POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA OS SERVIÇOS DE INFORMÁTICA
LUÍS M ANUEL SILVESTRE
INSTITUTO POLITÉCNICO DE BRAGANÇA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA OS SERVIÇOS DE INFORMÁTICA
LUÍS M ANUEL SILVESTRE
INSTITUTO POLITÉCNICO DE BRAGANÇA
RESUMO
A segurança é um processo transversal às organizações. Se é verdade que a sua base é cada vez mais
tecnológica e sofisticada, não é menos verdade que só mediante a definição de políticas claras, práticas
consistentes, procedimentos eficazes e a participação activa de todos e cada um dos colaboradores, é
possível garantir e gerir de forma eficaz e abrangente todos os aspectos relacionados com a Segurança
da Informação.
O propósito deste projecto é definir a Política de Segurança Informática e Privacidade que os Serviços de
Informática do Instituto Politécnico de Bragança devem observar no desenvolvimento das suas
actividades, de forma a definir, aprovar e implementar um sistema adequado de controlo e monitorização,
suportado por uma Organização de Segurança Informática, envolvendo todos os colaboradores e
definindo medidas, regras e responsabilidades.
A existência de referenciais internacionalmente reconhecidos, como é o caso das normas ISO
17799:2005 e ISO 27001:2005, veio facilitar a abordagem destas matérias, oferecendo ao mercado uma
linguagem comum, na qual se sistematizam as melhores práticas.
A política de segurança define o conjunto de normas, métodos e procedimentos utilizados para a
manutenção da segurança da informação, devendo esta ser definida em documento, cujo conteúdo
deverá ser do conhecimento de todos os utilizadores que fazem uso da informação.
i
ÍNDICE
Introdução .............................................................................................................................................. 1
1) Objectivos ....................................................................................................................................... 1
2) Enquadramento ............................................................................................................................... 2
3) Âmbito ............................................................................................................................................. 2
Capítulo I - Segurança da informação................................................................................................... 3
1) O que é Informação ......................................................................................................................... 3
2) O que é um Activo ........................................................................................................................... 3
3) O que é segurança da informação ................................................................................................... 3
4) Por que é necessária a segurança da informação............................................................................ 4
5) Como Classificar as Informações..................................................................................................... 4
6) Factores críticos de sucesso............................................................................................................ 5
Capítulo II - Avaliação dos Riscos de Segurança................................................................................. 6
1) Segurança da Rede......................................................................................................................... 7
1.1. Rede do IPB ............................................................................................................................. 7
1.2. Avaliação do Risco ................................................................................................................... 8
2) Segurança do Hardware .................................................................................................................. 8
2.1. Servidores e Equipamentos Activos de Rede ............................................................................ 8
2.2. Postos de Trabalho – PC’s ....................................................................................................... 8
2.3. Avaliação do Risco ................................................................................................................... 8
3.) Segurança Física do Centro de Dados............................................................................................ 9
3.1) Localização .............................................................................................................................. 9
3.2) Área ocupada ........................................................................................................................... 9
3.3) Controlo de Acessos................................................................................................................. 9
3.4) Incêndio ................................................................................................................................... 9
3.5) Controlo térmico e condicionamento de ar ................................................................................ 9
3.6) Chão Falso ............................................................................................................................. 10
3.7) UPS e Gerador ....................................................................................................................... 10
3.8) Plano de Contingência para o Centro de Dados...................................................................... 10
4.) Segurança Lógica......................................................................................................................... 10
4.1) Firewall................................................................................................................................... 10
4.2) Antivírus ................................................................................................................................. 10
4.3) Autenticação e Controlo de Acessos....................................................................................... 10
4.4) Criptografia............................................................................................................................. 10
4.5) Virtual Private Network - VPN ................................................................................................. 10
4.6) Detecção de Intrusões ............................................................................................................ 11
4.7) Sistema de Backup’s .............................................................................................................. 11
Capítulo III - Definição da Política ....................................................................................................... 12
1) Política de Segurança da Informação............................................................................................. 12
1.1) Política de segurança da informação ...................................................................................... 12
1.1.1) Documentação da Política de Segurança da Informação ..................................................... 12
1.1.2) Revisão da Política de Segurança da Informação. ............................................................... 12
2) Organização da segurança da informação ..................................................................................... 12
2.1) Infra-estrutura da segurança da informação ............................................................................ 13
2.1.1) Comprometimento da direcção com a segurança da informação.......................................... 13
2.1.2) Coordenação da segurança da informação .......................................................................... 13
2.1.3) Atribuição de responsabilidades para a segurança da informação........................................ 13
2.1.4) Processo de autorização para os recursos de processamento da informação ...................... 14
2.1.5) Acordos de confidencialidade .............................................................................................. 14
2.2) Partes externas ...................................................................................................................... 14
2.2.1) Identificação dos riscos relacionados com partes externas................................................... 14
2.2.2) A segurança da informação orientada aos alunos e clientes ................................................ 14
2.2.3) A Segurança da informação nos acordos com terceiros ....................................................... 14
3) Classificação e controlo de activos ................................................................................................ 14
ii
3.1) Responsabilidade pelos activos .............................................................................................. 14
3.1.1) Inventário dos activos .......................................................................................................... 14
3.1.2) Proprietário dos activos do SIIPB......................................................................................... 15
3.1.3) Uso aceitável dos activos..................................................................................................... 15
4) Segurança em recursos humanos.................................................................................................. 15
4.1) Antes da Contratação ............................................................................................................. 15
4.1.1) Papéis e responsabilidades ................................................................................................. 15
4.1.2) Selecção ............................................................................................................................. 15
4.1.3) Termos e condições de contratação..................................................................................... 15
4.2) Durante o desempenho de funções ........................................................................................ 15
4.2.1) Responsabilidades da direcção ........................................................................................... 15
4.2.2) Consciencialização, educação e formação em segurança da informação............................. 16
4.2.3) Processo disciplinar ............................................................................................................. 16
4.3) Fim de contrato ...................................................................................................................... 16
4.3.1) Encerramento de actividades............................................................................................... 16
4.3.2) Devolução de activos........................................................................................................... 16
4.3.3) Retirada de direitos de acesso............................................................................................. 16
5) Segurança Física e Ambiental ....................................................................................................... 16
5.1) Áreas seguras ........................................................................................................................ 16
5.1.1) Perímetro de segurança ...................................................................................................... 16
5.1.2) Controlos de entrada física .................................................................................................. 17
5.1.3) Protecção contra ameaças externas e do meio ambiente..................................................... 17
5.1.4) Acesso do público, áreas de entrega e de carregamento ..................................................... 17
5.2) Segurança de equipamentos .................................................................................................. 17
5.2.1) Instalação e protecção do equipamento ............................................................................... 17
5.2.3) Segurança da cablagem ...................................................................................................... 17
5.2.4) Manutenção dos equipamentos ........................................................................................... 18
5.2.6) Reutilização e alienação segura de equipamentos ............................................................... 18
6) Gestão de Operações e Comunicações – Redes e computadores ................................................. 18
6.1) Procedimentos e responsabilidades operacionais ................................................................... 18
6.1.1) Documentação dos procedimentos de operação.................................................................. 18
6.1.2) Gestão de mudanças........................................................................................................... 18
6.1.3) Segregação de funções ....................................................................................................... 18
6.1.4) Separação dos recursos de desenvolvimento, teste e de produção...................................... 19
6.2) Gestão de serviços de Outsourcing ........................................................................................ 19
6.2.1) Entrega de serviços ............................................................................................................. 19
6.3) Planeamento e aceitação dos sistemas .................................................................................. 19
6.3.1) Gestão de capacidade ......................................................................................................... 19
6.3.2) Aceitação de sistemas ......................................................................................................... 19
6.4) Protecção contra códigos maliciosos e códigos móveis .......................................................... 19
6.4.1) Códigos maliciosos.............................................................................................................. 19
6.4.2) Códigos móveis ................................................................................................................... 19
6.5) Cópias de segurança.............................................................................................................. 20
6.5.1) Cópias de segurança da informação .................................................................................... 20
6.6) Gestão da segurança em redes .............................................................................................. 20
6.6.1) Controlos de redes .............................................................................................................. 20
6.6.2) Segurança dos serviços de redes ........................................................................................ 20
6.7) Tratamento e segurança de suportes da informação............................................................... 20
6.7.1) Gestão dos suportes informáticos removíveis ...................................................................... 20
6.7.2) Eliminação dos suportes da informação ............................................................................... 21
6.8) Transacção de informações.................................................................................................... 21
6.8.1) Políticas e procedimentos para a troca de informações........................................................ 21
6.8.2) Acordos para a troca de informações................................................................................... 21
6.9) Serviços On-line ..................................................................................................................... 21
6.9.1) Transacções on-line ............................................................................................................ 21
6.9.2) Informações publicamente disponíveis................................................................................. 21
iii
6.10) Monitorização ....................................................................................................................... 21
6.10.1) Registros de auditoria ........................................................................................................ 21
6.10.2) Monitorização de uso do sistema ....................................................................................... 22
7) Gestão de Acessos........................................................................................................................ 22
7.1) Controlo de acessos ............................................................................................................... 22
7.1.1) Política de controlo de acessos;........................................................................................... 22
7.2) Gestão de Acessos dos utilizadores ....................................................................................... 23
7.2.1) Registo de utilizadores......................................................................................................... 23
7.2.2) Gestão de privilégios ........................................................................................................... 23
7.2.3) Gestão da senha ................................................................................................................. 23
7.2.4) Análise crítica dos direitos de acesso de utilizadores ........................................................... 23
7.3) Responsabilidade dos utilizadores .......................................................................................... 23
7.3.1) Uso de senhas..................................................................................................................... 23
7.3.2) Equipamento sem monitorização ......................................................................................... 24
7.3.3) Política de mesa limpa......................................................................................................... 24
7.4) Controlo de acessos à rede .................................................................................................... 24
7.4.1) Política de uso dos serviços de rede .................................................................................... 24
7.4.2) Autenticação para conexão externa ..................................................................................... 24
7.4.3) Segregação de redes .......................................................................................................... 24
7.4.4) Controlo de conexão e de encaminhamento de redes .......................................................... 24
7.5) Controlo de acessos ao sistema operativo .............................................................................. 24
7.5.1) Procedimentos de segurança para a entrada no sistema (log-on) ........................................ 24
7.5.2) Identificação e autenticação................................................................................................. 24
7.5.3) Gestão de senhas................................................................................................................ 25
7.5.4) Duração da Sessão (time-out) ............................................................................................. 25
7.6) Controlo de acesso à aplicação e à informação ...................................................................... 25
7.6.1) Restrição de acesso à informação ....................................................................................... 25
7.6.2) Isolamento de sistemas sensíveis........................................................................................ 25
7.7) Computação móvel e trabalho remoto .................................................................................... 25
7.7.1) Computação e comunicação móvel ..................................................................................... 25
7.7.2) Trabalho remoto .................................................................................................................. 25
8.1) Requisitos de segurança de sistemas de informação .............................................................. 25
8.1.1) Análise e especificação dos requisitos de segurança ........................................................... 25
8.2) Processamento correcto nas aplicações ................................................................................. 26
8.3) Controlos criptográficos .......................................................................................................... 26
8.3.1) Política para o uso de controlos criptográficos ..................................................................... 26
8.4) Segurança dos ficheiros do sistema........................................................................................ 26
8.4.1) Controlo do sistema operativo.............................................................................................. 26
8.4.2) Protecção dos dados para teste de sistema; ........................................................................ 26
8.4.3) Controlo de acesso ao código-fonte de programa; ............................................................... 26
8.5) Segurança em processos de desenvolvimento e de suporte ................................................... 26
8.5.1) Procedimentos para controlo de mudanças.......................................................................... 26
8.5.2) Análise crítica técnica das aplicações após mudanças de sistema operativo........................ 27
9) Gestão de Incidentes de Segurança .............................................................................................. 27
9.1) Notificação de fragilidades e eventos de segurança da informação ......................................... 27
9.2) Gestão de incidentes de segurança da informação e melhorias .............................................. 27
10) Gestão da Continuidade de Negócio............................................................................................ 27
10.1) Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ......... 27
10.1.1) A segurança da informação no processo de gestão da continuidade de negócio................ 27
10.1.2) Continuidade de negócios e a avaliação de riscos ............................................................. 28
10.1.3) Desenvolvimento e implantação de planos de continuidade relativos à segurança da ........ 28
Informação .................................................................................................................................... 28
10.1.4) Estrutura do plano de continuidade do negócio .................................................................. 28
10.1.5) Testes, manutenção e reavaliação dos planos de continuidade do negócio........................ 28
11) Conformidade - Regulamentação e Legislação aplicável.............................................................. 29
11.1) Conformidade com requisitos legais...................................................................................... 29
iv
11.1.1) Identificação da legislação vigente ..................................................................................... 29
11.1.2) Direitos de propriedade intelectual; .................................................................................... 29
11.1.3) Protecção de registos organizacionais; .............................................................................. 29
11.1.4) Protecção de dados pessoais ............................................................................................ 29
11.2) Conformidade com normas e políticas e conformidade Técnica ............................................ 30
11.2.1) Conformidade com as políticas e normas de segurança da informação.............................. 30
11.2.2) Verificação da conformidade técnica.................................................................................. 30
11.3) Auditoria de sistemas de informação..................................................................................... 30
11.3.1) Controlos de auditoria de sistemas de informação ............................................................. 30
11.3.2) Ferramentas de auditoria de sistemas de informação......................................................... 30
Conclusões .......................................................................................................................................... 31
Bibliografia........................................................................................................................................... 32
Normas ................................................................................................................................................. 32
Sites Internet ........................................................................................................................................ 32
Anexo I ................................................................................................................................................. 33
Anexo II ................................................................................................................................................ 35
Anexo III ............................................................................................................................................... 42
Anexo IV ............................................................................................................................................... 44
AnexoV ................................................................................................................................................. 46
v
INTRODUÇÃO
O Instituto Politécnico de Bragança, adiante designado por IPB, é uma pessoa colectiva de direito
público, inserida na rede nacional de ensino superior público, dotada de autonomia estatutária,
administrativa, financeira, disciplinar e patrimonial.
O IPB foi criado em 1979 e integra actualmente cinco escolas, 4 na cidade de Bragança: Escola Superior
de Educação, Escola Superior Agrária, Escola Superior de Tecnologia e de Gestão e Escola Superior de
Saúde; e uma na cidade de Mirandela: Escola Superior de Tecnologia e Gestão de Mirandela.
Ao nível das TIC’s o IPB possui uma infra-estrutura de comunicações (baseada no meio físico em Fibra
Óptica, Cabo de Cobre, Feixes Ópticos laser e WiFi), que suporta as suas redes académicas e
administrativas (as primeiras permitem o acesso à Internet e serviços associados por parte de toda a
comunidade do IPB, as segundas permitem o acesso à Internet e às aplicações de suporte à actividade
operacional do IPB) e desenvolveu um “Sistema de Informação de Gestão de Processos Administrativos
e Apoio á Decisão”, constituído por aplicações de BackOffice (aplicações administrativas, financeiras e
académicas), aplicações de FrontOffice (portal institucional e serviços on-line) e aplicações de Business
Intelligence (Anexo I).
O alto nível de informatização dos serviços e a consequente dependência das TIC’s apresentam riscos e
vulnerabilidades de segurança que nunca foram abordados de uma forma sistemática, que permitisse
definir políticas na área da Segurança da Informação e da Privacidade.
Importa identificar, listar e caracterizar as medidas de Política de Segurança Informática que o Serviços
de Informática do IPB, adiante designados por SIIPB, devem observar no tratamento da informação, na
gestão e utilização dos seus recursos, com especial atenção nas especificações da norma ISO
17799:2005.
1) OBJECTIVOS
Avaliar os riscos de segurança informática nos SIIPB e proporcionar directivas de gestão e de suporte
para garantir a segurança dos sistemas e tecnologias da informação em termos de integridade,
confidencialidade, disponibilidade, autenticidade, não repúdio, auditabilidade e privacidade da informação
sob a responsabilidade do SIIIPB.
Trata-se de uma abordagem sistematizada para definição de uma política, tendo como objectivo:
•
Enunciar medidas de política de Segurança Informática
•
Definir uma Organização de Segurança Informática.
1
•
Envolver os responsáveis das diversas Unidades Orgânicas do IPB na elaboração de
propostas e comentários a esta Política.
•
Identificar e atribuir responsabilidades em termos de gestão da informação
•
Clarificar o papel e função dos diversos intervenientes.
•
Definir políticas de utilização dos meios tecnológicos e informacionais que o SIIPB coloca
à disposição dos seus colaboradores (internos e externos).
•
Implementar medidas e acções de monitorização, de controlo e avaliação das políticas
de Segurança Informática.
2) ENQUADRAMENTO
As recomendações constantes deste documento seguem de perto as especificações da norma ISO
17799:2005, que estabelece diversos níveis de análise na definição e implementação de uma Política de
Segurança Informática:
•
Política de Segurança
•
Organização da Segurança da Informação
•
Gestão de Activos
•
Segurança dos Recursos Humanos
•
Segurança Física e Ambiental
•
Gestão de Comunicações e Operações
•
Controlo de Acessos
•
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
•
Gestão de Incidentes de Segurança da Informação
•
Gestão da Continuidade de Negócio
•
Conformidade
3) ÂMBITO
As políticas de Segurança Informática e Privacidade dos SIIPB aplicam-se a todas as unidades orgânicas
do IPB. Todos os colaboradores internos (efectivos e não efectivos) e externos, todos os parceiros
externos (organismos/empresas ou indivíduos) que necessitem de utilizar a infra-estrutura informática, as
instalações ou a informação da responsabilidade do SIIPB ou que este alberga, independentemente do
suporte ou formato, encontram-se vinculados e poderão ser responsabilizados pelo não cumprimento das
Políticas de Segurança Informática e Privacidade do SIIPB.
2
CAPÍTULO I - SEGURANÇA DA INFORMAÇÃO
1) O QUE É INFORMAÇÃO
Informação é um conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos
e/ou máquinas em processos comunicativos. A informação pode estar presente ou ser manipulada por
inúmeros elementos deste processo, chamados activos, os quais são alvos de protecção da segurança
da informação.
2) O QUE É UM ACTIVO
Um activo é todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e
processam a informação, a contar com a própria informação, o meio em que ela é armazenada, os
equipamentos em que ela é manuseada, transportada e eliminada.
O termo “activo” possui esta denominação, oriunda da área financeira, por ser considerado um elemento
de valor para o individuo ou organização, e que, por esse motivo, necessita de protecção adequada.
Existem muitas formas de dividir e agrupar os activos para facilitar o seu tratamento: equipamentos,
aplicações, utilizadores, ambiente, informações e processos. Desta forma, torna-se possível identificar
melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentar qualitativamente as
actividades de segurança.
3) O QUE É SEGURANÇA DA INFORMAÇÃO
A informação é um activo, entre outros activos de extrema importância na vida das organizações. A
informação deve ser protegida de maneira que não ocorra a possibilidade de acessos não autorizados,
alterações indevidas ou a sua indisponibilidade.
A Segurança da Informação precisa de considerar o processo de protecção das ameaças à
confidencialidade, integridade e disponibilidade da informação:
•
Confidencialidade – Toda a informação deve ser protegida de acordo com o grau de sigilo do seu
conteúdo, visando à limitação do seu acesso e uso apenas às pessoas para quem ela é
destinada.
3
•
Integridade – Toda a Informação deve ser mantida na mesma condição em que foi
disponibilizada pelo seu proprietário, visando protegê-la contra alterações indevidas, intencionais
ou acidentais.
•
Disponibilidade – Toda a informação gerada ou adquirida por um indivíduo ou instituição deve
estar disponível aos seus utilizadores, no momento em que os mesmos dela necessitem para
qualquer finalidade.
4) POR QUE É NECESSÁRIA A SEGURANÇA DA INFORMAÇÃO
A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais
vulneráveis às ameaças de segurança. A interligação de redes públicas e privadas e a partilha de
recursos de informação aumentam a dificuldade de se controlar o acesso e reduz a segurança.
Muitos sistemas de informação não foram projectados para garantir a segurança, já que, esses sistemas
foram desenvolvidos numa época em que não existia interligação de redes de computadores. A
segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por uma
gestão e procedimentos apropriados. É necessário escolher controlos que permitam a implantação da
segurança, mas para que os resultados sejam alcançados é necessária a participação de todos os
funcionários da organização, sem excluir a participação dos fornecedores e clientes.
5) COMO CLASSIFICAR AS INFORMAÇÕES
Diferentes tipos de informações devem ser protegidas de formas distintas.
Para que isto seja possível a informação precisa de ser classificada. A classificação é um dos primeiros
passos para a implementação de uma política de segurança da informação. Ao classificar a informação a
política pode definir como tratá-la de acordo com a sua classe, escolhendo os mecanismos de segurança
mais adequados.
A informação de uma organização pode ser classificada nos níveis descritos a seguir:
a) Informações públicas: estas informações podem ser divulgadas a qualquer pessoa sem que a
organização seja prejudicada;
b) Informações internas: são informações que não devem sair da organização, mas se isso
acontecer não terá consequências danosas para a organização;
4
c) Informações confidenciais: o acesso a estas informações é realizado conforme a sua
necessidade, só sendo permitido o acesso se as informações forem fundamentais para o
desempenho satisfatório do trabalho.
d) Informações secretas: para este tipo de informação o controlo sobre o uso das informações é
total, o acesso não autorizado é crítico para a organização;
e) Informações ultra-secretas: neste tipo de informação o controlo também é total, pois o acesso
não autorizado é extremamente crítico para a organização.
Estas classificações são dinâmicas, atendendo que as informações consideradas sigilosas em
determinada época podem ser de domínio público futuramente.
6) FACTORES CRÍTICOS DE SUCESSO
A experiência tem mostrado que os seguintes factores são geralmente críticos para o sucesso da
implementação da segurança da informação dentro de uma organização:
a) Uma Política de segurança cujos objectivos e actividades reflictam os objectivos do negócio;
b) Uma implementação da segurança consistente com a cultura organizacional;
c) Comprometimento e apoio visível da direcção;
d) Um bom entendimento dos requisitos de segurança, avaliação de risco e gestão de risco;
e) Uma divulgação eficiente da segurança para todos os gestores e funcionários;
f)
Uma distribuição das directrizes sobre as normas e política de segurança da informação para
todos os funcionários e fornecedores;
5
CAPÍTULO II - AVALIAÇÃO DOS RISCOS DE SEGURANÇA
Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos. As
técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela,
que para neste caso, o foco da avaliação será apenas aos SIIPB.
O risco é a probabilidade das ameaças explorarem as vulnerabilidades, provocando perdas de
confidencialidade, causando possivelmente, impactos negativos na organização.
Com os resultados obtidos na avaliação de risco é possível direccionar e determinar as acções e
prioridades mais adequadas para a gestão dos riscos da segurança e seleccionar os controlos a serem
implementados para a protecção desses riscos.
É importante que as análises críticas sejam executadas em diferentes níveis de profundidade,
dependendo dos resultados obtidos nas avaliações de riscos.
Para uma sequência correcta de verificação das vulnerabilidades, deve-se em primeiro lugar, avaliar os
riscos a um nível mais geral, dando ênfase a áreas com maior risco, e seguida, avaliar os riscos a um
nível mais detalhado, com o objectivo de identificar e solucionar riscos mais específicos.
Nesse sentido, foi realizado um inquérito/diagnostico preliminar da Segurança nos Sistemas de
Informação do IPB aos 3 responsáveis pelos 3 centros dos SIIIPB, que resultou no inquérito que consta
no Anexo II.
Após a analise do inquérito/diagnostico, decidiu-se efectuar uma análise mais profunda as questões de:
segurança da rede (arquitectura), segurança do hardware, segurança física do centro de dados e a
segurança lógica; seguindo o seguinte critério de classificação de risco:
•
Risco muito elevado – Gera situações muito graves, de difícil recuperação, ou irrecuperáveis.
•
Risco elevado – Situações de impacto elevado na instituição, mas de efeitos recuperáveis, numa
janela temporal mais ou menos dilatada.
•
Risco pouco elevado – Situações de consequências pouco elevadas e de efeitos recuperáveis
num curto espaço de tempo
6
1) SEGURANÇA DA REDE
1.1) Rede do IPB
A rede de dados do Instituto Politécnico de Bragança interliga actualmente todos edifícios do Campus de
Sta Apolónia, da escola Superior de Tecnologia e de Gestão de Mirandela (ESTGM) e da Escola Superior
de Saúde (ESSA).
O Centro de Comunicações do SIIPB é responsável por administrar, operar e desenvolver o backbone de
rede do IPB e a infra-estrutura rede WIFI. Cada unidade orgânica possui redes ligadas ao Backbone do
IPB, que as gerem de acordo com normas estabelecidas (mais ao nível de endereçamento) pelos SIIIPB.
O backbone do IPB (Anexo III) interliga as diferentes Unidades Orgânicas:
•
A Escola Superior Agrária (ESA), que para além do edifício principal, utiliza um conjunto de
edifícios secundários, nas proximidades do primeiro, localizados no Campus de Sta Apolónia,
interligados por fibra óptica. Apenas o edifício de apoio às estufas liga-se à rede do IPB através
de uma ligação sem fios ponto-a-ponto com a Escola Superior de Saúde.
•
A Escola Superior de Tecnologia e de Gestão (ESTiG), possui apenas um edifício situado no
Campus de Sta Apolónia e está ligado à rede do campus por fibra óptica.
•
A Escola Superior de Educação (ESE), possui apenas um edifício situado no Campus de Sta
Apolónia e está ligado à rede do campus por fibra óptica.
•
A Escola Superior de Tecnologia e Gestão de Mirandela (ESTGM), que ocupa três edifícios
(edifício Principal, edifício da Central e edifício da PT), espalhados pela cidade de Mirandela.
Interligados entre si, através de ligações sem fios ponto-a-ponto. No edifício principal existe um
circuito dedicado para o Campus de Sta Apolónia, em Bragança.
•
A Escola Superior de Saúde (ESSA), que se situa em Bragança, num edifício próprio, fora do
Campus de Sta Apolónia. Uma ligação sem fios em feixe óptico recorrendo a um ponto
intermédio, (silos) liga a ESSA ao Campus de Sta Apolónia.
•
Os Serviços de Acção Social (SAS), que disponibilizam três residências de estudantes aos
alunos do IPB, em Bragança. A Residência Verde e a Residência da Escadaria localizam-se no
Campus de Sta Apolónia e estão ligadas à rede do campus por fibra óptica. A terceira,
Residência Gulbenkian, liga-se ao campus por uma ligação sem fios, ponto-a-ponto, com a
Residência Verde.
•
Os Serviços Centrais não possuem edifício, encontrando-se o grosso dos seus serviços no
edifício principal da ESA, nomeadamente o Centro de Informática e Centro de Informação e
7
Desenvolvimentos dos SIIPB. O Centro de Comunicações dos SIIIPB encontra-se no edifício da
ESTiG.
1.2. Avaliação do Risco
Para alem das ameaças inerentes aos equipamentos activos de rede observados no ponto 5.3, da
análise da topologia de rede, verifica-se a inexistência de circuitos redundantes entre os edifícios e de
uma linha de backup de ligação ao exterior (Internet). A ameaça de avaria de um equipamento de rede
ou de corte de FO ou de problemas na conectividade com o fornecedor de ISP, torna a rede vulnerável a
existência a falhas de serviços de comunicações. Risco Elevado.
2) SEGURANÇA DO HARDWARE
2.1. Servidores e Equipamentos Activos de Rede
O Centro de Comunicações dos SIIPB é responsável pela gestão e manutenção dos equipamentos
activos de rede do Backbone (Anexo III) e pelos Servidores Aplicacionais do IPB (Anexo IV).
Os equipamentos de rede dão resposta às necessidades actuais de comunicações (Gigabit ethernet) ao
nível da qualidade de serviço e prioritização de tráfego.
Relativamente aos servidores, existe sobrecarga no de correio electrónico de alunos e de funcionários.
Esta situação é causada principalmente pelo grande volume de mensagens trocadas com anexos de
ficheiros multimédia. Os demais servidores satisfazem cabalmente as necessidades.
2.2. Postos de Trabalho – PC’s
Os postos de trabalho dos Serviços Centrais são administrados pelo Centro de Informática do IPB. São
PC’s com processadores Pentiun III e Pentiun IV, e com sistemas operativos Windows 2002 e Windows
XP respectivamente. Como medida de segurança, as contas têm perfil de utilizador restrito. O que não
permite a instalação de qualquer programa sem o prévio consentimento do Centro de Informática. Os
colaboradores dos SIIIP são responsáveis pela administração dos seus próprios PC’s.
2.3. Avaliação do Risco
Nos postos de trabalho, o risco é mínimo.
Para a avaliação de risco dos servidores e dos equipamentos activos de rede, foi elaborado um mapa
(Anexo V) que identifica as ameaças e vulnerabilidades do hardware do centro de comunicações SIIPB.
Da análise verifica-se que as principais ameaças relacionam-se com problemas de segurança física do
Centro de Dados com as consequentes vulnerabilidades, cujo risco é analisado posteriormente, mas que
poderia ser minorado com a extensão da apólice de seguros a todos os equipamentos e, se possível, a
realização de contratos de manutenção. Neste sentido, o risco é muito elevado, relativamente às
ameaças e vulnerabilidades identificadas.
8
3.) SEGURANÇA FÍSICA DO CENTRO DE DADOS
3.1) Localização
O Centro de Dados do IPB situa-se no Centro de Comunicações dos SIIIBP, numa área adoptada para o
efeito, no piso 1, do edifício da Escola Superior de Tecnologia e Gestão, em Bragança.
3.2) Área ocupada
Relativamente à área ocupada verifica-se claramente diminuta para o volume de equipamentos
instalados, e, insuficiente para o crescimento previsto para os próximos anos.
3.3) Controlo de Acessos
Relativamente ao controlo de acessos, o risco é muito elevado atendendo ao seguinte:
•
Não existe qualquer equipamento de controlo de acesso;
•
A porta que dá acesso ao Centro de Comunicações dos SIIIPB, é frágil e dá acesso ao corredor
das salas de aula;
•
O acesso ao piso 1 pode ser feito por diversas portas durante o dia, existindo apenas
“segurança” na porta principal;
•
Durante a noite o acesso ao Edifício é feito pela porta principal. Depois de passar pelo segurança
não existe mais nenhuma barreira, o que permite a circulação de Alunos e Docentes no corredor
de acesso ao CCOM.
3.4) Incêndio
Neste aspecto, a área ocupada pelo centro de comunicações é completamente irregular. O risco é
elevado pelas razões que a seguir se indicam:
•
Não existe sistema de detecção de fumo e calor;
•
Não existe um sistema automático de extinção de incêndio, apenas dois extintores nas paredes;
•
Não existe inspecção de certificação do corpo de Bombeiros e Protecção Civil;
•
Não existe um plano de emergência e evacuação em caso de incêndio;
3.5) Controlo térmico e condicionamento de ar
O Centro de Comunicações não esta correctamente equipado. Existe um aparelho de ar condicionado,
bem dimensionado e com capacidade de refrigeração adequada. Mesmo assim, esta é a questão mais
critica e que apresenta neste momento o risco mais elevado, pelas razões seguintes:
9
•
Em caso de avaria do aparelho de ar condicionado, todos os servidores e componentes activos
de rede devem ser desligados, até à sua reparação ou substituição;
•
A inexistência de um sistema de monitorização ambiental, significa que nenhum alerta será
produzido em caso de alterações com a temperatura e humidade, resultantes da avaria do ar
condicionado, originado o aquecimento excessivo dos equipamentos e na sua danificação.
3.6) Chão Falso
Não existe chão falso, o que dificulta a passagem de cabos eléctricos de rede. O risco é pouco elevado.
3.7) UPS e Gerador
Existe 1 UPS no Centro de Comunicações e não existe gerador de corrente para suporte prolongado de
falta de corrente. O risco é elevado, não pela insistência do gerador, mas por não existir uma UPS
redundante.
3.8) Plano de Contingência para o Centro de Dados
Não existe um plano de contingência. O risco é elevado.
4.) SEGURANÇA LÓGICA
4.1) Firewall
Todas as redes administradas pelo CCOM estão protegidas por firewall. O Risco é baixo.
4.2) Antivírus
Todos os servidores com sistemas operativos vulneráveis possuem antivírus. O Risco é Baixo.
4.3) Autenticação e Controlo de Acessos
A autenticação é feita no LDAP. Na maioria dos casos onde é necessário fazer autenticação o canal de
comunicação com o LDAP e com o cliente está protegido por um canal seguro, mas ainda existem alguns
casos especialmente na comunicação com o LDAP onde a comunicação passa em claro. Risco elevado.
4.4) Criptografia
Existem apenas certificados para os serviços que requerem autenticação. O Risco é pouco elevado
atendendo à inexistência de uma infra-estrutura de chaves públicas
4.5) Virtual Private Network - VPN
10
O acesso exterior a recursos normalmente disponíveis apenas dentro do Campus do IPB, é feito por
VPN. O Risco é pouco elevado.
4.6) Detecção de Intrusões
Existe protecção contra alguns tipos de intrusão, mas não existe nenhum sistema de detecção de
intrusões. O Risco é Elevado.
4.7) Sistema de Backup’s
Relativamente ao sistema de backup’s o risco é bastante elevado atendendo às condicionantes
seguintes:
•
As tapes das cópias totais (full Backup) e cópias incrementais (incremental Backup) ficam
depositadas no Centro de Comunicações de terça-feira à terça-feira da semana seguinte. É feita
uma cópia total às terças-feiras à noite e nos dias seguintes uma cópia incremental baseada na
cópia total. O risco é muito, muito elevado, porque em caso de catástrofe e destruição Centro
de Comunicações, perde-se toda a actividade realizada durante a semana.
•
As tapes das cópias totais (full Backup) e incrementais (incremental Backup) da semana anterior,
são depositadas às terças-feiras no Centro de Informática que se situa noutro edifício. O risco é
muito elevado, uma vez que o armazenamento das tapes de backup não é efectuado em local
com segurança apropriada (gaveta normal). O seu transporte sofre também de deficiências, uma
vez que não é utilizado um meio adequado.
•
A rotação das tapes de Backup’s é semanal, no entanto, não está estipulado um prazo máximo
de utilização das tapes (para serem destruídas e substituídas por novas). O risco é mínimo
atendendo a verificação diária de erros de backup’s.
•
Não existe ambiente de testes que possibilite a verificação e teste efectivo relativamente à
funcionalidade dos restauros. O risco é elevado.
11
CAPÍTULO III - DEFINIÇÃO DA POLÍTICA
As metodologias, políticas, responsabilidades, regras e medidas de segurança descritas nos pontos
seguintes, têm como objectivo ajudar os colaboradores do SIIPB, a desenvolver e concretizar estratégias
que permitam proteger e garantir a disponibilidade, integridade e confidencialidade dos dados, a utilizar e
manipular os recursos que o IPB disponibiliza. Desta forma contribui-se para o fomento de uma “cultura
de segurança informática” em que as componentes segurança, privacidade e confidencialidade dos
dados e dos sistemas informáticos, bem como a segurança das pessoas e bens, se encontram
protegidas e salvaguardadas.
1) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Objectivo: Prover uma orientação e apoio para a segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações relevantes. Convém que a direcção do IPB estabeleça uma
política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão
e manutenção de uma política de segurança da informação para toda organização.
1.1) Política de segurança da informação
1.1.1) Documentação da Política de Segurança da Informação
a) A direcção do IPB é a entidade responsável por aprovar e publicar o documento “Política de
Segurança Informática e Privacidade”, que contém uma definição clara da estratégia da Política
de Segurança Informática e Privacidade para o SIIPB.
b) Todas as políticas, processos e procedimentos, têm que ser emanados de forma eficaz a todos
os colaboradores do SIIPB e do IPB, devendo para tal optar-se por meios de divulgação
claramente identificados e do conhecimento de todos.
c) Todas as excepções às políticas de Segurança Informática e Privacidade do SIIPB terão que ser
submetidas a aprovação junto do órgão Conselho de Segurança Informática e Privacidade,
devidamente formatadas e documentadas.
1.1.2) Revisão da Política de Segurança da Informação.
O Gabinete de Segurança é responsável pela revisão do documento da Política de Segurança
Informática e Privacidade. Esta revisão deve ser efectuada sempre que se justifique, com uma
periodicidade, no mínimo, anual.
2) ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Objectivos: Gerir a segurança da informação na organização. Convém que uma estrutura de gestão seja
estabelecida para iniciar e controlar a implementação da segurança da informação dentro da
12
organização. Pretende-se a criação de fóruns orientados à gestão, mediante a liderança da direcção,
onde se privilegie o debate de sensibilidades por forma a estruturar a política de segurança da
informação, atribuir as funções da segurança bem como coordenar e difundir a implementação da
segurança através da organização.
2.1) Infra-estrutura da segurança da informação
2.1.1) Comprometimento da direcção com a segurança da informação
a) De acordo com a alínea b) do artigo 1º da Resolução do Conselho de Ministros nº 5/90 de 28 de
Fevereiro de 1990, cabe aos directores dos estabelecimentos, das empresas, dos organismos ou
serviços, a protecção dos dados, programas, instalações, material informático, pessoal e
comunicações contra quebras de segurança.
b) A direcção do IPB deve aprovar, publicar e difundir o documento “Políticas de Segurança da
Informação”.
2.1.2) Coordenação da segurança da informação
Deve ser criado o Conselho de Segurança Informática e Privacidade (CSIP) que tem como
missão criar as condições para que a função Segurança Informática e Privacidade seja
implementada de uma forma transversal ao IPB (horizontal e verticalmente) manifestando a sua
influência em todas as actividades desenvolvidas pela globalidade das unidades orgânicas do
IPB. O objectivo primeiro do CSIP é a criação e sistematização de uma hierarquia com
responsabilidades na definição e avaliação do cumprimento das políticas, processos e
procedimentos de segurança informática e privacidade aprovados no IPB.
2.1.3) Atribuição de responsabilidades para a segurança da informação
a) O Gabinete de Segurança Informática tem as seguintes responsabilidades:
•
Definir, mediante estudos/diagnósticos, e propor a aprovação, as normas e procedimentos de
segurança activa e passiva das instalações e equipamentos;
•
Estudar e propor as normas e procedimentos de segurança informática;
•
Promover o cumprimento das normas e procedimentos de segurança estabelecidos, numa
perspectiva integrada;
•
Elaborar propostas para o sistema de classificação da informação;
•
Realizar acções de auditoria e monitorização, acompanhamento e avaliação do cumprimento
das normas e procedimentos de segurança,
•
A revisão, a manutenção e publicitação do documento “Política de Segurança Informática e
Privacidade”, junto de todos os interessados.
b) Os responsáveis/gestores de Informação têm como incumbência zelar pela gestão dos activos de
informação e pelo cumprimento das obrigações legais derivadas da lei n.º 67/98, de 26 de
Outubro, Lei da Protecção de Dados Pessoais.
13
2.1.4) Processo de autorização para os recursos de processamento da informação
O uso de equipamento pessoal para processamento de informação no ambiente de trabalho pode
trazer novas vulnerabilidades e, por esta razão, tem de ser analisado e autorizado. Excepções
para determinados tipos de equipamento como, por exemplo, agendas electrónicas, têm de ser
aprovadas pelo Gabinete de Segurança Informática.
2.1.5) Acordos de confidencialidade
Os acordos de confidencialidade e não-revelação endereçam o requisito de protecção da
informação confidencial de modo a que a organização esteja em conformidade com os termos da
lei. Os requisitos de confidencialidade e não-revelação são revistos periodicamente e quando
ocorrem alterações que influenciem esses requisitos.
2.2) Partes externas
2.2.1) Identificação dos riscos relacionados com partes externas
Os contratos com empresas ou particulares, que incluam acesso à Informação, à infra-estrutura
e/ou às instalações do SIIPB, têm de conter cláusulas de Segurança Informática e Privacidade a
serem cumpridos por todos os seus colaboradores. Ainda que tais cláusulas possam resultar de
um conjunto tipo predefinido, os riscos têm de ser avaliados de forma a identificar possíveis
cláusulas específicas.
2.2.2) A segurança da informação orientada aos alunos e clientes
As políticas de Segurança Informática e Privacidade aplicam-se a todos os alunos e clientes que
necessitem de utilizar a infra-estrutura informática, as instalações ou a informação sob a
responsabilidade do SIIPB.
2.2.3) A Segurança da informação nos acordos com terceiros
As políticas de Segurança Informática e Privacidade reflectem-se nos acordos com todos os
parceiros externos - organismos/empresas ou indivíduos - que necessitem de utilizar a infraestrutura informática, as instalações ou a informação sob a responsabilidade do SIIPB.
3) CLASSIFICAÇÃO E CONTROLO DE ACTIVOS
Objectivo: Alcançar e manter a protecção adequada dos activos da organização. Convém que todos os
principais activos de informação sejam inventariados e tenham um proprietário responsável. O inventário
dos activos ajuda a assegurar que a protecção está sendo mantida de forma adequada.
3.1) Responsabilidade pelos activos
3.1.1) Inventário dos activos
a) Todos os activos informáticos do IPB encontram-se inventariados. Existe um processo de gestão
do inventário suportado pela aplicação de ERP GIAF, devidamente documentado.
14
b) Todos os activos de informação, propriedade do IPB, são objecto de registo devidamente
actualizado com indicação dos seus detentores, identificando as respectivas responsabilidades
na sua utilização, para além da classificação, aprovação e documentação do seu nível de
segurança, quando aplicável.
3.1.2) Proprietário dos activos do SIIPB
Existe apenas um proprietário/gestor por cada activo de informação, indicado pelo responsável
técnico dos SIIPB, e registado na aplicação de ERP GIAF.
3.1.3) Uso aceitável dos activos
Deve existir uma Política de Utilização Aceitável para todos os activos e para todas as áreas que
contenham informação crítica do IPB, actualizada periodicamente.
4) SEGURANÇA EM RECURSOS HUMANOS
Objectivo: Assegurar que os funcionários, fornecedores e terceiros entendam as suas responsabilidades
e estejam de acordo com os seus papéis. Reduzir os riscos de erro humano, roubo e fraude. Convém
que as responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos
e monitorizadas durante a vigência de cada contrato.
4.1) Antes da Contratação
4.1.1) Papéis e responsabilidades
Durante o processo de selecção deve ser bem claro para o potencial colaborador a filosofia de
funcionamento dos SIIPB, quais os objectivos e responsabilidades inerentes à função, incluindo a
componente de segurança.
4.1.2) Selecção
A verificação de antecedentes deverá ser cuidadosamente equilibrada com a função em causa,
principalmente, se a componente de segurança constituir o ponto central das funções a
desempenhar.
4.1.3) Termos e condições de contratação
a) No acto da contratação do novo funcionário, será transmitida a Política de Segurança e
Privacidade em vigor no IPB, que será lida pelo novo funcionário e assinada, assinalando deste
modo, a sua aceitação.
b) Os contratos com empresas ou particulares, que incluam acesso à Informação, à infra-estrutura
e/ou às instalações do SIIPB, têm de conter cláusulas de Segurança Informática e Privacidade a
serem cumpridas por todos os seus colaboradores.
4.2) Durante o desempenho de funções
4.2.1) Responsabilidades da direcção
15
A direcção do IPB deve requerer aos seus funcionários, fornecedores e terceiros uma conduta de
acordo com as políticas e procedimentos estabelecidos da organização.
4.2.2) Consciencialização, educação e formação em segurança da informação
a) Todos os colaboradores dos SIIPB e utilizadores dos seus serviços são responsáveis pela
segurança e privacidade da informação.
b) Todos os colaboradores dos SIIPB devem receber formação em segurança informática e
privacidade da informação, de forma a garantir que estão cientes dos riscos e ameaças, e que
estão preparados para cumprir com as suas obrigações no decurso do seu trabalho diário.
c) Os SIIPB em conjunto com a Secção de Pessoal deverão elaborar um plano de formação em
segurança e privacidade da informação, compreendendo também a formação sobre a correcta
utilização das Tecnologias de Informação, a todos os colaboradores operacionais do IPB.
4.2.3) Processo disciplinar
A violação das Políticas de Segurança Informática e Privacidade do SIIPB está sujeita ao
levantamento de acções disciplinares, ajustadas à natureza da violação cometida.
4.3) Fim de contrato
4.3.1) Encerramento de actividades
A cessação da prestação de serviços de colaboradores do IPB, fornecedores ou utilizadores deve
ser comunicado aos SIIPB.
4.3.2) Devolução de activos
O colaborador dos SIIPB na cessação da prestação de serviços, deve entregar todo o
equipamento que lhe foi afecto.
4.3.3) Retirada de direitos de acesso
Na cessação da prestação de serviços de colaboradores, fornecedores ou utilizadores são
removidos de todos os privilégios de acesso aos serviços disponibilizados pelos SIIPB.
5) SEGURANÇA FÍSICA E AMBIENTAL
Objectivo: Prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da
organização.
Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do
negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com
barreiras de segurança apropriadas e controlo de acesso.
Convém que estas áreas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.
5.1) Áreas seguras
5.1.1) Perímetro de segurança
16
a) As áreas onde se situam os equipamentos e a informação mais crítica do IPB estão identificadas,
de forma a se implementar barreiras e controlos de segurança mais rígidos e inibir o acesso de
pessoal não autorizado às zonas mais sensíveis.
b) Toda a informação confidencial utilizada em equipamentos de suporte (impressoras,
fotocopiadoras e faxes) é alvo de especiais medidas de segurança, podendo ser equacionada a
necessidade de colocar esses equipamentos em locais seguros de acesso restrito e controlado.
5.1.2) Controlos de entrada física
a) É proibido o acesso de pessoal não autorizado pelos SIIPB ao “Data Center” situado no CCOM,
área onde estão colocados os servidores e os equipamentos relativos às comunicações internas
e externas. Quando autorizados, o acesso só e só pode ser feito com o acompanhamento
permanente de pelo menos um colaborador do CCOM.
b) A área ocupada pelos SIIPB é considerada reservada e deverá manter-se fechada fora das horas
de serviço. O seu acesso só pode ser feito com conhecimento prévio dos SIIPB, com a excepção
do pessoal de vigilância e limpeza.
c) Deverá ser implementado um sistema de controlo de acessos, por perfis e com registos de
entradas e saídas.
5.1.3) Protecção contra ameaças externas e do meio ambiente
A protecção física contra desastres naturais, como fogo, inundação e explosão, entre outros, tem
de ser desenhada e implementada.
5.1.4) Acesso do público, áreas de entrega e de carregamento
As áreas de cargas e descargas são controladas e isoladas das instalações de processamento
da informação, com o objectivo de evitar acessos não autorizados. Os requisitos de segurança
são determinados a partir de uma análise de risco.
5.2) Segurança de equipamentos
5.2.1) Instalação e protecção do equipamento
a) Nenhum equipamento, informação de acesso reservado, software ou media, pode ser retirado
das instalações do SIIPB sem que para tal exista uma autorização por escrito. Esta medida
pretende assegurar que o equipamento, o software e a informação, registada em qualquer tipo de
media, que são propriedade do IPB, ou estão à sua guarda, desapareçam ou sejam utilizados
para fins não autorizados.
b) Todos os equipamentos, designadamente servidores e equipamentos activos de rede deverão
estar ligados a uma unidade de alimentação ininterrupta (UPS), que garanta o seu
funcionamento, em caso de falha de energia eléctrica, durante o tempo suficiente para efectuar o
shutdown dos sistemas.
5.2.3) Segurança da cablagem
17
a) Deve ser mantido actualizado o plano da rede de cabos. Deste plano deve constar todas as
ligações, local dos bastidores, das tomadas, dos locais de passagem dos cabos e tipo de
cablagem.
b) A instalação eléctrica deverá ser feita de modo a estar em conformidade com as especificações
do fabricante, prevenir danos aos equipamentos e garantir um fornecimento seguro de energia. A
instalação eléctrica tem de estar em conformidade com as normas e legislação vigentes em
Portugal.
5.2.4) Manutenção dos equipamentos
Tem de ser efectuada uma manutenção correcta dos equipamentos, de forma a garantir a
disponibilidade e integridade contínua dos mesmos.
5.2.6) Reutilização e alienação segura de equipamentos
Toda a informação não pública ou software licenciado é definitivamente apagado dos suportes de
armazenamento reutilizáveis antes de estes serem entregues para destruição, retoma ou
substituição.
6) GESTÃO DE OPERAÇÕES E COMUNICAÇÕES – REDES E COMPUTADORES
Objectivo: Garantir a operação segura e correcta dos recursos de processamento da informação.
Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de
processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos
operacionais apropriados e de resposta a incidentes.
6.1) Procedimentos e responsabilidades operacionais
6.1.1) Documentação dos procedimentos de operação
Os documentos e os sistemas de documentação têm de ser mantidos em local seguro, com
acesso reduzido ao mínimo e sempre autorizado pelo proprietário da aplicação. Caso este
sistema se encontre ou interaja com uma rede pública tem de ser protegido adequadamente.
6.1.2) Gestão de mudanças
A organização deve verificar a implementação dos acordos, monitorizar a sua conformidade e
gerir as alterações de modo a garantir que os serviços entregues estão em conformidade com
todos os requisitos acordados com o terceiro.
6.1.3) Segregação de funções
As responsabilidades têm de ser apropriadamente distribuídas de forma a eliminar as
oportunidades de modificações não autorizadas. É importante que a auditoria da segurança
permaneça como uma actividade independente. A entidade que organiza um processo de
negócios deve ser separada da entidade que o executa.
18
6.1.4) Separação dos recursos de desenvolvimento, teste e de produção
Tem
de
existir
uma
clara
separação
entre
os
ambientes/sistemas
utilizados
para
Desenvolvimento, para Testes (funcionais e de pré-produção) e para Produção contribuindo para
manter a integridade de todos os ficheiros aplicacionais de dados e de sistemas, durante as
diferentes fases do ciclo de vida.
6.2) Gestão de serviços de Outsourcing
6.2.1) Entrega de serviços
Devem ser estabelecidos critérios de aceitação para os novos sistemas e aplicações de TIC,
actualizações e novas versões. Devem ser efectuados testes apropriados aos sistemas antes da
sua aceitação.
6.2.2) Monitorização, análise e gestão de mudanças para serviços de Outsourcing
Devem ser implementados mecanismos para garantir o nível adequado de segurança da
informação e serviço prestado. Estes mecanismos têm de estar em linha com os acordos
existentes de prestação de serviços de terceiros. A organização deve verificar a implementação
dos acordos, monitorizar a sua conformidade e gerir as alterações de modo a garantir que os
serviços entregues estão em conformidade com todos os requisitos acordados com o terceiro.
6.3) Planeamento e aceitação dos sistemas
6.3.1) Gestão de capacidade
Deve-se minimizar o risco de falhas dos sistemas informáticos através de um correcto
dimensionamento da infra-estrutura disponível.
6.3.2) Aceitação de sistemas
Devem ser estabelecidos critérios de aceitação para os novos sistemas e aplicações de TIC,
actualizações e novas versões. Devem ser efectuados testes apropriados aos sistemas antes da
sua aceitação.
6.4) Protecção contra códigos maliciosos e códigos móveis
6.4.1) Códigos maliciosos
Têm de ser implementados controlos para a detecção e prevenção de programas maliciosos,
assim como os procedimentos para a devida consciencialização dos utilizadores. A protecção
contra programas maliciosos deve ser baseada na consciencialização de segurança, no controlo
de acessos adequado e nos mecanismos de gestão de alterações.
6.4.2) Códigos móveis
Todos os códigos móveis devem ser devidamente testados do ponto de vista da segurança, e
sempre que possível executados em máquinas virtuais ou em ambientes seguros, por forma a
garantir que este tipo de código não possa copiar, apagar ou alterar dados não autorizados de
um computador ou sistema.
19
6.5) Cópias de segurança
6.5.1) Cópias de segurança da informação
a) Os suportes magnéticos que contenham cópias (salvaguardas) de informação considerada crítica
estão devidamente identificados com informação do conteúdo e nível de segurança e guardados
em cofres anti-fogo e anti-magnéticos, suficientemente distantes do CPD ou dos servidores que
lhes deram origem.
b) Todas as cópias de segurança dever ser realizadas de acordo com o definido no plano de copias
de segurança.
c) Todos os procedimentos de cópia e restauro devem estar devidamente documentadas.
d) Deve-se validar regularmente as cópias de segurança e testar o seu restauro.
6.6) Gestão da segurança em redes
6.6.1) Controlos de redes
a) Cada administrador deve ser responsável pelas redes sob sua administração.
b) A gestão dos equipamentos de rede que constituem o Backbone do IPB á da responsabilidade do
Centro de Comunicações dos SIIPB.
c) Devem ser implementados mecanismos de salvaguarda da integridade e confidencialidade nas
redes públicas e redes wifi usando Firewall’s e Vlan’s
6.6.2) Segurança dos serviços de redes
a) A rede do IPB é segmentada em diferentes redes virtuais (VLAN’s). As condições de acesso do
exterior de cada uma destas redes varia de acordo com a criticidade da informação/serviço a
aceder.
b) É proibido o uso de modems ou equipamentos equivalentes para ligação de computadores da
rede do IPB a redes externas, com excepção das situações devidamente autorizadas pelo
responsável do pelouro de Segurança Informática e Privacidade.
c) Só é permitido o acesso à Rede Wi-Fi do IPB com equipamentos (placas de rede) certificados e
aprovados de acordo com a legislação em vigor.
d) Não é permitida a instalação de Pontos de Acesso Wi-Fi nas Instalações do IPB (Campus de Sta
Apolónia, Escola Superior de Saúde e Escola Superior de Tecnologia e Gestão de Mirandela)
sem conhecimento prévio e autorização expressa do CCOM.
e) A utilização de outros equipamentos que operem na banda dos 2.4 GHz nas Instalações do IPB
deve ser precedida de comunicação ao CCOM, para prévia verificação de possíveis
interferências com a Rede Wi-Fi do IPB.
6.7) Tratamento e segurança de suportes da informação
6.7.1) Gestão dos suportes informáticos removíveis
20
Dependendo da classificação da informação que albergam, todos os meios de armazenamento
têm de estar sujeitos a procedimentos de segurança durante o seu transporte, armazenamento,
etiquetagem, distribuição, manuseamento e destruição.
6.7.2) Eliminação dos suportes da informação
Devem ser definidos procedimentos para a eliminação dos meios de armazenamento da
informação por tipo de suporte, de forma a garantir a impossibilidade de recuperação de
informação.
6.8) Transacção de informações
6.8.1) Políticas e procedimentos para a troca de informações
A informação considerada confidencial, quando em trânsito entre sistemas situados em locais
diferentes ou que se encontre armazenada em computadores portáteis deverá ser protegida
através de sistemas de criptografia. Quando se encontra em forma escrita deverá ser protegida
através de protecções físicas adequadas.
6.8.2) Acordos para a troca de informações
A troca de informação em suporte físico ou lógico com outras entidades externas só será feita
após a definição de um protocolo ou política sobre os termos da comunicação e sobre as
restrições à utilização dessa informação.
6.8.3) Segurança no correio electrónico
a) O acesso ao correio electrónico é autenticado com base nas credenciais dos utilizadores
armazenadas no directório central de autenticação (LDAP) e todo o processo de autenticação é
protegido por um túnel SSL.
b) O envio deverá ser autenticado pelas credenciais do utilizador e todo o processo de autenticação
é protegido por um túnel SSL.
6.9) Serviços On-line
6.9.1) Transacções on-line
A necessidade de garantir a confidencialidade e a integridade de determinadas mensagens
aconselha a implementação de mecanismos de cifragem\decifragem e de assinaturas digitais.
6.9.2) Informações publicamente disponíveis
Toda a informação disponibilizada nos sistemas de acesso público (Web Servers) tem de ser
sujeita a um processo de aprovação junto do seu proprietário/gestor.
6.10) Monitorização
6.10.1) Registros de auditoria
21
Os sistemas têm de ser monitorizados para detectar desvios face à política de controlo de
acessos e gravar eventos monitorizáveis para fornecer evidência no caso de existirem incidentes
de segurança.
6.10.2) Monitorização de uso do sistema
A utilização de ferramentas de captura de tráfego para monitorização só pode ser efectuada por
colaboradores do SIIPB devidamente autorizados pelo membro da direcção do IPB, responsável
pelo pelouro de Segurança Informática e Privacidade.
6.10.3) Protecção das informações dos registos (log);
Os registos são guardados por máquina e num repositório central, a que apenas os
administradores dos sistemas têm acesso.
6.10.4) Registos (log) de administrador e operador;
a) Os registos de administrador são apenas acedidos pelo administrador dos sistemas e são
auditados regularmente ou no caso de detecção de uma anomalia.
b) Os registos do operador devem estar protegidos contra modificações pelo operador. Devem ser
auditados regularmente ou no caso de detecção de uma anomalia pelo administrador de
sistemas.
6.10.5) Registos (log) de falhas;
Registos de falhas são apenas acedidos pelo administrador dos sistemas e são auditados
regularmente ou caso de detecção de uma anomalia.
6.10.6) Sincronização dos relógios
a) É importante a correcta configuração dos relógios dos computadores para assegurar a precisão
dos registos de ocorrência (hora e data) que podem ser necessários para investigações.
b) Os relógios devem ser sincronizados com o servidor NTP do IPB que por sua vez está
sincronizado com o servidor de NTP da FCCN.
7) GESTÃO DE ACESSOS
Objectivo: Controlar o acesso à informação. O acesso às infra-estruturas e às aplicações é feito através
do fornecimento de credenciais que autentica o utilizador e delimita o acesso.
7.1) Controlo de acessos
7.1.1) Política de controlo de acessos;
a) As necessidades do controlo de acessos têm de ser definidas, documentadas e publicadas. As
regras e direitos do controlo de acessos para cada utilizador ou grupo de utilizadores têm de
estar descritas de um modo claro na declaração das políticas de acesso.
22
b) Têm de ser implementados mecanismos de controlo de acesso lógico às redes, sistemas,
aplicações e dados de acordo com a criticidade dos mesmos e o risco associado à perda,
divulgação, corrupção ou apropriação da mesma.
7.2) Gestão de Acessos dos utilizadores
7.2.1) Registo de utilizadores
a) Todas as contas de funcionários e colaboradores só poderão ser criadas no LDAP após
confirmação da secção de pessoal do IPB.
b) Todas as contas de alunos são criadas no LDAP no acto da 1ª matrícula, através de um processo
automático que interage com os serviços académicos.
c) Todos os serviços electrónicos do IPB devem possuir mecanismos de registo de utilizadores que
utilizem o sistema de autenticação no LDAP.
d) Todas as contas de funcionário ou colaborador têm de ser imediatamente desactivadas após
terminar ou ser suspendido o vínculo contratual ou de colaboração com IPB.
e) As contas de “antigos alunos” deverão apenas continuar activas para alguns serviços que
constem de regulamento próprio e desactivados todos os restantes.
7.2.2) Gestão de privilégios
a) Os privilégios apenas podem ser concedidos à medida das reais necessidades dos utilizadores.
Devem ser definidos os requisitos mínimos para os utilizadores e atribuir privilégios adicionais
apenas quando necessário.
b) Tem de ser mantido um registo de todos os privilégios concedidos e do processo de autorização.
7.2.3) Gestão da senha
a) Todos alunos e funcionários têm um identificador, pessoal e intransmissível e uma senha
confidencial, que os identificará univocamente.
b) Todos os alunos deverão activar a senha através de um código utilizador (login) e referência
atribuída pelos serviços académicos após a 1ª matricula juntamente com o número do BI.
c) Todos os funcionários deverão activar a senha dirigindo-se ao Centro de Comunicações dos
Serviços de Informática do IPB.
d) Todos os utilizadores devem mudar a senha regularmente. Devem existir mecanismos
automáticos que obriguem a mudança de senha.
7.2.4) Análise crítica dos direitos de acesso de utilizadores
Para manter um controlo efectivo de acesso aos dados e serviços disponibilizados, deve existir
um processo formal que garanta que são efectuadas revisões periódicas aos direitos dos
utilizadores. Os direitos dos utilizadores têm de estar documentados e armazenados
centralmente.
7.3) Responsabilidade dos utilizadores
7.3.1) Uso de senhas
23
a) Cada utilizador é responsável pelo bom uso das suas contas, consequentemente pela
salvaguarda da respectiva senha.
b) Têm de existir regras quanto à utilização e gestão das senhas dos utilizadores, devidamente
ajustadas à criticidade da informação armazenada. As senhas de utilizadores com acessos
privilegiados têm de estar sujeitas a regras mais rígidas.
c) Em caso de suspeita de má utilização ou usurpação de senhas, as contas devem ser
imediatamente bloqueadas pelos Serviços de Informática.
7.3.2) Equipamento sem monitorização
Cada utilizador é responsável pelo bom uso dos seus equipamentos e pelas consequências
resultantes da má utilização dos mesmos.
7.3.3) Política de mesa limpa
Toda a informação não pública, independentemente do meio, tem de ser guardada de forma
segura, sempre que o seu utilizador se ausentar do local de trabalho.
7.4) Controlo de acessos à rede
7.4.1) Política de uso dos serviços de rede
O acesso aos serviços internos e externos de rede tem de ser controlado de modo a evitar o
comprometimento da segurança e respeito pelos regulamentos.
7.4.2) Autenticação para conexão externa
Todas as conexões externas a serviços críticos e a serviços que se encontrem na intranet
administrativa do IPB estão barradas. Só é permitido o acesso quando justificado, por VPN ou
dialup.
7.4.3) Segregação de redes
a) Deve existir uma rede de acesso geral e público - Rede Académica - dividida em Sub-Redes por
unidades orgânicas (escolas e serviços).
b) Deve existir uma rede de acesso reservado – Rede Administrativa – protegida por firewall física.
7.4.4) Controlo de conexão e de encaminhamento de redes
a) Todos os acessos devem ser controlados por autenticação e por IP.
b) A definição de rotas deve ser feita manualmente.
7.5) Controlo de acessos ao sistema operativo
7.5.1) Procedimentos de segurança para a entrada no sistema (log-on)
Têm de ser utilizados mecanismos de segurança ao nível do sistema operativo para restringir ou
prevenir o acesso não autorizado a computadores.
7.5.2) Identificação e autenticação
Sempre que, por razões bem definidas e identificadas, for necessário partilhar “userids”
(identificador) e senhas, essa partilha tem de ser aprovada pelos responsáveis, devidamente
documentada e deve ficar sujeita a um conjunto de medidas de segurança adicionais.
24
7.5.3) Gestão de senhas
Todas as senhas de utilizadores operacionais dos Serviços de Informática, contas de root ou
administrador, devem ser mudadas com uma periodicidade acrescida.
7.5.4) Duração da Sessão (time-out)
Deve ser definido um time-out máximo de 5 minutos de inactividade para todos os sistemas
operativos.
7.6) Controlo de acesso à aplicação e à informação
7.6.1) Restrição de acesso à informação
Todos os utilizadores de aplicações têm de estar registados com informação relativa ao seu perfil
de utilizador.
7.6.2) Isolamento de sistemas sensíveis
Todos os sistemas considerados sensíveis devem estar protegidos por firewall e/ou o seu acesso
deve ser realizado através de servidores de proxy reverse.
7.7) Computação móvel e trabalho remoto
7.7.1) Computação e comunicação móvel
È permitido o acesso à rede publica do IPB e a Internet utilizando tecnologia wireless – e-U –
rede protegida por técnicas de cifragem.
7.7.2) Trabalho remoto
É permitido o acesso remoto por VPN a rede do IPB aos serviços disponibilizados.
8) AQUISIÇÃO, DESENVOLVIMENTO E M ANUTENÇÃO DE APLICAÇÕES
Objectivo: Garantir que a segurança seja parte integrante dos sistemas de informação, para isso os
requisitos de segurança devem ser identificados e acordados antes do desenvolvimento dos sistemas de
informação.
8.1) Requisitos de segurança de sistemas de informação
8.1.1) Análise e especificação dos requisitos de segurança
a) É necessário identificar e aprovar os requisitos de segurança antes de se passar ao
desenvolvimento dos sistemas. Os requisitos de segurança têm de reflectir o valor dos activos de
informação que estão envolvidos e os danos causados por violação ou perda desses activos,
seja de forma voluntária ou involuntária. Os controlos introduzidos na fase de desenho são mais
económicos do que se forem introduzidos após a implementação. A segurança tem de ser
construída em simultâneo com os sistemas.
25
b) É desejável uma segregação de funções objectiva, por forma a restringir os acessos de forma a
manter sob controlo a integridade dos sistemas em Produção e em Desenvolvimento e Testes.
c) Nenhum elemento da equipa de Desenvolvimento ou da equipa de Testes pode ser autorizado a
executar funções de exploração ou alterar dados no ambiente de Produção.
8.2) Processamento correcto nas aplicações
8.2.1) Validação dos dados de entrada
Os dados de entrada dos sistemas aplicacionais têm de ser validados para garantir a sua
correcção, nomeadamente, durante o processo de autenticação.
8.3) Controlos criptográficos
8.3.1) Política para o uso de controlos criptográficos
Todas as aplicações que contemplem troca de informação com alto nível de confidencialidade e
integridade devem implementar técnicas criptográficas adequadas aos níveis de segurança
pretendidos.
8.4) Segurança dos ficheiros do sistema
8.4.1) Controlo do sistema operativo
Cada plataforma ou ambiente operacional tem de ter definido normas de segurança que reduzam
as vulnerabilidades inerentes a cada sistema operativo.
8.4.2) Protecção dos dados para teste de sistema;
Não devem ser utilizados dados reais que sejam confidenciais ou privados para a realização de
testes aplicacionais. No caso de ser absolutamente essencial tem de ser pedida autorização ao
respectivo proprietário e devem ser tomadas medidas mais rigorosas de segurança.
8.4.3) Controlo de acesso ao código-fonte de programa;
Nenhum membro da equipa de Produção pode ser autorizado a aceder ao código fonte das
aplicações e dos ambientes de Desenvolvimento e Testes.
8.5) Segurança em processos de desenvolvimento e de suporte
a) O desenho e o código fonte das aplicações têm de ser devidamente documentados, identificados
e guardados em local seguro, com acesso restrito.
b) A aquisição de software a terceiras partes tem de ser precedida de uma avaliação da idoneidade
dos fornecedores e deverá sempre que possível exigir a posse do respectivo código fonte.
8.5.1) Procedimentos para controlo de mudanças
c) Após as alterações terem sido efectuadas à plataforma principal do sistema (tipicamente
alterações no sistemas operativo ou de hardware), a funcionalidade e segurança de todo o
sistema, incluindo todas as aplicações, têm de ser testadas e reconfirmadas. Todos os
26
departamentos envolvidos (em particular a equipa que faz a revisão) têm de ser informados
atempadamente sobre as modificações planeadas. Adicionalmente, deve ser ajustado o plano de
continuidade de negócio.
8.5.2) Análise crítica técnica das aplicações após mudanças de sistema operativo
Tem de existir um procedimento formal para gestão das alterações efectuadas nos sistemas em
produção.O impacto das alterações deve ser analisado antes destas serem autorizadas.
9) GESTÃO DE INCIDENTES DE SEGURANÇA
Assegurar que fragilidades e eventos de segurança associados com sistemas de informação, sejam
comunicados e registados, para permitir a implementação de acções correctivas em tempo útil.
9.1) Notificação de fragilidades e eventos de segurança da informação
Todos os incidentes, bem como as fraquezas, têm de ser objecto de registo de forma a permitir
dar resposta célere aos problemas. O processo de registo deve prever a identificação de um
ponto único de contacto para onde devem ser canalizados todos os relatos.
9.2) Gestão de incidentes de segurança da informação e melhorias
a) As responsabilidades têm de estar definidas e os procedimentos implementados de modo a lidar
com as fraquezas e eventos da segurança da informação assim que estes sejam reportados. Um
processo de melhoria contínua deve ser aplicado à resposta, à monitorização, à avaliação e a
toda a gestão dos incidentes de segurança da informação.
b) Quando a recolha de evidências é necessária, esta tem de ser recolhida em conformidade com
os requisitos legais.
10) GESTÃO DA CONTINUIDADE DE NEGÓCIO
Objectivo - Não permitir a interrupção das actividades do negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja
implementado para reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de
segurança (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de
equipamentos e acções intencionais) através da combinação de acções de prevenção e recuperação.
10.1) Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
10.1.1) A segurança da informação no processo de gestão da continuidade de negócio
a) Elaborar planos de contingência, para as tecnologias da informação que suportam as bases de
dados Administrativas e Académicas, classificada com informação mais crítica do IPB.
27
10.1.2) Continuidade de negócios e a avaliação de riscos
a) Têm de ser efectuadas análises de risco periódicas para identificar as possíveis avarias passíveis
de comprometer a continuidade do negócio:
•
Identificar as ameaças que podem estar na origem de desastres, ou seja, que podem afectar
as principais actividades;
•
Determinar vulnerabilidades existentes que aumentam a probabilidade de concretização das
ameaças identificadas;
•
Calcular a probabilidade de ocorrência das ameaças identificadas face às vulnerabilidades
detectadas
b) Desenvolver um plano estratégico dos resultados da análise de risco, que determina os
procedimentos para assegurar as actividades de continuidade do negócio. Cada plano deve
possuir um proprietário que é responsável por mantê-lo actualizado e definir quais as condições
de activação.
10.1.3) Desenvolvimento e implantação de planos de continuidade relativos à segurança da
Informação
a) Plan – Avaliar de riscos e identificar e seleccionar as alternativas de recuperação
b) DO – Construir os procedimentos de recuperação;
c) CHECK – Testar o Plano;
d) ACT – Análise critica e actualização do Plano.
10.1.4) Estrutura do plano de continuidade do negócio
a) Identificar quais são os sistemas críticos que garantem a continuidade do negócio da empresa;
b) Quais os recursos de hardware, software e de infra-estrutura de que tais sistemas dependem;
c) Levantamento e actualização da documentação dos sistemas muito críticos;
d) Definição das politicas de Backup
e) Definição do site backup: Cold-Site próprio ou de terceiros, Hot-Site próprio ou de terceiros e a
forma de actualização dos dados no Site Backup;
f)
Plano de pós-desastre para a Recuperação;
g) Plano de regresso à normalidade.
10.1.5) Testes, manutenção e reavaliação dos planos de continuidade do negócio
a) O plano de continuidade de negócio deve ser desenvolvido e testado com frequência mínima de
uma vez ao ano, simulando várias condições de desastre. As falhas detectadas no decorrer das
simulações deverão se apreciadas pelo responsável da segurança e corrigidas no plano – ciclo
PDCA.
b) Têm de existir planos documentados e aprovados para evacuação do pessoal em caso de
emergência, sendo obrigatória a realização de pelo menos um teste anual de verificação do seu
funcionamento ou sempre que ocorram alterações significativas nos procedimentos e caminhos
de evacuação, em articulação com o Plano de Emergência Interna.
28
c) Todos os procedimentos de salvaguarda e de recuperação têm de estar devidamente testados e
documentados.
11) CONFORMIDADE - REGULAMENTAÇÃO E LEGISLAÇÃO APLICÁVEL
Objectivo - Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações
contratuais e de quaisquer requisitos de segurança da informação. A nível legislativo, em Portugal tem-se
assistido a um esforço, relativamente recente, de criação de peças legais que visam enquadrar as novas
tecnologias e as actividades por elas suportadas.
11.1) Conformidade com requisitos legais
11.1.1) Identificação da legislação vigente
a) Constituição da República – Artigo 35º.
b) Decreto-Lei n.º 256/2003, de 21/10/2003 (que transpôs a Directiva 2001/115/CE, de 20 de
Dezembro, que pretendeu simplificar, modernizar e harmonizar, em matéria de IVA, alguns
aspectos relacionados com a obrigação de facturação).
c) Decreto-Lei n.º 375/99, de 18/07 – a equiparação da factura emitida em suporte papel à factura
electrónica e a não aplicação do diploma por força da obrigatoriedade de autorização prévia da
Direcção-Geral dos Impostos.
d) Decreto-Lei n.º 290-D/99, de 2 de Agosto – veio regular a validade, eficácia e valor probatório dos
documentos electrónicos e a assinatura digital.
e) Decreto-Lei n.º 62/2003, de 3 de Abril – veio transpor a directiva 1999/93/CE – relativa a um
quadro legal sobre assinaturas electrónicas, tendo alterado algumas disposições do DL 290-D/99.
f)
Decreto-lei n.º 7/2004, de 7 de Janeiro - Lei do Comércio Electrónico.
g) Lei 109/91 - Lei da Criminalidade Informática
h) Decreto Lei 47/93 – Autoridade Nacional de Segurança
i)
Decreto Lei nº 252/94 – Protecção jurídica dos Programas de Computador.
11.1.2) Direitos de propriedade intelectual;
a) Decreto Lei 63/85 – Código do Direito de Autor e dos direitos conexos.
b) Decreto Lei nº 252/94 – Protecção jurídica dos Programas de Computador.
11.1.3) Protecção de registos organizacionais;
a) Decreto Lei 122/2000 - Protecção Jurídica das bases de dados.
11.1.4) Protecção de dados pessoais
a) Lei n.º 67/98, de 26 de Outubro - Lei da Protecção de Dados Pessoais
b) Lei n.º 41/2004, de 18 de Agosto
29
c) Lei n.º 99/2003, de 27 de Agosto – Código do Trabalho – e legislação complementar – Lei n.º
35/2004, de 29 de Julho (videovigilância dos trabalhadores, tratamento dos dados de saúde e
dos dados biométricos)
11.2) Conformidade com normas e políticas e conformidade Técnica
11.2.1) Conformidade com as políticas e normas de segurança da informação
a) Norma ISO/IEC 17799:2005 – Information Security Management.
b) Regulamento de Acesso e de Utilização dos Serviços e Recursos Electrónicos do Instituto
Politécnico de Bragança.
11.2.2) Verificação da conformidade técnica
Deve ser implementadas regras de normalização internas de verificação de conformidade
técnica. (check lists e ferramentas).
11.3) Auditoria de sistemas de informação
11.3.1) Controlos de auditoria de sistemas de informação
a) O responsável pela segurança deve anualmente promover a realização de uma auditoria de
forma a garantir o controlo adequado sobre o cumprimento das políticas definidas.
b) A auditoria deve actuar em qualquer sistema de informação do IPB, no seu todo ou em parte,
com ou sem aviso prévio.
c) Os resultados das auditorias deverem ser discutidos previamente com os Serviços de
Informática, antes de ser apresentados ao Conselho de Segurança Informática do IPB.
11.3.2) Ferramentas de auditoria de sistemas de informação
a) As tecnologias de informação deverão
incorporar mecanismos facilitadores das sua
auditabilidade, permitir a recolha automática de informação para detectar situações anómalas e
respectivos responsáveis, nos vários ambientes de rede, aplicações e sistemas operativos.
b) As ferramentas utilizadas para auditar, bem como, as informações por elas recolhidas, têm de ser
protegidas conta acessos não autorizados e contra utilizações abusivas de modo a garantir a
integridade dos dados auditáveis, a disponibilidade das ferramentas e legitimidade na sua
utilização.
30
CONCLUSÕES
31
BIBLIOGRAFIA
ALVES, Sebastião. Sebenta do Modulo B: Segurança nos Sistemas de Informação, Curso DESIIAP do
INA, 2006.
CASACA, Augusto; e tal. A sociedade da informação e a administração pública, Oeiras: INA, 2005.
SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos Sistemas de
Informação – Gestão Estratégica da Segurança Empresarial, Centro Atlântico, 2003.
NORMAS
ISO/IEC 17799:2005(E) - Information technology - Code of practice for information security management
ISO/IEC 27001:2005(E) - Information technology - Information security management systems Requirements
SITES INTERNET
http://www.inst-informatica.pt/, acesso em Outubro de 2006
http://www.cert.pt/, acesso em Outubro de 2006.
http://cartilha.cert.br/, acesso em Outubro de 2006.
http://www.projetoderedes.com.br/art, acesso em Outubro de 2006.
http://www.ife.pt/po/congres/infosec/doc_infosec.asp, acesso em Novembro de 2006.
http://www.batori.com.br/, acesso em Novembro de 2006.
32
ANEXO I
Sistema de Informação do Instituto Politécnico de Bragança
33
Base de
Dados
Aplicações
Administrativas
e Financeiras
Aplicações
Serviços
Académicos
GIAF
ORSA
Transferência e Sincronização de Dados
Base de
Dados de
Suporte ao
IAS
PORTAL
Integra
Intranet Administrativa
BackOffice
E-lerning
FireWall
Portal
Mobile
Portal IPB
WorkFlow
E-learning
Internet
FrontOffice
34
ANEXO II
Inquérito/Diagnóstico da segurança nos sistemas de informação do IPB
35
SERVIÇOS DE INFORMÁTICA DO IPB
INQUÉRITO/DIAGNÓSTICO DA
SEGURANÇA NOS SISTEMAS DE INFORMAÇÃO DO IPB
1. POLITICA DE SEGURANÇA
Pergunta
1.1. Existe o Documento “Politica de Segurança
dos Sistemas de Informação do IPB - PSSIIPB”?
1.2. O PSSIIPB foi aprovado pela Direcção do
IPB?
1.3. O PSSIIPB foi divulgado por todos os
colaboradores internos do IPB?
1.4. Existe política de análise de risco para os
Serviços de Informática do IPB?
1.5. Existe manual de segurança dos sistemas de
informação do IPB?
1.6. Estão definidas regras para a utilização dos
serviços e tecnologias disponibilizadas pelos
Serviços de Informática do IPB?
Sim
Não
X
Avaliação
Em elaboração
Muito Crítico
X
X
X
X
Existem algumas
regras, Crítico
X
2. ORGANIZAÇÃO DA SEGURANÇA
Pergunta
Sim
2.1. Existe um Conselho de Segurança?
2.2. Existe um Gabinete de Segurança?
2.3. Os contratos com empresas ou particulares
que incluam acesso à informação, à infra-estrutura
X
e/ou instalações dos Serviços de Informática,
prevêem clausulas de segurança e privacidade?
2.4. Existe no centro de dados uma lista de
telefones de emergência: Polícia, Bombeiros,
X
Empresas de Manutenção, Segurança,
Funcionários?
2.5. Há cópia da documentação de segurança em
local "seguro" e alternativo?
2.6. O Corpo de Segurança (empresa de
segurança contratada) está treinado para actuar
no ambiente do Centro de Dados?
2.7. Existe coordenação entre a área de segurança
patrimonial e edifícios e os responsáveis pela
Não
X
X
Avaliação
Muito crítico
Muito crítico
X
Muito crítico
X
Muito crítico
X
Muito crítico
36
segurança do Centro de Dados?
2.8. Existe Seguro para os equipamentos e
instalações do Centro de Dados?
X
X
Existe para alguns
equipamentos.
Urge estender ao
restante
equipamento
crítico
Não
Avaliação
X
A documentação
não está presente
na maioria dos
casos
X
Critico
X
Critico
X
Critico
X
Critico
Não
Avaliação
X
Pode ser crítico
X
Pode ser crítico
X
Pode ser crítico
Não
Avaliação
X
Muito Crítico
3. CLASSIFICAÇÃO E CONTROLO DE ACTIVOS
Pergunta
3.1. Todo o equipamento de informática (activo)
está inventariado?
Sim
X
3.2. Cada activo está identificado com a
identificação dos seus detentores, respectivas
responsabilidades e documentação suporte?
3.3. Todos os activos de informação estão
classificados segundo as vertentes de
Confidencialidade, Integridade e Disponibilidade?
3.4. Toda a informação suportada pelas TIC’s dos
serviços de Informática está classificada segundo
os 4 níveis de confidencialidade: (Confidencial,
Uso interno do IPB, Uso interno dos Ministérios e
Pública?
3.5. Toda a informação está classificada segundo
os 3 níveis de disponibilidade: Alta Disponibilidade,
Média Disponibilidade e Baixa Disponibilidade?
3.6. Toda a informação está classificada segundo
os 3 níveis de integridade: Alta Integridade, Média
Integridade e Baixa Integridade?
4. SEGURANÇA AO NÍVEL PESSOAL
Pergunta
4.1. Todos os colaboradores internos e externos
assinaram um acordo de conduta de acordo com
as normas e politicas de segurança do IPB?
4.2. As responsabilidades relativas a segurança e
privacidade da informação estão contempladas na
descrição do posto de trabalho?
4.3. Existe formação para os colaboradores
internos e externos relativamente às questões de
segurança?
Sim
5. SEGURANÇA FÍSICA E AMBIENTAL
Pergunta
Sim
5.1. Estão identificadas as áreas onde se situam
X
os equipamentos e a informação mais critica?
5.2. Nas áreas mais sensíveis identificadas,
nomeadamente o Centro de Dados, estão
implementados procedimentos de controlo de
acessos de pessoas e procedimentos de controlo
de entrada e saída de equipamentos e suportes de
37
informação?
5.3. Existe um registo de entrada e saída de
pessoas e equipamentos do Centro de Dados?
X
5.4. Sempre que é necessário receber um visitante
X
ou colaborador externo, este é acompanhado por
técnicos dos Serviços de Informática?
5.5. Há um plano de abandono do Centro de
Dados em caso de emergência?
5.6. O Centro de Dados está afastado de
garagens, postos de gasolina, áreas com
radiações electromagnéticas, antenas de rádio
celular, etc?
5.7. O Centro de Dados está localizado em
ambiente físico adequado?
X
Pode ser crítico
dependendo dos
sítios e do
equipamento
existente nesses
sítios
Crítico
X
5.8. Há risco de Inundação no Centro de Dados?
5.9. Há sistema de detecção de fumo e calor no
centro de dados?
5.10. O centro de Dados é monitorizado por um
sistema de controlo de incêndio?
5.11. Existe sistema automático de extinção de
incêndio no Centro de Dados?
5.12. Existe sistema de combate de incêndio
adequado ao Centro de Dados?
5.13. Houve inspecção do Centro de Dados pelo
Corpo de Bombeiros nos últimos 12 meses?
5.14. Há Portas corta-fogo?
X
Muito Crítico
X
Inundação não,
mas alguns pontos
onde verte pingos
de água (ar
condicionado)
X
Muito Crítico
X
Muito Crítico
X
Muito Crítico
X
Muito Crítico
X
Muito Crítico
X
Muito Crítico
Existe mas muito
deficiente. Muito
Crítico
Crítico
5.15. Existe controlo térmico e condicionamento de
X
ar no ambiente do Centro de Dados?
5.16. As condições de limpeza e controlo de poeira
ambiental no Centro de Dados são adequadas?
5.17. Os Backups estão devidamente etiquetados
com a informação do conteúdo e nível de
segurança e guardados em cofres anti-fogo e antimagneticos, distantes do Centro de Dados?
5.18. Existe UPS (no-break) no Centro de Dados?
5.19. Existe gerador no Centro de Dados?
5.20.Toda a cablagem de energia e de
comunicações estão identificadas e protegidas
contra interferências?
5.21. A informação não publica e software
licenciado é removido definitivamente dos suportes
de armazenamento reutilizáveis antes de serem
entregues para destruição, retoma ou substituição.
5.22. Estão implementados mecanismos de
bloqueio de acesso em todas as estações de
Critico Muito
X
X
Crítico
X
Crítico
Crítico
X
X
X
X
38
trabalho, consolas e servidores quando se
encontram inactivas?
5.23. Existe política de mesa vazia (isto é:
arrumação obrigatória) após o período de trabalho
e expediente nas áreas de desenvolvimento,
suporte e administração?
5.24. Existe contrato de manutenção para os
equipamentos?
X
Crítico
X
Critico, não existe
para todos.
Não
Avaliação
X
Pode ser crítico,
dependendo da
finalidade.
X
Crítico
6. GESTÃO DE COMPUTADORES E REDES
Pergunta
Sim
6.1. A informação confidencial em trânsito entre os
sistemas está protegida através de sistemas de
X
criptografia?
6.2. Todo o software em formato demonstração ou
em testes são instalados em sistemas isolados?
6.3. Os servidores estão protegidos por firewall?
6.4. São verificadas periodicamente, por técnicos
dos Serviços de Informática, os registos de
eventos (logs) da firewall, para identificar possíveis
ataques?
6.5. Estão instaladas firewall pessoais, pelo menos
nos computadores que acedem à Internet?
6.6. Está instalado e actualizado programa de
antivírus?
6.7. Está barrado no programa de e-mail a
recepção de ficheiros auto-executáveis?
6.8. É possível os utilizadores executarem ou
abrirem arquivos .exe, mesmo que recebidos de
pessoas conhecidas?
6.9. É possível aos utilizadores abrir arquivos
comprimidos, como por exemplo .zip ou .rar?
6.10. A firewall pessoal está parametrizada para
bloquear o recebimento de Cavalos de Tróia?
6.11. A firewall pessoal está parametrizada para
bloquear o recebimento de Worms e Backdoors?
6.12. O sistema operativo e demais softwares
estão actualizados para corrigirem eventuais
vulnerabilidades existentes?
6.13. No Software de base (OS) são aplicados
regularmente os serviços de correcção (service
packs actualizados)?
6.14. São visitados regularmente os sites dos
fabricantes de software para verificar a existencia
de vulnerabilidades no software em exploração?
6.15. São aplicados todas as correcções de
segurança (patches) disponibilizados pelo
fabricante?
6.16. A arquitectura de rede de comunicações
permite a colocação de serviços em segmentos de
redes diferentes de acordo com a sua criticidade e
risco?
6.17. São feitas revisões periódicas ao tráfego de
X
X
X
X
X
Crítico
X
X
X
X
Critico
X
Critico
X
Critico
X
Critico
X
X
Critico
39
rede e aos serviços disponibilizados de forma a
determinar o seu uso indevido?
6.19. Existe um processo devidamente
documentado que garanta a gestão de backups e
restores de sistemas, de aplicações e dados?
6.19. Existem normas estabelecendo critérios para
a criação de backups?
6.20. Os arquivos backups são guardados
anualmente pelo prazo estabelecido pela lei e
normas internas?
6.21. Existem etiquetas físicas externas nos
suportes magnéticos de backup que os identifica
inequivocamente?
6.22. Existem logs de backup verificado
diariamente?
6.23. O Equipamento de armazenamento de
suportes magnéticos é adequado?
6.24. Existem normas para trânsito de informações
em suporte magnético? (ex. entrada e saída de
tapes)
6.25. È realizada a verificação da validade física e
lógica dos backups?
6.26. São feitos restores periódicos aos
repositórios de dados escolhidos aleatoriamente?
6.27. Há controlo do desgaste dos suportes
magnéticos, descartando-os antes que
apresentem erros de gravação?
6.28. Estão garantidos mecanismos de
confidencialidade e integridade do correio
electrónico?
6.29. Está a ser utilizado um software de anti-vírus
no servidor de mail?
6.30. Está a ser utilizado um software de filtragem
de e-mails no servidor de mail?
6.31. É actualizada a lista de endereços SPAM no
servidor?
X
Critico
X
Critico
X
X
X
X
Crítico
X
Crítico
X
X
Muito Crítico
X
Critico
X
Critico. Integridade
não está garantida
Não
Avaliação
X
X
X
7. CONTROLO DE ACESSOS LÓGICOS
Pergunta
7.1. São elaboradas senhas que contém pelo
menos oito caracteres, compostos de letras,
números e símbolos?
7.2. São utilizados como senhas nomes próprios,
sobrenomes, números de documentos, matriculas
de carros, números de telefone, datas que possam
ser relacionadas com o utilizador ou palavras
constantes em dicionários?
7.3. São utilizadas senhas diferentes para cada
sistema ou aplicação?
7.4. As senhas são alteradas obrigatoriamente?
7.5. É verificada a reutilização de senhas já
previamente utilizadas?
7.6. Todos os Colaboradores possuem um
identificador, pessoal, intransmissível e uma
Sim
X
Crítico
X
X
Crítico
X
X
Muito Crítico
Crítico
X
40
password confidencial, que o identifica
univocamente e de forma auditável?
7.7. Estão implementados sistemas de controlo de
acesso lógico à rede WIFI?
7.8. Estão implementados sistemas de controlo de
acesso lógico às aplicações?
7.9. Estão implementados sistemas de controlo de
acesso aos dados?
7.10. Todas as contas são imediatamente
desactivadas após terminar ou ser suspendido o
vínculo contratual?
7.11. Se for necessário partilhar userids e
passwords, essa partilha é documentada e sujeita
a medidas de segurança adicionais?
X
Critico
X
Critico
X
Critico
X
Critico
X
Critico
8. DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Pergunta
Todas as alterações (novas versões, novas
aplicações, novos utilitários, etc…) que se
pretenda introduzir em ambiente de produção, são
desenvolvidos e testados em sistemas paralelos?
O código executável não passa para o ambiente
de produção sem ser exaustivamente testado e
autorizado?
Sim
Não
Avaliação
X
Muito Crítico
X
Muito Crítico
9. PLANEAMENTO DA CONTINUIDADE DE NEGOCIO
Pergunta
Sim
Existe um plano de contingência que considere em
caso de desastre recuperar o fornecimento de
serviços, a partir de localizações geográficas
alternativas?
Existe duplicado de toda a documentação
operacional e a relacionada com os planos de
contingência, e a mesma encontra-se em local
geograficamente distinto e protegido contra
desastres?
Existem alternativas para comunicação de dados
entre os pontos mais críticos da rede do IPB?
Os sistemas utilizados para salvaguardar
aplicações e dados, ou o conteúdo das
salvaguardas estão suficientemente longe do
X
CCOM de forma a que seja muito reduzido o risco
do impacto do acidente afectar também as
salvaguardas?
Não
Avaliação
X
Muito Critico
X
Muito Critico
X
Muito Critico
41
ANEXO III
Backbone do IPB
42
CCOM.ipb
Instituto Politécnico de Bragança
Backbone do IPB :: Topologia Física
C ISC OA IR ON ET350
c
Cisco 2621 ESSA
SE RI AL 1
WIC
2T
CO N N
C
2
SILOS
0
CI SCO AI RO NET 350S E RI
FSO
100 Mbps
Cisco 7200
CI SCO AI RO NET 350S E RI
E
S
WI RE LESS ACC ESS POI NT
Hyper Fabric
Switc h
E
S
WI RE LESS ACC ESS POI NT
FSO
100 Mbps
CS
I C OA R
I ON ET350
SER
I ES
WI RELESS AC CESS POI NT
LI NK 1 00M bps
F DX
100 M bpsLi nk
F DX
PacketShaper 6500
7204
3
4
1
2
CI SCO AI RO NET 350S E RI
10/ 100 ET HE RNE T 0/0
C ON SO LE
CCOM
PIX 515
Procurve 2524 - SILOS
E
S
WI RE LESS ACC ESS POI NT
P ow er
Fa ul t
10/ 100 ET HE RN ET 0/ 0
hp pro curve
switch 25 24
J4813 A
F
an
S ta tu s
Re s e t
L ED
M oe
d
CO NSO LE
hp pr ocur ve
switch 2 524
J48 13A
1
2
3
4
5
6
7
8
9
1 0
11
12
13
1 4
15
16
17
1 8 1 9 2 0
21
22
Procurve 2524 - ESSA
hp p r ocu r ve
sw it ch 2 62 6
J49 00 A
23 2 4
Gi -g T
P o tr s
T
25
M
T
26
Tes
t
P ow er
Min iGBIC
Po tr s
FDx
Spd
o
f f =
1
0M bps
f la s h =
10M bps
on=1000M b
ps
1
2
3
4
5
6
7
8
9
1 0
11
12
13
1 4
1 5 1 6 1 7
L ED
M od
e
F
an
Sa
t u
t s
18
19
2 0
21
22
T
Lnk
25
M
T
26
ProCurve2626 - ESSA1
Re s e t
Ce
l a
r
Se lf
Te ts
M
Ac t
P ow er
Min iGBIC
Po str
F Dx
Sp d
Fa ul t
U s e o n l y o n e ( T o r M) f o r Gig a b ti p o r t
Fa ul t
Spd M ode
o
ff= 1
0 M bps
fa
l s h = 100Mbps
on = 1000Mbps
U s e o n l y o n e ( T o r M) f o r Gig a b ti p o r t
ProCurve2626 - ESSA2
1
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
P OWE R
2
S T AT US
Cisco 7200
3
R
1 0 Mb s
p ACT
L N
I K
P
I X
- 2
5 5
101
/ 0 0 ETHERNET 0
USB
CO LL
LINK
TX
100
PU BLI C
LIN K
FDX
CO LL
100
Mbps
P RI VAT E
LI NK
R ES ET
CO LL
EXT ER NAL
LIN K
TX
100
EN
PSTN/ISDN
TX
CO LL
1 00
Re s te
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 16 17
18
19
20
21
22
23 2 4
Gi -g T
P o tr s
T
Lnk
M
25
T
26
M
Ac t
Min -i
GB C
I
P o tr s
FDx
Spd
Cle a r
Spd M ode
o
ff= 1
0 M bps
fa
l s h = 100Mbps
on = 1000Mbps
Us e only one T
( orM ) o
f r Gi ga
b i t po
rt
CONSOL E
PIX 525
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
CI SCO AI RO NET 350SERI
802.11b
E
S
WI RE LESS ACC ESS POI NT
PI X 5
- 15
N
IL K
101
/ 0 0 ETHERNET 1
LOC AL
ALARM
LOO P
BAC K
CAR RIER
DETE CT
REMO TE
ALARM
I
L
O
V
E
C
AT
4
10/100BASE -T
C ON SO LE
B
LED
Mode
Fa n
Sta u
ts
VPN C. 3030
F
A
0
1 M
0 b s
p
RX
MO N
C TRLR 0
RDC/BCD
SEP-2 0 0 U
A
RX
TX
OUT IN
E
S
ProCurve2626 - Estufas
0
PRI
1F E- 1CT1 -CSU
CI SCO AI RO NET 350S E RI
WI RE LESS ACC ESS POI NT
hp pr o cur ve
swi t ch 262 6
J490 0A
23 2 4
Gig T
Po
r st
S e fl
M
Act
Sp d M o d e
ESTU
FAS
A UX
Lnk
Cle ra
802.11b
FD X
S e fl
T e ts
FA ILO V ER
100 M bpsLi nk
LI NK
10/10 0E THE RNE T 0/0
ESSA
hp p r ocu r ve
sw it ch 2 62 6
J49 00 A
PX
I - 515
4
1
S E IR E S
W0
100 M bps
10/ 100 ETH ERN ET 0/ 0
3
WI RELESS AC CESS POI NT
2621XM
S ER A
I L0
W1 ON N
7204
RCTS/Internet
C ISC OA IR ON ET350
S E IR E S
WI RELESS AC CESS POI NT
FA ILO V ER
100 M bpsLi nk
F DX
10/ 100 ET HE RN ET 0/ 0
100 M bpsLi nk
F DX
10/ 100 ET HE RNE T 0/0
C ON SO LE
CI SCO3660- MB-2F E
R
FDX
LN
I K
10 0Mbps
VC C OK
S Y STE M
A LA RM
25 0V ~5A
3 0V 5A
1 0/ 100 E THERNET 0 1
/
SER IA L0
SER IA L1
SE RI AL 0
LIN K
C ON N
100Mb ps
FDX
LIN K
SE RI AL 1
WIC
2T
CO NN
100Mb ps
C ON N
1 0/ 100 E THERNET 0 0
/
0
W0
ESTGM
CT RLR 1
EN
EN
CT RLR 0
FAS T ETH 0
2F E W 1
2W
AT M
1 AE
- 3
Mini
GBIC
W0
A TM0
10/ 100 BA SE TX
SER A
I L0
2F E W1
2W
EN
W0
SER A
I L1
C ON N
FAS T ETH 0
WIC
2T
AT M
1 AE
- 3
CO NN
LIN K
100Mb ps
TX
FDX
LIN K
A TM 0
FDX
FA ST ETH 1
100
FX
100Mb ps
LI NK
100M bps
RCLK E N
FD X
RX
LI NK
TX
F ERF OOF A IS
100M bps
FD X
J4
856
ProC
A
urve
9 300
HP
ProC
J4
142
urve
A
9 300
HP
J4 842
A
P CMCIA
AUX
cE 1-U
P RI
WIC
2T
10/ 100 BA SE TX
FA ST ETH 1
Procu rve Ro uting
ProC
Switch 93 04M urve
HP J413 9A
9 300
HP
PIX 515
1
CONS OLE
C ONN
FDX
2F E W 1
2W
F DX
LN
I K
1 00Mbp s
NO P NC
EN
F ER F O O F A S
I
RX
RC LK
hp pr ocurv e
switch 2 524
J481 3A
EN
10/ 100 BA SE TX
FAS T ETH 1
FA ST ET H 0
CI SCO AI RO NET 350SERI
CT RL R 1
EN
CT RL R 0
Cisco 3662
W0
100 M bps
L INK 100 M bps
10/ 100E THE RNE T0/ 0
LIN K
FDX
10/ 100 ETHE RNE T0 /0
CO NSO LE
AUX
Cisco 2621
C ISC OA IR ON ET350
CS
I C OA R
I ONET 1100SERIE S
WI RELE SSA CCES SPO N
I T
h p p rocu rve
switch 252 4
J4 813A
S E IR E S
WI RELESS AC CESS POI NT
Procurve 2524 - ESTGM1
Cisco 3640 ESTGM
CD - 2Mbps
2621XM
W1
HP 9304 - SW-CORE
802.11b
E
S
WI RE LESS ACC ESS POI NT
cE 1-U
P RI
1000TX
Procurve 2524 - ESTGM2
C ISC OA IR ONET 1100S E RIE S
CS
I C OA R
I ONET 1100SERIE S
CI SCO AI RON ET1100S E RIE S
WI RELE SSA CCES SPO IN T
WI RELE SSA CCES SPO N
I T
WIR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100SERIE S
WIR ELESS ACC ESSP OI NT
hp p r ocu r ve
sw ti ch 2 62 6
J49 00 A
1
2
3
4
5
6
7
8
9
1 0
11
12
13
L ED
M oe
d
a
Fn
S ta tu s
15
16
17
1 8 1 9 2 0
21
22
23 2 4
Gi -g T
Po rt s
S e lf
T e ts
P ow er
1 4
T
Lnk
25
M
T
26
M
Ac t
Min -i
GBIC
Po rt s
F Dx
Sp d
Fa ul t
Re s e t
C le ra
Spd M ode
fo f = 0
1 M bps
f la s h = 10
0 M bps
on = 1000M p
bs
U s e o n l y o n e ( T o r M) f o r Gig a b it p o r t
ProCurve2626 - SW-CCOM
h p p rocu rve
switch 41 08GL
J48 65A
Fau lt
Co ns
ole
h p p ro curve
switc h 41 08G L
J4 865 A
Res Cle
et a r
J486 2A 24 po rt 10/ 100T X
Pow er
hp
pr ocur 1
ve
10/
100TX
gl
Modul 7
e
J48 64A 3 p or t T r anc eiver
6 13
18
1219
24
gl
hp
pr ocur
ve
Trance
vi er
gl
Modul
e
h 64
p
J48
pr A
ocur
ve
Trance
vi er
gl
Modul
e
J4862
A
C S
I C OA R
I ONET 1100 S E RIE S
W I RELE SSA CCES SPO N
I T
h 64
p
J48
pr A
ocur
ve
Trance
vi er
gl
Modul
e
J4131B
1000SX
J41 31B
1000S X
Con s
ole
h p pro curve
switc h 41 08G L
J4 865 A
Res Cle
et
ar
Po wer
J4131B
1000SX
J48 62A 2 4 po r t 10 /100 TX
hp
procur 1
ve
10/
100TX
gl
Modul 7
e
Fau lt
gl
J48 64A 3 p or t T r anc eiver
J4132A
1000LX
J4 132A
1000LX
18
24
gl
hp
pr ocur
ve
Tr ance
iver
gl
Modul
e
hp4
J486
pr A
ocur
ve
Tr ance
iver
gl
Modul
e
J4853A
100FX-SC
CS
I C OA R
I ONET 1100S E RIE S
J 4132A
1000LX
J 4132A
1000LX
Fau lt
J 4132A
1000LX
gl
J48 64A 3 po rt Tr anc eive r
Res Cle
et
ar
J4 864A 3 po rt Tr an ceiv er
hp
procur
ve
Tr ance
iver
gl
Modul
e
J 4132A
1000LX
J4132A
1000LX
gl
CI SCO AI RON ET1100 S E RIE S
h p pro cur ve
s wit ch 4 108 GL
J 4865 A
J48 64A 3 po rt Tr anc eive r
J 4131B
1000S X
gl
J48 62A 2 4 po r t 10 /100 TX
hp
J4864
1
procur
A
ve
10/
100TX
gl
Modul 7
e
J 4131B
100 0SX
613
18
121 9
24
hp
pr ocur
ve
Tr ance
iver
gl
Modul
e
J 4131B
100 0SX
Con s
o le
hp pr o cur ve
swi t ch 262 6
J490 0A
Res Cl e
et
ar
Fa n
Fa ult
J 4864 A 3 p or t T ran ceiv er
hp
procur
ve
Trance
iver
gl
Modul
e
J4131B
1000S X
2
3
4
5
6
7
8
9
10
11
12
13
14
15 16 17
18
19
20
21
22
23 2 4
J4131B
1000SX
gl
hp
procur 1
ve
10/
100TX
gl
Modul 7
e
Gi g
-T
Po tr s
25
M
T
26
M
Act
Min -i
GB C
I
P o tr s
FDx
Spd
J48 62A 2 4 po rt 10 /100 TX
J4131B
1000S X
J4864
A
T
Lnk
LED
Mode
Sa
t u
t s
Po wer
gl
1
S e fl
Te s
t
P ow er
J4131B
1000SX
J4864
A
Fa ul t
613
18
121 9
24
Re s te
Cle a r
Spd M ode
o
ff= 1
0 M bps
fa
l s h = 100Mbps
on = 1000Mbps
Us e only one T
( orM ) o
f r Gi ga
b i t po
rt
gl
ProCurve2626 - ESTIG2
J4862
A
gl
WR
I ELESS ACC ESSP OI NT
J4862
A
J4864
A
WI RELE SSA CCES SPO N
I T
Con s
ole
Po wer
J48 64A 3 po rt Tr anc eive r
613
121 9
J4862
A
gl
J48 64A 3 p or t T r anc eiver
J4853A
100FX-SC
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
gl
J4864
A
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
C ISC OA IR ONET 1100 S E RIE S
CI SCO AI RON ET1100S E RIE S
Procurve 4108GL - ESA1
W I RELE SSA CCES SPO IN T
WIR ELESS ACC ESSP OI NT
Procurve 4108GL - ESE1
Procurve 4108GL - SAS1
Procurve 4108GL - ESTIG1
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
J 4131B
1000S X
h p p rocur ve
switch 2524
J48 13A
J 4131B
1000SX
h p p rocu rve
switch 2524
J48 13A
Procurve 2524 - ESA2
CI SCO AI RON ET1100 S E RIE S
C S
I C OA R
I ONET 1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
W I RELE SSA CCES SPO N
I T
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
WR
I ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
J4131B
1000SX
h p pro curve
s wit ch 25 24
J 4813 A
Procurve 2524 - SC
ESA
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
WR
I ELESS ACC ESSP OI NT
J 4131B
1000S X
hp pr ocurv e
switch 2 524
J481 3A
Procurve 2524 - CI
J 4131B
1000SX
h p p rocu rve
switch 252 4
J4 813A
Procurve 2524 - ESA3
J4131B
1000SX
hp pro curve
switch 25 24
J4813 A
Procurve 2524 - SAS2
SAS
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WR
I ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
WI RELE SSA CCES SPO N
I T
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
CS
I C OA R
I ONET 1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
WIR ELESS ACC ESSP OI NT
WI RELE SSA CCES SPO N
I T
WI RELE SSA CCES SPO N
I T
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
CS
I C OA R
I ONET 1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
CI SCO AI RON ET1100S E RIE S
WI RELE SSA CCES SPO N
I T
WIR ELESS ACC ESSP OI NT
WI RELE SSA CCES SPO N
I T
WIR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100S E RIE S
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
WIR ELESS ACC ESSP OI NT
J 4131B
1000S X
h p p rocur ve
switch 2524
J48 13A
Procurve 2524 - SAS4
CI SCO AI RON ET1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
CI SCO AI RON ET1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WIR ELESS ACC ESSP OI NT
WI RELE SSA CCES SPO N
I T
WIR ELESS ACC ESSP OI NT
WI RELE SSA CCES SPO N
I T
CS
I C OA R
I ONET 1100S E RIE S
CI SCO AI RON ET1100 S E RIE S
WI RELE SSA CCES SPO N
I T
WR
I ELESS ACC ESSP OI NT
J4131B
1000SX
h p pro curve
s wit ch 25 24
J 4813 A
Procurve 2524 - ESE3
ESE
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
J 4131B
1000SX
h p p rocu rve
switch 252 4
J4 813A
Procurve 2524 - ESE2
h p p rocu rve
switch 252 4
J4 813A
Procurve 2524 - ESE4
C ISC OA IR ONET 1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
W I RELE SSA CCES SPO IN T
W I RELE SSA CCES SPO IN T
W I RELE SSA CCES SPO IN T
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100S E RIE S
C S
I C OA R
I ONET 1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
WIR ELESS ACC ESSP OI NT
W I RELE SSA CCES SPO N
I T
W I RELE SSA CCES SPO IN T
W I RELE SSA CCES SPO IN T
CI SCO AI RON ET1100S E RIE S
C ISC OA IR ONET 1100 S E RIE S
WIR ELESS ACC ESSP OI NT
W I RELE SSA CCES SPO IN T
CI SCO AI RON ET1100 S E RIE S
h p p rocu rve
switch 252 4
J4 813A
Procurve 2524 - ESTIG3
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
W I RELE SSA CCES SPO IN T
C ISC OA IR ONET 1100S E RIE S
WI RELE SSA CCES SPO IN T
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
C S
I C OA R
I ONET 1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
W I RELE SSA CCES SPO N
I T
WR
I ELESS ACC ESSP OI NT
W I RELE SSA CCES SPO IN T
W IR ELESS ACC ESSP OI NT
W IR ELESS ACC ESSP OI NT
W IR ELESS ACC ESSP OI NT
W I RELE SSA CCES SPO IN T
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
WR
I ELESS ACC ESSP OI NT
WR
I ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
W IR ELESS ACC ESSP OI NT
hp pr o cur ve
swi t ch 262 6
J490 0A
Se lf
Te ts
P ow er
Fa ul t
CI SCO AI RON ET1100 S E RIE S
hp p r ocu r ve
sw ti ch 2 62 6
J49 00 A
Se fl
Te ts
P ower
F
an
Sta tu s
1
2
3
4
5
6
7
8
10
11
12
13
14
15
16
17
18 19 20
21
22
23 2 4
Gig -T
Po
r ts
T
Lnk
LED
M od
e
9
Re s e t
25
M
T
26
Re s te
LED
Mode
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 16 17
18
19
20
21
22
23 2 4
Gi -g T
P o tr s
T
Lnk
25
M
T
26
M
Ac t
Min -i
GB C
I
P o tr s
FDx
Spd
Cle a r
Spd M ode
o
ff= 1
0 M bps
fa
l s h = 100Mbps
on = 1000Mbps
Us e only one T
( orM ) o
f r Gi ga
b i t po
rt
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
ProCurve2626 - ESTUDIO
Procurve 2524 - SAS3
M
Ac t
Min iGB IC
P o rts
FDx
Spd
Fa ul t
802.11b
E
S
Fa n
Sta u
ts
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RO NET 350SERI
WI RE LESS ACC ESS POI NT
h p p rocu rve
switch 252 4
J4 813A
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
C S
I C OA R
I ONET 1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
W I RELE SSA CCES SPO N
I T
WR
I ELESS ACC ESSP OI NT
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
CI SCO AI RON ET1100 S E RIE S
W IR ELESS ACC ESSP OI NT
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
Procurve 2524 - ESTIG5
ESTiG
C ISC OA IR ONET 1100 S E RIE S
W IR ELESS ACC ESSP OI NT
C ISC OA IR ONET 1100 S E RIE S
W I RELE SSA CCES SPO IN T
h p pr ocur ve
switch 2524
J48 13A
Procurve 2524 - ESTIG4
Cle ra
Spd M ode
fo f = 0
1 M bps
f la s h = 100Mbps
on = 1000Mbps
Us e onl y one ( T or M) f or Gig a bit por t
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
ProCurve2626 - ESA4
CI SCO AI RO NET 350SERI
CI SCO AI RON ET1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WIR ELESS ACC ESSP OI NT
WI RELE SSA CCES SPO N
I T
E
S
WI RE LESS ACC ESS POI NT
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
CS
I C OA R
I ONET 1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
WI RELE SSA CCES SPO N
I T
hp pr ocur ve
switch 2 524
J48 13A
CS
I C OA R
I ONET 1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
WI RELE SSA CCES SPO N
I T
Procurve 2524 - SAS5
CI SCO AI RON ET1100S E RIE S
WIR ELESS ACC ESSP OI NT
CS
I C OA R
I ONET 1100S E RIE S
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
WI RELE SSA CCES SPO N
I T
CS
I C OA R
I ONET 1100S E RIE S
WI RELE SSA CCES SPO N
I T
43
ANEXO IV
44
CCOM.ipb
Instituto Politécnico de Bragança
Servidores :: Zona DMZ
F
A
I
L
O
V
E
R
1 0 0 Mb p s ACT
LN
I K
1 0 0 Mb p s ACT
LN
I K
PIX- 5 2 5
10 1
/ 00 ET HE R NE T 1
10 1
/ 00 ET HE R NE T 0
US B
C ONS OLE
FireWall PIX 525
P rocu rve R ou ting
Pr oC
S wi tch 93 04 M u rve
H P J4 139 A
9 30 0
HP
J48
Pr oC
56
u rve
A
9 30 0
HP
J41
Pr oC
42
u rve
A
9 30 0
HP
J48 42
A
Mini
GBIC
100
FX
1000TX
HP 9304 - SW-CORE
1
h p procur ve
sw itch 2626
J490 0A
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
2 1
22
23
24
LE D
Mode
Fan
Sa
t u
ts
T
Lnk
25
M
T
2 6
Res et
Test
Pow er
Mi niGBI C
Por ts
FDx
Ce
la r
of f = 10 M bp s
lf as h = 1 00 M bp s
on =
100 0M bps
LE D
Mod e
Fa n
S tat us
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
2 1
22
23
24
Gig T
Por st
T
Ln k
25
M
T
2 6
M
Act
Mi niGBI C
Por ts
FDx
S pd
Fau lt
S p d M od e
1
Se lf
M
Act
Sp d
Fault
h p procur ve
sw itch 2626
J490 0A
Gig -T
Por ts
S elf
Test
Power
Us e on y
l o ne ( T or M ) f o r G i gab ti po r t
ProCurve2626 - SW-CCOM2
R eset
C l ear
S p d M od e
of f = 10 M bp s
fa
l sh =
100 M b ps
o n = 1 00 0M b ps
Us e on ly o ne ( T or M ) f o r G i gab it po r t
ProCurve2626 - SW-CCOM1
elara
pan
elearning
giada
voip
voip2
dbcenter
guestwifi
carme
umbriel
mars
puck
EMC
COMPAQ
ariel
2
COMPAQ
proteus
portal2
shed
EMC
proteus
2
COMPAQ
ananke
phobos
SD
titan
COMPAQ
pan
Powe rVault
7 60N
45
ANEXO V
Identificação de ameaças e vulnerabilidades - hardware do centro de comunicações
46
Equipamentos
router
router
router
router
router
router
Marca
Cisco
Cisco
Cisco
Cisco
Cisco
Cisco
Modelo
7206VXR
3662
3640
2621XM
2621XM
C827H
Nº Serie
72916590
JAB0449C00E
JAC0449A37R
JHY0806K0TS
JHY0807K0WW
FHK063210FW
Nº
Inventário
28662
23903
30872
27117
27118
Propriedade
de outra
entidade
Seguro
A
contratar
Apolice nº
29/20119
da
Açoreana
Apolice nº
29/20119
da
Açoreana
A
contratar
A
contratar
Não se
Aplica
Serviços
Ligação à FCCN,
IPv6
DHCP rede Wifi,
Servidor NTP
Ameaça
DHCP Wifi ESSA
Ligação adsl BCD
Solução para minimizar o risco
Aquecimento
Avaria do ar condicionado
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Perda de configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Router de acesso
Avaria Componente
da ESTGM, DHCP
Segurança Física
Wifi ESTGM
Ligação à ESTGM
Vulnerabilidades
Perda de configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
47
Erros Software
switch
switch
switch
switch
switch
switch
HP
HP
HP
HP
HP
HP
Procurve
9304M
(J4139A)
Procurve
4108gl
(J4865A)
Procurve
4108gl
(J4865A)
Procurve
4108gl
(J4865A)
Procurve
4108gl
(J4865A)
Procurve
2626
(J4900A)
US90011077
SG21061472
SG14400557
SG349MF0ES
SG14400558
TW434PB0Y1
24011
25031
30875
27032
30874
28132
Apolice nº
29/20119
da
Açoreana
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
Switch Core –
Distribuiu
conectividade à
internet para as
várias escolas e
para os servidores
do CCOM
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Switch Estig1(CRI)
Avaria Componente
– Recebe
conectividade para
Segurança Física
a rede da ESTIG
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Avaria Completa
Switch Esa1
(CIESA) – Recebe Avaria Componente
conectividade para
Segurança Física
a rede da ESA
Erros Software
Switch Ese1 –
Recebe
Avaria Componente
conectividade para Segurança Física
a rede da ESE
Erros Software
Switch SAS1 –
Conectividade
para os Serviços
Centrais do SAS e
distribui para as
Residências
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Switch CCOM1 –
Avaria
Conectividade
para os Servidores Segurança Física
e máquinas de
trabalho do CCOM Erros Software
DoS, Worm's e Vírus
Perda de dados
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
48
Aquecimento
switch
switch
switch
switch
switch
switch
switch
switch
HP
HP
HP
HP
HP
HP
HP
HP
Procurve
2626
(J4900A)
Procurve
2626
(J4900A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2626
(J4900A)
Procurve
2524
(J4813A)
Procurve
2524
TW434PB1HK
TW434PB16F
SG342NV112
SG350NV4BZ
SG350NV484
TW434PB1C3
SG14300795
SG14300810
28135
28130
27028
27031
27021
28131
30876
30877
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
Incêndio
Switch CCOM2 –
Avaria
Conectividade
para os Servidores Segurança Física
e máquinas de
trabalho do CCOM Erros Software
DoS, Worm's e Vírus
Switch ESTIG4 –
Conectividade
para ESTIG (zona
laboratórios e
cave)
Switch ESTIG5 –
Conectividade
para ESTIG (zona
laboratórios)
Switch Estudio –
Conectividade
para o Estudio
Switch CI –
Conectividade
para o Centro de
Informática
Switch SC –
Conectividade
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Switch ESTIG2 –
Switch da portaria, Avaria
recebe
Segurança Física
conectividade para
Erros Software
a Estig
DoS, Worm's e Vírus
Switch ESTIG3 –
Conectividade
para ESTIG (zona
gabinetes)
Avaria do ar condicionado
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
49
(J4813A)
switch
switch
switch
switch
switch
switch
switch
HP
HP
HP
HP
HP
HP
HP
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2626
(J4900A)
Procurve
2626
(J4900A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
para os Serviços
Centrais
SG14300809
SG350NV4G0
TW434PB123
TW434PB11B
SG350NV4AN
SG350NV4FI
SG14300811
30878
27020
28133
28134
27027
27023
30879
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
Switch ESA2 –
Conectividade
para a zona dos
Laboratórios ESA
Switch ESA3 Conectividade
para a zona da
AEESA e
Pousadinha
Switch ESA4 Conectividade
para o Laboratório
de Solos
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Switch ESTUFAS - Avaria
Conectividade
Segurança Física
para as Estufas
Erros Software
Switch ESE2 –
Conectividade
para a zona sul
ESE
Switch ESE3 –
Conectividade
para a zona
central ESE
Switch ESE4 –
Conectividade
para a zona da
biblioteca ESE
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
50
Erros Software
switch
switch
switch
switch
switch
switch
switch
HP
HP
HP
HP
HP
HP
HP
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
SG14300718
SG350NV4AR
SG14300671
SG350NV4B0
SG350NV4C2
SG14300770
SG350NV4BR
30880
27025
30881
27024
27022
30882
27026
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
A
contratar
Switch SAS2 Conectividade
para a portaria da
Residência Verde
Switch SAS3 Conectividade
para zona este da
Residência Verde
Switch SAS3 Conectividade
para a Residência
da Escadaria
Switch SAS3 Conectividade
para a Residência
Gulbenkian
Switch SILO Conectividade
para Silo e ponto
intermédio para
ligar à ESSA
Switch AAIPB Conectividade
para o Edifício da
AAIPB
Switch ESSA3 Conectividade
para piso superior
ESSA
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
51
Perda de dados
switch
switch
switch
firewall
firewall
firewall
Concentrador
VPN
HP
HP
HP
Cisco
Cisco
Cisco
Cisco
Procurve
2626
(J4900A)
Procurve
2524
(J4813A)
Procurve
2524
(J4813A)
Pix 525
Pix 515E
Pix 515E
VPN3030
TW516SE16H
SG350NV4B8
SG350NV4AL
405491780
88808072241
88808072244
CAM08058055
Propriedade
de outra
entidade
27029
27030
30873
27114
27115
27116
A
contratar
A
contratar
A
contratar
Apolice nº
29/20119
da
Açoreana
A
contratar
A
contratar
A
contratar
Switch ESSA2 Conectividade
para piso superior
ESSA
Switch ESTGM1 Conectividade
para o Edifício
Principal da
ESTGM
Switch ESTGM2 Conectividade
para o Edifício PT
Firewall CCOM
Firewall ESTGM
Firewall ESSA
Concentrador de
VPN's
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
52
Packet
Shapper
Manager Wifi
Packeteer 6500 series
Cisco
CWWLSE1130-K9
065-10004693
ou FACTDIV09
DNXZ541
26987
27448
A
contratar
A
contratar
Packet Shaper
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria Completa
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Avaria Componente
Avaria de um ou mais módulos
Ter módulos redundantes ou sobressalentes
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de configurações e dados.
Aquecimento
Avaria do ar condicionado ou falta de sistema de refrigeração
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Manager rede
Wifi(configurações,
Avaria
actualizações e
monitorização dos Segurança Física
Acess Point's)
Erros Software
Servidor voip
Servidor
Portal2
Servidor
Integra
Dell
Dell
Dell
Dell
PowerEdge
6600
PowerEdge
1450
PowerEdge
6650
PowerEdge
2600
5KS411J
C2KX42J
HJGHR0J
58G311J
27050
30353
26650
27053
A
contratar
A
contratar
A
contratar
A
contratar
BD GIAF, BD EUL
e BD Gestão
Documental
Servidor Voip, BD
Voip
Aplication Server:
Portais (IPB, SA,
SAS, ESSE,
ESSA, Europe
Direct)
BD ORSA, BD elearning, BD
Integra
Existência de um sistema de incêndio adequado e sua manutenção regular
Ter contrato de manutenção adequado
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Perda de dados
Servidor
Dbcenter
Ausência ou desactualização de sistema de extinção
Falta de contrato de manutenção
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
53
Servidor Shed
Servidor
Carme
Servidor Elara
Servidor
Phobos
Dell
Dell
Dell
Dell
PowerEdge
2300
PowerEdge
2650
PowerEdge
1850
PowerEdge
4400
NG5HR
3DL011J
82GDF1J
H28490J
30884
27051
28073
24012
A
contratar
A
contratar
A
contratar
Apolice nº
29/20119
da
Açoreana
Proxy
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
DNS Secundário,
ADM CCOM, BD's, Erros Software
Nagios, Mrtg
DoS, Worm's e Vírus
DNS Primário
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Mail Primário
Segurança Física
(alunos.ipb.pt),
Servidor Web,
Erros Software
Servidor de contas
DoS, Worm's e Vírus
(alunos)
Perda de dados
Indisponibilidade
Servidor Mars
Servidor Titan
Dell
Dell
PowerEdge
2650
PowerEdge
33HHR0J
FJGHR0J
26648
26649
A
contratar
A
Radius, Ldap
Primário
Mail Primário
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
54
6650
Servidor Puck
Servidor Pan
Servidor
Giada
Servidor Voip2
Servidor
Umbriel
Dell
Dell
Dell
Asus
Hp
PowerEdge
2300
PowerEdge
1850
PowerEdge
1450
RS120-E3
LP2000R
contratar
NG68X
3YJCF1J
F2KX42J
63S0AG002253
FR20611741
30885
28074
30354
30685
24746
A
contratar
A
contratar
A
contratar
A
contratar
Apolice nº
29/20119
da
Açoreana
(ipb.pt), Servidor
Web, Servidor de
contas
(funcionários),
Ldap Secundário
Mirror Software,
Mirror Tucows
Mail Secundário,
Ldap Secundário
Tomcat: My Giaf;
Oracle Apex:
Notas online
Voip
BD ORSA
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
55
Servidor Ariel
Servidor
Ananke
Servidor
Proteus
Servidor
GuestWifi
Servidor Pan
Hp
Hp
Hp
Digital
Linha
Branca
LP2000R
LP2000R
LP2000R
Personal
Workstation
433au
Minfo
FR20611739
FR20611740
FR20611752
AY80621366
1131
24747
24748
24749
s/n
s/n
Apolice nº
29/20119
da
Açoreana
Apolice nº
29/20119
da
Açoreana
Ariel
Ananke
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Virus
Antivírus desactualizado
Manter o Anti-Virus sempre actualizado
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Virus
Antivírus desactualizado
Manter o Anti-Virus sempre actualizado
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Virus
Antivírus desactualizado
Manter o Anti-Virus sempre actualizado
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Apolice nº
29/20119 Proteus (Biblioteca Erros Software
da
Reais)
DoS, Worm's e Vírus
Açoreana
Perda de dados
A
contratar
A
contratar
Guest Wifi
Relay de email da
rede ADM
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Virus
Antivírus desactualizado
Manter o Anti-Virus sempre actualizado
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS
Ataque de negação de serviço
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de Configurações
Ausência de backup's
Implementar e manter uma boa política de backup de configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
56
Servidor
Proteus
Servidor
Mail.bcd
Linha
Branca
Linha
Branca
Minfo
Minfo
s/n
2146
s/n
s/n
A
contratar
A
contratar
Servidor Web
Bibliotecas
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros e falhas do software
Manter sempre o software actualizado
Mail Primário
(mail.bcd.pt), Ldap Erros Software
Primário
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Aquecimento
Avaria do ar condicionado
Melhoria do sistema de arrefecimento e controlo de temperatura/humidade
Incêndio
Ausência ou desactualização de sistema de extinção
Existência de um sistema de incêndio adequado e sua manutenção regular
Avaria
Falta de contrato de manutenção
Ter contrato de manutenção adequado
Segurança Física
Acessos físicos não autorizados
Permitir acessos físicos apenas a pessoal qualificado e autorizado
Erros Software
Erros e falhas do software
Manter sempre o software actualizado
DoS, Worm's e Vírus
Ataque de negação de serviço e worm's
Implementar e manter políticas de segurança que protejam contra estes ataques
Perda de dados
Ausência de backup's
Implementar e manter uma boa política de backup de dados e configurações.
Indisponibilidade
Indisponibilidade dos Serviços
Implementar redundância dos serviços mais críticos. Ter servidores redundantes.
Sniffing
Captura de tráfego para obtenção de de dados críticos ou password's
Implementar canais seguros para troca de informações críticas entre hosts
Perda de dados
Servidor
www.bcd
Hp
Proliant
ML330
J02R2NG22B
Propriedade
de outra
entidade
Não se
Aplica
Servidor Web
bcd.pt
57