UNIVERSIDADE FUMEC FACULDADE DE CINCIAS EMPRESARIAIS - FACE

FREDERICO GUIMARES VIANA

POLTICAS DE SEGURANA DA INFORMAO: UM

ESTUDO DE SUA IMPLEMENTAO EM UMA EMPRESA DE MEDIO PORTE

Belo Horizonte 2011

FREDERICO GUIMARAES VIANA

POLTICAS DE SEGURANA DA INFORMAO: UM

ESTUDO DE CASO DE SUA IMPLEMENTAO EM UMA EMPRESA DE MEDIO PORTE

Monografia apresentada UNIVERSIDADE FUMEC como requisito parcial para a obteno do certificado de Especializao em Psgraduao Latu Sensu em Gesto da Segurana da Informao. Orientador: Claudio Roberto Magalhes Pessoa

Belo Horizonte 2011

Dedico este trabalho aos meus pais, Sergio e Maria Jos, e minha namorada Patrcia, sem os quais nada faria sentido ou seria possvel, visto todo o apoio oferecido na longa caminhada.

RESUMO

A informao tornou-se um dos ativos mais importantes e mais valiosos para as grandes empresas. Simultaneamente ao crescimento da internet surgiram ameaas confidencialidade, integridade e disponibilidade da informao, obrigando as empresas tomar medidas em relao Segurana da Informao. Com a criao da Norma ABNT NBR ISO/IEC 17799 e a ABNT NBR ISO/IEC 27001, tornou-se mais acessvel garantir atravs de diretrizes que as informaes sejam protegidas e sem riscos de acessos no autorizados. Foi realizado um estudo aprofundado sobre informao, segurana da informao, poltica de segurana da informao e a Norma ABNT NBR ISO/IEC 17799. Logo aps utilizando-se a pesquisa participante, houve um estudo de caso em uma empresa, que ser chamada neste trabalho de X, na qual foi cenrio para o desenvolvimento de diretrizes de segurana focando o nvel de usurio, ou seja, os recursos tecnolgicos utilizados por este no ambiente de trabalho. Para implementao das diretrizes ocorreu uma conscientizao dos funcionrios da empresa, de forma geral, para a importncia da segurana da informao com intuito de atingir maior xito no processo e com o apoio da diretoria

Palavras-chave: Segurana. Informao. Tecnologia.

ABSTRACT The information has become one of their most important and most valuable for large companies. Concurrent with the growth of the Internet have emerged threats to confidentiality, integrity and availability of information, forcing companies to take measures in relation to Information Security. With the creation of the Standard ISO / IEC 17799 and ABNT NBR ISO/IEC 27001, became more accessible through guidelines to ensure that information is protected and no risk of unauthorized access. We conducted a detailed study of information, information security, information security policy and the Standard ISO / IEC 17799. Soon after using the participatory research, there was a case study at Company X, which was the setting for the development of safety guidelines focusing on the user level, ie the resources used by this technology in the workplace. And for implementation of the guidelines was an awareness of users and the company generally to the importance of information security with a view to achieving greater success in the process and with the support of the board Keywords: Security. Information. Technology.

LISTA DE FIGURAS

Figura 1 - Informao base para o conhecimento ...................................................................9 Figura 2 - Caractersticas de segurana da informao ............................................................15 Figura 3 - Pirmide da poltica de segurana da informao ...................................................22 Figura 4 - Mtodo para criao da poltica de segurana da informao ................................ 23

SUMRIO

CAPITULO 1 - INTRODUO ......................................................................................... 7 1 Consideraes Preliminares.............................................................................................. 7 1.1 Informao? ................................................................................................................... 9 1.2 Segurana da Informao ............................................................................................ 11 1.2.1 Ponto de partida para a Segurana da Informao.................................................... 12 1.3 Fatores Crticos de Sucesso.......................................................................................... 13 CAPITULO 2 POLITICA DE SEGURANA DA INFORMAO............................ 14 2 Introduo ....................................................................................................................... 14 2.1 Autenticidade ............................................................................................................... 15 2.2 Confidencialidade......................................................................................................... 16 2.3 Integridade ................................................................................................................... 17 2.4 Disponibilidade............................................................................................................. 18 2.5 A importncia de uma poltica .................................................................................... 19 CAPITULO 3 CRIANDO A POLITICA DE SEGURANCA........................................ 22 3 Introduo ....................................................................................................................... 22 3.1 Implementando a Segurana da Informao .............................................................. 24 3.2 Maiores obstculos para a implementao ................................................................. 26 3.3 Os pontos a serem tratados.......................................................................................... 29 CAPITULO 4 REVISANDO A POLITICA .................................................................. 32 4 Introduo ....................................................................................................................... 32 4.1 Periodicidade de reviso .............................................................................................. 33 4.2 Verificao da utilizao da poltica............................................................................ 33 4.3 Violao da poltica, Advertncias e Punies. ........................................................... 34 CAPITULO 5 ANALISE E CONCLUSES ................................................................. 35 5 Concluso ........................................................................................................................ 35 REFERENCIAS................................................................................................................. 37 ANEXOS ............................................................................................................................ 39

CAPITULO 1 - INTRODUO

1 Consideraes Preliminares

A atual realidade presa informao como sendo o bem de maior valia para as organizaes independentemente do ramo de atuao dessas, sendo ela governamentais, comerciais, industriais ou financeiras (CASTRO, 2002). A segurana da informao est estritamente ligada ao usurio, pois este responsvel por manuse-la sendo capaz de cri-la, alter-la e exclu-la. Cabe ao departamento de segurana da informao determinar como a informao deve ser manipulada, criando: diretrizes, normas e procedimentos, que vo orientar e conscientizar todos os usurios, sendo eles funcionrios, fornecedores, clientes ou parceiros. (CASTRO, 2002). Ainda mais prximo ao usurio, existe a poltica de segurana da informao, que um conjunto de idias definidas, estudadas e transcritas a fim de efetuar a conscientizao dos funcionrios da organizao, ou melhor, de todos os usurios da informao, para que esta no seja exposta indevidamente por falta de conhecimento e evitando fraudes. Essa poltica de segurana deve ser criada, ou iniciada, somente aps perdas financeiras? Como torn-la primordial s transaes da empresa, ao cotidiano dos usurios? Devido a essas perguntas que, ao longo do tempo, foram desenvolvidos vrios esforos para instituir nas organizaes mecanismos de proteo eficazes contra as inmeras ameaas que afligem a informao. medida que as organizaes crescem, as redes de computadores e os problemas de segurana crescem paralelamente. No demorou muito ficar evidente que proteger somente os sistemas operacionais, as redes e as informaes que trafegavam por elas no o suficiente, mas tambm era preciso criar paradigmas para conscientizao dos usurios. Com isto, criaram-se comits que tem como objetivo o desenvolvimento de mecanismos mais eficientes e globais de proteo informao. Do qual se pode destacar o Comercial Computer Security Centre, responsvel pela criao da norma BS-7799. Expondo superficialmente do que se trata a norma NBR ISO IEC 17799 (Cdigo de Boas Prticas da Gesto de Segurana da Informao), um cdigo de poltica de gesto de segurana da informao. O objetivo fundamental da norma ISO e da norma brasileira,

nela baseada, assegurar a continuidade e minimizar o dano empresarial, prevenindo e minimizando o impacto de incidentes de segurana. O conhecimento da prtica de gesto de segurana da informao tem crescido de incio separadamente em muitas organizaes, mas vem sendo gradativamente combinados, independentes do tamanho e do tipo da organizao. De acordo com a 10 Pesquisa Nacional de Segurana da Informao, realizada pela Mdulo Security (MODULO, 2007), observou-se um grande progresso em relao estruturao da rea de Segurana da Informao. Porm em boa parte das empresas a tarefa de cuidar do departamento ainda pertence ao Gerente de Tecnologia da Informao (TI)/Redes. Em algumas, o principal responsvel o Diretor de TI1/CIO (Chief Information Officer) e, somente em poucas, o cargo de CSO (Chief Security Office)/Diretor de Segurana existe.Nota-se ainda que h uma grande defasagem de mo-de-obra especfica para atuao nessa rea, porm de acordo com os dados apresentados pela Mdulo Security, neste ano de 2007 haver uma grande necessidade de profissionais qualificados em segurana da informao. Segundo estudo realizado pelo site FindTheRightSchool (MODULO, 2007), profissionais especialistas em segurana da informao sero os mais procurados pelo mercado de TI em 2007. Essa valorizao deve-se ao aumento do uso de Instant Messengers, ou softwares de troca de mensagens instantneas como ferramenta de comunicao corporativa. Para Stevem Ostrowski (MODULO, 2007), porta-voz da CompTIA (Computing Technology Industry Association), "segurana est no topo dos investimentos das agendas de todo mundo hoje em dia". Ostrowski acredita que o aumento do nmero de empresas que lanam mo de servios de gerenciamento resultar na entrada de 500 novas empresas nesse setor ainda este ano. Logo, de acordo com as tendncias do mercado mundial, as empresas brasileiras esto tomando as devidas providncias para tornar seu principal e mais valioso ativo, a informao, num bem extremamente seguro. H uma maior conscientizao sobre a necessidade de investimentos em segurana da informao, pois com o avano do mercado tecnolgico a informao torna-se a cada dia mais vulnervel. (MODULO, 2007)

TI A Tecnologia da Informao (TI) pode ser definida como um conjunto de todas as atividades e solues providas por recursos de computao. Na verdade, as aplicaes para TI so tantas - esto ligadas s mais diversas reas - que existem vrias definies e nenhuma consegue determin-la por completo - Emerson Alecrim (2008, pg 1)

Com intuito de identificar e expor a vital necessidade do investimento em segurana da informao, este trabalho analisa a possibilidade de adoo de uma poltica de segurana da informao, provendo a criao de diretrizes, normas e procedimentos com a finalidade de reeducar - conscientizar os funcionrios ou usurios da Empresas, a utilizarem as informaes, e suas ferramentas tecnolgicas, com maior responsabilidade elevando o nvel de segurana.

1.1 Informao?

O que informao, afinal, j na dcada de 1940 havia preocupao em responder a essa pergunta e a publicao do artigo The mathematical theory of communication urban, por Shannon e Weaver, foi uma evidncia dessa preocupao. Naquela poca uma nova rea da cincia comeava a surgir, a cincia da informao. No entanto, apenas na dcada de 1960 ocorreram os mais marcantes eventos para essa nova cincia, incluindo o prprio cunho do termo. Na dcada de 1980 o tema ganhou mais forca por conta das teorias relacionadas ao conceito de sociedade do conhecimento ou da informao e pouco mais tarde o advento da Internet comercial lanou luz sobre o tema mais uma vez. Desde ento a importncia da informao para o individuo, para a sociedade e para as organizaes de todos os tipos tem sido amplamente pregada, embora no seja possvel afirmar que todos os pregadores compreendam realmente o que esto dizendo.

Figura 1: Informao base para o conhecimento Fonte: Sistema de Segurana da Informao, Andre Campos, 2006

Boa idia disto nos da o fato de que a prpria definio de informao ambgua e incerta, variando entre diversas reas de trabalho, cultura e cincia. Porm, h um consenso mnimo e bastante difundido de que a informao ao mesmo tempo composta de dados e componentes do conhecimento.

10

Nonaka e Takeuchi (1997) citam Bateson esclarecendo que a informao consiste em diferenas que fazem diferena. Segundo essa viso, a informao constituda de um conjunto de dados que representam um ponto de vista diferente, trazendo um significado novo ou evidenciando relaes antes desconhecidas sobre eventos ou objetos. Portanto, a informao possui significado e causa impacto em grau menor ou maior, tornandoa elemento essencial da extrao e criao do conhecimento. Conclumos disto que o conhecimento s poder ser formado a partir da exposio do individuo informao, apesar do curioso fato de que cada individuo desenvolver conhecimento em graus quantitativos e qualitativos diferenciados a partir do mesmo de informaes. Desse modo e possvel afirmar logicamente que poder at haver informao sem conhecimento, mas, no, conhecimento sem informao. A Informao, segundo Luciano Floridi o resultado do processamento, manipulao e organizao de dados, de tal forma que represente uma modificao (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou mquina) que a recebe. Entretanto, a realidade que est delineando-se tem exigido uma definio precisa do que a informao, j que estamos entrando na era da sociedade da informao. A importncia da informao em nossas vidas e a forma como estamos encarando esto sendo modificadas, e no temos muitos estudos sobre a informao em si mesma, continuamos com um conceito vago do que a informao. O que torna a informao to importante? a partir da informao que as organizaes realizam suas tomadas de deciso, objetivando seus fins e assim constituindo um elo de dependncia em relao informao, pois sem a mesma no h estratgias, mudanas ou at mesmo a empresa. FONTES (2006) Vale lembrar, juntamente com a informao h outros recursos indispensveis para que as empresas alcancem seus objetivos, nos quais inserem pessoas, materiais, equipamentos, tecnologia e dinheiro. (Cludio de Lucena) Com as necessidades cada vez maiores das empresas protegerem as informaes de pessoas mal intencionadas entre outros problemas judiciais, que hoje visvel com noticias sobre invaso, roubo e venda de informaes confidenciais. A informao tornou-se um dos ativos mais importantes e mais valiosos para as grandes empresas. O constante aumento da incluso digital e a disseminao da Internet disponibilizaram num volume significativo e sem precedente na histria. (EDISON FONTES). Simultaneamente a esse crescimento surgiram ameaas confidencialidade, integridade e disponibilidade da informao, obrigando as empresas tomar medidas em

11

relao Segurana da Informao. Com a criao da Norma ABNT NBR ISO/IEC 17799, tornou-se mais acessvel garantir atravs de diretrizes que as informaes sejam protegidas e sem riscos de acessos no autorizados.

1.2 Segurana da Informao

A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida (NBR ISO/IEC 17799). A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio (NBR ISO/IEC 17799). Quando se trata de segurana de informaes, sua maior vulnerabilidade no est necessariamente nos computadores, mas sim em seus usurios. Todos os dias, funcionrios cometem erros graves, como anotar suas senhas em lugares que outros podem v-las, baixar e abrir anexos de e-mails que contm vrus e deixar seus computadores ligados a noite. Erro humano a maior causa de violaes graves de segurana, segundo a pesquisa Committing to Security Benchmark Study, patrocinada pela Computing Technology Industry Association (CompTIA). Por mais que se mantenha uma equipe conscientizada das permisses e proibies ligadas segurana da empresa, impossvel garantir por meios verbais que todos cumpram todas as normas a todo o momento. E tratando-se de segurana, um pequeno detalhe pode ser crucial. A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas (NBR ISO/IEC 17799). Seja qual for forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Segundo a ISO/IEC 17799 a segurana da informao aqui caracterizada pela preservao a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso;

12

b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos. Segundo Victor Antonio Izquierdo especialista em segurana da informao da AllSecurity, in verbis:
A Segurana da informao garantir que as informaes (em qualquer formato: mdias eletrnicas, papel e at mesmo em conversaes pessoais ou por telefone) estejam protegidas contra o acesso por pessoas no autorizadas (confidencialidade), estejam sempre disponveis quando necessrias, e que sejam confiveis (no tenham sido corrompidas ou adulteradas por atos de pessoas mal intencionadas). (IZQUIERDO, 2007, p.1)

1.2.1 Ponto de partida para a Segurana da Informao

Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para a implementao da segurana da informao. So baseados tanto em requisitos legais como nas melhores prticas de segurana da informao normalmente usadas. Segundo a NBR ISO/IEC 17799 (2005) Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais; b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao; b) definio das responsabilidades na segurana da informao; c) educao e treinamento em segurana da informao; d) relatrio dos incidentes de segurana;

13

e) gesto da continuidade do negcio. Estes controles se aplicam para a maioria das organizaes e na maioria dos ambientes. Convm que seja notado que, embora todos os controles nesta Norma sejam importantes, a relevncia de qualquer controle seja determinada luz de riscos especficos que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseada na avaliao de risco.

1.3 Fatores Crticos de Sucesso

Segundo a ISO/IEC 17799 os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao: a) poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio; b) um enfoque para a implementao da segurana que seja consistente com a cultura organizacional; c) comprometimento e apoio visvel da direo; d) um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco; e) divulgao eficiente da segurana para todos os gestores e funcionrios; f) distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios e fornecedores; g) proporcionar educao e treinamento adequados; h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.

14

CAPITULO 2 POLITICA DE SEGURANA DA INFORMAO

2 Introduo

Quando se pensa em segurana da informao, a primeira idia que nos vem mente a proteo das informaes, no importando onde estas informaes estejam armazenadas. Um computador ou sistema computacional considerado seguro se houver uma garantia de que capaz de atuar exatamente como o esperado. Porm a segurana no apenas isto. A expectativa de todo usurio que as informaes armazenadas hoje em seu computador, l permaneam, mesmo depois de algumas semanas, sem que pessoas no autorizadas tenham tido qualquer acesso a seu contedo. (DIAS, 2000, p.42)

Poltica de segurana da informao basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e o pilar da eficcia da segurana da informao. Sem regras pr-estabelecidas, decises tornam-se inconsistentes e vulnerabilidades surgem. (EDISON FONTES) Ainda hoje, grande parte dos gerentes e diretores de TI ainda acredita que o problema da segurana se resume a equipamentos. Hoje a ltima tendncia nessa rea adquirir um IDS (Intrusion Detection System), assim como no passado foram os firewalls. Essas tecnologias so muito boas e necessrias, mas antes faz-se necessrio saber onde esta tecnologia ser implementada, alm da configurao ideal para as necessidades do negcio ( prefervel no ter um firewall a mant-lo desatualizado ou mal configurado). (EDISON FONTES) Alm do aspecto puramente tcnico, importante ressaltar que praticar algo com o mnimo de segurana envolve, sobretudo, adotar mudanas comportamentais, pois sem dvida alguma o ser humano o elo mais fraco dessa corrente. H muito tempo que a preocupao com a segurana da informao deixou de se restringir apenas sala dos servidores para se estender at onde os usurios e clientes esto. O nascimento de uma "cultura de segurana da informao", baseada em educao e treinamentos afins, presenciada em todas as empresas que conseguiram adaptar seus processos de trabalho s exigncias requeridas pelas normas de segurana sugeridas. (Andr Campos) De acordo com as ltimas pesquisas realizadas pelo CSI (Computer Security Institute), 71% dos incidentes de segurana so causados por pessoal interno. Nessa estatstica devemos considerar que alm dos to temidos funcionrios insatisfeitos, muitos dos

15

incidentes so ocasionados por erros. Logo, educao e capacitao so fundamentais para evitar erros e acidentes e, tambm, conscientizar parceiros, funcionrios e terceiros. O usurio espera que suas informaes estejam disponveis no momento e local que determinar que sejam confiveis corretas e mantidas fora do alcance de pessoas no autorizadas. Essas expectativas do usurio podem ser traduzidas como objetivos ou princpios da segurana. Uma vez estabelecidas a importncia da informao para o negocio da organizao necessrio entender o que em a ser uma segurana da informao e, ainda, estabelecer uma relao entre a segurana da informao e sua relevncia para o negocio da organizao. Um sistema de segurana da informao baseia-se em trs princpios bsicos: 1) confidencialidade, 2) integridade, 3) disponibilidade. (Andr Campos, 2006)

Figura 2: Caractersticas de segurana da informao Fonte: Sistema de segurana da informao, Andre Campos, 2006

Se um desses princpios for desrespeitado em algum momento, isto significa uma quebra de segurana da informao, o que pode ser chamado tambm de incidente de segurana da informao.

2.1 Autenticidade

O controle de autenticidade est associado com identificao de um usurio ou computador. O servio de autenticao em um sistema deve assegurar ao receptor que a mensagem realmente procedente da origem informada em seu contedo. Normalmente, isso implementado a partir de um mecanismo de senhas ou de assinatura digital. A verificao de

16

autenticidade necessria aps todo processo de identificao, seja de um usurio para um sistema ou de um sistema para outro sistema. A autenticidade a medida de proteo de um servio/informao contra a personificao por intrusos.

2.2 Confidencialidade

O principio da confidencialidade respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso informao. Quando uma informao e acessada por pessoa no-autorizada, intencionalmente ou no, seja pela descoberta de uma senha, pelo acesso a documentos ou de qualquer outro modo, ento isto um incidente de segurana da informao por quebra de confidencialidade. Casos tpicos de quebra de confidencialidade ocorrem quando pessoas intencionalmente invadem sistemas de computador das empresas e at pessoas fsicas e obtm seus dados. Mas h outros casos corriqueiros e muito menos notados, como quando pessoas de determinada organizao conversam sobre assuntos de trabalho, muitas vezes confidenciais, em locais pblicos, tais como restaurantes ou elevadores, disponibilizando a informao para aqueles sua volta. Esse tipo de vazamento de informao pode inclusive gerar danos para a organizao em questo. Uma tcnica muito utilizada para a obteno de informaes confidenciais a engenharia social. Nesse caso, um indivduo utiliza-se de mtodos de sugesto e convencimento para induzir uma pessoa a quebrar um protocolo ou procedimento de segurana. Proteger informaes contra acesso por algum no autorizado - interna ou externamente. Consiste em proteger a informao contra leitura e/ou cpia por algum que no tenha sido explicitamente autorizado pelo proprietrio daquela informao. A informao deve ser protegida qualquer que seja a mdia que a contenha, como por exemplo, mdia impressa ou mdia digital. Deve-se cuidar no apenas da proteo da informao como um todo, mas tambm de partes da informao que podem ser utilizadas para interferir sobre o todo. No caso das redes de computadores, isto significa que os dados, enquanto em trnsito, no sero vistos, alterados, ou extrados da rede por pessoas no autorizadas ou capturados por dispositivos ilcitos.

17

O objetivo da confidencialidade proteger informao privada (cidados, indstrias, governo, militar).

2.3 Integridade

O principio da integridade respeitado quando a informao acessada est completa, sem alteraes e, portanto, confivel. Quando uma informao indevidamente alterada, intencionalmente ou no, tal como pela falsificao de um documento, da alterao de registros em um banco de dados, ou qualquer coisa que altere qualquer tipo de informao original de maneira indevida, configura um incidente de segurana da informao por quebra de integridade. Isto pode ocorrer quando os dados so migrados de um sistema para outro e o resultado no validado. Meses ou mesmo anos depois se descobre que os dados no so confiveis. Arquivos de ao sem chave, cofres que no so trancados e salas com acesso irrestrito tambm podem gerar quebrar de integridade da informao. Algum pode intencionalmente acessar informaes e alter-las ou algum pode deixar cair caf, refrigerante ou outra coisa qualquer sobre papis ou meios magnticos de armazenamento. A integridade consiste em evitar que dados sejam apagados ou de alguma forma alterados, sem a permisso do proprietrio da informao. O conceito de dados nesse objetivo mais amplo, englobando dados, programas, documentao, registros, fitas magnticas, etc. O conceito de integridade est relacionado com o fato de assegurar que os dados no foram modificados por pessoas no autorizadas. A integridade de dados tambm um pr-requisito para outros princpios da segurana. Por exemplo, se a integridade de um sistema de controle a um determinado sistema operacional pode ser violada, ento a confidencialidade de seus arquivos pode ser igualmente violada. Enquanto o objetivo da confidencialidade est mais voltado leitura de dados, a integridade preocupa-se mais com a gravao ou alterao de dados.

18

2.4 Disponibilidade

O princpio da disponibilidade respeitado quando a informao est acessvel, por pessoas autorizadas, sempre que necessrio. Quando a informao no e acessvel nem mesmo por quem de direito, como no caso da perda de documentos, ou quando h sistemas de computador fora do ar, ou ainda, em funo de ataques e invases, ento isto um incidente de segurana da informao por quebra de disponibilidade. Mesmo as quedas de sistemas no-provacadas, ou seja, nointencionais, configuram quebra de disponibilidade. Outras causas de indisponibilidade so os incndios, enchentes, tempestades, terremotos ou as causadas por ao humana, tais como ataques fsicos, terrorismo, bombas, vandalismo, entre outros. Ter as informaes acessveis e prontas para uso representa um objetivo crtico para muitas empresas. Disponibilidade consiste na proteo dos servios prestados pelo sistema de forma que eles no sejam degradados ou se tornem indisponveis sem autorizao, assegurando ao usurio o acesso aos dados sempre que deles precisar. Um sistema indisponvel, quando um usurio autorizado necessita dele, pode resultar em perdas to graves quanto as causadas pela remoo das informaes daquele sistema. Atacar a disponibilidade significa realizar aes que visem a negao do acesso a um servio ou informao, como por exemplo: bloqueando no canal de comunicao ou do acesso a servidores de dados. A segurana da informao visa a manuteno dos acessos s informaes que esto sendo disponibilizadas. Isso significa que toda a informao deve chegar aos usurios de forma ntegra e confivel. Para que isto possa acontecer, todos os elementos da rede por onde a informao passa at chegar o destino deve estar disponvel e devem tambm preservar a integridade das informaes. Por exemplo, se um funcionrio gravou determinada informao a segurana da informao deve garantir que no momento em que a informao for acessada novamente ela esteja sem qualquer alterao, que no tenha sido feita pelo prprio dono da informao, que possa ser acessada sem qualquer problema.

19

2.5 A importncia de uma poltica

A Poltica de Segurana da Informao uma declarao formal da empresa acerca de seu compromisso com a proteo das informaes de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores. Seu propsito estabelecer as diretrizes a serem seguidas pela Bolsa no que diz respeito adoo de procedimentos e mecanismos relacionados segurana da informao. Uma recente tendncia no mercado a norma BS (British Standards) 7799. Muitos executivos, direta ou indiretamente responsveis pela segurana nas empresas, esto adquirindo a publicao brasileira da norma, achando que esto comprando uma poltica de segurana. A BS (British Standards) uma importante iniciativa, com um objetivo claramente definido: "fornecer uma base comum para o desenvolvimento organizacional de padres de segurana e prticas efetivas de gerenciamento da segurana". Logo, ela apenas o marco zero, a pedra fundamental para o desenvolvimento de uma poltica de segurana moldada e adaptada realidade de cada empresa. A prpria norma cita a importncia de que cada empresa desenvolva os seus manuais especficos, observando o seu contexto organizacional, tomando como base os padres ou melhores prticas ali descritas. No existe uma poltica de segurana da informao modelo que possa ser integralmente aplicada em toda e qualquer organizao. Considere-a como um remdio que deve ser manipulado de forma diferenciada para cada paciente, para que possa combater - ou evitar - um conjunto de doenas especfico ao qual o mesmo est sujeito. Todas as aes realizadas dentro de uma empresa contribuem, ou pelo menos deveriam contribuir, para os objetivos maiores desta empresa. A poltica de segurana da informao deve, do mesmo modo, contribuir para esses objetivos, ou do contrrio, ser uma ferramenta sem valor para o negocio e, consequentemente, no ser utilizada de fato. muito comum encontrar gerentes de segurana da informao irritados com a alta direo, ou com seus pares, por no apoiarem a poltica, mas se este for o caso, no seria mais apropriado perguntar: ser que a poltica esta de fato agregando algum valor ao negocio da organizao? O prprio fato de que h pouco apoio a essa poltica j d alguma pista sobre a resposta. Em geral, as ferramentas que potencializam o negcio so bem recebidas pelo corpo gerencial e pela alta direo. Os controles de segurana da informao no podem se tornar barreiras burocrticas que emperrem o negcio da organizao, que tirem ou reduzam suas caractersticas, os elementos que lhe conferem sua posio no mercado. Quanto isto acontece,

20

por uma questo de sobrevivncia empresarial, esses controles so ignorados e, finalmente, abolidos. Por isso, importante que os colaboradores que operam na rea de segurana da informao tenham uma boa viso de negocio, inclusive das questes estratgicas. (Andre Campos) Por exemplo, tem sido muito comum as organizaes explicitarem suas estratgias atravs de uma ferramenta chamada balanced ScoredCard, uma metodologia desenvolvida por Robert Kaplan e David Norton, dois professores da Havard Business School.(Andre Campos) Naturalmente, existem outros mtodos para a definio e registro de estratgias de negcios. Mas independentemente da ferramenta ou metodologia utilizada, estas so boas fontes de orientao para a construo da poltica de segurana, quer dizer, so parmetros que devem ser considerados por ocasio da construo e das subseqentes melhorias dessa poltica. Atualmente, a poltica de segurana da informao adotada em grande parte das organizaes em todo mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda no tem uma poltica efetiva, reconhecem a necessidade de elaborar e implementar uma. Revistas e sites especializados recomendam a utilizao de poltica de segurana da informao. As normas ISO 27.001 e ISO 27.002, ambas especificas sobre segurana da informao, indicam que a poltica de segurana da informao um controle essencial. Diante de tantas recomendaes, apenas lgico imaginar que deve haver um bom motivo para a implementao dessa poltica na organizao. O principal objetivo da poltica estabelecer um padro de comportamento que seja conhecido por todos na organizao e que sirva de base para decises da alta direo em assuntos relacionados com segurana da informao. A poltica de segurana da informao proporciona coerncia nessas decises e menos complexidade para se chegar a concluses sobre assuntos diversos relacionados com a segurana da informao. As decises passam a ser mais justas e mais facilmente aceitas, j que se baseiam em uma poltica slida e conhecida, e no apenas no critrio pessoal daquele que decide. (Andre Campos) Outro beneficio que todos passam a conhecer as regras do jogo, ou seja, as pessoas sabem como se comportar em diversos temas diferentes dentro da organizao. Sabem o que podem e o que no podem fazer. Isto contribui no s para a diminuio de incidentes de segurana da informao, mas tambm para o aumento da produtividade, j que a busca por orientaes sobre comportamento ser menor e cada um poder concentrar-se

21

mais em suas atividades ao invs de especular sobre as possibilidades de uso ou acesso s informaes. As pessoas tambm se sentem mais confortveis conhecendo os limites. Outro impacto positivo que qualquer um pode conhecer a poltica de segurana da informao e no apenas um grupo seleto e privilegiando de pessoas. Trata-se de democratizao da informao, o que certamente contribui para um maior comprometimento das pessoas. Alm disso, na eventualidade de uma questo ser levada as vias judiciais, uma poltica de segurana da informao amplamente difundida ser importante para demonstrar que as regras eram bem conhecidas de todos, e que a quebra dessas regras, se houve, foi um ato deliberado e intencional.

22

CAPITULO 3 CRIANDO A POLITICA DE SEGURANCA

3 Introduo

Quando se fala em poltica de segurana da informao, a primeira pergunta surge : Como fisicamente essa poltica? Essa pergunta revela uma preocupao com a forma, uma questo concreta. A resposta simples: no h uma regra. possvel ter um documento nico com todas as diretrizes normas e procedimentos ou um documento com as diretrizes, diversos outros com as normas e, ainda, vrios outros com os procedimentos individuais. (Emilio Tissato) O fato que as diretrizes, as normas e os procedimentos devem existir de forma documentada, com um controle de verso e reviso para garantir a pertinncia e a relevncia desses documentos. Uma viso conceitual da poltica de segurana da informao esta demonstrada na figura 03.

Figura 03 Pirmide da poltica de segurana da informao. Fonte: Sistema de Segurana da Informao, Andre Campos, 2006

importante destacar a relao entre os objetos da poltica de segurana da informao. Os procedimentos so desdobramentos das normas que, por sua vez, so desdobramentos de diretizes. Se h procedimentos que no esto relacionados a nenhuma norma ou normas que no esto relacionados a nenhuma diretriz, ento h algo de errado com a poltica, a poltica esta desalinhada.

23

Considera-se uma linha adequada de trabalho construir documentos separados para diretrizes, normas e procedimentos. Um documento inicial, realmente chamado de Poltica de segurana da informao, pode conter as diretrizes e outras informaes. Dessa forma se obtm um documento objetivo e sucinto que pode ser amplamente divulgado. As normas e procedimentos passam a ser criados como documentos individuais de acordo com a necessidade, mas sempre alinhados entre si. (Andre Campos) A Figura 04 apresenta uma sugesto de agenda de trabalho para a criao do documento da poltica de segurana da informao.

Figura 04 Mtodo para criao da poltica de segurana da informao Fonte: Sistema de Segurana da informao, Andre Campos, 2007

Diretrizes so as regras mais gerais possveis, a partir das quais so elaboradas normas e procedimentos. As diretrizes seriam comparveis Constituio, ou seja, um conjunto genrico, porm abrangente, de regas sobre o comportamento esperado da populao

24

nos mais diversos campos. A partir dessa Constituio foram criadas leis, que especificam mais detalhadamente a inteno da Constituio. As diretrizes de segurana da informa so regras genricas que recomendam ou apiam um comportamento desejado dos colaboradores da organizao. Por exemplo, uma diretriz muito comum em polticas de segurana da informao toda a informao recebida, produzida, armazenada, distribuda e descartada em resultado das operaes da organizao, so de propriedade da organizao e de ningum mais. Note que no h objetos especficos nessa diretriz, ou seja, no diz que informao especificamente, por quem ela recebida ou mesmo o tipo de informao a que se refere. E bastante genrica e aplicvel em diversas situaes. A diretriz informa qual a viso da organizao sobre um determinado tema geral. Alguns exemplos de normas bsicas para serem criadas e depois serem implementadas com mais rigor so: Normas de utilizao de Email Normas de utilizao da internet Normas de utilizao da rede

3.1 Implementando a Segurana da Informao

A implementao pode ser considerada a parte mais difcil da poltica de segurana. Sua criao e definio envolvem conhecimento abrangente de segurana, ambiente de rede, organizao, cultura, pessoas e tecnologias, sendo uma tarefa complexa e trabalhosa. Porm, a dificuldade maior reside na implementao dessa poltica criada, quando todos os usurios da organizao devem ter o conhecimento da referida poltica, todas as mudanas sugeridas devem ser implementadas e aceitas por todos e todos os controles definidos devem ser implantados com sucesso. Isso faz com que um ponto importante para a aceitao e conformidade com a poltica definida seja a educao, pois a falta de conscientizao dos funcionrios acerca da importncia e relevncia da poltica torna-la inoperante ou reduzir sua eficcia. Como uma divulgao efetiva, a poltica de segurana dever torna-se parte da cultura da organizao, disseminando as regras estruturais e os controles bsicos da segurana da informao no contexto da organizao e conscientizando a todos. Alguns exemplos de formas de divulgao que podem ser utilizadas so:

25

Comunicao interna (e-mails, painis, pginas na intranet). Reunies de divulgao e conscientizao. Treinamentos especficos ou incluso em programas vigentes. Dramatizao de exemplos prticos em curtas peas teatrais Incorporao ao programa de recepo a novos funcionrios Psteres, protetores de tela e mouse pads podem ser utilizados para oferecer dicas de segurana, lembrando a todos da importncia da segurana das informaes. Alm dos programas de divulgao e conscientizao, os executivos devem seguir fielmente a poltica e valoriza-la, servindo de exemplo para todos os demais. Os esforos necessrios para a implantao da segurana podem levar anos ate que se consiga o resultado esperado, o que faz com que um planejamento em longo prazo seja essencial, bem como a aprovao formal de todos os passos. Assim, o ideal que a segurana tenha seu espao determinado no oramento das organizaes, com seus devidos planejamento, equipes e dependncias. Alm disso, interessante que ela seja considerada como uma rea funcional da organizao, como a rea financeira ou a rea de marketing, afinal, a segurana cada vez mais estratgica para todas as organizaes, principalmente em ambientes cooperativos. Um ponto importante quanto poltica de segurana que, ao contrario da percepo inicial, seus desenvolvimento ajuda a diminuir, e no a aumentar, os custos operacionais. Isso ocorre porque a especificao dos recursos a serem protegidos, dos controles e das tecnologias necessrias, e de seus respectivos valores, resulta em um melhor controle. Alm disso, ela tambm possibilita o gerenciamento da segurana em nvel organizacional, em oposio dificuldade de gerenciamento de solues isoladas de fornecedores aleatrios. Uma vez que todos os funcionrios da organizao conheam a sua poltica de segurana e passem a aplic-la, necessrio que as aes de todos passem a ser verificado quanto conformidade com a poltica definida. Isso pode ser feito com auditorias peridicas, que devem ser independentes das pessoas que a estaro implementando. A poltica de segurana deve ser aplicada de maneira rigorosa e a noconformidade deve ser punida, de acordo com as aes disciplinares previstas na poltica. Alm da auditoria, o monitoramento e a reviso da poltica so importantes para a melhoria continua dos procedimentos de segurana da organizao, assim como so necessrios em caso de qualquer mudana que venha a afetar analise de risco original, tal como um incidente de segurana significativo, surgimento de novas vulnerabilidades,

26

mudanas organizacionais ou na infra-estrutura tcnica utilizada, que so comuns em ambientes corporativos. A implantao a etapa final da poltica de segurana. Consiste na aplicao formal das regras descritas na poltica da organizao, e a assinatura do termo de compromisso. Deve ser realizada de forma gradativa e obrigatoriamente aps o programa de divulgao e conscientizao dos funcionrios.

3.2 Maiores obstculos para a implementao

Segundo Andr Campos alm da dificuldade natural pertinente implementao da segurana, diversos outros obstculos podem surgir durante o projeto da poltica de segurana. Alguns deles so: Desculpe, no existem recursos financeiros suficientes e as prioridades so outras. A falta de verba o obstculo mais comum, porm, o fato que, muitas vezes, isso apensa uma desculpa, utilizada para que as razes verdadeiras no sejam reveladas. O fato de no conseguir os recursos necessrios reflete, fundamentalmente, a falha em convencer os executivos da importncia das informaes e dos sistemas de informaes da organizao, que devem, portanto, ser protegidos. Uma maneira pratica e comum, porm questionvel, de conscientizar os executivos sobre esse problema uma simulao de ataque, que deve, necessariamente, ser realizado somente aps uma aprovao previa por escrito. Alm disso, a indisponilibidade de recursos significa prejuzos, pois os negcios podem ser interrompidos como decorrncia de um ataque. Por que voc continua falando sobre a implementao da poltica? Outro obstculo a dificuldade dos executivos em compreender os reais benefcios da poltica de segurana para a organizao. Essa poltica um meio de assegurar que os objetivos de gerenciamento sejam seguidos consistentemente dentro da organizao, de tal modo que esses executivos devem ter conscincia de que, se a poltica for adotada, seu prprio trabalho ficara consideravelmente mais fcil. Ao fazer com que a implementao da poltica seja, explicitamente, parte do projeto, existe a possibilidade de descrever os benefcios trazidos com a poltica de segurana. Por isso, necessrio tratar essa

27

implementao como um assunto especifico, que precisa, tambm, da aprovao dos executivos. Foram feitos todos os esforos para o desenvolvimento da poltica, isso tudo? preciso que os executivos tenham total compreenso de que somente aprovar e publicar os documentos referentes a poltica desenvolvida no suficiente. Essa compreenso importante para evitar que os demais funcionrios da organizao tenham uma m impresso de descaso por parte dos executivos. A implementao da poltica desenvolvida requer recursos para o suporte tcnico, para os programas de conscientizao e treinamento dos usurios, para a substituio e compra de tecnologia e para o estabelecimento de procedimento adicional. Por isso, importante que a implementao faa parte do projeto global de segurana. Temos realmente que fazer tudo isso? Os executivos podem aprovar uma poltica de segurana apenas para satisfazer os auditores, e isso acaba comprometendo a prpria organizao, que pode obter uma poltica incoerente e sem detalhes essenciais para o seu sucesso. Esse tipo de comportamento faz com que os executivos devam ser convencidos de que o melhor a fazer atuar de modo pr-ativo, em oposio ao comportamento reativo. Sendo reativos, em caso de algum incidente de segurana, os executivos sero obrigados a agir em circunstancia negativas e de extrema urgncia e presso, trazendo, como principal conseqncia, problemas quanto confiana de clientes e de parceiros de negcios, e tambm como a opinio pblica. O ideal mostrar os estudos que provam que mais barato considerar a perspectiva de prevenir, deter e detectar do que a de corrigir e recuperar. O que voc quer dizer com existem dependncias? As dependncias existem nos diversos tpicos da poltica, das normas e dos procedimentos devem ser consideradas para que no sejam feitos esforos em vo. Por exemplo, uma poltica que torna obrigatrio o uso de uma autenticao eficiente para todo acesso remoto deve tratar tambm dos aspectos que dela dependem, como a arquitetura da soluo e dos produtos padro a serem utilizados. Sem isso, sua implementao fica comprometida, os usurios iro reclamar que no consegue trabalhar remotamente, porque no existe a tecnologia que possibilita o acesso seguro. O que voc quer dizer com ningum saber o que fazer depois? Uma viso abrangente dos problemas relacionados segurana, juntamente com o conhecimento dos processos de negcios da organizao, fundamental para o

28

desenvolvimento da poltica. imprescindvel que exista um lder tcnico, que seja profundo conhecedor dos aspectos de segurana e tenha uma viso sobre as tendncias e tecnologia nessa rea, a fim de possibilitar a implementao das normas e dos procedimentos definidos na poltica. Desculpe isso muito complexo. necessrio conhecer a complexidade que envolve a rede e os sistemas de informao, para que os recursos adequados sejam alocados no desenvolvimento da poltica de segurana. O fato de algum desses aspectos serem complexo no significa que deva ser ignorado. Para tanto, preciso recorrer ao auxilio de ferramentas para a realizao dessa tarefa, tais como um software de planejamento de contingncia. Essa mesma complexidade exige que a organizao aloque recursos para sistemas de gerenciamento de redes, sistemas de deteco de intruses, sistemas de automao de distribuio de software, sistema de checagem de licenas de software e outros mecanismos de automao, os quais as pessoas no podem realizar sozinha. importante demonstrar para os executivos as novas ferramentas existentes e o porqu de sua popularidade, a fim de comprovar que essa complexidade especifica pode ser gerenciada. A poltica de segurana vai fazer com que eu perca meu poder? Alguns executivos podem resistir implementao da poltica, por acharem que isso trar ameaas ao seu poder e prestigio. Mostrar as esses executivos importncia da centralizao e coordenao da poltica essencial, para que eles dem o apoio necessrio para o sucesso da implementao. Um caso tpico da importncia da centralizao e padronizao refere-se ao controle de acesso, quando uma coordenao adequada evita o caos, os aborrecimentos e o desperdcio de esforos para todos os envolvidos. Por que eu tenho que me preocupar com isso? Esse no o meu trabalho. Geralmente, os executivos no gostam de compartilhar e discutir os detalhes tcnicos sobre segurana. Porm, importante que todos estejam engajados nesse processo, porque os executivos precisam entender que a segurana da organizao no ter sucesso se no houver o apoio necessrio. Alm disso, a participao ativa dos executivos no desenvolvimento e na implementao da poltica fundamental para o seu sucesso, principalmente porque diversas decises de negcios includas na poltica no podem ser tomadas pelo pessoal tcnico, mas somente pelos executivos. Um exemplo a poltica de privacidade de um site de comercio eletrnico, que demonstra que a segurana multidisciplinar, requerendo a participao de todos dentro da organizao. No podemos lidar com isso, pois no temos um processo disciplinar.

29

Um processo disciplinar especifico para os casos de no-cumprimento da poltica definida importante para a organizao. Por exemplo, se um usurio cometer um erro, a primeira medida avis-lo de sua falta. Se o erro se repetir, o chefe do usurio deve receber um comunicado. Se houver um terceiro erro, o usurio ser suspenso por duas semanas e se esse erro persistir, o usurio ser demitido. Essa abordagem crucial para evitar situaes em que o usurio seja sumariamente demitido, logo no seu primeiro erro, somente mostrar aos outros funcionrios quem detm o poder na organizao.

3.3 Os pontos a serem tratados

A poltica de segurana, definida de acordo com os objetivos de negcios da organizao, deve existir de maneira formal, pois somente assim possvel implementar efetivamente a segurana. Caso isso no ocorra, os administradores de segurana devem documentar todos os aspectos a serem tratados, sendo imprescindvel que a aprovao dos executivos seja formalizada. Tal formalidade evitara que, no futuro, as responsabilidades recaiam sobre os administradores, alm de impedir situaes em que ocorram eventos que no so do conhecimento dos executivos e traga conseqncias inesperadas e tenses desnecessrias organizao. Alm do mais, a poltica de segurana formal essencial, porque as responsabilidades quanto s questes de segurana, caso no estejam definidas na respectiva poltica, devem ser dos executivos, e no dos administradores de segurana. De qualquer, de responsabilidade dos administradores alertarem sobre as questes de segurana e implementar as medidas definidas na poltica. Participar da definio dessa poltica, que envolve os aspectos de toda a organizao, tambm essencial, assim como determinas as normas e os procedimentos. Sob a perspectiva do usurio, essencial que exista sua participao no trabalho de desenvolvimento da poltica e tambm na definio das normas e procedimentos a serem adotados. Esse envolvimento importante, porque medidas de segurana que atrapalham o usurio, invariavelmente, falham. As medidas devem ter a mxima transparncia possvel para o usurio, de modo que as necessidades de segurana da organizao estejam em conformidade com suas prprias necessidades. Assim, uma poltica de segurana adequada deve tratar no s dos aspectos tcnicos, mas principalmente daqueles relacionados ao trabalho, s pessoas e ao

30

gerenciamento. Ela deve abordar, especialmente, os aspectos do cotidiano, como, por exemplo, a definio dos cuidados necessrios com documentos em mesas de trabalho e at mesmo com o lixo, pois esse um dos locais mais explorados procura de informaes confidenciais. Os aspectos culturais e locais tambm devem ser considerados na elaborao da poltica de segurana, pois eles influenciam diretamente na sua efetividade. A poltica de demisso de funcionrios por falha na escolha de senhas, por exemplo, poderia ser aplicada nos Estados Unidos, mas na Europa o funcionrio demitido poderia ganhar um processo na justia. Essas peculiaridades existentes em diferentes culturas fazem com que a ajuda de um profissional local, para o desenvolvimento ou a adequao da poltica da organizao, seja um ponto importante a ser considerado. A poltica de segurana deve definir tambm, do modo mais claro possvel, as punies e os procedimentos a serem adotados, no caso do no-cumprimento da poltica definida. Esse um aspecto importante que precisa ser definido, para que os abusos sejam evitados e os usurios tenham conscincia de que a poltica de segurana importante para o sucesso da organizao. Alguns detalhes relevantes em uma poltica de segurana podem ser inseridos nas normas e procedimentos especficos. Por exemplo, alguns detalhes que podem ser definidos com base na analise do ambiente da rede e de seus riscos, so: A segurana mais importante do que os servios. Caso no haja conciliao, a segurana deve prevalecer, a no ser que os executivos assumam formalmente os eventuais riscos existentes. A poltica de segurana deve evoluir constantemente, de acordo com os riscos e as mudanas na estrutura da organizao. Aquilo que no for expressamente permitido ser proibido. O ideal restringir tudo, e os servios s podero ser liberados caso a caso, de acordo com sua analise e a dos riscos relacionados. Nenhuma conexo direta com a rede interna originaria externamente, devera ser permitida sem que um rgido controle de acesso seja definido e implementado. O servios devem ser implementados com a maior simplicidade possvel, evitando-se a complexidade e a possibilidade de configuraes erradas. Devem ser realizados testes, a fim de garantir que todos os objetivos sejam alcanados.

31

32

CAPITULO 4 REVISANDO A POLITICA

4 Introduo

importante ficar claro na poltica que se trata de um documento dinmico, a ser reavaliado e revisado de tempos em tempos. imprescindvel que fique clara a freqncia com a qual a poltica de segurana da informao ser revisada e adequada s novas necessidades que surgirem com o passar do tempo. A prpria poltica deve indicar quem ou que rea responsvel por sua manuteno. Ao invs de especificar os nomes dos colaboradores envolvidos, talvez seja melhor indicar os cargos ou as unidades organizacionais. Isto evitar problemas quando as pessoas eventualmente forem realocadas dentro da organizao ou mesmo sarem dela. Normalmente h um gestor que se responsabiliza em ltima anlise pela manuteno e anlise crtica da poltica de segurana da informao, que conhecido como Security officer. No momento da reviso da poltica devem ser analisadas diversas questes que contribuir para o melhoramento dessa poltica e a gerao de uma verso melhor. Podem ser analisados os incidentes de segurana da informao que ocorreram no perodo. Novas ameaas ou novas vulnerabilidades precisam ser consideradas. Um exemplo disso que h alguns anos atrs havia uma grande preocupao do pessoal de Tecnologia da Informao (TI) com os vrus de computador, mas hoje h novas ameaas nessa rea, tais como SpyWares (programas que se instalam em seu computador para bisbilhotar seus arquivos e ate hbitos de uso do computador) e mensagem de correio eletrnico malicioso que tentam obter informaes pessoais das pessoas, tais como nmeros de documentos e senhas pessoais. Estes so conhecidos como Phishing Scam. Talvez a poltica de segurana da informao possa agora incluir sugestes de comportamento que atenuem as vulnerabilidades exploradas por essas ameaas. Essa analise conhecida por analise critica no linguajar do pessoal da Qualidade deve realmente verificar o quanto a poltica ainda precisa ser melhorada, avaliar os custos e os impactos do controle no negocio da organizao e considerar a evoluo tecnolgica. Isto pode parecer fcil, mas o grupo envolvido nessa analise critica precisa possuir mltiplas competncias, tais como conhecimento da situao atual da organizao em termos

33

de segurana da informao, conhecimento dos processos de negocio da organizao, noo dos custos envolvidos nos investimentos em segurana e, ainda, uma boa viso de como esta evoluindo a tecnologia da informao.

4.1 Periodicidade de reviso

Para mant-la atualizada frente s novas tendncias e acontecimentos do mundo da segurana deve ser revisada periodicamente. O intervalo mdio utilizado para a reviso de uma poltica de segurana de um ano, porm deve ser realizada uma reviso sempre que forem identificados fatos novos no previstos na poltica de segurana vigente, que possam impactar na segurana das informaes da organizao. Segundo a norma ISO/IEC 17799, a seguinte analise criticas peridicas tambm devem ser agendadas: Verificao da efetividade da poltica, demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados. Analise do custo e impacto dos controles na eficincia do negocio. Verificao dos efeitos de mudanas na tecnologia utilizada. Com o passar do tempo, crucial a manuteno da relevncia dos pontos da poltica de segurana: novos pontos podem ser adicionados, quando necessrio, como tambm devem ser removidos os pontos que se tornarem obsoletos.

4.2 Verificao da utilizao da poltica

Para garantir as regras mencionadas acima, a empresa X se reserva no direito de: Implantar softwares e sistemas que podem monitorar e gravar todos os usos de internet atravs da rede e das estaes de trabalho da empresa. Inspecionar qualquer arquivo armazenado na rede, tanto no disco local da estao ou nas reas privadas da rede, visando assegurar o rgido cumprimento desta poltica.

34

Foram instalados uma srie de softwares e hardwares para protegerem a rede interna garantir a integridade dos dados e programas, incluindo um firewall, que a primeira, mas no a nica barreira entre a rede interna e a Internet.

4.3 Violao da poltica, Advertncias e Punies.

Nesta etapa so definidas as punies aos funcionrios, estagirios e colaboradores pelo no cumprimento da Poltica de Segurana. Devem ser definidas punies de acordo com a cultura da organizao. Algumas empresas optam por criar nveis de punies relacionados aos itens da poltica, sendo a punio mxima a demisso ou desligamento aplicado a casos extremos. O principal objetivo de se estabelecer punies ao no cumprimento da poltica de segurana, incentivar os usurios a aderirem poltica, e tambm dar respaldo jurdico a organizao. muito importante mostrar que a poltica de segurana da informao no e um documento independente com regras de conduta desconexas de tudo o que j existe. No, muito pelo contrario, a poltica , na verdade, a continuidade de regas, normas e leis j existentes. De fato, a especificao e detalhamento maior desses atos legais. Se a organizao possuir um regimento interno ou um regulamento interno, este no apenas deve ser respeitado, mas tambm referenciado na poltica de segurana da informao. O mesmo precisa acontecer com as normas e leis. Por exemplo, as punies previstas para o no-cumprimento da poltica de segurana da informao devem respeitar as leis de contrato de trabalho da organizao, como a CLT, que prev desde simples advertncias ate o desligamento por justa causa.

35

CAPITULO 5 ANALISE E CONCLUSES

5 Concluso

Com a grande disponibilidade de novas tecnologias e a exigncia do mercado por um maior e mais rpido fizeram as empresas compreenderem que o investimento em segurana da informao questo primordial e necessita ser feito o mais rpido possvel. Devido a demanda por segurana da informao, criou-se normas e procedimentos padro nas normas ABNT NBR ISSO/IEC 17799 e 27001 que vem sendo cada vez mais aprimorada e reeditar para melhorar-las e adaptar as novas tecnologias, tambm surgiu muitas empresas especializadas na elaborao e implantao da segurana da informao de acordo com cada empresa. Este estudo abordou a segurana da informao, o que a informao, as dificuldades enfrentadas para a implementao das normas e tambm foi criados alguns modelos que foram utilizados na Empresa X. Para que a poltica de informao seja implementada e continuada na empresa e necessrio envolvimento de todos desde diretoria at a faxineira tem que envolvidas nos processos para que se obtenha sucesso definido, alem das dificuldades enfrentadas por uma mudana de cultura dentro de uma organizao importante que os diretores sejam exemplos e cumpras todas as regras inclusive de punies. Tendo como considerao todos os aspectos deste estudo, a segurana estipulada nesse momento visa apenas o nvel de usurio na utilizao dos recursos tecnolgicos, logo necessita de maior abrangncia em outros nveis como o acesso fsico, a estrutura da rede e computacional, continuidade de negcios Os aspectos analisados na parte dos os usurios durante e aps a implementao passaram a se preocupar mais com dois itens, senha e estao de trabalho sendo que estes so pessoais, necessitam de cuidados especiais e podem ser facilmente usufrudos por terceiros sem autorizao. Verificou-se uma maior solicitao por parte dos usurios para troca de senhas e quando ausentes de seus locais de trabalho, os mesmos esto bloqueando as estaes. Por tanto, conclui-se que no e fcil realizar uma implantao de uma poltica de segurana da informao, pois exigem um conhecimento abrangente de segurana, infra-

36

estrutura, mudanas cultura e ate continuidade de negcios. Por isso temos treinar, treinar e treinar todos da organizao para ter ser resultado no em curto prazo e sim em longo prazo.

37

REFERENCIAS

BASTO, Fabrcio. Poltica de Segurana da Informao Como fazer? Disponvel em <http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/> Acesso em 27 set 2010. BEAL, A. Segurana da Informao: princpios e melhores prticas para a proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005. CAMPOS, Andr. Sistema de Segurana da Informao. 2 ed. Santa Catarina: Visuais Books, 2007. FAUSTINI, Rodrigo. Poltica de Segurana da Informao Disponvel em <http://www. faustiniconsulting.com/artigo05.htm> Acesso em 25 out 2010. FONTES, Edison. Praticando a Segurana da Informao. So Paulo: Brasport, 2008. FONTES, Edison. Segurana da Informao. So Paulo: Saraiva, 2005. FONTES, Edison, Segurana da Informao nas Organizaes. Belo Horizonte: Ietec, 2004. FONTES, E. L. G. Segurana da Informao: o usurio faz a diferena. 2ed. So Paulo: Saraiva, 2006. IVIRTUA SOLUTIONS. Departamento de treinamento. Manual de treinamento certificado TZ0 Standard: implantando a sute trauma zero. Disponvel em <http://www.aleste.com/ manualtz0/> Acesso em 01 dez 2010. IZQUIERDO, Victor Antonio. Afinal o que Segurana da Informao. Disponvel em: <http://www.relacionamentodigital.com/afinal-o-que-e-seguranca-da-informacao> Acesso em 08 set 2010. MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar o fator humano na segurana da informao. So Paulo: Pearson Makron Books, 2003.

38

NAKAMURA, Emilio Tissato; DE GEUS, Paulo Licio. Segurana de redes em ambientes cooperativos. 2ed. So Paulo: Novatec, 2007. NBR ISSO/IEC 17799. Tecnologia da Informao. Tcnicas de Segurana. Cdigo De prtica para a Gesto da Segurana da Informao. Associao Brasileira de Normas Tcnicas: Rio de Janeiro. 2005 ABNT VIEIRA, Wagner. Segurana da informao: adote essa poltica em seu empreendimento. Disponvel em<http://cooperblog.com.br/blog/uncategorized/seguranca-da-informacao-adoteessa-politica-em-seu-empreendimento/> Acesso em 31 ago 2010.

39

ANEXOS

ANEXO A Normas de utilizao do e-mail

Objetivo

Estabelecer responsabilidades e requisitos bsicos de uso dos servios de correio eletrnico, no ambiente de Tecnologia da Informao da Empresa X.

Abrangncia

Esta norma dever ser aplicada aos ativos de informao e comunicao da Empresa X.

Conceito

Prover a comunicao , sem dvida, a essncia das redes. As pessoas sempre procuraram se corresponder da maneira mais rpida e fcil possvel. O correio eletrnico (email) a aplicao que mais ilustra esta procura, pois rene, entre outros, estes atributos. Entretanto, a facilidade de correio eletrnico fornecido pela Empresa X, deve ser usada no interesse do servio, podendo ser, ocasionalmente, utilizada para mensagens pessoais curtas e pouco freqentes. Considerando que o uso dos servios de correio eletrnico, no mbito da Empresa X, uma concesso e no um direito de extrema importncia que se estabelea um conjunto de regras que possibilitem a utilizao adequada desse importante recurso tecnolgico. Todos os usurios dos ativos de informao de propriedade ou controlados pela Empresa X, ao utilizarem esse servio, devero faz-lo no restrito interesse da instituio,

40

mantendo uma conduta profissional, especialmente em se tratando da utilizao do bem pblico.

Acesso ao Correio Eletrnico

Todas as contas de correio eletrnico tero uma titularidade, determinando a responsabilidade sobre a sua utilizao; Os usurios da Empresa X podero ser titulares de uma nica caixa postal individual no servidor de correio eletrnico, com direitos de envio/recebimento de mensagens, via Internet; O tamanho das caixas postais ser de 40 Mbytes todos os usurios; As mensagens com arquivos anexados (texto e anexo) sero transmitidas conforme os critrios abaixo:

Regras para utilizao do Correio Eletrnico (E-mail)

Usurio o responsvel direto pelas mensagens enviadas por intermdio do seu endereo de correio eletrnico; O usurio deve utilizar o Correio Eletrnico de forma adequada e diligente; vedada a utilizao do Correio Eletrnico, nas situaes abaixo: Acesso no autorizado caixa postal de outro usurio; Acesso no autorizado ao banco de dados do correio eletrnico de outra organizao; Uso de contas particulares dos usurios, atravs dos servios Post Office, Protocol - POP Internet. Message Access Protocol - IMAP e Simple Mail Transfer Protocol - SMTP de provedores no pertinentes ao domnio empresax.com.br Envio armazenamento e manuseio de material que contrarie o disposto na legislao vigente, a moral e os bons costumes e a ordem pblica; Envio armazenamento e manuseio de material que caracterize a divulgao,

41

incentivo ou prtica de atos ilcitos, proibidos pela lei ou pela presente norma, lesivos aos direitos e interesses da empresa ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnolgicos (hardware e software), bem como os documentos e arquivos de qualquer tipo, do usurio ou de terceiros; Envio armazenamento e manuseio de material que caracterize: promoo, divulgao ou incentivo a ameaas, difamao ou assdio a outras pessoas; assuntos de carter obsceno; prtica de qualquer tipo de discriminao relativa raa, sexo ou credo religioso; distribuio de qualquer material que caracterize violao de direito autoral garantido por lei; uso para atividades com fins comerciais e o uso extensivo para assuntos pessoais ou privados; Envio de mensagens do tipo corrente e spam; Envio intencional de mensagens que contenham vrus eletrnico ou qualquer forma de rotinas de programao de computador, prejudiciais ou danosas; Envio de mensagens que contenham arquivos com cdigo executvel (. exe, .com, .bat, .pif, .js, .vbs, .hta, src, .cpl, .reg, .dll, .inf) ou qualquer outra extenso que represente um risco segurana de acordo com os critrios estabelecidos pelo Departamento de Tecnologia da Informao da Empresa X; Utilizao de listas e/ou caderno de endereos da Empresa X ou de qualquer instituio para a distribuio de mensagens que no sejam de estrito interesse funcional e sem a devida permisso do responsvel pelas listas e/ou caderno de endereos em questo; Todo e qualquer procedimento de uso do correio eletrnico no previsto nesta poltica, que possa afetar de forma negativa a empresa.

Cadastramento e descadastramento

O Departamento de Tecnologia da Informao TI a rea responsvel pela incluso, excluso e alterao dos usurios de correio eletrnico da Empresa X.

42

ANEXO B Termo de compromisso

TERMO DE COMPROMISSO

Pelo presente instrumento, eu ________________________________________, matrcula/identidade no __________________, perante a Empresa X, na qualidade de usurio dos recursos de processamento da informao da Empresa X, declaro estar ciente e concordar com a Poltica de Segurana da Informao composta por suas Diretrizes, Normas, Procedimentos e Instrues. Declaro, tambm, estar ciente de que os acessos por mim realizados internet, bem como o contedo das mensagens enviadas atravs do correio eletrnico corporativo so monitorados automaticamente. Declaro, ainda, estar ciente das minhas responsabilidades descritas nas normas da Poltica de Segurana da Informao e que, a no observncia desses preceitos, implicar na aplicao das sanes previstas nos Procedimentos desta Poltica.

Belo Horizonte, _____ de _________________de ___.

______________________________________ (Assinatura)

43

ANEXO C Normas de utilizao da internet

Objetivo

Estabelecer responsabilidades e requisitos bsicos de utilizao da Internet no ambiente de Tecnologia da Informao da Empresa X.

Abrangncia

Esta norma dever ser aplicada a todos os usurios que utilizam os recursos de Tecnologia da Informao para acesso Internet.

Conceito

Sob o aspecto de proteo e integridade dos sistemas de informao, a Internet classificada como conexo de alto risco. Os usurios devem estar cientes, portanto, da peculiaridade da navegao na Internet, antes de acess-la e de utilizar os seus recursos. Considerando que o uso da Internet, no mbito da Empresa X, uma concesso e no um direito de extrema importncia que se estabelea um conjunto de regras que possibilitem a utilizao adequada desse importante recurso tecnolgico. Todos os usurios dos ativos de informao de propriedade ou controlados pela Empresa X, ao utilizarem esse servio, devero faz-lo no estrito interesse da organizao, mantendo uma conduta profissional, especialmente em se tratando da utilizao de bem pblico.

44

Regras para utilizao da INTERNET A Empresa X possui mecanismos de autenticao, que determinam a titularidade de todos os acessos Internet feitos por seus usurios; expressamente proibida a divulgao e/ou o compartilhamento indevido de informaes sigilosas em listas de discusso ou bate-papo; Os usurios podero fazer download de arquivos da Internet que sejam necessrios ao desempenho de suas atividades desde que observado os termos de licena de uso e registro desses programas; A Internet, no mbito da Empresa X uma concesso e no um direito. Portanto, sua utilizao, deve ser exclusivamente para atividades ligadas ao trabalho da autarquia. Caso o usurio necessite utilizar Internet para atividades no relacionadas com os negcios da organizao, o mesmo dever faz-lo, preferencialmente, fora do horrio do expediente; Haver gerao de relatrios gerenciais dos sites acessados por usurios num determinado perodo. A diretoria poder ter acesso a essas informaes a qualquer tempo; O usurio deve utilizar a Internet de forma adequada e diligente; O usurio deve utilizar a Internet observando a conformidade com a lei, a moral, os bons costumes aceitos e a ordem pblica; O usurio deve se abstiver de utilizar a Internet com objetivos ou meio para a prtica de atos ilcitos, proibidos pela lei ou pela presente Norma, lesivos aos direitos e interesses do rgo ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnolgicos (hardware e software), bem como os documentos e arquivos de qualquer tipo, de seu uso ou de uso de terceiros; O usurio pessoalmente responsvel por todas as atividades realizadas por intermdio de sua chave de acesso; Ser de responsabilidade de cada usurio zelar pelo fiel cumprimento ao estabelecido na presente norma; O uso de softwares de comunicao instantnea, tais como ICQ, Microsoft Messenger (MSN) e afins devero ser utilizados exclusivamente para fins de trabalho; No permitida a utilizao de software de peer-to-peer (P2P), tais como Kazaa, Emule e afins; No permitido o acesso a sites de relacionamento, tais como Orkut, Gazzag e afins; No permitido acesso a sites de Proxy;

45

Empresa X monitora e bloqueiam automaticamente sites de pornografia, pedofilia e outros contrrios lei. O acesso esses sites terminantemente proibido, mesmo que os mesmos no estejam sendo bloqueados no sistema de segurana. A no observncia de qualquer item acima implicar nas sanes previstas nesta norma;

Observaes

Devido o bloqueio de sites ser baseado em um sistema automatizado, algumas pginas podero ser bloqueadas inadvertidamente. Caso seja bloqueado um site cujo contedo esteja de acordo com esta norma, o usurio pode solicitar o desbloqueio atravs do e-mail ti@empresax.com.br, bastando informar na mensagem qual a URL bloqueada; O fato de um site no estar bloqueado no significa que o mesmo possa ser acessado pelos usurios. Devero ser observados todos os preceitos desta norma, desde a proibio de acesso a sites contrrios lei ao uso excessivo da Internet para assuntos no relativos a trabalho no horrio do expediente, por exemplo.

Sanes

Os procedimentos da poltica de segurana da informao da Empresa X, este se reserva o direito de monitorar o trfego efetuado atravs das suas redes de comunicao, incluindo o acesso Internet. A monitorao do cumprimento das normas de utilizao da Internet dar-se- da seguinte forma: 1) Tcnicos do Departamento de Tecnologia da Informao TI, identificaro os usurios - doravante chamados de infratores - que violarem qualquer item desta norma de segurana. 2) Na primeira transgresso, esses infratores sero notificados, via e-mail, do descumprimento das Normas estabelecidas neste documento; Caso na infrao cometida esteja caracterizado qualquer tipo de crime (acesso a sites de pedofilia, racismo etc), aplicar-se- a sano especial desta norma;

46

3) Caso haja uma segunda transgresso da Norma, num perodo de 90 dias, esses infratores sero novamente notificados, via e-mail, sendo que uma cpia da notificao ser enviada para o supervisor da rea e para o diretor; 4) Na terceira transgresso, as sanes administrativas previstas nas diretrizes gerais da poltica de segurana da informao da Empresa X sero aplicadas.

Sano especial

Qualquer acesso a sites que tiverem contedo de pedofilia, racismo ou qualquer outro assunto contrrio lei que, eventualmente, no esteja bloqueado no sistema de proteo da Empresa X, terminantemente proibido.

47

ANEXO D Normas de utilizao da rede

Objetivo

Definir as normas de utilizao da rede que abrange o login, manuteno de arquivos no servidor e tentativas no autorizadas de acesso.

Abrangncia

Estes itens estaro sendo abordados para todos os usurios dos sistemas e da rede de computadores da Empresa X.

Conceito

Cada usurio possui um acesso rede de acordo com as funes que lhe foi atribudo, ou seja, ela ter permisso somente a determinadas pastas no servidor, respeitando os critrios de utilizao.

Regras de utilizao da Rede

No so permitidas tentativas de obter acesso no autorizado, tais como tentativas de fraudar autenticao de usurio ou segurana de qualquer servidor, rede ou conta (tambm conhecido como cracking). Isso inclui acesso aos dados no disponveis para o usurio, conectar-se a servidor ou conta cujo acesso no seja expressamente autorizado ao usurio ou colocar prova a segurana de outras redes;

48

No so permitidas tentativas de interferir nos servios de qualquer outro usurio, servidor ou rede. Isso inclui ataques, tentativas de provocar congestionamento em redes, tentativas deliberadas de sobrecarregar um servidor e tentativas de "quebrar" (invadir) um servidor; Antes de ausentar-se do seu local de trabalho, o usurio dever fechar todos os programas em uso, evitando, desta maneira, o acesso por pessoas no autorizadas, se possvel efetuar o logout/logoff da rede ou bloqueio do computador atravs de senha; O usurio deve fazer manuteno no diretrio pessoal, evitando acmulo de arquivos desnecessrios; Material de natureza pornogrfica e racista no pode ser exposto, armazenado, distribudo, editado ou gravado atravs do uso dos recursos computacionais da rede; Jogos ou qualquer tipo de software/aplicativo no pode ser gravado ou instalado no diretrio pessoal do usurio, no computador local e em qualquer outro diretrio da rede, podem ser utilizados apenas os softwares previamente instalados no computador; No permitido criar e/ou remover arquivos fora da rea alocada ao usurio e/ou que venham a comprometer o desempenho e funcionamento dos sistemas. A pasta PBLICO, no dever ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza sensvel, devem ser armazenadas apenas informaes comuns a todos; Haver limpeza semestral dos arquivos armazenados na pasta PBLICO, para que no haja acmulo desnecessrio de arquivos; proibida a instalao ou remoo de softwares que no forem devidamente acompanhadas pelo departamento tcnico, atravs de solicitao escrita que ser disponibilizada, e deve conter autorizao do coordenador da rea do solicitante; No so permitidas alteraes das configuraes de rede e inicializao das mquinas bem como modificaes que possam trazer algum problema futuro; Quanto utilizao de equipamentos de informtica particulares, computadores, impressoras, entre outros, a Empresa X no fornecer acessrios, software ou suporte tcnico para computadores pessoais de particulares, incluindo assistncia para recuperar perda de dados, decorrentes de falha humana, ou pelo mau funcionamento do equipamento ou do software; O acesso a sistemas, como Sistema de Gesto Empresarial, deve ser controlado pela identificao do usurio e pelas senhas designadas para usurios autorizados, s senhas compartilhadas devem ser excepcionais e autorizadas pela equipe tcnica.

49

obrigatrio armazenar os arquivos inerentes empresa no servidor de arquivos para garantir a cpia de segurana dos mesmos; proibida a abertura de computadores para qualquer tipo de reparo, seja isto feito em departamentos ou laboratrios de informtica, caso seja necessrio o reparo dever ocorrer pelo departamento tcnico; Quanto utilizao de equipamentos de informtica particulares o funcionrio dever comunicar a coordenao de seu departamento; Quando um funcionrio transferido entre departamentos, o coordenador que transferiu deve certificar-se de que todos os direitos de acesso aos sistemas e outros controles de segurana ainda sero necessrios na sua nova funo e informar a equipe de TI qualquer modificao necessria; Quando ocorrer a demisso do funcionrio, o coordenador responsvel deve informar a equipe tcnica para providenciar a desativao dos acessos do usurio a qualquer recurso da rede. Deve-se verificar a necessidade de troca de senhas de contas de uso comum ao departamento, evitando o acesso s informaes.

50

ANEXO E - Comunicado sobre a poltica de segurana da informao

COMUNICADO

No. xx/xxxx xx/xx/xxxx De: Diretoria da Tecnologia da Informao Para: Diretorias, Gerncias e Empregados ASSUNTO: POLTICA DA SEGURANA DA INFORMAO O objetivo deste comunicado efetivar a poltica da Empresa X quanto segurana dos recursos da tecnologia da informao. A segurana da informao de responsabilidade de todos os empregados da Empresa X. A manipulao, a divulgao ou uso indevido da informao pelo empregado, considerado falta grave, sujeita a aplicao de sanes disciplinares e trabalhistas previstas em lei e nas normas da Empresa X. Todas as informaes produzidas, manipuladas, transmitidas e armazenadas nos meios de propriedade da Empresa X, ou sob sua custdia, podem ser auditadas a qualquer tempo, no devendo existir expectativas de privacidade destas informaes por parte do empregado ou contratado. Os recursos de tecnologia da informao devem ser usados somente para as atividades relacionadas com o negcio da Empresa X, cabendo aos empregados us-los de forma efetiva, eficiente, tica e legal. Estas orientaes podem parecer severas, mas tem por foco resguardar legalmente a Empresa X nas questes relacionadas segurana dos recursos da tecnologia da informao. O Suporte Tcnico da Diretoria de Tecnologia da Informao est desenvolvendo normas e procedimentos para estabelecer um ambiente informacional seguro e confivel garantindo integridade, confidencialidade, disponibilidade e inviolabilidade dos recursos de tecnologia da informao de propriedade da Empresa X ou sob sua custdia, com o mnimo de restries aos usurios.

51

Se voc tiver qualquer dvida, por favor, no hesite em procurar o Suporte Tcnico Tecnologia da Informao, que lhe prestar toda orientao sobre a segurana dos recursos da tecnologia da informao. Diretor de Tecnologia da Informao