Escolar Documentos
Profissional Documentos
Cultura Documentos
JOINVILLE
DEZEMBRO / 2004
FRANCINI REITZ SPANCESKI
JOINVILLE
2004
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO –
DESENVOLVIMENTO DE UM MODELO VOLTADO PARA
INSTITUIÇÕES DE ENSINO
Este trabalho de diplomação foi julgado adequado para obtenção do Título de Bacharel em
Sistemas de Informação, e aprovado em sua forma final pelo departamento de Informática do
Instituto Superior Tupy.
__________________________________________________________
Marcos Aurélio Pchek Laureano, Mestre em Informática Aplicada.
Orientador
__________________________________________________________
Marco André Lopes Mendes, Mestre em Ciência da Computação.
Coordenador do Curso
Banca Examinadora:
__________________________________________________
Amir Tauille, Mestre em Ciência da Computação.
______________________________________________________________
Fernando Cézar de Oliveira Lopes, Mestre em Ciência da Computação.
Dedico este trabalho à memória de José
Agradeço aos meus pais pelo apoio e incentivo no início do curso, ao meu marido pela
paciência e compreensão em todos os momentos durante estes quatro anos, ao meu filho pelo
Glaci pela orientação quanto a metodologia, e a todos aqueles que direta ou indiretamente
The present work approaches a study on Security Policies of the information that is one of the
main measures of security of the information. Currently there are some practical better
methodologies and in security of the information , amongst them are NBR ISO 17799 that he
is BS 7799 translation, this norm was used during this study and, for way of it, it will be
possible to verify what we must follow for the elaboration of one politics of security of the
information, the main difficulties for creation and implementation, the principles of security
of the information, the necessity of envolvement of all the organization, being been that it is
intended to elaborate a proposal model of Security Policies of the information come back
toward Institutions of Education. The objective of this work is to present some basic lines of
direction of one Security Policies for a company, being used as base the concepts acquired for
the study in the bibliographical revision.
1 INTRODUÇÃO ..........................................................................................................................................................12
2 SEGURANÇA DA INFORMAÇÃO .....................................................................................................................14
2.1 CLASSIFICAÇÃO DA INFORMAÇÃO ....................................................................................................................17
2.1.1 Secreta............................................................................................................................................................17
2.1.2 Confidencial..................................................................................................................................................18
2.1.3 Interna............................................................................................................................................................18
2.1.4 Públicas..........................................................................................................................................................18
2.2 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO................................................................................................18
2.2.1 Autenticidade.................................................................................................................................................19
2.2.2 Confidencialidade........................................................................................................................................19
2.2.3 Integridade.....................................................................................................................................................20
2.2.4 Disponibilidade.............................................................................................................................................21
2.3 VULNERABILIDADES ...........................................................................................................................................22
2.4 IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO ...........................................................................................26
2.5 CONCLUSÃO DO CAPÍTULO .................................................................................................................................31
3 POLÍTICA DE SEGURANÇA...............................................................................................................................33
3.1 PLANEJAMETO......................................................................................................................................................34
3.2 DEFINIÇÃO ............................................................................................................................................................39
3.3 IMPLEMENTAÇÃO.................................................................................................................................................41
3.4 TIPOS DE POLÍTICAS............................................................................................................................................43
3.4.1 Regulatória....................................................................................................................................................43
3.4.2 Consultiva......................................................................................................................................................44
3.4.3 Informativa ....................................................................................................................................................45
3.5 CONCLUSÃO DO CAPÍTULO .................................................................................................................................45
4 HISTÓRICO DA SOCIESC...................................................................................................................................46
4.1 VISÃO, M ISSÃO E VALORES DA SOCIESC......................................................................................................48
4.2 HISTÓRIA DA EQUIPE DE TI NA SOCIESC.......................................................................................................49
4.3 EQUIPE DE TI DA SOCIESC...............................................................................................................................52
4.4 DEFINIÇAO DA ESTRUTURA DE INFORMÁTICA......................................................................................53
4.5 CONCLUSÃO DO CAPÍTULO .................................................................................................................................55
6 CONCLUSÃO .............................................................................................................................................................86
7 REFERÊNCIAS .........................................................................................................................................................89
8 ANEXOS .......................................................................................................................................................................91
1 INTRODUÇÃO
Nos tempos atuais a informação tornou-se o ativo mais valioso das grandes empresas,
ao mesmo tempo, que passou a exigir uma proteção adequada. De forma assustadoramente
apresentam-se diante de uma série de ameaças, sendo que, algumas vezes, estas ameaças
uma série de controles, que podem ser políticas, práticas e procedimentos, os quais precisam
sejam atendidos.
terem passado por algum tipo de incidente de segurança, que lhes tenha causado algum
prejuízo.
normatizar as práticas e procedimentos de segurança da empresa. Isso significa que dever ser
geral, e a política, em particular, devem ser definidos para garantir um nível de segurança
O presente trabalho tem como objetivo fazer um estudo aprofundado sobre segurança
da informação, detalhando este estudo sobre uma das medidas de segurança que é política de
segurança da informação, bem como o desenvolvimento de uma proposta modelo de política
informática, sua equipe de TI. Na quinta parte mostra o modelo de política de segurança
trabalhos futuros.
independente do usuário, possa ser seguido um padrão de utilização dos diversos recursos que
2 SEGURANÇA DA INFORMAÇÃO
A informação é um ativo que, como qualquer ativo importante para os negócios, tem
muitas empresas a informação é o maior patrimônio e protegê- la não é uma atividade simples,
sendo que pode abranger várias situações, como: erro, displicência, ignorância do valor da
datas de nascimentos, históricos acadêmico, etc. A informação é um dado que tenha sentido,
apresenta ela deve ser protegida de maneira adequada. A segurança deve ser considerada um
dos assuntos mais importantes dentre as preocupações das organizações. Deve-se entender
que segurança da informação não é uma tecnologia. Não é possível comprar um dispositivo
que torne a rede segura ou um software capaz de tornar seu computador seguro. Segurança da
A segurança é a direção em que se pretende chegar, mas a empresa deve saber que
1
Norma Brasileira homologada em setembro de 2001 pela ABNT para Gestão da Segurança da Informação
nunca chegará de fato ao destino. O que é possível fazer é administrar um nível aceitável de
tríade grega:
segurança da informação, este deve ser avaliado prestando atenção em tudo que
problema.
• Sintetize uma solução para o problema a partir de sua análise: sabendo tudo o que
anteriormente.
novamente.
uma solução e avaliar a solução, é um procedimento que pode ser aplicado para qualquer
processo.
Avaliação
Análise Síntese
uso e o façam conscientes dos benefícios para a organização, uma ferramenta ou política que
Segundo da descrição do item 5.2 da NBR ISO 17799, que trata da classificação da
informação:
A classificação mais comum nos dia de hoje, é aquela que divide em quatro níveis:
2.1.1 Secreta
Estas informações devem ser acessadas por um número restrito de pessoas e o controle
sobre o uso destas informações deve ser total, são informações essenciais para a empresa,
portanto, sua integridade deve ser preservada. O acesso interno ou externo por pessoas não
sistemas e informações é feito de acordo com a sua estrita necessidade, ou seja, os usuários só
podem acessá-las se estes forem fundamentais para o desempenho satisfatório de suas funções
na instituição. O acesso não autorizado à estas informações podem causar danos financeiros
2.1.3 Interna
Essas informações não devem sair do âmbito da instituição. Porém, se isto ocorrer as
2.1.4 Públicas
Informações que podem ser divulgadas para o público em geral, incluindo clientes,
O usuário espera que suas informações estejam disponíveis no momento e local que
determinar, que sejam confiáveis, corretas e mantidas fora do alcance de pessoas não
autorizadas. Essas expectativas do usuário podem ser traduzidas como objetivos ou princípios
da segurança.
2.2.1 Autenticidade
2.2.2 Confidencialidade
externamente. Consiste em proteger a informação contra leitura e/ou cópia por alguém que
não tenha sido explicitamente autorizado pelo proprietário daquela informação. A informação
deve ser protegida qualquer que seja a mídia que a contenha, como por exemplo, mídia
impressa ou mídia digital. Deve-se cuidar não apenas da proteção da informação como um
todo, mas também de partes da informação que podem ser utilizadas para interferir sobre o
todo. No caso das redes de computadores, isto significa que os dados, enquanto em trânsito,
não serão vistos, alterados, ou extraídos da rede por pessoas não autorizadas ou capturados
governo, militar).
2.2.3 Integridade
é mais amplo, englobando dados, programas, documentação, registros, fitas magnéticas, etc.
O conceito de integridade está relacionado com o fato de assegurar que os dados não foram
operacional pode ser violada, então a confidencialidade de seus arquivos pode ser igualmente
Ter as informações acessíveis e prontas para uso representa um objetivo crítico para
muitas empresas.
Disponibilidade consiste na proteção dos serviços prestados pelo sistema de forma que
em perdas tão graves quanto as causadas pela remoção das informações daquele sistema.
Atacar a disponibilidade significa realizar ações que visem a negação do acesso a um serviço
servidores de dados.
sendo disponibilizadas. Isso significa que toda a informação deve chegar aos usuários de
forma íntegra e confiável. Para que isto possa acontecer, todos os elementos da rede por onde
a informação passa até chegar os destino devem estar disponíveis e devem também preservar
informação deve garantir que no momento em que a informação for acessada novamente ela
esteja sem qualquer alteração, que não tenha sido feita pelo próprio dono da informação, que
acontecer um ataque, ou seja, o ponto onde uma fraqueza ou deficiência de segurança poderá
empresa, se existir estas medidas, porém configuradas de maneira incorreta, então a empresa
implementados.
O surgimento das vulnerabilidades pode ter diversas causas, podendo ser entendido
como uma relação N para N, ou seja, cada empresa, cada ambiente pode possuir diversas
p25)
segurança, sendo que estes afetam o negócio da empresa causando impactos negativos para
seus clientes e demais envolvidos. Um incidente de segurança que possa afetar os princípios
informação não estiver disponível no momento em for necessário o acesso, sem qualquer
alteração que possam vir a afetar os princípios de integridade e autenticidade das mesmas,
então o incidente de segurança estará afetando o cliente que depende do acesso a esta
segurança.
Vulnerabilidade possibilita
Incidente de Segurança
Afeta
Clientes
Imagem
Impacta negativamente Negócio
Produto
segurança, sendo que as ameaças, sejam elas internas ou externas, acontecem tentando
encontrar um ponto vulnerável, para que através dele possa passar pelas medidas de segurança
Perdas/ Incidentes de
Danos seguranças
Ameaças Ameaças
externas
internas
Algumas medidas de segurança podem ser adequadas para determinada situação e inadequada
para outras. Deve-se buscar a melhor relação custo/benefício para garantia da segurança da
Moreira (2001, p.31) diz que medidas de segurança são esforços como procedimentos,
os incidentes de segurança.
segurança cresce o nível de vulnerabilidade decai. O ideal é que seja buscado o ponto de
Na verdade não existe um modelo ideal ou um pacote de segurança que pode ser usado
acordo com o nível de segurança que a empresa deseja atingir. Dentre elas destacam-se:
• Política de segurança;
• Cópias de Segurança;
• Controle de acesso;
• Segurança física;
• Firewall;
• Política de senha;
• Detecção de intrusão;
• Treinamento/conscientização dos usuários.
informação da empresa. Será realizado um estudo detalhado sobre política de segurança, com
Nas décadas de 70 e 80 o enfoque principal da segurança era o sigilo dos dados. Entre
80 e 90, com o surgimento das redes de computadores, a proteção era feita não pensando nos
dados, mas sim nas informações. A partir da década de 90, com o crescimento comercial das
segurança da informação precisa ouvir as pessoas, de modo a entender e saber como aplicar as
tecnologias para a organização, sua estratégia de negócio, suas necessidades e sua estratégia
de segurança.
segurança ainda é um campo relativamente novo, muitas empresas ainda não conseguem
enxergar a sua importância, imaginando apenas que as soluções são caras e não trazem
nenhum retorno financeiro, não imaginando as conseqüências que a falta da segurança poderá
resulta em melhorias nas quais todos podem notar que alguma coisa foi feita.
2
Protocolo da Internet, IP é um conjunto de regras e formatos utilizado em redes em que a comunicação se dá
através de pacotes de dados.
A empresa, ou os executivos e diretores, devem entender que a segurança tem
justamente o papel de evitar que alguém perceba que alguma coisa esta errada.
Esta visão reativa, com as decisões de segurança sendo tomadas após um incidente,
traz uma série de conseqüências negativas para a organização. É preciso que as organizações
Deve-se entender que as soluções de segurança não gerão gastos, mas é um investimento
informação é uma das principais conclusões apontadas pelos índices obtidos pela pesquisa.
em 2004.
padrões para que a segurança da informação esteja documentada e possa ser seguida é um
A figura 2.4 mostra o ramo de atividade das empresas que foram entrevistadas durante
questionários, que foram coletados de março à agosto de 2003. Podemos perceber que os
torna bastante clara na figura 2.5, onde mostra a empresa em relação a política de segurança,
sendo que 50% das empresa possuem uma política de segurança atualizada. A pesquisa
queda no item falta de consciência dos usuários, mostrada na figura 3.3, como principal
obstáculo, podendo ser explicada pelo aumento da divulgação da política de segurança para
todos os funcionários.
Figura 2.5 - Empresas que possuem Política de Segurança e a situação
Fonte: 9º Pesquisa Nacional de Segurança da Informação, 2003, www.módulo.com.br
as empresas, devem ser adotadas em 2004, figura 2.6. Em 2003, as empresas tiveram imensas
dificuldades com a disseminação em massa de diversas pragas virtuais, isto pode explicar a
medidas de segurança não se alteram de 2002 para 2003, no entanto, se notarmos o item
sendo que a política de segurança tem um papel importante para a segurança da informação
nas empresas.
www.modulo.com.br]
Por exemplo, se um funcionário gravou determinada informação a segurança da
informação deve garantir que no momento em que a informação for acessada novamente ela
esteja sem qualquer alteração, que não tenha sido feita pelo próprio dono da informação, que
pode-se perceber que a informação tem grande valor dentro das instituições em que estiver
A informação deve ser classificada de acordo com seu grau de importância, garantindo
assim, a proteção adequada para cada informação, existem informações que podem ser
divulgadas sem afetar o negócio da organização, porém, existem informações que são
confidenciais e devem ser extremamente controlado o acesso a elas, evitando que possam ser
exploram algum ponto vulnerável, que pode ser, por exemplo, uma medida de segurança mal
as decisões de segurança, muitas vezes, são tomadas após um incidente de segurança. Porém,
a preocupação das organizações com a segurança da informação vem crescendo, medidas para
garantir a segurança da informação vem sendo implementadas com maior freqüência, sendo
implementadas, dentre elas destaca-se a política de segurança da informação, sobre a qual será
informação na empresa.
Em um país, temos a legislação que deve ser seguida para que tenhamos um
padrão de conduta considerado adequado às necessidades da nação para
garantia de seu progresso e harmonia. Não havia como ser diferente em uma
empresa. Nesta precisamos definir padrões de conduta para garantir o
sucesso do negócio. (ABREU, 2002)
devemos seguir, de modo que o cumprimento da legislação nos garante que o padrão de
contuda esta sendo seguido, a política de segurança também deve ser seguida por todos os
negócio.
Segundo Wadlow (2000, p.40) uma política de segurança atende a vários propósitos:
• Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qual
custo;
ao valor da segurança;
• Fornece ao departamento de segurança um motivo válido para dizer “não” quando
necessário;
o “não”;
rede, organização, cultura, pessoas e tecnolo gias, sendo uma tarefa complexa e trabalhosa.
Porém a dificuldade maior será na implementação desta política criada, quando todos os
3.1 PLANEJAMETO
modo que os riscos sejam entendidos para que possam ser enfrentados. Para que a abordagem
de segurança possa ser pró-ativa é essencial uma política de segurança bem definida, sendo
que as definições das responsabilidades individuais devem estar bem claras facilitando o
Um ponto bastante importante para que a política de segurança seja seguida pela
empresa é que seja aprovada pelos executivos, publicada e comunicada para todos os
O planejamento da política deve ser feito tendo como diretriz o caráter geral e
abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos.
A política de segurança pode ser dividida em vários níveis, podendo ser de um nível
mais genérico, como o objetivo que os executivos possam entender o que está sendo definido,
nível dos usuários de maneira que eles tenham consciência de seus papéis para a manutenção
da segurança na organização, e podendo ser de nível técnico que se refere aos procedimentos
textos: nível estratégico, nível tático e nível operacional, como mostra a figura 3.1.
Política ou Estratégico
Diretrizes
Tático
Normas
Procedimentos e
Operacional
instruções
Organizacional
Ativos Físicos
Tecnológicos
Natureza do
Humanos
Negócio
Cultura
Ativos
Ativos
Algumas vezes o bom senso é ferramenta usada pelos profissionais para a tomada de decisão.
Isto ocorre porque se ninguém passou pela situação antes, e se não existe nenhuma
orientação da empresa sobre o que fazer quando tal situação acontecer, o profissional decidirá
empresa, ou seja, no rumo a ser seguido. Quando necessário o profissional tomar uma decisão
sobre uma situação nova, deve-se usar o bom senso na tomada da decisão seguindo os valores
da empresa.
segurança física, etc. Tudo isso precisa e deve ser padronizado. Isso faz com que todos os
pontos da empresa tenham o mesmo nível de segurança e não tenhamos um elo mais fraco na
corrente.
este padrão deve ser seguido e a configuração deve ser realizada de forma igual por todos.
detalhes de configurações dos ambientes. Pode-se ter um padrão para toda a empresa, ou se
existirem várias filiais pelo país, um padrão por estado. Isso irá depender da necessidade da
política de segurança:
segurança para a mesma. No aspecto técnico a vigilância deve ser um processo regular e
de fácil acesso e que seu conteúdo seja de conhecimento de todos os func ionários da
organização. Atitude significa também o correto planejamento, pois a segurança deve fazer
organização, deve-se tomar cuidado com qualquer tecnologia um pouco inferior, pois poderá
causar um falsa sensação de segurança, podendo colocar em risco toda a organização. O ideal
Política de segurança
de sucesso
Tecnologia
Estratégia
orientações:
informação.
da segurança da informação.
Sendo assim a política de segurança deve conter regras gerais e estruturais que se
aplicam ao contexto de toda a organização, deve ser flexível o suficiente para que não sofra
alterações freqüentes.
3.2 DEFINIÇÃO
2000, p.33):
entendimento para toda a organização, se ninguém ler ou se todos lerem, porém se não
conseguirem entender, a política de segurança não será seguida. Para proporcionar algum
beneficio, é necessário que a política esteja nas mãos das pessoas que deverão utilizá- la e,
política para que os funcionários leiam e comecem a usar, certamente haverá poucas chances
de obter sucesso.
Uma solução para evitar este problema é criar várias políticas cada uma destinada a
um público específico dentro da empresa., assim cada política poderá ser pequena, direta e
compreensível.
• Saiba o que não é relevante: algumas partes da política terão tópicos que não
deverão ser conhecidos por todas as pessoas. É necessária uma seção descrevendo o tipo de
informação considerada sensível, que não deverá ser comentada com estranhos.
Uma segunda seção deve ser mantida sobre o sigilo mais rígido e somente pode ser
conhecida por pessoas do mais alto nível de confiança. Essa seção constitui a “consciência”
de organização da segurança.
que a equipe de segurança disponha de uma memória organizacional sobre o que não deve ser
comentado.
• Leve-a sério: somente será eficaz se as pessoas a levarem a sério, para isto deve-se
Todos precis am saber que poderão ser punidos se executarem ou deixarem de executar
determinadas ações.
Para agir de acordo com a política, é necessário realmente punir as pessoas que a
violarem.
penalidades devem estar bem claras desde o inicio. É necessário realizar este processo de uma
forma que estabeleça a culpa do transgressor no grau adequado, deixando claro a quem aplicar
como a segurança de rede que ela representa. Se não for mantido atual, o documento tornar-
segurança somente significará algo se for lida por quem não pertença à própria equipe de
segurança. A política deverá estar disponível, de modo a ser acessada com facilidade, poderá
normas e procedimentos específicos. Alguns detalhes que podem ser definidos com base na
• Nenhuma conexão direta com a rede interna, originária externamente, deverá ser
• Devem ser realizados testes, a fim de garantir que todos os objetivos sejam
alcançados.
3.3 IMPLEMENTAÇÃO
com a política definida é a educação, pois a falta de conscientização dos funcionários acerca
da importância e relevância da política irá torná- la inoperante ou reduzir sua eficácia.
com a divulgação efetiva ela deverá tornar-se parte da cultura da organiza ção.
Segundo a norma NBR ISO 17799, as seguintes análises críticas periódicas também
informação, na figura 3.3 existe um comparativo entre os principais obstáculos levantados nas
podem aprovar uma política de segurança apenas para satisfazer a equipe de segurança ou os
ideal é mostrar estudos que provam que é mais barato considerar a perspectiva de prevenir,
A falta de consciência dos usuários é outro item que demonstra um percentual elevado
nos dois anos, isto deixa clara a necessidade de divulgação e treinamentos durante o processo
que devem, portanto, ser protegidos. Deve-se esclarecer que a indisponibilidade de recursos
ataque.
3.4.1 Regulatória
Ferreira (2003, p.34), afirma que políticas regulatórias são implementadas devido às
necessidades legais que são impostas à organização. Normalmente são muito específicas para
um tipo de ramo de atividade.
Uma política regulatória é definida como se fosse uma série de especificações legais.
Descreve, com grande riqueza de detalhes, o que deve ser feito, quem deve fazer e fornecer
Deve assegurar que a organização esta seguindo os procedimentos e normas para seu
ramo de atuação, provendo conforto para a organização na execução de suas atividades, pois
3.4.2 Consultiva.
devem conscientizar seus funcionários a considerar este tipo de política como se fosse
obrigatória.
A política consultiva apenas sugere quais ações ou métodos devem ser utilizados para
a realização de uma tarefa. A idéia principal é esclarecer as atividades cotidianas do dia a dia
Deve-se considerar que é importante que os usuários conheçam essas ações para
realização de suas tarefas para que possam ser evitados riscos do não cumprimento das
Este tipo de política possui caráter apenas informativo, nenhuma ação é desejada e não
existem riscos, caso não seja cumprida. Porém, também pode contemplar uma série de
Por exemplo, a política pode ressaltar que o uso de um determinado sistema é restrito a
pessoas autorizadas e qualquer funcionário que realizar algum tipo de violação será
penalizado. Nesta sentença não são informados quais funcionários estão autorizados, mas este
mais estar protegida, de modo que medidas de segurança precisam ser implementadas para
segurança da informação que tem por objetivo definir procedimentos, normas, ferramentas e
Uma política de segurança deve ser definida de acordo com os objetivos do negócio da
empresa, sendo que os executivos devem participar de seu planejamento, para que possa ser
aceita por eles, lembrando que sua implementação e sucesso também dependerá de sua
fundada no ano de 1959 pelo então presidente da Fundição Tupy, Hans Dieter Schmidt, com o
(Marcos alemães) acordado entre o Brasil e a Alemanha em 1967. Nesse acordo juntamente
com máquinas vieram especialistas para aplicar novas tecnologias, eles ficaram na Escola
Técnica Tupy durante três anos implementando técnica, conhecimento, tradição e cultura de
fizeram parte do corpo docente. Era a Sociedade Educacional Tupy que nascia para o
crescimento da comunidade.
SOCIESC, desta vez dirigida por um conselho formado pelos presidentes das principais
empresas de Joinville.
Sendo que tem sua matriz em Joinville com filiais nas seguintes cidades: São Bento do
Unidade Funcionários
Joinville 567
Florianópolis 37
Curitiba 30
Apucarana 12
Total 673
Fonte: RH da SOCIESC
de 2004, pode-se perceber que o número total de alunos é bastante elevado, sendo o maior
número de alunos esta em Joinville, isto se deve ao fato de estar à 45 anos atuando na
região. As outras unidades estão crescendo nas comunidades em que estão inseridas e com
Número de Alunos
Florianópolis 0 16 16 554 0
Curitiba 0 0 215 0 0
Apucarana 0 0 131 0 0
educação e tecnologia.
Valores Compartilhados:
a ética e sustentabilidade, sob uma visão sistêmica do homem e da sua relação com
a natureza.
hierárquica da instituição.
projeto de rede para ligar os departamentos e os laboratórios de informática, sendo que para
isto foi contratada uma empresa externa. Os primeiros laboratórios em rede estavam
localizados no bloco P e sala M7. Até aí ainda não havia uma equipe de TI, apenas uma
equipe responsável pela criação e manutenção de sistemas internos. A primeira rede possuía
Neste ano também foi feita a instalação do sistema Magnus para controle e
administração da SOCIESC.
1997
junto com os dois funcionários que já estavam na administração da rede. Neste mesmo ano foi
contratado um profissional para manutenção de hardware e alguns estagiários para suporte aos
1998
Por meio da contratação de um funcionário para dar suporte aos usuários, juntamente
equipe de suporte, no qual era responsáve l pelo suporte a rede, hardware e software. A
1999
Iniciou-se uma migração dos servidores Windows para Linux. O primeiro a ser
substituído foram os servidores de correio eletrônico e DNS e logo após o Firewall passou a
ser Linux.
2000
administrativo/financeiro.
desenvolvidos internamente.
• Criada a Unidade da SOCIESC em São Bento do Sul com rede própria, sem
2001
2002
• União das áreas de suporte, administração da rede e sistemas, tornando apenas uma
do Sul e Curitiba.
2003
2004
equipamentos ativos da Rede, controle dos dados dos usuários (backup, cotas e
etc.)
atende toda a estrutura de informática da SOCIESC, tanto no que diz respeito à área de
serviços.
COORDENADOR
na unidade de Joinville, conforme anexo II, sendo servidores de Internet, E- mail, Banco de
contas de usuários do domínio SOCIESC, são contas utilizadas por funcionários efetivos,
utilizados por alunos e professores dos cursos técnicos da Escola Técnica Tupy, do ensino
fundamental e médio do Colégio Tupy, dos cursos superiores do Instituto Superior Tupy e dos
WISE Consultoria, utiliza banco de dados Oracle, nele são armazenadas todas as informações
acadêmicas dos alunos, é acessado por professores para digitação de notas e emissão de
relatórios através de seu módulo para Internet. É acessado também por funcionários da
boletim escolar.
3
Alunos colaboradores são alunos que ainda estão estudando na SOCIESC, porém recebem uma bolsa de
estudos para trabalhar em áreas diversas como: secretaria, financeiro, biblioteca, auxiliando os colaboradores da
SOCIESC em funções administrativas.
O ERP é o Logix desenvolvido pela Logocenter é utilizado pelos setores
diversas formas, sendo elas: arquivos eletrônicos armazenados nos servidores, informações no
sistema de notas, registros de notas e freqüência em diários de classe, informações que podem
ser acessadas no ERP, entre outras. Independente da forma que a informação será acessada
pelo usuário ela deve obedecer aos princípios de segurança da informação garantindo a
serem gerenciados, é importante a existência de uma política de segurança para que todos os
Quando falamos em uma Instituição de Ensino devemos lembrar que existem algumas
freqüenta as dependências das Instituições, assistindo suas aulas, sendo que durante estes
de Ensino a qual pertence. Em algumas Instituições pode existir ainda a pessoa do aluno
bolsista, aquele aluno que estuda na Instituição, porém no período em que não esta em sala de
Uma Política de Segurança voltada para Instituições de Ensino deve ser criada de
forma a estabelecer regras a serem seguidas por todos os usuários dos recursos de informática
informações da Instituição.
• A norma NBR ISO 17799 como referência, sendo que esta norma é o código de
pessoa que estiver utilizando estes equipamentos deve preencher, estes documentos estão no
anexo (anexo IV e anexo V), estes arquivos foram elaborados pela equipe de TI da SOCIESC
controle de documentos).
usados de maneira adequada. O usuário deve conhecer regras para utilização da informação
de maneira segura, evitando expor qualquer informação que possa prejudicar a Instituição de
Tem por objetivo, também, prestar aos funcionários serviços de rede de alta qualidade
forma a evitar falhas de segurança que possam impossibilitar o acesso às informações, sendo
possam ser justificadas com as regras estabele cidas na política. Ex.: a desativação e uma conta
descritos na política são aplicáveis a ele ou não, utilizando linguagem simples e de fácil
Assim, para assegurar os altos padrões de qualidade na prestação desses serviços, faz-
clientes e demais parceiros contra danos que possam acontecer devido a falha de segurança,
deve-se descrever as normas de utilização e atividades que possa ser consideradas como
As normas descritas no decorrer devem sofrer alterações sempre que necessário, sendo
que qualquer modificação deve ser registrada e divulgada, se existir necessidade de mudança
no ambiente deve-se solicitar com tempo hábil para que as providencias necessárias sejam
tomadas.
Tais normas são fornecidas, a título de orientação dos funcionários, alunos e demais
esclarecimentos.
poderão sofrer punições que serão esclarecidas e detalhadas durante este documento.
Capacitação Empresarial).
apoio efetivo para que a política de segurança possa ser adotada por toda a organização.
definições estabelecidas na política para garantir a segurança das informações acessadas por
todos.
política, se necessário, devem receber treinamentos de como fazer uso correto das
políticas, como rede, e- mail, Internet, senhas, entre outras. A política de segurança física irá
armazenados fisicamente, entre outros itens. Dentro de cada uma destas divisões serão criadas
regras gerais, que podem ser aplicadas a todos, se existirem regras especificas para
funcionários, alunos ou alunos colaboradores serão criadas divisões paras estas regras.
A seguir, será detalhada a política de segurança e informa-se que tudo o que não for
Esse tópico visa definir as normas de utilização da rede que abrange o login,
manutenção de arquivos no servidor e tentativas não autorizadas de acesso. Estes itens estarão
sendo abordados para todos os usuários dos sistemas e da rede de computadores da SOCIESC.
• Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas
conhecido como “cracking”4 ). Isso inclui acesso aos dados não disponíveis para o usuário,
conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário ou
• Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário,
servidor;
4
Cracking é o nome dado a ações de modificações no funcionamento de um sistema, de maneira geralmente
ilegal, para que determinados usuários ganhem algo com isso.
• Antes de ausentar-se do seu local de trabalho, o usuário deverá fechar todos os
programas em uso, evitando, desta maneira, o acesso por pessoas não autorizadas, se possível
arquivos desnecessários;
• Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou
Compartilhamento Utilização
arquivos que contenham assuntos sigilosos ou de natureza sensível, devem ser armazenadas
máquinas bem como modificações que possam trazer algum problema futuro;
impressoras, entre outros, a SOCIESC não fornecerá acessórios, software ou suporte técnico
software;
• O acesso a sistemas, como sistema acadêmico (WAE), deve ser controlado pela
transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controles
de segurança ainda serão necessários na sua nova função e informar a equipe de TI qualquer
modificação necessária;
informar a equipe técnica para providenciar a desativação dos acessos do usuário à qualquer
recurso da rede. Deve-se verificar a necessidade de troca de senhas de contas de uso comum
portanto o aluno ou professor que desejar manter suas informações deve providenciar a cópia
Este tópico visa definir as normas de administração das contas que abrange: criação,
manutenção e desativação da conta. Esta política será dividida por usuários para facilitar o
entendimento de todos.
Desativação da conta:
especificados:
segurança;
5.2.2.2 Regras para Funcionários
Todo funcionário da SOCIESC poderá ter uma conta para acesso aos recursos da rede
Criação de contas:
o Esta solicitação deve ser feita através de e- mail para a equipe de segurança;
usuários são: será uma conta para acesso ao domínio SOCIESC, precisará
Manutenção da conta:
• Cada funcionário que tiver sua conta criada terá um espaço no servidor para gravar
seus arquivos pessoais, é feita cópia de segurança dos arquivos do servidor do domínio
SOCIESC diariamente;
• As contas que funcionários tenham no domínio ENSINO, utilizadas em
laboratórios, não é feito cópia de segurança, portanto o próprio usuário deve fazer copia de
sendo que o mesmo deve evitar acumulo de arquivos desnecessários e sempre que possível
diretórios pessoais.
Todo aluno da SOCIESC poderá ter uma conta para acesso aos recursos da rede de
computadores, sendo que estará usando o domínio ENSINO, todos os usuários tem um limite
maior para armazenamento dos arquivos nos diretórios pessoais deve ser informado pelo
Criação de contas:
dos alunos pela secretaria. A cada semestre as informações das contas dos alunos são
apagadas e uma nova senha é gerada. Alunos que não possuírem conta de acesso a rede de
conta, esta senha pode ser alterada quando o usuário utilizar sua conta, sendo importante
seguir regras para criação de senhas, que serão detalhadas neste documento.
Administração de contas:
das contas pessoais dos usuários do domínio ENSINO, cabe aos usuários, a tarefa de salvar os
• Não é feita cópia de segurança dos arquivos dos servidores do domínio ENSINO;
diretórios pessoais.
procedimento será o mesmo utilizado para criação de contas para funcionários, o coordenador
da conta.
5.2.3 Política de Senhas
As senhas são utilizadas pela grande maioria dos sistemas de autenticação e são
consideradas necessárias como meio de autenticação. Porém, elas são consideradas perigosas,
pois dependem do usuário, que podem, por exemplo escolher senhas óbvias e fáceis de serem
A senha deve ser redefinida pelo menos a cada dois meses, para usuários comuns e a
cada mês para usuários de acesso mais restrito. As senhas devem ser bloqueadas após 3 à 5
tentativas sem sucesso, sendo que, o administrador da rede e o usuário devem ser notificados
alteração das senhas dos usuários, além da necessidade de manter atualizados os dados dos
mesmos.
manutenção da segurança dos recursos, tais como sigilo da senha e o monitoramento de sua
conta, evitando sua utilização indevida. As senhas são sigilosas, individuais e intransferíveis,
de inteira responsabilidade do usuário, por isso, tome todo o cuidado e mantenha sua senha
secreta.
As senhas são efetivas apenas quando usadas corretamente, requer alguns cuidados na
• Utilize um método próprio para lembrar da senha, de modo que ela não precise ser
• Não anote sua senha em papel ou em outros meios de registro de fácil acesso;
• Não utilize nomes de pessoas próximas, como da esposa(o), dos filhos, de amigos;
• Utilize senhas que podem ser digitadas rapidamente, sem a necessidade de olhar
para o teclado.
5.2.4 Política de Utilização de E-Mail
Esse tópico visa definir as normas de utilização de e- mail que engloba desde o envio,
Todos os usuários de e-mail devem tomar ciência que a Internet opera em domínio
publico que foge do controle da equipe técnica da SOCIESC. As mensagens podem estar
também lembrar que grande parte das pragas eletrônicas atuais chega por esse meio. Os vírus
atuais são mandados automaticamente, isso significa que um e- mail de um cliente, parceiro ou
maliciosos, mas alguma s atitudes do usuário final são importantes. Para isto é importante que
perturbação a outras pessoas, seja através da linguagem utilizada, freqüência ou tamanho das
mensagens;
• O envio de e-mail deve ser efetuado somente para pessoas que desejam recebê- los,
se for solicitada a interrupção do envio a solicitação deve ser acatada e o envio não devera
acontecer;
• É proibido o envio de grande quantidade de mensagens de e-mail (spam) que, de
acordo com a capacidade técnica da Rede, seja prejudicial ou gere reclamações de outros
usuários. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade, comercial
• Evite mandar e-mail para mais de 10 (dez) pessoas de uma única vez, é proibido o
envio de e-mail mal- intencionado, tais como mail bombing 5 ou sobrecarregar um usuário, site
arquivos inúteis;
5
Excesso de mensagens enviadas a uma caixa postal, a ponto de congestionar o tráfego do provedor. Mensagem
enviada a uma caixa postal que, em conseqüência, de sua grande extensão acaba por travar o computador.
• Obrigatoriedade da utilização do Web Mail ou do programa Mozilla, Outlook
Express, Outlook 2000 ou outro software homologado pelo departamento técnico, para ser o
cliente de email;
suspeitos;
• Não abra arquivos anexados com as extensões .bat, .exe, .src, .lnk e .com se não
• Desconfie de todos email com assuntos estranhos e/ou em inglês. Alguns dos
vírus mais terríveis dos últimos anos tinham assuntos como: ILOVEYOU, Branca de neve
pornô, etc;
• Não devem ser enviadas mensagens de correio eletrônico cujo conteúdo seja
Esse tópico visa definir as normas de utilização da Internet que engloba desde a
A Internet é uma ferramenta de trabalho e deve ser usada para este fim pelos
funcionários e alunos da SOCIESC, não é permitido o seu uso para fins recreativos durante o
• Somente navegação de sites é permitida. Casos específicos que exijam outros tipos
sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na
forma da lei;
trabalhos;
trabalhos;
• Não será permitida a utilização de serviços de streaming, tais como Rádios On-
• Poderá ser utilizada a Internet para atividades não relacionadas com os negócios
durante o horário de almoço, ou fora do expediente, desde que dentro das regras de uso
6
upload significa transferir um arquivo do seu computador para outro computador na Internet
5.2.6 Política de uso das Estações de trabalho
Cada estação de trabalho possui códigos internos os quais permitem que ela seja
identificada na rede. Sendo assim, tudo que for executado na estação de trabalho será de
responsabilidade do usuário. Por isso, sempre que sair de frente da estação de trabalho tenha
• Não é permitido gravar nas estações de trabalho MP3, filmes, fotos e software com
direitos autorais ou qualquer outro tipo que possa ser considerado pirataria;
• Mantenha nas estações de trabalho somente o que for supérfluo ou pessoal. Todos
os dados relativos à SOCIESC devem ser mantidos no servidor, onde existe sistema de
acessados por todos os usuários que utilizarem a mesma, portanto não pode-se garantir sua
integridade e disponibilidade. Poderão ser alterados ou excluído sem prévio aviso e por
de ensino, que são utilizados pelos alunos, não existem impressoras instaladas.
impresso;
tentativa, recoloque-o na bandeja de impressão. Se o papel servir para rascunho, leve para sua
• Não é permitido deixar impressões erradas na mesa das impressoras, na mesa das
• Se você notar que o papel de alguma das impressoras está no final, faça a gentileza
de reabastecê- la. Isso evita que você e outras pessoas tenham seus pedidos de impressão
• Utilize a impressora colorida somente para versão final de trabalhos e não para
testes ou rascunhos.
informática e das informações da empresa deve ser protegidas de possíveis danos, será
abordada a segurança físicas dos laboratórios de informática, das instalações de TI, dos
Existem áreas que merecem maior atenção quanto ao controle da entrada de pessoas,
estas áreas são departamentos que contém informações ou equipamentos que devem ser
protegidos, como por exemplo: sala de servidores, departamentos como financeiro, setor de
outras.
Convém que estas áreas sejam protegidas por controles de entrada apropriados para
assegurar que apenas pessoas autorizadas tenham acesso liberado. Instalações desenvolvidas
para fins especiais que abrigam equipamentos importantes exigem maior proteção que o nível
telecomunicações.
Apenas pessoas autorizadas podem acessar as instalações da equipe de TI, sendo que
responsável deve ser informada imediatamente para que possa providenciar a troca da
A política de mesa limpa deve ser considerada para os departamentos e utilizada pelos
funcionários da SOCIESC, de modo que papéis e mídias removíveis não fiquem expostas à
A política de tela limpa deve considerar que se o usuário não estiver utilizando a
informação ela não deve ficar exposta, reduzindo o risco de acesso não autorizado, perda e
danos à informação.
Os papéis ou mídias de computador não devem ser deixados sobre as mesas, quando
não estiverem sendo usados devem ser guardados de maneira adequada, em preferência em
outro material sobre o chão de modo que possa facilitar o acesso de pessoas que estiverem no
departamento.
Sempre que não estiver utilizando o computador não deixar nenhum arquivo aberto, de
modo que as informações possam ser visualizadas por outras pessoas que estiverem no
departamento.
Agendas, livros ou qualquer material que possam ter informações sobre a empresa ou
informações particulares devem sempre ser guardadas em locais fechados, evitando o acesso.
informática devem ser guardadas em lugar adequado, não devem ser deixadas sobre a mesa ou
ser cumpridas para que possa ser feito uso correto das instalações evitando qualquer tipo de
ordem das instalações, sendo necessária qualquer tipo de manutenção a equipe técnica deve
ser informada.
deve ser repetida, qualquer problema a equipe técnica deve ser informada , para que a solução
Nenhum equipamento pode ser conectado aos sistemas ou rede sem aprovação prévia
Alimentos, bebidas, fumo e o uso de telefones móveis e celulares são proibidos nos
laboratórios.
As chaves de acesso aos laboratórios devem ficas guardadas em locais que o acesso
seja controlado, que não seja permitida a entrada de pessoas não autorizadas, evitando que
utilização devera ser feita somente mediante a reserva do laboratório, garantindo assim que
segurança, deve ser assinado por todos os funcionários e estagiários, e deve ser
estação ou nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política;
• Foram instalados uma série de softwares e hardwares para proteger a rede interna
e garantir a integridade dos dados e programas, incluindo um firewall, que é a primeira, mas
Ao detectar uma violação da política, a primeira coisa a fazer é determinar a sua razão,
ou seja, a violação pode ter ocorrido por negligência, acidente ou erro; por desconhecimento
ocorreu.
cancelamento do usuário caso seja detectado uso em desconformidade com que foi
funcionários e do programa de integração de novos alunos (ao início de cada ano letivo),
O não cumprimento, pelo funcionário, das normas estabelecidas neste documento seja
causa.
Demissão por justa causa: Nas hipóteses previstas no artigo 482 da Consolidação das
configuração da dispensa por justa causa, podendo a Diretoria, no uso do poder diretivo e
disciplinar que lhe é atribuído, aplicar a pena que entender devida quando tipificada a falta
grave.
O não cumprimento pelo aluno das normas estabelecidas neste documento seja isolada
punições:
infrações de menor gravidade. Antes da aplicação desta punição será realizado o conselho de
disciplina, conforme regimento escolar que detalha os direitos e deveres dos alunos e as
No Guia Acadêmico (anexo VIII), existe um capítulo que trata sobre o Regime
Durante este capítulo foi desenvolvido um modelo de política de segurança voltada para
mesma, visando sempre a criação de regras gerais dentro de cada política, sendo que quando
existir regras especificas para alunos, funcionários ou alunos colaboradores estas foram
O modelo apresentado procurou ser abrangente o suficiente para que todos os usuários
da rede de computadores tenham regras a serem seguidas, de modo que estas regras possam
6 CONCLUSÃO
elas a política de segurança que é objetivo deste estudo. Desta forma, foi realizada a criação
informação, ao mesmo tempo que as informações são consideradas um dos principais ativos
de uma organização, elas estão, também sobre constante riscos. Com isso a segurança da
organizações.
segurança da informação, está a política de segurança que tem por objetivo definir normas,
procedimentos, ferramentas e responsabilidades que devem ser seguidas pelos usuários das
NRB ISO 17799, que é a tradução da norma BS 7799 homologada em setembro de 2001 pela
ABNT. Esta norma trata da Gestão de segurança da informação cobre os mais diversos
devem ser atendidos para garantir a segurança das informações de uma empresa.
regras que devem ser seguidas para a utilização de maneira adequada dos recursos de
87
segurança desenvolvido visa a descrição destas regras de modo acessível ao entendimento dos
usuários.
operacional, sendo que no nível estratégico define-se diretrizes mais genéricas de modo que
os executivos possam entender o que esta sendo definido, no nível tático deve-se falar em
normas, padronizações fazendo que todos os pontos da empresa tenham o mesmo nível de
configuração esta no papel não há como ser realizada de forma diferente, independente de
quem estiver realizando. O modelo desenvolvido se aplica ao nível tático, pois foram
definidas regras, com o objetivo que todos sigam um padrão de utilização dos recursos,
Este estudo procurou abranger a segurança da informação, tendo seu objetivo voltado
segurança, fica a certeza que este trabalho trouxe contribuições importantes, como:
Instituições de Ensino;
entre as filiais é feita através de um link frame relay com a Brasil Telecom, porém não existe
acessos;
implantação de ações importantes como: criação de um local único para armazenamentos das
recebimento destas chaves e por reservas de laboratórios que forem necessárias, de modo a
evitar várias cópias destas chaves em departamentos de ensino e ter um controle da utilização
do laboratório.
de segurança.
89
7 REFERÊNCIAS
Política de segurança e utilização dos recursos de rede e computacionais dos laboratórios LCI
e LEA. Disponível em http://www.inf.furb.br/info/Politica_Seguranca.pdf. Acessado em 10
out 2004
90
OLIVEIRA, Wilson José de. Segurança da Informação. Florianópolis : Visual Books, Maio,
2001.
NAKAMURA, Emilio Tissato. GEUS, Paulo Lício de. Segurança de Redes em ambientes
coorporativos. São Paulo : Editora Futura, 2003
MOREIRA, Nilton Stringasci. Segurança Mínima. Rio de Janeiro : Axcel Books, 2001
91
8 ANEXOS
PARTICULAR
1 coordenador de informatica
1 administrador de rede (líder de equipe)
2 analistas de suporte
2 analistas de sistemas (sendo um líder de equipe)
4 auxiliares de informática
2 estagiarios
18 em Joinville
Sim. Logix
Sim. WAE
Oracle
95
11) O que seria necessário abranger uma política de segurança para a realidade da SOCIESC ?
Seria interessante que uma Política de Segurança pudesse abranger uma política para
senhas, política para uso dos laboratórios, de backup, de acesso. Como existem usuário
diferenciados (alunos, funcionários e alunos colaboradores) é importante que as políticas
possam abranger a todos os usuários.
- Outras unidades
11) Existe uma equipe de informática para cada unidade? Como é feita a manutenção dos
computadores, servidores?
Em São bento do Sul e Ctba existe uma pessoa em cada para dar suporte a duvidas de
usuários e realizar pequenas manutenções nos computadores.
A manutenção nos servidores é realizada remotamente via link de interligação e nos casos
mais graves uma equipe é deslocada para solucionar o problema.
12) Qual a estrutura de informática das outras unidades (servidores, estações de trabalho,
laboratórios de ensino)?
servidores
3 em São bento do Sul
2 em CTBA
6 em Florianopolis
2 em Apucarana
estações
DC 9008
DIRETRIZES PARA USO DE NOTEBOOKS E PALM-TOPS PESSOAIS NA SOCIESC Rev. 01
15/06/04
Notebooks e palm-tops - Fica autorizado o uso de notebooks e palm-tops pessoais, na rede computadores da SOCIESC.
- A Sociesc tem o direito de periodicamente auditorar os notebooks utilizados na instituição, visando proteger suas
informações bem como garantir que aplicativos ilegais não estejam sendo executados na instituição.
- Casos de desrespeito às diretrizes deste DC serão encaminhadas à diretoria da SOCIESC para deliberação.
É de responsabilidade do - A instalação do Sistema Operacional a ser utlizado no mesmo, bem como dos aplicativos a serem utilizados no notebook,
proprietário salvo exceções de aplicativos específicos autorizados pela direção da unidade através da RQ 9029.
- Manter sempre o aplicativo de antivírus atualizado em seu notebook. Caso não tenha nenhum aplicativo de antivírus
instalado em seu notebook, o uso do mesmo fica proibido na instituição.
- Usar somente aplicativos legalizados em seu notebook, de preferência que tenha sempre em mãos a nota fiscal e/ou licença
de uso do aplicativo ou uma cópia autenticada do mesmo.
Acesso a rede - A SOCIESC atualmente não considera o uso de notebooks e palm tops pessoais, como uma ameaça de risco à segurança da
informação adotada na instituição. Portanto, deixa livre a possibilidade do uso de notebooks e palm tops pessoais no
ambiente de rede da instituição.
- Caso seja necessário conectar o notebook na rede da instituição, é necessário que o proprietário faça uma solicitação de
serviços de infraestrutura, conforme PQ 9005 para que seja realizada uma verificação das configurações de rede e do
aplicativo de anti-vírus instalado.
- É responsabilidade do setor de Informática as configurações relativas aos dispositivos de rede e configurações de domínio
no ambiente de rede da SOCIESC, que precisam ser realizadas para o funcionamento em rede dos notebooks.
Restrições - Não podem ser executados nos notebooks, aplicativos de característica maliciosa, que visam comprometer ao
funcionamento da rede, bem como a captura de informações confidenciais, como por exemplo: senhas de usuários.
- Fica proibida a apropriação de arquivos que não seja de uso pessoal do proprietário do notebook. Todos os arquivos que
sejam da instituição, não podem ser carregados nos notebooks, sem autorização da diretoria responsável pelos dados.
97
E assim, por estarem justos e contratados assinam o presente instrumento em 02 (dua s) vias
de igual forma e teor, na presença das testemunhas abaixo, para que surta seus jurídicos e
legais efeitos.
_____________________________ _____________________________
Informática Nome do Usuário
98
TERMO DE COMPROMISSO
Identificação do Empregado/Aluno
NOME:
MATRÍCULA:
Comprometo-me a:
aos ambientes computacionais aos quais estarei habilitado, que possam comprometer a
3. Não revelar fora do âmbito profissional, fato ou informações de qualquer natureza que
confidencialidade de minha senha, através dos quais posso efetuar operações a mim
a. Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e
intransferível;
de outras pessoas;
e. Somente utilizar o meu acesso para os fins designados e para os quais estiver
utilização.
cabíveis.
Assinatura do Empregado/Aluno
100
Art. 482. Constituem justa causa para rescisão do contrato de trabalho pelo empregador:
a) ato de improbidade;
c) negociação habitual por conta própria ou alheia sem permissão do empregador, e quando
constituir ato de concorrência à empresa para a qual trabalha o empregado, ou for prejudicial
ao serviço;
d) condenação criminal do empregado, passada em julgado, caso não tenha havido suspensão
da execução da pena;
i) abandono de emprego;
j) ato lesivo da honra ou da boa fama praticado no serviço contra qualquer pessoa, ou ofensas
k) ato lesivo da honra ou da boa fama ou ofensas físicas praticadas contra o empregador e
Parágrafo único. Constitui igualmente justa causa para dispensa de empregado, a prática,
nacional.
101
No guia acadêmico todos os itens referente a conduta do aluno, seus direitos, deveres,
entre outros. Define-se, também, sobre o conselho de disciplina ou regime disciplinar, segue o
modelo apresentado para os alunos do IST. Para alunos da ETT e COT, também existe o guia
acadêmico.
I- Coordenação de Ensino;
Art. 124 O infrator terá direito à defesa mediante exposição oral ou escrita, quando terá a
Art. 125 Outros casos disciplinares discentes não previstos neste título serão também
Art. 126 Aos funcionários e ao Corpo Docente serão aplicadas as seguintes penalidades,
I- advertência;
II- suspensão; e
III- demissão.
anterior.
Art. 128 São vedadas as sanções e penalidades que atentarem contra a dignidade da pessoa
Art. 129 O regime disciplinar será decorrente das disposições legais aplicáveis a cada
caso.