TI V1.

0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

OBJETIVOS DA POLTICA DE SEGURANA O objetivo garantir que os recursos de informtica e a informao sero utilizados de maneira adequada. O usurio deve conhecer as regras para utilizao da informao de maneira segura, evitando expor qualquer informao que possa prejudicar a FIPECAFI, seus funcionrios, alunos ou parceiros. A poltica deve ser clara o bastante para fornecer aos interessados informaes suficientes para saber se os procedimentos descritos so aplicveis a ele ou no, utilizando linguagem simples e de fcil entendimento por todos. A Poltica deve implementar controles para preservar os interesses dos funcionrios, clientes e demais parceiros contra danos que possam acontecer devido a falha de segurana. Ela deve descrever as normas de utilizao e possveis atividades que possam ser consideradas como violao ao uso dos servios, e, portanto, considerados proibidos. So objetos da Poltica de Segurana, os servios e recursos colocados disposio dos funcionrios, alunos e parceiros, tais como: computadores, correio eletrnico, Internet, informaes armazenadas em diretrios da rede e sistemas de aplicao. As normas descritas no decorrer devem sofrer alteraes sempre que necessrio, sendo que estas devem ser registradas e divulgadas, considerando-se o tempo hbil para que eventuais providncias sejam tomadas. Tais normas so fornecidas, a ttulo de orientao aos funcionrios, alunos e demais envolvidos. Em caso de dvida o usurio dever procurar a equipe de TI visando esclarecimentos. Caso os procedimentos ou normas aqui estabelecidos sejam violados, a direo da FIPECAFI se reserva o direito de aplicar as punies cabveis aos usurios responsveis pela violao da poltica. Esta poltica aplica-se a todos os usurios dos sistemas ou computadores da rede FIPECAFI, sendo eles: funcionrios, estagirios, alunos, professores, terceiros ou visitantes. A poltica aqui descrita, est dividida em poltica de segurana da estrutura de informtica e poltica de segurana fsica. A primeira trata do acesso aos recursos de rede, sistemas e correio eletrnico. A segunda aborda o acesso fsico a sala de servidores.

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 1

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

POLTICA DE SEGURANA DA ESTRUTURA DE INFORMTICA

A Poltica de Segurana da estrutura de informtica abrange itens relacionados a utilizao desta estrutura, como poltica de utilizao da rede, administrao de contas, senhas, correio eletrnico, acesso a Internet, uso das estaes de trabalho, utilizao de impressoras etc.

1. POLTICA DE UTILIZAO DA REDE Esse tpico visa definir as normas de utilizao da rede que abrange o LOGIN, a manuteno de arquivos no servidor e as tentativas no autorizadas de acesso. Estes itens sero abordados para todos os usurios dos sistemas e da rede de computadores da FIPECAFI.

1.1 Regras Gerais

No so permitidas tentativas de obter acesso no autorizado, tais como tentativas de fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta. Isso inclui acesso aos dados no disponveis para o usurio, conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio ou colocar prova a segurana de outras redes; No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor ou rede. Isso inclui ataques e tentativas de provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor; Antes de ausentar-se do seu local de trabalho, o usurio dever fechar todos os programas em uso, evitando, desta maneira, o acesso por pessoas no autorizadas, e se possvel efetuar o logout/logoff da rede ou bloqueio do computador atravs de senha; O usurio deve fazer manuteno no seu diretrio pessoal periodicamente, evitando o acmulo de informaes desnecessrias; Materiais de natureza pornogrfica e racista no podem ser expostos, armazenados, distribudos, editados ou gravados atravs do uso dos recursos computacionais da rede; Jogos ou qualquer tipo de software/aplicativo no podem ser gravados ou instalados no diretrio pessoal do usurio, no computador local ou em qualquer outro diretrio da rede,
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 2

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

No permitido criar e/ou remover arquivos fora da rea alocada ao usurio e/ou que possam comprometer o desempenho e funcionamento dos sistemas. Em alguns casos pode haver mais de um compartilhamento referente aos arquivos de usurios de um mesmo departamento. A pasta PBLICA ou similar, no dever ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza especfica. Ela deve ser utilizada apenas para armazenar informaes de interesse geral; Ser feita semestralmente a limpeza dos arquivos armazenados na pasta PBLICA ou similar, para que no haja acmulo desnecessrio de informaes e degradao do acesso ao ambiente de rede; proibida a instalao ou remoo de softwares que no sejam devidamente acompanhadas pela equipe tcnica da rea de TI, autorizada formalmente pelo coordenador responsvel pela rea do solicitante; No so permitidas alteraes das configuraes de rede e inicializao das mquinas, bem como demais modificaes que no sejam justificadas e efetuadas pela rea de TI; Quanto utilizao de equipamentos de informtica particulares, computadores, impressoras, entre outros, a FIPECAFI no fornecer acessrios, software ou suporte tcnico, incluindo assistncia para recuperar perda de dados, decorrentes de falha humana, ou pelo mau funcionamento do equipamento ou do software; A FIPECAFI no se compromete a fornecer equipamentos para consultores, professores ou terceiros, para atividades particulares ou que sejam desenvolvidas fora das suas instalaes; Os acessos a sistemas, como sistema acadmico (SGA) ou Microsiga, deve ser controlado pela identificao do usurio e pelas senhas designadas para usurios autorizados. As senhas compartilhadas devem ser excepcionais e autorizadas pela equipe tcnica.

1.2 Regras para funcionrios e demais colaboradores obrigatrio armazenar os arquivos inerentes empresa no servidor de arquivos para garantir a cpia de segurana dos mesmos; proibida a abertura de computadores para qualquer tipo de reparo, seja em departamentos ou laboratrios. Caso seja necessrio o reparo, este dever ser feito pelo departamento tcnico da rea de TI;
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 3

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Quanto utilizao de equipamentos de informtica particulares, o funcionrio dever comunicar a coordenao de seu departamento, sendo submetido assim poltica de utilizao de equipamentos descrita no documento DS2011/01 Diretrizes para uso de notebooks e palm-tops na FIPECAFI. Quando um funcionrio transferido entre departamentos, o coordenador que transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controles de segurana ainda sero necessrios na sua nova funo e informar a equipe de TI qualquer modificao necessria; Quando ocorrer o desligamento do funcionrio, o coordenador responsvel deve informar equipe de TI para providenciar a desativao dos acessos do usurio qualquer recurso a rede e sistemas aplicativos. Deve-se verificar a necessidade de troca de senhas de contas de uso comum ao departamento, evitando o acesso s informaes.

1.3 Regras para alunos e professores O contedo das contas de usurio relativos aos materiais de professor/aluno armazenados nos diretrios relativos s salas de aula, sero apagados aps a sua utilizao, devendo o professor responsvel manter as devidas cpias caso seja necessrio. Quando da utilizao de equipamentos de informtica particulares o aluno dever comunicar coordenao de ensino responsvel, sendo submetido poltica de utilizao de equipamentos descrita no documento DS2011/01 Diretrizes para uso de notebooks e palm-tops na FIPECAFI.

1.4 Regras para alunos colaboradores/estagirios O acesso as informaes feito atravs da conta criada pela rea de TI, atravs de solicitao do coordenador da rea responsvel. Caso no seja estritamente necessrio, o aluno colaborador ou estagirio no dever ter conta de acesso rede interna de computadores.

2. POLTICA DE ADMINISTRAO DE CONTAS

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 4

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Este tpico visa definir as normas de administrao das contas que abrange: criao, manuteno e desativao da conta. Esta poltica ser dividida por usurios para facilitar o entendimento de todos. 2.1 Regras Gerais

reservado o direito de desativar uma conta de usurio, por parte da equipe de segurana da rea de TI, caso verifique-se a ocorrncia de algum dos fatos abaixo especificados: o Incidentes suspeitos de quebra de segurana nas contas dos usurios; o Reincidncia na quebra de senhas por programas utilizados pela equipe de segurana; 2.2 Regras para Funcionrios

2.2.1 Solicitao de usurio/acesso Todo funcionrio poder ter uma conta para acesso aos recursos da rede de computadores da FIPECAFI. Os acessos a demais sistemas devem ser informados pelo coordenador da rea no momento da solicitao da conta do usurio. Para solicitao de criao de conta para novos funcionrios, os coordenadores devem proceder conforme descrito abaixo: O coordenador de departamento a que o funcionrio pertence dever fazer uma solicitao da criao da conta, atravs do formulrio Solicitao de Usurio/Acesso rea de TI, Neste formulrio, dever ser informado os dados do funcionrio/colaborador, bem como os acessos que sero necessrios para que este usurio desempenhe suas funes na rea (diretrios da rede FIPECAFI, acesso ao sistema Microsiga, acesso ao sistema, acadmico SGA, acesso ao email e Internet). A equipe de segurana retornar para a coordenao do departamento as informaes sobre a conta criada.

2.2.2 Manuteno de contas Cada funcionrio que tiver sua conta criada ter um espao no servidor para gravar seus arquivos pessoais, feita cpia de segurana dos arquivos do servidor do domnio FIPECAFI diariamente; A manuteno dos arquivos na conta pessoal de responsabilidade do usurio, sendo que o mesmo deve evitar acumulo de arquivos desnecessrios e sempre que possvel verificar o que pode ser eliminado;
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 5

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

As contas podem ser monitoradas pela equipe de segurana com o objetivo de verificar possveis irregularidades no armazenamento ou manuteno dos arquivos nos diretrios pessoais.

2.3 Alunos, Colaboradores ou Estagirios A criao de conta para acesso a rede de computadores da FIPECAFI para alunos colaboradoress ou estagirios depender da necessidade de utilizao. Se existir esta necessidade o procedimento adotado dever ser o mesmo utilizado para criao de contas para funcionrios.

3. POLTICA DE SENHAS As senhas so utilizadas por todos os sistemas e so consideradas necessrias como meio de autenticao. A eficincia das senhas dependem do usurio, pois estes podem escolher senhas bvias e fceis de serem descobertas, ou ainda compartilha-las com outros colaboradores, no mantendo o sigilo necessrio.

3.1

Regras Gerais Senhas so um meio comum de validao da identidade do usurio para obteno de acesso a um sistema de informao ou servio. A concesso de senhas deve ser controlada, considerando: o Senhas temporrias devem ser alteradas imediatamente, no devem ser armazenadas de forma desprotegida, o A senha deve ser redefinida pelo menos a cada dois meses, para usurios comuns e a cada ms para usurios de acesso mais restrito, o As senhas devem ser bloqueadas aps 3 a 5 tentativas sem sucesso, sendo que, o administrador da rede e o usurio devem ser notificados sobre estas tentativas.

As responsabilidades do administrador do sistema incluem o cuidado na criao e alterao das senhas dos usurios, alm da necessidade de manter atualizados os dados dos mesmos. As responsabilidades do usurio incluem, principalmente, os cuidados com a manuteno da segurana dos recursos, tais como sigilo da senha e o monitoramento de
Pgina 6

JSA Consultoria e Treinamento em Tecnologia da Informao

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

sua conta, evitando sua utilizao indevida. As senhas so sigilosas, individuais e intransferveis, no devendo ser divulgadas em nenhuma hiptese. Tudo que for executado com a senha de usurio da rede ou de outro sistema ser de inteira responsabilidade do usurio. As senhas so efetivas apenas quando usadas corretamente e sua escolha e uso requerem alguns cuidados como: No utilizar palavras que esto no dicionrio (nacionais ou estrangeiras); No utilizar informaes pessoais fceis de serem obtidas, como o nmero de telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc; No utilizar senhas somente com dgitos ou com letras; Utilizar senha com pelo menos, oito caracteres; Misturar caracteres maisculos e minsculos; Misturar nmeros, letras e caracteres especiais; Incluir pelo menos, um caractere especial; Utilizar um mtodo prprio para lembrar da senha, de modo que ela no precise ser escrita em nenhum local, em hiptese alguma; No anotar a senha em papel ou em outros meios de registro de fcil acesso; No utilizar o nome do usurio; No utilizar o primeiro nome, o nome do meio ou o sobrenome; No utilizar nomes de pessoas prximas, como da esposa(o), dos filhos, de amigos; No utilizar senhas com repetio do mesmo dgito ou da mesma letra; No fornecer senha para ningum, por razo alguma; Utilizar senhas que podem ser digitadas rapidamente, sem a necessidade de olhar para o teclado.

4. POLTICA DE UTILIZAO DE e-Mail Esse tpico visa definir as normas de utilizao de e-mail que engloba desde o envio, recebimento e gerenciamento de contas. Todos os usurios de e-mail devem tomar cincia que a Internet opera em domnio publico e que no est sob o controle da equipe tcnica de TI. As mensagens podem estar sujeitas a demora e servios potencialmente no confiveis. Grande parte da comunicao do dia-a-dia passa atravs de e-mails. Mas importante tambm lembrar que grande parte das pragas eletrnicas atuais chega por esse meio. Os vrus atuais so enviados automaticamente, isso significa que um e-mail de um cliente, parceiro ou amigo pode conter vrus.

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 7

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

4.1 Regras Gerais O email deve ser utilizado de forma consciente, evitando qualquer tipo de perturbao a outras pessoas, seja atravs da linguagem utilizada, freqncia ou tamanho das mensagens; O envio de e-mail deve ser efetuado somente para pessoas que desejam receb-los. Se for solicitada a interrupo do envio, esta deve ser acatada e o envio no dever mais acontecer; proibido o envio de grande quantidade de mensagens de e-mail (spam) que, de acordo com a capacidade tcnica da Rede, seja prejudicial ou gere reclamaes de outros usurios. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade, comercial ou no, anncios e informativos, ou propaganda poltica; proibido reenviar ou de qualquer forma propagar mensagens em cadeia, independente da vontade do destinatrio de receber tais mensagens; proibido o envio de e-mail mal-intencionado, tais como mail bombing (enviar vrios milhares de mensagens idnticas para uma caixa de correio eletrnico) ou sobrecarregar um usurio, site ou servidor com e-mail muito extenso ou numeroso anexos ou anexos muito grandes; Caso a FIPECAFI julgue necessrio, haver bloqueios: 1. De e-mail com arquivos anexos que comprometa o uso de banda ou perturbe o com andamento dos trabalhos; 2. De e-mail para destinatrios ou domnios que comprometam o uso de banda ou perturbem o bom andamento dos trabalhos; De e-mail com utilizao da linguagem indevida em respostas aos e-mails comerciais, como abreviaes de palavras, uso de grias etc; obrigatria a manuteno da caixa de e-mail, evitando acmulo de e-mails e arquivos inteis; obrigatria a utilizao do software homologado pela rea de TI, para ser o cliente de email; Para certificar-se que a mensagem foi recebida pelo destinatrio, deve-se, se necessrio, utilizar procedimentos de controles extras para verificar a chegada da mensagem, devem ser solicitadas notificaes de recebimento e leitura; No executar ou abrir arquivos anexados enviados por emitentes desconhecidos ou suspeitos;
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 8

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

No abrir arquivos anexados com as extenses .bat, .exe, .src, .lnk e .com se no tiver certeza absoluta que solicitou este email; Desconfiar de todos email com assuntos estranhos e/ou em outros idiomas. Evitar anexos muito grandes;

4.2 Regras para funcionrios No devem ser enviadas mensagens de correio eletrnico cujo contedo seja confidencial ou restrito a FIPECAFI, no podendo tornar-se pblico; No utilizar o email da FIPECAFI para fins pessoais; obrigatria a utilizao de assinatura nos e-mails, seguindo padro estabelecido pela FIPECAFI.

5. POLTICA DE ACESSO INTERNET Esse tpico visa definir as normas de utilizao da Internet que abrange a navegao em sites, downloads e uploads de arquivos. A Internet uma ferramenta de trabalho e deve ser usada para este fim pelos funcionrios, professores e alunos da FIPECAFI, no sendo permitido o seu uso para fins recreativos durante o horrio de trabalho ou de aula.

5.1

Regras Gerais

Somente navegao de sites permitida. Casos especficos que exijam outros tipos de servios, como download de arquivos, devero ser solicitados diretamente equipe de segurana com autorizao do supervisor do usurio que deseja este acesso; proibida a divulgao de informaes confidenciais da FIPECAFI em grupos de discusso, listas ou bate-papo, no importando se a divulgao foi deliberada ou inadvertida, sendo possvel sofrer as penalidades previstas nas polticas e procedimentos internos e/ou na forma da lei; Caso a FIPECAFI julgue necessrio haver bloqueios de acesso :
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 9

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

1. arquivos que comprometa o uso de banda ou perturbe o bom andamento dos trabalhos; 2. domnios que comprometa o uso de banda ou perturbe o bom andamento dos trabalhos; obrigatoriedade a utilizao do programa Internet Explorer, ou outro software homologado pela rea de TI, para ser o cliente de navegao; No ser permitido software de comunicao instantnea, no homologados/autorizados pela rea de TI; O acesso a sites com contedo pornogrfico, jogos, bate-papo, apostas, sero bloqueados, e as tentativas de acesso sero monitoradas; 5.2 Regras para funcionrios

Os funcionrios com acesso Internet podem baixar somente programas ligados diretamente s atividades da empresa e devem providenciar o que for necessrio para regularizar a licena e o registro desses programas; Funcionrios com acesso Internet no podem efetuar uploads de qualquer software licenciado para a FIPECAFI ou de dados de propriedade da FIPECAFI ou de seus clientes, sem expressa autorizao do responsvel pelo software ou pelos dados; Haver gerao de relatrios dos sites acessados por usurio, se necessrio a publicao desse relatrio e prestao de contas do usurio dos acessos;

6. POLTICA DE USO DAS ESTAES DE TRABALHO Cada estao de trabalho possui cdigos internos os quais permitem que ela seja identificada na rede. Sendo assim, tudo que for executado na estao de trabalho ser de responsabilidade do usurio. Por isso, sempre que sair de frente da estao de trabalho, o usurio dever ter certeza que efetuou o logoff ou bloqueou a estao de trabalho. 6.1 Regras Gerais

No utilizar nenhum tipo de software/hardware sem autorizao da rea de TI; No permitido gravar nas estaes de trabalho MP3, filmes, fotos e software com direitos autorais ou qualquer outro tipo que possa ser considerado pirataria;
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 10

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Todos os dados relativos FIPECAFI devem ser mantidos no servidor, onde existe sistema de backup dirio e confivel; Os arquivos gravados em diretrios temporrios das estaes de trabalho podem ser acessados por todos os usurios que utilizarem a mesma, portanto no pode-se garantir sua integridade e disponibilidade. Podero ser alterados ou excludo sem prvio aviso e por qualquer usurio que acessar a estao.

7. POLTICA DE USO DE IMPRESSORAS Esse tpico visa definir as normas de utilizao de impressoras disponveis na rede FIPECAFI. Todo usurio dever utilizar a sua senha de impresso que de uso pessoal e intransfervel.

7.1 Regras Gerais Ao enviar o arquivo para impresso, o usurio dever imediatamente verificar se o que foi solicitado j est disponvel na impressora, no deixando documentos nas bandejas das impressoras mais tempo do que o necessrio. Se a impresso deu errado e o papel puder ser reaproveitado na sua prxima tentativa, recoloc-lo na bandeja de impresso. Caso contrrio, se o papel servir para rascunho, o usurio dever lev-lo para sua mesa. Se o papel no puder ser reaproveitado, deve ser picotado ou jogado no lixo, quando no houver picotadora de papel disponvel. Se a impressora emitir alguma folha em branco, esta deve ser recolocada na bandeja para nova utilizao; Manter a impressora sempre abastecida de papel, evitando o acmulo de trabalhos na fila de impresso, prejudicando as solicitaes; Utilizar a impresso colorida somente quando estritamente necessrio e sempre na verso final de trabalhos e no para impresses intermedirios ou rascunhos.

8. POLTICA DE SEGURANA FSICA Neste item ser abordada a segurana fsica dos equipamentos de informtica e das informaes manipuladas pela instituio.
JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 11

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

8.1 Poltica de controle de acesso Existem reas que merecem maior ateno quanto ao controle de entrada de pessoas, como departamentos que manipulam informaes confidenciais ou equipamentos que devem ter sua segurana fsica assegurada, como a sala de servidores. Convm que o acesso a estas reas sejam controlados de forma apropriada para assegurar que somente as pessoas previamente autorizadas tenham acesso liberado. As instalaes utilizadas para fins especiais que abrigam equipamentos importantes exigem maior proteo que o nvel normalmente oferecido. As instalaes da equipe de TI devem ser localizadas e construdas buscando minimizar o acesso pblico direto, os riscos ao fornecimento de energia e aos servios de telecomunicaes.

8.1.1 Regras Gerais Apenas pessoas autorizadas devem acessar as instalaes da equipe de TI, sendo que todos os funcionrios/colaboradores devem usar crachs de identificao. A temperatura umidade e ventilao das instalaes que abrigam equipamentos de informtica e de comunicaes, devem estar de acordo com os padres tcnicos especificados pelos fabricantes dos equipamentos. No caso de perda de chaves de departamentos ou laboratrios a coordenao responsvel deve ser informada imediatamente para que possa providenciar a troca das fechaduras.

8.2 Poltica de mesa limpa e tela limpa A poltica de mesa limpa deve ser considerada para todos os departamentos e seguida por todos os funcionrios/colaboradores, de forma a garantir que papis e mdias removveis no fiquem expostas ao acesso no autorizado. A poltica de tela limpa deve ser considerada para todos os departamentos e seguida por todos os funcionrios/colaboradores, de forma a garantir que as informaes manipuladas por sistemas aplicativos, planilhas Excel, documentos Word etc., no fiquem expostas, permitindo o seu acesso a pessoas no autorizadas.

8.2.1 Regras Gerais Os papis ou mdias de computador no devem ser deixados sobre as mesas, quando
Pgina 12

JSA Consultoria e Treinamento em Tecnologia da Informao

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

no estiverem sendo usados. Devem ser guardados de maneira adequada, de preferncia em gavetas ou armrios trancados; As salas devem ser mantidas limpas, sem caixa ou qualquer outro material sobre o cho de modo a facilitar o deslocamento dos funcionrios/colaboradores; Sempre que o computador no estiver em uso, no deve-se deixar nenhum arquivo aberto, de modo que as informaes possam ser visualizadas por outras pessoas que estiverem no local; Agendas, livros ou qualquer outro material que possa conter informaes sobre a empresa ou informaes particulares devem sempre ser guardadas em locais fechados, evitando o acesso de outras pessoas que no as responsveis pela informao. Chaves de gavetas, armrios, de portas de acesso s salas e laboratrios de informtica devem ser guardadas em lugar adequado, e no deixadas sobre a mesa ou guardadas com funcionrios/colaboradores no autorizados.

8.3 Poltica de utilizao de laboratrios de informtica, salas de aula e auditrios Para utilizao de laboratrios e equipamentos de informtica, algumas regras bsicas devem ser cumpridas para que seja feito o uso correto das instalaes, evitando qualquer tipo de dano aos equipamentos em laboratrio, prejudicando sua utilizao.

8.3.1 Regras Gerais O acesso a laboratrios de informtica deve ser controlado, somente sendo permitido o seu uso por funcionrios/colaboradores autorizados. de responsabilidade do professor/funcionrio que utilizou o laboratrio zelar pela ordem das instalaes. Caso seja necessria qualquer tipo de manuteno a equipe tcnica responsvel deve ser informada. No momento em que entrar no laboratrio o funcionrio responsvel deve verificar se todos os equipamentos esto funcionando corretamente. Aps a utilizao, esta verificao deve ser repetida e qualquer problema deve ser reportado a equipe tcnica para que seja solucionado o mais rpido possvel. Os laboratrios devem ser trancados quando deixados sem superviso. Nenhum equipamento pode ser conectado aos sistemas ou rede sem aprovao prvia.
Pgina 13

JSA Consultoria e Treinamento em Tecnologia da Informao

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Alimentos, bebidas, fumo so proibidos nas dependncias dos laboratrios, salas de servidores, auditrios etc.

9. TERMO DE COMPROMISSO O termo de compromisso utilizado para que funcionrios, alunos, professores, colaboradores e estagirios se comprometam formalmente em seguir a poltica de segurana, tomando cincia das punies impostas ao seu no cumprimento. No termo de compromisso so reforados os principais pontos da poltica de segurana e, deve ser assinado por todos os funcionrios e colaboradores da instituio. Sua renovao deve ser feita sempre que necessrio.

10. VERIFICAO DA UTILIZAO DA POLTICA Para garantir que as regras mencionadas acima esto sendo cumpridas, a FIPECAFI se reserva no direito de: Implantar softwares e sistemas que monitorem e gravem todos os usos de Internet atravs da rede e das estaes de trabalho da empresa; Inspecionar qualquer arquivo armazenado na rede, estejam eles no disco local da estao ou nas reas privadas da rede;

11. VIOLAO DA POLTICA, ADVERTNCIA E PUNIES Ao detectar uma violao da poltica, a primeira coisa a fazer determinar a sua razo, ou seja, verificar se a violao ocorreu por negligncia, acidente, erro ou por desconhecimento da poltica vigente. Nos termos da Poltica de Segurana, a FIPECAFI proceder ao bloqueio do acesso ou ao cancelamento do usurio, caso seja detectado uso indevido com o intuito de prejudicar o andamento do trabalho ou de por em risco a imagem da instituio. recomendado o treinamento dos usurios em segurana da informao, com o intuito de divulgar e conscientizar os funcionrios e colaboradores sobre a poltica de segurana a ser seguida por todos. O programa de treinamento em segurana deve fazer parte do programa de integrao de novos funcionrio/colaboradores e do programa de
Pgina 14

JSA Consultoria e Treinamento em Tecnologia da Informao

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

integrao de novos alunos (ao incio de cada ano letivo). Os treinamentos de reciclagem devem ser previstos quando necessrios.

11.1 Regras para funcionrios Caso seja necessrio advertir o funcionrio, deve ser informado o Departamento de Recursos Humanos para interagir e manter-se informado da situao. O no cumprimento, pelo funcionrio, das normas estabelecidas neste documento seja isolada ou acumulativamente, poder causar, de acordo com a infrao cometida, as seguintes punies: Comunicao de descumprimento, Advertncia, suspenso ou demisso por justa causa.

Comunicao de descumprimento: Ser encaminhado ao funcionrio, por e-mail, comunicado informando o descumprimento da norma, com a indicao precisa da violao praticada. Cpia desse comunicado permanecer arquivada junto ao Departamento de Recursos Humanos na respectiva pasta do funcionrio. Advertncia ou suspenso: A pena de advertncia ou suspenso ser aplicada, por escrito, somente nos casos de natureza grave ou na hiptese de reincidncia na prtica de infraes de menor gravidade. Demisso por justa causa: Nas hipteses previstas no artigo 482 da Consolidao das Leis do Trabalho, conforme anexo. Fica desde j estabelecido que no h progressividade como requisito para a configurao da dispensa por justa causa, podendo a Diretoria, no uso do poder diretivo e disciplinar que lhe atribudo, aplicar a pena que entender devida quando tipificada a falta grave.

11.2 Regras para alunos Caso seja necessrio advertir o aluno, a Secretria Acadmica ser informada da situao. O no cumprimento pelo aluno das normas estabelecidas neste documento seja isolada ou cumulativamente, poder causar, de acordo com a infrao cometida, as seguintes punies:

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 15

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Comunicao de descumprimento: Ser encaminhado ao aluno, atravs da Secretria Acadmica informando o descumprimento da norma, com a indicao precisa da violao praticada. Cpia desse comunicado permanecer arquivada na respectiva pasta do aluno. Advertncia ou suspenso: A pena de advertncia ou suspenso ser aplicada, por escrito, somente nos casos de natureza grave ou na hiptese de reincidncia na prtica de infraes de menor gravidade. Antes da aplicao desta punio ser realizado o conselho de disciplina, conforme regimento escolar que detalha os direitos e deveres dos alunos e as definies dos conselhos de disciplina. Expulso: A deciso de expulsar um aluno tomada durante conselho de disciplina.

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 16

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

ANEXO I TERMO DE COMPROMISSO

TERMO DE COMPROMISSO
Identificao do Funcionrio/Consultor/Aluno NOME: RG/CPF: MATRCULA: EMPRESA (Nome e CNPJ, somente para consultores)

Comprometo-me a:
1. Executar minhas tarefas de forma a cumprir com as orientaes da Poltica de Segurana e com as Normas e Padres vigentes. 2. Utilizar adequadamente os equipamentos da Instituio, evitando acessos indevidos aos ambientes computacionais aos quais estarei habilitado, que possam comprometer a segurana das informaes. 3. No revelar fora do mbito profissional, fato ou informaes de qualquer natureza que tenha conhecimento devido a minhas atribuies, salvo em decorrncia de deciso competente do superior hierrquico. 4. Acessar as informaes somente por necessidade de servio e por determinao expressa do superior hierrquico. 5. Manter cautela quando a exibio de informaes sigilosas e confidenciais, em tela, impressoras ou outros meios eletrnicos. 6. No me ausentar do local de trabalho sem encerrar a sesso de uso do computador ou sistema, evitando assim o acesso por pessoas no autorizadas.

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 17

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

7. Observar rigorosamente os procedimentos de segurana estabelecidos quanto confidencialidade de minha senha, atravs dos quais posso efetuar operaes a mim designadas nos recursos computacionais que acesso, procedendo a: a. Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e intransfervel; b. No divulgar a minha senha a outras pessoas; c. Nunca escrever a minha senha, sempre memoriz-la; d. De maneira alguma ou sobre qualquer pretexto, procurar descobrir as senhas de outras pessoas; e. Somente utilizar o meu acesso para os fins designados e para os quais estiver devidamente autorizado, em razo de minhas funes; f. Responder em todas as instncias, pelas conseqncias das aes ou omisses de minha parte que possam por em risco ou comprometer a exclusividade de conhecimento da minha senha ou das transaes a que tenho acesso; g. Reportar imediatamente ao superior imediato ou ao Administrador de Segurana em caso de violao, acidental ou no, da minha senha, e providenciar a sua substituio. h. Solicitar o cancelamento de meus usurio/senhas quando no for mais de minha utilizao. i. Solicitar o cancelamento de usurios/senhas solicitados para funcionrios/terceiros sob minha responsabilidade, quando do seu desligamento ou trmino do servio que originou a respectiva solicitao.

Declaro estar ciente das determinaes acima, compreendendo que quaisquer descumprimentos dessas regras podem implicar na aplicao das sanses disciplinares cabveis.

So Paulo, ______ de _____________________________ de ____________. ______________________________________________________________. Assinatura do Funcionrio/Consultor/Aluno

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 18

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

ANEXO II DIRETRIZES PARA USO DE NOTEBOOKS E PALM-TOPS NA FIPECAFI (vlido para quaisquer equipamentos eletrnicos mveis)
DS2011/01 v.1.0 xx/xx/xxxx

Notebooks e palm-tops

- Fica autorizado o uso de notebooks e palm-tops pessoais, na rede computadores da FIPECAFI. - A FIPECAFI tem o direito de periodicamente auditar os notebooks utilizados na instituio, visando proteger suas informaes bem como garantir que aplicativos ilegais no estejam sendo executados na instituio. - Casos de desrespeito s diretrizes desta DS sero encaminhadas diretoria da FIPECAFI para deliberao.

Responsabilidades do proprietrio

- A instalao do Sistema Operacional que ser utlizado, bem como dos aplicativos a serem utilizados no notebook, salvo excees de aplicativos especficos autorizados pela direo da unidade. - Manter sempre o aplicativo de antivrus atualizado em seu notebook. Caso no tenha nenhum aplicativo de antivrus instalado em seu notebook, o uso do mesmo fica proibido na instituio. - Usar somente aplicativos legalizados em seu notebook. De preferncia ter sempre em mos a nota fiscal e/ou licena de uso do aplicativo ou uma cpia autenticada do mesmo. - A FIPECAFI atualmente no considera o uso de notebooks e palm tops pessoais, como uma ameaa de risco segurana da informao adotada na instituio. Portanto, deixa livre a possibilidade do uso de notebooks e palm tops pessoais no ambiente de rede da instituio. - Caso seja necessrio conectar o notebook na rede da instituio, necessrio que o proprietrio faa uma solicitao de servios de infraestrutura, para que seja realizada uma verificao das configuraes de rede e do aplicativo de anti-vrus instalado. - de responsabilidade do setor de Informtica as configuraes relativas aos dispositivos de rede e configuraes de domnio no ambiente de rede da FIPECAFI, que precisam ser realizadas para o funcionamento em rede dos notebooks.

Acesso a rede

Restries

No podem ser executados nos notebooks, aplicativos de caracterstica maliciosa, que visam comprometer o funcionamento da rede, bem como a captura de informaes confidenciais, como por exemplo: senhas de usurios. - Fica proibida a apropriao de arquivos que no sejam de uso pessoal do proprietrio do notebook. Todos os arquivos que pertenam a instituio, no podem ser carregados nos notebooks ou dispositivos de armazenamento mvel (ex.: pen-drive), sem autorizao da rea responsvel pelos dados.

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 19

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Anexo III TERMO DE RESPONSABILIDADE PARA UTILIZAO DE NOTEBOOK PARTICULAR 1. Do Objeto: O presente termo objetiva a cesso _________________________ ______________________RG___________________CPF_________________ Matrcula_____________________da empresa __________________________ _______________________________________, de utilizao de notebooks na rede da FIPECAFI. 2. Do Prazo: O presente instrumento vigorar imediatamente a partir da assinatura deste. 3. USURIO ficar responsvel por: - Toda e qualquer manuteno/despesa que for necessria para o funcionamento do equipamento. - Possuir um aplicativo Antivrus devidamente registrado e atualizado. - Instalar apenas aplicativos com licena de livre distribuio, ou que o mesmo tenha adquirido a sua licena. - No copiar, reproduzir ou distribuir documentos, arquivos ou programas que forem de direito da FIPECAFI. - Todo e qualquer prejuzos que, por sua culpa, na utilizao do equipamento, vier causar terceiros, durante o tempo de vigncia deste TERMO. - Respeitar as diretrizes descritas no DS 2011/01. E assim, por estarem justos e contratados assinam o presente instrumento em 02 (duas) vias de igual forma e teor, na presena das testemunhas abaixo, para que surta seus jurdicos e legais efeitos. So Paulo, ___ de __________ de 20___.

_____________________________ TI

_____________________________ Nome do Usurio

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 20

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Anexo IV FORMULRIO DE SOLICITAO USURIO/ACESSO

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 21

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Anexo V FORMULRIO DE SOLICITAO DE BLOQUEIO DE USURIO/ACESSO

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 22

TI V1.0 Jan/2011

POLTICA DE SEGURANA DA INFORMAO

Anexo VI - ARTIGO 482 Consolidao das Leis do Trabalho Art. 482 Constituem justa causa para resciso do contrato de trabalho pelo empregador: a) ato de improbidade; b) incontinncia de conduta ou mau procedimento; c) negociao habitual por conta prpria ou alheia sem permisso do empregador, e quando constituir ato de concorrncia empresa para a qual trabalha o empregado, ou for prejudicial ao servio; d) condenao criminal do empregado, passada em julgado, caso no tenha havido suspenso da execuo da pena; e) desdia no desempenho das respectivas funes; f) embriaguez habitual ou em servio; g) violao de segredo da empresa; h) ato de indisciplina ou de insubordinao; i) abandono de emprego; j) ato lesivo da honra ou da boa fama praticado no servio contra qualquer pessoa, ou ofensas fsicas, nas mesmas condies, salvo em caso de legtima defesa, prpria ou de outrem; k) ato lesivo da honra ou da boa fama ou ofensas fsicas praticadas contra o empregador e superiores hierrquicos, salvo em caso de legtima defesa, prpria ou de outrem; l) prtica constante de jogos de azar. Pargrafo nico. Constitui igualmente justa causa para dispensa de empregado a prtica, devidamente comprovada em inqurito administrativo, de atos atentatrios contra a segurana nacional. ** Pargrafo nico acrescentado pelo Decreto-lei n 3, de 27 de janeiro de 1966

JSA Consultoria e Treinamento em Tecnologia da Informao

Pgina 23