INSTRUÇÃO DE TRABALHO POLÍTICA DE SEGURANÇA DAS INFORMAÇÕES

Transcrição

1 FOLHA 1/6 1. Objetivo: As políticas relacionadas neste documento visam regulamentar a utilização dos meios eletrônicos de comunicação, estabelecendo diretrizes em relação a aspectos de segurança de sistemas, controle de acessos e critérios de utilização de software e hardware, que está sob a responsabilidade e fiscalização da Área de TI. A liberação dos acessos e equipamentos pelos colaboradores é de responsabilidade do seu respectivo gestor. A empresa se reserva o direito de auditar e restringir a utilização de seus recursos, visando assegurar o rígido cumprimento desta política. O descumprimento das políticas aqui descritas pode resultar em bloqueio de utilização dos recursos por tempo determinado ou mesmo indefinido, seguido ou não das penalidades trabalhistas a serem aplicadas pela área de recursos humanos. A presente Política de Segurança das Informações poderá ser modificada ou adaptada, a qualquer tempo, conforme as necessidades, exigências ou conveniências da Empresa, a seu exclusivo critério, entrando em vigor no momento de sua divulgação interna. Quaisquer questões ou dúvidas deverão ser encaminhadas ou formuladas através do Americas.servicedesk@assaabloy.com 2. Documentos / Sistemas: A empresa fornecerá aos empregados ou colaboradores, no ato da admissão ao trabalho ou durante o curso do contrato de trabalho, cópias da presente norma, através da Termo de Responsabilidade, devendo os mesmos declarar o recebimento, ciência e concordância com as regras de conduta expostas nesta política. Independentemente disto, a empresa manterá disponível em intranet o texto integral da política de segurança das informações. 3. Procedimento 3.1 Acessos (Concessão, Revisão e Política) Os sistemas de acesso aos meios eletrônicos de comunicação são de propriedade da Empresa e seu uso estará automaticamente sujeito ao cumprimento das diretrizes estabelecidas na presente Política e de todos os dispositivos legais aplicáveis. O acesso não será concedido nos casos em que não haja infraestrutura de comunicações compatível. Os acessos são divididos em cinco (Rede, Correio Eletrônico, Sistemas, Internet e Telefonia), sendo que para uso da rede, correio eletrônico e sistemas é obrigatório ter um usuário cadastrado. Para acesso ao sistema Datasul, com exceção de pessoa jurídica e prestadores de serviço, é necessário o RE, que é fornecido pelo Departamento Pessoal Concessão A concessão de cada acesso só poderá ser feita mediante solicitação do Gestor da Área ou por quem ele delegar esta função, através do Americas.servicedesk@assaabloy.com, contendo, no corpo da mensagem, a identificação do funcionário (se for o caso), como nome completo e RE, e o detalhamento da solicitação da liberação dos recursos. Na ausência do mesmo a concessão do acesso deverá ser feita pelo seu Natureza das modificações: Elaborado por: Erison Lima Aprovado por: Danilo Barbosa EMISSÃO: 20/04/2018 REVISÃO: 0

2 FOLHA 2/6 superior hierárquico. Observações: Datasul - caso não seja solicitada a cópia das permissões de outro usuário, ou não for definido o (s) grupo (s) de acesso, será criado o usuário sem permissões, devendo o gestor ou a quem ele delegar, definir os acessos através do programa ESSEC0001 ou através de solicitação enviada para Americas.servicedesk@assaabloy.com Internet - para os sites que estiverem bloqueados, o usuário deverá solicitar a liberação ao seu gestor e o mesmo deverá encaminhar o com a confirmação para o Americas.servicedesk@assaabloy.com. Telefonia - caso o gestor conceda um ramal, o mesmo deverá especificar quais tipos de ligação poderão ser feitas, dentre elas: fixo, celular, interurbano, celular interurbano e internacional Revisão Eventuais ausências prolongadas de um usuário ou a demissão do mesmo deverão ser prévia e formalmente comunicadas pelo seu superior hierárquico à área de TI, pelo Americas.servicedesk@assaabloy.com, para que sejam bloqueados os acessos e/ou tomadas outras providências técnicas. A omissão da comunicação, na ausência ou demissão, implica na responsabilização do usuário e, nos casos em que couber, solidariamente do Gestor por qualquer dano causado pelo usuário. No Datasul o programa ESSEC0001 permite que o gestor gerencie os acessos em seu módulo. Além da concessão das permissões o programa permite que o gestor, ou por quem ele delegar, possa revisar as permissões dos usuários, removendo ou incluindo quando necessário. O mesmo pode optar por aprovar todas as liberações que foram feitas por quem ele delegou esta função, ou que esta pessoa já efetue a liberação/remoção efetiva das permissões. Obs: Existem programas que necessitam a liberação da TI, como alguns programas de parametrização ou outros críticos para o sistema. Neste caso, mesmo com a liberação do gestor, o usuário deverá aguardar a liberação pela TI dos mesmos Política de acesso - Está proibida a instalação, alteração ou remoção de programas, drivers, e configurações do hardware. - São disponibilizadas três áreas no servidor denominadas pasta pessoal, pasta do setor e pasta pública/comum. Na pasta pessoal devem ser gravados os arquivos pessoais (relacionados ao trabalho), onde só o usuário tem acesso, na pasta setor, onde todos os documentos ligados ao seu trabalho devem ser salvos e na pasta pública apenas documentos, não confidenciais, que precisam ser compartilhados com todas as áreas. Diariamente é realizada uma rotina de backup dos dados das pastas Pessoais, Setores e Público/Comum do servidor, fica a cargo do usuário a manutenção e limpeza de seu conteúdo. Pode haver mais pastas no servidor, do que as informadas, para atender as necessidades diversas. *Obs: Poderá haver outras áreas disponibilizadas no servidor, mapeadas com outras letras. As mesmas fazem parte da rotina de backup de dados. - O usuário deve salvar todas as informações no servidor. A área de TI não se responsabiliza por arquivos salvos em outro local fora do informado. - O servidor de arquivos e de bloqueia automaticamente tipos de arquivos executáveis, arquivos anexados (exemplo:.mpeg,.mp3,.exe,.wmv., wma,.avi,.mpg,.scr,.exe,.bat,.pif,.cmd,.bat, etc.) e sites de origem duvidosas. 3.2 Senhas de Acesso

3 FOLHA 3/6 As senhas de acesso ao sistema são de inteira responsabilidade do usuário, devendo as mesmas ser alteradas a cada 90 dias. As senhas de acesso fornecidas ao usuário pela área de TI são de uso pessoal e intransferível, não podendo ser compartilhadas de forma alguma. Os usuários têm o dever de garantir a segurança e sigilo dos dados sob sua responsabilidade: quando ausentes de sua estação de trabalho devem manter os acessos ao Sistema fechados e sua senha de rede desconectada. 3.3 Regras de Conduta O fornecido ao usuário é de propriedade da Empresa e deve ser utilizado exclusivamente para o trabalho. Em razão disso não são consideradas sigilosas as comunicações recebidas e encaminhadas para o endereço fornecido pela Empresa. A área de TI da Empresa poderá monitorá-lo a fim de preservar sua boa utilização, assim como, poderá encaminhar, ou fornecer, uma cópia das mensagens, conforme solicitação do Gestor. O uso do Correio Eletrônico, para manter os níveis mais altos de produtividade, qualidade e atualização tecnológica, deverá sempre estar de acordo com as diretrizes estabelecidas na, presente Política, restringindose ás atividades relacionadas com os negócios/serviços da Empresa. Os usuários devem se conduzir adequadamente no seu uso, respeitando regras de conduta e cortesia profissional e pessoal lembrando que o bom senso de cada um é primordial para a boa utilização das ferramentas disponíveis. A Internet e o Correio Eletrônico, gerado, transmitindo ou armazenado mediante utilização das contas e dos sistemas de acesso da Empresa não poderão ser utilizados para: Enviar ou armazenar mensagens ou arquivos anexados, contendo textos, imagens ou outras mídias, de conteúdo abusivo, obsceno, difamatório, discriminatório, étnico/racial, religioso, sexual, opiniões ou comentários ideológicos ou políticos, ou qualquer material que possa trazer má publicidade ou constrangimento à Empresa ou funcionários Participar ou promover mensagens do tipo 'correntes Acessar sites de bate-papo e comunicadores instantâneos, como o MSN, Google Talk, Skype e outros existentes e que vierem a surgir Violação de intimidade ou privacidade Violação de quaisquer direitos relacionados á propriedade intelectual Violação de dispositivos legais que disponham sobre sigilo, confidencialidade e segurança Acessar sites de redes sociais, como o Orkut, Facebook, LinkedIn, Twiter, MySpace, Netlog, Sonico, Bebo,Hi5 e outras redes sociais existentes e as que vierem a surgir Acessar sites de compartilhamento de imagens ou vídeos, como o Youtube, Google Video, Picasa, Flickr e outros novos sites de compartilhamento de imagens ou vídeos, bem como FotoLogs e VideoLogs A utilização das redes sociais, comunicadores instantâneos e compartilhamento de imagens é permitida

4 FOLHA 4/6 nos computadores da biblioteca, durante o horário de funcionamento da mesma, desde que o recurso acessado não prejudique o desempenho geral da rede da Assa Abloy Brasil, não sendo admitido acesso a sites de conteúdo que afetem os bons costumes ou transgridam as regras de conduta no ambiente de trabalho. A disponibilidade de um site ou endereço da internet não significa que o mesmo pode ou deve ser acessado no local de trabalho, não eximindo assim o usuário da responsabilidade pelo acesso a sites ou endereços vetados por este regulamento, cujo descumprimento poderá gerar a penalização descrita nas considerações iniciais deste documento. Faça valer essas regras lembrando que a relação supra não é exaustiva, devendo sempre ser observados todos os dispositivos legais aplicáveis ao uso dos meios eletrônicos de comunicação. 3.4 Vírus A manutenção da proteção antivírus é de responsabilidade da área de TI, devendo sempre estar atualizada pelo servidor para que os arquivos sejam verificados em tempo real. - Não abra s de pessoas estranhas ou s que contenham arquivos anexados que você desconhece ou não solicitou. - Não execute nenhum arquivo anexado se não souber o que é ou quem mandou, pois, pode conter vírus. - É necessário informar à área de TI, pelo Americas.servicedesk@assaabloy.com, quando suspeitar que seu antivírus não está instalado ou apresentar a cor vermelha, indicando que não está recebendo mais atualizações. 3.5 Armazenamento Mensagens importantes, enviadas ou recebidas por correio eletrônico, devem ser gravadas individualmente no servidor e revisadas periodicamente antes de serem permanentemente apagadas. Os usuários são responsáveis pela manutenção de sua caixa postal, apagando qualquer mensagem desatualizada ou desnecessária e transferindo para o servidor as informações que devem ser retidas. Não são feitos backups automáticos das caixas de , o usuário poderá solicitar pelo Americas.servicedesk@assaabloy.com uma cópia das informações em uma mídia, respeitando os recursos disponíveis pela TI. 3.6 Medidas de Controle A TI poderá acessar a máquina remotamente ou presencialmente, a qualquer momento, para utilizar uma ferramenta de auditoria e verificar se os programas estão licenciados. Programas não autorizados serão desinstalados. Programas cedidos pelo governo ou repartições públicas estão autorizados a utilização, desde que sejam previamente comunicados. Se você tiver alguma dúvida, por favor, comunique-se com a área de TI via Americas.servicedesk@assaabloy.com. Devido ao grande número de mensagens não solicitadas (SPAM), mensagens enviadas automaticamente por vírus ou mensagens de caráter distante do interesse profissional, a empresa adota uma política com regras de bloqueio baseadas em palavras contidas nas mesmas, por tipo de extensão de arquivos, por origem duvidosa e outros. O uso indiscriminado do correio eletrônico aumenta os custos com recursos e manutenção.

5 FOLHA 5/6 3.7 Conduta de Utilização dos microcomputadores Não é permitida ao usuário a modificação, locomoção ou transferência de departamento dos equipamentos abaixo, sem a prévia notificação, análise de estrutura e aprovação dos mesmos pela área de TI: - Microcomputador - Impressora - Monitor - Estabilizador/Nobreak Não é permitido ao usuário abrir, alterar ou fazer qualquer tipo de manutenção ou modificação nos equipamentos de informática. Esse tipo de atividade somente é autorizado à Área de TI. Não é permitida a retirada de equipamentos de informática da empresa para uso pessoal. 3.8 Entrada de Equipamentos Particulares É proibida a entrada de equipamentos de informática particulares sem a prévia autorização da área de TI e notificação, por escrito, ao Departamento de Segurança Patrimonial informando o tipo, modelo e número de série, bem como a finalidade de uso do mesmo na empresa. Em caso de suspeita pelo usuário responsável por sua estação de trabalho, de possíveis invasões ou uso indevido de sua senha, o fato deverá ser imediatamente comunicado a área de TI, pelo Americas.servicedesk@assaabloy.com, que efetuará o rastreamento e a regularização da anomalia constatada. 3.9 Software e Programas Qualquer duplicação de software licenciado, exceto para cópia de segurança (back-up preventivo), constitui violação da Lei do Software e demais legislações aplicáveis à matéria, sendo passível de punição. Cada cópia de programa que a Empresa possui, pode ser instalada de acordo com a licença adquirida. O licenciamento por volume permite que uma única chave seja utilizada para mais de uma instalação, limitando-se à quantidade de licenças adquiridas. Caso o seu departamento necessite de algum software não viabilizado pela área de TI, faça uma requisição para à área de TI, pelo papaiz@webdesklw.com.br, que após análise, encaminhará a viabilidade e especificação do mesmo, para que a área solicitante realize a rotina de compra. Nenhum funcionário está autorizado a instalar ou fazer cópias de softwares, ou ainda, utilizar programas não disponibilizados pela área de TI. Os programas que a Empresa utiliza para controle interno, ou seja, programas de rede e os terminais, não deverão ser usados de modo indevido. Continua expressamente proibido qualquer funcionário copiar, alterar ou instalar um software sem autorização e acompanhamento da Área de TI, ou ainda, ceder softwares a terceiros, assumindo assim responsabilidade pessoal por tais atos Privacidade A Empresa respeita a privacidade pessoal de seus funcionários. Contudo, considerando que os sistemas de acesso e demais ferramentas relacionadas aos meios eletrônicos de comunicação, de propriedade da Empresa, são disponibilizados aos funcionários em decorrência de suas atividades profissionais, a serem desenvolvidas em benefício da Empresa, esta se reserva o direito de monitorar, acessar, analisar, revisar, liberar, fazer backup dos arquivos e de informações do correio eletrônico, mensagens instantâneas, chamadas telefônicas de seus funcionários a seu exclusivo critério.

6 FOLHA 6/6 Os funcionários devem estar cientes de qualquer arquivo e/ou informação gerado, transmitido, recebido ou armazenado em sistemas e/ou que se utilizem dos meios eletrônicos da Empresa, são controlados e acessíveis pela Empresa a qualquer tempo, para manutenção, atualização, verificação da correta adoção pelos funcionários da, presente Política, ou quaisquer outros propósitos de caráter operacional ou legal. A Empresa permite o uso pessoal eventual dos meios eletrônicos de comunicação, reservando-se o direito de, a qualquer momento, monitorar, acessar, analisar, revisar, liberar, fazer backup e inspecionar todo o material criado, transmitido ou armazenado, quando assim julgar conveniente, a fim de que as atividades da Empresa sejam melhor desenvolvidas e visando, acima de tudo, a proteção da Empresa e de seus funcionários contra o uso inadequado dos meios eletrônicos de comunicação Vigência A presente norma está em vigor desde janeiro de 2004, tendo sido atualizada a partir do dia 01/03/2013. INFORMAÇÕES CONFIDENCIAIS Por Informações confidenciais, entende-se todo o conteúdo que, por sua natureza, deva ser de conhecimento restrito, e não deverão ser reveladas a pessoas desautorizadas, pelos meios eletrônicos, sem expressa autorização do(s) proprietário(s) da informação confidencial, seja qual for a sua natureza. De forma geral, as informações confidenciais somente devem ser transmitidas por meios eletrônicos se o emitente estiver seguro de que a mensagem estará protegida por sistemas de segurança, entendendo-se estes últimos por sistemas que se utilizam de métodos lógicos, sigilosos e controlados por chaves, para tratamento de dados e informações, o qual torna a escrita inteligível, de forma a impedir ou dificultar o seu conhecimento por pessoa não autorizada. Caso contrário a mensagem não deverá ser enviada. Os dados armazenados nos meios eletrônicos e Servidores da Empresa são confidenciais e para uso exclusivo da Empresa e de seus clientes, estando vedadas cópias de arquivos, documentos e dados existentes, bem como a transferência ou qualquer forma de divulgação dos mesmos a terceiros. CUIDADOS AO ENDEREÇAR UMA MENSAGEM ELETRÔNICA Os usuários de correio eletrônico devem observar com cautela o correto endereçamento de mensagens eletrônicas aos seus destinatários, pois um pequeno erro ao digitar um nome ou endereço pode entregar a mensagem ao destinatário errado. Por exemplo, margareth@assaabloy.com não deve ser o mesmo destinatário de margarete@assaabloy.com. A falta de cuidados ao endereçar uma mensagem eletrônica poderá expor a Empresa e seus colaboradores a ações judiciais e demais procedimentos pertinentes à falta eventualmente cometida. Caberá aos colaboradores diligenciarem com prudência o endereçamento de mensagens eletrônicas. MENSAGENS ELETRÔNICAS RECEBIDAS EM ERRO Se uma mensagem eletrônica é enviada de forma errada ou é enviada como resultado de erro de endereçamento, deve-se atentar ao fato do receptor reenviá-la imediatamente ao correto destinatário, se conhecido, ou devolver a mensagem ao emitente explicando que a mensagem não lhe pertence. Esta regra é aplicada a mensagens eletrônicas recebidas de qualquer fonte. Caso exista algum problema com a mensagem que seja impeditivo do receptor reenviá-la ao correto destinatário ou mesmo ao seu emitente, a mensagem deverá ser encaminhada para a área de TI para que esta possa tomar as providências cabíveis. Por outro lado, se o emitente de uma mensagem eletrônica verificar que houve a entrega de uma mensagem a destinatário diverso do pretendido, deverá imediatamente comunicar o erro ao destinatário diverso, solicitando que este desconsidere e apague a mensagem, mantendo em confidencialidade o conteúdo desprezado.