Política de Segurança de TI
Transcrição
Política de Segurança de TI
+ Política de Segurança da Informação Área de IT Vinci Partners Objetivo O objetivo deste documento é definir a política de segurança da informação da Vinci Partners. Esta política visa garantir a disponibilidade, integridade, confidencialidade, autenticidade e auditabilidade das informações e processos internos da empresa. A informação é um ativo que possui grande valor, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. Público alvo O alcance da política é para todos os colaboradores da Vinci Partners. É dever de todos zelar pela informação, tratando-a como um bem da própria empresa. Definições Abaixo se encontram as políticas de segurança da informação definidas para a Vinci Partners 1) Acesso à rede Cada funcionário terá acesso à rede através de senha pessoal. As senhas de acesso à rede local devem seguir os seguintes requisitos: • 7 caracteres, com três das quatro condições: maiúsculo, minúsculo, números e caracteres especiais • Renovação obrigatória a cada 60 dias • Bloqueio depois de 10 tentativas • Desbloqueia depois de 1 hora • Não usar as últimas 10 senhas A Rede é dividida em diretórios para cada área da empresa, e o seu acesso só é permitido com a autorização do proprietário daquela área. Não é permitida a conexão de Notebooks pessoais à rede local. 2) Gravação de informações A fim de evitar perda de informação por falha de hardware, não é permitida a gravação de informações nos discos locais das estações, visto que nenhum backup dos discos locais é feito. As informações devem ser armazenadas em diretórios específicos na rede ao qual o usuário tenha permissão de acesso. É proibida a gravação de informações de conteúdo indevido na rede, tais como arquivos de áudio, vídeo e imagem. Exceções terão que ser aprovadas junto ao chefe da área do requisitante. Gravações de CD/DVD serão feitas com o apoio da área de IT desde que devidamente autorizado pelo chefe de área. Os usuários poderão solicitar a restauração de arquivos do backup, apenas para os arquivos que estavam nos diretórios aos quais possuem acesso previamente autorizado. 3) Permissão na estação A fim de evitar a instalação de software sem autorização e disseminação de vírus os usuários não tem permissão de administrador nas estações. Toda instalação de softwares deve ser feita pela equipe de TI. 4) Envio e recebimento de e-mails Para garantir a disponibilidade e desempenho do serviço de e-mail, o limite para o envio e recebimento de e-mails é de 20 MB por mensagem. Como boas práticas para a utilização segura do serviço: a) Não abra anexos com extensões .bat, .exe, .lnk, .scr e .com. b) Desconfie de e-mails com assuntos estranhos ou não condizentes com o ambiente de trabalho. c) Desconfie de e-mails solicitando dados pessoais e privados, tais como senhas, cartões de crédito, etc Em caso de dúvidas, entre em contato com a área de suporte de TI. 5) Uso do Instant Messenger A Vinci disponibiliza IM Microsoft Lync para a comunicação corporativa. Uso do IM (Skype, Gtalk, Lync) é liberado para a comunicação pessoal. 6) Acesso à Internet Acesso a Sites de conteúdo inapropriado, como por exemplo, redes sociais (Facebook, MySpace), sexo e violência é proibido na instituição. Exceções desta política devem ser solicitadas à área de TI para análise, com justificativa do solicitante e de seu respectivo chefe de área. A área de TI detém o direito de negar a solicitação caso a mesma caracterize risco de segurança e/ou imagem à empresa. O acesso à Internet está disponível para convidados ou para a conexão de Notebooks pessoais através da rede wireless, que não possui conexão com a rede interna da instituição. 7) Gravação de ramais A Vinci possui sistema de gravação de ramais para usuários elegíveis das Áreas Comerciais e das Áreas de Gestão de Recursos. A escuta de gravações do próprio solicitante é permitida. Para a escuta de gravações de outro usuário ou gravação para mídia externa, somente com a permissão de um membro do Comitê de Gestão. Caso o usuário faça parte de uma das Áreas Comerciais ou de uma das Áreas de Gestão de Recursos deverá seguir a seguinte política de histórico de gravação de ramais: • Para a Área Comercial aplica-se a política de 5 anos de histórico. • Para a Área de Gestão de Recursos aplica-se a política de 1 mês de gravação. 8) Smartphones e Tablets É permitida a utilização de smartphones e tablets pessoais e corporativos para acesso aos e-mails da empresa, desde que a solicitação seja aprovada pelo chefe de área do solicitante e pelo diretor financeiro. A área de recursos humanos também deve ser notificada. 9) Notebooks Não é permitido o uso de notebooks pessoais conectados à rede da empresa. Os usuários que estiverem utilizando computadores pessoais portáteis (laptops ou notebooks) da empresa, devem estar cientes de que: a) Os recursos de TI, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais. b) A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário. c) É de responsabilidade de cada usuário assegurar a integridade do equipamento, confidencialidade e disponibilidade da informação contida no mesmo. d) O usuário não deve alterar a configuração do equipamento recebido. Boas práticas: a) Mantenha o equipamento sempre com você. b) Atenção em hall de hotéis, aeroportos, aviões, carros, etc; c) Ao transportar o equipamento, evite deixá-lo visível sem necessidade; Em caso de furto: Nossos notebooks estão com os HDs criptografados. Mesmo assim, é obrigatória a comunicação para a equipe de TI em caso de furto ou perda do equipamento. 10) CFTV A fim de garantir a confidencialidade de nossas informações, o acesso às imagens gravadas pelo sistema de CFTV somente é permitida com autorização da Área de Compliance. 11) Controle de acesso A fim de garantir a confidencialidade de nossas informações, o acesso às informações do trânsito de funcionários (via sistema de controle de acesso) somente é permitida com autorização do chefe da área do solicitante e da Área de Compliance.