PUC-Campinas
TÓPICOS EM ENGENHARIA COMPUTAÇÃO B
Políticas de Segurança Corporativa
Henrique Teranisi
Marco Mendes
Paulo Pereira
Vinícius Trivinho
Prof. Edmar Roberto Santana de Rezende
Campinas - 2008
Políticas de Segurança Corporativa
O que é?
Uma política de segurança é a expressão formal das regras
pelas quais é fornecido acesso aos recursos tecnológicos
da empresa.
Propósito:
Informar usuários, equipes e gerentes de suas obrigações
para proteção da tecnologia e do acesso à informação,
preservar a confidencialidade, disponibilidade e integridade
das informações e também descrever a conduta adequada
para o seu manuseio, controle, proteção e descarte.
Boa política
Primeiramente determinar suas metas para poder criar
boas políticas de segurança.






Usar uma linguagem simples, com poucos termos
técnicos
Ser de fácil compreensão e aplicabilidade
Ser clara e concisa
Estar de acordo com a realidade prática
Ser revisada periodicamente
Estar implementada
Benefícios






Maior padronização das informações e processos
Alinhamento dos objetivos da empresa com as leis e
obrigações contratuais
Definição dos responsáveis pelos ativos da empresa
Definição das penalidades pela não aderência à Política
de Segurança
Aumento da conscientização da empresa
Aderência aos padrões internacionais de gestão de
segurança
ITCS300
Política de segurança adotada pela IBM que deve ser
seguida pelos empregados, subsidiários, vendedores,
gerentes para utilizar o sistema interno de
computadores.
Há duas seções principais: primeira que diz os passos
que os empregados devem seguir e a segunda sobre as
suas responsabilidades.
1o – Os empregados devem proteger suas
estações de trabalho e defender os sistemas
IBM de códigos nocivos.



Configurar proteção de tela com bloqueio automático.
Bloquear computador quando não estiver por perto
Em viagens:
 Levar o notebook junto de você e nunca em malas
de viagem.
 Se precisar deixar o notebook no carro, sempre
deixar no porta malas.
 Não deve-se deixar o notebook por longos períodos
no carro vazio.
 Se precisar deixar o notebook no hotel, utilize o
cofre. Se não existir um cofre disponível utilize o
cabo de segurança.


Possuir senha em qualquer driver externo para carregar
informações IBM
Proteção contra vírus e códigos nocivos.
 O antivirus deve seguir o seguinte critério:
 Detectar e bloquear vírus em tempo real.
 Periodicamente escanear e detectar vírus.
 Verificar atualizações da lista de vírus pelo menos
uma vez por dia.
 Deve ser um produto totalmente licenciado.

Firewalls devem seguir os seguintes critérios:
 Redes detectadas devem ser consideradas
desconhecidas e não confiáveis.
 Alertas usuários para novos programas tentando
acessar a rede.
 Negar acesso a sistemas não autorizados.
 O Cliente de forewall deve ter os últimos updates
disponíveis.
 Deve ser um produto totalmente licenciado.


Compartilhamento de arquivos:
 Não deve-se permitir acesso anonimo à FTP, TFTP,
HTTP não autenticado, ou qualquer outro acesso não
autenticado.
 Não deve-se compartilhar o disco inteiro com acesso
anonimo.
 Nunca permitir qualquer tipo de acesso não
autenticado à qualquer dado ou programa
considerado confidencial (se for necessário tal
acesso, optar por autenticação por id e senha).
Aplicação de patches periódicamente
2o – Empregados devem proteger
informações confidenciais da IBM e
enquadrar em outras circunstâncias
que venha encontrar.



Copyright
 Leia e entenda qualquer restrição de copyright.
Assegure-se de cumprir qualquer requerimento ou
limitação desse tipo de software.
Publicar SW IBM na internet
Proteger informações IBM
 Usar senhas com no mínimo 8 caracteres, usar
caracteres alfa numéricos e não-alfanuméricos. Não
usar seu id como parte da senha.





Teleconferência (verificar se todos tem autorização para
participar)
Rede interna (não capturar tráfego, não testar a
segurança, etc)
Conexão remota:
 Utilizar programas licenciados e aprovados pelo time
de IT security.
Ulizando sistemas públicos(hotspots, quiosques,etc):
 Não deve-se copiar dados confidencias para arquivos
locais em sistemas públicos.
Para qualquer violação de políticas de segurança,
informe o time de IT security.
ITCS104




A ITCS104 visa contemplar a segurança da infraestrutura de TI .
Ela especifica diversos procedimentos e boas práticas
que devem ser cumpridas para garantir a segurança
de qualquer sistema de computação sob a
responsabilidade da IBM, desde o controle de
usuários até o controle de bugs e atualizações de
software.
A ITCS104 é aplicado tanto a infra-estrutura de TI que
suporta a própria IBM como para a infra-estrutura sob
responsabilidade da IBM mas que suporta o negócio
de clientes e parceiros.
Dentre os pontos cobertos pela ITCS104 estão:
ITCS104

IDENTIFICAÇÃO




Um identificador único deve estar associado a
cada usuário de sistema (ex.: userid, certificado
digital, etc)
Certificados Digitais usados para identificação
devem ser assinados por CA’s autorizados.
Deve-se validar o vinculo empregatício do
funcionário.
Todos os sistemas devem ser previamente
registrados em uma database de controle antes
que seus serviços estejam disponíveis.
ITCS104

AUTENTICAÇÃO


A identidade de qualquer usuário deve ser
validada na tentativa de acesso à qualquer
sistema, software ou middleware.
A escolha de uma senha deve seguir regras
restritas afim de torná-la menos suscetível a
ataques.



Mínimo de 8 caracteres, Alfanumérica, não deve conter porções do
userid, trocas a cada 90 dias, etc
Senhas não devem ser transmitidas em texto puro,
e devem ser armazedas criptografadas sempre
que possível ou com acesso restrito.
Tokens e tickets de autenticação devem ter regras
que controlem seu tempo de vida (em geral de12h
a 30h).
ITCS104

AUTORIZAÇÃO




Para funcionários contratados ou prestadores de serviço, o
acesso a qualquer sistema IBM deve ser previamente
autorizado pela gerencia e o acesso deve ser provido de
forma a restringir ao conjunto mínimo de recursos
necessários.
Sistemas de acesso remoto devem ser aprovados e seguir o
modelo do PDT e IES OMT.
Avisos de restrição de uso devem ser apresentados ao
usuário a cada login no sistema (exemplo: banners de login,
MotD, etc)
Acesso limitado deve ser instalado por padrão em qualquer
sistema afim de limitar ao proprietário o acesso ao recurso.
ITCS104

PROTEÇÃO DA INFORMAÇÃO E
CONFIDENCIALIDADE





Controle técnico deve ser colocado em prática para prevenir acesso
não autorizado a informações privadas de funcionários IBM,
parceiros de negócios ou clientes.
Mídias contendo material confidencial devem ser marcados de
acordo sempre que possível
Informações confidenciais residuais e pessoais sobre funcionários
IBM ou clientes devem ser propriamente descartadas afim de
garantir que não possam ser recuperadas.
Qualquer informação sensível (dados financeiros, planos
estratégicos ou de negócio, e informação não - públicas) devem ser
criptografadas se enviadas eletronicamente pela internet.
Internamente, criptografia deve ser utilizada em todos os servidores
de email (notes/Domino) e SSL deve ser utilizado em qualquer web
server que colete ou exiba informações confidenciais.
ITCS104

INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS







Usuários comuns não devem ter acesso às configurações de
sistemas operacionais
Acesso além do permitido para usuários comuns devem ser
garantidos apenas baseados em razões validas de negócio e
que devem ser determinadas pelo provedor do serviço.
Controle técnico deve estar aplicado para impedir a
execução e propagação de códigos perigosos.
Scans de vulnerabilidades TCP/IP devem ser conduzidos
regularmente
Um processo deve ser definido afim de reger a aplicação de
patchs e updates e limites de tempo devem ser seguidos
para cada tipo de sistema.
Equipamentos devem ser atualizados antes que atinjam seu
status de end of support.
Controle técnico deve ser utilizado para evitar ataques de
DoS (por exemplo desativando qualquer recurso para o qual
não existe justificativa de negócio
ITCS104

INTEGRIDADE E DISPONIBILIDADE DE
SERVIÇOS





Controle técnico deve ser utilizado para prevenir múltiplas
tentativas de login com o mesmo usuário
Um processo deve estar em pratica para detectar e impedir
ataques sistemáticos nas interfaces externas dos serviços de
TI.
Um processo de teste e validação deve ser realizado antes
de tornar o recurso disponível
Acesso entre a rede interna e a rede de parceiros devem ser
previamente aprovados e certificados.
Estações de trabalhos publicas/compartilhadas devem exibir
claramente o responsável por gerenciá-las e regras devem
ser seguidas para evitar danos, roubo e execução de códigos
maliciosos.
ITCS104

AUDITORIA DE ATIVIDADES



Para sistemas, middleware e infra-estrutura de
rede, onde for possível a gravação de log, este
deve gravar um conjunto mínimo desejável de
informações (tentativas de login, atividades
executadas, endereço de origem, etc)
Os dados de log devem conter no mínimo: data,
hora, tipo de acesso, identificação do usuário.
Os dados de auditoria devem ser mantidos por no
mínimo 90 dias exceto se especificado de outra
forma
ITCS104

CONFORMIDADE




Verificações de conformidade (Health Checking) devem
ser realizados periodicamente (de acordo com a
classificação do equipamento, 3 meses, 6 meses ou
anual).
Testes de segurança devem ser realizados em intervalos
periódicos
Testes de segurança devem ser realizados nos sistemas
toda vez que mudanças nos mecanismos de segurança
Uma re-certificação anual deve ser conduzida para
confirmar de que todos tem ciência da atual política de
segurança e suas mudanças
ITCS104

REPORTE E GERENCIAMENTO DE
INCIDENTES



Ter um procedimento amplamente divulgado para
que todo funcionário saiba o que fazer ao tomar
ciência de um incidente de segurança envolvendo
dados da empresa, invasões, etc.
Ter uma equipe capacitada e treinada para
responder a incidentes de segurança
Ter um procedimento em uso para prover um
relatório de tentativas invalidas de login
ITCS104

CONTROLE DE ACESSO FÍSICO




Sistemas e equipamentos de redes devem estar
fisicamente protegidos contra danos e roubo.
Devem existir controles para restringir o acesso a
áreas de “acesso controlado” – CPDs e etc.
Mídias controladas, como as utilizada para backup,
restauração ou recuperação de desastre devem
estar fisicamente protegidas contra acesso não
autorizado, roubo e danos.
Uma reconciliação do inventário de mídias backup
deve ser conduzido uma vez ao ano.
ITCS104

A ITCS104 especifica configurações de
segurança para os seguintes Sistemas
Operacionais:










AIX Platforms
Linux
Microsoft Windows 2000 Servers
Microsoft Windows Server 2003
Novell Netware
OS/2 Base Operating Systems
OS/400 Platforms
z/OS, OS/390 and MVS Platforms
z/VM and VM Platforms
VMware ESX-GSX Server
ITCS104

Application Software and Middleware
– AFS Client
SubsystemsAFS Servers
– Apache Web
– CMVC
– DB2 Universal Database
– DCE Servers
– DCE/DFS Clients
– DFS Servers
– GSA Servers
– Lotus Domino Servers
– MQSeries
– NetView
– OS/2 Lan Servers
–
–
–
–
–
–
–
–
–
Tivoli
TSM ADSM
WebSphere Application
ClearCase
ClearQuest
IBM Director
SSH Servers
Samba
Internet Information
Services (IIS)
– IBM Tivoli Monitoring
– SAP Application
– Sudo
ITCS104

Infraestrutura de Rede








Local Area Network (LAN) Devices
Wireless Devices
Boundary Firewalls
Firewalls
Network Services (DNS, DHCP, SMTP)
Inter-Enterprise Services (IES) Data
Legacy and SNA Gateways
Remote Vendor Access
ITCS104

Infraestrutura de Voz



Avaya Media Server
Call Management System
Outros Equipamentos de Rede




Hard Copy Devices
Manufacturing Tool Controllers
iSeries/pSeries HMCs
zHMC
PUC-Campinas
TÓPICOS EM ENGENHARIA COMPUTAÇÃO B
Políticas de Segurança Corporativa
Alguns casos ocorridos…
Dúvidas?
Prof. Edmar Roberto Santana de Rezende
Campinas - 2008