INSTITUTO SUMAR DE EDUCAO SUPERIOR ISES FACULDADE SUMARE

SEGURANA DA INFORMAO EMPRESA FINANCIAL SYSTEM LTDA.

CARLOS EDUARDO LEITE RA: 1215700 ECLESIASTICO LIRA SILVA RA: 1216840 FERNANDA GOMES PEREIRA RA: 1223594 GERSON MARCIEL DA SILVA RA: 1114170

SO PAULO 2013
1

INSTITUTO SUMAR DE EDUCAO SUPERIOR ISES FACULDADE SUMARE

SEGURANA DA INFORMAO EMPRESA FINANCIAL SYSTEM.

SO PAULO 2013
2

RESUMO
Este um trabalho do quarto semestre do Curso de Ensino Superior em Redes de Computadores que visa apresentao do setor de segurana da empresa fictcia Financial System. Ser apresentada a estrutura de segurana formada por hardwares, softwares e polticas de segurana que a compe. O principal objetivo de demonstrar como funciona a segurana de informaes em uma empresa de mdio porte, as ameaas aos ativos da empresa, os principais recursos para possveis ataques e medidas em caso de invaso e perda de dados.

ABSTRACT
This is a work of the fourth semester of the Higher Education Computer Network which aims at presenting the security sector of the fictitious Financial System. You will see the security structure consisting of hardware, software and security policies that make it up. The main objective of demonstrating how the information security in a medium-sized company, the threats to the assets of the company, the main resources for possible attacks and measures in case of intrusion and data loss.

SUMRIO Resumo .....................................................................................................3 Abstract ......................................................................................................4 ndice de Figuras.........................................................................................5 1. Introduo................................................................................................7 2. Estrutura de Segurana ..........................................................................8 2.1 Firewall..................................................................................................8 2.2 Windows Server 2008 Enterprise R2....................................................11 2.3 Proteo de acesso rede ...................................................................11 3. Debian 6 ................................................................................................12 4.Banco de Dados .......................................................................................13 4.1 Microsoft SQL Server 2008 R2 ..............................................................13 4.2 Benefcios ..............................................................................................13 5. Antivrus para Desktops............................................................................15 6. Monitoramento de Banco de dados...........................................................16 7. Monitoramento de Rede ............................................................................17 7.1 Principais Benefcios................................................................................18 8. Polticas de Segurana...............................................................................18 9. Controles de acesso....................................................................................30 10.Concluso....................................................................................................31 11. Referencias Bibliogrficas...........................................................................32

NDICE DE FIGURAS

Figura 1..........................................................................8 Figura 2 .........................................................................9 Figura 3 .........................................................................9 Figura 4..........................................................................10 Figura 5......................................................................... 13 Figura 6..........................................................................14 Figura 7..........................................................................15

1. INTRODUO: A tecnologia alm de indispensvel atualmente tornou-se o foco para interao e transmisso de informaes, oferecendo otimizao do tempo e principalmente segurana com integridade de dados, os quais o sistema coorporativo pode utilizar garantindo melhor satisfao de clientes e colaboradores estabelecendo uma relao de confiana e transparncia. Com isso a empresa Financial System sediada na Avenida Paulista n 1000, mostra um cenrio evidente de tecnologia aplicada com segurana e infraestrutura arrojada. Segurana que torna possvel a comodidade e estabilidade do sistema que corrige eventuais falhas em banco de dados ou rede, que somente tornou-se possvel graas a uma estrutura eficaz e dinmica. Softwares modernos que atendem as necessidades da empresa para centralizao de informaes em ambiente monitorado e integrado. Hardwares configurados para atendimento uma grande demanda de acessos para trfego estvel de informaes. A poltica de segurana estabelecida estabelece regras compatveis com a necessidade do empregador e empregado para vnculo de informaes adquiridas desde o momento da contratao at final do contrato celebrado entre as partes. Ao longo dos captulos o leitor receber informaes sobre softwares e hardwares que compe a estrutura fsica para segurana e tambm uma viso geral de como a tecnologia perfeitamente aplicvel a qualquer negcio .

2. Estrutura de Segurana:

Figura 1

Sero apresentadas as principais solues encontradas pela empresa para evitar possveis ataques e invases rede.

2.1 Firewall
8

Empresa Financial System possui firewall fsico gerencivel para segurana de servidores de arquivos e softwares e tambm para servidores VPN, o modelo utilizado o Cisco ASA 5505 que equilibra segurana e produtividade, oferecendo ainda a inspeo de pacotes, deteco e preveno de invases ao sistema. Esta inspeo oferecida pelo firewall realizada pelo administrador de redes que gerencia as atualizaes realizando uma filtragem sob os contedos trafegados, assim torna-se possvel a deteco de vrus,spyware,phishing,spam e diversas ameaas que circulam pela rede.

Figura 2 O modo de operao predominante o de encaminhamento, onde o firewall atua como um dispositivo nvel 3 interligando cada camada de sua interface a uma sub-rede diferente, utilizando o mesmo endereo IP pertencente a estas sub-redes.

Vejamos abaixo como funciona esta estrutura:

3
9

Figura 3 Conforme a figura acima o firewall torna-se uma passagem obrigatria entre a rede local e a rede externa, possibilitando uma troca segura de pacotes entre redes diferentes. O endereo de suas interfaces funciona de forma transparente e reconhecida atravs da funcionalidade IPCom que realiza a inspeo avanada dos protocolos de voz e assinaturas de IPs especficos. A conectividade estabelecida pelos servios IPSec (Protocolo De Segurana IP) e SSL que fornece ao administrador e usurios privacidade durante troca de informaes em um local especfico na internet como por exemplo acesso bancos.Alm disso esta conectividade fornece autenticidade de informaes e preveno o chamado identity spoofing (garantia de dados verdadeiros fornecido pela pessoa) quando existe transferncia de informaes atravs de redes IP pela internet. Alm de proteo rede local este firewall garante segurana de informaes da empresa na web e tambm o acesso de seus colaboradores atravs da VPN, deste modo o firewall conecta a rede privada a um rack virtual conforme imagem abaixo:

Figura 4 Este modo de transmisso de dados permite que administrador gerencie at 750 sesses simultneas, facilitando a configurao do servio para cada usurio que utilize esta conexo e permitindo a alterao de acesso a qualquer momento sem que o servio seja interrompido. Todos os acessos externos realizados pelos colaboradores so criptografados ou seja uma informao como email por exemplo enviado torna-se impossvel de ser decifrado fora deste ambiente, transformando- se em um emaranhado de cdigos incompreendidos.
10

2.2 Windows Server 2008 Enterprise R2 A Financial System utiliza o sistema Windows Server 2008 R2
,

este

sistema operacional possui diretivas de grupo onde o administrador gerencia configuraes de grupos de computadores e usurios, configuraes de segurana, implantao de software, scripts, redirecionamento de pastas, Servios de Instalao Remota e manuteno do navegadorcom isso possivel testar e planejar um controle padronizado de funcionalidades dos nveis de segurana em rede e o gerenciamento que o sistema necessita para manter-se estvel. 2.3 Proteo de Acesso Rede A exposio de dispositivos clientes a softwares mal-intencionados, como vrus e worms, continua a crescer. Esses programas podem conseguir acesso a um sistema host desprotegido ou configurado de forma incorreta e utilizar esse sistema como um ponto inicial para se propagarem para outros dispositivos na rede corporativa. Administradores de rede tm uma plataforma para atenuar essa ameaa com a NAP da Microsoft, um conjunto abrangente de componentes de sistema operacional includo no Windows Server 2008, Windows 7 e Windows Vista que proporciona uma plataforma para ajudar a assegurar que computadores clientes e uma rede privada satisfaam requisitos definidos pelo administrador para integridade do sistema. Visite a pgina da NAP na Web para mais informaes. Fonte: Microsoft Principais recursos Servio de rea de Trabalho Remota Gerenciamento de energia Gerenciamento de dados Plataforma de aplicativos WEB Compatibilidade de aplicativos
11

Controlador de domnio - Active Directory

3. Debian 6 Alguns servidores da Financial System utilizam o Debian 6.0 como sistema operacional, pois oferece ferramentas de segurana adpatadas para segmentaes diferentes possui criptografia integrada inclusas na instalao padro, para preveno de ataques principalmente em navegadores e servidores web. Alm de um sistema operacional robusto e altamente estvel, ele ainda comporta os seguintes aplicativos:

Servidor de Arquivos Servidor WEB Banco de Dados Agendador de tarefas Servidor de impresso Servidor DNS

Este sistema possui ainda uma ferramenta remota de vulnerabilidade, o NESSUS que inicia na rede da empresa ataques programados, verificando a maioria dos sistemas incluindo dispositivos de rede, servidores ftp e www. O administrador ainda pode realizar uma varredura na rede e recuperar informaes de nome de servidores samba habilitados, incluindo nomes de usurios e de rede, endereos MAC. Estas ferramentas ainda so acopladas

12

uma auditoria de cdigo fonte em C/C++ que encontram erros de programao evitando potenciais falhas.

Figura 5

4. Banco de Dados 4.1 Microsoft SQL Server 2008 R2 Banco de dados possui configuraes que aumenta a disponibilidade e fornecem redundncia completa em caso de desastre ou atualizao planejada, evitando assim que pginas sejam corrompidas, e fornecendo automaticamente uma verso espelho. Possui recursos failover contnuos em caso de falha na CPU ou memria compartilhando o acesso ao disco entre outros servidores 4.2 Benefcios

13

Backup e Restore: Conjunto de backup espelhado realizando-o de forma simultnea para mltiplos dispositivos e aumenta a proteo no caso da falha de uma mdia de backup.

Segurana: Usurios e aplicativos somente acessam o SQL Server 2008 R2 atravs de logon que associado ao usurio do banco de dados e uma ou mais funes a ele atribudas. Por essas permisses concedidas possvel determinar as quais operaes podem ou no efetuar conexes, assim contas com menos privilgios adquirem um conjunto mnimo de permisses necessrias para funcionalidade legtima e contribuio para segurana do banco de dados.

Figura 6

14

5. Antivrus para Desktop

Para proteo de desktop a empresa optou pela instalao do antivrus Norton que possui configurao que identifica ficheiros e aplicaes seguros ou no, monitorando-os e fornecendo sinais que indicam se estes ficheiros so ou no perigosos. Alm disso existe o bloqueio de spam que efetua uma varredura a caixa de correio livre detectando mensagens perigosas e fraudulentas. Durante a manipulao de atualizao em servidor o administrador pode analisar a web e identificar hiperligaes de contedos suspeitos identificando se houve alguma fraude recente, a monitoria pode ser realizada em tempo real contando com suporte 24 horas por dia. Alm disso o usurio durante navegao na web conta com o diagnstico Insight que evita o acesso a ficheiros com baixa reputao, bloqueando sites phishing que roubam informaes pessoais. Existe tambm um servio de mapeamento onde possvel visualizao de dispositivos conectados a rede, protegendo adicionalmente a rede sem fio.

15

Figura 7

6. Monitoramento de Banco de Dados

A empresa possui um monitoramento assistido utilizando ferramentas do prprio sistema SQL Server, esta ferramenta denominada sp_trace_setfilter (Transact-SQL) que rastreia eventos de processos permitindo monitoria total aos servidores que comportam o banco de dados. Este monitoramento possvel com a captura de dados do SQL Server armazenando em um arquivo para anlise posterior, reproduzindo aps passo passo os eventos capturados. Estes dados capturados podem ser reproduzidos por vrios computadores com simulao de carga de trabalho em misso crtica. Com o monitor de sistemas o administrador pode rastrear recursos gerenciando buffers em uso, monitorando o desempenho e atividades destes servidores por meio de contadores e objetos definidos por eventos concretizados. Nota: O Monitor do Sistema (Monitor de Desempenho, no Microsoft Windows NT 4.0) coleta contagens e taxas, e no dados, acerca dos eventos (por exemplo, uso
16

de memria, nmero de transaes ativas, nmeros de bloqueios ou atividade de CPU). O administrador pode limitar contadores especficos para gerar alertas que notificam operadores. O Monitor do Sistema funciona nos sistemas operacionais Microsoft Windows Server e Windows. Pode monitorar (remota ou localmente) uma instncia do SQL Server no Windows NT 4.0 ou posterior. O Monitor de Atividade do SQL Server Management Studio exibe informaes graficamente sobre: Processos em execuo em uma instncia do SQL Server. Processos bloqueados. Bloqueios. Atividade de usurio. Isto til para exibies ad hoc da atividade atual. Fonte: Microsoft.

7. Monitoramento de rede

Para monitoria da rede o administrador utiliza o Nagios ferramenta de cdigo aberto que monitora hosts e servios identifica problemas na rede e tambm informa quando este problema j foi solucionada.

7.1 Principais benefcios para empresa:

Monitora servios de rede (SMTP, POP3, HTTP, NNTP, ICMP, SNMP) Monitora recursos de computadores ou equipamentos de rede (carga do processador, uso de disco, logs do sistema) na maioria dos sistemas operacionais com suporte a rede, mesmo o Microsoft Windows com o plugin NRPE_NT.
17

Monitorao remota suportada atravs de tneis criptografados SSH ou SSL. Desenvolvimento simples de plugins que permite aos usurios facilmente criar seus prprios modos de monitorao dependendo de suas necessidades, usando a ferramenta de desenvolvimento da sua escolha (Bash, C, Perl, Python, PHP, C#, etc.) Checagem dos servios paralelizadas, ou seja, se voc tiver muitos itens monitorados no h risco de alguns deles no serem checados por falta de tempo. Capacidade de definir a rede hierarquicamente definindo equipamentos "pai", permitindo distino dos equipamentos que esto indisponveis daqueles que esto inalcanveis. Capacidade de notificar quando um servio ou equipamento apresenta problemas e quando o problema resolvido (via email, pager, SMS, ou qualquer outro meio definido pelo usurio por plugin). Capacidade de definir tratadores de eventos que executam tarefas em situaes pr-determinadas ou para a resoluo pr-ativas de problemas. Rotao automtica de log. Suporte para implementao de monitorao redundante.

8. Polticas de segurana

A Poltica de Segurana abrange todos os funcionrios e prestadores de servios que utilize o ambiente de processos da empresa visando proteger a integridade das informaes e tambm ativos que a compe. Em caso de violao a empresa ficar exposta as seguintes situaes: Perda de valores atravs da exposio a segurana de dados, informaes e equipamentos. Utilizao de dados corporativos no autorizados Envolvimento de dados para prtica ilcitas que viola a lei.

Classificao de Informao:

18

Pblica: informao que pode ser acessada por usurios, cliente e fornecedores e pblico em geral. Interna: informao somente por funcionrios da empresa Confidencial: informao acessada por usurios e parceiros da empresa. Restritiva: informao acessada somente por usurios indicados para cada rea a que pertence.

Abaixo segue o documento ao qual todos os funcionrios possuem acesso no momento da admisso para que a utilizao da informao seja respeitada e mantida.

DADOS DOS FUNICIONRIOS A empresa se compromete em no acumular ou manter intencionalmente Dados Pessoais de Funcionrios alm daqueles relevantes na conduo do seu negcio. Todos os Dados Pessoais de Funcionrios que porventura sejam armazenados, sero considerados dados confidenciais. Dados Pessoais de Funcionrios sob a responsabilidade da A EMPRESA no sero usados para fins diferentes daqueles para os quais foram coletados.

DADOS PESSOAIS DE FUNCIONRIOS No sero transferidos para terceiros, exceto quando exigido pelo nosso negcio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso a lista de endereos eletrnicos (emails) usados pelos funcionrios da A EMPRESA. Por outro lado, os funcionrios se comprometem a no armazenar dados pessoais nas instalaes da empresa, sem prvia e expressa autorizao por parte da diretoria.

19

Mesmo que seja autorizado o armazenamento destes dados, a empresa no se responsabiliza por eles, nem tampouco pelo seu contedo e pela segurana. Tais dados jamais podero ser armazenados nos diretrios dos Servidores de empresa, e jamais podero fazer parte da rotina de backup da empresa.

ADMISSO E DEMISSO DE FUNCIONRIOS / TEMPORRIOS / ESTAGIRIOS

O setor de Recrutamento e Seleo de Pessoal da Companhia dever informar ao setor de Informtica, toda e qualquer movimentao de temporrios e/ou estagirios, e admisso/demisso de funcionrios, para que os mesmos possam ser cadastrados ou excludos no sistema da Companhia. Isto inclui o fornecimento de sua senha ("password") e registro do seu nome como usurio no sistema (user-id), pelo setor de Informtica. Cabe ao setor solicitante da contratao a comunicao ao setor de Informtica sobre as rotinas a que o novo contratado ter direito de acesso. No caso de temporrios e/ou estagirios dever tambm ser informado o tempo em que o mesmo prestar servio Companhia, para que na data de seu desligamento possam tambm ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema. No caso de demisso, o setor de Recursos Humanos dever comunicar o fato o mais rapidamente possvel Informtica, para que o funcionrio demitido seja excludo do sistema. Cabe ao setor de Recursos Humanos dar conhecimento e obter as devidas assinaturas de concordncia dos novos contratados em relao Poltica de Segurana da Informao da A EMPRESA.

TRANSFERNCIA DE FUNCIONRIOS / TEMPORRIOS / ESTAGIRIOS

Quando um funcionrio for promovido ou transferido de seo ou gerncia, o setor de cargos e salrios dever comunicar o fato ao Setor de Informtica, para que sejam feitas as adequaes necessrias para o acesso do referido funcionrio ao sistema informatizado da Companhia.

PROGRAMAS ILEGAIS: A empresa respeita os direitos autorais dos programas que usa e reconhece que deve pagar o justo valor por eles, no
20

recomendando o uso de programas no licenciados nos computadores da empresa. terminantemente proibido o uso de programas ilegais (Sem licenciamento) Os usurios no podem, em hiptese alguma, instalar este tipo de "software" (programa) nos equipamentos da Companhia, mesmo porque somente o pessoal da rea de Ti tem autorizao para instalao de programas previamente autorizados dentro da poltica de segurana da companhia. Periodicamente, o Setor de Informtica far verificaes nos dados dos servidores e/ou nos computadores dos usurios, visando garantir a correta aplicao desta diretriz. Caso sejam encontrados programas no autorizados, estes devero ser removidos dos computadores.

Aqueles que instalarem em seus computadores de trabalho tais programas no autorizados, se responsabilizam perante a companhia por quaisquer problemas ou prejuzos causados oriundos desta ao, estado sujeitos as sanses previstas neste documento.

PERMISSES E SENHAS

Todo usurio para acessar os dados da rede da EMPRESA, devera possuir um login e senha previamente cadastrados pelo pessoal de TI.

Quem deve fornecer os dados referente aos direitos do usurio o responsvel direto pela sua chefia, que deve preencher uma ficha e entreg-la ao departamento de RH. Quando da necessidade de cadastramento de um novo usurio para utilizao da "rede", sistemas ou equipamentos de informtica da Companhia, o setor de origem do novo usurio dever comunicar esta necessidade ao setor de TI, por meio de memorando ou e-mail, informando a que tipo de rotinas e programas o novo usurio ter direito de acesso e quais sero restritos.

21

A rea de TI far o cadastramento e informar ao novo usurio qual ser a sua primeira senha, a qual dever, obrigatoriamente, ser alterada imediatamente aps o primeiro login e aps isso a cada 45 (quarenta e cinco) dias. Por segurana, a rea de TI recomenda que as senhas tenham sempre um critrio mnimo de segurana para que no sejam facilmente copiadas, e no possam ser repetidas.

Todos os usurios responsveis pela aprovao eletrnica de documentos (exemplo: pedidos de compra, solicitaes e etc) devero comunicar ao Setor de TI qual ser o seu substituto quando de sua ausncia da A EMPRESA, para que as permisses possam ser alteradas (delegao de poderes). Quando houver necessidade de acesso para usurios externos, sejam eles temporrios ou no, a permisso de acesso dever ser bloqueada to logo este tenha terminado o seu trabalho e se houver no futuro nova necessidade de acesso, dever ento ser desbloqueada pelo pessoal de TI.

COMPARTILHAMENTO DE DADOS

No permitido o compartilhamento de pastas nos computadores e desktops da empresa. Todos os dados devero ser armazenados nos Servidores da rede, e a autorizao para acess-los dever ser fornecida pelo Servidor AD (Active Directory). O Pessoal de TI est orientado a periodicamente todos os compartilhamentos existentes nas estaes de trabalho e garantir que dados considerados confidenciais e/ou restritos no estejam armazenados na rede.

Os compartilhamentos de impressoras devem estar sujeitos as autorizaes de acesso do AD. No so permitidos na empresa o compartilhamento de dispositivos mveis tais como pen-drivers e outros.

BACKUP (COPIA DE SEGURANA DOS DADOS )

Todos os dados da empresa devero ser protegidos atravs de rotinas sistemticas de Backup. Cpias de segurana do sistema integrado e servidores de rede so de responsabilidade do Setor Interno de TI e devero ser feitas diariamente. Ao final de cada ms tambm dever ser feita uma cpia de segurana com os dados de fechamento do ms, do Sistema Integrado.
22

Esta cpia ser feita imediatamente aps a comunicao formal da Contabilidade, por meio de memorando, que o referido ms foi encerrado. Nos meses pares, a Informtica enviar 1 (uma) cpia extra da fita do "backup" de fechamento do referido ms, para ser arquivada na Contabilidade.

As copias devero ser feitas em mdias removveis e devero abranger todos os dados da empresa, que devero estar nos servidores. As copias devero ser protegidas por senhas para evitar que pessoas no autorizadas tenham acesso a estes dados em caso de perda ou roubo da mdia.

As Copias devero ser feitas de forma escalonada em Midas diferentes para cada dia da semana. As mdias devero ser armazenadas em local seguro, fora das instalaes do CPD para evitar perda de dados em casos sinistros. Semanalmente, no final do expediente de sexta feira um conjunto de backup devera ser enviado para um local externo em outro endereo a ser definido pela diretoria. Neste local devera haver permanentemente um conjunto completo de backup capaz de restaurar todos os dados da empresa em caso de sinistro.

O conjunto de backup armazenado externamente dever sofrer rodzio semanal com um dos conjuntos de backup ativo. Validao do Backup Mensalmente o backup dever ser testado pelo pessoal de Ti, voltando-se parte ou todo o contedo do backup em um HD previamente definido para este fim. Esta operao dever ser acompanhada pelo Gerente da Empresa responsvel por supervisionar a rea de Ti.

CPIAS DE SEGURANA DE ARQUIVOS EM DESKTOPS

No poltica da Empresa o armazenamento de dados em desktops individuais, entretanto, existem alguns programas fiscais que no permitem o armazenamento em rede. Nestes e em outros casos, o pessoal de TI dever alertar ao usurio que ele deve fazer backup dos dados de sua mquina periodicamente. responsabilidade dos prprios usurios a elaborao de cpias de segurana ("backups") de dados e outros arquivos ou documentos, desenvolvidos pelos
23

funcionrios, em suas estaes de trabalho, e que no sejam considerados de fundamental importncia para a continuidade dos negcios da A EMPRESA. No caso das informaes consideradas de fundamental importncia para a continuidade dos negcios da A EMPRESA o Setor de Informtica disponibilizar um espao nos servidores onde cada usurio dever manter estas informaes. Estas informaes sero includas na rotina diria de backup da Informtica.

SEGURANA E INTEGRIDADE DOS DADOS O gerenciamento do(s) banco(s) de dados responsabilidade exclusiva do Setor de Ti, assim como a manuteno, alterao e atualizao de equipamentos e programas. PROPRIEDADE INTELECTUAL de propriedade da A EMPRESA, todos os designs, criaes ou procedimentos desenvolvidos por qualquer funcionrio durante o curso de seu vnculo empregatcio com a A EMPRESA.

PROPRIEDADE INTELECTUAL

O acesso Internet ser autorizado para os usurios que necessitarem da mesma para o desempenho das suas atividades profissionais na A EMPRESA. Sites que no contenham informaes que agreguem conhecimento profissional e/ou para o negcio no devem ser acessados. O uso da Internet ser monitorado pelo Setor de Informtica, inclusive atravs de logs (arquivos gerados no servidor) que informam qual usurio est conectado, o tempo que usou a Internet e qual pgina acessou.

A definio dos funcionrios que tero permisso para uso (navegao) da Internet atribuio da Direo da Companhia, com base em recomendao do Supervisor de Informtica. No permitido instalar programas provenientes da Internet nos microcomputadores da A EMPRESA, sem expressa anuncia do setor de Informtica, exceto os programas oferecidos por rgos pblicos federais, estaduais e/ou municipais.Os usurios devem se assegurar de que no esto executando aes que possam infringir direitos autorais, marcas, licena de uso ou patentes de terceiros. Quando navegando na Internet, proibido a visualizao, transferncia (downloads), cpia ou qualquer outro tipo de acesso a sites:

24

De estaes de rdio; De contedo pornogrfico ou relacionados a sexo; Que defendam atividades ilegais Que menosprezem, depreciem ou incitem o preconceito a determinadas classes Que promovam a participao em salas de discusso de assuntos no relacionados aos negcios da A EMPRESA; Que promovam discusso pblica sobre os negcios da A EMPRESA, a menos que autorizado pela Diretoria. Que possibilitem a distribuio de informaes de nvel Confidencial. Que permitam a transferncia (downloads) de arquivos e/ou programas ilegais.

USO DO CORREIO ELETRNICO (E-MAIL )

O correio eletrnico fornecido pela A EMPRESA um instrumento de comunicao interna e externa para a realizao do negcio da A EMPRESA. As mensagens devem ser escritas em linguagem profissional, no devem comprometer a imagem da A EMPRESA, no podem ser contrrias legislao vigente e nem aos princpios ticos da A EMPRESA. O uso do correio eletrnico pessoal e o usurio responsvel por toda mensagem enviada pelo seu endereo. terminantemente proibido o envio de mensagens que:

Contenham declaraes difamatrias e linguagem ofensiva; Possam trazer prejuzos a outras pessoas; Sejam hostis e inteis; Sejam relativas a correntes, de contedos pornogrficos ou equivalentes; Possam prejudicar a imagem da organizao; Possam prejudicar a imagem de outras empresas. Sejam incoerentes com as polticas da A EMPRESA.
25

Para incluir um novo usurio no correio eletrnico, a respectiva Gerncia dever fazer um pedido formal ao Setor de Informtica, que providenciar a incluso do mesmo. A utilizao do "e-mail" deve ser criteriosa, evitando que o sistema fique congestionado. Em caso de congestionamento no Sistema de correio eletrnico o Setor de Informtica far auditorias no servidor de correio e/ou nas estaes de trabalho dos usurios, visando identificar o motivo que ocasionou o mesmo. No ser permitido o uso de e-mail gratuitos (liberados em alguns sites da web), nos computadores da A EMPRESA. O Setor de Informtica poder, visando evitar a entrada de vrus na A EMPRESA, bloquear o recebimento de e-mails provenientes de sites gratuitos.

NECESSIDADE DE NOVOS SISTEMAS, APLICATIVOS E EQUIPAMENTOS

O Setor de Informtica responsvel pela aplicao da Poltica da A EMPRESA em relao a definio de compra e substituio de software e hardware. Qualquer necessidade de novos programas ("softwares") ou de novos equipamentos de informtica (hardware) dever ser discutida com o responsvel pelo setor de Informtica. No permitido a compra ou o desenvolvimento de "softwares" ou "hardwares" diretamente pelos usurios.

USO DE LAP TOPS (COMPUTADORES PESSOAIS) NA EMPRESA

Os usurios que tiverem direito ao uso de computadores pessoais (laptop ou notebook), ou qualquer outro equipamento computacional, de propriedade da A EMPRESA, devem estar cientes de que:

Os recursos de tecnologia da informao, disponibilizados para os usurios, tm como objetivo a realizao de atividades profissionais.

26

A proteo do recurso computacional de uso individual de responsabilidade do prprio usurio. de responsabilidade de cada usurio assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informao contida no mesmo. O usurio no deve alterar a configurao do equipamento recebido. Alguns cuidados que devem ser observados:

Fora do trabalho:

Mantenha o equipamento sempre com voc; Ateno em hall de hotis, aeroportos, avies, txi e etc. Quando transportar o equipamento em automvel utilize sempre o porta malas ou lugar no visvel. Ateno ao transportar o equipamento na rua.

Em caso de furto

Registre a ocorrncia em uma delegacia de polcia; Comunique ao seu superior imediato e ao Setor de Informtica; Envie uma cpia da ocorrncia para o Setor de Informtica.

RESPONSABILIADE DOS GERENTES / SUPERVISORES

Os gerentes e supervisores so responsveis pelas definies dos direitos de acesso de seus funcionrios aos sistemas e informaes da Companhia, cabendo a eles verificarem se os mesmos esto acessando exatamente as rotinas compatveis com as suas respectivas funes, usando e conservando adequadamente os equipamentos, e mantendo cpias de segurana de seus arquivos individuais, conforme estabelecido nesta poltica.

O Setor de Informtica far auditorias peridicas do acesso dos usurios s informaes, verificando:
27

Que tipo de informao o usurio pode acessar;

Quem est autorizado a acessar determinada rotina e/ou informao;

Quem acessou determinada rotina e informao;

Quem autorizou o usurio a ter permisso de acesso determinada rotina ou informao;

Que informao ou rotina determinado usurio acessou;

Quem tentou acessar qualquer rotina ou informao sem estar autorizado.

SISTEMAS DE TELECOMUNICAES

O controle de uso, a concesso de permisses e a aplicao de restries em relao aos ramais telefnicos da A EMPRESA, assim como, o uso de eventuais ramais virtuais instalados nos computadores, responsabilidade do setor de Informtica, de acordo com as definies da Diretoria da A EMPRESA. Ao final de cada ms, para controle, sero enviados relatrios informando a cada gerncia quanto foi gasto por cada ramal.

USO DE ANTIVRUS

28

Todo arquivo em mdia proveniente de entidade externa a A EMPRESA deve ser verificado por programa antivrus. Todo arquivo recebido / obtido atravs do ambiente Internet deve ser verificado por programa antivrus.Todas as estaes de trabalho devem ter um antivrus instalado. A atualizao do antivrus ser automtica, agendada pelo setor de Informtica, via rede. O usurio no pode em hiptese alguma, desabilitar o programa antivrus instalado nas estaes de trabalho.

PENALIDADES

Poder resultar nas seguintes aes: advertncia formal, suspenso, resciso do contrato de trabalho, outra ao disciplinar e/ou processo civil ou criminal. O no cumprimento desta Poltica de Segurana da Informao implica em falta grave e poder resultar nas seguintes aes: advertncia formal, suspenso, resciso do contrato de trabalho, outra ao disciplinar e/ou processo civil ou criminal.

29

9. Controle de acesso

Para acesso aos servidores a empresa optou por instalao de leitor biomtrico que identifica o usurio atravs de impresso digital. Todos os funcionrios utilizam crachs para acesso ao ambiente de trabalho. Usurio e senha com critrios de cadastro. Cmeras de Monitoramento Contrato de sigilo de dados fixado ao contrato de trabalho no momento da admisso Restrio ao uso de mdias removveis.

30

10. Concluso:

Com base nos processo de segurana estabelecidos conclumos que a empresa possui softwares estveis que possibilitam acesso de forma rpida e que preservam integridade de dados durante navegao em rede e input de dados no sistema. A poltica de segurana bem estabelecida e com regras de fcil compreenso alinham de forma adequada as metas da empresa para que continue em destaque no cenrio financeiro onde atua de forma gil e eficaz. Clientes satisfeitos por efetuar transaes complexas em ambiente integrado e seguro garantindo o crescimento da companhia e evitando possveis danos ao patrimnio ativo.

31

11. Referncias Bibliogrficas:

http://help.sap.com/saphelp_sbo88/helpdata/pt/45/05bc7624a70489e10000000 a155369/content.htm http://www.sistemainfo.com.br/conteudo.php?mnu=solucoes_banksync http://www.sistemainfo.com.br/docs/BankSync_Manual_de_Implantacao.pdf http://www.gruposkill.com.br/skillconsulting/index.php?option=com_content&vie w=article&id=104&Itemid=218 http://www.mprime.com.br/cariboost_files/descritivo_NGFolha.pdf http://www.mastermaq.com.br/pdf/PDF_DepartamentoPessoal.pdf http://www.gta.ufrj.br/grad/08_1/san/index.html http://www.hardware.com.br/tutoriais/das-nas-san/ http://pt.wikipedia.org/wiki/Rede_de_%C3%A1rea_de_armazenamento http://w-access.com/ http://pt.wikipedia.org/wiki/Samba_(servidor) http://www.infowester.com/linuxsamba.php http://linuxplace.com.br/produtos/ninja-firewall-gateway/servidor-de-arquivossamba http://vicouto.wordpress.com/2007/07/03/servidor-samba/ http://www.baixaki.com.br/download/livezilla.htm#ixzz2AzjDXbyX https://www.livezilla.net/premium/en/?action=preview http://produto.mercadolivre.com.br/MLB-443002200-nas-iomega-35792-12tbstorcenter-px4-300r-_JM http://www.microsoft.com/brasil/exchange/howtobuy/default.mspx http://www.lojacisco.com.br/index.php?route=product/product&path=1&product_ id=855

32

http://www.cisco.com/web/BR/solucoes/commercial/products/routers_switches/ catalyst_2960_series_switches/index.html#~features http://www.lojacisco.com.br/index.php?route=product/product&product_id=741 https://www.norton.com/cgibin/pp/reg=BR/ml=BR?id=A1PESOESD&actp=1&nav=pp_enterprise_enterprise Sol_A1PESOESD http://produto.mercadolivre.com.br/MLB-445332265-rack-fechado-19-44u-x600-x-800-mm-para-piso-preto-nazda-_JM http://produto.mercadolivre.com.br/MLB-441385333-no-break-apc-200-kva230v-rt-pn-surt20krmxli-_JM http://www.sofsale.com/ecommerce_site/produto_12656_4197_ExchangeServer-2010-Standard-04-CAL-de-acesso-Open http://www.microsafe.com.br/312-04048_open-microsoft-exchange-server2010.npn.html http://sistemaged.com.br/ged.aspx http://www.ged.net.br/ http://www.bnb.gov.br/content/aplicacao/fornecedores/audiencias_publicas/doc s/rfi_ged.pdf http://www.debian.org/News/2011/20110205a http://technet.microsoft.com/pt-br/library/ee656738.aspx http://www.tecnoponta.com.br/cursos/windows-server-administrador-redes/ http://pt.wikipedia.org/wiki/Joomla http://www.libertadyorganizacion.org/vantagens-do-apache-web-server.html http://www.libertadyorganizacion.org

33