seginfofit@gmail.com Curso Superior de Tecnologia em Redes de Computadores Poltica de Segurana da Informao Prof. Marcelo Figueiredo Segurana de Redes II 2 Trabalho 2 bimestre Assunto
Testes de Vulnerabilidades em Redes Metodologias / tcnicas / ferramentas
Entrega
At 02/06 (dia da avaliao B2) Grupos at 6 pessoas Formato de entrega: PDF E-mail: SegInfoFit@gmail.com Prof. Marcelo Figueiredo Segurana de Redes II 3 Regras para o trabalho Capa, ndice, introduo, contedo, concluso e bibliografia Nomes completos e RA dos integrantes do grupo Integrante em mais de um grupo ter a nota dividida O contedo do trabalho matria dada, e poder ser cobrado nas avaliaes Ctrl-C Ctrl-V = Cpia = Plgio = Nota ZERO Trabalho 2 bimestre Prof. Marcelo Figueiredo Segurana de Redes II 4 Poltica de Segurana Prof. Marcelo Figueiredo Segurana de Redes II 5 Poltica de Segurana Objetivo Prover orientao e apoio para a segurana da informao.
Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao (NBR ISO/IEC 17799 / NBR ISSO/IEC 27001) Prof. Marcelo Figueiredo Segurana de Redes II 6 Poltica de Segurana Documentao da Poltica de Segurana Documento formal a ser aprovado pela direo. Pode ser um documento exclusivo ou fazer parte de uma poltica corporativa geral. Estabelecer o enfoque da organizao para a gesto de segurana da informao. Publicado e comunicado a todos os funcionrios e terceiros. Linguagem acessvel e compreensvel para cada leitor. Prof. Marcelo Figueiredo Segurana de Redes II 7 Poltica de Segurana Documentao da Poltica de Segurana Prof. Marcelo Figueiredo Segurana de Redes II 8 Poltica de Segurana Exemplos de temas para uma poltica de Segurana de Informaes:
I. Gerncia de passwords II. Gerncia de identidade III. Gerncia de terceiros IV. Controle de mudanas e desenvolvimento de software V. Propriedade intelectual VI. Backup VII. Segurana das comunicaes VIII. Logs de atividades de sistemas IX. Administrao da segurana X. Segurana fsica Prof. Marcelo Figueiredo Segurana de Redes II 9 Poltica de Segurana I - Gerncia de passwords Formatao de user-ids e passwords, intervalos de troca, responsabilidades dos usurios / administradores dos sistemas de controle de passwords, critrios para as passwords dos ativos de informaes, tais como switches, impressoras, ...
II Gerncia de identidade Critrios para incluso, modificao e excluso de usurios na rede, segregao de funes, privilgios de acesso especiais, designao e restries de privilgios, administrao de privilgios, ...
III Gerncia de terceiros Critrios para cadastro de acesso s informaes, prazo de validade do(s) acesso(s), termos de responsabilidade / confidencialidade, ....
Prof. Marcelo Figueiredo Segurana de Redes II 10 Poltica de Segurana
IV - Controle de mudanas e desenvolvimento de software Processo de controle de mudanas e atualizao de software, responsabilidades, critrios de temporizao, ...
V - Propriedade Intelectual Cuidados com a propriedade intelectual: pirataria, controle de licenas, ...
VI Poltica de backup Critrios, frequncia, responsabilidades, ...
Prof. Marcelo Figueiredo Segurana de Redes II 11 Poltica de Segurana VII- Segurana das comunicaes Uso obrigatrio de segurana nas conexes remotas, uso da Internet , ...
VIII - Logs de atividades de sistemas Gerao, reviso e manuseio de logs de atividades de sistemas
IX - Administrao da segurana Treinamento e conscientizao de usurios, reporte de incidentes de segurana, processos de homologao de software e hardware, ...
X - Segurana fsica Segregao fsica e manuteno de registros de acesso aos equipamentos sensveis de TI, ...
Prof. Marcelo Figueiredo Segurana de Redes II 12 Poltica de Segurana Atualizaes e revises Prof. Marcelo Figueiredo Segurana de Redes II 13 Poltica de Segurana Estratgia Passos de classificao dos ativos de TI
Identifique e Classifique os ativos:
- Servidores com informaes confidenciais - Servidores com sistemas sensveis - Servidores de desenvolvimento - Servidores de teste - Impressoras - Dispositivos de Rede - Switches, roteadores, access point, ...
Levante os softwares da empresa Quantidade de licenas e quantidade de cpias instaladas Prof. Marcelo Figueiredo Segurana de Redes II 14 Poltica de Segurana Estratgia Passos de gesto de usurios
Defina um critrio para criao de usurios, divulgue-o, e pratique-o.
Defina um prazo razovel para troca de password para acesso rede, divulgue-o e pratique-o.
Defina os critrios para o cadastro de terceiros, tais como ID com data de expirao, responsabilizao do gestor para prorrogao desse prazo
Defina os modelos de Termos de Responsabilidade e Confidencialidade a ser assinado pelos usurios e gestores.
Prof. Marcelo Figueiredo Segurana de Redes II 15 Poltica de Segurana Estratgia Passos de gesto de usurios
Defina uma forma de agrupar os usurios.
Defina uma forma de organizar as pastas dos servidores.
Defina, junto aos gestores, qual o modelo de formalizar a autorizao de acesso s pastas.
Limite os acessos s pastas por grupos de usurios, conforme a classificao efetuada, e informe ao gestor de cada rea.
Prof. Marcelo Figueiredo Segurana de Redes II 16 Poltica de Segurana Estratgia Passos de gesto de direitos autorais
Divulgue a quantidade de licenas oficiais de softwares disponveis aos gestores.
Inicie uma campanha de conscientizao, junto aos gestores, justificada na legislao.
Defina, junto aos gestores, uma forma de regularizar as licenas atuais e novas necessidades.
Prof. Marcelo Figueiredo Segurana de Redes II 17 Poltica de Segurana Temas para discusso
Sua empresa tem uma Poltica de Segurana da Informao?
Voc assinou algum documento de responsabilizao ao entrar na empresa?
Quais os benefcios da implementao de uma Poltica de Segurana da Informao?
Quais os pontos fortes da PSI em sua empresa?
Quais os pontos fracos da PSI em sua empresa? Prof. Marcelo Figueiredo Segurana de Redes II 18 Poltica de Segurana Pesquisa
Documentos de PSI disponveis para consulta pblica Dvidas Dvidas ? Comentrios ?
Crie seu mercado no mundo digital: Aprenda a viver de e-commerce com a estratégia que levou inúmeros negócios on-line a sair do zero e ultrapassar os R$ 100 mil em vendas por mês