Escolar Documentos
Profissional Documentos
Cultura Documentos
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
ÍNDICE
1. OBJETIVO ................................................................................................................................ 2
2. APLICABILIDADE .................................................................................................................... 2
3. CONCEITOS ............................................................................................................................. 2
4. RESPONSABILIDADES ............................................................................................................. 3
4.1SEGURANÇA CIBERNÉTICA ................................................................................................ 3
4.2TI – INFRAESTRUTURA ...................................................................................................... 3
4.3RH – RECURSOS HUMANOS ............................................................................................... 3
4.4GESTORES .......................................................................................................................... 4
5. ESCOPO DO PROCESSO E PRINCIPAIS ATIVIDADES .............................................................. 4
5.1ACESSO A INFORMAÇÃO .................................................................................................... 4
5.2CRIAÇÃO, ALTERAÇÃO E BLOQUEIO DE ACESSO ............................................................... 6
5.2.1FLUXO – CONTRATAÇÃO – CRIAÇÃO DE LOGIN DE ACESSO A REDE....................... 7
5.2.2FLUXO – ALTERAÇÃO DE ACESSO ............................................................................ 8
5.2.3FLUXO – REVOGAÇÃO DE ACESSOS ......................................................................... 9
5.3REGRAS DE SENHA ............................................................................................................. 9
5.4CONTROLE DE ACESSO PADRÃO ...................................................................................... 10
5.5MECANISMOS DE CONTROLE DE ACESSO ........................................................................ 11
5.6ACESSOS DE TERCEIROS ................................................................................................. 11
5.7REVISÃO PERIÓDICA DE ACESSOS .................................................................................. 12
5.8ACESSO PRIVILEGIADO ................................................................................................... 12
6. DOCUMENTOS INTERNOS RELACIONADOS .......................................................................... 14
7. REVISÃO ................................................................................................................................ 14
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 1 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
1. OBJETIVO
Fornecer orientações para a implementação de controles técnicos apropriados para proteger o acesso
aos ativos de tecnologia da informação e as informações neles contidas.
2. APLICABILIDADE
Esta política aplica-se a todos os "Usuários" que tenham um requisito legítimo para acessar sistemas
de informações de propriedade ou controlados pela empresa em suporte às suas operações de
negócios.
Esta política abrange o ciclo de vida dos controles de acesso lógico do usuário, desde o registro inicial
(contratação), alteração de cargo ou função, cancelamento de registro e revogação do acesso
(demissão). Os controles de acesso se aplicam igualmente a fornecedores terceirizados que prestam
serviços em nome de nossas operações de negócios.
3. CONCEITOS
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 2 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
4. RESPONSABILIDADES
4.2 TI – INFRAESTRUTURA
Solicitar via Service Desk o Bloqueio de usuários na saída de férias ou licença do funcionário;
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 3 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
4.4 GESTORES
As solicitações de acesso aos sistemas de informações corporativas e dados neles contidos, serão
devidamente autorizados e sujeitos a controles de identificação e autenticação que devem ser
concluídos antes que o acesso seja permitido.
O acesso a todos os sistemas e aplicativos devem ser negados por padrão, a menos que uma
solicitação de acesso específica, válida e autorizada tenha sido processada. O acesso é concedido
através da aplicação adequada dos princípios de privilégio mínimo e de "Necessidade de
Conhecimento" e "Necessidade de Ter" em relação ao cargo e funções de um indivíduo.
b) Cada sistema de negócios e / ou aplicativo executado por ou em nome da empresa devem ter
um Proprietário de Negócios (System Owner, quando aplicável) e Administrador do Sistema
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 4 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
c) Os direitos de acesso devem ser controlados (sempre que possível ou aplicável) para restringir
as permissões de um usuário de acordo com as necessidades e função do negócio, ou seja,
ler, escrever, excluir, executar, imprimir, etc;
d) A equipe que desenvolve e mantém o software não pode fazer alterações no código do
programa ou promover novas versões de programas ou submeter scripts no ambiente de
produção sem a aprovação do processo de GEMUD. Os desenvolvedores não devem ter acesso
irrestrito aos sistemas de produção;
e) O acesso aos sistemas de informação exige que um banner de notificação de segurança seja
exibido na tela até que o usuário tome ações explícitas para efetuar o logon e acessar o
sistema - essa notificação os lembrará de suas responsabilidades individuais para salvaguardar
a segurança e integridade dos sistemas e informações que estão usando;
f) As configurações do sistema para controles de acesso devem ser configuradas para "negar
tudo", a menos que controles de autorização específicos sejam implementados para permitir
acesso;
h) O acesso aos ativos de informações corporativas deve ser controlado por meio de um
procedimento formal de registro e cancelamento de registro para conceder e revogar o acesso
com base nas necessidades de negócios e nos requisitos de segurança, garantindo que:
a. Cada "Usuário" é identificado por uma identidade única (ID do Usuário), permitindo que
eles sejam vinculados e responsáveis pelas ações executadas com esse ID de Usuário;
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 5 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
d) A identidade de todos os "Usuários" deve ser verificada e confirmada antes que os controles
de acesso do usuário sejam definidos / redefinidos e / ou desbloqueados;
f) Todas as senhas de novas contas devem ser comunicadas a um novo usuário por meio de
seu gestor imediato, e sua conta deve ser configurada para exigir uma nova senha no
primeiro acesso;
g) Direitos de acesso, para usuários que incluem pessoal terceirizado externo, devem ser
controlados e revisados com o gestor responsável pelo contrato, os acessos devem ser
revogados após a mudança ou saída do emprego da empresa ou deixar de exigir a
necessidade de acesso a um sistema, aplicativo ou dados específicos;
i) As contas que não são mais necessárias porque o indivíduo saiu, mudou de função ou não
tem mais necessidade, devem ser revogadas após a notificação;
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
k) Os funcionários que estão de férias e licenças por mais de 5 dias devem ter seus acessos a
rede bloqueado durante o período de ausência. Exceções devem ser autorizadas pelo RH.
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 7 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 8 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
a) As senhas usadas para acessar os ativos de informações devem estar de acordo com a
política da empresa e os requisitos de negócios relacionados à composição, duração,
expiração e confidencialidade da senha;
o São fáceis de lembrar, mas difíceis de adivinhar. Os usuários nunca devem anotar suas
senhas ou divulgá-las;
o Tenha pelo menos oito caracteres. Senhas nulas (by-pass) são expressamente
proibidas;
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 9 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
o Deve ser alterada no primeiro uso e, no máximo, a cada 60 dias a partir de então;
o Não será o mesmo que pelo menos os dez últimos anteriormente utilizados;
o As contas privilegiadas devem ter suas senhas alteradas imediatamente após o uso;
d) Deve-se evitar a composição de senhas com sequências numéricas (123...) e/ou alfabéticas
(abc...), além de senhas de fácil dedução (nome da máquina, nome do usuário, data de
nascimento, etc.).
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 10 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
b) O uso de qualquer controle de acesso padrão deve ser restrito, rigidamente controlado,
monitorado.
b) Os usuários não podem compartilhar tais mecanismos com nenhuma outra pessoa e não
devem deixar o mecanismo de controle de acesso desacompanhado onde possa ser obtido
ou usado por pessoas não autorizadas;
c) Os mecanismos de controle de acesso devem ser devolvidos e revogados quando não forem
mais necessários para uso, o que pode ser um resultado do indivíduo:
a) As contas usadas pelos fornecedores para manutenção remota só devem ser ativadas
durante o período de tempo necessário e depois desativadas;
b) O gestor (Grupo Confidence / Travelex) responsável pelo contrato do terceiro deve avisar
tempestivamente quanto a saída do terceiro para que os acessos sejam prontamente
revogados;
c) As contas de terceiros devem ser revisadas mensalmente pelo gestor responsável, que
deverá confirmar se a conta de acesso será mantida ou não;
d) O período máximo que uma conta de prestador de serviço permanecerá ativa, será de 90
(noventa) dias, exceto se um prazo maior for informado no momento da solicitação da
criação da conta (não excedendo a 6 meses).
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 11 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
a) A Matriz de Acessos deve ser revista pelo System Owner da informação (com a assistência
de Segurança Cibernética);
b) Os usuários devem ter seus acessos revisados pelo gestor imediato de forma periódica;
d) Revisões para identificar contas inativas com mais de 30 dias devem ser conduzidas, para
verificar se elas são necessárias para uso posterior; se não, eles devem ser revogados;
a) Atenção especial deve ser dada, quando apropriado, para controlar a alocação de direitos
de acesso privilegiado, o que permite que os administradores de sistemas ou
desenvolvedores sobreponham-se aos controles do sistema;
b) Todo o acesso a privilégios de alto nível (por exemplo, Administrador de Domínio nos
sistemas operacionais Windows, raiz no Unix / Linux) deve ser controlado e o acesso às
senhas dessas contas será monitorado;
c) É proibido que um mesmo indivíduo autorize e conceda seu próprio acesso a contas
privilegiadas de alto nível;
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 12 de 14
Norma de Gestão de Acessos a Rede e
Sistemas
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
h) Os usuários com privilégios especiais não estão autorizados a usar seu acesso administrativo
para configurar novas contas de usuário ou alterar contas existentes, fora dos processos
documentados formais para criação e modificação de conta;
k) Deve-se atribuir o menor privilégio possível a uma conta, que deve permitir apenas a
realização das tarefas pertinentes as atividades de rotina do usuário;
l) Os usuários não poderão ter contas com perfil de administrador, nem contas do domínio
com privilégio de administrador local da estação;
m) É proibido (a):
o Conter na formação login algo que identifique como sendo conta de administrador
(Exemplos: Admin, Adm, Administrador, Administrator, pradmin, etc.);
Unidade Responsável:
Código: GGIR-NOR28 Gestão Integrada de Riscos
Versão: 1 Nome da área responsável:
Segurança Cibernética
o Visualizar, excluir ou mover arquivos de rede que não sejam de sua propriedade,
exceto com a autorização do proprietário;
7. REVISÃO
As revisões e atualizações desta Norma deverão ocorrer anualmente, ou de acordo com as revisões
de processos e adequações para atendimento legal ou regulatório.
Histórico de Revisões
Versão Data Descrição das alterações
01 09/07/2019 Elaboração do documento
Sistema Normativo
Este documento:
1 - É exclusivo para uso interno e confidencial. 4 - Deve estar disponível a todos colaboradores.
2 - Deve ser mantido Atualizado pela Área responsável. 5 - Ser divulgado somente pelo Sistema Normativo.
3 - Deve ser coerente entre a prática e suas determinações.
Página 14 de 14