Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana da Informao
Sumrio
1.
Introduo ............................................................................................................................. 3
2.
Escopo ................................................................................................................................... 3
3.
Reviso .................................................................................................................................. 3
4.
5.
6.
Servios ................................................................................................................................. 4
7.
8.
8.2.
8.3.
9.
10.
Diretrizes ........................................................................................................................... 1
10.1.
10.2.
10.3.
10.4.
Manuseio ................................................................................................................... 2
10.5.
Transporte ................................................................................................................. 2
10.6.
Descarte .................................................................................................................... 2
10.7.
Manuseio ................................................................................................................... 3
10.8.
Transporte ................................................................................................................. 3
10.9.
Descarte .................................................................................................................... 3
10.10.
Informao Pblica.................................................................................................... 3
Uso da Internet.......................................................................................................... 5
10.12.
10.13.
10.14.
11.
11.1.
Violaes ................................................................................................................... 6
11.2.
Sanes...................................................................................................................... 7
12.
Concluso .......................................................................................................................... 7
1. Introduo
Atender as regras de Segurana da Informao da empresa constitui uma das mais importantes
contribuies dos colaboradores para proteger os ativos da empresa.
Os ativos de informao englobam todas as informaes da empresa, os objetos que as
suportam e as pessoas que as utilizam. Desta forma, as informaes da empresa devem ser
protegidas em todos os meios, sejam eles tecnolgicos, impressos e tcitos. As informaes
devem ser classificadas e disponibilizadas somente a quem tenha a necessidade e autorizao
em virtude de sua funo ou cargo e de acordo com suas responsabilidades na companhia.
Proteger estes ativos de informao significa, tambm, mant-los seguros contra ameaas que
possam afetar sua funcionalidade.
Assim, a Segurana da Informao visa proteger estes ativos com base na preservao de trs
princpios bsicos:
A fim de gerenciar estes ativos de informao da Web Rock, sero utilizados todos os meios
tecnolgicos ou no para monitorar e controlar seu uso por todos os colaboradores, no
devendo haver expectativa de privacidade por parte dos mesmos.
Todas as informaes produzidas, geradas, criadas e armazenadas na empresa e por seus
colaboradores so de propriedade da Web Rock, que poder usar para qualquer propsito e em
qualquer momento.
2. Escopo
Esta poltica abrange todos os colaboradores (funcionrios e prestadores de servio) que
tenham qualquer tipo de acesso, tecnolgico ou no, s informaes da empresa.
3. Reviso
de responsabilidade do Departamento de TI manter, disseminar e atualizar esta poltica
semestralmente e os documentos a ela relacionados, a contar de sua data de vigncia ou sempre
que houver uma mudana de qualquer natureza que se julgue necessria a reviso para refletir
eventuais alteraes nos objetivos de negcios ou no ambiente de risco (ameaas de segurana
e medidas de proteo para mitigar estas ameaas).
5. Ativos de Software
Sistemas;
Aplicativos;
Ferramentas de desenvolvimento;
Utilitrios.
5.3 Ativos de Hardware
Servidores de banco de dados;
Servidores de arquivos;
Servidores de aplicaes;
Estruturas de rede corporativa;
Estaes de trabalho;
Dispositivos de comunicao;
Dispositivos e ferramentas de armazenamento.
6. Servios
Link de internet;
Servios de telefonia fixa e mvel;
Eletricidade.
7. Recursos Humanos
8.1.
Probabilidade
Inerente (> 80%)
Muito Provvel (60% a 80%)
Provvel (40% a 60%)
Pouco Provvel (20% < 40%)
Improvvel (< 20%)
8.2.
Pontos
5
4
3
2
1
Impacto
Muito Alto
Alto
Mdio
Baixo
Muito Baixo
8.3.
Pontos
5
4
3
2
1
5
4
3
2
1
5
4
3
2
1
1
10
8
6
4
2
2
15 20
12 16
9 12
6 8
3 4
3 4
Impacto
25
20
15
10
5
5
9. Tabela de riscos
Ativos
Base de Dados
Risco
Invaso e roubo de
informaes
Perca dos dados
Base de dados
danificada
Falta de energia
Queda do sistema
geral
Falta de mo de obra
Paradas de servios
Documentaes de
sistemas
Perda da
continuidade do
negcio
Informaes sobre
pesquisas
Queda de vendas
Controle
Revisar as regras do firewall.
Manter um backup atualizado.
Manter um backup atualizado.
Manter o gerador de energia de pequeno
porte conectado ao servidor em perfeito
estado de funcionamento.
Ter pessoas capazes de trabalhar em mais
de uma tarefa
Manter o documento atualizado e
armazenado em mais de um lugar em
segurana.
Somente pessoas autorizadas podem
acessar as informaes
10. Diretrizes
10.1.
As informaes devem ser classificadas para indicar a necessidade, prioridade e o nvel esperado
de proteo quanto ao tratamento da informao.
A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar
um nvel adicional de proteo ou tratamento especial. Assim, um sistema de classificao deve
ser usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade
de medidas especiais de tratamento. Desta forma, todas as informaes da empresa devem ser
classificadas em termos do seu valor, requisitos legais, sensibilidade e criticidade.
Na Web Rock as informaes devem ser classificadas de acordo com os trs nveis abaixo:
liberado o acesso como tal. Estas informaes no necessitam nenhum tipo de proteo
ou tratamento especfico.
10.2.
Todas as informaes da empresa devem ser tratadas adequadamente em todo seu ciclo de
vida, assim aps a sua criao ou gerao, esteja ela em meio fsico ou eletrnico, deve ser
armazenada, manuseada, transportada e descartada ao final de sua vida til adequadamente.
10.3.
Informao Confidencial
Meio Eletrnico Devem ser armazenados em diretrios de servidores da rede da empresa com
acesso concedido criteriosamente somente s pessoas ou grupos necessrios.
Mdias Fsicas Devem ser armazenadas em armrios ou gavetas de mesas que possam ser
trancados e sob a manuteno de vigilncia nas dependncias internas da empresa.
10.4.
Manuseio
Devem ser manuseadas somente pelas pessoas ou grupos autorizados no ambiente interno da
empresa, preferencialmente longe do fluxo de circulao normal de pessoas, de forma
cuidadosa, verificando sempre se no h pessoas no autorizadas observando.
10.5.
10.6.
Transporte
Descarte
Mdias Fsicas Devem ser armazenadas em armrios ou gavetas de mesas sem acesso
do pblico externo.
10.7.
Manuseio
Devem ser manuseadas somente por colaboradores da empresa dentro do permetro interno
da empresa.
10.8.
Transporte
Devem ser enviados somente a colaboradores da empresa. Caso a informao interna tenha que
ser enviada para o meio externo, ela dever ser reclassificada como Confidencial.
10.9.
Descarte
Meio Eletrnico Destruir fisicamente, se possvel, ou utilizar meios eletrnicos que tornem as
informaes irrecuperveis.
Mdias Fsicas Triturar, incinerar ou reduzir a mdia em partes que no possam ser recompostas
de modo que as informaes no possam ser recuperadas.
Deve haver uma interao entre a Diretoria de Recursos Humanos e a Diretoria de Tecnologia
da Informao de forma a, mensalmente, verificar a existncia de colaboradores demitidos,
afastados (por qualquer motivo) ou transferidos nas bases de colaboradores ativos de todos os
sistemas.
Toda conta de acesso rede ou sistemas deve ter uma senha configurada, considerando:
Deve-se assegurar que todos os sistemas e ferramentas de rede que armazenem e transmitam
senhas, utilizem criptografia robusta tornando-as ilegveis.
Contas no utilizadas por 90 (noventa) dias devem ser bloqueadas. O bloqueio perdurar at a
ao de desbloqueio. As contas bloqueadas por falta de utilizao, se no desbloqueadas em 90
(noventa) dias devero ser eliminadas dos sistemas.
Nenhum nome de conta revogada (bloqueada ou suspensa) pode ser reutilizado para um
colaborador diferente do qual a conta foi criada.
Deve, ainda, ser utilizada a premissa Tudo proibido, a menos que expressamente permitido
na concesso de acessos.
Mensagens de Correio Eletrnico com informaes confidenciais enviadas via internet (para
endereos externos), devem ser protegidas contra leitura ou adulterao. Desta forma, no
envie informaes confidenciais por e-mail sem criptograf-las.
O uso do correio eletrnico monitorado e no deve ser esperada privacidade do contedo das
mensagens enviadas ou recebidas.
Violaes
11.2.
Sanes
12. Concluso
Toda empresa nos dias atuais, necessita de um departamento de T.I, no apenas para
informatizar a empresa, mas para fazer com que atravs do departamento de T.I, alcance
maiores resultados e com isso fazer com que a empresa continue crescendo com segurana de
a garantia de que todos os servios propostos ao clientes sejam entregue, proporcionando um
atendimento de qualidade de maneira que o cliente fidelize com a Web Rock.
Pensar no departamento de T.I como um investimento, far com que a empresa trabalhe de
forma harmnica e que todos os problemas que possam surgir sejam resolvido dentro do
documento de planejamento de riscos e que de uma forma geral, todos saiam ganhando, a
empresa com seu crescimento significativo, os usurios por trabalharem com conforto e de
forma mais produtiva, assim todos podem alcanar seus objetivos de forma sucinta e
gratificante.