1. Introdução
A Política de Segurança da Informação, também referida como PSI, é o documento que
orienta e estabelece as diretrizes corporativas da empresa, para a proteção dos ativos de
informação e a prevenção de responsabilidade legal para todos os usuários. Deve,
portanto, ser cumprida e aplicada em todas as áreas da instituição.
A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR
ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão
da segurança da informação, bem como está de acordo com as leis vigentes em nosso
país.
2. Objetivos
Estabelecer diretrizes que permitam aos colaboradores e clientes da empresa seguirem
padrões de comportamento relacionados à segurança da informação adequados às
necessidades de negócio e de proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de segurança da informação,
bem como a implementação de controles e processos para seu atendimento.
Preservar as informações quanto à:
Integridade: garantia de que a informação seja mantida em seu estado original, visando
protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou
acidentais.
Confidencialidade: garantia de que o acesso à informação seja obtido somente por
pessoas autorizadas.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e
aos ativos correspondentes sempre que necessário.
3. Aplicações da PSI
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem
como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.
Esta política dá ciência a cada colaborador de que os ambientes, sistemas,
computadores e redes da empresa poderão ser monitorados e gravados, com prévia
informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos
procedimentos e normas relacionadas, buscando orientação do seu gestor ou da Gerência
de Sistemas sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou
descarte de informações.
4. Princípios da PSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade
profissional pertence à empresa. As exceções devem ser explícitas e formalizadas em
contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados
pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos
recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços, e
atenda aos mesmos requisitos de segurança aplicado nas máquinas da empresa sem
qualquer exceção.
A empresa, por meio da Gerência de Sistemas, poderá registrar todo o uso dos
sistemas e serviços, visando garantir a disponibilidade e a segurança das informações
utilizadas.
5. Requisitos da PSI
Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores
da empresa a fim de que a política seja cumprida dentro e fora da empresa.
Deverá haver um comitê multidisciplinar responsável pela gestão da segurança da
informação, doravante designado como Comitê de Segurança da Informação.
Tanto a PSI quanto as normas deverão ser revistas e atualizadas periodicamente, sempre
que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e
decisão do Comitê de Segurança.
Deverá constar em todos os contratos da empresa o anexo de Acordo de Confidencialidade
ou Cláusula de Confidencialidade somado as normas da Lei Geral de Proteção de Dados,
como condição imprescindível para que possa ser concedido o acesso aos ativos de
informação disponibilizados pela empresa.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de
contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os
procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis
riscos. Eles devem assinar um termo de responsabilidade inserido no próprio contrato de
trabalho e/ou contrato de prestação de serviço.
Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à
Gerência de Sistemas e ela, se julgar necessário, deverá encaminhar posteriormente ao
Comitê de Segurança da Informação para análise.
Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser
implantados e testados no mínimo anualmente, visando reduzir riscos de perda de
confidencialidade, integridade e disponibilidade dos ativos de informação.
Todos os requisitos de segurança da informação, incluindo a necessidade de planos de
contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou
sistema, e justificados, acordados, documentados, implantados e testados durante a fase de
execução.
Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de
atividades, em todos os pontos e sistemas em que a empresa, julgar necessário para
reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de
trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais
e financeiros utilizados pela empresa ou por terceiros.
Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o
isolamento necessário em relação aos ambientes de desenvolvimento, testes e
homologação.
Esta PSI será implementada na empresa por meio de procedimentos específicos atendendo
a Lei Geral de Proteção de Dados, para todos os colaboradores, independentemente do
nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação
de serviço.
O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da
Informação acarretará violação às regras internas da empresa e sujeitará o usuário às
medidas administrativas e legais cabíveis.
6. Das Responsabilidade Especificas
6.1. Dos Colaboradores em Geral
Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de
serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou
fora da empresa.
Todo e qualquer incidente ou falha será submetida a uma investigação/análise pelo comitê
de segurança da informação, e se identificada alguma irregularidade e/ou não obediência às
diretrizes e normas por parte do colaborador ou do terceiro. Na identificação de
responsabilidade (s), aplicará as sanções estabelecidas pela Consolidação das Leis
Trabalhistas (CLT) e/ou Código Civil, e em se tratando de crime, o Código Penal.
6.2. Dos Gestores de Pessoas e/ou Processos
Ter postura exemplar em relação à segurança da informação, servindo como modelo de
conduta para os colaboradores sob a sua gestão.
Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos
individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do
cumprimento da PSI da empresa. Supervisionar os seus subordinados no cumprimento das normas estabelecidas, na rotina
de suas atividades. Não criar novas normas e/ou adaptar as existentes, sem o consentimento do comitê de
segurança da informação.
6.3. Da Área de Tecnologia da Informação
Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
Acordar com os gestores o nível de serviço que será prestado e os procedimentos de
resposta aos incidentes.
Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com
todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI.
Os administradores e operadores dos sistemas computacionais podem, pela característica
de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No
entanto, isso só será permitido quando for necessário para a execução de atividades
operacionais sobsua responsabilidade como, por exemplo, a manutenção de computadores,
a realização de cópias de segurança, auditorias ou testes no ambiente.
Segregar as funções administrativas, operacionais e educacionais a fim de restringir ao
mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a
existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias
ações.
Garantir segurança especial para sistemas com acesso público, fazendo guarda de
evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear
possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico,
implantar controles de integridade para torná-las juridicamente válidas como evidências.
Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados
aos processos críticos e relevantes para a empresa.
Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das
informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
O gestor da informação deve ser previamente informado sobre o fim do prazo de
retenção, para que tenha a alternativa de alterá-lo antes que a informação seja
definitivamente descartada pelo custodiante Quando ocorrer movimentação interna dos
ativos de TI, garantir que as informações de um usuário não serão removidas de forma
irrecuperável antes de disponibilizar o ativo para outro usuário.
Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e
transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e
qualquer outro ativo de informação a um responsável identificável como pessoa física,
sendo que:
a) os usuários (logins) individuais de funcionários serão de responsabilidade do próprio
funcionário.
b) os usuários (logins) de terceiros serão de responsabilidade do gestor da área
contratante.
Proteger continuamente todos os ativos de informação da empresa contra código malicioso,
e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem
livres de código malicioso e/ou indesejado.
Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de
produção da empresa em processos de mudança, sendo ideal a auditoria de código e a
proteção contratual para controle e responsabilização no caso de uso de terceiros.
Definir as regras formais para instalação de software e hardware em ambiente de produção
corporativo, bem como em ambiente exclusivamente educacional, exigindo o seu
cumprimento dentro da empresa.
Realizar auditorias periódicas de configurações técnicas e análise de riscos.
Responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais.
Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso
de usuários por motivo de desligamento da empresa, incidente, investigação ou outra
situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da
empresa operem com o relógio sincronizado com os servidores de tempo oficiais do
governo brasileiro.
Monitorar o ambiente de TI, gerando indicadores e históricos de
a) Uso da capacidade instalada da rede e dos equipamentos;
b) Tempo de resposta no acesso à internet e aos sistemas críticos empresa;
c) períodos de indisponibilidade no acesso à internet e aos sistemas críticos empresa;
d) Incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por
diante);
e) Atividade de todos os colaboradores durante os acessos às redes externas, inclusive
internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download
de arquivos, entre outros);
6.4. Da Área de Segurança da Informação
Propor as metodologias e os processos específicos para a segurança da informação, como
avaliação de risco e sistema de classificação da informação.
Propor e apoiar iniciativas que visem à segurança dos ativos de informação da
empresa.
Publicar e promover as versões da PSI e as Normas de Segurança da Informação
aprovadas pelo Comitê de Segurança da Informação.
Promover a conscientização dos colaboradores em relação à relevância da segurança da
informação para o negócio empresa, mediante campanhas, palestras, treinamentos e
outros meios de endomarketing.
Apoiar a avaliação e a adequação de controles específicos de segurança da informação
para novos sistemas ou serviços.
Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação.
Apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação,
destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da
diretoria.
Manter comunicação efetiva com o Comitê de Segurança da Informação sobre assuntos
relacionados ao tema que afetem ou tenham potencial para afetar a empresa.
Buscar alinhamento com as diretrizes corporativas da instituição.
6.5. Do Comitê de Segurança da Informação
Deve ser formalmente constituído por colaboradores com nível hierárquico mínimo
gerencial, nomeados para participar do grupo pelo período de um ano.
A composição mínima deve incluir um colaborador de cada uma das áreas: ADM,
Operacional, TI, Financeiro e Desenvolvimento.
Deverá o CSI reunir-se formalmente pelo menos uma vez a cada três meses. Reuniões
adicionais devem ser realizadas sempre que for necessário deliberar sobre algum
incidente grave e/ou definição relevante para a empresa.
O CSI poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que
exijam conhecimento técnico específico.
Cabe ao CSI:
a) Propor investimentos relacionados à segurança da informação com o objetivo de
reduzirmais os riscos;
b) Propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança
denormas complementares;
c) Avaliar os incidentes de segurança e propor ações corretivas;
d) Definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas
deSegurança da Informação complementares.
6.6. DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE
Para garantir as regras mencionadas nesta PSI, bem como de sua versão a empresa
poderá:
a) Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio
eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros
componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada
para identificar usuários e respectivos acessos efetuados, bem como material
manipulado;
b) Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria,
no caso de exigência judicial, solicitação do gerente (ou superior) ou por
determinação do Comitê de Segurança da Informação;
c) Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;
d) Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança
das informações e dos perímetros de acesso.
6.7. Correio Eletrônico
O objetivo desta norma é informar aos colaboradores da empresa quais são as atividades
permitidas e proibidas quanto ao uso do correio eletrônico corporativo.
O uso do correio eletrônico da empresa é para fins corporativos e relacionados às atividades
do colaborador usuário no cumprimento de suas atividades laborais. A utilização desse
serviço para fins pessoais é NÃO é permitida.
Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico empresa
para:
a) enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas
a uso legítimo da empresa;
b) enviar mensagem por correio eletrônico pelo endereço de seu departamento ou
usandoo nome de usuário de outra pessoa ou endereço de correio eletrônico que não
esteja autorizado a utilizar;
c) enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou
empresa vulneráveis a ações civis ou criminais;
d) divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e
afins sem autorização expressa e formal concedida pelo proprietário desse ativo de
informação;
e) falsificar informações de endereçamento, adulterar cabeçalhos para esconder a
identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições
previstas;
f) apagar mensagens pertinentes de correio eletrônico quando qualquer uma das
filiais/unidade da empresa estiver sujeita a algum tipo de investigação.
produzir, transmitir ou divulgar mensagem que:
a) contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses
da empresa;
b) contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
c) contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src,
d) .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco àsegurança;
e) vise obter acesso não autorizado a outro computador, servidor ou rede;
f) vise interromper um serviço, servidores ou rede de computadores por meio de
qualquer método ilícito ou não autorizado;
g) vise burlar qualquer sistema de segurança;
h) vise vigiar secretamente ou assediar outro usuário;
i) vise acessar informações confidenciais sem explícita autorização do proprietário;
j) vise acessar indevidamente informações que possam causar prejuízos a qualquer
pessoa;
k) inclua imagens criptografadas ou de qualquer forma mascaradas;
l) contenha anexo(s) superior(es) a 15 MB para envio (interno e internet) e 15 MB
para recebimento (internet)
m) tenha conteúdo considerado impróprio, obsceno ou ilegal;
n) seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento,
ameaçador, pornográfico entre outros;
o) contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou
mental ou outras situações protegidas;
p) tenha fins políticos locais ou do país (propaganda política);
q) inclua material protegido por direitos autorais sem a permissão do detentor dos
direitos.
As mensagens de correio eletrônico sempre deverão incluir assinatura com o
seguinte formato:
1. Nome do colaborador
2. Gerência ou departamento
3. Nome da empresa
4. Telefone(s)
5. Correio eletrônico
6.8. Internet
Todas as regras atuais da empresa visam basicamente o desenvolvimento de um
comportamento eminentemente ético e profissional do uso da internet. Embora a
conexão direta e permanente da rede corporativa da instituição com a internet ofereça um
grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de
informação.
Qualquer informação que é acessada, transmitida, recebida ou produzida na internet
está sujeita a divulgação e auditoria. Portanto, a empresa, em total conformidade legal,
reserva-se o direito de monitorar e registrar todos os acessos a ela.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de
propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo,
site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles
em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento
de sua Política de Segurança da Informação.
A empresa, ao monitorar a rede interna, pretende garantir a integridade dos dados e
programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer
colaborador, sem o devido credenciamento e a autorização para tal, será julgada
inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo
gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações
administrativas e as penalidades decorrentes de processos trabalhista, civil e criminal,
sendo que nesses casos a instituição cooperará ativamente com as autoridades
competentes.
A internet disponibilizada pela instituição aos seus colaboradores, independentemente de
sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o
andamento dos trabalhos nas unidades.
Como é do interesse da empresa que seus colaboradores estejam bem informados, o uso
de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a
banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos
trabalhos nem implique conflitos de interesse com os seus objetivos de negócio.
Somente os colaboradores que estão devidamente autorizados a falar em nome da empresa
para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line,
podcast, seja por documento físico, entre outros.
Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou
enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens,
à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal, Lei
Geral de Proteção de Dados e demais dispositivos legais.
É proibida a divulgação e/ou o compartilhamento indevido de informações da área
administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de
bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que
venha surgir na internet.
Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de
programas ligados diretamente às suas atividades na empresa e deverão providenciar o que
for necessário para regularizar a licença e o registro desses programas, desde que
autorizados pela CSI O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham
direitos autorais, marca registrada ou patente na internet são expressamente proibidos.
Qualquer software não autorizado baixado será excluído pela Gerência de Sistemas.
Os colaboradores não poderão em hipótese alguma utilizar os recursos da
empresa para fazer o download ou distribuição de software ou dados pirateados,
atividade considerada delituosa de acordo com a legislação nacional.
Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados,
distribuídos, editados, impressos ou gravados por meio de qualquer recurso Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer
software licenciado à empresa ou de dados de sua propriedade aos seus parceiros e
clientes,sem expressa autorização do responsável pelo software ou pelos dados.
Os colaboradores não poderão utilizar os recursos da empresa para deliberadamente
propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou
programas de controle de outros computadores.
Fica terminantemente proibido a todos os usuários o uso de aplicativos (WhatsApp, Vibe,
Telegran, Facebook, Instagram e similares), de contas pessoais. Salvo exceção, fica
liberado somente o uso de aplicativos (WhatsApp, Vibe, Telegran, Facebook, Instagram e
similares, de PROPRIEDADE DA EMPRESA, e administrado por usuário predefinido.
Não é permitido acesso a sites de proxy.
6.9. Identificação
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário,
evitando e prevenindo que uma pessoa se faça passar por outra perante a empresa e/ou
terceiros.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime
tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de
identificação e deverá ser aplicada a todos os colaboradores.
Todos os dispositivos de identificação utilizados pela empresa, como o número de registro
do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e
assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e
atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação
brasileira.
O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso
correto perante a instituição e a legislação (cível e criminal).
Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser
compartilhado com outras pessoas em nenhuma hipótese Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade
perante a empresa e a legislação (cível e criminal) será dos usuários que dele se utilizarem.
Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele
deverá ser responsabilizado.
É proibido o compartilhamento de login para funções de administração de sistemas.
O Departamento de Recursos Humanos da empresa é o responsável pela emissão e
pelo controle dos documentos físicos de identidade dos colaboradores.
A Gerência de Sistemas responde pela criação da identidade lógica dos colaboradores na
instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e
Usuários.
Devem ser distintamente identificados os visitantes, estagiários, empregados temporários,
empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas.
Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar
imediatamente a sua senha conforme as orientações apresentadas.
Os usuários que não possuem perfil de administrador deverão ter senha de tamanho
variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres
especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo)
sempre que possível.
Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar
uma senha de no mínimo 10 (dez) caracteres, alfanumérica, utilizando caracteres
especiais (@ # $ %) e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo)
obrigatoriamente.
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a
proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word,
Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser
baseadas em informações pessoais, como próprio nome, nome de familiares, data de
nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não
devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”,
entre outras Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é
necessário que o usuário entre em contato com a Gerência de Sistemas da empresa.
Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).
Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso
suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.
A periodicidade máxima para troca das senhas é 45 (quarenta e cinco) dias, não podendo
ser repetidas as 3 (três) últimas senhas. Os sistemas críticos e sensíveis para a
instituição e os logins com privilégios administrativos devem exigir a troca de senhas a cada
30 dias. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem
desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o
Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao
Departamento de Tecnologiada Informação, a fim de que essa providência seja tomada. A
mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se
encerrado, bem como aos usuários de testes e outras situações similares.
Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou
comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
6.10. Computadores e Recursos Tecnológicos
Os equipamentos disponíveis aos colaboradores são de propriedade da empresa, cabendo
a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da
instituição, bem como cumprir as recomendações constantes nos procedimentos
operacionais fornecidos pelas gerências responsáveis.
É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação,
configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um
técnico da Gerência de Sistemas da empresa, ou de quem este determinar. As gerências
que necessitarem fazer testes deverão solicitá-los previamente à Gerência de Sistemas,
ficando responsáveis jurídica e tecnicamente pelas ações realizadas Todas as atualizações
e correções de segurança do sistema operacional ou aplicativos
somente poderão ser feitas após a devida validação no respectivo ambiente de
homologação, e depois de sua disponibilização pelo fabricante ou fornecedor.
Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e
atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na
funcionalidade, deverá acionar o departamento técnico responsável mediante registro de
chamado para área técnica.
A transferência e/ou a divulgação de qualquer software, programa ou instruções de
computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente
poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e
estiver de acordo com a classificação de tal informação e com a real necessidade do
destinatário.
Arquivos pessoais e/ou não pertinentes ao negócio da empresa (fotos, músicas, vídeos,
etc..) não deverão ser copiados/movidos para os drives de rede, ou equipamentos da
empresa, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a
existência desses arquivos, eles poderão ser excluídos definitivamente por meio de
comunicação prévia ao usuário.
Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão
ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos
computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser
perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do
próprio usuário.
Os colaboradores da empresa e/ou detentores de contas privilegiadas não devem executar
nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na
rede corporativa sem a prévia solicitação e a autorização da Gerência de Sistemas.
No uso dos computadores, equipamentos e recursos de informática, algumas regras devem
ser atendidas.
Todos os computadores de uso individual deverão ter senha de Bios para restringir o acesso
de colaboradores não autorizados. Tais senhas serão definidas pela Gerência de Sistemas
da empresa, que terá acesso a elas para manutenção dos equipamentos.
Os colaboradores devem informar ao departamento técnico qualquer identificação de
dispositivo estranho conectado ao seu computador.
É vedada a abertura ou o manuseio de computadores ou outros equipamentos de
informática para qualquer tipo de reparo que não seja realizado por um técnico da Gerência
de Sistemas da empresa ou por terceiros devidamente contratados para o serviço.
Todos os modems internos ou externos devem ser removidos ou desativados para impedir a
invasão/evasão de informações, programas, vírus. Em alguns casos especiais, conforme
regra específica, será considerada a possibilidade de uso para planos de contingência
mediante a autorização dos gestores das áreas e da área de informática.
É expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e
próximo aos equipamentos.
O colaborador deverá manter a configuração do equipamento disponibilizado pela empresa,
seguindo os devidos controles de segurança exigidos pela Política de Segurança da
Informação e pelas normas específicas da instituição, assumindo a responsabilidade como
custodiante de informações.
Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de
Autenticação, todos os terminais de computador e impressoras quando não estiverem sendo
utilizados.
Todos os recursos tecnológicos adquiridos pela empresa, devem ter imediatamente suas
senhas padrões (default) alteradas.
Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos,
constando identificação dos colaboradores, datas e horários de acesso.
Acrescentamos algumas situações em que é proibido o uso de computadores e recursos
tecnológicos da empresa:
a) Tentar ou obter acesso não autorizado a outro computador, servidor ou rede.
b) Burlar quaisquer sistemas de segurança.
c) Acessar informações confidenciais sem explícita autorização do proprietário.
d) Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por
exemplo, analisadores de pacotes (sniffers).
e) Interromper um serviço, servidores ou rede de computadores por meio de qualquer
método ilícito ou não autorizado.
f) Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de
violação, assédio sexual, perturbação, manipulação ou supressão de direitos
autoraisou propriedades intelectuais sem a devida autorização legal do titular;
g) Hospedar pornografia, material racista ou qualquer outro que viole a legislação
em vigor no país, a moral, os bons costumes e a ordem pública.
h) Utilizar software pirata, atividade considerada delituosa de acordo com a
legislação nacional.
6.11. Dispositivos Móveis
A empresa deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores.
Por isso, permite que eles usem equipamentos portáteis.
Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com
atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido por sua
Gerência de Sistemas, como: notebooks, smartphones e pendrives.
Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o
usode dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais
equipamentos.
A empresa, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito
de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de
segurança.
O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a
terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros,
qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão
de suas funções na empresa, mesmo depois de terminado o vínculo contratual mantido com
a instituição.
Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos
dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu
dispositivo móvel, ou seja, não os carregar juntos.
O suporte técnico aos dispositivos móveis de propriedade empresa e aos seus usuários
deverá seguir o mesmo fluxo de suporte contratado pela instituição.
Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.
Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas
operacionais dos equipamentos, em especial os referentes à segurança e à geração de
logs, sem a devida comunicação e a autorização da área responsável e sem a condução,
auxílio ou presença de um técnico da Gerência de Sistemas.
O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas
e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da Gerência
de Sistemas da empresa.
A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos
pela empresa constituirá uso indevido do equipamento e infração legal aos direitos autorais
do fabricante.
É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua
casa, hotéis, fornecedores e clientes.
É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel
fornecido pela empresa, notificar imediatamente seu gestor direto e a Gerência de Sistemas.
Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível,
um boletim de ocorrência (BO).
O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará
a assunção de todos os riscos da sua má utilização, sendo o único responsável por
quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a empresa
e/ou a terceiros.
O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios
e posteriormente conectá-los à rede da empresa deverá submeter previamente tais
equipamentos ao processo de autorização da Gerência de Sistemas.
Equipamentos portáteis, como smart phones, palmtops, pen drives e players de qualquer
espécie, quando não fornecidos ao colaborador pela instituição, não serão validados para
uso e conexão em sua rede corporativa.
6.12. Datacenter
O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação. Por
exemplo: biometria, cartão magnético entre outros.
Todo acesso ao Datacenter, pelo sistema de autenticação forte, deverá ser registrado
(usuário, data e hora) mediante software próprio.
Deverá ser executada semanalmente uma auditoria nos acessos ao Datacenter por meio do
relatório do sistema de registro.
O usuário “administrador” do sistema de autenticação forte ficará de posse e administração
do coordenador de infraestrutura, de acordo com o Procedimento de Controle de Contas
Administrativas.
A lista de funções com direito de acesso ao Datacenter deverá ser constantemente
atualizada, de acordo com os termos do Procedimento de Controle de Acesso ao
Datacenter, e salva no diretório de rede.
Nas localidades em que não existam colaboradores da área de tecnologia da informação,
pessoas de outros departamentos deverão ser cadastradas no sistema de acesso para que
possam exercer as atividades operacionais dentro do Datacenter, como: troca de fitas de
backup, suporte em eventuais problemas, e assim por diante.
O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de
um colaborador autorizado, que deverá preencher a solicitação de acesso prevista no
Procedimento de Controle de Acesso ao Datacenter, bem como assinar o Termo de
Responsabilidade.
O acesso ao Datacenter, por meio de chave, apenas poderá ocorrer em situações de
emergência, quando a segurança física do Datacenter for comprometida, como por incêndio,
inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver
funcionando.
Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar
autorização com antecedência a qualquer colaborador responsável pela administração de
liberação de acesso, conforme lista salva em Procedimento de Controle de Acesso ao
Datacenter.
Deverão existir duas cópias de chaves da porta do Datacenter. Uma das cópias ficará de
posse do coordenador responsável pelo Datacenter, a outra, de posse do coordenador de
infraestrutura.
O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo
ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do
Departamento de Serviços Gerais.
Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou
inflamável.
A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o
preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização
formal desse instrumento pelo responsável do Datacenter, de acordo com os termos do
Procedimento de Controle e Transferência de Equipamentos.
No caso de desligamento de empregados ou colaboradores que possuam acesso ao
Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de
autenticação forte e da lista de colaboradores autorizados, de acordo com o processo
definido no Procedimento de Controle de Acesso ao Datacenter.
6.13. Backup
Todos os backups devem ser automatizados por sistemas de agendamento automatizado
para que sejam preferencialmente executados fora do horário comercial, nas chamadas
“janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou
processos automatizados aos sistemas de informática.
Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar
pesquisas frequentes para identificar atualizações de correção, novas versões do produto,
ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de
melhorias, entre outros.
As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas
em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as normas
da ABNT) e distantes o máximo possível do Datacenter.
As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário
efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma
conotação mais organizada e profissional.
O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos
responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de
gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado
pelo fabricante.
É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu
desgaste natural, bem como deverá ser mantido um estoque constante das mídias para
qualquer uso emergencial.
Mídias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro
persista, deverão ser inutilizadas.
É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades
de backup nos termos do Procedimento de Controle de Mídias de Backup.
As mídias de backups históricos ou especiais deverão ser armazenadas em instalações
seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10 quilômetros
do Datacenter.
Os backups imprescindíveis, críticos, para o bom funcionamento dos negócios da empresa,
exigem uma regra de retenção especial, conforme previsto nos procedimentos específicos e
de acordo com a Norma de Classificação da Informação, seguindo assim as determinações
fiscais e legais existentes no país.
Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro
horário disponível, assim que o responsável tenha identificado e solucionado o problema.
Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse
backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos
termos do Procedimento de Controle de Backup e Restore.
Quaisquer atrasos na execução de backup ou restore deverão ser justificados
formalmente pelos responsáveis nos termos do Procedimento de Controle de Mídias de
Backup.
Testes de restauração (restore) de backup devem ser executados por seus responsáveis,
nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias, de
acordo coma criticidade do backup.
Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do
original, para que assim não sobreponha os arquivos válidos.
Para formalizar o controle de execução de backups e restores, deverá haver um formulário
de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos
responsáveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimento
de Controle de Backup e Restore.
Os colaboradores responsáveis descritos nos devidos procedimentos e na planilha de
responsabilidade poderão delegar a um custodiante a tarefa operacional quando, por
motivosde força maior, não puderem operacionalizar. Contudo, o custodiante não poderá se
eximir da responsabilidade do processo.
7. Das Disposições Finais
Assim como a ética, a segurança deve ser entendida como parte fundamental da
cultura interna da empresa. Ou seja, qualquer incidente de segurança subtende-se
como alguém agindo contra a ética e os bons costumes regidos pela instituição