1

CCaarrttiillhhaa SSeegguurraannççaa ddee IInnffoorrmmaaççõõeess

1

PPrreezzaaddoo SSeerrvviiddoorr,, A preocupação com a segurança da informação é crescente em empresas e governos de todos os âmbitos, isto porque cada vez mais dependemos de informação para a continuidade e competitividade dos negócios e esta informação encontra-se em sistemas e equipamentos de informática. Ciente da importância estratégica em controlar e garantir a proteção da informação e manter e zelar pela integridade e sigilo dos dados corporativos como meio eficaz para a consolidação de sua credibilidade junto ao cidadão, o município do Rio de Janeiro, através de Portaria "N" IplanRio nº 004 em 10 de abril de 2001 publica a Política de Segurança de Informações da Prefeitura da Cidade do Rio de Janeiro. A Política de Segurança tem como objetivo servir de base para normas, práticas e procedimentos específicos de segurança para cada órgão da administração direta ou indireta, o que significa que ela deve ser objetiva e abrangente, cabendo a estes órgãos um estudo criterioso dos procedimentos a serem implantados para seguir estas diretrizes. Entretanto temos algumas regras básicas que a Política de Segurança deve atender: ü Ser Pública; ü Ser do conhecimento de todos os funcionários; ü Mostrar as diretrizes de Segurança a serem seguidas; ü Atribuir as responsabilidades de gestores, técnicos e usuários. Um axioma se aplica perfeitamente a Segurança da Informação: "Uma corrente não é mais forte do que seu elo mais fraco", e assim considerando temos que trabalhar juntos para garantir um nível de segurança proporcional à importância da informação.

Sendo assim, esperando contar com todos os servidores, prestadores de serviço e parceiros, a IplanRio elaborou este manual, contemplando o conteúdo da Política de Segurança de forma didática e recomenda a leitura da Portaria IplanRio 004 supramencionada.

2

IInnttrroodduuççããoo

A Política de Segurança de Informações (PSI) da PCRJ deve ser do conhecimento de todos pois a Segurança da Informação é uma responsabilidade de todos e o sucesso ou fracasso de um Plano de Segurança Corporativa depende da aplicação deste conceito. A PSI tem como principal objetivo traçar as diretrizes de Segurança da Informação para o ambiente PCRJ e atribuir as responsabilidades aos personagens do elenco que lidam com informação, sejam eles, gestores, usuários ou técnicos, visando a proteção da informação, que é um patrimônio da Prefeitura da Cidade do Rio de Janeiro (ou da Organização). A informação pode apresentar-se de diversas formas: banco de dados, relatórios, em disquetes, em notebooks, etc e em todas estas formas deve ser garantido o mesmo nível de segurança para a informação. Além disso, a informação deve ser classificada, para que se atribua um grau de risco à exposição da mesma e o conseqüente investimento que será feito, de maneira a preservá-la.

3

PPrriinnccííppiiooss BBáássiiccooss ddaa SSeegguurraannççaa ddaa IInnffoorrmmaaççããoo ((DDIICCAA)) Para garantir a Segurança da Informação é preciso identificar e avaliar riscos. Para isso devemos perguntar: ü O que proteger? ü Porque proteger? ü De quem proteger? ü A que custo proteger? ü Com que riscos proteger? Sabemos que os recursos são finitos e que 100% seguro não existe. É, então, necessário estabelecer prioridades em função de alguns princípios básicos: Disponibilidade Integridade Confiabilidade Autenticidade Vamos esclarecer os conceitos: Disponibilidade - garante que os recursos (informações) estejam disponíveis a qualquer momento que se deseje utilizá-los. Integridade - assegura-se que a informação é a mesma (não sofreu nenhuma modificação não autorizada, imprevista e até não intencional) desde sua geração até a sua recuperação. Confidencialidade - garante que os recursos (informações) tenham proteção contra a divulgação não autorizada. Autenticidade - garante ao receptor da informação a origem informada. Assegura que o acesso à informação não possa ser realizado por terceiros em nome do receptor ou que se utilizem do nome do originador para enviar informações. Além destes princípios derivam-se outros dois complementares à eles: Controle de Acesso - Capacidade de limitar e/ou controlar o acesso às informações contidas em computadores ou aplicações, bem como o acesso físico. Não repúdio - Não rejeitar usuários válidos e com acesso legítimo às informações, assim como a não rejeição, por parte do usuário, de uma ação por ele executada utilizando-se de um acesso concedido.

4

PPrrooggrraammaa ddee SSeegguurraannççaa ddaa IInnffoorrmmaaççããoo Sabendo que a PSI é composta de diretrizes e normas de Segurança da Informação e que estas servem de base para a descrição de procedimentos internos e estabelecimento de padrões, podemos dividir em 3 dimensões: A Política está publicada e existe uma Câmara Técnica de Segurança de Informações que se reúne mensalmente para debater necessidade de modificações na PSI, avaliar o impacto de novas tecnologias, etc. Este grupo está organizado da seguinte forma: Sendo assim, os procedimentos devem ser descritos por cada órgão, através de sua área de informática, em função das características do ambiente informatizado que possuem.

Procedimentos

Norma

Política

Prefeito

CGM

IplanRio Câmara Téc. Seg . Inform.

SMF SMA SMS ......

Asses. Seg Informações

Representantes: GBP SMG SMF SMA PGM CGM IplanRio Análise do

Ambiente Levantamento Necessidades

Abordagem de Segurança

5

DDiirreettrriizzeess O tratamento da informação deve ser conduzido em conformidade com a PSI, visando obedecer às seguintes diretrizes: 1. Proteger as informações contra acesso, alteração, destruição

ou divulgação não autorizados; 2. Garantir que os recursos colocados à disposição sejam

utilizados apenas para as finalidades aprovadas pela PCRJ e estejam inventariados, preservados, tenham protegidos seus componentes internos e toda a sua documentação mantida atualizada - obedecendo aos padrões definidos internamente;

3. Garantir que os sistemas e informações sob guarda da PCRJ estejam adequadamente

protegidos; 4. Garantir que recursos considerados críticos estejam resguardados por Plano de

Contingência, afim de garantir a continuidade dos negócios em situações de anormalidade; 5. Assegurar que toda informação possua um Gestor que definirá sua classificação, quanto à

confidencialidade, integridade, disponibilidade e autenticidade, autorização de acessos e o cancelamento dos mesmos;

6. Restringir a concessão de autorização de acesso aos recursos mínimos necessários para que

os usuários desenvolvam suas atividades; 7. Garantir que cada usuário possua sua identificação sendo ela única,

pessoal e intransferível, o que o qualifica como responsável por qualquer atividade desenvolvida através dela;

8. Cumprir as leis e normas que regulamentam os aspectos de propriedade

intelectual; 9. Selecionar mecanismos de Segurança da Informação, ponderando fatores de risco,

tecnologia e custo; 10. Garantir a disseminação da cultura de Segurança através das

áreas de informática dos órgãos participantes da administração direta ou indireta.

6

RReessppoonnssaabbiilliiddaaddeess aattrriibbuuííddaass Usuários • Conhecer os conceitos de Segurança da Informação;

• Manter sigilo sobre as informações estratégicas e confidenciais a que tenha acesso;

• Armazenar informações confidenciais ou críticas à atividade da PCRJ de forma protegida;

• Encerrar sua sessão de trabalho e desligar os equipamentos ao final do expediente;

• Manter a proteção de tela com senha ativada, para quando se ausentar de sua estação de trabalho;

• Cuidar dos recursos da informação da PCRJ;

• Somente acessar sistemas e bancos de dados se autorizado e a partir de estações para este fim configuradas;

• Utilizar apenas programas licenciados e homologados pela área de informática;

• Restringir a utilização de equipamentos aos fins autorizados pela área de informática;

• Requerer autorização para conectar equipamentos particulares nas redes internas;

• Responder pelas mensagens de correio eletrônico enviadas através de sua caixa postal e remover as mensagens obsoletas, não mais necessárias à sua atividade;

• Efetuar backup das informações armazenadas localmente nas estações com 2 cópias, mantidas em ambientes diferentes e seguros e autorizados pelo gestor da informação;

• Garantir o mesmo nível de segurança para as informações originais e os backup;

• Manter sua senha em sigilo e diante da suspeita de sua perda efetuar a troca da mesma, informando imediatamente a área de informática e a chefia imediata;

• Adotar senhas com mais de 6 caracteres alfanuméricos, misturando maiúsculas e minúsculas e evitando palavras conhecidas, datas, etc.;

• Realizar o descarte de informações críticas ou confidenciais com destruição irrecuperável da mesma;

• Manter a configuração da estação de trabalho inalterada, com anti-vírus padrão instalado, configurado, ativado e atualizado, salvo com autorização formal da área de informática;

• Informar imediatamente à área de informática em caso de ocorrência de vírus;

• Acompanhar o atendimento do técnico de informática quando ocorrer manutenção corretiva;

• Não alimentar-se ou fumar próximo aos equipamentos de informática.

7

Responsável Imediato:

• Garantir a segurança das informações armazenadas nos equipamentos de sua

área ou a que seus subordinados tenham acesso;

• Solicitar a disponibilização dos recursos de informática necessários aos servidores de sua área para o bom desempenho de suas funções;

• Informar as necessidades de acesso e uso de informações ao gestor da Informação bem como a exclusão de acesso dos usuários de sua área.

Gestor da Informação: • Determinar os níveis de acesso que os usuários deverão ter às

informações através de aplicativos e sistemas, solicitar formalmente estes acessos à área de informática e promover o cancelamento dos mesmos;

• Definir e classificar as informações sob sua gestão em níveis;

• Homologar, testar e autorizar a passagem para produção de sistemas e aplicativos desenvolvidos;

Técnicos • Manter duas identificações distintas, uma para uso normal e outra com direitos especiais

para tarefas de administração, quando o caso;

• Configurar ambientes computacionais para que o usuário tenha direito a 5 (cinco) tentativas de autenticação de senha. Na quinta tentativa errada, suspender o acesso a este ambiente até que o usuário solicite liberação;

• Obrigar, através do sistema, que o usuário informe nova senha logo no primeiro acesso após a habilitação, que deverá ter validade de 45 (quarenta e cinco) dias com troca solicitada automaticamente ou sempre que o usuário requerer e não possibilitar a repetição de senhas em um período de 5 (cinco) trocas;

• Configurar o sistema para, sempre que possível, não permitir o mesmo usuário com acessos simultâneos;

• Armazenar as senhas com criptografia;

• Criar usuários sem senha apenas para recursos compartilhados e informações públicas, tais como impressora e área de disco comum;

• Possibilitar ao Gestor da informação, ou pessoa por ele autorizada, reinicializar senhas para usuários que as tenham perdido, permitindo-o listar a relação dos códigos de identificação, com nome, status e perfil de acesso;

8

• Criar mecanismos para que o sistema suspenda automaticamente código de identificação não utilizado por um período de 90 (noventa) dias;

• Somente efetuar a autorização ou cancelamento de acesso mediante autorização formal do responsável imediato ou seu substituto;

• Configurar desconexões automáticas de acesso após um período de até 30 minutos de inatividade;

• Considerar qualquer equipamento com canal de comunicação externo como crítico;

• Controlar e registrar o acesso remoto, que deverá obrigatoriamente passar por um ponto de controle com configurações definidas pelo Órgão Gestor do Sistema Municipal de Informática;

• Manter atualizada documentação lógica e física da rede e disponibilizá-la ao Órgão Gestor do Sistema Municipal de Informática sempre que houver alteração;

• Utilizar ferramentas de administração da rede e sistemas homologadas pelo Órgão Gestor do Sistema Municipal de Informática;

• Instalar equipamentos críticos, tais como servidores e roteadores, em ambiente seguro e controlado;

• Realizar backup dos servidores com periodicidade mínima de uma semana e, além dela, sua retenção deverá obedecer à legislação vigente;

• Realizar testes de restauração e integridade do backup com periodicidade máxima de 180 (cento e oitenta) dias;

• Guardar os Backups das informações em local com controle de acesso, e fora do ambiente onde se encontra a fonte principal da informação e, as informações sigilosas, devem possuir senha de acesso;

• Implantar/Manter a versão corporativa do software anti-vírus padrão nos servidores e estações de trabalho, atualizada e com a forma de instalação e configuração indicadas pelo Órgão Gestor do Sistema Municipal de Informática;

• Responsabilizar-se pela elaboração, teste e execução de um Plano de Contingência em caso de anormalidades e reavalia -lo com periodicidade máxima de 1 (hum) ano;

• Disponibilizar recursos a produção somente após serem testados em ambiente segregado e controlado e os recursos devem estar documentados e aprovados pela área de produção;

• Instalar ou disponibilizar softwares sensíveis e aplicações críticas ao usuário de modo que o usuário não possa alterar suas configurações;

• Efetuar testes somente com dados fictícios, testes paralelos ou com dados de produção devem ser realizados pela área de produção;

• Proteger as estações de trabalho com lacres nos gabinetes;

• Criar rotina de manutenção preventiva nos equipamentos;

• Assegurar a existência de senha de acesso a todas as aplicações críticas.

9

Responsável pela área de Informática: • Criar condições para uma eficiente, segura e controlada execução de aplicações e

armazenamento de informação sob sua custódia;

• Analisar e homologar os treinamentos necessários para a correta e eficiente utilização dos recursos informatizados;

• Avaliar e autorizar o uso de equipamentos de informática, bem como a conexão de equipamento particular nas redes internas;

• Solicitar aquisição e homologar equipamentos e aplicativos pela PCRJ, além de realizar as atualizações tecnológicas e manutenção do ambiente informatizado;

• Definir e capacitar administradores de sistemas dos ambientes computacionais e seus substitutos;

• Manter a documentação de todo o ambiente informatizado atualizada, incluindo-se inventário de equipamentos, licenças de sistemas e aplicativos, antes mesmo de serem colocados em produção;

• Definir procedimentos de contingência em situações de anormalidade;

• Manter backup das informações e códigos-fonte dos sistemas em produção, bem como autorizar a restauração das cópias de segurança;

• Controlar a entrada e saída de recursos de sua área ou sob sua custódia, autorizando entradas e saídas ou delegando esta autoridade a outro servidor;

• Garantir a integridade e disponibilidade das informações e dos recursos do ambiente informatizado, segundo controles estabelecidos pelo Gestor da Informação, Órgão Gestor do Sistema Municipal de Informática e Auditoria de Sistemas;

• Implementar soluções de Segurança no ambiente informatizado.

Câmara Técnica em Segurança de Informações: • Rever a Política de Segurança de Informações;

• Orientar na definição de soluções de segurança das informações para os Órgãos da Administração Direta ou Indireta da PCRJ;

• Avaliar o impacto na segurança das novas tecnologias.

Auditoria de Sistemas

• Verificar o cumprimento da Política de Segurança de Informações da PCRJ.

10

CCuuiiddaaddooss aaddiicciioonnaaiiss Senha • Utilize senhas fortes, isto é, com mais de 6 caracteres, combinando numéricos e

alfanuméricos, maiúsculas e minúsculas e não utilize datas comemorativas, sobrenomes, nome do cônjuge, placas de carro, palavras de nosso vocabulário, etc;

• Nunca compartilhe sua senha, mantenha-a em sigilo, ela deve ser de seu conhecimento exclusivo;

• Sempre que suspeitar de perda de sigilo, altere-a imediatamente. Engenharia Social Consiste na obtenção de informações importantes do usuário ou ambiente, através de uma conversa informal, sua ingenuidade ou confiança.

O indivíduo mal intencionado geralmente usa telefone, e-mail ou salas de bate-papo para conseguir as informações que procura. Muito cuidado, desconfie de abordagens de pessoas que ligam e se identificam como técnicos ou funcionários de determinada firma e pedem dados sobre a empresa, ambiente, você, etc. NUNCA dê a sua senha a ninguém.

Todas as ações originadas através de sua senha serão atribuídas a você.

Compartilhar sua senha é como assinar um cheque em branco.

aproximadamente 78 possibilidades para cada (A,a,B,b,C,...,0,1,2,...,/,-,$,...)

senha de 6 caracteres = + de 225 bilhões de combinações possíveissenha de 8 caracteres = + de 1,37 quatrilhões de combinações possíveis

*

11

E-mail / Mensagem Instantânea (Chat, ICQ, entre outros) • Não abra e-mails enviados por desconhecidos, principalmente se

eles contiverem arquivos anexados; • Os programas de troca de mensagem instantânea estão sempre

conectados a um servidor, podendo ser atacados por crackers;

• Nunca aceite arquivos de pessoas desconhecidas, principalmente .exe e .doc;

• Não acredite em todos os e-mails sobre vírus, principalmente aqueles de origem duvidosa que mandam em anexo um arquivo para ser executado prometendo solucionar o problema, verifique com a área de informática do seu órgão.

Vírus Há diversas formas de seu computador ser infectado:

• Através de um disquete deixado no drive quando o micro é ligado;

• Ao abrir um arquivo executável, seja recebido pela internet, num disquete ou até mesmo em um CD-ROM;

• Ao instalar programas de origem duvidosa; • Ao abrir arquivo .doc, .exe, .xls, etc Os vírus são programas que se multiplicam e podem atingir a

outros computadores por diversos meios, como já vimos anteriormente. Ao perceber que foi infectado por um vírus, desligue seu computador e comunique imediatamente à área de informática. A melhor maneira de se proteger dos vírus é utilizar o anti-vírus recomendado e mantê-lo atualizado. Segurança Física O acesso aos recursos críticos de Tecnologia da Informação deve ser restrito, com registros de entrada e saída. Papéis, disquetes, CD's e outros meios de armazenamento de informação contendo informações confidenciais, devem receber o mesmo tratamento de segurança que seu computador, ou seja, estar em local seguro e de acesso restrito. O controle de acesso físico deve ser utilizado em todos os ambientes onde hajam servidores, roteadores, backup's, etc.

12

Atualização constante Procure estar sempre atualizado; participe dos treinamentos sobre Segurança da Informação oferecidos; leia sobre o assunto em nossa intranet (ciclodepalestras).

Tornar Seguro

Política de Segurança Monitorar e Responder

Testar

Gerenciar e evoluir

A Segurança da Informação é um ciclo, temos que estar sempre vigilantes, conscientes e atualizados. Não existe ambiente 100% seguro, existe ambiente com menor risco. Colabore!

13

Elaboração:

Av. Afonso Cavalcante 455 Anexo 2ªsobrelojaTelefone: 2503-3439