Introdução

O Grupo Pare Bem, visando maior garantia da integridade, confidencialidade e autenticidade dos dados trafegados em seu core da rede, utilizado, também, para disponibilizar serviços às outras empresas investidas do grupo, propõe, por meio deste documento, a aplicação de políticas de segurança que dizem respeito a todos os funcionários e prestadores de serviço do grupo e aos clientes que contratam os serviços e estão conectados à rede do grupo.

A política de segurança a ser exposta definirá as diretrizes e conduta dos usuários, funcionários e prestadores de serviço do grupo, permitindo a mitigação de problemas advindos da má gestão e má utilização dos recursos tecnológicos da corporação. O documento contemplará requisitos de segurança físicos, lógicos e pessoais para permitir uma maior abrangência e diminuir pontos de falha na aplicação da política.

Alguns conceitos e definições obscuros para leigos na área de TI serão definidos, visando uma maior compreensão do leitor e facilitando a aceitação da proposta.

Objetivos da Política de Segurança

  • Definir o escopo de segurança do grupo, assim como parâmetros de configurações da rede do grupo;
  • Orientar, por meio de suas diretrizes, todas as ações de segurança, visando reduzir riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos;
  • Permitir a adoção de soluções de segurança integrada;
  • Servir de referência para auditoria, apuração e avaliação de responsabilidades;
  • Garantir que os recursos de informática e a informação estarão sendo usados de maneira adequada. O usuário deve conhecer regras para utilização da informação de maneira segura, evitando expor qualquer informação que possa prejudicar o grupo , os funcionários/colaboradores e os clientes.
  • Prestar aos funcionários/colaboradores serviços de rede de alta qualidade e ao mesmo tempo desenvolver um comportamento extremamente ético e profissional, de forma a evitar falhas de segurança que possam impossibilitar o acesso às informações, sendo que as ações da equipe de TI no que diz respeito a manutenção de recursos de informática possam ser justificadas com as regras estabelecidas nesta política. Ex.: a revogação de um acesso
  • Estabelecimento de regras de boas práticas e governança de tratativa de dados em conformidade com a Lei 13709/18 | Lei nº 13.709, de 14 de agosto de 2018.

Escopo da Política de Segurança

  • Requisitos de segurança humana;
  • Requisitos de segurança física;
  • Requisitos de segurança lógica;

Conceitos e Definições

  • Ativo de Informação – é o patrimônio composto por todos os dados e informações geradas e manipuladas durante a execução dos sistemas e processos da empresa e dos clientes conectados à rede do grupo;
  • Ativo de Processamento – é o patrimônio composto por todos os elementos de hardware e software necessários para a execução dos sistemas e processos internos da empresa e de seus clientes, tanto os produzidos internamente quanto os adquiridos;
  • Controle de Acesso – são restrições de acesso às informações de um sistema e/ou restrição de acesso físico a determinado local estratégico da empresa. O controle de acesso lógico é exercido pela equipe de Redes. O controle de acesso físico é exercido por sistemas de controle de acesso biométrico e em alguns casos por empresas de segurança privadas.
  • Custódia – consiste na responsabilidade de se guardar um ativo para terceiros, exemplo: prestação de serviços de webhosting. Entretanto, a custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros;
  • Direito de Acesso – é o privilégio associado a um cargo, pessoa ou processo para ter acesso a um ativo, local ou rede;
  • Ferramentas – é um conjunto de equipamentos, programas, procedimentos, normas e demais recursos através dos quais se aplica a Política de Segurança da Informação do grupo;
  • Incidente de Segurança – é qualquer evento ou ocorrência que promova uma ou mais ações que comprometa ou que seja uma ameaça à integridade, autenticidade, ou disponibilidade de qualquer ativo da corporação;
  • Política de Segurança – é um conjunto de diretrizes destinadas a definir a proteção física e lógica adequada dos ativos produzidos pelos Sistemas de Informação da empresa;
  • Proteção dos Ativos – é o processo pelo qual os ativos devem receber classificação quanto ao grau de sensibilidade. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que o contém;
  • Responsabilidade – é definida como as obrigações e os deveres da pessoa que ocupa determinada função em relação ao acervo de informações;
  • Senha Fraca ou Óbvia – é aquela onde se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequenas, tais como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, seqüências numéricas simples, palavras e unidades léxicas que constem de dicionários de qualquer língua, dentre outras;

Regras Gerais

1.1- Gestão de Segurança

A Política de Segurança se aplicará a todos os seus recursos humanos, administrativos e tecnológicos. A abrangência dos recursos citados refere-se tanto àqueles ligados a ela como em caráter permanente quanto temporário.

Esta política será comunicada para todo o pessoal envolvido e largamente divulgada pelo Grupo, garantindo que todos tenham consciência da mesma e a pratiquem na organização.

Todo o pessoal receberá as informações necessárias para cumprir adequadamente o que será determinado neste documento assinado e aprovado pela diretoria e presidência do grupo.

Os procedimentos serão documentados e implementados para garantir que no momento em que o pessoal contratado ou prestadores de serviços sejam transferidos, remanejados, promovidos ou demitidos, todos os privilégios de acesso aos sistemas, informações e recursos sejam devidamente revistos, modificados ou revogados. Vale lembrar que será de responsabilidade do RH manter sempre ativo e atualizado o fluxo de informação e comunicação com a área de TI para que este processo ocorra de maneira satisfatória.

Os processos de aquisição de bens e serviços, especialmente de Tecnologia da Informação – TI, serão em conformidade com esta Política de Segurança.

No que tange a segurança da informação, irá ser considerado proibido tudo aquilo que não esteja previamente autorizado pelo responsável da área técnica da Pare Bem.

Os presente documento apresenta regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais, em aderência à lei 13709/18 | Lei nº 13.709, de 14 de agosto de 2018.

Requisitos de Segurança de Pessoal

2.1 – Definição

Conjunto de medidas e procedimentos de segurança, a serem observados pelos prestadores de serviço e todos os empregados, necessário à proteção dos ativos do Grupo.

2.2 – Objetivos

  • Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso não apropriado dos ativos da empresa;
  • Prevenir e neutralizar as ações sobre as pessoas que possam comprometer a segurança do Grupo;
  • Orientar e capacitar todo o pessoal envolvido na realização de trabalhos diretamente relacionados ao Grupo, assim como o pessoal em desempenho de funções de apoio, tais como a manutenção das instalações físicas e a adoção de medidas de proteção compatíveis com a natureza da função que desempenham;
  • Orientar o processo de avaliação de todo o pessoal que trabalhe no grupo, mesmo em caso de funções desempenhadas por prestadores de serviço;

2.3 – Diretrizes

O Processo de Admissão

Serão adotados critérios rígidos para o processo seletivo de candidatos, com o propósito de selecionar, para o quadro da empresa, pessoas reconhecidamente idôneas e sem antecedentes que possam comprometer a segurança ou credibilidade da empresa.

O empregado ou funcionário assinará em seu contrato de trabalho cláusulas de consentimento e acordo de cumprimento da política de segurança da informação, assegurando o dever de manter sigilo, mesmo quando desligado, sobre todos os ativos de informações e de processos da Área de Tecnologia e empresas do grupo.

No processo de admissão o funcionário deverá ser instruído quanto as diretrizes da presente política, garantindo que as orientações sejam compreendidas para desempenho de sua função.

As Atribuições da Função

As atribuições de cada funcionário estarão claramente relacionadas, de acordo com a característica das atividades desenvolvidas, a fim de determinar o perfil necessário do empregado, considerando-se os seguintes itens:

  • A descrição sumária das tarefas inerentes à função;
  • As necessidades de acesso a informações sensíveis;
  • O grau de sensibilidade do setor onde a função é exercida;
  • As necessidades de contato de serviço interno e/ou externo;
  • As características de responsabilidade, decisão e iniciativa inerentes à função;
  • A qualificação técnica necessária ao desempenho da função;

A Entrevista de Recrutamento e Seleção

Será realizada por profissional qualificado, com o propósito de confirmar e/ou identificar dados não detectados ou não confirmados, durante a pesquisa para a sua admissão.

Na entrevista inicial serão avaliadas as características de interesse e motivação do candidato, sendo que as informações veiculadas na entrevista do candidato só serão aquelas de caráter público.

O Desempenho da Função

Os empregados terão seu desempenho avaliado e acompanhado periodicamente com o propósito de detectar a necessidade de atualização técnica e de segurança.

A empresa dará a seus empregados acesso às informações, mediante o fornecimento de instruções e orientações sobre as medidas e procedimentos de segurança.

As Atribuições da Função

As atribuições de cada funcionário estarão claramente relacionadas, de acordo com a característica das atividades desenvolvidas, a fim de determinar o perfil necessário do empregado, considerando-se os seguintes itens:

  • A descrição sumária das tarefas inerentes à função;
  • As necessidades de acesso a informações sensíveis;
  • O grau de sensibilidade do setor onde a função é exercida;
  • As necessidades de contato de serviço interno e/ou externo;
  • As características de responsabilidade, decisão e iniciativa inerentes à função;
  • A qualificação técnica necessária ao desempenho da função;

A Entrevista de Recrutamento e Seleção

Será realizada por profissional qualificado, com o propósito de confirmar e/ou identificar dados não detectados ou não confirmados, durante a pesquisa para a sua admissão.

Na entrevista inicial serão avaliadas as características de interesse e motivação do candidato, sendo que as informações veiculadas na entrevista do candidato só serão aquelas de caráter público.

O Desempenho da Função

Os empregados terão seu desempenho avaliado e acompanhado periodicamente com o propósito de detectar a necessidade de atualização técnica e de segurança.

A empresa dará a seus empregados acesso às informações, mediante o fornecimento de instruções e orientações sobre as medidas e procedimentos de segurança.

A Credencial de Segurança

Os analistas de rede que tratarem da questão da segurança de informação serão identificados por meio de uma credencial, a qual os habilita a ter acesso a informações sensíveis, de acordo com a classificação do grau de sigilo da informação e, conseqüentemente, com o grau de sigilo compatível ao cargo e/ou a função a ser desempenhada. Vide planilha abaixo para níveis de segurança e acesso a todos os funcionários e prestadores de serviço do grupo:

A Credencial de Segurança somente será concedida por autoridade competente, ou por ela delegada, e se fundamenta na necessidade de conhecimento técnico dos aspectos inerentes ao exercício funcional e na análise da sensibilidade do cargo e/ou função. A indicação de quem poderá receber a credencial de acesso com nível privilegiado deve ser feita pelo Diretor Técnico, mediante autorização do Executivo da Pare Bem.

Treinamento em Segurança da Informação

Serão aplicados treinamentos e disponibilizo materiais de treinamento para apresentação aos empregados e prestadores de serviço a Política de Segurança da Informação e suas normas e procedimentos relativos ao trato de informações e/ou dados sigilosos, com o propósito de desenvolver e manter uma efetiva conscientização de segurança, assim como instruir o seu fiel cumprimento. Este treinamento será de responsabilidade da Diretoria de Tecnologia, ao lançamento de cada versionamento da política, de forma presencial na matriz, em agenda de treinamento pré estabelecida e divulgada. Para os colaboradores que não estiverem lotados na matriz e/ou não puderem se fazer presente no treinamento presencial, o treinamento deverá ser realizado por meio de acesso ao material disponibilizado e comprovado o conhecimento adquirido através de realização de teste de aprendizagem disponibilizada. O treinamento deverá ser aplicado via integração para os colaboradores que forem admitidos em períodos onde não haja agenda de treinamento presencial aberta e/ou não puderem participar por questões de geolocalização, sendo necessária o preenchimento de formulário online com os dados do participante para comprovação de visualização do treinamento.

Acompanhamento no Desempenho da Função

Será realizado processo de avaliação de desempenho da função que documenta a observação do comportamento pessoal e funcional dos empregados, realizado pelo responsável do setor dos mesmos.

Serão motivos de registro atos, atitudes e comportamentos positivos e negativos relevantes, verificados durante o exercício profissional do empregado.

Os comportamentos incompatíveis, ou que possam gerar comprometimentos à segurança, serão averiguados e comunicados ao responsável pelo setor.

Os responsáveis pelo setor assegurarão que todos os empregados têm conhecimento e compreensão das normas e procedimentos de segurança em vigor.

O Processo de Desligamento

O acesso de ex-empregados às instalações, quando necessário, será restrito às áreas de acesso público.

Sua credencial, identificação, crachá, uso de equipamentos, mecanismos e acessos físicos e lógicos serão revogados. Caberá a chefia imediata realizar as seguintes ações:

  • Recolhimento de credencial, identificação, crachá, equipamentos, cartões corporativos, uniforme, e todos os bens matérias da empresa que esteja sob a responsabilidade do funcionário;
  • Comunicação à TI via e-mail do desligamento para cancelamento dos acessos ao ambiente lógico e físico, juntamente com a comunicação realizada ao DP;
  • Comunicação a todos os departamentos da empresa, quando necessário;
  • Comunicação a todos os fornecedores e clientes, quando o ex-funcionário tiver acesso a contratos ou a bens patrimoniais.

Desligamento

No momento desligamento o empregado será orientado sobre suas responsabilidades na manutenção do sigilo de dados e/ou conhecimentos sigilosos de sistemas críticos aos quais teve acesso durante sua permanência na empresa.

2.4 – Deveres e Responsabilidades

Deveres dos empregados

Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações.

Cumprir esta política de segurança, sob pena de incorrer nas advertências disciplinares cabíveis.

Utilizar os Sistemas de Informações do grupo e os recursos a ele relacionados somente para o desempenho de suas atividades e os interesses da empresa.

Permitir à empresa acesso aos e-mails enviados e recebidos com os fins de trabalho, monitorar ou restringir acesso a sites ou programas externos e o uso de mídia para cópias ou gravações de arquivos ou dados.

Permitir à empresa restringir, proibir ou vistoriar mochilas, bolsas, sacolas ou qualquer outro objeto pessoal nas dependências da empresa, respeitando a intimidade, a dignidade e a privacidade do trabalhador, de modo impessoal, realizada em caráter geral e não íntima. Permitir, também a restrição de acesso a determinadas dependências da empresa.

Cumprir as regras específicas de proteção estabelecidas aos ativos de informação.

Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da empresa.
Não acessar, não divulgar, não incentivar, não distribuir, não veicular e não participar de sites; grupos e fóruns de discussão; blogs; páginas pessoais ou públicas que contenham ou incentivem a pornografia infantil e preconceitos quanto à origem, raça, etnia, sexo, orientação sexual, cor, idade, crença religiosa ou outras formas de discriminação.

Não compartilhar, sob qualquer forma, informações confidenciais com outros que não tenham a devida autorização de acesso. Bem como imagens do ambiente físico da empresa, de clientes, de colaboradores, clientes e/ou entidades relacionadas à Pare Bem.

Responder, por todo e qualquer acesso, aos recursos da empresa bem como pelos efeitos desses acessos efetivados através do seu código de identificação, ou outro atributo para esse fim utilizado.

Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, assim como computação pessoal no ambiente de trabalho em violação da legislação de propriedade intelectual pertinente.

Comunicar ao seu superior imediato e ao RH o conhecimento de qualquer irregularidade ou desvio.

Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer software licenciado da Pare Bem ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados. Os colaboradores não poderão utilizar os recursos do para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores. O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Já os serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos específicos. Porém, os serviços de comunicação instantânea serão inicialmente disponibilizados aos usuários e poderão ser bloqueados caso o gestor requisite formalmente à Gerencia de Sistemas.

Ao ter ciência de alguma infração cometida à política de segurança da informação reportar automaticamente o ocorrido via canal de ética através dos canais disponíveis (contatoseguro.com.br/parebem ou 08006486326).

Responsabilidades das chefias e/ou responsáveis pelo setor

Gerenciar o cumprimento desta política de segurança, por parte de seus empregados.

Identificar os desvios praticados e adotar as medidas corretivas apropriadas, conforme orientações recebidas do jurídico, com suporte da TI. Podemos ser orientado na aplicação das penalidades abaixo:

  • Advertência verbal;
  • Advertência formal;
  • Suspensão de acessos ao funcionário. A liberação do acesso deverá ser solicitado pelo RH e autorizado pela Diretoria.

A criticidade da ocorrência será analisada à luz da Política de Segurança da Informação pela TI, e o grau de impacto será considerado para decisão quanto a medida de penalidade que o jurídico orientará à ser aplicada.

Impedir o acesso de empregados demitidos ou demissionários aos ativos de informações, utilizando-se dos mecanismos de desligamento contemplados pelo respectivo processo de desligamento do empregado.

Proteger, em nível físico e lógico, os ativos de informação e de processamento do grupo relacionados com sua área de atuação.

Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger a Informação.

Os acessos diferenciado do padrão estabelecido por função que forem concedidos com a anuêcia da liderança imediata será de co-responsabilidade da mesma, implicando sobre si também caso ocorra alguma infração à PSI.

Comunicar formalmente à unidade que efetua a concessão de privilégios a usuários de TI, quais os empregados e prestadores de serviço, sob sua supervisão, que podem acessar as informações da empresa.

Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários de TI, quais os empregados e prestadores de serviço demitidos ou transferidos, para exclusão no cadastro dos usuários.

Comunicar formalmente à unidade que efetua a concessão de privilégios a usuários de TI, aqueles que estejam respondendo a processos, sindicâncias ou que estejam licenciados, para inabilitação no cadastro dos usuários.

Responsabilidade Geral

Cada área que detém os ativos de processamento e informação é responsável por eles, provendo a sua proteção de acordo com o grau de criticidade da mesma. Vale ressaltar que cada ativo de informação têm definido o responsável pelo seu uso.

Responsabilidade da Equipe de redes.

Estabelecer as regras de proteção dos ativos do grupo.

Decidir quanto às medidas a serem tomadas no caso de violação das regras estabelecidas, seguindo-se trâmite descrito no item Responsabilidades das Chefias.

Revisar anualmente as regras de proteção estabelecidas.

Restringir e controlar o acesso e os privilégios de usuários remotos e externos.

Executar as regras de proteção estabelecidas por esta PSI.

Detectar, identificar, registrar e comunicar à Gerência Técnica as violações ou tentativas de acesso não autorizadas.

Definir e aplicar, para cada usuário de TI, restrições de acesso à Rede, como horários autorizados, dias autorizados, entre outras.

Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação.

Fornecer senhas de contas privilegiadas somente aos empregados que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle.

Cabe à equipe de TI designada para tratativa de dados manter registro das operações de tratamento de dados pessoais que realizarem, contendo a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados, em consonância à lei 13709/18 | Lei nº 13.709, de 14 de agosto de 2018.

Requisitos de Segurança do Ambiente Físico

3.1 – Definição

Ambiente físico é aquele composto por todo o ativo permanente utilizado no processamento de dados do Grupo.

3.2- Diretrizes Gerais

As responsabilidades pela segurança física dos sistemas da empresa estarão definidas e atribuídas a indivíduos claramente identificados.

A localização das instalações não será publicamente identificada.

Sistemas de segurança para acesso físico estarão instalados para controlar e auditar o acesso aos ativos do Grupo.

Os sistemas da empresa estarão localizados em área protegida ou afastada de fontes potentes de magnetismo ou interferência de rádio freqüência.

Recursos e instalações críticas ou sensíveis serão mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança e controle de acesso. Elas serão fisicamente protegidas de acesso não autorizado, dano, ou interferência. A proteção fornecida será proporcional aos riscos identificados.

A entrada e saída, nestas áreas ou partes dedicadas, serão automaticamente registradas com data e hora definidas e serão revisadas pelo responsável pela Gerência Técnica do grupo e mantidas em local adequado e sob sigilo.

O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas de AC, como painéis de controle de energia, comunicações e cabeamento, será restrito ao pessoal autorizado.

Quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só serão utilizados a partir de autorização formal e mediante supervisão.

Requisitos de Segurança do Ambiente Lógico

4.1 – Definição

Ambiente lógico é composto por todos os ativos de informações do grupo.

4.2- Diretrizes gerais

A informação será protegida de acordo com o seu valor, sensibilidade e criticidade. Para tanto, existe uma definição de nível de segurança por segmento de rede definido.

Os dados, as informações e os sistemas de informação da empresa e sob sua guarda, serão protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens.

Os registros serão protegidos e armazenados de acordo com o seu nível de segurança.

Os sistemas e recursos que suportam funções críticas para operação do grupo assegurarão a capacidade de recuperação nos prazos e condições definidas em situações de contingência;

O inventário sistematizado de toda a estrutura que serve como base para manipulação, armazenamento e transmissão dos ativos de processamento deverá estar registrado e mantido atualizado em intervalos de tempo definidos pelo departamento administrativo da empresa.

4.3- Diretrizes específicas

Sistemas

As necessidades de segurança serão identificadas para cada etapa do ciclo de vida dos sistemas disponíveis no grupo. A documentação dos sistemas será mantida atualizada. A cópia de segurança será testada e mantida atualizada. Deverão ser seguidas as orientações da política de backup para os processos de armazenamento, responsabilidades e locais de armazenamento.

Os sistemas possuirão controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados. O responsável pela autorização ou confirmação da autorização estará claramente definido e registrado.

Estarão estabelecidos e mantidos medidas e controles de segurança para verificação crítica dos dados e configuração de sistemas e dispositivos quanto a sua precisão, consistência e integridade.

ERP

Senhas:
As senhas devem possuir pelo menos 6 digitos;
Devem conter número e letra;
Não podem conter sequência numérica;
As senhas deverão ser trocadas a cada 60 dias e as últimas 3 senhas não poderão ser repetidas;
O login do usuario será bloqueado após 3 tentativas com senhas incorretas, se ocorrerem em intervalo menor de 5 minutos. O desbloqueio será feito pela equipe de TI com a abertura de chamado;

Perfis de acessos:
A Solicitação de acessos deve seguir a definição de acessos deste documento;
Os acessos podem ser definidos por Empresa, Filial e Módulos;
Os acessos são definidos por grupos de usuarios que possuem as mesmas atribuições em suas áreas;
Alterações de acessos devem ser solicitadas pelos gestores das áreas;

Máquinas Servidoras

O acesso lógico e físico ao ambiente ou serviços disponíveis em servidores será controlado e protegido. As autorizações serão revistas, confirmadas e registradas continuamente. O responsável pela autorização ou confirmação da autorização será o coordenador ou gerente de TI, conforme definições na credencial de segurança.

A versão do Sistema Operacional, assim como outros softwares básicos instalados em máquinas servidoras, serão mantidos atualizados em conformidade com as recomendações dos fabricantes.

Deverá ser regularizada na empresa a utilização de softwares autorizados pela Diretoria do grupo e devidamente licenciados nos seus equipamentos. Será banida a utilização de software pirata. Deverá ser realizado o controle da distribuição e instalação dos mesmos. Não será permitida instalação de softwares não licenciados nos servidores da empresa.

O acesso remoto a máquinas servidoras será realizado adotando os mecanismos de segurança pré-definidos para evitar ameaças à integridade e sigilo do serviço.

Redes Utilizadas

Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta (também conhecido como “cracking”). Isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar à prova a segurança de outras redes.

Não são permitidas tentativas de interferir nos serviços de qualquer outro usuário, servidor ou rede. Isso inclui ataques, tentativas de provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de “quebrar” (invadir) um servidor.

Antes de ausentar-se do seu local de trabalho, o usuário deverá fechar todos os programas em uso e bloquear o computador, evitando, desta maneira, o acesso por pessoas não autorizadas, se possível efetuar o logout/logoff da rede ou bloqueio do computador através de senha.

O usuário deve fazer manutenção no diretório pessoal, evitando acúmulo de arquivos desnecessários.

Material de natureza pornográfica e racista não pode ser exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede.

Jogos ou qualquer tipo de software/aplicativo não pode ser gravado ou instalado no diretório pessoal do usuário, no computador local e em qualquer outro diretório da rede, podem ser utilizados apenas os softwares previamente instalados no computador.

Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou que venham a comprometer o desempenho e funcionamento dos sistemas. As áreas de armazenamento de arquivos são designadas conforme mostra a tabela abaixo.

A pasta PÚBLICA ou similar, não deverá ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza sensível, devem ser armazenadas apenas informações comuns a todos.

Haverá limpeza mensal dos arquivos armazenados na pasta PÚBLICO ou similar, para que não haja acúmulo desnecessário de arquivos no servidor.

É proibida a instalação ou remoção de softwares que não forem devidamente acompanhadas e homologadas previamente pelo departamento técnico, através de solicitação de suporte técnico via CAU ( Central de Atendimento ao Usuário), em ferramenta própria para tal finalidade já apresentada para o Grupo.

Não são permitidas alterações das configurações de rede e inicialização das máquinas bem como modificações que possam trazer algum problema futuro.

Quanto a utilização de equipamentos de informática particulares, computadores, impressoras, entre outros, a equipe técnica do grupo não fornecerá acessórios, software ou suporte técnico para computadores pessoais de particulares, incluindo assistência para recuperar perda de dados, decorrentes de falha humana, ou pelo mau funcionamento do equipamento ou do software.

É proibida a abertura de computadores para qualquer tipo de reparo, seja isto feito em departamentos ou laboratórios de informática, caso seja necessário o reparo deverá ocorrer pelo departamento técnico.

Componentes críticos da rede serão mantidos em salas protegidas e com acesso físico e lógico controlado, sendo protegidos contra danos, furtos, roubos e intempéries.

A configuração de todos os ativos de processamento será averiguada quando da sua instalação inicial, para que sejam detectadas e corrigidas as vulnerabilidades inerentes à configuração padrão que se encontram nesses ativos em sua primeira ativação.

Serviços vulneráveis receberão nível de proteção adicional.

O acesso lógico aos recursos da rede será realizado por meio de sistema de controle de acesso. O acesso será concedido e mantido pela administração da rede, baseado nas responsabilidades e tarefas de cada usuário.

A conexão com outros ambientes de rede e alterações internas na sua topologia e configuração serão formalmente documentadas e mantidas de forma a permitir registro histórico, tendo a autorização da administração da rede e da Gerência Técnica. O diagrama topológico, a configuração e o inventário dos recursos serão mantidos atualizados.

Serão adotadas proteções físicas adicionais para os recursos de rede considerados críticos.

Proteção lógica adicional será adotada para evitar o acesso não autorizado às informações.

A infra-estrutura de interligação lógica será protegida contra danos mecânicos e conexão não autorizada.

O tráfego de informações será monitorado a fim de verificar sua normalidade assim como detectar situações anômalas do ponto de vista de segurança.

Todo serviço de rede não explicitamente autorizado será bloqueado ou desabilitado. Neste item vale detalhar alguns serviços bastante difundidos que estarão bloqueados, evitando maiores transtornos a partir da aplicação da política, são eles:

  • Compartilhadores de arquivos: O uso deste tipo de software é altamente nocivo, principalmente pelo fato de que, ao instalá-lo no computador, o usuário dá amplas permissões de leitura e gravação. Ou seja, ao se conectar através do software, o usuário não está somente lendo arquivos de outros computadores, mas também permitindo que outros usuários efetuem uma verdadeira varredura em seu disco rígido. Esta vulnerabilidade também é explorada pelos vírus e/ou por “hackers” que vasculham por redes passíveis de invasão. Exemplos de Compartilhadores de Arquivos: Full Throttle, Kazaa, Morpheus, Napster, Mp3X, eMule, ITransfer.

Se algum serviço de rede não explicitamente autorizado (blog ou sites bloqueados) se fizer necessário, deverá ser feito abertura de chamado na Central de Atendimento ao Usuário com justificativa para liberação do acesso. Vale lembrar que o site passará pelo crivo da equipe de redes para verificação de riscos e vulnerabilidades.

Mecanismos de segurança baseados em sistemas de proteção de acesso (firewall) serão utilizados para proteger as transações entre redes externas e a rede interna da empresa.

Será adotado um padrão de segurança para todos os tipos de equipamentos e servidores, considerando aspectos físicos e lógicos.

Todos os recursos considerados críticos para o ambiente de rede e que possuam mecanismos de controle de acesso, utilizam tal controle.

A localização dos serviços baseados em sistemas de proteção de acesso (firewall) será resultante de uma análise de riscos. No mínimo, os seguintes aspectos são considerados: requisitos de segurança definidos pelo serviço, objetivo do serviço, público alvo, classificação da informação, forma de acesso, freqüência de atualização do conteúdo, forma de administração do serviço e volume de tráfego.

Ambientes de rede considerados críticos serão isolados de outros ambientes de rede, de modo a garantir um nível adicional de segurança.

Conexões entre as redes da empresa e redes externas estarão restritas somente àquelas que visem efetivar os processos.

Controle de acesso lógico

Usuários e aplicações que necessitarem ter acesso a recursos da empresa serão identificados e autenticados.

O sistema de controle de acesso manterá as habilitações atualizadas e registros que permitam a contabilização do uso, auditoria e recuperação nas situações de falha.

Nenhum usuário será capaz de obter os direitos de acesso de outro usuário, exceto equipe de TI autorizado pelo Diretor.

A informação que especifica os direitos de acesso de cada usuário ou aplicação será protegida contra modificações não autorizadas.

As autorizações serão definidas de acordo com a necessidade de desempenho das funções (acesso motivado) e considerando o princípio dos privilégios mínimos (ter acesso apenas aos recursos ou sistemas necessários para a execução de tarefas).

As senhas serão individuais, secretas, intransferíveis e serão protegidas com grau de segurança compatível com a informação associada.

O sistema de controle de acesso possui mecanismos que impedem a geração de senhas fracas ou óbvias.

As seguintes características das senhas serão definidas de forma adequada: conjunto de caracteres permitidos, tamanho mínimo e máximo, prazo de validade máximo, forma de troca e restrições específicas.

A distribuição de senhas aos usuários de TI (inicial ou não) será feita de forma segura. A senha inicial, quando gerada pelo sistema, será trocada, pelo usuário, no primeiro acesso.

O sistema de controle de acesso permitirá ao usuário alterar sua senha sempre que desejar. A troca de uma senha bloqueada só será executada após a identificação positiva do usuário. A senha digitada não será exibida.

Serão adotados critérios para bloquear ou desativar usuários de acordo com período pré-definido sem acesso e tentativas sucessivas de acesso mal sucedidas.

O sistema de controle de acesso solicitará nova autenticação após certo tempo de inatividade da sessão (time-out).

Os usuários e administradores do sistema de controle de acesso serão formal e expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso.
O colaborador que necessite ter acesso ao VPN fora do ambiente de trabalho Pare Bem deverá submeter previamente sua solicitação ao processo de autorização da liderança imediata para posteriomente solicitar liberação de tal acesso à Central de Atendimento ao Usuário, informando a justificativa e perído de liberação para que seja concedido acesso à rede.

Computação Pessoal

O uso de conexão à Internet será liberado e controlado e a liberação de sites não autorizados será efetuada apenas para cargos que necessitem dela para o desempenho de suas funções.

O acesso às informações atenderá aos requisitos de segurança, considerando o ambiente e forma de uso do equipamento (uso pessoal ou coletivo);

Os usuários de TI utilizarão apenas softwares licenciados pelo fabricante nos equipamentos da empresa, observadas as normas de legislação de software, conforme descrição e pacote padrão abaixo:

A empresa estabelecerá os aspectos de controle, distribuição e instalação de softwares utilizados, sendo o pacote padrão de softwares constituído de:

  • Sistema Operacional
  • Editores de Texto, planilha eletrônica, correio eletrônico;
  • Sistema ERP com módulos pertinentes (se aplicável).
  • Antivírus
  • Adobe Acrobat Reader.
  • Google Chrome.

Caso algum departamento ou usuário tenha necessidade de algum software adicional este será instalado a posteriori pelo suporte da equipe de redes, mediante solicitação de abertura de chamado no CAU.

Os sistemas em uso solicitarão nova autenticação após certo tempo de inatividade da sessão (time-out).

As mídias serão eliminadas de forma segura, quando não forem mais necessárias. Procedimentos formais para a eliminação segura das mídias deverão ser definidos, para minimizar os riscos.

Dispositivos Móveis

O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede da Pare Bem deverá submeter previamente tais equipamentos ao processo de autorização da liderança Imediata para posteriormente solicitar liberação de tal acesso à Central de Atendimento ao Usuário, informando o endereço físico (MAC ADDRESS) do dispositivo para que seja concedido acesso à rede.

O dispositivo móvel, quando disponibilizado pela empresa para fins profissionais, terá a configuração padrão de funcionalidades e aplicativos necessários para o desempenho da sua função, descrito conforme documento de requisitos de segurança por cargo. A instalação de aplicativos adicionais é proibida, e bloqueada pela TI via senha, havendo necessidade de instalação de um novo aplicativo para uso profissional, o funcionário deverá submeter previamente ao processo de autorização da liderança imediata para posteriormente solicitar liberação de tal acesso à Central de Atendimento ao Usuário para que a TI analise a necessidade e execute a instalação.

Uso de aplicativos remotos em dispositivos móveis corporativos é permitido para uso profissionais, não devendo circular mensagens de cunho pessoal, podendo à organização monitorar o conteúdo vinculado no mesmo.

Acrescentamos que é proibido aos colaboradores:

  • enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a Pare Bem ou suas unidades vulneráveis a ações civis ou criminais;
  • divulgar informações não autorizadas ou imagens de tela, sistemas, documentos, ambiente físico, ativos físicos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
  • circular correntes de internet de qualquer natureza;
  • produzir, transmitir ou divulgar mensagem que:
  • contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da Pare Bem;
  • contenham ameaças eletrônicas, como: spam, mail bombing, vírus de computador e dispositivo móvel;
  • contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
  • vise obter acesso não autorizado a outro dispositivo móvel, computador, servidor ou rede;
  • vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
  • vise burlar qualquer sistema de segurança;
  • vise vigiar secretamente ou assediar outro usuário;
  • vise acessar informações confidenciais sem explícita autorização do proprietário;
  • vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
  • inclua imagens criptografadas ou de qualquer forma mascaradas;
  • tenha conteúdo considerado impróprio, obsceno ou ilegal;
  • seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
  • contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
  • tenha fins políticos locais ou do país (propaganda política);
  • inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

Periféricos

A porta de acesso de periférico das máquinas estarão disponíveis somente no modo de energia, não aplicando para tráfego de dados de nenhuma natureza. Qualquer tentativa de violação será considerada como indevida e cabível de aplicação de medida de advertência.

Backup

Todos os backups devem ser automatizados para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática. Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros. Os backups devem ser armazenados em ambientes lógicos diverso do Data Center de forma a garantir redundância física desses dados.

Os arquivos de backup devem ser devidamente identificados, dando uma conotação mais organizada e profissional. O tempo de vida e uso dos arquivos de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante. Os backups imprescindíveis, críticos, para o bom funcionamento dos negócios da Pare Bem, exigem uma regra de retenção especial, conforme previsto nos procedimentos específicos e de acordo com a Norma de Classificação da Informação, seguindo assim as determinações fiscais e legais existentes no país. Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema. Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade. Quaisquer atrasos na execução de backup ou restore deverão ser justificados formalmente pelos responsáveis.

Somente os arquivos gravados na rede corporativa serão contemplados no backup.

Não está autorizada a gravação de arquivos confidenciais nos discos locais dos computadores.

Correio Eletrônico

O objetivo deste tópico é informar aos colaboradores quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo. O uso do correio eletrônico é para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição.

Acrescentamos que é proibido aos colaboradores:

  • enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;
  • enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
  • enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a Pare Bem ou suas unidades vulneráveis a ações civis ou criminais;
  • divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
  • falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
  • produzir, transmitir ou divulgar mensagem que:
  • contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da Pare Bem;
  • contenham ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
  • contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
  • vise obter acesso não autorizado a outro computador, servidor ou rede;
  • vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
  • vise burlar qualquer sistema de segurança;
  • vise vigiar secretamente ou assediar outro usuário;
  • vise acessar informações confidenciais sem explícita autorização do proprietário;
  • vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
  • inclua imagens criptografadas ou de qualquer forma mascaradas;
  • contenha anexo(s) superior(es) a 20 MB para envio (interno e internet) e 20 MB para recebimento (internet)
  • tenha conteúdo considerado impróprio, obsceno ou ilegal;
  • seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
  • contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
  • tenha fins políticos locais ou do país (propaganda política);
  • inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

Combate a vírus de computador

Os procedimentos de combate a processos destrutivos (vírus, cavalo-de-tróia e worms) estarão sistematizados e abrangem máquinas servidoras, estações de trabalho, equipamentos portáteis e microcomputadores stand alone. Deverá ser definido junto a parceiros, via aquisição ou via opção por uso de software livre um padrão para anti-vírus nos servidores e estações de trabalho da empresa. A propagação de ferramentas maliciosas e vírus será controlada via segmentação de rede lógica.

Topologia de Rede

Nomenclatura dos Servidores

  • Ambiente de Produção (Apresentação e Aplicação Internet): Nome da aplicação seguido de numeração sequencial crescente;
  • Serviços Internos: EPB UX ou NT PB<999999> para computadores

Nomenclatura dos Ativos de Rede

  • EPBRR para roteadores em ambiente de INTRANET e EXTRANET e mesma nomenclatura usada para os servidores em ambiente de INTERNET;
  • EPBSW para switches em ambiente de INTRANET E EXTRANET e a mesma nomenclatura usada para os servidores em ambiente de INTERNET;
  • EPBFW para firewalls em ambiente de INTRANET E EXTRANET e a mesma nomenclatura usada para os servidores em ambiente de INTERNET;

Considerações Finais

Todas as regras aqui descritas visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso dos recursos de TI fornecidos pela Pare Bem. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação. Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a Pare Bem, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.

Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da organização, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação. Ao se monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor.

O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações disciplinares e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.

Somente os colaboradores que estão devidamente autorizados a falar em nome da Pare Bem para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros. Apenas os colaboradores autorizados pela empresa poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.

É proibida a divulgação e/ou o compartilhamento indevido de informações em listas de discussão, sites ou comunidades de relacionamento, salas de batepapo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet. Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de programas ligados diretamente às suas atividades e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pelo líder direto e setor de TI. O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela Gerência de TI.

Os colaboradores não poderão em hipótese alguma utilizar os recursos corporativos para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional. O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer formato) poderão ser realizados por usuários que tenham atividades profissionais relacionadas a essas categorias. Para tal, grupos de segurança, cujos integrantes deverão ser definidos pelos respectivos gestores, precisam ser criados a fim de viabilizar esse acesso especial.