Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 1/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

1

NORMA DE UTILIZAÇÂO DO AMBIENTE DE T.I.

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 2/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

2

Sumário

1 Histórico de revisão .................................................................................. 3

2 Objetivo .................................................................................................. 4

3 Aplicação ................................................................................................ 4

4 Conceitos ................................................................................................ 4

5 Responsabilidades .................................................................................... 5

6 Principios Gerais ...................................................................................... 5

6.1 Gestão da tecnologia . .................................................................................................. 7

6.2 Uso de recursos de tecnologia da informação. .................................................................. 8

6.3 Controle de acesso logico e identidade digital. ................................................................. 9

6.4 Dispositivos móveis. ...................................................................................................... 9

6.5 Mídias sociais. ............................................................................................................ 10

6.6 Monitoramento e inspeção. .......................................................................................... 11

6.7 Seleções e contratações. ............................................................................................. 11

6.8 Capacitação e publicidade. ........................................................................................... 12

6.9 Violações e penalidades. .............................................................................................. 12

7 Anexos .................................................................................................. 13

8 Aprovações ............................................................................................ 13

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 3/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

3

1. HISTÓRICO DE REVISÃO

Nº

revisão

Data da

revisão Descrição da alteração Emitente Revisor Aprovador

0 01/03/2016 Emissão inicial Henrique

Martins

Henrique

Martins José Lucio

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 4/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

4

2. OBJETIVO

Estabelecer os princípios da gestão de Tecnológica da Informação (TI) da Energia

Sustentável do Brasil (ESBR) em relação aos ativos intangíveis e os Recursos de

TI, devendo estes ser cumpridos por todos os empregados da ESBR.

3. APLICAÇÃO

Deve ser cumprida por todos os seus empregados que venham a ter acesso e/ou

utilizam as informações e/ou os Recursos de Tecnologia da Informação, inclusive

por aqueles que desempenhem atividades profissionais ou de prestação de

serviços em seu proveito.

Dúvidas e questões relacionadas a este documento deverão ser encaminhadas

ao e-mail ti@energiasustentaveldobrasil.com.br

4. CONCEITOS

Desktop: microcomputador utilizado localmente, fixo em seu local de trabalho.

Hardware: equipamento eletrônico ligado à informática seja um

microcomputador ou periférico.

Notebook: computador portátil, de fácil transporte, que pode ter a mesma

capacidade de um desktop.

PC: todo microcomputador de uso dos funcionários da ESBR.

Periférico: equipamento conectado a um microcomputador que desempenha

uma ou mais funções auxiliares.

Pirataria de software: é a prática de reproduzir ilegalmente um programa de

computador, sem a autorização expressa do titular da obra e,

consequentemente, sem a devida licença de uso.

Termo de Responsabilidade pela Guarda e Uso do Equipamento de

Trabalho: Documento assinado pelo usuário no qual o mesmo de responsabiliza

pelos recursos de TI recebidos para o desempenho de suas atribuições.

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 5/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

5

Controle de Obsolescência – controle da garantia dos equipamentos, bem

como o fim da vida útil do mesmo. Esta norma cita este controle, mas sua

descrição detalhada será descrita em norma especifica sobre o assunto.

5. RESPONSABILIDADES

5.1 Diretoria Executiva

Aprovar a Política de Segurança da Informação.

Aprovar as diretrizes específicas, orientar e acompanhar o estabelecimento e

a observância dos processos, controles, modelos, padrões e ferramentas

necessários à sua implementação e analisar as questões específicas

apresentadas pelos empregados da Empresa.

Promover de forma eficaz a divulgação e a capacitação sobre segurança de

informação na Empresa.

5.2 Gerência de Tecnologia da Informação

Definir com as demais áreas da Empresa os requisitos de segurança da

informação e os controles adequados para a proteção das informações e

Recursos de TI da Empresa.

Suportar a Auditoria Interna na avaliação periódica de sistemas e

equipamentos, com o intuito de verificar o cumprimento desta Política e

demais instrumentos regulamentares a ela relacionados.

Treinar os novos funcionários no processo de integração, a fim de divulgar a

cultura de segurança digital da ESBR

Manter atualizado inventário dos Softwares e Hardwares instalados nos

computadores da ESBR.

Controlar a instalação de Softwares e novos equipamentos.

Fornecer os Softwares Básicos para a execução das rotinas genéricas de

trabalho.

Controlar as Licenças de Uso de Softwares da empresa.

Fornecer avaliação técnica dos equipamentos.

Aprovar a compra e configuração de novos hardwares e softwares

Instalar e configurar novos hardwares.

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 6/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

6

Controlar a obsolescência de PC´s, e notebooks trocando-os quando for

necessario

Liberar o uso de softwares e hardwares.

5.3 Gestor Responsável pela Área ou Gerência

Os Gestores são responsáveis por orientar e capacitar constantemente suas

equipes quanto ao uso ético, seguro e legal dos Recursos de TIC e dos valores

adotados pela Empresa, instruindo-os, inclusive, a disseminar a cultura para os

demais empregados. Também, deverão suportar todas as consequências pelas

funções e atividades que delegarem a outros empregados.

Assegurar o cumprimento desta Norma e demais regulações por parte dos

empregados supervisionados.

Participar da investigação de incidentes de segurança relacionados às

informações, Recursos de TI e empregados sob sua responsabilidade.

Definir as necessidades de novos Softwares e Hardwares.

Prover recursos para aquisição de novos Softwares e Hardwares.

Somente utilizar softwares que possuam as devidas Licenças de Uso providas

por TI. Software sem licença caracteriza a “pirataria de software”.

Assegurar o uso de material de consumo ou de reposição originais indicados

pelo fabricante.

Assegurar que os equipamentos de terceiros/visitantes sejam verificados pela

Gerência de T.I. antes da conexão na rede ESBR.

5.4 Auditoria Interna

Suportar a segurança das informações e dos Recursos de TI orientando quanto

à adoção de controles necessários para tratar os riscos identificados durantes

os trabalhos da auditoria.

Analisar e revisar de forma independente o emprego dos controles de

segurança da informação praticados na Empresa.

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 7/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

7

Permitir o acesso aos relatórios de monitoramento somente aos empregados

autorizados e de forma segura,(arquivo protegido por senha). Ainda, deverá

orientar os empregados autorizados a manter a confidencialidade dos dados

e informações acessados.

5.5 Empregados em geral

É da responsabilidade de cada empregado zelar pelo segurança e

conservação, dos recursos fornecidos pela ESBR para o desenvolvimento de

seu trabalho. Quando ocorrer algum problema e ou defeito o funcionário deve

imediatamente solicitar o apoio da área de TI.

Cumprir e manter-se atualizados com relação a esta Política e as demais

Normas relacionadas, através do uso responsável, profissional, ético e legal

dos Recursos de TI corporativos, respeitando os direitos e as permissões de

uso concedidas pela ESBR.

Proteger as informações contra acesso, modificação, destruição ou divulgação

não autorizados pela ESBR.

Reportar imediata e formalmente qualquer caso comprovado, passível de

comprovação ou cuja suspeita seja fundamentada de descumprimento desta

Política, para o seu Gestor imediato ou para os pontos focais de Segurança da

Informação, sob pena de sua conduta ser considerada omissa, negligente ou

conivente.

É vedado o acesso externo aos sistemas corporativos, intranet e e-mail,

exceto aos cargos de confiança (Diretores, Gerentes e coordenadores). Os

demais cargos somente poderão ter o acesso externo mediante solicitação

formal do Gestor imediato, com aprovação de seu respectivo Diretor, em

conjunto com a Gerencia de Recursos Humanos irão analisar a necessidade e

a forma desta concessão.

6. PRINCIPIOS GERAIS

A ESBR envida seus melhores esforços, conforme o estado atual da técnica, para

que os ambientes dos sistemas e processos que suportam os Recursos de TI

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 8/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

8

corporativos sejam confiáveis, íntegros e disponíveis a quem deles necessite

para execução de suas atividades profissionais.

Todos os processos da Empresa devem estar mapeados e os Recursos de TI

corporativos devidamente inventariados, identificados conforme o Gestor

responsável e livres de vulnerabilidades e ameaças à segurança da informação,

sendo assim:

Toda necessidade de Software e Hardware deve ser comunicada previamente

ao departamento de T.I. para que seja verificado:

o Alternativas de softwares e hardwares;

o Disponibilidade em outros departamentos

o Adequação ao uso corporativo.

A compra de notebooks, telefone celular e modem está autorizada para cargos

de confiança, conforme a norma de gestão de “Recursos de comunicação e

Informática”.

Os softwares deverão ser adquiridos no mercado nacional, devido a lei de

proteção de software. A exceção será somente para os softwares que não

possuírem representantes no Brasil, neste caso, após a compra os softwares

deverão passar por um processo de nacionalização.

Com exceção dos Diretores e Gerentes, nenhum funcionário pode conectar

equipamentos pessoais a rede da ESBR. Ocorrendo a necessidade excepcional,

esta deverá ser solicitado formalmente pela gerencia imediata a gerencia de T.I.

6.1 Gestão da Tecnologia

6.1.1 - A ESBR deve definir e manter um processo de salvaguarda das

informações e dos Recursos de TI críticos para Empresa, a fim de atender aos

requisitos do negócio, operacionais e legais e assegurar a continuidade dos

negócios em caso de falhas ou incidentes.

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 9/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

9

6.1.2 - Cabe a Gerência de TI, realizar o periodicamente backup do conteúdo

disposto na Rede, em intervalos definidos e programados conforme norma de

backup.

Todas as modificações nos Recursos de TI da Empresa devem ser realizadas

de maneira controlada, conforme um processo de gestão de mudanças

definido para identificar os possíveis riscos e impactos para Empresa, além de

possibilitar a restauração do ambiente original em caso de incidentes não

previstos.

6.1.3 - Cabe a Gerência de TI, manter o inventário sempre atualizado, além

de registrar, no mínimo, a identificação do Recurso de TI, a sua descrição e o

Gestor responsável.

6.1.4 - O desenvolvimento interno e a aquisição de sistemas e produtos no

mercado devem atender aos requisitos de segurança para assegurar a

aplicação dos controles necessários em todas as etapas dos processos a fim

garantir a confidencialidade, integridade, legalidade, autenticidade e

disponibilidade das informações.

6.2 Uso de Recursos de Tecnologia da Informação

6.21 - Softwares e Hardwares: O empregado deve utilizar apenas softwares e

hardwares previamente homologados e autorizados pela Diretoria de TI da

ESBR, sejam eles onerosos, gratuitos, livres ou licenciados, respeitando os

direitos de propriedade intelectual e industrial da Empresa e de terceiros.

6.2.2 - Uso dos Recursos de TI: A utilização dos Recursos de TI da Empresa

deve considerar a adoção de medidas de proteção contra ameaças externas e

do meio ambiente.

6.2.3 - É de responsabilidade do Departamento de TI, o controle da

obsolescência, bem como a reposição dos recursos de TI quando estes forem

necessários. Os custos da reposição de obsoletos quando necessários serão

alocados na área onde o recurso estiver alocado.

6.2.5 - É proibido aos empregados da ESBR, visualizar, acessar, efetuar o

download (baixar arquivos) ou upload (transmitir arquivos), utilizar, instalar,

armazenar, divulgar ou repassar qualquer material, conteúdo, ou recurso ilícito,

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 10/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

10

impróprio, obsceno, pornográfico, difamatório, ofensivo, discriminatório, que

atente à moral e aos bons costumes, que viole a boa-fé ou que não seja

compatível com as diretrizes e interesses da Empresa.

6.2.6 - Todo o processo de manutenção, instalação, configuração, desinstalação,

substituição ou remanejamento dos Recursos de TI da Empresa deve ser

realizado exclusivamente pela Gerência de TI, a fim de garantir o correto

manuseio do recurso e da informação.

6.3 Controle de Acesso Logico e Identidade Digital

6.3.1 - Controle de Acesso Lógico: Para fins de acesso às informações e aos

Recursos de TI da ESBR, será fornecida uma identidade digital de uso individual

e intransferível ao empregado, conforme o modelo de identificação e

autenticação estabelecido pela Empresa, podendo abranger crachá, login, senha,

token, certificado digital, uso de biometria e outros recursos que venham a ser

implementados.

6.3.2 - Identidade Digital: O empregado é responsável pelo uso e pela segurança

de sua identidade digital, devendo ser tratada de forma confidencial, individual

e exclusiva, não compartilhando, divulgando ou transferindo a terceiros.

Qualquer incidente realizado através da sua Identidade Digital do empregado da

ESBR é de sua inteira responsabilidade, por isso o compartilhamento desta

identidade digital e sua senha são expressamente proibidos

6.3.3 - Concessão de Acesso: O acesso às informações e Recursos de TI da ESBR

está baseado no conceito de que o empregado só pode acessar as informações

ou fazer uso dos Recursos de TI corporativos necessários para o

desenvolvimento de suas atividades profissionais. Todo tipo de acesso à

informação que não for previamente autorizado deve ser considerado

expressamente proibido.

Todo empregado só pode acessar as informações ou fazer uso dos Recursos de

TI corporativos necessários para o desenvolvimento de suas atividades

profissionais de acordo com a função e cargo exercidos.

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 11/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

11

6.4 Dispositivos Móveis

6.4.1 - Segurança e Mobilidade: O empregado deverá utilizar dispositivo de

mobilidade, independente se corporativo ou particular, por meio de ambientes

seguros de conexão, especialmente quando estiver em deslocamento, além de

portar informações em dispositivos com aplicação de métodos adequados de

autenticação, controle de acesso, bloqueio por senha, podendo ainda fazer uso

de mecanismos de criptografia devidamente homologados e autorizados pela

ESBR.

6.4.2 - Mobilidade: Não implicará em sobrejornada, sobreaviso ou plantão do

empregado a mera possibilidade de acesso remoto ou recebimento de

informações relacionadas ao trabalho fora do horário do expediente, bem como

eventual porte ou uso dos dispositivos de mobilidade fornecidos pela ESBR ou

particular, quando utilizados para finalidades profissionais, pois estes

permanecem ativos ou disponíveis independentemente da vontade do

empregado ou comando da Empresa. Assim, as atividades desempenhadas fora

do expediente normal dependerão de comprovação expressa de requisição de

trabalho em registros adequados para serem remuneradas.

6.4.3 - Armazenamento de Informações: Os empregados devem manter todas

as informações da Empresa armazenadas na rede corporativa. Devem também

realizar periodicamente, a salvaguarda (backup) dos dados constantes em

dispositivos de mobilidade que estiverem em proveito corporativo. O backup

realizado deve ser mantido em local seguro e separado do dispositivo de

mobilidade, conforme orientações da Gerência de TI.

6.4.4 - Quando o empregado fizer uso autorizado de dispositivo de mobilidade

para fins de trabalho, terá o dever de efetuar backup imediato na rede da

Empresa ou no primeiro contato que puder ter com a mesma.

6.4.5 – Mais informações sobre as regras de dispositivos moveis são encontradas

na norma de “Gestão de Recursos de Telecomunicação e Informática”

6.5 Mídias Sociais

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 12/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

12

6.5.1 - Mídias Sociais: É vedada a participação corporativa do empregado em

Mídias Sociais, também é vedada a referências à empresa ou qualquer atividade,

comentário que exponha de qualquer maneira (positiva ou negativamente) a

ESBR, exceto pelo Departamento de Relações Institucionais.

6.5.2 - Cuidados com a Superexposição: A Empresa aconselha aos empregados

que utilizarem as Mídias Sociais para proveito pessoal que evitem expor rotinas

do seu cotidiano, em especial trajetos, horários, informações financeiras e

demais detalhes privados e íntimos sobre si, família e amigos próximos. Também

sugere que utilizem somente conteúdos autorizados e legítimos, com a devida

citação da fonte e autoria quando aproveitado de terceiros, para evitar punições

por crimes contra direitos autorais ou de imagem.

6.6 Monitoramento e Inspeção

6.6.1 - Monitoramento: Os empregados estão cientes de que a ESBR monitora

todo acesso e uso de seus ativos intangíveis, suas informações, marcas e

Recursos de TI, além de seus ambientes físicos e lógicos, com a captura de

imagens, áudio e vídeo, inclusive, com a finalidade de proteção de seu

patrimônio e reputação e daqueles que se relacionam, de alguma forma, com a

Empresa, realizando o armazenamento dos dados monitorados para fins

administrativos e legais, além de colaborar com as autoridades em caso de

investigação.

6.6.2 - Inspeção: A ESBR poderá auditar e realizar inspeções físicas e lógicas

nos dispositivos de mobilidade, equipamentos, sistemas ou recursos

corporativos ou particulares que interajam com seus ambientes lógicos ou físicos

de forma irrestrita e sempre que considerar necessário, além de poder

supervisionar e monitorar seus dados e informações, sobretudo nos Recursos de

TI de propriedade de terceiros quando for autorizada a entrada em suas

instalações, independentemente da interação com seus ambientes e

informações, pelos princípios de prevenção e proteção à sua infraestrutura e ao

objetivo do negócio.

6.7 Seleções e Contratações

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 13/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

13

6.7.1 - Terceirização ou Prestação de Serviços: Todos os relacionamentos e

contratações de prestadores de serviços e fornecedores em que haja o

compartilhamento de informações da ESBR ou a concessão de qualquer tipo de

acesso aos seus ambientes e Recursos de TI devem ser precedidos por Termos

de Confidencialidade e cláusulas contratuais que tratem especificamente da

Segurança da Informação, inclusive nos Contratos de Trabalho.

6.8 Capacitação e Publicidade

6.8.1 - Capacitação: A ESBR está comprometida com o dever de capacitar

constantemente seus empregados no uso ético, seguro e legal das novas

tecnologias e ferramentas de trabalho, além das informações e Recursos de TI

corporativos disponibilizados. Para cumprir com este objetivo, o RH deverá

realizar em conjunto com os pontos focais de Segurança da Informação

programas de educação continuada e capacitação em Segurança da Informação

com envolvimento dos empregados e gestores, para garantir o cumprimento da

presente Norma e aumentar o nível de cultura de segurança interna.

Os programas de capacitação devem contemplar treinamentos, campanhas e

divulgações sobre o uso ético, seguro e legal da Política e Normas de Segurança

da Informação.

6.8.2 - Divulgação: A Empresa é responsável pela divulgação desta Política e de

suas Normas complementares aos empregados. A Gerência de Recursos

Humanos é responsável por fornecer a Política de Segurança da Informação aos

empregados antes do início das atividades contratadas. Aos terceiros,

prestadores de serviços e fornecedores, a entrega da Política de Segurança da

Informação deve ser realizada pelo Gestor responsável pela contratação.

6.8.3 - Formalização do Recebimento: Todos os empregados devem assinar o

“Termo de Ciência e Responsabilidade” confirmando o recebimento da Política

de Segurança da Informação, antes do início das atividades contratadas.

6.9 Violações e Penalidades

6.9.1 - Violações e Penalidades: Quaisquer atitudes ou ações indevidas,

antiéticas, ilícitas, imorais, não autorizadas ou contrárias ao recomendado por

Norma Código

Utilização do Ambiente de T.I.

Revisão 00

Página 14/14

Data da Aprovação

22/03/2016

Responsável pela Norma

Gerencia

Aprovado por

Diretor

14

esta Norma ou pelas demais Normas de Segurança da Informação da Empresa

serão consideradas violações e estarão sujeitas às sanções cabíveis, a exemplo,

mas não se limitando a advertência verbal ou escrita, suspensão de uso do

Recurso de TIC corporativo ou particular em suas dependências ou em proveito

da Empresa, podendo resultar até em rescisão de contrato ou desligamento,

conforme a natureza e gravidade da conduta, sem prejuízo de eventual

instauração de procedimentos judiciais ou administrativos, além de ter de arcar

com os prejuízos causados.

6.9.2 - Tentativa de Burla: A tentativa de burla às diretrizes e controles

estabelecidos pela ESBR deve ser desestimulada e, quando constatada, será

tratada como violação às normas da Empresa, à moral, à ética, à boa-fé e aos

bons costumes.

7. ANEXOS

N/A