Política de Segurança da Informação - Exemplo
Abaixo segue um Exemplo de Política de Segurança da Informação
ITEM 1: AUTONOMIA DO DEPARTAMENTO DE TI
- O departamento de TI possui total autonomia para atuar sobre os equipamentos da empresa, sem prévio aviso, no que se refere aos seguintes tópicos:
- Realização de auditoria local ou remota;
- Definição de perfis de usuários cujos privilégios não permitam a realização de atividades tidas como prejudiciais ao hardware e software ou à rede como um todo;
- A instalação e configuração de softwares de monitoramento;
- A desinstalação de quaisquer softwares considerados prejudiciais à rede;
- O credenciamento e descredenciamento de usuários;
ITEM 2: DIRETRIZES QUANTO À UTILIZAÇÃO DA INTERNET
- A internet deve ser utilizada para fins corporativos, o enriquecimento intelectual de seus colaboradores ou como ferramenta para busca de informações que venham contribuir para o desenvolvimento de seus trabalhos.
- O uso para fins pessoais, mediante o consentimento do responsável pelo setor, fica restrito à consulta de movimento bancário e ao acesso ao e-mail pessoal, estando vedadas práticas abusivas tais como a circulação de correntes, material ponográfico entre outros.
ITEM 3: E-MAIL CORPORATIVO
- Desconfiar de todos os e-mails com assuntos estranhos ao ambiente de trabalho. Não reenviar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, criança desaparecida, entre outros.
- Evitar enviar anexos acima de 10 Mbytes.
ITEM 4: A REALIZAÇÃO DE DOWNLOAD
- A realização de downloads exige banda de navegação do servidor e , se realizado em demasia, congestiona o tráfego e torna a navegação para os demais usuários mais demorada.
- A realização de downloads deve ser vista com muito cuidado e feita somente em casos de extrema necessidade.Além disso, estará limitada a arquivos de no máximo 1 MB (Mega Byte), pois downloads de arquivos de tamanho superior podem congestionar o fluxo de tráfego e comprometer os sistemas que funcionam on-line.
ITEM 5: EXECUÇÃO DE JOGOS E RÁDIOS ON-LINE
- É terminantemente proibida a execução de jogos, músicas ou rádios on-line, visto que esta prática congestiona a banda de internet, dificultando a execução de serviços que necessitam deste recurso.
ITEM 6: SENHAS DE ACESSO
- Cada setor deverá, através de comunicado oficial, indicar novos colaboradores e o perfil que devem possuir na rede e nos sistemas da empresa.
- A senha de acesso é pessoal, intransferível, cabendo ao seu titular total responsabilidade quanto seu sigilo.
- O compartilhamento de senhas de acesso é absolutamente proibido e o titular que divulgar sua senha a outrem responderá pelas infrações por esse cometidas, estando passível de advertência. Caso o usuário desconfie que sua senha não seja mais segura, poderá solicitar ao departamento de TI a alteração desta.
- As senhas têm validade de 30 dias.
ITEM 7: SOFTWARES DE CONVERSAÇÃO INSTANTÂNEA
- É permanentemente proibido aos setores o uso de softwares de conversação instantânea, ou de qualquer mecanismo que venha promover serviço semelhante, existentes ou que venham a existir.
- Pode haver permissão especial a qualquer setor para utilização de Instant Messengers, desde que seja para fins corporativos e comprovadamente utilizados em assuntos comerciais e/ou para suporte.
ITEM 8: A INSTALAÇÃO DE SOFTWARES
- Qualquer software que, por necessidade do serviço, necessitar ser instalado, deverá ser comunicado ao departamento de TI, que procederá a instalação caso constate a necessidade do mesmo. Fica proibida a instalação de qualquer software sem licença de uso.
- O departamento de TI poderá utilizar de sua autonomia citada no Item 2 deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à lei do software (Lei 9.609/98).
ITEM 9: PENALIDADES
- O usuário que infringir qualquer uma das diretrizes de segurança expostas neste instrumento estará passível das seguintes penalidades (sem prévio aviso):
- Perda da senha de acesso aos sistemas e Internet;
- Cancelamento da caixa de e-mail;
- Advertência formal por intermédio do departamento de RH podendo levar inclusive a demissão do colaborador.
ITEM 10: EQUIPE DE SEGURANÇA DA INFORMAÇÃO
- Os servidores relacionados a seguir são diretamente responsáveis pela implantação presente política:
- Gestor de TI;
- Analista de Sistemas;
- Analista de Suporte.
ITEM 11: DIVULGAÇÃO E TREINAMENTO
- A política deve ser divulgada por intermédio de treinamento aos colaboradores, clientes e fornecedores, podendo ainda ser divulgada por e-mail, mural ou jornal interno.
ITEM 12: VIGÊNCIA E VALIDADE
- A presente política passa a vigorar a partir da data de sua homologação e publicação, sendo válida por tempo indeterminado podendo ser alterada conforme necessidades previamente detectadas.
Observação
Como disse este é um exemplo, cada empresa deve desenvolver e aplicar sua política de acordo com suas necessidades.
Abraços,
Ranieri Marinho de Souza
Segurança da Informação
Quanto a esse artigo, é de grande importancia tanto para pequenas e grandes empresas, quando para nós os funcionário, que muitas vezes utilizamos de alguns desses recursos que não devem ser usados para uso pessoal.
Obrigado por seu comentário
Excelente artigo. No entato, nós da segurança da informação sempre somos vistos como “os chatos corporativos” e infelizmente os usuários não entendem, mais é de suma importância uma campanha de conscientização. Parabéns pelo artigo Ranieri.
Olá Ranieri…
Teu artigo foi extremamente útil para um trabalho de faculdade, me ajudou muito!!! Obrigada!!! Adorei teu blog!!!
Beijo…