Sendo a segurança um aspecto muito amplo e complexo, devemos
sempre lembrar da velha história de que "a segurança
é uma corrente. E correntes se quebram no elo mais fraco"
Muitas e muitas vezes o elo mais fraco é um usuário
despreparado, desinformado, desinteressado ou mau intensionado.
Tentaremos aqui dar um esqueleto inicial para
implementação de políticas de segurança.
Venho desenvolvendo essas política para
implementação interna em algumas empresas, sendo que a
mesma deve ser usada apenas como referência. Cada caso é
um caso, e você deve analisar cuidadosamente o seu.
Tentei abordar aqui todos os aspectos necessários para
implementação da ISO referida.
A.a Sobre o autor
Eri Ramos Bastos trabalha com Linux desde 1998, passando por diversas
distribuições e fases diferentes do pinguim.
Atualmente trabalha como consultor em soluções
Linux / Unix e está disponível para ajudar a
sua empresa a implantar Linux em todos os setores.
href="mailto:erirb@xtms.com.br">erirb@xtms.com.br
A.b
Implementando políticas
Não se iluda achando que tudo será simples e que
você continuará sendo bem tratado por todos os
usuários, principalmente em uma empresa onde anteriormente
não existiam regras, limites ou controles. Os usuários
tendem a querer enganar a equipe de segurança, fazer
"corpo-mole" e colocar a culpa de todos os problemas (inclusive uma
impressora sem tinta) no firewall recentemente instalado.
Não se esqueça, também, que os resultados de
segurança são difíceis de ser demonstrados e que
trabalhamos sempre com a esperança de não recorrermos a
todas as nossas ferramentas.
O que um técnico de segurança mais vai precisar durante
uma implementação de políticas é de
sangue-frio, simpatia, e pulso firme.
Esse documento tem caráter particular e secreto, não
podendo ou devendo ser redistribuído sem prévia
autorização e supervisão dos responsáveis
pelo departamento de segurança, sendo a infração
passível de punição pelas regras internas, bem
como ações legais (
href="#7._O_n%E3o_cumprimento_dessas_pol%EDticas">7).
1. Introdução
A segurança é um dos assuntos mais importantes dentre as
preocupações de qualquer empresa.
Confidencialidade, integridade e disponibilidade da
informação estão diretamente ligados à
segurança.
Temos nesse documento um conjunto de instruções e
procedimentos para normatizar e melhorar nossa visão e
atuação em segurança.
1.1 O que é
informação?
A Informação é um ativo que, como qualquer outro
importante para os negócios, tem um valor para a
organização e conseqüentemente necessita ser
adequadamente protegida.
A informação pode existir de diversas formas. Ela pode
ser impressa ou escrita em papel, armazenada eletronicamente,
transmitida pelo correio ou através de meios eletrônicos,
mostrada em filmes ou falada em conversas. Seja qual for a forma pela
qual a mesma é apresentada, transmitida, armazenada ou
compartilhada, é recomendado que a mesma seja protegida
adequadamente.
1.2 O que
é segurança da informação?
A Segurança da Informação protege a
Informação de diversas ameaças para garantir a
continuidade dos negócios, a integridade e a disponibilidade da
mesma.
1.3 O que
é uma Política de Segurança?
Política de Segurança é uma série de normas
internas padronizadas pela empresa que devem ser seguidas à risca
para que todas as possíveis ameaças sejam minimizadas e
combatidas eficientemente pela equipe de segurança.
1.4 A
empresa e a política de segurança
Todas as normas aqui estabelecidas serão seguidas à risca
por todos os funcionários, parceiros e prestadores de
serviços. Ao receber essa cópia da Política de
Segurança, o/a sr/sra comprometeu-se a respeitar todos os
tópicos aqui abordados e está ciente de que seus e-mails
e navegação na internet/intranet podem estar sendo
monitorados. A equipe de segurança encontra-se a total
disposição para saneamento de dúvidas e
auxílio técnico.
1.5 O
não cumprimento dessa política
O não comprimento dessas políticas acarretará em
<INSIRA AQUI AS PENAS>
2. Educação
e segurança
Todo funcionário deve ser treinado adequadamente para as
questões de segurança. Nenhum pré-requisito
técnico é necessário, visto que o treinamento
abordará o contexto comportamental do usuário, e
não os aspectos técnicos, os quais serão delegados
a equipe especializada.
2.1 Autenticação
A autenticação nos sistemas de informática podem
ser baseados nos seguintes aspectos:
* Algo que você sabe;
Ou seja, uma senha.
* Algo que você tem;
Normalmente são pequenos
dispositivos conhecidos como TOKENS. Podem ser smart-cards,
cartões magnéticos, java-rings, etc.
* Algo que você é;
Conhecido também como
identificação biomética. Podemos citar como
exemplo a leitura de impressão digital ou íris.
Em mais de 90% dos casos, atualmente, a autenticação
é feita por meio de algo que você sabe. Esse meio
é muito utilizado por sua facilidade de
implantação e manutenção e por seu
baixíssimo custo.
Infelizmente esse meio também é o mais inseguro.
Senhas como nome do usuário, combinações simples
(abc123), substantivos (casa, meia, cadeira, brasil), datas (11092001)
e outros são extremamente fáceis de descobrir. As senhas
citadas acima, por exemplo, podem ser quebradas em menos de 30
segundos por um potencial invasor.
2.1.1 Política de
senhas
Uma senha segura deverá conter no mínimo 6 caracteres
alfanuméricos (letras e números) com diferentes caixas.
Para facilitar a memorização das senhas, utilize
padrões mnemônicos.
Por exemplo:
eSus6C (eu SEMPRE uso seis 6 CARACTERES)
9SSgianc (9 Senhas Seguras garantem integridade a nossa
corporação)
s3Nh45 (palavra senha onde o 3 substiui o E, o 4 o A e o 5 o S)
As senhas terão um tempo de vida útil
pré-determinado pela equipe de segurança, devendo o mesmo
ser respeitado, caso contrário o usuário ficará
sem acesso.
Todas as senhas serão testadas diariamente pela equipe de
segurança em busca de fragilidades.
LEMBRE-SE:
- Sua senha não deve ser jamais passada a ninguém, nem
mesmo da equipe de segurança. Caso desconfie que sua senha
não está mais segura, sinta-se à vontade para
mudá-la, mesmo antes do prazo determinado de validade.
- Tudo que for executado com a sua senha será de sua inteira
responsabilidade, por isso tome todas as precauções
possíveis para mante-la secreta.
2.2 E-mails
Grande parte de nossa comunicação do dia-a-dia passa
através de e-mails. Mas é importante também
lembrar que grande parte das pragas eletrônicas atuais chegam
por esse meio.
Devemos lembrar que os vírus atuais são mandados
automaticamente. Isso significa que um e-mail de um cliente, parceiro
ou amigo NÃO FOI MANDADO NECESSARIAMENTE PELO MESMO.
2.2.1 Política de
e-mail
Nossos servidores de e-mail encontram-se protegidos contra vírus
e códigos maliciosos, mas algumas atitudes do usuário
final são requeridas:
- Não abra anexos com as extensões .bat, .exe, .src, .lnk
e .com se não tiver certeza absoluta de que solicitou esse e-mail
- Desconfie de todos os e-mails com assuntos estranhos e/ou em
inglês. Alguns dos vírus mais terríveis dos
últimos anos tinham assuntos como: ILOVEYOU, Branca de neve
pornô, etc.
- Não reenvie e-mails do tipo corrente, aviso de vírus,
avisos da Microsoft/AOL/Symantec, criança desaparecida,
criança doente, pague menos em alguma coisa , não pague
alguma coisa, etc.
- Não utilize o e-mail da empresa para assuntos pessoais.
- Não mande e-mails para mais de 10 pessoas de uma única
vez (to, cc, bcc)
- Evite anexos muito grandes
- Utilize sempre sua assinatura criptográfica para troca interna
de e-mails e quando necessário para os e-mails externos
também
2.3 Internet
A internet é indiscutivelmente nossa mais poderosa ferramenta de
trabalho. Devemos encará-la dessa forma somente dentro da empresa.
O uso recreativo da internet não deverá se dar no
horário de expediente.
2.3.1 Política
de Internet
O uso e acesso a internet será restrito aos seguintes
tópicos:
- Somente navegação de sites é permitida. Casos
específicos que exijam outros protocolos deverão ser
solicitados diretamente a equipe de segurança com prévia
autorização do supervisor do departamento local.
- Acesso a sites com conteúdo pornográfico, jogos,
bate-papo, apostas e assemelhados estará bloqueado e monitorado
- É proibido o uso de ferramentas P2P (kazaa, Morpheus, etc)
- É proibido o uso de IM (Instant messengers) não
homologados/autorizados pela equipe de segurança
Lembrando novamente que o uso da internet estará sendo auditado
constantemente e o usuário poderá vir a prestar contas de
seu uso.
3. Estações
de trabalho
Cada estação de trabalho tem códigos internos que
permitem que ela seja identificada na rede, e cada indivíduo
possui sua própria estação de trabalho. Isso
significa que tudo que venha a ser executado de sua
estação acarretará em responsabilidade sua. Por
isso sempre que sair da frente de sua estação, tenha
certeza que efetuou logoff ou travou o console.
3.1
Política de uso de estação de trabalho
Lembramos que sua estação é sua ferramenta de
trabalho, mas também é um importante componente de
segurança. Por isso observe as seguintes
orientações:
- Não instale nenhum tipo de software / hardware sem
autorização da equipe técnica ou de
segurança
- Não tenha MP3, filmes, fotos e softwares com direitos autorais
ou qualquer outro tipo de pirataria
- Mantenha na sua estação somente o que for
supérfulo ou pessoal. Todos os dados relativos à empresa
devem ser mantidos no servidor, onde existe um sistema de backup
diário e confiável. Caso não saiba como fazer
isso, entre em contato com a equipe técnica.
4. Social
Como seres humanos, temos a grande vantagem de sermos sociáveis,
mas muitas vezes quando descorremos sobre segurança, isso
é uma desvantagem. Por isso observe os seguintes tópicos:
- Não fale sobre a política de segurança da
empresa com terceiros ou em locais públicos.
- Não diga sua senha para ningém. Nossa equipe
técnica jamais irá pedir sua senha.
- Não digite suas senhas ou usuários em máquinas
de terceiros, especialmente fora da empresa.
- Somente aceite ajuda técnica de um membro de nossa equipe
técnica previamente apresentado e identificado.
- Nunca execute procedimentos técnicos cujas
instruções tenham chego por e-mail.
- Relate a equipe de segurança pedidos extrenos ou internos que
venham a discordar dos tópicos anteriores.
5. Vírus e
códigos maliciosos
São os maiores geradores de problemas de segurança.
Somente no ano de 2002, geraram prejuízos da ordem de 53
bilhões de dólares. Alguns procedimentos simples podem
evitar grandes transtornos:
- Mantenha seu anti-vírus atualizado. Provavelmente nossa equipe
técnica irá se encarregar disso, mas caso não tenha
sido feito ou você perceba que a atualização
não está funcional, entre em contato com a mesma para que
a situação possa ser corrigida.
- Não traga disquetes ou CDs de fora da empresa. Caso isso seja
extremamente necessário, encaminhe o mesmo para a equipe
técnica, onde passará por uma
descontaminação
- Reporte atitudes suspeitas em seu sistema a equipe técnica,
para que possíveis vírus possam ser identificados no
menor espaço de tempo possível.
- Suspeite de softwares que "você clica e não acontece
nada"
6. Continuidade de
negócios
De nada adianta uma informação segura se a mesma estiver
indisponível para quem necessita dela. Por isso nossas equipes
técnicas e de segurança contam com a sua
colaboração para manter nossa empresa como líder
de mercado. Entre em contato conosco sempre que julgar
necessário.
