Políticas

política de segurança da informação

 

1 - OBJETIVO

Definir as expectativas da organização quanto ao uso dos seus Computadores e Rede, e de estabelecer procedimentos visando prevenir e responder a incidentes relativos à segurança e proteção da Informação.

2 - ÂMBITO

Este documento contém um conjunto de decisões que, coletivamente, determinam a postura da organização em relação à segurança e ao uso dos Recursos Computacionais. Mais precisamente, uma política que determina os limites aceitáveis de comportamento, e as medidas a serem tomadas no caso de violação ou uso desapropriado destes recursos.

3 - DEFINIÇÕES

  • Recursos Computacionais da empresa são os equipamentos, as instalações ou bancos de dados direta ou indiretamente administrados, mantidos ou operados por todos os setores da empresa, tais como:
    - computadores e terminais de qualquer espécie;
    - impressoras;
    - redes;
    - equipamentos afins;
    - banco de dados ou documentos residentes em disco, fita ou outros meios de armazenamento de informação;
    - salas de computadores.

  • Usuário é qualquer pessoa autorizada que utiliza, algum recurso computacional da Empresa, incluindo pessoas físicas ou jurídicas, que acessam os recursos via rede eletrônica ou em salas de computadores da empresa e aquelas que utilizam qualquer rede da Empresa para conectar uma máquina pessoal e qualquer outro sistema ou serviço.

  • Pirataria é a utilização de Programa sem licença de uso, as formas mais comuns são:
    - Instalação em casa de um programa comprado pela empresa. Instalação de uma única cópia de um programa em todos os computadores da empresa;
    - Instalação nos computadores da empresa de cópias de jogos e aplicativos particulares;
    - Instalação ou acesso de um programa mono-usuário em uma rede local;
    - Acesso a um programa em rede por mais usuários do que o número de licenças adquiridas.
    Fonte: http://www.abes.org.br

4 - ATIVIDADES

4.1 - Permissões e Uso dos Recursos Computacionais.

4.1.1 - Aos Usuários, como norma da empresa no processo de admissão serão obrigados a ler a Política de Segurança da Informação e de Uso dos Recursos Computacionais e assinar o Termo de Compromisso da empresa responsabilizando-se por possíveis danos causados à empresa, decorrentes da violação de uma ou mais normas. O Termo de Compromisso conterá a identificação para o acesso aos recursos computacionais e acesso à rede de computadores da empresa. O documento ficará em poder do RH, podendo o usuário solicitar uma cópia do mesmo para seu controle.

4.1.2 - O Gestor (Gerente / Diretor) de cada setor será responsável pela solicitação ao Departamento de Informática da inclusão/alteração/exclusão de permissão de uso dos Recursos Computacionais da Empresa nos casos de admissão, desligamento ou transferência de setor do Usuário. A solicitação deve ser feita através de abertura de chamado no Helpdesk (Solicitação de Acesso à Rede Local, contas de e-mail , Acesso Web, aplicativos em geral) na Intranet, no endereço http://sumiweb.sumidenso.com.br.

4.1.3 - Os Usuários receberão conta e senha para acesso à Rede, E-mail, Internet e/ou Oracle quando solicitado e autorizado pelo Responsável do Setor. Os mesmos são responsáveis pela segurança de suas contas e senhas. A conta e a respectiva senha são atribuídas a um único usuário e não devem ser compartilhadas com mais pessoas sem a autorização expressa do Responsável do setor ou do Departamento de Informática. Os Usuários devem relatar imediatamente qualquer suspeita de tentativa de violação de Segurança. As respectivas senhas terão validade de 90 dias a partir da data de criação ou alteração da mesma. Para as contas de Internet e de E-mail, os usuários irão receber em um período de 7 dias anterior a data de expiração da senha, um e-mail comunicando os passos a serem realizados para alteração da mesma. Os usuários também terão a opção de alterarem suas senhas (Internet e E-mail e demais aplicativos) no momento desejado, através da Intranet da Sumidenso, acessando o link de Alteração de Senha que está localizado no Menu Principal, ou no próprio aplicativo. Caso a senha não seja alterada até a data da expiração da mesma, o acesso a sua conta será bloqueado até o momento em que seja feita a alteração de sua senha e uma nova data de expiração será automaticamente definida. No caso, da alteração de senha do Oracle ela será possível somente quando a mesma expirar e no próximo acesso do usuário será obrigatório a sua alteração.

4.1.4 - O Departamento de Informática é o responsável pela definição, configuração e instalação do equipamento para uso dos funcionários da empresa.

4.2 - Responsabilidades do Usuário

Constituem responsabilidades dos Usuários relativamente à Segurança de Uso dos Recursos Computacionais.

4.2.1 - Acesso à Rede Local e Uso dos Recursos Computacionais da Empresa

1 - Os Usuários devem manter tanto nos Servidores quanto nas Estações de Trabalho somente arquivos de interesse da empresa;

2 - Os Usuários, a menos que tenham uma autorização específica para estefim, não podem tentar, permitir ou causar qualquer alteração ou destruição de ambientes operacionais, dados ou equipamentos de processamento ou comunicação instalados na empresa;

3 - Os Usuários não devem criar senhas para abertura de documentos(arquivos : Excel, Word , etc), em Protetores de Telas, em configurações das Estações de Trabalho ou em qualquer tipo de dispositivo ou software que permita uma configuração de senha sem a autorização do Responsável, o qual deverá ter o controle das mesmas;

4 - é estritamente proibido aos Usuários remover ou efetuar cópias de softwares homologadas ou documentos de propriedade da empresa para benefício próprio ou externo sem autorização específica;

5 - é estritamente proibido aos Usuários de instalar ou efetuar cópias de software não homologados dentro dos Recursos Computacionais da empresa;

6 - Os Usuários não podem se fazer passar por outra pessoa ou camuflar sua identidade quando utilizam os Recursos Computacionais da empresa;

6.a - Não é permitido tentativas de interferir nos serviços de qualquer outro usuário, servidor ou rede. Isso inclui ataques do tipo "Negação de Serviço", provocar congestionamento em redes, tentativas deliberadas de sobrecarregar e tentativas de "quebrar" (invadir) um servidor;

6.b - Não é permitido o uso de qualquer tipo de programa ou comando designado a interferir com sessão de usuários;

7 - Antes de ausentar-se do seu local de trabalho, o usuário deverá fechar todos os programas em execução na estação, evitando, desta maneira, o acesso por pessoas não autorizadas e efetuar o logout/logoff da rede;

8 - Material de natureza pornográfica e racista não pode ser exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede;

9 - Utilização de dispositivos de armazenamento - é estritamente proibido o uso de qualquer tipo de dispositivo de armazenamento (Ex.: Pendrive, Micro drive, Memory stick , disco rígido removível/externo , câmeras fotográficas , celulares, gravadores externos e/ou outros similares) sem a autorização da Gerência e ou Diretoria e dentro das regras estabelecidas ou em prática.
Qualquer dispositivo em uso sem a autorização encontrado dentro das dependências da Sumidenso será apreendido e devolvido após análise do conteúdo do dispositivo, podendo a Sumidenso alterar o conteúdo (excluir arquivos) quando houver suspeita de vírus ou suspeita de roubo de arquivos contendo informações restritas a Sumidenso.
Todos os computadores (exceto os notebooks) estarão com a configuração para o bloqueio de uso deste tipo de equipamento.
Permissão de utilização ao usuário: Os usuários que necessitem utilizar este tipo de dispositivo, deverão apresentar a justificativa através de chamado no Helpdesk com a autorização do Gerente responsável do departamento no próprio chamado o qual estará autorizando o usuário a utilizar o(s) dispositivo(s) dentro da Sumidenso solicitando também o desbloqueio do computador para a utilização do dispositivo. Os computadores desbloqueados para o uso dos dispositivos terão as senhas padrão para acesso a estação alterada, onde somente o usuário e o Gerente do Departamento terão conhecimento, não permitindo o uso do mesmo por pessoas não autorizadas.
O Usuário autorizado e o Gerente do Departamento serão os responsáveis pela estação de trabalho o qual estará liberado para a conexão do dispositivo de armazenamento. Os mesmos serão responsáveis por quaisquer danos causados nos recursos da empresa decorrentes da má utilização deste recurso na estação trabalho o qual é responsável.

4.2.2 - Acesso à Internet e Uso de e-mail

1 - é permitido o acesso à Internet dentro dos Recursos Computacionais da empresa via Servidor (Proxy) Sumidenso.
é estritamente proibido o uso de qualquer tipo/origem de equipamentos pessoais (modem ou equipamentos semelhantes) para conexão a Internet sem a devida autorização da Gerência e ou Diretoria.

2 - é estritamente proibido o acesso discado (com a utilização de modem) à um Provedor de Internet quando conectado à rede local da empresa, sem a devida autorização do Gerente gestor e avaliação de riscos pelo Departamento de Informática.

3 - Somente os usuários com autorização podem efetuar acesso discado (com a utilização de modem) aos provedores de internet contratadas pela Sumidenso fora das dependências da empresa.

4 - As informações contidas nas contas de e-mail do Usuário são de responsabilidade do mesmo, cabendo a ele a manutenção e, se necessário, criar proteções para a não violação das mesmas.

5 - é proibida a distribuição voluntária ou desapercebida de mensagens não desejadas, como correntes de cartas, material pornográfico ou outros que possam prejudicar o trabalho de terceiros e causar excessivo tráfego na rede ou sobrecarregar os sistemas computacionais.

6 - Qualquer mensagem, enviada ou recebida (externa ou internamente), deverá respeitar o limite de tamanho de 10000 KB. As mensagens com arquivos anexos, maior que o tamanho informado será bloqueado.

7 - Os Usuários com autorização a acessar páginas da Internet (www), deverão utilizá-la como fonte de pesquisa de assuntos do cotidiano do trabalho, sendo proibido o seu uso para outros fins.

8 - Os Usuários com autorização a acessar páginas da Internet após a utilização de qualquer software para navegar na Internet (Browser - ex.: Internet Explorer, etc.) devem fechá-lo para que não ocorra a utilização dos mesmos por outros Usuários que não tenham autorização.

9 - é proibido baixar arquivos de qualquer natureza (download) pela Internet. Quando necessário, deverá ser solicitado ao Departamento de Informática, o qual após a analise disponibilizará ao solicitante.

10 - Os Usuários não podem, sob quaisquer circunstâncias, usar computadores, redes e contas de e-mail da Sumidenso para difamar, caluniar ou molestar outras pessoas.

Entende-se por molestamento o uso intencional dos computadores ou redes para:

  1. Perturbar, amedrontar, ameaçar ou ofender pessoas usando linguagem ou qualquer outro mecanismo ou material para fazer ameaças que comprometam a integridade física ou moral do receptor ou de sua família;
  2. Contatar alguém várias vezes com a intenção de perturbá-la, enviando ou não mensagens, seja quando não existe uma proposta de comunicação ou quando o receptor expressa o desejo de finalizar a comunicação;
  3. Indisponibilizar recursos computacionais de forma intencional;
  4. Invadir a privacidade da Unidade, da Sumidenso ou de outros.

4.3 - Plano de Contingência

Para os casos de falha ou incompletude dos procedimentos previstos, bem como, no enfrentamento de situações inesperadas, o Departamento de Informática poderá, suspender a conta de correio ou todo o serviço comunicando o fato à Diretoria de RH, e somente liberá-la novamente após a autorização deste Departamento.

4.4 - Direitos e permissões de uso de Notebook

1 - O uso de Notebook é restrito à todos os funcionários com cargo equivalente ou superior à Gerencia. Os funcionários com o cargo de Chefia terão permissão de uso somente com a devida autorização da Diretoria/Gerencia.

2 - A manutenção e controle de Notebook é de responsabilidade do Departamento de Informática.

3 - O usuário é obrigado a devolver em perfeito estado de uso, quando necessário ou solicitado todo e qualquer material contido no Termo de Responsabilidade.

4 - é de total responsabilidade do usuário do Notebook qualquer dano causado decorrente do mau uso do equipamento e não relacionados ao trabalho.

O Termo de Responsabilidade é o documento que contém a lista de equipamento(s) e/ou componente(s) entregue ao usuário. O documento original ficará em poder do Departamento de Recursos Humanos e uma copia no Departamento de Informática, podendo o usuário solicitar uma cópia do mesmo para seu controle.

O Usuário suspeito de violação dessas normas será notificado da acusação. Se a critério do Departamento de Informática a violação merecer alguma penalidade, o caso será apurado mediante a instauração do processo administrativo ou disciplinar competente, acompanhado de representante do RH.

4.5 - Direitos e Responsabilidades da Empresa

1 - Ao Administrador de Sistemas da SUMIDENSO é reservado o direito de examinar as contas dos usuários (email), estações de trabalho, arquivos armazenados na Rede Local ou qualquer dispositivo de armazenamento de dados caso sejam apontados problemas pelos proprietários das mesmas, ou apurada alguma irregularidade no uso dos computadores pelo usuário. Reserva-se também, em casos de irregularidades averiguadas ou suspeitas de mau uso, o direito de examinar o conteúdo de uma conta ou informações armazenadas em qualquer tipo de dispositivo de armazenamento de dados em toda sua totalidade, sem notificação prévia por parte do administrador.

2 - à Empresa reserva-se o direito de monitorar todos os acessos à Internet e todos os dados em tráfego na Rede Local e entre Unidades. Caso sejam apontadas algumas irregularidades o Gestor e RH serão comunicados.

3 - Para garantir a adequada utilização dos Recursos Computacionais da empresa, o Departamento de Informática fica autorizado a comunicar à Diretoria de RH, toda e qualquer violação à legislação em vigor e as dispostas neste documento.

4 - Mediante comprovação, através da apuração técnica dos fatos, visando a integridade dos Recursos Computacionais da Empresa, o Departamento de Informática poderá suspender temporariamente qualquer conta, reduzir ou eliminar privilégios de acesso, e comunicar imediatamente o fato a Diretoria de RH, isso inclui conclusão de avaliação sobre atitudes suspeitas.

4.6 - Penalidades

1 - As penalidades sobre qualquer violação das normas serão elencadas pela Diretoria de RH da Empresa.

Sobre Pirataria:
Além da pena antipirataria que está sujeita a punições que variam de seis meses a dois anos de detenção, além do pagamento de indenização milionária aos produtores do software (Indenização de até 3.000 vezes o valor dos programas utilizados).

5 - RESPONSABILIDADES

  • O Departamento de Informática é responsável pela gestão dos Sistemas de Informação e dos Recursos Computacionais de Processamento e Transmissão de Dados da Empresa.
Política de Segurança da Informação e
de Uso dos Recursos Computacionais

Este documento é regido pela
norma administrativa NA-TI-002
última Revisão: 02/05/11

 
Sumitomo Wiring Systems
A Empresa | Códigos de Conduta | Nossas Políticas | Ouvidoria
             
Quem Somos   Códigos da SDB e SDA
Códigos do Grupo SWS
  Política da Qualidade
Política de Seg. do Trabalho
Política de Seg. da Informação
Política Ambiental
Missão Institucional
  Sugestão
Reclamação
Denúncia
Acompanhamento