top of page

Última atualização: 01 de agosto de 2023

Política de Hardening

1. Objetivo.


A política de "Hardening" (em português, Sistema Resistente) tem por finalidade fortalecer a segurança de sistemas desenvolvidos pela GSS CARBON ("GSS"), visando a redução da superfície de ataque e a mitigação de vulnerabilidades. Busca-se criar uma infraestrutura resistente, tornando mais desafiador para invasores explorarem possíveis falhas. 

  

2. Abrangência.
 

A política de Hardening da GSS (sigla para o nome da empresa) possui uma abrangência que se estende a todas as áreas da organização, abarcando colaboradores, parceiros externos e prestadores de serviços. Esta abordagem inclusiva visa garantir a segurança robusta e eficaz em todos os aspectos relacionados à proteção da informação. 

  

3. Conceitos e definições.
 

  • Hardening: Conjunto de práticas e procedimentos implementados para fortalecer a segurança de sistemas.

  • Cultura de DevSecOps: Práticas de segurança desde as fases iniciais do ciclo de vida do desenvolvimento de software até as operações contínuas. Envolve a colaboração entre desenvolvimento, segurança e operações para garantir que a segurança seja uma consideração contínua em todo o processo de entrega de software. O termo "DevSecOps" combina Desenvolvimento (Dev), segurança (Sec) e operações (Ops).

  • Superfície de Ataque: Todo método ou maneira que possa ser utilizado por um invasor para obter acesso não autorizado ou extrair dados.

  • Colaboradores: Entende-se como colaborador qualquer pessoa que trabalhe para GSS, quer seja: funcionário com registro em carteira de trabalho, terceiro, estagiário, aprendiz ou trainee;

  • Gestor: Colaborador que exerce cargo de liderança;

  

4. Procedimentos de Hardening.
 

A implementação eficaz desses procedimentos contribui para mitigar vulnerabilidades e garantir a resiliência dos ativos de informação da GSS. Abaixo estão os procedimentos específicos de Hardening a serem seguidos:
 

1. Atualizações Regulares:

  • ​Todos os sistemas e software devem ser mantidos atualizados com as últimas correções de segurança e atualizações fornecidas pelos fabricantes.

  • Um cronograma regular de aplicação de patches deve ser estabelecido para garantir que as correções críticas sejam aplicadas prontamente.


​2. Configurações de Segurança:

  • Configurações padrão não essenciais ou inseguras devem ser desativadas.

  • As configurações de segurança recomendadas pelos fornecedores e as melhores práticas do setor devem ser implementadas.
     

3. Gerenciamento de Contas de Usuário:

  • As contas de usuário devem ser revisadas regularmente, revogando o acesso de usuários não autorizados ou inativos.

  • A autenticação multifatorial (MFA) deve ser implementada sempre que possível.
     

4. Controle de Acesso:

  • Atribuição de privilégios mínimos necessários para realizar tarefas específicas (princípio do privilégio mínimo).

  • Monitoramento e revisão regular dos privilégios de acesso para garantir a conformidade contínua.
     

5. Firewall e Filtragem de Pacotes:

  • Configuração adequada de firewalls para restringir o tráfego não autorizado.

  • Filtragem de pacotes para bloquear ou permitir tráfego com base em critérios específicos.
     

6. Auditoria e Monitoramento:

  • Ativação de logs de auditoria para monitorar atividades suspeitas ou potencialmente maliciosas.

  • Revisão regular dos logs de auditoria para identificar padrões e incidentes de segurança.
     

7. Criptografia:

  • Utilização de criptografia para proteger dados confidenciais em trânsito e em repouso.

  • Implementação de SSL/TLS em comunicações web e outras práticas de criptografia recomendadas.
     

8. Remoção de Serviços Não Necessários:

  • Desativação de serviços e protocolos não essenciais para minimizar a superfície de ataque.

  • Avaliação regular da necessidade de serviços em execução e remoção dos não utilizados.
     

9. Políticas de Senhas:

  • Estabelecimento de políticas de senhas fortes e complexas.

  • Atualização regular de senhas e implementação de políticas de expiração.
     

10. Monitoramento de Vulnerabilidades:

  • Uso de ferramentas automatizadas para identificar e corrigir vulnerabilidades.

  • Avaliação regular da postura de segurança dos sistemas por meio de análises de vulnerabilidades.
     

11. Treinamento e Conscientização:

  • Fornecimento regular de treinamento em segurança da informação para todos os colaboradores.

  • Promoção de uma cultura de segurança, incentivando a conscientização sobre práticas seguras.
     

12. Revisão Regular:

  • Revisão periódica dos procedimentos de Hardening para garantir a conformidade contínua com as melhores práticas e requisitos de segurança.

 
Última atualização: 01 de agosto de 2023 

bottom of page