Segurança da Informação Acadêmico: Anderson Zoz

Organizando a segurança da informação Infra-estrutura da segurança da informação

Coordenação da Segurança Controle: Convém designar um responsável por coordenar e assessorar a geração de relatórios sendo nomeado um funcionário da empresa para exercer a função. Diretrizes de implementação: Realiza lembretes ao demais colegas quanto as regras aplicadas na empresa; Utiliza-se de poderes para permitir ou bloquear acessos solicitados pelo coordenador geral da Política de segurança; Realiza emissão de relatórios gerenciais para analise dos gerentes.

Atribuição de Responsabilidades Controle: Convém a todos comprometer-se plenamente as suas responsabilidades em respeitar as normas definidas. Diretrizes de implementação: Importante que todos fiquem cientes da norma pois estarão sujeitos a fiscalização e punições, logo que todos possuem responsabilidade sobre seus equipamentos onde se o mesmo for identificado com alguma vulnerabilidade externa o funcionário será responsabilizado. Todos terão acesso as normas sendo expostas em locais visíveis e explicadas para que todos tenham ciência nas normas; Cada integrante da empresa possuirá uma senha de sua responsabilidade;

Acordos de confidencialidade Controle: Todos poderão ter acesso a base de clientes porem os dados que a compõe são confidenciais portanto não pode ser copiado ou distribuídos fora da empresa. Diretrizes de implementação: Somente os setores de suporte e desenvolvimento terão acesso as bases onde para os mesmo existirá um controle rígido; O controle estende-se a analise dos dados que trafegam na rede além de proibir a utilização de pendrive pessoal para uso interno a empresa.

Processo de autorização para os recursos de processamento da informação Controle: Deve-se criar um processo para controle que autoriza ou não a aquisição de novos mecanismos que tragam maior segurança da informação. Diretrizes de implementação: Avaliar o software necessário e realizar uma busca por tais ferramentas realizando teste para aquisição da mesma; Identificar se o software ou hardware estão compatíveis com a estrutura presente na empresa; Restringir ao máximo a utilização do notebook, pois o mesmo deve ser de uso exclusivo da empresa.

Análise crítica independente de segurança da informação Controle: Deve-se realizar um planejamento onde avalia-se anualmente a política aplicada na instituição com uma avaliação dividida por setor e o nível de recurso que deve-se disponibilizar ou bloquear para os funcionários é determinado de acordo com a área que cada setor trabalha. Diretrizes de implementação: Avaliar cada setor com base em dados estatísticas geradas pelo controle de trafego na rede cruzando informações de uso com o que efetivamente está sendo utilizado; A avaliação é realizado pelos diretores da empresa e os dados coletados para cruzar as informações serão levantadas por um funcionário responsável pelo mesmo; Cada alteração no documento deve ser registrada juntamente com o motivo do mesmo estar sendo aplicado ou removido;

Organizando a segurança da informação Partes externas

Identificação dos riscos relacionados com partes externas Controle: Definir um controle rígido quanto ao acesso não autorizado a dados internos da empresa. Diretrizes de implementação: Realização de testes internos para tentar quebrar a segurança já existente; Acompanhar a evolução das tecnologias e as novas formas de ataque existentes hoje para evitar surpresas; Controle rígido da entrada de mídias onde pode-se realizar uma copia das informações onde não teríamos como rastrear o furto; Controle rígido quando a visitantes na empresa.

Responsabilidade pelos ativos Gestão de ativos Responsabilidade pelos ativos

Inventário dos ativos Controle: Realizar levantamento detalhado dos ativos. Diretrizes de implementação: Listar principais ativos da instituição; Documentar todo o processo de levantamento dos ativos juntamente com dados analisados para identificar os mesmos; Analisar detalhadamente cada ativo; Identificar a lista de softwares e hardware da empresa; Definir lista de hardware e software permitidos na instituição.

Uso aceitável dos ativos Controle: Todos devem respeitar as normas especificadas quanto ao uso dos ativos Diretrizes de implementação: Utilização da internet apenas para uso institucional; Não será permitido a instalação de softwares sem permissão; A utilização de equipamentos moveis como pendrive, Cd’s, etc. serão proibidos.

Segurança em recursos humanos Antes da contratação

Papéis e responsabilidades Controle: Convém a todos ficar ciente de seu papel diante das normas especificadas na empresa onde cada integrante deve agir de acordo com seu papel Diretrizes de implementação: Cada setor possuirá diferenças nas regras como o suporte tendo acesso ao MSN e desenvolvimento não onde cada funcionário deve ser orientado quando aos motivos de se tratar desta forma Os visitantes devem ser orientados para respeitar a política de segurança onde não pode trazer consigo pendrive ou qualquer outra mídia de copia As informações de acesso a informações sigilosa devem ser restritas a empresa não podendo ser divulgadas fora dela.

Seleção Controle: Levantamento do histórico de candidatos a funcionário Diretrizes de implementação: Realizar uma verificação de antecedentes do candidato; Coletar informações pertinentes a outras experiências constantes no currículo; Validar a conclusão dos cursos citados; Realizar testes psicológicos.

Termos e condições de contratação Controle: Como quesito todo funcionário deve estar de acordo com a política de segurança aplicada na instituição Diretrizes de implementação: Desde a entrevista será listado as regras as quais todo funcionário é obrigado a seguir; Explica-se cada quesito da norma; Ao contratar o mesmo deverá assinar um termo aceitando as condições repassadas as mesmo; Caso o mesmo não se respeite as normas aplica-se as punições no mesmo

Segurança física e do ambiente Áreas seguras

Perímetro de segurança física Controle: Definir acesso restrito a equipamentos centrais(servidores, swith...) Diretrizes de implementação: Definir quem terá acesso aos equipamentos; Somente pessoas muito bem treinadas poderão dar suporte a estes equipamentos; O mesmo deve ficar em uma sala isolada com paredes e muito bem refrigerada.

Proteção contra ameaças externas e do meio ambiente Controle: Na sala que possui servidores é necessário possuir baterias que mantenham os mesmos ativos além de um sistema de incêndio para evitar que as informações sofram com este tipo de agente Diretrizes de implementação: Levantar possíveis ferram entes que garantam segurança da sala sem danificar os equipamentos quando acionadas; Implantar os sistemas de segurança.

Segurança física e do ambiente Segurança de equipamentos

Instalação e proteção do equipamento Controle: será designado um funcionário para manutenção e instalação de hardware da empresa onde nenhum outro poderá faze-lo Diretrizes de implementação: Levantamento de hardware da empresa Elaborar um procedimento de manutenção Verificar se algum computador sofreu alteração de hardware na ultima semana Identificar o responsável pelo hardware Aplicar punição ao responsável.

Gerenciamento das operações e comunicações Procedimentos e responsabilidades operacionais

Gestão de mudanças Controle: Deve-se ter um controle rígido a necessidade de realizar a mudança de um equipamento ou a liberação de uma ferramenta dentro dos setores Diretrizes de implementação: Caso haja a necessidade de realizar uma alteração na utilização de software o mesmo deve ser informado ao gerente que avaliará a necessidade de liberação; Nenhum equipamento pode ser deslocado de seu local sem informar a gerencia.

Aceitação de sistemas Controle: Deve-se criar um processo para aceitação de novas ferramentas. Diretrizes de implementação: Será realizado um levantamento das ferramentas similares disponíveis no mercado; Realiza-se vários teste de desempenho e funcionalidade; Realiza-se a aquisição do software.

Proteção contra códigos maliciosos e códigos móveis Controle: Utiliza-se de software especifico para gerenciamento de rede além da utilização de antivírus padrão Diretrizes de implementação: Toda a rede é supervisionada com software de gerenciamento de redes que realiza a leitura de todos os dados quer trafegam na rede Todos utilizam antivírus padrão; A atualização do antivírus é automática e obrigatória.