Última atualização: 01 de agosto de 2023
Política de Hardening
1. Objetivo.
A política de "Hardening" (em português, Sistema Resistente) tem por finalidade fortalecer a segurança de sistemas desenvolvidos pela GSS CARBON ("GSS"), visando a redução da superfície de ataque e a mitigação de vulnerabilidades. Busca-se criar uma infraestrutura resistente, tornando mais desafiador para invasores explorarem possíveis falhas.
2. Abrangência.
A política de Hardening da GSS (sigla para o nome da empresa) possui uma abrangência que se estende a todas as áreas da organização, abarcando colaboradores, parceiros externos e prestadores de serviços. Esta abordagem inclusiva visa garantir a segurança robusta e eficaz em todos os aspectos relacionados à proteção da informação.
3. Conceitos e definições.
-
Hardening: Conjunto de práticas e procedimentos implementados para fortalecer a segurança de sistemas.
-
Cultura de DevSecOps: Práticas de segurança desde as fases iniciais do ciclo de vida do desenvolvimento de software até as operações contínuas. Envolve a colaboração entre desenvolvimento, segurança e operações para garantir que a segurança seja uma consideração contínua em todo o processo de entrega de software. O termo "DevSecOps" combina Desenvolvimento (Dev), segurança (Sec) e operações (Ops).
-
Superfície de Ataque: Todo método ou maneira que possa ser utilizado por um invasor para obter acesso não autorizado ou extrair dados.
-
Colaboradores: Entende-se como colaborador qualquer pessoa que trabalhe para GSS, quer seja: funcionário com registro em carteira de trabalho, terceiro, estagiário, aprendiz ou trainee;
-
Gestor: Colaborador que exerce cargo de liderança;
4. Procedimentos de Hardening.
A implementação eficaz desses procedimentos contribui para mitigar vulnerabilidades e garantir a resiliência dos ativos de informação da GSS. Abaixo estão os procedimentos específicos de Hardening a serem seguidos:
1. Atualizações Regulares:
-
Todos os sistemas e software devem ser mantidos atualizados com as últimas correções de segurança e atualizações fornecidas pelos fabricantes.
-
Um cronograma regular de aplicação de patches deve ser estabelecido para garantir que as correções críticas sejam aplicadas prontamente.
2. Configurações de Segurança:
-
Configurações padrão não essenciais ou inseguras devem ser desativadas.
-
As configurações de segurança recomendadas pelos fornecedores e as melhores práticas do setor devem ser implementadas.
3. Gerenciamento de Contas de Usuário:
-
As contas de usuário devem ser revisadas regularmente, revogando o acesso de usuários não autorizados ou inativos.
-
A autenticação multifatorial (MFA) deve ser implementada sempre que possível.
4. Controle de Acesso:
-
Atribuição de privilégios mínimos necessários para realizar tarefas específicas (princípio do privilégio mínimo).
-
Monitoramento e revisão regular dos privilégios de acesso para garantir a conformidade contínua.
5. Firewall e Filtragem de Pacotes:
-
Configuração adequada de firewalls para restringir o tráfego não autorizado.
-
Filtragem de pacotes para bloquear ou permitir tráfego com base em critérios específicos.
6. Auditoria e Monitoramento:
-
Ativação de logs de auditoria para monitorar atividades suspeitas ou potencialmente maliciosas.
-
Revisão regular dos logs de auditoria para identificar padrões e incidentes de segurança.
7. Criptografia:
-
Utilização de criptografia para proteger dados confidenciais em trânsito e em repouso.
-
Implementação de SSL/TLS em comunicações web e outras práticas de criptografia recomendadas.
8. Remoção de Serviços Não Necessários:
-
Desativação de serviços e protocolos não essenciais para minimizar a superfície de ataque.
-
Avaliação regular da necessidade de serviços em execução e remoção dos não utilizados.
9. Políticas de Senhas:
-
Estabelecimento de políticas de senhas fortes e complexas.
-
Atualização regular de senhas e implementação de políticas de expiração.
10. Monitoramento de Vulnerabilidades:
-
Uso de ferramentas automatizadas para identificar e corrigir vulnerabilidades.
-
Avaliação regular da postura de segurança dos sistemas por meio de análises de vulnerabilidades.
11. Treinamento e Conscientização:
-
Fornecimento regular de treinamento em segurança da informação para todos os colaboradores.
-
Promoção de uma cultura de segurança, incentivando a conscientização sobre práticas seguras.
12. Revisão Regular:
-
Revisão periódica dos procedimentos de Hardening para garantir a conformidade contínua com as melhores práticas e requisitos de segurança.
Última atualização: 01 de agosto de 2023