PSI Política de Segurança da Informação Documento de Diretrizes e Normas Administrativas V.1.0

Transcrição

1 PSI Política de Segurança da Informação Documento de Diretrizes e Normas Administrativas V.1.0

2 Sumário 1. Introdução Abrangência Direitos e Deveres Utilização dos Recursos Senhas Correio eletrônico Computadores e dispositivos móveis Compromissos Auditoria

3 1. Introdução Esta PSI tem como base as recomendações propostas pela norma ABNT NBR ISO/IEC 2007:2005, a qual é reconhecida mundialmente como metodologia utilizada na Segurança da Informação. A Informação é um bem como qualquer outro, e por isso deve ser protegida e ter a mesma atenção de forma igual ou até mesmo superior em alguns casos. Portanto, este documento tem por objetivo orientar e estabelecer diretrizes corporativas da Cecrisa, para proteger os ativos de informação e a responsabilidade legal para todos. Segurança da informação são esforços contínuos, com os seguintes objetivos: Confiabilidade: garantir o acesso a somente pessoas autorizadas; Integridade: proteger a informação contra alterações indevidas; Disponibilidade: criar formas de garantir a disponibilidade da informação para as pessoas autorizadas; Com estes objetivos, é possível garantir: Continuidades dos negócios; Minimização do risco ao negócio; Maximização do retorno sobre os investimentos; Oportunidades de negócio; A intenção da CECRISA com a publicação das Políticas de Segurança da Informação, não é impor restrições contrárias à cultura de abertura e confiança, mas proteger a Empresa, Colaboradores e Parceiros, de ações ilegais ou danosas praticadas por qualquer indivíduo, de forma proposital ou inadvertidamente. Esta política dará ciência a cada colaborador e prestador de serviço sobre as normas de utilização da informação e sobre ferramentas que podem ser utilizadas para serem monitoradas, com prévia informação, de acordo com as leis brasileiras. Sistemas relacionados à internet e rede interna, incluídos, mas não limitados, os equipamentos de computação, software, sistemas operacionais, dispositivos de armazenamento, contas de rede que permitem acesso ao correio eletrônico, consultas na internet a partir de endereços IP e o sistema de telefonia, são propriedades da CECRISA, devendo ser utilizados com o exclusivo propósito de servir aos interesses da Empresa e de seus clientes, no desempenho de suas atividades empresariais. A segurança efetiva é um trabalho de equipe envolvendo a participação e colaboração de todos os funcionários e afiliados da CECRISA que manipulam informações e/ou sistemas de informações. É de responsabilidade de cada usuário de computador e telefone conhecer esta política e conduzir suas atividades de acordo com a mesma. 2. Propósito O propósito desta política é delinear a utilização aceitável dos equipamentos de informática e de telefonia da CECRISA. Estas regras foram definidas para proteger os colaboradores e a Empresa. A utilização 3

4 inapropriada dos equipamentos e sistemas relacionados ao item anterior torna os vulneráveis, gerando comprometimento dos sistemas e serviços da rede, além de problemas e implicações legais. 3. Abrangência Esta política se aplica aos colaboradores, prestadores de serviços, consultores, representantes, auditores, fiscais, temporários, sócios e demais pessoas que estejam a serviço da CECRISA, incluindo toda a mão de obra terceirizada ou disponibilizada mediante convênios, parcerias ou quaisquer outras formas de atuação conjunta com outras empresas; e abrange todos os sistemas e equipamentos de propriedade da CECRISA, bem como aqueles de propriedade de terceiros que lhe sejam confiados a qualquer título, ou cedidos pela mesma a terceiros. 4. Direitos e Deveres A PSI deve ser comunicada a todos os colaboradores e prestadores de serviço, a fim de ser cumprida dentro e fora da organização. Para novos colaboradores, a comunicação deve se dar na fase de contratação, na forma de contratos individuais. Para prestadores de serviço, em todos os contratos, deverá conter o anexo de Acordo de Confidencialidade, para que possa conceder os devidos acessos aos ativos de informação. Independente da forma em que a informação é apresentada, compartilhada ou armazenada, ela deve ser utilizada unicamente para a finalidade a qual foi autorizada. É obrigação de cada colaborador e prestador de serviço, respeitar e seguir as normas apresentadas na PSI. É de sua responsabilidade também, solicitar sempre que julgar necessário, métodos, tais como bloqueios de acessos para garantir a segurança da informação. Qualquer incidente ou descumprimento das normas, que afete a segurança da informação, ou até mesmo dúvidas, o Supervisor de TI deve ser comunicado. Exemplos de violações: Uso ilegal de software; Introdução de vírus (intencional ou não) nos ativos; Degradar os ativos da empresa; Tentativas de acessos não autorizados; Compartilhamento de informações, sem as devidas autorizações da diretoria; Tentativas de tornar indisponível serviços de rede e servidores; Exemplos de informações confidenciais: Toda informação no banco de dados; Informação de clientes; Informação de produtos, tais como desenhos, modelagem, peças, dentre outros. Informações estratégicas; Todos os tipos de senhas e formas de acesso. Toda senha deve ser pessoal e intransferível. Ações decorrentes da utilização destes poderes são de responsabilidade inteiramente do correspondente. 4

5 Os acessos às informações contidas em sistemas, e demais formas de tecnologias, deverão ser restritos a pessoas explicitamente autorizadas e de acordo com a necessidade para o cumprimento de suas funções. A autorização de acesso deve ser enviada ao responsável de TI por e mail, pelo Gerente/Supervisor da área, com a aprovação de acessos aos recursos. O Gerente/Supervisor deve estar ciente do uso das informações e de todas as consequências de seu uso. Periodicamente, estes acessos devem ser revistos pelo Gerente/Supervisor. Apenas equipamentos e softwares disponibilizados e homologados pela Cecrisa podem ser instalados e conectados à rede. Caso contrário o TI não pode garantir e ter responsabilidades sobre o correto funcionamento, estabilidade e segurança; Nenhuma informação confidencial deve ser deixada a vista. Procure sempre deixar sua mesa limpa. Todos os ativos devem ser guardados e não devem ser descartados após sua cópia, impressão ou utilização. Sempre que se utilizar uma impressora coletiva, deve se recolher a impressão imediatamente. Todos os desligamentos de profissionais, devem ser informados ao e mail pelo endomarketing, ao todososprofissionais@cecrisa.com.br, para que seja realizado os devidos procedimentos. Em casos especiais a equipe de TI, deve ser procurada antecipadamente. Em casos de desligamentos, os equipamentos da Cecrisa devem ser recolhidos antecipadamente. Sob hipótese alguma, o equipamento poderá ser levado junto com o funcionário. Cabe à equipe de Tecnologia da Informação, testar a eficácia da proteção e controles utilizados, informando o supervisor de TI sempre que encontrarem riscos. Se necessário contratar consultoria especializada para realizar avaliações e levantamento de riscos. Computadores pessoais não devem ser utilizados dentro da empresa e em hipótese alguma, ser ligado à rede corporativa. Os usuários, que receberem acesso aos recursos computacionais e de telefonia têm os seguintes direitos: 1. Fazer uso legal dos recursos computacionais colocados à sua disposição, respeitadas as normas de utilização estabelecidas pela Empresa; 2. Ter conta de acesso à rede corporativa, respeitadas as normas de utilização estabelecidas pela Empresa; 3. Ter conta de correio eletrônico com a extensão do domínio da Empresa, vetado o acesso a e mails pessoais; 4. Acessar a internet e intranet respeitando as políticas da Empresa; 5. Acessar as informações que foram franqueadas, relativas às áreas de armazenamento privado e compartilhado, respeitadas as normas de utilização e confidencialidade estabelecidas pela Empresa; 6. Solicitar suporte técnico sempre que verificado o mau funcionamento dos equipamentos ou do sistema de rede corporativa; 7. Fazer uso do telefone da Empresa seja fixo ou móvel, para tratar de assuntos relacionados ao trabalho e do interesse da Empresa. 5

6 Obrigações: 1. Responder pelo uso exclusivo de sua conta de acesso individual à rede corporativa; 2. Identificar, classificar e enquadrar as informações da rede relacionadas às atividades por si desempenhadas; 3. Zelar por toda e qualquer informação armazenada na rede corporativa contra alteração, destruição, divulgação, cópia e acessos não autorizados; 4. Zelar pelos equipamentos de informática conferidos a si para o desempenho de suas atividades de trabalho; 5. Guardar sigilo das informações confidenciais, mantendo as em caráter restrito, especialmente aquelas relacionadas aos clientes; 6. Manter, em caráter confidencial e intransferível, a senha de acesso aos recursos computacionais e de informação da empresa, informando a formalmente ao administrador; 7. Informar imediatamente ao supervisor imediato sobre quaisquer falhas ou desvios das regras estabelecidas neste documento, bem como sobre a ocorrência de qualquer violação às mesmas, praticada em atividades relacionadas ao trabalho, dentro ou fora das dependências da empresa; 8. Responder cível e criminalmente pelos danos causados em decorrência da não observância das regras de proteção da informação e dos recursos computacionais da rede corporativa; 9. Fazer uso dos recursos computacionais para trabalhos de interesse exclusivo da CECRISA. 5. Utilização dos Recursos Todos os recursos utilizados pelo colaborador podem ser monitorados e acessados a qualquer momento. 5.1 Senhas Cada colaborar é responsável pelas ações decorrentes de seu usuário. Para garantir a identificação, são criados logins e senhas, as quais devem seguir as seguintes regras: Utilizar sempre senhas combinando caracteres MAIÚSCULOS, minúsculos e caracteres especiais, com no mínimo seis caracteres; Nunca utilizar senhas padrões; Alterar a senha a cada noventa dias, ou sempre que se desconfiar do comprometimento da mesma. As dez ultimas senhas utilizadas não podem ser reutilizadas; Caso, o colaborador esqueça sua senha, deve comparecer pessoalmente ao TI para que possa realizar a troca da mesma, caso não seja possível, entrar em contato por telefone com a TI ou pelo e mail servicedesk@cecrisa.com.br. No caso do contato telefônico o profissional deverá responder a alguns questionamentos que serão realizados pelo Time de TI para sua identificação e vínculo com a Empresa; Administradores do domínio, de servidores e sistemas específicos devem: o Alterar sua senha a cada trinta dias; o Possuir senhas, com no mínimo oito caracteres e caracteres misturados, tais como letras MAIUSCULAS, minúsculas e caracteres especiais; o As dez ultimas senhas utilizadas, não podem ser repetidas; o A conta é bloqueada após cinco tentativas invalidas de acesso; 6

7 5.2. Correio eletrônico O que não é permitido: Enviar mensagens, as quais não se encaixam ao conteúdo de trabalho; Utilizar o endereço de e mail no cadastro de sites, como redes sociais, jogos e outros de natureza semelhante; Enviar qualquer mensagem que torne a Cecrisa vulnerável a ações civis ou criminais; divulgar informações confidenciais ou não autorizadas; Enviar senhas por e mail; Envio de conteúdo executável (exe, bat, scr, bin, com, reg, vbs, js, dentre outros); Conteúdos que contenham ameaça eletrônica (spam, vírus); Conteúdos que visam burlar sistemas de segurança ou obter acessos sem o devido procedimento previsto na PSI; Mensagens com conteúdo racista, pornográfico, violento, entre outros; Material protegido por direitos autorais; O que é permitido: Mensagem pode ter até 10MB de arquivo anexo Caixas de e mail de Representantes, Promotores de Vendas e Profissionais em geral possuem armazenamento máximo de 200 Mbytes, Supervisores e Gerentes 500 Mbytes e Diretores sem limite; Envio para no máximo destinatários por dia; Cada mensagem pode ter no máximo 500 destinatários; Envio máximo de 30 mensagens por minuto; Recuperar itens deletados: até 30 dias; Recuperar caixa de correio deletada: até 30 dias; 5.3 Computadores e dispositivos móveis Cabe a cada colaborador, a responsabilidade de manusear e prover os devidos cuidados para garantir a preservação e segurança do equipamento, quanto das informações. É proibido: Criar compartilhamentos, sem a presença do suporte de infraestrutura, nível dois; Permitir acessos indevidos, tais como utilização de sua conta por outro usuário, ou acesso de parentes; Realizar qualquer tipo de manutenção ou instalação (física e lógica), sem a devida presença da equipe de TI Infraestrutura; Transferir e divulgar chaves de instalação e qualquer aplicativo; Uso de arquivos pessoais (Fotos, vídeos, documentos, dentre outros); Utilizar comandos, ou praticas que possam causar congestionamento na rede ou nos servidores; Hospedar qualquer tipo de material que possa prejudicar a Cecrisa; 7

8 Hospedar conteúdo pornográfico, racista, violento, dentre outros; Utilizar software pirata; Não é permitido desativar o firewall. O controle de regras do firewall deve ser gerenciado pela TI; É vetado aos usuários da rede de computadores da organização a adição e remoção de quaisquer recursos, sejam eles microcomputadores, notebooks, impressoras, pen drives, mp3 players ou outros equipamentos e dispositivos. A adição e remoção desses deverão ser solicitadas ao setor de TI Infraestrutura, para aprovação e, em caso positivo, tais procedimentos deverão ser realizados pelo mesmo. Boa pratica Instalação padrão e obrigatória Todo computador deve ter o antivírus homologado pela TI instalado; Estar com o firewall do Windows ativo; Manter o Sistema Operacional atualizado. Quando o sistema estiver atualizando, não desligar o computador; Em caso de suspeitas de vírus, ou qualquer dano ao dispositivo, a equipe de TI deve ser acionada, através do portal de atendimento ou pelo e mail servicedesk@cecrisa.com.br; Todo computador deve fazer parte do domínio cecrisaorg.com.br; Todo computador deve possuir senha na BIOS. Tais senhas são definidas e armazenadas pela equipe de TI; Os usuários não devem ser administradores dos computadores. Apenas a equipe de TI deve ter acesso como administrador; Dispositivos pessoais são permitidos, desde que conectem somente à rede visitante; Impedir o uso de seu equipamento por outras pessoas sempre que estiver com sua sessão conectada; Bloquear sempre seu computador ao se ausentar (Utilizando Windows+L); Em caso de furto, a comunicação deve ser imediata ao Gerente/Supervisor da área e Gerente/Supervisor do TI. Deverá também, assim que souber do incidente, procurar ajuda das autoridades e registrar um boletim de ocorrência. O armazenamento das informações somente no servidor, ajuda a proteger contra este tipo de incidente. 5.4 Internet Embora o uso da Internet traga uma série de benefícios, ela abre uma série de portas e problemas, trazendo sérios perigos para a rede de informações da Cecrisa. Por isso, seu uso deve ser ético e profissional. A Internet pode ser utilizada para fins pessoais, desde que não afete a produtividade, ou aflija as regras de segurança da informação. Usuários que não precisam de Internet, Gerentes/Supervisores devem solicitar ao TI que realizem o devido bloqueio. É proibido o uso de sites com conteúdo pornográfico, jogos, pirataria, sites de proxy, ou que possam trazer riscos aos equipamentos e informações da Cecrisa. Sites ou programas que comprometem a banda da rede, também não são permitidos, tais como programas P2P, torrent, downloads de filmes, acessos indevidos a sites de vídeos, dentre outros. Serviços de mensagem instantânea serão permitidos somente para usuários, os quais os Gerentes/Supervisores aprovarem. 8

9 5.5 Acesso à rede Todos os documentos deverão ser salvos no servidor. Arquivos salvos no computador, não possuem garantia de backup. É proibido acessos à rede de forma indevida. Exemplo: \\nomecomputador\c$. Este tipo de acesso ajuda a propagar vírus na rede; 5.6 Acesso externo ao Data Center da Cecrisa Todo acesso externo à Cecrisa, deve ser realizado via VPN. Estes acessos devem ser devidamente autorizados por gerentes ou supervisores. 5.7 Equipamentos de rede Os acessos aos switches e ao Data Center devem ser realizados somente por pessoas autorizadas. As chaves dos brackets/racks devem ser guardadas com o supervisor de TI. Qualquer acesso de visitante ou terceiro deve ser acompanhado por um profissional de TI da Cecrisa, devidamente autorizado. 5.8 Softwares Todos softwares executados nos equipamentos da rede corporativa da CECRISA deverão ser licenciados, sendo vetada a utilização de qualquer software sem licença; A utilização de softwares livres ou temporários deverá ser solicitada ao responsável pelo setor de TI, por escrito e, em caso de aprovação, a instalação e remoção deverá ser realizada pelos mesmos; A utilização de softwares não licenciados é considerada uma não conformidade gravíssima e acarretará em punições ao colaborador, em qualquer nível, da CECRISA. 6. Compromissos Os usuários da rede comprometem se a: 1. Preservar o ambiente de trabalho no que diz respeito a sua organização e limpeza, mantendo o sempre da maneira em que foi encontrado; 2. Não fazer uso da rede para molestar, ameaçar ou ofender seus usuários ou terceiros, por quaisquer meios, sejam textos, imagens, vídeos ou correios eletrônicos; 3. Não fazer uso da rede para circulação de propaganda política; 4. Não tomar atitude ou ação que possa, direta ou indiretamente, indisponibilizar recursos da rede corporativa; 9

10 5. Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a indisponibilização de serviços; 6. Não executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da CECRISA; 7. Não utilizar nenhum programa de bate papo ou de mensagem instantânea, tais como Skype, MSN, Google Talk, entre outros, para fins pessoais; 8. Não enviar informações confidenciais para e mails externos sem proteção. No mínimo, o arquivo deve contar com a proteção de uma senha; 9. Responsabilizar se perante a CECRISA e terceiros por quaisquer prejuízos advindos da violação dos compromissos, deveres e proibições estabelecidas nesta norma; 10. Utilizar se, de forma ética e em conformidade com as normas de conduta e segurança estabelecidas pela CECRISA, de todos os recursos, equipamentos e informações que lhe sejam confiados em razão do desempenho de sua atividade profissional. 7. Auditoria 1. Todos os colaboradores que utilizam a rede corporativa (informática e telefonia) serão submetidos à auditoria, realizada por profissionais TI da CECRISA, ou empresa especializada, com o objetivo de verificar o cumprimento das normas estabelecidas; 2. A auditoria ocorrerá em microcomputadores ou notebooks escolhidos aleatoriamente e, caso verificada alguma não conformidade, será instaurada uma sindicância interna voltada à apuração de responsabilidades e classificação da gravidade da violação das normas de utilização dos equipamentos; 3. Após a classificação da gravidade (gravíssima, alta, média ou baixa), a não conformidade será comunicada a Diretoria e posteriormente ao RH para adoção das providências cabíveis. 10