Академический Документы
Профессиональный Документы
Культура Документы
2 O Sistema Integrado Martins apresenta, atravs deste documento, as nossas Polticas e Normas de Segurana da Informao. Elas contm orientaes para nos ajudar a proteger as informaes com critrio e responsabilidade, porque sabemos que o mau uso dessas informaes pode gerar prejuzos e comprometer nosso futuro. Para que essas Polticas sejam uma realidade dentro da organizao, ser necessrio que cada um assuma um verdadeiro comprometimento com elas, sua correta e disciplinada aplicao e o seu fiel cumprimento. Sei que posso confiar em vocs. Sei que posso contar com vocs. Um abrao,
Alair Martins
Referncias
Este Manual de Segurana baseia-se nas Polticas e Normas de Segurana da Informao do Martins e Tribanco que foram elaboradas tendo como referncia a norma NBR ISO/ IEC 27002:2005.
Segurana da Informao
A informao um dos ativos mais importantes para os negcios de uma organizao e, consequentemente, necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectados. A informao pode existir em diversas formas: impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Segurana da informao a proteo da informao contra vrios tipos de ameaas, para garantir a continuidade dos negcios, minimizando os seus riscos e maximizando o retorno sobre os investimentos e as oportunidades. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de sistemas e equipamentos.
Responsabilidades do usurio
As Polticas e Normas de Segurana da Informao do Martins e Tribanco so aplicveis aos: Conselheiros e Diretores; Colaboradores e Estagirios; Prestadores de Servios.
Veja as dicas:
Sempre que receber um fax, tirar uma cpia ou enviar uma impresso, retire o documento o mais rpido possvel do equipamento; Ao enviar um fax contendo informaes confidenciais, certifique-se de que o destinatrio est correto e recebeu o documento, para evitar que pessoas no autorizadas tenham acesso s informaes da organizao; No imprima um documento a menos que seja realmente necessrio.
Telefones e Conversas
importante lembrar que assuntos sigilosos no devem ser discutidos em locais abertos (elevadores, corredores, aeroportos, restaurantes, entre outros) ou em locais inseguros (txi, nibus, entre outros). Devemos ter cuidado, tambm, ao utilizarmos o viva-voz nos telefones ou aparelhos celulares, pois outras pessoas podem ouvir informaes importantes. Evite fazer reunies de trabalho nos locais pblicos da empresa. Escolha o local mais adequado para discutir os assuntos estratgicos da empresa. 9
Descarte de Informaes
Voc j prestou ateno no seu lixo?
Ele tambm pode ser uma fonte de informaes para pessoas que queiram prejudicar voc ou a organizao. Ento, temos que tomar muito cuidado: Ao descartar informaes, tanto em papel quanto em outros tipos de mdia (CD, DVD, disquete, fitas, etc.), lembre-se sempre de destru-los completamente para evitar que pessoas mal intencionadas tenham acesso a estas informaes; Utilize trituradores de papel ou, na falta deste recurso, rasgue os documentos de forma que no possam ser lidos; No utilize papis que contenham informaes confidenciais como rascunho.
11
Contas de Acesso
Sua identidade de acesso, ou UserID, nos sistemas das empresas integrantes do SIM pessoal e intransfervel. Deste modo, as contas de acesso no podem ser compartilhadas com outras pessoas. O uso de sua conta de acesso, por outra pessoa, poder responsabiliz-lo por aes que no foram executadas por voc. 12 O acesso aos sistemas da empresa somente ser concedido aps ter sido devidamente autorizado por seu superior imediato e pelo responsvel pelo sistema. As justificativas devero refletir a aplicabilidade deste recurso em suas atividades na empresa.
Uso de Senha
O que uma senha?
Ela o principal recurso de segurana de acesso s informaes da empresa e escolhida por voc. A senha previne que outras pessoas utilizem sua identidade dentro da organizao, a fim de obter acesso s informaes de sua responsabilidade. 13
Mantenha o sigilo
Nunca compartilhe suas senhas, pois assim voc evita que outras pessoas utilizem informaes das empresas de forma indevida, evitando danos aos negcios. Para sua segurana, siga as orientaes abaixo: As senhas devem conter letras, nmeros e caracteres especiais (#@%) para dificultar que outras pessoas as identifiquem; Crie senhas de modo que sejam difceis de serem decifradas, mas fceis de serem memorizadas, para que no seja necessrio anot-las; Mude sua senha regularmente; O tamanho mnimo de 8 caracteres.
Vrus
Voc sabia que...
Um cdigo malicioso (ex: vrus) pode prejudicar o funcionamento do seu computador, roubar informaes e at mesmo destruir arquivos ou sistemas inteiros? 14
Uso do E-mail
O propsito principal das contas de e-mail das empresas tratar de assuntos relacionados aos negcios corporativos.
Acesso Internet
Qualquer um, em qualquer lugar do mundo, pode acessar informaes pela Internet. Portanto, precisamos ter cuidado com o contedo acessado.
Como se proteger:
16 O acesso Internet destina-se atender exclusivamente aos interesses profissionais relacionados aos negcios das empresas; Todo acesso Internet monitorado e no pode ser utilizado para outras finalidades, exceto com prvia autorizao das reas responsveis das empresas; No permitido o acesso sites na internet que publiquem contedos imprprios (ex: pornografia, pedofilia, armas, ataques racistas e religiosos); Somente baixe arquivos da internet de fontes seguras e que sejam necessrios ao seu trabalho; O acesso aos sites de relacionamento, como orkut, facebook, myspace ou blogs pessoais, somente ser permitido quando houver justificativa de negcio associada conforme as diretrizes de comunicao vigentes.
Acesso Fsico
Seu crach sua identidade funcional e atravs dele que voc tem acesso s dependncias da empresa. Alm de distingui-lo de pessoas externas, tambm permite que o registro de sua movimentao seja gravado para eventuais consultas.
17
Recursos Mveis
Laptops, Notebooks, Smartphones e Handhelds so recursos utilizados para quem viaja com frequncia ou trabalha fora do escritrio. Equipamentos portteis so muito prticos, porm vulnerveis. Estes equipamentos podem ser facilmente roubados e as informaes contidas neles podem ser utilizadas por pessoas mal intencionadas, prejudicando voc e a organizao.
18
Precaues:
Nunca deixe estes recursos em locais inseguros, evitando o roubo; Sempre mantenha estes recursos protegidos por senha, evitando o acesso de outras pessoas s informaes contidas no equipamento; Se voc carrega informaes confidenciais ou de uso interno em seu equipamento mvel, solicite a instalao de um software de criptografia em seu computador. Este recurso ajudar a manter a confidencialidade dos seus dados.
Desenvolvimento de Sistemas
Qualquer desenvolvimento ou implantao de sistemas nas empresas deve considerar aspectos de segurana, definidos pela rea responsvel pela Segurana da Informao. As Gerncias de Sistemas Aplicativos devem ser consultadas sempre que houver a necessidade de desenvolvimento ou aquisio de sistemas. Os sistemas devem possuir recursos para resguardar a confidencialidade e integridade das informaes.
19
Software
PIRATARIA ILEGAL. Portanto, no instale programas que no foram legalmente adquiridos. No permitida a aquisio, instalao ou o uso de softwares em seu computador que no estejam nos padres homologados pelas empresas ou no disponham de licena autorizada. Os gerentes e demais responsveis pelas reas das empresas so responsveis diretos pelo cumprimento das normas de segurana em suas reas de atuao.
Hardware
Dispositivos que possibilitam a cpia de informaes (Pendrives, Gravadores de CD ou DVD, etc.) somente podero ser utilizados mediante aprovao prvia da rea responsvel pela Segurana da Informao. O uso de dispositivos que possibilitem a transferncia remota de informaes, como adaptadores de FAX / MODEM, somente ser possvel aps avaliao da rea responsvel pela Segurana da Informao. No permitido o uso de hardware que no tenha sido devidamente homologado pela Diretoria de Tecnologia das empresas.
20
Incidentes de segurana
Qualquer incidente de segurana que afete os negcios das empresas devem ser reportados s reas responsveis pela Segurana da Informao, conforme a natureza do problema. Os incidentes devem ser mantidos em sigilo por aqueles que identificaram o problema e pelo responsvel da rea afetada.
Comunicao
Todos os contatos com a mdia devem ser iniciados e gerenciados pela assessoria de imprensa da rea de Comunicao. Se necessrio, esta poder indicar um colaborador para acompanhar as entrevistas. A rea de Comunicao deve analisar as iniciativas de contato com clientes ou fornecedores atravs de meios impressos (revistas, folders, material de divulgao, etc.) ou digitais (sites, blogs, etc.). Os registros de fotos e filmagens relacionados ou coordenados pelas empresas devem ter uma cpia encaminhada ao CDMM (Centro de Documentao e Memria Martins). A rea de Comunicao responsvel pelo atendimento de visitantes nas ocasies em que houver a necessidade de apresentao institucional do SIM. A utilizao de espaos da empresa (paredes, murais, balces, outdoors, etc.) para divulgao comercial externa ou particular permitida desde que aprovada, com antecedncia, junto a rea de Comunicao e alinhada s polticas de RH. A rea de Comunicao far o monitoramento das mdias eletrnicas (sites de relacionamento, blogs, etc.) para avaliar a qualidade dos assuntos publicados relacionados empresa e seus acionistas. 21
22
VI - Controle de Acesso: Controlar o acesso s informaes e aos sistemas das empresas do SIM. VII - Desenvolvimento e Manuteno de Sistemas: Assegurar que os controles de segurana da informao sejam parte integrante dos sistemas operacionais e aplicativos. VIII - Gesto da Continuidade do Negcio: Assegurar a continuidade do negcio, contendo a interrupo das atividades e protegendo os processos crticos de segurana contra efeitos de falhas ou desastres significativos. IX - Conformidade: Evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. X - Excees s Polticas e Normas de Segurana da Informao: Assegurar que as excees s Polticas e Normas de Segurana da Informao sejam adequadamente tratadas, evitando que incorram em violaes de segurana.
23
Glossrio
Informao Pblica: Informao adequada com uso aberto para qualquer pessoa a qualquer instante. Sem riscos de negcio para este tipo de informao, estas podem ser publicadas abertamente, como, por exemplo, em panfletos, acesso por meio da Internet ou outros meios de disseminao no autenticveis. Informao Privada ou de Uso interno: Informaes apropriadas para acesso e uso interno da empresa, devendo ser concedida com base em uma necessidade de negcio. Informao Confidencial: Informaes com requisitos de disseminao mais restritos do que as informaes privadas. Informaes que, se reveladas, podem causar danos graves, comprometendo os negcios ou a imagem da empresa. Incidente de Segurana: qualquer evento de segurana da informao, indesejado ou inesperado, que tenha uma grande probabilidade de comprometer as operaes do negcio. UserID: Identificador de usurio para obteno de acesso a recursos de sistemas. ISO 27001:2005 e 27002:2005: So normas internacionais que possibilitam s organizaes a implementao de um Sistema de Gesto da Segurana da Informao (SGSI), atravs do estabelecimento de uma poltica de segurana, controles e gerenciamento de riscos.
24
25
27
2 via colaborador