Embed Size (px)
Citation preview
PUC-CampinasTÓPICOS EM ENGENHARIA COMPUTAÇÃO B
Políticas de Segurança Corporativa
Henrique Teranisi
Marco Mendes
Paulo Pereira
Vinícius Trivinho
Prof. Edmar Roberto Santana de Rezende
Campinas - 2008
Políticas de Segurança Corporativa
O que é?
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.
Propósito:
Informar usuários, equipes e gerentes de suas obrigações para proteção da tecnologia e do acesso à informação, preservar a confidencialidade, disponibilidade e integridade das informações e também descrever a conduta adequada para o seu manuseio, controle, proteção e descarte.
Boa política
Primeiramente determinar suas metas para poder criar boas políticas de segurança.
Usar uma linguagem simples, com poucos termos técnicos
Ser de fácil compreensão e aplicabilidade Ser clara e concisa Estar de acordo com a realidade prática Ser revisada periodicamente Estar implementada
Benefícios
Maior padronização das informações e processos Alinhamento dos objetivos da empresa com as leis e
obrigações contratuais Definição dos responsáveis pelos ativos da empresa Definição das penalidades pela não aderência à Política
de Segurança Aumento da conscientização da empresa Aderência aos padrões internacionais de gestão de
segurança
ITCS300
Política de segurança adotada pela IBM que deve ser seguida pelos empregados, subsidiários, vendedores, gerentes para utilizar o sistema interno de computadores.
Há duas seções principais: primeira que diz os passos que os empregados devem seguir e a segunda sobre as suas responsabilidades.
1o – Os empregados devem proteger suas estações de trabalho e defender os sistemas IBM de códigos nocivos.
Configurar proteção de tela com bloqueio automático. Bloquear computador quando não estiver por perto Em viagens:
Levar o notebook junto de você e nunca em malas de viagem.
Se precisar deixar o notebook no carro, sempre deixar no porta malas.
Não deve-se deixar o notebook por longos períodos no carro vazio.
Se precisar deixar o notebook no hotel, utilize o cofre. Se não existir um cofre disponível utilize o cabo de segurança.
Possuir senha em qualquer driver externo para carregar informações IBM
Proteção contra vírus e códigos nocivos. O antivirus deve seguir o seguinte critério:
Detectar e bloquear vírus em tempo real. Periodicamente escanear e detectar vírus. Verificar atualizações da lista de vírus pelo menos
uma vez por dia. Deve ser um produto totalmente licenciado.
Firewalls devem seguir os seguintes critérios: Redes detectadas devem ser consideradas
desconhecidas e não confiáveis. Alertas usuários para novos programas tentando
acessar a rede. Negar acesso a sistemas não autorizados. O Cliente de forewall deve ter os últimos updates
disponíveis. Deve ser um produto totalmente licenciado.
Compartilhamento de arquivos: Não deve-se permitir acesso anonimo à FTP, TFTP,
HTTP não autenticado, ou qualquer outro acesso não autenticado.
Não deve-se compartilhar o disco inteiro com acesso anonimo.
Nunca permitir qualquer tipo de acesso não autenticado à qualquer dado ou programa considerado confidencial (se for necessário tal acesso, optar por autenticação por id e senha).
Aplicação de patches periódicamente
2o – Empregados devem proteger informações confidenciais da IBM e enquadrar em outras circunstâncias que venha encontrar.
Copyright Leia e entenda qualquer restrição de copyright.
Assegure-se de cumprir qualquer requerimento ou limitação desse tipo de software.
Publicar SW IBM na internet Proteger informações IBM
Usar senhas com no mínimo 8 caracteres, usar caracteres alfa numéricos e não-alfanuméricos. Não usar seu id como parte da senha.
Teleconferência (verificar se todos tem autorização para participar)
Rede interna (não capturar tráfego, não testar a segurança, etc)
Conexão remota: Utilizar programas licenciados e aprovados pelo time
de IT security. Ulizando sistemas públicos(hotspots, quiosques,etc):
Não deve-se copiar dados confidencias para arquivos locais em sistemas públicos.
Para qualquer violação de políticas de segurança, informe o time de IT security.
ITCS104 A ITCS104 visa contemplar a segurança da infra-
estrutura de TI . Ela especifica diversos procedimentos e boas práticas
que devem ser cumpridas para garantir a segurança de qualquer sistema de computação sob a responsabilidade da IBM, desde o controle de usuários até o controle de bugs e atualizações de software.
A ITCS104 é aplicado tanto a infra-estrutura de TI que suporta a própria IBM como para a infra-estrutura sob responsabilidade da IBM mas que suporta o negócio de clientes e parceiros.
Dentre os pontos cobertos pela ITCS104 estão:
ITCS104
IDENTIFICAÇÃO Um identificador único deve estar associado a
cada usuário de sistema (ex.: userid, certificado digital, etc)
Certificados Digitais usados para identificação devem ser assinados por CA’s autorizados.
Deve-se validar o vinculo empregatício do funcionário.
Todos os sistemas devem ser previamente registrados em uma database de controle antes que seus serviços estejam disponíveis.
ITCS104
AUTENTICAÇÃO A identidade de qualquer usuário deve ser validada
na tentativa de acesso à qualquer sistema, software ou middleware.
A escolha de uma senha deve seguir regras restritas afim de torná-la menos suscetível a ataques.
Mínimo de 8 caracteres, Alfanumérica, não deve conter porções do userid, trocas a cada 90 dias, etc
Senhas não devem ser transmitidas em texto puro, e devem ser armazedas criptografadas sempre que possível ou com acesso restrito.
Tokens e tickets de autenticação devem ter regras que controlem seu tempo de vida (em geral de12h a 30h).
ITCS104
AUTORIZAÇÃO Para funcionários contratados ou prestadores de serviço, o
acesso a qualquer sistema IBM deve ser previamente autorizado pela gerencia e o acesso deve ser provido de forma a restringir ao conjunto mínimo de recursos necessários.
Sistemas de acesso remoto devem ser aprovados e seguir o modelo do PDT e IES OMT.
Avisos de restrição de uso devem ser apresentados ao usuário a cada login no sistema (exemplo: banners de login, MotD, etc)
Acesso limitado deve ser instalado por padrão em qualquer sistema afim de limitar ao proprietário o acesso ao recurso.
ITCS104
PROTEÇÃO DA INFORMAÇÃO E CONFIDENCIALIDADE
Controle técnico deve ser colocado em prática para prevenir acesso não autorizado a informações privadas de funcionários IBM, parceiros de negócios ou clientes.
Mídias contendo material confidencial devem ser marcados de acordo sempre que possível
Informações confidenciais residuais e pessoais sobre funcionários IBM ou clientes devem ser propriamente descartadas afim de garantir que não possam ser recuperadas.
Qualquer informação sensível (dados financeiros, planos estratégicos ou de negócio, e informação não - públicas) devem ser criptografadas se enviadas eletronicamente pela internet.
Internamente, criptografia deve ser utilizada em todos os servidores de email (notes/Domino) e SSL deve ser utilizado em qualquer web server que colete ou exiba informações confidenciais.
ITCS104 INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS
Usuários comuns não devem ter acesso às configurações de sistemas operacionais
Acesso além do permitido para usuários comuns devem ser garantidos apenas baseados em razões validas de negócio e que devem ser determinadas pelo provedor do serviço.
Controle técnico deve estar aplicado para impedir a execução e propagação de códigos perigosos.
Scans de vulnerabilidades TCP/IP devem ser conduzidos regularmente
Um processo deve ser definido afim de reger a aplicação de patchs e updates e limites de tempo devem ser seguidos para cada tipo de sistema.
Equipamentos devem ser atualizados antes que atinjam seu status de end of support.
Controle técnico deve ser utilizado para evitar ataques de DoS (por exemplo desativando qualquer recurso para o qual não existe justificativa de negócio
ITCS104
INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS
Controle técnico deve ser utilizado para prevenir múltiplas tentativas de login com o mesmo usuário
Um processo deve estar em pratica para detectar e impedir ataques sistemáticos nas interfaces externas dos serviços de TI.
Um processo de teste e validação deve ser realizado antes de tornar o recurso disponível
Acesso entre a rede interna e a rede de parceiros devem ser previamente aprovados e certificados.
Estações de trabalhos publicas/compartilhadas devem exibir claramente o responsável por gerenciá-las e regras devem ser seguidas para evitar danos, roubo e execução de códigos maliciosos.
ITCS104
AUDITORIA DE ATIVIDADES Para sistemas, middleware e infra-estrutura de
rede, onde for possível a gravação de log, este deve gravar um conjunto mínimo desejável de informações (tentativas de login, atividades executadas, endereço de origem, etc)
Os dados de log devem conter no mínimo: data, hora, tipo de acesso, identificação do usuário.
Os dados de auditoria devem ser mantidos por no mínimo 90 dias exceto se especificado de outra forma
ITCS104
CONFORMIDADE Verificações de conformidade (Health Checking) devem
ser realizados periodicamente (de acordo com a classificação do equipamento, 3 meses, 6 meses ou anual).
Testes de segurança devem ser realizados em intervalos periódicos
Testes de segurança devem ser realizados nos sistemas toda vez que mudanças nos mecanismos de segurança
Uma re-certificação anual deve ser conduzida para confirmar de que todos tem ciência da atual política de segurança e suas mudanças
ITCS104
REPORTE E GERENCIAMENTO DE INCIDENTES Ter um procedimento amplamente divulgado para
que todo funcionário saiba o que fazer ao tomar ciência de um incidente de segurança envolvendo dados da empresa, invasões, etc.
Ter uma equipe capacitada e treinada para responder a incidentes de segurança
Ter um procedimento em uso para prover um relatório de tentativas invalidas de login
ITCS104
CONTROLE DE ACESSO FÍSICO Sistemas e equipamentos de redes devem estar
fisicamente protegidos contra danos e roubo. Devem existir controles para restringir o acesso a
áreas de “acesso controlado” – CPDs e etc. Mídias controladas, como as utilizada para backup,
restauração ou recuperação de desastre devem estar fisicamente protegidas contra acesso não autorizado, roubo e danos.
Uma reconciliação do inventário de mídias backup deve ser conduzido uma vez ao ano.
ITCS104
A ITCS104 especifica configurações de segurança para os seguintes Sistemas Operacionais:
AIX Platforms Linux Microsoft Windows 2000 Servers Microsoft Windows Server 2003 Novell Netware OS/2 Base Operating Systems OS/400 Platforms z/OS, OS/390 and MVS Platforms z/VM and VM Platforms VMware ESX-GSX Server
ITCS104
– AFS Client SubsystemsAFS Servers
– Apache Web– CMVC– DB2 Universal Database– DCE Servers– DCE/DFS Clients– DFS Servers– GSA Servers– Lotus Domino Servers– MQSeries– NetView– OS/2 Lan Servers
– Tivoli– TSM ADSM– WebSphere Application– ClearCase– ClearQuest– IBM Director– SSH Servers– Samba– Internet Information
Services (IIS)– IBM Tivoli Monitoring– SAP Application – Sudo
Application Software and Middleware
ITCS104
Infraestrutura de Rede
Local Area Network (LAN) Devices Wireless Devices Boundary Firewalls Firewalls Network Services (DNS, DHCP, SMTP) Inter-Enterprise Services (IES) Data Legacy and SNA Gateways Remote Vendor Access
ITCS104
Infraestrutura de Voz Avaya Media Server Call Management System
Outros Equipamentos de Rede Hard Copy Devices Manufacturing Tool Controllers iSeries/pSeries HMCs zHMC
PUC-CampinasTÓPICOS EM ENGENHARIA COMPUTAÇÃO B
Políticas de Segurança Corporativa
Alguns casos ocorridos…
Dúvidas?
Prof. Edmar Roberto Santana de Rezende
Campinas - 2008
