UspNET - Política de Segurança

Política de Segurança USPNet

O documento onde está descrito a política de segurança da USPNet foi elaborado pela Comissão de Segurança e aborda questões da segurança da Rede Computacional da USP, apresentando recomendações e instruções a serem seguidas pelos seus usuários. A rede computacional da USP, a USPNet, permite que a universidade se integre à outros centros de ensino no exterior. A rede permite a transmissão de grandes volumes de dados e, por isso, seus recursos computacionais e de rede precisam ser protegidos. A política de segurança tem como objetivo tentar manter a integridade, disponibilidade e confidencialidade das informações, onde quer que elas estejam.

As regras de segurança para a USPNet têm como objetivo fornecer uma série de recomendações aos seus usuários e administradores de rede, levando em consideração uma série de aspectos, como a segurança física, lógica, administrativa, da informação e do usuário.

A segurança física da USPNet tem como objetivo proteger edificações e equipamentos, a fim de evitar perda e/ou dano dos ativos, além de ser responsável por manter a continuidade das atividades de negócio e reduzir ameças. São levados em consideração uma série de fatores como descargas atmosféricas e aterramentos, fornecimento de energia e segurança do cabeamento, além de controlar também o acesso às instalações e definir procedimentos de instalação e manutenção dos equipamentos, no entanto, a exigência de que os funcionários devem efetuar logout antes de sair do sistema pode deixar a rede vulnerável, uma vez que tendo acesso à maquina desse funcionário, um possível atacante poderia colocar em risco todo sistema da USPNet. Uma maneira de contornar essa vulnerabilidade seria a desativar as contas que estiverem inativas por um determinado tempo, da mesma maneira como é feito com as contas de usuários convidados. A segurança lógica sugere medidas que visam proteger a integridade das informações, como restringir, proteger e fazer cópias das mídias de back-up, porém, por mais que os cofres que as armazenam sejam bem protegidos, existem situações em que essas mídias podem ser destruídas, danificadas ou furtadas, então seria interessante se os dados armazenados nesses dispositivos fossem transferidos para um servidor na nuvem, por exemplo. As normas da segurança lógica também tem como objetivo instruir quanto a criação de contas de acesso ao sistema e a implantação de protocolos e filtros para proteger a rede de dados, etc. Já a segurança administrativa lista uma série de regras que devem ser seguidas pelos usuários e administradores de rede, a fim de que estes usem a rede da maneira apropriada, porém, apesar de recomendar algumas práticas para proteção de dispositivos portáteis, não existe nenhuma garantia de que serão seguidas, fazendo com que se tornem alvos de invasões.

Apesar de ter uma política de segurança bem elaborada, existem alguns outros aspectos que devem ser mais explorados, principalmente quando se trata de questões de uso e acesso da rede, uma vez que a USPNet possui um número significativo de usuários, onde cada um pode representar uma brecha para um invasor atacar a rede.

...