Mecanismos de segurança

Mecanismos de Segurança

Março de 2006

1 – INTRODUÇÃO

Desde a década de 90 a internet vem crescendo de forma impressionante, tanto no Brasil como no mundo. Começou com um grupo de militares, para descentralização de suas operações. Depois um seleto grupo de instituições de ensino. Hoje a maioria das residências tem um computador conectado, perdendo apenas para o meio de comunicação televisivo.

Com a globalização, a internet tornou-se o meio mais rápido de conquista de mercado. Sendo muito rápido e simples, basta está com um sítio divulgando os produtos oferecidos. Dae o mundo todo tem acesso para conhecimento dos produtos oferecidos, compra, parceiros e etc.

Com esse intuito, a segurança a informação vem acompanhando no nascimento deste novo negócio. Os clientes agora não mais guardam seus arquivos em papel, e sim em meio magnético. Os computadores não trabalham mais sozinhos, e sim, conectados a outros tantos.

2 – ACME

ACME é uma empresa de comércio eletrônico que provê o mundo com ditados de biscoitos da sorte.

A empresa recebe a maior parte de sua receita através das vendas on-line.

Seus parceiros e clientes têm todo seu acesso através da Internet.

3 – LEVANTAMENTO ATUAL

Em um levantamento feito por uma consultoria especializada, foi identificado que eventos como a contaminação por Worms, como o Code-Red e Ninda, além dos recentes acontecimentos na Internet, têm provocado a desconfiança de clientes e parceiros no que diz respeito à segurança das transações feitas on-line.

Um levantamento mais detalhado, mostrou que os principais concorrentes da ACME têm lançado ditados muito semelhantes aos da empresa. Suspeita-se de espionagem.

Foi identificado que muito tempo tem sido gasto com a recuperação de contaminações por vírus, deseja-se reduzir esses riscos.

4 – SOLUÇÕES PROPOSTAS

Apresentaremos algumas soluções aplicáveis à empresa, visando sempre a continuidade dos negócios. Primeiramente montaremos duas equipes de trabalhos: uma cuidará dos computadores retirando vírus; a segunda equipe cuidará dos acessos aos servidores.

4.1 – Políticas de Segurança

Sugerimos aplicar as medidas da ISO 17799:2005, tanto para o acesso físico como lógico das instalações da Empresa ACME.

Como primeiro requisito, faremos um levantamento de riscos na empresa, com base em documentação fornecida pela consultoria feita anteriormente, que localizou falhas como Worms e vírus na rede interna.

O vazamento de informações das informações é um ponto crítico. Como não tem logs de acesso para auditoria, sugerimos um maior controle de acesso, identificando cada um que tem acesso a informações da empresa.

Até o presente momento não temos informações por quem foram acessadas as informações dificultando a identificação de quem possa ter vazado as informações.

4.2 – Controle de Acesso Lógico

O controle de acesso lógico, como descrito anteriormente, será os dados para auditoria.

Existem dois tipos de acessos: os dos servidores internos da empresa, e os dos colaboradores, fornecedores e clientes.

4.2.1 – Funcionários Internos

Primeiramente os usuários internos serão instruídos da importância de suas senhas.

Sugerimos campanhas de proteção de senhas com palestras e mini-cursos.

Um termo de responsabilidade será assinado entra a empresa e os empregados onde irá constar das conseqüências caso sua senha seja usado de forma indevida.

4.2.2 – Usuários Externos

Os usuários externos (fornecedores, colaboradores, clientes e parceiros) terão controles de acesso mais rigorosos.

Todos serão solicitados a fazerem cadastros, todos solicitando dados pessoas a serem preenchidos, com termos de responsabilidades quando ao manuseio das informações coletadas junto a empresa ACME.

Os clientes, um acesso para simples consultas e possíveis compras, em transações seguras. Apensa a senha será fornecida, transferindo-os a uma zona segura, onde os dados de transações para efetivação de compra, será em meio seguro e criptografado.

Os fornecedores, que alimentam a base de ditados um a um como em lote, será em servidores seguros. Também terão login e senha para acesso, e termo de responsabilidade quanto ao uso dos mesmos. Sua autenticidade se dará por certificação digital.

Os parceiros, que terão acesso aos ditados para traduzirem e revenderem, terão senha e login. Terão acesso aos servidores de vendas.

Os colaboradores terão acesso a todas as aplicações da empresa. Para tal, sugerimos a utilização de VPN. Sugerimos dedicar um canal exclusivo, tendo em vista a potencial abertura virtual da empresa.

4.2.3 – Considerações Finais Sobre Acessos

Aos funcionários terceirizados, será permitido uma senha de acesso, desde que o recursos humanos tenha feitos a previa verificação de identidade. Isso para que apenas funcionários designados para a função tenham acesso a áreas da empresa.

Aos visitantes, controle rígido. No momento da identificação será preenchido um pequeno formulário contendo os dados pessoais e o funcionário a ser visitado. Cada funcionário será responsável pelo visitante.

Não será autorizado todos os demais que não se encaixarem nas descrições acima citadas.

Quanto ao tráfego de papeis, dentro e para fora da empresa, deverá ser rigorosamente vistoriado.

É vetada a entrada e permanência de equipamentos eletrônicos na empresa. Àqueles permetidos, serão rigorosamente vistoriados, tanto na entrada como na saída.

Documentos em

...