Poltica de Segurana da Informao

Poltica de Segurana da Informao

Objetivo

Prestar servios de rede de alta qualidade e ao mesmo tempo desenvolver um

comportamento extremamente tico e profissional. Assim, para assegurar os altos padres
de qualidade na prestao desses servios, faz-se necessria a especificao de uma
poltica de utilizao da rede.

Essa Poltica de Utilizao da Rede descreve as normas de utilizao e

atividades que entendemos como violao ao uso dos servios e recursos, os quais so
considerados proibidos.

Definio

Podemos definir como servios e recursos os equipamentos utilizados pelos

funcionrios tais como: computadores, e-mails do domnio hu.ufal.br acesso a Internet e
afins.

As normas descritas no decorrer deste documento no constituem uma relao

exaustiva e podem ser atualizadas com o tempo, sendo que qualquer modificao ser
avisada em tempo hbil para remodelao (se necessrio) do ambiente.

Tais normas so fornecidas a ttulo de orientao ao funcionrio. Em caso de

dvida sobre o que considerado, de alguma forma, violao, o usurio dever enviar
previamente um e-mail para nti@hupaaufal.org visando esclarecimentos e segurana.

Nos termos da Poltica de Utilizao da Rede, a instituio proceder ao bloqueio

do acesso ou cancelamento do usurio caso seja detectado uso em desconformidade com
o aqui estabelecido ou de forma prejudicial Rede.

Caso seja necessrio advertir o funcionrio, ser informado ao departamento de

r ecursos humanos para interagir e manter-se informado da situao.

2
HUPAA/UFAL

Poltica de Segurana da Informao

Atitudes que so consideradas violao Poltica de Utilizao da Rede foram

divididas nos seguintes tpicos:

1.

Utilizao da Rede;

2.

Utilizao de E-Mail;

3.

Utilizao de acesso a Internet;

4.

Utilizao de equipamentos de informtica;

5.

Acesso ao ambiente fsico do NTI;

6.

Procedimentos de Backup.

Abaixo descreveremos as normas mencionadas e informamos que tudo o que no

for permitido e/ou liberado considerado violao Poltica da Utilizao da Rede.

1.

Utilizao da Rede

Esse tpico visa definir as normas de utilizao da rede que engloba desde o login,
manuteno de arquivos no servidor e tentativas no autorizadas de acesso.

1.1. Concesso de acesso

a) O solicitante dever preencher o formulrio de conta de usurio (Anexo I) onde consta

tambm o aceite da politica de segurana que pode ser encontrado no site da
instituio (www.hu.ufal.br) e no NTI.

b) O nome da conta (login) ser o primeiro nome do usurio seguido pelas iniciais do
seu sobrenome. De forma alguma essa conta poder ser um nome genrico como,
por exemplo, um setor ou departamento.

c) A senha obrigatoriamente dever conter no mnimo 6 (seis) caracteres e ter que ser
alterada a cada 3 (trs) meses. Haver o bloqueio da conta do usurio caso a senha
seja digitada errada por 3 (trs) vezes. O usurio que no utilizar a sua conta por mais
de 90 (noventa) dias ser desativado.

3
HUPAA/UFAL

Poltica de Segurana da Informao

d) A conta do usurio no poder ser utilizada em mais de um computador

simultaneamente.

e) Quando o usurio for desligado da instituio sua conta ser desativada. O setor de
recursos humanos dever informar ao NTI para que tal ao seja efetuada.

f) A conta de estagirio dever ser renovada a cada 6 (seis) meses.

g) A conta de usurio, independente do sistema a ser acessado ou rede, pessoal e

intransfervel, no podendo em hiptese alguma ser cedido para outros usurios sob
pena de revogao da mesma.

1.2. Manuteno de acesso

1.1. Independentemente do sistema acessado pelo usurio, existe por parte da rea de TI
uma reviso peridica de todos os usurios e seus respectivos perfis de acesso, com
isso podemos suspender tempestivamente os acessos indevidos a transaes
crticas.

2.

Concesso de acesso rede

a) Todo equipamento de rede (access point, roteador, switch, etc.) dever ser
configurado pelo NTI (Ncleo de Tecnologia da Informao).

b) No permitido que ningum coloque equipamentos na rede HUPAA sem prvia

autorizao do NTI.

c) O solicitante dever preencher o formulrio de acesso rede (Anexo I) onde consta

tambm o aceite da poltica de segurana que pode ser encontrado no site da
instituio (www.hu.ufal.br) e no NTI.

4
HUPAA/UFAL

Poltica de Segurana da Informao

d) No permitido tentativas de obter acesso no autorizado, tais como tentativas de

fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta.
Isso inclui acesso aos dados no disponveis para o usurio, conectar-se a servidor
ou conta cujo acesso no seja expressamente autorizado ao usurio ou colocar
prova a segurana de outras redes.

e) No permitido tentativas de interferir nos servios de qualquer outro usurio,

servidor ou rede. Isso inclui ataques do tipo "negativa de acesso", provocar
congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e
tentativas de "quebrar" (invadir) um servidor.

f) No permitido o uso de qualquer tipo de programa ou comando designado a

interferir com sesso de usurios.

g) A estao de trabalho do usurio ser bloqueada caso o sistema fique ocioso por 15
minutos e s poder ser desbloqueada pelo usurio logado ou por um usurio
administrador. D esta maneira ser evitado o acesso por pessoas no autorizadas.

h) proibido o acmulo de arquivos inteis no diretrio pessoal, seja no servidor ou na

estao.

i) Material de natureza pornogrfica, preconceituosa e racista no pode ser exposto,

armazenado, distribudo, editado ou gravado atravs do uso dos recursos
computacionais da rede.

j) No permitido criar e/ou remover arquivos fora da rea alocada ao usurio

e/ou que venham a comprometer o desempenho e funcionamento dos sistemas. As
reas de armazenamento de arquivos so designadas conforme abaixo:
Compartilhamento

Utilizao

Diretrio U: (Usurio)

Arquivos Pessoais inerentes instituio

Diretrio S: (Setor)

Arquivos do setor em que trabalha

Diretrio T: (temporrio)

Arquivos temporrios ou de compartilhamento geral

5
HUPAA/UFAL

Poltica de Segurana da Informao

k) Em alguns casos pode haver mais de um compartilhamento referente aos

arquivos do departamento ao qual faz parte.

l) A pasta TEMPORARIO ou similar, no dever ser utilizada para armazenamento de

arquivos que contenham assuntos sigilosos ou de natureza sensvel.

m) Haver limpeza mensal dos arquivos armazenados na pasta TEMPORARIO, para

que no haja acmulo desnecessrio de arquivos.

n) No ser permitido manter arquivos pessoais, tais como fotos, arquivos de msica ou
vdeos, documentos no inerentes a instituio nas pastas TEMPORARIO e
SETORIAL. Exemplo : arquivos .mp3, .avi, .wmv.

o) obrigatrio armazenar os arquivos inerentes instituio no servidor de

arquivos para garantir o backup dos mesmos.

p) proibida a instalao ou remoo de softwares que no forem acompanhadas pelo

NTI.

q) No ser permitida a alterao das configuraes de rede e inicializao das

mquinas bem como modificaes que possam trazer algum problema futuro.

3.

Utilizao de E-mail

Esse tpico visa definir as normas de utilizao de e-mail que engloba desde
o envio, recebimento e gerenciamento das contas.

a) proibido o assdio ou perturbao de outrem, seja atravs de linguagem utilizada,

frequncia ou tamanho das mensagens.

b) proibido o envio de e-mail no relacionado instituio a qualquer pessoa

que no o deseje receber. Se o destinatrio solicitar a interrupo de envio de emails, o usurio deve acatar tal solicitao e no lhe enviar qualquer e-mail.
6
HUPAA/UFAL

Poltica de Segurana da Informao

c) proibido o envio de grande quantidade de mensagens de e-mail ("junk mail" ou

"spam") que, de acordo com a capacidade tcnica da Rede, seja prejudicial ou gere
reclamaes de outros usurios. Isso inclui qualquer tipo de mala direta, como, por
exemplo, publicidade, comercial ou no, anncios e informativos, ou propaganda
poltica.

d) proibido o uso de e-mails setoriais que no estejam no domnio da instituio

(hu.ufal.br) exemplo : setor@gmail.com, setorhu@hotmail.com.

e) proibido reenviar ou de qualquer forma propagar mensagens em cadeia ou

"pirmides", independentemente da vontade do destinatrio de receber tais
mensagens.

f) proibido o envio de e-mail mal-intencionado, tais como "mail bombing" ou

sobrecarregar um usurio, site ou servidor com e-mail muito extenso ou numerosas
partes de e-mail.

g) proibido forjar qualquer das informaes do cabealho do remetente.

h) No permitido m utilizao da linguagem em respostas aos e-mails oficiais, tais

como abreviaes de palavras (Ex.: vc ao invs de voc ).

4.

Utilizao de acesso a Internet

Esse tpico visa definir as normas de utilizao da Internet que engloba desde a
navegao a sites, downloads e uploads de arquivos.

a) proibido utilizar os recursos da instituio para fazer o download ou distribuio de

software ou dados no legalizados.

b) proibido a divulgao de informaes confidenciais da instituio em grupos de

discusso, listas ou bate-papo, no importando se a divulgao foi deliberada ou
inadvertida, sendo possvel sofrer as penalidades previstas nas polticas e
procedimentos internos e/ou na forma da lei.
7
HUPAA/UFAL

Poltica de Segurana da Informao

c) Caso a instituio julgue necessrio haver bloqueios de acesso :

(1) A rquivos que comprometam o uso de banda ou perturbe o bom andamento

dos trabalhos;
(2) Domnios que comprometam o uso de banda ou perturbe o bom andamento
dos trabalhos.

d) Haver gerao de relatrios dos sites acessados por usurio e se necessrio a

publicao desse relatrio.

e) No permitida a utilizao de softwares de peer-to-peer (P2P), tais como Kazaa,

Morpheus e afins.

f) No permitida a utilizao de servios de streaming, tais como rdios on-line,

youtube e afins.

g) proibido a navegao em sites que tem a finalidade de esconder e/ou burlar o site
que realmente exibida, sendo este proibido na instituio.

5.

Utilizao de equipamentos de informtica

Esse tpico visa definir as normas de utilizao de equipamentos de informtica

disponveis na rede interna.

a ) vedada a abertura de computadores para qualquer tipo de reparo, caso seja

necessrio o reparo dever ocorrer pelo NTI.

b) de responsabilidade do usurio do equipamento zelar pelo mesmo, mantendo a boa

aparncia. No permitido personalizar o equipamento colocando adesivos, fotos,
riscar, raspar e retirar etiqueta de patrimnio.

8
HUPAA/UFAL

Poltica de Segurana da Informao

c ) proibido alterar as configuraes originais do equipamento sem a devida

autorizao do NTI. Exemplo: memrias, disco, unidade de CD/DVD, placa me,
cooler ou qualquer outro componente.

d ) Todo computador dever ingressar no domnio da rede HUPAA e praticar as polticas

de rede da instituio como, por exemplo, papel de parede e antivrus.

e) O NTI no se responsabiliza por prestar manuteno ou instalar softwares em

computadores que no sejam os da instituio.

5.1. Utilizao de notebooks e dispositivos mveis

a) Fica autorizado o uso de notebooks e dispositivos mveis na rede da instituio

mediante cadastro prvio e liberao do NTI;

b) O solicitante dever preencher o formulrio de acesso rede (Anexo I) onde consta

tambm o aceite da poltica de segurana que pode ser encontrado no site da
instituio (www.hu.ufal.br). O solicitante no funcionrio da instituio ter seu
acesso liberado por um determinado perodo devendo fazer uma nova solicitao
ao final deste;

c) O NTI dever fazer uma verificao das configuraes de rede e do aplicativo de

antivrus instalado para que o acesso a rede seja concedido. Caso o notebook no
obedea os requisitos mnimos de segurana o acesso a rede no ser liberado;

d) O NTI tem o direito de, periodicamente, auditar os notebooks utilizados na instituio,

visando proteger suas informaes bem como garantir que aplicativos ilegais no
estejam sendo executados na instituio.

e) de reponsabilidade do proprietrio a instalao do Sistema Operacional que ser

utlizado, bem como dos aplicativos a serem utilizados no notebook, salvo excees
de aplicativos especficos autorizados pelo NTI.

9
HUPAA/UFAL

Poltica de Segurana da Informao

f) de responsabilidade do proprietrio manter sempre o aplicativo de antivrus

atualizado em seu notebook. Caso no tenha nenhum aplicativo de antivrus instalado
em seu notebook, o uso do mesmo fica proibido na instituio.

g) de responsabilidade do proprietrio usar somente aplicativos legalizados em seu

notebook.

h) de responsabilidade do NTI as configuraes relativas aos dispositivos de rede e

configuraes de domnio no ambiente da instituio que precisam ser realizadas
para o funcionamento em rede dos notebooks.

i) No podem ser executados nos notebooks aplicativos de caracterstica maliciosa, que

visam comprometer o funcionamento da rede, bem como a captura de informaes
confidenciais, como por exemplo: senhas de usurios.

j) Fica proibida a apropriao de arquivos que no sejam de uso pessoal do proprietrio

do notebook. Todos os arquivos que pertenam a instituio no podem ser
carregados nos notebooks ou dispositivos de armazenamento mvel (ex.: pendrive),
sem autorizao da rea responsvel pelos dados.

6.

Acesso ao Ambiente fsico do NTI

Esse tpico visa definir as normas de acesso ao ambiente fsico do setor de NTI,
em especial a sala dos servidores.

a) Fica a critrio da coordenao do NTI, delegar quem pode ou no ter acesso a sala
dos servidores e fazer utilizao de qualquer equipamento que estiver no ambiente.

b) terminantemente proibido o acesso de qualquer pessoa que no tenha sido

previamente autorizada pela coordenao do NTI na sala de servidores, seja qual for
o motivo.

10
HUPAA/UFAL

Poltica de Segurana da Informao

7.

Procedimentos de Backup

a) Todos os backups devem ser automatizados por sistemas de agendamento para que
sejam, preferencialmente, executados fora do horrio comercial, perodos de pouco
ou nenhum acesso de usurios ou processos aos sistemas de informtica.

b) Os funcionrios responsveis pela gesto dos sistemas de backup devero realizar

pesquisas frequentes para identificar atualizaes de correo, novas verses do
produto, ciclo de vida (quando o software no ter mais garantia do fabricante),
sugestes de melhorias, entre outros.

c) As mdias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser
acondicionadas em local seco, climatizado, seguro (de preferncia em cofres cortafogo segundo as normas da ABNT) e distantes o mximo possvel do Datacenter.

d) As mdias de backup devem ser devidamente identificadas, inclusive quando for

necessrio efetuar alteraes de nome, de preferncia com etiquetas no
manuscritas, dando uma conotao mais organizada e profissional.

e) O tempo de vida e uso das mdias de backup deve ser monitorado e controlado
pelos responsveis, com o objetivo de excluir mdias que possam apresentar riscos
de gravao ou de restaurao decorrentes do uso prolongado, alm do prazo
recomendado pelo fabricante.

f) necessrio ser mantido um estoque constante das mdias para qualquer uso
emergencial.

g) Na situao de erro de backup e/ou restore necessrio que ele seja feito logo no
primeiro horrio disponvel, assim que o responsvel tenha identificado e solucionado
o problema. Caso seja extremamente negativo o impacto da lentido dos sistemas
derivados desse backup, eles devero ser executados apenas mediante justificativa
de necessidade.

11
HUPAA/UFAL

Poltica de Segurana da Informao

h) Testes de restore de qualquer tipo de backup devem ser executados pelos seus
responsveis periodicamente e devidamente documentados. Por se tratar de uma
simulao, o executor deve restaurar os arquivos em local diferente do original, para
que assim no sobreponha os arquivos vlidos.

i) Para formalizar o controle de execuo de backups e restores, dever haver um

formulrio de controle rgido de execuo dessas rotinas, o qual dever ser
preenchido pelos responsveis e auditado pelo coordenador responsvel.

Disposies Gerais

Para garantir as regras mencionadas acima a instituio se reserva no direito de:

(1) Implantar softwares e sistemas que podem monitorar e gravar todos os

usos de internet atravs da rede e das estaes de trabalho da instituio;
(2) Inspecionar qualquer arquivo armazenado na rede, seja no disco local da
estao ou nas reas privadas da rede, visando assegurar o rgido
cumprimento desta poltica.

Punies

O no cumprimento pelo funcionrio das normas ora estabelecidas neste

Documento (Polticas de segurana da Informao), seja isolada ou cumulativamente,
poder ensejar, de acordo com a infrao cometida, as seguintes punies:

Comunicao de Descumprimento

primeira

notificao

ser

encaminhada

ao

funcionrio

informando

descumprimento da norma, com a indicao precisa da violao praticada.

A segunda notificao ser encaminha para a chefia do setor do infrator. Todas as

notificaes sero arquivadas junto ao setor de recursos humanos na respectiva pasta
funcional do infrator.
12
HUPAA/UFAL