POLÍTICA DE SEGURANÇA EM TI

A Informação é o patrimônio mais precioso que as Empresas possuem, por essa razão, desenvolver, aplicar e manter uma Política de Segurança é fundamental. Uma informação incorreta circulando dentro da Organização ou o vazamento de assuntos confidenciais podem causar um desastre de proporções irreversíveis, tanto no aspecto financeiro como na imagem da Empresa. Seria importante desenvolver o que nós da G2TI denominamos de Perímetro de Segurança, a linha que delimita as fronteiras internas e externas, onde a informação deve ficar protegida. A Proteção está diretamente vinculada aos privilégios de acesso, armazenamento e distribuição da Informação. Níveis de acesso, privilégio e autorizações devem ser claramente definidos nesta política. Na maioria dos casos, deverá ser nominal, determinando especificamente, qual o profissional interno da Empresa que pode utilizar a Informação, em procedimento bem claro. Quando falamos em Segurança, nos vêm à mente as senhas (Cadeia de caracteres que autoriza o acesso a um conjunto de operações em um sistema de computadores ou em equipamentos computadorizados), para autorizar os acessos, quer seja físico (entradas, saídas), ou lógico (sistemas, arquivos). A Tecnologia de Segurança está cada vez progredindo mais na busca da melhor forma de proteção. Sistemas de Vídeo monitoram e gravam a circulação de pessoas. Sistemas de biometria permitem acesso através da validação da impressão digital ou da íris. Novos conceitos são amplamente discutidos ultrapassando a área de TI, indo principalmente para a área jurídica, para que se evite o excesso de controle e não se atinja a privacidade do cidadão. Um tema muito debatido é o e-mail das pessoas que trabalham nas Empresas.Há várias perguntas devem ser monitorados é uma delas, pois, cada endereço de e-mail tem ao seu final o nome da Empresa, bem como a utilização do e-mail particular, nas dependências da Empresa, pois, a ele pode ser anexado algum documento eletrônico que somente deva ser utilizado dentro da Organização. São vários os componentes que devem ser analisados e definidos no Perímetro de Segurança. Conteúdo da Política de Segurança A Política de Segurança deve conter todas as medidas de administração da Informação da Empresa, é recomendado que seu desenvolvimento seja realizado por um grupo neutro, isento, externo e competente. Abrangência O seu conteúdo deve ser extremamente abrangente, totalmente adequada ao negócio. Esta abrangência deve ir além das fronteiras da Empresa, deve contemplar: a Matriz, as Filiais, os Bancos, os Clientes, os Fornecedores, os Parceiros, os Beneficiados, os Concorrentes, as Unidades de Negócio, o Governo, os Representantes e a Comunidade como um todo. As questões regionais devem ser previstas. Multinacionais com presença em diversos países devem verificar as leis e padrões do País em que estão sediadas, pois estas podem, em tese, interferir na Política de Segurança. Após a definição dos componentes da Política de Segurança, devem ser pesquisados regionalmente os recursos de Tecnologia (equipamentos, sistemas, procedimentos), que compõem a infraestrutura necessária para a viabilização dessa Política. Usuários habilitados A área de Recursos Humanos é imprescindível para manter o controle sobre os usuários nos aspectos de sua capacitação. O usuário deve ser qualificado, a fixação do conhecimento adquirido deverá, ser realizado através de reciclagens ou treinamentos. O conceito de usuário (Cada um daqueles que usam ou desfrutam alguma coisa coletiva, ligada a um serviço público ou particular); passível de habilitação também deve ser definido, considerando-se que existem profissionais na Empresa que ainda não estão qualificados para tal, uma vez que esse trabalho específico, exige muita responsabilidade. Os Estagiários são um exemplo, eles ainda não podem ser considerados como profissionais efetivos da Empresa. O usuário deve ser identificado pelo seu nome, cada acesso deve ter o registro de todas as suas ações e jamais as senhas devem ser divulgadas entre os usuários, bem como, alteradas periodicamente, isto já deverá ser automatizado. Deve existir um Termo de Responsabilidade para cada usuário assinar, concordando com o respeito à Política de Segurança vigente. Caso alguém possa vir a infringir às normas de Segurança, a demissão por Justa Causa poderá vir a ocorrer. Para evitar essa possibilidade, a Política de Segurança deverá vir a ser amplamente divulgada entre os usuários, bem como treinamentos devem ser realizados. Apoio e suporte Não os ter, serem precários ou desestruturados é porta aberta para o risco. Caso não existam, o usuário poderá incorrer em erros, e se não houver reciclagem e treinamento, a situação poderá se tornar conflitante. Estruturar o apoio acima significa ter um Help Desk que funcione, apóie em primeiro nível e transfira para um profissional mais preparado caso a necessidade seja mais grave. Todo o registro, desde a solicitação até a solução final deve ser mantido. Análises periódicas devem ser realizadas nestes registros, para conhecimento dos pontos vulneráveis e a tomada de ações pro-ativas e corretivas. Redes Interna e Externa Os Arquivos departamentais devem ser acessados somente pelo grupo de trabaho autorizado. Esta é uma regra de segurança que identifica ilhas departamentais. Acesso com tentativas indevidas devem resultar no bloqueio de login, e as recorrências investigadas.

A G2TI é uma empresa integradora e provedora de Gestão e modelos de Governança em Tecnologia de Informação abrangendo as áreas de Infraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED – Gestão Eletrônica de Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br

A estruturação das senhas deve ser determinada, deve-se evitar números de documentos, as datas de nascimento, as repetições de seqüência de digitos, para evitar ao máximo sua dedução. Sistemas aplicativos Só os usuários autorizados podem acessar as funcionalidades e módulos a eles determinados, ou seja, somente os que já os tenham determinado e já estejam integrados ao seu perfil de atuação na empresa. A identificação do usuário ocorre pelo monitoramento e pelo que já foi processado e registrado. Acesso Físico Somente pessoal autorizado pode entrar no local onde estão os servidores e equipamentos de comunicação. Pessoas que cuidam da limpeza devem receber acompanhamento e orientação na prestação de serviços, pois os produtos de limpeza ou a água podem queimar os equipamentos. Produtividade do Trabalho A produtividade no trabalho normalmente é evitada com bloqueio aos entretenimentos, isto é realizado com a remoção caso existam, e ao bloqueio na instalação de jogos, acesso à páginas impróprias, que podem conter os chamados Cavalos de Tróia, que são vírus ou programas maliciosos (cookies), podendo trazer consigo e instalando programas piratas, que realizaram monitoramento empresarial. Profissionais em trânsito O nível de proteção dos equipamentos móveis deve se o melhor. O ideal seria é que estivessem presos às mesas de trabalho através de cabo com cadeado. O acesso à configuração do equipamento deve ser protegido por senha, assim como, o acesso às informações. Um dos critérios adotado por nós, é realizar a criptografia com software adequado. A biometria é muito utilizada nestes equipamentos, assim como cartões (smart cards), que possuem senhas variáveis e sincronizadas com Provedores externos (ISP – Internet Service Providers). Acesso remoto Os computadores de mesa (desktops) devem ter sua configuração de modens

realizada por profissionais autorizados, pois, através do ramal telefônico podem ser ligados e acessados remotamente, por softwares apropriados. Pode utilizar-se os equipamentos de proteção (firewall), que também permitem acesso a rede pela Internet ou não. Somente os clientes, os fornecedores, ou outros profissionais autorizados, todavia sempre com monitoramento constante. Concessão de uso de programas Os programas instalados devem ter correspondência com as atividades do negócio, somente programas autorizados pelos fabricantes para cada cópia ou para cada licença de uso devem ser instalados. A Política de Segurança deve ser bem clara quanto à proibição de programas tipo: FREEWARE, SHAREWARE e ADDWARE. Processo de homologação A escolha de produtos de TI deve ser realizada através de um processo de homologação, considerando a sua real adequação às necessidades do negócio da Empresa. Adquirir tais produtos e/ou serviços, sem um proceso de homologação, pode acarretar em possíveis investimentos desnecessários ou inadequados. Critérios para a escolha devem considerar padrões de qualidade em seu funcionamento, suporte do fornecedor e a rspectiva de vida do mesmo. e-Business O comércio eletrônico, as compras ou até mesmo o recebimento de e-mail, devem ser alvo de extrema segurança. Através deles podem entrar desde os virus já referidos, bem como os como hackers,, destruindo ou propagando informações sigilosas. Projetos Novos programas, novas funcionalidades ou até mesmo em alterações de sistemas em plena atividade, devem passar por uma quarentena, similar a das matérias primas recebidas dos fornecedores, as quais, após testes e avaliações, são colocadas para a produção. Um programa contendo um erro pode repercutir em novo erro na informação armazenada, sem falar na total distorção no gerenciamento da Organização.

Proteção elétrica A rede elétrica assim como a rede de dados deve ter aterramento e total independência. Protetores, nobreaks devem existir, evitando prejuízo no investimento e/ou paralisação do negócio. Disponibilidade Paradas na rede ou no servidor devem ser evitadas, com um forte gerenciamento pro -ativo, através de produtos existentes no mercado gerenciadores do processamento e da rede (física). Redundância de processadores e de disco em uma ligação cluster,são alternativas usadas para evitar a paralisação. As informações devem ser copiadas (backups) diariamente e guardadas em local distante de preferência em cofres que protejam contra fogo. O nível máximo de segurança é a contratação de sites externos, pois em caso de desastres o processamento estará a salvo, podendo continuar sendo executado. Alertas dos sistemas (operacional, aplicativos e equipamentos) devem ser sempre checados, pois via de regra, preconizam uma futura paralisação. Integridade das informações A Manutenção no Banco de Dados tem o objetivo de manter o sincronismo e apurar rupturas na integridade, devem ser realizadas sistematicamente. Padronização Padrão em todos os sentidos facilita a administração. Pastas de arquivos, sistemas padronizados, fornecedores homologados, existência de documentação são fatores vitais de sucesso. Manutenção e Atualização Manter as atualizações ou correções de aplicativos, sistemas operacionais disponibilizadas pelos fornecedores evita transtornos. Uma forte parceria com estes fornecedores deve ser realizada, a maioria destas atualizações encontra-se disponível na Internet. A Origem e o destino das Informações Trocar informações com Países ou grupos extremistas de procedência não aceita pelos organismos internacionais não deve existir. Isto pode qualificar a Organização como simpatizante desses, ou ainda, acarretar embargos ou investigações e processos Internacionais.

A G2TI é uma empresa integradora e provedora de Gestão e modelos de Governança em Tecnologia de Informação abrangendo as áreas de Infraestrutura, Sistemas aplicativos (ERP), Projetos, Help-Desk, Desenvolvimento de Internet, Intranet e Extranet, GED – Gestão Eletrônica de Documentos., Consultoria Organizacional alinhada com TI. www.g2ti.com.br