colaborador não troque a senha neste prazo a conta será bloqueada.

 Restrição de reutilização das últimas 3 senhas.

 Bloqueio por 3 tentativas de acesso malsucedidas. O bloqueio perdurará até a ação de desbloqueio realizado através de chamado via telefone ou sistema de helpdesk) ou por sistema de autoatendimento de recuperação de senhas.

Deve-se assegurar que todos os sistemas e ferramentas de rede que armazenem e transmitam senhas, utilizem criptografia robusta tornando-as ilegíveis.

Contas não utilizadas por 90 (noventa) dias devem ser bloqueadas. O bloqueio perdurará até a ação de desbloqueio. As contas bloqueadas por falta de utilização, se não desbloqueadas em 90 (noventa) dias deverão ser eliminadas dos sistemas.

Nenhum nome de conta revogada (bloqueada ou suspensa) pode ser reutilizado para um colaborador diferente do qual a conta foi criada.

Deve, ainda, ser utilizada a premissa “Tudo é proibido, a menos que expressamente permitido” na concessão de acessos.

Uso do Correio Eletrônico

O correio eletrônico da empresa é uma ferramenta de trabalho e deve ser utilizada somente para este fim.

Desta forma, poderão ser bloqueados o envio e o recebimento de mensagens com anexos de determinadas extensões que possam conter arquivos maliciosos (vírus, trojans, etc.) ou com conteúdo não apropriado aos negócios da empresa.

O correio eletrônico não deve ser utilizado para:

a) Distribuir mensagens não solicitadas a outras pessoas, caracterizando SPAM. b) Enviar mensagens com remetente forjado.

c) Enviar mensagens do tipo corrente ou pirâmide.

d) Transmitir material ofensivo, abusivo, antiético, erótico e pornográfico. e) Qualquer outra atividade não relacionada aos negócios da empresa.

5 Mensagens de Correio Eletrônico com informações confidenciais enviadas via internet (para endereços externos), devem ser protegidas contra leitura ou adulteração. Desta forma, não envie informações confidenciais por e-mail sem criptografá-las.

O uso do correio eletrônico é monitorado e não deve ser esperada privacidade do conteúdo das mensagens enviadas ou recebidas.

10.11. Uso da Internet

Da mesma forma que o correio eletrônico, a Internet é uma ferramenta de trabalho e tem por finalidade a obtenção de informações relativas às atividades da empresa.

É proibido seu uso para outras atividades, especialmente para:

Qualquer tipo de programa de mensagens instantâneas, com exceção de programas disponibilizados pela empresa.

Acesso a sites que contenham material ofensivo, antiético, racista, erótico ou pornográfico. Acesso a sites de armazenamento de arquivos externos (Personal Network Storage and Backup e Peer-to-Peer File Sharing) e de colaboração web (Web collaboration) não providos pela empresa.

Acesso a sites de relacionamento, fóruns e blogs.

Cópia de músicas, filmes, imagens, softwares ou qualquer material protegido por direitos autorais.

Utilização de rádios e TVs on-line. Download de arquivos executáveis.

O uso da internet é monitorado e não deve ser esperada privacidade do histórico de navegação ou de outros serviços utilizados.

10.12. Uso dos Recursos de TI

É proibida a conexão de quaisquer dispositivos e equipamentos particulares à rede corporativa da empresa

É proibida a gravação de informações confidenciais em mídias removíveis de armazenamento (USB Pendrives, CDs e DVDs graváveis e regraváveis, HDs externos, cartões de memória, etc.). A gravação somente será permitida para necessidades comprovadas de negócio, com aprovação do gestor e, obrigatoriamente, criptografada ou em dispositivos criptografados.

Dispositivos móveis (Smartphones, Tablets, etc.) que não sejam de propriedade da empresa não poderão, também, ser conectados aos equipamentos corporativos para fins de sincronismo ou qualquer outro fim. O acesso destes dispositivos à rede corporativa deve se limitar ao uso do sistema de e-mails da empresa e serem formalmente autorizados pelo Diretor responsável. Somente o Departamento de TI poderão instalar programas e aplicações, desde que devidamente homologados e licenciados pela empresa (para obter informações sobre

6 programas homologados, entre em contato com o Departamento de TI). É proibida a instalação de quaisquer softwares particulares nos equipamentos da empresa, mesmo que licenciados.

10.13. Monitoração de Uso e Acesso aos Sistemas

Serão utilizados todos os meios, tecnológicos ou não, para monitorar as atividades nos sistemas e aos ambientes físicos da empresa.

Este monitoramento visa o controle e a detecção de atividades não autorizadas com as informações da empresa e o cumprimento do disposto nesta Política e demais procedimentos relacionados à Segurança da Informação.

As trilhas de auditoria (logs) de todos os sistemas e controles de acesso deverão ser mantidas por, no mínimo, um ano on-line (consulta imediata) e cinco anos off-line (backup).

Estas trilhas de auditoria serão analisadas de maneira crítica diariamente a fim de detectar e alertar as equipes de Segurança da Informação e Tecnologia da Informação sobre desvios importantes que possam indicar a exploração de ameaças a eventuais vulnerabilidades da empresa.

10.14. Aceitação da Política de Segurança da Informação

Todos os funcionários e prestadores de serviços envolvidos com informações da empresa deverão aceitar formalmente o conhecimento e seu compromisso em cumprir esta política e demais documentos relacionados à Segurança da Informação e suas alterações e revisões quando publicadas e divulgadas.

Sem esta aceitação formal não devem ser concedidos novos acessos às informações da empresa e bloqueados todos os acessos já concedidos.

11. Violações e Sanções

11.1.

Violações

São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não se limitando às mesmas:

a) Quaisquer ações ou situações que possam expor a Web Rock ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação;

b) Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa do Gestor da Informação;

c) Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da Web Rock ou de seus clientes;

d) A não comunicação imediata à área de Segurança da Informação de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da

7 Informação, que porventura um empregado, estagiário, aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.

11.2.

Sanções

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à política de segurança da informação da Web Rock são consideradas faltas graves, podendo ser aplicadas penalidades previstas em lei.

12. Conclusão

Toda empresa nos dias atuais, necessita de um departamento de T.I, não apenas para informatizar a empresa, mas para fazer com que através do departamento de T.I, alcance maiores resultados e com isso fazer com que a empresa continue crescendo com segurança de a garantia de que todos os serviços propostos ao clientes sejam entregue, proporcionando um atendimento de qualidade de maneira que o cliente fidelize com a Web Rock.

Pensar no departamento de T.I como um investimento, fará com que a empresa trabalhe de forma harmônica e que todos os problemas que possam surgir sejam resolvido dentro do documento de planejamento de riscos e que de uma forma geral, todos saiam ganhando, a empresa com seu crescimento significativo, os usuários por trabalharem com conforto e de forma mais produtiva, assim todos podem alcançar seus objetivos de forma sucinta e gratificante.