Política de Segurança da Informação.docx

7/27/2019 Política de Segurança da Informação.docx

http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 1/23

P01 – POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

Referência P01 – Política de Segurança da Informação

Data Criado em 27/05/2013

Versão V1.0

Revisão

Autores Autor 1Autor2



P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013

CONTEÚDO MISSÃO E VISÃO .................................................................................................................................................... 4

1. OBJETIVOS......................................................................................................................................................... 4

2. ABRANGÊNCIA ................................................................................................................................................ 4

3. ESCOPO ............................................................................................................................................................... 4

3.1- COMPLIANCE .......................................................................................................................................... 5

4. REVISÃO E ATUALIZAÇÃO ........................................................................................................................ 5

5. Diretrizes........................................................................................................................................................... 5

5.1- Definindo as funções.......................................................................................................................... 6

5.2- Classificação da Informação .......................................................................................................... 6

5.3- Responsabilidades .............................................................................................................................. 7

5.4- Matriz RACI.............................................................................................................................................. 8

6. Fluxo de Informações ................................................................................................................................. 8

6.1- Máquinas copiadoras......................................................................................................................... 8

6.2- Correio Eletrônico ............................................................................................................................... 8

6.3- Telefonia Fixa ........................................................................................................................................ 9

6.4- Estações de Trabalho......................................................................................................................... 9

6.5- Banco de Dados..................................................................................................................................... 9

7. Segurança nos recursos humanos ..................................................................................................... 10

7.1– Processo Disciplinar........................................................................................................................ 10

7.2- Encerramento ou mudança da contratação....................................................................... 11

7.2.1 - Devolução de Ativos/equipamentos ...................... ..................... ...................... .................. 11

7.2.2 - Acessos ............................................................................................................................................. 11

8. Controle de Acesso ..................................................................................................................................... 11

8.1- Solicitação de Registro de usuário/acesso .......................................................................... 11

8.2- Mecanismos de Autenticação..................................................................................................... 12

8.2.1- Gerenciamento de senha do usuário ..................................... ...................... ...................... ... 12

8.4- Acesso a Recursos.............................................................................................................................. 13

8.4.1- Normas e Procedimentos para a Gestão de Acessos a Recursos ................ .............. 13

8.4.2- Proteção do Recurso ................................................................................................................... 14

8.4.4- Solicitação de Permissão de Acesso ao Recurso ...................... ...................... .................. 14

8.4.5- Aprovação ou Negação da Permissão de Acesso ........................................ ..................... 14

8.4.6- Revisão Periódica das Permissões de Acesso ao Recurso ................................ ........... 15

8.5-Arquivos e Banco de Dados ........................................................................................................... 15




8.5.1- Acesso Emergencial ................... ...................... ...................... ...................... ...................... .......... 15

8.5.2- Utilização de Usuário Genérico ................... ...................... ...................... ...................... .......... 15

8.5.3- uso dos serviços de Rede ................... ...................... ...................... ...................... ..................... 15

8.6- Estações de Trabalho....................................................................................................................... 16

8.6.1- Política de mesa limpa..................................................................................................................... 17

8.7- Comunicação Móvel.......................................................................................................................... 18

8.7.1- Equipamentos Particulares ...................... ...................... ...................... ...................... .............. 18

8.8– Trabalho remoto ............................................................................................................................... 18

8.7.1- Normas para Utilização de Acesso Remoto ............................ ...................... ..................... 18

8.7.2- Forma de Acesso e Responsabilidades ...................... ...................... ..................... ............... 19

9. Conscientização da Segurança ............................................................................................................. 19

10. GLOSSÁRIO ................................................................................................................................................... 19

11. Informações de Controle...................................................................................................................... 21

ANEXO I – TERMO DE COMPROMISSO ...................... ...................... ...................... ...................... .............. 22




D O C U M E N T O C O N F I D E N C I A L 4

MISSÃO E VISÃOQueremos ser percebidos a longo prazo, como um líder em termos de conhecimento

em consultoria e oferecer aos nossos parceiros e clientes soluções convenientes e

transparente. Nossa missão é:

criar relações sustentáveis e saudáveis com os clientes;

criar um ambiente aos melhores especialistas em diversos setores do mercado

tecnológico;

ser uma empresa inovadora.

1. OBJETIVOSProteger e preservar a organização, suas informações e negócios, além de definir

regras de segurança para orientar a forma correta para o manuseio, controle e proteção

das informações a fim de reduzir as condições de risco. Também busca desenvolver a

conscientização sobre segurança e privacidade da informação.

2. ABRANGÊNCIAAs normas citadas nesse presente documento referem-se aos procedimentos definidos

para a organização estabelecida no Brasil, em conformidade com a legislação local.

3. ESCOPOEste documento é considerado como principal ferramenta na implementação da

gestão de segurança dentro da UMBRELLA CORPORATION ME e ele se esforça para:

Fornecer linhas de decisão clara e níveis de responsabilidade

Dar orientação em determinadas situações específicas

Certificar-se da conscientização de segurança da informação em todos os níveis

dentro da organização

Reduzir o risco a um nível aceitável

Proteger a propriedade e reputação da UMBRELLA CORPORATION ME.

O equilíbrio entre estes objetivos é cuidadosamente decidido em todos os níveis da

organização. Além disso, ele dá a cada membro da equipe, independentemente de seu/sua

função o direito e o dever de contribuir para que estes objetivos sejam alcançados.





O foco principal é fornecer uma compreensão detalhada das informações e

responsabilidades de segurança para todos os níveis de colaboradors, fornecedores,

parceiros e terceiros.

3.1- COMPLIANCEUm dos fatores críticos de sucesso para esta Política de Segurança é a aceitação e o

cumprimento pelos colaboradors e todas as outras pessoas envolvidas. O cumprimento

não é opcional, é obrigatório e em simultâneo com o início de qualquer tipo de trabalho

com a UMBRELLA CORPORATION ME. A política de segurança é, portanto, obrigatória para

todas as pessoas abordadas neste documento.

Qualquer violação desta Política de Segurança ou de documentos e decisões

relacionadas será considerado uma infração disciplinar e estará sujeita à ação disciplinardentro da organização, tais como suspensão ou demissão.

4. REVISÃO E ATUALIZAÇÃO

A Política de Segurança da Informação é revista e, se necessário atualizada, ao

menos anualmente

A equipe responsável pela revisão e atualização é composta atualmente por:

Membro1 Membro do Comitê de segurança da informaçãoMembro2 Membro do Comitê de segurança da informaçãoMembro3 Membro do Comitê de segurança da informaçãoMembro4 Membro do Comitê de segurança da informaçãoMembro5 Membro do Comitê de segurança da informação

5. DIRETRIZESPara a definição da Política de Segurança da Informação, foram consideradas as

seguintes diretrizes: segurança como uma responsabilidade de todos;

importância da ética no trato de informações sigilosas e de caráter confidencial e

restrito da organização;

melhoria contínua de processos e procedimentos;

capacitação constante das pessoas ao tratar a informação.





5.1- DEFININDO AS FUNÇÕES

Quando se fala em informação, alguns papéis precisam ser identificados e possuem

importância fundamental. São eles:

Proprietário/Owner

É o “dono” da informação, encarregado de sua criação e classificação, dos recursos

de informação sob sua responsabilidade, da validação, liberação e cancelamento do acesso

aos recursos e aos locais restritos da sua área.

Gestor

Usuário designado pelo Proprietário para validar, liberar e cancelar o acesso aos

recursos e aos locais restritos.

CustodianteResponsável pela guarda e armazenamento da informação, definido pelo Gestor da

Informação.

Usuário

Pessoa autorizada pelo Proprietário ou Gestor a ler, incluir ou atualizar

informações.

5.2- CLASSIFICAÇÃO DA INFORMAÇÃO

A informação deve ser classificada de acordo com a sua confidencialidade e osprejuízos que sua divulgação não autorizada ou acidental possa causar. De acordo com

esses parâmetros, as informações são classificadas em:

Classificação Definição Exemplos

ConfidencialRestrita

Informação associaa aos interesses estratégicosda organização.

Quem tem acesso: alta direção e colaboradorsque são obrigados a conhecê-las pela função

que exercem.Sua divulgação pode trazer sérias

conseqüências, por isso exige medidas maisrígidas de controle.

Estratégias, vantagens competitivas,detalhes sobre um produto em

desenvolvimento;

Confidencial

Informação cujo conhecimento está limitado apessoas que precisam ter acesso a ela no seu

dia-a-dia profissional.Sua divulgação também pode trazer graves

conseqüências à corporação, portanto esse tipode informação necessita de controle e proteção

contra acessos não autorizados.

Procedimentos internos, estudos e projetos.

Uso Interno

Toda informação restrita para uso dentro daorganização.

Disponível ao Usuário interno. Pode serrevelada ao público externo se o Gestor

autorizar.

Circulares, manuais de procedimentos,resultados de metas.

Informação

Pública

Tudo o que pode ou deve ser divulgado para o

público

Informações de produtos, marketing,informativos, resultados de metas, código de

ética da Umbrella Corporation ME.





Observações:

- O Proprietário ou o Gestor da Informação deve definir o nível da informação quanto à

confidencialidade;

- A informação deverá ser reclassificada caso necessário.

5.3- RESPONSABILIDADES

Para garantir a implementação e a continuidade da Política de Segurança da

Informação, formaram-se grupos onde cada um deles tem uma responsabilidade

específica, confoorme abaixo.

Comitê de Segurança da Informação• elaborar, divulgar e revisar periodicamente as normas de Política de Segurança da

Informação;

• prover ações para disseminação e dar suporte ao cumprimento das normas;

• esclarecer eventuais dúvidas.

Corpo Gerencial

• garantir o cumprimento das normas pelos colaboradors de sua área;

• indicar o Gestor da Informação;

• divulgar a importância da política de senha segura;

• restringir o acesso às informações confidenciais.

Custodiante

• controlar o acesso às informações;

• adotar procedimentos de segurança;

• monitorar as informações sob sua custódia.

Comitê de Infra-estrutura de Tecnologia

• providenciar recursos de segurança;

• fornecer ferramentas para controle de acesso às informações.

Auditoria Interna

• realizar trabalhos para determinar o nível de cumprimento das normas.

Proprietário ou Gestor da Informação





• classificar/reclassificar informações sob sua responsabilidade;

• controlar acessos;

• criar controles.

Usuário

• conhecer e cumprir os controles de segurança estabelecidos;

• reportar ao superior imediato a exposição indevida das informações confidenciais.

5.4- M ATRIZ RACI

Atividades CorpoGerencial

Custodiante Comitê deSegurança da

Informação

Usuário

Desenvolver e realizar treinamento A I R I

Revisar Política de Segurança da

Informação

I I R I

Compliance R C I I

6. FLUXO DE INFORMAÇÕES

Todas as informações devem obedecer aos critérios de classificação.

6.1- M ÁQUINAS COPIADORAS Todo usuário deverá utilizar a sua senha de impressão que é de uso pessoal

e intransferível

Ao enviar o arquivo para impressão, o usuário deverá imediatamente

verificar se o que foi solicitado já está disponível na impressora, não deixando

documentos nas bandejas das impressoras mais tempo do que o necessário.

As máquinas copiadoras deverão estar com a função e-mail externodesabilitada.

6.2- CORREIO ELETRÔNICO É necessário que seja habilitado um filtro para varredura de anexos e mensagens

chave dentro do corpo de e-mail.

As mensagens que contém informações classificadas como "Restrita" ou

"Confidencial" devem ser criptografadas ao serem transmitidas para o ambiente externo.

Não é permitido que seja feito o redirecionamento de mensagens internas daorganização para caixa postal particular do usuário (e-mail externo). O acesso aos e-mails





da Instituição devem ser feitos através de mecanismos homologados (por exemplo

Blackberry e estações corporativas).

6.3- TELEFONIA FIXA O sistema de telefonia fixa deve permitir gravações de ligações em todas as áreas

consideradas críticas, sendo que esta lista deve possuir uma revisão periódica.

O PABX deve possuir um sistema que possibilite o registro de ligações telefônicas

recebidas e efetuadas através de cada ramal.

6.4- ESTAÇÕES DE TRABALHO A política de Segurança de Estação de Trabalho define quatro níveis descritos

abaixo:

Nível 1 - Padrão Básico de Segurança

Destinado aos equipamentos que não se enquadram nos demais níveis. Devem ser

tratados como exceções e disponibilizados provisoriamente. É necessário aprovação do

diretor da área.

Nível 2 - Padrão Intermediário de Segurança

Destinado aos equipamentos utilizados por Colaboradores que precisam de maior

flexibilidade no uso de recursos sem deixar de atender as Políticas de Segurança da

Informação. É necessário aprovação do diretor da área.Nível 3 - Padrão Avançado de Segurança

Destinado a todos os equipamentos. Este é o nível padrão de segurança exigido nas

estações de trabalho da Organização.

Nível 4 - Padrão Especial de Segurança

Destinado aos equipamentos utilizados exclusivamente para o acesso a

determinadas aplicações corporativas, não ocorrendo armazenamento de dados.

O quadro a seguir apresenta os recursos disponíveis na Política de Segurança de

Estação de Trabalho:

Características Nível 1 Nível 2 Nível 3 Nível 4

Bloquear execução de download da internet X X

Bloquear compartilhamentos (arquivos ou pastas) X X

Customização especial X

6.5- B ANCO DE D ADOS Devem ser definidos critérios e perfis de acesso. Esses acessos devem ser revistos

periodicamente.





Os códigos de usuários e senhas devem obedecer às boas práticas de utilização.

As aplicações deverão ter logs que registrem os acessos dos usuários e

modificações dos dados. Apenas usuários com acesso privilegiado podem acessar dados

estratégicos (Ex: cadastro de clientes).

Deve haver uma lista de aplicativos separados pelo grau de criticidade para

operação.

Dados críticos de clientes não devem ser gravados diretamente nos discos rígidos

das estações e notebooks.

Deve ser implementada técnica de "mascaramento" de dados críticos, onde os

campos de maior importância são mascarados com caracteres especiais. Dados de clientes

e suas informações mais sensíveis devem estar em bases separadas.

7. SEGURANÇA NOS RECURSOS HUMANOS Embora o Comitê de Segurança da Informação seja responsável pela gestão da

Segurança Corporativa, cabe a todos os colaboradores zelar pela segurança do seu local de

trabalho.

Os colaboradores devem fazer uso de crachás de identificação e a entrada de

visitantes deve ser autorizada e registrada.

Todos os colaboradores devem guardar ou descartar adequadamente materiais

confidenciais, manter gavetas e armários fechados, desligar ou bloquear estações de

trabalho e notebooks, zelar pelos bens e ativos da Organização.

7.1– PROCESSO DISCIPLINAR Para assegurar o efetivo cumprimento de suas atribuições, o Comitê de Segurança

da Informação tem poderes para convocar colaboradores implicados em situações de

desvio de conduta, visando à obtenção dos esclarecimentos necessários, inclusive

afastando-os de suas funções, se necessário, mediante comunicação prévia ao gestor do

colaborador. Nesses casos, o Comitê de Segurança da Informação também possui poderes

para analisar e decidir sobre pedidos de demissão, férias, licença ou qualquer outro

apresentado pelos colaboradores implicados.

As infrações disciplinares comuns, quando cometidas de modo reiterado ou de

forma grave, tornam o contrato de trabalho passível de rescisão imediata, inclusive por

justa causa.





7.2- ENCERRAMENTO OU MUDANÇA DA CONTRATAÇÃO

7.2.1 - DEVOLUÇÃO DE ATIVOS/EQUIPAMENTOS Na necessidade de devolução ou substituição do ativo/Equipamento, deve-se

realizar previamente a eliminação das informações armazenadas, de forma que não seja

possível a sua recuperação.

7.2.2 - ACESSOS Quando um colaborador é transferido entre departamentos, o gestor que o

transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e

outros controles de segurança ainda serão necessários na sua nova função e

informar a equipe de TI qualquer modificação necessária;

O gestor é responsável por solicitar a exclusão/descadastramento dos

acessos a sistemas e recursos utilizados pelo colaborador desligado, conforme

descrito abaixo:

O gestor deve enviar e-mail solicitando a desativação dos acessos do

usuário à qualquer recurso a rede e sistemas aplicativos. Deve-se verificar a

necessidade de troca de senhas de contas de uso comum ao departamento,

evitando o acesso às informações.

Após a comunicação do gestor solicitando a exclusão dos acessos do

colaborador, os acessos são excluídos automaticamente por meio da atualização

da base de dados do RH, conforme rotina de processamento.

8. CONTROLE DE ACESSO Este tópico visa definir as normas de Registro do Usuário que abrange:

criação, manutenção e desativação da conta.Regras Gerais

É reservado o direito de desativar uma conta de usuário, por parte da

equipe de segurança da área de TI, caso verifique-se a ocorrência de Incidentes

suspeitos de quebra de segurança nas contas dos usuários.

8.1- SOLICITAÇÃO DE REGISTRO DE USUÁRIO/ ACESSO Todo colaborador poderá ter uma conta para acesso aos recursos da rede

de computadores da Organização. Os acessos a demais sistemas devem serinformados pelo gestor da área no momento da solicitação da conta do usuário.





Para solicitação de criação de conta para novos colaboradors, os gestores devem

proceder conforme descrito abaixo:

O gestor de departamento a que o colaborador pertence deverá fazer uma

solicitação de criação da conta, através do formulário Solicitação de Usuário/Acesso

à área de TI , Neste formulário, deverá ser informado os dados do colaborador, bem

como os acessos que serão necessários para que este usuário desempenhe suas

funções na área (diretórios da rede UMBRELLA, acesso ao sistema, ao email e

Internet entre outros).

A equipe de segurança retornará para o gestor do departamento as

informações sobre a conta criada.

As contas podem ser monitoradas pela equipe de segurança com o objetivo

de verificar possíveis irregularidades no armazenamento ou manutenção dos

arquivos nos diretórios pessoais.

8.2- MECANISMOS DE AUTENTICAÇÃO O usuário sempre é representado por um código ao acessar o ambiente

computacional da Organização.

No processo de autenticação, além do seu código de usuário, conhecido

internamente, o usuário deve fornecer informações complementares que assegurem sua

identidade. O mais comum é o fornecimento de uma senha que seja apenas de seu

conhecimento, entretanto, existem outros mecanismos de autenticação homologados.

Cada um deles aplica-se a um conjunto de plataformas e/ou sistemas específicos

8.2.1- GERENCIAMENTO DE SENHA DO USUÁRIO

As senhas são utilizadas por todos os sistemas e são consideradas necessárias

como meio de autenticação. A eficiência das senhas dependem do usuário, pois estes

podem escolher senhas óbvias e fáceis de serem descobertas, ou ainda compartilha-lascom outros colaboradores, não mantendo o sigilo necessário.

Regras Gerais

A concessão de senhas deve ser controlada, considerando:

- Senhas temporárias devem ser alteradas imediatamente, não devem ser

armazenadas de forma desprotegida,

- A senha deve ser redefinida pelo menos a cada 60 dias, para usuários comuns e a

cada 45 dias para usuários de acesso mais restrito.





- As senhas devem ser bloqueadas após 3 a 5 tentativas sem sucesso, sendo que, o

administrador da rede e o usuário devem ser notificados sobre estas tentativas.

- As responsabilidades do administrador do sistema incluem o cuidado na criação e

alteração das senhas dos usuários, além da necessidade de manter atualizados os dados

dos mesmos.

- As responsabilidades do usuário incluem, principalmente, os cuidados com a

manutenção da segurança dos recursos, tais como sigilo da senha e o monitoramento de

sua conta, evitando sua utilização indevida. As senhas são sigilosas, individuais e

intransferíveis, não devendo ser divulgadas em nenhuma hipótese.

- Tudo que for executado com a senha de usuário da rede ou de outro sistema será

de inteira responsabilidade do usuário.

As senhas são efetivas apenas quando usadas corretamente e sua escolha e uso

requerem alguns cuidados como:

Não utilizar palavras que estão no dicionário (nacionais ou estrangeiras);

Não utilizar informações pessoais fáceis de serem obtidas, como o número de

telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc;

Utilizar senha com pelo menos, oito caracteres;

Misturar caracteres maiúsculos e minúsculos;

Misturar números, letras e caracteres especiais;

Incluir pelo menos, um caracter eespecial;

Utilize um método próprio para lembrar da senha, de modo que ela não precise ser

escrita em nenhum local, em hipótese alguma;

Não anotar a senha em papel ou em outros meios de registro de fácil acesso;

Não utilizar o nome do usuário;

Não utilizar o primeiro nome, o nome do meio ou o sobrenome;

Não utilizar nomes de pessoas próximas, como da esposa(o), filhos ou amigos;

Não utilizar senhas com repetição do mesmo dígito ou da mesma letra;

8.4- ACESSO A RECURSOS

8.4.1- NORMAS E PROCEDIMENTOS PARA A GESTÃO DE ACESSOS A RECURSOS

A gestão do acesso a um recurso compreende as seguintes atividades:

- proteção;

- solicitação de permissão de acesso;

- aprovação ou negação da permissão de acesso;





- alteração no perfil de acesso;

- revisão com frequência mínima anual das permissões de acesso.

8.4.2- PROTEÇÃO DO RECURSO A proteção corresponde ao cadastramento do recurso com o respectivo perfil de

acesso nas bases de dados do software de segurança do servidor em que o recurso está

alocado.

São elegíveis para proteção lógica todos os recursos que armazenam ou processam

informações de propriedade da Organização. O Gestor do Recurso é o responsável pela

definição da proteção do recurso. Compete ao gestor avaliar os riscos inerentes ao acesso

ao recurso sendo protegido e selecionar o nível de proteção adequado, em função desses

riscos.

8.4.4- SOLICITAÇÃO DE PERMISSÃO DE ACESSO AO RECURSO As solicitações de acesso a recursos para colaboradores ou prestadores de serviço

são de responsabilidade dos solicitantes das suas respectivos áreas. Os userids genéricos

devem ser requisitados pelos órgãos de TI responsáveis pelos processos associados às

mesmas.

Deve ser considerado na permissão e/ou concessão de acessos o princípio do

mínimo privilégio, ou seja, os usuários (ou processos) devem acessar apenas os recursosnecessários para o desempenho de suas atividades.

8.4.5- APROVAÇÃO OU NEGAÇÃO DA PERMISSÃO DE ACESSO O responsável pela aprovação ou negação da permissão do acesso ao recurso é o

gestor do recurso.

Esse processo é decorrente da solicitação de permissão de acesso.

Antes de permitir ou negar o acesso ao recurso, o gestor deve obter as informações

necessárias para subsidiar sua decisão.

Essas informações incluem:

o motivo da permissão de acesso solicitada;

o tipo de permissão de acesso necessária;

o nível de acesso necessário.

Recomenda-se o contato com o solicitante responsável pelo encaminhamento da

solicitação e/ou com a SSI.

O gestor deve selecionar o perfil que melhor representa o recurso cuja permissão

de acesso foi solicitada.





8.4.6- REVISÃO PERIÓDICA DAS PERMISSÕES DE ACESSO AO RECURSO Compete ao gestor do recurso a revisão periódica das suas permissões de acesso.

A periodicidade dessa revisão é definida pela SSI e deve ser realizada com

frequência mínima anual.

Na revisão, o gestor deve obedecer ao princípio de mínimos privilégios, ou seja, os

usuários ou processos devem acessar apenas os recursos necessários para o desempenho

de suas atividades.

Os casos de dúvidas com relação à composição de grupos de userids e a

necessidade de permissão de acesso por usuários e processos que compõem o perfil de

acesso ao recurso devem ser tratados diretamente com os solicitantes ou aprovadores

responsáveis por esses usuários e processos.

Recomenda-se que o gestor mantenha registros dos processos de revisão

efetuados, para efeito de controle e auditoria.

8.5-ARQUIVOS E B ANCO DE D ADOS Não é permitido acesso direto a arquivos e banco de dados de produção. Para o

acesso dos usuários, deve existir uma aplicação (ex. Web) que faça a conexão ao Banco de

Dados.

8.5.1- ACESSO EMERGENCIAL No caso de exceção de acesso de analistas de sistemas a arquivos ou banco de

dados de produção cuja propriedade seja de uma área de negócios, este acesso deve ser

feito de forma temporária e com alçada de aprovação mínima de superintendente.

8.5.2- UTILIZAÇÃO DE USUÁRIO GENÉRICO Os usuários têm ciência de que é proibida a utilização de Usuário Genérico para

logon pessoal, e que estão sujeitos a penalidades previstas no caso de violação desta

diretriz de segurança.

A conexão aos bancos de dados em produção deve ser realizada por meio de

usuário sistêmico.

8.5.3- USO DOS SERVIÇOS DE REDE Esse tópico visa definir as normas de utilização da rede que abrange o LOGIN, a

manutenção de arquivos no servidor e as tentativas não autorizadas de acesso. Estes itens

serão abordados para todos os usuários dos sistemas e da rede de computadores da

Organização.Regras Gerais





- Não são permitidas tentativas de obter acesso não autorizado, tais como

tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou

conta. Isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidor

ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar à prova a

segurança de outras redes;

- Não são permitidas tentativas de interferir nos serviços de qualquer outro

usuário, servidor ou rede. Isso inclui ataques e tentativas de provocar congestionamento

em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de “invadir”

um servidor;

- Materiais de natureza pornográfica e discrminatória não podem ser expostos,

armazenados, distribuídos, editados ou gravados através do uso dos recursos

computacionais da rede;

- A pasta PÚBLICA ou similar, não deverá ser utilizada para armazenamento de

arquivos que contenham assuntos sigilosos ou de natureza específica. Ela deve ser

utilizada apenas para armazenar informações de interesse geral;

- Não são permitidas alterações das configurações de rede e inicialização das

máquinas, bem como demais modificações que não sejam justificadas e efetuadas pela

área de TI.

8.6- ESTAÇÕES DE TRABALHO Cada estação de trabalho possui códigos internos os quais permitem que ela seja

identificada na rede. Sendo assim, tudo que for executado na estação de trabalho será de

responsabilidade do usuário. Por isso, sempre que sair de frente da estação de trabalho, o

usuário deverá ter certeza que efetuou o logoff ou bloqueou a estação de trabalho.

Os equipamentos são recursos da Organização e, como tais, devem ser utilizados

de acordo com as diretrizes descritas nas Políticas de Segurança da Informação.

Regras Gerais- as estações de trabalho devem ser utilizadas exclusivamente para realização de

atividades profissionais da Organização;

- as informações corporativas devem ser armazenadas em servidores de arquivos,

onde existam processos consolidados e direcionados a sua integridade, disponibilidade e

confidencialidade;

- a senha é pessoal e intransferível, não sendo permitido o seu compartilhamento;

- todas as estações de trabalho devem estar associadas a um domínio válido pela

Organização para garantir que as políticas de segurança sejam aplicadas;





- todas as estações de trabalho devem possuir software antivírus instalado,

atualizado e ativo;

- todas as estações de trabalho devem possuir somente softwares e aplicativos

homologados);

- todas as estações de trabalho devem ser desligadas ao final do expediente. Caso

não seja desligada, há um sistema que desligará automaticamente o equipamento.

Exceções devem ser justificadas;

- utilizar a proteção de tela corporativa definida pela Organização;

- não é permitida a conexão e/ou sincronização de equipamentos particulares na

rede da Organização;

- não é permitida a alteração física nos componentes dos microcomputadores tais

como memória, discos etc.;

- a instalação de qualquer software de segurança deve ser analisada e autorizada

pela SSI. Exemplos de softwares de segurança: recuperadores de senhas, analisadores de

tráfego de rede, forense, ferramentas de engenharia reversa, scanners para varredura de

rede, ou qualquer outro software que permita acessar, sem autorização, informações

confidenciais ou restritas. Ferramentas que violam direitos autorais, como, por exemplo,

cracks e keygens (geradores de licenças), não são autorizados.

- não é permitida a instalação de softwares não homologados pela instituição.- todos os notebooks devem ser equipados com cabos de aço de segurança, presos

às mesas e o disco rígido deve estar criptografado.

- os desktops devem ser dotados de cadeados para proteção contra o furto de

placas de memória e discos rígidos.

- deve haver um processo de eliminação de dados dos desktops e notebooks

quando da substituição, descarte ou cessão desses equipamentos, para evitar a

recuperação de dados críticos por terceiros.

8.6.1- POLÍTICA DE MESA LIMPA A política de mesa limpa deve ser considerada para todos os departamentos e

seguida por todos os colaboradors/colaboradores, de forma a garantir que papéis e mídias

removíveis não fiquem expostas ao acesso não autorizado.

Regras Gerais- Os papéis ou mídias de computador não devem ser deixados sobre as mesas,

quando não estiverem sendo usados. Devem ser guardados de maneira adequada, de

preferência em gavetas ou armários trancados;





- As salas devem ser mantidas limpas, sem caixa ou qualquer outro material sobre

o chão de modo a facilitar o deslocamento dos colaboradors/colaboradores;

- Sempre que o computador não estiver em uso, não se deve deixar nenhum

arquivo aberto, de modo que as informações possam ser visualizadas por outras pessoas

que estiverem no local;

- Agendas, livros ou qualquer outro material que possa conter informações sobre a

empresa ou informações particulares devem sempre ser guardadas em locais fechados,

evitando o acesso de outras pessoas que não as responsáveis pela informação.

- Chaves de gavetas, armários, de portas de acesso às salas e laboratórios de

informática devem ser guardadas em lugar adequado, e não deixadas sobre a mesa ou

guardadas com colaboradors/colaboradores não autorizados.

8.7- COMUNICAÇÃO MÓVEL O uso de dispositivos móveis dentro de áreas críticas deve ser restringido, havendo

a necessidade de controle e monitoração dessa atividade.

Os dispositivos móveis de propriedade da organização devem possuir mecanismos

de criptografia de dados (recebidos e enviados), devendo também permitir a configuração

de senha de acesso.

8.7.1- EQUIPAMENTOS PARTICULARES Não é permitida conexão ou sincronização de qualquer equipamento particular na

rede da organização.

Os equipamentos particulares não devem ser utilizados para armazenamento de

informações da Organização.

As violações a esta Política estão sujeitas a sanções disciplinares

8.8– TRABALHO REMOTO Deverá existir um processo de aprovação de utilização com alçada de aprovação

superior para utilização de acesso remoto onde deve ser estipulado um período de

concessão do acesso (este período não pode ser permanente), bem como o nível de acesso

que este usuário possuirá.

8.7.1- NORMAS PARA UTILIZAÇÃO DE ACESSO REMOTO O acesso remoto pode ser utilizado por colaboradores colaboradors e

colaboradores terceiros em atividades de suporte técnico. Essa situação possui norma

específica de utilização.





8.7.1.1- Utilização do Acesso Remoto pelos Colaboradores Colaboradors eColaboradores Terceiros8.7.1.1A- Solicitação de Cadastramento de Acesso Remoto

Deve ser realizada via sistema WEB por usuário solicitante. A alçada paraaprovação é de diretor, superintendente e gerente que aprova a solicitação

eletronicamente no sistema WEB e manualmente para colaboradors ou colaboradores

terceiros que não possuem acesso ao sistema WEB utilizando o Termo de Solicitação e de

Responsabilidade para Acesso Remoto. Após o acesso ser aprovado, o colaborador ou

colaborador terceiro receberá um e-mail com as instruções de instalação.

O Termo de Recebimento para Acesso Remoto deverá ser assinado e encaminhado

para SSI, para confirmação de recebimento e inicialização do para sua utilização em caso

de cadastro manual.

8.7.2- FORMA DE ACESSO E RESPONSABILIDADES O acesso remoto é permitido apenas através da infraestrutura de comunicação

disponibilizada pela Organização. Para esse acesso remoto só será permitido o uso do

notebook corporativo disponibilizado via portal de microinformática.

Todo acesso realizado de forma remota é controlado e registrado. Compete ao

colaborador observar as diretrizes e normas de segurança estabelecidos pela organização.

9. CONSCIENTIZAÇÃO DA SEGURANÇA

Materiais destinados a aumentar a compreensão e a consciência dos

colaboradores da Organização sobre a importância da segurança da informação,

serão rotineiramente divulgados. Estes materiais irão enfatizar a importância dos

procedimentos de segurança da informação, especialmente no que tange à

informação eletrônica protegida.

10. GLOSSÁRIO

Acesso Remoto

Acesso feito ao ambiente computacional da Organização a partir de uma estação de

trabalho conectada a uma rede de telecomunicações, normalmente fora das dependências

da organização.

Autenticação





Processo de conexão de um usuário ao ambiente computacional, de forma que os

sistemas reconheçam-no e lhe permitam o acesso apenas a recursos a que ele esteja

previamente autorizado.

Autorização

Processo pelo qual é verificado se um usuário previamente autenticado tem direito

a acessar determinados recursos. Em geral, os produtos que proveem mecanismos de

autenticação também possuem mecanismos de autorização.

Compliance

Agir de acordo com uma regra, uma instrução interna, um comando ou um pedido

Código de Usuário

Forma com que um usuário é representado no ambiente computacional da

Organização. Um código de usuário está associado a um único usuário e suas

características dependem do sistema operacional acessado.

E-Businessid

Tipo de código de usuário. Aplica-se a colaboradores de empresas parceiras queacessam serviços específicos da Organização, normalmente realizado a partir de

aplicativos web (internet, extranet ou intranet), e sempre associado a uma pessoa.

Plataforma

Sistema operacional, subsistema ou software, para o qual existem regras próprias

para a administração e autenticação de códigos de usuários.

Regras de Administração de Códigos de Usuários e Senhas

Mecanismos implementados pelos sistemas operacionais e softwares de segurança

com o objetivo de garantir que todos os usuários submetam-se a boas práticas na

utilização de seus códigos de usuários e senhas. Ex. regras de sintaxe de senha, bloqueio

automático de códigos de usuários em determinadas situações etc.

SSI - Superintendência de Segurança da Informação





Órgão interno responsável por orientar os usuários, gestores de recursos e

gestores de usuários, fornecer suporte aos softwares de segurança, efetivar as solicitações

encaminhadas pelos gestores envolvidos.

STSO – Superintendência Técnica de Suporte Operacional

Órgão interno responsável por fornecer suporte técnico aos equipamentos de

propriedade da Organização, elaborar laudo e lacre dos equipamentos devolvidos ou

substituídos, quando ocorrer a substituição ou troca do equipamento deverá realizar

procedimento no qual a informação contida nele seja destruída de modo que não possa ser

recuperada, instalar o sistema operacional e quaisquer outros aplicativos desde que

devidamente homologados e autorizados, manter o ambiente das estações de trabalho

(sistema operacional, antivírus, etc.) disponível e atualizado, gerir a infraestrutura das

estações de trabalho.

Userid

Tipo de código de usuário, utilizado principalmente pelos profissionais dos órgãos

de Tecnologia da Informação e por processos, podendo também, em alguns casos, ser

utilizado por usuários finais.

11. INFORMAÇÕES DE CONTROLE

Vigência: 27.05.2013 a 27.05.2014

Versão: 1.0

Aprovado por:

Security Officer

Diretor de TI

Superintendente de Segurança da Informação

Gestor do Comitê de Segurança da Informação





ANEXO I – TERMO DE COMPROMISSO

TERMO DE COMPROMISSO

Identificação do Colaborador NOMERG/CPFMATRÍCULAEMPRESA

Comprometo-me a:

1. Executar minhas tarefas de forma a cumprir com as orientações da Política de

Segurança e com as Normas e Padrões vigentes.

2. Utilizar adequadamente os equipamentos da Organização, evitando acessos

indevidos aos ambientes computacionais aos quais estarei habilitado, que possam

comprometer a segurança das informações.

3. Não revelar fora do âmbito profissional, fato ou informações de qualquer

natureza que tenha conhecimento devido a minhas atribuições, salvo em decorrência de

decisão competente do superior hierárquico.

4. Acessar as informações somente por necessidade de serviço e por determinaçãoexpressa do superior hierárquico.

5. Manter cautela quando a exibição de informações sigilosas e confidenciais, em

tela, impressoras ou outros meios eletrônicos.

6. Não me ausentar do local de trabalho sem encerrar a sessão de uso do

computador ou sistema, evitando assim o acesso por pessoas não autorizadas.

7. Observar rigorosamente os procedimentos de segurança estabelecidos quanto à

confidencialidade de minha senha, através dos quais posso efetuar operações a mim

designadas nos recursos computacionais que acesso, procedendo a:

A. Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e

intransferível;

B. Não divulgar a minha senha a outras pessoas;

C. Nunca escrever a minha senha, sempre memorizá-la;

D. De maneira alguma ou sobre qualquer pretexto, procurar descobrir as senhas de

outras pessoas;

E. Somente utilizar o meu acesso para os fins designados e para os quais estiver

devidamente autorizado, em razão de minhas funções;




F. Responder em todas as instâncias, pelas conseqüências das ações ou omissões

de minha parte que possam por em risco ou comprometer a exclusividade de

conhecimento da minha senha ou das transações a que tenho acesso;

G. Reportar imediatamente ao superior imediato ou ao Administrador de

Segurança em caso de violação, acidental ou não, da minha senha, e providenciar a sua

substituição.

H. Solicitar o cancelamento de meus usuário/senhas quando não for mais de minha

utilização.

I. Solicitar o cancelamento de usuários/senhas solicitados para

funcionários/terceiros sob minha responsabilidade, quando do seu desligamento ou

término do serviço que originou a respectiva solicitação.

Declaro estar ciente das determinações acima, compreendendo que quaisquer

descumprimentos dessas regras podem implicar na aplicação das sansões disciplinares

cabíveis.

São Paulo, ______ de _______________________________ de ____________.

_______________________________________________________.

Assinatura do Colaborador

Documents

Política de Segurança da Informação.docx