Politica de Segurança - Faculdade

FRANCINI REITZ SPANCESKI
POLTICA DE SEGURANA DA INFORMAO

DESENVOLVIMENTO DE UM MODELO VOLTADO PARA
INSTITUIES DE ENSINO

JOINVILLE
DEZEMBRO / 2004



Trabalho de Concluso de Curso
submetido ao Instituto Superior
Tupy, como parte dos requisitos
para a obteno do grau de
Bacharel em Sistemas de
Informao, sob orientao do
professor Marcos Aurlio Pchek
Laureano.

JOINVILLE
2004



Este trabalho de diplomao foi julgado adequado para obteno do Ttulo de Bacharel em
Sistemas de Informao, e aprovado em sua forma final pelo departamento de Informtica do
Instituto Superior Tupy.

Joinville, 16 de Dezembro de 2004.

__________________________________________________________
Marcos Aurlio Pchek Laureano, Mestre em Informtica Aplicada.
Orientador

__________________________________________________________
Marco Andr Lopes Mendes, Mestre em Cincia da Computao.
Coordenador do Curso

Banca Examinadora:

__________________________________________________
Amir Tauille, Mestre em Cincia da Computao.

______________________________________________________________
Fernando Czar de Oliveira Lopes, Mestre em Cincia da Computao.

Dedico este trabalho memria de Jos
Henrique Reitz, meu pai, pessoa que admirei,
amei e compreendi, pai que me deu a
oportunidade de realizar os meus sonhos, e o
amigo que me acompanhou nos momentos
marcantes de minha vida.

AGRADECIMENTOS

Agradeo aos meus pais pelo apoio e incentivo no incio do curso, ao meu marido pela
pacincia e compreenso em todos os momentos durante estes quatro anos, ao meu filho pelo
amor e compreenso nos momentos de ausncia.
Agradeo a SOCIESC pelo incentivo durante o curso, ao Professor Marcos Laureano
pelo compartilhamento de sua experincia e orientao durante todo o trabalho, a Professora
Glaci pela orientao quanto a metodologia, e a todos aqueles que direta ou indiretamente
contriburam nesta caminhada.

RESUMO

O presente trabalho aborda um estudo sobre poltica de segurana da informao que
uma das principais medidas de segurana adotadas pelas organizaes com o objetivo de
garantir a segurana da informao. Atualmente existem algumas metodologias e melhores
prticas em segurana da informao, dentre elas est a NBR ISO 17799, que a traduo da
BS7799, esta norma foi usada durante este estudo e, por meio dela, ser possvel verificar o
que devemos seguir para a elaborao de uma poltica de segurana da informao, as
principais dificuldades para criao e implementao, os princpios de segurana da
informao, a necessidade de envolvimento de toda a organizao, sendo que pretende-se
elaborar uma proposta modelo de poltica de segurana da informao voltada para
instituies de ensino. O objetivo deste trabalho apresentar algumas diretrizes bsicas de
uma Poltica de Segurana para uma empresa, utilizando como base os conceitos adquiridos
pelo estudo na reviso bibliogrfica.

Palavras Chave: Informao; Segurana da Informao; Medidas de Segurana; Poltica de
Segurana.

ABSTRACT

The present work approaches a study on Security Policies of the information that is one of the
main measures of security of the information. Currently there are some practical better
methodologies and in security of the information , amongst them are NBR ISO 17799 that he
is BS 7799 translation, this norm was used during this study and, for way of it, it will be
possible to verify what we must follow for the elaboration of one politics of security of the
information, the main difficulties for creation and implementation, the principles of security
of the information, the necessity of envolvement of all the organization, being been that it is
intended to elaborate a proposal model of Security Policies of the information come back
toward Institutions of Education. The objective of this work is to present some basic lines of
direction of one Security Policies for a company, being used as base the concepts acquired for
the study in the bibliographical revision.

Words Key: Information; Security of the Information; Measures of Security; Security
Policies.

LISTA DE FIGURAS

FIGURA 2.1 - TRADE GREGA ..................................................................................................................................................16
FIGURA 2.2 - IMPACTO DOS INCIDENTES DE SEGURANA NOS NEGCIOS........................................................................23
FIGURA 2.3 - RELAO ENTRE VULNERABILIDADE E INCIDENTE DE SEGURANA..........................................................24
FIGURA 2.4 - RAMO DE ATIVIDADE DAS EMPRESAS ENTREVISTADAS..............................................................................28
FIGURA 2.5 - EMPRESAS QUE POSSUEM POLTICA DE SEGURANA E A SITUAO.........................................................29
FIGURA 2.6 - PRINCIPAIS MEDIDAS DE SEGURANA PARA 2004 ........................................................................................29
FIGURA 2.7 - RANKING DAS MEDIDAS DE SEGURANA ADOTADAS...................................................................................30
FIGURA 2.8 - PRINCIPAIS MEDIDAS DE SEGURANA ADOTADAS........................................................................................30
FIGURA 3.1 - DIAGRAMA DE CONCEITO DOS COMPONENTES DA POLTICA.......................................................................35
FIGURA 3.2 - FATORES DE SUCESSO DA POLTICA DE SEGURANA....................................................................................38
FIGURA 3.3 - OBSTCULOS PARA IMPLEMENTAO DA SEGURANA DA INFORMAO...............................................42
FIGURA 4.1 - ORGANOGRAMA FUNCIONRIOS DA REA DE TI.........................................................................................53

LISTA DE TABELAS

TABELA 4.1 - QUADRO DE FUNCIONRIOS DA SOCIESC......................................................................................................47
TABELA 4.2 - ALUNOS MATRICULADOS AT AGOSTO DE 2004..........................................................................................48
TABELA 5.1 - COMPARTILHAMENTO DAS REAS DE ARMAZENAMENTO DE ARQUIVOS.................................................62

SUMRIO

1 INTRODUO..........................................................................................................................................................12
2 SEGURANA DA INFORMAO.....................................................................................................................14
2.1 CLASSIFICAO DA INFORMAO....................................................................................................................17
2.1.1 Secreta............................................................................................................................................................17
2.1.2 Confidencial ..................................................................................................................................................18
2.1.3 Interna............................................................................................................................................................18
2.1.4 Pblicas..........................................................................................................................................................18
2.2 PRINCPIOS DA SEGURANA DA INFORMAO................................................................................................18
2.2.1 Autenticidade.................................................................................................................................................19
2.2.2 Confidencialidade........................................................................................................................................19
2.2.3 Integridade.....................................................................................................................................................20
2.2.4 Disponibilidade.............................................................................................................................................21
2.3 VULNERABILIDADES...........................................................................................................................................22
2.4 IMPORTNCIA DA SEGURANA DA INFORMAO...........................................................................................26
2.5 CONCLUSO DO CAPTULO.................................................................................................................................31
3 POLTICA DE SEGURANA...............................................................................................................................33
3.1 PLANEJAMETO......................................................................................................................................................34
3.2 DEFINIO............................................................................................................................................................39
3.3 IMPLEMENTAO.................................................................................................................................................41
3.4 TIPOS DE POLTICAS............................................................................................................................................43
3.4.1 Regulatria....................................................................................................................................................43
3.4.2 Consultiva......................................................................................................................................................44
3.4.3 Informativa ....................................................................................................................................................45
4 HISTRICO DA SOCIESC...................................................................................................................................46
4.1 VISO, MISSO E VALORES DA SOCIESC......................................................................................................48
4.2 HISTRIA DA EQUIPE DE TI NA SOCIESC.......................................................................................................49
4.3 EQUIPE DE TI DA SOCIESC...............................................................................................................................52
4.4 DEFINIAO DA ESTRUTURA DE INFORMTICA......................................................................................53
5 POLTICA DE SEGURANA PARA INSTITUIO DE ENSINO.........................................................57
5.1 OBJETIVOS DA POLTICA DE SEGURANA.........................................................................................................58
5.2 POLTICA DE SEGURANA DA ESTRUTURA DE INFORMTICA........................................................................60
5.2.1 Poltica de Utilizao da Rede...................................................................................................................61
5.2.1.1 Regras Gerais .........................................................................................................................................61
5.2.1.2 Regras para funcionrios........................................................................................................................63
5.2.1.3 Regras para alunos .................................................................................................................................64
5.2.1.4 Regras para alunos colaboradores ..........................................................................................................65
5.2.2 Poltica de Administrao de contas.........................................................................................................65
5.2.2.1 Regras Gerais .........................................................................................................................................65
5.2.2.2 Regras para Funcionrios.......................................................................................................................66
5.2.2.3 Regras para Alunos................................................................................................................................67
5.2.2.4 Alunos Colaboradores ou Estagirios ....................................................................................................68
5.2.3 Poltica de Senhas........................................................................................................................................69
5.2.3.1 Regras Gerais .........................................................................................................................................69
5.2.4 Poltica de Utilizao de E-Mail ...............................................................................................................71
5.2.4.1 Regras Gerais .........................................................................................................................................71
5.2.5 Poltica de acesso a Internet ......................................................................................................................74

5.2.5.1 Regras Gerais .........................................................................................................................................74
5.2.6 Poltica de uso das Estaes de trabalho.................................................................................................76
5.2.6.1 Regras Gerais .........................................................................................................................................76
5.2.7 Poltica de uso de impressoras..................................................................................................................76
5.2.7.1 Regras Gerais .........................................................................................................................................77
5.3 POLTICA DE SEGURANA FSICA......................................................................................................................77
5.3.1 Poltica de controle de acesso....................................................................................................................78
5.3.1.1 Regr as Gerais .........................................................................................................................................78
5.3.2 Poltica de mesa limpa e tela limpa..........................................................................................................79
5.3.2.1 Regras Gerais. ........................................................................................................................................79
5.3.3 Poltica de utilizao de laboratrios de informtica e salas de projeo........................................80
5.3.3.1 Regras Gerais .........................................................................................................................................80
5.4 TERMO DE COMPROMISSO...................................................................................................................................81
5.5 VERIFICAO DA UTILIZAO DA POLTICA...................................................................................................82
5.6 VIOLAO DA POLTICA, ADVERTNCIA E PUNIES....................................................................................82
5.6.1.2 Regras para alunos .................................................................................................................................84
6 CONCLUSO.............................................................................................................................................................86
7 REFERNCIAS .........................................................................................................................................................89
8 ANEXOS.......................................................................................................................................................................91

1 INTRODUO

Nos tempos atuais a informao tornou-se o ativo mais valioso das grandes empresas,
ao mesmo tempo, que passou a exigir uma proteo adequada. De forma assustadoramente
crescente, as organizaes, seus sistemas de informaes e suas redes de computadores
apresentam-se diante de uma srie de ameaas, sendo que, algumas vezes, estas ameaas
podem resultar em prejuzos para as empresas.
A segurana da informao visa proteg- la de um grande nmero de ameaas para
assegurar a continuidade do negcio. Esta segurana obtida a partir da implementao de
uma srie de controles, que podem ser polticas, prticas e procedimentos, os quais precisam
ser estabelecidos para garantir que os objetivos de segurana especficos da organizao
sejam atendidos.
A dificuldade de entender a importncia da segurana da informao ainda muito
grande. Muitas empresas comeam a pensar na implantao de medidas de segurana aps
terem passado por algum tipo de incidente de segurana, que lhes tenha causado algum
prejuzo.
A poltica de segurana de uma empresa , provavelmente, o documento mais
importante em um sistema de gerenciamento de segurana da informao. Seu objetivo
normatizar as prticas e procedimentos de segurana da empresa. Isso significa que dever ser
simples, objetiva, de fcil compreenso e aplicao. Os controle de segurana, de um modo
geral, e a poltica, em particular, devem ser definidos para garantir um nvel de segurana
coerente com o negcio da empresa.
O presente trabalho tem como objetivo fazer um estudo aprofundado sobre segurana
da informao, detalhando este estudo sobre uma das medidas de segurana que poltica de

segurana da informao, bem como o desenvolvimento de uma proposta modelo de poltica
de segurana, desenvolvida para a realidade de instituies de ensino, apresentando a
estrutura de informtica da SOCIESC.
A poltica de segurana pode trazer ao ambiente de uma instituio de ensino regras e
procedimentos que devem ser seguidos para a garantia da segurana da informao.
importante que as informaes da poltica de segurana sejam divulgadas para todos os
membros da instituio, sejam eles alunos, funcionrios, alunos colaboradores ou estagirios,
e que todos estejam conscientes da importncia do seguimento desta poltica.
O presente trabalho est distribudo em 06 (seis) partes, sendo que a primeira a
introduo. A segunda parte inicia a reviso literria, apresentando os conceitos relacionados
segurana da informao, seus princpios, sua importncia, as medidas de segurana que
podem ser implantadas.
A terceira parte trata de poltica de segurana, de modo a abranger conceitos sobre
poltica de segurana, seu planejamento, definio e implementao. Existem trs tipos de
polticas de segurana que foram abordados: Regulatria, Consultiva e informativa.
A quarta parte apresenta o histrico da SOCIESC, sua estrutura de recursos de
informtica, sua equipe de TI. Na quinta parte mostra o modelo de poltica de segurana
desenvolvido, sendo dividida em poltica de segurana da estrutura de informtica e poltica
de segurana fsica. Finalmente a concluso do trabalho, contribuies e sugestes para
trabalhos futuros.
O modelo de poltica de segurana desenvolvido procura definir regras para que,
independente do usurio, possa ser seguido um padro de utilizao dos diversos recursos que
envolvem a segurana da informao em uma Instituio de Ensino, como a SOCIESC.

14
2 SEGURANA DA INFORMAO

A informao um ativo que, como qualquer ativo importante para os negcios, tem
um valor para a organizao e conseqentemente necessita ser adequadamente protegida. Para
muitas empresas a informao o maior patrimnio e proteg- la no uma atividade simples,
sendo que pode abranger vrias situaes, como: erro, displicncia, ignorncia do valor da
informao, fraude, sabotagem, etc.
Define-se dados como um conjunto de bits armazenados como: nomes, endereos,
datas de nascimentos, histricos acadmico, etc. A informao um dado que tenha sentido,
como por exemplo, as notas ou informaes acadmicas de um aluno. O conhecimento um
conjunto de informaes que agrega valor a organizao.

A informao pode existir de diversas formas, ela pode ser impressa ou
escrita em papel, armazenada eletronicamente, transmitida pelo correio ou
atravs de meio eletrnico, mostrada em filmes ou falada em conversas. Seja
qual for a forma apresentada ou meio atravs do qual a informao
compartilhada ou armazenada, recomendado que seja sempre protegida
adequadamente. (NBR ISO/IEC 17799, setembro 2001)

De acordo com a NBR ISO 17799
1
, independente da forma que a informao se
apresenta ela deve ser protegida de maneira adequada. A segurana deve ser considerada um
dos assuntos mais importantes dentre as preocupaes das organizaes. Deve-se entender
que segurana da informao no uma tecnologia. No possvel comprar um dispositivo
que torne a rede segura ou um software capaz de tornar seu computador seguro. Segurana da
informao no um estado que se pode alcanar.
A segurana a direo em que se pretende chegar, mas a empresa deve saber que

1
Norma Brasileira homologada em setembro de 2001 pela ABNT para Gesto da Segurana da Informao

nunca chegar de fato ao destino. O que possvel fazer administrar um nvel aceitvel de
risco. Segurana um processo, pode-se aplicar o processo rede ou empresa visando
melhorar a segurana dos sistemas. (WADLOW, 2000, p.25]
O processo de segurana mostra que em muitos aspectos a segurana semelhante
trade grega:

Analise o problema levando em considerao tudo que conhece: se o problema a
segurana da informao, este deve ser avaliado prestando ateno em tudo que
poder afetar o processo de segurana, visando a criao de uma soluo para o
problema.
Sintetize uma soluo para o problema a partir de sua anlise: sabendo tudo o que
pode prejudicar o processo de segurana, neste momento importante a criao de
uma soluo que foi estabelecida a partir das informaes analisadas
anteriormente.
Avalie a soluo e aprenda em quais aspectos no correspondeu a sua expectativa:
a soluo adotada deve ser avaliado, visando a verificao de medidas ou decises
que no foram satisfatrias para a implantao do processo de segurana, podendo
voltar a anlise do problema e passando pelas etapas do processo de segurana
novamente.
Depois de passar pelas etapas do processo de segurana, deve-se reiniciar este
processo seguidamente, o procedimento da trade grega, de analisar o problema, sintetizar
uma soluo e avaliar a soluo, um procedimento que pode ser aplicado para qualquer
processo.

Figura 2.1 - Trade Grega
Fonte: Livro Segurana da Informao

Os mecanismos de segurana adotados protegem a informao de um grande nmero
de ameaas para assegurar a continuidade dos negcios, minimizar os danos empresariais e
maximizar o retorno em investimentos e oportunidades.

Nenhuma rea da informtica to apreciada como a segurana da
informao, todo processo de segurana inicia e tem seu termino em um ser
humano. Segurana no uma questo tcnica, mas uma questo gerencial e
humana. No adianta adquirir uma srie de dispositivos de hardware e
software sem treinar e conscientizar o nvel gerencial da empresa e todos os
seus funcionrios. (OLIVEIRA, 2001, p.43)

De acordo com a afirmao acima, o ser humano tem um papel extremamente
importante, na verdade, o processo de segurana comea e termina nas pessoas, os
mecanismos de segurana somente sero eficientes se as pessoas se comprometerem com o
uso e o faam conscientes dos benefcios para a organizao, uma ferramenta ou poltica que
no usada, no poder trazer resultados para a organizao.

Avaliao

Anlise

Sntese

2.1 CLASSIFICAO DA INFORMAO

Segundo da descrio do item 5.2 da NBR ISO 17799, que trata da classificao da
informao:

O objetivo da Classificao da Informao assegurar que os ativos da
informao recebam um nvel adequado de proteo. A informao deve ser
classificada para indicar a importncia, a prioridade e o nvel de proteo. A
informao possui vrios nveis de sensibilidade e criticidade. Alguns itens
podem necessitar um nvel adicional de proteo ou tratamento especial. Um
sistema de classificao da informao deve ser usado para definir um
conjunto apropriado de nveis de proteo e determinar a necessidade de
medidas especiais de tratamento.

A classificao da informao importante para que as organizaes possam
determinar o nvel de proteo que suas informaes, de modo que a segurana de
informaes importantes para as organizaes possa ser assegurada.
A classificao mais comum nos dia de hoje, aquela que divide em quatro nveis:
secreta, confidencial, interna e pblica. (DIAS, 2000, p.53)

2.1.1 Secreta

Estas informaes devem ser acessadas por um nmero restrito de pessoas e o controle
sobre o uso destas informaes deve ser total, so informaes essenciais para a empresa,
portanto, sua integridade deve ser preservada. O acesso interno ou externo por pessoas no
autorizadas a esse tipo de informao extremamente crtico para a instituio.

2.1.2 Confidencial

Estas informaes devem ficar restritas ao ambiente da empresa, o acesso a esses
sistemas e informaes feito de acordo com a sua estrita necessidade, ou seja, os usurios s
podem acess-las se estes forem fundamentais para o desempenho satisfatrio de suas funes
na instituio. O acesso no autorizado estas informaes podem causar danos financeiros
ou perdas de fatia de mercado para o concorrente.

2.1.3 Interna

Essas informaes no devem sair do mbito da instituio. Porm, se isto ocorrer as
conseqncias no sero crticas, no entanto, podem denegrir a imagem da instituio ou
causar prejuzos indiretos no desejveis.

2.1.4 Pblicas

Informaes que podem ser divulgadas para o pblico em geral, incluindo clientes,
fornecedores, imprensa, no possuem restries para divulgao.

2.2 PRINCPIOS DA SEGURANA DA INFORMAO

Quando se pensa em segurana da informao, a primeira idia que nos vem
mente a proteo das informaes, no importando onde estas
informaes estejam armazenadas. Um computador ou sistema
computacional considerado seguro se houver uma garantia de que capaz
de atuar exatamente como o esperado. Porm a segurana no apenas isto.
A expectativa de todo usurio que as informaes armazenadas hoje em
seu computador, l permaneam, mesmo depois de algumas semanas, sem

que pessoas no autorizadas tenham tido qualquer acesso a seu contedo.
(DIAS, 2000, p.42)

O usurio espera que suas informaes estejam disponveis no momento e local que
determinar, que sejam confiveis, corretas e mantidas fora do alcance de pessoas no
autorizadas. Essas expectativas do usurio podem ser traduzidas como objetivos ou princpios
da segurana.

2.2.1 Autenticidade

O controle de autenticidade est associado com identificao de um usurio ou
computador. O servio de autenticao em um sistema deve assegurar ao receptor que a
mensagem realmente procedente da origem informada em seu contedo. Normalmente, isso
implementado a partir de um mecanismo de senhas ou de assinatura digital. A verificao de
autenticidade necessria aps todo processo de identificao, seja de um usurio para um
sistema ou de um sistema para outro sistema. A autenticidade a medida de proteo de um
servio/informao contra a personificao por intrusos.

2.2.2 Confidencialidade

Proteger informaes contra acesso por algum no autorizado - interna ou
externamente. Consiste em proteger a informao contra leitura e/ou cpia por algum que
no tenha sido explicitamente autorizado pelo proprietrio daquela informao. A informao

deve ser protegida qualquer que seja a mdia que a contenha, como por exemplo, mdia
impressa ou mdia digital. Deve-se cuidar no apenas da proteo da informao como um
todo, mas tambm de partes da informao que podem ser utilizadas para interferir sobre o
todo. No caso das redes de computadores, isto significa que os dados, enquanto em trnsito,
no sero vistos, alterados, ou extrados da rede por pessoas no autorizadas ou capturados
por dispositivos ilcitos.
O objetivo da confidencialidade proteger informao privada (cidados, inds trias,
governo, militar).

2.2.3 Integridade

A integridade consiste em evitar que dados sejam apagados ou de alguma forma
alterados, sem a permisso do proprietrio da informao. O conceito de dados nesse objetivo
mais amplo, englobando dados, programas, documentao, registros, fitas magnticas, etc.
O conceito de integridade est relacionado com o fato de assegurar que os dados no foram
modificados por pessoas no autorizadas.
A integridade de dados tambm um pr-requisito para outros princpios da
segurana. Por exemplo, se a integridade de um sistema de controle a um determinado sistema
operacional pode ser violada, ento a confidencialidade de seus arquivos pode ser igualmente
violada. Enquanto o objetivo da confidencialidade est mais voltado leitura de dados, a
integridade preocupa-se mais com a gravao ou alterao de dados.

2.2.4 Disponibilidade

Ter as informaes acessveis e prontas para uso representa um objetivo crtico para
muitas empresas.
Disponibilidade consiste na proteo dos servios prestados pelo sistema de forma que
eles no sejam degradados ou se tornem indisponveis sem autorizao, assegurando ao
usurio o acesso aos dados sempre que deles precisar.
Um sistema indisponvel, quando um usurio autorizado necessita dele, pode resultar
em perdas to graves quanto as causadas pela remoo das informaes daquele sistema.
Atacar a disponibilidade significa realizar aes que visem a negao do acesso a um servio
ou informao, como por exemplo: bloqueando no canal de comunicao ou do acesso a
servidores de dados.
A segurana da informao visa a manuteno dos acessos s informaes que esto
sendo disponibilizadas. Isso significa que toda a informao deve chegar aos usurios de
forma ntegra e confivel. Para que isto possa acontecer, todos os elementos da rede por onde
a informao passa at chegar os destino devem estar disponveis e devem tambm preservar
a integridade das informaes.
Por exemplo, se um funcionrio gravou determinada informao a segurana da
informao deve garantir que no momento em que a informao for acessada novamente ela
esteja sem qualquer alterao, que no tenha sido feita pelo prprio dono da informao, que
possa ser acessada sem qualquer problema.

2.3 VULNERABILIDADES

A vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque,
ou seja, uma condio encontrada em determinados recursos, processos,
configuraes, etc. Condio causada muitas vezes pela ausncia ou
ineficincia das medidas de proteo utilizadas de salvaguardar os bem da
empresa. (Moreira, 2001, p.22)

Na definio acima Moreira afirma que a vulnerabilidade o ponto onde poder
acontecer um ataque, ou seja, o ponto onde uma fraqueza ou deficincia de segurana poder
ser explorada, causando assim um incidente de segurana.
Uma vulnerabilidade pode partir das prprias medidas de segurana implantadas na
empresa, se existir estas medidas, porm configuradas de maneira incorreta, ento a empresa
possuir uma vulnerabilidade e no uma medida de segurana.
Quando pretende-se garantir a segurana da informao da empresa deve-se identificar
os processos vulnerveis, se estes processos forem de grande importncia para garantir a
segurana da informao, as medidas e controles de segurana adequados so
implementados.
O surgimento das vulnerabilidades pode ter diversas causas, podendo ser entendido
como uma relao N para N, ou seja, cada empresa, cada ambiente pode possuir diversas
vulnerabilidades e cada vulnerabilidade pode estar em diversos ambientes. (MOREIRA, 2001,
p25)
As vulnerabilidades podem ser fsicas, naturais, humanas, de software ou hardware,
entre outras. Pode-se citar alguns exemplos de vulnerabilidades:
Fsicas: falta de extintores, salas mal projetadas, instalaes eltricas antigas e em
conjunto com as instalaes da rede de computadores.
Naturais: acumulo de poeira, umidade, possibilidade de desastre naturais, como

enchente, tempestade, terremotos, etc.
Humana: falta de treinamento, compartilhamento de informaes confidenciais por
parte dos funcionrios da empresa, falta de comprometimento dos funcionrios.
A figura 2.2 demonstra que as vulnerabilidades possibilitam os incidentes de
segurana, sendo que estes afetam o negcio da empresa causando impactos negativos para
seus clientes e demais envolvidos. Um incidente de segurana que possa afetar os princpios
de segurana da informao estar afetando a imagem da empresa para seus clientes, se a
informao no estiver disponvel no momento em for necessrio o acesso, sem qualquer
alterao que possam vir a afetar os princpios de integridade e autenticidade das mesmas,
ento o incidente de segurana estar afetando o cliente que depende do acesso a esta
informao e tambm a empresa. As vulnerabilidades so a principal causa dos incidentes de
segurana.

Vulnerabilidade

Clientes
Imagem

Produto

Figura 2.2 - I mpacto dos incidentes de segurana nos negcios
Fonte: Livro Segurana Mnima p.27

A figura 2.3 ilustra a questo das vulnerabilidades em relao a incidentes de
segurana, sendo que as ameaas, sejam elas internas ou externas, acontecem tentando

Incidente de Segurana
possibilita
Negcio Impacta negativamente
Afeta

encontrar um ponto vulnervel, para que atravs dele possa passar pelas medidas de segurana
e causar um incidente de segurana.

Figura 2.3 - Relao entre vulnerabilidade e incidente de segurana
Fonte: Livro Segurana mnima, p. 28

importante perceber que se as medidas de segurana adotadas forem eficientes estas
devem evitar um ponto vulnervel, pois assim as ameaas no se concretizariam em
incidentes de segurana, j que no conseguiriam passar pelas medidas de segurana.
Os danos e perdas causados por um incidente de segurana acontecem em decorrncia
Poltica de
Segurana Ponto
vulnervel
Ameaas
internas
Ameaas
externas
Conscientizao/
Comportamento

Ferrramentas
Medidas de
segurana
Perdas/
Danos
Incidentes de
seguranas
Ativos
crticos
Hardware
Dados /
Informao
Processos
Software Ferramentas Documentao

de medidas mal implementadas ou mal utilizadas que possibilitam pontos vulnerveis.
Algumas medidas de segurana podem ser adequadas para determinada situao e inadequada
para outras. Deve-se buscar a melhor relao custo/benefcio para garantia da segurana da
informao. As vulnerabilidades iro diminuir a partir do momento que medidas adequadas de
segurana sejam implantadas.
Moreira (2001, p.31) diz que medidas de segurana so esforos como procedimentos,
software, configuraes, hardware e tcnicas empregadas para atenuar as vulnerabilidades
com o intuito de reduzir a probabilidade de ocorrncia da ao de ameaas e, por conseguinte,
os incidentes de segurana.
Contudo, como comentado anteriormente, importante pensar na relao
custo/benefcio, quando se pensa em medidas de segurana. medida que o nvel de
segurana cresce o nvel de vulnerabilidade decai. O ideal que seja buscado o ponto de
equilbrio entre o nvel de vulnerabilidades consideradas aceitveis em relao ao nvel de
segurana ou as medidas de segur ana implementadas.
Na verdade no existe um modelo ideal ou um pacote de segurana que pode ser usado
para resolver os problemas de segurana nas redes.
Na maioria das vezes deve-se usar a combinao de vrias estratgias de segurana de
acordo com o nvel de segurana que a empresa deseja atingir. Dentre elas destacam-se:
Poltica de segurana;
Cpias de Segurana;
Controle de acesso;
Segurana fsica;
Firewall;
Poltica de senha;
Deteco de intruso;

Treinamento/conscientizao dos usurios.
Dentre outras estratgias que podem complementar e garantir a segurana da
informao da empresa. Ser realizado um estudo detalhado sobre poltica de segurana, com
o objetivo da criao de um modelo de poltica de segurana.

2.4 IMPORTNCIA DA SEGURANA DA INFORMAO

Nas dcadas de 70 e 80 o enfoque principal da segurana era o sigilo dos dados. Entre
80 e 90, com o surgimento das redes de computadores, a proteo era feita no pensando nos
dados, mas sim nas informaes. A partir da dcada de 90, com o crescimento comercial das
redes baseadas em Internet Protocol
2
(IP) o enfoque muda para a disponibilidade. A
informtica torna-se essencial para a organizao, o conhecimento precisa ser protegido.
A segurana da informao e os negcios esto estritamente ligados. O profissional de
segurana da informao precisa ouvir as pessoas, de modo a entender e saber como aplicar as
tecnologias para a organizao, sua estratgia de negcio, suas necessidades e sua estratgia
de segurana.
A dificuldade de entender a importncia de segurana ainda muito grande. A
segurana ainda um campo relativamente novo, muitas empresas ainda no conseguem
enxergar a sua importncia, imaginando apenas que as solues so caras e no trazem
nenhum retorno financeiro, no imaginando as conseqncias que a falta da segurana poder
trazer para todo o negcio da empresa.
Este o maior desafio da segurana, uma soluo de segurana imensurvel e no
resulta em melhorias nas quais todos podem notar que alguma coisa foi feita.

2
Protocolo da Internet, IP um conjunto de regras e formatos utilizado em redes em que a comunicao se d
atravs de pacotes de dados.

A empresa, ou os executivos e diretores, devem entender que a segurana tem
justamente o papel de evitar que algum perceba que alguma coisa esta errada.
O fato que ningum percebe a existncia da segurana, apenas a inexistncia dela,
quando algum incidente acontece, resultando em grandes prejuzos para a empresa.
Esta viso reativa, com as decises de segurana sendo tomadas aps um incidente,
traz uma srie de conseqncias negativas para a organizao. preciso que as organizaes
passem a considerar a segurana da organizao como um elemento essencial para o sucesso.
Deve-se entender que as solues de segurana no gero gastos, mas um investimento
habilitador de seus negcios.
Segundo informaes apresentadas na 9 Pesquisa Nacional de Segurana da
Informao (MDULO SECURITY, 2003), as organizaes esto mudando sua opinio
sobre a importncia da segurana da informao. A Segurana da Informao tornou-se fator
prioritrio na tomada de decises e nos investimentos das organizaes no pas. Essa
informao uma das principais concluses apontadas pelos ndices obtidos pela pesquisa.
Alguns resultados importantes que foram obtidos:
Para 78% dos entrevistados, as ameaas, os riscos e os ataques devero aumentar
em 2004.
Vrus (66%), funcionrios insatisfeitos (53%), divulgao de senhas (51%),
acessos indevidos (49%) e vazamento de informao (47%) foram apontados como
as cinco principais ameaas segurana das informaes nas empresas.
O percentual de empresas que afirmam ter sofrido ataques e invases subiu de
43%, em 2002, para 77% em 2003.
60% indicam a Internet como principal ponto de invaso em seus sistemas.
Poltica de segurana formalizada j realidade em 68% das organizaes.
Pelo terceiro ano consecutivo, antivrus (90%), sistemas de backup (76,5%) e

firewall (75,5%) foram apontados como as trs medidas de segurana mais
implementadas nas empresas.
Os resultados obtidos reforam a importncia da informao para as empresas e
principalmente a necessidade de segurana destas informaes. A utilizao de normas e
padres para que a segurana da informao esteja documentada e possa ser seguida um
fator importante que foi apontado.
A figura 2.4 mostra o ramo de atividade das empresas que foram entrevistadas durante
9 Pesquisa Nacional de Segurana da Informao, a pesquisa teve uma amostra de 682
questionrios, que foram coletados de maro agosto de 2003. Podemos perceber que os
profissionais que participaram deste estudo esto distribudos em diversos segmentos.

Figura 2.4 - Ramo de Atividade das Empresas entrevistadas
Fonte: 9 Pesquisa Nacional de Segurana da Informao, 2003, www.mdulo.com.br

A preocupao das empresas em possurem regras e procedimentos documentados se
torna bastante clara na figura 2.5, onde mostra a empresa em relao a poltica de segurana,
sendo que 50% das empresa possuem uma poltica de segurana atualizada. A pesquisa
mostra um cenrio positivo em relao ao aumento da poltica de segurana atualizada e a
queda no item falta de conscincia dos usurios, mostrada na figura 3.3, como principal
obstculo, podendo ser explicada pelo aumento da divulgao da poltica de segurana para
todos os funcionrios.

Figura 2.5 - Empresas que possuem Poltica de Segurana e a situao

A poltica de segurana aparece entre as principais medidas de segurana que, segundo
as empresas, devem ser adotadas em 2004, figura 2.6. Em 2003, as empresas tiveram imensas
dificuldades com a disseminao em massa de diversas pragas virtuais, isto pode explicar a
primeira colocao de antivrus como a principal medida de segurana para 2004.

Figura 2.6 - Principais medidas de segurana para 2004
As figuras 2.7 e 2.8 mostram um comparativo entre os resultados da 8 e 9 Pesquisa

Nacional de Segurana da Informao, pode-se notar que as primeiras posies do ranking da
medidas de segurana no se alteram de 2002 para 2003, no entanto, se notarmos o item
poltica de segurana aumentou 12,5% em relao a 2002. Um fator importante que as
empresas esto percebendo a necessidade de mudar o cenrio da segurana da informao,
sendo que a poltica de segurana tem um papel importante para a segurana da informao
nas empresas.

Figura 2.7 - Ranking das medidas de segurana adotadas

Figura 2.8 - Principais medidas de segurana adotadas
A Segurana da Informao tornou-se fator prioritrio na tomada de decises e nos
investimentos das organizaes no pas. [9 Pesquisa Nacional de Segurana da Informao.
www.modulo.com.br]

Por exemplo, se um funcionrio gravou determinada informao a segurana da
informao deve garantir que no momento em que a informao for acessada novamente ela
esteja sem qualquer alterao, que no tenha sido feita pelo prprio dono da informao, que
possa ser acessada sem qualquer problema.
Os controles considerados como melhores prticas para a segurana da informao
incluem: [NBR ISO 17799, p3].
Documentao da poltica de segurana da informao;
Definio das responsabilidades na segurana da informao;
Educao e treinamento em segurana da informao;
Relatrio de incidentes de segurana;
Gesto de continuidade do negcio.

2.5 CONCLUSO DO CAPTULO

Neste capitulo foi feito um estudo sobre a informao e a segurana da informao,
pode-se perceber que a informao tem grande valor dentro das instituies em que estiver
inserida e que a garantia da segurana da informao extremamente importante para o
sucesso do negcio das organizaes.
A informao deve ser classificada de acordo com seu grau de importncia, garantindo
assim, a proteo adequada para cada informao, existem informaes que podem ser
divulgadas sem afetar o negcio da organizao, porm, existem informaes que so
confidenciais e devem ser extremamente controlado o acesso a elas, evitando que possam ser
acessadas por pessoas no autorizadas e prejudicar a organizao.
A informao segura aquela que obedece aos princpios de segurana da informao,
garantindo a autenticidade, disponibilidade, integridade e confidencialidade da informao.

Todas as organizaes sofrem ameaas, sejam elas internas ou externas, estas ameaas
exploram algum ponto vulnervel, que pode ser, por exemplo, uma medida de segurana mal
configurada. As medidas de segurana devem evitar a existncia deste ponto vulnervel
garantindo assim a segurana da informao.
Existe uma grande dificuldade de entender a importncia da segurana da informao,
as decises de segurana, muitas vezes, so tomadas aps um incidente de segurana. Porm,
a preocupao das organizaes com a segurana da informao vem crescendo, medidas para
garantir a segurana da informao vem sendo implementadas com maior freqncia, sendo
que a segurana da informao tornou-se um fator prioritrio na tomada de decises e nos
investimentos das organizaes.
Para garantir a segurana da informao vrias medidas de segurana podem ser
implementadas, dentre elas destaca-se a poltica de segurana da informao, sobre a qual ser
feito um estudo mais abrangente no prximo captulo.
Ser detalhado, a seguir, sobre poltica de segurana explicando sua importncia, as
fase o desenvolvimento da poltica, tipos de poltica e a criao de uma poltica.

3 POLTICA DE SEGURANA

A poltica de segurana a base para todas as questes relacionadas proteo da
informao, desempenhando um papel importante em todas as organizaes, sendo a
elaborao de uma poltica de segurana da informao essencial, pois definem normas,
procedimentos, ferramentas e responsabilidades para garantir o controle e a segurana da
informao na empresa.
Poltica de segurana apenas a formalizao dos anseios da empresa quanto
proteo das informaes.
Em um pas, temos a legislao que deve ser seguida para que tenhamos um
padro de conduta considerado adequado s necessidades da nao para
garantia de seu progresso e harmonia. No havia como ser diferente em uma
empresa. Nesta precisamos definir padres de conduta para garantir o
sucesso do negcio. (ABREU, 2002)
Na definio acima, poltica de segurana comparada com a legislao que todos
devemos seguir, de modo que o cumprimento da legislao nos garante que o padro de
contuda esta sendo seguido, a poltica de segurana tambm deve ser seguida por todos os
funcionrios de uma organizao, garantindo assim a proteo das informaes e o sucesso do
negcio.
Segundo Wadlow (2000, p.40) uma poltica de segurana atende a vrios propsitos:
Descreve o que est sendo protegido e por qu;
Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qual
custo;
Permite estabelecer um acordo explcito com vrias partes da empresa em relao
ao valor da segurana;

Fornece ao departamento de segurana um motivo vlido para dizer no quando
necessrio;
Proporciona ao departamento de segurana a autoridade necessria para sustentar
o no;
Impede que o departamento de segurana tenha um desempenho ftil.
A implementao pode ser considerada a parte mais difcil da poltica de segurana.
Sua criao e sua definio envolvem conhecimentos abrangentes de segurana, ambiente de
rede, organizao, cultura, pessoas e tecnologias, sendo uma tarefa complexa e trabalhosa.
Porm a dificuldade maior ser na implementao desta poltica criada, quando todos os
funcionrios devem conhecer a poltica, compreender para que as normas e procedimentos
estabelecidos realmente sejam seguidos por todos os funcionrios.

3.1 PLANEJAMETO

O incio do planejamento da poltica de segurana exige uma viso abrangente, de
modo que os riscos sejam entendidos para que possam ser enfrentados. Para que a abordagem
de segurana possa ser pr-ativa essencial uma poltica de segurana bem definida, sendo
que as definies das responsabilidades individuais devem estar bem claras facilitando o
gerenciamento de segurana em toda a empresa.
Um ponto bastante importante para que a poltica de segurana seja seguida pela
empresa que seja aprovada pelos executivos, publicada e comunicada para todos os
funcionrios, de forma relevante e acessvel.
O planejamento da poltica deve ser feito tendo como diretriz o carter geral e
abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos.

A poltica de segurana pode ser dividida em vrios nveis, podendo ser de um nvel
mais genrico, como o objetivo que os executivos possam entender o que est sendo definido,
nvel dos usurios de maneira que eles tenham conscincia de seus papis para a manuteno
da segurana na organizao, e podendo ser de nvel tcnico que se refere aos procedimentos
especficos como, por exemplo, a implementao das regras de filtragem do firewall.
Segundo Dimitri (2002), podemos dividir a poltica de segurana em trs tipos de
textos: nvel estratgico, nvel ttico e nvel operacional, como mostra a figura 3.1.

Figura 3.1 - Diagrama de conceito dos componentes da poltica
Fonte: Livro Segurana de redes p175

Nvel estratgico: existem situaes no dia-a-dia que precisamos tomar decises.
Algumas vezes o bom senso ferramenta usada pelos profissionais para a tomada de deciso.
Poltica ou
Diretrizes
Normas
Procedimentos e
instrues
Estratgico
Ttico
Operacional
N
a
t
u
r
e
z
a

d
o

N
e
g
c
i
o

C
u
l
t
u
r
a

O
r
g
a
n
i
z
a
c
i
o
n
a
l

A
t
i
v
o
s

F
s
i
c
o
s

A
t
i
v
o
s

T
e
c
n
o
l
g
i
c
o
s

A
t
i
v
o
s

H
u
m
a
n
o
s

Isto ocorre porque se ningum passou pela situao antes, e se no existe nenhuma
orientao da empresa sobre o que fazer quando tal situao acontecer, o profissional decidir
qual a melhor soluo para a resoluo do problema.
Quando falamos em nvel estratgico estamos falando em alinhamento nos valores da
empresa, ou seja, no rumo a ser seguido. Quando necessrio o profissional tomar uma deciso
sobre uma situao nova, deve-se usar o bom senso na tomada da deciso seguindo os valores
da empresa.
Nvel ttico: para o nvel ttico deve-se pensar em padronizao de ambiente.
Equipamentos, software, senhas, utilizao de correio eletrnico, cpias de segurana,
segurana fsica, etc. Tudo isso precisa e deve ser padronizado. Isso faz com que todos os
pontos da empresa tenham o mesmo nvel de segurana e no tenhamos um elo mais fraco na
corrente.
Nvel operacional: a palavra chave no nvel operacional detalhamento, para garantir
a perfeio no atendimento e continuidade dos negcios, independentemente do fator
humano. Se a configurao esta no papel, ou seja, se existe um padro formalizado, ento
este padro deve ser seguido e a configurao deve ser realizada de forma igual por todos.
A parte operacional da poltica de segurana vem exatamente para padronizar esses
detalhes de configuraes dos ambientes. Pode-se ter um padro para toda a empresa, ou se
existirem vrias filiais pelo pas, um padro por estado. Isso ir depender da necessidade da
empresa. O importante saber que precisamos desse padro.
A poltica o elemento que orienta as aes e as implementaes futuras, de uma
maneira global, enquanto as normas abordam os detalhes, como os passos da implementao,
os conceitos e os projetos de sistemas e controles. Os procedimentos so utilizados para que
os usurios possam cumprir aquilo que foi definido na poltica e os administradores de
sistemas possam configurar os sistemas de acordo com a necessidade da organizao.

(SMOLA, 2003, p.105)
Os elementos de uma poltica de segurana devem manter a disponibilidade da infra-
estrutura da organizao, esses elementos so essenciais para a definio e implantao da
poltica de segurana:
Vigilncia: todos os funcionrios da organizao devem entender a importncia da
segurana para a mesma. No aspecto tcnico a vigilncia deve ser um processo regular e
consistente incluindo o monitoramento dos sistemas e da rede.
Atitude: a postura e a conduta em relao segurana, essencial que a poltica seja
de fcil acesso e que seu contedo seja de conhecimento de todos os funcionrios da
organizao. Atitude significa tambm o correto planejamento, pois a segurana deve fazer
parte de um longo e gradual processo dentro da organizao.
Estratgia: deve ser criativo quanto s definies da poltica e do plano de defesa
contra intruses, possuir a habilidade de se adaptar as mudanas. A estratgia deve ser
definida de modo que as medidas de segurana a serem adotadas no influenciem
negativamente no andamento dos negcios da organizao.
Tecnologia: a soluo tecnolgica dever suprir as necessidades estratgicas da
organizao, deve-se tomar cuidado com qualquer tecnologia um pouco inferior, pois poder
causar um falsa sensao de segurana, podendo colocar em risco toda a organizao. O ideal
a implantao de uma poltica de segurana dinmica em que mltiplas tecnologias e
prticas de segurana so adotadas.
A figura3.2 mostra a importncia dos elementos de uma poltica de segurana, sendo
que estes levaram a uma Poltica de Segurana de Sucesso.

Segundo a NBR ISO 17799 a poltica de segurana deve seguir as seguintes
orientaes:

Definio de segurana da informao, resumo das metas e escopo e a importncia
da segurana como um mecanismo que habilita o compartilhamento da
informao.
Declarao do comprometimento da alta direo, apoiando as metas e princpios
da segurana da informao.
Breve explanao das polticas, princpios, padres e requisitos de conformidade
de importncia especfica para a organizao, por exemplo:
o Conformidade com a legislao e possveis clusulas contratuais;
o Requisitos na educao de segurana;
o Preveno e deteco de vrus e software maliciosos;
o Gesto de continuidade do negcio;
o Conseqncias das violaes na poltica de segurana da informao;

Figura 3.2 - Fatores de sucesso da poltica de segurana
Fonte: Livro segurana de redes, 2003, p178
Poltica de segurana
de sucesso
Tecnologia
Estratgia
Atitude Vigilncia

Definio das responsabilidades gerais e especificas na gesto de segurana da
informao, incluindo o registro dos incidentes de segurana.
Referncia documentao que possam apoiar a poltica, por exemplo, polticas,
normas e procedimentos de segurana mais detalhados de sistemas, reas
especficas, ou regras de segurana que os usurios devem seguir.
Sendo assim a poltica de segurana deve conter regras gerais e estruturais que se
aplicam ao contexto de toda a organizao, deve ser flexvel o suficiente para que no sofra
alteraes freqentes.
3.2 DEFINIO

A poltica de segurana deve ser definida de acordo com os objetivos de negcios da
organizao. Existem algumas diretrizes para se escrever a poltica de segurana (WADLOW,
2000, p.33):
Mantenha-se compreensvel: uma poltica de segurana deve ser de fcil
entendimento para toda a organizao, se ningum ler ou se todos lerem, porm se no
conseguirem entender, a poltica de segurana no ser seguida. Para proporcionar algum
beneficio, necessrio que a poltica esteja nas mos das pessoas que devero utiliz- la e,
portanto, precisaro ler e lembrar seu contedo.
Mantenha-se relevante: se existir necessidade a poltica de segurana poder ser
um documento extenso. Existe a tentao de escrever longas polticas elaboradas, apenas
porque o volume impressiona a administrao superior, porm se voc disponibilizar esta
poltica para que os funcionrios leiam e comecem a usar, certamente haver poucas chances
de obter sucesso.
Uma soluo para evitar este problema criar vrias polticas cada uma destinada a

um pblico especfico dentro da empresa., assim cada poltica poder ser pequena, direta e
compreensvel.
Saiba o que no relevante: algumas partes da poltica tero tpicos que no
devero ser conhecidos por todas as pessoas. necessria uma seo descrevendo o tipo de
informao considerada sensvel, que no dever ser comentada com estranhos.
Uma segunda seo deve ser mantida sobre o sigilo mais rgido e somente pode ser
conhecida por pessoas do mais alto nvel de confiana. Essa seo constitui a conscincia
de organizao da segurana.
H necessidade de uma lista explcita e atualizada dos assuntos sensveis, permitindo
que a equipe de segurana disponha de uma memria organizacional sobre o que no deve ser
comentado.
Leve-a srio: somente ser eficaz se as pessoas a levarem a srio, para isto deve-se
seguir dois itens:
Todos precisam saber que podero ser punidos se executarem ou deixarem de executar
determinadas aes.
Para agir de acordo com a poltica, necessrio realmente punir as pessoas que a
violarem.
No obedecer a um destes princpios poder invalidar qualquer poltica.
As dificuldades surgem na definio e aplicao de penalidades. Estas questes de
penalidades devem estar bem claras desde o inicio. necessrio realizar este processo de uma
forma que estabelea a culpa do transgressor no grau adequado, deixando claro a quem aplicar
a punio que esta justificada e correta, e preservando o apoio da administrao superior.
Mantenha-a atual: a poltica de segurana precisa ser um processo contnuo, assim
como a segurana de rede que ela representa. Se no for mantido atual, o documento tornar-
se- obsoleto rapidamente.

Distribua-a as pessoas que precisam conhec- la: possuir uma excelente poltica de
segurana somente significar algo se for lida por quem no pertena prpria equipe de
segurana. A poltica dever estar disponvel, de modo a ser acessada com facilidade, poder
ser disponibilizado um site web sobre a poltica de segurana.
Alguns detalhes relevantes em uma poltica de segurana podem ser inseridos em
normas e procedimentos especficos. Alguns detalhes que podem ser definidos com base na
anlise do ambiente da rede e de seus riscos, so:
A segurana mais importante do que os servios, caso no existir conciliao a
segurana deve prevalecer.
A poltica de segurana deve evoluir constantemente, de acordo com os riscos e as
mudanas na estrutura da organizao.
Aquilo que no for expressamente permitido, ser proibido.
Nenhuma conexo direta com a rede interna, originria externamente, dever ser
permitida sem que um rgido controle de acesso seja definido e implementado.
Os servios devem ser implementados com a maior simplicidade possvel.
Devem ser realizados testes, a fim de garantir que todos os objetivos sejam
alcanados.
Nenhuma senha dever ser fornecida sem a utilizao de criptografia.

3.3 IMPLEMENTAO

A implementao deve envolver toda a organizao, todos os usurios devem
conhecer e passar a utilizar a poltica. Um ponto importante para a aceitao e conformidade
com a poltica definida a educao, pois a falta de conscientizao dos funcionrios acerca

da importncia e relevncia da poltica ir torn- la inoperante ou reduzir sua eficcia.
Devem ser feitos programas de conscientizao e divulgao da poltica, de modo que
com a divulgao efetiva ela dever tornar-se parte da cultura da organizao.
Segundo a norma NBR ISO 17799, as seguintes anlises crticas peridicas tambm
devem ser agendadas:
Verificao da efetividade da poltica, demonstrada pelo tipo, volume e impacto
dos incidentes de segurana registrados.
Anlise do custo e impacto dos controles na eficincia do negcio.
Verificao dos efeitos de mudanas na tecnologia utilizada.
Existem vrios obstculos que podem interferir durante a implantao da segurana da
informao, na figura 3.3 existe um comparativo entre os principais obstculos levantados nas
duas ltimas pesquisas Nacionais de Segurana da Informao realizadas em 2002 e 2003.

Figura 3.3 - Obstculos para I mplementao da Segurana da I nformao

A falta de conscincia dos executivos um item que se destaca entre os obstculos
para implementao da segurana da informao como mostra na figura 3.3. Os executivos
podem aprovar uma poltica de segurana apenas para satisfazer a equipe de segurana ou os
auditores, comprometendo a prpria organizao. Os executivos devem ser convencidos de
que o melhor a fazer atuar de modo pr-ativo, em oposio ao comportamento reativo. O
ideal mostrar estudos que provam que mais barato considerar a perspectiva de prevenir,
deter e detectar do que a de corrigir e recuperar.
A falta de conscincia dos usurios outro item que demonstra um percentual elevado
nos dois anos, isto deixa clara a necessidade de divulgao e treinamentos durante o processo
de implementao da poltica, que possam esclarecer seus benefcios e importncia do
seguimento das normas e procedimentos adotados.
A dificuldade de demonstrar retorno, e o alto custo so itens importantes a serem
comentados. O fato de no conseguir os recursos necessrios reflete a falha em convencer os
executivos da importncia das informaes e dos sistemas de informaes da organizao,
que devem, portanto, ser protegidos. Deve-se esclarecer que a indisponibilidade de recursos
significa prejuzos, pois os negcios podem ser interrompidos como decorrncia de um
ataque.

3.4 TIPOS DE POLTICAS

Existem trs tipos de polticas: Regulatria, Consultiva e Informativa.
3.4.1 Regulatria

Ferreira (2003, p.34), afirma que polticas regulatrias so implementadas devido s
necessidades legais que so impostas organizao. Normalmente so muito especficas para

um tipo de ramo de atividade.
Uma poltica regulatria definida como se fosse uma srie de especificaes legais.
Descreve, com grande riqueza de detalhes, o que deve ser feito, quem deve fazer e fornecer
algum tipo de parecer, relatando qual ao importante.
Deve assegurar que a organizao esta seguindo os procedimentos e normas para seu
ramo de atuao, provendo conforto para a organizao na execuo de suas atividades, pois
esto seguindo os requisitos legais necessrios para o seu ramo de atividade.

3.4.2 Consultiva.

Polticas consultivas no so obrigatrias, mas muito recomendadas. As organizaes
devem conscientizar seus funcionrios a considerar este tipo de poltica como se fosse
obrigatria.
A poltica consultiva apenas sugere quais aes ou mtodos devem ser utilizados para
a realizao de uma tarefa. A idia principal esclarecer as atividades cotidianas do dia a dia
da empresa de maneira bastante direta.
Deve-se considerar que importante que os usurios conheam essas aes para
realizao de suas tarefas para que possam ser evitados riscos do no cumprimento das
mesmas, tais como:
Possibilidade de omisso de informaes importantes para tomada de decises
crticas aos negcios da organizao;
Falhas no processo de comunicao com a alta administrao;
Perda de prazos de compromissos importantes para os negcios da organizao.

3.4.3 Informativa

Este tipo de poltica possui carter apenas informativo, nenhuma ao desejada e no
existem riscos, caso no seja cumprida. Porm, tambm pode contemplar uma srie de
observaes importantes, bem como advertncias severas.
Por exemplo, a poltica pode ressaltar que o uso de um determinado sistema restrito a
pessoas autorizadas e qualquer funcionrio que realizar algum tipo de violao ser
penalizado. Nesta sentena no so informados quais funcionrios esto autorizados, mas este
determinando severas conseqncias para quem desrespeit- la.

Com o nmero crescente de incidentes de segurana, a informao precisa, cada vez
mais estar protegida, de modo que medidas de segurana precisam ser implementadas para
assegurar e garantir a segurana da informao.
Dentre as medidas de segurana implantadas pelas organizaes est a poltica de
segurana da informao que tem por objetivo definir procedimentos, normas, ferramentas e
responsabilidades para garantir o controle e a segurana da informao na empresa.
Uma poltica de segurana deve ser definida de acordo com os objetivos do negcio da
empresa, sendo que os executivos devem participar de seu planejamento, para que possa ser
aceita por eles, lembrando que sua implementao e sucesso tambm depender de sua
divulgao para todos os funcionrios.
Existem vrios obstculos quando o assunto a segurana da informao, porm a
implementao de medidas de segurana como uma poltica de segurana da informao, faz
com que todos percebam a necessidade de segurana da informao para a organizao.

4 HISTRICO DA SOCIESC

A Sociedade Educacional de Santa Catarina, na poca Escola Tcnica Tupy foi
fundada no ano de 1959 pelo ento presidente da Fundio Tupy, Hans Dieter Schmidt, com o
intuito de formar mo-de-obra especializada que estava em falta justamente da poca da
exploso industrial no Brasil.
Para o aperfeioamento profissional, foi aprovado um projeto de 1 milho de DM
(Marcos alemes) acordado entre o Brasil e a Alemanha em 1967. Nesse acordo juntamente
com mquinas vieram especialistas para aplicar novas tecnologias, eles ficaram na Escola
Tcnica Tupy durante trs anos implementando tcnica, conhecimento, tradio e cultura de
um modelo educacional europeu baseado em valores como: seriedade, competncia, tica e
cidadania. Alm disso, engenheiros oriundos da Fundio Tupy e professores especializados
fizeram parte do corpo docente. Era a Sociedade Educacional Tupy que nascia para o
crescimento da comunidade.
Ultrapassando as fronteiras de Joinville, Santa Catarina e do Brasil a Escola Tcnica
Tupy cresceu, contribuindo na formao de profissionais para vrias empresas, e em 1985 a
Sociedade Educacional Tupy passou a ser a Sociedade Educacional de Santa Catarina -
SOCIESC, desta vez dirigida por um conselho formado pelos presidentes das principais
empresas de Joinville.
Atualmente a SOCIESC mantenedora das seguintes entidades:
Colgio Tupy - COT - ensino fundamental e mdio;
Escola Tcnica Tupy - ETT - ensino tcnico;
Instituto Superior Tupy - IST - ensino superior e ps-graduao;

Capacitao Empresarial - SCE - cursos de extenso e ps-graduao;
Servios de Engenharia - SSE - servios de fundio, tratamento trmico;
ferramentaria e laboratrios de materiais e metrologia.
Sendo que tem sua matriz em Joinville com filiais nas seguintes cidades: So Bento do
Sul (SC), Curitiba (PR), Florianpolis (SC) e Apucarana (PR).
Abaixo, na tabela 4.1, a realidade atual da SOCIESC referente ao nmero de
funcionrios em cada uma das unidades.

Tabela 4.1 - Quadro de funcionrios da Sociesc

Unidade Funcionrios
Joinville 567
So Bento do Sul 27
Florianpolis 37
Curitiba 30
Apucarana 12
Total 673
Fonte: RH da SOCIESC

A seguir, na tabela 4.2, o do nmero de alunos matriculados na SOCIESC at agosto
de 2004, pode-se perceber que o nmero total de alunos bastante elevado, sendo o maior
nmero de alunos esta em Joinville, isto se deve ao fato de estar 45 anos atuando na
comunidade tendo o devido reconhecimento do seu trabalho nas empresas e famlias da
regio. As outras unidades esto crescendo nas comunidades em que esto inseridas e com
grande reconhecimento das empresas de suas cidades.

Tabela 4.2 - Alunos matriculados at agosto de 2004

Nmero de Alunos
Unidades Ensino
Fundamental
Ensino
Mdio
Ensino
Tcnico
Ensino
Superior
Ps
Graduao
Joinville 404 1679 1544 2045 680
So Bento do Sul 0 221 231 59 51
Florianpolis 0 16 16 554 0
Curitiba 0 0 215 0 0
Apucarana 0 0 131 0 0
Total 404 1916 2137 2658 782
Fonte: Secretaria da SOCIESC

4.1 VISO, MISSO E VALORES DA SOCIESC

Viso: Ser um centro de excelncia e referncia em educao e tecnologia.
Misso: Contribuir para o desenvolvimento humano e da comunidade atravs da
educao e tecnologia.
Valores Compartilhados:
Crescimento e reconhecimento: crescer de forma significativa e sustentada, tendo
como base o reconhecimento da comunidade onde est inserida (ser reconhecida
como bem social).
Responsabilidade social: atuar na Educao, Cultura e Conscincia Ecolgica para
a tica e sustentabilidade, sob uma viso sistmica do homem e da sua relao com

a natureza.
Valorizao das pessoas: valorizar o crescimento do ser humano, despertando os
talentos e criando um ambiente que favorea a participao e o exerccio da
individualidade comprometido com a comunidade.
Em anexo o Organograma atual da SOCIESC (anexo I), mostrando a estrutura
hierrquica da instituio.

4.2 HISTRIA DA EQUIPE DE TI NA SOCIESC

A histria da rea de TI na SOCIESC iniciou no ano de 1996, com a criao de um
projeto de rede para ligar os departamentos e os laboratrios de informtica, sendo que para
isto foi contratada uma empresa externa. Os primeiros laboratrios em rede estavam
localizados no bloco P e sala M7. At a ainda no havia uma equipe de TI, apenas uma
equipe responsvel pela criao e manuteno de sistemas internos. A primeira rede possua
Windows NT 3.51 for WorkGroups nas estaes e um servidor de arquivos Novel.
Neste ano tambm foi feita a instalao do sistema Magnus para controle e
administrao da SOCIESC.
1997
Houve a contratao de funcionrios para administrar a rede recm criada, atuando
junto com os dois funcionrios que j estavam na administrao da rede. Neste mesmo ano foi
contratado um profissional para manuteno de hardware e alguns estagirios para suporte aos
usurios. Comeou assim o que chamamos hoje de equipe de Apoio a TI.

Expanso da rede para o bloco N, sala M6, bloco F e iniciou-se a instalao da
rede nos departamentos.
Instalao dos primeiros servidores Windows NT 4.0 Server e estaes
Windows NT 4.0 Workstation.
A rea de TI estava ligada diretamente direo.
Neste ano todos os departamentos foram interligados em rede.
1998
Por meio da contratao de um funcionrio para dar suporte aos usurios, juntamente
com um funcionrio j contratado no ano anterior e alguns estagirios, iniciou-se a primeira
equipe de suporte, no qual era responsvel pelo suporte a rede, hardware e software. A
manuteno aos sistemas internos continuava a cargo da equipe de sistemas.
1999
Iniciou-se uma migrao dos servidores Windows para Linux. O primeiro a ser
substitudo foram os servidores de correio eletrnico e DNS e logo aps o Firewall passou a
ser Linux.
Neste ano todos os departamentos foram interligados em rede.
Aumento da equipe de suporte com a contratao de mais funcionrios.
Contratao de mais funcionrios para a administrao da rede.
rea de TI recebeu status de departamento e passou a ter um coordenador.
2000
Os funcionrios da rea de administrao de rede foram transferidos para a rea de
ensino e os funcionrios contratados no ano anterior passaram a administrar a rede.
Iniciou-se um projeto de implantao de Linux para as estaes em laboratrios.

Todos os projetos de rede passam a ser desenvolvidos pelo prprio departamento.
Mais dois servidores passaram a utilizar Linux como sistema operacional.
Instalao de Linux em mais da metade dos laboratrios.
Em 2000, havia trs reas distintas: suporte, administrao da rede e sistemas,
todas subordinadas ao coordenador da rea e este subordinado ao setor
administrativo/financeiro.
Implantao de um novo sistema acadmico em substituio aos sistemas
desenvolvidos internamente.
Aquisio de novos servidores
Criada a Unidade da SOCIESC em So Bento do Sul com rede prpria, sem
comunicao com Joinville
2001
Iniciada uma parceria com a FUNCITEC/UFSC, para disponibilizao de um novo
link de acesso internet.
2002
Unio das reas de suporte, administrao da rede e sistemas, tornando apenas uma
equipe, chamada de equipe de informtica. Administrao da rede e sistemas
passaram a trabalhar em uma mesma sala.
Criada a Unidade da SOCIESC em Curitiba, com rede prpria.
Inicia-se um projeto de substituio do ERP.
Inicia-se um projeto para substituio do sistema acadmico.
Inicia-se um projeto de interligao de rede das unidades de Joinville, So Bento
do Sul e Curitiba.
A equipe de informtica passa a ser conhecida como Apoio a TI.

Implantao do primeiro Help Desk.
O departamento passa a ser subordinado a diretoria administrativa.
2003
Instalao do primeiro Backbone Gigabit.
Iniciado um projeto de reestruturao da rede.
Iniciada a implantao do novo ERP.
Iniciada a implantao do novo sistema acadmico.
H uma diminuio da equipe de informtica.
2004
Implantao total do ERP Logix
Implantao total do Sistema Acadmico WAE
Todas as unidades esto totalmente interligadas voz e dados.

4.3 EQUIPE DE TI DA SOCIESC

A Equipe de TI da SOCIESC dividida em 3 reas principais:
Administrao de Rede: Criao e administrao de contas de usurios (login, e-
mail e etc.). Instalao e Manuteno dos servidores, controle de trfego de rede e
equipamentos ativos da Rede, controle dos dados dos usurios (backup, cotas e
etc.)
Sistemas: Administrao dos Bancos de Dados e Sistemas (Acadmico,
especficos, ERP e etc.) suporte aos usurios, criao de contas de usurios,
pequenas otimizaes e etc.

Suporte: Servio de Help Desk, instalao e manuteno da rede, instalao e
manuteno de laboratrios etc.
Atualmente a equipe de TI da SOCIESC obedece ao organograma mostrado na figura
4.1, sendo dividida em trs reas de responsabilidade de um coordenador. A equipe de TI
atende toda a estrutura de informtica da SOCIESC, tanto no que diz respeito rea de
ensino, com os laboratrios de informtica, quanto aos departamentos administrativos e de
servios.

Figura 4.1 - Organograma Funcionrios da rea de TI

Fonte : Departamento de TI da SOCIESC

4.4 DEFINIAO DA ESTRUTURA DE INFORMTICA

Aps a apresentao do histrico da SOCIESC ser realizado um modelo de Poltica
de Segurana da Informao, porm, antes da criao deste modelo importante a
apresentao da estrutura de informtica de forma mais detalhada, bem como, das
dificuldades enfrentadas para garantia da segurana da informao e do bom funcionamento
da estrutura de informtica da SOCIESC.
COORDENADOR
SI STEMAS ADM. DE REDE SUPORTE

A estrutura de informtica da SOCIESC, em Joinville, composta por 18 servidores
na unidade de Joinville, conforme anexo II, sendo servidores de Internet, E- mail, Banco de
Dados, Arquivos, Proxy, entre outros.
Existem contas de usurios da rede de computadores para o domnio Ensino, utilizada
pelos alunos e professores nos laboratrios de informtica, aproximadamente 6800 contas. As
contas de usurios do domnio SOCIESC, so contas utilizadas por funcionrios efetivos,
estagirios e alunos colaboradores
3
, aproximadamente 600 contas.
As estaes de trabalho da rede de computadores na unidade de Joinville, que fazem
parte do domnio ENSINO, esto localizadas em laboratrios de informtica com, em mdia,
21 computadores, totalizando 550 computadores nos laboratrios, estes laboratrios so
utilizados por alunos e professores dos cursos tcnicos da Escola Tcnica Tupy, do ensino
fundamental e mdio do Colgio Tupy, dos cursos superiores do Instituto Superior Tupy e dos
cursos oferecidos pela Capacitao Empresarial.
As estaes de trabalho do domnio SOCIESC esto localizadas em cada
departamento, dependendo o nmero de funcionrios de cada departamento, existem 280
computadores que fazem parte do domnio SOCIESC.
A SOCIESC possui sistema de administrao acadmica o WAE desenvolvido pela
WISE Consultoria, utiliza banco de dados Oracle, nele so armazenadas todas as informaes
acadmicas dos alunos, acessado por professores para digitao de notas e emisso de
relatrios atravs de seu mdulo para Internet. acessado tambm por funcionrios da
secretaria para cadastros gerais e emisso de documentos, como: diplomas, certificados,
boletim escolar.

3
Alunos colaboradores so alunos que ainda esto estudando na SOCIESC, porm recebem uma bolsa de
estudos para trabalhar em reas diversas como: secretaria, financeiro, biblioteca, auxiliando os colaboradores da
SOCIESC em funes administrativas.

O ERP o Logix desenvolvido pela Logocenter utilizado pelos setores
administrativos, para fazer solicitaes de compra, controle de despesas, cadastramento dos
funcionrios, entre outros.
Conhecendo melhor a estrutura de informtica da SOCIESC os itens tratados na
Poltica de Segurana da Informao devem abranger situaes dentro desta estrutura,
considerando os usurios destes sistemas ou rede de computadores.
As informaes que esto dentro da estrutura da SOCIESC podem ser apresentadas de
diversas formas, sendo elas: arquivos eletrnicos armazenados nos servidores, informaes no
sistema de notas, registros de notas e freqncia em dirios de classe, informaes que podem
ser acessadas no ERP, entre outras. Independente da forma que a informao ser acessada
pelo usurio ela deve obedecer aos princpios de segurana da informao garantindo a
integridade, confidencialidade, autenticidade e disponibilidade das informaes.


de grande importncia a criao de regras e padres que possam esclarecer aos
usurios da rede de computadores da SOCIESC procedimentos e aes que no devem
acontecer ou que devem ser monitoradas para garantia da segurana da informao.
Como mostrado no decorrer deste captulo a estrutura de informtica da SOCIESC
possui um nmero bastante elevado de computadores, usurios e recursos de informtica para
serem gerenciados, importante a existncia de uma poltica de segurana para que todos os
usurios dos recursos de informtica tenham conhecimento de suas responsabilidade, podendo
assim auxiliar na segurana da informao de toda a instituio.

A SOCIESC uma Instituio de Ensino com um grande nmero de alunos e um
nmero bastante elevado de funcionrios, ser criado um modelo de poltica de segurana
para Instituies de Ensino usando como referencia a SOCIESC.

5 POLTICA DE SEGURANA PARA INSTITUIO DE ENSINO

Quando falamos em uma Instituio de Ensino devemos lembrar que existem algumas
particularidades em comparao a uma empresa, principalmente relacionada s pessoas que
fazem parte de uma empresa ou em uma Instituio de Ensino.
Em Instituies de Ensino alm do funcionrio, temos tambm a pessoa do aluno que
freqenta as dependncias das Instituies, assistindo suas aulas, sendo que durante estes
momentos estar utilizando os recursos disponveis e acessando informaes das Instituies
de Ensino a qual pertence. Em algumas Instituies pode existir ainda a pessoa do aluno
bolsista, aquele aluno que estuda na Instituio, porm no perodo em que no esta em sala de
aula ele trabalha em algum departamento da prpria Instituio.
Uma Poltica de Segurana voltada para Instituies de Ensino deve ser criada de
forma a estabelecer regras a serem seguidas por todos os usurios dos recursos de informtica
de maneira que todos sejam envolvidos e conscientizados da importncia da segurana das
informaes da Instituio.
Para criao do modelo de poltica de segurana apresentado neste estudo foram
utilizadas algumas informaes como:
A norma NBR ISO 17799 como referncia, sendo que esta norma o cdigo de
prtica para a gesto da segurana da informao;
Informaes sobre a estrutura de informtica da SOCIESC e necessidades de
abrangncia da poltica foram buscadas junto a equipe de TI da SOCIESC, conforme
questionrio em anexo (anexo III);
Alguns modelos de poltica de segurana foram consultados como:

o Poltica de segurana e utilizao dos recursos de rede da FURB (Fundao
Universidade Regional de Blumenau);
o Poltica de Administrao de Contas UFRGS (Universidade Federal do
Rio Grande do Sul);
o Modelo de Poltica de Segurana, NIC BR Security Office, entre outros.
Atualmente na SOCIESC no existe nenhuma poltica de segurana que esteja
implantada e seguida por todos os funcionrios, existe um procedimento para utilizao de
Notebooks e Palm- Tops particulares na rede SOCIESC e um termo de compromisso que a
pessoa que estiver utilizando estes equipamentos deve preencher, estes documentos esto no
anexo (anexo IV e anexo V), estes arquivos foram elaborados pela equipe de TI da SOCIESC
e esto disponveis ao acesso de todos os funcionrios atravs do ISODOC (software para
controle de documentos).

5.1 OBJETIVOS DA POLTICA DE SEGURANA

O objetivo garantir que os recursos de informtica e a informao estaro sendo
usados de maneira adequada. O usurio deve conhecer regras para utilizao da informao
de maneira segura, evitando expor qualquer informao que possa prejudicar a Instituio de
Ensino, os funcionrios ou alunos.
Tem por objetivo, tambm, prestar aos funcionrios servios de rede de alta qualidade
e ao mesmo tempo desenvolver um comportamento extremamente tico e profissional, de
forma a evitar falhas de segurana que possam impossibilitar o acesso s informaes, sendo
que as aes da equipe de TI no que diz respeito a manuteno de recursos de informtica
possam ser justificadas com as regras estabelecidas na poltica. Ex.: a desativao e uma conta
que tenha violado as regras da poltica de utilizao de contas.

Deve fornecer ao funcionrio informaes suficientes para saber se os procedimentos
descritos na poltica so aplicveis a ele ou no, utilizando linguagem simples e de fcil
entendimento por todos.
Assim, para assegurar os altos padres de qualidade na prestao desses servios, faz-
se necessria a especificao de uma poltica de segurana da informao, visando esclarecer
aos usurios a importncia da proteo da informao e definindo normas e procedimentos
para a utilizao da rede, e conseqentemente da informao que nela trafega.
A Poltica deve implementar controles para preservar os interesses dos funcionrios,
clientes e demais parceiros contra danos que possam acontecer devido a falha de segurana,
deve-se descrever as normas de utilizao e atividades que possa ser consideradas como
violao ao uso dos servios e recursos, os quais so considerados proibidos.
Pode-se definir como servios e recursos os equipamentos utilizados pelos
funcionrios e alunos tais como: computadores, e-mails, acesso a Internet, informao em
diretrios da rede e afins.
As normas descritas no decorrer devem sofrer alteraes sempre que necessrio, sendo
que qualquer modificao deve ser registrada e divulgada, se existir necessidade de mudana
no ambiente deve-se solicitar com tempo hbil para que as providencias necessrias sejam
tomadas.
Tais normas so fornecidas, a ttulo de orientao dos funcionrios, alunos e demais
envolvidos. Em caso de dvida o usurio dever procurar a equipe de segurana visando
esclarecimentos.
Caso os procedimentos ou normas aqui estabelecidos sejam violados os usurios
podero sofrer punies que sero esclarecidas e detalhadas durante este documento.
Esta poltica aplica-se a todos os usurios dos sistemas ou computadores da rede
SOCIESC, sendo eles: funcionrios, estagirios, alunos colaboradores, terceiros ou visitantes,

alunos de toda a SOCIESC (Colgio Tupy, Escola Tcnica Tupy, Instituto Superior Tupy e
Capacitao Empresarial).
Todos os usurios dos sistemas ou computadores desempenham um papel essencial de
apoio efetivo para que a poltica de segurana possa ser adotada por toda a organizao.
Deve-se assegurar que todos os usurios estejam conscientes da importncia de cumprir as
definies estabelecidas na poltica para garantir a segurana das informaes acessadas por
todos.
Todos devem estar cientes dos procedimentos de segurana, ter conhecimento da
poltica, se necessrio, devem receber treinamentos de como fazer uso correto das
informaes que nela esto definidas.
A poltica de segurana ser dividida em polticas de segurana da estrutura de
informtica e poltica de segurana fsica. A primeira estar sendo dividida em outras
polticas, como rede, e- mail, Internet, senhas, entre outras. A poltica de segurana fsica ir
abordar o acesso a laboratrios, departamentos, segurana de equipamentos, documentos
armazenados fisicamente, entre outros itens. Dentro de cada uma destas divises sero criadas
regras gerais, que podem ser aplicadas a todos, se existirem regras especificas para
funcionrios, alunos ou alunos colaboradores sero criadas divises paras estas regras.
A seguir, ser detalhada a poltica de segurana e informa-se que tudo o que no for
permitido e/ou liberado considerado violao Poltica e passvel de punio.

5.2 POLTICA DE SEGURANA DA ESTRUTURA DE INFORMTICA

A Poltica de Segurana da estrutura de informtica abrange itens relacionados a
segurana da informao relacionada a utilizao desta estrutura, ser contemplada: poltica

de utilizao da rede, administrao de contas, senhas, e- mail, acesso a Internet, uso das
estaes de trabalho, utilizao de impressoras.

5.2.1 Poltica de Utilizao da Rede

Esse tpico visa definir as normas de utilizao da rede que abrange o login,
manuteno de arquivos no servidor e tentativas no autorizadas de acesso. Estes itens estaro
sendo abordados para todos os usurios dos sistemas e da rede de computadores da SOCIESC.

5.2.1.1 Regras Gerais

No so permitidas tentativas de obter acesso no autorizado, tais como tentativas
de fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta (tambm
conhecido como cracking
4
). Isso inclui acesso aos dados no disponveis para o usurio,
conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio ou
colocar prova a segurana de outras redes;
No so permitidas tentativas de interferir nos servios de qualquer outro usurio,
servidor ou rede. Isso inclui ataques, tentativas de provocar congestionamento em redes,
tentativas deliberadas de sobrecarregar um servidor e tentativas de "quebrar" (invadir) um
servidor;

4
Cracking o nome dado a aes de modificaes no funcionamento de um sistema, de maneira geralmente
ilegal, para que determinados usurios ganhem algo com isso.

Antes de ausentar-se do seu local de trabalho, o usurio dever fechar todos os
programas em uso, evitando, desta maneira, o acesso por pessoas no autorizadas, se possvel
efetuar o logout/logoff da rede ou bloqueio do computador atravs de senha;
O usurio deve fazer manuteno no diretrio pessoal, evitando acmulo de
arquivos desnecessrios;
Material de natureza pornogrfica e racista no pode ser exposto, armazenado,
distribudo, editado ou gravado atravs do uso dos recursos computacionais da rede;
Jogos ou qualquer tipo de software/aplicativo no pode ser gravado ou instalado no
diretrio pessoal do usurio, no computador local e em qualquer outro diretrio da rede,
podem ser utilizados apenas os softwares previamente instalados no computador;
No permitido criar e/ou remover arquivos fora da rea alocada ao usurio e/ou
que venham a comprometer o desempenho e funcionamento dos sistemas. As reas de
armazenamento de arquivos so designadas conforme mostra a tabela 5.1.

Tabela 5.1 - Compartilhamento das reas de armazenamento de arquivos

Compartilhamento Utilizao
Diretrio Pessoal (F:) Arquivos Pessoais de responsabilidade do usurio dono
deste diretrio pessoal
Diretrios departamentais Arquivos do departamento em que trabalha
Diretrio pblico Arquivos temporrios ou de compartilhamento geral,
para todos os alunos, por exemplo.
Fonte: Departamento de TI da SOCIESC.

Em alguns casos pode haver mais de um compartilhamento referente aos arquivos do
departamento em qual faz parte.

A pasta PBLICA ou similar, no dever ser utilizada para armazenamento de
arquivos que contenham assuntos sigilosos ou de natureza sensvel, devem ser armazenadas
apenas informaes comuns a todos;
Haver limpeza semestral dos arquivos armazenados na pasta PBLICO ou
similar, para que no haja acmulo desnecessrio de arquivos;
proibida a instalao ou remoo de softwares que no forem devidamente
acompanhadas pelo departamento tcnico, atravs de solicitao escrita que ser
disponibilizada, e deve conter autorizao do coordenador da rea do solicitante;
No so permitidas alteraes das configuraes de rede e inicializao das
mquinas bem como modificaes que possam trazer algum problema futuro;
Quanto a utilizao de equipamentos de informtica particulares, computadores,
impressoras, entre outros, a SOCIESC no fornecer acessrios, software ou suporte tcnico
para computadores pessoais de particulares, incluindo assistncia para recuperar perda de
dados, decorrentes de falha humana, ou pelo mau funcionamento do equipamento ou do
software;
O acesso a sistemas, como sistema acadmico (WAE), deve ser controlado pela
identificao do usurio e pelas senhas designadas para usurios autorizados, as senhas
compartilhadas devem ser excepcionais e autorizadas pela equipe tcnica.

5.2.1.2 Regras para funcionrios

obrigatrio armazenar os arquivos inerentes empresa no servidor de arquivos
para garantir a cpia de segurana dos mesmos;

proibida a abertura de computadores para qualquer tipo de reparo, seja isto feito
em departamentos ou laboratrios de informtica, caso seja necessrio o reparo dever ocorrer
pelo departamento tcnico;
Quanto utilizao de equipamentos de informtica particulares o funcionrio
dever comunicar a coordenao de seu departamento;
Quando um funcionrio transferido entre departamentos, o coordenador que
transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controles
de segurana ainda sero necessrios na sua nova funo e informar a equipe de TI qualquer
modificao necessria;
Quando ocorrer a demisso do funcionrio, o coordenador responsvel deve
informar a equipe tcnica para providenciar a desativao dos acessos do usurio qualquer
recurso da rede. Deve-se verificar a necessidade de troca de senhas de contas de uso comum
ao departamento, evitando o acesso s informaes.

5.2.1.3 Regras para alunos

apagado o contedo das contas de usurio do domnio ensino semestralmente,
portanto o aluno ou professor que desejar manter suas informaes deve providenciar a cpia
dos arquivos sempre ao final do semestre.
Quanto a utilizao de equipamentos de informtica particulares o aluno dever
comunicar a coordenao de ensino responsvel.

5.2.1.4 Regras para alunos colaboradores

O acesso as informaes feito atravs da cont a criada pela equipe de segurana
atravs de solicitao do coordenador responsvel. Se no existir necessidade o aluno
colaborador ou estagirio pode no ter conta de acesso a rede de computadores.
O acesso a diretrios ou compartilhamentos dos departamentos deve ser fornecido
somente em caso de necessidade de acesso.

5.2.2 Poltica de Administrao de contas

Este tpico visa definir as normas de administrao das contas que abrange: criao,
manuteno e desativao da conta. Esta poltica ser dividida por usurios para facilitar o
entendimento de todos.


Desativao da conta:
reservado o direito de desativar uma conta de usurio, por parte da equipe de
segurana da SOCIESC, caso verifique-se a ocorrncia de algum dos critrios abaixo
especificados:
o Incidentes suspeitos de quebra de segurana nas contas dos usurios;
o Reincidncia na quebra de senhas por programas utilizados pela equipe de
segurana;

5.2.2.2 Regras para Funcionrios

Todo funcionrio da SOCIESC poder ter uma conta para acesso aos recursos da rede
de computadores da SOCIESC, os acessos a demais sistemas devem ser informados pelo
coordenador da rea no momento da solicitao da conta do usurio. Para solicitao da conta
para novos funcionrios os coordenadores devem proceder da maneira explicada abaixo.
Criao de contas:
Todo funcionrio pode obter uma conta de acesso a rede de computadores da
SOCIESC, para isto:
o O coordenador de departamento a que o funcionrio pertence dever fazer
uma solicitao da criao da conta;
o Esta solicitao deve ser feita atravs de e- mail para a equipe de segurana;
o Deve-se informar o nmero da matrcula do funcionrio, assim como os
acessos que sero necessrios para este usurio;
o Os principais itens a serem informados referente aos acessos permitidos aos
usurios so: ser uma conta para acesso ao domnio SOCIESC, precisar
de acesso ao domnio ensino, acesso ao sistema de ERP, acesso ao sistema
acadmico, criao da conta de email.
o A equipe de segurana retornar para a coordenao de departamento as
informaes sobre a conta criada.
Manuteno da conta:
Cada funcionrio que tiver sua conta criada ter um espao no servidor para gravar
seus arquivos pessoais, feita cpia de segurana dos arquivos do servidor do domnio
SOCIESC diariamente;

As contas que funcionrios tenham no domnio ENSINO, utilizadas em
laboratrios, no feito cpia de segurana, portanto o prprio usurio deve fazer copia de
segurana dos arquivos que julgar necessrio;
A manuteno dos arquivos na conta pessoal de responsabilidade do usurio,
sendo que o mesmo deve evitar acumulo de arquivos desnecessrios e sempre que possvel
verificar o que pode ser eliminado;
As contas podem ser monitoradas pela equipe de segurana com o objetivo de
verificar possveis irregularidades no armazenamento ou manuteno dos arquivos nos
diretrios pessoais.

5.2.2.3 Regras para Alunos

Todo aluno da SOCIESC poder ter uma conta para acesso aos recursos da rede de
computadores, sendo que estar usando o domnio ENSINO, todos os usurios tem um limite
de armazenamento de arquivos em seu diretrio pessoal, qualquer necessidade de um espao
maior para armazenamento dos arquivos nos diretrios pessoais deve ser informado pelo
professor a equipe de segurana da SOCIESC.
Criao de contas:
A criao da conta do aluno feita atravs do envio das informaes de matrcula
dos alunos pela secretaria. A cada semestre as informaes das contas dos alunos so
apagadas e uma nova senha gerada. Alunos que no possurem conta de acesso a rede de
computadores devem solicitar a equipe de segurana a criao da mesma.

A senha dos alunos criada pela equipe de segurana no momento da criao da
conta, esta senha pode ser alterada quando o usurio utilizar sua conta, sendo importante
seguir regras para criao de senhas, que sero detalhadas neste documento.
Administrao de contas:
A SOCIESC no se responsabiliza por documentos, programas e relatrios dentro
das contas pessoais dos usurios do domnio ENSINO, cabe aos usurios, a tarefa de salvar os
arquivos periodicamente para, no caso de falhas rever seus dados;
No feita cpia de segurana dos arquivos dos servidores do domnio ENSINO;
de responsabilidade do usurio as informaes em seu diretrio pessoal, sendo
que o mesmo deve evitar o acumulo de arquivos desnecessrios;
As contas podem ser monitoradas pela equipe de segurana com o objetivo de
verificar possveis irregularidades no armazenamento ou manuteno dos arquivos nos
diretrios pessoais.

5.2.2.4 Alunos Colaboradores ou Estagirios

A criao de conta para acesso a rede de computadores da SOCIESC para alunos
trabalhadores ou estagirios depender da necessidade de utilizao, se existir necessidade o
procedimento ser o mesmo utilizado para criao de contas para funcionrios, o coordenador
da rea responsvel deve informar ao departamento de segurana as informaes para criao
da conta.

5.2.3 Poltica de Senhas

As senhas so utilizadas pela grande maioria dos sistemas de autenticao e so
consideradas necessrias como meio de autenticao. Porm, elas so consideradas perigosas,
pois dependem do usurio, que podem, por exemplo escolher senhas bvias e fceis de serem
descobertas, ou ainda compartilha- las com seus amigos.


Senhas so um meio comum de validao da identidade do usurio para obteno de
acesso a um sistema de informao ou servio. Convm que a concesso de senhas seja
controlada, considerando: as senhas temporrias devem ser alteradas imediatamente, no
devem ser armazenadas de forma desprotegida, entre outros.
A senha deve ser redefinida pelo menos a cada dois meses, para usurios comuns e a
cada ms para usurios de acesso mais restrito. As senhas devem ser bloqueadas aps 3 5
tentativas sem sucesso, sendo que, o administrador da rede e o usurio devem ser notificados
sobre estas tentativas.
As responsabilidades do administrador do sistema incluem o cuidado na criao e
alterao das senhas dos usurios, alm da necessidade de manter atualizados os dados dos
mesmos.
As responsabilidades do usurio incluem, principalmente, os cuidados para a
manuteno da segurana dos recursos, tais como sigilo da senha e o monitoramento de sua
conta, evitando sua utilizao indevida. As senhas so sigilosas, individuais e intransferveis,
no podendo ser divulgadas em nenhuma hiptese.

Tudo que for executado com a sua senha de usurio da rede ou de outro sistema ser
de inteira responsabilidade do usurio, por isso, tome todo o cuidado e mantenha sua senha
secreta.
A Request for Comments (RFC) 2196, que um guia para desenvolvimento de
polticas de segurana de computador, comenta sobre como selecionar e manter senhas.
As senhas so efetivas apenas quando usadas corretamente, requer alguns cuidados na
sua escolha e uso, como:
No utilize palavras que esto no dicionrio (nacionais ou estrangeiros);
No utilize informaes pessoais fceis de serem obtidas, como o nmero de
telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc;
No utilize senhas somente com dgitos ou com letras;
Utilize senha com, pelo menos, oito caracteres;
Misture caracteres maisculos e minsculos;
Misture nmeros, letras e caracteres especiais;
Inclua, pelo menos, um caracter especial;
Utilize um mtodo prprio para lembrar da senha, de modo que ela no precise ser
escrita em nenhum local, em hiptese alguma;
No anote sua senha em papel ou em outros meios de registro de fcil acesso;
No utilize o nome do usurio;
No utilize o primeiro nome, o nome do meio ou o sobrenome;
No utilize nomes de pessoas prximas, como da esposa(o), dos filhos, de amigos;
No utilize senhas com repetio do mesmo dgito ou da mesma letra;
No fornea sua senha para ningum, por razo alguma;
Utilize senhas que podem ser digitadas rapidamente, sem a necessidade de olhar
para o teclado.

5.2.4 Poltica de Utilizao de E-Mail

Esse tpico visa definir as normas de utilizao de e- mail que engloba desde o envio,
recebimento e gerenciamento das contas de e- mail.
Todos os usurios de e-mail devem tomar cincia que a Internet opera em domnio
publico que foge do controle da equipe tcnica da SOCIESC. As mensagens podem estar
sujeitas a demora e servios potencialmente no confiveis.
Grande parte da comunicao do dia-a-dia passa atravs de e- mails. Mas importante
tambm lembrar que grande parte das pragas eletrnicas atuais chega por esse meio. Os vrus
atuais so mandados automaticamente, isso significa que um e- mail de um cliente, parceiro ou
amigo no foi mandado necessariamente pelo mesmo.
Nossos servidores de e- mail encontram-se protegidos contar vrus e cdigos
maliciosos, mas algumas atitudes do usurio final so importantes. Para isto importante que
algumas regras sejam obedecidas.


O email deve ser utilizado de forma consciente, evitando qualquer tipo de
perturbao a outras pessoas, seja atravs da linguagem utilizada, freqncia ou tamanho das
mensagens;
O envio de e-mail deve ser efetuado somente para pessoas que desejam receb- los,
se for solicitada a interrupo do envio a solicitao deve ser acatada e o envio no devera
acontecer;

proibido o envio de grande quantidade de mensagens de e-mail (spam) que, de
acordo com a capacidade tcnica da Rede, seja prejudicial ou gere reclamaes de outros
usurios. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade, comercial
ou no, anncios e informativos, ou propaganda poltica;
proibido reenviar ou de qualquer forma propagar mensagens em cadeia
independentemente da vontade do destinatrio de receber tais mensagens;
Evite mandar e-mail para mais de 10 (dez) pessoas de uma nica vez, proibido o
envio de e-mail mal- intencionado, tais como mail bombing
5
ou sobrecarregar um usurio, site
ou servidor com e- mail muito extenso ou numerosas partes de e- mail;
Caso a SOCIESC julgue necessrio haver bloqueios:
1. De e- mail com arquivos anexos que comprometa o uso de banda ou perturbe
o bom andamento dos trabalhos;
2. De e- mail para destinatrios ou domnios que comprometa o uso de banda ou
perturbe o bom andamento dos trabalhos;
proibido o forjar qualquer das informaes do cabealho do remetente;
No permitido m utilizao da linguagem em respostas aos e-mails comerciais,
como abreviaes de palavras, uso de grias;
obrigatria a manuteno da caixa de e- mail, evitando acmulo de e- mails e
arquivos inteis;
Obrigatoriedade da utilizao do protocolo IMAP para recebimento dos e- mails
provenientes do domnio sociesc.com.br;
A cota mxima de e- mails armazenados no deve ultrapassar os 250 MegaBytes;

5
Excesso de mensagens enviadas a uma caixa postal, a ponto de congestionar o trfego do provedor. Mensagem
enviada a uma caixa postal que, em conseqncia, de sua grande extenso acaba por travar o computador.

Obrigatoriedade da utilizao do Web Mail ou do programa Mozilla, Outlook
Express, Outlook 2000 ou outro software homologado pelo departamento tcnico, para ser o
cliente de email;
Para certificar-se que a mensagem foi recebida pelo destinatrio, deve-se, se
necessrio, utilizar procedimentos de controles extras para verificar a chegada da mensagem,
devem ser solicitadas notificaes de recebimento e leitura;
No execute ou abra arquivos anexados enviados por emitentes desconhecidos ou
suspeitos;
No abra arquivos anexados com as extenses .bat, .exe, .src, .lnk e .com se no
tiver certeza absoluta que solicitou este email;
Desconfie de todos email com assuntos estranhos e/ou em ingls. Alguns dos
vrus mais terrveis dos ltimos anos tinham assuntos como: ILOVEYOU, Branca de neve
porn, etc;
Evite anexos muito grandes;


No devem ser enviadas mensagens de correio eletrnico cujo contedo seja
confidencial ou restrito a SOCIESC, no podendo tornar-se pblico;
No utilize o email da SOCIESC para fins pessoais;
obrigatria a utilizao de assinatura nos e- mails, seguindo padro a ser
estabelecido pela SOCIESC.

5.2.5 Poltica de acesso a Internet

Esse tpico visa definir as normas de utilizao da Internet que engloba desde a
navegao a sites, downloads e uploads de arquivos.
A Internet uma ferramenta de trabalho e deve ser usada para este fim pelos
funcionrios e alunos da SOCIESC, no permitido o seu uso para fins recreativos durante o
horrio de trabalho ou de aula.


Somente navegao de sites permitida. Casos especficos que exijam outros tipos
de servios, como download de arquivos, devero ser solicitados diretamente equipe de
segurana com autorizao do supervisor do usurio que deseja este acesso;
proibida a divulgao de informaes confidenciais da SOCIESC em grupos de
discusso, listas ou bate-papo, no importando se a divulgao foi deliberada ou inadvertida,
sendo possvel sofrer as penalidades previstas nas polticas e procedimentos internos e/ou na
forma da lei;
Caso a SOCIESC julgue necessrio haver bloqueios de acesso :
1. arquivos que comprometa o uso de banda ou perturbe o bom andamento dos
trabalhos;
2. domnios que comprometa o uso de banda ou perturbe o bom andamento dos
trabalhos;
Obrigatoriedade da utilizao do programa Mozilla, Internet Explorer, ou outro
software homologado pelo departamento tcnico, para ser o cliente de navegao;

No ser permitido software de comunicao instantnea, no
homologados/autorizados pela equipe tcnica;
No ser permitida a utilizao de softwares de peer-to-peer (P2P), tais como
Kazaa, Morpheus e afins;
O acesso a sites com contedo pornogrfico, jogos, bate-papo, apostas, bloqueado
e as tentativas de acesso sero monitorados;
No ser permitida a utilizao de servios de streaming, tais como Rdios On-
Line, Usina do Som e afins.


Poder ser utilizada a Internet para atividades no relacionadas com os negcios
durante o horrio de almoo, ou fora do expediente, desde que dentro das regras de uso
definidas nesta poltica;
Os funcionrios com acesso Internet podem baixar somente programas ligados
diretamente s atividades da empresa e devem providenciar o que for necessrio para
regularizar a licena e o registro desses programas;
Funcionrios com acesso Internet no podem efetuar upload
6
de qualquer
software licenciado para SOCIESC ou de dados de propriedade da SOCIESC ou de seus
clientes, sem expressa autorizao do responsvel pelo software ou pelos dados;
Haver gerao de relatrios dos sites acessados por usurio, se necessrio a
publicao desse relatrio e prestao de contas do usurio dos acessos;

6
upload significa transferir um arquivo do seu computador para outro computador na Internet

5.2.6 Poltica de uso das Estaes de trabalho

Cada estao de trabalho possui cdigos internos os quais permitem que ela seja
identificada na rede. Sendo assim, tudo que for executado na estao de trabalho ser de
responsabilidade do usurio. Por isso, sempre que sair de frente da estao de trabalho tenha
certeza que efetuou o logoff ou bloqueou a estao de trabalho.


No utilize nenhum tipo de software/hardware sem autorizao da equipe tcnica;
No permitido gravar nas estaes de trabalho MP3, filmes, fotos e software com
direitos autorais ou qualquer outro tipo que possa ser considerado pirataria;
Mantenha nas estaes de trabalho somente o que for suprfluo ou pessoal. Todos
os dados relativos SOCIESC devem ser mantidos no servidor, onde existe sistema de
backup dirio e confivel;
Os arquivos gravados em diretrios temporrios das estaes de trabalho podem ser
acessados por todos os usurios que utilizarem a mesma, portanto no pode-se garantir sua
integridade e disponibilidade. Podero ser alterados ou excludo sem prvio aviso e por
qualquer usurio que acessar a estao.

5.2.7 Poltica de uso de impressoras

Esse tpico visa definir as normas de utilizao de impressoras disponveis nos
departamentos da SOCIESC, esta poltica aplicada somente a funcionrios e alunos

trabalhadores que utilizao impressoras em seus departamentos, sendo que, nos laboratrios
de ensino, que so utilizados pelos alunos, no existem impressoras instaladas.


Ao mandar imprimir, verifique na impressora se o que foi solicitado j est
impresso;
Se a impresso deu errado e o papel pode ser reaproveitado na sua prxima
tentativa, recoloque-o na bandeja de impresso. Se o papel servir para rascunho, leve para sua
mesa. Se o papel no servir para mais nada, jogue no lixo.
No permitido deixar impresses erradas na mesa das impressoras, na mesa das
pessoas prximas a ela e tampouco sobre o gaveteiro;
Se a impressora emitir alguma folha em branco, recoloque-a na bandeja;
Se voc notar que o papel de alguma das impressoras est no final, faa a gentileza
de reabastec- la. Isso evita que voc e outras pessoas tenham seus pedidos de impresso
prejudicados e evita acmulo de trabalhos na fila de impresso;
Utilize a impressora colorida somente para verso final de trabalhos e no para
testes ou rascunhos.

5.3 POLTICA DE SEGURANA FSICA

O objetivo desta poltica prevenir o acesso no autorizado, dano e interferncia s
informaes e instalaes fsicas da organizao. A segurana fsica dos equipamentos de
informtica e das informaes da empresa deve ser protegidas de possveis danos, ser

abordada a segurana fsicas dos laboratrios de informtica, das instalaes de TI, dos
equipamentos no geral e procedimentos para garantir a segurana fsica.

5.3.1 Poltica de controle de acesso

Existem reas que merecem maior ateno quanto ao controle da entrada de pessoas,
estas reas so departamentos que contm informaes ou equipamentos que devem ser
protegidos, como por exemplo: sala de servidores, departamentos como financeiro, setor de
documentao, departamento de recursos humanos, sala de coordenadores e diretores, entre
outras.
Convm que estas reas sejam protegidas por controles de entrada apropriados para
assegurar que apenas pessoas autorizadas tenham acesso liberado. Instalaes desenvolvidas
para fins especiais que abrigam equipamentos importantes exigem maior proteo que o nvel
normalmente oferecido. As instalaes da equipe de TI devem ser localizadas e construdas
buscando minimizar: acesso pblico direto, riscos ao fornecimento de energia e servios de
telecomunicaes.


Apenas pessoas autorizadas podem acessar as instalaes da equipe de TI, sendo que
os funcionrios devem usar crachs de identificao.

Departamentos que tratem com informaes confidenciais de alunos, como por
exemplo, documentao, informaes financeiras, acadmicas o acesso deve ser permitido
somente para pessoas autorizadas.
A temperatura umidade e ventilao das instalaes que abrigam equipamentos de
informtica e de comunicaes, devem estar de acordo com os padres tcnicos especificados
pelos fabricantes dos equipamentos.
Se acontecer a perda de chaves de departamentos ou laboratrios a coordenao
responsvel deve ser informada imediatamente para que possa providenciar a troca da
fechadura e de outras cpias da chave perdida.

5.3.2 Poltica de mesa limpa e tela limpa

A poltica de mesa limpa deve ser considerada para os departamentos e utilizada pelos
funcionrios da SOCIESC, de modo que papis e mdias removveis no fiquem expostas
acessos no autorizado.
A poltica de tela limpa deve considerar que se o usurio no estiver utilizando a
informao ela no deve ficar exposta, reduzindo o risco de acesso no autorizado, perda e
danos informao.

5.3.2.1 Regras Gerais.

Os papis ou mdias de computador no devem ser deixados sobre as mesas, quando
no estiverem sendo usados devem ser guardados de maneira adequada, em preferncia em
gavetas ou armrios trancados.

O ambiente dos departamentos devem ser mantidos limpo, sem caixa ou qualquer
outro material sobre o cho de modo que possa facilitar o acesso de pessoas que estiverem no
departamento.
Sempre que no estiver utilizando o computador no deixar nenhum arquivo aberto, de
modo que as informaes possam ser visualizadas por outras pessoas que estiverem no
departamento.
Agendas, livros ou qualquer material que possam ter informaes sobre a empresa ou
informaes particulares devem sempre ser guardadas em locais fechados, evitando o acesso.
Chaves de gavetas, armrios, de portas de acesso departamento, de laboratrios de
informtica devem ser guardadas em lugar adequado, no devem ser deixadas sobre a mesa ou
guardadas com o professor/funcionrio.

5.3.3 Poltica de utilizao de laboratrios de informtica e salas de projeo

Para utilizao de laboratrios e equipamentos de informtica algumas regras devem
ser cumpridas para que possa ser feito uso correto das instalaes evitando qualquer tipo de
dano a equipamentos em laboratrios que possam prejudicar a utilizao dos mesmos.


O acesso a laboratrios de informtica deve ser controlado, somente sendo permito o
uso dos mesmos com um funcionrio responsvel.

de responsabilidade do professor/funcionrio que utilizou o laboratrio zelar pela
ordem das instalaes, sendo necessria qualquer tipo de manuteno a equipe tcnica deve
ser informada.
No momento em que entrar no laboratrio o funcionrio responsvel deve verificar se
todos os computadores esto funcionando corretamente, aps a utilizao esta verificao
deve ser repetida, qualquer problema a equipe tcnica deve ser informada , para que a soluo
possa ser providenciada o mais rpido possvel.
Os equipamentos devem ser trancados e em segurana quando deixados sem
superviso, no sendo permitida a utilizao de laboratrios sem superviso.
Nenhum equipamento pode ser conectado aos sistemas ou rede sem aprovao prvia
e, se necessrio, sob superviso.
Alimentos, bebidas, fumo e o uso de telefones mveis e celulares so proibidos nos
laboratrios.
As chaves de acesso aos laboratrios devem ficas guardadas em locais que o acesso
seja controlado, que no seja permitida a entrada de pessoas no autorizadas, evitando que
possam ter acesso as chaves.
Se a utilizao do laboratrio no estiver prevista no horrio do laboratrio esta
utilizao devera ser feita somente mediante a reserva do laboratrio, garantindo assim que
exista um registro de utilizao dos laboratrios.

5.4 TERMO DE COMPROMISSO

O termo de compromisso utilizado para que os funcionrios, alunos, alunos
colaboradores e estagirios se comprometam formalmente em seguir a poltica de
segurana, tomando cincia das punies impostas ao seu no cumprimento.

No termo de compromisso podem ser reforados os principais pontos da poltica de
segurana, deve ser assinado por todos os funcionrios e estagirios, e deve ser
renovado sempre que necessrio. O anexo VI um modelo de termo de compromisso.
5.5 VERIFICAO DA UTILIZAO DA POLTICA

Para garantir as regras mencionadas acima a SOCIESC se reserva no direito de:
Implantar softwares e sistemas que podem monitorar e gravar todos os usos de
Internet atravs da rede e das estaes de trabalho da empresa;
Inspecionar qualquer arquivo armazenado na rede, estejam no disco local da
estao ou nas reas privadas da rede, visando assegurar o rgido cumprimento desta poltica;
Foram instalados uma srie de softwares e hardwares para proteger a rede interna
e garantir a integridade dos dados e programas, incluindo um firewall, que a primeira, mas
no a nica barreira entre a rede interna e a Internet;

5.6 VIOLAO DA POLTICA, ADVERTNCIA E PUNIES

Ao detectar uma violao da poltica, a primeira coisa a fazer determinar a sua razo,
ou seja, a violao pode ter ocorrido por negligncia, acidente ou erro; por desconhecimento
da poltica ou por ao previamente determinada, ignorando a poltica estabelecida. Um
processo de investigao deve determinar as circunstncias da violao, como e porque ela
ocorreu.
Nos termos da Poltica, a SOCIESC proceder ao bloqueio do acesso ou o
cancelamento do usurio caso seja detectado uso em desconformidade com que foi
estabelecido ou de forma prejudicial Rede.

recomendado o treinamento dos usurios em segurana da informao, como forma
de conscientizao e divulgao da poltica de segurana a ser seguida por todos. O programa
de treinamento em segurana deve fazer parte do programa de integrao de novos
funcionrios e do programa de integrao de novos alunos (ao incio de cada ano letivo),
devendo ser feitos treinamentos de reciclagem para os funcionrios mais antigos.


Caso seja necessrio advertir o funcionrio, ser informado o departamento de
Recursos Humanos para interagir e manter-se informado da situao.
O no cumprimento, pelo funcionrio, das normas estabelecidas neste documento seja
isolada ou acumulativamente, poder causar, de acordo com a infrao cometida, as seguintes
punies: Comunicao de descumprimento, Advertncia ou suspenso, Demisso por justa
causa.
Comunicao de descumprimento: Ser encaminhado ao funcionrio, por e- mail,
comunicado informando o descumprimento da norma, com a indicao precisa da violao
praticada. Cpia desse comunicado permanecer arquivada junto ao Departamento de
Recursos Humanos na respectiva pasta do funcionrio.
Advertncia ou suspenso: A pena de advertncia ou suspenso ser aplicada, por
escrito, somente nos casos de natureza grave ou na hiptese de reincidncia na prtica de
infraes de menor gravidade.
Demisso por justa causa: Nas hipteses previstas no artigo 482 da Consolidao das
Leis do Trabalho, conforme anexo VII.
Fica desde j estabelecido que no h progressividade como requisito para a
configurao da dispensa por justa causa, podendo a Diretoria, no uso do poder diretivo e

disciplinar que lhe atribudo, aplicar a pena que entender devida quando tipificada a falta
grave.
5.6.1.2 Regras para alunos

Caso seja necessrio advertir o aluno, ser informado o departamento de Assessoria de
Ensino para interagir e manter-se informado da situao.
O no cumprimento pelo aluno das normas estabelecidas neste documento seja isolada
ou acumulativamente, poder causar, de acordo com a infrao cometida, as seguintes
punies:
Comunicao de descumprimento: Ser encaminhado ao aluno, atravs da Assessoria
de Ensino, comunicado informando o descumprimento da norma, com a indicao precisa da
violao praticada. Cpia desse comunicado permanecer arquivada junto ao Departamento
de Assessoria de Ensino na respectiva pasta do aluno.
Advertncia ou suspenso: A pena de advertncia ou suspenso ser aplicada, por
escrito, somente nos casos de natureza grave ou na hiptese de reincidncia na prtica de
infraes de menor gravidade. Antes da aplicao desta punio ser realizado o conselho de
disciplina, conforme regimento escolar que detalha os direitos e deveres dos alunos e as
definies dos conselhos de disciplina.
Expulso: A deciso de expulsar um aluno tomada durante conselho de disciplina.
No Guia Acadmico (anexo VIII), existe um captulo que trata sobre o Regime
Disciplinar ou Conselho de Disciplina, no qual existem regras definidas sobre os participantes
do conselho, sua finalidade e as aes corretivas que podem ser tomadas.


Durante este captulo foi desenvolvido um modelo de poltica de segurana voltada para
instituies de ensino, utilizando a estrutura de informtica da SOCIESC para criao da
mesma, visando sempre a criao de regras gerais dentro de cada poltica, sendo que quando
existir regras especificas para alunos, funcionrios ou alunos colaboradores estas foram
detalhadas dentro da respectiva poltica.
O modelo apresentado procurou ser abrangente o suficiente para que todos os usurios
da rede de computadores tenham regras a serem seguidas, de modo que estas regras possam
ser do entendimento de todos.
86
6 CONCLUSO

Este estudo abordou a segurana da informao, seus objetivos, as dificuldades de
compreender sua importncia, os princpios de segurana, as medidas de segurana, dentre
elas a poltica de segurana que objetivo deste estudo. Desta forma, foi realizada a criao
de um modelo de poltica de segurana.
A dependncia progressiva das organizaes com relao aos sistemas de informaes
computadorizados as torna cada vez mais vulnerveis a ameaas. Na sociedade da
informao, ao mesmo tempo que as informaes so consideradas um dos principais ativos
de uma organizao, elas esto, tambm sobre constante riscos. Com isso a segurana da
informao tornou-se um ponto extremamente importante para a sobrevivncia das
organizaes.
Dentre as medidas de segurana implantadas pelas organizaes, para garantir a
segurana da informao, est a poltica de segurana que tem por objetivo definir normas,
procedimentos, ferramentas e responsabilidades que devem ser seguidas pelos usurios das
organizaes, de modo a garantir a segurana da informao.
A poltica de segurana a base para todas as questes relacionadas proteo da
informao, desempenhando um papel importante nas organizaes.
Para o desenvolvimento do modelo de poltica de segurana foi utilizada a norma
NRB ISO 17799, que a traduo da norma BS 7799 homologada em setembro de 2001 pela
ABNT. Esta norma trata da Gesto de segurana da informao cobre os mais diversos
tpicos da rea de segurana, possuindo um grande nmero de controles e requerimentos que
devem ser atendidos para garantir a segurana das informaes de uma empresa.
importante a definio, para usurios da rede de computadores da SOCIESC, de
regras que devem ser seguidas para a utilizao de maneira adequada dos recursos de
87

informtica, assim como para a garantia da segurana fsica. O modelo de poltica de
segurana desenvolvido visa a descrio destas regras de modo acessvel ao entendimento dos
usurios.
A poltica de segurana pode ser definida em trs nveis: estratgico, ttico e
operacional, sendo que no nvel estratgico define-se diretrizes mais genricas de modo que
os executivos possam entender o que esta sendo definido, no nvel ttico deve-se falar em
normas, padronizaes fazendo que todos os pontos da empresa tenham o mesmo nvel de
segurana, no nvel operacional so definidos procedimentos e intruses, de modo que se a
configurao esta no papel no h como ser realizada de forma diferente, independente de
quem estiver realizando. O modelo desenvolvido se aplica ao nvel ttico, pois foram
definidas regras, com o objetivo que todos sigam um padro de utilizao dos recursos,
garantindo a segurana das informaes.
Este estudo procurou abranger a segurana da informao, tendo seu objetivo voltado
para poltica de segurana da informao, sendo desenvolvido um modelo de poltica de
segurana, fica a certeza que este trabalho trouxe contribuies importantes, como:
- Identificao cenrio atual da segurana da informao e das medidas de segurana
utilizadas pelas empresas;
- Estudo da utilizao e da importncia da poltica da segurana como uma importante
medida de segurana utilizada pelas empresas;
- Desenvolver um estudo sobre os modelos de polticas de segurana utilizadas em
Instituies de Ensino;
- Desenvolvimento de um modelo de poltica de segurana.
Para trabalhos futuros a poltica de segurana fica como sugesto a abrangncia de
alguns itens como:
88

- A segurana na troca de informaes entre as filiais, atualmente esta comunicao
entre as filiais feita atravs de um link frame relay com a Brasil Telecom, porm no existe
nenhum controle quando as prioridades de acesso as informaes ou regras quanto as esses
acessos;
- A segurana fsica dos laboratrios de informtica sendo monitorada atravs da
implantao de aes importantes como: criao de um local nico para armazenamentos das
chaves de acesso aos laboratrios, com um funcionrio responsvel pela entrega e
recebimento destas chaves e por reservas de laboratrios que forem necessrias, de modo a
evitar vrias cpias destas chaves em departamentos de ensino e ter um controle da utilizao
do laboratrio.
Para a implementao da poltica a sugesto que sejam criados vrios documentos
referentes a cada poltica, e estes documentos sejam disponibilizados ao acesso de todos os
funcionrios, alm disto sejam divulgados para os alunos e demais envolvidos.
Durante a implementao da poltica de segurana toda a organizao deve ser
envolvida. Se necessrio devem ser feitos treinamentos conscientizando a importncia da
segurana da informao e do envolvimento de cada um na utilizao e divulgao da poltica
de segurana.
89

7 REFERNCIAS

CHOLEWA, Rmulo Moacyr. Segurana em Redes Conceitos Bsicos. Disponvel em:
http://www.rmc.eti.br/documentos/tutoriais/tutorial_seguranca.pdf . Acesso em: 20 ago 2004.

MARTINI, Renato. Curso de Segurana em Redes Linux. Disponvel em:
http://www.lemon.com.br/canais/tutoriais/ . Acesso em: 20 ago 2004.

SCUA. Conceitos de Segurana da Informao. Disponvel em: http://www.scua.com.br
Acesso em: 21 ago 2004.

SCUA. Poltica de Segurana - Principais Etapas de Elaborao. Disponvel em:
http://www.scua.com.br/seguranca/conceitos/politica_etapas.htm . Acesso em: 21 ago 2004.

RIBEIRO, Mrio Srgio. A Norma Brasileira para a Gesto da Segurana da Informao
(ISO/IEC 17799). Disponvel em: http://www.scua.com.br . Acesso em 21 ago 2004.

Criando Senhas Seguras. Disponvel em: http://www.infowester.com/tutsenhas.php . Acesso
em 30 ago 2004.

Gesto de Segurana da Informao. Disponvel em:
http://www.dnv.com.br/certificacao/sistemasdegestao/segurancadainformacao/index.asp.
Acessado em 31 ago 2004.

NERY, Fernando. Por que proteger as informaes ? Disponvel em: www.modulo.com.br.
Acesso em 31 ago 2004. Mdulo Security, 2004.

Principais aspectos na Segurana de Redes de Computadores. Disponvel em
http://webserver.reder.unb.br/security/introducao/aspectos.htm . Acessado em 08 set 2004

OLIVEIRA, Salomo de. Segurana da Informao Quando decidir investir ? Disponvel
em: www.modulo.com.br. Acesso em 10 set 2004.

ABREU, Dimitri. Melhores prticas para classificar as informaes. Disponvel em:
www.modulo.com.br. Acessado em 10 set 2004.

Poltica de Administrao de contas. Disponvel em: www.cesup.ufrgs.br/cesup/politicas.
Acessado em: 12 set 2004

RFC 2196 : Site Security Handbook. Disponvel em: http://www.rfc-editor.org/. Acessado
em: 20 set 2004.

Poltica de segurana e utilizao dos recursos de rede e computacionais dos laboratrios LCI
e LEA. Disponvel em http://www.inf.furb.br/info/Politica_Seguranca.pdf. Acessado em 10
out 2004
90

NBR ISO/IEC 17799 : Tecnologia da informao Cdigo de prtica para a gesto de
segurana da informao. ABNT, 2001

OLIVEIRA, Wilson Jos de. Segurana da Informao. Florianpolis : Visual Books, Maio,
2001.

WADLOW, Tomas A. Segurana de Redes : Projeto e gerenciamento de redes seguras.
Rio de Janeiro : Campus, 2000. Traduo: Fbio Freitas da Silva

NAKAMURA, Emilio Tissato. GEUS, Paulo Lcio de. Segurana de Redes em ambientes
coorporativos. So Paulo : Editora Futura, 2003

FERREIRA, Fernando Nicolau Freitas. Segurana da Informao. Rio de Janeiro : Cincia
Moderna, 2003

MOREIRA, Nilton Stringasci. Segurana Mnima. Rio de Janeiro : Axcel Books, 2001
91

8 ANEXOS

ANEXO I ORGANOGRAMA SOCIESC
ANEXO II SERVIDORES DA SOCIESC UNIDADE JOINVILLE
ANEXO III QUESTIONARIO SOBRE ESTRUTURA DE INFORMATICA DA SOCIESC
ANEXO IV DIRETRIZES PARA USO DE NOTEBOOK PARTICULAR
ANEXO V TERMO DE RESPONSABILIDADE PARA UTILIZAO DE NOTEBOOK
PARTICULAR
ANEXO VI MODELO TERMO DE COMPROMISSO
ANEXO VII ARTIGO 482 DA CLT
ANEXO VIII REGIMENTO ESCOLAR ALUNOS COT, ETT E IST.
92
Anexo I ORGANOGRAMA SOCIESC

93
Anexo II Servidores da SOCIEC Unidade
Joinville
94

Anexo III Questionrio sobre estrutura de informtica da SOCIESC
- Questes sobre a SOCIESC unidade de Joinville

1) Qual a estrutura organizacional da equipe de informtica da SOCIESC?

1 coordenador de informatica
1 administrador de rede (lder de equipe)
2 analistas de suporte
2 analistas de sistemas (sendo um lder de equipe)
4 auxiliares de informtica
2 estagiarios

2) Qual o nmero de servidores da SOCIESC?

18 em Joinville

3) Quem so os usurios dos recursos de informtica? (acadmicos, departamentos
administrativos/professores)

Alunos, professores e funcionrios a fim.

4) Como dividida a estrutura de informtica (nmero de computadores, domnios) entre
laboratrios de ensino e departamentos?
So dois domnios, ensino e sociesc. O primeiro atendendo a rede ensino e o segundo a
rede corporativa.
Rede administrativa aproximadamente 280 computadores
Rede ensino aproximadamente 550 computadores

5) Qual o nmero de computadores (estaes de trabalho) da rede?

Dividida entre laboratrios de ensino e departamentos.
Rede administrativa aproximadamente 280 computadores
Rede ensino aproximadamente 550 computadores

6) utilizado algum ERP? Qual?

Sim. Logix

7) utilizado algum sistema acadmico? Qual?

Sim. WAE

8) Qual o Banco de dados utilizado?

Oracle
95

9) Como feita a troca de informaes entre as unidades?

Atravs de um link Frame-relay da Brasil telecom

10) Existe alguma poltica de segurana sendo utilizada?

No existe nenhuma poltica definida

11) O que seria necessrio abranger uma poltica de segurana para a realidade da SOCIESC ?

Seria interessante que uma Poltica de Segurana pudesse abranger uma poltica para
senhas, poltica para uso dos laboratrios, de backup, de acesso. Como existem usurio
diferenciados (alunos, funcionrios e alunos colaboradores) importante que as polticas
possam abranger a todos os usurios.

- Outras unidades

11) Existe uma equipe de informtica para cada unidade? Como feita a manuteno dos
computadores, servidores?

Em So bento do Sul e Ctba existe uma pessoa em cada para dar suporte a duvidas de
usurios e realizar pequenas manutenes nos computadores.
A manuteno nos servidores realizada remotamente via link de interligao e nos casos
mais graves uma equipe deslocada para solucionar o problema.

12) Qual a estrutura de informtica das outras unidades (servidores, estaes de trabalho,
laboratrios de ensino)?

servidores
3 em So bento do Sul
2 em CTBA
6 em Florianopolis
2 em Apucarana

estaes

120 computadores aproximadamente em SBS
50 computadores aproximadamente em CTBA
220 computadores aproximadamente em Floripa
20 computadores aproximadamente em Apucarana

96
Anexo IV Diretrizes para uso de Notebook particular

DIRETRIZES PARA USO DE NOTEBOOKS E PALM-TOPS PESSOAIS NA SOCIESC

DC 9008
Rev. 01
15/06/04

Notebooks e palm-tops - Fica autorizado o uso de notebooks e palm-tops pessoais, na rede computadores da SOCIESC.
- A Sociesc tem o direito de periodicamente auditorar os notebooks utilizados na instituio, visando proteger suas
informaes bem como garantir que aplicativos ilegais no estejam sendo executados na instituio.
- Casos de desrespeito s diretrizes deste DC sero encaminhadas diretoria da SOCIESC para deliberao.

de responsabilidade do
proprietrio
- A instalao do Sistema Operacional a ser utlizado no mesmo, bem como dos aplicativos a serem utilizados no notebook,
salvo excees de aplicativos especficos autorizados pela direo da unidade atravs da RQ 9029.
- Manter sempre o aplicativo de antivrus atualizado em seu notebook. Caso no tenha nenhum aplicativo de antivrus
instalado em seu notebook, o uso do mesmo fica proibido na instituio.
- Usar somente aplicativos legalizados em seu notebook, de preferncia que tenha sempre em mos a nota fiscal e/ou licena
de uso do aplicativo ou uma cpia autenticada do mesmo.

Acesso a rede - A SOCIESC atualmente no considera o uso de notebooks e palm tops pessoais, como uma ameaa de risco segurana da
informao adotada na instituio. Portanto, deixa livre a possibilidade do uso de notebooks e palm tops pessoais no
ambiente de rede da instituio.
- Caso seja necessrio conectar o notebook na rede da instituio, necessrio que o proprietrio faa uma solicitao de
servios de infraestrutura, conforme PQ 9005 para que seja realizada uma verificao das configuraes de rede e do
aplicativo de anti-vrus instalado.
- responsabilidade do setor de Informtica as configuraes relativas aos dispositivos de rede e configuraes de domnio
no ambiente de rede da SOCIESC, que precisam ser realizadas para o funcionamento em rede dos notebooks.

Restries - No podem ser executados nos notebooks, aplicativos de caracterstica maliciosa, que visam comprometer ao
funcionamento da rede, bem como a captura de informaes confidenciais, como por exemplo: senhas de usurios.
- Fica proibida a apropriao de arquivos que no seja de uso pessoal do proprietrio do notebook. Todos os arquivos que
sejam da instituio, no podem ser carregados nos notebooks, sem autorizao da diretoria responsvel pelos dados.

97
Anexo V Termo de Responsabilidade para utilizao de Notebook
particular

1. Do Objeto: O presente termo objetiva a cesso
____________________________________ de utilizao de notebooks na rede
SOCIESC, em todos as suas unidades (campi).

2. Do Prazo: O presente instrumento vigorar imediatamente a partir da assinatura deste.

3. USURIO ficar responsvel por:
- Toda e qualquer manuteno/despesa que for necessria para o funcionamento do
equipamento.
- Possuir um aplicativo Antivrus devidamente registrado e atualizado.
- Instalar apenas aplicativos com licena de livre distribuio, ou que o mesmo tenha
adquirido a sua licena.
- No copiar, reproduzir ou distribuir documentos, arquivos ou programas que forem de
direito da Sociedade Educacional de Santa Catarina.
- Todo e qualquer prejuzos que, por sua culpa, na utilizao do equipamento, vier causar
terceiros, durante o tempo de vigncia deste TERMO.
- Respeitar as diretrizes descritas no DC 9008.

E assim, por estarem justos e contratados assinam o presente instrumento em 02 (duas) vias
de igual forma e teor, na presena das testemunhas abaixo, para que surta seus jurdicos e
legais efeitos.
Joinville(SC), ___ de __________ de 20___.

_____________________________ _____________________________
Informtica Nome do Usurio
TERMO DE RESPONSABILIDADES PARA NOTEBOOKS
DE PARTICULAR
98

Anexo VI Modelo Termo de Compromisso

TERMO DE COMPROMISSO
Identificao do Empregado/Aluno
NOME:
MATRCULA:

Comprometo-me a:
1. Executar minhas tarefas de forma a cumprir com as orientaes da Poltica de
Segurana e com as Normas e Padres vigentes.
2. Utilizar adequadamente os equipamentos da Instituio, evitando acessos indevidos
aos ambientes computacionais aos quais estarei habilitado, que possam comprometer a
segurana das informaes.
3. No revelar fora do mbito profissional, fato ou informaes de qualquer natureza que
tenha conhecimento devido a minhas atribuies, salvo em decorrncia de deciso
competente do superior hierrquico.
4. Acessar as informaes somente por necessidade de servio e por determinao
expressa do superior hierrquico.
5. Manter cautela quando a exibio de informaes sigilosas e confidenciais, em tela,
impressoras ou outros meios eletrnicos.
6. No me ausentar do local de trabalho sem encerrar a sesso de uso do computador ou
sistema, evitando assim o acesso por pessoas no autorizadas.
7. Observar rigorosamente os procedimentos de segurana estabelecidos quanto
confidencialidade de minha senha, atravs dos quais posso efetuar operaes a mim
designadas nos recursos computacionais que acesso, procedendo a:
99

a. Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e
intransfervel;
b. No divulgar a minha senha a outras pessoas;
c. Nunca escrever a minha senha, sempre memoriz- la;
d. De maneira alguma ou sobre qualquer pretexto, procurar descobrir as senhas
de outras pessoas;
e. Somente utilizar o meu acesso para os fins designados e para os quais estiver
devidamente autorizado, em razo de minhas funes;
f. Responder em todas as instncias, pelas conseqncias das aes ou omisses
de minha parte que possam por em risco ou comprometer a exclusividade de
conhecimento da minha senha ou das transaes a que tenho acesso;
g. Reportar imediatamente ao superior imediato ou ao Administrador de
Segurana em caso de violao, acidental ou no, da minha senha, e
providenciar a sua substituio.
h. Solicitar o cancelamento de minha senha quando no for mais de minha
utilizao.
Declaro estar ciente das determinaes acima, compreendendo que quaisquer
descumprimentos dessas regras podem implicar na aplicao das sanses disciplinares
cabveis.

Joinville, ______ de _____________________________ de ____________.

Assinatura do Empregado/Aluno

100

Anexo VII Artigo 482 da CLT

Art. 482. Constituem justa causa para resciso do contrato de trabalho pelo empregador:

a) ato de improbidade;
b) incontinncia de conduta ou mau procedimento;
c) negociao habitual por conta prpria ou alheia sem permisso do empregador, e quando
constituir ato de concorrncia empresa para a qual trabalha o empregado, ou for prejudicial
ao servio;
d) condenao criminal do empregado, passada em julgado, caso no tenha havido suspenso
da execuo da pena;
e) desdia no desempenho das respectivas funes;
f) embriaguez habitual ou em servio;
g) violao de segredo da empresa;
h) ato de indisciplina ou de insubordinao;
i) abandono de emprego;
j) ato lesivo da honra ou da boa fama praticado no servio contra qualquer pessoa, ou ofensas
fsicas, nas mesmas condies, salvo em caso de legtima-defesa, prpria ou de outrem;
k) ato lesivo da honra ou da boa fama ou ofensas fsicas praticadas contra o empregador e
superiores hierrquicos, salvo em caso de legtima-defesa, prpria ou de outrem;
l) prtica constante de jogos de azar.

Pargrafo nico. Constitui igualmente justa causa para dispensa de empregado, a prtica,
devidamente comprovada em inqurito administrativo, de atos atentatrios segurana
nacional.
101

Anexo VIII Regimento Escolar

No guia acadmico todos os itens referente a conduta do aluno, seus direitos, deveres,
entre outros. Define-se, tambm, sobre o conselho de disciplina ou regime disciplinar, segue o
modelo apresentado para os alunos do IST. Para alunos da ETT e COT, tambm existe o guia
acadmico.
TTULO IX - DO REGIME DISCIPLINAR
Art. 120 O Conselho de Disciplina ser formado por:
I- Coordenao de Ensino;
II- Coordenador do Curso;
III- dois representantes do Corpo Docente; e
IV- um representante do Corpo Discente.
Art. 121 O Conselho de Disciplina tem por finalidade:
I- analisar casos de alunos, cujas transgresses infrinjam as normas regimentais; e
II- avaliar e aplicar corretivos disciplinares a alunos.
Art. 122 Caber recurso das decises do Conselho de Disciplina ao Conselho
Deliberativo. As deliberaes dessas primeira e segunda instncia sero comunicadas
Secretaria e aos envolvidos.
Art. 123 Entende-se por Corretivo:
I- advertncia oral ou escrita;
II- privao de atividades acadmicas por tempo determinado;
III- realizao de tarefas especficas isoladamente, ou em combinao com itens I ou II; e
102

IV- trancamento de matrcula, com entrega da transferncia.
Art. 124 O infrator ter direito defesa mediante exposio oral ou escrita, quando ter a
oportunidade de esclarecer e justificar o seu envolvimento.
Art. 125 Outros casos disciplinares discentes no previstos neste ttulo sero tambm
analisados e avaliados pelo Conselho de Disciplina.
Pargrafo nico. Detalhamentos do funcionamento do Conselho de Disciplina sero
determinados pelo Conselho Deliberativo.
Art. 126 Aos funcionrios e ao Corpo Docente sero aplicadas as seguintes penalidades,
respeitadas as disposies legais:
I- advertncia;
II- suspenso; e
III- demisso.
Art. 127 de competncia da Diretoria a aplicao das sanes previstas no artigo
anterior.
Art. 128 So vedadas as sanes e penalidades que atentarem contra a dignidade da pessoa
ou contra a sade fsica e mental.
Art. 129 O regime disciplinar ser decorrente das disposies legais aplicveis a cada
caso.

Politica de Segurança - Faculdade

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Politica de Segurança - Faculdade

Enviado por

Direitos autorais:

Formatos disponíveis

FRANCINI REITZ SPANCESKI

POLTICA DE SEGURANA DA INFORMAO

Você também pode gostar