PUC-Campinas TÓPICOS EM ENGENHARIA COMPUTAÇÃO B Políticas de Segurança Corporativa Henrique Teranisi Marco Mendes Paulo Pereira Vinícius Trivinho Prof. Edmar Roberto Santana de Rezende Campinas - 2008 Políticas de Segurança Corporativa O que é? Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. Propósito: Informar usuários, equipes e gerentes de suas obrigações para proteção da tecnologia e do acesso à informação, preservar a confidencialidade, disponibilidade e integridade das informações e também descrever a conduta adequada para o seu manuseio, controle, proteção e descarte. Boa política Primeiramente determinar suas metas para poder criar boas políticas de segurança. Usar uma linguagem simples, com poucos termos técnicos Ser de fácil compreensão e aplicabilidade Ser clara e concisa Estar de acordo com a realidade prática Ser revisada periodicamente Estar implementada Benefícios Maior padronização das informações e processos Alinhamento dos objetivos da empresa com as leis e obrigações contratuais Definição dos responsáveis pelos ativos da empresa Definição das penalidades pela não aderência à Política de Segurança Aumento da conscientização da empresa Aderência aos padrões internacionais de gestão de segurança ITCS300 Política de segurança adotada pela IBM que deve ser seguida pelos empregados, subsidiários, vendedores, gerentes para utilizar o sistema interno de computadores. Há duas seções principais: primeira que diz os passos que os empregados devem seguir e a segunda sobre as suas responsabilidades. 1o – Os empregados devem proteger suas estações de trabalho e defender os sistemas IBM de códigos nocivos. Configurar proteção de tela com bloqueio automático. Bloquear computador quando não estiver por perto Em viagens: Levar o notebook junto de você e nunca em malas de viagem. Se precisar deixar o notebook no carro, sempre deixar no porta malas. Não deve-se deixar o notebook por longos períodos no carro vazio. Se precisar deixar o notebook no hotel, utilize o cofre. Se não existir um cofre disponível utilize o cabo de segurança. Possuir senha em qualquer driver externo para carregar informações IBM Proteção contra vírus e códigos nocivos. O antivirus deve seguir o seguinte critério: Detectar e bloquear vírus em tempo real. Periodicamente escanear e detectar vírus. Verificar atualizações da lista de vírus pelo menos uma vez por dia. Deve ser um produto totalmente licenciado. Firewalls devem seguir os seguintes critérios: Redes detectadas devem ser consideradas desconhecidas e não confiáveis. Alertas usuários para novos programas tentando acessar a rede. Negar acesso a sistemas não autorizados. O Cliente de forewall deve ter os últimos updates disponíveis. Deve ser um produto totalmente licenciado. Compartilhamento de arquivos: Não deve-se permitir acesso anonimo à FTP, TFTP, HTTP não autenticado, ou qualquer outro acesso não autenticado. Não deve-se compartilhar o disco inteiro com acesso anonimo. Nunca permitir qualquer tipo de acesso não autenticado à qualquer dado ou programa considerado confidencial (se for necessário tal acesso, optar por autenticação por id e senha). Aplicação de patches periódicamente 2o – Empregados devem proteger informações confidenciais da IBM e enquadrar em outras circunstâncias que venha encontrar. Copyright Leia e entenda qualquer restrição de copyright. Assegure-se de cumprir qualquer requerimento ou limitação desse tipo de software. Publicar SW IBM na internet Proteger informações IBM Usar senhas com no mínimo 8 caracteres, usar caracteres alfa numéricos e não-alfanuméricos. Não usar seu id como parte da senha. Teleconferência (verificar se todos tem autorização para participar) Rede interna (não capturar tráfego, não testar a segurança, etc) Conexão remota: Utilizar programas licenciados e aprovados pelo time de IT security. Ulizando sistemas públicos(hotspots, quiosques,etc): Não deve-se copiar dados confidencias para arquivos locais em sistemas públicos. Para qualquer violação de políticas de segurança, informe o time de IT security. ITCS104 A ITCS104 visa contemplar a segurança da infraestrutura de TI . Ela especifica diversos procedimentos e boas práticas que devem ser cumpridas para garantir a segurança de qualquer sistema de computação sob a responsabilidade da IBM, desde o controle de usuários até o controle de bugs e atualizações de software. A ITCS104 é aplicado tanto a infra-estrutura de TI que suporta a própria IBM como para a infra-estrutura sob responsabilidade da IBM mas que suporta o negócio de clientes e parceiros. Dentre os pontos cobertos pela ITCS104 estão: ITCS104 IDENTIFICAÇÃO Um identificador único deve estar associado a cada usuário de sistema (ex.: userid, certificado digital, etc) Certificados Digitais usados para identificação devem ser assinados por CA’s autorizados. Deve-se validar o vinculo empregatício do funcionário. Todos os sistemas devem ser previamente registrados em uma database de controle antes que seus serviços estejam disponíveis. ITCS104 AUTENTICAÇÃO A identidade de qualquer usuário deve ser validada na tentativa de acesso à qualquer sistema, software ou middleware. A escolha de uma senha deve seguir regras restritas afim de torná-la menos suscetível a ataques. Mínimo de 8 caracteres, Alfanumérica, não deve conter porções do userid, trocas a cada 90 dias, etc Senhas não devem ser transmitidas em texto puro, e devem ser armazedas criptografadas sempre que possível ou com acesso restrito. Tokens e tickets de autenticação devem ter regras que controlem seu tempo de vida (em geral de12h a 30h). ITCS104 AUTORIZAÇÃO Para funcionários contratados ou prestadores de serviço, o acesso a qualquer sistema IBM deve ser previamente autorizado pela gerencia e o acesso deve ser provido de forma a restringir ao conjunto mínimo de recursos necessários. Sistemas de acesso remoto devem ser aprovados e seguir o modelo do PDT e IES OMT. Avisos de restrição de uso devem ser apresentados ao usuário a cada login no sistema (exemplo: banners de login, MotD, etc) Acesso limitado deve ser instalado por padrão em qualquer sistema afim de limitar ao proprietário o acesso ao recurso. ITCS104 PROTEÇÃO DA INFORMAÇÃO E CONFIDENCIALIDADE Controle técnico deve ser colocado em prática para prevenir acesso não autorizado a informações privadas de funcionários IBM, parceiros de negócios ou clientes. Mídias contendo material confidencial devem ser marcados de acordo sempre que possível Informações confidenciais residuais e pessoais sobre funcionários IBM ou clientes devem ser propriamente descartadas afim de garantir que não possam ser recuperadas. Qualquer informação sensível (dados financeiros, planos estratégicos ou de negócio, e informação não - públicas) devem ser criptografadas se enviadas eletronicamente pela internet. Internamente, criptografia deve ser utilizada em todos os servidores de email (notes/Domino) e SSL deve ser utilizado em qualquer web server que colete ou exiba informações confidenciais. ITCS104 INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS Usuários comuns não devem ter acesso às configurações de sistemas operacionais Acesso além do permitido para usuários comuns devem ser garantidos apenas baseados em razões validas de negócio e que devem ser determinadas pelo provedor do serviço. Controle técnico deve estar aplicado para impedir a execução e propagação de códigos perigosos. Scans de vulnerabilidades TCP/IP devem ser conduzidos regularmente Um processo deve ser definido afim de reger a aplicação de patchs e updates e limites de tempo devem ser seguidos para cada tipo de sistema. Equipamentos devem ser atualizados antes que atinjam seu status de end of support. Controle técnico deve ser utilizado para evitar ataques de DoS (por exemplo desativando qualquer recurso para o qual não existe justificativa de negócio ITCS104 INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS Controle técnico deve ser utilizado para prevenir múltiplas tentativas de login com o mesmo usuário Um processo deve estar em pratica para detectar e impedir ataques sistemáticos nas interfaces externas dos serviços de TI. Um processo de teste e validação deve ser realizado antes de tornar o recurso disponível Acesso entre a rede interna e a rede de parceiros devem ser previamente aprovados e certificados. Estações de trabalhos publicas/compartilhadas devem exibir claramente o responsável por gerenciá-las e regras devem ser seguidas para evitar danos, roubo e execução de códigos maliciosos. ITCS104 AUDITORIA DE ATIVIDADES Para sistemas, middleware e infra-estrutura de rede, onde for possível a gravação de log, este deve gravar um conjunto mínimo desejável de informações (tentativas de login, atividades executadas, endereço de origem, etc) Os dados de log devem conter no mínimo: data, hora, tipo de acesso, identificação do usuário. Os dados de auditoria devem ser mantidos por no mínimo 90 dias exceto se especificado de outra forma ITCS104 CONFORMIDADE Verificações de conformidade (Health Checking) devem ser realizados periodicamente (de acordo com a classificação do equipamento, 3 meses, 6 meses ou anual). Testes de segurança devem ser realizados em intervalos periódicos Testes de segurança devem ser realizados nos sistemas toda vez que mudanças nos mecanismos de segurança Uma re-certificação anual deve ser conduzida para confirmar de que todos tem ciência da atual política de segurança e suas mudanças ITCS104 REPORTE E GERENCIAMENTO DE INCIDENTES Ter um procedimento amplamente divulgado para que todo funcionário saiba o que fazer ao tomar ciência de um incidente de segurança envolvendo dados da empresa, invasões, etc. Ter uma equipe capacitada e treinada para responder a incidentes de segurança Ter um procedimento em uso para prover um relatório de tentativas invalidas de login ITCS104 CONTROLE DE ACESSO FÍSICO Sistemas e equipamentos de redes devem estar fisicamente protegidos contra danos e roubo. Devem existir controles para restringir o acesso a áreas de “acesso controlado” – CPDs e etc. Mídias controladas, como as utilizada para backup, restauração ou recuperação de desastre devem estar fisicamente protegidas contra acesso não autorizado, roubo e danos. Uma reconciliação do inventário de mídias backup deve ser conduzido uma vez ao ano. ITCS104 A ITCS104 especifica configurações de segurança para os seguintes Sistemas Operacionais: AIX Platforms Linux Microsoft Windows 2000 Servers Microsoft Windows Server 2003 Novell Netware OS/2 Base Operating Systems OS/400 Platforms z/OS, OS/390 and MVS Platforms z/VM and VM Platforms VMware ESX-GSX Server ITCS104 Application Software and Middleware – AFS Client SubsystemsAFS Servers – Apache Web – CMVC – DB2 Universal Database – DCE Servers – DCE/DFS Clients – DFS Servers – GSA Servers – Lotus Domino Servers – MQSeries – NetView – OS/2 Lan Servers – – – – – – – – – Tivoli TSM ADSM WebSphere Application ClearCase ClearQuest IBM Director SSH Servers Samba Internet Information Services (IIS) – IBM Tivoli Monitoring – SAP Application – Sudo ITCS104 Infraestrutura de Rede Local Area Network (LAN) Devices Wireless Devices Boundary Firewalls Firewalls Network Services (DNS, DHCP, SMTP) Inter-Enterprise Services (IES) Data Legacy and SNA Gateways Remote Vendor Access ITCS104 Infraestrutura de Voz Avaya Media Server Call Management System Outros Equipamentos de Rede Hard Copy Devices Manufacturing Tool Controllers iSeries/pSeries HMCs zHMC PUC-Campinas TÓPICOS EM ENGENHARIA COMPUTAÇÃO B Políticas de Segurança Corporativa Alguns casos ocorridos… Dúvidas? Prof. Edmar Roberto Santana de Rezende Campinas - 2008