Poltica de Segurana

1 Introduo
1.1 Motivao
Nos tempos atuais de globalizao a posse da informao significa enormes oportunidades de negcios,
principalmente para uma instituio como a XPTO, que possui na informao o seu principal patrimnio.
Com essa motivao que essa poltica de segurana foi desenvolvida. Nesse documento esto explcitas
um conjunto de declaraes de intenes que recomenda-se para a XPTO.

1.2 Proposta
Esse documento descreve a Poltica de Segurana de bens e servios de tecnologia da informao para a
empresa XTPO.
A poltica define as diretrizes necessrias para a segurana dos bens e servios de tecnologia da informao
adquiridos, desenvolvidos, disponibilizados ou mantidos pela XPTO, visando preservar a sua integridade,
confiabilidade, disponibilidade e acessibilidade.

1.3 Objetivos
O objetivo primrio dessa poltica assegurar a proteo a todas as atividades relacionadas tecnologia da
informao na empresa XPTO. Nela sero estabelecidos padres de segurana que visam garantir a
integridade, confidencialidade e disponibilidade dos bens e servios de tecnologia da empresa.
Outro objetivo a necessidade de aumentar a conscincia dos usurios sobre as suas responsabilidades para
com a empresa XPTO. Alertar sobre a importncia de confiabilidade e sigilo quando tratando com
informaes da empresa e encorajar o comportamento tico e correto a todos aqueles que utilizam os
recursos computacionais da empresa.

1.4 Abrangncia
Essa poltica aplicada a todos os usurios, clientes, fornecedores e visitantes que tenham ou venham a ter
contato atravs de acesso local ou remoto a quaisquer bens e servios de tecnologia da informao
adquiridos, desenvolvidos, disponibilizados ou mantidos pela XPTO,

1.5 Reviso da Poltica de Segurana

1.5.1 De acordo com as necessidades de utilizao de novos softwares, novos servios ou mesmo com o
surgimento de novas formas de burlar a segurana da empresa, e sempre que ocorrer algo no previsto que
gere dvidas com relao a poltica de segurana atual.
1.5.2 A reviso da Poltica de Segurana deve ser realizada sempre que se fizer necessrio, pois como
envolve diretrizes necessrias para a segurana dos usurios, dos sistemas de informao e dos servios de
tecnologias, deve manter-se sempre atualizada.
1.5.3 Sugestes de reviso por parte dos usurios tambm devem ser analisadas pelos responsveis pela
Poltica de Segurana.

1.6 Divulgao da Poltica

1.6.1 obrigao da empresa divulgar a todos os seus funcionrios a poltica de segurana. A divulgao
ser feita atravs da publicao de uma cpia fixada no mural de cada setor.
1.6.2 A divulgao da poltica deve ser clara e ampla, para que todos os usurios tenham acesso a elas e
possam compreend-las.
1.6.3 Todo funcionrio que entrar na empresa e os j existentes devem assinar um termo de
responsabilidade e de conhecimento da poltica de segurana da empresa a fim de se evitar alegaes de
desconhecimento.
1.6.4 As alteraes das polticas de segurana devem ser comunicadas aos usurios um perodo antes da
mesma ser implementada, para que os usurios possam adaptar-se a mesma. Fazendo com que os usurios
assinem o termo de responsabilidade e de conhecimento das novas polticas de segurana.

2 Conceitos
2.1 Funcionrios
2.2 Estgirios
2.3 Coordenadores
2.4 Clientes
2.5 Visitantes
2.6 Usurios
2.7 Recursos de Hardware
2.8 Recursos de Software
2.9 Informao
2.10 Rede

3 Propriedade
3.1 Os bens e servios da tecnologia da informao utilizados pela XPTO so de sua propriedade e/ou
custodiado de seus clientes.
3.2 Para preservar os direitos de propriedade, todos os bens e servios de tecnologia da informao
adquiridos, desenvolvidos, disponibilizados ou mantidos pela XPTO devero ser protegidos atravs de

clusulas contratuais, termos de responsabilidade e/ou outra forma legal de proteo , bem como
registros de patentes quando necessrio.
3.3 No permitido a entrada de equipamentos nem a retirada de qualquer bem da empresa, sem antes a
devida autorizao dada pela gerncia do setor responsvel.
3.4 Como todos os bens e servios oferecidos so de propriedade da XPTO, os usurios devem manter o
zelo por esses bens e servios, alm de respeitar e seguir as normas propostas na Poltica de Segurana.
3.5 Os bens e servios so da XPTO, os usurios no podero usufruir destes bens ou servios para
benefcio prprio, ou de outrem seno para a empresa.
3.6 Toda informao que trafegar atravs da rede de computadores da XPTO Inc. que no estiver
explicitamente identificada como propriedade de terceiros dever ser tratada como patrimnio da XPTO
Inc. Esta definio tem por objetivo proibir o acesso no autorizado, a divulgao, a duplicao, a
modificao, a distribuio, a destruio, a perda, o uso inapropriado ou o roubo das informaes de
propriedade da XPTO Inc.

4 Polticas gerais de Segurana

A manipulao irregular, divulgao ou uso indevido da informao e dos recursos computacionais da
XPTO expressamente proibida. A violao dessa determinao considerada falta grave.
Nenhum usurio pode monitorar o trfego da rede ou simular algum dispositivo da rede, sem a devida
autorizao da gerncia de informtica. A violao dessa determinao considerada falta grave.
No informar em cadastros ou listas pblicas nomes completos ou e-mails pessoais ou personalizados com
dados pessoais. D preferncia aos dados do departamento ou funo.
Rever periodicamente a topologia de segurana, dando prioridade compactao do tamanho da rede
existente. Sistema Operacional e Aplicativos
Identificar qual sistema operacional fornece os melhores recursos para as aplicaes requeridas. Desabilitar
as funes e comandos no necessrios boa execuo dos aplicativos. Atualizar os patchs e services packs
do sistema operacional e dos aplicativos.
As senhas de acesso devero utilizar mais de 10 caracteres, dando preferncia s combinaes
alfanumricas, com smbolos.
Em caso de tentativas de acesso incorreto, as contas de acesso devem ser bloqueadas e um relatrio de
ocorrncia gerado ao administrador do recurso.
Transmisso de Dados Formar um circuito de transmisso fechado e seguro (de preferncia criptografado)
aos dados passados. Exigir que todas as mensagens eletrnicas sejam feitas com assinatura digital validada.
O acesso remoto a rede da empresa sera sempre realizado utilizando-se chamadas com CALLBACK para
usurios registrados e registrar no LOG os telefones chamados pelo callback. Para esse acesso devem-se
criar grupos de usurios para cada recurso disponvel e montar uma topologia de grupos que oriente o
administrador nas permisses que sero habilitadas

4.1 Poltica de Log

4.1.1 Es una decision gerencial determinar la accion a seguir con los backups de logs que se realizan.
Siendo una posibilidad almacenar todos o hacer una rotacion cada N backups.
4.1.2 Os dados que, preferencialmente, devero constar nos arquivos de log de acesso a servios
disponveis no(s) servidor(es) so os seguintes:- data- hora- endereo origem- login - servio
4.1.3 Para todo e qualquer servio instalado no(s) servidor(es), dever ser gerado um log para anlise de
sua utilizao.
4.1.4 responsabilidade do(s) Adminstrador(es) a anlise/avaliao dos arquivos de log gerados pelos
servidores da Instituio.
4.1.5 Se deberan sincronizar los servidores usando algun protocolo como NTP, para poder analisar los logs
de forma centralizada.
4.1.6 La gerencia debera ser informada de las intrusiones detectadas mediante el analisis de logs. Asi como
tambien deberan reportarse el uso indebido de los recursos por parte de los usuarios.
4.1.7 Manter os logs e registros de ocorrncias por cinco anos no mnimo e armazenado em rea segura e
restrita.

4.2

POLITICAS DE BACKUP

4..2.1 En primera instancia se debe determinar cuales son los datos criticos de la organizacion (es decir los
datos que constituyen la informacion corporativa) de los cuales deberan realizarse las copias de seguridad
periodicas.
4.2.2 Los usurios devem ser orientados a armazenar seus dados importantes, no servidor de arquivos da
Instituio.
4.2.3 responsabilidade do Administrador a execuo de backup's peridicos, dos dados armazenados
no(s) servidor(es) de arquivos, sendo que o mesmo deve ser realizado no mnimo semanalmente, o no
cumprimento deste constitu falta grave.
4.2.4 Os meios de armazenamento (fitas, CD's ou DVD's) utilizados nos backup's, devero ser armazenados
em uma sala com dispositivos de segurana (contra invaso de terceiros, intempries, incndio, etc.), sendo
que somente tero acesso a esta sala o(s) Administrador(es) da rede e a Diretoria da Institio, ou pessoas
previamente autorizadas pelos mesmos.
4.2.5 Realizar despues de la instalacion de un servidor, un backup (el cual deberia estar firmado y/o
encriptado) con la informacion de configuracion (read only) de los filesystems de dicho servidor.
4.2.6 Se debera establecer un horario de poco trafico durante el cual se realicen las tareas relacionadas con
las copias de seguridad, de modo tal que dichas tareas no afecten la disponibilidad de los servicios.

4.3

Acesso Internet

4.3.1 - Inclui-se nesta Poltica tambm o uso do tempo e natureza de contedo acessado pelos usurios, que
devem sempre ser relacionados com o trabalho que o mesmo esta desempenhando. Esse item vlido
durante todo o tempo de permanncia do usurio na empresa.

4.3.2 - Trfego de Informaes:

4.3.2.1 - Todo e qualquer arquivo ou software obtido por download originado fora da rede da XPTO Inc.
deve ser submetido a verificao de vrus antes de ser aberto ou executado, mesmo que a origem do mesmo
seja de fonte "conhecida" da XPTO Inc.
4.3.2.2 - Toda informao obtida via Internet deve ser considerada suspeita at ser confirmada por outra
fonte de informao diferente daquela que a
originou.
4.3.2.3 - No caso da fonte da informao ser considerada "conhecida" da XPTO Inc., e no for utilizada
nenhuma ferramenta do tipo PEM (privacy enhanced e-mail) ou autenticao da origem via criptografia, a
mesma deve permanecer sob suspeita.

4.3.3 - Proteo da Informao:

4.3.3.1 - Nenhuma informao considerada sigilosa pela XPTO Inc. pode ser enviada ou recebida via
Internet sem estar devidamente protegida por mtodos criptogrficos de renomada eficcia.

4.3.4 Utilizao dos Recursos:

4.3.4.1 - permitido aos usurios da XPTO Inc. "navegar" na Internet, mas no caso dessa "navegao" ser
de interesse pessoal do usurio, o mesmo deve faz-la fora de seu horrio convencional de trabalho. Bem
como jogos, bate-papos e demais atividades pessoais tambm devem ser realizadas fora do horrio de
trabalho do usurio.

4.3.5 - Controle de Acesso:

4.3.5.1 - Todo usurio da XPTO Inc. deve ser autenticado atravs do FIREWALL e utilizar um protocolo
seguro para a comunicao antes de obter acesso remoto aos recursos computacionais da companhia.

4.3.6 - Correio Eletrnico:

4.3.6.1 - Propriedade: Os sistemas de correio eletrnico e todas as mensagens que atraves destes
trafegarem, incluindo suas copias back-up, so consideradas de propriedade da XPTO Inc., no sendo de
propriedade dos usurios do sistema.
4.3.6.2 - Uso Aceitvel: Os sistemas de correio eletrnico da XPTO Inc. em geral devem ser utilizados
apenas para negcios de interesse da companhia.
4.3.6.3 - A utilizao dos sistemas de correio eletrnico da compania para fins pessoais permitida,
contanto que:
a) Nao cause sobrecarga nos recursos do sistema;

b) Nao interfira na produtividade;

c) Seja executada fora de horario de trabalho ou que nao seja tratada como prioridade contra as
demais atividades de trabalho.
4.3.6.4 - Privilgios Gerais: Os privilgios quanto a utilizao do correio eletrnico pelos usurios finais
restringe-se queles e apenas aqueles que sejam necessrios para a execuo habitual de suas tarefas. Os
usurios finais do correio eletrnico no devem possuir privilgios para modificar o funcionamento do
sistema de correio eletronico da compania em qualquer aspecto. Mensagens tipo "broadcast" ou para listas
internas da compania devem ser utilizadas apenas em situacoes excepcionais e/ou com a permisso do
administrador do sistema.
4.3.6.5 - Individualizao dos Usurios: Todos os usurios do correio eletrnico da companhia devem
possuir uma nica conta individual no sistema, protegida por senha, e devem ser autenticados ao acessa-lo.

5 Responsabilidades
5.1 Dos usurios
Os funcionrios so resistentes, os gerentes so resistentes, os diretores so resistentes, a presidncia
resistente. Todos devem estar envolvidos no processo, as vrias reas afetadas. A metodologia utilizada
ser a de criar ciclos de palestras onde toda a documentao apresentada de uma forma clara e
interessante ao pblico. Tirar os nomes tcnicos e apresentar como uma seqncia, uma estria, onde a
segurana da informao o protagonista, so adaptaes das metodologias utilizadas em treinamentos de
segurana do trabalho, e que funcionam.
5.1.1

Respeitar e cumprir as determinaes da poltica de segurana

Todos os usurios devem respeitar as regras estabelecidas pela poltica de segurana. Deve estar claro a
estes usurios que o no cumprimento das mesmas os deixaro sujeitos a punies. Antes de lhes impor
estas regras preciso, porm, um processo que venha a demonstrar-lhes o porqu destas regras. Isto evita
transtornos por parte destes usurios que muitas vezes no se conformam com aquilo que lhes foi imposto.

5.1.2

Manter a salvaguarda os recursos sob sua responsabilidade

Todos os usurios (do funcionrio ao presidente) so responsveis pela classificao das informaes sob
sua utilizao, assim como por zelar pela manuteno de sua confidencialidade, integridade e
disponibilidade. Isso no um pedido a ser feito, e sim uma premissa a ser seguida.
Cada usurio deve comprometer-se com aquilo que tem acesso. Deve ainda manter segura a informao de
que lhe disponibilizada, assim como o responsvel pelo sistema preocupa-se com a sua funcionalidade e
segurana. Jamais o usurio em questo deve divulgar dados referentes a sua rea a terceiros. Somente
aquelas pessoas que devem receber a informao deste usurio que efetivamente a tero, mesmo que tal
usurio tenha "garantido" que a disseminao desta informao no comprometa os demais dados.
Senha
A senha a identificao daquele usurio no sistema. , portanto, a prova de que aquilo que foi feito partiu
deste usurio, e no de outros que se dizem ser ele. Podemos considerar a senha uma ferramenta que evita
que, em muitos casos, um problema no sistema inteiro venha a ser causado por uma falha humana. Entre
outras coisas, evita que usurios tenham acesso a informaes no convenientes a eles e garante a
informao certa a cada um dos mesmos.

A senha funciona como uma assinatura digital, identificando o usurio e autorizando servios. O respaldo
legal deste tipo de identificao o grande responsvel pela sua utilizao. Como exemplos citamos
fomento das transaes on-line (comrcio eletrnico),e pelas mquinas bancrias de auto-atendimento
(cash dispenser).
5.1.3

Somente acessar os recursos sob sua responsabilidade

Se um usurio eventualmente tem acesso a uma informao que no de sua responsabilidade, este no
deve alter-la, mesmo que o responsvel por tal autorize. Em alguns casos, a boa vontade pode ser danosa,
pois todos estamos sujeitos a cometer erros e alterar informaes preciosas mesmo que no se tenha a
inteno de faz-lo.
Usurios so responsveis individualmente pelos recursos alocados a eles.

5.2 Da XPTO:
5.3.1 Os diretores da XPTO so responsveis por garantir que a poltica de segurana que ir ser aplicada
na empresa/Instituio seja passada para todo o quadro de funcionrios.
5.3.2 Cada departamento responsvel por garantir que os dados que estaro sob seu controle sejam
guardados com sigilo, devendo garantir, caso os dados dos alunos estejam on-line, que os dados no sejam
acessados e modificados.
5.3.3 Estabelecer e divulgar punies, caso o usurio venha a descumprir esse poltica. Essas punies
devem ser clara e bem divulgadas pela empresa.
5.3.4 Definir e manter procedimentos de contingncia para os recursos sob sua responsabilidade.

6 Penalidades
6.1

Da Falta Grave Cometida

Para efeito de Poltica de Segurana Considera-se uma Falta Grave:

6.1.1

Repassar qualquer informao de exclusividade da organizao XPTO inc, para terceiros ou

quaisquer pessoas que no a meream. Facilitar meios de outras pessoas conseguirem essas
informaes ou mesmo ajuda-las.

6.1.2

Manipulao de quaisquer tipos de documentos eletrnicos, meios magnticos ou mesmo o

prprio desvio de informaes, para um uso prprio ou de terceiros.

6.1.3

Participar de quaisquer tipos de ataques a sistemas de informao. No importando o grau de

funcionalidade do ataque.

6.1.4

Obter indevidamente acessos a recursos de qualquer natureza, que no seja de responsabilidade do

indivduo.

6.1.5

Instalao de qualquer software ou hardware que no seja de conhecimento e consentimento do

setor de informtica, ou mesmo que facilite acesso a informaes da empresa XPTO inc.

6.2

Das disposies gerais

A empresa XPTO inc reserva-se o direito tanto no contexto administrativo como jurdico de punir as
pessoas que no cumprirem de acordo a poltica de segurana da empresa ou mesmo terem faltas graves no
contexto.
Estas punies podem chegar a ser advertncia, suspenso ou at mesmo a demisso do mesmo.
Isso no impede que a empresa tome atitudes jurdicas baseadas na assinatura do empregado no termo de
responsabilidade.
Dependendo do grau de danos empresa, a XPTO inc reserva-se o direito de tomar as decises que queira.
Revogam-se as disposies em contrrio