norma de utilizaÇÂo do ambiente de...
TRANSCRIPT
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 1/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
1
NORMA DE UTILIZAÇÂO DO AMBIENTE DE T.I.
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 2/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
2
Sumário
1 Histórico de revisão .................................................................................. 3
2 Objetivo .................................................................................................. 4
3 Aplicação ................................................................................................ 4
4 Conceitos ................................................................................................ 4
5 Responsabilidades .................................................................................... 5
6 Principios Gerais ...................................................................................... 5
6.1 Gestão da tecnologia . .................................................................................................. 7
6.2 Uso de recursos de tecnologia da informação. .................................................................. 8
6.3 Controle de acesso logico e identidade digital. ................................................................. 9
6.4 Dispositivos móveis. ...................................................................................................... 9
6.5 Mídias sociais. ............................................................................................................ 10
6.6 Monitoramento e inspeção. .......................................................................................... 11
6.7 Seleções e contratações. ............................................................................................. 11
6.8 Capacitação e publicidade. ........................................................................................... 12
6.9 Violações e penalidades. .............................................................................................. 12
7 Anexos .................................................................................................. 13
8 Aprovações ............................................................................................ 13
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 3/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
3
1. HISTÓRICO DE REVISÃO
Nº
revisão
Data da
revisão Descrição da alteração Emitente Revisor Aprovador
0 01/03/2016 Emissão inicial Henrique
Martins
Henrique
Martins José Lucio
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 4/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
4
2. OBJETIVO
Estabelecer os princípios da gestão de Tecnológica da Informação (TI) da Energia
Sustentável do Brasil (ESBR) em relação aos ativos intangíveis e os Recursos de
TI, devendo estes ser cumpridos por todos os empregados da ESBR.
3. APLICAÇÃO
Deve ser cumprida por todos os seus empregados que venham a ter acesso e/ou
utilizam as informações e/ou os Recursos de Tecnologia da Informação, inclusive
por aqueles que desempenhem atividades profissionais ou de prestação de
serviços em seu proveito.
Dúvidas e questões relacionadas a este documento deverão ser encaminhadas
ao e-mail [email protected]
4. CONCEITOS
Desktop: microcomputador utilizado localmente, fixo em seu local de trabalho.
Hardware: equipamento eletrônico ligado à informática seja um
microcomputador ou periférico.
Notebook: computador portátil, de fácil transporte, que pode ter a mesma
capacidade de um desktop.
PC: todo microcomputador de uso dos funcionários da ESBR.
Periférico: equipamento conectado a um microcomputador que desempenha
uma ou mais funções auxiliares.
Pirataria de software: é a prática de reproduzir ilegalmente um programa de
computador, sem a autorização expressa do titular da obra e,
consequentemente, sem a devida licença de uso.
Termo de Responsabilidade pela Guarda e Uso do Equipamento de
Trabalho: Documento assinado pelo usuário no qual o mesmo de responsabiliza
pelos recursos de TI recebidos para o desempenho de suas atribuições.
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 5/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
5
Controle de Obsolescência – controle da garantia dos equipamentos, bem
como o fim da vida útil do mesmo. Esta norma cita este controle, mas sua
descrição detalhada será descrita em norma especifica sobre o assunto.
5. RESPONSABILIDADES
5.1 Diretoria Executiva
Aprovar a Política de Segurança da Informação.
Aprovar as diretrizes específicas, orientar e acompanhar o estabelecimento e
a observância dos processos, controles, modelos, padrões e ferramentas
necessários à sua implementação e analisar as questões específicas
apresentadas pelos empregados da Empresa.
Promover de forma eficaz a divulgação e a capacitação sobre segurança de
informação na Empresa.
5.2 Gerência de Tecnologia da Informação
Definir com as demais áreas da Empresa os requisitos de segurança da
informação e os controles adequados para a proteção das informações e
Recursos de TI da Empresa.
Suportar a Auditoria Interna na avaliação periódica de sistemas e
equipamentos, com o intuito de verificar o cumprimento desta Política e
demais instrumentos regulamentares a ela relacionados.
Treinar os novos funcionários no processo de integração, a fim de divulgar a
cultura de segurança digital da ESBR
Manter atualizado inventário dos Softwares e Hardwares instalados nos
computadores da ESBR.
Controlar a instalação de Softwares e novos equipamentos.
Fornecer os Softwares Básicos para a execução das rotinas genéricas de
trabalho.
Controlar as Licenças de Uso de Softwares da empresa.
Fornecer avaliação técnica dos equipamentos.
Aprovar a compra e configuração de novos hardwares e softwares
Instalar e configurar novos hardwares.
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 6/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
6
Controlar a obsolescência de PC´s, e notebooks trocando-os quando for
necessario
Liberar o uso de softwares e hardwares.
5.3 Gestor Responsável pela Área ou Gerência
Os Gestores são responsáveis por orientar e capacitar constantemente suas
equipes quanto ao uso ético, seguro e legal dos Recursos de TIC e dos valores
adotados pela Empresa, instruindo-os, inclusive, a disseminar a cultura para os
demais empregados. Também, deverão suportar todas as consequências pelas
funções e atividades que delegarem a outros empregados.
Assegurar o cumprimento desta Norma e demais regulações por parte dos
empregados supervisionados.
Participar da investigação de incidentes de segurança relacionados às
informações, Recursos de TI e empregados sob sua responsabilidade.
Definir as necessidades de novos Softwares e Hardwares.
Prover recursos para aquisição de novos Softwares e Hardwares.
Somente utilizar softwares que possuam as devidas Licenças de Uso providas
por TI. Software sem licença caracteriza a “pirataria de software”.
Assegurar o uso de material de consumo ou de reposição originais indicados
pelo fabricante.
Assegurar que os equipamentos de terceiros/visitantes sejam verificados pela
Gerência de T.I. antes da conexão na rede ESBR.
5.4 Auditoria Interna
Suportar a segurança das informações e dos Recursos de TI orientando quanto
à adoção de controles necessários para tratar os riscos identificados durantes
os trabalhos da auditoria.
Analisar e revisar de forma independente o emprego dos controles de
segurança da informação praticados na Empresa.
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 7/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
7
Permitir o acesso aos relatórios de monitoramento somente aos empregados
autorizados e de forma segura,(arquivo protegido por senha). Ainda, deverá
orientar os empregados autorizados a manter a confidencialidade dos dados
e informações acessados.
5.5 Empregados em geral
É da responsabilidade de cada empregado zelar pelo segurança e
conservação, dos recursos fornecidos pela ESBR para o desenvolvimento de
seu trabalho. Quando ocorrer algum problema e ou defeito o funcionário deve
imediatamente solicitar o apoio da área de TI.
Cumprir e manter-se atualizados com relação a esta Política e as demais
Normas relacionadas, através do uso responsável, profissional, ético e legal
dos Recursos de TI corporativos, respeitando os direitos e as permissões de
uso concedidas pela ESBR.
Proteger as informações contra acesso, modificação, destruição ou divulgação
não autorizados pela ESBR.
Reportar imediata e formalmente qualquer caso comprovado, passível de
comprovação ou cuja suspeita seja fundamentada de descumprimento desta
Política, para o seu Gestor imediato ou para os pontos focais de Segurança da
Informação, sob pena de sua conduta ser considerada omissa, negligente ou
conivente.
É vedado o acesso externo aos sistemas corporativos, intranet e e-mail,
exceto aos cargos de confiança (Diretores, Gerentes e coordenadores). Os
demais cargos somente poderão ter o acesso externo mediante solicitação
formal do Gestor imediato, com aprovação de seu respectivo Diretor, em
conjunto com a Gerencia de Recursos Humanos irão analisar a necessidade e
a forma desta concessão.
6. PRINCIPIOS GERAIS
A ESBR envida seus melhores esforços, conforme o estado atual da técnica, para
que os ambientes dos sistemas e processos que suportam os Recursos de TI
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 8/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
8
corporativos sejam confiáveis, íntegros e disponíveis a quem deles necessite
para execução de suas atividades profissionais.
Todos os processos da Empresa devem estar mapeados e os Recursos de TI
corporativos devidamente inventariados, identificados conforme o Gestor
responsável e livres de vulnerabilidades e ameaças à segurança da informação,
sendo assim:
Toda necessidade de Software e Hardware deve ser comunicada previamente
ao departamento de T.I. para que seja verificado:
o Alternativas de softwares e hardwares;
o Disponibilidade em outros departamentos
o Adequação ao uso corporativo.
A compra de notebooks, telefone celular e modem está autorizada para cargos
de confiança, conforme a norma de gestão de “Recursos de comunicação e
Informática”.
Os softwares deverão ser adquiridos no mercado nacional, devido a lei de
proteção de software. A exceção será somente para os softwares que não
possuírem representantes no Brasil, neste caso, após a compra os softwares
deverão passar por um processo de nacionalização.
Com exceção dos Diretores e Gerentes, nenhum funcionário pode conectar
equipamentos pessoais a rede da ESBR. Ocorrendo a necessidade excepcional,
esta deverá ser solicitado formalmente pela gerencia imediata a gerencia de T.I.
6.1 Gestão da Tecnologia
6.1.1 - A ESBR deve definir e manter um processo de salvaguarda das
informações e dos Recursos de TI críticos para Empresa, a fim de atender aos
requisitos do negócio, operacionais e legais e assegurar a continuidade dos
negócios em caso de falhas ou incidentes.
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 9/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
9
6.1.2 - Cabe a Gerência de TI, realizar o periodicamente backup do conteúdo
disposto na Rede, em intervalos definidos e programados conforme norma de
backup.
Todas as modificações nos Recursos de TI da Empresa devem ser realizadas
de maneira controlada, conforme um processo de gestão de mudanças
definido para identificar os possíveis riscos e impactos para Empresa, além de
possibilitar a restauração do ambiente original em caso de incidentes não
previstos.
6.1.3 - Cabe a Gerência de TI, manter o inventário sempre atualizado, além
de registrar, no mínimo, a identificação do Recurso de TI, a sua descrição e o
Gestor responsável.
6.1.4 - O desenvolvimento interno e a aquisição de sistemas e produtos no
mercado devem atender aos requisitos de segurança para assegurar a
aplicação dos controles necessários em todas as etapas dos processos a fim
garantir a confidencialidade, integridade, legalidade, autenticidade e
disponibilidade das informações.
6.2 Uso de Recursos de Tecnologia da Informação
6.21 - Softwares e Hardwares: O empregado deve utilizar apenas softwares e
hardwares previamente homologados e autorizados pela Diretoria de TI da
ESBR, sejam eles onerosos, gratuitos, livres ou licenciados, respeitando os
direitos de propriedade intelectual e industrial da Empresa e de terceiros.
6.2.2 - Uso dos Recursos de TI: A utilização dos Recursos de TI da Empresa
deve considerar a adoção de medidas de proteção contra ameaças externas e
do meio ambiente.
6.2.3 - É de responsabilidade do Departamento de TI, o controle da
obsolescência, bem como a reposição dos recursos de TI quando estes forem
necessários. Os custos da reposição de obsoletos quando necessários serão
alocados na área onde o recurso estiver alocado.
6.2.5 - É proibido aos empregados da ESBR, visualizar, acessar, efetuar o
download (baixar arquivos) ou upload (transmitir arquivos), utilizar, instalar,
armazenar, divulgar ou repassar qualquer material, conteúdo, ou recurso ilícito,
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 10/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
10
impróprio, obsceno, pornográfico, difamatório, ofensivo, discriminatório, que
atente à moral e aos bons costumes, que viole a boa-fé ou que não seja
compatível com as diretrizes e interesses da Empresa.
6.2.6 - Todo o processo de manutenção, instalação, configuração, desinstalação,
substituição ou remanejamento dos Recursos de TI da Empresa deve ser
realizado exclusivamente pela Gerência de TI, a fim de garantir o correto
manuseio do recurso e da informação.
6.3 Controle de Acesso Logico e Identidade Digital
6.3.1 - Controle de Acesso Lógico: Para fins de acesso às informações e aos
Recursos de TI da ESBR, será fornecida uma identidade digital de uso individual
e intransferível ao empregado, conforme o modelo de identificação e
autenticação estabelecido pela Empresa, podendo abranger crachá, login, senha,
token, certificado digital, uso de biometria e outros recursos que venham a ser
implementados.
6.3.2 - Identidade Digital: O empregado é responsável pelo uso e pela segurança
de sua identidade digital, devendo ser tratada de forma confidencial, individual
e exclusiva, não compartilhando, divulgando ou transferindo a terceiros.
Qualquer incidente realizado através da sua Identidade Digital do empregado da
ESBR é de sua inteira responsabilidade, por isso o compartilhamento desta
identidade digital e sua senha são expressamente proibidos
6.3.3 - Concessão de Acesso: O acesso às informações e Recursos de TI da ESBR
está baseado no conceito de que o empregado só pode acessar as informações
ou fazer uso dos Recursos de TI corporativos necessários para o
desenvolvimento de suas atividades profissionais. Todo tipo de acesso à
informação que não for previamente autorizado deve ser considerado
expressamente proibido.
Todo empregado só pode acessar as informações ou fazer uso dos Recursos de
TI corporativos necessários para o desenvolvimento de suas atividades
profissionais de acordo com a função e cargo exercidos.
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 11/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
11
6.4 Dispositivos Móveis
6.4.1 - Segurança e Mobilidade: O empregado deverá utilizar dispositivo de
mobilidade, independente se corporativo ou particular, por meio de ambientes
seguros de conexão, especialmente quando estiver em deslocamento, além de
portar informações em dispositivos com aplicação de métodos adequados de
autenticação, controle de acesso, bloqueio por senha, podendo ainda fazer uso
de mecanismos de criptografia devidamente homologados e autorizados pela
ESBR.
6.4.2 - Mobilidade: Não implicará em sobrejornada, sobreaviso ou plantão do
empregado a mera possibilidade de acesso remoto ou recebimento de
informações relacionadas ao trabalho fora do horário do expediente, bem como
eventual porte ou uso dos dispositivos de mobilidade fornecidos pela ESBR ou
particular, quando utilizados para finalidades profissionais, pois estes
permanecem ativos ou disponíveis independentemente da vontade do
empregado ou comando da Empresa. Assim, as atividades desempenhadas fora
do expediente normal dependerão de comprovação expressa de requisição de
trabalho em registros adequados para serem remuneradas.
6.4.3 - Armazenamento de Informações: Os empregados devem manter todas
as informações da Empresa armazenadas na rede corporativa. Devem também
realizar periodicamente, a salvaguarda (backup) dos dados constantes em
dispositivos de mobilidade que estiverem em proveito corporativo. O backup
realizado deve ser mantido em local seguro e separado do dispositivo de
mobilidade, conforme orientações da Gerência de TI.
6.4.4 - Quando o empregado fizer uso autorizado de dispositivo de mobilidade
para fins de trabalho, terá o dever de efetuar backup imediato na rede da
Empresa ou no primeiro contato que puder ter com a mesma.
6.4.5 – Mais informações sobre as regras de dispositivos moveis são encontradas
na norma de “Gestão de Recursos de Telecomunicação e Informática”
6.5 Mídias Sociais
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 12/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
12
6.5.1 - Mídias Sociais: É vedada a participação corporativa do empregado em
Mídias Sociais, também é vedada a referências à empresa ou qualquer atividade,
comentário que exponha de qualquer maneira (positiva ou negativamente) a
ESBR, exceto pelo Departamento de Relações Institucionais.
6.5.2 - Cuidados com a Superexposição: A Empresa aconselha aos empregados
que utilizarem as Mídias Sociais para proveito pessoal que evitem expor rotinas
do seu cotidiano, em especial trajetos, horários, informações financeiras e
demais detalhes privados e íntimos sobre si, família e amigos próximos. Também
sugere que utilizem somente conteúdos autorizados e legítimos, com a devida
citação da fonte e autoria quando aproveitado de terceiros, para evitar punições
por crimes contra direitos autorais ou de imagem.
6.6 Monitoramento e Inspeção
6.6.1 - Monitoramento: Os empregados estão cientes de que a ESBR monitora
todo acesso e uso de seus ativos intangíveis, suas informações, marcas e
Recursos de TI, além de seus ambientes físicos e lógicos, com a captura de
imagens, áudio e vídeo, inclusive, com a finalidade de proteção de seu
patrimônio e reputação e daqueles que se relacionam, de alguma forma, com a
Empresa, realizando o armazenamento dos dados monitorados para fins
administrativos e legais, além de colaborar com as autoridades em caso de
investigação.
6.6.2 - Inspeção: A ESBR poderá auditar e realizar inspeções físicas e lógicas
nos dispositivos de mobilidade, equipamentos, sistemas ou recursos
corporativos ou particulares que interajam com seus ambientes lógicos ou físicos
de forma irrestrita e sempre que considerar necessário, além de poder
supervisionar e monitorar seus dados e informações, sobretudo nos Recursos de
TI de propriedade de terceiros quando for autorizada a entrada em suas
instalações, independentemente da interação com seus ambientes e
informações, pelos princípios de prevenção e proteção à sua infraestrutura e ao
objetivo do negócio.
6.7 Seleções e Contratações
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 13/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
13
6.7.1 - Terceirização ou Prestação de Serviços: Todos os relacionamentos e
contratações de prestadores de serviços e fornecedores em que haja o
compartilhamento de informações da ESBR ou a concessão de qualquer tipo de
acesso aos seus ambientes e Recursos de TI devem ser precedidos por Termos
de Confidencialidade e cláusulas contratuais que tratem especificamente da
Segurança da Informação, inclusive nos Contratos de Trabalho.
6.8 Capacitação e Publicidade
6.8.1 - Capacitação: A ESBR está comprometida com o dever de capacitar
constantemente seus empregados no uso ético, seguro e legal das novas
tecnologias e ferramentas de trabalho, além das informações e Recursos de TI
corporativos disponibilizados. Para cumprir com este objetivo, o RH deverá
realizar em conjunto com os pontos focais de Segurança da Informação
programas de educação continuada e capacitação em Segurança da Informação
com envolvimento dos empregados e gestores, para garantir o cumprimento da
presente Norma e aumentar o nível de cultura de segurança interna.
Os programas de capacitação devem contemplar treinamentos, campanhas e
divulgações sobre o uso ético, seguro e legal da Política e Normas de Segurança
da Informação.
6.8.2 - Divulgação: A Empresa é responsável pela divulgação desta Política e de
suas Normas complementares aos empregados. A Gerência de Recursos
Humanos é responsável por fornecer a Política de Segurança da Informação aos
empregados antes do início das atividades contratadas. Aos terceiros,
prestadores de serviços e fornecedores, a entrega da Política de Segurança da
Informação deve ser realizada pelo Gestor responsável pela contratação.
6.8.3 - Formalização do Recebimento: Todos os empregados devem assinar o
“Termo de Ciência e Responsabilidade” confirmando o recebimento da Política
de Segurança da Informação, antes do início das atividades contratadas.
6.9 Violações e Penalidades
6.9.1 - Violações e Penalidades: Quaisquer atitudes ou ações indevidas,
antiéticas, ilícitas, imorais, não autorizadas ou contrárias ao recomendado por
Norma Código
Utilização do Ambiente de T.I.
Revisão 00
Página 14/14
Data da Aprovação
22/03/2016
Responsável pela Norma
Gerencia
Aprovado por
Diretor
14
esta Norma ou pelas demais Normas de Segurança da Informação da Empresa
serão consideradas violações e estarão sujeitas às sanções cabíveis, a exemplo,
mas não se limitando a advertência verbal ou escrita, suspensão de uso do
Recurso de TIC corporativo ou particular em suas dependências ou em proveito
da Empresa, podendo resultar até em rescisão de contrato ou desligamento,
conforme a natureza e gravidade da conduta, sem prejuízo de eventual
instauração de procedimentos judiciais ou administrativos, além de ter de arcar
com os prejuízos causados.
6.9.2 - Tentativa de Burla: A tentativa de burla às diretrizes e controles
estabelecidos pela ESBR deve ser desestimulada e, quando constatada, será
tratada como violação às normas da Empresa, à moral, à ética, à boa-fé e aos
bons costumes.
7. ANEXOS
N/A