Professional Documents
Culture Documents
CONTEDO
MISSO E VISO .................................................................................................................................................... 4 1. OBJETIVOS......................................................................................................................................................... 4 2. ABRANGNCIA ................................................................................................................................................ 4 3. ESCOPO ............................................................................................................................................................... 4 3.1- COMPLIANCE .......................................................................................................................................... 5 4. REVISO E ATUALIZAO ........................................................................................................................ 5 5. Diretrizes ........................................................................................................................................................... 5 5.1- Definindo as funes .......................................................................................................................... 6 5.2- Classificao da Informao .......................................................................................................... 6 5.3- Responsabilidades .............................................................................................................................. 7 5.4- Matriz RACI.............................................................................................................................................. 8 6. Fluxo de Informaes ................................................................................................................................. 8 6.1- Mquinas copiadoras......................................................................................................................... 8 6.2- Correio Eletrnico ............................................................................................................................... 8 6.3- Telefonia Fixa ........................................................................................................................................ 9 6.4- Estaes de Trabalho ......................................................................................................................... 9 6.5- Banco de Dados ..................................................................................................................................... 9 7. Segurana nos recursos humanos ..................................................................................................... 10 7.1 Processo Disciplinar........................................................................................................................ 10 7.2- Encerramento ou mudana da contratao ....................................................................... 11 7.2.1 - Devoluo de Ativos/equipamentos ................................................................................... 11 7.2.2 - Acessos............................................................................................................................................. 11 8. Controle de Acesso ..................................................................................................................................... 11 8.1- Solicitao de Registro de usurio/acesso .......................................................................... 11 8.2- Mecanismos de Autenticao ..................................................................................................... 12 8.2.1- Gerenciamento de senha do usurio .................................................................................... 12 8.4- Acesso a Recursos .............................................................................................................................. 13 8.4.1- Normas e Procedimentos para a Gesto de Acessos a Recursos .............................. 13 8.4.2- Proteo do Recurso ................................................................................................................... 14 8.4.4- Solicitao de Permisso de Acesso ao Recurso .............................................................. 14 8.4.5- Aprovao ou Negao da Permisso de Acesso ............................................................. 14 8.4.6- Reviso Peridica das Permisses de Acesso ao Recurso ........................................... 15 8.5-Arquivos e Banco de Dados ........................................................................................................... 15
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 8.5.1- Acesso Emergencial ..................................................................................................................... 15 8.5.2- Utilizao de Usurio Genrico ............................................................................................... 15 8.5.3- uso dos servios de Rede.......................................................................................................... 15 8.6- Estaes de Trabalho ....................................................................................................................... 16 8.6.1- Poltica de mesa limpa..................................................................................................................... 17 8.7- Comunicao Mvel .......................................................................................................................... 18 8.7.1- Equipamentos Particulares ...................................................................................................... 18 8.8 Trabalho remoto ............................................................................................................................... 18 8.7.1- Normas para Utilizao de Acesso Remoto ....................................................................... 18 8.7.2- Forma de Acesso e Responsabilidades ................................................................................ 19 9. Conscientizao da Segurana ............................................................................................................. 19 10. GLOSSRIO ................................................................................................................................................... 19 11. Informaes de Controle ...................................................................................................................... 21 ANEXO I TERMO DE COMPROMISSO ...................................................................................................... 22
MISSO E VISO
Queremos ser percebidos a longo prazo, como um lder em termos de conhecimento em consultoria e oferecer aos nossos parceiros e clientes solues convenientes e transparente. Nossa misso : criar relaes sustentveis e saudveis com os clientes; criar um ambiente aos melhores especialistas em diversos setores do mercado
1. OBJETIVOS
Proteger e preservar a organizao, suas informaes e negcios, alm de definir regras de segurana para orientar a forma correta para o manuseio, controle e proteo das informaes a fim de reduzir as condies de risco. Tambm busca desenvolver a conscientizao sobre segurana e privacidade da informao.
2. ABRANGNCIA
As normas citadas nesse presente documento referem-se aos procedimentos definidos para a organizao estabelecida no Brasil, em conformidade com a legislao local.
3. ESCOPO
Este documento considerado como principal ferramenta na implementao da gesto de segurana dentro da UMBRELLA CORPORATION ME e ele se esfora para: Fornecer linhas de deciso clara e nveis de responsabilidade Dar orientao em determinadas situaes especficas Certificar-se da conscientizao de segurana da informao em todos os nveis dentro da organizao Reduzir o risco a um nvel aceitvel Proteger a propriedade e reputao da UMBRELLA CORPORATION ME.
O equilbrio entre estes objetivos cuidadosamente decidido em todos os nveis da organizao. Alm disso, ele d a cada membro da equipe, independentemente de seu/sua funo o direito e o dever de contribuir para que estes objetivos sejam alcanados.
DOCUMENTO CONFIDENCIAL
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 O foco principal fornecer uma compreenso detalhada das informaes e responsabilidades de segurana para todos os nveis de colaboradors, fornecedores, parceiros e terceiros.
3.1- COMPLIANCE
Um dos fatores crticos de sucesso para esta Poltica de Segurana a aceitao e o cumprimento pelos colaboradors e todas as outras pessoas envolvidas. O cumprimento no opcional, obrigatrio e em simultneo com o incio de qualquer tipo de trabalho com a UMBRELLA CORPORATION ME. A poltica de segurana , portanto, obrigatria para todas as pessoas abordadas neste documento. Qualquer violao desta Poltica de Segurana ou de documentos e decises relacionadas ser considerado uma infrao disciplinar e estar sujeita ao disciplinar dentro da organizao, tais como suspenso ou demisso.
4. REVISO E ATUALIZAO
A Poltica de Segurana da Informao revista e, se necessrio atualizada, ao menos anualmente A equipe responsvel pela reviso e atualizao composta atualmente por: Membro1 Membro2 Membro3 Membro4 Membro5 Membro do Comit de segurana da informao Membro do Comit de segurana da informao Membro do Comit de segurana da informao Membro do Comit de segurana da informao Membro do Comit de segurana da informao
5. DIRETRIZES
Para a definio da Poltica de Segurana da Informao, foram consideradas as seguintes diretrizes: segurana como uma responsabilidade de todos; importncia da tica no trato de informaes sigilosas e de carter confidencial e restrito da organizao; melhoria contnua de processos e procedimentos; capacitao constante das pessoas ao tratar a informao.
DOCUMENTO CONFIDENCIAL
DOCUMENTO CONFIDENCIAL
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 Observaes: - O Proprietrio ou o Gestor da Informao deve definir o nvel da informao quanto confidencialidade; - A informao dever ser reclassificada caso necessrio.
5.3- RESPONSABILIDADES
Para garantir a implementao e a continuidade da Poltica de Segurana da Informao, formaram-se grupos onde cada um deles tem uma responsabilidade especfica, confoorme abaixo. Comit de Segurana da Informao elaborar, divulgar e revisar periodicamente as normas de Poltica de Segurana da Informao; prover aes para disseminao e dar suporte ao cumprimento das normas; esclarecer eventuais dvidas. Corpo Gerencial garantir o cumprimento das normas pelos colaboradors de sua rea; indicar o Gestor da Informao; divulgar a importncia da poltica de senha segura; restringir o acesso s informaes confidenciais. Custodiante controlar o acesso s informaes; adotar procedimentos de segurana; monitorar as informaes sob sua custdia. Comit de Infra-estrutura de Tecnologia providenciar recursos de segurana; fornecer ferramentas para controle de acesso s informaes. Auditoria Interna realizar trabalhos para determinar o nvel de cumprimento das normas. Proprietrio ou Gestor da Informao DOCUMENTO CONFIDENCIAL 7
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 classificar/reclassificar informaes sob sua responsabilidade; controlar acessos; criar controles. Usurio conhecer e cumprir os controles de segurana estabelecidos; reportar ao superior imediato a exposio indevida das informaes confidenciais.
I I C
R R I
I I I
6. FLUXO DE INFORMAES
Todas as informaes devem obedecer aos critrios de classificao.
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 da Instituio devem ser feitos atravs de mecanismos homologados (por exemplo Blackberry e estaes corporativas).
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 Os cdigos de usurios e senhas devem obedecer s boas prticas de utilizao. As aplicaes devero ter logs que registrem os acessos dos usurios e modificaes dos dados. Apenas usurios com acesso privilegiado podem acessar dados estratgicos (Ex: cadastro de clientes). Deve haver uma lista de aplicativos separados pelo grau de criticidade para operao. Dados crticos de clientes no devem ser gravados diretamente nos discos rgidos das estaes e notebooks. Deve ser implementada tcnica de "mascaramento" de dados crticos, onde os campos de maior importncia so mascarados com caracteres especiais. Dados de clientes e suas informaes mais sensveis devem estar em bases separadas.
DOCUMENTO CONFIDENCIAL
10
7.2.2 - ACESSOS
Quando um colaborador transferido entre departamentos, o gestor que o transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controles de segurana ainda sero necessrios na sua nova funo e informar a equipe de TI qualquer modificao necessria; O gestor responsvel por solicitar a excluso/descadastramento dos acessos a sistemas e recursos utilizados pelo colaborador desligado, conforme descrito abaixo: O gestor deve enviar e-mail solicitando a desativao dos acessos do usurio qualquer recurso a rede e sistemas aplicativos. Deve-se verificar a necessidade de troca de senhas de contas de uso comum ao departamento, evitando o acesso s informaes. Aps a comunicao do gestor solicitando a excluso dos acessos do colaborador, os acessos so excludos automaticamente por meio da atualizao da base de dados do RH, conforme rotina de processamento.
8. CONTROLE DE ACESSO
Este tpico visa definir as normas de Registro do Usurio que abrange: criao, manuteno e desativao da conta. Regras Gerais reservado o direito de desativar uma conta de usurio, por parte da equipe de segurana da rea de TI, caso verifique-se a ocorrncia de Incidentes suspeitos de quebra de segurana nas contas dos usurios.
Para solicitao de criao de conta para novos colaboradors, os gestores devem proceder conforme descrito abaixo: O gestor de departamento a que o colaborador pertence dever fazer uma solicitao de criao da conta, atravs do formulrio Solicitao de Usurio/Acesso rea de TI, Neste formulrio, dever ser informado os dados do colaborador, bem como os acessos que sero necessrios para que este usurio desempenhe suas funes na rea (diretrios da rede UMBRELLA, acesso ao sistema, ao email e Internet entre outros). A equipe de segurana retornar para o gestor do departamento as informaes sobre a conta criada. As contas podem ser monitoradas pela equipe de segurana com o objetivo de verificar possveis irregularidades no armazenamento ou manuteno dos arquivos nos diretrios pessoais.
Regras Gerais
A concesso de senhas deve ser controlada, considerando: - Senhas temporrias devem ser alteradas imediatamente, no devem ser armazenadas de forma desprotegida, - A senha deve ser redefinida pelo menos a cada 60 dias, para usurios comuns e a cada 45 dias para usurios de acesso mais restrito.
DOCUMENTO CONFIDENCIAL
12
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - As senhas devem ser bloqueadas aps 3 a 5 tentativas sem sucesso, sendo que, o administrador da rede e o usurio devem ser notificados sobre estas tentativas. - As responsabilidades do administrador do sistema incluem o cuidado na criao e alterao das senhas dos usurios, alm da necessidade de manter atualizados os dados dos mesmos. - As responsabilidades do usurio incluem, principalmente, os cuidados com a manuteno da segurana dos recursos, tais como sigilo da senha e o monitoramento de sua conta, evitando sua utilizao indevida. As senhas so sigilosas, individuais e intransferveis, no devendo ser divulgadas em nenhuma hiptese. - Tudo que for executado com a senha de usurio da rede ou de outro sistema ser de inteira responsabilidade do usurio. As senhas so efetivas apenas quando usadas corretamente e sua escolha e uso requerem alguns cuidados como: No utilizar palavras que esto no dicionrio (nacionais ou estrangeiras); No utilizar informaes pessoais fceis de serem obtidas, como o nmero de telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc; Utilizar senha com pelo menos, oito caracteres; Misturar caracteres maisculos e minsculos; Misturar nmeros, letras e caracteres especiais; Incluir pelo menos, um caracter eespecial; Utilize um mtodo prprio para lembrar da senha, de modo que ela no precise ser escrita em nenhum local, em hiptese alguma; No anotar a senha em papel ou em outros meios de registro de fcil acesso; No utilizar o nome do usurio; No utilizar o primeiro nome, o nome do meio ou o sobrenome; No utilizar nomes de pessoas prximas, como da esposa(o), filhos ou amigos; No utilizar senhas com repetio do mesmo dgito ou da mesma letra;
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - alterao no perfil de acesso; - reviso com frequncia mnima anual das permisses de acesso.
DOCUMENTO CONFIDENCIAL
14
Regras Gerais
DOCUMENTO CONFIDENCIAL 15
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - No so permitidas tentativas de obter acesso no autorizado, tais como
tentativas de fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta. Isso inclui acesso aos dados no disponveis para o usurio, conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio ou colocar prova a segurana de outras redes; - No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor ou rede. Isso inclui ataques e tentativas de provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor; - Materiais de natureza pornogrfica e discrminatria no podem ser expostos, armazenados, distribudos, editados ou gravados atravs do uso dos recursos computacionais da rede; - A pasta PBLICA ou similar, no dever ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza especfica. Ela deve ser utilizada apenas para armazenar informaes de interesse geral; - No so permitidas alteraes das configuraes de rede e inicializao das mquinas, bem como demais modificaes que no sejam justificadas e efetuadas pela rea de TI.
Regras Gerais
- as estaes de trabalho devem ser utilizadas exclusivamente para realizao de atividades profissionais da Organizao; - as informaes corporativas devem ser armazenadas em servidores de arquivos, onde existam processos consolidados e direcionados a sua integridade, disponibilidade e confidencialidade; - a senha pessoal e intransfervel, no sendo permitido o seu compartilhamento; - todas as estaes de trabalho devem estar associadas a um domnio vlido pela Organizao para garantir que as polticas de segurana sejam aplicadas;
DOCUMENTO CONFIDENCIAL
16
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - todas as estaes de trabalho devem possuir software antivrus instalado, atualizado e ativo; - todas as estaes de trabalho devem possuir somente softwares e aplicativos homologados); - todas as estaes de trabalho devem ser desligadas ao final do expediente. Caso no seja desligada, h um sistema que desligar automaticamente o equipamento. Excees devem ser justificadas; - utilizar a proteo de tela corporativa definida pela Organizao; - no permitida a conexo e/ou sincronizao de equipamentos particulares na rede da Organizao; - no permitida a alterao fsica nos componentes dos microcomputadores tais como memria, discos etc.; - a instalao de qualquer software de segurana deve ser analisada e autorizada pela SSI. Exemplos de softwares de segurana: recuperadores de senhas, analisadores de trfego de rede, forense, ferramentas de engenharia reversa, scanners para varredura de rede, ou qualquer outro software que permita acessar, sem autorizao, informaes confidenciais ou restritas. Ferramentas que violam direitos autorais, como, por exemplo, cracks e keygens (geradores de licenas), no so autorizados. - no permitida a instalao de softwares no homologados pela instituio. - todos os notebooks devem ser equipados com cabos de ao de segurana, presos s mesas e o disco rgido deve estar criptografado. - os desktops devem ser dotados de cadeados para proteo contra o furto de placas de memria e discos rgidos. - deve haver um processo de eliminao de dados dos desktops e notebooks quando da substituio, descarte ou cesso desses equipamentos, para evitar a recuperao de dados crticos por terceiros.
Regras Gerais
- Os papis ou mdias de computador no devem ser deixados sobre as mesas, quando no estiverem sendo usados. Devem ser guardados de maneira adequada, de preferncia em gavetas ou armrios trancados;
DOCUMENTO CONFIDENCIAL
17
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 - As salas devem ser mantidas limpas, sem caixa ou qualquer outro material sobre o cho de modo a facilitar o deslocamento dos colaboradors/colaboradores; - Sempre que o computador no estiver em uso, no se deve deixar nenhum arquivo aberto, de modo que as informaes possam ser visualizadas por outras pessoas que estiverem no local; - Agendas, livros ou qualquer outro material que possa conter informaes sobre a empresa ou informaes particulares devem sempre ser guardadas em locais fechados, evitando o acesso de outras pessoas que no as responsveis pela informao. - Chaves de gavetas, armrios, de portas de acesso s salas e laboratrios de informtica devem ser guardadas em lugar adequado, e no deixadas sobre a mesa ou guardadas com colaboradors/colaboradores no autorizados.
DOCUMENTO CONFIDENCIAL
18
8.7.1.1- Utilizao do Acesso Remoto pelos Colaboradores Colaboradors e Colaboradores Terceiros 8.7.1.1A- Solicitao de Cadastramento de Acesso Remoto
Deve ser realizada via sistema WEB por usurio solicitante. A alada para aprovao de diretor, superintendente e gerente que aprova a solicitao eletronicamente no sistema WEB e manualmente para colaboradors ou colaboradores terceiros que no possuem acesso ao sistema WEB utilizando o Termo de Solicitao e de Responsabilidade para Acesso Remoto. Aps o acesso ser aprovado, o colaborador ou colaborador terceiro receber um e-mail com as instrues de instalao. O Termo de Recebimento para Acesso Remoto dever ser assinado e encaminhado para SSI, para confirmao de recebimento e inicializao do para sua utilizao em caso de cadastro manual.
9. CONSCIENTIZAO DA SEGURANA
Materiais destinados a aumentar a compreenso e a conscincia dos colaboradores da Organizao sobre a importncia da segurana da informao, sero rotineiramente divulgados. Estes materiais iro enfatizar a importncia dos procedimentos de segurana da informao, especialmente no que tange informao eletrnica protegida.
10. GLOSSRIO
Acesso Remoto Acesso feito ao ambiente computacional da Organizao a partir de uma estao de trabalho conectada a uma rede de telecomunicaes, normalmente fora das dependncias da organizao. Autenticao DOCUMENTO CONFIDENCIAL 19
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 Processo de conexo de um usurio ao ambiente computacional, de forma que os sistemas reconheam-no e lhe permitam o acesso apenas a recursos a que ele esteja previamente autorizado. Autorizao Processo pelo qual verificado se um usurio previamente autenticado tem direito a acessar determinados recursos. Em geral, os produtos que proveem mecanismos de autenticao tambm possuem mecanismos de autorizao. Compliance Agir de acordo com uma regra, uma instruo interna, um comando ou um pedido Cdigo de Usurio Forma com que um usurio representado no ambiente computacional da Organizao. Um cdigo de usurio est associado a um nico usurio e suas caractersticas dependem do sistema operacional acessado. E-Businessid Tipo de cdigo de usurio. Aplica-se a colaboradores de empresas parceiras que acessam servios especficos da Organizao, normalmente realizado a partir de aplicativos web (internet, extranet ou intranet), e sempre associado a uma pessoa. Plataforma Sistema operacional, subsistema ou software, para o qual existem regras prprias para a administrao e autenticao de cdigos de usurios. Regras de Administrao de Cdigos de Usurios e Senhas Mecanismos implementados pelos sistemas operacionais e softwares de segurana com o objetivo de garantir que todos os usurios submetam-se a boas prticas na utilizao de seus cdigos de usurios e senhas. Ex. regras de sintaxe de senha, bloqueio automtico de cdigos de usurios em determinadas situaes etc. SSI - Superintendncia de Segurana da Informao
DOCUMENTO CONFIDENCIAL
20
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 rgo interno responsvel por orientar os usurios, gestores de recursos e gestores de usurios, fornecer suporte aos softwares de segurana, efetivar as solicitaes encaminhadas pelos gestores envolvidos. STSO Superintendncia Tcnica de Suporte Operacional rgo interno responsvel por fornecer suporte tcnico aos equipamentos de propriedade da Organizao, elaborar laudo e lacre dos equipamentos devolvidos ou substitudos, quando ocorrer a substituio ou troca do equipamento dever realizar procedimento no qual a informao contida nele seja destruda de modo que no possa ser recuperada, instalar o sistema operacional e quaisquer outros aplicativos desde que devidamente homologados e autorizados, manter o ambiente das estaes de trabalho (sistema operacional, antivrus, etc.) disponvel e atualizado, gerir a infraestrutura das estaes de trabalho. Userid Tipo de cdigo de usurio, utilizado principalmente pelos profissionais dos rgos de Tecnologia da Informao e por processos, podendo tambm, em alguns casos, ser utilizado por usurios finais.
Security Officer
Diretor de TI
DOCUMENTO CONFIDENCIAL
21
P01 - Poltica de Segurana da Informao Verso v1.0 Atualizado em 27/05/2013 F. Responder em todas as instncias, pelas conseqncias das aes ou omisses de minha parte que possam por em risco ou comprometer a exclusividade de conhecimento da minha senha ou das transaes a que tenho acesso; G. Reportar imediatamente ao superior imediato ou ao Administrador de Segurana em caso de violao, acidental ou no, da minha senha, e providenciar a sua substituio. H. Solicitar o cancelamento de meus usurio/senhas quando no for mais de minha utilizao. I. Solicitar o cancelamento de usurios/senhas solicitados para funcionrios/terceiros sob minha responsabilidade, quando do seu desligamento ou trmino do servio que originou a respectiva solicitao. Declaro estar ciente das determinaes acima, compreendendo que quaisquer descumprimentos dessas regras podem implicar na aplicao das sanses disciplinares cabveis.
DOCUMENTO CONFIDENCIAL
23