Segurança e auditoria de sistemas
Universidade Federal do Tocantins Departamento de Ciência da Computação Segurança e Auditoria de Sistemas POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA TOCMARKET Orientador: Dr. David Prata Acadêmicos: Palmas – To 23/01/2012 1. POLÍTICA DE SEG A TocMarket trata a Diego Vieira Ferreira 0 p O DA TOCMARKET to de imensurável valor, resguardando em suas atividades o uso adequado e protegendo-a contra ameaças e riscos.
As políticas e procedimentos que garantem a segurança da informação são prioridade constante da empresa, reduzindo-se os riscos de falhas, os danos elou os prejuízos que possam comprometer a magem e os objetivos da instituição e de seus parceiros.
A existência e manipulação da informação podem ocorrer por diferentes meios, ou seja, através de arquivos eletrônicos, emails, internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo etc. A segurança da informação abrange três aspectos básicos, citados a seguir: (i) Confidencialidade: acesso da informação limitado apenas a pessoas devidamente autorizadas pela empresa. ii) Integridade: somente alterações, supressões e adições Política de Segurança da Informação adotada por uma nstituição depende da combinação de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados à segurança da informação e à maneira pela qual são implantados e monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, funcionários e colaboradores. 2.
OBJETIVO DA POLITICA DE SEGURANÇA DA INFORMAÇÃO A Política de Segurança da Informação da TocMarket é uma declaração formal da empresa acerca de seu compromisso com a proteção das informações de sua propriedade elou sob sua uarda, devendo ser cumprida por todos os seus colaboradores. Seu propósito é estabelecer as diretrizes a serem seguidas pela empresa no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação. 3. ESTRUTURA NORMATIVA DA SEGURANÇA DA INFORMAÇAO 3. 1.
DEFINIÇAO A estrutura normativa da Segurança da Informação da TocMarket é composta por documentos classificados em três níveis hierárquicos diferentes, descritos a seguir: Política de Segurança da Informação (Política): é o que constituí este documento, definindo a estrutura, as diretrizes e as normas elacionadas à segurança da informação; Normas de Segurança da Informação (Normas): estabelecem deveres e procedimentos de acordo com as diretrizes da Política, a serem aplicados nas diversas situações em que a informação é tratada; Procedimentos de Segura 2 OF ação (Procedimentos): na Politica, nas atividades da TocMarket. 3. 2. DIVULGAÇÃO E ACESSO À ESTRUTURA NORMATIVA A Politica e as Normas de Segurança da Informação devem ser divulgadas a todos os colaboradores da TocMarket e dispostas de maneira que seu conteúdo possa ser consultado a qualquer momento.
Os Procedimentos de Segurança da Informação devem ser ivulgados às áreas diretamente relacionadas à sua aplicação. 3. 3. APROVAÇAO E REVISAO Os documentos integrantes da estrutura normativa da Segurança da Informação da TocMarket deverão ser aprovados e revisados conforme os seguintes critérios: Política Nível de Aprovação: Diretoria Executiva Periodicidade de Revisão: anual Normas NIVel de Aprovação: Comitê Gestor de Segurança da Informação Periodicidade de Revisão: semestral Procedimentos Nivel de Aprovação: Diretoria responsável pela área envolvida 4. ATRIBUIÇOES E RESPONSABILIDADES NA GESTAO DE SEGURANÇA DA INFORMAÇAO
Cabe a todos os colaboradores da TocMarket: * Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da TocMarket; * Buscar orientação do superior hierárquico imediato em caso de dúvidas relacionadas à se uran a da informação; * Assinar Termo de Resp formalizando a ciência e o 30F 10 apenas para as finalidades aprovadas pela TocMarket; * Cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual; de direitos do contribuinte; * Comunicar imediatamente à área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política lou de suas Normas e Procedimentos. Adicionalmente, são definidas as seguintes responsabilidades e atribuições específicas relacionadas à segurança da hformação: 4. 1. DIRETORIA EXECUTIVA Em relação à segurança da informação, cabe à Diretoria Executiva: * Aprovar a Política de Segurança da Informação e suas revisoes; * Aprovar a nomeação dos “proprietários” da informação; * Tomar as decisões administrativas referentes aos casos de descumprimento da Política elou de suas Normas encaminhados pelo Comitê Gestor de Segurança da Informação. 4. 2.
COMITE GESTOR DE SEGURANÇA DA INFORMAÇAO (CGSI) Cabe ao Comitê Gestor de Segurança da Informação (CGSI): * Propor ajustes, aprimoramentos e modificações desta Política; * Propor melhorias e aprovar as Normas de Segurança da nformaçao; * Definir a classificação das informações pertencentes ou sob a guarda da TocMarket, com base no inventário de informações apresentado pela Área de Gestão de Segurança da Informação e nos critérios de classificaç de Norma específica; relacionados à melhoria da segurança da informação da TocMarket; * Propor o planejamento e a alocação de recursos financeiros, umanos e de tecnologia, no que tange à segurança da informação; * Determinar a elaboração de relatórios, levantamentos e análises que dêem suporte à gestão de segurança da informação e à tomada de decisão; * Acompanhar o andamento dos principais projetos e iniciativas relacionados à segurança da informação; e * Propor a relação de “proprietários” das informações da TocMarket.
O CGSI terá como membros: Diretor Executivo de Operações e TI; – Diretor de TI – Sistemas de Negociação; – Diretor de TI – Sistemas de Faturamento; – Diretor de TI – Infra-Estrutura, Arquitetura e Produção; Diretor de RH; – Representante da Diretoria de Relações com Cliente (Diretor Executivo ou Diretor); e – Responsável pela área de Gestão de Segurança da Informação. O Comitê de Auditoria da TocMarket poderá, caso queira, indicar representante para participar das reuniões do CGSI na condição de observador/ouvinte. A coordenação dos trabalhos do CGSI caberá ao responsável pela área de Gestão de Segurança da Informação, cujas atribuições abrangerão a convocação das reuniões e a realização de outros atos de suporte às atividades desenvolvidas.
As reuniões do CGSI: i) Serão realizadas bimestralmente, podendo haver convocação em freqüência maior ou extraordinariamente, sempre que necessário; (ii) Serão instaladas com a presença de, no mínimo, 2/3 (dois terços) dos membros do CGSI; e (iii) Deverão ser registradas em ata. O CGSI deliberará por mai OF presentes. GESTAO DE SEGURANÇA DA INFORMAÇAO Cabe à área de Gestão de Segurança da Informação: * Convocar, coordenar, lavrar atas e prover apoio às reuniões do CGSI; * Prover todas as informações de gestão de segurança da informação solicitadas pelo CGSI; * Prover ampla divulgação da Política e das Normas de
Segurança da Informação para todos os colaboradores da * Oferecer orientação e treinamento sobre a Política de Segurança da Informação e suas Normas a todos os colaboradores da TocMarket; * propor projetos e iniciativas relacionados ao aperfeiçoamento da segurança da informação da TocMarket, mantendo-se atualizada em relação às melhores práticas existentes no mercado e em relação às tecnologias disponíveis; * Estabelecer procedimentos e realizar a gestão dos sistemas de controle de acesso da TocMarket, incluindo os processos de concessão, manutenção, revisão e suspensão de acessos aos suanos; * Analisar os riscos relacionados à segurança da informação da TocMarket e apresentar relatórios periódicos sobre tais riscos ao CGSI, acompanhados de proposta de aperfeiçoamento do ambiente de controle da Bolsa, quando for o caso; * Realizar trabalhos de análise de vulnerabilidade, para detectar o nível de segurança dos sistemas de informação e dos ambientes em que circulam as informações da TocMarket; * Requisitar informações às demais áreas da TocMarket (diretorias, gerências, coordenações etc. ), realizar testes e averiguações em sistemas e equipamentos, com o intuito de erificar o cumprimento da Política e das Normas de Segurança da Informação; e * Estabelecer mecanismo de registro e controle de não- conformidade a esta Política e às Normas de Segurança da Inf 6 0 mecanismo de registro e controle de não-conformidade a esta Política e às Normas de Segurança da Informação, comunicando o CGSI. 4. 4. PROPRIETARIO DA INFORMAÇAO O proprietário da informação é Secretaria da Fazendo do Estado do Tocantins, pois a empresa TocMarket só presta um serviço a SEFAZ.
Cabe ao proprietário da informação: Controla um registro de todas as empresas que estão em onformidade com as leis no estado, essas empresas devem declarar um demonstrativo anual (DIF), destinado à apuração das informações relativas ao ICMS das empresas, que servirá de base para o cálculo do índice de Participação dos Municípios – IPM, dos municípios do Estado, conforme disposto na Constituição Federal. Além disso, as mesmas devem declarar e regulamentar um demonstrativo mensal(GlAM) destinado à apuração do ICMS das empresas, tendo como base a escrita fiscal do contribuinte, abrangendo os valores relativos a todas as entradas e saldas, discriminados por Unidade da Federação. . 5. ESTRUTURA DA TOCMARKET A estrutura organizacional da empresa TocMarket é dividida em pesquisa de campo, equipe de desenvolvimento de software, atendente de call center, controle de qualidade, RH e gestores. 45. 1. Pesquisa de Campo No setor de “Pesquisa de Campo” consta os profissionais responsável por realizar a pesquisa de mercado (face-a-face). 4. 5. Desenvovilmento de Software No setor de Desenvovilmento de Software existe os profissionais ligados a área da Tecnolog e comunicaçao (TICS) manutenção de hardware e softwares básico. 4. 5. 3. Atendentes de Call Center e controle de qualidade Os Atendentes de Call Center são responsáveis por entrar em contato com os contribuintes e contadores, deixando-os cientes de suas obrigações fiscais. para gerenciamento desta etapa, os atendentes de call-center registram todo processo realizado, assim, os profissionais do Controle de Qualidade (CQ) são responsáveis por analisar e corrigir possíveis erros neste processo, principalmente escrito dos relatórios. 4. 5. 4 RH O RH tem por finalidade de selecionar, gerir e nortear os colaboradores na direção dos objetivos e metas da empresa.
O objetivo básico que persegue a função de Recursos Humanos RH) é alinhar as políticas de RH com a estratégia da organização. 4. 5. 5 Gestores os gestores, que são responsáveis por analisar os relatórios gerados e tomar decisões junto as informações obtidas. 5. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da TocMarket. Tais diretrizes constituem os principais pilares da Gestão de Segurança da Informação da s EFAZ. 5. 1 . ADOÇAO DE COMPORTAMENTO SEGURO Independentemente do meio ou da forma em que exista, a informação está presente no trabalho de todos os profissionais.
Portanto, é fundamental para a proteção e salvaguarda das informações que os profissionais adotem comportamento seguro e consistente com o objetivo de proteção das informações da SEFAZ, com destaque para os se uintes itens: * coordenadores, funcio adores de serviços diz respeito à proteção das informações da Secretaria da Fazenda. * Os colaboradores da TocMarket devem compreender as ameaças externas que podem afetar a segurança das informações da empresa, tais como vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos etc. , bem como fraudes destinadas a roubar senhas de acesso os sistemas de informação. Todo tipo de acesso à informação da TocMarket que não for explicitamente autorizado é proibido. * Informações confidenciais da SEFAZ não podem ser transportadas em qualquer meio (CD, DVD, disquete, pen-drive, papel etc. ) sem as devidas autorizações e proteções. * Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais etc. ). * As senhas de usuário são pessoais e intransferíveis, não podendo ser compartilhadas, divulgadas a terceiros (inclusive olaboradores da própria empresa), anotadas em papel ou em sistema visível ou de acesso nao protegido. Somente softwares homologados pela TocMarket podem ser instalados nas estações de trabalho, o que deve ser feito, com exclusividade, pela equipe de serviços de informática da Bolsa. * A política para uso de internet e correio eletrônico deve ser rigorosamente seguida. Arquivos de origem desconhecida nunca devem ser abertos elou executados. * Documentos impressos e arquivos contendo informações confidenciais devem ser adequadamente armazenados e protegidos. * Qualquer tipo de dúvida sobre a Política de Segurança da Informação e suas Normas deve ser imediatamente esclarecido com a área de Gestão de Segurança da Informação. 5. 2. ADOÇÃO DE INVENTÁRIO E DE SISTEMA DE C 0 5. 2.
ADOÇÃO DE INVENTÁRIO E DE SISTEMA DE CLASSIFICAÇÃO DA INFORMAÇAO A área de Gestão de Segurança da Informação deve manter um inventário atualizado que identifique e documente a existência e as principais características de todos os seus ativos de informação (base de dados, arquivos, diretórios de rede, trilhas de auditoria, códigos fonte de sistemas, documentação de sistemas, manuais, planos de continuidade etc. . As informações inventariadas devem ser classificadas de acordo com o grau de confidencialidade e criticidade para o negócio da TocMarket, e com base na Norma de classificação de informações estabelecida pela Secretária da Fazenda. 5. 3. AVALIAÇAO CONTINUA DOS RISCOS DE SEGURANÇA DA INFORMAÇÃO A área de Gestão de Segurança da Informação deve realizar, de forma sistemática, a avaliação dos riscos relacionados ? segurança da informação da TocMarket.
A análise dos riscos deve atuar como ferramenta de orientação da secretaria da fazenda, principalmente, no que diz respeito à: Identificação dos principais riscos aos quais a informação da SEFAZ está exposta; e * Priorização das ações voltadas à mitigação dos riscos apontados, tais como implantação de novos controles, criação de novas regras e procedimentos, reformulação de sistemas etc. 6. VIOLAÇÕES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SANÇOES Nos casos em que houver violação desta Política ou das Normas de Segurança da Informação, sanções administrativas elou legais poderão ser adotadas, podendo culminar com o desligamento e eventuais processos crimi 0 DF 10