Upload
yabadabaduca
View
220
Download
0
Embed Size (px)
Citation preview
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 1/23
P01 – POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Referência P01 – Política de Segurança da Informação
Data Criado em 27/05/2013
Versão V1.0
Revisão
Autores Autor 1Autor2
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 2/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
CONTEÚDO MISSÃO E VISÃO .................................................................................................................................................... 4
1. OBJETIVOS......................................................................................................................................................... 4
2. ABRANGÊNCIA ................................................................................................................................................ 4
3. ESCOPO ............................................................................................................................................................... 4
3.1- COMPLIANCE .......................................................................................................................................... 5
4. REVISÃO E ATUALIZAÇÃO ........................................................................................................................ 5
5. Diretrizes........................................................................................................................................................... 5
5.1- Definindo as funções.......................................................................................................................... 6
5.2- Classificação da Informação .......................................................................................................... 6
5.3- Responsabilidades .............................................................................................................................. 7
5.4- Matriz RACI.............................................................................................................................................. 8
6. Fluxo de Informações ................................................................................................................................. 8
6.1- Máquinas copiadoras......................................................................................................................... 8
6.2- Correio Eletrônico ............................................................................................................................... 8
6.3- Telefonia Fixa ........................................................................................................................................ 9
6.4- Estações de Trabalho......................................................................................................................... 9
6.5- Banco de Dados..................................................................................................................................... 9
7. Segurança nos recursos humanos ..................................................................................................... 10
7.1– Processo Disciplinar........................................................................................................................ 10
7.2- Encerramento ou mudança da contratação....................................................................... 11
7.2.1 - Devolução de Ativos/equipamentos ...................... ..................... ...................... .................. 11
7.2.2 - Acessos ............................................................................................................................................. 11
8. Controle de Acesso ..................................................................................................................................... 11
8.1- Solicitação de Registro de usuário/acesso .......................................................................... 11
8.2- Mecanismos de Autenticação..................................................................................................... 12
8.2.1- Gerenciamento de senha do usuário ..................................... ...................... ...................... ... 12
8.4- Acesso a Recursos.............................................................................................................................. 13
8.4.1- Normas e Procedimentos para a Gestão de Acessos a Recursos ................ .............. 13
8.4.2- Proteção do Recurso ................................................................................................................... 14
8.4.4- Solicitação de Permissão de Acesso ao Recurso ...................... ...................... .................. 14
8.4.5- Aprovação ou Negação da Permissão de Acesso ........................................ ..................... 14
8.4.6- Revisão Periódica das Permissões de Acesso ao Recurso ................................ ........... 15
8.5-Arquivos e Banco de Dados ........................................................................................................... 15
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 3/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
8.5.1- Acesso Emergencial ................... ...................... ...................... ...................... ...................... .......... 15
8.5.2- Utilização de Usuário Genérico ................... ...................... ...................... ...................... .......... 15
8.5.3- uso dos serviços de Rede ................... ...................... ...................... ...................... ..................... 15
8.6- Estações de Trabalho....................................................................................................................... 16
8.6.1- Política de mesa limpa..................................................................................................................... 17
8.7- Comunicação Móvel.......................................................................................................................... 18
8.7.1- Equipamentos Particulares ...................... ...................... ...................... ...................... .............. 18
8.8– Trabalho remoto ............................................................................................................................... 18
8.7.1- Normas para Utilização de Acesso Remoto ............................ ...................... ..................... 18
8.7.2- Forma de Acesso e Responsabilidades ...................... ...................... ..................... ............... 19
9. Conscientização da Segurança ............................................................................................................. 19
10. GLOSSÁRIO ................................................................................................................................................... 19
11. Informações de Controle...................................................................................................................... 21
ANEXO I – TERMO DE COMPROMISSO ...................... ...................... ...................... ...................... .............. 22
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 4/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 4
MISSÃO E VISÃOQueremos ser percebidos a longo prazo, como um líder em termos de conhecimento
em consultoria e oferecer aos nossos parceiros e clientes soluções convenientes e
transparente. Nossa missão é:
criar relações sustentáveis e saudáveis com os clientes;
criar um ambiente aos melhores especialistas em diversos setores do mercado
tecnológico;
ser uma empresa inovadora.
1. OBJETIVOSProteger e preservar a organização, suas informações e negócios, além de definir
regras de segurança para orientar a forma correta para o manuseio, controle e proteção
das informações a fim de reduzir as condições de risco. Também busca desenvolver a
conscientização sobre segurança e privacidade da informação.
2. ABRANGÊNCIAAs normas citadas nesse presente documento referem-se aos procedimentos definidos
para a organização estabelecida no Brasil, em conformidade com a legislação local.
3. ESCOPOEste documento é considerado como principal ferramenta na implementação da
gestão de segurança dentro da UMBRELLA CORPORATION ME e ele se esforça para:
Fornecer linhas de decisão clara e níveis de responsabilidade
Dar orientação em determinadas situações específicas
Certificar-se da conscientização de segurança da informação em todos os níveis
dentro da organização
Reduzir o risco a um nível aceitável
Proteger a propriedade e reputação da UMBRELLA CORPORATION ME.
O equilíbrio entre estes objetivos é cuidadosamente decidido em todos os níveis da
organização. Além disso, ele dá a cada membro da equipe, independentemente de seu/sua
função o direito e o dever de contribuir para que estes objetivos sejam alcançados.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 5/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 5
O foco principal é fornecer uma compreensão detalhada das informações e
responsabilidades de segurança para todos os níveis de colaboradors, fornecedores,
parceiros e terceiros.
3.1- COMPLIANCEUm dos fatores críticos de sucesso para esta Política de Segurança é a aceitação e o
cumprimento pelos colaboradors e todas as outras pessoas envolvidas. O cumprimento
não é opcional, é obrigatório e em simultâneo com o início de qualquer tipo de trabalho
com a UMBRELLA CORPORATION ME. A política de segurança é, portanto, obrigatória para
todas as pessoas abordadas neste documento.
Qualquer violação desta Política de Segurança ou de documentos e decisões
relacionadas será considerado uma infração disciplinar e estará sujeita à ação disciplinardentro da organização, tais como suspensão ou demissão.
4. REVISÃO E ATUALIZAÇÃO
A Política de Segurança da Informação é revista e, se necessário atualizada, ao
menos anualmente
A equipe responsável pela revisão e atualização é composta atualmente por:
Membro1 Membro do Comitê de segurança da informaçãoMembro2 Membro do Comitê de segurança da informaçãoMembro3 Membro do Comitê de segurança da informaçãoMembro4 Membro do Comitê de segurança da informaçãoMembro5 Membro do Comitê de segurança da informação
5. DIRETRIZESPara a definição da Política de Segurança da Informação, foram consideradas as
seguintes diretrizes: segurança como uma responsabilidade de todos;
importância da ética no trato de informações sigilosas e de caráter confidencial e
restrito da organização;
melhoria contínua de processos e procedimentos;
capacitação constante das pessoas ao tratar a informação.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 6/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 6
5.1- DEFININDO AS FUNÇÕES
Quando se fala em informação, alguns papéis precisam ser identificados e possuem
importância fundamental. São eles:
Proprietário/Owner
É o “dono” da informação, encarregado de sua criação e classificação, dos recursos
de informação sob sua responsabilidade, da validação, liberação e cancelamento do acesso
aos recursos e aos locais restritos da sua área.
Gestor
Usuário designado pelo Proprietário para validar, liberar e cancelar o acesso aos
recursos e aos locais restritos.
CustodianteResponsável pela guarda e armazenamento da informação, definido pelo Gestor da
Informação.
Usuário
Pessoa autorizada pelo Proprietário ou Gestor a ler, incluir ou atualizar
informações.
5.2- CLASSIFICAÇÃO DA INFORMAÇÃO
A informação deve ser classificada de acordo com a sua confidencialidade e osprejuízos que sua divulgação não autorizada ou acidental possa causar. De acordo com
esses parâmetros, as informações são classificadas em:
Classificação Definição Exemplos
ConfidencialRestrita
Informação associaa aos interesses estratégicosda organização.
Quem tem acesso: alta direção e colaboradorsque são obrigados a conhecê-las pela função
que exercem.Sua divulgação pode trazer sérias
conseqüências, por isso exige medidas maisrígidas de controle.
Estratégias, vantagens competitivas,detalhes sobre um produto em
desenvolvimento;
Confidencial
Informação cujo conhecimento está limitado apessoas que precisam ter acesso a ela no seu
dia-a-dia profissional.Sua divulgação também pode trazer graves
conseqüências à corporação, portanto esse tipode informação necessita de controle e proteção
contra acessos não autorizados.
Procedimentos internos, estudos e projetos.
Uso Interno
Toda informação restrita para uso dentro daorganização.
Disponível ao Usuário interno. Pode serrevelada ao público externo se o Gestor
autorizar.
Circulares, manuais de procedimentos,resultados de metas.
Informação
Pública
Tudo o que pode ou deve ser divulgado para o
público
Informações de produtos, marketing,informativos, resultados de metas, código de
ética da Umbrella Corporation ME.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 7/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 7
Observações:
- O Proprietário ou o Gestor da Informação deve definir o nível da informação quanto à
confidencialidade;
- A informação deverá ser reclassificada caso necessário.
5.3- RESPONSABILIDADES
Para garantir a implementação e a continuidade da Política de Segurança da
Informação, formaram-se grupos onde cada um deles tem uma responsabilidade
específica, confoorme abaixo.
Comitê de Segurança da Informação• elaborar, divulgar e revisar periodicamente as normas de Política de Segurança da
Informação;
• prover ações para disseminação e dar suporte ao cumprimento das normas;
• esclarecer eventuais dúvidas.
Corpo Gerencial
• garantir o cumprimento das normas pelos colaboradors de sua área;
• indicar o Gestor da Informação;
• divulgar a importância da política de senha segura;
• restringir o acesso às informações confidenciais.
Custodiante
• controlar o acesso às informações;
• adotar procedimentos de segurança;
• monitorar as informações sob sua custódia.
Comitê de Infra-estrutura de Tecnologia
• providenciar recursos de segurança;
• fornecer ferramentas para controle de acesso às informações.
Auditoria Interna
• realizar trabalhos para determinar o nível de cumprimento das normas.
Proprietário ou Gestor da Informação
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 8/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 8
• classificar/reclassificar informações sob sua responsabilidade;
• controlar acessos;
• criar controles.
Usuário
• conhecer e cumprir os controles de segurança estabelecidos;
• reportar ao superior imediato a exposição indevida das informações confidenciais.
5.4- M ATRIZ RACI
Atividades CorpoGerencial
Custodiante Comitê deSegurança da
Informação
Usuário
Desenvolver e realizar treinamento A I R I
Revisar Política de Segurança da
Informação
I I R I
Compliance R C I I
6. FLUXO DE INFORMAÇÕES
Todas as informações devem obedecer aos critérios de classificação.
6.1- M ÁQUINAS COPIADORAS Todo usuário deverá utilizar a sua senha de impressão que é de uso pessoal
e intransferível
Ao enviar o arquivo para impressão, o usuário deverá imediatamente
verificar se o que foi solicitado já está disponível na impressora, não deixando
documentos nas bandejas das impressoras mais tempo do que o necessário.
As máquinas copiadoras deverão estar com a função e-mail externodesabilitada.
6.2- CORREIO ELETRÔNICO É necessário que seja habilitado um filtro para varredura de anexos e mensagens
chave dentro do corpo de e-mail.
As mensagens que contém informações classificadas como "Restrita" ou
"Confidencial" devem ser criptografadas ao serem transmitidas para o ambiente externo.
Não é permitido que seja feito o redirecionamento de mensagens internas daorganização para caixa postal particular do usuário (e-mail externo). O acesso aos e-mails
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 9/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 9
da Instituição devem ser feitos através de mecanismos homologados (por exemplo
Blackberry e estações corporativas).
6.3- TELEFONIA FIXA O sistema de telefonia fixa deve permitir gravações de ligações em todas as áreas
consideradas críticas, sendo que esta lista deve possuir uma revisão periódica.
O PABX deve possuir um sistema que possibilite o registro de ligações telefônicas
recebidas e efetuadas através de cada ramal.
6.4- ESTAÇÕES DE TRABALHO A política de Segurança de Estação de Trabalho define quatro níveis descritos
abaixo:
Nível 1 - Padrão Básico de Segurança
Destinado aos equipamentos que não se enquadram nos demais níveis. Devem ser
tratados como exceções e disponibilizados provisoriamente. É necessário aprovação do
diretor da área.
Nível 2 - Padrão Intermediário de Segurança
Destinado aos equipamentos utilizados por Colaboradores que precisam de maior
flexibilidade no uso de recursos sem deixar de atender as Políticas de Segurança da
Informação. É necessário aprovação do diretor da área.Nível 3 - Padrão Avançado de Segurança
Destinado a todos os equipamentos. Este é o nível padrão de segurança exigido nas
estações de trabalho da Organização.
Nível 4 - Padrão Especial de Segurança
Destinado aos equipamentos utilizados exclusivamente para o acesso a
determinadas aplicações corporativas, não ocorrendo armazenamento de dados.
O quadro a seguir apresenta os recursos disponíveis na Política de Segurança de
Estação de Trabalho:
Características Nível 1 Nível 2 Nível 3 Nível 4
Bloquear execução de download da internet X X
Bloquear compartilhamentos (arquivos ou pastas) X X
Customização especial X
6.5- B ANCO DE D ADOS Devem ser definidos critérios e perfis de acesso. Esses acessos devem ser revistos
periodicamente.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 10/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 10
Os códigos de usuários e senhas devem obedecer às boas práticas de utilização.
As aplicações deverão ter logs que registrem os acessos dos usuários e
modificações dos dados. Apenas usuários com acesso privilegiado podem acessar dados
estratégicos (Ex: cadastro de clientes).
Deve haver uma lista de aplicativos separados pelo grau de criticidade para
operação.
Dados críticos de clientes não devem ser gravados diretamente nos discos rígidos
das estações e notebooks.
Deve ser implementada técnica de "mascaramento" de dados críticos, onde os
campos de maior importância são mascarados com caracteres especiais. Dados de clientes
e suas informações mais sensíveis devem estar em bases separadas.
7. SEGURANÇA NOS RECURSOS HUMANOS Embora o Comitê de Segurança da Informação seja responsável pela gestão da
Segurança Corporativa, cabe a todos os colaboradores zelar pela segurança do seu local de
trabalho.
Os colaboradores devem fazer uso de crachás de identificação e a entrada de
visitantes deve ser autorizada e registrada.
Todos os colaboradores devem guardar ou descartar adequadamente materiais
confidenciais, manter gavetas e armários fechados, desligar ou bloquear estações de
trabalho e notebooks, zelar pelos bens e ativos da Organização.
7.1– PROCESSO DISCIPLINAR Para assegurar o efetivo cumprimento de suas atribuições, o Comitê de Segurança
da Informação tem poderes para convocar colaboradores implicados em situações de
desvio de conduta, visando à obtenção dos esclarecimentos necessários, inclusive
afastando-os de suas funções, se necessário, mediante comunicação prévia ao gestor do
colaborador. Nesses casos, o Comitê de Segurança da Informação também possui poderes
para analisar e decidir sobre pedidos de demissão, férias, licença ou qualquer outro
apresentado pelos colaboradores implicados.
As infrações disciplinares comuns, quando cometidas de modo reiterado ou de
forma grave, tornam o contrato de trabalho passível de rescisão imediata, inclusive por
justa causa.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 11/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 11
7.2- ENCERRAMENTO OU MUDANÇA DA CONTRATAÇÃO
7.2.1 - DEVOLUÇÃO DE ATIVOS/EQUIPAMENTOS Na necessidade de devolução ou substituição do ativo/Equipamento, deve-se
realizar previamente a eliminação das informações armazenadas, de forma que não seja
possível a sua recuperação.
7.2.2 - ACESSOS Quando um colaborador é transferido entre departamentos, o gestor que o
transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e
outros controles de segurança ainda serão necessários na sua nova função e
informar a equipe de TI qualquer modificação necessária;
O gestor é responsável por solicitar a exclusão/descadastramento dos
acessos a sistemas e recursos utilizados pelo colaborador desligado, conforme
descrito abaixo:
O gestor deve enviar e-mail solicitando a desativação dos acessos do
usuário à qualquer recurso a rede e sistemas aplicativos. Deve-se verificar a
necessidade de troca de senhas de contas de uso comum ao departamento,
evitando o acesso às informações.
Após a comunicação do gestor solicitando a exclusão dos acessos do
colaborador, os acessos são excluídos automaticamente por meio da atualização
da base de dados do RH, conforme rotina de processamento.
8. CONTROLE DE ACESSO Este tópico visa definir as normas de Registro do Usuário que abrange:
criação, manutenção e desativação da conta.Regras Gerais
É reservado o direito de desativar uma conta de usuário, por parte da
equipe de segurança da área de TI, caso verifique-se a ocorrência de Incidentes
suspeitos de quebra de segurança nas contas dos usuários.
8.1- SOLICITAÇÃO DE REGISTRO DE USUÁRIO/ ACESSO Todo colaborador poderá ter uma conta para acesso aos recursos da rede
de computadores da Organização. Os acessos a demais sistemas devem serinformados pelo gestor da área no momento da solicitação da conta do usuário.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 12/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 12
Para solicitação de criação de conta para novos colaboradors, os gestores devem
proceder conforme descrito abaixo:
O gestor de departamento a que o colaborador pertence deverá fazer uma
solicitação de criação da conta, através do formulário Solicitação de Usuário/Acesso
à área de TI , Neste formulário, deverá ser informado os dados do colaborador, bem
como os acessos que serão necessários para que este usuário desempenhe suas
funções na área (diretórios da rede UMBRELLA, acesso ao sistema, ao email e
Internet entre outros).
A equipe de segurança retornará para o gestor do departamento as
informações sobre a conta criada.
As contas podem ser monitoradas pela equipe de segurança com o objetivo
de verificar possíveis irregularidades no armazenamento ou manutenção dos
arquivos nos diretórios pessoais.
8.2- MECANISMOS DE AUTENTICAÇÃO O usuário sempre é representado por um código ao acessar o ambiente
computacional da Organização.
No processo de autenticação, além do seu código de usuário, conhecido
internamente, o usuário deve fornecer informações complementares que assegurem sua
identidade. O mais comum é o fornecimento de uma senha que seja apenas de seu
conhecimento, entretanto, existem outros mecanismos de autenticação homologados.
Cada um deles aplica-se a um conjunto de plataformas e/ou sistemas específicos
8.2.1- GERENCIAMENTO DE SENHA DO USUÁRIO
As senhas são utilizadas por todos os sistemas e são consideradas necessárias
como meio de autenticação. A eficiência das senhas dependem do usuário, pois estes
podem escolher senhas óbvias e fáceis de serem descobertas, ou ainda compartilha-lascom outros colaboradores, não mantendo o sigilo necessário.
Regras Gerais
A concessão de senhas deve ser controlada, considerando:
- Senhas temporárias devem ser alteradas imediatamente, não devem ser
armazenadas de forma desprotegida,
- A senha deve ser redefinida pelo menos a cada 60 dias, para usuários comuns e a
cada 45 dias para usuários de acesso mais restrito.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 13/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 13
- As senhas devem ser bloqueadas após 3 a 5 tentativas sem sucesso, sendo que, o
administrador da rede e o usuário devem ser notificados sobre estas tentativas.
- As responsabilidades do administrador do sistema incluem o cuidado na criação e
alteração das senhas dos usuários, além da necessidade de manter atualizados os dados
dos mesmos.
- As responsabilidades do usuário incluem, principalmente, os cuidados com a
manutenção da segurança dos recursos, tais como sigilo da senha e o monitoramento de
sua conta, evitando sua utilização indevida. As senhas são sigilosas, individuais e
intransferíveis, não devendo ser divulgadas em nenhuma hipótese.
- Tudo que for executado com a senha de usuário da rede ou de outro sistema será
de inteira responsabilidade do usuário.
As senhas são efetivas apenas quando usadas corretamente e sua escolha e uso
requerem alguns cuidados como:
Não utilizar palavras que estão no dicionário (nacionais ou estrangeiras);
Não utilizar informações pessoais fáceis de serem obtidas, como o número de
telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc;
Utilizar senha com pelo menos, oito caracteres;
Misturar caracteres maiúsculos e minúsculos;
Misturar números, letras e caracteres especiais;
Incluir pelo menos, um caracter eespecial;
Utilize um método próprio para lembrar da senha, de modo que ela não precise ser
escrita em nenhum local, em hipótese alguma;
Não anotar a senha em papel ou em outros meios de registro de fácil acesso;
Não utilizar o nome do usuário;
Não utilizar o primeiro nome, o nome do meio ou o sobrenome;
Não utilizar nomes de pessoas próximas, como da esposa(o), filhos ou amigos;
Não utilizar senhas com repetição do mesmo dígito ou da mesma letra;
8.4- ACESSO A RECURSOS
8.4.1- NORMAS E PROCEDIMENTOS PARA A GESTÃO DE ACESSOS A RECURSOS
A gestão do acesso a um recurso compreende as seguintes atividades:
- proteção;
- solicitação de permissão de acesso;
- aprovação ou negação da permissão de acesso;
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 14/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 14
- alteração no perfil de acesso;
- revisão com frequência mínima anual das permissões de acesso.
8.4.2- PROTEÇÃO DO RECURSO A proteção corresponde ao cadastramento do recurso com o respectivo perfil de
acesso nas bases de dados do software de segurança do servidor em que o recurso está
alocado.
São elegíveis para proteção lógica todos os recursos que armazenam ou processam
informações de propriedade da Organização. O Gestor do Recurso é o responsável pela
definição da proteção do recurso. Compete ao gestor avaliar os riscos inerentes ao acesso
ao recurso sendo protegido e selecionar o nível de proteção adequado, em função desses
riscos.
8.4.4- SOLICITAÇÃO DE PERMISSÃO DE ACESSO AO RECURSO As solicitações de acesso a recursos para colaboradores ou prestadores de serviço
são de responsabilidade dos solicitantes das suas respectivos áreas. Os userids genéricos
devem ser requisitados pelos órgãos de TI responsáveis pelos processos associados às
mesmas.
Deve ser considerado na permissão e/ou concessão de acessos o princípio do
mínimo privilégio, ou seja, os usuários (ou processos) devem acessar apenas os recursosnecessários para o desempenho de suas atividades.
8.4.5- APROVAÇÃO OU NEGAÇÃO DA PERMISSÃO DE ACESSO O responsável pela aprovação ou negação da permissão do acesso ao recurso é o
gestor do recurso.
Esse processo é decorrente da solicitação de permissão de acesso.
Antes de permitir ou negar o acesso ao recurso, o gestor deve obter as informações
necessárias para subsidiar sua decisão.
Essas informações incluem:
o motivo da permissão de acesso solicitada;
o tipo de permissão de acesso necessária;
o nível de acesso necessário.
Recomenda-se o contato com o solicitante responsável pelo encaminhamento da
solicitação e/ou com a SSI.
O gestor deve selecionar o perfil que melhor representa o recurso cuja permissão
de acesso foi solicitada.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 15/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 15
8.4.6- REVISÃO PERIÓDICA DAS PERMISSÕES DE ACESSO AO RECURSO Compete ao gestor do recurso a revisão periódica das suas permissões de acesso.
A periodicidade dessa revisão é definida pela SSI e deve ser realizada com
frequência mínima anual.
Na revisão, o gestor deve obedecer ao princípio de mínimos privilégios, ou seja, os
usuários ou processos devem acessar apenas os recursos necessários para o desempenho
de suas atividades.
Os casos de dúvidas com relação à composição de grupos de userids e a
necessidade de permissão de acesso por usuários e processos que compõem o perfil de
acesso ao recurso devem ser tratados diretamente com os solicitantes ou aprovadores
responsáveis por esses usuários e processos.
Recomenda-se que o gestor mantenha registros dos processos de revisão
efetuados, para efeito de controle e auditoria.
8.5-ARQUIVOS E B ANCO DE D ADOS Não é permitido acesso direto a arquivos e banco de dados de produção. Para o
acesso dos usuários, deve existir uma aplicação (ex. Web) que faça a conexão ao Banco de
Dados.
8.5.1- ACESSO EMERGENCIAL No caso de exceção de acesso de analistas de sistemas a arquivos ou banco de
dados de produção cuja propriedade seja de uma área de negócios, este acesso deve ser
feito de forma temporária e com alçada de aprovação mínima de superintendente.
8.5.2- UTILIZAÇÃO DE USUÁRIO GENÉRICO Os usuários têm ciência de que é proibida a utilização de Usuário Genérico para
logon pessoal, e que estão sujeitos a penalidades previstas no caso de violação desta
diretriz de segurança.
A conexão aos bancos de dados em produção deve ser realizada por meio de
usuário sistêmico.
8.5.3- USO DOS SERVIÇOS DE REDE Esse tópico visa definir as normas de utilização da rede que abrange o LOGIN, a
manutenção de arquivos no servidor e as tentativas não autorizadas de acesso. Estes itens
serão abordados para todos os usuários dos sistemas e da rede de computadores da
Organização.Regras Gerais
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 16/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 16
- Não são permitidas tentativas de obter acesso não autorizado, tais como
tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou
conta. Isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidor
ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar à prova a
segurança de outras redes;
- Não são permitidas tentativas de interferir nos serviços de qualquer outro
usuário, servidor ou rede. Isso inclui ataques e tentativas de provocar congestionamento
em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de “invadir”
um servidor;
- Materiais de natureza pornográfica e discrminatória não podem ser expostos,
armazenados, distribuídos, editados ou gravados através do uso dos recursos
computacionais da rede;
- A pasta PÚBLICA ou similar, não deverá ser utilizada para armazenamento de
arquivos que contenham assuntos sigilosos ou de natureza específica. Ela deve ser
utilizada apenas para armazenar informações de interesse geral;
- Não são permitidas alterações das configurações de rede e inicialização das
máquinas, bem como demais modificações que não sejam justificadas e efetuadas pela
área de TI.
8.6- ESTAÇÕES DE TRABALHO Cada estação de trabalho possui códigos internos os quais permitem que ela seja
identificada na rede. Sendo assim, tudo que for executado na estação de trabalho será de
responsabilidade do usuário. Por isso, sempre que sair de frente da estação de trabalho, o
usuário deverá ter certeza que efetuou o logoff ou bloqueou a estação de trabalho.
Os equipamentos são recursos da Organização e, como tais, devem ser utilizados
de acordo com as diretrizes descritas nas Políticas de Segurança da Informação.
Regras Gerais- as estações de trabalho devem ser utilizadas exclusivamente para realização de
atividades profissionais da Organização;
- as informações corporativas devem ser armazenadas em servidores de arquivos,
onde existam processos consolidados e direcionados a sua integridade, disponibilidade e
confidencialidade;
- a senha é pessoal e intransferível, não sendo permitido o seu compartilhamento;
- todas as estações de trabalho devem estar associadas a um domínio válido pela
Organização para garantir que as políticas de segurança sejam aplicadas;
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 17/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 17
- todas as estações de trabalho devem possuir software antivírus instalado,
atualizado e ativo;
- todas as estações de trabalho devem possuir somente softwares e aplicativos
homologados);
- todas as estações de trabalho devem ser desligadas ao final do expediente. Caso
não seja desligada, há um sistema que desligará automaticamente o equipamento.
Exceções devem ser justificadas;
- utilizar a proteção de tela corporativa definida pela Organização;
- não é permitida a conexão e/ou sincronização de equipamentos particulares na
rede da Organização;
- não é permitida a alteração física nos componentes dos microcomputadores tais
como memória, discos etc.;
- a instalação de qualquer software de segurança deve ser analisada e autorizada
pela SSI. Exemplos de softwares de segurança: recuperadores de senhas, analisadores de
tráfego de rede, forense, ferramentas de engenharia reversa, scanners para varredura de
rede, ou qualquer outro software que permita acessar, sem autorização, informações
confidenciais ou restritas. Ferramentas que violam direitos autorais, como, por exemplo,
cracks e keygens (geradores de licenças), não são autorizados.
- não é permitida a instalação de softwares não homologados pela instituição.- todos os notebooks devem ser equipados com cabos de aço de segurança, presos
às mesas e o disco rígido deve estar criptografado.
- os desktops devem ser dotados de cadeados para proteção contra o furto de
placas de memória e discos rígidos.
- deve haver um processo de eliminação de dados dos desktops e notebooks
quando da substituição, descarte ou cessão desses equipamentos, para evitar a
recuperação de dados críticos por terceiros.
8.6.1- POLÍTICA DE MESA LIMPA A política de mesa limpa deve ser considerada para todos os departamentos e
seguida por todos os colaboradors/colaboradores, de forma a garantir que papéis e mídias
removíveis não fiquem expostas ao acesso não autorizado.
Regras Gerais- Os papéis ou mídias de computador não devem ser deixados sobre as mesas,
quando não estiverem sendo usados. Devem ser guardados de maneira adequada, de
preferência em gavetas ou armários trancados;
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 18/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 18
- As salas devem ser mantidas limpas, sem caixa ou qualquer outro material sobre
o chão de modo a facilitar o deslocamento dos colaboradors/colaboradores;
- Sempre que o computador não estiver em uso, não se deve deixar nenhum
arquivo aberto, de modo que as informações possam ser visualizadas por outras pessoas
que estiverem no local;
- Agendas, livros ou qualquer outro material que possa conter informações sobre a
empresa ou informações particulares devem sempre ser guardadas em locais fechados,
evitando o acesso de outras pessoas que não as responsáveis pela informação.
- Chaves de gavetas, armários, de portas de acesso às salas e laboratórios de
informática devem ser guardadas em lugar adequado, e não deixadas sobre a mesa ou
guardadas com colaboradors/colaboradores não autorizados.
8.7- COMUNICAÇÃO MÓVEL O uso de dispositivos móveis dentro de áreas críticas deve ser restringido, havendo
a necessidade de controle e monitoração dessa atividade.
Os dispositivos móveis de propriedade da organização devem possuir mecanismos
de criptografia de dados (recebidos e enviados), devendo também permitir a configuração
de senha de acesso.
8.7.1- EQUIPAMENTOS PARTICULARES Não é permitida conexão ou sincronização de qualquer equipamento particular na
rede da organização.
Os equipamentos particulares não devem ser utilizados para armazenamento de
informações da Organização.
As violações a esta Política estão sujeitas a sanções disciplinares
8.8– TRABALHO REMOTO Deverá existir um processo de aprovação de utilização com alçada de aprovação
superior para utilização de acesso remoto onde deve ser estipulado um período de
concessão do acesso (este período não pode ser permanente), bem como o nível de acesso
que este usuário possuirá.
8.7.1- NORMAS PARA UTILIZAÇÃO DE ACESSO REMOTO O acesso remoto pode ser utilizado por colaboradores colaboradors e
colaboradores terceiros em atividades de suporte técnico. Essa situação possui norma
específica de utilização.
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 19/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 19
8.7.1.1- Utilização do Acesso Remoto pelos Colaboradores Colaboradors eColaboradores Terceiros8.7.1.1A- Solicitação de Cadastramento de Acesso Remoto
Deve ser realizada via sistema WEB por usuário solicitante. A alçada paraaprovação é de diretor, superintendente e gerente que aprova a solicitação
eletronicamente no sistema WEB e manualmente para colaboradors ou colaboradores
terceiros que não possuem acesso ao sistema WEB utilizando o Termo de Solicitação e de
Responsabilidade para Acesso Remoto. Após o acesso ser aprovado, o colaborador ou
colaborador terceiro receberá um e-mail com as instruções de instalação.
O Termo de Recebimento para Acesso Remoto deverá ser assinado e encaminhado
para SSI, para confirmação de recebimento e inicialização do para sua utilização em caso
de cadastro manual.
8.7.2- FORMA DE ACESSO E RESPONSABILIDADES O acesso remoto é permitido apenas através da infraestrutura de comunicação
disponibilizada pela Organização. Para esse acesso remoto só será permitido o uso do
notebook corporativo disponibilizado via portal de microinformática.
Todo acesso realizado de forma remota é controlado e registrado. Compete ao
colaborador observar as diretrizes e normas de segurança estabelecidos pela organização.
9. CONSCIENTIZAÇÃO DA SEGURANÇA
Materiais destinados a aumentar a compreensão e a consciência dos
colaboradores da Organização sobre a importância da segurança da informação,
serão rotineiramente divulgados. Estes materiais irão enfatizar a importância dos
procedimentos de segurança da informação, especialmente no que tange à
informação eletrônica protegida.
10. GLOSSÁRIO
Acesso Remoto
Acesso feito ao ambiente computacional da Organização a partir de uma estação de
trabalho conectada a uma rede de telecomunicações, normalmente fora das dependências
da organização.
Autenticação
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 20/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 20
Processo de conexão de um usuário ao ambiente computacional, de forma que os
sistemas reconheçam-no e lhe permitam o acesso apenas a recursos a que ele esteja
previamente autorizado.
Autorização
Processo pelo qual é verificado se um usuário previamente autenticado tem direito
a acessar determinados recursos. Em geral, os produtos que proveem mecanismos de
autenticação também possuem mecanismos de autorização.
Compliance
Agir de acordo com uma regra, uma instrução interna, um comando ou um pedido
Código de Usuário
Forma com que um usuário é representado no ambiente computacional da
Organização. Um código de usuário está associado a um único usuário e suas
características dependem do sistema operacional acessado.
E-Businessid
Tipo de código de usuário. Aplica-se a colaboradores de empresas parceiras queacessam serviços específicos da Organização, normalmente realizado a partir de
aplicativos web (internet, extranet ou intranet), e sempre associado a uma pessoa.
Plataforma
Sistema operacional, subsistema ou software, para o qual existem regras próprias
para a administração e autenticação de códigos de usuários.
Regras de Administração de Códigos de Usuários e Senhas
Mecanismos implementados pelos sistemas operacionais e softwares de segurança
com o objetivo de garantir que todos os usuários submetam-se a boas práticas na
utilização de seus códigos de usuários e senhas. Ex. regras de sintaxe de senha, bloqueio
automático de códigos de usuários em determinadas situações etc.
SSI - Superintendência de Segurança da Informação
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 21/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 21
Órgão interno responsável por orientar os usuários, gestores de recursos e
gestores de usuários, fornecer suporte aos softwares de segurança, efetivar as solicitações
encaminhadas pelos gestores envolvidos.
STSO – Superintendência Técnica de Suporte Operacional
Órgão interno responsável por fornecer suporte técnico aos equipamentos de
propriedade da Organização, elaborar laudo e lacre dos equipamentos devolvidos ou
substituídos, quando ocorrer a substituição ou troca do equipamento deverá realizar
procedimento no qual a informação contida nele seja destruída de modo que não possa ser
recuperada, instalar o sistema operacional e quaisquer outros aplicativos desde que
devidamente homologados e autorizados, manter o ambiente das estações de trabalho
(sistema operacional, antivírus, etc.) disponível e atualizado, gerir a infraestrutura das
estações de trabalho.
Userid
Tipo de código de usuário, utilizado principalmente pelos profissionais dos órgãos
de Tecnologia da Informação e por processos, podendo também, em alguns casos, ser
utilizado por usuários finais.
11. INFORMAÇÕES DE CONTROLE
Vigência: 27.05.2013 a 27.05.2014
Versão: 1.0
Aprovado por:
Security Officer
Diretor de TI
Superintendente de Segurança da Informação
Gestor do Comitê de Segurança da Informação
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 22/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
D O C U M E N T O C O N F I D E N C I A L 22
ANEXO I – TERMO DE COMPROMISSO
TERMO DE COMPROMISSO
Identificação do Colaborador NOMERG/CPFMATRÍCULAEMPRESA
Comprometo-me a:
1. Executar minhas tarefas de forma a cumprir com as orientações da Política de
Segurança e com as Normas e Padrões vigentes.
2. Utilizar adequadamente os equipamentos da Organização, evitando acessos
indevidos aos ambientes computacionais aos quais estarei habilitado, que possam
comprometer a segurança das informações.
3. Não revelar fora do âmbito profissional, fato ou informações de qualquer
natureza que tenha conhecimento devido a minhas atribuições, salvo em decorrência de
decisão competente do superior hierárquico.
4. Acessar as informações somente por necessidade de serviço e por determinaçãoexpressa do superior hierárquico.
5. Manter cautela quando a exibição de informações sigilosas e confidenciais, em
tela, impressoras ou outros meios eletrônicos.
6. Não me ausentar do local de trabalho sem encerrar a sessão de uso do
computador ou sistema, evitando assim o acesso por pessoas não autorizadas.
7. Observar rigorosamente os procedimentos de segurança estabelecidos quanto à
confidencialidade de minha senha, através dos quais posso efetuar operações a mim
designadas nos recursos computacionais que acesso, procedendo a:
A. Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e
intransferível;
B. Não divulgar a minha senha a outras pessoas;
C. Nunca escrever a minha senha, sempre memorizá-la;
D. De maneira alguma ou sobre qualquer pretexto, procurar descobrir as senhas de
outras pessoas;
E. Somente utilizar o meu acesso para os fins designados e para os quais estiver
devidamente autorizado, em razão de minhas funções;
7/27/2019 Política de Segurança da Informação.docx
http://slidepdf.com/reader/full/politica-de-seguranca-da-informacaodocx 23/23
P01 - Política de Segurança da InformaçãoVersão v1.0Atualizado em 27/05/2013
F. Responder em todas as instâncias, pelas conseqüências das ações ou omissões
de minha parte que possam por em risco ou comprometer a exclusividade de
conhecimento da minha senha ou das transações a que tenho acesso;
G. Reportar imediatamente ao superior imediato ou ao Administrador de
Segurança em caso de violação, acidental ou não, da minha senha, e providenciar a sua
substituição.
H. Solicitar o cancelamento de meus usuário/senhas quando não for mais de minha
utilização.
I. Solicitar o cancelamento de usuários/senhas solicitados para
funcionários/terceiros sob minha responsabilidade, quando do seu desligamento ou
término do serviço que originou a respectiva solicitação.
Declaro estar ciente das determinações acima, compreendendo que quaisquer
descumprimentos dessas regras podem implicar na aplicação das sansões disciplinares
cabíveis.
São Paulo, ______ de _______________________________ de ____________.
_______________________________________________________.
Assinatura do Colaborador