Embed Size (px)
Citation preview
Página 1 de 13
Documento de Política de Segurança da Informação
Universidade Estadual Fíctia
Governo do Estado Fícticio
Aluno: Vitor Melo Arruda Leite
Professor: Marcelo Adães
Cadeira: Política de Segurança da Informação
Turma: 2013.1
Página 2 de 13
HISTÓRICO DO DOCUMENTO
Data Versão Autor Comentários
28/01/2015 01.00 Vitor Melo Versão Inicial.
05/02/2015 01.00 Vitor Melo Revisão do documento.
Página 3 de 13
CONTEÚDO
1. Introdução ............................................................................................................................. 4
1.1 Segurança da Informação ...................................................................................................... 4
1.2 Glossário ................................................................................................................................ 4
2. Importância da segurança da informação............................................................................. 5
2.1 Escopo ................................................................................................................................... 5
2.2 Metas ..................................................................................................................................... 5
3. Processos de Segurança da Informação ................................................................................ 6
4. Requisitos legais .................................................................................................................. 11
5. Recursos Humanos .............................................................................................................. 11
6. Estrutura Organizacional ..................................................................................................... 12
7. Disposições finais ................................................................................................................ 13
Página 4 de 13
1. Introdução
A Política de Segurança da Informação (PSI) da Universidade Estadual Fícticia (UEF) é um documento formal da academia a respeito de seu comprometimento com a segurança dos recursos que geram, proliferam ou armazenam informações.
Todos os funcionários públicos, professores, alunos, prestadores de serviços e demais usuários que atuam no âmbito da UEF, manipulando informações da academia e acessando sua infraestrutura de Tecnologia da Informação (TI) são submetidos a esta Política diariamente.
A definição de todos os pontos abordados neste documento foram apoiados pela alta direção, com o objetivo de estabelecer responsabilidades, diretrizes e eficiência para implementar a gestão de segurança da informação na universidade. Estando sempre abertas as revisões periódicas, mantendo-se alinhado com a legislação pertinente, com as normas brasileiras e com os objetivos do negócio.
1.1 Segurança da Informação
Para reprimir o risco de ocorrências de falhas prejudicarem de algum modo a UEF, as informações da academia devem ser adequadamente utilizadas, armazenadas e protegidas. Sendo assim, as propriedades que devem ser preservadas para garantir a segurança das informações são as seguintes:
Confidencialidade: garante que a informação estará disponível somente para as pessoas, entidades ou processos autorizados;
Integridade: garante que a informação não pode ser alterada ou destruída sem a autorização adequada;
Disponibilidade: possibilita que os recursos estejam sempre acessíveis, ao ser solicitado por uma entidade autorizada.
Desta forma, a academia a partir da adoção de uma boa estratégia, busca salvaguardar estes princípios em todos os aspectos, tanto tecnológico, humano, processual, jurídico ou negócio.
1.2 Glossário
CID – Confidencialidade, Integridade e Disponibilidade
CSI – Comitê de Segurança da Informação
EAD – Educação a Distância
PCN - Plano de Continuidade de Negócio
PSI – Política de Segurança da Informação
RH – Recursos Humanos
TI – Tecnologia da Informação
UEF – Universidade Estadual Fictícia
Página 5 de 13
2. Importância da segurança da informação
Com o propósito de limitar a probabilidade de uma ameaça atingir a Confidencialidade, Integridade e Disponibilidade (CID) dos ativos de informações, como fraudes, espionagem, sabotagem, vandalismo, incêndio, inundação, códigos maliciosos, entre outros, a universidade preocupa-se com a segurança das suas informações.
Sendo assim, por meio de esforços contínuos e gerenciados, são criados os alicerces para a proteção dos ativos de informação, assegurando a redução de custo, competitividade, lucratividade, atendimento aos requisitos legais e a imagem da universidade.
2.1 Escopo
A Política de Segurança da Informação consiste em um quadro de referência contendo diretrizes que conduzem a gestão da segurança da informação e aplica-se a todas as unidades e entidades vinculadas a UEF, bem como aos seus servidores, estagiários, consultores externos, professores, alunos, terceirizados e todos os demais usuários que interagem com os ativos de informação da UEF.
A PSI se aplica a todos os formatos onde a informação pode ser apresentada, são eles:
Discurso, falada face a face ou comunicada por telefone, rádio ou televisão;
Impressas ou escritas em papel;
Comunicada por e-mail ou redes sociais;
Armazenada e processada em servidores, desktops, notebooks e dispositivos móveis (ex: smartphones, tablets, PDAs e etc);
Armazenada em qualquer tipo de mídia removível, como CDs, DVDs, Pendrives e câmeras digitais.
2.2 Metas
A Política de Segurança da Informação da UEF têm como objetivo:
Definir as diretrizes para a disponibilização e utilização de recursos de informação, como serviços de redes de dados, estações de trabalho, internet ou correio eletrônico institucional.
Atribuir responsabilidades a determinados cargos quanto a Segurança da Informação.
Contribuir com as iniciativas relativas à Segurança da Informação.
Auxiliar na criação de controles, afim de minimizar riscos.
Página 6 de 13
3. Processos de Segurança da Informação
3.1 Classificação da informação
A atribuição do nível de confidencialidade da informação é de responsabilidade do Gerente de cada área ou setor existente na universidade, onde umas das seguintes classificações devem ser selecionadas:
Pública: é toda informação que pode ser acessada por funcionários da academia, alunos e público em geral;
Interna: é toda informação que somente pode ser acessada por funcionários da universidade;
Confidencial: é toda informação que pode ser acessada somente por áreas ou setores específicos. Pois, trata-se de informações que podem causar impacto ao negócio da universidade, se forem divulgadas sem autorização.
Todas as equipes devem ser orientadas por seus gerentes, a não divulgarem informações e/ou mídias consideradas confidenciais aos não interessados, como também não deixar documentos e mídias com este tipo de classificação em locais de fácil acesso, buscando sempre respeitar o conceito da mesa limpa (Seção 3.15), ou seja, ao seu ausentar da sua mesa de trabalho, não deixar nenhum documento ou mídia sobre suas mesas.
3.2 Gestão de Continuidade de Negócio
Antecipando-se a qualquer eventualidade que possa ocorrer, como desastres naturais, falhas de equipamentos, furto, roubo, falhas humanas, entre outras, o Plano de Continuidade de Negócio (PCN) tem como objetivo manter em funcionamento os serviços e processos críticos da UEF, como por exemplo, o sistema EAD da academia.
O Comitê Gestor de Segurança da Informação é o responsável por definir o PCN, baseando-se em análise de riscos, sendo aprovado logo após ser discutido em reuniões.
3.3 Auditoria
Para assegurar o cumprimento das regras abordadas nesta PSI, avaliações periódicas deverão ocorrer por meio de verificações de conformidade. O processo de auditoria deverá ser realizado por entidades externas, a fim de avaliar a efetividade dos controles aplicados e se os mesmos estão de acordo com as leis e normas locais. As auditorias devem abranger tecnologias, procedimentos, documentos, treinamento e recursos humanos.
O plano e processo de auditoria devem ser criados e apoiados pelo Comitê de Segurança da Informação (CSI) (Capítulo 6), garantindo que todas as partes interessadas estarão cientes dos quesitos que devem ser adotados para a efetividade do cumprimento da política UEF.
Página 7 de 13
3.4 Gestão de Incidente de Segurança
A gestão de incidentes de segurança da informação consiste de um conjunto de atividades que são tratadas e organizadas de forma lógica e que são capazes de eliminar ou diminuir o impacto proveniente de incidentes de segurança. A equipe de TI, sendo responsável por este processo, deverá considerar as seguintes diretrizes:
Os incidentes detectados deverão ser registrados, a fim de manter o registro das atividades desenvolvidas para sua resolução;
Durante a gestão dos incidentes, o tratamento adequado da informação deverá ser realizado para preservar os princípios de segurança, CID.
Havendo ilícitos criminais durante o ano letivo, o CSI deverá acionar autoridades legais competentes para a adoção dos procedimentos julgados necessários.
Ao se tratar de recursos de tecnologia da informação, esta gestão busca restaurar os serviços após eles terem sofrido, por exemplo, mas não se limitando a:
Ameaças naturais ( inundações, incêndios, etc.);
Violações da CID;
Falhas de sistemas de informação;
Ataques cibernéticos.
Normas de Segurança da Informação
3.5 Uso da internet
O acesso à Internet será autorizado para todos os usuários tanto para os que necessitarem da mesma para desempenhar suas atividades profissionais na UEF, bem como para fins particulares, portanto que não afete sua produtividade.
O uso da Internet, assim como o e-mail será monitorado pela Equipe de TI da universidade, sendo capaz de identificar quais usuários estão conectados e por quanto tempo usou a internet e quais páginas foram acessadas.
Para instalações de programas provenientes da Internet, a Equipe de TI deve ser contatada, pois a mesma é a responsável por instalar softwares homologados nos computadores da instituição.
Como a universidade utiliza softwares livres e proprietários quando adequadamente licenciados, os usuários devem estar cientes de que não estão executando ações que possam violar direitos autorais, marcas, licença de uso ou patentes de terceiros.
Ao navegar na Internet, o usuário não poderá visualizar, transferir, nem copiar sites que abordem os seguintes temas:
Conteúdo pornográfico ou relacionados a sexo;
Página 8 de 13
Incitem ou menosprezem determinadas classes;
Que defendam atividades ilegais, como crimes, uso de armas de fogo e explosivos.
3.6 Uso de e-mail
O correio eletrônico fornecido pela UEF é um meio de comunicação interna e externa para realização das atividades programadas no ano letivo. E também poderá ser monitorada pela equipe de TI.
Por o correio eletrônico ser pessoal, todo usuário é responsável pelas mensagens enviadas por seu endereço. As mensagens enviadas não podem:
Conter linguagem ofensiva;
Trazer prejuízos a outras pessoas;
Estar relacionadas a “correntes”, de conteúdos pornográficos ou semelhantes;
Possam prejudicar a imagem da universidade;
Sejam incoerentes com as políticas da universidade.
3.7 Uso de dispositivos computacionais pessoais
Os usuários que tiverem direito ao uso de dispositivos computacionais pessoais (notebooks, tablets, smartphones), ou qualquer outro equipamento computacional, de propriedade da universidade, devem ser conscientes de que:
Os recursos de TI, disponibilizados para os usuários, devem ser usados exclusivamente para atividades profissionais. Poderá ser usada para outros fins, se sua produtividade não for afetada;
A responsabilidade de proteger os recursos computacionais disponibilizados é do próprio usuário;
Cada usuário deve ser responsável por assegurar a confidencialidade, integridade e disponibilidade das informações armazenadas nos equipamentos sobre sua custódia.
O usuário não poderá alterar as configurações do equipamento recebido. Alguns cuidados que devem ser observados:
Fora do trabalho:
É recomendado que o equipamento esteja sempre próximo de você;
Ter cuidado quando estiver usando-o em lugares públicos.
Em caso de furto :
Deverá ser registrada a ocorrência em uma delegacia de polícia;
Página 9 de 13
Comunicado ao seu superior imediato e a Equipe de TI;
Envie uma cópia da ocorrência para a Equipe de TI.
3.8 Proteção de senhas
Quando houver a necessidade de se criar um novo usuário na rede, o setor de origem deste novo usuário deverá comunicar a Equipe de TI por e-mail, informando quais são os tipos de acesso e as restrições daquele usuário. De início, o usuário receberá uma mensagem para criar a sua senha, onde o sistema exige que tenha no mínimo 8 (oito) caracteres alfanuméricos e expiram a cada 45 (quarenta e cinco) dias.
A senha é a única e intransferível, pois cada usuário é responsável por suas ações no sistema que acessam.
3.9 Autorização de recursos computacionais
Softwares disponibilizados para área administrativa, acadêmica e infraestrutura, só poderão ser usados ou instalados nas máquinas e/ou rede da universidade após homologado pela equipe de TI da universidade.
Quando se trata de solicitação de novos programas (“softwares”) ou equipamentos de informática (“hardware”), ela é feita pelo setor de TI, mas o ato da compra é efetuado pelo Setor Administrativo. Não sendo permitido, comprar “hardware” ou “software” diretamente pelos usuários.
3.10 Admissão e Demissão de colaboradores
O Setor de Recursos Humanos (RH) deverá informar ao setor de TI, toda movimentação relacionada à admissão e demissão de colaborares (funcionários, temporários, estágiários e etc), para que este último setor possa cadastrá-los (com usuário e senha) ou excluí-los do sistema da universidade. Isto se ele precisar ter acesso aos recursos de rede da academia durante seu trabalho.
O Setor de RH, deverá sempre passar os maiores níveis de detalhes sobre o acesso do novo contratado, incluindo os direitos e restrições de acesso que o mesmo deve ter. Podendo diferenciar de acordo com o contrato estabelecido.
No caso de demissão, o colaborador deverá entregar todos os pertencentes da instituição, que ficou sobre sua responsabilidade durante o período de trabalho e ainda terá os seus acessos bloqueados, se o mesmo tiver, aos recursos da rede pelo setor de TI. Este bloqueio é feito mediante o pedido do RH.
É de responsabilidade também do RH, dar o conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação da UEF. Nenhum funcionário poderá ser contratado, sem ter expressado sua concordância com esta política.
Página 10 de 13
3.11 Controle contra Códigos maliciosos
Todas as estações de trabalho devem ter um antivírus instalado. As gerências do antivírus, que corresponde a atualizações ou manutenções, são feitas pelo setor de TI. Diariamente as máquinas são verificadas por meio do servidor, garantindo que todo o parque de máquinas esteja livre e protegido contras os códigos maliciosos, conhecidos como malwares.
3.12 Propriedade Intelectual
É de propriedade da universidade todas as criações ou procedimentos desenvolvidos por qualquer funcionário durante o curso de seu vínculo empregatício com a UEF. Com exceção de trabalhos de pesquisas, onde através de um acordo estabelecido o pesquisador pode patentar suas pesquisas.
3.13 Cópias de segurança
A realização de cópias de segurança ("backups") de textos, planilhas, mensagens eletrônicas, documentos, desenvolvidos pelos funcionários, em suas estações de trabalho, e que não sejam considerados importantes para a atividade profissional, é de responsabilidade do usuário.
Para situações, onde as informações são essenciais para a continuidade dos negócios da universidade, o setor de TI disponibilizará um espaço nos servidores onde cada usuário deverá manter estas informações.
3.14 Privacidade e informações pessoais
A UEF se compromete em não manter intencionalmente dados pessoais de funcionários, além do necessário para conduzir o seu negócio.
Todos os Dados Pessoais de Funcionários serão considerados dados confidenciais.
Os dados pessoais de funcionários sobre a responsabilidade da universidade não serão usados para outros fins diferentes daqueles para os quais foram coletados.
Estes dados não serão repassados em hipótese alguma para terceiros, exceto quando exigido pelo negócio e desde que seja mantido a preservação do CID.
3.15 Política de mesa limpa
A política de Mesa Limpa busca resguardar a universidade bem como o próprio usuário contra o acesso não autorizado a informações como, por exemplo, terceiros observando dados expostos em mesas. Por isso, nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em quaisquer dispositivos, eletrônicos ou não.
Página 11 de 13
3.16 Descarte de informações e mídias
Para impedir que as informações confidenciais armazenadas nos equipamentos ou mídias sejam acessadas por agentes externos, é importante que uma conduta do descarte correto de unidades de mídia e equipamentos seja seguida.
A eliminação segura acontece por meio da destruição ou eliminação completa dos dados contidos na unidade de armazenamento, com o objetivo de tornar as informações irrecuperáveis. Esta ação é de responsabilidade do custodiante do ativo de informação.
3.17 Revisão da PSI
A política de segurança deverá ser revisada anualmente. Mas se a partir de algum fato ocorrido, o Comitê de Segurança da Informação julgar necessário, a revisão pode ser antecipada.
4. Requisitos legais
Declara-se que as normas e os processos aqui descritos estão de acordo com os
seguintes requisitos legais:
Classificação Identificação Data de Publicação Assunto
Lei Federal 9.610/1998 19/02/1998 Direito autorial
Lei Federal 12.527/2011 18/11/2011 Lei da transparência
Lei Federal 8.666/1993 21/06/1993 Licitações
Lei Federal 9.279/1996 14/05/1996 Marcas e Patentes
Lei Federal 8.112/1990 11/12/1990 Lei do funcionário público
5. Recursos Humanos
5.1 Processos disciplinares Os funcionários, professores, alunos e terceirizados, caso violem a PSI, estarão sujeitos a ações como: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.
5.2 Termo de ciência e responsabilidade Junto a todos os contratos da UEF deverá ser anexado o Termo de Confidencialidade. A responsabilidade sobre a segurança da informação deve ser comunicada desde processo de contratação dos colaboradores. Desta forma, eles saberão quais são os procedimentos de segurança correto. Ciência comprovada a partir da assinatura do termo de confidencialidade.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos,
Página 12 de 13
a fim de reduzir possíveis riscos. Eles devem assinar um termo de responsabilidade.
A universidade não se responsabiliza por qualquer uso indevido dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências a entidades externas de auditorias para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.
6. Estrutura Organizacional
Coordenador de Segurança da Informação O coordenador de SI é responsável por:
Definir controles para proteger os ativos de informação da UEF;
Promover a conscientização dos colaboradores em relação a importância da segurança da informação para o negócio da universidade, seja através de campanhas, palestras ou treinamentos;
Analisar os incidentes registrados em conjunto com o Comitê de Segurança da Informação;
Realizar avaliações para validar a efetividade dos controles de segurança aplicados.
Comitê de Segurança da Informação Este comitê deve ser composto por altos cargos como diretoria e gerências dos setores da universidade.
O CSI deverá se reunir formalmente pelo menos uma vez a cada três meses. Caso aconteça algum incidente relevante para universidade, as reuniões do comitê podem ser antecipadas.
Em situações que exigem um conhecimento mais técnico específico, especialistas, internos e externos podem ser convidados para apoiarem as decisões na reunião.
As funções desempenhadas pelo CSI são:
Revisar regularmente a PSI;
Avaliar os incidentes de segurança para propor melhorias;
Propor investimentos relacionados à segurança da informação para reduzir impactos ao negócio;
Define as atribuições, atividades e responsabilidades quanto a segurança da informação de cada equipe.
Responsabilidades Gerais São responsabilidades gerais de todos os colaboradores usuários dos recursos de informação da universidade:
Promover a segurança de suas credenciais de acesso;
Página 13 de 13
Utilizar de forma ética, legal e consciente os recursos computacionais disponibilizados;
Aceitar e cumprir as normas e processos definidos na PSI;
Comunicar vulnerabilidades e/ou incidentes de SI quando identificados;
Não divulgar para partes não autorizadas informações confidenciais.
7. Disposições finais
Com o intuito de alinhar a todos sobre a Política de Segurança da Informação, esta última deverá ser divulgada através do site da instituição, na intranet e também por meio de campanhas de conscientização e treinamentos. Desta forma os interessados não poderão negar o não conhecimento da PSI.
