• Nenhum resultado encontrado

PSI Política de Segurança da Informação Documento de Diretrizes e Normas Administrativas V.1.0

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "PSI Política de Segurança da Informação Documento de Diretrizes e Normas Administrativas V.1.0"

Copied!
10
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 10 páginas )

Texto

(1)

PSI – Política de Segurança da Informação

Documento de Diretrizes e Normas Administrativas

V.1.0

(2)

Sumário

1. Introdução ... 3 

3. Abrangência ... 4 

4. Direitos e Deveres ... 4 

5. Utilização dos Recursos ... 6 

5.1 Senhas ... 6 

5.2. Correio eletrônico ... 7 

5.3 Computadores e dispositivos móveis ... 7 

6. Compromissos ... 9 

7. Auditoria ... 10   

(3)

1. Introdução

Esta PSI tem como base as recomendações propostas pela norma ABNT NBR ISO/IEC 2007:2005, a qual é  reconhecida mundialmente como metodologia utilizada na Segurança da Informação. 

A Informação é um bem como qualquer outro, e por isso deve ser protegida e ter a mesma atenção de forma  igual  ou  até  mesmo  superior  em  alguns  casos.  Portanto,  este  documento  tem  por  objetivo  orientar  e  estabelecer diretrizes corporativas da Cecrisa, para proteger os ativos de informação e a responsabilidade  legal para todos. 

Segurança da informação são esforços contínuos, com os seguintes objetivos:   Confiabilidade: garantir o acesso a somente pessoas autorizadas;   Integridade: proteger a informação contra alterações indevidas; 

 Disponibilidade:  criar  formas  de  garantir  a  disponibilidade  da  informação  para  as  pessoas  autorizadas;  Com estes objetivos, é possível garantir:   Continuidades dos negócios;   Minimização do risco ao negócio;   Maximização do retorno sobre os investimentos;   Oportunidades de negócio;    A intenção da CECRISA com a publicação das Políticas de Segurança da Informação, não é impor restrições  contrárias à cultura de abertura e confiança, mas proteger a Empresa, Colaboradores e Parceiros, de ações  ilegais ou danosas praticadas por qualquer indivíduo, de forma proposital ou inadvertidamente. 

Esta  política  dará  ciência  a  cada  colaborador  e  prestador  de  serviço  sobre  as  normas  de  utilização  da  informação e sobre ferramentas que podem ser utilizadas para serem monitoradas, com prévia informação,  de acordo com as leis brasileiras. 

Sistemas  relacionados  à  internet  e  rede  interna,  incluídos,  mas  não  limitados,  os  equipamentos  de  computação,  software,  sistemas  operacionais,  dispositivos  de  armazenamento,  contas  de  rede  que  permitem  acesso  ao  correio  eletrônico,  consultas  na  internet  a  partir  de  endereços  IP  e  o  sistema  de  telefonia,  são  propriedades  da  CECRISA,  devendo  ser  utilizados  com  o  exclusivo  propósito  de  servir  aos  interesses da Empresa e de seus clientes, no desempenho de suas atividades empresariais. 

A  segurança  efetiva  é  um  trabalho  de  equipe  envolvendo  a  participação  e  colaboração  de  todos  os  funcionários  e  afiliados  da  CECRISA  que  manipulam  informações  e/ou  sistemas  de  informações.  É  de  responsabilidade de cada usuário de computador e telefone conhecer esta política e conduzir suas atividades  de acordo com a mesma. 

2. Propósito

O propósito desta política é delinear a utilização aceitável dos equipamentos de informática e de  telefonia da CECRISA. Estas regras foram definidas para proteger os colaboradores e a Empresa. A utilização 

(4)

inapropriada  dos  equipamentos  e  sistemas  relacionados  ao  item  anterior  torna‐os  vulneráveis,  gerando  comprometimento dos sistemas e serviços da rede, além de problemas e implicações legais. 

 

3. Abrangência

Esta  política  se  aplica  aos  colaboradores,  prestadores  de  serviços,  consultores,  representantes,  auditores, fiscais, temporários, sócios e demais pessoas que estejam a serviço da CECRISA, incluindo toda a  mão de obra terceirizada ou disponibilizada mediante convênios, parcerias ou quaisquer outras formas de  atuação conjunta com outras empresas; e abrange todos os sistemas e equipamentos de propriedade da  CECRISA,  bem  como  aqueles  de  propriedade  de  terceiros  que  lhe  sejam  confiados  a  qualquer  título,  ou  cedidos pela mesma a terceiros. 

 

4. Direitos e Deveres

A PSI deve ser comunicada a todos os colaboradores e prestadores de serviço, a fim de ser cumprida dentro  e  fora  da  organização.  Para  novos  colaboradores,  a  comunicação  deve  se  dar  na  fase  de  contratação,  na  forma de contratos individuais.  Para prestadores de serviço, em todos os contratos, deverá conter o anexo de Acordo de Confidencialidade,  para que possa conceder os devidos acessos aos ativos de informação.  Independente da forma em que a informação é apresentada, compartilhada ou armazenada, ela deve ser  utilizada unicamente para a finalidade a qual foi autorizada.   É obrigação de cada colaborador e prestador de serviço, respeitar e seguir as normas apresentadas na PSI. É  de sua responsabilidade também, solicitar sempre que julgar necessário, métodos, tais como bloqueios de  acessos para garantir a segurança da informação. Qualquer incidente ou descumprimento das normas, que  afete a segurança da informação, ou até mesmo dúvidas, o Supervisor de TI deve ser comunicado.  Exemplos de violações:   Uso ilegal de software;   Introdução de vírus (intencional ou não) nos ativos;   Degradar os ativos da empresa;   Tentativas de acessos não autorizados;   Compartilhamento de informações, sem as devidas autorizações da diretoria;   Tentativas de tornar indisponível serviços de rede e servidores;    Exemplos de informações confidenciais:   Toda informação no banco de dados;   Informação de clientes;   Informação de produtos, tais como desenhos, modelagem, peças, dentre outros.   Informações estratégicas;   Todos os tipos de senhas e formas de acesso. Toda senha deve ser pessoal e intransferível. Ações  decorrentes da utilização destes poderes são de responsabilidade inteiramente do correspondente. 

(5)

 

Os acessos às informações contidas em sistemas, e demais formas de tecnologias, deverão ser restritos a  pessoas explicitamente autorizadas e de acordo com a necessidade para o cumprimento de suas funções. A  autorização de acesso deve ser enviada ao responsável de TI por e‐mail, pelo Gerente/Supervisor da área,  com a aprovação de acessos aos recursos. O Gerente/Supervisor deve estar ciente do uso das informações e  de  todas  as  consequências  de  seu  uso.  Periodicamente,  estes  acessos  devem  ser  revistos  pelo  Gerente/Supervisor. 

Apenas  equipamentos  e  softwares  disponibilizados  e  homologados  pela  Cecrisa  podem  ser  instalados  e  conectados  à  rede.  Caso  contrário  o  TI  não  pode  garantir  e  ter  responsabilidades  sobre  o  correto  funcionamento, estabilidade e segurança; 

Nenhuma informação confidencial deve ser deixada a vista. Procure sempre deixar sua mesa limpa. 

Todos os ativos devem ser guardados e não devem ser descartados após sua cópia, impressão ou utilização.   Sempre que se utilizar uma impressora coletiva, deve‐se recolher a impressão imediatamente. 

Todos  os  desligamentos  de  profissionais,  devem  ser  informados  ao  e‐mail  pelo  endomarketing,  ao  todososprofissionais@cecrisa.com.br, para que seja realizado os devidos procedimentos. Em casos especiais  a equipe de TI, deve ser procurada antecipadamente. 

Em  casos  de  desligamentos,  os  equipamentos  da  Cecrisa  devem  ser  recolhidos  antecipadamente.  Sob  hipótese alguma, o equipamento poderá ser levado junto com o funcionário.  Cabe à equipe de Tecnologia da Informação, testar a eficácia da proteção e controles utilizados, informando  o supervisor de TI sempre que encontrarem riscos. Se necessário contratar consultoria especializada para  realizar avaliações e levantamento de riscos.  Computadores pessoais não devem ser utilizados dentro da empresa e em hipótese alguma, ser ligado à rede  corporativa. 

Os  usuários,  que  receberem  acesso  aos  recursos  computacionais  e  de  telefonia  têm  os  seguintes  direitos: 

1. Fazer uso legal dos recursos computacionais colocados à sua disposição, respeitadas as normas de  utilização estabelecidas pela Empresa; 

2. Ter  conta  de  acesso  à  rede  corporativa,  respeitadas  as  normas  de  utilização  estabelecidas  pela  Empresa; 

3. Ter conta de correio eletrônico com a extensão do domínio da Empresa, vetado o acesso a e‐mails  pessoais; 

4. Acessar a internet e intranet respeitando as políticas da Empresa; 

5. Acessar  as  informações  que  foram  franqueadas,  relativas  às  áreas  de  armazenamento  privado  e  compartilhado, respeitadas as normas de utilização e confidencialidade estabelecidas pela Empresa;  6. Solicitar  suporte  técnico  sempre  que  verificado  o  mau  funcionamento  dos  equipamentos  ou  do 

sistema de rede corporativa; 

7. Fazer  uso  do  telefone  da  Empresa  seja  fixo  ou  móvel,  para  tratar  de  assuntos  relacionados  ao  trabalho e do interesse da Empresa. 

(6)

Obrigações: 

1. Responder pelo uso exclusivo de sua conta de acesso individual à rede corporativa; 

2. Identificar,  classificar  e  enquadrar  as  informações  da  rede  relacionadas  às  atividades  por  si  desempenhadas; 

3. Zelar por toda e qualquer informação armazenada na rede corporativa contra alteração, destruição,  divulgação, cópia e acessos não autorizados; 

4. Zelar pelos equipamentos de informática conferidos a si para o desempenho de suas atividades de  trabalho; 

5. Guardar  sigilo  das  informações  confidenciais,  mantendo‐as  em  caráter  restrito,  especialmente  aquelas relacionadas aos clientes; 

6. Manter, em caráter confidencial e intransferível, a senha de acesso aos recursos computacionais e  de informação da empresa, informando‐a formalmente ao administrador; 

7. Informar  imediatamente  ao  supervisor  imediato  sobre  quaisquer  falhas  ou  desvios  das  regras  estabelecidas  neste  documento,  bem  como  sobre  a  ocorrência  de  qualquer  violação  às  mesmas,  praticada em atividades relacionadas ao trabalho, dentro ou fora das dependências da empresa;  8. Responder  cível  e  criminalmente  pelos  danos  causados  em  decorrência  da  não  observância  das 

regras de proteção da informação e dos recursos computacionais da rede corporativa;  9. Fazer uso dos recursos computacionais para trabalhos de interesse exclusivo da CECRISA. 

 

5. Utilização dos Recursos

Todos os recursos utilizados pelo colaborador podem ser monitorados e acessados a qualquer momento.   

5.1 Senhas

Cada  colaborar  é  responsável  pelas  ações  decorrentes  de  seu  usuário.  Para  garantir  a  identificação,  são  criados logins e senhas, as quais devem seguir as seguintes regras:   Utilizar sempre senhas combinando caracteres MAIÚSCULOS, minúsculos e caracteres especiais, com  no mínimo seis caracteres;   Nunca utilizar senhas padrões;   Alterar a senha a cada noventa dias, ou sempre que se desconfiar do comprometimento da mesma.  As dez ultimas senhas utilizadas não podem ser reutilizadas;    Caso, o colaborador esqueça sua senha, deve comparecer pessoalmente ao TI para que possa realizar  a troca da mesma, caso não seja possível, entrar em contato por telefone com a TI ou pelo e‐mail  servicedesk@cecrisa.com.br. No caso do contato telefônico o profissional deverá responder a alguns  questionamentos  que  serão  realizados  pelo  Time  de  TI  para  sua  identificação  e  vínculo  com  a  Empresa;   Administradores do domínio, de servidores e sistemas específicos devem:  o Alterar sua senha a cada trinta dias;  o Possuir senhas, com no mínimo oito caracteres e caracteres misturados, tais como letras  MAIUSCULAS, minúsculas e caracteres especiais;  o As dez ultimas senhas utilizadas, não podem ser repetidas;  o A conta é bloqueada após cinco tentativas invalidas de acesso; 

(7)

5.2. Correio eletrônico

O que não é permitido: 

 Enviar mensagens, as quais não se encaixam ao conteúdo de trabalho; 

 Utilizar o endereço de e‐mail no cadastro de sites, como redes sociais, jogos e outros de natureza  semelhante; 

 Enviar  qualquer  mensagem  que  torne  a  Cecrisa  vulnerável  a  ações  civis  ou  criminais;  divulgar  informações confidenciais ou não autorizadas;   Enviar senhas por e‐mail;   Envio de conteúdo executável (exe, bat, scr, bin, com, reg, vbs, js, dentre outros);   Conteúdos que contenham ameaça eletrônica (spam, vírus);   Conteúdos que visam burlar sistemas de segurança ou obter acessos sem o devido procedimento  previsto na PSI;   Mensagens com conteúdo racista, pornográfico, violento, entre outros;   Material protegido por direitos autorais;    O que é permitido:   Mensagem pode ter até 10MB de arquivo anexo 

 Caixas  de  e‐mail  de  Representantes,  Promotores  de  Vendas  e  Profissionais  em  geral  possuem  armazenamento  máximo  de  200  Mbytes,  Supervisores  e  Gerentes  500  Mbytes  e  Diretores  sem  limite;   Envio para no máximo 1.500 destinatários por dia;   Cada mensagem pode ter no máximo 500 destinatários;   Envio máximo de 30 mensagens por minuto;   Recuperar itens deletados: até 30 dias;   Recuperar caixa de correio deletada: até 30 dias;   

5.3 Computadores e dispositivos móveis

Cabe  a  cada  colaborador,  a  responsabilidade  de  manusear  e  prover  os  devidos  cuidados  para  garantir  a  preservação e segurança do equipamento, quanto das informações. 

É proibido: 

 Criar compartilhamentos, sem a presença do suporte de infraestrutura, nível dois; 

 Permitir  acessos  indevidos,  tais  como  utilização  de  sua  conta  por  outro  usuário,  ou  acesso  de  parentes;   Realizar qualquer tipo de manutenção ou instalação (física e lógica), sem a devida presença da equipe  de TI‐Infraestrutura;   Transferir e divulgar chaves de instalação e qualquer aplicativo;   Uso de arquivos pessoais (Fotos, vídeos, documentos, dentre outros);   Utilizar comandos, ou praticas que possam causar congestionamento na rede ou nos servidores;   Hospedar qualquer tipo de material que possa prejudicar a Cecrisa; 

(8)

 Hospedar conteúdo pornográfico, racista, violento, dentre outros;   Utilizar software pirata;  

 Não é permitido desativar o firewall. O controle de regras do firewall deve ser gerenciado pela TI;   É vetado aos usuários da rede de computadores da organização a adição e remoção de quaisquer 

recursos,  sejam  eles  microcomputadores,  notebooks,  impressoras,  pen‐drives,  mp3  players  ou  outros equipamentos e dispositivos. A adição e remoção desses deverão ser solicitadas ao setor de  TI‐Infraestrutura, para aprovação e, em caso positivo, tais procedimentos deverão ser realizados pelo  mesmo.    Boa pratica – Instalação padrão e obrigatória   Todo computador deve ter o antivírus homologado pela TI instalado;   Estar com o firewall do Windows ativo; 

 Manter  o  Sistema  Operacional  atualizado.  Quando  o  sistema  estiver  atualizando,  não  desligar  o  computador;   Em caso de suspeitas de vírus, ou qualquer dano ao dispositivo, a equipe de TI deve ser acionada,  através do portal de atendimento ou pelo e‐mail servicedesk@cecrisa.com.br;   Todo computador deve fazer parte do domínio cecrisaorg.com.br;   Todo computador deve possuir senha na BIOS. Tais senhas são definidas e armazenadas pela equipe  de TI; 

 Os  usuários  não  devem  ser  administradores  dos  computadores.  Apenas  a  equipe  de  TI  deve  ter  acesso como administrador; 

 Dispositivos pessoais são permitidos, desde que conectem somente à rede visitante; 

 Impedir o uso de seu equipamento por outras pessoas sempre que estiver com sua sessão conectada;   Bloquear sempre seu computador ao se ausentar (Utilizando Windows+L); 

 Em  caso  de  furto,  a  comunicação  deve  ser  imediata  ao  Gerente/Supervisor  da  área  e  Gerente/Supervisor  do  TI.  Deverá  também,  assim  que  souber  do  incidente,  procurar  ajuda  das  autoridades e registrar um boletim de ocorrência. O armazenamento das informações somente no  servidor, ajuda a proteger contra este tipo de incidente.   

5.4 Internet

  Embora o uso da Internet traga uma série de benefícios, ela abre uma série de portas e problemas, trazendo  sérios perigos para a rede de informações da Cecrisa. Por isso, seu uso deve ser ético e profissional. A Internet  pode ser utilizada para fins pessoais, desde que não afete a produtividade, ou aflija as regras de segurança  da informação.   Usuários que não precisam de Internet, Gerentes/Supervisores devem solicitar ao TI que realizem o devido  bloqueio.   É proibido o uso de sites com conteúdo pornográfico, jogos, pirataria, sites de proxy, ou que possam trazer  riscos aos equipamentos e informações da Cecrisa. Sites ou programas que comprometem a banda da rede,  também não são permitidos, tais como programas P2P, torrent, downloads de filmes, acessos indevidos a  sites de vídeos, dentre outros.  

Serviços  de  mensagem  instantânea  serão  permitidos  somente  para  usuários,  os  quais  os  Gerentes/Supervisores aprovarem. 

(9)

5.5 Acesso à rede

Todos os documentos deverão ser salvos no servidor. Arquivos salvos no computador, não possuem garantia  de backup.  

É proibido acessos à rede de forma indevida. Exemplo: \\nomecomputador\c$. Este tipo de acesso ajuda a  propagar vírus na rede;

5.6 Acesso externo ao Data Center da Cecrisa

Todo acesso externo à Cecrisa, deve ser realizado via VPN. Estes acessos devem ser devidamente autorizados  por gerentes ou supervisores.  

5.7 Equipamentos de rede

Os acessos aos switches e ao Data Center devem ser realizados somente por pessoas autorizadas.   As chaves dos brackets/racks devem ser guardadas com o supervisor de TI.  

Qualquer  acesso  de  visitante  ou  terceiro  deve  ser  acompanhado  por  um  profissional  de  TI  da  Cecrisa,  devidamente autorizado. 

5.8 Softwares

 Todos  softwares  executados  nos  equipamentos  da  rede  corporativa  da  CECRISA  deverão  ser  licenciados, sendo vetada a utilização de qualquer software sem licença; 

 A utilização de softwares livres ou temporários deverá ser solicitada ao responsável pelo setor de TI,  por escrito e, em caso de aprovação, a instalação e remoção deverá ser realizada pelos mesmos;   A  utilização  de  softwares  não  licenciados  é  considerada  uma  não‐conformidade  gravíssima  e 

acarretará em punições ao colaborador, em qualquer nível, da CECRISA.   

6. Compromissos

Os usuários da rede comprometem‐se a: 

1. Preservar  o  ambiente  de  trabalho  no  que  diz  respeito  a  sua  organização  e  limpeza,  mantendo‐o  sempre da maneira em que foi encontrado; 

2. Não fazer uso da rede para molestar, ameaçar ou ofender seus usuários ou terceiros, por quaisquer  meios, sejam textos, imagens, vídeos ou correios eletrônicos; 

3. Não fazer uso da rede para circulação de propaganda política; 

4. Não  tomar  atitude  ou  ação  que  possa,  direta  ou  indiretamente,  indisponibilizar  recursos  da  rede  corporativa; 

(10)

5. Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento  da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial  ou total de arquivos ou a indisponibilização de serviços; 

6. Não  executar  programas,  instalar  equipamentos,  armazenar  arquivos  ou  promover  ações  que  possam facilitar o acesso de usuários não autorizados à rede corporativa da CECRISA; 

7. Não utilizar nenhum programa de bate‐papo ou de mensagem instantânea, tais como Skype, MSN,  Google Talk, entre outros, para fins pessoais; 

8. Não enviar informações  confidenciais  para e‐mails  externos sem proteção. No mínimo, o  arquivo  deve contar com a proteção de uma senha;  9. Responsabilizar‐se perante a CECRISA e terceiros por quaisquer prejuízos advindos da violação dos  compromissos, deveres e proibições estabelecidas nesta norma;  10. Utilizar‐se, de forma ética e em conformidade com as normas de conduta e segurança estabelecidas  pela CECRISA, de todos os recursos, equipamentos e informações que lhe sejam confiados em razão  do desempenho de sua atividade profissional.   

7. Auditoria

1. Todos os colaboradores que utilizam a rede corporativa (informática e telefonia) serão submetidos  à auditoria, realizada por profissionais TI da CECRISA, ou empresa especializada, com o objetivo de  verificar o cumprimento das normas estabelecidas; 

2. A  auditoria  ocorrerá  em  microcomputadores  ou  notebooks  escolhidos  aleatoriamente  e,  caso  verificada alguma não‐conformidade, será instaurada uma sindicância interna voltada à apuração de  responsabilidades  e  classificação  da  gravidade  da  violação  das  normas  de  utilização  dos  equipamentos; 

3. Após  a  classificação  da  gravidade  (gravíssima,  alta,  média  ou  baixa),  a  não‐conformidade  será  comunicada a Diretoria e posteriormente ao RH para adoção das providências cabíveis. 

Referências

Descarregar agora ( PDF - 10 páginas - 168.52 KB )

Documentos relacionados

Software and systems engineering

Little reuse and agility, high costs.. Even

Tutorial para integração de código no Git

Fazer um push do clone com todas as tarefas da equipe integradas para o fork da equipe e fazer um pull request para o repositório central.. (observando as normas para dar

Software and systems engineering

• “…Se puder verificar equipes incompletas no início da próxima aula seria uma mão

Software and systems engineering

To control scope, we need to manage a list of tasks... To control time, we need to manage

Software development

• Scenarios should verify that desired traces can be observed by testing the application.. Create interface when little functionality

Software development

Rule of Least Surprise: In interface design, always do the least surprising thing.. Rule of Silence: When a program has nothing surprising to say, it should

SourceMiner - User Guide

a) The software package-class-method perspective is related to structural representation (Figure 5). It deals with module hierarchy and how they are organized

MUNICÍPIO DE TOLEDO Estado do Paraná

Sistema de Informação, Análise e Desenvolvimento de Sistemas, Engenharia da Computação, Engenharia de Software, Sistemas para Internet e Ciência da Computação,