Normatização de Segurança da Informação
OBJETIVOS
Estabelecer diretrizes que permitam aos colaboradores da Nexxus Sistemas seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
Preservar as informações da Nexxus Sistemas quanto à:
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
APLICAÇÕES DA NSI
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.
Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador manter-se atualizado em relação a esta NSI e aos procedimentos e normas relacionadas.
PRINCÍPIOS DA NSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela Nexxus Sistemas pertence à referida empresa.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
A Nexxus Sistemas, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
REQUISITOS DA NSI
Para a uniformidade da informação, a NSI deverá ser comunicada a todos os colaboradores da Nexxus Sistemas a fim de que a política seja cumprida.
Essa NSI sofrerá revisão ANUAL.
Tanto a NSI quanto as normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores.
Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos.
Esta NSI será implementada na Nexxus Sistemas por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.
O não cumprimento dos requisitos previstos nesta NSI acarretará violação às regras internas da instituição e sujeitará o colaborador às medidas administrativas e legais cabíveis.
DAS RESPONSABILIDADES ESPECÍFICAS
Dos Colaboradores em Geral
Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da Nexxus Sistemas.
Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar a Nexxus Sistemas e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
Do Departamento de Tecnologia da Informação
Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta NSI.
Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes.
Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário já totalmente limpo das informações anteriores.
Toda vez que um equipamento for descartado, deverá ser feita a limpeza total de dados e aplicativos instalados.
Definir as regras formais para instalação de software e hardware em ambiente de produção.
Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
Monitorar o ambiente de TI, gerando indicadores e históricos de:
uso da capacidade instalada da rede e dos equipamentos;
tempo de resposta no acesso à internet e aos sistemas críticos;
períodos de indisponibilidade no acesso à internet e aos sistemas críticos;
incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);
Monitoramento e auditoria
A Nexxus Sistemas poderá:
implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede, a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;
instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.
Descarte de documentos sensíveis ao negócio
Toda documentação considerada sensível/confidencial deverá ser descartada após uso em máquina fragmentadora de maneira a ficar totalmente destruída sem condições de acesso.
As áreas que lidam ou geram essas informações deverão ter o equipamento a disposição e em perfeito estado de uso.
Acesso a INTERNET
Visando a normatizar a utilização do acesso a internet, segue abaixo as normas definidas.
- A Empresa possui software e sistemas em funcionamento que permitem monitorar e gravar toda a utilização da Internet;
- A Empresa reserva-se o direito de inspecionar todas as pastas armazenadas em áreas privadas da sua rede, com o objetivo de garantir o cumprimento da política;
- Não deve ser exibido, acessado, arquivado, guardado, distribuído, editado ou gravado nenhum material de conteúdo indevido, pornográfico, ofensivo, discriminativo ou preconceituoso, recorrendo à rede ou os recursos de informática da empresa, incluindo ou não o acesso à Internet;
- A utilização de quaisquer recursos da Empresa para atividades ilegais é motivo para demissão imediata e a direção compromete-se a cooperar com qualquer investigação por parte das autoridades legais legítimas;
- Nenhum colaborador pode utilizar deliberadamente as instalações da Empresa para efetuar o download ou distribuir software ou dados piratas;
- Nenhum colaborador pode utilizar a tecnologia de acesso a Internet da Empresa para propagar deliberadamente vírus, worms, cavalos de tróia ou qualquer tipo de código malicioso;
- Os colaboradores podem utilizar a ligação à Internet para pesquisa ou navegação não relacionada com o trabalho durante o período de almoço ou através de solicitação a Supervisão, desde que todas as outras regras de utilização sejam cumpridas;
- Os colaboradores com acesso à Internet poderão efetuar o dowload de software cuja utilização esteja diretamente relacionada com o trabalho, somente mediante autorização expressa por escrito, e deverão tomar todas as medidas para que esse software esteja devidamente licenciado e registrado. Os programas transferidos da Internet deverão ser utilizados apenas segundo os termos da licença;
- Os colaboradores que dispõe de ligação à Internet através da empresa não poderão acessar ou efetuar o dowload de software de entretenimento, redes sociais, conteúdo indevido ou pornográfico, ou de jogos, ou para jogar online contra oponentes;
- Os colaboradores não poderão efetuar upload de qualquer software licenciado pela Empresa ou de dados detidos ou licenciados pela Empresa sem autorização explícita da Empresa;
- Por motivos de segurança, evitar acessar sites desconhecidos, sites de programas piratas, sites de downloads de MP3, sites de conteúdo pornográfico, enfim, qualquer site de conteúdo duvidoso e obscuro.
- Prestar bastante atenção quando for acessar SITES DE BANCOS (HOME BANKING) para realizar pagamentos e outras transações bancárias. Suspeitar de qualquer coisa estranha e fora do normal no site. Procure abrir somente uma janela do Internet Explorer e verifique se o cadeado no canto inferior direito está fechado. Na dúvida, clique no cadeado para consultar o certificado de segurança do site. Geralmente páginas seguras tem o seu endereço iniciado por “https://” ao invés de “http://”. <== Prestar atenção no s depois do http!
Correio Eletrônico
Este documento tem por finalidade normatizar e dar ciência a todos os funcionários da empresa do(s) seguinte(s) procedimento(s) quanto à utilização do correio eletrônico.
Quanto aos Riscos de Utilização
- O email corporativo representa a empresa, portanto o que e como o escrevemos reflete a imagem e o pensamento da empresa.
- Portanto todo o cuidado com o conteúdo e a forma de se expressar é importantíssimo.
- Ter o cuidado de não emitir opinião pessoal sobre qualquer assunto, pois é a empresa que está falando.
Práticas Adequadas
- Algumas regras de etiqueta ao se enviar um e-mail corporativo devem ser observadas, como por exemplo, um correto tratamento de forma profissional e educada, como Sr.(a), Prezado (a), etc., e uma despedida também correta e cordial.
- Ter o cuidado de reler o texto com o objetivo de corrigir erros de ortografia e gramática.
- Verificar o endereço correto para quem se está enviando a mensagem.
Uso Pessoal
- No envio e recebimento de emails pessoais, os mesmos deverão ser arquivados em uma pasta própria, que deverá ser esvaziada mensalmente.
- Não será permitido o envio de mensagens em cadeia “Chain Letters”, spans e correntes.
Desperdício de Recursos
- A utilização do email corporativo é exclusivo para o desempenho de atividades relacionadas ao trabalho.
- Evitar, se possível, o uso de arquivos anexados, mas caso seja necessário o seu uso, compactar esses arquivos para poupar o uso de banda de acesso à Internet, tempo de download e espaço físico necessário para seu armazenamento.
Conteúdos Proibidos
- Não serão permitidas a criação e distribuição de emails que expressem opinião sobre sexo, raça, idade, orientação sexual, pornografia, crenças políticas ou religiosas, nacionalidade ou deficiência.
- Se o colaborador receber algum email com quaisquer dos conteúdos acima descritos deverá imediatamente informar a supervisão.
- O email não deverá ser utilizado para discutir assuntos sobre concorrentes bem como para divulgar assuntos e documentos sigilosos da empresa. Essa falha poderá ser punida com demissão por justa causa por descumprimento do Termo de Confidencialidade assinado pelo colaborador.
- O email também não pode ser utilizado para expressar opinião ofensiva sobre qualquer colaborador da empresa.
Monitoramento de e-mail
- A empresa, com a finalidade de fazer cumprir estas normas, PODERÁ, MAS NÃO ESTA OBRIGADA A, monitorar emails recebidos e enviados através do endereço eletrônico corporativo da empresa.
- O mesmo se aplica a qualquer documento criado, guardado, enviado ou recebido através dos computadores da empresa.
Segurança
- Nunca abrir emails com arquivos anexados que você desconheça a procedência e, na dúvida, apagar o email. Em hipótese alguma abrir ou executar os arquivos anexados.
- Evite clicar em links que venham nos emails, pois esses links podem levar a sites maliciosos e/ou iniciar a execução de programas maliciosos. Cuidado com falsos emails do SERASA, receita federal, bancos, etc., em geral lhe comunicando alguma falsa dívida e/ou pedindo para clicar em um link para consultar detalhes sobre o problema. Apagar direto esses emails e nunca clicar nos seus links.
- DESABILITAR O PAINEL DE VISUALIZAÇÃO DO OUTLOOK para todas as pastas usando a opção de menu Exibir / Painel de Visualização.
- Qualquer suspeita de email infectado ou vírus na máquina, avisar imediatamente a supervisão.
Segurança de Equipamentos e Utilização de Recursos de Informática
Objetivo
Definir diretrizes que norteiem o uso de equipamentos e recursos de informática na empresa a fim de zelar pela privacidade e segurança das informações, dos recursos de redes, sistemas, produtos e informações.
Diretrizes
- A disponibilidade de recursos, o uso, o acesso e a proteção das informações devem preservar a continuidade e a competitividade do negócio da empresa;
- As medidas de proteção que devem ser aplicadas de forma compatível com a avaliação do risco para o negócio da empresa;
- A manutenção e atualização da tecnologia utilizada em relação a seus dispositivos de segurança;
- O estabelecimento de um padrão de tratamento da informação;
- A conscientização periódica das pessoas em relação à segurança da informação;
- As reavaliações periódicas relativas à segurança dos sistemas;
Da utilização da Rede
- Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de burlar autenticação de usuário ou segurança de qualquer servidor, rede ou conta;
- Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário, servidor ou rede;
- Não é permitido o uso de qualquer tipo de programa ou comando designado a interferir com sessão de usuários;
- Antes de ausentar-se do seu local de trabalho, o usuário deverá fechar todos os programas acessados, evitando, desta maneira, o acesso por pessoas não autorizadas e se possível efetuar o logout/logoff da rede ou bloqueio do desktop por meio de senha;
- Falta de manutenção no diretório pessoal, evitando acúmulo de arquivos inúteis;
- Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou que venham a comprometer o desempenho e funcionamento dos sistemas.
- É proibida a instalação de softwares que não forem devidamente efetuadas pelo departamento técnico;
- É obrigatório armazenar os arquivos inerentes à empresa no servidor de arquivos da rede, para garantir backup dos mesmos;
- É proibida a remoção/desativação do software antivírus que não for devidamente efetuada pelo departamento técnico;
- É proibida a utilização de softwares para análise de pacotes da rede;
- É vedada a abertura de computadores para qualquer tipo de reparo, caso seja necessário, o reparo deverá ocorrer pelo departamento técnico;
- Não será permitida a alteração das configurações de rede e inicialização das máquinas bem como modificações que possam trazer algum problema futuro.
Das Senhas
As senhas fornecem um meio de validação do usuário, conseqüentemente o estabelecimento dos direitos de acesso para os recursos ou serviços de processamento da informação aos quais tem acesso. Para isso seguem abaixo as normas que devem ser seguidas na criação e manutenção de senhas:
- Alterar senhas iniciais no primeiro acesso à rede de informações;
- As senhas são confidenciais, pessoais e intransferíveis, portanto não devem ser compartilhadas com outros usuários;
- Evitar o registro das senhas em papel, a menos que o papel possa ser guardado de forma segura (cofre);
- Alterar a senha sempre que existir qualquer indicação de possível violação do sistema ou da própria senha;
- A descoberta da senha pessoal por outras pessoas, usuários ou não, deve ser imediatamente comunicada a supervisão e a senha deve ser imediatamente trocada;
- Não incluir senhas em processos automáticos de acesso ao sistema, por exemplo, armazenadas em macros ou teclas de função.
Utilização de Ativos
Quando a estação não estiver em uso, encerrar as sessões ativas a menos que elas possam ser protegidas através de um mecanismo de bloqueio contra o uso não autorizado, por exemplo, proteção de tela com senha;
Não são permitidas modificações nas configurações do Sistema Operacional, exemplo: configuração de rede, configuração do browser e etc.; Este tipo de operação deve ser apenas executado pelo departamento técnico com a autorização por escrito da supervisão;
Não compartilhar senhas com outros usuários;
Não poderá ser instalado qualquer tipo de software no equipamento (jogos, softwares de bancos, utilitários e etc.). Toda e qualquer instalação ficará condicionada a presença do departamento técnico e com a autorização por escrito da supervisão;
Informações de propriedade da empresa devem ser gravadas na rede e não apenas armazenadas no HD (drive “C”) da estação de trabalho;
Não é permitido fazer nenhum tipo de compartilhamento nos diretórios locais HD (drive “C”), seja ele de leitura ou escrita sem avaliação do departamento técnico e com a autorização por escrito da supervisão;
Nenhum componente físico da estação de trabalho, interno ou externo, inclusive periféricos externos do tipo USB (pen drive), serial ou paralelo, poderá ser retirado ou acrescentado sem a presença de um responsável técnico e a autorização por escrito da supervisão;
Não é permitido submeter à estação de trabalho a qualquer dano físico ou lógico;
Não deixar qualquer tipo de material que contenha magnetismo (como imãs) sobre os equipamentos de informática ou da estação de trabalho;
Os notebooks de consultores, prestadores de serviços ou colaboradores não poderão ser conectados à rede da empresa sem o prévio conhecimento e conseqüente adequação do equipamento pela área técnica e com a autorização por escrito da supervisão;
A saída de equipamentos da empresa para uso externo poderá ocorrer excepcionalmente e requer prévia autorização por escrito da supervisão.
Verificação da utilização da Política de Segurança da Informação
Para garantir as regras mencionadas acima a empresa poderá:
- Implantar softwares e sistemas que podem monitorar e gravar todos os usos de Internet por meio da rede e das estações de trabalho da empresa;
- Inspecionar qualquer arquivo armazenado na rede, no disco local da estação ou nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política;
- Instalar uma série de softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo firewall, que é a primeira, mas não a única barreira entre a rede interna e a Internet;
- Verificar a aplicação das normas da NSI, indicando não conformidades encontradas com a finalidade de tomar ações corretivas para assegurar que essas não conformidades cessem e não tornem a se repetir.
Classificação de acesso a informações físicas e eletrônicas
A classificação para acesso a informação física ou eletrônica se definirá da seguinte forma:
De Proprietários: Diretores – acesso irrestrito a qualquer documento.
De Usuários: acesso a colaboradores que necessitem da informação para o exercício de sua função na empresa.
Cada área será responsável por manter as informações salvaguardadas de acessos indevidos, bem como cada usuário seguirá o termo de confidencialidade na utilização desses documentos.
Toda documentação deve seguir os prazos legais de armazenamento, bem como acondicionamento a fim de se manter a sua integridade e disponibilidade de acesso.
Do processo de seleção de pessoal
Verificação de idoneidade pessoal e profissional
Durante o processo de contratação deverá ser providenciada a verificação da idoneidade pessoal e profissional dos candidatos a cargos ou funções que tenham acesso a informações de caráter sensível para a organização.
O processo de seleção deve incluir:
Disponibilidade de referências de caráter satisfatórias;
Verificação das informações do currículo do candidato;
Confirmação das qualificações acadêmicas e profissionais;
Este procedimento fica a cargo da área de pessoal devendo ao final enviar a área contratante relatório de conferência das informações elencadas acima, a serem verificadas.
Termo de confidencialidade
Todo colaborador no ato de sua contratação efetiva deverá ser informado da existência do termo de confidencialidade, que tem como objetivo proteger as informações técnicas e sigilosas que envolvam o negócio da empresa. Esse documento deverá ser assinado pelo colaborador e arquivado em sua pasta funcional.
ANEXO – DECLARAÇÕES
Declaração de apresentação da NSI – Normas de Segurança da Informação.
Declaro ter lido e entendido as Normas de Segurança da informação que norteiam a conduta dos colaboradores da Nexxus sistemas Ltda.
Comprometo-me ter total observação das normas sob pena de submeter-me às implicações de não cumprimento, conforme consta das Normas.
Declaração de Confidencialidade e Sigilo
Declaro através da presente, comprometer-me a manter confidencialidade com relação a toda documentação e toda informação técnica sobre os sistemas desenvolvidos nas atividades da Nexxus Sistemas Ltda, observando sigilo restrito concernente a qualquer e todos os negócios, transações e outros assuntos referentes à qualquer pessoa física ou jurídica vinculada de alguma forma, à Nexxus Sistemas Ltda, concordando em:
- Não divulgar a terceiros a natureza e o conteúdo de qualquer informação que componha ou tenha resultado da atividade da Nexxus Sistemas Ltda;
- Não explorar em benefício próprio, informações e documentos adquiridos através da participação em atividades da Nexxus Sistemas Ltda;
- Não permitir a terceiros o manuseio de qualquer documentação que componha ou tenha resultado da atividade da Nexxus Sistemas Ltda;
- Entregar, após o término de meu vínculo de trabalho, todos os itens de propriedade da Nexxus Sistemas Ltda ou itens pertencentes a seus clientes ou associados que estejam em meu poder.
- De que as informações e os documentos pertinentes às atividades técnicas da Nexxus Sistemas Ltda somente podem ser acessadas por aqueles que assinaram o termo de confidencialidade e se comprometeram com a NSI, execetuando-se os casos em que a informação/documento já for de domínio público.