P01 POLTICA DE SEGURANA DA INFORMAO

Referncia Data Verso Reviso Autores

P01 Poltica de Segurana da Informao Criado em 27/05/2013 V1.0 Autor 1 Autor2

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

CONTEDO
MISSO E VISO .................................................................................................................................................... 4 1. OBJETIVOS......................................................................................................................................................... 4 2. ABRANGNCIA ................................................................................................................................................ 4 3. ESCOPO ............................................................................................................................................................... 4 3.1- COMPLIANCE .......................................................................................................................................... 5 4. REVISO E ATUALIZAO ........................................................................................................................ 5 5. Diretrizes ........................................................................................................................................................... 5 5.1- Definindo as funes .......................................................................................................................... 6 5.2- Classificao da Informao .......................................................................................................... 6 5.3- Responsabilidades .............................................................................................................................. 7 5.4- Matriz RACI.............................................................................................................................................. 8 6. Fluxo de Informaes ................................................................................................................................. 8 6.1- Mquinas copiadoras......................................................................................................................... 8 6.2- Correio Eletrnico ............................................................................................................................... 8 6.3- Telefonia Fixa ........................................................................................................................................ 9 6.4- Estaes de Trabalho ......................................................................................................................... 9 6.5- Banco de Dados ..................................................................................................................................... 9 7. Segurana nos recursos humanos ..................................................................................................... 10 7.1 Processo Disciplinar........................................................................................................................ 10 7.2- Encerramento ou mudana da contratao ....................................................................... 11 7.2.1 - Devoluo de Ativos/equipamentos ................................................................................... 11 7.2.2 - Acessos............................................................................................................................................. 11 8. Controle de Acesso ..................................................................................................................................... 11 8.1- Solicitao de Registro de usurio/acesso .......................................................................... 11 8.2- Mecanismos de Autenticao ..................................................................................................... 12 8.2.1- Gerenciamento de senha do usurio .................................................................................... 12 8.4- Acesso a Recursos .............................................................................................................................. 13 8.4.1- Normas e Procedimentos para a Gesto de Acessos a Recursos .............................. 13 8.4.2- Proteo do Recurso ................................................................................................................... 14 8.4.4- Solicitao de Permisso de Acesso ao Recurso .............................................................. 14 8.4.5- Aprovao ou Negao da Permisso de Acesso ............................................................. 14 8.4.6- Reviso Peridica das Permisses de Acesso ao Recurso ........................................... 15 8.5-Arquivos e Banco de Dados ........................................................................................................... 15

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 8.5.1- Acesso Emergencial ..................................................................................................................... 15 8.5.2- Utilizao de Usurio Genrico ............................................................................................... 15 8.5.3- uso dos servios de Rede.......................................................................................................... 15 8.6- Estaes de Trabalho ....................................................................................................................... 16 8.6.1- Poltica de mesa limpa..................................................................................................................... 17 8.7- Comunicao Mvel .......................................................................................................................... 18 8.7.1- Equipamentos Particulares ...................................................................................................... 18 8.8 Trabalho remoto ............................................................................................................................... 18 8.7.1- Normas para Utilizao de Acesso Remoto ....................................................................... 18 8.7.2- Forma de Acesso e Responsabilidades ................................................................................ 19 9. Conscientizao da Segurana ............................................................................................................. 19 10. GLOSSRIO ................................................................................................................................................... 19 11. Informaes de Controle ...................................................................................................................... 21 ANEXO I TERMO DE COMPROMISSO ...................................................................................................... 22

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

MISSO E VISO
Queremos ser percebidos a longo prazo, como um lder em termos de conhecimento em consultoria e oferecer aos nossos parceiros e clientes solues convenientes e transparente. Nossa misso : criar relaes sustentveis e saudveis com os clientes; criar um ambiente aos melhores especialistas em diversos setores do mercado

tecnolgico; ser uma empresa inovadora.

1. OBJETIVOS
Proteger e preservar a organizao, suas informaes e negcios, alm de definir regras de segurana para orientar a forma correta para o manuseio, controle e proteo das informaes a fim de reduzir as condies de risco. Tambm busca desenvolver a conscientizao sobre segurana e privacidade da informao.

2. ABRANGNCIA
As normas citadas nesse presente documento referem-se aos procedimentos definidos para a organizao estabelecida no Brasil, em conformidade com a legislao local.

3. ESCOPO
Este documento considerado como principal ferramenta na implementao da gesto de segurana dentro da UMBRELLA CORPORATION ME e ele se esfora para: Fornecer linhas de deciso clara e nveis de responsabilidade Dar orientao em determinadas situaes especficas Certificar-se da conscientizao de segurana da informao em todos os nveis dentro da organizao Reduzir o risco a um nvel aceitvel Proteger a propriedade e reputao da UMBRELLA CORPORATION ME.

O equilbrio entre estes objetivos cuidadosamente decidido em todos os nveis da organizao. Alm disso, ele d a cada membro da equipe, independentemente de seu/sua funo o direito e o dever de contribuir para que estes objetivos sejam alcanados.

DOCUMENTO CONFIDENCIAL

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 O foco principal fornecer uma compreenso detalhada das informaes e responsabilidades de segurana para todos os nveis de colaboradors, fornecedores, parceiros e terceiros.

3.1- COMPLIANCE
Um dos fatores crticos de sucesso para esta Poltica de Segurana a aceitao e o cumprimento pelos colaboradors e todas as outras pessoas envolvidas. O cumprimento no opcional, obrigatrio e em simultneo com o incio de qualquer tipo de trabalho com a UMBRELLA CORPORATION ME. A poltica de segurana , portanto, obrigatria para todas as pessoas abordadas neste documento. Qualquer violao desta Poltica de Segurana ou de documentos e decises relacionadas ser considerado uma infrao disciplinar e estar sujeita ao disciplinar dentro da organizao, tais como suspenso ou demisso.

4. REVISO E ATUALIZAO
A Poltica de Segurana da Informao revista e, se necessrio atualizada, ao menos anualmente A equipe responsvel pela reviso e atualizao composta atualmente por: Membro1 Membro2 Membro3 Membro4 Membro5 Membro do Comit de segurana da informao Membro do Comit de segurana da informao Membro do Comit de segurana da informao Membro do Comit de segurana da informao Membro do Comit de segurana da informao

5. DIRETRIZES
Para a definio da Poltica de Segurana da Informao, foram consideradas as seguintes diretrizes: segurana como uma responsabilidade de todos; importncia da tica no trato de informaes sigilosas e de carter confidencial e restrito da organizao; melhoria contnua de processos e procedimentos; capacitao constante das pessoas ao tratar a informao.

DOCUMENTO CONFIDENCIAL

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

5.1- DEFININDO AS FUNES

Quando se fala em informao, alguns papis precisam ser identificados e possuem importncia fundamental. So eles: Proprietrio/Owner o dono da informao, encarregado de sua criao e classificao, dos recursos de informao sob sua responsabilidade, da validao, liberao e cancelamento do acesso aos recursos e aos locais restritos da sua rea. Gestor Usurio designado pelo Proprietrio para validar, liberar e cancelar o acesso aos recursos e aos locais restritos. Custodiante Responsvel pela guarda e armazenamento da informao, definido pelo Gestor da Informao. Usurio Pessoa autorizada pelo Proprietrio ou Gestor a ler, incluir ou atualizar informaes.

5.2- CLASSIFICAO DA INFORMAO

A informao deve ser classificada de acordo com a sua confidencialidade e os prejuzos que sua divulgao no autorizada ou acidental possa causar. De acordo com esses parmetros, as informaes so classificadas em:
Classificao Definio Exemplos Informao associaa aos interesses estratgicos da organizao. Quem tem acesso: alta direo e colaboradors Estratgias, vantagens competitivas, Confidencial que so obrigados a conhec-las pela funo detalhes sobre um produto em Restrita que exercem. desenvolvimento; Sua divulgao pode trazer srias conseqncias, por isso exige medidas mais rgidas de controle. Informao cujo conhecimento est limitado a pessoas que precisam ter acesso a ela no seu dia-a-dia profissional. Confidencial Sua divulgao tambm pode trazer graves Procedimentos internos, estudos e projetos. conseqncias corporao, portanto esse tipo de informao necessita de controle e proteo contra acessos no autorizados. Toda informao restrita para uso dentro da organizao. Circulares, manuais de procedimentos, Uso Interno Disponvel ao Usurio interno. Pode ser resultados de metas. revelada ao pblico externo se o Gestor autorizar. Informaes de produtos, marketing, Informao Tudo o que pode ou deve ser divulgado para o informativos, resultados de metas, cdigo de Pblica pblico tica da Umbrella Corporation ME.

DOCUMENTO CONFIDENCIAL

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 Observaes: - O Proprietrio ou o Gestor da Informao deve definir o nvel da informao quanto confidencialidade; - A informao dever ser reclassificada caso necessrio.

5.3- RESPONSABILIDADES
Para garantir a implementao e a continuidade da Poltica de Segurana da Informao, formaram-se grupos onde cada um deles tem uma responsabilidade especfica, confoorme abaixo. Comit de Segurana da Informao elaborar, divulgar e revisar periodicamente as normas de Poltica de Segurana da Informao; prover aes para disseminao e dar suporte ao cumprimento das normas; esclarecer eventuais dvidas. Corpo Gerencial garantir o cumprimento das normas pelos colaboradors de sua rea; indicar o Gestor da Informao; divulgar a importncia da poltica de senha segura; restringir o acesso s informaes confidenciais. Custodiante controlar o acesso s informaes; adotar procedimentos de segurana; monitorar as informaes sob sua custdia. Comit de Infra-estrutura de Tecnologia providenciar recursos de segurana; fornecer ferramentas para controle de acesso s informaes. Auditoria Interna realizar trabalhos para determinar o nvel de cumprimento das normas. Proprietrio ou Gestor da Informao DOCUMENTO CONFIDENCIAL 7

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 classificar/reclassificar informaes sob sua responsabilidade; controlar acessos; criar controles. Usurio conhecer e cumprir os controles de segurana estabelecidos; reportar ao superior imediato a exposio indevida das informaes confidenciais.

5.4- MATRIZ RACI

Atividades Corpo Gerencial Custodiante Comit de Segurana da Informao Usurio

Desenvolver e realizar treinamento Informao Compliance

I I C

R R I

I I I

Revisar Poltica de Segurana da I R

6. FLUXO DE INFORMAES
Todas as informaes devem obedecer aos critrios de classificao.

6.1- MQUINAS COPIADORAS

Todo usurio dever utilizar a sua senha de impresso que de uso pessoal e intransfervel Ao enviar o arquivo para impresso, o usurio dever imediatamente verificar se o que foi solicitado j est disponvel na impressora, no deixando documentos nas bandejas das impressoras mais tempo do que o necessrio. As mquinas copiadoras devero estar com a funo e-mail externo desabilitada.

6.2- CORREIO ELETRNICO

necessrio que seja habilitado um filtro para varredura de anexos e mensagens chave dentro do corpo de e-mail. As mensagens que contm informaes classificadas como "Restrita" ou "Confidencial" devem ser criptografadas ao serem transmitidas para o ambiente externo. No permitido que seja feito o redirecionamento de mensagens internas da organizao para caixa postal particular do usurio (e-mail externo). O acesso aos e-mails DOCUMENTO CONFIDENCIAL 8

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 da Instituio devem ser feitos atravs de mecanismos homologados (por exemplo Blackberry e estaes corporativas).

6.3- TELEFONIA FIXA

O sistema de telefonia fixa deve permitir gravaes de ligaes em todas as reas consideradas crticas, sendo que esta lista deve possuir uma reviso peridica. O PABX deve possuir um sistema que possibilite o registro de ligaes telefnicas recebidas e efetuadas atravs de cada ramal.

6.4- ESTAES DE TRABALHO

A poltica de Segurana de Estao de Trabalho define quatro nveis descritos abaixo: Nvel 1 - Padro Bsico de Segurana Destinado aos equipamentos que no se enquadram nos demais nveis. Devem ser tratados como excees e disponibilizados provisoriamente. necessrio aprovao do diretor da rea. Nvel 2 - Padro Intermedirio de Segurana Destinado aos equipamentos utilizados por Colaboradores que precisam de maior flexibilidade no uso de recursos sem deixar de atender as Polticas de Segurana da Informao. necessrio aprovao do diretor da rea. Nvel 3 - Padro Avanado de Segurana Destinado a todos os equipamentos. Este o nvel padro de segurana exigido nas estaes de trabalho da Organizao. Nvel 4 - Padro Especial de Segurana Destinado aos equipamentos utilizados exclusivamente para o acesso a determinadas aplicaes corporativas, no ocorrendo armazenamento de dados. O quadro a seguir apresenta os recursos disponveis na Poltica de Segurana de Estao de Trabalho: Caractersticas Bloquear execuo de download da internet Bloquear compartilhamentos (arquivos ou pastas) Customizao especial Nvel 1 Nvel 2 X X Nvel 3 X X X Nvel 4

6.5- BANCO DE DADOS

Devem ser definidos critrios e perfis de acesso. Esses acessos devem ser revistos periodicamente. DOCUMENTO CONFIDENCIAL 9

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 Os cdigos de usurios e senhas devem obedecer s boas prticas de utilizao. As aplicaes devero ter logs que registrem os acessos dos usurios e modificaes dos dados. Apenas usurios com acesso privilegiado podem acessar dados estratgicos (Ex: cadastro de clientes). Deve haver uma lista de aplicativos separados pelo grau de criticidade para operao. Dados crticos de clientes no devem ser gravados diretamente nos discos rgidos das estaes e notebooks. Deve ser implementada tcnica de "mascaramento" de dados crticos, onde os campos de maior importncia so mascarados com caracteres especiais. Dados de clientes e suas informaes mais sensveis devem estar em bases separadas.

7. SEGURANA NOS RECURSOS HUMANOS

Embora o Comit de Segurana da Informao seja responsvel pela gesto da Segurana Corporativa, cabe a todos os colaboradores zelar pela segurana do seu local de trabalho. Os colaboradores devem fazer uso de crachs de identificao e a entrada de visitantes deve ser autorizada e registrada. Todos os colaboradores devem guardar ou descartar adequadamente materiais confidenciais, manter gavetas e armrios fechados, desligar ou bloquear estaes de trabalho e notebooks, zelar pelos bens e ativos da Organizao.

7.1 PROCESSO DISCIPLINAR

Para assegurar o efetivo cumprimento de suas atribuies, o Comit de Segurana da Informao tem poderes para convocar colaboradores implicados em situaes de desvio de conduta, visando obteno dos esclarecimentos necessrios, inclusive afastando-os de suas funes, se necessrio, mediante comunicao prvia ao gestor do colaborador. Nesses casos, o Comit de Segurana da Informao tambm possui poderes para analisar e decidir sobre pedidos de demisso, frias, licena ou qualquer outro apresentado pelos colaboradores implicados. As infraes disciplinares comuns, quando cometidas de modo reiterado ou de forma grave, tornam o contrato de trabalho passvel de resciso imediata, inclusive por justa causa.

DOCUMENTO CONFIDENCIAL

10

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

7.2- ENCERRAMENTO OU MUDANA DA CONTRATAO

7.2.1 - DEVOLUO DE ATIVOS/EQUIPAMENTOS
Na necessidade de devoluo ou substituio do ativo/Equipamento, deve-se realizar previamente a eliminao das informaes armazenadas, de forma que no seja possvel a sua recuperao.

7.2.2 - ACESSOS
Quando um colaborador transferido entre departamentos, o gestor que o transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controles de segurana ainda sero necessrios na sua nova funo e informar a equipe de TI qualquer modificao necessria; O gestor responsvel por solicitar a excluso/descadastramento dos acessos a sistemas e recursos utilizados pelo colaborador desligado, conforme descrito abaixo: O gestor deve enviar e-mail solicitando a desativao dos acessos do usurio qualquer recurso a rede e sistemas aplicativos. Deve-se verificar a necessidade de troca de senhas de contas de uso comum ao departamento, evitando o acesso s informaes. Aps a comunicao do gestor solicitando a excluso dos acessos do colaborador, os acessos so excludos automaticamente por meio da atualizao da base de dados do RH, conforme rotina de processamento.

8. CONTROLE DE ACESSO
Este tpico visa definir as normas de Registro do Usurio que abrange: criao, manuteno e desativao da conta. Regras Gerais reservado o direito de desativar uma conta de usurio, por parte da equipe de segurana da rea de TI, caso verifique-se a ocorrncia de Incidentes suspeitos de quebra de segurana nas contas dos usurios.

8.1- SOLICITAO DE REGISTRO DE USURIO/ACESSO

Todo colaborador poder ter uma conta para acesso aos recursos da rede de computadores da Organizao. Os acessos a demais sistemas devem ser informados pelo gestor da rea no momento da solicitao da conta do usurio.
DOCUMENTO CONFIDENCIAL 11

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

Para solicitao de criao de conta para novos colaboradors, os gestores devem proceder conforme descrito abaixo: O gestor de departamento a que o colaborador pertence dever fazer uma solicitao de criao da conta, atravs do formulrio Solicitao de Usurio/Acesso rea de TI, Neste formulrio, dever ser informado os dados do colaborador, bem como os acessos que sero necessrios para que este usurio desempenhe suas funes na rea (diretrios da rede UMBRELLA, acesso ao sistema, ao email e Internet entre outros). A equipe de segurana retornar para o gestor do departamento as informaes sobre a conta criada. As contas podem ser monitoradas pela equipe de segurana com o objetivo de verificar possveis irregularidades no armazenamento ou manuteno dos arquivos nos diretrios pessoais.

8.2- MECANISMOS DE AUTENTICAO

O usurio sempre representado por um cdigo ao acessar o ambiente computacional da Organizao. No processo de autenticao, alm do seu cdigo de usurio, conhecido internamente, o usurio deve fornecer informaes complementares que assegurem sua identidade. O mais comum o fornecimento de uma senha que seja apenas de seu conhecimento, entretanto, existem outros mecanismos de autenticao homologados. Cada um deles aplica-se a um conjunto de plataformas e/ou sistemas especficos

8.2.1- GERENCIAMENTO DE SENHA DO USURIO

As senhas so utilizadas por todos os sistemas e so consideradas necessrias como meio de autenticao. A eficincia das senhas dependem do usurio, pois estes podem escolher senhas bvias e fceis de serem descobertas, ou ainda compartilha-las com outros colaboradores, no mantendo o sigilo necessrio.

Regras Gerais
A concesso de senhas deve ser controlada, considerando: - Senhas temporrias devem ser alteradas imediatamente, no devem ser armazenadas de forma desprotegida, - A senha deve ser redefinida pelo menos a cada 60 dias, para usurios comuns e a cada 45 dias para usurios de acesso mais restrito.

DOCUMENTO CONFIDENCIAL

12

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - As senhas devem ser bloqueadas aps 3 a 5 tentativas sem sucesso, sendo que, o administrador da rede e o usurio devem ser notificados sobre estas tentativas. - As responsabilidades do administrador do sistema incluem o cuidado na criao e alterao das senhas dos usurios, alm da necessidade de manter atualizados os dados dos mesmos. - As responsabilidades do usurio incluem, principalmente, os cuidados com a manuteno da segurana dos recursos, tais como sigilo da senha e o monitoramento de sua conta, evitando sua utilizao indevida. As senhas so sigilosas, individuais e intransferveis, no devendo ser divulgadas em nenhuma hiptese. - Tudo que for executado com a senha de usurio da rede ou de outro sistema ser de inteira responsabilidade do usurio. As senhas so efetivas apenas quando usadas corretamente e sua escolha e uso requerem alguns cuidados como: No utilizar palavras que esto no dicionrio (nacionais ou estrangeiras); No utilizar informaes pessoais fceis de serem obtidas, como o nmero de telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc; Utilizar senha com pelo menos, oito caracteres; Misturar caracteres maisculos e minsculos; Misturar nmeros, letras e caracteres especiais; Incluir pelo menos, um caracter eespecial; Utilize um mtodo prprio para lembrar da senha, de modo que ela no precise ser escrita em nenhum local, em hiptese alguma; No anotar a senha em papel ou em outros meios de registro de fcil acesso; No utilizar o nome do usurio; No utilizar o primeiro nome, o nome do meio ou o sobrenome; No utilizar nomes de pessoas prximas, como da esposa(o), filhos ou amigos; No utilizar senhas com repetio do mesmo dgito ou da mesma letra;

8.4- ACESSO A RECURSOS

8.4.1- NORMAS E PROCEDIMENTOS PARA A GESTO DE ACESSOS A RECURSOS
A gesto do acesso a um recurso compreende as seguintes atividades: - proteo; - solicitao de permisso de acesso; - aprovao ou negao da permisso de acesso; DOCUMENTO CONFIDENCIAL 13

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - alterao no perfil de acesso; - reviso com frequncia mnima anual das permisses de acesso.

8.4.2- PROTEO DO RECURSO

A proteo corresponde ao cadastramento do recurso com o respectivo perfil de acesso nas bases de dados do software de segurana do servidor em que o recurso est alocado. So elegveis para proteo lgica todos os recursos que armazenam ou processam informaes de propriedade da Organizao. O Gestor do Recurso o responsvel pela definio da proteo do recurso. Compete ao gestor avaliar os riscos inerentes ao acesso ao recurso sendo protegido e selecionar o nvel de proteo adequado, em funo desses riscos.

8.4.4- SOLICITAO DE PERMISSO DE ACESSO AO RECURSO

As solicitaes de acesso a recursos para colaboradores ou prestadores de servio so de responsabilidade dos solicitantes das suas respectivos reas. Os userids genricos devem ser requisitados pelos rgos de TI responsveis pelos processos associados s mesmas. Deve ser considerado na permisso e/ou concesso de acessos o princpio do mnimo privilgio, ou seja, os usurios (ou processos) devem acessar apenas os recursos necessrios para o desempenho de suas atividades.

8.4.5- APROVAO OU NEGAO DA PERMISSO DE ACESSO

O responsvel pela aprovao ou negao da permisso do acesso ao recurso o gestor do recurso. Esse processo decorrente da solicitao de permisso de acesso. Antes de permitir ou negar o acesso ao recurso, o gestor deve obter as informaes necessrias para subsidiar sua deciso. Essas informaes incluem: o motivo da permisso de acesso solicitada; o tipo de permisso de acesso necessria; o nvel de acesso necessrio. Recomenda-se o contato com o solicitante responsvel pelo encaminhamento da solicitao e/ou com a SSI. O gestor deve selecionar o perfil que melhor representa o recurso cuja permisso de acesso foi solicitada.

DOCUMENTO CONFIDENCIAL

14

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

8.4.6- REVISO PERIDICA DAS PERMISSES DE ACESSO AO RECURSO

Compete ao gestor do recurso a reviso peridica das suas permisses de acesso. A periodicidade dessa reviso definida pela SSI e deve ser realizada com frequncia mnima anual. Na reviso, o gestor deve obedecer ao princpio de mnimos privilgios, ou seja, os usurios ou processos devem acessar apenas os recursos necessrios para o desempenho de suas atividades. Os casos de dvidas com relao composio de grupos de userids e a necessidade de permisso de acesso por usurios e processos que compem o perfil de acesso ao recurso devem ser tratados diretamente com os solicitantes ou aprovadores responsveis por esses usurios e processos. Recomenda-se que o gestor mantenha registros dos processos de reviso efetuados, para efeito de controle e auditoria.

8.5-ARQUIVOS E BANCO DE DADOS

No permitido acesso direto a arquivos e banco de dados de produo. Para o acesso dos usurios, deve existir uma aplicao (ex. Web) que faa a conexo ao Banco de Dados.

8.5.1- ACESSO EMERGENCIAL

No caso de exceo de acesso de analistas de sistemas a arquivos ou banco de dados de produo cuja propriedade seja de uma rea de negcios, este acesso deve ser feito de forma temporria e com alada de aprovao mnima de superintendente.

8.5.2- UTILIZAO DE USURIO GENRICO

Os usurios tm cincia de que proibida a utilizao de Usurio Genrico para logon pessoal, e que esto sujeitos a penalidades previstas no caso de violao desta diretriz de segurana. A conexo aos bancos de dados em produo deve ser realizada por meio de usurio sistmico.

8.5.3- USO DOS SERVIOS DE REDE

Esse tpico visa definir as normas de utilizao da rede que abrange o LOGIN, a manuteno de arquivos no servidor e as tentativas no autorizadas de acesso. Estes itens sero abordados para todos os usurios dos sistemas e da rede de computadores da Organizao.

Regras Gerais
DOCUMENTO CONFIDENCIAL 15

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - No so permitidas tentativas de obter acesso no autorizado, tais como

tentativas de fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta. Isso inclui acesso aos dados no disponveis para o usurio, conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio ou colocar prova a segurana de outras redes; - No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor ou rede. Isso inclui ataques e tentativas de provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor; - Materiais de natureza pornogrfica e discrminatria no podem ser expostos, armazenados, distribudos, editados ou gravados atravs do uso dos recursos computacionais da rede; - A pasta PBLICA ou similar, no dever ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza especfica. Ela deve ser utilizada apenas para armazenar informaes de interesse geral; - No so permitidas alteraes das configuraes de rede e inicializao das mquinas, bem como demais modificaes que no sejam justificadas e efetuadas pela rea de TI.

8.6- ESTAES DE TRABALHO

Cada estao de trabalho possui cdigos internos os quais permitem que ela seja identificada na rede. Sendo assim, tudo que for executado na estao de trabalho ser de responsabilidade do usurio. Por isso, sempre que sair de frente da estao de trabalho, o usurio dever ter certeza que efetuou o logoff ou bloqueou a estao de trabalho. Os equipamentos so recursos da Organizao e, como tais, devem ser utilizados de acordo com as diretrizes descritas nas Polticas de Segurana da Informao.

Regras Gerais
- as estaes de trabalho devem ser utilizadas exclusivamente para realizao de atividades profissionais da Organizao; - as informaes corporativas devem ser armazenadas em servidores de arquivos, onde existam processos consolidados e direcionados a sua integridade, disponibilidade e confidencialidade; - a senha pessoal e intransfervel, no sendo permitido o seu compartilhamento; - todas as estaes de trabalho devem estar associadas a um domnio vlido pela Organizao para garantir que as polticas de segurana sejam aplicadas;

DOCUMENTO CONFIDENCIAL

16

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - todas as estaes de trabalho devem possuir software antivrus instalado, atualizado e ativo; - todas as estaes de trabalho devem possuir somente softwares e aplicativos homologados); - todas as estaes de trabalho devem ser desligadas ao final do expediente. Caso no seja desligada, h um sistema que desligar automaticamente o equipamento. Excees devem ser justificadas; - utilizar a proteo de tela corporativa definida pela Organizao; - no permitida a conexo e/ou sincronizao de equipamentos particulares na rede da Organizao; - no permitida a alterao fsica nos componentes dos microcomputadores tais como memria, discos etc.; - a instalao de qualquer software de segurana deve ser analisada e autorizada pela SSI. Exemplos de softwares de segurana: recuperadores de senhas, analisadores de trfego de rede, forense, ferramentas de engenharia reversa, scanners para varredura de rede, ou qualquer outro software que permita acessar, sem autorizao, informaes confidenciais ou restritas. Ferramentas que violam direitos autorais, como, por exemplo, cracks e keygens (geradores de licenas), no so autorizados. - no permitida a instalao de softwares no homologados pela instituio. - todos os notebooks devem ser equipados com cabos de ao de segurana, presos s mesas e o disco rgido deve estar criptografado. - os desktops devem ser dotados de cadeados para proteo contra o furto de placas de memria e discos rgidos. - deve haver um processo de eliminao de dados dos desktops e notebooks quando da substituio, descarte ou cesso desses equipamentos, para evitar a recuperao de dados crticos por terceiros.

8.6.1- POLTICA DE MESA LIMPA

A poltica de mesa limpa deve ser considerada para todos os departamentos e seguida por todos os colaboradors/colaboradores, de forma a garantir que papis e mdias removveis no fiquem expostas ao acesso no autorizado.

Regras Gerais
- Os papis ou mdias de computador no devem ser deixados sobre as mesas, quando no estiverem sendo usados. Devem ser guardados de maneira adequada, de preferncia em gavetas ou armrios trancados;

DOCUMENTO CONFIDENCIAL

17

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - As salas devem ser mantidas limpas, sem caixa ou qualquer outro material sobre o cho de modo a facilitar o deslocamento dos colaboradors/colaboradores; - Sempre que o computador no estiver em uso, no se deve deixar nenhum arquivo aberto, de modo que as informaes possam ser visualizadas por outras pessoas que estiverem no local; - Agendas, livros ou qualquer outro material que possa conter informaes sobre a empresa ou informaes particulares devem sempre ser guardadas em locais fechados, evitando o acesso de outras pessoas que no as responsveis pela informao. - Chaves de gavetas, armrios, de portas de acesso s salas e laboratrios de informtica devem ser guardadas em lugar adequado, e no deixadas sobre a mesa ou guardadas com colaboradors/colaboradores no autorizados.

8.7- COMUNICAO MVEL

O uso de dispositivos mveis dentro de reas crticas deve ser restringido, havendo a necessidade de controle e monitorao dessa atividade. Os dispositivos mveis de propriedade da organizao devem possuir mecanismos de criptografia de dados (recebidos e enviados), devendo tambm permitir a configurao de senha de acesso.

8.7.1- EQUIPAMENTOS PARTICULARES

No permitida conexo ou sincronizao de qualquer equipamento particular na rede da organizao. Os equipamentos particulares no devem ser utilizados para armazenamento de informaes da Organizao. As violaes a esta Poltica esto sujeitas a sanes disciplinares

8.8 TRABALHO REMOTO

Dever existir um processo de aprovao de utilizao com alada de aprovao superior para utilizao de acesso remoto onde deve ser estipulado um perodo de concesso do acesso (este perodo no pode ser permanente), bem como o nvel de acesso que este usurio possuir.

8.7.1- NORMAS PARA UTILIZAO DE ACESSO REMOTO

O acesso remoto pode ser utilizado por colaboradores colaboradors e colaboradores terceiros em atividades de suporte tcnico. Essa situao possui norma especfica de utilizao.

DOCUMENTO CONFIDENCIAL

18

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

8.7.1.1- Utilizao do Acesso Remoto pelos Colaboradores Colaboradors e Colaboradores Terceiros 8.7.1.1A- Solicitao de Cadastramento de Acesso Remoto
Deve ser realizada via sistema WEB por usurio solicitante. A alada para aprovao de diretor, superintendente e gerente que aprova a solicitao eletronicamente no sistema WEB e manualmente para colaboradors ou colaboradores terceiros que no possuem acesso ao sistema WEB utilizando o Termo de Solicitao e de Responsabilidade para Acesso Remoto. Aps o acesso ser aprovado, o colaborador ou colaborador terceiro receber um e-mail com as instrues de instalao. O Termo de Recebimento para Acesso Remoto dever ser assinado e encaminhado para SSI, para confirmao de recebimento e inicializao do para sua utilizao em caso de cadastro manual.

8.7.2- FORMA DE ACESSO E RESPONSABILIDADES

O acesso remoto permitido apenas atravs da infraestrutura de comunicao disponibilizada pela Organizao. Para esse acesso remoto s ser permitido o uso do notebook corporativo disponibilizado via portal de microinformtica. Todo acesso realizado de forma remota controlado e registrado. Compete ao colaborador observar as diretrizes e normas de segurana estabelecidos pela organizao.

9. CONSCIENTIZAO DA SEGURANA
Materiais destinados a aumentar a compreenso e a conscincia dos colaboradores da Organizao sobre a importncia da segurana da informao, sero rotineiramente divulgados. Estes materiais iro enfatizar a importncia dos procedimentos de segurana da informao, especialmente no que tange informao eletrnica protegida.

10. GLOSSRIO
Acesso Remoto Acesso feito ao ambiente computacional da Organizao a partir de uma estao de trabalho conectada a uma rede de telecomunicaes, normalmente fora das dependncias da organizao. Autenticao DOCUMENTO CONFIDENCIAL 19

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 Processo de conexo de um usurio ao ambiente computacional, de forma que os sistemas reconheam-no e lhe permitam o acesso apenas a recursos a que ele esteja previamente autorizado. Autorizao Processo pelo qual verificado se um usurio previamente autenticado tem direito a acessar determinados recursos. Em geral, os produtos que proveem mecanismos de autenticao tambm possuem mecanismos de autorizao. Compliance Agir de acordo com uma regra, uma instruo interna, um comando ou um pedido Cdigo de Usurio Forma com que um usurio representado no ambiente computacional da Organizao. Um cdigo de usurio est associado a um nico usurio e suas caractersticas dependem do sistema operacional acessado. E-Businessid Tipo de cdigo de usurio. Aplica-se a colaboradores de empresas parceiras que acessam servios especficos da Organizao, normalmente realizado a partir de aplicativos web (internet, extranet ou intranet), e sempre associado a uma pessoa. Plataforma Sistema operacional, subsistema ou software, para o qual existem regras prprias para a administrao e autenticao de cdigos de usurios. Regras de Administrao de Cdigos de Usurios e Senhas Mecanismos implementados pelos sistemas operacionais e softwares de segurana com o objetivo de garantir que todos os usurios submetam-se a boas prticas na utilizao de seus cdigos de usurios e senhas. Ex. regras de sintaxe de senha, bloqueio automtico de cdigos de usurios em determinadas situaes etc. SSI - Superintendncia de Segurana da Informao

DOCUMENTO CONFIDENCIAL

20

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 rgo interno responsvel por orientar os usurios, gestores de recursos e gestores de usurios, fornecer suporte aos softwares de segurana, efetivar as solicitaes encaminhadas pelos gestores envolvidos. STSO Superintendncia Tcnica de Suporte Operacional rgo interno responsvel por fornecer suporte tcnico aos equipamentos de propriedade da Organizao, elaborar laudo e lacre dos equipamentos devolvidos ou substitudos, quando ocorrer a substituio ou troca do equipamento dever realizar procedimento no qual a informao contida nele seja destruda de modo que no possa ser recuperada, instalar o sistema operacional e quaisquer outros aplicativos desde que devidamente homologados e autorizados, manter o ambiente das estaes de trabalho (sistema operacional, antivrus, etc.) disponvel e atualizado, gerir a infraestrutura das estaes de trabalho. Userid Tipo de cdigo de usurio, utilizado principalmente pelos profissionais dos rgos de Tecnologia da Informao e por processos, podendo tambm, em alguns casos, ser utilizado por usurios finais.

11. INFORMAES DE CONTROLE

Vigncia: 27.05.2013 a 27.05.2014 Verso: 1.0 Aprovado por:

Security Officer

Diretor de TI

Superintendente de Segurana da Informao

Gestor do Comit de Segurana da Informao

DOCUMENTO CONFIDENCIAL

21

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013

ANEXO I TERMO DE COMPROMISSO

TERMO DE COMPROMISSO
Identificao do Colaborador NOME RG/CPF MATRCULA EMPRESA
Comprometo-me a: 1. Executar minhas tarefas de forma a cumprir com as orientaes da Poltica de Segurana e com as Normas e Padres vigentes. 2. Utilizar adequadamente os equipamentos da Organizao, evitando acessos indevidos aos ambientes computacionais aos quais estarei habilitado, que possam comprometer a segurana das informaes. 3. No revelar fora do mbito profissional, fato ou informaes de qualquer natureza que tenha conhecimento devido a minhas atribuies, salvo em decorrncia de deciso competente do superior hierrquico. 4. Acessar as informaes somente por necessidade de servio e por determinao expressa do superior hierrquico. 5. Manter cautela quando a exibio de informaes sigilosas e confidenciais, em tela, impressoras ou outros meios eletrnicos. 6. No me ausentar do local de trabalho sem encerrar a sesso de uso do computador ou sistema, evitando assim o acesso por pessoas no autorizadas. 7. Observar rigorosamente os procedimentos de segurana estabelecidos quanto confidencialidade de minha senha, atravs dos quais posso efetuar operaes a mim designadas nos recursos computacionais que acesso, procedendo a: A. Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e intransfervel; B. No divulgar a minha senha a outras pessoas; C. Nunca escrever a minha senha, sempre memoriz-la; D. De maneira alguma ou sobre qualquer pretexto, procurar descobrir as senhas de outras pessoas; E. Somente utilizar o meu acesso para os fins designados e para os quais estiver devidamente autorizado, em razo de minhas funes; DOCUMENTO CONFIDENCIAL 22

P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 F. Responder em todas as instncias, pelas conseqncias das aes ou omisses de minha parte que possam por em risco ou comprometer a exclusividade de conhecimento da minha senha ou das transaes a que tenho acesso; G. Reportar imediatamente ao superior imediato ou ao Administrador de Segurana em caso de violao, acidental ou no, da minha senha, e providenciar a sua substituio. H. Solicitar o cancelamento de meus usurio/senhas quando no for mais de minha utilizao. I. Solicitar o cancelamento de usurios/senhas solicitados para funcionrios/terceiros sob minha responsabilidade, quando do seu desligamento ou trmino do servio que originou a respectiva solicitao. Declaro estar ciente das determinaes acima, compreendendo que quaisquer descumprimentos dessas regras podem implicar na aplicao das sanses disciplinares cabveis.

So Paulo, ______ de _______________________________ de ____________.

_______________________________________________________. Assinatura do Colaborador

DOCUMENTO CONFIDENCIAL

23