GUIA DE
Segurança da informação
Índice 1. Introdução 2. Objetivo
(p. 4)
3. O que é a Política de Segurança da Informação
(p. 5) (p.5)
4. Por que a Segurança da Informação é importante para mim? (p.10) 5. O que eu ganho com a Segurança da Informação? (p.11) 6. Que riscos corremos sem a Segurança da Informação?
(p. 12)
7. Engenharia Social
(p. 13)
8. Por que devo me preocupar com a segurança do meu computador? (p. 16) 9. Senhas
(p. 18)
10. Algumas dicas rápidas
(p. 20)
1. Introdução A Tecnologia da informação (TI) está presente em todas as etapas dos processos produtivos da Itambé, envolvendo diferentes áreas em todas as unidades do país. Os serviços disponibilizados pela TI são suportados por ativos: equipamentos, sistemas, processos, informações e pessoas. Se todos esses componentes não estiverem bem mapeados, documentados, dimensionados, configurados e monitorados, corre-se o risco de que alguns serviços sofram interrupções, impactando na cadeia de negócios da empresa. A responsabilidade e os desafios são grandes para a área de Tecnologia da informação. Prover recursos seguros para garantir o funcionamento da empresa é o maior desafio. Além de mecanismos técnicos, a fluidez dos processos de TI requerem o envolvimento e a conscientização de todos os usuários dos sistemas de informação da empresa. A fim de manter esta estrutura segura, foi desenvolvido o Plano de Segurança da Informação (PSI), no qual a Política de Segurança foi estruturada com normas que seguem a ISO 27002. 4
2. Objetivo Esta cartilha foi criada para conscientizar todos os funcionários e prestadores de serviços da Itambé sobre a importância da Política de Segurança da informação para a empresa e todos os colaboradores, informando os processos que envolvem a Tecnologia da Informação (TI).
3. O que é a política de Segurança da Informação? Podemos dizer que a Política de Segurança da Informação deve atender a três requisitos básicos relacionados aos recursos que a compõem: confidencialidade, integridade e disponibilidade. – A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; – A integridade diz que a informação não é destruída ou corrompida e o sistema deve ter um desempenho correto; – A disponibilidade diz que os serviços e recursos do sistema estão disponíveis sempre que forem necessários. 5
3.1 Objetivos da Política de Segurança da Informação A Política de Segurança da Informação trata a relação de normas para se preservar a confidencialidade, integridade e disponibilidade das informações. Assim, abordando as melhores práticas, temos os seguintes objetivos: • Adequar o Sistema de Controle à crescente complexidade operacional; • Reduzir os riscos de descontinuidade – parcial ou total – da operação; • Reduzir os riscos de vazamento de informações sigilosas; • Reduzir os riscos de fraudes; • Reduzir os riscos de não cumprimento de obrigações legais; • Atender as recomendações da auditoria externa; • Adequar o processo de gestão de riscos em TI aos padrões de mercado; • Formalizar papéis e responsabilidades de todos os colaboradores; • Comunicar, formalmente, o que é permitido ou proibido em relação à manipulação de informações e uso de sistemas da empresa; 6
• Informar que o não cumprimento da política poderá gerar punições e, até mesmo, desligamentos; • Servir como diretriz para que todas as áreas da organização revejam seus procedimentos,sistemas, ativos de informação e serviços prestados com o objetivo de tornarem-se conformes à nova política.
3.2 Aspectos jurídicos A Política de Segurança da Informação é um documento jurídico, no modelo de Diretriz, que traz todas as regras, padrões e procedimentos obrigatórios para proteção de ativos e informações. Esses processos são, cada vez mais, dependentes de softwares , internet e e-mail. Esta política é essencial para que a empresa esteja em conformidade com a legislação, devendo atender a ISO 27002, o novo Código Civil e demais leis em vigor. Logo, os principais focos jurídicos são: • Estar compliance à norma ISO 27002 – de Segurança da Informação; • Proteger a empresa de riscos e contingências legais relacionadas ao mau uso da informação, uso não autorizado, vazamento de informação confidencial, danos à terceiros, crime e fraude eletrônica, invasão de privacidade e outros; • Atender aos preceitos da Constituição Federal, Código Civil, Código Penal, Lei de Direitos Autorais, Lei de Software 7
(antipirataria), Consolidação das Leis Trabalhistas, entre outros dispositivos legais de âmbito nacional e internacional; • Garantir que os contratos estejam adequados em nível de responsabilidades relacionadas à geração, uso e manuseio das informações; • Garantir a proteção legal dos dados de clientes depositados dentro da empresa.
3.3 Plano de Segurança da Informação da Itambé É um conjunto de normas e procedimentos que inclui: • Documentos, procedimentos e controles; • Condições para conscientizar os colaboradores da empresa no manuseio correto de dados, sistemas e informações; • Implementar mecanismos técnicos que garantam a confiabilidade, integridade e disponibilidade das informações, diminuindo os riscos para o negócio; • Garantir a conformidade com as requisições das entidades reguladoras e leis aplicáveis. 8
3.4 As normas A Política de Segurança da Informação é acompanhada por uma série de normas específicas. Essa regulamentação está agrupada por ambientes tecnológicos, o que facilita o atendimento. Confira as regras e os respectivos exemplos a seguir: • Segurança Física: a entrada na sala dos servidores é restrita e apenas será permitida pelos usuários cadastrados no sistema de acesso; • Segurança em Servidores: apenas os funcionários administradores de redes terão permissão de logon nos servidores; • Segurança em Desktop: não será permitido aos usuários a instalação, desinstalação ou quaisquer alterações nas configurações de software sem autorização prévia da área de Informática. Existindo necessidade específica, a solicitação deve ser formal e por escrito junto à Central Service desk, que encaminhará o pedido para o Departamento de Suporte; • Segurança em Redes: cada usuário habilitado para acesso à rede de comunicação de dados possui um identificador de usuário (ID) único. Com isso, cada usuário pode ser identificado e responsabilizado pelas próprias ações. • Segurança em Internet e intranet: é vedado o uso da internet em páginas que contenham material obsceno ou pornográfico, de cunho racista, ilegal, ofensivo ou 9
não ético,passível de prejudicar a imagem de clientes, funcionários e fornecedores. • Segurança em Aplicações:todo e qualquer sistema de processamento de dados adquirido ou desenvolvido cumpre as normas estabelecidas na Lei de software nº 9.609, de 19 de fevereiro de 1998, que dispõe sobre a proteção da propriedade intelectual de programas e sistemas computacionais, a comercialização no País, além de penalidades para as empresas que utilizarem-se de cópias não autorizadas de software (pirataria). Todos os colaboradores são responsáveis por cumprir a Política de Segurança da Informação da empresa. Para isso, é fundamental a leitura desta cartilha e a assinatura do termo de responsabilidade presente na última página.
4. Por que a Segurança da Informação é importante pra mim? A Segurança da Informação é um ambiente estratégico para a sobrevivência das empresas em um ambiente competitivo. Se antes os dados e as informações eram manipulados através do acesso à papéis guardados em armários, cofres e protegido por “guardas”, atualmente são armazenados em meio magnético e manipulados através do acesso à mídias, 10
computadores, celulares, pockets, sem a necessidade de presença física. A evolução da tecnologia e sistemas trouxe avanços significativos em relação à eficiência. Da mesma forma, trouxe novos riscos, agora no espaço virtual, antes inexistentes. A adoção de medidas relativas à segurança da informação pode aprimorar as atividades da empresa (reduzindo custos e protegendo a receita); reduzir os riscos do negócio; fortalecer a imagem e criar valor para si, para os colaboradores e para os acionistas. Por outro lado, a ausência de processos e controles de segurança podem acarretar impactos que ocasionarão perda de faturamento, custos e despesas.
5. O que ganho com a Segurança da Informação? Todos ganham: clientes, fornecedores, prestadores de serviço, colaboradores, consultores, auditores, além da própria empresa. Adquire-se conhecimento e domínio das melhores práticas em gestão da segurança virtual. No entanto, a proteção efetiva requer uma abordagem ampla, não apenas tecnológica, incluindo o gerenciamento, 11
procedimentos e regime de gerenciamento de risco que permita às empresas tirar proveito dos avanços tecnológicos sem expor um de seus ativos mais significativos: a informação.
6. Que riscos corremos sem a Segurança da Informação? Um dos primeiros fatores a serem observados é a estrutura tecnológica da empresa, uma vez que todos têm o dever de preservar. Outro fator determinante são os órgãos reguladores do governo, que já estão cobrando obrigatoriedade das empresas na estruturação da Política de Segurança da Informação, conforme a ISO 27002. É fator primordial nas auditorias realizadas na Itambé a formalização dos critérios de segurança para todos os procedimentos. Além disso, o Brasil possui leis de propriedade intelectual, que podem responsabilizar a empresa em caso de fraudes provenientes da falta de segurança estruturada. 12
7. Engenharia Social Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações
7. Que exemplos podem ser citados sobre este método de ataque? Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O último exemplo apresenta um ataque realizado por telefone. A: você recebe uma mensagem por e-mail em que o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem, ele diz que o serviço de Internet Barking está apresentando algum problema e que este pode ser corrigido se você executar o aplicativo que está anexo à mensagem. A execução deste aplicativo apresenta uma tela análoga aquela que você utiliza para ter acesso à conta bancária mas que, na realidade, trata-se do envio de informações diretamente ao atacante da rede. 13
B: você recebe uma mensagem por e-mail dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da internet para eliminar o vírus do seu computador.A real função desta ferramenta não e eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos dados nele armazenados. C: algum desconhecido liga para sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação, ele diz que sua conexão com a internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas utilizando a sua conta de acesso a internet e, portanto, relacionar tais atividades ao seu nome. Estes casos mostram ataques típicos de Engenharia Social. Os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa. O sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.
14
7.2 Algumas dicas para não se tornar vítima da Engenharia Social • Não dê informação sobre a empresa ou sua vida pessoal à pessoas desconhecidas e/ou não autorizadas; • Evite discutir trabalho fora da empresa, pois há grande possibilidade de haver alguém interessado na sua conversa para obter informações privilegiadas; • Cuidado ao usar o notebook em locais públicos (aeroportos, rodoviárias, restaurantes, entre outros); • Não repasse à pessoas desconhecidas informações sobre a empresa, seja por e-mail, ligações telefônicas ou mesmo pessoalmente; • Evite deixar papéis sobre sua mesa, informações confidenciais podem estar á vista. • Evite Colocar informações pessoais ou da empresa em redes sociais como Facebook, Instagram, etc. 15
8. Por que devo me preocupar com a segurança do meu computador? Computadores são utilizados para realizar inúmeras tarefas, tais como: • Transações financeiras (sejam elas bancárias ou mesmo compra de produtos e serviços ); • Comunicação (através de e-mails ou em softwares de mensagens instantâneas); • Armazenamento de dados (utilizando o espaço digital da empresa para depositar informações); Dessa maneira, é fundamental que você se preocupe com a segurança de seu computador. Você, provavelmente, não gostaria que: • Suas senhas de acesso ao sistema e números de cartões de crédito fossem furtados e utilizados por terceiros; • Sua conta de acesso á internet fosse utilizada por alguém não autorizado; • Seus dados comerciais fossem alterados, destruídos ou visualizados por terceiros; 16
• Seu computador deixasse de funcionar por ter sido comprometido e arquivos essenciais do sistema fossem apagados.
8.1 Por que existem pessoas que invadem redes corporativas de computadores? A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser: • Utilizar seu computador em alguma atividade ilícita para esconder a real identidade e localização do invasor; • Utilizar seu computador para lançar ataques contra outros computadores; • Utilizar seu disco rígido como repositório de dados; • Destruir informações; • Disseminar mensagens e alarmes falsos; • Ler e enviar e-mails em seu nome; • Propagar vírus de computador; • Furtar números de cartões de crédito e senhas bancárias. 17
9. Senhas A senha é o acesso à rede de qualquer sistema computacional e serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade, assegurando que este é realmente quem diz ser. Portanto, a senha merece consideração especial, afinal, ela é de sua inteira responsabilidade.
9.1 O que não deve ser usar na elaboração de uma senha Nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas deverão estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informação para tentar se autenticar como você. Existem varias regras de criação de senhas, sendo que uma regra muito importante é jamais utilizar palavras que façam parte de dicionários. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e, geralmente , possuem listas de palavras (dicionários) e listas de nomes (nomes próprios , músicas , filmes , entre outros).
9.2 O que é uma boa senha? Uma boa senha deve ter pelo menos oito caracteres (letras , números e símbolos). Também deve ser simples de digitar e, mais importante, fácil de lembrar. 18
De modo geral, os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. Por exemplo, “pAraleLepíPedo” e “ paRalElepípEdo “ são senhas diferentes. Entretanto, são senhas fáceis de descobrir utilizando softwares para quebra de senhas, pois não possuem números e símbolos, além de conter repetições de letras.
9.3 Como elaborar uma boa senha? Quanto mais “bagunçada” for a senha, melhor, pois mais difícil será para ser descodificada, ou seja, descoberta por terceiros. Assim, tente misturar letras maiúsculas, minúsculas, números e sinais de pontuação. Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, a segunda ou a última letra de cada palavra. Por exemplo usando a frase “estou conhecendo a segurança da informação da Itambé” podemos gerar a senha “!EcsiI”( o sinal de exclamação foi colocado no inicio para acrescentar um símbolo á senha). Senhas geradas desta maneira são fáceis de lembrar e são, normalmente, difíceis de serem descobertas. Vale reforçar: a senha “!EcsiI” deixou de ser uma boa opção, pois faz parte desta cartilha. Troque sua senha com frequência e, quando for convidado a trocar, mediante pedido da Equipe de Segurança 19
da Informação da Itambé, opte por opções seguras e memorizadas. Não passe sua senha para ninguém, afinal, a responsabilidade é toda sua. É MELHOR TER UMA SENHA FÁCIL E MEMORIZADA, A TER UMA SENHA DIFÍCIL E ANOTADA!
10. Algumas dicas • Evite deixar seu computador ligado e aberto quando você estiver fora da estação de trabalho. Pratique bloqueio do equipamento; • Cuidado com comunidades online. Ainda que seja sem querer, você pode se envolver com algum conteúdo que pode gerar problemas legais tanto no âmbito civil quanto criminal; • Não passe informações de CPF, cartão de crédito e dados de conta bancária por e-mail sem um nível mínimo de segurança da informação; • Evite abrir e-mails estranhos; • Evite clicar em links diretos na mensagem. Sempre verifique se o endereço do site realmente está correto. Na dúvida, se suspeitar que seja um spam ou fraude eletrônica, sempre verifique a informação do e-mail ligando para a Central Service Desk; • Cuidado com suas senhas! Não empreste para ninguém deixe-as anotadas em papéis ou post-its. 20
Termo de Responsabilidade Eu,___________________________________________________ _________________, portador(a) do CPF nº _________________ _____________________________, declaro para os devidos fins que: 1. Do conteúdo das diretrizes e normas constantes da política de Segurança da Informação da Itambé Alimentos S/A, assumindo o compromisso de observá-las e aplicá-las, à elas me submetendo e às sanções previstas nas normas internas e sob as penas da lei; 2. Autorizo a empresa monitorar e fiscalizar todas as minhas correposndências eletrônicas, recebidas através de e-mail do domínio “@itambe.com.br”, ou e-mail particular recebido no provedor da empresa, não caracterizando violação de correspondência, tampouco interferência no direito de intimidade e privacidade, pois se tratam de propriedade particular da empresa, colocados à minha disposição para o desempenho do meu trabalho; 3. Reconheço que: a. É proibido o uso de todos os meios eletrônicos, tais como e-mail, acesso à internet, utilização do provedor da empresa e demais meios de comunicação relacionados à informática, para fins não profissionais. Dentre eles: acesso à internet, recepção ou transmissão de e-mails com conteúdos pornográficos, pedofilia, drogas, e qualquer outro considerado impróprio. b. É proibido o uso da rede para atividades ilegais ou que interfiram com o trabalho do outro; c. É proibido o uso dos equipamentos computacionais da empresa para obter acesso não autorizado à qualquer outro computador, rede, banco de dados, ou informação guardada eletronicamente, conhecido como “hacker”; d. É proibido o uso de cópia, distribuição ou impressão de material protegido por direitos autorais; e. É proibida a transmissão de declarações sexualmente ofensivas, agressivas ou difamatórias; f. É proibido enviar informações sigilosas para outras pessoas ou empresas, salvo quando solicitado por escrito por algum membro da diretoria da Itambé Alimentos; g. É proibido copiar, enviar, fotocopiar e, mais especificamente, utilizar qualquer meio de mídia de gravação para divulgar as informações oriundas da empresa; h. A violação a qualquer uma das disposições sobre política de uso de equipamentos de informática, configurará falta grave podendo a empresa aplicar as penalidades cabíveis, sem prejuízo da responsabilidade na esfera cível, administrativa ou penal; Declaro que li, entendi, e assinei a presente declaração, livre de quaisquer dos vícios de manifestação da vontade prevista em lei.
Belo Horizonte,_________de________________________ de_______________________. ______________________ Assinatura do usuário
O desafio da Segurança da Informação não é apenas a de resguardar o usuário, mas sim balancear proteção com o processo de negócio. É preciso tratar segurança como gestão estratégica das atividades!
Alimentos S/A