Política de Segurança da Informação do UNIPAM




Esta política tem por finalidade estabelecer as diretrizes de segurança da informação que são adotadas pelo UNIPAM.
Para o cumprimento da finalidade supracitada são estabelecidos os objetivos a seguir.

Lista De Acrônimos


PC - Plano de Contingência
PSI - Política de Segurança da Informação
ERP - Enterprise Resource Planning (Sistema integrado de gestão empresarial)
CFTV IP - Circuito Fechado de TV por IP
VPN - Virtual Private Networks
PoP - Point of Presence (Ponto de Presença)
SVN - Subversion (sistema de controle de versões e de repositório de documentos)

Objetivos


  • A PSI do UNIPAM tem por objetivo:
    • Definir o escopo da segurança da informação do UNIPAM.
    • Orientar as ações de segurança da informação da instituição, reduzindo os riscos e garantindo a integridade, o sigilo e a disponibilidade das informações e recursos.
    • Servir de referência para auditoria, apuração e avaliação de responsabilidades.




Abrangência


  • A PSI abrange:
    • Requisitos de Segurança do Ambiente Físico.
    • Requisitos de Segurança Lógica para as redes (Data Center, CFTV IP, Wi-Fi e DADOS).
    • Requisitos de Segurança de Software para portais e sistemas.
    • Requisitos de Segurança para estações de trabalho de computação pessoal.





Terminologia


  • As diretrizes de segurança devem ser interpretadas de forma que todas as suas determinações sejam obrigatórias e cogentes. Para auxiliar nesse propósito, os conceitos e definições utilizadas nesta política são estabelecidos a seguir.





Conceitos E Definições


  • Ativo de Informação – é o patrimônio composto por todos os dados e informações geradas e manipuladas durante a execução dos sistemas e processos dos departamentos e órgãos ligados ao UNIPAM.
  • Ativo de Processamento – é o patrimônio composto por todos os elementos de hardwares e softwares necessários para a execução dos sistemas, serviços e processos dos departamentos e órgãos ligados ao UNIPAM.
  • Controle de Acesso – são restrições de acesso às informações de um sistema ou serviço.
  • Custódia – consiste na responsabilidade de se guardar um ativo para terceiros. Não necessariamente a custódia permite, automaticamente, o acesso ao ativo, tão pouco o direito de conceder acesso a terceiros.
  • Direito de Acesso – é o privilégio associado a um cargo, pessoa, departamento ou processo para ter acesso a um ou mais ativos.
  • Ferramentas – é um conjunto de equipamentos, programas, procedimentos, normas e demais recursos por meio dos quais se aplica a PSI aos departamentos do UNIPAM.
  • Incidente de Segurança – é qualquer evento ou ocorrência que promova uma ou mais ações que comprometam ou que sejam uma ameaça à integridade, autenticidade, ou disponibilidade de qualquer ativo do UNIPAM.
  • Política de Segurança da Informação – é um conjunto de diretrizes destinadas a definir a proteção adequada dos ativos ou colaboradores do UNIPAM.
  • Proteção dos Ativos – é o processo que classifica os ativos quanto ao grau de sensibilidade. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que o contém.
  • Responsabilidade – são as obrigações e os deveres da pessoa que ocupa determinada função em relação ao acervo de informações.
  • Senha Fraca ou Óbvia – é aquela que se utiliza de caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequena, tais como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras com significado em qualquer língua, ou qualquer outro padrão de fácil dedução.





Regras Gerais


Gestão de Segurança
  • A PSI do UNIPAM aplica-se a todos os recursos humanos, administrativos e tecnológicos a ele relacionados de modo permanente ou temporário.
  • Esta política é comunicada a todo o pessoal envolvido e largamente divulgada pelos meios de comunicação disponíveis no UNIPAM, garantindo que todos tenham consciência da PSI e a pratiquem na organização.
  • Todo o pessoal recebe as informações necessárias para cumprir adequadamente o que está determinado na PSI.
  • O UNIPAM mantém serviços e repositório centralizado para armazenamento de logs e demais informações de incidentes, eventos e alertas. A Redes e Segurança é acionada, uma vez que uma tentativa de violação seja detectada, tomando as medidas cabíveis para prover uma defesa ativa e corretiva contra ataques empreendidos contra seus ativos.
  • É considerada proibida qualquer ação que não esteja explicitamente permitida na PSI do UNIPAM ou que não tenha sido previamente autorizada pela Redes e Segurança.
  • As violações desta política, salvas as exceções descritas neste documento, são tratadas conforme normas e regimentos descritos nos estatutos do UNIPAM e da FEPAM.

Gerenciamento de Riscos
  • O UNIPAM implementa análises de risco periodicamente por meio de sua própria estrutura.
  • O processo de gerenciamento de riscos é revisto, no mínimo, a cada 3 (três) meses, para prevenção contra riscos, inclusive advindos de novas tecnologias, visando a elaboração de planos de ação apropriados para proteção dos ativos ameaçados.

Inventário de ativos
  • Os ativos de informação e processamento pertencentes à infraestrutura de dados, tais como switches, gateways, firewalls, proxies, CFTV IP e servidores que administram esses ativos são inventariados pela Redes e Segurança.
  • Os inventários relativos a estações de trabalho, monitores e impressoras são mantidos pela Informática.
  • Os ativos relativos a servidores web, sistemas de informação, ERP’s e códigos-fonte são mantidos pelo Desenvolvimento de Sistemas.

Plano de Contingência
  • O UNIPAM possui planos de gerenciamento de incidentes e de ação de resposta aos incidentes aprovados pela diretoria.
  • Incidentes de alta criticalidade são reportados de modo sigiloso ao Time de Gerenciamento de Crises do UNIPAM, definido no Plano de Contingência.



Requisitos De Segurança Do Ambiente Físico


Definição
  • Ambiente físico é aquele composto por todo o ativo permanente do UNIPAM.

Diretrizes Gerais
  • A responsabilidade pela segurança física dos ambientes aos cuidados da Redes e Segurança e da Informática, quando há compartilhamento de ambientes, é definida, em documento próprio, indicando os demais responsáveis e suas atribuições.
  • Essas instalações são identificadas, de acordo com a natureza de cada local e de acordo com os normativos de identificação vigentes.
  • Perdas de chaves de acesso são imediatamente comunicadas à Redes e Segurança e ao outro departamento responsável. Ambos adotarão medidas apropriadas para prevenir acessos não-autorizados.
  • Recursos e instalações críticas ou sensíveis devem ser fisicamente protegidas de acesso não autorizado, dano, ou interferência, com barreiras de segurança e controle de acesso. A proteção deve ser proporcional aos riscos identificados.
  • O acesso aos componentes da infraestrutura, atividade fundamental ao funcionamento dos sistemas do UNIPAM, como painéis de controle de energia, comunicações e cabeamento, é restrito ao pessoal da Redes e Segurança e a outros departamentos e terceiros, identificados e autorizados, previamente, pela Redes e Segurança.
  • São utilizados sistemas de detecção de intrusão (ex.: câmera ou sensor) para monitorar e registrar os acessos físicos aos componentes críticos da infraestrutura, conforme classificação feita pela Redes e Segurança.
  • O inventário de todo o conjunto de ativos de processamento é registrado e mantido atualizado, trimestralmente.
  • Quaisquer equipamentos, relacionados às redes (DADOS e Wi-Fi), ao CFTV IP e ao Data Center ou outro tipo de equipamento similar, só são utilizados a partir de autorização formal da Redes e Segurança.
  • Nas instalações ou ambientes de acesso restrito do UNIPAM, todos utilizam crachá de identificação e devem informar à Redes e Segurança e à Vigilância sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não acompanhado nas áreas de acesso restrito.




Requisitos De Segurança Do Ambiente Lógico Para Rede Wi-Fi, Rede Dados, CFTV IP E Data Center


Definição
  • Ambiente lógico é composto por todo o ativo de informações do UNIPAM que se encontra no domínio das redes (Wi-Fi, CFTV IP, DADOS e Data Center).

Diretrizes Gerais
  • Os dados, as informações e os sistemas de informação do UNIPAM e sob sua guarda são protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens.
  • As violações de segurança são registradas e esses registros são analisados periodicamente para os propósitos de caráter corretivo, legal e de auditoria.
  • Cada tipo de registro (log) é analisado com forma e periodicidade própria de acordo com sua natureza, procedimento este realizado pela Redes e Segurança.
  • Os sistemas e recursos que suportam funções críticas para operação do UNIPAM asseguram a capacidade de recuperação nos prazos e condições definidas em situações de contingência.

Diretrizes Específicas
  • Sistemas:
    • Os sistemas possuem controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados. O responsável pela autorização ou confirmação da autorização é claramente definido e registrado. As autorizações devem ser realizadas segundo sua criticalidade:
      • Usuários só poderão ter acesso a sistemas se estiverem de posse de suas credenciais (usuário e senha).
      • Credenciais de acesso só podem ser obtidas por meio dos sistemas UNISEGURANÇA ou UNIUSUÁRIOS ou por sistemas automatizados de cadastro de usuários (ex.: biometria).
      • Exceções só poderão ser autorizadas pela Redes e Segurança.
    • Os arquivos de logs são definidos de forma a permitir recuperação nas situações de falhas, auditorias nas situações de violações de segurança e auditoria do uso de recursos. Os logs são analisados periodicamente, para identificar tendências, falhas ou usos indevidos. Os logs devem ser protegidos e armazenados de acordo com sua classificação.
    • Alterações ou modificações, de qualquer natureza, bem como autorizações de acesso, sob os cuidados do Desenvolvimento de Sistemas, dependem de autorização formal e expressa da mesma.
  • Máquinas servidoras:
    • O acesso lógico ao ambiente ou serviços disponíveis em servidores é controlado e protegido. O responsável pela autorização ou confirmação da autorização é claramente definido e registrado. Todas as exceções devem ser aprovadas pela Redes e Segurança.
    • Os arquivos de log são armazenados em servidor específico. O tempo de retenção desse logs é de 1 (um) ano. Nesse servidor, o sistema de controle de acesso aos logs é feito por meio de mecanismos de autenticação.
    • São adotados procedimentos para monitorar a segurança do ambiente operacional. Todos os registros são mantidos pela Redes e Segurança em local seguro e centralizado.
    • São utilizados somente softwares autorizados pelo UNIPAM nos seus equipamentos. É realizado o controle da distribuição e instalação dos mesmos.
    • O acesso remoto a máquinas servidoras é realizado adotando os mecanismos de segurança definidos para evitar ameaças à integridade e sigilo do serviço.
    • Os procedimentos de cópia de segurança (backup) e de recuperação estão documentados, atualizados e são regularmente testados, de modo a garantir a disponibilidade das informações.
    • A conexão de novos servidores às redes, sejam físicos ou virtuais, dependem de ação, análise e autorização prévia da Redes e Segurança.
  • Redes do UNIPAM:
    • O tráfego das informações no ambiente de rede é protegido contra danos ou perdas, bem como acesso, uso ou exposição indevido.
    • Componentes críticos das redes são mantidos em salas protegidas e com acesso físico e lógico controlados, sendo protegidos contra danos, furtos, roubos e intempéries. Os servidores devem ser mantidos no mesmo nível de segurança das informações que eles armazenam.
    • Serviços vulneráveis são eliminados ou trocados por similares mais seguros, quando cabível. Exceções a este item devem ser devidamente justificadas e registradas.
    • O acesso lógico aos recursos das redes é realizado por meio de sistema de controle de acesso. O acesso é concedido e mantido pela Redes e Segurança, baseado nas responsabilidades e tarefas de cada usuário.
    • A utilização de qualquer mecanismo capaz de realizar testes de qualquer natureza, como por exemplo, monitoração sobre os dados, os sistemas e dispositivos que compõem a rede, só ocorrem a partir de autorização formal da Redes e Segurança e mediante supervisão.
    • A conexão com outros ambientes de rede e alterações internas na sua topologia e configuração são formalmente documentadas e mantidas, de forma a permitir registro histórico, e tem a autorização da Redes e Segurança. A configuração e o inventário dos recursos são mantidos atualizados.
    • São definidos relatórios de segurança (logs) periódicos de modo a auxiliar no tratamento de desvios, recuperação de falhas, contabilização e auditoria. Tais relatórios são disponibilizados e armazenados de maneira segura. As anormalidades identificadas nestes relatórios são tratadas segundo a sua severidade. Entre elas, inclui-se: a) Ataques Externos e Internos. b) Utilização indevida de Recursos.
    • São adotadas proteções físicas adicionais para os recursos de rede considerados críticos.
    • Proteção lógica adicional é adotada para evitar o acesso não autorizado às informações.
    • O tráfego de informações é monitorado, a fim de verificar sua normalidade, assim como detectar situações anômalas do ponto de vista da segurança.
    • Devem ser observadas as questões envolvendo propriedade intelectual quando da cópia de software ou arquivos de outras localidades.
    • Todo serviço de rede não explicitamente autorizado deve ser bloqueado ou desabilitado.
    • Mecanismos de segurança baseados em sistemas de proteção de acesso (firewall) são utilizados para proteger as transações entre redes externas e as redes do UNIPAM.
    • Os registros de eventos são analisados periodicamente, no menor prazo possível e em intervalos de tempo adequados.
    • Todos os recursos considerados críticos para o ambiente de rede, e que possuam mecanismos de controle de acesso, fazem uso de tal controle.
    • A localização dos serviços baseados em sistemas de proteção de acesso (firewall) é resultante de uma análise de riscos. No mínimo os seguintes aspectos são considerados:
      • Requisitos de segurança definidos pelo serviço.
      • Objetivo do serviço.
      • Público-alvo.
      • Classificação da informação.
      • Forma de acesso.
      • Frequência de atualização do conteúdo.
      • Forma de administração do serviço.
      • Volume de tráfego.
    • Ambientes de rede considerados críticos são isolados de outros ambientes de rede, de modo a garantir um nível adicional de segurança.
    • Conexões originadas em redes externas, com destino às redes do UNIPAM, estão restritas somente àquelas que visem efetivar os processos necessários à operação do UNIPAM.
    • A infraestrutura do UNIPAM é segmentada em diversos gateways e firewalls, que realizam a proteção e conectividade entre os blocos e departamentos.
    • Alterações ou modificações, de qualquer natureza, aplicadas às redes de Wi-Fi, DADOS, CFTV IP ou Data Center, são realizadas ou acompanhadas pelaRedes e Segurança.
  • Controle de acesso lógico:
    • Usuários e aplicações que necessitem ter acesso a recursos do UNIPAM são identificados e autenticados.
    • É expressamente proibido que um usuário obtenha direitos de acesso de outro usuário.
    • As autorizações são definidas de acordo com a necessidade de desempenho das funções e considerando o princípio dos privilégios mínimos (ter acesso apenas aos recursos ou sistemas necessários para a execução de tarefas).
    • As senhas são individuais, secretas, intransferíveis e protegidas com grau de segurança compatível com a informação associada.
    • A distribuição de senhas (iniciais ou não) aos usuários é feita de forma segura.
    • O sistema de controle de acesso permite ao usuário alterar sua senha sempre que desejar.
    • Os usuários e administradores do sistema de controle de acesso são formal e expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso.
  • Computação em nuvem:
    • Computação em nuvem refere-se a sistemas, aplicações e afins, executados em sistemas computacionais não controlados diretamente pelo UNIPAM. Podem ser aplicações isoladas e com finalidades específicas (ex.: sistema VETUS) bem como aplicações de propósito geral (ex.: Google Suite para Educação).
    • A adoção de sistemas desta natureza deverá ser avaliada por comissão nomeada e autorizada pela direção do UNIPAM. Os casos que não cumpram esta PSI deverão ser autorizados, em caráter de exceção e formalmente identificados e a Redes e Segurança deverá ser notificada.
  • Combate a Vírus de Computador:
    • Os procedimentos de combate a processos destrutivos (vírus, ransomwares e worms) são sistematizados e englobam servidores (quando justificado) e estações de trabalho.
  • Controle e filtro de endereços:
    • O UNIPAM realiza o filtro de endereços web (filtro de URL), na rede DADOS, impedindo o acesso a endereços da internet que podem prejudicar seus ativos, seus serviços ou aos colaboradores. Com esse intuito, é definido que:
      • Colaboradores sem credenciais de acesso possuem sua navegação bloqueada.
      • Exceções ao item 8.3.8.1 devem ser devidamente justificadas e registradas por meio de uma solicitação formal para a Redes e Segurança.
      • Endereços da internet que endossam atos, conteúdos ou práticas consideradas como criminosas perante a legislação vigente, são considerados como proibidos mesmo que não estejam previamente filtrados.
      • Políticas de uso complementares poderão ser definidas em documento próprio, visando determinar condições adicionais de uso.




Requisitos De Segurança De Software Para Portais E Sistemas


Definição
  • Portais e sistemas: conjunto de aplicações de terceiros/legadas e websites, que prestam serviços aos colaboradores e aos corpos discente e docente.

Diretrizes Gerais
  • Uso de software licenciando ou free software.
  • A instalação mínima do Windows Server para atender as especificações dos fornecedores.
  • Liberação somente das portas de rede necessária a cada serviço disponível no servidor, provendo uma segurança local com o firewall do windows.
  • Antivírus instalado e configurado em todos os servidores.




Requisitos De Segurança Para Estações De Trabalho De Computação Pessoal


Definição
  • O termo computação pessoal refere-se ao parque de equipamentos geridos pelo UNIPAM e disponibilizados aos usuários finais (endpoints), por meio das Salas de Informática, Salas Multimídia, Salas Invertidas, Salas de Tutorias e Mini Auditórios.

Diretrizes Gerais
  • A movimentação ou a instalação de estações de trabalho, na rede cabeada, só podem ser feitas pela Informática ou com autorização formal da mesma. A Redes e Segurança deve ser comunicada formalmente e, somente após a atualização cadastral dessa estação, a liberação é realizada.
  • Cabe à Informática realizar alterações físicas ou lógicas em estações de trabalho. Dispositivos de rede que provêm conectividade para as estações são permitidos somente após autorização formal da Redes e Segurança. Tal medida visa garantir a integridade e a segmentação de redes com controles de acesso e riscos distintos.
  • Apenas softwares licenciados pelo fabricante podem ser utilizados nos equipamentos do UNIPAM.

Diretrizes Específicas
  • As informações armazenadas em meios eletrônicos são protegidas contra danos, furtos ou roubos, sendo adotados procedimentos de backup, definidos em documento específico.
  • O acesso às informações atende aos requisitos de segurança, considerando o ambiente e a forma de uso do equipamento (individual ou coletivo).
  • O uso da rede Wi-Fi está sujeito a condições adicionais de uso, conforme documentação disponível em https://wifi.unipam.edu.br.
  • A responsabilidade pela segurança física dos ambientes aos cuidados da Informática, quando há compartilhamento de ambientes, é definida, em documento próprio, indicando os demais responsáveis e suas atribuições.
  • Todas as instalações sobre responsabilidade da Informática são identificadas, de acordo com a natureza de cada local e de acordo com os normativos de identificação vigentes.
  • Perdas de chaves de acesso são imediatamente comunicadas à Informática. A mesma adotará medidas apropriadas para prevenir acessos não-autorizados.
  • O inventário dos recursos é mantido atualizado diariamente.
  • Quaisquer equipamentos, relacionados às informática (computadores e periféricos) ou outro tipo de equipamento similar, só são utilizados a partir de autorização formal e instalação por parte dos colaboradores da informática.




Auditoria


  • As atividades do UNIPAM estão associadas ao conceito de padronização de procedimentos. A auditoria periódica representa um dos instrumentos que permite a identificação de processos que podem ser aperfeiçoados. Um dos objetivos desses processos é verificar a capacidade do UNIPAM em atender a comunidade acadêmica e a sociedade.
  • O UNIPAM possui um Sistema de Gestão Integrada (SGI), que trata-se de um conjunto de práticas inter-relacionadas e em constante comunicação, que permite a melhoria contínua dos processos da instituição, o desenvolvimento de políticas e práticas ambientalmente sustentáveis, o gerenciamento dos riscos ocupacionais e a aplicação de técnicas socialmente aceitáveis no ambiente de trabalho.
  • São realizadas auditorias internas e externas, periodicamente, no UNIPAM. O UNIPAM mantêm capacitada uma equipe de colaboradores que realizam as auditorias internas. Também existe uma auditoria externa, anualmente, para comprovar a melhoria dos processos. Os critérios estabelecidos para as atividades de auditorias podem ser verificados no PS-8.2.2/01 (Auditorias Internas do SGI), disponível no repositório de documentos do UNIPAM (https://svn.unipam.edu.br/svn). Esse documento trata do objetivo, frequência e abrangência das auditorias, da identidade e qualificação do auditor e demais temas correlacionados.





Gerenciamento De Riscos


Definição
  • Processo que visa à proteção dos serviços do UNIPAM, por meio da eliminação, redução ou transferência dos riscos. Os seguintes pontos principais são identificados:
    • O que deve ser protegido.
    • Análise de riscos (contra quem ou contra o quê deve ser protegido).
    • Avaliação de riscos (análise da relação custo/benefício).

Fases Principais
  • O gerenciamento de riscos consiste das seguintes fases principais:
    • Identificação dos recursos a serem protegidos – hardware, rede, software, dados, informações pessoais, documentação, suprimentos, etc.
    • Identificação dos riscos (ameaças) - que podem ser naturais (tempestades, inundações), causadas por pessoas (ataques, furtos, vandalismos, erros ou negligências) ou de qualquer outro tipo (incêndios).
    • Análise dos riscos (vulnerabilidades e impactos) - identificar as vulnerabilidades e os impactos associados.
    • Avaliação dos riscos (probabilidade de ocorrência) - levantamento da probabilidade da ameaça vir a acontecer, estimando o valor do provável prejuízo. Esta avaliação pode ser feita com base em informações históricas ou em tabelas internacionais.
    • Tratamento dos riscos (medidas a serem adotadas) - como lidar com as ameaças. As principais alternativas são: eliminar o risco, prevenir, limitar ou transferir as perdas ou aceitar o risco.
    • Reavaliação periódica dos riscos em intervalos de tempo não superiores a 6 (seis) meses.

Riscos relacionados ao UNIPAM
  • Os principais riscos avaliados para o UNIPAM compreendem, dentre outros, os seguintes:

Segmentos Riscos
Informação Indisponibilidade, Interrupção (perda), interceptação, modificação, fabricação, destruição.
Pessoas Omissão, erro, negligência, imprudência, imperícia, desídia, sabotagem, perda de conhecimento.
Rede Hacker, acesso não autorizado, interceptação, engenharia social, identidade forjada, reenvio de mensagem, violação de integridade, indisponibilidade ou recusa de serviço.
Hardware Indisponibilidade, interceptação (furto ou roubo) ou falha.
Software Interrupção, interceptação, modificação, desenvolvimento ou falha.

Considerações Gerais
  • Os riscos que não podem ser eliminados têm seus controles documentados pelos responsáveis e são levados ao conhecimento da Redes e Segurança.
  • Um efetivo gerenciamento dos riscos permite decidir se o custo de prevenir um risco (medida de proteção) é mais alto que o custo das consequências do risco (impacto da perda).
  • É necessária a participação e o envolvimento da alta administração do UNIPAM.





Plano De Contingência


Definição
  • 13.1.1. Plano cujo objetivo é manter em funcionamento os serviços e processos críticos do UNIPAM, na eventualidade da ocorrência de desastres, atentados, falhas e intempéries.

Diretrizes Gerais
  • Dispositivos redundantes estão disponíveis para garantir a continuidade da operação do Data Center.
  • O UNIPAM possui seu Plano de Contingência que estabelece o tratamento adequado dos seguintes eventos de segurança:
    • Invasão do sistema e da rede interna do UNIPAM.
    • Incidentes de segurança física e lógica.
    • Indisponibilidade da Infraestrutura.
    • Indisponibilidade de Portais e Sistemas.
  • O UNIPAM possui um plano de ação de resposta a incidentes prevendo o tratamento adequado dos seguintes eventos:
    • Procedimentos para interrupção ou suspensão de serviços e investigação.
    • Análise e monitoramento de trilhas de auditoria.




Acesse o Catálogo TI completo

Catálogo TI