PSI - Política de Segurança da Informação do Grupo Voetur

Transcrição

1 PSI - Política de Segurança da Informação do Grupo Voetur

2 Sumário 1. Introdução Objetivo Utilização de informação/equipamento do Grupo Voetur Responsabilidade específica Requisitos da Política de Segurança da Informação Funcional A criação de conta departamental Limite de quotas Exclusão de contas Monitoramento de conta de Proibições Internet Criação de conta de acesso Bloqueios/Monitoramento Internet Wireless Senhas Identificação do usuário Usuário (login) compartilhado Criação de Login Bloqueio Troca de senha Equipamentos Dispositivos móveis Proibição Antivírus... 18

3 9. Arquivos... 18

4 1. Introdução Grupo Voetur Segurança da informação compreende a proteção das informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, objetivando a redução da probabilidade e o impacto de incidentes de segurança, garantindo a continuidade do negócio. A Política de Segurança da Informação - PSI, documenta, orienta e estabelece as diretrizes corporativas do Grupo Voetur para a proteção dos ativos de informação, a prevenção de responsabilidade legal para os usuários/colaboradores, regulamentação dos procedimentos relativos à utilização de s funcionais, a concessão de autorização para acesso a internet cabeada/wireless e a intranet. A presente Política de Segurança da Informação está baseada nas recomendações propostas pelas normas ABNT NBR ISO/IEC 27002:2005 e ABNT NBR ISO/IEC 27001:2006. Esta política dá ciência aos colaboradores de que ambientes, sistemas, computadores e redes do Grupo Voetur poderão ser monitorados e gravados. É obrigação de cada colaborador manter-se atualizado em relação à Política de Segurança da Informação e aos procedimentos e normas relacionadas Objetivo Estabelecer normas de segurança que protejam informações corporativas, orientar os procedimentos de utilização da internet, intranet, equipamentos e s funcionais, nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para assegurar a qualidade na prestação dos serviços além de garantir a continuidade dos serviços da rede do Grupo Voetur.

5 1.2. Utilização de informação/equipamento do Grupo Voetur Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional pertence ao Grupo Voetur. As exceções devem ser explícitas e formalizadas em contrato entre as partes. Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores exclusivamente para realização de suas atividades profissionais. A utilização de equipamento pessoal, (notebook e tablet), não é permitida nas dependências do Grupo Voetur, em casos específicos deverá ser solicitado pelo gestor do departamento, via sistema de chamado, o cadastro desses equipamentos ao Departamento de Tecnologia TI, visando garantir a disponibilidade e a segurança das informações utilizadas Responsabilidade específica Esta Política de Segurança da Informação será implementada no Grupo Voetur por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função no Grupo Voetur, bem como de vínculo empregatício ou prestação de serviço. O não cumprimento dos requisitos previstos nesta Política de Segurança da Informação e das normas de segurança da Informação acarretará violação às regras internas do Grupo Voetur e sujeitará o usuário às medidas administrativas e legais cabíveis. A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos.

6 Será de responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar ao Grupo Voetur e/ou a terceiros, por dolo ou culpa, em decorrência da não obediência às diretrizes e normas aqui referidas. O Grupo Voetur deve exigir dos colaboradores a assinatura do termo de responsabilidade, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações do Grupo Voetur Requisitos da Política de Segurança da Informação A Política de Segurança da Informação deve ser comunicada a todos os colaboradores do Grupo Voetur, a fim de que essa política seja cumprida dentro e fora do Grupo Voetur. Todo incidente que afete a segurança da informação deverá ser comunicado ao Departamento de Tecnologia TI. Serão criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que se julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no funcional, entre outros. 2. Funcional O cadastro, suspensão ou exclusão de funcional depende de solicitação do Departamento de Recursos Humanos-RH, via sistema de chamado, ao Departamento de Tecnologia da Informação - TI. Ao usuário será fornecido o id de usuário e senha provisória, após o mesmo ter

7 tomado ciência e assinado o Termo de Responsabilidade, disponível no Sistema de chamados do Grupo Voetur A criação de conta Login: O login obedecerá a seguinte nomenclatura: o primeiro nome mais o último sobrenome por extenso; Havendo duplicidade de login na base de usuários, o último sobrenome será substituído por outro sobrenome Nem todos os colaboradores terão direito a uma conta de funcional somente aqueles que necessitarem desta ferramenta para um melhor desempenho de sua função A autorização para a criação de conta de permitirá ao usuário apenas ler e enviar mensagens corporativas, o deve ser única e exclusivamente utilizado para o trato de questões de interesse administrativo/ operacional do Grupo Voetur A conta de funcional é pessoal e não pode ser transferida ou cedida para utilização de terceiros, sendo o usuário responsável pela sua utilização e pela manutenção de sua senha; departamental Poderão ser criadas contas de departamentais ou setoriais para departamento, setor, programa ou projeto independente do tempo de vigência do mesmo, sendo seu conteúdo redirecionado para o gestor do Departamento, projeto ou programa ou a quem ele determinar.

8 2.3. Limite de quotas Grupo Voetur Para melhor desempenho o serviço de irá trabalhar com sistema de quotas: Fica limitado a 20MB por usuário o tamanho das caixas-postais localizadas no servidor de , sendo necessário à manutenção e gerenciamento deste espaço pelo próprio usuário; Fica limitado a 10MB tamanho máximo de correspondências ( s) autorizadas para envio; 2.4. Os casos de colaboradores que necessitarem de um limite quota maior do que o estabelecido acima, serão analisados pontualmente pelo Departamento de Tecnologia TI Exclusão de contas Contas de s funcionais inativos por mais de 45 (quarenta e cinco) dias, sem justificativa, serão desativadas (suspensas) automaticamente pelo, sem prévio aviso; Justificativas referem-se a férias, licenças, afastamentos, entre outros. O Departamento Pessoal DP deverá manter o Departamento de Tecnologia TI informado/atualizado de férias; 2.6. Monitoramento de conta de É facultado ao Departamento de Tecnologia da Informação - TI, a utilização de filtros de conteúdo, que atuam de forma automática, não sendo permitido o envio ou recebimento de mensagens com

9 conteúdo não autorizado (pornografia, apologia a drogas, pedofilia, racismo, palavras de baixo calão, propaganda política, etc...) O sistema de filtros irá gerar relatórios periódicos indicando os usuários que eventualmente utilizam o indevidamente Proibições É proibido produzir, transmitir ou divulgar mensagem que: Contenha ameaças eletrônicas (spam, mail bombing, vírus do computador); Contenha arquivos com código executável (exe,.com,.bat,.pif,.js,.vbs,.hta,.src,.cpl,.reg,.dll,.inf) ou qualquer outra extensão que representa um risco à segurança; Vise obter acesso não autorizado a outro computador, servidor ou rede; Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado; Vise burlar qualquer sistema de segurança; vise vigiar secretamente ou assediar outro usuário; Inclua imagens criptografadas ou de qualquer forma mascaradas; Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos; 2.8. As mensagens do funcional sempre deverão incluir assinatura; 3. Internet

10 Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade do Grupo Voetur, que pode analisar e, se necessário, bloquear qualquer ativo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam em disco local, na estação ou em áreas privadas na rede, visando o cumprimento de sua Política de Segurança da Informação. É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa/operacional em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet. O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos Criação de conta de acesso Os colaboradores do Grupo Voetur para melhor desempenho de suas funções administrativo-operacionais, terão direito a conta de acesso à internet A autorização para a criação de conta de acesso a internet permitirá ao usuário apenas a navegação na internet em sites autorizados e na intranet; 3.3. A conta de acesso à internet/intranet deve ser única e exclusivamente utilizada para navegação de interesse administrativo/operacional do Grupo Voetur; 3.4. A conta de acesso à internet/intranet é pessoal e não pode ser transferida para terceiros, sendo o usuário responsável pela sua utilização e pela manutenção de sua senha;

11 3.5. Bloqueios/Monitoramento Grupo Voetur O acesso a sites ou serviços que representem risco aos dados ou a estrutura de informação do Grupo Voetur serão bloqueados; Os colaboradores não poderão utilizar os recursos do Grupo Voetur para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores; Havendo a necessidade de acesso a sites não autorizados/bloqueados, o gestor do departamento necessitante deverá solicitar a liberação do acesso via Sistema de Chamados do Grupo Voetur; A utilização de comunicadores instantâneos ou redes sociais (exemplo: MSN, ICQ, Facebook e outros) somente será permitida para uso de atividades administrativo-operacionais e em casos que existe real necessidade de comunicação por este tipo de recurso: O gestor deverá solicitar a liberação deste recurso via Sistema de Chamados do Grupo Voetur; A liberação desses acessos somente será efetuada se comprovada à necessidade para fins administrativooperacionais e dependerá da avaliação do Departamento de Tecnologia da Informação TI e se necessário da Direção do Grupo Voetur É facultado ao Departamento de Tecnologia da Informação - TI, a utilização de filtros de acesso, que agem de forma automática, não sendo permitida a navegação e/ou acesso nos seguintes casos: Instalação e utilização de softwares de Messenger, com exceção nos casos previstos no item ;

12 Sites pornográficos; Site de drogas; Site de pedofilia; Grupo Voetur Sites que façam alguma forma de apologia a algum tipo de racismo ou discriminação; O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins); Não é permitido acesso a sites de proxy O sistema de filtros de acesso irá gerar relatórios periódicos indicando os usuários que eventualmente navegam e/ou acessam recursos da internet/intranet o indevidamente O descumprimento do Termo de Responsabilidade caracteriza infração funcional, sujeito a penalidades sucessivas de advertência (verbal ou escrita), suspensão e demissão se a falta grave perpetrada justificar a rescisão contratual imediata por justa causa. 4. Internet Wireless 4.1. O acesso à Internet wireless somente se dará de forma autenticada, por meio de uma conta de usuário e uma senha pessoal e intransferível que deve ser mantida em sigilo. O usuário fica responsável pelos atos praticados com o uso de sua senha A solicitação de cadastro/desbloqueio de colaborador ou visitante, para acesso a internet wireless, depende de solicitação via sistema de chamado, disponível na intranet do Grupo Voetur O acesso é disponibilizado após o usuário ter tomado ciência e aceitar a política de internet wireless, disponível na intranet do Grupo Voetur; 4.4. A conta de usuário só terá validade enquanto perdurar o vínculo com o Grupo Voetur, em caso de visitantes no momento da solicitação o

13 gestor do departamento solicitante deverá informar o período, em dias, o qual essa conta deverá estar disponível; Em caso de prolongamento do período de utilização, o gestor do departamento solicitante deverá indicar novo período de utilização através do sistema de chamado, disponível na intranet do Grupo Voetur Locais de acesso devem possuir uma identificação informando a presença da rede wireless e onde encontrar dados básicos para ingressar à mesma; 4.6. O Grupo Voetur possui uma Política de Segurança de Rede Wireless, disponível na intranet do Grupo Voetur. 5. Senhas Os dispositivos de identificação e senhas protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra, o uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 falsa identidade). Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores Identificação do usuário Todos os dispositivos de identificação utilizados no Grupo Voetur, tais como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação.

14 5.3. Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese Usuário (login) compartilhado Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante o Grupo Voetur e a legislação será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado Criação de Login O Departamento de Tecnologia TI responde pela criação da identidade lógica (login) do Grupo Voetur Devem ser distintamente identificados visitantes, estagiários, colaboradores, prestadores de serviço, terceirizados Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme orientações apresentadas Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando maiúsculo e minúsculo, dígitos e caracteres especiais A senha não poderá conter nome ou parte do nome de login da conta de usuário; 5.6. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.

15 As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como abcdefgh, , entre outras Bloqueio Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada por um período de 15 minutos para novas tentativas; Em caso de esquecimento da senha será necessário que o usuário solicite uma nova senha ao Departamento de Tecnologia, via sistema de chamado; Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada Troca de senha A periodicidade máxima para troca das senhas é 45 (quarenta e cinco) dias, não podendo ser repetidas as 3 (três) últimas senhas. 6. Equipamentos

16 Os equipamentos disponíveis aos colaboradores são de propriedade do Grupo Voetur, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nesse documento; Esse item visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deve ser aplicada a todos os colaboradores, visitantes, terceirizados equipamentos. que utilizem tais Todo equipamento deve ser classificado de acordo com sua importância, valor financeiro e crítico, devendo ser registrado no patrimônio ao entrar na empresa Dispositivos móveis Qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição ou aprovado e permitido pelo Departamento de Tecnologia TI e se necessário aprovação e permissão da Diretoria do Grupo Voetur, tais como: notebooks, smartphones e pendrives. A validação para uso e conexão na rede corporativa do Grupo Voetur depende de liberação do Departamento de Tecnologia TI do Grupo Voetur. O Grupo Voetur reserva-se o direito de inspecionar a qualquer tempo os dispositivos de sua propriedade. Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados do dispositivo móvel utilizado de propriedade do Grupo Voetur, mantendo estes backups separados do dispositivo móvel.

17 A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pelo Grupo Voetur constituirá uso indevido do equipamento. É de responsabilidade do colaborador no caso de furto ou roubo de um dispositivo móvel fornecido pelo Grupo Voetur, notificar imediatamente seu gestor direto e o do Grupo Voetur. O colaborador deve estar ciente de que o uso indevido do dispositivo móvel caracterizará a responsabilidade de todos os riscos da sua má utilização. 7. Proibição É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um analista do Departamento de Tecnologia TI do Grupo Voetur, ou de quem este determinar. (verificar filiais e postos); Arquivos pessoais e/ou não pertinentes ao Grupo Voetur (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário Tentar ou obter acesso não autorizado a outro computador, servidor ou rede; Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;

18 Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional. 8. Antivírus 8.1. Os sistemas e computadores devem ter versões do software antivírus instalados, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o Departamento de Tecnologia TI, via sistema de chamado. 9. Arquivos 9.1. Documentos imprescindíveis para as atividades dos colaboradores do Grupo Voetur devem ser gravados/salvos obrigatoriamente em drivers rede.