segurança da informação acadêmico: anderson zoz. organizando a segurança da informação...
TRANSCRIPT
Segurança da Informação
Acadêmico: Anderson Zoz
Organizando a segurança da informação
Infra-estrutura da segurança da informação
Coordenação da Segurança
Controle: Convém designar um responsável por coordenar e assessorar a geração de relatórios sendo nomeado um funcionário da empresa para exercer a função.
Diretrizes de implementação: Realiza lembretes ao demais colegas quanto as regras aplicadas
na empresa; Utiliza-se de poderes para permitir ou bloquear acessos solicitados
pelo coordenador geral da Política de segurança; Realiza emissão de relatórios gerenciais para analise dos gerentes.
Atribuição de ResponsabilidadesControle: Convém a todos comprometer-se plenamente as suas
responsabilidades em respeitar as normas definidas.Diretrizes de implementação:
Importante que todos fiquem cientes da norma pois estarão sujeitos a fiscalização e punições, logo que todos possuem responsabilidade sobre seus equipamentos onde se o mesmo for identificado com alguma vulnerabilidade externa o funcionário será responsabilizado.
Todos terão acesso as normas sendo expostas em locais visíveis e explicadas para que todos tenham ciência nas normas;
Cada integrante da empresa possuirá uma senha de sua responsabilidade;
Acordos de confidencialidade
Controle: Todos poderão ter acesso a base de clientes porem os dados que a compõe são confidenciais portanto não pode ser copiado ou distribuídos fora da empresa.
Diretrizes de implementação: Somente os setores de suporte e desenvolvimento terão acesso as
bases onde para os mesmo existirá um controle rígido; O controle estende-se a analise dos dados que trafegam na rede
além de proibir a utilização de pendrive pessoal para uso interno a empresa.
Processo de autorização para os recursos de processamento da informaçãoControle: Deve-se criar um processo para controle que autoriza ou
não a aquisição de novos mecanismos que tragam maior segurança da informação.
Diretrizes de implementação: Avaliar o software necessário e realizar uma busca por tais
ferramentas realizando teste para aquisição da mesma; Identificar se o software ou hardware estão compatíveis com a
estrutura presente na empresa; Restringir ao máximo a utilização do notebook, pois o mesmo deve
ser de uso exclusivo da empresa.
Análise crítica independente de segurança da informaçãoControle: Deve-se realizar um planejamento onde avalia-se
anualmente a política aplicada na instituição com uma avaliação dividida por setor e o nível de recurso que deve-se disponibilizar ou bloquear para os funcionários é determinado de acordo com a área que cada setor trabalha.
Diretrizes de implementação: Avaliar cada setor com base em dados estatísticas geradas pelo
controle de trafego na rede cruzando informações de uso com o que efetivamente está sendo utilizado;
A avaliação é realizado pelos diretores da empresa e os dados coletados para cruzar as informações serão levantadas por um funcionário responsável pelo mesmo;
Cada alteração no documento deve ser registrada juntamente com o motivo do mesmo estar sendo aplicado ou removido;
Organizando a segurança da informação
Partes externas
Identificação dos riscos relacionados com partes externasControle: Definir um controle rígido quanto ao acesso não autorizado
a dados internos da empresa.Diretrizes de implementação: Realização de testes internos para tentar quebrar a segurança já
existente; Acompanhar a evolução das tecnologias e as novas formas de
ataque existentes hoje para evitar surpresas; Controle rígido da entrada de mídias onde pode-se realizar uma
copia das informações onde não teríamos como rastrear o furto; Controle rígido quando a visitantes na empresa.
Gestão de ativos
Responsabilidade pelos ativos
Inventário dos ativos
Controle: Realizar levantamento detalhado dos ativos.Diretrizes de implementação: Listar principais ativos da instituição; Documentar todo o processo de levantamento dos ativos
juntamente com dados analisados para identificar os mesmos; Analisar detalhadamente cada ativo; Identificar a lista de softwares e hardware da empresa; Definir lista de hardware e software permitidos na instituição.
Uso aceitável dos ativos
Controle: Todos devem respeitar as normas especificadas quanto ao uso dos ativos
Diretrizes de implementação: Utilização da internet apenas para uso institucional; Não será permitido a instalação de softwares sem permissão; A utilização de equipamentos moveis como pendrive, Cd’s, etc.
serão proibidos.
Segurança em recursos humanos
Antes da contratação
Papéis e responsabilidades
Controle: Convém a todos ficar ciente de seu papel diante das normas especificadas na empresa onde cada integrante deve agir de acordo com seu papel
Diretrizes de implementação: Cada setor possuirá diferenças nas regras como o suporte tendo
acesso ao MSN e desenvolvimento não onde cada funcionário deve ser orientado quando aos motivos de se tratar desta forma
Os visitantes devem ser orientados para respeitar a política de segurança onde não pode trazer consigo pendrive ou qualquer outra mídia de copia
As informações de acesso a informações sigilosa devem ser restritas a empresa não podendo ser divulgadas fora dela.
Seleção
Controle: Levantamento do histórico de candidatos a funcionárioDiretrizes de implementação: Realizar uma verificação de antecedentes do candidato; Coletar informações pertinentes a outras experiências constantes
no currículo; Validar a conclusão dos cursos citados; Realizar testes psicológicos.
Termos e condições de contrataçãoControle: Como quesito todo funcionário deve estar de acordo com a
política de segurança aplicada na instituiçãoDiretrizes de implementação: Desde a entrevista será listado as regras as quais todo funcionário
é obrigado a seguir; Explica-se cada quesito da norma; Ao contratar o mesmo deverá assinar um termo aceitando as
condições repassadas as mesmo; Caso o mesmo não se respeite as normas aplica-se as punições no
mesmo
Segurança física e do ambiente
Áreas seguras
Perímetro de segurança física
Controle: Definir acesso restrito a equipamentos centrais(servidores, swith...)
Diretrizes de implementação: Definir quem terá acesso aos equipamentos; Somente pessoas muito bem treinadas poderão dar suporte a estes
equipamentos; O mesmo deve ficar em uma sala isolada com paredes e muito bem
refrigerada.
Proteção contra ameaças externas e do meio ambienteControle: Na sala que possui servidores é necessário possuir baterias
que mantenham os mesmos ativos além de um sistema de incêndio para evitar que as informações sofram com este tipo de agente
Diretrizes de implementação: Levantar possíveis ferram entes que garantam segurança da sala
sem danificar os equipamentos quando acionadas; Implantar os sistemas de segurança.
Segurança física e do ambiente
Segurança de equipamentos
Instalação e proteção do equipamentoControle: será designado um funcionário para manutenção e
instalação de hardware da empresa onde nenhum outro poderá faze-lo
Diretrizes de implementação: Levantamento de hardware da empresa Elaborar um procedimento de manutenção Verificar se algum computador sofreu alteração de hardware na
ultima semana Identificar o responsável pelo hardware Aplicar punição ao responsável.
Gerenciamento das operações e comunicações
Procedimentos e responsabilidades operacionais
Gestão de mudanças
Controle: Deve-se ter um controle rígido a necessidade de realizar a mudança de um equipamento ou a liberação de uma ferramenta dentro dos setores
Diretrizes de implementação: Caso haja a necessidade de realizar uma alteração na utilização de
software o mesmo deve ser informado ao gerente que avaliará a necessidade de liberação;
Nenhum equipamento pode ser deslocado de seu local sem informar a gerencia.
Aceitação de sistemas
Controle: Deve-se criar um processo para aceitação de novas ferramentas.
Diretrizes de implementação: Será realizado um levantamento das ferramentas similares
disponíveis no mercado; Realiza-se vários teste de desempenho e funcionalidade; Realiza-se a aquisição do software.
Proteção contra códigos maliciosos e códigos móveisControle: Utiliza-se de software especifico para gerenciamento de
rede além da utilização de antivírus padrãoDiretrizes de implementação: Toda a rede é supervisionada com software de gerenciamento de
redes que realiza a leitura de todos os dados quer trafegam na rede Todos utilizam antivírus padrão; A atualização do antivírus é automática e obrigatória.