Embed Size (px)
DESCRIPTION
Como estabelecer uma política que preserve a segurança das informações armazenadas tanto pelas transações de negócios realizadas como pelas informações documentais de qualquer espécie que tenham colaborado direta ou indiretamente pela operação vigente.
Citation preview
A G2TI é uma empresa integradora e provedora de Gestão e modelos de Governança em Tecnologia de Informação abrangendo as áreas de Infraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED – Gestão Eletrônica de Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br
POLÍTICA DE SEGURANÇA EM TI
A Informação é o patrimônio mais
precioso que as Empresas possuem, por
essa razão, desenvolver, aplicar e manter
uma Política de Segurança é fundamental.
Uma informação incorreta circulando
dentro da Organização ou o vazamento de
assuntos confidenciais podem causar um
desastre de proporções irreversíveis, tanto no
aspecto financeiro como na imagem da
Empresa.
Seria importante desenvolver o que nós
da G2TI denominamos de Perímetro de
Segurança, a linha que delimita as fronteiras
internas e externas, onde a informação deve
ficar protegida.
A Proteção está diretamente vinculada
aos privilégios de acesso, armazenamento e
distribuição da Informação.
Níveis de acesso, privilégio e
autorizações devem ser claramente definidos
nesta política.
Na maioria dos casos, deverá ser
nominal, determinando especificamente, qual
o profissional interno da Empresa que pode
utilizar a Informação, em procedimento bem
claro.
Quando falamos em Segurança, nos vêm
à mente as senhas (Cadeia de caracteres que
autoriza o acesso a um conjunto de
operações em um sistema de computadores
ou em equipamentos computadorizados),
para autorizar os acessos, quer seja físico
(entradas, saídas), ou lógico (sistemas,
arquivos).
A Tecnologia de Segurança está cada vez
progredindo mais na busca da melhor forma
de proteção. Sistemas de Vídeo monitoram e
gravam a circulação de pessoas. Sistemas de
biometria permitem acesso através da
validação da impressão digital ou da íris.
Novos conceitos são amplamente
discutidos ultrapassando a área de TI, indo
principalmente para a área jurídica, para que
se evite o excesso de controle e não se atinja
a privacidade do cidadão.
Um tema muito debatido é o e-mail das
pessoas que trabalham nas Empresas.Há
várias perguntas devem ser monitorados é
uma delas, pois, cada endereço de e-mail
tem ao seu final o nome da Empresa, bem
como a utilização do e-mail particular, nas
dependências da Empresa, pois, a ele pode
ser anexado algum documento eletrônico que
somente deva ser utilizado dentro da
Organização.
São vários os componentes que devem
ser analisados e definidos no Perímetro de
Segurança.
Conteúdo da Política de Segurança
A Política de Segurança deve conter
todas as medidas de administração da
Informação da Empresa, é recomendado que
seu desenvolvimento seja realizado por um
grupo neutro, isento, externo e competente.
Abrangência
O seu conteúdo deve ser extremamente
abrangente, totalmente adequada ao negócio.
Esta abrangência deve ir além das
fronteiras da Empresa, deve contemplar: a
Matriz, as Filiais, os Bancos, os Clientes, os
Fornecedores, os Parceiros, os Beneficiados,
os Concorrentes, as Unidades de Negócio, o
Governo, os Representantes e a Comunidade
como um todo.
As questões regionais devem ser
previstas. Multinacionais com presença em
diversos países devem verificar as leis e
padrões do País em que estão sediadas, pois
estas podem, em tese, interferir na Política de
Segurança.
Após a definição dos componentes da
Política de Segurança, devem ser
pesquisados regionalmente os recursos de
Tecnologia (equipamentos, sistemas,
procedimentos), que compõem a infra-
estrutura necessária para a viabilização
dessa Política.
Usuários habilitados
A área de Recursos Humanos é
imprescindível para manter o controle sobre
os usuários nos aspectos de sua capacitação.
O usuário deve ser qualificado, a fixação
do conhecimento adquirido deverá, ser
realizado através de reciclagens ou
treinamentos.
O conceito de usuário (Cada um daqueles
que usam ou desfrutam alguma coisa
coletiva, ligada a um serviço público ou
particular); passível de habilitação também
deve ser definido, considerando-se que
existem profissionais na Empresa que ainda
não estão qualificados para tal, uma vez que
esse trabalho específico, exige muita
responsabilidade.
Os Estagiários são um exemplo, eles
ainda não podem ser considerados como
profissionais efetivos da Empresa.
O usuário deve ser identificado pelo seu
nome, cada acesso deve ter o registro de
todas as suas ações e jamais as senhas
devem ser divulgadas entre os usuários, bem
como, alteradas periodicamente, isto já
deverá ser automatizado.
Deve existir um Termo de
Responsabilidade para cada usuário assinar,
concordando com o respeito à Política de
Segurança vigente. Caso alguém possa vir a
infringir às normas de Segurança, a demissão
por Justa Causa poderá vir a ocorrer. Para
evitar essa possibilidade, a Política de
Segurança deverá vir a ser amplamente
divulgada entre os usuários, bem como
treinamentos devem ser realizados.
Apoio e suporte
Não os ter, serem precários ou
desestruturados é porta aberta para o risco.
Caso não existam, o usuário poderá
incorrer em erros, e se não houver reciclagem
e treinamento, a situação poderá se tornar
conflitante.
Estruturar o apoio acima significa ter um
Help Desk que funcione, apóie em primeiro
nível e transfira para um profissional mais
preparado caso a necessidade seja mais
grave. Todo o registro, desde a solicitação até
a solução final deve ser mantido. Análises
periódicas devem ser realizadas nestes
registros, para conhecimento dos pontos
vulneráveis e a tomada de ações pro-ativas e
corretivas.
Redes Interna e Externa
Os Arquivos departamentais devem ser
acessados somente pelo grupo de trabaho
autorizado. Esta é uma regra de segurança
que identifica ilhas departamentais.
Acesso com tentativas indevidas devem
resultar no bloqueio de login, e as
recorrências investigadas.
A G2TI é uma empresa integradora e provedora de Gestão e modelos de Governança em Tecnologia de Informação abrangendo as áreas de Infraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED – Gestão Eletrônica de Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br
A estruturação das senhas deve ser
determinada, deve-se evitar números de
documentos, as datas de nascimento, as
repetições de seqüência de digitos, para
evitar ao máximo sua dedução.
Sistemas aplicativos
Só os usuários autorizados podem
acessar as funcionalidades e módulos a eles
determinados, ou seja, somente os que já os
tenham determinado e já estejam integrados
ao seu perfil de atuação na empresa.
A identificação do usuário ocorre pelo
monitoramento e pelo que já foi processado e
registrado.
Acesso Físico
Somente pessoal autorizado pode entrar
no local onde estão os servidores e
equipamentos de comunicação.
Pessoas que cuidam da limpeza devem
receber acompanhamento e orientação na
prestação de serviços, pois os produtos de
limpeza ou a água podem queimar os
equipamentos.
Produtividade do Trabalho
A produtividade no trabalho normalmente
é evitada com bloqueio aos entretenimentos,
isto é realizado com a remoção caso existam,
e ao bloqueio na instalação de jogos, acesso
à páginas impróprias, que podem conter os
chamados Cavalos de Tróia, que são vírus ou
programas maliciosos (cookies), podendo
trazer consigo e instalando programas
piratas, que realizaram monitoramento
empresarial.
Profissionais em trânsito
O nível de proteção dos equipamentos
móveis deve se o melhor. O ideal seria é que
estivessem presos às mesas de trabalho
através de cabo com cadeado.
O acesso à configuração do equipamento
deve ser protegido por senha, assim como, o
acesso às informações.
Um dos critérios adotado por nós, é
realizar a criptografia com software
adequado. A biometria é muito utilizada
nestes equipamentos, assim como cartões
(smart cards), que possuem senhas variáveis
e sincronizadas com Provedores externos
(ISP – Internet Service Providers).
Acesso remoto
Os computadores de mesa (desktops)
devem ter sua configuração de modens
realizada por profissionais autorizados, pois,
através do ramal telefônico podem ser ligados
e acessados remotamente, por softwares
apropriados.
Pode utilizar-se os equipamentos de
proteção (firewall), que também permitem
acesso a rede pela Internet ou não. Somente
os clientes, os fornecedores, ou outros
profissionais autorizados, todavia sempre
com monitoramento constante.
Concessão de uso de programas
Os programas instalados devem ter
correspondência com as atividades do
negócio, somente programas autorizados
pelos fabricantes para cada cópia ou para
cada licença de uso devem ser instalados.
A Política de Segurança deve ser bem
clara quanto à proibição de programas tipo:
FREEWARE, SHAREWARE e ADDWARE.
Processo de homologação
A escolha de produtos de TI deve ser
realizada através de um processo de
homologação, considerando a sua real
adequação às necessidades do negócio da
Empresa. Adquirir tais produtos e/ou serviços,
sem um proceso de homologação, pode
acarretar em possíveis investimentos
desnecessários ou inadequados.
Critérios para a escolha devem considerar
padrões de qualidade em seu funcionamento,
suporte do fornecedor e a rspectiva de vida
do mesmo.
e-Business
O comércio eletrônico, as compras ou até
mesmo o recebimento de e-mail, devem ser
alvo de extrema segurança. Através deles
podem entrar desde os virus já referidos, bem
como os como hackers,, destruindo ou
propagando informações sigilosas.
Projetos
Novos programas, novas funcionalidades
ou até mesmo em alterações de sistemas em
plena atividade, devem passar por uma
quarentena, similar a das matérias primas
recebidas dos fornecedores, as quais, após
testes e avaliações, são colocadas para a
produção.
Um programa contendo um erro pode
repercutir em novo erro na informação
armazenada, sem falar na total distorção no
gerenciamento da Organização.
Proteção elétrica
A rede elétrica assim como a rede de
dados deve ter aterramento e total
independência. Protetores, nobreaks devem
existir, evitando prejuízo no investimento e/ou
paralisação do negócio.
Disponibilidade
Paradas na rede ou no servidor devem
ser evitadas, com um forte gerenciamento pro
-ativo, através de produtos existentes no
mercado gerenciadores do processamento e
da rede (física). Redundância de
processadores e de disco em uma ligação
cluster,são alternativas usadas para evitar a
paralisação. As informações devem ser
copiadas (backups) diariamente e guardadas
em local distante de preferência em cofres
que protejam contra fogo. O nível máximo de
segurança é a contratação de sites externos,
pois em caso de desastres o processamento
estará a salvo, podendo continuar sendo
executado. Alertas dos sistemas (operacional,
aplicativos e equipamentos) devem ser
sempre checados, pois via de regra,
preconizam uma futura paralisação.
Integridade das informações
A Manutenção no Banco de Dados tem o
objetivo de manter o sincronismo e apurar
rupturas na integridade, devem ser realizadas
sistematicamente.
Padronização
Padrão em todos os sentidos facilita a
administração. Pastas de arquivos, sistemas
padronizados, fornecedores homologados,
existência de documentação são fatores vitais
de sucesso.
Manutenção e Atualização
Manter as atualizações ou correções de
aplicativos, sistemas operacionais
disponibilizadas pelos fornecedores evita
transtornos. Uma forte parceria com estes
fornecedores deve ser realizada, a maioria
destas atualizações encontra-se disponível na
Internet.
A Origem e o destino das Informações
Trocar informações com Países ou grupos
extremistas de procedência não aceita pelos
organismos internacionais não deve existir.
Isto pode qualificar a Organização como
simpatizante desses, ou ainda, acarretar
embargos ou investigações e processos
Internacionais.
