Sumário

INTRODUÇÃO ........................................................................................................................................................... 1

1. O QUE É SEGURANÇA DA INFORMAÇÃO? ...................................................................................................... 2

2. QUAL A IMPORTÂNCIA DO COMPORTAMENTO SEGURO PARA A PETROBRAS? ........................................ 3

3. ATITUDES PARA O COMPORTAMENTO SEGURO ........................................................................................... 4

3.1. MESA LIMPA E BLOQUEIO DA ESTAÇÃO DE TRABALHO ............................................................................................... 4

3.2. DOCUMENTOS EM IMPRESSORAS E COPIADORAS ...................................................................................................... 4
3.3. TRATAMENTO DAS INFORMAÇÕES .......................................................................................................................... 4
3.4. CORREIO ELETRÔNICO........................................................................................................................................... 5
3.5. SENHA ................................................................................................................................................................ 5
3.6. REUNIÕES............................................................................................................................................................ 6
3.7. APRESENTAÇÃO PARA PÚBLICO EXTERNO ............................................................................................................... 6
3.8. USO DE CRACHÁ ................................................................................................................................................... 7
3.9. ENGENHARIA SOCIAL............................................................................................................................................. 7
3.10. CONVERSA EM AMBIENTES PÚBLICOS ...................................................................................................................... 8
3.11. DESCARTE DE INFORMAÇÕES ................................................................................................................................. 8
3.12. REDES SOCIAIS E APLICATIVOS DE MENSAGEM INSTANTÂNEA ................................................................................... 8
3.13. CANAIS DE ATENDIMENTO PARA INCIDENTES DE SEGURANÇA DA INFORMAÇÃO ............................................................ 9

REFERÊNCIAS ..........................................................................................................................................................12

Versão:3 | SET/2018
Gestor:
ISC/INTL/SIA
Introdução
Caro(a) leitor(a),

Com o objetivo de desenvolver uma cultura de segurança da informação na Petrobras, a

Gerência Executiva de Inteligência e Segurança Corporativa elaborou este Guia Prático para
oferecer conhecimento sobre o tema e estimulá-lo a adotar um comportamento seguro no
seu cotidiano.

A segurança da informação é um tema que faz parte da nossa vida. Os canais de comunicação
frequentemente veiculam notícias sobre o tema, vivenciamos ou conhecemos pessoas que
tiveram seu computador infectado por vírus, cartão de crédito clonado, roubo de identidade
nas redes sociais, dentre outros exemplos. No que diz respeito a Petrobras, sabemos que um
incidente de segurança da informação pode impactar direta e negativamente a empresa,
abalando a confiança de seus clientes e o relacionamento com sua rede de parceiros e
fornecedores.

Nas próximas páginas apresentaremos o conceito e a importância do tema Segurança da

Informação, e algumas dicas de atitudes que nós devemos tomar para o comportamento
seguro. São ações simples, mas quando observadas podem fortalecer a proteção das
informações empresarias da companhia e prevenir, dentre outros riscos, que pessoas não
autorizadas as acessem.

Boa leitura.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 1
1. O que é segurança da informação?

Segurança da informação é a preservação do sigilo, da integridade, da disponibilidade e da

autenticidade da informação. Adicionalmente, outras propriedades, tais como
responsabilidade, não repúdio e confiabilidade podem também estar envolvidas.

 Sigilo: segredo; de conhecimento restrito a pessoas credenciadas; proteção contra

revelação não autorizada;

 Integridade: salvaguarda da exatidão e completude da informação e dos métodos de

processamento;

 Disponibilidade: garantia de que os usuários autorizados obtenham acesso à

informação e aos ativos correspondentes sempre que necessário;

 Autenticidade: propriedade de que a informação foi produzida, expedida, modificada

ou destruída por uma determinada pessoa física, ou por um determinado sistema,
órgão ou entidade.

Esses conceitos são aplicados no ciclo de vida da informação e podem ser encontrados no
padrão DI – 1PBR – 00289 - Identificação do Nível de Proteção e Tratamento de Informações
da Petrobras.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 2
2. Qual a importância do comportamento seguro para a Petrobras?

O conhecimento produzido pela Petrobras é um dos patrimônios mais importantes e, como

tal, deve ser protegido. O tratamento inadequado das informações pode propiciar ou incorrer
em incidentes de segurança da informação, indisponibilidade da rede interna, de sistemas, de
instalações industriais e impactar no sucesso do negócio.

Somente com ações de proteção e atitudes preventivas poderemos contribuir para a

ampliação do diferencial competitivo da companhia.

Para isso, a Petrobras trabalha e investe constantemente em iniciativas de proteção, com o

intuito de atender ao plano de ação criado para evitar que a segurança das informações
empresariais seja comprometida.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 3
3. Atitudes para o comportamento seguro

Ter um comportamento seguro é tomar atitudes, em seu dia a dia, que garantam a segurança
de suas informações pessoais e da companhia.

3.1. Mesa limpa e bloqueio da estação de trabalho

 Guarde os papéis (lembretes, listas de telefones, agendas pessoais, atas de

reuniões, estudos, projetos, carimbos etc.) e os dispositivos de armazenamento em
locais seguros;

 Bloqueie o computador e o notebook, na sua ausência.

O método a seguir bloqueia estações de trabalho que utilizam Windows: Pressione,

simultaneamente, as teclas CTRL+ALT+DEL e depois ENTER ou as teclas

3.2. Documentos em impressoras e copiadoras

 Documentos com informações sigilosas, quando impressos ou copiados, devem ser

imediatamente recolhidos.

Este cuidado impedirá o acesso às informações por pessoas não autorizadas.

3.3. Tratamento das Informações

 O padrão de Identificação do Nível de Proteção e Tratamento de Informações da

Petrobras (DI – 1PBR - 00289) orienta a forma de tratamento a ser adotada em cada
etapa do ciclo de vida da informação (Recebimento, Elaboração, Manuseio,
Reprodução, Divulgação Interna e Externa à companhia, Armazenamento,
Transporte, Transmissão Interna e Externa à companhia e Descarte);

 Assegure-se que todos os documentos manuseados em sua gerência estejam

identificados conforme os níveis de proteção, estejam eles em papel, arquivos,
discos, fitas ou qualquer outro dispositivo de armazenamento;

 Para saber como devem ser concedidas as devidas autorizações de acesso lógico
para as diferentes etapas de tratamento das informações sob sua responsabilidade
basta verificar no padrão Gestão de Acessos Lógicos (PE-1PBR-00029).

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 4
3.4. Correio eletrônico

 Evite abrir arquivos anexados ou acessar links recebidos em e-mails com

remetentes desconhecidos ou suspeitos. Lembre-se sempre que estes podem
conter um vírus que, ao ser aberto, pode causar sérios danos ao seu computador e à
rede integrada corporativa;

 Ao encaminhar mensagens com informações empresariais NP-3 para endereços

externos é necessário solicitar o apoio da TIC para a assinatura de certificado
digital, pois o sistema de criptografia não funciona nesses casos ;

 É proibido usar o endereço de e-mail corporativo para cadastros em sites da

internet;

 Rotular as informações é muito importante, por isto, lembre-se de classificar as

atas, PROAR e os DIP’s.

3.5. Senha

 O uso de uma senha forte e complexa é importante para evitar o acesso indevido às
suas informações.

Para a construção de uma senha forte:

 Utilize letras minúsculas, maiúsculas e números;

 Não utilize nomes próprios nem palavras de dicionário, mesmo que estejam
invertidas;
 Não faça referências ao seu nome, a pessoas conhecidas e datas, como as de
aniversário e casamento.

 Ao alterar sua senha, troque todos os caracteres ao invés de trocar somente uma
parte da senha atual:

Exemplo: se sua senha era etuSFO11 não mude para etuSFO12, pois se você trocar
apenas um caractere não será difícil descobrir a nova senha.

 Nunca anote sua senha;

 Nunca divulgue ou compartilhe sua senha;
 Mude suas senhas periodicamente;
 Nunca use sua senha corporativa em ambientes da Internet que não sejam da
Petrobras!

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 5
3.6. Reuniões

 Verifique o nível de proteção das informações empresariais que são expostas na

reunião e como devem ser tratadas;

 Informações NP-2, NP-3 e NP-4 não podem ser transmitidas por microfone sem fio;

 Lembre-se de fixar o cabo de segurança nos equipamentos pessoais e da Petrobras

(projetor, notebook);

 Nos intervalos da reunião, não comente os assuntos que foram tratados na mesma;

 Tranque a sala, caso ela fique vazia durante os intervalos.

Ao fim da reunião, cabe ao responsável certificar-se de que nenhum equipamento e

informação empresarial tenha sido esquecida.
O responsável deve retirar todos os equipamentos da sala, recolher anotações e
materiais impressos, esvaziar a lixeira dos computadores e apagar as informações
de quadros e painéis.

3.7. Apresentação para público externo

 Caso seja necessário fazer alguma apresentação em nome da Petrobras, em eventos

ou seminários, para público externo, obtenha autorização prévia dos gestores das
informações que serão divulgadas.

Durante ou após a apresentação, tenha cuidado com orientações e respostas às

perguntas, pois podem conter informações que interessem outras pessoas que
tenham a intenção de obter informações estratégicas a respeito da Petrobras.
Restrinja suas respostas às informações de divulgação autorizada ou àquelas que
sejam de conhecimento público. Busque sempre orientação nos padrões existentes
na companhia, apresentados nas Referências deste guia.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 6
 3.8. Uso de crachá

 Lembre-se de guardar o crachá ao sair das instalações da Petrobras.

O crachá da Petrobras deve ser utilizado em local visível quando você estiver na
Companhia e guardado quando sair dela, evitando sua identificação e o acesso às
instalações da Companhia, por pessoas mal-intencionadas.

3.9. Engenharia social

 A Engenharia Social é um método de persuasão utilizado por uma pessoa experiente

(engenheiro social) para obter informações sigilosas de empresas ou pessoas, tendo
como alvo qualquer indivíduo com acesso à essas informações.

As principais características de um engenheiro social são paciência, capacidade de

improviso, simpatia, habilidade no trato com as pessoas e facilidade de
comunicação. Sua atuação é precedida de um levantamento de informações a
respeito do alvo escolhido.

 Algumas vezes, técnicas de engenharia social são utilizadas num contexto de

espionagem empresarial, resultando, quase sempre, em algum tipo de dano ou
perda de vantagem para a empresa, ou como instrumento de inteligência
competitiva.

Dicas para evitar a Engenharia Social

 Ao receber um telefonema de uma pessoa estranha que conheça detalhes a seu

respeito ou de seu trabalho, não passe informações. Busque obter dela o máximo de
referências possíveis. Para confirmar com quem você está falando, solicite nome, e-
mail e um número de telefone de contato para retornar mais tarde.

 Não divulgue ou exponha dados como nomes, funções, números de telefones,

endereços eletrônicos, informações a respeito de pessoas ou sobre a companhia que
possam servir aos propósitos do engenheiro social.

 Redobre sua atenção em eventos sociais para não comentar sobre informações
empresariais, especialmente quando houver consumo de bebidas alcoólicas.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 7
3.10. Conversa em ambientes públicos

 Evite falar sobre assuntos relacionados ao seu trabalho em eventos sociais, cursos,
meios de transporte, aeroportos, restaurantes, elevadores e, principalmente, ao
celular.

Fique sempre atento. Sem que você perceba, alguém pode prestar atenção à sua
conversa e usar as informações em proveito próprio, causando danos financeiros,
operacionais ou à imagem da companhia.

3.11. Descarte de informações

 As mídias com informações empresariais, em meio físico ou lógico, devem ser

descartadas de forma segura.

Quando contiverem informações empresariais, deverão ser inutilizadas

completamente, pois o lixo pode ser uma grande fonte de informações para alguém
mal-intencionado. O uso de trituradoras é indicado para o descarte de documentos
impressos e CDs. Para o descarte de mídias eletrônicas tais como: pendrive, HD
externo ou interno e cartões de memória requerem descarte especial. Para obter
mais informações consulte o padrão DI – 1PBR - 00289 - Identificação do Nível de
Proteção e Tratamento de Informações da Petrobras.

3.12. Redes Sociais e Aplicativos de Mensagem Instantânea

 A Petrobras não permite a veiculação de fotos ou vídeos mostrando instalações da

empresa, bem como mensagens contendo informações empresariais (NP-1, NP-2,
NP-3 e NP-4);

Observe sempre o tipo de informação que você insere nos aplicativos de mensagem
instantânea, tais como: WhatsApp, Telegram, Messenger e de acesso às redes
sociais (Facebook, Instagram, etc), pois não há garantias a respeito do sigilo desses
meios de comunicação. Existem regras de conduta a serem seguidas, tanto dentro
da empresa quanto nos aplicativos. O uso sem os devidos cuidados pode trazer
prejuízos para os usuários e para a companhia.

 Utilize sempre antivírus no celular para evitar o vazamento das informações, vídeos
e fotos. Caso esteja utilizando o seu aparelho pessoal, basta escolher uma das
opções gratuitas que estão disponíveis nas lojas oficiais de aplicativos. Caso seu
aparelho seja corporativo, essa tarefa fica a cargo da TIC;

 Para não correr os riscos de vazamento de informação, bem como de possíveis

ataques de engenharia social, evite a exposição excessiva de sua vida pessoal e

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 8
 profissional nas redes sociais e cuidado com o conteúdo de fotos e assuntos
relacionados a sua rotina e ao seu trabalho.

3.13. Canais de atendimento para incidentes de segurança da informação

Você sabe o que é incidente de Segurança da Informação?

Incidente de Segurança da Informação é o descumprimento dos padrões de
segurança da informação da Companhia ou qualquer evento ou ocorrência que
promova uma ou mais ações que comprometam ou que sejam uma ameaça à
disponibilidade, à integridade, ao sigilo ou à autenticidade das informações da
Petrobras ou sob responsabilidade da empresa.

 Qualquer pessoa pode comunicar um incidente de segurança da informação, basta

entrar em contato com a Gerência Regional da ISC que atende a sua localidade.
Os horários de atendimento são iguais aos das respectivas áreas administrativas de
cada unidade organizacional. Após esses horários, o contato pode ser realizado para
o Plantão da ISC.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 9
 Chave Números
Gerências Abrangência Rota
estrutural externos
São Paulo
Mato Grosso 851-6159 (11) 3523-6159
Mato Grosso do Sul
S2ZU
SCSPSUL Litoral Paulista 759-7130 (13) 3249-7130
Paraná
756-6770 (41) 3641-6770
Santa Catarina
Rio Grande do Sul 857-2997 (51) 3415-2997

Centro do Rio de Janeiro 814-6472 (21) 3224-6472

S2ZR
SCRIO
Grande Rio 712-0495 (21) 2162-0495

Brasília 709-7200 (61) 3429-7200

Espírito Santo 705-1090 (27) 3295-1090

S20R
SCLECO
Goiás
718-3266 (31) 3298-3226
Minas Gerais
767-7440 (22) 3377-5259
Norte Fluminense
767-5259 (22) 3377-9440

Alagoas
731-2031 (79) 3212-2031
Sergipe
S20E
SCNE-I Paraíba 735- 4446 (81) 3464-4446
Pernambuco 735 - 4449 (81) 3346-4449
Bahia 721-4803 (71) 3348-4803

Acre
Amapá
Amazona 743-6082 (92) 3627-6082
Rondônia
Roraima
GOSCN
SCNNE-II Pará
Maranhão 744-3234 (91) 3213-3234
Tocantins

Ceará
838-3577 (85) 3266-3577
Piauí

Rio Grande do Norte 734-3838 (84) 3235-3838

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 10
 E, ainda, com o Plantão da ISC, disponível em regime 24h x 7 dias/semana, inclusive
feriados, por meio dos canais abaixo:

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 11
Referências

Sistema Integrado de Processos e Padronização (SINPEP)

PL-0SPB-00014 - Política de Inteligência Protetiva e Segurança Corporativa;

DI-1PBR-00185 - Diretrizes para a Segurança da Informação, dos Canais de Comunicação e

dos Sistemas de Automação;

DI-1PBR-000289 - Identificação do Nível de Proteção e Tratamento de Informações da

Petrobras;

PP – 1PBR – 00535 – Proteger Informações, Canais de Comunicação e Sistemas de

Automação.

PE-1PBR-00029 - Gestão de Acessos Lógicos.

Versão: 3 | SET/2018
Gestor: ISC/INTL/SIA 12