Políticas de Segurança - WordPress.comPolíticas de Segurança Estudo de caso: USPNet O GSeTI...
Transcript of Políticas de Segurança - WordPress.comPolíticas de Segurança Estudo de caso: USPNet O GSeTI...
Políticas de SegurançaEstudo de caso: USPNet
● O GSeTI (Grupo de Segurança em Tecnologia da Informação)
– Trata das questões relativas à segurança de sistemas e redes da USP
– Recebe, identifica e processa os incidentes de segurança que foram notificados à USP
– Atua em parceria com os Centros de Informática e as Unidades da USP
– Provê sugestões para melhorar a segurança e elabora estatísticas, divulgando alertas sobre vulnerabilidades de sistemas
Políticas de SegurançaEstudo de caso: USPNet
● Estrutura da Política de Seguança
– Apresentação da política
● Assessorar a Comissão Central de Informática e os Centros de Informática da capital e do Interior no tratamento de questões de segurança
● Elaborar uma Política de Segurança que dê sustentação às atividades de proteção da informação eletrônica da Universidade
● Propor Planos de Segurança e de Contingência para os sistemas computacionais, de acordo com a norma NBR ISO/IEC 17799
● Acompanhar a implantação e execução dos planos propostos
Políticas de SegurançaEstudo de caso: USPNet
● Estrutura da Política de Seguança
– Introdução → motivação
● A Rede Computacional da USP - USPnet, oferece à Universidade a possibilidade de se integrar a outros centros de ensino, pesquisa e extensão no exterior
● Oferece recursos computacionais e de redes para acesso aos Sistemas de Informação Coorporativos
● Sendo assim, a política se caracterizará pela tentativa de manter a confidencialidade, a integridade e a disponibilidade da informação disponível através desses recursos
Políticas de SegurançaEstudo de caso: USPNet
● Estrutura da Política de Seguança
– Objetivo
● Definir uma Política de Segurança para a Universidade, especialmente quanto à proteção dos seus ativos relacionados à USPnet, estabelecendo procedimentos e recomendações visando prevenir e responder a incidentes de segurança
Políticas de SegurançaEstudo de caso: USPNet
● Estrutura da Política de Seguança
– Abrangência
● A abrangência da segurança é definida pela Comissão Central de Informática - CCI, no tocante as responsabilidades dos Centros de Informática da capital e do interior sobre a USPnet
● Fora desse escopo, deve servir de recomendação, podendo ser aplicada pelas Unidades, Institutos, Departamentos ou outros setores integrantes da USP
Políticas de SegurançaEstudo de caso: USPNet
● Estrutura da Política de Seguança
– Pessoas responsáveis e suas atribuições
● Comissão Central de Informática: formular a política● Centros de Informática: Executar as políticas de
informática formuladas pela CCI● Consultoria Jurídica: avaliar os incidentes de segurança
causados por servidores da Universidade, recomendando as penalidades cabíveis
● Alunos, servidores e demais pessoas: cumprir com as determinações da política de segurança
Políticas de SegurançaEstudo de caso: USPNet
● Estrutura da Política de Seguança
– Aspectos da Segurança
● A segurança pode ser enfocada sob dois aspectos: físico e lógico
– Penalidades
● Centro de Informática, Instituto ou Unidade de Ensino devem avaliar as infrações ocorridas no âmbito de sua responsabilidade e aplicar ou recomendar as penalidades para cada caso
– Documentos da política de Seguança
● Normas
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Abrangência
● Segurança física dos dispositivos de rede da USPnet e da infra-estrutura
● Segurança lógica dos equipamentos de rede da USPnet● Segurança da Informação● Segurança administrativa● Segurança do funcionário e do usuário
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança física
– Em relação à rede elétrica, aconselha-se o uso dos pára-raios de baixa tensão nos quadros elétricos de entrada do edifício
– É altamente recomendado o uso de no-break em equipamentos que suportam atividades críticas
– Uso de alarme que envie alguma mensagem a uma estação de gerenciamento remota caso ocorra algum acesso não autorizado
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança física
– Restrições de acesso baseadas em crachás de identificação, chaves e/ou cartão inteligente
– A instalação, manutenção e atualização de equipamentos é de responsabilidade única e exclusiva dos Centros de Informática
– Terminais públicos devem estar presos via dispositivos de alarme antifurto e cabos com travas
– Sejam adotados, ainda, procedimentos restringindo comida, bebida e fumo dentro das Instalações de Processamento
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança lógica ou segurança da informação
– O acesso às mídias de back-up deve ser restrito ao pessoal autorizado
– A solicitação de abertura de contas em quaisquer dos sistemas se dará pelo preenchimento de um Termo de Identificação e Compromissos
– Também é recomendada a utilização de antivírus que monitorem as mensagens de correio eletrônico
– Para o caso do gerenciamento SNMP, não deve estar habilitado se não estiver em uso, do contrário, garantir acesso estritamente aos administradores responsáveis
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança lógica ou segurança da informação
– Os visitantes devem se dirigir à recepção, ou outro setor responsável, a fim de receber uma conta de convidado (guest)
– As senhas de acesso lógico aos equipamentos devem ser trocadas periodicamente, a cada 90 dias no máximo, ou quando o administrador ou funcionário que as detenha venha a se desligar da Universidade ou da função
– Somente os Centros de Informática podem fornecer acesso remoto à USPnet, sendo estes os responsáveis pela configuração do hardware
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança administrativa
– É proibido o acesso aos arquivos e informações do usuário, exceto em caso de segurança ou apuração de algum fato envolvendo o próprio usuário, sempre com a ciência do gerente ou responsável pela rede
– A monitoração de dados e voz que circulam através dos meios só deverá ser praticada visando a detecção de invasão ou outro assunto relacionado à segurança
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança do funcionário e do usuário
– A utilização dos recursos de rede da Universidade só é concedida mediante a adesão dos usuários às normas e diretivas de segurança vigentes, lendo, entendendo e assinando o termo adequado
– Notebooks, PDAs ou outros dispositivos portáteis estão sujeitos a inspeção pelo administrador
– O usuário deve estar ciente de que atos impróprios resultarão em investigação, podendo acarretar punição
Políticas de SegurançaEstudo de caso: USPNet
● Norma geral
– Exemplos de recomendações:
● Segurança do funcionário e do usuário
– É violação das regras:● Utilizar os recursos computacionais da Universidade
para fins comerciais ou políticos, tais como mala direta ou propaganda política
● Utilizar os recursos computacionais da Universidade para ganho indevido
● Utilizar os recursos computacionais da Universidade para intimidar, assediar, difamar ou aborrecer qualquer pessoa
● Consumir inutilmente os recursos computacionais da Universidade de forma intencional
Bibliografia
● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 6.