Guia básico de Segurança da Informação
GUIA BÁSICO DE SEGURANÇA DA INFORMAÇÃO
1.Segurança Física e do Ambiente
editar- Seguir as regras estabelecidas pela organização para a entrada e saída de convidados (acompanhar convidados ou prestadores de serviços terceirizados durante a permanência dos mesmos no espaço de trabalho);
- Fechar e verificar as portas e janelas do escritório quando for atribuída essa tarefa;
- Gerenciar seu espaço de trabalho para que documentos importantes não fiquem facilmente expostos para visitantes;
- Assegurar que os dispositivos eletrônicos e computadores estão guardados antes de sair do seu espaço de trabalho;
- Manter celulares e computadores bloqueados quando não estiver em seu espaço de trabalho;
- Avisar sobre qualquer situação estranha que tenha ocorrido dentro ou nas proximidades do escritório;
- Não emprestar equipamentos ou compartilhar informações com pessoas não autorizadas;
- Não deixar as chaves da organização expostas, por exemplo, presa na mochila, na calça, em cima da mesa
2.Senhas
editar- Sua senha é de uso pessoal, não a forneça para ninguém;
- Não deixe senhas anotadas em cadernos, agendas, postits e nem em armazene no computador em texto puro;
- Utilize frases-senhas ao invés de senhas simples (método do dado / diceware);
- Utilize um gerenciador de senhas (keepassx ou keepass2), mas mantenha seu e-mail principal fora do chaveiro caso necessite recuperar suas contas;
- Opte pela autenticação de 2 fatores em sites que fornecem o serviço;
- Troque suas senhas a cada 3 meses;
- Não enviar senhas e/ou códigos por canais não seguros, somente por meio criptografado;
3.Navegação
editar- Utilize sempre navegadores distintos para acessar conteúdo pessoal (facebook, e-mail pessoal etc) e conteúdo de trabalho (e-mail de trabalho, pesquisas etc);
- Não instale, sem prévia autorização do setor de T.I., nenhum complemento/plugin nos navegadores;
- Semanalmente faça uma limpeza de histórico, cookies e dados de armazenamento em seus navegadores;
- Acesse somente sites com conexão segura – Na barra de endereços aparecem com um símbolo de um cadeado verde e com conexão HTTPS (criptografada). Caso apareça “conexão não segura” contate o administrador do sistema para uma solução;
- Faça downloads de arquivos e programas apenas de fontes confiáveis, ou seja, de sites oficiais ao invés de sites como Baixaki.
4.E-mail
editar- Não acesse links e/ou anexos de pessoas desconhecidas. Em caso de arquivos executáveis (.exe, .zip, .bat) não abra mesmo de pessoas conhecidas!
- Não acesse seu e-mail de trabalho em computadores não cadastrados pela empresa;
- Não encaminhar e-mails da organização que incluam informações privadas;
- Sempre que possível envie e-mails criptografados, mesmo que não possuam conteúdo sensível relevante;
- Verifique, sempre que possível pessoalmente, se a chave pública de criptografia do seu contato confere com o fingerprint informado;
- Mantenha sua chave privada de criptografia em um dispositivo criptografado.
5.Celular/Smartphone
editar- Utilize criptografia em seu aparelho Android;
- Manter atualizações do Android e de Aplicativos em dia;
- Não instalar aplicativos de fontes desconhecidas e evitar aplicativos desnecessários como jogos ou que solicitem permissões de acesso invasivas (acesso a agenda, armazenamento, câmera, microfone etc);
- Manter o aparelho sempre ao seu alcance, não deixá-lo exposto no local de trabalho como em outros lugares;
- Não transmitir informações sensíveis pelo aparelho, somente por aplicativos com nível de criptografia satisfatório (Signal Private Messeger);
- Utilizar a internet 3G e 4G caso o fluxo de dados seja relativamente baixo (mensagens, acesso a sites, e-mails etc);
- Sempre que não estiver utilizando desabilitar Bluetooth, Wifi e Localização.
6.Conexão com a internet
editar- Em hipótese alguma utilize uma rede wireless aberta (hotspot, wifi livre ou algo do tipo) nem mesmo em lugares com rede wireless com senhas compartilhadas (hotéis, restaurantes etc);
- Opte, sempre que possível, por uma conexão à internet via cabo, pois nenhum protocolo de segurança para redes wireless é mais seguro1;
- Manter computadores em modo avião;
- Conectar computadores e celulares pessoas na rede Wifi convidados;
- Nunca forneça a senha da rede wireless para pessoas não autorizadas. Caso seja necessário, forneça apenas a da rede Convidados.
7.Computadores de Viagem
editar- Nunca deixe seu notebook onde possa ser acessado por terceiros;
- Quando terminar de utilizar para alguma finalidade, verifique se apagou todos arquivos que eventualmente tenha salvado. Ninguém precisa saber no que você estava trabalhando. Lembre-se que é um computador compartilhado;
- Lembre-se também de remover histórico, cookies de dados de navegação;
- Tenha certeza que não deixou nenhum e-mail ou serviço on-line logado. Você pode optar por uma navegação privativa em seu navegador, para não registrar histórico e não armazenar nenhuma sessão salva;
- Nunca memorize senhas no navegador, para isso utilize o gerenciador de senhas;
- Não conecte, ou deixem que conectem, pendrives e outras mídias no computador de viagem. Caso necessite de algum arquivo utilize um pendrive corporativo, de preferência criptografado.
8.Armazenamento de dados
editar- Não armazene conteúdo desnecessário. Verifique sempre sua pasta de Downloads e exclua arquivos que não utiliza mais;
- Sistematize seu conteúdo organizando arquivos em pastas. Informação dispersa é informação perdida;
- Relate ao administrador do sistema sobre quais pastas e arquivos devem ser feitos o backup; Não são todos dados do computador que são salvos, por questões de espaço de armazenamento.
9.Mídias Removíveis
editar- Não utilize pendrives de terceiros no computador de trabalho;
- Nunca gravar informações sensíveis em dispositivos não criptografados. Qualquer informação que tenha sido salva em um pendrive, hd-externo, cartão de memória, pode ser acessada mesmo depois de apagada (e até mesmo depois de formatar o dispositivo!!!);
- Utilize mídias removíveis sem criptografia apenas para informações e conteúdos que são, ou podem ser, públicos.
10.Relatar problemas
editar- Quando enfrentar uma situação não descrita nessa cartilha básica de segurança da informação, relate imediatamente o administrador de sistema para saber como proceder;
- Qualquer anomalia, ou caso desconfie que seu computador foi violado de alguma forma, suspenda o uso imediatamente do equipamento e contate o administrador de sistema.
11.Comunicando informações sensíveis
editar- Nunca enviar informações sensíveis através de canais sem uma camada de segurança que podem ser facilmente interceptados, exemplo, skype, facebook, whatsapp e e-mail não criptografado;
- Compartilhar informações sensíveis com outros membros do trabalho somente quando for necessário (“Need to know”);
- Comunicar para a organização caso acidentalmente tenha enviado uma informação sensível para pessoas não autorizadas ou tornado público;
- Comunicar e tratar apenas pessoalmente quando a informação for confidencial.