Requisitos de Segurança da Informação

Possuir de forma clara e objetiva, uma Política de Segurança da Informação ou documento similar, no qual constem diretrizes de segurança. O documento deve ser revisado periodicamente e divulgado a todos os colaboradores e terceiros. 

Esta política deve abordar, mas não se limitar aos seguintes temas: Classificação da Informação; Mesa e Tela Limpa; Controle de Acesso; Senhas; Manuseio da informação; Licenciamento de software; Backups; Resposta a incidentes; Acesso à Internet; Uso de correio; Eletrônico; Procedimentos documentados; Gestão de Vulnerabilidades / Patches.


Organização

Área ou pessoa responsável pela coordenação das ações de Segurança da Informação.


Gestão de Ativos

Todos os ativos (estações de trabalho, impressoras, celulares, etc.) da empresa devem estar controlados e conforme a política deverá possuir classificação da informação (exemplo: restrita, confidencial, interna e pública).


Gestão e Segurança em Recursos Humanos 

- Programa de conscientização e treinamentos periódicos (no mínimo semestral) em Segurança da Informação para orientação dos colaboradores.
- Gestão e processo de encerramento e ou transferência de pessoas para assegurar a proteção das informações e ativos.
- Termos e condições de contratações assinados pelos colaboradores e terceiros declarando suas responsabilidades e da organização para a “Segurança da Informação” e “Proteção das Comunicações Telefônicas e Telemáticas e Dados Pessoais de Assinantes”. 


Segurança física e do ambiente 

- Monitoramento por meio de CFTV dos locais críticos e restritos do ambiente da empresa.
- Controle de entrada física em áreas seguras, garantindo acesso somente às pessoas autorizadas.
- Controle de ameaças externas e do meio ambiente, por exemplo, existência de AVCB (Auto de Vistoria do Corpo de Bombeiros).
- Manutenção periódica nos ativos que suportam os processos da Telefônica Vivo, exemplo geradores.
- Processo de descarte e transporte seguro implantado e documentado para as mídias e equipamentos que manipulam informações da Telefônica Vivo.
- Procedimento formal para o controle da retirada e manutenção de equipamentos. 


Gerenciamento das operações e comunicações 

- Documentar os processos de operação, mantendo atualizados e disponíveis a todos os colaboradores.
- Procedimento formal de Gestão de Mudança e possuir de forma centralizada seus registros.
- Segregação de funções e áreas críticas para reduzir as oportunidades de acesso não autorizado, erros operacionais e vazamento de informação nos ativos da empresa.
- Diagramas e Topologia para obter uma melhor visualização e entendimento dos aspectos de segurança de rede (TI).
- Os ambientes de desenvolvimento, teste, homologação de sistemas devem ser segregados do ambiente de produção.
- Procedimentos de Segurança da Informação sobre eventual rede sem fio, incluindo responsabilidades operacionais sobre a rede, fluxo de solicitação, aprovação, implantação e revisão de regras de Firewall e roteadores.
- Controle formal para identificação de todas as mídias com informações sensíveis, conforme política de classificação da informação.
- Trocas de informações e software entre organizações devem ser realizadas de forma segura e criptografadas.
- Os registros dos logs devem ser armazenados de forma centralizada com proteções adequada em ambientes seguro e controlados. 
- Data e Hora dos computadores, sistemas e dispositivos de controle de acesso físico devem estar sincronizadas com uma fonte confiável de tempo.


Controle de acessos

- Existência de procedimento formal documentado para concessão, revisão e revogação dos acessos aos sistemas internos da contratada.
- Identificação e registro de todos os privilégios especiais de acesso aos servidores e aplicações.
- Regras e política de senhas: troca periódica de senhas, restrição para reutilização de senhas e nível de complexidade.

As regras devem seguir no mínimo as pautas abaixo:
 
Tamanho mínimo de senha: 8 caracteres
Não permitir a utilização das últimas 10 senhas
Habilitar complexidade na formação da senha
Troca de senha a cada 30 dias
Bloqueio após 4 tentativas erradas.

- Políticas de "mesa e tela limpa" para papéis e mídias removíveis, conforme descritos na política de segurança da informação.
- Bloqueio de estações em função de inatividade.
- Segregação das redes de comunicação em domínios lógicos (por exemplo, domínios internos e domínios externos) protegidos por um perímetro de segurança definido.
 


Gerenciamento de Controles criptográficos e atualizações de patches 

- Procedimento para o uso de controles de criptografia em sistemas e informações sensíveis da Telefônica Vivo.
- Gerenciamento de Chaves Criptográficas.
- Documentação atualizada referente às atualizações de patches e antivírus das estações e servidores. 
 


Gestão de incidentes de Segurança da Informação 

- Procedimento formal para tratamento de incidentes de segurança da informação.
- Procedimento formal para análise crítica de incidentes de segurança da informação.
 

 


 
 

© 2012-2013 Telefônica S.A. Todos os direitos reservados.