Call Center

16
 24/3/2010 Manual de controles de SI para Call Center.doc  1  Avaliação de riscos em fornecedores Manual de controles de segurança da informação  para Call Center s DSC – Diretoria de segurança corporativa SSI – Superintendência de Segurança da Informação

Transcript of Call Center

24/3/2010

Manual de controles de SI para Call Center.doc

Avaliao de riscos em fornecedores Manual de controles de segurana da informao para Call Centers

DSC Diretoria de segurana corporativa SSI Superintendncia de Segurana da Informao

1

24/3/2010

Manual de controles de SI para Call Center.doc

ndice1. Objetivo ....................................................................................................................................... 3 2. Ciclo de vida das Informaes ................................................................................................... 3 3. Controles de segurana da informao e sua aplicabilidade .................................................. 3

2

24/3/2010

Manual de controles de SI para Call Center.doc

1. ObjetivoEste manual tem como objetivo informar aos fornecedores de servios de Call Centers cobrana, telemarketing e outros, sobre os controles de segurana da informao mnimos requeridos para reduzir os riscos de manuseio de dados do banco Ita Unibanco Holding S. A.

2. Ciclo de vida das InformaesA informao um ativo importante dentro da organizao, e que deve ser protegido em todas as fases do seu ciclo de vida. No quadro abaixo demonstramos exemplos de meio fsico e lgico durante o ciclo de vida da informao, onde a informao deve ser adequadamente protegida. Ciclo de Vida Gerao Transporte Armazenamento Relatrios Transporte de mdias de armazenamento de informaes e equipamentos entre as unidades Fitas de backup contendo com as gravaes das ligaes Meios Fsico Lgico Gerao de dados para os sistemas de atendimento Transferncia de arquivos de dados para contato com o cliente, arquivos de voz e outros Arquivos de dados para contato com o cliente Carga para o sistema de ligaes ou atendimento

Manuseio

Relatrios de atendimento e mtricas

Descarte

Destruio fitas de backup

Limpeza de todos os dados dos clientes na concluso do processo

3. Controles de segurana da informao e sua aplicabilidadeIntroduo A ISO 27002 uma norma que trata das melhores prticas da segurana da informao. Os controles desse manual tiveram como base a ISO 27002, de modo que a numerao dos controles abaixo, seguem o mesmo padro. 5.1.1 - Documento da poltica de segurana da informao - conjunto de princpios que norteia a gesto da segurana das informaes corporativas. Esta poltica deve ser divulgada a todos os funcionrios e partes externas relevantes para a proteo das informaes do negcio da organizao. A poltica deve: ser aprovada pela administrao; ser divulgada a toda organizao; 3

24/3/2010

Manual de controles de SI para Call Center.doc

ser revisada anualmente; conter um escopo claramente definido; definir papis e responsabilidades; classificao das informaes.

6.1.2 - Coordenao da segurana da informao - representantes de diferentes partes da organizao, com funes e papis relevantes na coordenao das atividades operacionais de segurana da informao. A Coordenao deve: Definir e garantir a aderncia da organizao s diretrizes de segurana da informao; Identificar as ameaas significativas e a exposio da informao; Promover a conscientizao pela segurana da informao; Monitorar os controles de segurana da informao e realizar uma anlise crtica dos incidentes de segurana da informao; 6.1.5 - Acordos de confidencialidade - podem evitar a utilizao indevida de informaes sensveis, no que diz respeito questo de sigilo e condies de uso das informaes confiadas aos funcionrios, prestadores e partes externas relevantes. 7.1.1 - Inventrio dos ativos registro de identificao, localizao e funcionalidade dos ativos de informao de valor relevante, para que a organizao possa avaliar quais so os controles de segurana adequados. O inventrio deve incluir uma identificao clara dos seguintes tipos de ativos: Informaes, Software, Hardwares e Infra-estrutura. 7.2.1 - Recomendaes para classificao Elaborao de um esquema para classificar informaes, que defina um conjunto apropriado de nveis de proteo e determine a necessidade de medidas especiais de tratamento para cada nvel. A classificao deve: Ter como base os requisitos contratuais ou de conformidade legal,como o PCI, ISO 27002, SOX, etc; Abordar os principais ativos da organizao; Designar responsvel, custodiante e usurio das informaes; Definir rtulos e regras para o tratamento seguro das informaes durante todo o seu ciclo de vida. 8.2.2 - Conscientizao, educao e treinamento em segurana da informao sensibilizao constante de funcionrios e partes externas relevantes, por exemplo, prestadores de servio, da necessidade de segurana da informao, a partir de programas de conscientizao sobre segurana da informao, com foco nos dados sensveis para a industria de cartes. O programa deve garantir que os colaboradores sejam conscientizados desde a sua contratao e periodicamente, e assegurar atravs de formalizao o reconhecimento do contedo da poltica de segurana da informao. 8.3.2 - Devoluo de ativos definio de um processo para a proteo das informaes e preservao do patrimnio organizacional no processo de encerramento ou transferncia de atividades. Os ativos que devem ser devolvidos incluem, mas no se restringem a: Equipamentos, 4

24/3/2010

Manual de controles de SI para Call Center.doc

Documentos corporativos, Softwares entregues pessoa, Dispositivos de comunicao mvel, Cartes de crdito e Manuais. 8.3.3 - Retirada de direitos de acesso remoo dos direitos de acesso de todos os funcionrios, fornecedores e terceiros, a informaes e aos recursos de processamento da informao aps o encerramento de suas atividades, contratos ou acordos, ou ajustados aps mudanas destas atividades. 9.1.2 - Controles de entrada fsica - acesso a reas de segurana, como escritrio, sala ou instalao de processamento e armazenamento de informaes sensveis ao negcio da organizao, liberado somente para pessoas autorizadas, com entrada e sada controladas e registradas por meio de mecanismos apropriados. O controle deve incluir: Distino das reas de segurana. Permetros que devem ser considerados: Administrao, Cofre, Datacenter, Operao, Retrievel e outros; Alguma forma fcil de identificao, dentro das que tratem de informaes crticas, que permita distinguir funcionrios, fornecedores, e visitantes, atravs do CFTV; Registro de todos os acessos para fins de auditoria, incluindo o nome do visitante, a empresa representada, o funcionrio que autoriza o acesso fsico data e hora de entrada e sada; Armazenamento dos registros por pelo menos trs meses. 9.1.3 - Segurana em escritrios, salas e instalaes - informaes e equipamentos precisam ficar protegidos de furtos, danos ou destruio por incidentes causados por pessoas que acessam a rea sem autorizao, ainda que estas reas sejam equipadas com barreiras e controles de acesso. As seguintes diretrizes ou padres tcnicos devem ser aplicados: O ambientes crticos, como operao e datacenter, devem estar localizados de forma a evitar o acesso de pessoas no autorizadas e possuir monitoramento por circuito fechado de TV (CFTV); As portas e janelas devem ser mantidas fechadas quando no utilizadas e dotadas de protees externas, principalmente quando estiverem localizadas no andar trreo; Evitar o impacto na instalao de servios de suporte e equipamentos, por exemplo, fotocopiadoras e fax, em ambientes onde informaes crticas possam ser comprometidas; Posicionar equipamentos de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de que as informaes sejam vistas por pessoal no autorizado durante sua utilizao; Instalar sistemas de deteco de intrusos, de forma a inibir o acesso por qualquer porta externa e janela acessvel. As reas desocupadas devem possuir um sistema de alarme que permanea sempre ativado. 9.2.1 - Instalao e proteo do equipamento (riscos ambientais) - Os seguintes controles devem ser adotados: Dispositivos para minimizar o risco de: incndio, exploses, fumaa, inundaes, poeira, vibrao, superaquecimento e outros; Adotar mecanismos de proteo contra relmpagos, incluindo filtros de proteo nas linhas de comunicao. 5

24/3/2010

Manual de controles de SI para Call Center.doc

Estabelecer normas especficas para proibir alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao; Monitorar aspectos ambientais (temperatura, umidade, etc.) que evitem condies que possam afetar negativamente a operao. 9.2.1 - Instalao e proteo do equipamento (acesso no autorizado) - Os seguintes controles devem ser adotados: Instalar equipamentos de forma a reduzir acessos desnecessrios rea de trabalho, por exemplo, utilizando setores distintos, constitudas por barreiras fsicas resistentes. Posicionar equipamentos de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de que as informaes sejam vistas por pessoal no autorizado durante sua utilizao. Proteger os locais de armazenagem de informaes, a fim de evitar o acesso no autorizado. Proteger equipamentos que processam informaes sensveis, a fim de minimizar o risco de vazamento de informaes em decorrncia de emanaes. Isolar equipamentos que necessitem de proteo especial para reduzir o nvel geral de proteo exigida. Restringir o acesso fsico a pontos de rede acessveis publicamente. Restringir o acesso fsico a pontos de acesso sem fio, gateways e dispositivos portteis. 9.2.2 Infraestrutura de energia eltrica Controles que evitem distrbios, interrupes e oscilaes no fornecimento de energia eltrica podem afetar o desempenho ou ainda causar danos aos equipamentos e interrupes de operaes do negcio. Devem ser utilizados No-breaks, geradores reserva, aterramento das instalaes eltricas, e tcnicas de condicionamento de energia, em conformidade com as especificaes dos fabricantes dos equipamentos. 9.2.6 - Reutilizao e alienao segura de equipamentos a reutilizao de equipamentos deve possuir procedimentos de descarte de dispositivos de armazenamento (discos rgidos, memrias "flash" e outros meios de armazenamento) que contenham informao sensvel, atravs da destruio fsica ou sobrescritos de forma segura. 9.2.7 - Remoo de propriedade - a ausncia ou ineficcia do controle de retirada de equipamentos, "software" e dados armazenados traz riscos segurana da informao. A remoo de ativo deve ser autorizada pelo seu responsvel, possuir registros de retirada e devoluo. 10.1.2 - Gesto de mudanas: a ausncia ou o controle inadequado de modificaes nos sistemas e recursos de processamento da informao podem ocasionar falhas operacionais ou de segurana. Por isso necessrio que a empresa tenha processos de gesto de mudana que aborde os seguintes itens: Identificao, registro e aprovao formal das mudanas significativas, como novos cartes ou alteraes em cartes existentes; Planejamento, teste e avaliao de impactos operacionais e de segurana das mudanas; Comunicao dos detalhes das mudanas para todas as pessoas envolvidas; 6

24/3/2010

Manual de controles de SI para Call Center.doc

Procedimentos de recuperao em caso de insucesso ou ocorrncia de eventos inesperados. 10.1.3 - Segregao de funes: um princpio da segurana usado para impedir que uma nica pessoa possa acessar modificar ou usar ativos sem a devida autorizao ou deteco, reduzindo os riscos de uso acidental ou deliberado destes ativos, assim como a possibilidade de conluios nas fases de personalizao de cartes. Assegurar que estgios crticos de um processo, como a do administrador do sistema e do auditor de segurana e outros, fiquem a cargo de dois ou mais indivduos; 10.1.4 - Separao dos recursos de desenvolvimento, teste e de produo: as atividades de desenvolvimento e teste podem causar srios problemas no ambiente de produo, como, por exemplo, modificaes inesperadas ou falhas em arquivos ou em sistemas. Alm da segregao dos ambientes, os seguintes procedimentos devem ser adotados: Estabelecer perfis diferentes de acesso de usurios para "software" em situao de desenvolvimento, de teste e de produo; Tornar inacessveis compiladores, editores e outras ferramentas de desenvolvimento a partir dos sistemas operacionais do ambiente de produo (quando no forem necessrios); Proteger e controlar os dados de teste, no utilizando os dados do Banco Ita Unibanco Holding S. A. de produo nessa atividade. 10.2.2 - Monitoramento e anlise crtica de servios terceirizados: a monitorao e anlise crtica dos servios terceirizados garantem a aderncia entre os termos de segurana da informao e as condies dos acordos, alm de permitir o gerenciamento adequado de problemas e incidentes de segurana. Os seguintes procedimentos devem ser adotados: Atribuir a um indivduo ou a equipe de gerenciamento de servio a responsabilidade pelo gerenciamento do relacionamento com o terceiro. Atribuir ao terceiro a responsabilidade pela verificao de conformidade e reforo aos requisitos dos acordos em seu ambiente. Disponibilizar habilidades tcnicas suficientes e os recursos necessrios para monitorar se os requisitos dos acordos, em particular os requisitos de segurana da informao, esto sendo atendidos. Executar regularmente auditorias nos servios de terceiros 10.4.1 - Controles contra cdigos maliciosos: "softwares" maliciosos, tais como vrus de computador, cavalos de Tria, "worms" de rede e bombas lgicas, so agentes potencialmente graves segurana da informao, pois possibilitam o roubo de informaes sigilosas e a paralisao dos servios. Os seguintes procedimentos devem ser adotados: Estabelecer poltica formal de uso de "software"; Manter atualizado o "software" de anti-vrus. 10.5.1 - Cpias de segurana das informaes: a ocorrncia de desastres, erros operacionais ou falhas nos recursos de processamento da informao podem fazer com que dados e "software" essenciais ao negcio da organizao sejam perdidos, assim, os seguintes procedimentos devem ser adotados: 7

24/3/2010

Manual de controles de SI para Call Center.doc

Gerar e testar regularmente as cpias de segurana das informaes; Armazenar cpias de segurana a uma distncia suficiente para escapar dos danos de um desastre ocorrido no local principal; Usar criptografia para situaes onde a confidencialidade das cpias de segurana precisa ser mantida, como dados de cartes. 10.6.1 - Controles de redes: a comunicao entre as localidades de uma organizao (matriz e filiais, por exemplo), bem como entre a organizao e o meio externo (Internet, por exemplo), normalmente faz uso de redes de computadores. Uma rede de computadores representa um potencial ponto de risco segurana da informao, visto que pode possuir inmeras brechas ou vulnerabilidades que permitem o acesso indevido aos sistemas, servios e recursos de processamento da informao e, portanto, requer controles de segurana adequados em sua administrao, tais como: Segregar a responsabilidade operacional pela operao dos recursos computacionais; Utilizar criptografia robusta e protocolos de segurana como SSL/TLS ou IPSEC para proteger os dados confidenciais do portador do carto durante a transmisso em redes sem fio e pblicas; Monitorar a presena de pontos de acesso sem fio; Usar sistemas de deteco de invaso e/ou sistemas de preveno contra invaso para monitorar todo o trfego no ambiente de dados confidenciais e alertar as equipes sobre comprometimentos suspeitos; Formalizar, justificar, aprovar e testar todas as conexes de rede, servios, protocolos e portas de comunicao permitidas e alteraes s configuraes do firewall e do roteador; Analisar os conjuntos de regras do firewall e do roteador pelo menos a cada seis meses; Manter diagrama da rede atualizado com todas as conexes com relao aos dados confidenciais, incluindo quaisquer redes sem fio. Controle rigido sobre equipamentos e/ou softwares com capacidade para analisar trfego de rede 10.7.1 - Gerenciamento de mdias removveis - fitas, discos, cartuchos, "flash disks", CD, DVD e mdia impressa, dentre outras mdias removveis, costumam conter dados e informaes confidenciais do portador do carto, portanto, requer controles de segurana adequados em sua administrao, tais como: Habilitar unidades de mdias removveis somente se houver uma necessidade do negcio; Registrar, inventariar e classificar a informao das mdias removveis para limitar a oportunidade de perda de dados; Obter aprovao da gerncia e registrar a remoo de qualquer mdia da organizao; 10.7.2 - Descarte de mdias - mdias ticas e eletrnicas, tanto as fixas como as removveis, contm dados e informaes confidenciais para o negcio da organizao. Quando no forem mais utilizadas, requerem os seguintes cuidados no descarte:

8

24/3/2010

Manual de controles de SI para Call Center.doc

Identificar e registrar as mdias que requerem descarte seguro, tais como fitas de backup, impressos e outros; Triturar, incinerar ou amassar as mdias para que os dados no possam ser recuperados; Os servios terceirizados de coleta e descarte de papel, de equipamentos e de mdias magnticas, deve ser efetuado por fornecedor com experincia e controles de segurana adequados. 10.7.3 Procedimentos para tratamento de informao - As informaes organizacionais devem ser adequadamente protegidas em todas as etapas do seu ciclo de vida (criao, armazenamento, manuseio, processamento e descarte), independente da mdia utilizada e no nvel de segurana atribudo. Alm de controles de segurana tecnolgicos, devem ser elaborados procedimentos para o tratamento e armazenamento adequado das informaes, de forma que os usurios executem as atividades necessrias para garantir a segurana das informaes sensveis a que tenham acesso. 10.8.3 - Mdias em trnsito - o transporte fsico de mdias (externo) aos limites da organizao um potencial ponto de risco segurana da informao, visto que as torna vulnerveis a acessos no autorizados, danos ou adulteraes, principalmente quando realizado por terceiros, assim, os seguintes procedimentos devem ser adotados: Utilizar transporte ou servio de mensageiro confivel; Enviar a mdia via mensageiro identificado e seguro ou outro mtodo de entrega que pode ser monitorado com preciso; Adotar controles especiais, para proteger informaes crticas, tais como: recipientes lacrados, entrega em mos, lacres especficos de pacotes (que revele qualquer tentativa de acesso), diviso do contedo em mais de uma remessa, transporte de cada uma das mdias por rotas distintas e assinatura digital com criptografia; Cartes (personalizados ou no) transportados entre as diferentes unidades, devem ser acondicionados em cofres com as chaves em poder da empresa responsvel pelos cartes (nunca do mensageiro), com escolta e monitoramento do itinerrio. 10.8.4 - Mensagens eletrnicas - mensagens eletrnicas como correio eletrnico, "Eletronic Data Interchange" (EDI) e sistemas de mensagens eletrnicas instantneas cumprem um papel cada vez mais importante nas comunicaes das organizaes. Os seguintes procedimentos devem ser adotados para transmisso: Proteger os dados de clientes Ita Unibanco Holding S.A. contra acessos no autorizados, modificao ou negao de servio e utilizar mecanismos de criptografia, quando necessrio; Nunca enviar dados de cliente sem criptografia atravs das tecnologias de envio de mensagens de usurio final (por exemplo, e-mail, sistemas de mensagens instantneas, batepapo e outros). 10.10.1 - Registros de auditoria - Os "logs" de eventos dos sistemas contm informaes que ajudam na identificao de ataques, fraudes e outros eventos de segurana, assim, os seguintes procedimentos devem ser adotados:

9

24/3/2010

Manual de controles de SI para Call Center.doc

Padronizar os registros ("logs") de auditoria para as atividades de usurios, excees e outros eventos de segurana da informao, incluindo: identificao dos usurios, datas e horrios como detalhes de eventos-chave, identidade e localizao da estao de trabalho, registros das tentativas de acesso aceitas e rejeitadas e outras informaes relevantes; Os administradores de sistemas no devem ter permisso de excluso ou desativao dos registros ("log") de suas prprias atividades, seguindo as orientaes estabelecidas nas regras de segregao de funes; Definir, para cada conjunto de registros ("logs") de auditoria, uma periodicidade de reteno baseada em determinaes de rgos reguladores; Manter um histrico da trilha de auditoria por pelo menos um ano, com um mnimo de trs meses imediatamente disponvel para anlise (por exemplo, online, arquivado ou recupervel a partir do back-up); Armazenar os registros ("log") de auditoria em locais adequados, providos de controle de acesso, pelos perodos definidos; Ter uma ateno especial mdia de armazenamento dos registros, que deve ter validade superior ao perodo de reteno definido, de forma que a qualidade das evidncias seja mantida. 10.10.3 - Proteo das informaes dos registros Os registros ("logs") de auditoria podem ser adulterados por falhas tcnicas ou por meio de ao deliberada para encobrir atividades no autorizadas, assim, os seguintes procedimentos devem ser adotados: Os servidores de "log" devem estar localizados em uma rea de segurana, contendo uma console de gerenciamento e uma impressora conectada localmente; Os servidores de "log" devem estar em uma rede segmentada da rede local, com proteo de dispositivos de segurana ("Firewall" e VLAN); Os relgios dos servidores de "log" devem estar sincronizados; Registrar todas as atividades executados nos servidores de "log"; Devem-se aplicar medidas de segregao de funes para assegurar que as pessoas autorizadas que realizam atividades nos servidores de "log" sejam diferentes daquelas que realizam a auditoria; O acesso remoto aos servidores de "log" deve ser feito atravs de utilizao de protocolos seguros (por exemplo: SSL/SSH); Documentar todos os procedimentos dos servidores de "log", tais como: configurao e instalao, administrao e operao, backup e manuteno, acessos a todas as trilhas de auditoria, inicializao dos registros de auditoria. 10.10.6 - Sincronizao dos relgios - O correto estabelecimento dos relgios dos computadores importante para garantir a exatido dos registros ("log") de auditoria, que podem ser requeridos por investigaes ou apresentao de evidncias em casos legais ou disciplinares. Os seguintes procedimentos devem ser adotados: Implementar mecanismo que permita a sincronizao dos relgios de computadores a um padro de tempo confivel, por exemplo, o tempo coordenado universal ("Coordinated Universal Time" - UTC) ou um padro de tempo local (Observatrio Nacional - ON); 10

24/3/2010

Manual de controles de SI para Call Center.doc

Definir rotina para a verificao de inconsistncias e correo das variaes de tempo significativas. 11.2.1 - Registro de usurio - a concesso indiscriminada de contas de acesso a sistemas e servios, assim como a no obrigatoriedade de revogao de contas no utilizadas (por exemplo, de ex-funcionrios), favorece a ocorrncia de acessos indevidos, assim, os seguintes procedimentos devem ser adotados: Estabelecer procedimentos que orientem a concesso e revogao de contas de acesso; Identificao de usurio (ID) nica para assegurar a responsabilidade de cada usurio por suas; Permisso do uso de grupos de ID somente onde existe necessidade para o negocio ou por razes operacionais; Autorizao do proprietrio do sistema para liberao do acesso para usurios; Declarao por escrito dos direitos de acesso a ser fornecida aos usurios; Assinatura do usurio em declarao indicando que as condies de acesso foram entendidas; Liberar acesso aos usurios somente aps concluso dos procedimentos de autorizao; Registro formal de todas as pessoas com direito de acesso concedido; Remoo imediata, ou bloqueio dos direitos de acesso, de usurios que mudaram de cargos, funes ou deixaram a organizao. 11.2.2 - Gerenciamento de privilgios - o uso inapropriado de privilgios especiais de acesso pode ser um grande fator de contribuio para falhas ou violaes, permitindo a divulgao ou modificao imprpria de informaes, fraudes e sabotagens, assim, os seguintes procedimentos devem ser adotados: Identificar e registrar os privilgios especiais de acesso associados a cada componente relacionado ao uso de sistemas e aplicaes (sistema operacional, gerenciador de banco de dados, etc.); Identificar e registrar as categorias e perfis de usurios para os quais os privilgios especiais de acesso precisam ser concedidos; Conceder privilgios especiais de acesso a usurios conforme sua necessidade de uso e em concordncia com a poltica de acesso; Conceder privilgios especiais de acesso somente aps a concluso dos procedimentos de autorizao formal; Registrar as concesses e alteraes de privilgios especiais de acesso (como, por exemplo, no remanejamento de funcionrios e prestadores de servio) para posterior anlise crtica; Autenticar todos os acessos para qualquer banco de dados que contenha dados do portador do carto, incluindo acesso por meio de aplicativos, administradores e todos os outros usurios. 11.2.3 - Gerenciamento de senha do usurio - senhas so um meio comum de verificar automaticamente a identidade dos usurios antes que acessos a sistemas e servios sejam liberados 11

24/3/2010

Manual de controles de SI para Call Center.doc

conforme os nveis de autorizao concedidos, podendo se tornar vulnerveis sem o devido gerenciamento, assim, os seguintes procedimentos devem ser adotados: Forar a troca obrigatria de senhas temporrias, no primeiro acesso ao sistema; Restrio de reutilizao de senhas; Criao de mscaras de senhas; Forar a troca peridica de senhas; Verificar a identidade do usurio antes de fornecer uma senha temporria, de substituio ou nova; Obter assinatura do usurio em declarao solicitando a manuteno da confidencialidade das senhas fornecidas; Fornecer inicialmente aos usurios senhas seguras e temporrias com troca obrigatria no primeiro acesso realizado; Os usurios devem acusar o recebimento das senhas; Manter senhas gravadas somente em computadores protegidos; Remover/desativar as contas dos usurios inativos pelo menos a cada 90 dias; Ativar as contas usadas pelos fornecedores somente para a manuteno remota durante o perodo necessrio. 11.3.1 - Uso de senhas - senhas so um meio comum de verificar automaticamente a identidade dos usurios antes que acessos a sistemas e servios sejam liberados conforme os nveis de autorizao concedidos, podendo se tornar vulnerveis sem o devido tratamento, assim, os seguintes procedimentos devem ser adotados: Orientar usurios na formao de senhas fortes; Orientar usurios a manter a confidencialidade das senhas; Evitar a utilizao da mesma senha para uso com finalidades profissionais e pessoais. 11.3.3 - Poltica de mesa limpa - uma poltica de "mesa limpa" uma forma eficaz para reduzir os riscos de acesso no autorizado, perda ou dano informao durante e fora do horrio normal de trabalho, assim, os seguintes procedimentos devem ser adotados: Papis e mdias de computador devem ser guardados, quando no estiverem sendo utilizados, em lugares adequados, com fechaduras ou outras formas seguras de mobilirio, especialmente fora do horrio normal de trabalho; Informaes sensveis ou crticas ao negcio, quando no requeridas, devem ser guardadas em local distante, de forma segura e fechada, de preferncia em um cofre ou arquivo resistente a fogo, especialmente quando o escritrio estiver vazio; Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos;

12

24/3/2010

Manual de controles de SI para Call Center.doc

Equipamentos de reproduo (fotocopiadoras, "scanners" e mquinas fotogrficas digitais) devem ser travadas ou de alguma forma protegidas contra o uso no autorizado fora do horrio de trabalho; Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora e fax. 11.3.3 - Poltica de tela limpa - uma poltica de "tela limpa" uma forma eficaz para reduzir os riscos de acesso no autorizado, perda ou dano informao durante e fora do horrio normal de trabalho, assim, os seguintes procedimentos devem ser adotados: Os computadores pessoais, terminais de computador e impressoras devem ser desligados quando desassistidos; Equipamentos devem ser protegidos por mecanismo de travamento de tela e teclado controlados por senhas, chaves ou outros mecanismos de autenticao quando no estiverem em uso; Se uma sesso estiver ociosa por mais de 15 minutos, exigir que o usurio redigite a senha para reativar o terminal. 11.4.2 - Autenticao para conexo externa do usurio - as conexes externas, por exemplo, realizadas por meio de acesso discado ("dial-up"), geralmente no possuem o mesmo nvel de segurana que a rede de comunicao, dotada de controles de segurana especficos, assim, os seguintes procedimentos devem ser adotados: Tcnicas baseadas em criptografia, "hardware tokens" ou protocolo de desafio/resposta; Procedimentos e controles de discagem reversa ("dial-back") para prover proteo contra conexes no autorizadas e no desejadas; Autenticao do n da rede com base em certificados de mquina; Incorporar a autenticao com dois fatores para o acesso remoto (acesso no nvel da rede que se origina fora dela) rede pelos funcionrios, administradores e terceiros. Usar tecnologias como a autenticao remota e o servio dial-in (RADIUS); sistema descontrole de acesso ao controlador de acesso do terminal (TACACS) com tokens; ou VPN (baseado em SSL/TLS ou IPSEC) com certificados individuais. 11.4.4 Proteo e configurao de portas de diagnstico - Muitos computadores e sistemas de comunicao possuem instalados recursos remotos de diagnstico e configurao para uso dos engenheiros de manuteno. Em geral, esses servios so necessrios para dar suporte aos sistemas mais complexos e crticos do negcio. Se desprotegidas, essas portas de diagnstico e configurao proporcionam um meio de acesso no autorizado, o que pode comprometer as informaes, e trazer srias conseqncias s atividades que delas dependem. 11.4.5 - Segregao de redes - as redes se estendem cada vez mais alm dos limites tradicionais da organizao, medida que as parcerias de negcio so formadas, e podem requerer a interligao ou compartilhamento dos recursos de rede e de processamento de informaes, assim, os seguintes procedimentos devem ser adotados:

13

24/3/2010

Manual de controles de SI para Call Center.doc

Implementar os permetros de segurana com a instalao de um "gateway" seguro entre as redes, considerando os seguintes permetros: rede administrativa, produtiva, transferncia de arquivos com o banco e outras; Restringir o trfego de entrada e sada ao necessrio para o ambiente de dados do portador do carto; Posicionar o banco de dados em uma zona da rede interna, separada da DMZ; Proibir o acesso pblico direto entre a Internet e qualquer componente do sistema no ambiente de dados do portador do carto; Implementar o mascaramento de IP para impedir que endereos internos sejam traduzidos e revelados na Internet, usando o espao de endereo RFC 1918. Usar as tecnologias NAT (network address translation). Se aplicvel, subdividir os domnios internos em grupos de servios de informao, usurios e sistemas de informao; Segregar as redes sem fio das redes internas ou privadas, visto que os permetros de redes sem fio no so bem definidos e necessitam uma anlise/avaliao de riscos para identificar controles adicionais de segurana (por exemplo, autenticao forte, mtodos criptogrficos e seleo de freqncia). 11.4.7 Controle de roteamento de redes - Redes compartilhadas, especialmente aquelas que se estendem atravs dos limites da organizao, podem necessitar de controles de roteamento que garantam que as conexes de computadores e o fluxo de informaes no violem a poltica de controle de acesso. Isto se aplica para controlar o acesso de fornecedores que prestam servio, mas no pertencem organizao. Por outro lado, controles de roteamento so importantes para prevenir ataques que fazem uso de endereos vlidos para a realizao de conexes externas no autorizadas. 11.5.1 - Procedimentos seguros de entrada no sistema logon - a identificao de um usurio vlido o ponto de partida para uma invaso ou ataque rede, colocando em risco informaes sensveis, sistemas e servios, assim, os seguintes procedimentos devem ser adotados: No mostrar identificadores de sistema ou de aplicaes at que o processo de entrada no sistema tenha sido concludo com sucesso; Mostrar um aviso geral informando que somente pessoas autorizadas devem obter acesso ao computador; No fornecer mensagens de ajuda durante o procedimento de entrada no sistema que poderiam auxiliar um usurio no autorizado; Validar a informao de entrada no sistema apenas quando todos os dados de entrada estiverem completos. Caso ocorra uma condio de erro, o sistema no deve indicar que parte do dado de entrada est correta ou incorreta; Limitar o nmero de tentativas de entrada no sistema sem sucesso, para um mximo de 3 tentativas; Limitar o tempo mximo e mnimo para o procedimento de entrada no sistema. Se excedido, o sistema dever encerrar o procedimento; Mostrar data e hora da ltima entrada no sistema com sucesso e detalhes de qualquer tentativa sem sucesso de entrada no sistema desde o ltimo procedimento efetuado com sucesso; 14

24/3/2010

Manual de controles de SI para Call Center.doc

No mostrar a senha que est sendo informada ou ocultar os caracteres da senha com smbolos; Tornar todas as senhas ilegveis durante a transmisso e o armazenamento em todos os componentes usando a criptografia robusta. 11.6.2 - Isolamento de sistemas sensveis - os sistemas de aplicao possuem requisitos de negcio e de proteo diferenciados, que devem ser observados para a adoo dos controles de segurana adequados, assim, os seguintes procedimentos devem ser adotados: Separar fsica e logicamente o sistema de aplicao sensvel dos demais, por exemplo, utilizando um computador dedicado e um "gateway" que isole logicamente o segmento da rede de computadores, servidor de recebimento do arquivo para personalizao exclusivo, pastas no servidor de arquivos dedicado (no compartilhado) para o cliente; Garantir que o sistema de aplicao sensvel compartilhe recursos somente com outros sistemas confiveis. 12.3.1 - Poltica para o uso de controles criptogrficos - conjunto de regras que garantem a padronizao das tcnicas criptogrficas, a aplicao adequada das mesmas e responsabilidades, para garantir a segurana no transporte ou armazenamento das informaes, sem afetar o negcio da organizao. Esta poltica deve: Definir as tcnicas de criptografia e a adequada aplicao das mesmas; Definir o uso de criptografia, conforme a classificao das informaes (ex. confidencial, etc.), no transporte e/ou armazenamento, independente do meio utilizado (linha de comunicao, mdias e dispositivos fixos, removveis ou mveis, etc.); Ter um procedimento para Gerenciamento das Chaves Criptogrficas para garantir a proteo das chaves e a recuperao das informaes criptografadas caso as chaves sejam perdidas, expostas ou danificadas; Definir os responsveis pela implementao e atualizao da Poltica e pelo Gerenciamento das Chaves Criptogrficas em todo o seu ciclo de vida. 12.3.2 Gerenciamento de chaves - As chaves criptogrficas so recursos que permitem controlar o acesso e garantir a integridade de dados em sistemas e redes. O gerenciamento dessas chaves essencial para o uso eficaz das tcnicas de criptografia, pois define regras e medidas que controlam o uso dos certificados digitais, nas suas fases de gerao, renovao, revogao, etc. Um bom sistema de gerenciamento evita exposio das chaves modificao, destruio, acessos no autorizados e paralisao dos servios. 12.6.1 Controle de Vulnerabilidades Tcnicas procedimento que garanta a eliminao ou minimizao da ao de cdigos maliciosos ou falhas nos sistemas atravs da atualizao de patches. Os seguintes procedimentos devem ser adotados: Inventariar todos os ativos e componentes de tecnologia; Definir responsveis pela monitorao das vulnerabilidades, anlise de riscos e implementao de patches; 15

24/3/2010

Manual de controles de SI para Call Center.doc

Identificar vulnerabilidades recentes, por exemplo, atravs de um servio de alertas; Definir a frequncia e limite de tempo para atualizao dos patches, devendo ser instalado em at 1 ms aps a descoberta os patches de segurana crticos; Avaliar e testar os patches em ambiente isolado e controlado antes da aplicao em ambiente de produo; Priorizar a aplicao das correes em sistemas mais crticos ou de alto risco; Assegurar que todos os componentes dos sistemas e softwares esto com os patches de segurana recomendados e disponibilizados pelos fornecedores instalados; Manter registro de auditoria de todos os procedimentos realizados para atualizao dos patches; Estabelecer configurao padro para todos os componentes do sistema (blindagem) que abranja as vulnerabilidades conhecidas, as melhores prticas recomendadas para o negcio em questo, desativando os protocolos, servios, funcionalidades inseguras e/ou desnecessrias e paramentrizao padro do fornecedor; Realizar testes de penetrao externos e internos, pelo menos 1 vez por ano ou aps modificaes significativas no ambiente. 13.2.1 Responsabilidades e Procedimentos (Incidentes de Segurana da Informao) procedimento para tratamento a incidentes de segurana da informao e resposta rpida, efetiva e ordenada. Deve abranger os seguintes controles: Definir o tipo, quantidade, volume e custo de incidentes; Definir as responsabilidades no tratamento aos incidentes; Planos de respostas a cada um dos tipos de incidentes (violao de confidencialidade, negao de servio, cdigo malicioso, etc.); Manter documentao de anlise e causa dos incidentes; Planejar e implementar medidas para prevenir a reocorrncia; Proteo das trilhas de auditoria e evidncias relacionadas ao incidente; Comunicar o incidente de segurana envolvendo o Banco Ita Unibanco Holding S. A. (gestor do fornecedor). 13.2.2 Aprendendo com os incidentes de Segurana da Informao As anlises crticas dos incidentes de segurana da informao podem indicar a necessidade de melhorias ou controles adicionais para limitar a freqncia, os danos e os custos de incidentes semelhantes no futuro. Alm disso, as anlises crticas so previstas no processo de reviso da poltica de segurana da organizao.

16