Guia básico de Segurança da Informação

GUIA BÁSICO DE SEGURANÇA DA INFORMAÇÃO


1.Segurança Física e do Ambiente

editar
  • Seguir as regras estabelecidas pela organização para a entrada e saída de convidados (acompanhar convidados ou prestadores de serviços terceirizados durante a permanência dos mesmos no espaço de trabalho);
  • Fechar e verificar as portas e janelas do escritório quando for atribuída essa tarefa;
  • Gerenciar seu espaço de trabalho para que documentos importantes não fiquem facilmente expostos para visitantes;
  • Assegurar que os dispositivos eletrônicos e computadores estão guardados antes de sair do seu espaço de trabalho;
  • Manter celulares e computadores bloqueados quando não estiver em seu espaço de trabalho;
  • Avisar sobre qualquer situação estranha que tenha ocorrido dentro ou nas proximidades do escritório;
  • Não emprestar equipamentos ou compartilhar informações com pessoas não autorizadas;
  • Não deixar as chaves da organização expostas, por exemplo, presa na mochila, na calça, em cima da mesa

2.Senhas

editar
  • Sua senha é de uso pessoal, não a forneça para ninguém;
  • Não deixe senhas anotadas em cadernos, agendas, postits e nem em armazene no computador em texto puro;
  • Utilize frases-senhas ao invés de senhas simples (método do dado / diceware);
  • Utilize um gerenciador de senhas (keepassx ou keepass2), mas mantenha seu e-mail principal fora do chaveiro caso necessite recuperar suas contas;
  • Opte pela autenticação de 2 fatores em sites que fornecem o serviço;
  • Troque suas senhas a cada 3 meses;
  • Não enviar senhas e/ou códigos por canais não seguros, somente por meio criptografado;

3.Navegação

editar
  • Utilize sempre navegadores distintos para acessar conteúdo pessoal (facebook, e-mail pessoal etc) e conteúdo de trabalho (e-mail de trabalho, pesquisas etc);
  • Não instale, sem prévia autorização do setor de T.I., nenhum complemento/plugin nos navegadores;
  • Semanalmente faça uma limpeza de histórico, cookies e dados de armazenamento em seus navegadores;
  • Acesse somente sites com conexão segura – Na barra de endereços aparecem com um símbolo de um cadeado verde e com conexão HTTPS (criptografada). Caso apareça “conexão não segura” contate o administrador do sistema para uma solução;
  • Faça downloads de arquivos e programas apenas de fontes confiáveis, ou seja, de sites oficiais ao invés de sites como Baixaki.

4.E-mail

editar
  • Não acesse links e/ou anexos de pessoas desconhecidas. Em caso de arquivos executáveis (.exe, .zip, .bat) não abra mesmo de pessoas conhecidas!
  • Não acesse seu e-mail de trabalho em computadores não cadastrados pela empresa;
  • Não encaminhar e-mails da organização que incluam informações privadas;
  • Sempre que possível envie e-mails criptografados, mesmo que não possuam conteúdo sensível relevante;
  • Verifique, sempre que possível pessoalmente, se a chave pública de criptografia do seu contato confere com o fingerprint informado;
  • Mantenha sua chave privada de criptografia em um dispositivo criptografado.

5.Celular/Smartphone

editar
  • Utilize criptografia em seu aparelho Android;
  • Manter atualizações do Android e de Aplicativos em dia;
  • Não instalar aplicativos de fontes desconhecidas e evitar aplicativos desnecessários como jogos ou que solicitem permissões de acesso invasivas (acesso a agenda, armazenamento, câmera, microfone etc);
  • Manter o aparelho sempre ao seu alcance, não deixá-lo exposto no local de trabalho como em outros lugares;
  • Não transmitir informações sensíveis pelo aparelho, somente por aplicativos com nível de criptografia satisfatório (Signal Private Messeger);
  • Utilizar a internet 3G e 4G caso o fluxo de dados seja relativamente baixo (mensagens, acesso a sites, e-mails etc);
  • Sempre que não estiver utilizando desabilitar Bluetooth, Wifi e Localização.

6.Conexão com a internet

editar
  • Em hipótese alguma utilize uma rede wireless aberta (hotspot, wifi livre ou algo do tipo) nem mesmo em lugares com rede wireless com senhas compartilhadas (hotéis, restaurantes etc);
  • Opte, sempre que possível, por uma conexão à internet via cabo, pois nenhum protocolo de segurança para redes wireless é mais seguro1;
  • Manter computadores em modo avião;
  • Conectar computadores e celulares pessoas na rede Wifi convidados;
  • Nunca forneça a senha da rede wireless para pessoas não autorizadas. Caso seja necessário, forneça apenas a da rede Convidados.

7.Computadores de Viagem

editar
  • Nunca deixe seu notebook onde possa ser acessado por terceiros;
  • Quando terminar de utilizar para alguma finalidade, verifique se apagou todos arquivos que eventualmente tenha salvado. Ninguém precisa saber no que você estava trabalhando. Lembre-se que é um computador compartilhado;
  • Lembre-se também de remover histórico, cookies de dados de navegação;
  • Tenha certeza que não deixou nenhum e-mail ou serviço on-line logado. Você pode optar por uma navegação privativa em seu navegador, para não registrar histórico e não armazenar nenhuma sessão salva;
  • Nunca memorize senhas no navegador, para isso utilize o gerenciador de senhas;
  • Não conecte, ou deixem que conectem, pendrives e outras mídias no computador de viagem. Caso necessite de algum arquivo utilize um pendrive corporativo, de preferência criptografado.

8.Armazenamento de dados

editar
  • Não armazene conteúdo desnecessário. Verifique sempre sua pasta de Downloads e exclua arquivos que não utiliza mais;
  • Sistematize seu conteúdo organizando arquivos em pastas. Informação dispersa é informação perdida;
  • Relate ao administrador do sistema sobre quais pastas e arquivos devem ser feitos o backup; Não são todos dados do computador que são salvos, por questões de espaço de armazenamento.

9.Mídias Removíveis

editar
  • Não utilize pendrives de terceiros no computador de trabalho;
  • Nunca gravar informações sensíveis em dispositivos não criptografados. Qualquer informação que tenha sido salva em um pendrive, hd-externo, cartão de memória, pode ser acessada mesmo depois de apagada (e até mesmo depois de formatar o dispositivo!!!);
  • Utilize mídias removíveis sem criptografia apenas para informações e conteúdos que são, ou podem ser, públicos.

10.Relatar problemas

editar
  • Quando enfrentar uma situação não descrita nessa cartilha básica de segurança da informação, relate imediatamente o administrador de sistema para saber como proceder;
  • Qualquer anomalia, ou caso desconfie que seu computador foi violado de alguma forma, suspenda o uso imediatamente do equipamento e contate o administrador de sistema.

11.Comunicando informações sensíveis

editar
  • Nunca enviar informações sensíveis através de canais sem uma camada de segurança que podem ser facilmente interceptados, exemplo, skype, facebook, whatsapp e e-mail não criptografado;
  • Compartilhar informações sensíveis com outros membros do trabalho somente quando for necessário (“Need to know”);
  • Comunicar para a organização caso acidentalmente tenha enviado uma informação sensível para pessoas não autorizadas ou tornado público;
  • Comunicar e tratar apenas pessoalmente quando a informação for confidencial.