1
SUMÁRIO TÍTULO I POLÍTICA DE SEGURANÇA EM TI... 3 CAPÍTULO I A POLÍTICA DE SEGURANÇA... 3 CAPÍTULO II CREDENCIAIS DE ACESSO... 3 CAPÍTULO III ACESSO, ARMAZENAMENTO E USO DE SOFTWARES E 5 DADOS INDEVIDOS... CAPÍTULO IV SEGURANÇA DOS DADOS E DAS INFORMAÇÕES 5 CORPORATIVAS... CAPÍTULO V USO DE E-MAIL INSTITUCIONAL... 6 CAPÍTULO VI USO DO GOOGLE TALK e GOOGLE MEET... 6 CAPÍTULO VII USO DE COMPUTADORES PARTICULARES... 7 CAPÍTULO VIII ARQUIVOS, LINKS E APLICATIVOS DE ORIGEM 7 DESCONHECIDA... CAPÍTULO IX ACESSO À INTERNET... 8 CAPÍTULO X FRAUDE MEDIADA POR ENGENHARIA SOCIAL E 8 MANUAL DE CONDUTA... CAPÍTULO XI VIRUS, CÓDIGO E APLICAÇÕES MALICIOSAS... 9 CAPÍTULO XII SANÇÕES... 10 CAPÍTULO XIII APOIO TÉCNICO... 10 2
TÍTULO I POLÍTICA DE SEGURANÇA EM TI Com o objetivo de prover a segurança, a disponibilidade e a integridade dos dados e das informações institucionais em meios eletrônicos e aprimorar o uso dos recursos de informática no desenvolvimento exclusivo de atividades administrativas e acadêmicas, esta Instituição de Ensino estabelece as seguintes diretrizes: CAPÍTULO I A POLÍTICA DE SEGURANÇA Esta política de Segurança se destina a todos usuários dos sistemas, sejam estes colaboradores, acadêmicos, parceiros e prestadores de serviço que tenham acesso à rede e aos sistemas computacionais disponibilizados pela FACESA. Com base neste documento, cada usuário se compromete a respeitar, seguir e fazer cumprir todos os tópicos aqui apresentados e toma ciência de que todas as atividades executadas dentro da rede corporativa, na sede ou nos polos, podendo ser monitoradas para efeito de auditorias, quando requisitadas pela diretoria da FACESA. A equipe da Divisão de Gestão em TI - DGTI é responsável pela manutenção desta política e fica inteiramente à disposição para sanar dúvidas ou oferecer auxílio técnico para garantir a sua aplicação. Esta política será revisada e republicada sempre que se fizer necessário. CAPÍTULO II CREDENCIAIS DE ACESSO O acesso à rede interna de computadores e a qualquer recurso computacional do FACESA (computadores, rede, sistemas de informação, e-mail, entre outros) é controlado por um sistema de gestão e controle de acesso com a 3
exigência de identificação do usuário por meio de login e senha de uso restrito e individual. As contas de usuários para acesso a rede de computadores são criadas com uma senha inicial correspondente ao número de CPF do usuário conforme cadastrado nos sistemas da instituição. Ao realizar o primeiro acesso em um dos computadores do FACESA, o usuário será solicitado para definir uma nova senha de sua preferência. Periodicamente será emitido um alerta ao acessar qualquer um dos computadores conectados em rede, solicitando a alteração da senha. Caso a alteração não ocorra, o acesso será automaticamente bloqueado, exigindo a troca da senha. Ao criar uma senha o usuário deve priorizar senhas complexas intercalando letras maiúsculas e minúsculas, números e símbolos e não utilizar datas ou dados pessoais nomes, sobrenomes, contas de usuário, números de documentos, placas de carros, números de telefones), sequências de teclado ("123456", "1qaz2wsx" e "QwerTAsdfG") ou palavras conhecidas (nomes de times, musicas, personagens de filmes, entre outras). Como medida de proteção às credencias de acesso, ao deixar o posto de trabalho o usuário deve seguir a orientação para desconectar da rede (logoff), travar ou desligar o equipamento, principalmente nos locais de fácil acesso ao público externo como máquinas externas, em laboratórios, quiosques e etc A senha é pessoal e intransferível e de responsabilidade exclusiva do usuário. É proibida a divulgação ou o uso da senha de acesso por terceiros. O mesmo usuário e senha criados neste processo são utilizados para acessar a rede sem fio (Wifi) oferecida pela FACESA. O acesso aos sistemas de informação também é controlado por meio senhas e o usuário vinculado a perfis e grupos de acesso. Cada perfil contempla as funcionalidades relevantes às atividades que os usuários desempenham na IES e cursos aos quais estão vinculados ou aos acessos e serviços disponibilizados à Comunidade Acadêmica (ex: Perfil de Docente, Perfil de Gestor, Perfil de Secretaria Geral etc.) 4
A criação de um perfil é realizada exclusivamente pelo administrador do sistema vinculado ao DGTI e deve ser autorizada pelos gestores responsáveis pelas áreas e informações que este perfil terá acesso. A atribuição de um perfil a um usuário do sistema também deve ser autorizada pelo responsável do setor solicitante. Lembramos que cada usuário é responsável pelas ações executadas com suas credencias e que a equipe da DGTI não solicita senhas de acesso.. CAPÍTULO III ACESSO, ARMAZENAMENTO E USO DE SOFTWARES E DADOS INDEVIDOS É vedado o uso dos recursos computacionais da FACESA para obtenção, armazenamento ou uso de softwares e arquivos que infrinjam a legislação sobre direitos autorais ou outra legislação ou norma em vigor (download de livros, músicas, mineração de criptomoedas, vídeos, softwares piratas e outros que não foram adquiridos pela Instituição). Não é permitida a instalação de qualquer aplicativo, software e outros recursos de informática sem a análise prévia da DGTI. CAPÍTULO IV SEGURANÇA DOS DADOS E DAS INFORMAÇÕES CORPORATIVAS Dados e informações coorporativas e de interesse institucional devem ser armazenados pelos usuários nos servidores de dados da rede (corporativos), sendo proibido seu armazenamento local no computador utilizado pelo usuário. Arquivos de interesse estritamente particular podem ser salvos em computadores e mídias locais, como PenDrives, DVDs disco local, fora da área do servidor, desde que os arquivos não infrinjam legislação ou norma vigente. A DGTI não acessa, copia ou se responsabiliza por qualquer arquivo salvo localmente nas estações de trabalho. 5
CAPÍTULO V USO DE E-MAIL INSTITUCIONAL Todos os usuários deverão utilizar apenas o e-mail institucional para o envio e o recebimento de mensagens com conteúdo referente às atividades que exercem na Instituição, sendo vetado o uso deste e-mail para mensagens de cunho particular que qualquer sorte ou que possam ser consideradas ofensivas ou constrangedoras. O usuário do e-mail institucional deverá incluir na assinatura do e-mail sua identificação, contendo, pelo menos, as seguintes informações: nome do usuário, função que exerce, departamento ou setor, telefone de contato e nome da mantida à qual está vinculado. As mensagens por e-mail são elementos de formação da imagem institucional, por isso merecem o mesmo tratamento de uma mensagem impressa. É vetado o uso de e-mail particular (não-institucional) mantido por provedores externos para envio e recebimento de mensagens referentes a sua atividade na FACESA. CAPÍTULO VI USO DO GOOGLE TALK e GOOGLE MEET O Google Talk é uma ferramenta disponibilizada pela Instituição que permite a comunicação individual ou de grupos por meio da rede interna de computadores, mediante a troca de mensagens escritas em tempo real chat. O Google Meet é uma ferramenta equivalente disponibilizada pela instituição que permite a montagem de uma sala virtual para videoconferência. Todos os computadores da área administrativa possuem a autorização para uso como alternativa às reuniões presenciais, aos e-mails institucionais ou às ligações telefônicas, bastando utilizar o e-mail institucional para acesso às tais ferramentas. 6
É vedado o uso ou a instalação nos computadores da Instituição de ferramentas de chat externas, como WhatsApp, Yahoo Messenger, Facebook Messenger, conversação em sítio web ou outros mensageiros instantâneos quando não previamente autorizados pela chefia imediata ou por política institucional. CAPÍTULO VII USO DE COMPUTADORES PARTICULARES É vetada a inclusão de computadores particulares na rede administrativa ou acadêmica, com o fim de evitar riscos de contaminação por vírus, possibilidade de invasão aos dados institucionais, distribuição indevida de software, entre outros problemas. A inclusão de dispositivos específicos será avaliada pelo DGTI, com concessões analisadas uma a uma. Havendo necessidade de acesso à internet nestes equipamentos, o usuário poderá utilizar a rede sem fio WiFi disponibilizada pela Instituição. O ingresso no FACESA de qualquer equipamento não portátil como monitores ou desktops deve ser devidamente registrados por um agente patrimonial ou vigilante no momento que entrar no campus. CAPÍTULO VIII ARQUIVOS, LINKS E APLICATIVOS DE ORIGEM DESCONHECIDA É vetada a execução de arquivos ou acesso a links de origens desconhecida, independente da origem: e-mail, mídia de armazenamento ou a partir de páginas da Internet. Em caso de dúvida quanto à segurança ou origem do arquivo o usuário deve encaminhá-la à DGTI para análise de segurança e quanto à existência de vírus ou softwares mal intencionados. 7
CAPÍTULO IX ACESSO À INTERNET É vedado o uso recreativo da Internet em horário de trabalho. O acesso a sites impróprios ou ofensivos, abrangendo preconceito, privacidade, direitos da mulher, da criança e do adolescente, pornografia, pedofilia, racismo, apologia a drogas e à violência, jogos e fotos de interesse particular, sites de relacionamento ou redes sociais quando não previamente autorizados, ferramentas de chat (Skype e assemelhados), ferramentas de controle remoto do computador (Logmein e assemelhados), entre outros, está proibido. Exceções serão avaliadas, caso a caso, pela DGTI. Caso tenha necessidade de acessar alguma página na internet que tenha sido bloqueada indevidamente por se tratar de um acesso legítimo e que pode ajudar a desenvolver as atividades dentro do setor, o usuário pode solicitar a liberação da página por e-mail ou contato com a DGTI que irá analisar a solicitação e proceder com a liberação caso entenda que a página não acarreta risco ou desvio desta política. É proibido o uso de softwares indevidos como de compartilhamento de arquivos ponto a ponto (bittorrent, kazaa, etc), mensageria instantânea não homologada (Skype, Messenger e etc) ou softwares específicos para acesso anônimo ou camuflado como proxies, Ultrasurf e Tor. Lembramos que o uso da Internet pode ser monitorado e o usuário questionado e responsabilizado quanto ao seu uso em casos de auditoria. CAPÍTULO X FRAUDE MEDIADA POR ENGENHARIA SOCIAL E MANUAL DE CONDUTA Um forma comum de tentativa de ataque envolve técnicas de engenharia social. Portanto, observe os seguintes tópicos: 8
Não discutir informações institucionais, projetos desenvolvidos internamente ou políticas internas com terceiros ou em locais públicos; Não fornecer a terceiros nenhuma informação sobre funcionários, professores ou alunos incluindo notas, frequências, dados pessoais, endereços, contatos, etc Não digitar ou informar credenciais de acesso e senha em nenhum equipamento que não pertença a você ou à rede do FACESA, nem a informe por e- mail, página ou área que não seja as de uso comum e de autenticação dos sistemas internos. A DGTI jamais irá solicitar sua senha. Somente aceite auxílio de técnico de usuário da DGTI devidamente identificado com crachá institucional. Não executar nenhum procedimento técnico cujas instruções tenham sido recebidas por e-mail não institucional. Em caso de dúvidas, procure o setor de Atendimento da Divisão de Gestão em TI. Relate à equipe da DGTI qualquer procedimento interno ou externo que discorde com qualquer um dos tópicos anteriores. CAPÍTULO XI VIRUS, CÓDIGO E APLICAÇÕES MALICIOSAS O Antivírus é a ferramenta corporativa com ações automatizadas para proteção dos equipamentos que evita a instalação de vírus ou aplicações maliciosas nos computadores do FACESA Normalmente, a equipe técnica da DGTI se encarrega da administração do Antivírus, mas é sempre importante o apoio dos usuários: Nas máquinas que você utiliza, verifique sempre que existe o antivírus instalado com sucesso observando o ícone da ferramenta na barra de tarefas, localizado no canto inferior direito do seu monitor. 9
Evite o uso de CDs ou Pendrives desconhecidos ou de terceiros. Quando necessário faça sempre uma verificação de vírus. Caso não saiba como proceder solicite o apoio da DGTI. Sempre reporte comportamento suspeitos em seus computadores, principalmente de aplicações não responsivas. CAPÍTULO XII SANÇÕES Compete aos responsáveis pelos departamentos garantir o cumprimento destas diretrizes e encaminhar advertência formal a Gestão de Pessoas, caso necessário, para que sejam aplicadas as sanções decorrentes da não- observância a esta norma, sob a decisão da Diretoria Geral. CAPÍTULO XIII APOIO TÉCNICO Compete a DGTI implementar mecanismos que assegurem estas diretrizes, atender às dúvidas dos usuários, fazer a manutenção nos equipamentos da instituição e a instalação de qualquer software, analisando as solicitações conforme as regras citadas, cabendo-lhe encaminhar à Assessoria Jurídica da FACESA situações que suscitem dúvidas. Valparaíso de Goiás - GO, 24 de janeiro de 2018. 10