Política de Segurança da Informação e Uso Aceitável

Transcrição

1 Aprovado RH da 1 Política de Segurança da Informação e Uso Aceitável Objetivo: Auxiliar os usuários finais a compreender suas responsabilidades ao acessar as informações armazenadas nos sistemas da ASSA ABLOY e fornecer orientação em torno do uso adequado. 1. Introdução Os principais objetivos desta política são proteger as informações pessoais armazenadas, bem como a confidencialidade, integridade e disponibilidade dos ativos de tecnologia da informação da ASSA ABLOY (software e as informações armazenadas nos sistemas): Confidencialidade Refere-se a assegurar que a informação seja acessível apenas para aqueles que estão explicitamente autorizados a visualiza-la. Integridade Disponibilidade Refere-se a assegurar que a informação seja protegida contra modificações não autorizadas ou inadvertidas para que ela permaneça precisa e completa e possa, portanto, ser confiável para uso na tomada de decisões. Refere-se a assegurar que os sistemas e as informações que eles contêm estejam disponíveis quando o usuário final solicita-las. Para que uma política de segurança seja bem sucedida, todos os usuários finais devem estar conscientes das potenciais ameaças de segurança, as suas responsabilidades no que diz respeito a essas ameaças, e as regras relativas ao uso aceitável da informação. 2. Responsabilidades do Usuário Final As violações de segurança possuem um pequeno número de causas raízes. Isto inclui: senhas roubadas ou fracas (fáceis de adivinhar), o acesso físico às estações de trabalho sem vigilância, o acesso físico às informações detidas fora do sistema (conteúdo impresso, mídia digital) e vírus de computador. Felizmente, existem coisas que os usuários finais podem fazer para atenuar estas ameaças: 2.1 Proteja a sua senha. Nunca divida a sua senha com outra pessoa. Não escreva sua senha em algum lugar. Não use senhas que referem-se a dados pessoais (por ex. nomes de filhos ou sua data de nascimento). Não use senhas que contenham palavras do dicionário. Não digite sua senha quando alguém estiver olhando sobre seu ombro.

2 Nº do documento RH da 2 Se sua senha foi inadvertidamente divulgada, altere-a imediatamente. 2.2 Proteja a sua estação de trabalho. Nunca deixe sua área de trabalho sem fazer logoff ou bloquear sua estação de trabalho. 2.3 Proteja seus programas e informações de vírus. Todos os discos e software externos devem ser verificados em busca de vírus antes de serem utilizados em qualquer máquina que está, ou que será ligada à rede da ASSA ABLOY. 2.4 Proteja as informações que são mantidas fora do sistema. Armazene qualquer mídia digital (CD, disquete, discos rígidos portáteis, etc.), que contêm informações importantes em um local fisicamente seguro quando não estiver em uso. Verifique se o documento que contém informações importantes está protegido contra o acesso não autorizado. Certifique-se de que as informações importantes sejam destruídas quando não forem mais necessárias. 2.5 Comunique imediatamente o seu gerente, a área de Recursos Humanos local, e o Gerente de Segurança da Informação sobre todos os incidentes relacionados com a segurança, incluindo, mas não limitado a: Violações da Segurança ou da Política de Uso Aceitável (todas as atividades suspeitas devem ser comunicadas); As falhas de segurança ou pontos fracos que você descobrir ao acessar os sistemas da ASSA ABLOY; e, Contaminações por vírus de computador. 3. Responsabilidades do Gerente/RH Contas de rede inativas são o principal alvo de hackers e funcionários descontentes. Essa ameaça pode ser minimizada desabilitando imediatamente todas as contas que não são mais necessárias. 3.1 Para os grupos que utilizam os aplicativos da ASSA ABLOY, o gerente e/ou gerente de RH é responsável por notificar imediatamente o grupo de TI responsável quando um indivíduo é demitido, muda de função, ou quando esse indivíduo estará de licença (definida/indefinida) por mais do que 60 dias. 3.2 Para grupos com uma interface eletrônica com os sistemas da ASSA ABLOY, o gerente e/ou gerente de RH deve assegurar que a política e os procedimentos estejam em vigor para garantir 1) que as contas sejam desativadas quando não mais necessárias, e 2) os relatórios de auditoria de segurança possam ser produzidos pelo seu sistema.

3 RH da 3 4. Uso Aceitável Espera-se que os usuários finais exerçam o bom senso para determinar se uma atividade é ou não um uso aceitável dos sistemas da. 4.1 O uso aceitável inclui qualquer acesso ou atividade necessária pelo usuário para realizar os deveres e responsabilidades de sua função. 4.2 O uso inaceitável inclui qualquer atividade que seja uma violação direta ao Código de Conduta da empresa ou outras atividades incluídas, mas não limitadas ao seguinte: Divulgar informações confidenciais a indivíduos ou organizações sem autorização formal ou por escrito para possuir essa informação; Visualização ou distribuição de arquivos de dados pertencentes a outro usuário, a menos que especificamente autorizado a fazê-lo, independentemente se uma falha de segurança no sistema pode permitir isso (a capacidade de acessar informações não implicitamente concede a permissão para visualizar essa informação); Leitura de arquivos de informação de outro usuário a partir de um terminal de exibição, como documento impresso ou de uma mídia magnética sem a permissão explícita do usuário; Solicitar ou tentar aprender a senha de outra pessoa; Usar ou tentar usar a conta de outra pessoa; Utilizar sistemas de computador do departamento como um canal para tentativas de acesso não autorizado em sistemas de computadores remotos; Tentativa de interceptar, bloquear, descriptografar ou espionar qualquer mensagem eletrônica dirigida a outra pessoa; e Desenvolver, transferir ou utilizar programas que tentam contornar os mecanismos de segurança ou descobrir falhas de segurança. 4.3 Atividades de e comunicação: Ao usar os recursos da empresa para acessar e usar a Internet, os usuários devem ter a consciência de que eles representam a empresa. O envio de mensagens não solicitadas por , incluindo o envio de "lixo eletrônico" ou outro material publicitário para pessoas que não especificamente solicitem tal material (spam). Qualquer forma de assédio via , telefone ou radiomensagem, independentemente da linguagem, frequência, ou tamanho das mensagens. Uso não autorizado ou falsificação das informações de cabeçalho do . Solicitação de para qualquer outro endereço de que não seja da conta do remetente, com a intenção de assediar ou para coletar respostas. Criação ou encaminhamento de "correntes", "Ponzi" ou outros esquemas de "pirâmide" de qualquer tipo. 4.4 Blogs e Mídia Social: A utilização de blogs por funcionários, seja através do uso de propriedade e sistemas da

4 ASSA ABLOY América ou sistemas de computadores pessoais, também está sujeita aos termos e restrições estabelecidas na presente Política. O uso limitado e ocasional dos sistemas da ASSA ABLOY América para envolver-se

5 RH da 4 com blogs é aceitável, desde que seja feito de forma profissional e responsável, não viole a política da ASSA ABLOY, não seja prejudicial aos melhores interesses da ASSA ABLOY Américas, e não interfira nas obrigações de trabalho regulares do funcionário. A utilização de blogs sobre os sistemas da também está sujeito a monitoramento. A política de Informações Confidenciais da também se aplica aos blogs. Como tal, os funcionários estão proibidos de revelar quaisquer informações confidenciais ou exclusivas da ASSA ABLOY América, segredos comerciais ou qualquer outro material coberto pela política de Informações Confidenciais da ASSA ABLOY América quando estiverem envolvidos em blogs. 4.5 Atividades na Internet: O uso inaceitável da Internet pelos funcionários inclui, mas não está limitado a: Envio ou postagem de mensagens ou imagens discriminatórias, vexatórias, ameaçadoras na Internet ou através do serviço de da ASSA ABLOY América Usar computadores para cometer qualquer forma de fraude e/ou software, filme ou a pirataria de música Roubar, usar ou divulgar a senha de outra pessoa sem autorização Fazer download, copiar ou piratear software e arquivos eletrônicos que são protegidos por direitos autorais ou sem autorização Compartilhar material confidencial, segredos comerciais ou informações exclusivas fora da empresa Hackear sites da web não autorizados Enviar ou postar informações que sejam difamatórias para a empresa, seus produtos / serviços, colegas e/ou clientes Introduzir um software malicioso na rede da empresa e/ou pôr em risco a segurança dos sistemas de comunicações eletrônicos da empresa Enviar ou postar mensagens em cadeia, solicitações, ou anúncios não relacionados aos fins comerciais ou atividades Fazer comentários pessoais como se eles representassem a opinião da empresa 5. Monitoramento e Aplicação A ASSA ABLOY tem a capacidade de monitorar o uso do sistema individual através do uso de registros e outras ferramentas de monitoramento. Com o interesse de fazer cumprir as políticas de segurança e uso aceitável, a empresa reserva-se o direito de empregar qualquer ferramenta ou atividade necessária para a monitoração, auditoria e, se necessário, controlar o acesso dos usuários finais ao sistema. A ASSA ABLOY reserva-se o direito de tomar uma ação disciplinar adequada, até incluindo a demissão por descumprimento desta política.

6 RH da 5 6. Comunicação da Política Esta "Política de Uso Aceitável" destina-se a tornar os usuários finais conscientes das suas responsabilidades ao acessar as informações armazenadas nos sistemas da ASSA ABLOY. Este documento deve ser disponibilizado a todos os funcionários que receberam o acesso de usuário. Espera-se que o conteúdo da política seja revisto com os usuários finais regularmente (ou seja, anualmente). Esta versão da política substitui qualquer versão anterior da política em formato escrito e eletrônico.