modelo trabalho politica de segurança
DESCRIPTION
Modelo Trabalho Politica de SegurançaTRANSCRIPT
1
TECNOLOGIA EM REDES DE COMPUTADORES
CARLOS WILTEMAR DE FREITAS ALVES
FRANCISCO HÉLIO DE OLIVEIRA LIMA JUNIOR
ROBERTO BRUNO NETO
POLITICA DE SEGURANÇA DA INFORMAÇÃO
FORTALEZA
2007
2
CARLOS WILTEMAR DE FREITAS ALVES
FRANCISCO HÉLIO DE OLIVEIRA LIMA JUNIOR
ROBERTO BRUNO NETO
POLITICA DE SEGURANÇA DA INFORMAÇÃO
FORTALEZA
2007
3
CARLOS WILTEMAR DE FREITAS ALVES
FRANCISCO HÉLIO DE OLIVEIRA LIMA JUNIOR
ROBERTO BRUNO NETO
POLITICA DE SEGURANÇA DA INFORMAÇÃO
Estudo de caso da implantação de política de segurança da empresa Enerlux baseado na metodologia empregada pela norma ABNT NBR ISO/IEC 17799:2005 apresentado ao curso de Tecnologia de Redes de Computadores da faculdade Integrada do Ceará como objetivo para conclusão da disciplina de Segurança da Informação, sob orientação do Professor Esp. Clayton Felipe Reymão Soares.
FORTALEZA
2007
4
RESUMO
Na medida em que ocorre o incremento freqüente da eficiência dos sistemas de informação, cada vez mais ocorre um considerável aumento da complexidade deste cenário o que proporcionalmente repercute num ambiente altamente inseguro. Preocupações primordiais com a segurança da informação tornam-se ponto obrigatório, levando empresas, profissionais de TI e mesmo pessoas físicas a buscar conhecimentos de no mínimo conceitos básicos sobre segurança da informação. Vários textos foram criados com o decorrer do tempo, modelos e referências gerais para melhores práticas de segurança básica em ambientes tecnológicos. Tais atitudes culminaram na criação, através de órgãos e instituições públicas, de normas específicas, a fim de buscar padronizações dessas melhores práticas. Buscamos com este trabalho demonstrar a utilização de tais padrões em ambiente corporativo, baseando-se na norma NBR ISO/IEC 17799:2005, que visa demonstrar conjunto de normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para a sua implantação.
Palavras-chave: Complexidade, segurança da informação, ambiente inseguro, 17799:2005, riscos.
5
ABSTRACT
In the measure in that it happens the frequent increment of the efficiency of the systems of information, more and more it happens a considerable increase of the complexity of this scenery that proportionally echoes in an atmosphere highly insecure. Primordial concerns with the safety of the information become obligatory point, taking companies, professionals of IT and even natural persons to look for knowledge of in the minimum basic concepts on safety of the information. Several texts were created with elapsing of the time, models and general references for practical best of basic safety in technological atmospheres. Such attitudes culminated in the creation, through organs and public institutions, of specific norms, in order to look for standardizations of those practical best. We looked for with this work to demonstrate the use of such patterns in corporate atmosphere, basing on the norm NBR ISO/IEC 17799:2005, that it seeks to demonstrate group of norms on requirements of system of administration of the safety of the information, administration of risks, metric and measured, and guidelines for his/her implantation.
Key-words: Complexity, safety of the information, insecure atmosphere, 17799:2005, risks.
6
LISTA DE FIGURAS
Figura 1 - Empresa Enerlux - Representação do Ambiente .........Erro! Indicador não definido.
Excluído: 10
7
LISTA DE TABELAS
TABELA 1 - AVALIAÇÃO DA RELEVÂNCIA DO RISCO ........................................ 12
TABELA 2 – LEVANTAMENTO DE RISCOS E CLASSIFICAÇÃO ......................... 13
TABELA 3 – POLÍTICAS DE SEGURANÇA ............................................................ 16
8
LISTA DE ABREVIATURAS E SIGLAS
BIOS – Basic Input/Output System
CFTV – Circuito Fechado de Televisão
ETC – Etecetera
GPO – Group Policy Objects
MAC - Media Access Control
PBX – Private Branch Exchange
PC – Personal Computer
PST – Formato de arquivos Microsoft Outlook
SQL – Structured Query Language
TI – Tecnologia da Informação
UPS – Uninterruptible power supply
WEB - World Wide Web
WEP – Wired Equivalent Privacy
WI-FI – wireless fidelity
WPA – Wi-Fi Protected Access
WSUS – Windows Server Update Services
9
SUMÁRIO
1 INTRODUÇÃO........................................................................................1
1.1 Objetivo................................................................................................1
1.2 Referencia Normativa ..........................................................................1
2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ................................2
2.1 Segurança da Informação ...................................................................2
2.2 Para que Serve ....................................................................................3
2.3 Histórico ...............................................................................................3
3 VISÃO GERAL DO AMBIENTE.............................................................5
3.1 Desenho do Ambiente .......................................................................10
4 ANALISE E TRATAMENTO DE RISCOS ...........................................11
4.1 Modelo de Classificação da Criticidade dos Riscos..........................11
4.2 Levantamento de Riscos e Classificação..........................................13
4.4 Documentos.......................................................................................16
4.4.1 P01 – Política de Segurança Patrimonial .........................................................17
4.4.2 P02 – Política de Controle de Acesso ..............................................................19
4.4.3 P03 – Política de Backup .................................................................................22
4.4.4 P04 – Política de tratamento de incidentes ......................................................23
4.4.5 P05 – Política de Manutenção de Equipamentos.............................................25
4.4.6 P06 – Política de Correio Eletrônico.................................................................26
BIBLIOGRAFIA .......................................................................................28
ANEXOS..................................................................................................29
Excluído: 16
Excluído: 18
Excluído: 20
Excluído: 21
Excluído: 23
Excluído: 24
Excluído: 26
Excluído: 27
1
1 INTRODUÇÃO
A Companhia Enerlux, localizada na Rodovia CE 333, km 12, no
Complexo Industrial, foi inaugurada em Dezembro de 2006.
A usina termelétrica é do tipo Ciclo Combinado, empregando gás natural
como combustível, e possui uma potência total instalada de 310,7MW. O gás é
fornecido pela Petrobrás, através de sistema de gasodutos, com interligação pelo
“City-Gate” situado a aproximadamente 600 metros a leste do terreno da usina.
A Companhia tem por objetivo produzir e comercializar energia elétrica no
Estado do Ceará, reduzindo a vulnerabilidade em relação ao déficit de energia
elétrica da região, conforme identificado pela Eletrobrás.
A Usina está interligada com o sistema de transmissão e distribuição de
energia elétrica através de Subestação da Companhia Hidroelétrica do São
Francisco – CHESF, situada a aproximadamente 700 metros ao sul da área do
empreendimento.
A Companhia está autorizada pela ANEEL – Agência Nacional de Energia
Elétrica para estabelecer-se como produtor independente de energia elétrica,
conforme Resolução 433, de 19 de outubro de 2001.
1.1 Objetivo
Este trabalho tem por objetivo descrever os elementos que compõem a
política de segurança da informação da Companhia Enerlux, bem como sua
interação e fazer referencia aos documentos associados, que demonstram a
adequação desta com o modelo normativo adotado.
1.2 Referencia Normativa
A política de segurança da informação da Companhia Enerlux se baseia
na norma NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de
Segurança – Código de prática para a gestão da segurança da informação.
2
2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
2.1 Segurança da Informação
Segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,
maximizar o retorno sobre os investimentos e as oportunidades de negócio (NBR
ISO/IEC 17799:2005, p.ix).
“Preservação da confidencialidade, da integridade e da
disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, não
repúdio e confiabilidade, podem também estar envolvidas.“
(NBR ISO/IEC 17799:2005, pág.1).
Segundo Wikipédia (2007), a Segurança da Informação está relacionada
com métodos de proteção aplicados sobre um conjunto de dados no sentido de
preservar o valor que possui para um indivíduo ou uma organização.
São características básicas da segurança da informação os aspectos de
confidencialidade, integridade e disponibilidade, não estando restritos somente a
sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.
O conceito se aplica a todos os aspectos de proteção de informações e dados.
Conforme Goldim (2003), a definição clássica de confidencialidade é a
garantia do resguardo das informações dadas pessoalmente em confiança e a
proteção contra a sua revelação não autorizada, ou seja, (Wikipédia, 2007).deve
garantir que a informação não esteja disponível ou mesmo seja divulgada a
indivíduos, entidades ou processos sem autorização.
Conforme Wikipédia (2007), em segurança da informação, integridade
significa ter a disponibilidade de informações confiáveis, corretas e dispostas em
formato compatível com o de utilização, ou seja, informações íntegras.
Disponibilidade tem por objetivo manter os serviços disponibilizados o
máximo de tempo possível.
3
2.2 Objetivos
Segundo Data Security (2006), a Política de Segurança da Informação
serve como base ao estabelecimento de normas e procedimentos que garantem a
segurança da informação, bem como determina as responsabilidades relativas à
segurança dentro da empresa.
Ainda segundo Data Security (2006), a elaboração de uma Política de
Segurança da Informação deve ser o ponto de partida para o gerenciamento dos
riscos associados aos sistemas de informação.
Para atender as principais necessidades da empresa, uma Política de
Segurança da Informação deve ser:
• Clara e concisa
• De fácil compreensão
• Coerente com as ações da empresa
• Amplamente divulgada
• Revisada periodicamente
A Política de Segurança da Informação visa preservar a confidencialidade,
integridade e disponibilidade das informações. Descrevendo a conduta adequada
para o seu manuseio, controle, proteção e descarte.
2.3 Histórico
Na sociedade moderna, com o advento do surgimento dos primeiros
computadores houve uma maior atenção para a questão da segurança das
informações, inicialmente esta preocupação era ainda muito rudimentar, porém com
o passar do tempo este processo mudou.
A partir da década de 90, o boom da internet trouxe também o boom dos
ataques às redes de computadores. A segurança de dados deixou de ser apenas
uma preocupação com a perda da informação devido a um acidente com os meios
de armazenamento ou a uma operação indevida do usuário. Tem-se agora a
4
ameaça de ataques via rede, podendo haver roubo das informações, vandalismos
que as destruam ou simplesmente técnicas de navegação de serviços impedindo o
acesso aos dados (JUNIOR, 2006, p.16).
Outra grande fonte de ameaças é o ataque interno, esse muitas vezes até
mais difícil de ser contido devido ao nível de acesso e a proximidade que usuário
tem à rede e aos seus recursos físicos. Neste caso, como resolver o problema de
permitir o acesso a certas informações aos usuários autorizados e,
simultaneamente, como negar o acesso aos usuários não autorizados?
Segundo Gonçalves (2003):
“A questão da segurança no âmbito dos computadores ganha força com o surgimento das máquinas de tempo compartilhado, também conhecidas como computadores "time-sharing", ou seja, que permitiam que mais de uma pessoa, ou usuário, fizessem uso do computador ao mesmo tempo, processo comum na atualidade mas que até então não era possível.”
Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um
conjunto de regras para avaliação de segurança das, este conjunto de regras ficou
conhecido como “The Orange Book”.
Mais tarde surgiu a primeira norma homologada a apresentar soluções
para o tratamento da informação de maneira mais ampla. Segundo a norma todo
tipo de informação deve ser protegido, independente da sua forma de
armazenamento, seja analógica ou digital, e de seu valor para a organização, sendo
ela a BS-799 publicada pelo comitê Comercial Computer Security Centre, criado
pelo governo britânico.
Em 2000 houve a homologação da BS-7799 que deu origem à Norma
Internacional de Segurança da Informação – ISO/IEC 17799, e já em abril de 2001, a
versão brasileira da norma ISO homologada pela ABNT, que passou a ser
denominada NBR ISO/IEC 17799:2000 e em 30 de setembro de 2005, passou a ser
validada a segunda edição atualizada da norma brasileira a NBR ISO/IEC
17799:2005.
5
3 VISÃO GERAL DO AMBIENTE
A Enerlux decidiu criar uma política de segurança que permitisse garantir
que o processo interno da empresa seguisse as idéias de melhores práticas em TI,
permitindo que à empresa receber certificações comerciais de qualidade de serviço
e assim permitir sua entrada em novos mercados
Os limites da política de segurança da informação acham-se abaixo descriminados:
Escopo de localização:
• A Companhia está localizada na Rodovia CE 333, km 12, no Complexo
Industrial
Escopo de produtos e serviços:
• Geração de energia elétrica a partir da queima do gás e do
aproveitamento dos gases resultantes para mover uma turbina a vapor.
Principais processos:
• Enlaces de dados e voz (rádio);
Consiste de um rádio situado no setor da Operação, interligado com
sistema do provedor de acesso, utiliza roteador com conexão E1 de 2MB, sendo que
este sinal é multiplexado (via multiplexador da própria empresa) dividindo este sinal
em 1MB para trafego de dados e 1MB para trafego de voz, interligado a placa ISDN
na central PBX e ao Roteador da empresa.
Estes equipamentos localizam-se em sala de racks de ativos no setor da
Operação da Usina, não tendo controle de acesso, tampouco sistema de detecção
de incêndios.
6
• Rede Wifi;
Consiste de equipamentos de ponto de acesso (Access Point) instalados
nos setores de Administração, Manutenção Eletroeletrônica, Operação, Capacitação
da empresa. Os acessos são realizados a partir de notebooks da Empresa cedidos a
supervisores, gerentes e diretores, não sendo abertos a acessos de visitantes
tampouco a notebooks pessoais de funcionários.
Os pontos de acesso são controlados pelo setor de informática e não
contém qualquer controle de segurança de acesso tampouco criptografia nos
modelos que utilizam protocolos 802.11b e 802.11g, bem como não utilizam
filtragem MAC address, sendo portanto uma rede “aberta”..
• Controle de acesso físico e lógico;
Acessos à rede são realizados via pontos de rede cabeada (tomadas
localizadas nos diversos setores da empresa) através apenas de computadores
instalados na Empresa, não sendo permitido acesso de equipamento de terceiros à
rede, contudo, não existe um controle efetivo dos equipamentos de terceiros que
adentram a empresa. Os acessos são realizados através de chaves de acesso
disponibilizadas a cada usuário (usuário e senha de rede), sendo de cunho pessoal
e intransferível, percebe-se entretanto que alguns usuários compartilham algumas
senhas entre si.
Este controle é feito mediante Servidor Controlador de Domínio baseado
em plataforma Microsoft (Active Directory), onde ficam armazenadas as contas dos
usuários que podem efetuar acesso à rede da empresa.
• Ativos de rede;
Compreende-se como ativos de rede todos os equipamentos de
interconexão que fazem parte da rede da empresa, sendo eles Switchs, Roteadores,
Servidores, UPS com conexão à rede ou a algum ativo da rede, impressoras de
rede, dentre outros. Até o momento não existe controle quanto a manutenções
programadas, apenas ações reativas em caso de falhas.
7
A empresa possui nove (4) switchs de core conectadas a anel ótico que
circunda a empresa contendo redundância, e cinco (5) switchs de distribuição
espalhadas pelos diversos racks de serviço instalados nos quatro principais prédios
da empresa.
Um roteador instalado no rack de comunicação no setor de painéis da
operação, em ambiente com temperatura controlada e acesso restrito.
• Serviços de rede (servidor de arquivos, serviço de diretório, correio,
aplicativos);
A Empresa tem os seguintes serviços de rede:
- Servidor de arquivos contendo todas pastas administrativas
(Administrativo, Manutenção, Operação, Terceiros, GestaoUsina) controladas
através de políticas de grupos de acesso, e pastas pessoais dos usuários da rede
(Users), bem como pasta de domínio público (sem restrições de acesso)
denominada Público, algumas destas pastas ainda não fazem parte de nenhum
esquema de backup.
O acesso é realizado através da rede da empresa, e o acesso aos dados
é controlado através de grupos de acesso determinados pelo setor de TI em
conjunto com as gerencias setoriais da empresa.
Este Servidor também contém as filas de impressão que são utilizadas
pelos setores da empresa e determinadas a cada usuário através de scripts
acionados no momento do logon e determinado via GPO (Group Policy Objects).
- Servidor de diretórios que armazena os objetos do domínio da empresa
(Active Directory) e provê a liberação do acesso aos recursos de rede.
Este servidor tem seu acesso administrativo restrito apenas ao
Administrador da rede da empresa, não podendo ser acessado, portanto, por
nenhum outro funcionário.
Nele estão contidas todas as contas de usuário da empresa, bem como
suas senhas e informações adicionais, bem como outros objetos como
computadores, impressoras, grupos de acessos, etc., este banco centralizado de
informações permite a administração centralizada do Domínio da empresa.
8
A inclusão de registros neste banco como contas de usuários é efetuada
mediante solicitação formal das gerencias dos setores da empresa à área de TI.
Computadores, notebooks e demais ativos de rede que podem ser
inseridos no domínio são feitos apenas pelo setor de TI.
Também a inserção de usuários a grupos de segurança (acesso) são
efetuadas mediante solicitação formal das gerencias dos setores da empresa ao
setor de TI.
- Servidor de correio, que provê todo o serviço de envio e recebimento de
e-mails internos e externos da empresa, utilizando-se do software Exchange.
O Servidor de correio está instalado em servidor próprio da empresa,
utiliza o Microsoft Exchange Server para gerenciar as caixas de correios dos
usuários e encontra-se integrado ao Active Directory da empresa.
A administração deste servidor é realizada pelo setor de TI da empresa e
o acesso dos usuários a suas caixas de correio é efetuado através de cliente
Microsoft Outlook instalado nos micros/notebooks da empresa, configurados pelo
pessoal de TI. As mensagens são armazenadas em arquivos PST configurados em
pasta padrão no disco do usuário (para facilitar backups futuros).
Existe tráfego intenso de correio não corporativo por parte dos usuários
que utilizam suas contas também para assuntos pessoais.
- Servidor de aplicações, contendo banco de dados que suporta sistema
de registro e calculo cientifico de probabilidade de falha denominado Autolab, onde é
realizado todo o cadastro de instrumentos (instrumentação) que fazem parte da área
industrial, e inserção dos dados de acompanhamento de alterações nas medições
destes equipamentos, tal sistema não possui contrato de manutenção, tampouco
existe qualquer procedimento de recuperação em caso de falha.
Neste servidor também está localizado o Serviço denominado WSUS que
efetua as atualizações de segurança de todos os micros/notebooks inseridos no
domínio a empresa.
Contém também o software de coleta de tarifação telefônica (STI On-line),
sistema de gravação de voz (Mirra Racal).
9
• Backup;
A empresa possui biblioteca de backup responsável por realizar o backup
previsto na política de backup da empresa, que ainda está em processo de
confecção, e será controlada e administrada pelo setor de TI.
Esta biblioteca tem capacidade para 8 fitas denominadas AIT-4 e
capacidade para aproximadamente 4 Terabytes de dados, fica instalada em rack de
equipamentos no prédio da operação, em sala climatizada e com acesso restrito ao
pessoal de TI da empresa.
• PBX;
Central Telefônica PBX da Ericsson de grande porte, denominada MD110,
onde centraliza-se o link de voz e todos os ramais disponíveis na Usina. Possui No-
break próprio com autonomia para 24horas sem alimentação elétrica.
Nela está interligado link de 1Mb multiplexado do link principal E1 de 2Mb
da empresa.
• CFTV;
Sistema de monitoramento patrimonial através de câmeras analógicas,
conectadas a dispositivos denominados “encoders” que codificam o sinal analógico
para sinal digital.
O Sistema conta com administração centralizada em servidor denominado
Servidor CFTV, contendo software da SmartSight e banco de dados SQL Server
2000, tal sistema não encontra-se em nenhuma política de backup até o momento.
Possui suporte a 16 câmeras controladas a partir de dois clientes
instalados na guarita e setor de operações da empresa respectivamente.
O acesso também é possível através de página web disponível apenas
através da rede da empresa (não sendo possível acesso externo à mesma). Este
acesso é restrito apenas à Diretoria da empresa (através de política de senha),
contudo percebe-se um aumento significativo nos acessos via web, o que poderia
indicar alguma falha de segurança ou roubo de senhas.
10
• Utilização de computadores e notebooks;
Os computadores e notebooks são de caráter puramente corporativo,
sendo, portanto, controlados através de políticas de acesso definidas neste
documento, e implementadas de forma automática através da área de TI da
empresa.
Em virtude da não consolidação das políticas de segurança da empresa,
os equipamentos, eventualmente, vem sendo utilizados por terceiros com a
anuência dos colaboradores da empresa.
Por vezes percebeu-se alteração do hardware de alguns equipamentos,
uma vez que inexiste um efetivo controle, alguns usuários acessam o hardware dos
equipamentos para efetuar reparos não solicitando portanto à área de TI.
Percebe-se que os notebooks não tem seus dados criptografados, o que
pode ocasionar falha de segurança caso sejam roubados.
11
4 ANALISE E TRATAMENTO DE RISCOS
A Enerlux efetua análise dos eventos presentes em seus processos, que
possam gerar riscos, de forma sistemática. Posteriormente, estes possíveis pontos
de criticidade são analisados para determinação do grau de abrangência desses
elementos críticos, classificando-os conforme sua significância.
4.1 Modelo de Classificação da Criticidade dos Riscos
O objetivo é identificar através de uma avaliação, os riscos que os ativos
estão expostos e identificar e selecionar uma correção de segurança justificada e
apropriada.
Porém existem diferentes tipos de metodologias de análise, baseada em
determinação de valores dos ativos, vulnerabilidades e ameaças, inclusive com
softwares para automatizar esta análise.
Para a análise dos riscos será adotado um modelo para identificação e
classificação dos riscos envolvidos em cada um dos processos listados no item
ESCOPO deste documento.
Risco: combinação da probabilidade de um evento e de suas conseqüências.
ABNT ISO/IEC Guia 73:2005;
Evento: ocorrência identificada de um sistema, serviço ou rede, que indica uma
possível violação da política de segurança da informação ou falha de controles, ou uma
situação previamente desconhecida, que possa ser relevante para a segurança da
informação. ISO/IEC TR 18044:2004;
Análise de riscos: uso sistemático de informações para identificar fontes e
estimar o risco. ABNT ISO/IEC Guia 73:2005;
Avaliação de riscos: processo de comparar o risco estimado com critérios de
risco pré-definidos para determinar a importância do risco. ABNT ISO/IEC Guia 73:2005;
Abaixo, segue a classificação:
12
TABELA 1 - AVALIAÇÃO DA RELEVÂNCIA DO RISCO Abrangência (do risco) Gravidade (do risco)
Nota Grau Nota Grau
1 Pontual Atinge somente o ponto de geração, armazenamento, etc.
1 Baixa Danos pouco significativos, reversíveis em curto prazo
3 Local
Dentro dos limites da empresa, além do ponto de geração, armazenamento. etc.
3 Média Danos consideráveis, reversíveis a médio prazo
5 Regional / Global
Atinge áreas fora dos limites da empresa.
5 Alta Danos severos, efeitos irreversíveis no médio prazo
Freqüência (do evento) ou Probabilidade (do risco) Nota Grau Situação Normal/Anormal Situação potencial de risco
1 Baixa Ocorre uma ou mais vezes por mês
Pouco provável de ocorrer, remota
3 Média Ocorre uma ou mais vezes por semana
Provável que ocorra
5 Alta Ocorre uma ou mais vezes por dia ou continuamente
Muito provável ou já ocorreu
Resultado da relevância = soma das notas obtidas na avaliação
Observe-se que freqüência e probabilidade são dois fatores excludentes
entre si, pois, se a análise se refere a um evento que ocorre efetivamente, vai-se
avaliar sua freqüência; se a análise se refere a um risco (pode ou não ocorrer), vai-
se avaliar sua probabilidade.
Um risco pode ter, portanto, um mínimo de 3 e um máximo de 15 pontos.
Os riscos identificados serão tratados conforme descrito abaixo:
• De 3 a 7 � Risco Baixo;
• De 9 a 11 � Risco Médio;
• De 13 a 15 � Risco Alto.
Risco Baixo: Nível aceitável, será assumido pela empresa;
Médio: Será analisado quanto a sua abrangência pelo comitê de
segurança da informação da empresa;
Alto: Tratados através das políticas (PXX, onde cada X representa número
de 0 a 9).
13
4.2 Levantamento de Riscos e Classificação
TABELA 2 – LEVANTAMENTO DE RISCOS E CLASSIFICAÇÃO Enlace de dados e Voz Risco Abrang. Grav. Prob. Total Significância Tratativa Pane elétrica no circuito que alimenta o Roteador
1 3 1 5 Baixa NÃO
Defeito no Roteador 3 3 1 7 Média Analise Erros de configuração 1 1 1 3 Baixa NÃO Pane elétrica no rádio de enlace
1 3 1 5 Baixa NÃO
Pane elétrica da repetidora
1 3 1 5 Baixa NÃO
Indisponibilidade no serviço da operadora
3 3 1 7 Média Analise
Ataques de DDNS 3 3 1 7 Média Analise Incêndio no local dos equipamentos
3 5 1 9 Alta P01
Rede Wi-fi Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso Indevido 3 5 1 9 Alta P02 Indisponibilidade 3 1 1 5 Baixa NÃO Erro de Configuração 1 1 1 3 Baixa NÂO Segurança do trafego 3 3 1 7 Média Analise Acesso Físico Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso não autorizado à sala de Servidores
1 3 1 5 Baixa NÂO
Danos à integridade dos equipamentos
3 3 1 7 Média Analise
Acesso Lógico Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso não autorizado aos sistemas
3 3 1 7 Média Analise
Acesso indevido aos dados
3 5 1 9 Alta P02
Alteração de informações
3 5 1 9 Alta P02
Ativos de Rede Risco Abrang. Grav. Prob. Total Significância Tratativa Erro de Configuração 1 1 1 3 Baixa NÂO Pane elétrica no circuito que alimenta os ativos
1 3 1 5 Baixa NÂO
Defeito no ativo 3 3 1 7 Média Analise
14
Serviços de Rede (File Servers) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica
1 3 1 5 Baixa NÂO
Perda de dados 3 5 1 9 Alta P03 Defeito de Hardware 3 5 1 9 Alta P05 Erro de Sistema Operacional
1 3 1 5 Baixa NÂO
Acesso Indevido 3 5 1 9 Alta P02 Serviços de Rede (Servidor de Diretório) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica
1 3 1 5 Baixa NÃO
Perda de dados 3 5 1 9 Alta P03 Defeito de Hardware 3 5 1 9 Alta P05 Erro de Sistema Operacional
1 3 1 5 Baixa NÂO
Indisponibilidade 3 5 1 9 Alta P04 Acesso indevido 3 5 1 9 Alta P02 Serviços de Rede (Servidor de Correio) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica
1 3 1 5 Média Analise
Ataque de ddns 3 5 3 11 Alta P04 Erro de configuração 1 1 1 3 Baixa NÂO Falta de atualizações de segurança
1 3 1 5 Média Analise
Utilização inadequada por parte dos usuários
3 3 3 9 Alta P06
Serviços de Rede (Servidor de Aplicações) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica
1 3 1 5 Média Analise
Erro nos sistemas 3 3 1 7 Alta P04 Acesso indevido 3 5 1 9 Alta P02 Problema de Hardware
1 3 1 5 Média Analise
Erro de configuração 1 3 1 5 Média Analise Backup Risco Abrang. Grav. Prob. Total Significância Tratativa Falta de política de backup
3 5 1 9 Alta P03
Classificação errada dos dados
3 3 1 7 Alta P03
Localização das fitas 1 1 3 5 Média Analise Acesso indevido às fitas
1 5 1 7 Alta P01
Pessoal técnico não apto a realizar o
3 3 1 7 Alta P03
15
backup Falta de testes de restauração
3 5 3 11 Alta P03
PBX Risco Abrang. Grav. Prob. Total Significância Tratativa Falta de Alimentação elétrica
1 3 1 5 Média Analise
Defeito nas baterias 1 3 1 5 Média Analise Erros de configuração 1 3 1 5 Média Analise Defeito de Hardware 1 3 1 5 Média Analise Falta de contrato de manutenção
1 1 1 3 Baixa NÃO
CFTV Risco Abrang. Grav. Prob. Total Significância Tratativa Falta de Alimentação elétrica
1 3 1 5 Média Analise
Defeito na câmera 1 3 3 7 Alta P05 Defeito no Encoder 1 3 1 5 Média Analise Erro de Software 1 3 1 5 Média Analise Defeito de Hardware 1 3 1 5 Média Analise Acesso indevido ao sistema
3 5 1 9 Alta P02
Utilização de Computadores e Notebooks Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso Indevido 3 3 1 7 Alta P02 Movimentação de equipamentos não autorizada
3 3 3 9 Alta P01
Alteração de Hardware
1 5 1 7 Alta P05
Furto de Equipamentos (Desktops)
1 5 1 7 Alta P04
Furto de Equipamentos (Notebooks)
3 5 3 11 Alta P04
4.3 Escopo da Política
Todos os riscos assinalados como sendo de significância Alta serão
tratados conforme sua abrangência pelo comitê de segurança da informação da
empresa e através dos procedimentos referenciadas no campo “Tratativa” da tabela
de Levantamento de Riscos e Classificação.
Os de significância Média serão analisados pelo Comitê de Segurança
junto às gerencias de cada área afetada e ao gerente de TI da empresa para
16
determinar qual política de segurança será enquadrado o incidente e qual tratativa
deverá ser utilizada para mitigar o problema.
Aos demais riscos, assinalados com sendo de grau “baixo”, entende-se que
não tem grande significância para a segurança da empresa, ou sua abrangência não
afeta suas operações, ficando assim sob total responsabilidade da empresa os
danos causados pelas mesmas.
4.4 Documentos
Seguem relacionados documentos denominados políticas de segurança a
serem implantados na organização para mitigar os riscos assinalados no
levantamento realizado, conforme tabela de Políticas abaixo:
TABELA 3 – POLITICAS DE SEGURANÇA P01 Política de Segurança Patrimonial P02 Política de Controle de Acesso P03 Procedimento de Backup P04 Política de tratamento de incidentes P05 Política de Manutenção de Equipamentos P06 Política de Correio Eletrônico
17
4.4.1 P01 – Política de Segurança Patrimonial
Dispor-se-á das medidas necessárias de controle de acesso físico aos
prédios e áreas de segurança, bem como a sala de Servidores, equipamentos de
comunicação, etc., para proteção dos ativos de informática neles armazenados.
Para salvaguardar o conjunto de ativos da empresa, a unidade de
Segurança Física e Patrimonial implantará uma série de medidas de controle de
acesso físico de pessoas externas à Empresa para acessar as dependências da
empresa, dependendo do nível de segurança exigido. Estas medidas são úteis para
controlar o acesso aos ativos de informação, equipamentos de suporte e de
comunicação. Por sua amplitude, estas medidas não são objetos deste documento,
mas devem ser utilizadas caso necessário, para estabelecer um nível mínimo de
controle. Estas são algumas delas:
• Verificar a identidade das pessoas que acessam os edifícios.
• Registrar entradas e saídas de visitantes.
• Controle de visitantes mediante passes/autorizações.
• Controles físicos (crachás, catracas, etc.).
• Não permitir o acesso a zonas restritas às visitas.
• Acompanhar as visitas.
• Alertas de segurança.
Mediante algumas destas últimas medidas se efetuará o controle do
acesso a salas de servidores, racks de equipamentos de comunicação e para
qualquer outro componente fundamental ao sistema de informação que possa por
em risco a disponibilidade de seus serviços.
Quando afastar-se por várias horas do posto de trabalho, ou ao final da
jornada, desligar o Terminal ou PC, conforme concordado pelos sistemas
corporativos. Isto evitará acessos não autorizados à informação e seus processos.
O usuário não alterará a configuração de seus equipamentos de acesso,
sem a solicitação de intervenção por parte do suporte de informática, do contrário
poderá ocorrer interrupção de seus serviços, e inclusive afetar outros usuários.
18
Não será permitida saída de nenhum material da área de segurança (sala
de servidores, almoxarifados de suporte,...), sem autorização pelo responsável da
área técnica em questão.
Também deve ser verificado estado de extintores de incêndio instalados
no local (validade da recarga, gatilho, localização, etc.), observando sua
classificação para que seja compatível com o tipo de equipamentos instalados na
sala de servidores.
Recomenda-se ainda que sensores de controle destes fatores como
incêndio, fumaça, poeira, vibração, umidade, e água, estejam integrados a um
sistema que permita a monitoração remota, assim como o disparo de alarmes.
Que sejam adotados, ainda, procedimentos restringindo comida, bebida e
fumo dentro das Instalações da sala de servidores e área de comunicação.
19
4.4.2 P02 – Política de Controle de Acesso
Com o objetivo de controlar o acesso a informação restrita, se disporá de
um sistema que autentique a identidade de quem solicita acesso à informação,
mediante a aplicação de um sistema de senhas eficaz e fácil de utilizar. Este sistema
será integrado e único para todos os subsistemas, na medida que a tecnologia
permita, devendo assim justificar seu custo de implantação. Por último, da
possibilidade de introduzir o código (senha) apenas uma única vez, ou seja, o código
e sua senha associada a cada usuário cada vez que acesse o terminal ou PC de
acesso aos sistemas.
Existirá uma relação de usuários e seus respectivos acessos autorizados.
Esta relação deverá ser incluída no documento de segurança correspondente. Sem
esta relação, não deverá ser disponibilizada senha de acesso. Se estiver em
dispositivo magnético, a senha associada deverá estar cifrada (criptografada).
A programação e distribuição de contra-senhas deverá seguir o
procedimento seguinte:
Quando o destinatário da contra-senha não dispor de acesso a correio
eletrônico ou PC, lhe será enviada contra-senha provisória como informação
reservada em envelope fechado com a indicação externa de PESSOAL E
RESERVADA, entregando-a diretamente e em mãos ao destinatário. O usuário
deverá alterar esta senha imediatamente quando de seu primeiro acesso aos
sistemas de informática.
Quando o destinatário dispuser de correio eletrônico, receberá a contra-
senha em forma cifrada (criptografada). O usuário deverá alterá-la, imediatamente, e
apagar a mensagem que lhe foi enviada.
Todas as pessoas deverão manter a confidencialidade e integridade de
suas contra-senhas configuradas. Deve-se alterar periodicamente a contra-senha,
segundo período determinado no item 5o deste documento.
Cumprir-se-ão as especificações referentes aos requisitos do código do
usuário e contra-senha associada conforme descrito abaixo:
1. O código de usuário é único, pessoal e intransferível, com objetivo de
auditoria dos acessos.
20
2. O código e senha do usuário serão os mesmo utilizados em todos os
sistemas e aplicativos, salvo os softwares que não permitirem (Single sign-on).
3. No caso da utilização de senhas de grupo, códigos e senhas de
softwares específicos onde há a utilização por várias pessoas, o usuário possui
inteira responsabilidade sobre a preservação do login e senha frente o
compartilhamento da mesma.
4. O código do usuário será constituído do modelo composto pelos
seguintes caracteres: HRC#XXXXXXXXX, onde X representa o código número dos
primeiros 9 dígitos do CPF do usuário.
5. Automaticamente, será solicitada alteração de senha de usuário, sendo
que a mesma valerá durante um período de 40 dias, deixando de acessar o sistema
caso não seja alterada.
6. Devendo ser diferente das últimas doze contra-senhas.
7. A contra-senha inicial configurada pelo administrador, será temporária
até que o usuário entre pela primeira vez. Nesse momento, o sistema exigirá nova
chave.
8. A senha não será visível ao ser introduzida.
9. O usuário será o único que selecionará e modificará sua contra-senha
interativamente. O sistema lhe pedirá confirmação da mesma ao alterá-la. O
administrador somente configurará a contra-senha ao habilitar o usuário ou quando
o usuário esquecer a contra-senha, a qual irá expirar depois do primeiro acesso.
10. Deverá ser formada por um conjunto de caracteres numéricos e
alfanuméricos intercalados, igual a sete posições.
11. Automaticamente, sempre que a tecnologia permitir, será exigido sua
troca periódica, previamente fixada.
12. A senha não deve ter correspondência com datas, nomes próprios, ou
vocabulários de dicionários e/ou da área de informática.
13. A nova contra-senha se diferenciará da anterior, nos caracteres que a
compõe e na posição dos mesmos.
14. Após três tentativas invalidas de introduzir a contra-senha associada a
um código de usuário, produzirá bloqueio temporal deste usuário (30 minutos),
registrando-se este incidente e provocando o alarme correspondente no posto de
monitoramento.
21
15. As contra-senhas serão armazenadas em diretório específico para este
fim, em forma cifrada (criptografadas) não podendo ser recuperada, apenas
alterada.
16. O acesso ao diretório de contra-senhas deve estar reservado
exclusivamente ao administrador.
22
4.4.3 P03 – Política de Backup
Dispor-se-á das medidas necessárias de controle da segurança da
informação.
Recomenda-se a adoção das seguintes medidas que visem proteger a
integridade das informações da empresa:
A empresa se compromete a adquirir cofre especial para a guarda das
mídias contendo as cópias de segurança (back-up). Este cofre especial deve ser
resistente a incêndio, umidade, interferência eletromagnética, poeira, fumaça e
vandalismo.
O acesso às mídias de back-up deve ser restrito ao pessoal autorizado da
área de TI da empresa.
O acesso ao aplicativo de back-up deve ser restrito ao pessoal autorizado
da área de TI da empresa, deve possibilitar a copia de arquivos abertos (cópia de
sombra), verificação automática do back-up realizado. O pessoal de TI deve efetuar
a guarda dos logs de back-up realizados pelo prazo mínimo de 1 ano para posterior
conferencia.
Equipamentos, informações ou software não devem ser retirados da
organização sem autorização.
Toda informação, quer em mídia eletro-eletrônica ou papel, deve ficar
sempre guardada em locais apropriados e de acesso restrito, especialmente fora
dos horários de trabalho normal.
É recomendado que uma outra cópia seja guardada fora do site,
semanalmente, por meio do gerente de TI ou um funcionário autorizado.
Aconselha-se que seja feita uma vez por semana o back-up completo dos
sistemas e, diariamente, de preferência à noite ou madrugada, a cópia incremental,
ou seja, o que foi modificado, salvo informações críticas à organização, essas, se
viável, deve ser feito backup completo todos os dias em mídia diferenciada.
A restauração deve ocorrer da última cópia completa até as cópias com as
alterações incrementais (layered over), até o momento do evento. Esses testes de
restauração devem ocorrer diariamente e os logs devem ser guardados pelo pessoal
de TI pelo prazo mínimo de 1 ano para posterior conferencia.
23
4.4.4 P04 – Política de tratamento de incidentes
Deve-se atender às seguintes diretrizes para lidar com os incidentes que
porventura venham a ocorrer:
Devem-se efetuar todos os registros de incidentes bem como as suas
soluções propostas, sendo submetidos ao gerente de rede, ou ao administrador de
TI e este ao Comitê de Segurança da empresa.
A análise do incidente deverá ser discutida em uma reunião em grupo
como comitê de segurança da empresa para identificar os pontos fracos, visando
prevenir incidentes futuros, procurando sempre contar com o apoio da área de TI e
demais áreas de empresa atingidas pelo evento.
No caso de visitante não autorizado, o funcionário deve notificar
imediatamente o departamento de segurança e solicitar auxílio para remoção do
mesmo.
Caso o visitante seja pego cometendo furto, ataque ou destruição da
propriedade deve-se notificar o departamento de segurança para que ele entre em
contato com as autoridades competentes.
Todas as testemunhas devem fornecer aos responsáveis pela segurança
um depoimento detalhado do incidente que indique a presença de um visitante não
autorizado e devem estar disponíveis para interrogatório posterior pela segurança e
pelas autoridades competentes.
Todas as portas, fechaduras e métodos de acesso que não estejam
funcionando devem ser informados ao departamento de segurança. A segurança
coordenará com o departamento de manutenção a correção do equipamento
defeituoso.
Os gerentes devem ser notificados quando um funcionário estiver
envolvido em uma brecha de segurança.
Os funcionários não devem tratar destas situações sozinhos, mas devem
notificar a segurança e permitir que o pessoal da segurança controle a situação.
Se uma invasão (a sistemas) causar parada ou ruptura de serviços, a
prioridade é restabelecer os serviços, porém sempre que possível, os
administradores devem tentar identificar a origem do problema, preservando as
evidências.
24
No caso de uma invasão é aconselhável rever as regras dos filtros dos
roteadores e firewalls, modificando-as para controlar os efeitos.
Em caso de incidente que resulte em perda de dados, o funcionário deve
notificar ao responsável pela rede imediatamente.
O responsável pela rede deve sempre relatar os incidentes ao Comitê de
Segurança.
Em caso de incidentes, como falha de hardware, comprometimento do
sistema ou invasões de um servidor ou outro ativo, deve-se removê-lo da rede e
deixá-lo em seu estado atual a fim de permitir um trabalho de investigação eficiente.
É importante que a empresa adote um esquema de Auditorias. Neste
caso, os funcionários devem ler e entender e cooperar com os procedimentos e
diretivas adotadas.
As auditorias serão realizadas principalmente em servidores e
equipamentos de rede para assegurar a configuração e atualização adequadas.
Os auditores podem ser funcionários internos ou de órgãos externos, com
ou sem o conhecimento dos administradores.
Quanto à possibilidade de roubo de equipamentos móveis, os notebooks
devem utilizar senhas de BIOS para evitar acesso não autorizado.
Os usuários jamais devem deixar sessões abertas, efetuando o logout
quando ele não estiver em uso.
Recomenda-se que dados importantes sejam protegidos por senhas e
criptografia.
É fortemente recomendado que o usuário utilize senhas diferentes para os
sistemas e equipamentos, defendendo-se em caso de roubo de alguma senha.
Estes equipamentos portáteis devem estar presos fisicamente através de
cabos, correntes ou outro dispositivo de segurança, ou ainda, trancados em gavetas
ou armários quando fora de uso.
25
4.4.5 P05 – Política de Manutenção de Equipamentos
A manutenção de equipamentos de Informática deve ser de acordo com
intervalos e especificações do fabricante. Se essas recomendações não forem
conhecidas, procedimentos de manutenção devem ser elaborados e aplicados;
Apenas profissionais autorizados podem fazer manutenção nos
equipamentos, ou seja, o próprio fabricante, empresas autorizadas por ele e equipes
de manutenção de redes da área de Informática da empresa, sendo
terminantemente proibido ao usuário efetuar qualquer alteração e/ou intervenção no
hardware do equipamento.
Caso ocorra a necessidade de intervenção por empresas “terceiras”, o
serviço somente poderá ter sua realização permitida mediante acompanhamento de
pessoal autorizado do Setor de Informática da empresa.
Devem ser mantidos registros de todas as falhas suspeitas ou ocorridas
em toda manutenção preventiva e corretiva. É recomendado o uso de um sistema
computacional com um banco de dados para estas informações, preferencialmente
com acesso via web.
Equipamentos enviados para manutenção de terceiros e que possuem
meios de armazenamento (disco rígido, fitas, etc) devem ter seus itens checados
para assegurar que toda informação sensível, sigilosa e software licenciado foi
removido ou sobreposto antes da alienação do equipamento.
Um hardware sobressalente deve estar disponível caso a criticidade do
equipamento seja alta.
Dispositivos de armazenamento danificados, assim como equipamentos,
devem sofrer uma avaliação de riscos para verificar se eles devem ser destruídos,
reparados ou descartados. Recomenda-se que cada ativo ou parte dele seja
avaliado pela Comissão constituída pelo comitê de segurança da informação da
empresa, à qual caberá dar o devido destino.
26
4.4.6 P06 – Política de Correio Eletrônico
O USUÁRIO deverá abster-se de utilizar a conta de correio cedida pela
empresa para:
Enviar, transmitir ou disponibilizar, de qualquer forma, mensagens
publicitárias ou de natureza comercial a uma pluralidade de pessoas, sem a prévia
solicitação destas, sobretudo se forem ilícitas ou que constituam concorrência
desleal.
Enviar, transmitir ou disponibilizar, de qualquer forma, quaisquer
mensagens não solicitadas ou não consentidas a uma ou mais pessoas.
Enviar, transmitir ou disponibilizar, de qualquer forma, "correntes",
mensagens tipo 'pirâmides' ou qualquer outro tipo de apelo, que cresçam em
progressão geométrica, causando congestionamento do serviço de correio eletrônico
ou dos Grupos de Notícias ('Newsgroups'), exceto nas áreas reservadas para esse
fim.
Disponibilizar os dados de identificação pessoal de outros usuários, que
eventualmente lograr coletar pela Internet, para terceiros.
Enviar mensagem para uma ou mais pessoas com qualquer conteúdo
que, em geral, seja contrário à lei, à ordem, às condições de uso aqui determinadas
e aos bons costumes, inclusive aquelas que disseminem discriminação e
preconceitos de qualquer ordem, ou induzam a um estado psíquico ou emocional
insalubre.
Enviar mensagens que contenham palavras, termos, expressões,
imagens, figuras, símbolos ou fotos de caráter obsceno ou pornográfico, bem como
de caráter difamatório, degradante, infame, violento, injurioso, de divulgação de
pirataria de software ou que afetem a intimidade pessoal e/ou familiar de outrem.
Enviar pluralidade de mensagens para um mesmo endereço eletrônico,
conhecido como 'mail bombing' ('bombardeio de mensagens eletrônicas') com
conteúdo de qualquer natureza.
Enviar ou divulgar mensagens de conteúdos falsos ou exagerados que
possam induzir a erros o seu receptor.
Enviar ou divulgar mensagens que infrinjam normas sobre o segredo das
comunicações.
27
Enviar, disponibilizar ou transmitir mensagens que transmitam vírus ou
outro código, arquivo ou objeto que possam causar danos de qualquer natureza ao
serviço utilizado e/ou às pessoas que dele se utilizam.
Postar mensagens e/ou advertências que violem as regras de um
determinado Grupo de Notícias ('Newsgroups') ou Lista de Mala Direta ('Mailing
List'), sendo reservado à empresa Enerlux ou ao Administrador de tal serviço, a
adoção das medidas cabíveis julgadas necessárias.
À Empresa Enerlux reserva-se o direito, em caso de não atendimento à
política aqui disposta, da aplicação das punições previstas no documento “Termo de
Ciência das Políticas e Penalidades” .
28
BIBLIOGRAFIA
GOLDIM, José; Kennedy Institute of Ethics. Bioethics Thesaurus. Washington: KIE,
1995.
JUNIOR, Arthur; FONSECA, Fernando; COELHO, Paulo; Entendendo e
implementando a Norma ABNT NBR ISO/IEC 17799:2005 - Academia Latino
Americana de segurança; 2006.
LOCKABIT - Pequeno histórico sobre o surgimento das Normas de Segurança.
Disponível em: <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=69>.
Acessado em: 20/11/07.
SECURITY, Data - Política De Segurança Da Informação, 2006. Disponível em:
<http://www.brdatanet.com.br/solucoes/politica.htm>. Acessado em: 20/11/07.
USPNET, Comissão de Segurança da - NORMA DE SEGURANÇA PARA A
USPNET, São Paulo, 1997. Disponível em: <http://www.security.usp.br/
normas/pseg01.html>. Acessado em:12/11/07.
WIKIPEDIA; Segurança da informação, 2007; Disponível em: <http://pt.wikipedia.org/
wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o>. acessador em: 27/11/07.
29
ANEXOS
30
ANEXO A - TERMO DE CONFIDENCIALIDADE DA INFORMAÇÃO
XXX , nacionalidade, estado civil, função, inscrito(a) no CPF/MF
sob o nº 000000, abaixo firmado, assume o compromisso de manter
confidencialidade e sigilo sobre todas as informações técnicas e outras relacionadas
ao trabalho e sistemas computacionais da Empresa Enerlux, do qual sou
(funcionário, estagiário, terceirizado), a que tiver acesso durante o período de meu
contrato, relacionados ao desenvolvimento de minhas funções.
Por este Termo de Confidencialidade compromete-se:
1. a não utilizar as informações confidenciais a que tiver acesso, para gerar
benefício próprio exclusivo e/ou unilateral, presente ou futuro, ou para uso de
terceiros;
2. a não efetuar nenhuma gravação ou cópia da documentação confidencial a
que tiver acesso relacionada a tecnologia da informação da empresa Enerlux;
3. a não apropriar-se para si ou para outrem de material confidencial e/ou
sigiloso que venha a ser disponível através da tecnologia ora mencionada;
4. a não repassar o conhecimento das Informações confidenciais,
responsabilizando-se por todas as pessoas que vierem a ter acesso às informações,
por seu intermédio, e obrigando-se, assim, a ressarcir a ocorrência de qualquer dano
e/ou prejuízo oriundo de uma eventual quebra de sigilo das informações fornecidas.
Neste Termo, as seguintes expressões serão assim definidas:
• “ Informação Confidencial” significará toda informação revelada relacionada a
tecnologia acima descrita, através da execução de suas funções, a respeito de, ou,
associada com a Avaliação, sob a forma escrita, verbal ou por quaisquer outros
meios.
• “ Informação Confidencial” inclui, mas não se limita, à informação relativa às
operações, processos, planos ou intenções, informações sobre produção,
instalações, equipamentos, segredos de negócio, segredos de fábrica, dados,
habilidades especializadas, projetos, métodos e metodologia, fluxogramas,
31
especificações, componentes, fórmulas, produtos, amostras, diagramas, desenhos,
desenhos de esquema industrial, patentes, oportunidades de mercado e questões
relativas a negócios revelados durante a execução de qualquer projeto da empresa.
• “Avaliação” significará todas e quaisquer discussões, conversações ou
negociações entre, ou com as partes, de alguma forma relacionada ou associada
com a apresentação da proposta acima mencionada.
A vigência da obrigação de confidencialidade, assumida pela minha pessoa por meio
deste termo, terá validade por 20 anos, ou enquanto a informação não for tornada de
conhecimento público por qualquer outra pessoa, ou ainda, mediante autorização
escrita, concedida à minha pessoa pelas partes interessadas neste termo.
Pelo não cumprimento do presente Termo de Confidencialidade, fica o abaixo
assinado ciente de todas as sanções judiciais que poderão advir.
Fortaleza, __________ de ______________________ de 200__.
____________________________ ______________________________
Colaborador Responsável pelo Setor de TI
TESTEMUNHAS:
_____________________________
Nome:
CPF:
_____________________________
Nome:
CPF:
32
ANEXO B - TERMO DE CIÊNCIA DAS POLITICAS E PENALIDADES
1 Informações Gerais:
Este termo se refere ao uso devido dos equipamentos e da rede de
computadores da Empresa Enerlux, estando sob a responsabilidade do setor de TI.
A Empresa Enerlux reserva-se o direito de cancelar qualquer tarefa que
possa comprometer a performance dos servidores. Neste caso, podendo sem aviso
prévio efetuar o bloqueio ao usuário ao link e/ou sistemas de informática da
empresa.
Diariamente é efetuado backup dos dados contidos nos Servidores da
Empresa, não se responsabilizando, portanto por perdas de informações não
contidas em seu ambiente de rede.
A Enerlux reserva-se o direito de, a qualquer momento, fazer uma análise
dos equipamentos e recursos que são utilizados pelos colaboradores (dados,
internet, correio, telefonia e etc.).
2. Obrigações do Colaborador
Zelar pela eficiência e efetividade da rede, adotando junto a todos os
usuários todas as medidas necessárias para evitar prejuízos ao funcionamento da
mesma de acordo com as Políticas de segurança adotadas pela empresa.
Fornecer ao setor de TI todas as informações solicitadas quando
necessário.
Colaborar com o setor de TI quando solicitado a desligar o equipamento e
quanto ao uso racional das informações contidas no ambiente de rede.
Informar ao setor de TI sempre que identificar qualquer anormalidade no
funcionamento da rede.
Manter pastas e documentos importantes da empresa em ambiente de
rede, sempre zelando pela organização das mesmas.
Manter a senha de acesso à rede atualizada.
33
3. Proibições:
Transmitir ou armazenar qualquer informação, dado ou material que viole
qualquer lei federal, estadual ou municipal, do Brasil e de outros países.
Promover ou prover informação instrutiva sobre atividades ilegais, que
promovam ou induzam a dano físico ou moral contra qualquer grupo ou indivíduo.
Disponibilizar, utilizar ou armazenar qualquer material de conteúdo
grotesco ou ofensivo às pessoas, à empresa ou à sociedade.
Enviar abusiva e generalizadamente e-mails ou enviá-los sem solicitação
do(s) destinatário(s), partindo de um servidor da empresa, sob pena de
sobrecarregar os servidores, prejudicando o desempenho, às vezes, de toda rede.
Transferir a senha a terceiros ou permitir que se utilizem sua conta, que é
de uso exclusivo do colaborador.
Tentar ou efetivamente quebrar as senhas ou invadir contas pertencentes
a outros colaboradores.
Utilizar equipamentos e recursos da rede para tarefas particulares dentro
do horário de expediente.
Desligar o computador em período em que o antivírus estiver ativo.
4. Penalidades:
O não cumprimento das Políticas de Segurança da Informação da
empresa Enerlux acarretará as punições cabíveis constantes em regulamento
interno da empresa Enerlux, ou de acordo com a CLT, a saber:
1. Advertência Verbal;
2. Advertência Escrita;
3. Suspensão ou
4. Demissão.
Bem como Assim, o mesmo responderá por qualquer ação legal
apresentada à empresa Enerlux e que o envolva.
Declaro que estou ciente e concordo com todas as informações contidas
neste documento, bem como com as Políticas de Segurança da Informação da
empresa Enerlux.
34
Fortaleza, __________ de ______________________ de 200__.
____________________________ ______________________________
Colaborador Responsável pelo Setor de TI
TESTEMUNHAS:
_____________________________
Nome:
CPF:
_____________________________
Nome:
CPF: