Utilização do Ambiente de T.I. NORMA DE UTILIZAÇÂO DO AMBIENTE DE T.I.

Transcrição

1 Página 1/14 NORMA DE UTILIZAÇÂO DO AMBIENTE DE T.I. 1

2 Página 2/14 Sumário 1 Histórico de revisão Objetivo Aplicação Conceitos Responsabilidades Principios Gerais Gestão da tecnologia Uso de recursos de tecnologia da informação Controle de acesso logico e identidade digital Dispositivos móveis Mídias sociais Monitoramento e inspeção Seleções e contratações Capacitação e publicidade Violações e penalidades Anexos Aprovações

3 Página 3/14 1. HISTÓRICO DE REVISÃO Nº revisão Data da revisão Descrição da alteração Emitente Revisor Aprovador 0 01/03/2016 Emissão inicial Henrique Martins Henrique Martins José Lucio 3

4 Página 4/14 2. OBJETIVO Estabelecer os princípios da gestão de Tecnológica da Informação (TI) da Energia Sustentável do Brasil (ESBR) em relação aos ativos intangíveis e os Recursos de TI, devendo estes ser cumpridos por todos os empregados da ESBR. 3. APLICAÇÃO Deve ser cumprida por todos os seus empregados que venham a ter acesso e/ou utilizam as informações e/ou os Recursos de Tecnologia da Informação, inclusive por aqueles que desempenhem atividades profissionais ou de prestação de serviços em seu proveito. Dúvidas e questões relacionadas a este documento deverão ser encaminhadas ao ti@energiasustentaveldobrasil.com.br 4. CONCEITOS Desktop: microcomputador utilizado localmente, fixo em seu local de trabalho. Hardware: equipamento eletrônico ligado à informática seja um microcomputador ou periférico. Notebook: computador portátil, de fácil transporte, que pode ter a mesma capacidade de um desktop. PC: todo microcomputador de uso dos funcionários da ESBR. Periférico: equipamento conectado a um microcomputador que desempenha uma ou mais funções auxiliares. Pirataria de software: é a prática de reproduzir ilegalmente um programa de computador, sem a autorização expressa do titular da obra e, consequentemente, sem a devida licença de uso. Termo de Responsabilidade pela Guarda e Uso do Equipamento de Trabalho: Documento assinado pelo usuário no qual o mesmo de responsabiliza pelos recursos de TI recebidos para o desempenho de suas atribuições. 4

5 Página 5/14 Controle de Obsolescência controle da garantia dos equipamentos, bem como o fim da vida útil do mesmo. Esta norma cita este controle, mas sua descrição detalhada será descrita em norma especifica sobre o assunto. 5. RESPONSABILIDADES 5.1 ia Executiva Aprovar a Política de Segurança da Informação. Aprovar as diretrizes específicas, orientar e acompanhar o estabelecimento e a observância dos processos, controles, modelos, padrões e ferramentas necessários à sua implementação e analisar as questões específicas apresentadas pelos empregados da Empresa. Promover de forma eficaz a divulgação e a capacitação sobre segurança de informação na Empresa. 5.2 Gerência de Tecnologia da Informação Definir com as demais áreas da Empresa os requisitos de segurança da informação e os controles adequados para a proteção das informações e Recursos de TI da Empresa. Suportar a Auditoria Interna na avaliação periódica de sistemas e equipamentos, com o intuito de verificar o cumprimento desta Política e demais instrumentos regulamentares a ela relacionados. Treinar os novos funcionários no processo de integração, a fim de divulgar a cultura de segurança digital da ESBR Manter atualizado inventário dos Softwares e Hardwares instalados nos computadores da ESBR. Controlar a instalação de Softwares e novos equipamentos. Fornecer os Softwares Básicos para a execução das rotinas genéricas de trabalho. Controlar as Licenças de Uso de Softwares da empresa. Fornecer avaliação técnica dos equipamentos. Aprovar a compra e configuração de novos hardwares e softwares Instalar e configurar novos hardwares. 5

6 Página 6/14 Controlar a obsolescência de PC s, e notebooks trocando-os quando for necessario Liberar o uso de softwares e hardwares. 5.3 Gestor Responsável pela Área ou Gerência Os Gestores são responsáveis por orientar e capacitar constantemente suas equipes quanto ao uso ético, seguro e legal dos Recursos de TIC e dos valores adotados pela Empresa, instruindo-os, inclusive, a disseminar a cultura para os demais empregados. Também, deverão suportar todas as consequências pelas funções e atividades que delegarem a outros empregados. Assegurar o cumprimento desta Norma e demais regulações por parte dos empregados supervisionados. Participar da investigação de incidentes de segurança relacionados às informações, Recursos de TI e empregados sob sua responsabilidade. Definir as necessidades de novos Softwares e Hardwares. Prover recursos para aquisição de novos Softwares e Hardwares. Somente utilizar softwares que possuam as devidas Licenças de Uso providas por TI. Software sem licença caracteriza a pirataria de software. Assegurar o uso de material de consumo ou de reposição originais indicados pelo fabricante. Assegurar que os equipamentos de terceiros/visitantes sejam verificados pela Gerência de T.I. antes da conexão na rede ESBR. 5.4 Auditoria Interna Suportar a segurança das informações e dos Recursos de TI orientando quanto à adoção de controles necessários para tratar os riscos identificados durantes os trabalhos da auditoria. Analisar e revisar de forma independente o emprego dos controles de segurança da informação praticados na Empresa. 6

7 Página 7/14 Permitir o acesso aos relatórios de monitoramento somente aos empregados autorizados e de forma segura,(arquivo protegido por senha). Ainda, deverá orientar os empregados autorizados a manter a confidencialidade dos dados e informações acessados. 5.5 Empregados em geral É da responsabilidade de cada empregado zelar pelo segurança e conservação, dos recursos fornecidos pela ESBR para o desenvolvimento de seu trabalho. Quando ocorrer algum problema e ou defeito o funcionário deve imediatamente solicitar o apoio da área de TI. Cumprir e manter-se atualizados com relação a esta Política e as demais Normas relacionadas, através do uso responsável, profissional, ético e legal dos Recursos de TI corporativos, respeitando os direitos e as permissões de uso concedidas pela ESBR. Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizados pela ESBR. Reportar imediata e formalmente qualquer caso comprovado, passível de comprovação ou cuja suspeita seja fundamentada de descumprimento desta Política, para o seu Gestor imediato ou para os pontos focais de Segurança da Informação, sob pena de sua conduta ser considerada omissa, negligente ou conivente. É vedado o acesso externo aos sistemas corporativos, intranet e , exceto aos cargos de confiança (es, Gerentes e coordenadores). Os demais cargos somente poderão ter o acesso externo mediante solicitação formal do Gestor imediato, com aprovação de seu respectivo, em conjunto com a de Recursos Humanos irão analisar a necessidade e a forma desta concessão. 6. PRINCIPIOS GERAIS A ESBR envida seus melhores esforços, conforme o estado atual da técnica, para que os ambientes dos sistemas e processos que suportam os Recursos de TI 7

8 Página 8/14 corporativos sejam confiáveis, íntegros e disponíveis a quem deles necessite para execução de suas atividades profissionais. Todos os processos da Empresa devem estar mapeados e os Recursos de TI corporativos devidamente inventariados, identificados conforme o Gestor responsável e livres de vulnerabilidades e ameaças à segurança da informação, sendo assim: Toda necessidade de Software e Hardware deve ser comunicada previamente ao departamento de T.I. para que seja verificado: o o o Alternativas de softwares e hardwares; Disponibilidade em outros departamentos Adequação ao uso corporativo. A compra de notebooks, telefone celular e modem está autorizada para cargos de confiança, conforme a norma de gestão de Recursos de comunicação e Informática. Os softwares deverão ser adquiridos no mercado nacional, devido a lei de proteção de software. A exceção será somente para os softwares que não possuírem representantes no Brasil, neste caso, após a compra os softwares deverão passar por um processo de nacionalização. Com exceção dos es e Gerentes, nenhum funcionário pode conectar equipamentos pessoais a rede da ESBR. Ocorrendo a necessidade excepcional, esta deverá ser solicitado formalmente pela gerencia imediata a gerencia de T.I. 6.1 Gestão da Tecnologia A ESBR deve definir e manter um processo de salvaguarda das informações e dos Recursos de TI críticos para Empresa, a fim de atender aos requisitos do negócio, operacionais e legais e assegurar a continuidade dos negócios em caso de falhas ou incidentes. 8

9 Página 9/ Cabe a Gerência de TI, realizar o periodicamente backup do conteúdo disposto na Rede, em intervalos definidos e programados conforme norma de backup. Todas as modificações nos Recursos de TI da Empresa devem ser realizadas de maneira controlada, conforme um processo de gestão de mudanças definido para identificar os possíveis riscos e impactos para Empresa, além de possibilitar a restauração do ambiente original em caso de incidentes não previstos Cabe a Gerência de TI, manter o inventário sempre atualizado, além de registrar, no mínimo, a identificação do Recurso de TI, a sua descrição e o Gestor responsável O desenvolvimento interno e a aquisição de sistemas e produtos no mercado devem atender aos requisitos de segurança para assegurar a aplicação dos controles necessários em todas as etapas dos processos a fim garantir a confidencialidade, integridade, legalidade, autenticidade e disponibilidade das informações. 6.2 Uso de Recursos de Tecnologia da Informação Softwares e Hardwares: O empregado deve utilizar apenas softwares e hardwares previamente homologados e autorizados pela ia de TI da ESBR, sejam eles onerosos, gratuitos, livres ou licenciados, respeitando os direitos de propriedade intelectual e industrial da Empresa e de terceiros Uso dos Recursos de TI: A utilização dos Recursos de TI da Empresa deve considerar a adoção de medidas de proteção contra ameaças externas e do meio ambiente É de responsabilidade do Departamento de TI, o controle da obsolescência, bem como a reposição dos recursos de TI quando estes forem necessários. Os custos da reposição de obsoletos quando necessários serão alocados na área onde o recurso estiver alocado É proibido aos empregados da ESBR, visualizar, acessar, efetuar o download (baixar arquivos) ou upload (transmitir arquivos), utilizar, instalar, armazenar, divulgar ou repassar qualquer material, conteúdo, ou recurso ilícito, 9

10 Página 10/14 impróprio, obsceno, pornográfico, difamatório, ofensivo, discriminatório, que atente à moral e aos bons costumes, que viole a boa-fé ou que não seja compatível com as diretrizes e interesses da Empresa Todo o processo de manutenção, instalação, configuração, desinstalação, substituição ou remanejamento dos Recursos de TI da Empresa deve ser realizado exclusivamente pela Gerência de TI, a fim de garantir o correto manuseio do recurso e da informação. 6.3 Controle de Acesso Logico e Identidade Digital Controle de Acesso Lógico: Para fins de acesso às informações e aos Recursos de TI da ESBR, será fornecida uma identidade digital de uso individual e intransferível ao empregado, conforme o modelo de identificação e autenticação estabelecido pela Empresa, podendo abranger crachá, login, senha, token, certificado digital, uso de biometria e outros recursos que venham a ser implementados Identidade Digital: O empregado é responsável pelo uso e pela segurança de sua identidade digital, devendo ser tratada de forma confidencial, individual e exclusiva, não compartilhando, divulgando ou transferindo a terceiros. Qualquer incidente realizado através da sua Identidade Digital do empregado da ESBR é de sua inteira responsabilidade, por isso o compartilhamento desta identidade digital e sua senha são expressamente proibidos Concessão de Acesso: O acesso às informações e Recursos de TI da ESBR está baseado no conceito de que o empregado só pode acessar as informações ou fazer uso dos Recursos de TI corporativos necessários para o desenvolvimento de suas atividades profissionais. Todo tipo de acesso à informação que não for previamente autorizado deve ser considerado expressamente proibido. Todo empregado só pode acessar as informações ou fazer uso dos Recursos de TI corporativos necessários para o desenvolvimento de suas atividades profissionais de acordo com a função e cargo exercidos. 10

11 Página 11/ Dispositivos Móveis Segurança e Mobilidade: O empregado deverá utilizar dispositivo de mobilidade, independente se corporativo ou particular, por meio de ambientes seguros de conexão, especialmente quando estiver em deslocamento, além de portar informações em dispositivos com aplicação de métodos adequados de autenticação, controle de acesso, bloqueio por senha, podendo ainda fazer uso de mecanismos de criptografia devidamente homologados e autorizados pela ESBR Mobilidade: Não implicará em sobrejornada, sobreaviso ou plantão do empregado a mera possibilidade de acesso remoto ou recebimento de informações relacionadas ao trabalho fora do horário do expediente, bem como eventual porte ou uso dos dispositivos de mobilidade fornecidos pela ESBR ou particular, quando utilizados para finalidades profissionais, pois estes permanecem ativos ou disponíveis independentemente da vontade do empregado ou comando da Empresa. Assim, as atividades desempenhadas fora do expediente normal dependerão de comprovação expressa de requisição de trabalho em registros adequados para serem remuneradas Armazenamento de Informações: Os empregados devem manter todas as informações da Empresa armazenadas na rede corporativa. Devem também realizar periodicamente, a salvaguarda (backup) dos dados constantes em dispositivos de mobilidade que estiverem em proveito corporativo. O backup realizado deve ser mantido em local seguro e separado do dispositivo de mobilidade, conforme orientações da Gerência de TI Quando o empregado fizer uso autorizado de dispositivo de mobilidade para fins de trabalho, terá o dever de efetuar backup imediato na rede da Empresa ou no primeiro contato que puder ter com a mesma Mais informações sobre as regras de dispositivos moveis são encontradas na norma de Gestão de Recursos de Telecomunicação e Informática 6.5 Mídias Sociais 11

12 Página 12/ Mídias Sociais: É vedada a participação corporativa do empregado em Mídias Sociais, também é vedada a referências à empresa ou qualquer atividade, comentário que exponha de qualquer maneira (positiva ou negativamente) a ESBR, exceto pelo Departamento de Relações Institucionais Cuidados com a Superexposição: A Empresa aconselha aos empregados que utilizarem as Mídias Sociais para proveito pessoal que evitem expor rotinas do seu cotidiano, em especial trajetos, horários, informações financeiras e demais detalhes privados e íntimos sobre si, família e amigos próximos. Também sugere que utilizem somente conteúdos autorizados e legítimos, com a devida citação da fonte e autoria quando aproveitado de terceiros, para evitar punições por crimes contra direitos autorais ou de imagem. 6.6 Monitoramento e Inspeção Monitoramento: Os empregados estão cientes de que a ESBR monitora todo acesso e uso de seus ativos intangíveis, suas informações, marcas e Recursos de TI, além de seus ambientes físicos e lógicos, com a captura de imagens, áudio e vídeo, inclusive, com a finalidade de proteção de seu patrimônio e reputação e daqueles que se relacionam, de alguma forma, com a Empresa, realizando o armazenamento dos dados monitorados para fins administrativos e legais, além de colaborar com as autoridades em caso de investigação Inspeção: A ESBR poderá auditar e realizar inspeções físicas e lógicas nos dispositivos de mobilidade, equipamentos, sistemas ou recursos corporativos ou particulares que interajam com seus ambientes lógicos ou físicos de forma irrestrita e sempre que considerar necessário, além de poder supervisionar e monitorar seus dados e informações, sobretudo nos Recursos de TI de propriedade de terceiros quando for autorizada a entrada em suas instalações, independentemente da interação com seus ambientes e informações, pelos princípios de prevenção e proteção à sua infraestrutura e ao objetivo do negócio. 6.7 Seleções e Contratações 12

13 Página 13/ Terceirização ou Prestação de Serviços: Todos os relacionamentos e contratações de prestadores de serviços e fornecedores em que haja o compartilhamento de informações da ESBR ou a concessão de qualquer tipo de acesso aos seus ambientes e Recursos de TI devem ser precedidos por Termos de Confidencialidade e cláusulas contratuais que tratem especificamente da Segurança da Informação, inclusive nos Contratos de Trabalho. 6.8 Capacitação e Publicidade Capacitação: A ESBR está comprometida com o dever de capacitar constantemente seus empregados no uso ético, seguro e legal das novas tecnologias e ferramentas de trabalho, além das informações e Recursos de TI corporativos disponibilizados. Para cumprir com este objetivo, o RH deverá realizar em conjunto com os pontos focais de Segurança da Informação programas de educação continuada e capacitação em Segurança da Informação com envolvimento dos empregados e gestores, para garantir o cumprimento da presente Norma e aumentar o nível de cultura de segurança interna. Os programas de capacitação devem contemplar treinamentos, campanhas e divulgações sobre o uso ético, seguro e legal da Política e Normas de Segurança da Informação Divulgação: A Empresa é responsável pela divulgação desta Política e de suas Normas complementares aos empregados. A Gerência de Recursos Humanos é responsável por fornecer a Política de Segurança da Informação aos empregados antes do início das atividades contratadas. Aos terceiros, prestadores de serviços e fornecedores, a entrega da Política de Segurança da Informação deve ser realizada pelo Gestor responsável pela contratação Formalização do Recebimento: Todos os empregados devem assinar o Termo de Ciência e Responsabilidade confirmando o recebimento da Política de Segurança da Informação, antes do início das atividades contratadas. 6.9 Violações e Penalidades Violações e Penalidades: Quaisquer atitudes ou ações indevidas, antiéticas, ilícitas, imorais, não autorizadas ou contrárias ao recomendado por 13

14 Página 14/14 esta Norma ou pelas demais Normas de Segurança da Informação da Empresa serão consideradas violações e estarão sujeitas às sanções cabíveis, a exemplo, mas não se limitando a advertência verbal ou escrita, suspensão de uso do Recurso de TIC corporativo ou particular em suas dependências ou em proveito da Empresa, podendo resultar até em rescisão de contrato ou desligamento, conforme a natureza e gravidade da conduta, sem prejuízo de eventual instauração de procedimentos judiciais ou administrativos, além de ter de arcar com os prejuízos causados Tentativa de Burla: A tentativa de burla às diretrizes e controles estabelecidos pela ESBR deve ser desestimulada e, quando constatada, será tratada como violação às normas da Empresa, à moral, à ética, à boa-fé e aos bons costumes. 7. ANEXOS N/A 14