1 / 28

III Encontro Nacional

III Encontro Nacional. Política de Acesso à Rede Infoseg. Agenda. Política de Segurança da Informação (PSI) Certificação Digital Obrigatoriedade do Módulo de Proteção da Rede Infoseg Cadastramento de Computadores. Política de Segurança da Informação.

shaquana-young
Download Presentation

III Encontro Nacional

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. III Encontro Nacional

  2. Política de Acesso à Rede Infoseg

  3. Agenda • Política de Segurança da Informação (PSI) • Certificação Digital • Obrigatoriedade do Módulo de Proteção da Rede Infoseg • Cadastramento de Computadores

  4. Política de Segurança da Informação • A Rede Infoseg está definindo a Política de Segurança da Informação no ano de 2008. No texto, são definidos os ativos de informação, as responsabilidades de todos os usuários da rede, as formas de controle e segurança no acesso ao sistema.

  5. Política de Segurança da Informação • Os pontos principais da Política de Segurança são: • Segurança Organizacional • Controle e Classificação dos ativos de informação • Segurança em Pessoas • Conformidade

  6. Política de Segurança da Informação • Como as informações são consideradas a inteligência da Instituição, estas devem ser classificadas de acordo com o sigilo necessário. • Portanto, serão classificadas como: • Ultra-secreto • Secreto • Confidencial • Reservado

  7. Política de Segurança da Informação • Níveis de proteção a serem adotados: • Extremamente alto • Alto • Médio • Baixo • Extremamente baixo • A cada nível são associadas características específicas, considerando principalmente o potencial impacto causado por uma perda de integridade e/ou disponibilidade.

  8. Política de Segurança da Informação • Para todos os usuários da Rede Infoseg, existem algumas responsabilidades comuns. São elas: • Manter sigilo de sua senha de acesso ou seu certificado digital, que é de uso pessoal e intransferível, sendo punível a divulgação • Informar qualquer suspeita a respeito do uso indevido ou não autorizado da Rede INFOSEG; • Dar encaminhamento para a investigação nos casos de suspeita de uso indevido do acesso a Rede INFOSEG. • Manter seu cadastro atualizado; • Manter sigilo a respeito de qualquer informação obtida através do acesso disponibilizado a Rede INFOSEG. • Assinar o Termo de Responsabilidade de Uso da Rede INFOSEG, concordando com essa Política de Segurança da Informação.

  9. Política de Segurança da Informação • O Coordenador Administrativo é responsável pelo cadastramento dos Coordenadores Máster do órgão e a gestão dos usuários e seus acessos. As suas responsabilidades específicas são: • definir e cadastrar as unidades gerenciais e os Coordenadores Máster; • definir junto à unidade gerencial, os perfis de acesso ao sistema que classificarão os usuários no INFOSEG; • cadastrar os Coordenadores Máster definidos, pessoalmente ou através do Coordenador Administrativo Assistente; • supervisionar os usuários finais garantindo que sejam seguidas as normas de segurança e responsabilidades definidas para a utilização do sistema; • supervisionar o trabalho dos Coordenadores Máster e Operacionais, garantindo que sejam seguidas as normas de segurança e responsabilidades definidas para a utilização do sistema; • prover treinamento aos Coordenadores Máster e Operacionais; • proceder a reinicializarão de senhas dos Coordenadores Máster; • proceder a atualização dos dados cadastrais dos Coordenadores Máster; • verificar e/ou coordenar a verificação de cadastro dos usuários; • proceder o cancelamento de cadastro no sistema de Coordenadores Máster, Operacionais e usuários finais do órgão, seja por solicitação ou pelo uso indevido do sistema. • Solicitar e analisar auditorias a cerca dos usuários cadastrados pelo órgão para acesso a Rede INFOSEG bem como sobre a utilização do sistema por tais usuários;

  10. Política de Segurança da Informação • O Coordenador Máster, por sua vez, tem as seguintes responsabilidades: • manter sigilo de sua senha de acesso ou seu certificado digital, que é de uso pessoal e intransferível, sendo punível a divulgação • informar qualquer suspeita a respeito do uso indevido ou não autorizado da Rede INFOSEG; • definir e cadastrar as unidades organizacionais e os Coordenadores Operacionais; • definir junto à unidade organizacional, os usuários finais do sistema que terão acesso as consultas disponíveis no INFOSEG; • cadastrar os Coordenadores Operacionais e Usuários assegurando a assinatura do Termo de Responsabilidade de Uso da Rede INFOSEG; • supervisionar os Coordenadores Operacionais e Usuários finais garantindo que sejam seguidas as normas de segurança e responsabilidades definidas para a utilização do sistema; • proceder treinamento aos usuários finais e Coordenadores Operacionais; • proceder a reinicialização de senhas de usuários finais e Coordenadores Operacionais; • verificar e atualizar os dados cadastrais dos Coordenadores Operacionais e usuários finais; • proceder o cancelamento de cadastro no sistema de Coordenadores Operacionais e usuários finais do órgão. • auxiliar o Coordenador Administrativo nas questões relacionadas a auditoria de utilização e auditoria dos usuários da rede.

  11. Política de Segurança da Informação • São responsabilidades do Coordenado Operacional, no âmbito do seu órgão: • definir junto à sua unidade organizacional, os usuários finais do sistema que terão acesso às consultas disponíveis no INFOSEG; • cadastrar usuários assegurando a assinatura do Termo de Responsabilidade de Uso da Rede INFOSEG; • supervisionar os usuários finais garantindo que sejam seguidas as normas de segurança e responsabilidades definidas para a utilização do sistema; • supervisionar o trabalho dos Coordenadores Operacionais, garantindo que sejam seguidas as normas de segurança e responsabilidades definidas para a utilização do sistema; • proceder treinamento aos usuários finais; • proceder a reinicialização de senhas de usuários finais; • Verificar e atualizar os dados cadastrais dos usuários finais; • proceder o cancelamento de cadastro no sistema de Coordenadores Operacionais e usuários finais do órgão. • Auxiliar os Coordenadores Administrativo e Master nas questões relacionadas a auditoria de utilização e auditoria dos usuários da rede.

  12. Certificação Digital • A Certificação Digital é mais uma forma de segurança de acesso a sistemas informatizados. • Nos dias atuais, o tema ganhou um grande destaque pois provê recursos para garantirmos uma comunicação confiável.

  13. Certificação Digital • Alguns conceitos: • Algoritmo de criptografia: software que cifra os dados do emissor e decifra no receptor; • Chave: código utilizado para gerar a cifragem dos dados; • Autoridade Certificadora (AC): órgão responsável pela geração dos certificados digitais; • Autoridade Registradora (AR): órgão responsável pelo registro dos usuários, revogação e disponibilização de certificados emitidos pela AC, validação presencial, etc.

  14. Certificação Digital • Premissas de segurança da informação atendidas pela certificação digital: • Confidencialidade; • Integridade; • Auditoria; • Não repúdio, isto é, impossibilidade de negar autoria.

  15. Certificação Digital • Diversos níveis de certificação digital são definidos, dependendo da forma como os certificados são gerados, o algoritmo utilizado, o tamanho da chave de criptografia, entre outros.

  16. Certificação Digital • Principais cuidados com seu certificado digital: • Perda do smartcard ou token; • Formatação do dispositivo; • Perda da senha; • Remoção das chaves; • Dano físico.

  17. Certificação Digital • A Rede Infoseg lançará uso do certificado digital padrão A3. Esse tipo de certificado é gerado em hardware e disponibilizado para o usuário por meio de um token ou smartcard. • O certificado terá validade de 3 anos, isto é, o usuário poderá utilizar o certificado por esse período, recebendo um novo certificado após esse prazo. • Num primeiro momento, apenas os coordenadores administrativos e master terão o certificado digital para realizar as transações no sistema.

  18. Certificação Digital • Caso o usuário perca seu token ou smartcard, ele deverá comunicar a Autoridade Registradora mais próxima. O certificado antigo será rejeitado por todo o sistema e um novo será gerado, com nova validade inclusive. • Exemplos de smartcards: cartão bancário, chip gsm, etc.

  19. Certificação Digital • A Revogação do certificado digital • Como mencionado anteriormente, o certificado digital poderá ser revogado em algumas situações, não podendo mais ser aceito pelo sistema. • A CRL é uma lista que tem a função de guardar os certificados revogados e informar a toda a infra-estrutura quais são os certificados não aceitos. • Essa lista é atualizada de tempos em tempos, evitando que um certificado revogado seja utilizado indevidamente.

  20. Obrigatoriedade do Módulo de Proteção • Crescimento cumulativo do número de Malwares

  21. Obrigatoriedade do Módulo de Proteção • Quantidade de Malwares por Mês

  22. Obrigatoriedade do Módulo de Proteção • O Módulo de Proteção da Rede Infoseg visa eliminar os riscos provenientes desses malwares; • O módulo é instalado na máquina cliente que acessa o Portal da Rede Infoseg. No momento do acesso, todos os malwares detectados são “desativados” até que o acesso se encerre;

  23. Obrigatoriedade do Módulo de Proteção • Outras técnicas de ataque são detectadas e evitadas pelo Módulo de Proteção, dentre elas: páginas falsas, redirecionamento de páginas (envenenamento de DNS), keyloggers, screenloggers e engenharia social (phishing trojans).

  24. Obrigatoriedade do Módulo de Proteção • Situação atual das instalações

  25. Obrigatoriedade do Módulo de Proteção • Vemos pelo gráfico a necessidade da participação de todos os envolvidos para a disseminação eficiente do mesmo. • A conscientização dos usuários e dos responsáveis por redes corporativas é o primeiro passo para alcançarmos a total proteção dos usuários da Rede Infoseg.

  26. Obrigatoriedade do Módulo de Proteção • A Rede Infoseg provê as seguintes formas de aquisição do módulo: • Download automático e manual por meio do Portal (controle ActiveX); • Pacote instalador MSI, disponível para download; • As duas formas exigem direitos administrativos na estação de trabalho. O pacote msi pode ser disponibilizado via GPO num ambiente Windows, por exemplo.

  27. Cadastramento de Computadores • Visa obter um nível de segurança maior no acesso ao Portal; • Apenas as máquinas indicadas pelos usuários poderão acessar o sistema utilizando as credenciais do usuário em questão; • A Rede Infoseg definiu como 4 (quatro) o número de estações autorizadas por usuário do sistema.

  28. Obrigado! faleconosco@infoseg.gov.brwww.infoseg.gov.br(61) 3429 – 9390 Equipe de Rede: Artur Andrade Paulo Lari Reury Soares Samuel Abreu

More Related