apresentação - realize - fachesf · cartilha de segurança da informação | apresentação 03...
TRANSCRIPT
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Apr
esen
taçã
o
03
Apresentação
Ciente da importância de aprimorar os controles de gestão e gover-nança, garantindo a proteção da informação e zelando pela integri-dade e sigilo dos dados corporativos, principalmente os dados dos Participantes e Assistidos, o Conselho Deliberativo da Fachesf apro-vou a Política de Segurança da Informação, no dia 5 de Fevereiro de 2010.
O referido documento contém as principais diretrizes para todas as ações e demais regulamentos relacionados ao tema. Nos últimos anos, a Fachesf tem intensificado a implantação de vários controles de proteção da informação e a formalização da Política vem para aperfeiçoar esse processo.
A informação é um dos bens mais valiosos da Fachesf, indepen-dentemente do formato que apresente: eletrônico (computador, pendrive, e-mail, etc.), linguagem falada (conversa pessoal ou telefô-nica) ou escrita (documentos, cartas, etc.). Dessa forma, é importante protegê-la sempre. Você, como usuário, tem um papel fundamental, pois a segurança da informação acontece através das pessoas!
Cada funcionário é um elo dessa grande corrente. O envolvimento de todos é essencial na consolidação e representatividade da nossa Política de Segurança da Informação.
Para apresentar os principais aspectos e conceitos que envolvem o tema, bem como facilitar e nivelar o entendimento de todos os cola-boradores da Fachesf, elaboramos esta cartilha.
Sugerimos que você leia o material por inteiro e que as orientações aqui repassadas possam fazer parte do seu cotidiano.
A Diretoria Executiva
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Sum
ário
04
Sumário
Os princípios básicos da Segurança Informação
Parte 01 Parte 02
Segurança da Informaçãoda Fachesf
Parte 02 Parte 03
Atitudes para a Segurança daInformação
Parte 03 Parte 04
Glossário:Termos Utilizados na Segurança da Informção
Parte 03 Parte 05
A importância da Segurança da Informação para as empresas
Parte 01
ANEXO lítica de Seguran
Política de Segurança da Informação da Fachesf
Parte 05 Anexo
página 06página 10
página 13página 28
página 36
página 43
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Sum
ário
05
Sumário
Os princípios básicos da Segurança Informação
Parte 01 Parte 02
Segurança da Informaçãoda Fachesf
Parte 02 Parte 03
Atitudes para a Segurança daInformação
Parte 03 Parte 04
Glossário:Termos Utilizados na Segurança da Informção
Parte 03 Parte 05
A importância da Segurança da Informação para as empresas
Parte 01
ANEXO lítica de Seguran
Política de Segurança da Informação da Fachesf
Parte 05 Anexo
página 06página 10
página 13página 28
página 36
página 43
Parte 01
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
1
07
Os pilares da segurança da informação nos dão ferramentas com-pletas para proteger as informações das empresas, ou seja, minimi-zar riscos e maximizar o maior retorno do investimento. Portanto, quando mencionamos “segurança da informação” estamos falando de proteções voltadas às informações impressas, verbais e sistêmi-cas, bem como, nos controles de acesso, vigilância, contingência de desastres naturais, contratações, cláusulas e demais questões que juntas formam uma proteção adequada para qualquer empresa.
Mas o que é Segurança da Informação? Segurança da Informação é um conjunto de medidas constituídas basicamente de controles e de políticas de segurança, tendo como objetivo a proteção das informações, através do controle dos riscos de revelação ou alteração por pessoas não autorizadas. Segurança da Informação remete à ideia de que informações e/ou conhecimen-tos estejam seguros e protegidos contra pessoas que não precisam (ou não devam) ter acesso a tais dados.
A segurança visa também aumentar a produtividade dos usuários, através de um ambiente mais organizado, com maior controle sobre os recursos materiais, patrimoniais e de informática.
O que é Política de Segurança da Informação?Política de Segurança é um conjunto de diretrizes que definem for-malmente as regras e os direitos para todos os colaboradores, visan-do à proteção adequada dos que compartilham a informação. Ela também define as atribuições de cada um dos atores, em relação à
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
1
08
O que é Engenharia Social?
É a ação mal intencionada que, aproveitando-se da ingenuidade e da confiança alheia, obtém informações importantes de uma determinada pessoa ou empresa, por meio de uma conversa informal.
O indivíduo mal intencionado geralmente usa telefone, e-mail, sa-las de bate-papo e até mesmo contato pessoal para conseguir as informações que procura. Muito cuidado: desconfie de abordagens de pessoas que ligam e se identificam como técnicos ou funcionários de determinada firma e pedem dados sobre a Fachesf, um Participante, você, etc. Nunca forneça dados se não foi você quem iniciou o contato ou se não tem como assegurar a credibilidade da pessoa e da firma.
segurança dos recursos com os quais trabalham, além disso, deve prever o que pode ser feito e o que será considerado inaceitável.
A informação é só o que está nos sistemas?
Não. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para a organização ou pessoa. Além do que está armazenado nos computadores, a informação também está impres-sa em relatórios, documentos, nos arquivos físicos, ou é repassada através de conversas nos ambientes interno e externo. Por isso, todo cuidado é pouco na hora de imprimir relatórios, jogar papéis no lixo, deixar documentos em cima da mesa, conversar sobre a empresa em locais públicos ou com pessoas estranhas.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
1
09
Internet: ameaças e vulnerabilidades
Atualmente a maioria das aplicações está ligada de alguma ma-neira à Internet, que pode ser considerada um marco impor-tante para reavaliar a maneira de utilizarmos o computador.
Porém, se por um lado a Internet é uma ferramenta mais indispen-sável a cada dia, e existe um número crescente de pessoas conecta-das, isto leva inevitavelmente, à existência de pessoas que vão se aproveitar da situação para obter benefício próprio de forma ilegal.
Com o aumento dos números de aplicações e a complexidade das redes, as pessoas e sistemas estão mais e mais susceptíveis a ataques.
O uso da Internet nas empresas trouxe novas vulnerabilidades na rede interna. Além das preocupações existentes com fraudes, er-ros e acidentes, as empresas precisam se preocupar agora com os hackers, invasões, vírus, cavalos de tróia e outras ameaças que pe-netram através dessa nova porta de acesso.
Por que acontecem ataques?
De alguma maneira, ataques acontecem porque existe:
• Motivação de um hacker (atacante do sistema);• Falha na estrutura de segurança do alvo atacado; • Desconhecimento do valor da informação.
Podemos então imaginar isso tudo como uma balança: quanto mais vulnerável é o sistema de segurança de uma empresa, menos mo-tivação precisa ter o hacker, pois é mais fácil efetuar o ataque. Se o sistema é muito bem protegido, entende-se que o hacker precisa de mais conhecimento, maior motivação e mais tempo para atacar.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
2
11
Os princípios básicos da Segurança da Informação são a Con-fidencialidade, Integridade e Disponibilidade das informações. Outras características são a Irrefutabilidade, a Autenticação e o Controle de Acesso. Os benefícios evidentes são reduzir os ris-cos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer esses princípios básicos.
Integridade: garantia da veracidade da informação, que não pode ser corrompida. A informação não deve ser alte-rada enquanto está sendo transferida ou armazenada. Além disso, ninguém pode modificar seu conteúdo e muito menos eliminá-lo.
Confidencialidade: proteção da informação comparti-lhada contra acessos não autorizados.
• Ameaça à segurança: acontece quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema), permitindo que sejam expostas informações restritas que deveriam ser acessíveis apenas por um determinado grupo de usuários.
• Ameaças à segurança: acontece quando uma determinada informação fica exposta ao manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
2
12
Disponibilidade: prevenção de interrupções na operação de todo o sistema; uma quebra do sistema não deve impedir o acesso aos dados. Os métodos para garantir a disponibi-lidade incluem um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança.
• Ameaça à segurança: acontece quando a informa-ção deixa de estar acessível para quem necessita dela. Se-ria o caso da perda de comunicação com um sistema im-portante para a empresa, devido à queda de um servidor ou de uma aplicação crítica de negócio, podendo ser por motivo interno ou externo ao equipamento por ação não autorizada de pessoas (com ou sem má intenção).
Acesso controlado: o acesso dos usuários à informação é restrito e controlado, significando que só as pessoas que devem ter acesso a uma determinada informação, tenham esse acesso.
• Ameaça à segurança: descuido e possível quebra da confi-dencialidade das senhas de acesso à rede, ou o acesso à rede por hackers mal intencionados.
Parte 03
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
14
Quanto ao uso dos recursos de Tecnologia
• Os recursos que permitem o acesso à informação são auto-rizados e disponibilizados exclusivamente para o usuário de-sempenhar suas funções na Fachesf ou para outras situações formalmente permitidas.
• Quando o usuário se comunicar através de recursos de tecnologia da Fachesf, a linguagem falada ou escrita deve ser profissional, de modo que não comprometa a imagem da Fundação.
• Os conteúdos acessados e transmitidos através dos recur-sos de tecnologia da Fachesf devem ser legais, de acordo com o Código de Ética da entidade, e devem contribuir para as atividades profissionais do usuário.
• O uso dos recursos de tecnologia da Fachesf pode ser exa-minado, auditado ou verificado pela Fundação, mediante autorização expressa da Diretoria Executiva, sempre respei-tando a legislação vigente.
• Cada usuário é responsável pelo uso dos recursos que lhe foram fisicamente entregues e estão sob sua custódia, ga-rantindo a conservação, guarda e legalidade dos programas (softwares) instalados.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
15
• Em caso de roubo ou furto de recursos físicos de tecnolo-gia, o usuário deve fazer o registro da ocorrência em unida-de policial, comunicar ao seu gestor e à ATI (Assessoria de Tecnologia da Informação).
• Os recursos de tecnologia da Fachesf, disponibilizados para os usuários, não podem ser repassados para outra pes-soa interna ou externa da organização.
• Ao identificar qualquer irregularidade no recurso de tecno-logia o usuário deve comunicar imediatamente à Assessoria de Tecnologia da Informação (ATI).
Quanto ao uso do computador
a. Propriedade do computador
O recurso computador disponibilizado para o usuário é de propriedade da Fachesf.
b. Disponibilização e uso
• O recurso computador disponibilizado para o usuário pela Fachesf tem por objetivo o desempenho das ativida-des profissionais desse usuário na organização.
• É necessário que o Gestor do Usuário autorize-o a usar o computador. Deve ser feita uma solicitação à ATI, que autorizará tecnicamente e fará a liberação mediante a dis-ponibilidade de recursos e atendimento das demais solici-tações.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
16
• É obrigatório que o equipamento a ser autorizado pela ATI seja um dos modelos aprovados para uso na Fachesf.
• É obrigatório que os programas aplicativos, programas produto e sistema operacional a serem utilizados no equi-pamento sejam os autorizados pela ATI.
• A Fachesf pode a qualquer momento retirar ou substituir o computador disponibilizado para o usuário.
• Cada computador deve ter o seu gestor, que é responsá-vel por esse equipamento. O controle das máquinas é de responsabilidade da ATI.
c. Programas utilizados no computador
• Os programas aplicativos, programas básicos (sistema operacional e ferramentas) e componentes físicos são im-plantados e configurados pela ATI.
• É proibido ao usuário implantar novos programas ou al-terar configurações sem a permissão formalizada da ATI.
• É proibido ao usuário implantar ou alterar componentes físicos no computador.
d. Verificação do computador
A Fachesf pode, a qualquer tempo, verificar o conteúdo armazenado no computador de cada usuário.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
17
e. Uso do computador portátil (Notebook)
• Quando o usuário não estiver usando o computador por-tátil, deve utilizar cabo de proteção física que evita o furto físico do equipamento.
• Caso o computador portátil fique mais de 12 horas sem uso, o usuário deve guardá-lo em um armário com chave.
• Ao transportar o computador portátil no carro, o usuário deve colocá-lo no compartimento porta-malas. O aparelho nunca deve ser deixado em local visível dentro do automóvel.
• Ao viajar com o computador portátil, o usuário deve mantê-lo próximo ao seu corpo e estar atento para evitar furtos em locais públicos.
• O uso de computadores portáteis em locais públicos (ae-roportos, recepções de hoteis, restaurantes) deve ser evitado. Caso seja extremamente necessário, o usuário deve tomar to-dos os cuidados para evitar furto ou perda do equipamento.
f. Responsabilidades do usuário
O usuário que utiliza o recurso computador deve:
• Cuidar adequadamente do equipamento. O usuário é o Custodiante deste recurso.
• Garantir a sua integridade física e o seu perfeito funciona-mento, seguindo as regras e orientações fornecidas pela ATI.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
18
g. Informações contidas no computador
O usuário tem a responsabilidade de transferir para o ser-vidor designado as informações que estão no computador portátil e que precisam possuir cópias de segurança.
h. Outras proteções
• Deve ser implantada a proteção de tela no computador e/ou proteção de ausência (após um tempo de inatividade, o computador bloqueia o sistema, exigindo senha para ser usado novamente).
• Havendo possibilidade técnica e viabilidade de utiliza-ção, a ATI pode desenvolver e implantar ações para que as informações armazenadas no computador portátil sejam criptografadas, evitando que, em caso de roubo ou perda do equipamento, as informações da Fachesf sejam acessa-das por pessoas não autorizadas.
i. Termo de compromisso
Para ter acesso à informação da Fachesf, o usuário deverá assinar (manual ou eletronicamente) um termo de compro-misso. Os casos de exceção serão definidos pela Diretoria Executiva.
Quanto ao uso da Internet
a. Autorização
O acesso à Internet através de recursos de tecnologia da Fachesf necessita ser autorizado pelo Gestor do Usuário.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
19
b. Realização do acesso
• O acesso à Internet somente acontecerá após o usuário se identificar no ambiente de tecnologia da Fachesf através dos controles do ambiente de rede de computadores.
• O acesso à Internet deve ser feito exclusivamente com os programas (softwares) autorizados e disponibilizados para os usuários pela ATI. O usuário não deve alterar as confi-gurações implantadas no computador, notebook, etc. que utiliza.
c. Responsabilidade e forma de uso
O usuário que utiliza o acesso à Internet:
• É responsável por todo acesso realizado com a sua iden-tificação/autenticação.
• É proibido de acessar locais virtuais (sites) que:
Possam violar direitos de autor, marcas, licenças de pro-gramas (softwares) ou patentes existentes.
Possuam conteúdo pornográfico, relacionado a sexo, ex-ploração infantil ou ao crime de pedofilia.
Contenham informações que não colaborem para o al-cance dos objetivos da Fachesf.
Defendam atividades ilegais.
Menosprezem, depreciem ou incitem o preconceito a determinadas classes como sexo, raça, orientação sexu-al, religião, nacionalidade, local de nascimento ou defi-ciência física.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
20
Que não tenham relação direta com a atividade profissio-nal desempenhada pelo usuário.
• Não deve retirar (copiar) dos endereços acessados (sites) material que não seja para o uso profissional na Fachesf. Nesses casos, o usuário deve garantir que está cumprindo a legislação em relação ao direito autoral, licença de uso e patentes existentes e que o uso do material foi autorizado pelo gestor da sua área.
• Está proibido de participar de salas de conversas (Chat) online, exceto em eventuais situações de uso profissional autorizado pelo gestor da área e pela ATI.
d. Uso de serviço de mensagem instantânea.
É proibido o uso de serviços de mensagem instantânea (MSN, etc), através dos computadores da Fachesf, exceto em eventuais situações de uso profissional autorizado pelo gestor da área e pela ATI.
e. Uso de serviço de rádio, TV, download de ví-deos, filmes e músicas.
É proibido o uso de serviços de rádio, TV, download de vídeos, filmes e músicas, através dos computadores da Fa-chesf, exceto em eventuais situações de uso profissional autorizado pelo gestor da área e pela ATI.
f. Bloqueio de endereços de Internet
Periodicamente a ATI revisará e bloqueará o acesso para os
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
21
endereços da Internet que não estejam alinhados com esta Política e com o Código de Ética da Fundação.
g. Uso de Correio Eletrônico particular tipo Web-Mail (centralizado em provedores)
• Os usuários poderão acessar serviços de correio eletrôni-co particular, tipo WebMail, através dos recursos de tecno-logia da Fachesf.
• Esse tipo de acesso está submetido à Política de Segu-rança da Informação da Fachesf e aos controles técnicos da ATI.
• Havendo necessidade técnica, esse tipo de acesso poderá ser bloqueado ou suspenso pela ATI.
Quanto ao uso do correio eletrônico (e-mail)
a. Endereço eletrônico do usuário
• A Fachesf disponibiliza endereços de seu correio eletrônico para utilização do usuário no desempenho de suas funções profissionais. (Ex.:[email protected])
• O endereço eletrônico disponibilizado para o usuário é in-dividual, intransferível e pertence à Fundação. • O endereço eletrônico cedido para o usuário deve ser o mesmo durante todo o seu período de vínculo com a Fa-chesf. Se houver necessidade de troca de endereço, a altera-ção deverá ser autorizada pela ATI e registrada para possibi-litar uma posterior verificação de autoria.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
22
b. Criação, manutenção e exclusão do endereço de correio eletrônico
• A utilização desse endereço de correio eletrônico pelo usuário necessita ser autorizada pelo seu Gestor.
• A liberação do endereço de correio eletrônico será feita pela ATI de maneira controlada e segura com o objetivo de garantir que apenas o usuário tenha possibilidade de utilizar o referido endereço.
• Quando acontecer desligamento de usuário do tipo em-pregado ou estagiário, a FCS (Central de Serviços) deve co-municar à ATI seu nome e a identificação.
• Quando acontecer desligamento de usuário do tipo não empregado e não estagiário, o Gestor da Informação deve comunicar à ATI o nome e a identificação desse usuário.
• Havendo necessidade, o Gestor do Usuário poderá auto-rizar à ATI para que, durante 30 dias, o endereço eletrô-nico de um usuário desligado permaneça ativo sem aces-so. Nesse caso será configurada uma resposta automática informando que o email foi desativado e que mensagens profissionais devem ser encaminhadas para outro endereço eletrônico indicado.
c. Endereço eletrônico de programas ou de co-municação corporativa
• É permitido que um programa aplicativo ou um progra-ma de sistema possua um endereço de correio eletrônico. Nesse caso, é obrigatória a existência de um usuário da
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
23
ATI responsável por acompanhar as mensagens emitidas e recebidas por esse endereço. • É permitido a existência de endereços de correio eletrô-nico para o envio de mensagens tipo Comunicação Interna da Fachesf, porém, é obrigatória a identificação do usuário que encaminhou a mensagem.
d. Acesso à distância
• O usuário pode acessar o seu endereço eletrônico cedido pela Fachesf mesmo quando estiver fora do ambiente de tecnologia da Fundação, através do serviço de correio ele-trônico via Internet (Web Mail).
• O acesso ao endereço da Fachesf na Internet deve ser autenticado via certificado digital.
• A ATI deve avaliar, junto com os usuários, o nível de proteção de sigilo que deve ser necessário para o uso de correio eletrônico de maneira remota.
e. Envio e recebimento de mensagens
• O endereço eletrônico de usuário do tipo prestador de serviço ou tipo estagiário somente poderá enviar e receber mensagens de endereços de correio eletrônico da Fachesf.
• O endereço eletrônico dos demais tipos de usuário pode enviar e receber mensagens internas ou externas.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
24
f. Propriedades do endereço
• O endereço de correio eletrônico disponibilizado para o usuário e as mensagens associadas a esse endereço são de propriedade da Fachesf.
• Em situações autorizadas pela Diretoria Executiva, as mensagens do correio eletrônico de um usuário poderão ser acessadas pela Fachesf ou por pessoas/entidades por ela indicada. Não deve ser mantida portando, expectativa de privacidade pessoal.
g. Responsabilidades e forma de uso
O usuário que utiliza um endereço de correio eletrônico:
• É responsável por todo acesso, conteúdo de mensagens e uso relativos ao seu e-mail.
• Pode enviar mensagens necessárias para o seu desempe-nho profissional na Fundação.
• É proibido de criar, copiar ou encaminhar mensagens ouimagens que:
Contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza.
Façam parte de correntes de mensagens, independente-mente de serem legais ou ilegais.
Repassem propagandas ou mensagens de alerta sobre qualquer assunto. Havendo situações em que o usuário ache benéfico divulgar o assunto para Fundação, a su-gestão deve ser encaminhada para a Área de Recursos Humanos, que definirá a sua publicação ou não.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
25
Menosprezem, depreciem ou incitem o preconceito a determinadas classes, como sexo, raça, orientação sexu-al, idade, religião, nacionalidade, local de nascimento ou deficiência física.
Possuam informação pornográfica, obscena ou impró-pria para um ambiente profissional.
Sejam susceptíveis de causar qualquer tipo de prejuízo a terceiros.
Sejam hostis ou transmitam indiretamente mensagens hostis.
Defendam ou possibilitem a realização de atividades ilegais.
Sejam ou sugiram a formação ou divulgação de corren-tes de mensagens.
Possam prejudicar a imagem da Fachesf.
Sejam incoerentes com o nosso Código de Ética.
• É proibido reproduzir qualquer material recebido pelo cor-reio eletrônico ou outro meio, que possa infringir direitos de autor, marca, licença de uso de programas ou patentes existentes, sem que haja autorização expressa do autor do trabalho e da organização.
• Deve estar ciente que uma mensagem de correio eletrônico da Fachesf é um documento formal e, portanto, possui as mesmas responsabilidades de um documento convencional em papel timbrado da entidade.
• Exceto quando especificamente autorizado para tal, é proi-bido emitir opinião pessoal, colocando-a em nome da Fachesf.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
26
• Deve observar se o endereço do destinatário corresponde realmente ao destinatário desejado.
• Deve ser diligente em relação:
aos usuários que receberão a mensagem (Destinatário/To, Copiado/Cc e Copiado Oculto/Bcc);
ao nível de sigilo da informação contida na mensagem;
aos anexos da mensagem, enviando os arquivos apenas quando for imprescindível e garantindo a confidenciali-dade dos mesmos;
ao uso da opção Encaminhar (Forward), verificando se é necessária a manutenção das diversas mensagens ante-riores que estão encadeadas.
• Deve acessar diariamente sua caixa de entrada, remover as mensagens não mais necessárias e responder rapida-mente às mensagens recebidas.
• Deve deixar mensagem de ausência quando for passar um período maior do que 48 horas sem acessar seu cor-reio eletrônico. Essa mensagem deve indicar o período de ausência e o endereço do substituto para quem deve ser enviada a mensagem.
• Deve avaliar se é conveniente para a Fachesf que outro usuário interno possa acessar suas mensagens de correio eletrônico e antecipadamente delegar esse acesso, quando se ausentar por um período maior que uma semana.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
3
27
h. Cópias de segurança
Para que seja possível uma gestão segura, efetiva, confiá-vel, administrável e passível de auditoria:
• A cópia de segurança das mensagens de correio eletrô-nico deve ser feita de forma centralizada no ambiente dos equipamentos servidores corporativos ou servidores regio-nais, sob a responsabilidade da ATI. • A ATI fornecerá o serviço de recuperação de mensagens de correio eletrônico, a partir de arquivos de cópia de se-gurança, cumprindo parâmetros de nível de serviço previa-mente estabelecido.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
29
Controle de acesso
O controle de acesso é parte central da segurança de uma em-presa do ponto de vista da segurança da informação. Por isso, é fundamental o uso diário do crachá nas instalações da Fachesf.
No ambiente externo, é melhor ficar atento
Falar sobre informações restritas ou segredos profissionais em um lugar público ou por telefone merecem cuidado especial. Fre-quentemente, as pessoas são o elo mais fraco na segurança da informação de uma empresa.
Quando seu equipamento viajar com você, evite deixá-lo por mui-to tempo sozinho em uma sala ou mesa da empresa. Qualquer pendrive ou conexão de rede pode levar dados valiosos.
Cuidado com o lixo que você produz
O lixo pode ser uma fonte de informações para pessoas mal inten-cionadas. Destrua os documentos que contenham informações sensíveis, pessoais ou da Fundação antes de descartá-los. Se o pa-pel que vai ser jogado no lixo contém informações que não devem ser lidas por estranhos, rasgue-o antes de jogá-lo fora.
Cuidados com senhas e acessos no sistema
Cada tarefa desenvolvida na Fachesf deve e precisa ter um respon-sável. A única forma de saber o responsável por cada atividade é através da identificação do usuário.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
30
Tudo que é feito com a sua identificação (assinatura ou senha) é de sua responsabilidade. Portanto, cuidado com seus dados, seja na rede ou nos sistemas, pois ela serve para garantir que você é realmente quem está usando esse acesso.
Se uma outra pessoa tem acesso a sua senha, ela poderá utilizá-la para se passar por você, porém, a responsabilidade por tudo que ela fizer será sua.
Alguns exemplos de ações que podem ser atribuídas a você, são:
• liberação de atendimentos indevidos;
• e-mails com informações inadequadas;
• acesso a páginas da internet proibidas;
• downloads proibidos.
Compartilhar sua senha é como assinar um cheque em branco.
Utilize senhas fortes, isto é, com mais de 6 caracteres, combi-nando numéricos e alfanuméricos, maiúsculas e minúsculas e não utilize datas comemorativas, sobrenomes, nome do cônju-ge, nome dos filhos, placas de carro, etc. Não escreva a senha em local público ou de fácil acesso, como por exemplo, em sua agenda, em um pedaço de papel pregado no seu monitor ou guardado na sua gaveta. Utilize uma senha diferente para cada serviço. Sempre que suspeitar de perda de sigilo das suas senhas, altere-as imediatamente.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
31
Pausa para o café
Apesar de saber que você é bastante cuidadoso, acidentes acontecem, e ao derramar café ou água em um documento ou no computador você poderá danificá-los.
Quanto às bolachas, os resíduos no teclado diminuem consi-deravelmente a vida útil do equipamento. A sujeira acumulada em baixo das teclas é difícil de limpar, portanto aproveite o momento do cafezinho, da água e da bolacha para esticar as pernas e fique longe dos computadores e papeis. Você pode até aproveitar para fazer um alongamento rápido.
Não esqueça de bloquear o computador nesses momentos de intervalo. Use o Ctrl+ALT+Del e você não perderá nada do que está fazendo (apenas a tela ficará protegida e sua senha deverá ser digitada novamente quando você voltar).
Uso de e-mails
Sua conta de e-mail foi criada para ser usada em atividades li-gadas ao trabalho. Alguns cuidados são indispensáveis em sua utilização:
• Não abra e-mails enviados por desconhecidos, principal-mente se eles contiverem arquivos anexados;
• Não responda mensagens de propaganda;
• Não repasse mensagens com notícias sensacionalistas, pe-didos de ajuda, avisos de vírus, textos de auto-ajuda e outras similares;
• Não cadastre seu endereço da Fachesf em listas de discus-são, sites de compra ou similares;
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
32
• Confirme se os destinatários estão corretos;
• Avalie a necessidade de enviar “com cópia”;
• Verifique se é necessário o envio de mensagens encadea-das e o envio de anexos;
• Escreva textos claros, simples e objetivos;
• Não acredite em todos os e-mails sobre vírus, principal-mente aqueles de origens duvidosa, que mandam em ane-xo um arquivo para ser executado prometendo solucionar o problema. Verifique sua veracidade com a ATI;
• Atenção: o correio eletrônico deve ser usado apenas para assuntos relacionados com a Fachesf.
Fique atento ao Vírus
Os vírus são programas que se multiplicam e podem afetar o funcionamento de toda a rede, além de roubar sua senha ou apagar arquivos preciosos na sua máquina. Ao perceber que o computador que você usa foi infectado, desligue a máquina e comunique imediatamente ao helpdesk.
A melhor forma de combater os vírus é proceder da seguinte forma:
• Verifique se o antivírus da máquina que você usa está liga-do (cor verde no canto inferior direito da tela) e mantenha-o atualizado.
• Não abra e-mails e arquivos enviados por desconhecidos;
• Não abra programas ou fotos que dizem oferecer prêmios;
• Cuidado com os e-mails falsos de bancos, lojas e cartões de crédito;
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
33
• Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS e, principalmente, os terminados com EXE e COM;
• Nunca acredite em pedidos de pagamento, correção de senhas ou solicitação de qualquer dado pessoal por e-mail. Comunique-se por telefone com a instituição que suposta-mente enviou a mensagem e confira o assunto;
• Se você desconfiar de um e-mail recebido, mesmo quando enviado por pessoa conhecida, não abra-o, pois pode ser falso: Apague-o imediatamente e não utilize o contato.
Instalação de Softwares
A instalação de softwares não autorizados podem colocar em risco toda a rede da Fachesf. Mesmo que seja para melhorar o seu desempenho no trabalho, solicite à ATI a análise prévia do programa que você pretende instalar. O uso de cópias não au-torizadas podem acarretar multa de 3 mil vezes o valor de sua licença. Dessa forma, até um simples descompactador pode sair muito caro.
Cópias de segurança
Cópias de segurança dos dados armazenados em um compu-tador são importantes não apenas para recuperar eventuais fa-lhas, mas também para reparar as consequências de uma pos-sível infecção por vírus ou invasão.
Quais são as formas de realizar cópias de segurança?
Cópias de segurança podem ser simples, como o armazenamen-to de arquivos na rede, em CDs ou DVDs, ou mais complexas, como o espelhamento de um disco rígido inteiro em um outro disco de computador. Atualmente, uma unidade gravadora de
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
34
CDs/DVDs e um software que possibilite copiar dados são sufi-cientes para que a maior parte dos usuários de computadores realizem suas cópias de segurança.
Também existem equipamentos e softwares mais sofisticados e específicos que, dentre outras atividades, automatizam todo o processo de realização de cópias de segurança, praticamente sem intervenção do usuário. A utilização de tais recursos envol-ve custos mais elevados e depende de necessidades particulares de cada usuário. Com que frequência devo fazer cópias de segurança?
A frequência em que deve ser realizada uma cópia de segurança e a quantidade de dados armazenados nesse processo depende da periodicidade em que o usuário cria ou modifica arquivos. Cada um deve criar sua própria rotina de cópia dos arquivos.
Navegando na Internet
• Verifique se o endereço que está aparecendo em seu nave-gador é realmente o que você deseja acessar;
• Antes de clicar em um link, veja na barra de status do na-vegador se o endereço de destino está de acordo com a sua descrição;
• Não autorize a instalação de softwares de desconhecidos ou de sites estranhos;
• Confie em seus instintos. Se você desconfiar de um site, saia da página imediatamente;
• Não clique em OK ou confirme sem entender a mensagem
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
4
35
que está sendo confirmada. Na dúvida, ligue para o help-desk;
• Use a internet somente para assuntos relacionados exclusi-vamente com o seu trabalho.
Adote um comportamento seguro
• Não utilize ferramentas da empresa como “Notebook” ou “PC” para armazenar conteúdo particular como fotos ou tex-tos;
• Não baixe nem instale qualquer programa no PC sem ter autorização expressa da ATI;
• Não compartilhe nem divulgue sua senha a terceiros;
• Não transporte informações confidenciais da Fachesf em qualquer meio (CD, DVD, disquete, pendrive, papel, etc.) sem as devidas autorizações e proteções;
• Assuntos confidenciais de trabalho não devem ser discu-tidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais, etc.);
• Não abra mensagens de origem desconhecida nem utilize a internet para acessar sites de relacionamento e/ou salas de bate-papo;
• Armazene e proteja adequadamente documentos impres-sos e arquivos eletrônicos que contêm informações confi-denciais;
• Siga corretamente a política para uso de internet e correio eletrônico estabelecida pela Fachesf.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
5
37
Acesso à informação
É o ato de um usuário ter contato com a informação e ter co-nhecimento dela. Pode ser no ambiente de tecnologia (através de computadores) ou no ambiente convencional, quando aces-samos uma pasta ou um documento em papel.
Acesso seguro (acesso controlado)
É o acesso à informação feito com a existência de controles que buscam garantir que:
• as informações sejam acessadas apenas por pessoas de direito;
• seja registrado tudo que é feito com a informação;
• seja indicado os tipos de acesso: se somente para leitura, se autorizada alteração ou se autorizada a remoção da in-formação;
• foram tomados cuidados para garantir a integridade da informação.
Ambiente convencional
É o ambiente físico onde vivemos. As informações nesse am-biente convencional estão em papel, escritas no quadro ou em outros meios físicos.
:
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
5
38
Ambiente de desenvolvimento
É o ambiente onde os sistemas aplicativos são desenvolvidos. Antes de um sistema funcionar, ele precisa ser criado e testado, ficando acessivel, portanto, apenas para o pessoal envolvido no desenvolvimento desse sistema.
Ambiente de produção
É o ambiente computacional onde os sistemas que atendem à organização funcionam e as suas informações estão sendo utili-zadas pelos usuários durante o funcionamento da organização. É o ambiente verdadeiro: o que estiver nele é o que vale para a organização.
Ambiente de tecnologia
É o ambiente que utiliza a tecnologia para o tratamento da informação, o mundo virtual. Nesse caso, as informações estão gravadas nos discos (e outras mídias) e para utilizarmos a mes-ma precisamos de equipamentos de tecnologia e de programas que são executados nesse ambiente.
Autenticação do usuário
É a validação de que a pessoa que está acessando um sistema da Fachesf é realmente quem diz ser. No mundo convencional, autenticamos alguém pela sua carteira de identidade ou através de um amigo de confiança que garante que aquela pessoa é realmente quem diz ser.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
5
39
Confidencialidade da informação
É a característica da informação que indica acesso somente por pessoas previamente autorizadas.
Continuidade do recurso
É a garantia de que o recurso vai continuar disponível e operan-te ao longo do tempo. Um recurso pode deixar de estar dispo-nível caso seja roubado ou destruído.
Cópia de segurança
É a cópia de uma informação (dados, imagem, outro) que pode ser utilizada caso a informação original seja destruída.
Criptografia da informação
É um processo matemático que transforma a informação ori-ginal em uma sequência de dados ilegíveis, garantindo a sua confidencialidade, e depois permite retornar à informação ori-ginal (legível).
Custodiante de recurso
É a pessoa que fica responsável por determinado recurso e tem a obrigação de presar pelo seu funcionamento adequado ao longo do tempo.
Disponibilidade da informação
É a característica que exige que a informação esteja sempre dis-ponível para ser usada pela organização (de acordo com o que foi combinado).
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
5
40
Gestor da Informação
É a pessoa que autoriza ou nega o acesso à informação pelo usu-ário. Essa autorização ocorre em função da avaliação determinada que o gestor faz sobre a real necessidade do acesso à determinada informação.
Gestor do Usuário
É a pessoa (normalmente a chefia) que tem a responsabilidade de indicar que o usuário é uma pessoa verdadeira naquela or-ganização e realiza determinadas tarefas.
Grupo de acesso à informação
É um grupo de pessoas que possui o mesmo direito de acesso à informação. Nesse caso, todos compartilham um mesmo meio de acesso.
Identificação do usuário
É a sequência de caracteres que representará o usuário no am-biente computacional. Exemplo: matrícula, nome, CPF.
Integridade da informação
É a característica que possibilita que a informação não seja cor-rompida ao longo do tempo. Exemplo: em uma folha de fax, ao longo do tempo, a informação perde sua integridade, pois é apagada.
Limites de acesso à informação: leitura, alteração, acesso de retirada do recurso
Quando é dado um acesso à informação, deve-se indicar o po-der desse acesso: alguns usuários poderão apenas ler o conte-
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
5
41
údo, enquanto outros poderão alterá-lo. Haverá ainda aqueles que poderão apagar a informação.
Nível de sigilo da informação
Indica o tratamento mais ou menos rígido que deve ser dado à informação, em relação à sua possibilidade de acesso. Por exemplo: uma informação com nível público de sigilo não pre-cisa ser destruída após seu uso. Porém, uma informação con-fidencial deve ser destruída (de forma a não poder ser refeita).
Perfil de acesso à informação
Está relacionado a um perfil profissional. Exemplo: gerentes. Nesse caso, teremos o perfil do gerente previamente definido com vários acessos autorizados. Quando alguém na organiza-ção for contratado como gerente, receberá os acessos do perfil correspondente.
Processo de segurança da informação
É o processo que implanta, desenvolve, mantém, atualiza e pla-neja a segurança da informação na organização.
Programas produto
São programas vendidos para as empresas com pouca ou ne-nhuma customização. Exemplo: um processador de textos.
Recurso de informação
São elementos que armazenam, processam, transmitem ou tra-tam a informação; variam do mundo tecnológico (discos, fitas e equipamentos) até o ambiente convencional (papeis, nossas mentes).
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Par
te 0
5
42
Recurso físico que suporta a informação
É o recurso físico que possui a informação. Exemplo: uma folha de papel. O papel é o recurso, mas a informação é aquilo que está escrita nele.
Registro de acesso à informação
É o registro de quando a informação foi acessada, alterada, gravada ou removida. É importante para gerenciar o acesso à informação.
Servidor (Computador)
É o computador ou o conjunto de computadores que suportam o ambiente corporativo de uma organização. Normalmente o responsável pelos servidores de uma organização é da área de TI.
Situações de contingência
São situações que tornam indisponíveis a informação (ou ou-tro recurso). Podem ser causadas por problemas da natureza (chuvas, raios, terremotos) ou ação humana (roubos, atenta-dos, erros).
Sistemas aplicativos
São sistemas desenvolvidos para atender de maneira especifica as organizações. Exemplo: folha de pagamento, controle de es-toque, etc.
Usuário
É a pessoa que utiliza a informação.
ANEXO Política de Segurança
da Informação da Fachesf
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Ane
xo
44
1. Objetivo
Definir as diretrizes para o uso da informação na Fachesf.
2. Abrangência
• Toda informação do ambiente de tecnologia e do ambien-te convencional da Fachesf.
• Todo usuário da informação da Fachesf: conselheiro, pre-sidente, diretor, empregado, estagiário, participante, presta-dor de serviço e eventualmente algum órgão que seja legal-mente autorizado a acessar informações da Fundação.
3. Diretrizes
3.1 A informação da Fachesf deve ser protegida de maneira a garantir sua confidencialidade, integridade, disponibilida-de e acesso controlado.
3.2 O acesso à informação:
• Deverá possibilitar e facilitar o desempenho das ativida-des relativas à Fachesf;
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Ane
xo
45
• Atenderá à legislação em vigor;
• Poderá ser examinado, auditado ou verificado mediante autorização da Diretoria Executiva ou autoridade compe-tente.
• Será realizado através de uma identificação pessoal do usuário e de uma autenticação que garanta a veracidade da sua identificação;
• Será autorizado pelo Gestor da Informação que tem a responsabilidade de avaliar o pedido de acesso para o usu-ário.
3.3 O usuário:
• É responsável pelo acesso realizado com a sua identifica-ção e autenticação;
• Deve acessar a informação para desempenhar profissio-nalmente suas funções relacionadas à Fachesf ou para ou-tras situações formalmente permitidas;
• Será validado pelo Gestor de Usuário que assegurará sua atuação na Fachesf.
3.4 Todos os recursos de informação da Fachesf devem possuir um Custodiante de Recurso que tem a responsabi-lidade pela integridade, disponibilidade para uso e conti-nuidade do recurso.
Car
tilha
de
Segu
ranç
a da
Info
rmaç
ão |
Ane
xo
46
3.5 Apenas produtos autorizados no portfólio da Fachesf e sistemas aplicativos homologados pelas áreas técnica e de negócio podem ser executados no ambiente de produção.
3.6 As informações devem ser classificadas em relação ao seu nível de sigilo com o objetivo de descrever o tratamento que deve ser dado a essa informação e ao respectivo recurso de informação.
3.7 A Diretoria Executiva tem a responsabilidade de:
• Designar os Gestores da Informação, Gestor de Usuário e Custodiante de Recursos;
• Garantir a existência de um plano de continuidade para os recursos de informação que suporte situações de con-tingência e definir os limites dessa disponibilidade;
• Garantir a implantação e manutenção do processo de segurança da informação;
• Manter ações de conscientização, treinamento e educa-ção dos usuários em segurança da informação.
4. Cumprimento
O não cumprimento desta política por parte do usuário deve acarretar punições administrativas e contratuais.
Ficha técnicaEdição: Assessoria de Comunicação Institucional (ACI)Textos: Assessoria de Tecnologia da Informação (ATI)
e Assessoria de Comunicação Institucional (ACI)Projeto Gráfico: Corisco Design
