Segurança da informação

Page 1

SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

NOTA DE CONFIDENCIALIDADE Visando manter a segurança das informações organizacionais, este documento possui caráter confidencial, sendo de uso privado do Grupo Santa. Sua divulgação só deverá ser realizada com a finalidade específica de avaliação de seu conteúdo para aprovação e condução das atividades desse trabalho. Portanto, nenhuma parte desse documento poderá ser reproduzida, por quaisquer meios, sem a autorização prévia da empresa.

INTRODUÇÃO Com o objetivo de explicitar a correta utilização dos ativos de processamento disponibilizados pela organização aos seus funcionários, abaixo segue resumos dos procedimentos relativos ao controle de hardware, software, direito de propriedade intelectual, regras para controle de correio eletrônico e uso da Internet no âmbito corporativo. Os procedimentos fazem parte da Política de Segurança da Informação praticada em nossa organização.

1 - PROPRIEDADE DE ARQUIVOS E MENSAGENS A empresa tem a propriedade legal de todos os arquivos armazenados em seus computadores e redes, bem como de todas as mensagens (ex: correio eletrônico) transmitidas e/ou recebidas pelos ativos de processamento disponibilizados pela mesma. 2 - SOFTWARE NÃO AUTORIZADO Não deverão ser armazenados nos sistemas e redes corporativos quaisquer softwares, aplicativos, bancos de dados, ou qualquer outro meio de informação digital, que não tenham sido especificamente aprovados. As solicitações para instalações de software devem ser registradas em nosso sistema de chamados OTRS, onde seguirão um fluxo de homologação e autorização pela coordenação da Tecnologia da Informação. 3 - CÓPIAS NÃO AUTORIZADAS Os usuários não estão autorizados a copiar os softwares fornecidos e/ ou desenvolvidos pela Organização para qualquer tipo de mídia como fitas magnéticas, CDROM, DVDROM, pendrives, discos externos, ou qualquer outra mídia de armazenamento digital, transferir aplicativos para outro computador ou expor o aplicativo para usuários externos sem permissão escrita da chefia imediata.

6

SEGURANÇA DA INFORMAÇÃO

4 - FERRAMENTAS QUE COMPROMETEM A SEGURANÇA A menos que seja explicitamente autorizado pela Diretoria de TI, os usuários dos ativos de informação da Organização não devem adquirir, possuir, comercializar ou usar ferramentas de hardware ou software que possam ser empregadas para testar ou comprometer os sistemas de segurança da informação. 5 - USO DAS INFORMAÇÕES As informações Corporativas sobre processos, bases de dados, sistemas de informação, documentação, correios eletrônicos, entre outras, devem ser usados apenas para as atividades internas. O uso destes recursos de informação por qualquer outra razão somente será permitido após a obtenção de uma permissão por escrito do proprietário da informação. 6 - USO DAS REDES SOCIAIS É proibida a divulgação e/ou o compartilhamento indevido de informações, fotos com pacientes ou documentos da instituição em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, Facebook, Instagram, Skype, Linkedin, comunicadores instantâneos ou qualquer outra tecnologia denominada Redes Sociais que venha surgir na internet.

7

7 - PROCESSO DE CONTROLE DE ALTERAÇÕES 7.1 - INSTALAÇÕES DE SOFTWARES NAS ESTAÇÕES DE TRABALHO A instalação de novos programas e/ou atualizações é realizada automaticamente pelo software da gerência de rede e coordenada pelos administradores de sistemas. Os usuários não possuem permissão para realizar qualquer uma dessas ações em suas estações de trabalho. 7.2 - EXPECTATIVA DE PRIVACIDADE A qualquer momento e sem comunicação antecipada, os responsáveis pela auditoria interna de segurança poderão examinar arquivos e diretórios pessoais nas estações de trabalho e em servidores. 7.3 - REGISTRO DE USO DA INTERNET As ferramentas de monitorização utilizadas pela Diretoria de TI, registram constantemente os sites visitados pelos usuários, os downloads de arquivos e as trocas de informações realizadas através da rede de dados. 8 - INTEGRIDADE DOS DADOS 8.1 - MANUTENÇÃO E CONFIGURAÇÃO DOS SISTEMAS EM PRODUÇÃO Os Sistemas em produção devem ser alterados apenas por pessoas

8

SEGURANÇA DA INFORMAÇÃO

autorizadas de acordo com procedimentos pré-estabelecidos pela sua coordenação direta. 8.2 - FALSA REPRESENTAÇÃO DE IDENTIDADE É proibido falsificar, ocultar, suprimir ou substituir a identidade de um usuário de um sistema de comunicação eletrônica. O nome e endereço de correio eletrônico, o nome da instituição e informações relacionadas incluídas nas mensagens deve refletir o real remetente das mensagens. 8.3 - REMOÇÃO DE MATERIAL OFENSIVO A empresa se reserva o direito de remover de seus sistemas de informação qualquer material visto como ofensivo ou potencialmente ilegal. 9 - SEGURANÇA DO AMBIENTE FÍSICO 9.1 IDENTIFICAÇÃO DO USUÁRIO Todo usuário deve ser previamente identificado com a finalidade de obter permissão de acesso aos ativos de informação e processamento da organização.

9

10 – CONTAS E SENHAS DE ACESSO 10.1 - SOLICITAÇÃO DE ACESSOS Apenas o Gestor deve solicitar o acesso ao colaborador. O gestor deve solicitar através do portal do Grupo Santa no módulo Cadastro de Usuário, disponibilizado no seguinte endereço http://sistemas. gruposanta.com.br/. Quais acessos podem ser solicitados através do portal: Acessos aos sistemas corporativos, e-mail, usuário para acesso à rede, acesso à internet. 10.2 - COMPARTILHAMENTO DA SENHA DE ACESSO Os usuários são responsáveis por toda atividade realizada com sua conta. As contas de usuários não podem ser utilizadas por outras pessoas que não sejam os usuários para os quais elas foram geradas. As senhas de acesso são de uso individual e restrito. O compartilhamento das senhas é terminantemente proibido. Caso ocorra tal compartilhamento, seja de natureza autorizada ou não, o usuário possuidor da senha compromissada assumirá todas as responsabilidades e consequências advindas deste ato.

10

SEGURANÇA DA INFORMAÇÃO

10.3 - EXPOSIÇÃO DA SENHA DE ACESSO Toda senha de acesso deve ser imediatamente alterada caso haja suspeita ou conhecimento que tenham sido expostas a pessoas desautorizadas. 10.4 - CUIDADOS COM AS SENHAS DE ACESSO A senha de acesso nunca deve estar escrita na forma legível fora das estações de trabalho ou computadores pessoais. 10.5 - ESQUECIMENTO DA SENHA DE ACESSO Os usuários que esquecerem suas senhas de acesso terão novamente uma senha inicial atribuída pelo administrador da rede para que possam realizar um primeiro logon e imediatamente trocarem a sua senha de acesso, desde que devidamente identificado pelo administrador. A senha de acesso não deve ser trocada sob hipótese alguma através de contato telefônico direto entre colaborador e técnico responsável por sua troca. 11 - BACKUP 11.1 - DOS DOCUMENTOS Os documentos que pertencem à instituição deverão ser armazenados no diretório de arquivos corporativo (\\corp.medgrupo.net\arquivos\ pastasetor.).

11

O Departamento da Tecnologia da informação não tem responsabilidade pelos documentos salvos localmente nos computadores. Os arquivos armazenados no diretório na rede da instituição são diariamente monitorados, não permitindo tipos de documentos que não sejam voltados para o uso da instituição, podendo ser excluídos automaticamente sem notificações ao usuário. Exemplos: Vídeos, músicas. O backup dos arquivos armazenados no diretório é realizado diariamente. 12 - VÍRUS DE COMPUTADOR 12.1 - ERRADICAÇÃO Caso se suspeite de uma infecção por vírus de computador, deve-se imediatamente desligar o computador envolvido, desconectá-lo da rede e solicitar o atendimento do Suporte Técnico. 13 – CORREIO ELETRÔNICO 13.1 - USO DA CONTA DE CORREIO ELETRÔNICO Os usuários não devem usar uma conta de correio eletrônico associada a outro indivíduo para enviar ou receber mensagens. Se houver necessidade de ler correspondência de outras pessoas (enquanto estiverem ausentes temporariamente ou de férias), deve ser usado o recurso de encaminhamento de mensagens e/ou outras facilidades.

12

SEGURANÇA DA INFORMAÇÃO

13.2 - RESTRIÇÕES DO CONTEÚDO DAS MENSAGENS Os usuários estão proibidos de enviar ou encaminhar quaisquer mensagens via os sistemas de informações corporativas que possa ser considerada como difamatórias, inoportunas ou de natureza explicitamente sexual. Os usuários também são proibidos de enviar ou encaminhar mensagens ou imagens que possam ter conotação ofensiva de raça, sexo, nacionalidade, religião e filiação política. 14 - ACESSO À INTERNET 14.1 - BLOQUEIO E CONTROLE DE SITES NA INTERNET Os sistemas corporativos são configurados rotineiramente para evitar que os usuários se conectem em sites não relacionados às atividades laborais, comprometendo a segurança da informação. 15 - SEGURANÇA DOS ATIVOS DE INFORMAÇÃO 15.1 - USO DAS ESTAÇÕES DE TRABALHO Os computadores e sistemas de comunicações não devem ser utilizados para fins pessoais. Os recursos computacionais colocados à disposição do colaborador deverão estar inventariados corretamente no centro de custo de atividade do colaborador e o respectivo Termo de Responsabilidade

13

assinado por este. Na ausência deste registro, o superior imediato assume esta responsabilidade. 15.2 - LOGOFF DAS ESTAÇÕES DE TRABALHO Quando deixados desacompanhados, o processo de logoff ou lock deve sempre ser realizado nos computadores conectados à rede de dados. 15.3 - ARQUIVOS MULTIMÍDIAS Os usuários estão proibidos de armazenar ou utilizar arquivos multimídia nas estações de trabalho. Estão inclusos nesta categoria extensões maliciosas. 15.4 - JOGOS ELETRÔNICOS São terminantemente proibidos a prática, armazenamento e compartilhamento de jogos de qualquer natureza nos computadores da Organização. 15.5 - COMPUTADORES PORTÁTEIS A utilização de computadores portáteis (notebooks, laptops, tablets, etc) na rede corporativa deve estar sujeita à autorização formal da administração de rede.

14

SEGURANÇA DA INFORMAÇÃO

15.6 - CAUTELA COM EQUIPAMENTOS • Os usuários não devem fumar, comer, beber, fixar adesivos, imãs e/ou demais “adereços” nas estações de trabalho; • Deve ser observada a voltagem na qual o equipamento está regulado, antes de conectá-lo à rede elétrica, de modo a evitar conexão em voltagem errada, que possa causar danos. • Os usuários devem ter cuidado no manuseio de teclado, mouse e cabos de conexão, para evitar danos aos equipamentos. • Qualquer movimentação de equipamentos, troca de responsável ou qualquer ato que implique na mudança dos dados cadastrais de inventário, deve ser solicitado e informado ao setor de patrimônio que tomará as providências cabíveis para a demanda. • Atenção especial deve ser dada ao descarte de estações de trabalho e servidores de rede. 15.7 - EXPLORAÇÃO DAS VULNERABILIDADES DO SISTEMA Os usuários não podem explorar as vulnerabilidades ou deficiências nos sistemas de segurança da informação com a finalidade de danificar os sistemas ou as informações, obter recursos além daqueles que lhes foi autorizado, retirar recursos de outros usuários ou ganhar acesso a outros sistemas para os quais não tenham recebido autorização.

15

15.8 - USO DE MÍDIAS REMOVÍVEIS A utilização de mídias removíveis (pendrivers, CDs, HDs externos, etc.) nas estações de trabalho, são proibidas e bloqueadas para impedir a disseminação de pragas virtuais. O desbloqueio só será permitido pela diretoria e em casos analisados como necessários para atividades pertinentes ao desenvolvimento do trabalho. 15.9 - GOOGLE DRIVE O usuário deverá ter prudência ao fazer upload de arquivos para o google drive uma vez que, o conteúdo desses arquivos e sua confidencialidade, ficará sob sua responsabilidade. Estando bloqueado compartilhamento para usuários externos. Como a gestão desses arquivos é feita pelo próprio usuário, o compartilhamento deverá ser feito de forma criteriosa evitando divulgação indevida. 16 - REFERÊNCIAS ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de segurança - Sistemas de Gestão de Segurança da Informação; ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de segurança - Código de prática para a Gestão da Segurança da Informação; ABNT ISO/IEC GUIA 73 Gestão de Riscos - Vocabulário - Recomendações para uso em normas.

16

SEGURANÇA DA INFORMAÇÃO

DECLARAÇÃO (deve ser destacado) Data do recebimento: Horário:

/

/

Eu,____________________________________________________________ (colaborador) declaro que recebi, nesta data, as orientações necessárias referentes à Política de Segurança da Informação que devo adotar durante minha permanência nesta instituição.

__________________________________________________________ Assinatura e matrícula.

17

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.