GUIA DE
SEGURANÇA DA INFORMAÇÃO
Segurança
da Informação Um dever de todos
Desde a primeira edição deste Guia da Segurança da Informação, em 2007, observamos que o mundo da tecnologia sofreu uma revolução que impactou fortemente a vida das pessoas e das empresas. Em junho daquele ano foi lançado o iPhone, o primeiro dispositivo com tecnologia touch (sem teclado) que passou a oferecer as múltiplas funcionalidades que hoje tanto utilizamos. Podemos dizer que foi o início de uma nova era da computação móvel.
de TI a reverem suas políticas, seus processos de controle e a buscarem novas tecnologias de proteção das informações corporativas para se adaptar aos novos tempos. Mesmo assim, em esse novo mundo virtual, mais do que nunca continua verdadeira a afirmação de que a linha de defesa para a segurança das informações internas não pode ser garantida apenas com os recursos tecnológicos. O objetivo deste guia, em sua 3ª edição, é sensibilizá-lo quanto à importância de sua atitude individual em relação aos aspectos aqui abrangidos, descrevendo os principais novos riscos existentes e os cuidados necessários para utilização dos sistemas e dos recursos tecnológicos em geral.
Desde então, passamos a ter nas mãos pequenos dispositivos que permitem a disponibilidade de acesso a informações e de conexão entre pessoas de uma forma muito diferente da que existia antes. Se o mundo já era considerado pequeno, com os bilhões de smartphones hoje disponíveis, ele ficou menor ainda. Novos conceitos como aplicativos para uma miríade de utilidades, computação em Nuvem, internet das coisas, BYOD (“Bring Your Own Device”, ou “Traga o seu próprio dispositivo”, em que equipamentos pessoais passaram a ser usados nas empresas), comunicação fácil como o WhatsApp e a explosão das redes sociais forçaram as equipes 3
ÍNDICE 1. 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 2. 2.1 2.2 2.3 3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 3.15 4. 5. 6.
Conceitos sobre Segurança da Informação A informação Gestão de Segurança da Informação Confidencialidade da informação Confiabilidade da informação Disponibilidade da informação Política de Segurança da Informação Como classificar a informação Ciclo de vida da informação A Nuvem Conceito Computação em Nuvem e dispositivos móveis MS-Office 365 Segurança da Informação: o que você precisa saber Protegendo os seus acessos com senha Cuidando do seu ambiente de trabalho Utilizando o seu computador Cuidados com smartphones, tablets e notebooks Uso de mídias portáteis para armazenamento e cópia de segurança Cuidados ao imprimir e digitalizar documentos Acesso à Internet E-mail corporativo Descartando com cuidado Acesso à rede corporativa via WiFi Aplicativos de mensagens instantâneas Videoconferência Redes Sociais Vírus e Ameaças Digitais Evitando Fraudes Digitais Delitos e Crimes Virtuais Responsabilidades na Segurança da Informação Glossário
5
7 7 7 8 8 8 8 9 9 11 11 11 13 15 15 16 16 17 19 19 20 22 22 23 23 24 24 26 26 27 29 31
1. Conceitos sobre Segurança da Informação
1.2 Gestão da Segurança da Informação É um conjunto de processos e procedi-
1.1 A informação
mentos adotados por uma empresa
É um conjunto de dados e conceitos que
para prover segurança de seus itens
permeiam a vida. Ela está em todo
tecnológicos. Além disso, o sistema
lugar:
que
não se restringe apenas aos dados que
algo,
estão alocados em computadores,
a
cada
observamos estamos
ou
momento
em
exprimimos
gerando
smartphones e outros. Informações
informação. O seu fluxo é contínuo e é
absorvendo
ou
como as disponíveis em drives virtuais,
base para o processo de comunicação.
o conhecimento que o colaborador pos-
Apesar de possuir um conceito um
quais podem estar em papéis ou em
pouco abstrato, a informação é facil-
alguma mídia portátil, também são
sui e os documentos de trabalho, os
mente identificada e percebida por
considerados e tratados pela Gestão.
todos. A sua importância é tão relevan-
Todos os tipos de contato com a infor-
te que este foi apontado como o Século
mação requerem extremo cuidado e
da Informação, ou seja, o conteúdo da
medidas preventivas.
mensagem é reconhecido como base para o entendimento e relacionamento com o mundo. Se é de conhecimento de todos que a informação possui um papel fundamental no convívio social, não pode ser deixado de enfatizar a sua importância nos negócios. É ela que contém a estratégia, a definição de metas, os novos planejamentos, entre outros. Ela é o bem mais precioso de uma empresa, essencial para a execução dos processos internos. E, por esse motivo, a informação deve ser muito bem protegida, sendo que todas as pessoas envolvidas com a empresa exercem um papel fundamental nessa missão. 7
1.3 Confidencialidade da informação
1.6 Política de Segurança Informação
É a garantia que a informação será
A Política de Segurança da Informação
somente acessada e utilizada por
(PSI) é o documento que registra os
aqueles que precisam dela para suas
princípios e diretrizes de segurança
atividades profissionais.
adotados pela empresa, formalizando todos os aspectos relevantes para a
1.4 Confiabilidade da informação
proteção, controle e monitoramento de seus ativos de informação.
É a garantia que a informação está
Trata-se de um documento com legali-
correta, verdadeira e que não foi
dade jurídica, que reúne normas e dire-
corrompida.
trizes elaboradas pela empresa e que devem ser seguidas por todos os cola-
1.5 Disponibilidade da informação
boradores, terceiros, fornecedores e
É a garantia que a informação está
informações.
clientes que tenham contato com as
acessível a quem precisa, no momento As informações dispostas na PSI são
solicitado.
complementares a este Guia. Ela pode ser encontrada na Intranet e sua leitura é obrigatória para adequação a novos conteúdos.
8
1.7 Como classificar a informação
1.8 Ciclo de vida da informação
A informação deve ser classificada con-
A informação precisa ser protegida em
forme a sua confidencialidade. Confira
todo o seu ciclo de vida, que abrange a sua obtenção (ou criação), tratamento,
os tipos de classificação:
distribuição, uso, armazenamento e descarte. É importante se atentar que,
· Confidencial: é altamente restrita a certas funções e requer um cuidado
dentro dos limites de alçada de cada
extra no seu manuseio. Não deve ser
um, ela deve estar disponível e íntegra.
divulgada a pessoas não autorizadas,
Cuidados como o correto armazena-
uma vez que o seu conhecimento pode
mento são imprescindíveis para que os
causar danos à empresa. Exemplos:
dados não sejam perdidos ou adultera-
propostas comerciais, contratos, atas
dos.
de reunião, etc.; Vale ressaltar que o descarte é um dos processos mais críticos do ciclo de vida
· Reservada: é uma informação de caráter operacional e interno, sendo que o
da informação pois é muito comum que
acesso não autorizado pode frustrar
o mesmo seja realizado sem os cuida-
metas operacionais ou gerar um impac-
dos necessários. O fato da informação
to controlado nas atividades da empre-
(ou de dispositivo de armazenamento)
sa. Exemplos: e-mails, registros em
não ser mais utilizada não implica que
banco de dados, projetos, etc.;
ela seja menos sigilosa ou que o acesso
· Pública: é um dado de livre acesso ao
danoso à imagem empresarial.
indevido seja potencialmente menos público em geral, sendo informações consolidadas da empresa e abertas à mídia. Exemplo: materiais de marketing, conteúdo do site, informações de mercado, etc.
9
0
1
0
1
0
1
1
0
1
0
1
0
0
1
0
1
0
1
1
0
1
0
1
0
0
1
0
1
0
1
1
0
1
0
1
0
0
1
0
1
0
1
1
0
1
0
1
0
0
1
0
1
0
1
1
0
1
0
1
0
2. A Nuvem
conta bancária, fazer uma compra online, ler um livro, localizar-se com um
2.1 Conceito
GPS, ou mesmo chamar um táxi.
Os termos “Computação em Nuvem”,
Essas infinitas possibilidades forçaram
“Cloud Computing”, ou simplesmente
as equipes de tecnologia a redobrarem
“A Nuvem”, referem-se à ideia de você
esforços na proteção das informações
poder utilizar as mais variadas aplica-
dos sistemas empresariais e meios de
ções por meio da Internet, em qualquer
comunicações corporativos (estejam
lugar e independente de plataforma,
eles onde estiverem), o que não quer
com a mesma facilidade como se esti-
dizer que a importância da infraestru-
vessem instaladas em seu próprio com-
tura local ou dos computadores dispo-
putador.
níveis para os colaboradores da empresa tenha diminuído.
Com a “Nuvem”, os seus aplicativos, assim como os seus arquivos e outros
Ocorre que, agora, não são apenas os
dados relacionados, não precisam mais
equipamentos existentes sobre as
estar instalados ou armazenados no
mesas de trabalhos que podem acessar
seu computador ou mesmo em um ser-
os sistemas internos como o ERP e o
vidor local próximo. Esse conteúdo
serviço de e-mail. Essas atividades
passa a ficar disponível na Internet, não
podem ser realizadas por qualquer dis-
importando em qual lugar do planeta ele
positivo, corporativo ou não, que pode
esteja efetivamente armazenado.
estar em qualquer lugar, dentro ou fora da empresa.
2.2 Computação em Nuvem e dispositivos móveis A Nuvem e os dispositivos móveis, em especial os smartphones, obviamente mudaram completamente a maneira pela qual as pessoas passaram a se relacionar com a tecnologia. Atualmente, mesmo sem treinamento ou capacitação especial, qualquer um é capaz de utilizar seu dispositivo para muitas atividades, que vão desde a mandar uma mensagem a um amigo, acessar sua 11
2.3 MS-Office 365
fornecedor. Com isso, você poderá acessar seus arquivos de seu computador,
O Office 365 é uma suíte de aplicativos
smartphone ou tablet, bem como com-
adotada pela empresa em 2014 que
partilhar arquivos de maneira segura e
oferece acesso a vários serviços e soft-
eficiente com seus colegas ou grupos
wares construídos em torno da plata-
de trabalho. Assim, se o seu computa-
forma Microsoft Office. Sua abrangên-
dor sofrer alguma pane ou for roubado,
cia, em especial a possibilidade do arma-
seus dados não serão perdidos, poden-
zenamento de arquivos na Nuvem, faz
do ser acessados com segurança em
com que seja relevante o registro de
outro equipamento, a qualquer momen-
como as novas funcionalidades disponi-
to;
bilizadas mudam o processo de segurança das informações empresariais tal
· Lync: software de comunicação ins-
como você conhecia.
tantânea que pode ser utilizado de um computador ou dispositivo móvel, mais
O Office 365 está disponível para dife-
seguro do que os produtos abertos e
rentes plataformas (iOS, Android, Win-
com suporte e garantia do fabricante
dows e Windows Phone) e inclui:
Microsoft;
· E-mail corporativo com criptografia:
· Licenciamento do pacote MS-Office
isso torna ainda mais segura a troca de
(MS-Word, MS-Excel, MS-Outlook,
seus e-mails com outros colaboradores
MS-PowerPoint e MS-OneNote) como
ou com terceiros. O novo portal permite
serviço: isso garante que o software
que o uso de e-mail em outros equipa-
mais utilizado dentro da empresa seja
mentos que não o seu seja muito mais
mais seguro e legalizado, fortalecendo o
intuitivo e sincronizado com outros
compromisso empresarial contra a
dispositivos;
prática de pirataria. Além disso, é possível editar e criar arquivos de maneira
· OneDrive / Sharepoint: esse serviço
online.
disponibiliza um drive virtual corporativo em que você pode armazenar seus
Procure conhecer mais sobre o Office-
arquivos de qualquer tipo na Nuvem. O
365 com a equipe de TI.
OneDrive tem basicamente as mesmas funcionalidades de produtos como o DropBox e Google Drive, só que com o suporte da equipe de TI e a garantia do
13
3. Segurança da Informação: o que você precisa saber.
dificada, mas fácil de ser lembrada pelo usuário. Boas opções ocorrem com a troca de caracteres por números e
Quando se trata de segurança da infor-
símbolos, além da utilização de letras
mação uma série de dicas, já descritas
maiúsculas e minúsculas, como o exem-
nas versões anteriores deste Guia, não
plo a seguir: Cr3lMeid@;
perderam a validade. São elas: · Troque regularmente a sua senha. O ideal é que as alterações ocorram, ao
3.1 Protegendo os seus acessos com senha
menos, a cada seis meses;
· Como já exposto, o uso de senhas é
· Evite utilizar senhas que podem ser
fundamental para a segurança;
fáceis de serem decodificadas, como
· Lembre-se que a sua senha é pessoal e
telefones, nome de parente, etc. Caso
não deve ser compartilhada. Todos os
utilize esses dados, acresça outros
acessos efetuados pelo seu perfil estão
dígitos não relacionados, tornando a
sob sua responsabilidade. Também não
senha mais complexa;
placas de carro, data de aniversário,
se deve utilizar a senha de outro, o que figura crime de falsa identidade ;*
· Procure utilizar senhas diferentes para os sistemas. Dessa maneira, se
· Sempre que você receber a senha
uma senha for descoberta, os prejuízos
inicial de um sistema de TI, mude-a ime-
podem ser reduzidos.
diatamente; · Não utilize senhas curtas, assim como evite usar somente texto (as primeiras tentativas dos sistemas de decodificação são para as palavras de dicionários). É ideal que uma senha tenha sete ou mais caracteres, misturando letras, números e símbolos; * Segundo o artigo 307 da CP, o crime de falsa
· Evite sequências lógicas, como ABCD
identidade pode ocasionar em pena de 3 meses a 1
ou 1234;
ano, ou multa, caso o fato não seja elemento de crime mais grave.
· Uma senha deve ser difícil de ser deco15
3.2 Cuidando do seu ambiente de trabalho
folhas de flip chart, destrua os papéis de rascunho utilizados e não continue o assunto nos corredores;
· Não fale de assuntos da empresa em ambientes nos quais não se pode garan-
· O acesso físico de estranhos ao ambi-
tir a confidencialidade. Esse cuidado
ente interno deve ser controlado. Os
deve ser redobrado em ambientes públi-
visitantes devem estar sempre identifi-
cos, como aeroportos, táxis;
cados e devidamente acompanhados; · Ao falar ao telefone, tenha a certeza · Caso visualize a presença de qualquer
de que você identificou corretamente a pessoa com quem está falando. Trate
pessoa não identificada circulando na
apenas dos pontos necessários para o
empresa, comunique o seu superior
exercício de sua função;
imediato;
· Outro cuidado ao ser tomado ao tele-
· O acesso de terceiros a informações
fone é com o volume: caso o tom de voz
somente será permitido com a supervi-
seja alto, outras pessoas poderão ter
são de um gestor responsável e com a
contato com informações que, nem
finalidade de atender aos interesses da
sempre, podem ser de conhecimento de
empresa.
outros;
3.3 Utilizando o seu computador
· Os documentos em papel, que contêm informações confidenciais, devem ser
· Sempre quando estiver ausente, blo-
guardados em local adequado, como gavetas e armários fechados com cha-
queie o computador para evitar que
ve;
outras pessoas acessem ao sistema;
· Não deixe material confidencial sobre a
· Nunca divulgue ou compartilhe a sua
mesa (papéis, CDs, etc.) quando não
senha. Você é responsável por todos os
estiver utilizando. A Política da Mesa
acessos que forem realizados em seu
Limpa, além de ajudar a informação a
login;
ficar segura, também permite melhor produtividade ao deixar acessível para o
· Sempre quando for se ausentar por
momento apenas o que é necessário;
períodos longos, é recomendável que o equipamento seja desligado. Dessa
· Ao terminar uma reunião, apague ou
maneira, além de evitar o acesso indevi-
retire o que foi escrito em quadros ou
do, você também economiza energia; 16
· Nunca instale softwares sem a per-
aspecto, procure ser discreto e não
missão da área de TI, mesmo aqueles
utilizar maletas que tornem a existên-
gratuitos;
cia do equipamento muito óbvia;
· Quando estiver em um local público,
· Ao transportar o seu notebook no
evite acessar informações altamente
carro, coloque-o sempre no porta-
confidenciais, possibilitando que outros
malas para que não fique visível e esteja
possam visualizar os dados;
mais protegido. Evite deixá-lo no veículo quando estiver estacionado;
· Se você verificar alguma resposta estranha do computador (como abertu-
· Existem vários dispositivos que auxili-
ra sem solicitação de páginas da web e
am a proteção física de um notebook,
programas), avise imediatamente o
como cabos de aço e cadeados. Consul-
setor responsável;
te a área de TI;
· Sempre preze pela segurança dos
· Tablets e smartphones também são
arquivos: utilize os sistemas de cripto-
vulneráveis a vírus e outros malwares.
grafia para informações confidenciais
Por isso, tome cuidado na abertura de
(para saber mais, entre em contato
arquivos recebidos e na instalação de
com a área de TI).
aplicativos;
3.4 Cuidados com smartphones, tablets e notebooks
· Em caso de perda ou roubo de um dispositivo empresarial, comunique imediatamente a sua supervisão e a área de TI para que seja efetuado o bloqueio
· Todos os equipamentos portáteis que
remoto do aparelho.
permanecem nas instalações da empresa devem ser guardados em local seguro; · Ao viajar com um notebook, mantenhao sempre perto de você. Tenha especial cuidado em aeroportos, aviões, eventos e hotéis, onde muitas pessoas utilizam esse tipo de equipamento. Ele pode ser trocado por uma maleta de papéis ou simplesmente “desaparecer”. Nesse 17
Segurança
da Informação
3.5 Uso de mídias portáteis para armazenamento e cópia de segurança
3.6 Cuidados ao imprimir e digitalizar documentos · Planeje-se para imprimir documentos
· Faça backup regularmente de seus
em momentos em que você já possa
documentos. Mesmo com o armazena-
buscá-los;
mento na rede ou no OneDrive, é sempre recomendável de tempos em tem-
· Evite deixar as impressões muito
pos realizar uma cópia de segurança de
tempo sozinhas, o que pode fazer com
arquivos antigos (ou não utilizados dia-
que pessoas sem autorização tenham
riamente) em dispositivo como um HD
acesso aos dados;
externo ou CD; · Verifique qual é a impressora que você · Tome cuidado na hora de transportar
está enviando a impressão. Como é
as mídias portáteis. Uma queda pode
possível o cadastro de mais de um equi-
danificar o dispositivo e afetar os dados
pamento, é comum o usuário enviar
nele gravados;
para outra impressora e achar que o material não foi impresso;
· Preferencialmente, verifique o pen drive com um sistema de antivírus
· Após digitalizar o documento, já reti-
antes de acessar seus arquivos. É
re-o da pasta compartilhada. Dessa
comum a proliferação de vírus por meio
maneira, você evita que pessoas não
desse tipo de mídia;
autorizadas tenham acesso ao conteúdo.
· É importante saber que pen drives são dispositivos para transporte de arquivos e não para guarda definitiva, pois são passíveis de danos no seu processo de gravação e leitura, o que pode tornar impossível a recuperação de dados.
19
não esqueça de fazer o log out, evitando deixar seus dados expostos;
· Não acesse sites desconhecidos ou de conteúdo duvidoso e inadequado;
· Mantenha sempre o seu navegador atualizado. Caso não saiba como proce-
· A navegação em sites de notícias é
der, entre em contato com a área de TI;
permitida. Entretanto, pedimos que seja realizada com moderação, para não
· Tome cuidado com a maneira de se
afetar as tarefas diárias e os recursos
expressar: conforme consta no artigo 5
disponíveis;
da Constituição Federal, a manifestação do pensamento é livre, mas o anoni-
· Não é permitido o uso de serviços de
mato é vedado. Logo, você é responsá-
streaming de áudio e vídeo, exceto para
vel por opiniões e comentários dispos-
necessidades correlacionadas ao tra-
tos de maneira pública.
balho; · Tenha cuidado extra ao acessar sites de compras e Internet Banking. Verifique se o domínio está correto - normalmente, esses sites apresentam na barra de endereços o início https, que se constitui em uma conexão mais segura. Para verificar se o site está correto, você pode clicar com o botão direito em cima dessa informação, o que confirmará a identidade do site; · Antes de redistribuir informações recebidas pela Internet, confirme a veracidade; · Caso utilize a Internet em computadores compartilhados, evite acessar dados da empresa: as informações ficam vulneráreis e podem ser recuperadas por outras pessoas. Se acessar,
20
3.8 E-mail corporativo
· Está acessando o seu e-mail fora do seu computador de trabalho via portal?
· Para quem você está enviando o e-
Lembre-se sempre de evitar abrir ane-
mail? Sempre confira com cuidado o
xos e de encerrar a sessão (log out)
destinatário da mensagem, evitando
após o uso. Jamais grave a senha em
enviar informações para as pessoas
um dispositivo que não seja seu.
erradas (há muitas pessoas com nomes iguais). Caso esse equívoco aconteça,
3.9 Descartando com cuidado
mande uma retificação imediatamente, solicitando que a mensagem seja excluída;
É preciso prestar muita atenção com o que você descarta. Como já comentado, o “lixo eletrônico” pode ser muito prejudicial à empresa se utilizado indevidamente:
· O mesmo cuidado acontece quando você recebe um e-mail: caso tenha recebido uma informação que não era destinada a você, exclua a mensagem e avise
· Papéis contendo informações confidenciais devem, preferencialmente, ser triturados, diminuindo a possibilidade de recuperação do conteúdo;
o remetente; · Confira sempre as pessoas listadas em cópia no e-mail. Se o assunto não for relacionado a elas, não é necessário
· CDs e DVDs devem ser quebrados ou destruídos com dispositivos especiais antes de serem descartados;
incluí-las na lista. Além de manter a informação preservada, você também evita retrabalho e dinamiza o trabalho de seus colegas;
· HDs portáteis e pen drives, muitas vezes, permitem a recuperação dos dados mesmo após a exclusão de arquivos por meios convencionais;
· Quando for distribuir uma mensagem para uma grande lista de e-mail, o ideal é colocar os endereços em cópia oculta (Cco), o que dificulta a geração de men-
· Computadores que serão doados ou descartados demandam procedimentos especiais. Para saber o passo a passo, entre em contato com a área de TI;
sagens de spam; · Nunca execute os anexos vindos de spams. Exclua a mensagem imediatamente e, se possível, inclua o remeten-
· Para efetuar o correto descarte, entre em contato com a equipe de TI.
te na lista de bloqueio de e-mails;
22
3.10 Acesso à rede corporativa via WiFi
dar a foto de um evento, mas evite tratar de assuntos confidenciais;
O uso do WiFi, ou acesso sem fio, é pra-
· A empresa incentiva fortemente o uso
ticamente a forma mais comum de aces-
do aplicativo Lync para uso corporativo,
so à rede dentro do ambiente de traba-
por ser mais seguro do que os produtos
lho. Contudo, alguns cuidados são fun-
de uso aberto citados acima;
damentais: · A facilidade de contato e conexão · Não compartilhe ou comente sobre as
desse tipo de serviço permite estar
senhas internas com estranhos;
disponível o tempo inteiro. Cuidado para que esse benefício não atrapalhe o foco
· Deve haver um acesso exclusivo para
das atividades. É deselegante, para não
colaboradores e outro para terceiros e
dizer falta de educação, utilizar servi-
visitantes. Esses acessos são diferen-
ços de mensagens em reuniões de tra-
tes e não devem ser confundidos.
balho. Utilize com moderação.
3.11 Aplicativos de mensagens instantâneas Aplicativos como o WhatsApp, Hangouts, Viber e Skype, em especial o primeiro, são muito utilizados para a troca de mensagens entre usuários, tanto a nível pessoal como empresarial. Eles permitem o envio de texto, vídeo, áudio e fotos de dispositivos diferentes de forma instantânea e com muita facilidade de uso. São muito práticos, porém, é importante ressaltar alguns pontos: · Os dados desses serviços estão alocados em servidores externos. Você pode até utilizar para assuntos de menor impacto no trabalho, como confirmar o horário de uma reunião ou man23
3.12 Videoconferência
salas próximas ou que estejam nos corredores;
Os sistemas de videoconferência permitem que você faça reuniões de traba-
· Tome cuidado com o controle de áudio
lho em tempo real com pessoas ou equi-
(microfone), pois há assuntos que even-
pes remotas com imagem e som. Seu
tualmente os outros participantes não
grande benefício é que não há a necessi-
devem ter acesso. Um descuido seu
dade de deslocamento, o que economiza
nesse aspecto pode gerar grandes
tempo e dinheiro.
embaraços futuros; Porém, é importante lembrar que video· Procure sempre utilizar o sistema
conferência não é um equipamento, e sim, um conceito. Uma videoconferên-
Lync para reuniões ponto a ponto quan-
cia pode ser realizada com recursos
do você for fazer uma videoconferência
muito diferentes, desde duas pessoas
via computador ou smartphone.
conversando remotamente utilizando um software como o Lync, até dois ou
3.13 Redes Sociais
mais grupos em uma reunião formal
A empresa não incentiva o acesso a
utilizando salas especiais dotadas de
redes sociais no ambiente corporativo
equipamentos exclusivos para esse fim,
(assunto tratado com mais detalhes na
como os da marca Polycom (padrão
PSI), mas, sem entrar no mérito do
empresarial).
conflito entre esse acesso e a concentração no trabalho diário, entende que
Conforme citado, a empresa possui
as redes sociais já fazem parte da vida
salas de videoconferência em várias
de seus colaboradores.
unidades com equipamentos profissionais Polycom dotados de sistemas de
Sendo assim, valem algumas dicas:
criptografia para proteção de dados e troca de informações.
· Não insira informações confidenciais e internas da empresa nas redes sociais.
Mais uma vez, vale lembrar que a tecno-
Qualquer um pode ter acesso a esse
logia não garante sozinha segurança.
conteúdo, podendo gerar prejuízos;
Cuidados básicos são necessários: · Tome cuidado com o que você publica: · É comum aumentar o tom de voz em
você é responsável por todos os comen-
reuniões desse tipo. Dependendo de
tários e fotos que insere, o que pode
como você fale, sua conversa poderá
prejudicar a sua imagem pessoal e pro-
ser escutada por outras pessoas em
fissional; 24
· Preserve sempre a imagem institucional. Antes de divulgar alguma informação sobre a empresa, verifique se ela pode impactar a nossa imagem ou nossos negócios; · Não fale em nome da empresa, a não ser que você seja autorizado para essa atividade; · Quando acessar as redes sociais em computadores compartilhados, lembre-se sempre de efetuar o log out; · As redes sociais também podem propagar malwares. Não clique em links de fontes duvidosas.
25
3.14 Vírus e Ameaças Digitais
Ao abrir um link indicado em um e-mail fraudado, a pessoa acaba por permitir o acesso ao seu próprio computador ou,
A empresa utiliza sistemas de proteção contra essas ameaças, os quais se chamam antivírus. Porém, para que a sua atuação seja eficaz, são necessários alguns cuidados:
nos casos mais graves, o próprio usuário insere informações importantes que podem mais tarde lhe trazer problemas. Por isso, é importante lembrar:
· Confira com frequência se o antivírus está ativo. Qualquer problema, entre em contato com a área de TI;
· Nem os bancos nem a Receita Federal se comunicam com clientes e contribu-
· Se tiver dúvida sobre a origem de um arquivo, seja em um computador ou em um dispositivo móvel, não o abra. Apesar do antivírus ser eficaz, sempre é importante ter cuidados redobrados para manter íntegras as nossas informações.
intes por e-mail. Ao receber um e-mail desses, desconfie; · Não clique em links de e-mails vindos de fontes desconhecidas, mesmo não se enquadrando nas opções citadas;
3.15 Evitando Fraudes Digitais
formato. Jamais execute arquivos com
Fraudes pela Web são largamente repor-
extensão *.exe;
· Após baixar um arquivo, verifique o seu
tadas pela imprensa e pela mídia especializada. Esse tipo de ameaça é real e
· Tenha cuidado no contato com pesso-
pode atingir qualquer um, não havendo
as desconhecidas, principalmente na
um nicho específico de vítima. Ninguém
divulgação de dados e informações;
está imune, nem pessoas físicas e, muito menos, as empresas.
· Não comente com estranhos detalhes
A fraude mais comum, que vale a pena
sa, tais como rotinas e a tecnologia
citar, é o envio de e-mails com remetente
utilizada.
sobre os processos internos da empre-
falso, comumente bancos pedindo para acessar o Internet Banking, órgãos públicos informando débitos, lojas oferecendo algum desconto inusitado, sites com fotos interessantes, etc. 26
4. Delitos e Crimes Virtuais
· Usar cópia de software sem ter licença. Violação ao direito autoral – Código
É importante você ter conhecimento
Penal – Art. 184;
que a jurisprudência e as leis atuais já contemplam o tratamento a uma série
· Usar logomarca de empresa sem auto-
de crimes virtuais, que vão desde frau-
rização do titular. Crime contra a pro-
de, difamação e até tratam da violação
priedade industrial – Lei 9.279/96 - Art.
de sigilo empresarial (artigo 482 da
195;
CLT). · Criar comunidade para ensinar seguiSeguem exemplos de crimes já previs-
dores como fazer algo ilícito. Incitação
tos em leis:
ao crime – Código Penal – Art. 286;
· Violar código de segurança de equipa-
· Participar do Cassino Online – Jogo de
mento de outrem para tirar algum pro-
azar – Constituição Federal – Art. 180;
veito – Lei de Crimes Eletrônicos (chamada Lei “Carolina Dieckmann”)
· Ver ou enviar fotos de crianças nuas
12.737/12;
online – Pedofilia – Estatuto da Criança e do Adolescente - Art. 240;
· Enviar e-mail para terceiros com informações consideradas confidenciais –
· Enviar e-mail com remetente falso –
Código Penal – Art. 153;
Crime de falsa identidade – Código Penal – Art. 307.
· Manifestar-se em redes sociais de forma racista ou acusatória - Código Penal – Art. 138 e discriminação de raça, cor ou etnia – Lei 7.716/89 – Art. 20; · Enviar vírus que destrua equipamento ou conteúdo. Dano - Código Penal – Art. 163; · Encaminhar boatos para diversas pessoas. Difamação – Código Penal – Art. 139;
27
Segurança
da Informação Um dever de todos
5. Responsabilidades na Segurança da Informação
5.3 Comitê de Segurança da Informação
Todos são responsáveis pela Segurança
É o comitê formado por gestores e cola-
da Informação na empresa. Confira os
boradores de várias áreas com o objeti-
papéis específicos:
vo de dar o suporte necessário ao processo de gerenciamento da segurança da informação. O comitê terá um repre-
5.1 Colaboradores
sentante em cada área estratégica da
Todos os colaboradores são responsá-
empresa e poderá ser acionado sempre
veis pela segurança das informações
que houver necessidade de agir de
empresariais, independentemente de
forma preventiva, ou mesmo corretiva.
seu nível hierárquico. Ainda devem ajudar a divulgar a cultura de segurança da
5.4 Gerência de Tecnologia da Informação
informação na empresa e fiscalizar para ver se todos estão a cumprindo.
É a área de tecnologia propriamente dita, responsável pela gestão dos equi-
5.2 Gestores
pamentos e sistemas envolvidos nos processos de segurança, além da defi-
São os responsáveis pela instrução de seus colaboradores diretos sobre os
nição dos aspectos técnicos relaciona-
riscos e os fatores críticos de seguran-
dos.
ça dentro do âmbito de seus próprios departamentos, considerando as parti-
5.5 Terceiros
cularidades existentes.
Os terceiros devem atuar da mesma maneira que os colaboradores, tendo conhecimento sobre este Guia e sobre a PSI. Também são responsáveis por seus atos enquanto estiverem atendendo aos interesses da empresa.
29
6. Glossário
Tecnologia Touch é uma superfície que permite que o usuário interaja com o dispositivo tocando em área da sua tela. Altamente utilizada em smartphones e tablets; Internet das desenvolvimento de objetos que se conectam à Internet, recebencoisas do e enviando informações; iOS
sistema operacional de aparelhos móveis da Apple (iPhone, iPad e iPod touch);
Android sistema operacional desenvolvido pelo Google para aparelhos móveis, como smartphones e tablets; Windows Phone sistema operacional desenvolvido pela Microsoft para aparelhos móveis, como smartphones e tablets; BYOD Bring Your Own Device, ou Traga seu Próprio Dispositivo, política adotada por empresas que encoraja os colaboradores a utilizarem seus próprios dispositivos eletrônicos, visando aumentar a satisfação e reduzir custos; WiFi facilidade que permite a conexão de computadores, smartphones e outros dispositivos à Internet, além de possibilitar a conexão entre aparelhos; Smartphone celular que executa várias funções semelhantes às de um computador, possuindo, normalmente, tela touchscreen e acesso à Internet.
Termo de Recebimento do Guia de Segurança da Informação
Eu,_______________________________________________________________, portador do documento de identidade nº ______________________, emitido por ______________________, funcionário lotado na unidade_________ ___________________________________________________________________ declaro que recebi o Guia de Segurança da Informação e comprometome a seguir suas instruções, bem como manter sigilo sobre dados, processos, informações, documentos e materiais que eu venha a ter acesso ou conhecimento em razão de minhas atividades profissionais.
Data
Assinatura
Guia de Segurança da Informação Versão 3 - Janeiro/2015 Gerência de Tecnologia da Informação Av. Vicente Machado 1789, Batel Curitiba, Paraná, 80.440-020 www.cralmeida.com.br 41 3312 9200