Untitled - Fachesf

Transcrição

Untitled - Fachesf

Apresentação
Ciente da importância de aprimorar os controles de gestão e governança, garantindo a proteção da informação e zelando pela integridade e sigilo dos dados corporativos, principalmente os dados dos
Participantes e Assistidos, o Conselho Deliberativo da Fachesf aprovou a Política de Segurança da Informação, no dia 5 de Fevereiro de
2010.
A informação é um dos bens mais valiosos da Fachesf, independentemente do formato que apresente: eletrônico (computador,
pendrive, e-mail, etc.), linguagem falada (conversa pessoal ou telefônica) ou escrita (documentos, cartas, etc.). Dessa forma, é importante
protegê-la sempre. Você, como usuário, tem um papel fundamental,
pois a segurança da informação acontece através das pessoas!
Cada funcionário é um elo dessa grande corrente. O envolvimento
de todos é essencial na consolidação e representatividade da nossa
Política de Segurança da Informação.
Para apresentar os principais aspectos e conceitos que envolvem o
tema, bem como facilitar e nivelar o entendimento de todos os colaboradores da Fachesf, elaboramos esta cartilha.
Sugerimos que você leia o material por inteiro e que as orientações
aqui repassadas possam fazer parte do seu cotidiano.
A Diretoria Executiva
Cartilha de Segurança da Informação | Apresentação
O referido documento contém as principais diretrizes para todas as
ações e demais regulamentos relacionados ao tema. Nos últimos
anos, a Fachesf tem intensificado a implantação de vários controles
de proteção da informação e a formalização da Política vem para
aperfeiçoar esse processo.
03
Cartilha de Segurança da Informação | Sumário
Sumário
04
Parte 01
Parte 02
Parte 03
A importância da
Segurança da Informação
para as empresas
Os princípios básicos
da Segurança Informação
Segurança da Informação
da Fachesf
página 06
página 10
página 13
Parte 05
Anexo
Atitudes para
a Segurança da
Informação
Glossário:
Termos Utilizados na
Segurança da Informção
Política de Segurança
da Informação
da Fachesf
ANEXO
lítica de Seguran
página 28
página 36
página 43
Cartilha de Segurança da Informação |Sumário
Parte 04
05
Parte 01
Mas o que é Segurança da Informação?
Segurança da Informação é um conjunto de medidas constituídas
basicamente de controles e de políticas de segurança, tendo como
objetivo a proteção das informações, através do controle dos riscos
de revelação ou alteração por pessoas não autorizadas. Segurança
da Informação remete à ideia de que informações e/ou conhecimentos estejam seguros e protegidos contra pessoas que não precisam
(ou não devam) ter acesso a tais dados.
A segurança visa também aumentar a produtividade dos usuários,
através de um ambiente mais organizado, com maior controle sobre
os recursos materiais, patrimoniais e de informática.
O que é Política de Segurança da Informação?
Política de Segurança é um conjunto de diretrizes que definem formalmente as regras e os direitos para todos os colaboradores, visando à proteção adequada dos que compartilham a informação. Ela
também define as atribuições de cada um dos atores, em relação à
Cartilha de Segurança da Informação | Parte 01
Os pilares da segurança da informação nos dão ferramentas completas para proteger as informações das empresas, ou seja, minimizar riscos e maximizar o maior retorno do investimento. Portanto,
quando mencionamos “segurança da informação” estamos falando
de proteções voltadas às informações impressas, verbais e sistêmicas, bem como, nos controles de acesso, vigilância, contingência de
desastres naturais, contratações, cláusulas e demais questões que
juntas formam uma proteção adequada para qualquer empresa.
07
segurança dos recursos com os quais trabalham, além disso, deve
prever o que pode ser feito e o que será considerado inaceitável.
A informação é só o que está nos sistemas?
Não. Entende-se por informação todo e qualquer conteúdo ou dado
que tenha valor para a organização ou pessoa. Além do que está
armazenado nos computadores, a informação também está impressa em relatórios, documentos, nos arquivos físicos, ou é repassada
através de conversas nos ambientes interno e externo.
Por isso, todo cuidado é pouco na hora de imprimir relatórios, jogar
papéis no lixo, deixar documentos em cima da mesa, conversar sobre
a empresa em locais públicos ou com pessoas estranhas.
O que é Engenharia Social?
08
É a ação mal intencionada que, aproveitando-se da ingenuidade
e da confiança alheia, obtém informações importantes de uma
determinada pessoa ou empresa, por meio de uma conversa
informal.
O indivíduo mal intencionado geralmente usa telefone, e-mail, salas de bate-papo e até mesmo contato pessoal para conseguir as
informações que procura.
Muito cuidado: desconfie de abordagens de pessoas que ligam e
se identificam como técnicos ou funcionários de determinada firma
e pedem dados sobre a Fachesf, um Participante, você, etc. Nunca
forneça dados se não foi você quem iniciou o contato ou se não
tem como assegurar a credibilidade da pessoa e da firma.
Internet: ameaças e vulnerabilidades
Atualmente a maioria das aplicações está ligada de alguma maneira à Internet, que pode ser considerada um marco importante para reavaliar a maneira de utilizarmos o computador.
Porém, se por um lado a Internet é uma ferramenta mais indispensável a cada dia, e existe um número crescente de pessoas conectadas, isto leva inevitavelmente, à existência de pessoas que vão se
aproveitar da situação para obter benefício próprio de forma ilegal.
Com o aumento dos números de aplicações e a complexidade das
redes, as pessoas e sistemas estão mais e mais susceptíveis a ataques.
Por que acontecem ataques?
De alguma maneira, ataques acontecem porque existe:
• Motivação de um hacker (atacante do sistema);
• Falha na estrutura de segurança do alvo atacado;
• Desconhecimento do valor da informação.
Podemos então imaginar isso tudo como uma balança: quanto mais
vulnerável é o sistema de segurança de uma empresa, menos motivação precisa ter o hacker, pois é mais fácil efetuar o ataque. Se
o sistema é muito bem protegido, entende-se que o hacker precisa
de mais conhecimento, maior motivação e mais tempo para atacar.
O uso da Internet nas empresas trouxe novas vulnerabilidades na
rede interna. Além das preocupações existentes com fraudes, erros e acidentes, as empresas precisam se preocupar agora com os
hackers, invasões, vírus, cavalos de tróia e outras ameaças que penetram através dessa nova porta de acesso.
09
Os princípios básicos da Segurança da Informação são a Confidencialidade, Integridade e Disponibilidade das informações.
Outras características são a Irrefutabilidade, a Autenticação e o
Controle de Acesso. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens,
roubo de informações e diversos outros problemas que possam
comprometer esses princípios básicos.
• Ameaça à segurança: acontece quando há uma quebra de
sigilo de uma determinada informação (ex: a senha de um
usuário ou administrador de sistema), permitindo que sejam
expostas informações restritas que deveriam ser acessíveis
apenas por um determinado grupo de usuários.
Integridade: garantia da veracidade da informação, que
não pode ser corrompida. A informação não deve ser alterada enquanto está sendo transferida ou armazenada. Além
disso, ninguém pode modificar seu conteúdo e muito menos
eliminá-lo.
• Ameaças à segurança: acontece quando uma determinada
informação fica exposta ao manuseio por uma pessoa não
autorizada, que efetua alterações que não foram aprovadas
e não estão sob o controle do proprietário (corporativo ou
privado) da informação.
Confidencialidade: proteção da informação compartilhada contra acessos não autorizados.
11
Disponibilidade: prevenção de interrupções na operação
de todo o sistema; uma quebra do sistema não deve impedir
o acesso aos dados. Os métodos para garantir a disponibilidade incluem um controle físico e técnico das funções dos
sistemas de dados, assim como a proteção dos arquivos, seu
correto armazenamento e a realização de cópias de segurança.
• Ameaça à segurança: acontece quando a informação deixa de estar acessível para quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, devido à queda de um servidor
ou de uma aplicação crítica de negócio, podendo ser por
motivo interno ou externo ao equipamento por ação
não autorizada de pessoas (com ou sem má intenção).
12
Acesso controlado: o acesso dos usuários à informação
é restrito e controlado, significando que só as pessoas que
devem ter acesso a uma determinada informação, tenham
esse acesso.
• Ameaça à segurança: descuido e possível quebra da confidencialidade das senhas de acesso à rede, ou o acesso à rede
por hackers mal intencionados.
Parte 03
Quanto ao uso dos recursos de Tecnologia
• Os recursos que permitem o acesso à informação são autorizados e disponibilizados exclusivamente para o usuário desempenhar suas funções na Fachesf ou para outras situações
formalmente permitidas.
• Quando o usuário se comunicar através de recursos de
tecnologia da Fachesf, a linguagem falada ou escrita deve
ser profissional, de modo que não comprometa a imagem
da Fundação.
14
• Os conteúdos acessados e transmitidos através dos recursos de tecnologia da Fachesf devem ser legais, de acordo
com o Código de Ética da entidade, e devem contribuir para
as atividades profissionais do usuário.
• O uso dos recursos de tecnologia da Fachesf pode ser examinado, auditado ou verificado pela Fundação, mediante
autorização expressa da Diretoria Executiva, sempre respeitando a legislação vigente.
• Cada usuário é responsável pelo uso dos recursos que lhe
foram fisicamente entregues e estão sob sua custódia, garantindo a conservação, guarda e legalidade dos programas
(softwares) instalados.
• Em caso de roubo ou furto de recursos físicos de tecnologia, o usuário deve fazer o registro da ocorrência em unidade policial, comunicar ao seu gestor e à ATI (Assessoria de
Tecnologia da Informação).
• Os recursos de tecnologia da Fachesf, disponibilizados
para os usuários, não podem ser repassados para outra pessoa interna ou externa da organização.
• Ao identificar qualquer irregularidade no recurso de tecnologia o usuário deve comunicar imediatamente à Assessoria
de Tecnologia da Informação (ATI).
Quanto ao uso do computador
O recurso computador disponibilizado para o usuário é de
propriedade da Fachesf.
b. Disponibilização e uso
• O recurso computador disponibilizado para o usuário
pela Fachesf tem por objetivo o desempenho das atividades profissionais desse usuário na organização.
• É necessário que o Gestor do Usuário autorize-o a usar
o computador. Deve ser feita uma solicitação à ATI, que
autorizará tecnicamente e fará a liberação mediante a disponibilidade de recursos e atendimento das demais solicitações.
a. Propriedade do computador
15
• É obrigatório que o equipamento a ser autorizado pela
ATI seja um dos modelos aprovados para uso na Fachesf.
• É obrigatório que os programas aplicativos, programas
produto e sistema operacional a serem utilizados no equipamento sejam os autorizados pela ATI.
• A Fachesf pode a qualquer momento retirar ou substituir
o computador disponibilizado para o usuário.
• Cada computador deve ter o seu gestor, que é responsável por esse equipamento. O controle das máquinas é de
responsabilidade da ATI.
c. Programas utilizados no computador
16
• Os programas aplicativos, programas básicos (sistema
operacional e ferramentas) e componentes físicos são implantados e configurados pela ATI.
• É proibido ao usuário implantar novos programas ou alterar configurações sem a permissão formalizada da ATI.
• É proibido ao usuário implantar ou alterar componentes
físicos no computador.
d. Verificação do computador
A Fachesf pode, a qualquer tempo, verificar o conteúdo
armazenado no computador de cada usuário.
e. Uso do computador portátil (Notebook)
• Quando o usuário não estiver usando o computador portátil, deve utilizar cabo de proteção física que evita o furto
físico do equipamento.
• Caso o computador portátil fique mais de 12 horas sem
uso, o usuário deve guardá-lo em um armário com chave.
• Ao transportar o computador portátil no carro, o usuário
deve colocá-lo no compartimento porta-malas. O aparelho
nunca deve ser deixado em local visível dentro do automóvel.
• O uso de computadores portáteis em locais públicos (aeroportos, recepções de hoteis, restaurantes) deve ser evitado.
Caso seja extremamente necessário, o usuário deve tomar todos os cuidados para evitar furto ou perda do equipamento.
f. Responsabilidades do usuário
O usuário que utiliza o recurso computador deve:
• Cuidar adequadamente do equipamento. O usuário é o
Custodiante deste recurso.
• Garantir a sua integridade física e o seu perfeito funcionamento, seguindo as regras e orientações fornecidas pela ATI.
• Ao viajar com o computador portátil, o usuário deve
mantê-lo próximo ao seu corpo e estar atento para evitar
furtos em locais públicos.
17
g. Informações contidas no computador
O usuário tem a responsabilidade de transferir para o servidor designado as informações que estão no computador
portátil e que precisam possuir cópias de segurança.
h. Outras proteções
• Deve ser implantada a proteção de tela no computador
e/ou proteção de ausência (após um tempo de inatividade,
o computador bloqueia o sistema, exigindo senha para ser
usado novamente).
• Havendo possibilidade técnica e viabilidade de utilização, a ATI pode desenvolver e implantar ações para que as
informações armazenadas no computador portátil sejam
criptografadas, evitando que, em caso de roubo ou perda
do equipamento, as informações da Fachesf sejam acessadas por pessoas não autorizadas.
18
i. Termo de compromisso
Para ter acesso à informação da Fachesf, o usuário deverá
assinar (manual ou eletronicamente) um termo de compromisso. Os casos de exceção serão definidos pela Diretoria
Executiva.
Quanto ao uso da Internet
a. Autorização
O acesso à Internet através de recursos de tecnologia da
Fachesf necessita ser autorizado pelo Gestor do Usuário.
b. Realização do acesso
• O acesso à Internet somente acontecerá após o usuário
se identificar no ambiente de tecnologia da Fachesf através
dos controles do ambiente de rede de computadores.
• O acesso à Internet deve ser feito exclusivamente com os
programas (softwares) autorizados e disponibilizados para
os usuários pela ATI. O usuário não deve alterar as configurações implantadas no computador, notebook, etc. que
utiliza.
c. Responsabilidade e forma de uso
O usuário que utiliza o acesso à Internet:
• É proibido de acessar locais virtuais (sites) que:
Possam violar direitos de autor, marcas, licenças de programas (softwares) ou patentes existentes.
Possuam conteúdo pornográfico, relacionado a sexo, exploração infantil ou ao crime de pedofilia.
Contenham informações que não colaborem para o alcance dos objetivos da Fachesf.
Defendam atividades ilegais.
Menosprezem, depreciem ou incitem o preconceito a
determinadas classes como sexo, raça, orientação sexual, religião, nacionalidade, local de nascimento ou deficiência física.
• É responsável por todo acesso realizado com a sua identificação/autenticação.
19
Que não tenham relação direta com a atividade profissional desempenhada pelo usuário.
• Não deve retirar (copiar) dos endereços acessados (sites)
material que não seja para o uso profissional na Fachesf.
Nesses casos, o usuário deve garantir que está cumprindo
a legislação em relação ao direito autoral, licença de uso e
patentes existentes e que o uso do material foi autorizado
pelo gestor da sua área.
• Está proibido de participar de salas de conversas (Chat)
online, exceto em eventuais situações de uso profissional
autorizado pelo gestor da área e pela ATI.
d. Uso de serviço de mensagem instantânea.
20
É proibido o uso de serviços de mensagem instantânea
(MSN, etc), através dos computadores da Fachesf, exceto
em eventuais situações de uso profissional autorizado pelo
gestor da área e pela ATI.
e. Uso de serviço de rádio, TV, download de vídeos, filmes e músicas.
É proibido o uso de serviços de rádio, TV, download de
vídeos, filmes e músicas, através dos computadores da Fachesf, exceto em eventuais situações de uso profissional
autorizado pelo gestor da área e pela ATI.
f. Bloqueio de endereços de Internet
Periodicamente a ATI revisará e bloqueará o acesso para os
endereços da Internet que não estejam alinhados com esta
Política e com o Código de Ética da Fundação.
g. Uso de Correio Eletrônico particular tipo WebMail (centralizado em provedores)
• Os usuários poderão acessar serviços de correio eletrônico particular, tipo WebMail, através dos recursos de tecnologia da Fachesf.
• Esse tipo de acesso está submetido à Política de Segurança da Informação da Fachesf e aos controles técnicos
da ATI.
Quanto ao uso do correio eletrônico (e-mail)
a. Endereço eletrônico do usuário
• A Fachesf disponibiliza endereços de seu correio eletrônico
para utilização do usuário no desempenho de suas funções
profissionais. (Ex.:[email protected])
• O endereço eletrônico disponibilizado para o usuário é individual, intransferível e pertence à Fundação.
• O endereço eletrônico cedido para o usuário deve ser o
mesmo durante todo o seu período de vínculo com a Fachesf. Se houver necessidade de troca de endereço, a alteração deverá ser autorizada pela ATI e registrada para possibilitar uma posterior verificação de autoria.
• Havendo necessidade técnica, esse tipo de acesso poderá
ser bloqueado ou suspenso pela ATI.
21
b. Criação, manutenção e exclusão do endereço
de correio eletrônico
• A utilização desse endereço de correio eletrônico pelo
usuário necessita ser autorizada pelo seu Gestor.
• A liberação do endereço de correio eletrônico será feita
pela ATI de maneira controlada e segura com o objetivo
de garantir que apenas o usuário tenha possibilidade de
utilizar o referido endereço.
• Quando acontecer desligamento de usuário do tipo empregado ou estagiário, a FCS (Central de Serviços) deve comunicar à ATI seu nome e a identificação.
• Quando acontecer desligamento de usuário do tipo não
empregado e não estagiário, o Gestor da Informação deve
comunicar à ATI o nome e a identificação desse usuário.
22
• Havendo necessidade, o Gestor do Usuário poderá autorizar à ATI para que, durante 30 dias, o endereço eletrônico de um usuário desligado permaneça ativo sem acesso. Nesse caso será configurada uma resposta automática
informando que o email foi desativado e que mensagens
profissionais devem ser encaminhadas para outro endereço
eletrônico indicado.
c. Endereço eletrônico de programas ou de comunicação corporativa
• É permitido que um programa aplicativo ou um programa de sistema possua um endereço de correio eletrônico.
Nesse caso, é obrigatória a existência de um usuário da
ATI responsável por acompanhar as mensagens emitidas e
recebidas por esse endereço.
• É permitido a existência de endereços de correio eletrônico para o envio de mensagens tipo Comunicação Interna
da Fachesf, porém, é obrigatória a identificação do usuário
que encaminhou a mensagem.
d. Acesso à distância
• O usuário pode acessar o seu endereço eletrônico cedido
pela Fachesf mesmo quando estiver fora do ambiente de
tecnologia da Fundação, através do serviço de correio eletrônico via Internet (Web Mail).
• A ATI deve avaliar, junto com os usuários, o nível de
proteção de sigilo que deve ser necessário para o uso de
correio eletrônico de maneira remota.
e. Envio e recebimento de mensagens
• O endereço eletrônico de usuário do tipo prestador de
serviço ou tipo estagiário somente poderá enviar e receber
mensagens de endereços de correio eletrônico da Fachesf.
• O endereço eletrônico dos demais tipos de usuário pode
enviar e receber mensagens internas ou externas.
• O acesso ao endereço da Fachesf na Internet deve ser
autenticado via certificado digital.
23
f. Propriedades do endereço
• O endereço de correio eletrônico disponibilizado para o
usuário e as mensagens associadas a esse endereço são de
propriedade da Fachesf.
• Em situações autorizadas pela Diretoria Executiva, as
mensagens do correio eletrônico de um usuário poderão
ser acessadas pela Fachesf ou por pessoas/entidades por
ela indicada. Não deve ser mantida portando, expectativa
de privacidade pessoal.
g. Responsabilidades e forma de uso
O usuário que utiliza um endereço de correio eletrônico:
• É responsável por todo acesso, conteúdo de mensagens
e uso relativos ao seu e-mail.
24
• Pode enviar mensagens necessárias para o seu desempenho profissional na Fundação.
• É proibido de criar, copiar ou encaminhar mensagens ou
imagens que:
Contenham declarações difamatórias ou linguagem
ofensiva de qualquer natureza.
Façam parte de correntes de mensagens, independentemente de serem legais ou ilegais.
Repassem propagandas ou mensagens de alerta sobre
qualquer assunto. Havendo situações em que o usuário
ache benéfico divulgar o assunto para Fundação, a sugestão deve ser encaminhada para a Área de Recursos
Humanos, que definirá a sua publicação ou não.
Menosprezem, depreciem ou incitem o preconceito a
determinadas classes, como sexo, raça, orientação sexual, idade, religião, nacionalidade, local de nascimento ou
deficiência física.
Possuam informação pornográfica, obscena ou imprópria para um ambiente profissional.
Sejam susceptíveis de causar qualquer tipo de prejuízo
a terceiros.
Sejam hostis ou transmitam indiretamente mensagens
hostis.
Defendam ou possibilitem a realização de atividades
ilegais.
Sejam ou sugiram a formação ou divulgação de correntes de mensagens.
Sejam incoerentes com o nosso Código de Ética.
• É proibido reproduzir qualquer material recebido pelo correio eletrônico ou outro meio, que possa infringir direitos
de autor, marca, licença de uso de programas ou patentes
existentes, sem que haja autorização expressa do autor do
trabalho e da organização.
• Deve estar ciente que uma mensagem de correio eletrônico
da Fachesf é um documento formal e, portanto, possui as
mesmas responsabilidades de um documento convencional
em papel timbrado da entidade.
• Exceto quando especificamente autorizado para tal, é proibido emitir opinião pessoal, colocando-a em nome da Fachesf.
Possam prejudicar a imagem da Fachesf.
25
• Deve observar se o endereço do destinatário corresponde
realmente ao destinatário desejado.
• Deve ser diligente em relação:
aos usuários que receberão a mensagem (Destinatário/
To, Copiado/Cc e Copiado Oculto/Bcc);
ao nível de sigilo da informação contida na mensagem;
aos anexos da mensagem, enviando os arquivos apenas
quando for imprescindível e garantindo a confidencialidade dos mesmos;
ao uso da opção Encaminhar (Forward), verificando se é
necessária a manutenção das diversas mensagens anteriores que estão encadeadas.
26
• Deve acessar diariamente sua caixa de entrada, remover
as mensagens não mais necessárias e responder rapidamente às mensagens recebidas.
• Deve deixar mensagem de ausência quando for passar
um período maior do que 48 horas sem acessar seu correio eletrônico. Essa mensagem deve indicar o período de
ausência e o endereço do substituto para quem deve ser
enviada a mensagem.
• Deve avaliar se é conveniente para a Fachesf que outro
usuário interno possa acessar suas mensagens de correio
eletrônico e antecipadamente delegar esse acesso, quando
se ausentar por um período maior que uma semana.
h. Cópias de segurança
Para que seja possível uma gestão segura, efetiva, confiável, administrável e passível de auditoria:
• A cópia de segurança das mensagens de correio eletrônico deve ser feita de forma centralizada no ambiente dos
equipamentos servidores corporativos ou servidores regionais, sob a responsabilidade da ATI.
• A ATI fornecerá o serviço de recuperação de mensagens
de correio eletrônico, a partir de arquivos de cópia de segurança, cumprindo parâmetros de nível de serviço previamente estabelecido.
27
Controle de acesso
O controle de acesso é parte central da segurança de uma empresa do ponto de vista da segurança da informação. Por isso, é
fundamental o uso diário do crachá nas instalações da Fachesf.
No ambiente externo, é melhor ficar atento
Quando seu equipamento viajar com você, evite deixá-lo por muito tempo sozinho em uma sala ou mesa da empresa. Qualquer
pendrive ou conexão de rede pode levar dados valiosos.
Cuidado com o lixo que você produz
O lixo pode ser uma fonte de informações para pessoas mal intencionadas. Destrua os documentos que contenham informações
sensíveis, pessoais ou da Fundação antes de descartá-los. Se o papel que vai ser jogado no lixo contém informações que não devem
ser lidas por estranhos, rasgue-o antes de jogá-lo fora.
Cuidados com senhas e acessos no sistema
Cada tarefa desenvolvida na Fachesf deve e precisa ter um responsável. A única forma de saber o responsável por cada atividade é
através da identificação do usuário.
Falar sobre informações restritas ou segredos profissionais em
um lugar público ou por telefone merecem cuidado especial. Frequentemente, as pessoas são o elo mais fraco na segurança da
informação de uma empresa.
29
Tudo que é feito com a sua identificação (assinatura ou senha)
é de sua responsabilidade. Portanto, cuidado com seus dados,
seja na rede ou nos sistemas, pois ela serve para garantir que
você é realmente quem está usando esse acesso.
Se uma outra pessoa tem acesso a sua senha, ela poderá utilizála para se passar por você, porém, a responsabilidade por tudo
que ela fizer será sua.
Alguns exemplos de ações que podem ser atribuídas a você, são:
• liberação de atendimentos indevidos;
• e-mails com informações inadequadas;
• acesso a páginas da internet proibidas;
• downloads proibidos.
Compartilhar sua senha é como assinar um cheque em branco.
30
Utilize senhas fortes, isto é, com mais de 6 caracteres, combinando numéricos e alfanuméricos, maiúsculas e minúsculas e
não utilize datas comemorativas, sobrenomes, nome do cônjuge, nome dos filhos, placas de carro, etc. Não escreva a senha
em local público ou de fácil acesso, como por exemplo, em
sua agenda, em um pedaço de papel pregado no seu monitor
ou guardado na sua gaveta. Utilize uma senha diferente para
cada serviço. Sempre que suspeitar de perda de sigilo das suas
senhas, altere-as imediatamente.
Pausa para o café
Apesar de saber que você é bastante cuidadoso, acidentes
acontecem, e ao derramar café ou água em um documento ou
no computador você poderá danificá-los.
Quanto às bolachas, os resíduos no teclado diminuem consideravelmente a vida útil do equipamento. A sujeira acumulada
em baixo das teclas é difícil de limpar, portanto aproveite o
momento do cafezinho, da água e da bolacha para esticar as
pernas e fique longe dos computadores e papeis. Você pode até
aproveitar para fazer um alongamento rápido.
Uso de e-mails
Sua conta de e-mail foi criada para ser usada em atividades ligadas ao trabalho. Alguns cuidados são indispensáveis em sua
utilização:
• Não abra e-mails enviados por desconhecidos, principalmente se eles contiverem arquivos anexados;
• Não responda mensagens de propaganda;
• Não repasse mensagens com notícias sensacionalistas, pedidos de ajuda, avisos de vírus, textos de auto-ajuda e outras
similares;
• Não cadastre seu endereço da Fachesf em listas de discussão, sites de compra ou similares;
Não esqueça de bloquear o computador nesses momentos de
intervalo. Use o Ctrl+ALT+Del e você não perderá nada do que
está fazendo (apenas a tela ficará protegida e sua senha deverá
ser digitada novamente quando você voltar).
31
• Confirme se os destinatários estão corretos;
• Avalie a necessidade de enviar “com cópia”;
• Verifique se é necessário o envio de mensagens encadeadas e o envio de anexos;
• Escreva textos claros, simples e objetivos;
• Não acredite em todos os e-mails sobre vírus, principalmente aqueles de origens duvidosa, que mandam em anexo um arquivo para ser executado prometendo solucionar o
problema. Verifique sua veracidade com a ATI;
• Atenção: o correio eletrônico deve ser usado apenas
para assuntos relacionados com a Fachesf.
Fique atento ao Vírus
32
Os vírus são programas que se multiplicam e podem afetar o
funcionamento de toda a rede, além de roubar sua senha ou
apagar arquivos preciosos na sua máquina. Ao perceber que o
computador que você usa foi infectado, desligue a máquina e
comunique imediatamente ao helpdesk.
A melhor forma de combater os vírus é proceder da seguinte
forma:
• Verifique se o antivírus da máquina que você usa está ligado (cor verde no canto inferior direito da tela) e mantenha-o
atualizado.
• Não abra e-mails e arquivos enviados por desconhecidos;
• Não abra programas ou fotos que dizem oferecer prêmios;
• Cuidado com os e-mails falsos de bancos, lojas e cartões
de crédito;
• Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS
e, principalmente, os terminados com EXE e COM;
• Nunca acredite em pedidos de pagamento, correção de
senhas ou solicitação de qualquer dado pessoal por e-mail.
Comunique-se por telefone com a instituição que supostamente enviou a mensagem e confira o assunto;
• Se você desconfiar de um e-mail recebido, mesmo quando
enviado por pessoa conhecida, não abra-o, pois pode ser
falso: Apague-o imediatamente e não utilize o contato.
A instalação de softwares não autorizados podem colocar em
risco toda a rede da Fachesf. Mesmo que seja para melhorar o
seu desempenho no trabalho, solicite à ATI a análise prévia do
programa que você pretende instalar. O uso de cópias não autorizadas podem acarretar multa de 3 mil vezes o valor de sua
licença. Dessa forma, até um simples descompactador pode sair
muito caro.
Cópias de segurança
Cópias de segurança dos dados armazenados em um computador são importantes não apenas para recuperar eventuais falhas, mas também para reparar as consequências de uma possível infecção por vírus ou invasão.
Quais são as formas de realizar cópias de segurança?
Cópias de segurança podem ser simples, como o armazenamento de arquivos na rede, em CDs ou DVDs, ou mais complexas,
como o espelhamento de um disco rígido inteiro em um outro
disco de computador. Atualmente, uma unidade gravadora de
Instalação de Softwares
33
CDs/DVDs e um software que possibilite copiar dados são suficientes para que a maior parte dos usuários de computadores
realizem suas cópias de segurança.
Também existem equipamentos e softwares mais sofisticados e
específicos que, dentre outras atividades, automatizam todo o
processo de realização de cópias de segurança, praticamente
sem intervenção do usuário. A utilização de tais recursos envolve custos mais elevados e depende de necessidades particulares
de cada usuário.
Com que frequência devo fazer cópias de segurança?
A frequência em que deve ser realizada uma cópia de segurança
e a quantidade de dados armazenados nesse processo depende
da periodicidade em que o usuário cria ou modifica arquivos.
Cada um deve criar sua própria rotina de cópia dos arquivos.
34
Navegando na Internet
• Verifique se o endereço que está aparecendo em seu navegador é realmente o que você deseja acessar;
• Antes de clicar em um link, veja na barra de status do navegador se o endereço de destino está de acordo com a sua
descrição;
• Não autorize a instalação de softwares de desconhecidos
ou de sites estranhos;
• Confie em seus instintos. Se você desconfiar de um site,
saia da página imediatamente;
• Não clique em OK ou confirme sem entender a mensagem
que está sendo confirmada. Na dúvida, ligue para o helpdesk;
• Use a internet somente para assuntos relacionados exclusivamente com o seu trabalho.
Adote um comportamento seguro
• Não utilize ferramentas da empresa como “Notebook” ou
“PC” para armazenar conteúdo particular como fotos ou textos;
• Não baixe nem instale qualquer programa no PC sem ter
autorização expressa da ATI;
• Não compartilhe nem divulgue sua senha a terceiros;
• Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões,
restaurantes, encontros sociais, etc.);
• Não abra mensagens de origem desconhecida nem utilize
a internet para acessar sites de relacionamento e/ou salas de
bate-papo;
• Armazene e proteja adequadamente documentos impressos e arquivos eletrônicos que contêm informações confidenciais;
• Siga corretamente a política para uso de internet e correio
eletrônico estabelecida pela Fachesf.
• Não transporte informações confidenciais da Fachesf em
qualquer meio (CD, DVD, disquete, pendrive, papel, etc.)
sem as devidas autorizações e proteções;
35
:
Acesso à informação
É o ato de um usuário ter contato com a informação e ter conhecimento dela. Pode ser no ambiente de tecnologia (através
de computadores) ou no ambiente convencional, quando acessamos uma pasta ou um documento em papel.
Acesso seguro (acesso controlado)
É o acesso à informação feito com a existência de controles que
buscam garantir que:
• seja registrado tudo que é feito com a informação;
• seja indicado os tipos de acesso: se somente para leitura,
se autorizada alteração ou se autorizada a remoção da informação;
• foram tomados cuidados para garantir a integridade da
informação.
Ambiente convencional
É o ambiente físico onde vivemos. As informações nesse ambiente convencional estão em papel, escritas no quadro ou em
outros meios físicos.
• as informações sejam acessadas apenas por pessoas de
direito;
37
Ambiente de desenvolvimento
É o ambiente onde os sistemas aplicativos são desenvolvidos.
Antes de um sistema funcionar, ele precisa ser criado e testado,
ficando acessivel, portanto, apenas para o pessoal envolvido no
desenvolvimento desse sistema.
Ambiente de produção
É o ambiente computacional onde os sistemas que atendem à
organização funcionam e as suas informações estão sendo utilizadas pelos usuários durante o funcionamento da organização.
É o ambiente verdadeiro: o que estiver nele é o que vale para a
organização.
Ambiente de tecnologia
38
É o ambiente que utiliza a tecnologia para o tratamento da
informação, o mundo virtual. Nesse caso, as informações estão
gravadas nos discos (e outras mídias) e para utilizarmos a mesma precisamos de equipamentos de tecnologia e de programas
que são executados nesse ambiente.
Autenticação do usuário
É a validação de que a pessoa que está acessando um sistema
da Fachesf é realmente quem diz ser. No mundo convencional,
autenticamos alguém pela sua carteira de identidade ou através
de um amigo de confiança que garante que aquela pessoa é
realmente quem diz ser.
Confidencialidade da informação
É a característica da informação que indica acesso somente por
pessoas previamente autorizadas.
Continuidade do recurso
É a garantia de que o recurso vai continuar disponível e operante ao longo do tempo. Um recurso pode deixar de estar disponível caso seja roubado ou destruído.
Cópia de segurança
É a cópia de uma informação (dados, imagem, outro) que pode
ser utilizada caso a informação original seja destruída.
É um processo matemático que transforma a informação original em uma sequência de dados ilegíveis, garantindo a sua
confidencialidade, e depois permite retornar à informação original (legível).
Custodiante de recurso
É a pessoa que fica responsável por determinado recurso e tem
a obrigação de presar pelo seu funcionamento adequado ao
longo do tempo.
Disponibilidade da informação
É a característica que exige que a informação esteja sempre disponível para ser usada pela organização (de acordo com o que
foi combinado).
Criptografia da informação
39
Gestor da Informação
É a pessoa que autoriza ou nega o acesso à informação pelo usuário. Essa autorização ocorre em função da avaliação determinada
que o gestor faz sobre a real necessidade do acesso à determinada
informação.
Gestor do Usuário
É a pessoa (normalmente a chefia) que tem a responsabilidade
de indicar que o usuário é uma pessoa verdadeira naquela organização e realiza determinadas tarefas.
Grupo de acesso à informação
É um grupo de pessoas que possui o mesmo direito de acesso à
informação. Nesse caso, todos compartilham um mesmo meio
de acesso.
Identificação do usuário
40
É a sequência de caracteres que representará o usuário no ambiente computacional. Exemplo: matrícula, nome, CPF.
Integridade da informação
É a característica que possibilita que a informação não seja corrompida ao longo do tempo. Exemplo: em uma folha de fax,
ao longo do tempo, a informação perde sua integridade, pois
é apagada.
Limites de acesso à informação: leitura, alteração,
acesso de retirada do recurso
Quando é dado um acesso à informação, deve-se indicar o poder desse acesso: alguns usuários poderão apenas ler o conte-
údo, enquanto outros poderão alterá-lo. Haverá ainda aqueles
que poderão apagar a informação.
Nível de sigilo da informação
Indica o tratamento mais ou menos rígido que deve ser dado
à informação, em relação à sua possibilidade de acesso. Por
exemplo: uma informação com nível público de sigilo não precisa ser destruída após seu uso. Porém, uma informação confidencial deve ser destruída (de forma a não poder ser refeita).
Perfil de acesso à informação
Está relacionado a um perfil profissional. Exemplo: gerentes.
Nesse caso, teremos o perfil do gerente previamente definido
com vários acessos autorizados. Quando alguém na organização for contratado como gerente, receberá os acessos do perfil
correspondente.
É o processo que implanta, desenvolve, mantém, atualiza e planeja a segurança da informação na organização.
Programas produto
São programas vendidos para as empresas com pouca ou nenhuma customização. Exemplo: um processador de textos.
Recurso de informação
São elementos que armazenam, processam, transmitem ou tratam a informação; variam do mundo tecnológico (discos, fitas
e equipamentos) até o ambiente convencional (papeis, nossas
mentes).
Processo de segurança da informação
41
Recurso físico que suporta a informação
É o recurso físico que possui a informação. Exemplo: uma folha
de papel. O papel é o recurso, mas a informação é aquilo que
está escrita nele.
Registro de acesso à informação
É o registro de quando a informação foi acessada, alterada,
gravada ou removida. É importante para gerenciar o acesso à
informação.
Servidor (Computador)
É o computador ou o conjunto de computadores que suportam
o ambiente corporativo de uma organização. Normalmente o
responsável pelos servidores de uma organização é da área de
TI.
42
Situações de contingência
São situações que tornam indisponíveis a informação (ou outro recurso). Podem ser causadas por problemas da natureza
(chuvas, raios, terremotos) ou ação humana (roubos, atentados, erros).
Sistemas aplicativos
São sistemas desenvolvidos para atender de maneira especifica
as organizações. Exemplo: folha de pagamento, controle de estoque, etc.
Usuário
É a pessoa que utiliza a informação.
ANEXO
Política de Segurança
da Informação da Fachesf
1. Objetivo
Definir as diretrizes para o uso da informação na Fachesf.
2. Abrangência
• Toda informação do ambiente de tecnologia e do ambiente convencional da Fachesf.
Cartilha de Segurança da Informação | Anexo
• Todo usuário da informação da Fachesf: conselheiro, presidente, diretor, empregado, estagiário, participante, prestador de serviço e eventualmente algum órgão que seja legalmente autorizado a acessar informações da Fundação.
44
3. Diretrizes
3.1 A informação da Fachesf deve ser protegida de maneira
a garantir sua confidencialidade, integridade, disponibilidade e acesso controlado.
3.2 O acesso à informação:
• Deverá possibilitar e facilitar o desempenho das atividades relativas à Fachesf;
• Atenderá à legislação em vigor;
• Poderá ser examinado, auditado ou verificado mediante
autorização da Diretoria Executiva ou autoridade competente.
• Será realizado através de uma identificação pessoal do
usuário e de uma autenticação que garanta a veracidade
da sua identificação;
• Será autorizado pelo Gestor da Informação que tem a
responsabilidade de avaliar o pedido de acesso para o usuário.
3.3 O usuário:
• Deve acessar a informação para desempenhar profissionalmente suas funções relacionadas à Fachesf ou para outras situações formalmente permitidas;
• Será validado pelo Gestor de Usuário que assegurará sua
atuação na Fachesf.
3.4 Todos os recursos de informação da Fachesf devem
possuir um Custodiante de Recurso que tem a responsabilidade pela integridade, disponibilidade para uso e continuidade do recurso.
• É responsável pelo acesso realizado com a sua identificação e autenticação;
45
3.5 Apenas produtos autorizados no portfólio da Fachesf e
sistemas aplicativos homologados pelas áreas técnica e de
negócio podem ser executados no ambiente de produção.
3.6 As informações devem ser classificadas em relação ao
seu nível de sigilo com o objetivo de descrever o tratamento
que deve ser dado a essa informação e ao respectivo recurso
de informação.
3.7 A Diretoria Executiva tem a responsabilidade de:
• Designar os Gestores da Informação, Gestor de Usuário e
Custodiante de Recursos;
• Garantir a existência de um plano de continuidade para
os recursos de informação que suporte situações de contingência e definir os limites dessa disponibilidade;
46
• Garantir a implantação e manutenção do processo de
segurança da informação;
• Manter ações de conscientização, treinamento e educação dos usuários em segurança da informação.
4. Cumprimento
O não cumprimento desta política por parte do usuário deve
acarretar punições administrativas e contratuais.
Ficha técnica
Edição: Assessoria de Comunicação Institucional (ACI)
Textos: Assessoria de Tecnologia da Informação (ATI)
e Assessoria de Comunicação Institucional (ACI)
Projeto Gráfico: Corisco Design

Untitled - Fachesf

Transcrição

Documentos relacionados

Estudo Epidemiológico: participe até sexta

Caso16_2003 # Fonte informação Al-Mashari, M. and Al

Nº 13 - Setembro / Outubro

Cartilha PosTV

14H15 - YARA LANE

Guia da Educação em Família - Educar para Crescer

Acesso a Cartilha de Segurança elaborada pelo grupo.

Cartilha - Sebrae Canvas

Segurança em Dispositivos Móveis

AnUnCiArAm

CADASTRO DE ALUNO final.cdr