Skip to main content

Políticas básicas

Esta Orientação Técnica estabelece uma política básica de Segurança da Informação em três níveis: o Nível 0 é voltado aos Órgãos Setoriais que não possuem nenhuma política de Segurança da Informação, o Nível 1 se dirige aos que já implantaram o Nível 0 e, por fim, o Nível 2 é voltado aos Órgãos Setoriais que já alcançaram o Nível 1.

Deve-se ressaltar que a política descrita nesta Orientação se limita apenas ao que se entende ser o mínimo indispensável, estando muito longe ainda do ideal. É fundamental que cada Órgão sempre busque enriquecer, expandir e aprimorar a Segurança da Informação dentro da sua organização, para além do disposto nesta Orientação Técnica.

  • NÍVEL 0

O Nível 0 é voltado aos Órgãos Setoriais que não possuem maturidade suficiente para desenvolver atividades mais específicas de Segurança da Informação, seja por falta de conhecimento, seja por falta de equipe, ou ainda por ser um Órgão Setorial recém-criado e, portanto, ainda em processo de estruturação.

Nesse caso, é importante que o responsável pela Tecnologia da Informação e Comunicação tenha pelo menos algumas 
informações rudimentares em mãos. Naturalmente, isso está longe de ser suficiente, necessitando que haja esforços 
para aumentar a maturidade do Órgão Setorial em termos de Tecnologia da Informação, de forma a avançar nos níveis da                      Segurança da Informação.

O Nível 0 exige as seguintes medidas: 

Área de Gestão Medidas a serem implementadas
Gestão de Vulnerabilidades e Ameaças -o-
Monitoramento e Operações -o-
Infraestrutura e Rede Limitar o uso de contas de administrador ou similares, bem como privilégios administrativos de acesso/execução, de 
forma que apenas as pessoas que realmente precisem 
tenham acesso a essas contas e/ou privilégios.
Alterar todas as senhas padrão de infraestrutura e de rede 
para uma senha mais segura, gerido pelo responsável 
pela tecnologia da informação e comunicação do Órgão 
Setorial
Identidades e Acessos Implantar e manter processos de gestão de identidades e 
acessos, incluindo a parte de provisionamento, alteração e 
exclusão.
Verificar, junto ao Integrador Estratégico e/ou ao 
prestador de serviços de infraestrutura, que são aplicados 
critérios de senha, para se ter senhas adequadamente 
fortes.
Restringir as contas privilegiadas de usuário, tais como 
as contas de administrador, root e equivalentes, para 
que apenas os usuários que necessitam tais contas por 
necessidade de serviço, ou usuários que sejam servidores 
de carreira ou especialização em tecnologia da informação, 
possam ter permissão de uso de tais contas.
Definir processos de concessão e revogação de acesso, 
podendo incluir a necessidade de assinatura de um termo 
de responsabilidade.
Nuvem Considerar, como padrão, que os dados na nuvem devem 
estar armazenados em território brasileiro.

Endpoints e Dispositivos Móveis

 Verificar, junto ao Integrador Estratégico e/ou ao prestador 
de serviços de infraestrutura, que está acontecendo a 
aplicação de patches do sistema operacional e de outras 
aplicações, para eliminar vulnerabilidades conhecidas. 
Verificar, junto ao Integrador Estratégico e/ou ao 
prestador de serviços de infraestrutura, que há a proteção 
de endpoints, seja por meio de uma solução integrada 
ou por meio de um conjunto de soluções, incluindo pelo 
menos um antivírus.
Verificar, junto ao Integrador Estratégico e/ou ao 
prestador de serviços de infraestrutura, que foram 
implantados para rede wireless, configurando no mínimo o 
protocolo WPA2.
Alterar todas as senhas padrão das contas de 
administrador ou equivalentes para uma senha mais 
segura, gerida pela equipe de tecnologia da informação e 
comunicação do Órgão Setorial.
Implantar um sistema de gestão de ativos para gerir os 
endpoints.
Dados e Aplicações Localizar onde estão os dados mais críticos armazenados 
pelo Órgão Setorial e, se estiverem armazenados em 
equipamentos pessoais, ter pelo menos uma cópia 
atualizada periodicamente em um repositório corporativo 
do Órgão.
Implantar infraestrutura e rotinas básicas de backup de 
dados, considerando a Orientação Técnica sobre o tema.
Verificar, junto ao Integrador Estratégico e/ou ao 
prestador de serviços de infraestrutura, que há controles 
de acesso às bases de dados do Órgão Setorial, de 
forma que o acesso seja estritamente em função das 
necessidades de serviço.


  • NÍVEL 1

O Nível 1 se destina aos Órgãos Setoriais que já iniciaram um processo de desenvolvimento e amadurecimento da 
sua equipe de Tecnologia de Informação e Comunicação. O objetivo é começar a munir a equipe com conhecimentos e ferramentas para atuarem de forma mais presente.

Além do Nível 0, o Nível 1 exige também as seguintes medidas:

Área de Gestão  Medidas a serem implementadas
Gestão de Vulnerabilidades e Ameaças -o-
Monitoramento e Operações -o-
Infraestrutura e Rede

Implantar medidas de segurança física para proteger 
no mínimo a infraestrutura principal de tecnologia da 
informação e comunicação do Órgão Setorial, incluindo(*):

  • Porta com chave/cadeado que esteja efetivamente 
    operacional.
  • Claviculário ou equivalente para guardar as chaves, incluindo 
    as chaves dos racks.
  • Limitação do acesso físico à infraestrutura principal apenas às pessoas que efetivamente trabalham com os ativos localizados na mesma.
Identidades e Acessos Definir papéis para padronizar os conjuntos de permissões 
de acesso, ao invés de definir acessos para cada usuário, 
documentando os papéis definidos e mantendo a 
documentação no repositório de dados corporativo do 
Órgão Setorial.
Aplicar critérios de senha, para se ter senhas 
adequadamente fortes.
Nuvem -o-
Endpoints e Dispositivos Móveis

Gerir a aplicação de patches do sistema operacional 
e de outras aplicações, para eliminar vulnerabilidades 
conhecidas. 

  • Avaliar também a possibilidade de utilizar o servidor WSUS do Integrador Estratégico ou até mesmo ter um servidor WSUS interno ao Órgão Setorial, de forma a evitar congestionamento de rede.

Implantar a proteção de endpoints, seja por meio de uma 
solução integrada ou por meio de um conjunto de soluções, 
incluindo pelo menos:

  • Anti-malware, incluindo antivírus;
  • Firewall;
  • Filtro para navegação Web, que pode ser implantado tanto por meio de uma solução centralizada quanto por meio de add-ons de navegadores;
  • Detector de comportamento suspeito/anômalo.

Implantar e manter mecanismos de segurança para rede 
wireless, configurando no mínimo o protocolo WPA2.
Dados e Aplicações

Implantar controles de acesso às bases de dados do Órgão 
Setorial, de forma que o acesso seja estritamente em 
função das necessidades de serviço.
Se o Órgão realizar o desenvolvimento de aplicações, incluir 
como requisito não funcional a exigência de não inserir 
segredos (senhas, tokens etc.) no código-fonte, exceto 
para fins meramente de testes.
Se o Órgão realizar o desenvolvimento de aplicações, 
implantar controle de versão e gestão de repositório de 
código.
Se o Órgão realizar o desenvolvimento de aplicações, incluir 
no desenvolvimento a geração de logs de auditoria.

(*) Por “infraestrutura principal” entende-se o 
ambiente que se designa informalmente como 
a “sala de servidores”, contendo os servidores
e/ou os ativos de rede principais. Excluem-se 
os data centers (salas-cofre e infraestrutura 
associada), pois as exigências nesse caso 
são diferenciadas e muito mais rigorosas.

  • NÍVEL 2

O Nível 2 deve incorporar, ainda que em parte, da abordagem baseada em riscos. Para que isso possa ser realizado, o Órgão                Setorial deverá ter pelo menos uma pessoa da equipe de tecnologia de informação e comunicação que tenha recebido capacitação      formal em análise e gestão de riscos, preferencialmente o líder da equipe de tecnologia de informação e comunicação.

Além do Nível 1, o Nível 2 exige também as seguintes medidas:  

Área de Gestão Medidas a serem implementadas
Gestão de Vulnerabilidades e Ameaças Utilizar ferramentas automatizadas para conduzir, de 
forma periódica, avaliação básica de vulnerabilidade 
em sistemas de alto valor que o Órgão disponibiliza na 
internet.
Monitoramento e Operações Definir e documentar processos básicos de continuidade 
de negócios e recuperação de desastres para pelo menos 
um evento negativo de impacto crítico.
Infraestrutura e Rede Implantar mecanismos de detecção de ativos não 
identificados e/ou não autorizados na rede interna.
Implantar e manter um ou mais firewalls para controlar o 
tráfego de rede, especialmente se o Órgão Setorial tiver 
um link direto para a internet.
Implantar e manter uma ou mais VPNs (rede privada 
virtual), especialmente se o Órgão Setorial utilizar acesso 
remoto, incluindo a conexão a algum ambiente IaaS.
Implantar e manter um sistema de detecção e/ou 
prevenção a intrusões de rede, preferencialmente como 
parte de um firewall ou de um produto de gestão unificada 
de ameaças (UTM).
Planejar, implantar e documentar a segmentação/
zoneamento de rede.
Identidades e Acessos -o-
Nuvem

Investir em capacitação para ganhar conhecimento na 
avaliação do melhor modelo de contratação/implantação, 
além de conhecimentos para realizar a contratação em si.
Considerar, como padrão, que os dados na nuvem devem 
estar armazenados em território brasileiro.

  • No caso do Órgão Setorial ter um líder de TI com capacitação formal em Gestão de Riscos e/ou uma unidade formalmente constituída de Segurança da Informação, o Órgão poderá armazenar seus dados na nuvem fora do território nacional, mediante análise de risco e justificativa.
Endpoints e Dispositivos Móveis

Implantar um sistema e/ou um processo de gestão de 
licenças de software, incluindo um processo contínuo de 
adequação e atualização planejada das licenças.
Realizar um processo de hardening(*) (melhoria de robustez 
dos endpoints) de acordo com boas práticas conhecidas, 
tais como:

  • Utilizar guias, checklists ou benchmarks amplamente 
    utilizadas pelo mercado para ter um ponto de partida de realização de hardening;
  • Utilizar imagens atualizadas para instalar nos endpoints, se possível já após um processo de hardening da imagem;
  • Limitar os privilégios das contas de administrador ou root local e/ou as pessoas com acesso a essas contas.
Dados e Aplicações Se o Órgão realizar o desenvolvimento de aplicações, 
mapear as dependências da segurança da aplicação em 
termos de infraestrutura.
Se o Órgão realizar o desenvolvimento de aplicações, 
incorporar um mecanismo ou processo de teste de 
segurança de aplicações dentro da etapa de testes do 
ciclo de desenvolvimento de aplicações.
Se o Órgão disponibiliza aplicações para a internet que 
são hospedadas dentro da sua própria infraestrutura, 
implantar uma WAF (Web Application Firewall).

(*). Alguns exemplos possíveis:
https://nvd.nist.gov/ncp/repository
https://iase.disa.mil/stigs/Pages/a-z.aspx
https://github.com/nsacyber/Windows-Secure-Host-Baseline
http://www.buffalo.edu/content/dam/www/ubit/docs/guidance-documents/appendix-a-server-security-checklist.pdf

Para o caso específico do Nível 2, o líder da unidade formalmente constituída para gerir a tecnologia de informação e comunicação do Órgão Setorial poderá estabelecer um plano de adoção gradual das medidas descritas, considerando-se questões de caráter técnico, de pessoal e orçamentário/financeiro. 

Em caso de ter alguma prática ou controle listados acima que exijam tecnologia e/ou processo que o Órgão Setorial ainda não detém, o líder poderá realizar e executar um planejamento, refletido no Plano Diretor Setorial de Tecnologia da Informação e Comunicação e limitado à disponibilidade orçamentária, para adquirir e/ou desenvolver tal tecnologia, bem como desenvolver e internalizar os processos necessários.

 Em termos de Escala de Maturidade, a aplicação comprovada da política em Nível 1 habilita o Órgão Setorial a pleitear a medalha de bronze em Política de Segurança da Informação

No comments to display

Back to top