Poltica de Segurana

1 Introduo
1.1 Motivao
Nos tempos atuais de globalizao a posse da informao significa enormes oportunidades de negcios, principalmente para uma instituio como a XPTO, que possui na informao o seu principal patrimnio. Com essa motivao que essa poltica de segurana foi desenvolvida. Nesse documento esto explcitas um conjunto de declaraes de intenes que recomenda-se para a XPTO.

1.2 Proposta
Esse documento descreve a Poltica de Segurana de bens e servios de tecnologia da informao para a empresa XTPO. A poltica define as diretrizes necessrias para a segurana dos bens e servios de tecnologia da informao adquiridos, desenvolvidos, disponibilizados ou mantidos pela XPTO, visando preservar a sua integridade, confiabilidade, disponibilidade e acessibilidade.

1.3 Objetivos
O objetivo primrio dessa poltica assegurar a proteo a todas as atividades relacionadas tecnologia da informao na empresa XPTO. Nela sero estabelecidos padres de segurana que visam garantir a integridade, confidencialidade e disponibilidade dos bens e servios de tecnologia da empresa. Outro objetivo a necessidade de aumentar a conscincia dos usurios sobre as suas responsabilidades para com a empresa XPTO. Alertar sobre a importncia de confiabilidade e sigilo quando tratando com informaes da empresa e encorajar o comportamento tico e correto a todos aqueles que utilizam os recursos computacionais da empresa.

1.4 Abrangncia
Essa poltica aplicada a todos os usurios, clientes, fornecedores e visitantes que tenham ou venham a ter contato atravs de acesso local ou remoto a quaisquer bens e servios de tecnologia da informao adquiridos, desenvolvidos, disponibilizados ou mantidos pela XPTO,

1.5 Reviso da Poltica de Segurana

1.5.1 De acordo com as necessidades de utilizao de novos softwares, novos servios ou mesmo com o surgimento de novas formas de burlar a segurana da empresa, e sempre que ocorrer algo no previsto que gere dvidas com relao a poltica de segurana atual. 1.5.2 A reviso da Poltica de Segurana deve ser realizada sempre que se fizer necessrio, pois como envolve diretrizes necessrias para a segurana dos usurios, dos sistemas de informao e dos servios de tecnologias, deve manter-se sempre atualizada. 1.5.3 Sugestes de reviso por parte dos usurios tambm devem ser analisadas pelos responsveis pela Poltica de Segurana.

1.6 Divulgao da Poltica

1.6.1 obrigao da empresa divulgar a todos os seus funcionrios a poltica de segurana. A divulgao ser feita atravs da publicao de uma cpia fixada no mural de cada setor. 1.6.2 A divulgao da poltica deve ser clara e ampla, para que todos os usurios tenham acesso a elas e possam compreend-las. 1.6.3 Todo funcionrio que entrar na empresa e os j existentes devem assinar um termo de responsabilidade e de conhecimento da poltica de segurana da empresa a fim de se evitar alegaes de desconhecimento. 1.6.4 As alteraes das polticas de segurana devem ser comunicadas aos usurios um perodo antes da mesma ser implementada, para que os usurios possam adaptar-se a mesma. Fazendo com que os usurios assinem o termo de responsabilidade e de conhecimento das novas polticas de segurana.

2 Conceitos
2.1 Funcionrios 2.2 Estgirios 2.3 Coordenadores 2.4 Clientes 2.5 Visitantes 2.6 Usurios 2.7 Recursos de Hardware 2.8 Recursos de Software 2.9 Informao 2.10 Rede

3 Propriedade
3.1 Os bens e servios da tecnologia da informao utilizados pela XPTO so de sua propriedade e/ou custodiado de seus clientes. 3.2 Para preservar os direitos de propriedade, todos os bens e servios de tecnologia da informao adquiridos, desenvolvidos, disponibilizados ou mantidos pela XPTO devero ser protegidos atravs de

clusulas contratuais, termos de responsabilidade e/ou outra forma legal de proteo , bem como registros de patentes quando necessrio. 3.3 No permitido a entrada de equipamentos nem a retirada de qualquer bem da empresa, sem antes a devida autorizao dada pela gerncia do setor responsvel. 3.4 Como todos os bens e servios oferecidos so de propriedade da XPTO, os usurios devem manter o zelo por esses bens e servios, alm de respeitar e seguir as normas propostas na Poltica de Segurana. 3.5 Os bens e servios so da XPTO, os usurios no podero usufruir destes bens ou servios para benefcio prprio, ou de outrem seno para a empresa. 3.6 Toda informao que trafegar atravs da rede de computadores da XPTO Inc. que no estiver explicitamente identificada como propriedade de terceiros dever ser tratada como patrimnio da XPTO Inc. Esta definio tem por objetivo proibir o acesso no autorizado, a divulgao, a duplicao, a modificao, a distribuio, a destruio, a perda, o uso inapropriado ou o roubo das informaes de propriedade da XPTO Inc.

4 Polticas gerais de Segurana

A manipulao irregular, divulgao ou uso indevido da informao e dos recursos computacionais da XPTO expressamente proibida. A violao dessa determinao considerada falta grave. Nenhum usurio pode monitorar o trfego da rede ou simular algum dispositivo da rede, sem a devida autorizao da gerncia de informtica. A violao dessa determinao considerada falta grave. No informar em cadastros ou listas pblicas nomes completos ou e-mails pessoais ou personalizados com dados pessoais. D preferncia aos dados do departamento ou funo. Rever periodicamente a topologia de segurana, dando prioridade compactao do tamanho da rede existente. Sistema Operacional e Aplicativos Identificar qual sistema operacional fornece os melhores recursos para as aplicaes requeridas. Desabilitar as funes e comandos no necessrios boa execuo dos aplicativos. Atualizar os patchs e services packs do sistema operacional e dos aplicativos. As senhas de acesso devero utilizar mais de 10 caracteres, dando preferncia s combinaes alfanumricas, com smbolos. Em caso de tentativas de acesso incorreto, as contas de acesso devem ser bloqueadas e um relatrio de ocorrncia gerado ao administrador do recurso. Transmisso de Dados Formar um circuito de transmisso fechado e seguro (de preferncia criptografado) aos dados passados. Exigir que todas as mensagens eletrnicas sejam feitas com assinatura digital validada. O acesso remoto a rede da empresa sera sempre realizado utilizando-se chamadas com CALLBACK para usurios registrados e registrar no LOG os telefones chamados pelo callback. Para esse acesso devem-se criar grupos de usurios para cada recurso disponvel e montar uma topologia de grupos que oriente o administrador nas permisses que sero habilitadas

4.1 Poltica de Log

4.1.1 Es una decision gerencial determinar la accion a seguir con los backups de logs que se realizan. Siendo una posibilidad almacenar todos o hacer una rotacion cada N backups. 4.1.2 Os dados que, preferencialmente, devero constar nos arquivos de log de acesso a servios disponveis no(s) servidor(es) so os seguintes:- data- hora- endereo origem- login - servio 4.1.3 Para todo e qualquer servio instalado no(s) servidor(es), dever ser gerado um log para anlise de sua utilizao. 4.1.4 responsabilidade do(s) Adminstrador(es) a anlise/avaliao dos arquivos de log gerados pelos servidores da Instituio. 4.1.5 Se deberan sincronizar los servidores usando algun protocolo como NTP, para poder analisar los logs de forma centralizada. 4.1.6 La gerencia debera ser informada de las intrusiones detectadas mediante el analisis de logs. Asi como tambien deberan reportarse el uso indebido de los recursos por parte de los usuarios. 4.1.7 Manter os logs e registros de ocorrncias por cinco anos no mnimo e armazenado em rea segura e restrita.

4.2

POLITICAS DE BACKUP

4..2.1 En primera instancia se debe determinar cuales son los datos criticos de la organizacion (es decir los datos que constituyen la informacion corporativa) de los cuales deberan realizarse las copias de seguridad periodicas. 4.2.2 Los usurios devem ser orientados a armazenar seus dados importantes, no servidor de arquivos da Instituio. 4.2.3 responsabilidade do Administrador a execuo de backup's peridicos, dos dados armazenados no(s) servidor(es) de arquivos, sendo que o mesmo deve ser realizado no mnimo semanalmente, o no cumprimento deste constitu falta grave. 4.2.4 Os meios de armazenamento (fitas, CD's ou DVD's) utilizados nos backup's, devero ser armazenados em uma sala com dispositivos de segurana (contra invaso de terceiros, intempries, incndio, etc.), sendo que somente tero acesso a esta sala o(s) Administrador(es) da rede e a Diretoria da Institio, ou pessoas previamente autorizadas pelos mesmos. 4.2.5 Realizar despues de la instalacion de un servidor, un backup (el cual deberia estar firmado y/o encriptado) con la informacion de configuracion (read only) de los filesystems de dicho servidor. 4.2.6 Se debera establecer un horario de poco trafico durante el cual se realicen las tareas relacionadas con las copias de seguridad, de modo tal que dichas tareas no afecten la disponibilidad de los servicios.

4.3

Acesso Internet

4.3.1 - Inclui-se nesta Poltica tambm o uso do tempo e natureza de contedo acessado pelos usurios, que devem sempre ser relacionados com o trabalho que o mesmo esta desempenhando. Esse item vlido durante todo o tempo de permanncia do usurio na empresa.

4.3.2 - Trfego de Informaes:

4.3.2.1 - Todo e qualquer arquivo ou software obtido por download originado fora da rede da XPTO Inc. deve ser submetido a verificao de vrus antes de ser aberto ou executado, mesmo que a origem do mesmo seja de fonte "conhecida" da XPTO Inc. 4.3.2.2 - Toda informao obtida via Internet deve ser considerada suspeita at ser confirmada por outra fonte de informao diferente daquela que a originou. 4.3.2.3 - No caso da fonte da informao ser considerada "conhecida" da XPTO Inc., e no for utilizada nenhuma ferramenta do tipo PEM (privacy enhanced e-mail) ou autenticao da origem via criptografia, a mesma deve permanecer sob suspeita.

4.3.3 - Proteo da Informao:

4.3.3.1 - Nenhuma informao considerada sigilosa pela XPTO Inc. pode ser enviada ou recebida via Internet sem estar devidamente protegida por mtodos criptogrficos de renomada eficcia.

4.3.4 Utilizao dos Recursos:

4.3.4.1 - permitido aos usurios da XPTO Inc. "navegar" na Internet, mas no caso dessa "navegao" ser de interesse pessoal do usurio, o mesmo deve faz-la fora de seu horrio convencional de trabalho. Bem como jogos, bate-papos e demais atividades pessoais tambm devem ser realizadas fora do horrio de trabalho do usurio.

4.3.5 - Controle de Acesso:

4.3.5.1 - Todo usurio da XPTO Inc. deve ser autenticado atravs do FIREWALL e utilizar um protocolo seguro para a comunicao antes de obter acesso remoto aos recursos computacionais da companhia.

4.3.6 - Correio Eletrnico:

4.3.6.1 - Propriedade: Os sistemas de correio eletrnico e todas as mensagens que atraves destes trafegarem, incluindo suas copias back-up, so consideradas de propriedade da XPTO Inc., no sendo de propriedade dos usurios do sistema. 4.3.6.2 - Uso Aceitvel: Os sistemas de correio eletrnico da XPTO Inc. em geral devem ser utilizados apenas para negcios de interesse da companhia. 4.3.6.3 - A utilizao dos sistemas de correio eletrnico da compania para fins pessoais permitida, contanto que: a) Nao cause sobrecarga nos recursos do sistema;

b) Nao interfira na produtividade; c) Seja executada fora de horario de trabalho ou que nao seja tratada como prioridade contra as demais atividades de trabalho. 4.3.6.4 - Privilgios Gerais: Os privilgios quanto a utilizao do correio eletrnico pelos usurios finais restringe-se queles e apenas aqueles que sejam necessrios para a execuo habitual de suas tarefas. Os usurios finais do correio eletrnico no devem possuir privilgios para modificar o funcionamento do sistema de correio eletronico da compania em qualquer aspecto. Mensagens tipo "broadcast" ou para listas internas da compania devem ser utilizadas apenas em situacoes excepcionais e/ou com a permisso do administrador do sistema. 4.3.6.5 - Individualizao dos Usurios: Todos os usurios do correio eletrnico da companhia devem possuir uma nica conta individual no sistema, protegida por senha, e devem ser autenticados ao acessa-lo.

5 Responsabilidades
5.1 Dos usurios
Os funcionrios so resistentes, os gerentes so resistentes, os diretores so resistentes, a presidncia resistente. Todos devem estar envolvidos no processo, as vrias reas afetadas. A metodologia utilizada ser a de criar ciclos de palestras onde toda a documentao apresentada de uma forma clara e interessante ao pblico. Tirar os nomes tcnicos e apresentar como uma seqncia, uma estria, onde a segurana da informao o protagonista, so adaptaes das metodologias utilizadas em treinamentos de segurana do trabalho, e que funcionam. 5.1.1 Respeitar e cumprir as determinaes da poltica de segurana

Todos os usurios devem respeitar as regras estabelecidas pela poltica de segurana. Deve estar claro a estes usurios que o no cumprimento das mesmas os deixaro sujeitos a punies. Antes de lhes impor estas regras preciso, porm, um processo que venha a demonstrar-lhes o porqu destas regras. Isto evita transtornos por parte destes usurios que muitas vezes no se conformam com aquilo que lhes foi imposto.

5.1.2

Manter a salvaguarda os recursos sob sua responsabilidade

Todos os usurios (do funcionrio ao presidente) so responsveis pela classificao das informaes sob sua utilizao, assim como por zelar pela manuteno de sua confidencialidade, integridade e disponibilidade. Isso no um pedido a ser feito, e sim uma premissa a ser seguida. Cada usurio deve comprometer-se com aquilo que tem acesso. Deve ainda manter segura a informao de que lhe disponibilizada, assim como o responsvel pelo sistema preocupa-se com a sua funcionalidade e segurana. Jamais o usurio em questo deve divulgar dados referentes a sua rea a terceiros. Somente aquelas pessoas que devem receber a informao deste usurio que efetivamente a tero, mesmo que tal usurio tenha "garantido" que a disseminao desta informao no comprometa os demais dados. Senha A senha a identificao daquele usurio no sistema. , portanto, a prova de que aquilo que foi feito partiu deste usurio, e no de outros que se dizem ser ele. Podemos considerar a senha uma ferramenta que evita que, em muitos casos, um problema no sistema inteiro venha a ser causado por uma falha humana. Entre outras coisas, evita que usurios tenham acesso a informaes no convenientes a eles e garante a informao certa a cada um dos mesmos.

A senha funciona como uma assinatura digital, identificando o usurio e autorizando servios. O respaldo legal deste tipo de identificao o grande responsvel pela sua utilizao. Como exemplos citamos fomento das transaes on-line (comrcio eletrnico),e pelas mquinas bancrias de auto-atendimento (cash dispenser). 5.1.3 Somente acessar os recursos sob sua responsabilidade

Se um usurio eventualmente tem acesso a uma informao que no de sua responsabilidade, este no deve alter-la, mesmo que o responsvel por tal autorize. Em alguns casos, a boa vontade pode ser danosa, pois todos estamos sujeitos a cometer erros e alterar informaes preciosas mesmo que no se tenha a inteno de faz-lo. Usurios so responsveis individualmente pelos recursos alocados a eles.

5.2 Da XPTO:
5.3.1 Os diretores da XPTO so responsveis por garantir que a poltica de segurana que ir ser aplicada na empresa/Instituio seja passada para todo o quadro de funcionrios. 5.3.2 Cada departamento responsvel por garantir que os dados que estaro sob seu controle sejam guardados com sigilo, devendo garantir, caso os dados dos alunos estejam on-line, que os dados no sejam acessados e modificados. 5.3.3 Estabelecer e divulgar punies, caso o usurio venha a descumprir esse poltica. Essas punies devem ser clara e bem divulgadas pela empresa. 5.3.4 Definir e manter procedimentos de contingncia para os recursos sob sua responsabilidade.

6 Penalidades
6.1 Da Falta Grave Cometida

Para efeito de Poltica de Segurana Considera-se uma Falta Grave: 6.1.1 Repassar qualquer informao de exclusividade da organizao XPTO inc, para terceiros ou quaisquer pessoas que no a meream. Facilitar meios de outras pessoas conseguirem essas informaes ou mesmo ajuda-las. Manipulao de quaisquer tipos de documentos eletrnicos, meios magnticos ou mesmo o prprio desvio de informaes, para um uso prprio ou de terceiros. Participar de quaisquer tipos de ataques a sistemas de informao. No importando o grau de funcionalidade do ataque. Obter indevidamente acessos a recursos de qualquer natureza, que no seja de responsabilidade do indivduo. Instalao de qualquer software ou hardware que no seja de conhecimento e consentimento do setor de informtica, ou mesmo que facilite acesso a informaes da empresa XPTO inc.

6.1.2

6.1.3

6.1.4

6.1.5

6.2

Das disposies gerais

A empresa XPTO inc reserva-se o direito tanto no contexto administrativo como jurdico de punir as pessoas que no cumprirem de acordo a poltica de segurana da empresa ou mesmo terem faltas graves no contexto. Estas punies podem chegar a ser advertncia, suspenso ou at mesmo a demisso do mesmo. Isso no impede que a empresa tome atitudes jurdicas baseadas na assinatura do empregado no termo de responsabilidade. Dependendo do grau de danos empresa, a XPTO inc reserva-se o direito de tomar as decises que queira. Revogam-se as disposies em contrrio