SISTEMAS DE INFORMAÇÃO           ADRIANO RÉGIS       ERIVAN DE SENA RAMOS        FREDERICO CLAUDINO         JOSÉ RILDO LES...
ADRIANO RÉGIS       ERIVAN DE SENA RAMOS        FREDERICO CLAUDINO         JOSÉ RILDO LESSA        REGINALDO DAMÁSIOPOLITI...
RESUMOO presente trabalho aborda um estudo sobre política de segurança dainformação que é uma das principais medidas de se...
ABSTRACTThe present work approaches a study on Security Policies of the informationthat is one of the main measures of sec...
SUMÁRIO1 INTRODUÇÃO                                           11.1 Objetivo do Trabalho                               11.2...
1 INTRODUÇÃO          Atualmente a informação é considerada por muitas organizaçõescomo o ativo mais valioso, e isso impõe...
2 SEGURANÇA DA INFORMAÇÃO             A informação é um ativo importante para os negócios, que tem umvalor para a organiza...
Em 1978, foi lançado pelo Departamento de Defesa dos EstadosUnidos, o “The Orange Book”, conjunto de regras para avaliação...
2.2 Política de Segurança da Informação          A política de segurança de uma empresa é, provavelmente, odocumento mais ...
•   A Integridade: o sistema deve estar sempre íntegro e em              condições de ser usado.          •   A Autenticid...
3 VISÃO GERAL DO AMBIENTE           A COMEFO, estando ciente sobre a importância da existência deuma legítima segurança da...
3.2 Detalhamento dos Serviços Existentes           Os serviços e recursos existentes na COMEFO são osdescriminados abaixo,...
4 ANÁLISE E TRATAMENTO DO RISCOS4.1 Modelo e Classificação da Criticidade dos Riscos           O modelo e classificação da...
As ameaças estão classificadas de acordo com os seguintes critérios:                                                      ...
4.2 Levantamento e Classificação dos Riscos                                                           AtivoComputador que ...
Ativo                                         Serviço de Email                                    Acesso a e-mails        ...
Ativo                                    Servidor de Arquivos e Domínio                                          Acesso in...
Ativo                                    Sistema ERP com banco dados                                         Acesso indevi...
Ativo                                               Serviço de intranet                                         Acesso ind...
4.3 Abrangência           A abrangência da Política de Segurança da Informação é definidapela Comissão de Segurança da Inf...
5 DOCUMENTOS5.3 Políticas de Segurança          O modelo apresentado para as Políticas de Segurança da COMEFO,não tem obje...
5.3.1 Política de Acesso à Internet - AIN    O propósito dessa política é assegurar o uso apropriado da Internet na       ...
ou dos recursos da rede;•   Introduzir de qualquer forma um virus de computador dentro da    rede corporativa;•   É proibi...
•   Criar blogs e comunidades na Internet, ou qualquer ambiente               virtual semelhante, utilizando-se, sem autor...
5.3.2 Política Acesso à Rede e Sistemasc - ARS O propósito dessa política é assegurar o uso apropriado da Rede e Sistema  ...
•   Acessar, copiar ou armazenar programas de computador ou              qualquer outro material (músicas, fotos e vídeos)...
5.3.3 Política de Backup - BKPO propósito dessa política é assegurar a consistência dos dados da COMEFO.          O backup...
5.3.4 Política de Autenticação (Senhas) - AUSO propósito dessa política é assegurar a correta autenticação dos usuários no...
5.3.5 Política de Correio Eletrônico - COE O propósito dessa política é assegurar o bom uso do correio eletrônico na      ...
•   Envio de E-mail Lixo Não Solicitado ("UBE", "spam") O envio de             qualquer forma de E-mail Lixo Não Solicitad...
6 CONCLUSÃO          Este estudo procurou abranger a segurança da informação, tendoseu objetivo voltado para política de s...
BIBLIOGRAFIAABREU, Dimitri. Melhores práticas para classificar as informações. Disponívelem: www.modulo.com.br. Acessado e...
ANEXOSAnexo I – Declaração de ciência e concordância com a Política de Segurança        DECLARAÇÃO DE CIÊNCIA E CONCORDÂNC...
Anexo II – Termo de Confidencialidade da Informação      TERMO DE CONFIDENCIALIDADE DA INFORMAÇÃO            Declaro que, ...
j. O descumprimento das disposições deste Termo de Confidencialidade  caracteriza infração funcional, a ser apurada em pro...
Upcoming SlideShare
Loading in...5
×

Estudo de caso da implantação de uma política corporativa de segurança da informação

4,567

Published on

Estudo de caso da implantação de
uma política corporativa de
segurança da informação, baseado
na norma ABNT NBR ISO/IEC
17799:2005, apresentado ao curso
de Sistemas de Informações da
Faculdade Integrada do Ceará
como requisito parcial para
aprovação na disciplina de
Segurança da Informação, sob
orientação do Professor Esp.
Clayton Felipe Reymão Soares.

Published in: Technology
2 Comments
0 Likes
Statistics
Notes
  • O orientador não viu "WILKEPEDIA, A enciclopédia livre"? Cômico!
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • wilkepedia
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total Views
4,567
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
186
Comments
2
Likes
0
Embeds 0
No embeds

No notes for slide

Estudo de caso da implantação de uma política corporativa de segurança da informação

  1. 1. SISTEMAS DE INFORMAÇÃO ADRIANO RÉGIS ERIVAN DE SENA RAMOS FREDERICO CLAUDINO JOSÉ RILDO LESSA REGINALDO DAMÁSIOPOLITICA DE SEGURANÇA DA INFORMAÇÃO FORTALEZA 2009
  2. 2. ADRIANO RÉGIS ERIVAN DE SENA RAMOS FREDERICO CLAUDINO JOSÉ RILDO LESSA REGINALDO DAMÁSIOPOLITICA DE SEGURANÇA DA INFORMAÇÃO Estudo de caso da implantação de uma política corporativa de segurança da informação, baseado na norma ABNT NBR ISO/IEC 17799:2005, apresentado ao curso de Sistemas de Informações da Faculdade Integrada do Ceará como requisito parcial para aprovação na disciplina de Segurança da Informação, sob orientação do Professor Esp. Clayton Felipe Reymão Soares. FORTALEZA 2009
  3. 3. RESUMOO presente trabalho aborda um estudo sobre política de segurança dainformação que é uma das principais medidas de segurança adotadas pelasorganizações com o objetivo de garantir a segurança da informação.Atualmente existem algumas metodologias e melhores práticas em segurançada informação, dentre elas está a ABNT NBR ISO/IEC 17799:2005, esta normafoi usada durante este estudo e, por meio dela, será possível verificar o quedevemos seguir para a elaboração de uma política de segurança dainformação, as principais dificuldades para criação e implementação, osprincípios de segurança da informação, a necessidade de envolvimento de todaa organização, sendo que se pretende elaborar uma proposta modelo depolítica de segurança da informação. O objetivo deste trabalho é apresentaralgumas diretrizes básicas de uma Política de Segurança para uma empresa,utilizando como base os conceitos adquiridos pelo estudo na revisãobibliográfica.Palavras Chave: Informação; Segurança da Informação; Medidas deSegurança; Política de Segurança.
  4. 4. ABSTRACTThe present work approaches a study on Security Policies of the informationthat is one of the main measures of security of the information. Currently thereare some practical better methodologies and in security of the information ,amongst them are ABNT NBR ISO/IEC 17799:2005, this norm was used duringthis study and, for way of it, it will be possible to verify what we must follow forthe elaboration of one politics of security of the information, the main difficultiesfor creation and implementation, the principles of security of the information, thenecessity of envolvement of all the organization, being been that it is intendedto elaborate a proposal model of Security Policies of the information. Theobjective of this work is to present some basic lines of direction of one SecurityPolicies for a company, being used as base the concepts acquired for the studyin the bibliographical revision.Words Key: Information; Security of the Information; Measures of Security;SecurityPolicies.
  5. 5. SUMÁRIO1 INTRODUÇÃO 11.1 Objetivo do Trabalho 11.2 Referencia Normativa 12 SEGURANÇA DA INFORMAÇÃO 22.1 Breve Histórico e Necessidade da Segurança 22.2 Política de Segurança da Informação 43 VISÃO GERAL DO AMBIENTE 63.1 Desenho e Caracterização do Ambiente 63.2 Detalhamento dos Serviços Existentes 74 ANÁLISE E TRATAMENTO DO RISCOS 84.1 Modelo e Classificação da Criticidade dos Riscos 84.2 Levantamento e Classificação dos Riscos 104.3 Abrangência 155 DOCUMENTOS 165.3 Políticas de Segurança 165.3.1 Política de Acesso à Internet 175.3.2 Política Acesso à Rede e Sistemas 205.3.3 Política de Backup 225.3.4 Política de Autenticação (Senhas) 235.3.5 Política de Correio Eletrônico 246 CONCLUSÃO 26BIBLIOGRAFIA 27ANEXOS 28Anexo I – Declaração de ciência e concordância com a 28 Política de SegurançaAnexo II – Termo de Confidencialidade da Informação 29
  6. 6. 1 INTRODUÇÃO Atualmente a informação é considerada por muitas organizaçõescomo o ativo mais valioso, e isso impõem que seja realizada uma proteçãoadequada. De forma crescente, as organizações, seus sistemas deinformações e suas redes de computadores apresentam-se diante de umasérie de ameaças, sendo que, algumas vezes, estas ameaças podem resultarem prejuízos para as empresas. A segurança da informação visa proteger a empresa de um grandenúmero de ameaças para assegurar a continuidade do negócio. Estasegurança é obtida a partir da implementação de uma série de controles, quepodem ser políticas, práticas e procedimentos, os quais precisam serestabelecidos para garantir que os objetivos de segurança específicos daorganização sejam atendidos. Para a COMEFO – Cooperativa dos Médicos deFortaleza, empresa que atua há 10(dez) anos no mercado no seguimento deplano de saúde, localizada na na cidade de Fortaleza-CE é imprescindível aadoção de medidas e procedimentos que contemplem a garantia da segurançainformação.1.1 Objetivo do Trabalho O presente trabalho tem como objetivo fazer um estudo sobresegurança da informação, bem como o desenvolvimento de uma propostamodelo de política de segurança, desenvolvida para a COMEFO, com medidasdefinidas para garantir um nível de segurança coerente de acordo com onegócio da referida empresa.1.2 Referencia Normativa A política de segurança da informação a ser implementada naCOMEFO – Cooperativa dos Médicos de Fortaleza é fundamentada na normabrasileira ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação —Técnicas de segurança — Código de prática para a gestão da segurança dainformação, segunda edição de 31.08.2005. 1
  7. 7. 2 SEGURANÇA DA INFORMAÇÃO A informação é um ativo importante para os negócios, que tem umvalor para a organização e conseqüentemente necessita ser adequadamenteprotegido. “A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”(ABNT NBR ISO/IEC 17799:2005) A segurança é a direção em que se pretende chegar, é umprocesso, que se pode aplicar visando melhorar a segurança dos sistemas.2.1 Breve Histórico e Necessidade da Segurança Embora a segurança da informação seja algo que sempre existiu nahistória da humanidade, somente na sociedade moderna, com o advento dosurgimento dos primeiros computadores houve uma maior atenção para aquestão da segurança das informações, e com o surgimento das máquinas detempo compartilhado (computadores "time-sharing"), a preocupação deproteger as informações, se tornou mais evidente. Nas décadas de 70 e 80 o enfoque principal da segurança era osigilo dos dados. Em 1972 J. P. Anderson escreve: "Computer SecurityTechnologs Planning Study", relatório que descreve “todos” os problemasenvolvidos no processo da segurança de computadores. Este documento,combinado com os materias produzidos por D.E. Bell e por L. J. La Padula, edenominados "Secure Computer Systens: Mathematical Fundations","Mathemathical Model", e "Refinament of Mathematical Model", deram origem amatéria “Doctrine”, que seria a base de vários trabalhos posteriores na área desegurança. 2
  8. 8. Em 1978, foi lançado pelo Departamento de Defesa dos EstadosUnidos, o “The Orange Book”, conjunto de regras para avaliação de segurança. Entre 80 e 90, com o surgimento das redes de computadores, aproteção era feita não pensando nos dados, mas sim nas informações. OGoverno Britânico instituiu o Comercial Computer Security Centre, que publicaa BS-799, norma que apresentava soluções para o tratamento da informaçãode forma mais vasta. A partir da década de 90, com o crescimento comercial das redesbaseadas em Internet Protocol (IP) o enfoque muda para a disponibilidade. Ainformática torna-se essencial para a organização, o conhecimento precisa serprotegido. Em 2000, é homologada a Norma Internacional de Segurança daInformação ISSO/IEC 17799. Em abril de 2001, é homologada pela BNT anorma NBR ISSO/IEC 17799:2000, que deu origem a edição atualizada NBRISSO/IEC 17799:2005, elaborada pelo Comitê Brasileiro de Computadores eProcessamento de Dados e pela Comissão de Estudo de Segurança Física emInstalações de Informática. Hoje em dia, a segurança da informação e os negócios estãoestritamente ligados. “Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”(ABNT NBR ISO/IEC 17799:2005) O profissional de segurança da informação precisa ouvir as pessoas,de modo a entender e saber como aplicar as tecnologias para a organização,sua estratégia de negócio, suas necessidades e sua estratégia de segurança. 3
  9. 9. 2.2 Política de Segurança da Informação A política de segurança de uma empresa é, provavelmente, odocumento mais importante em um sistema de gerenciamento de segurança dainformação. Seu objetivo é normatizar as práticas e procedimentos desegurança da empresa. “Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.” (ABNT NBR ISO/IEC 17799:2005) Isso significa que deve ser simples, objetiva, de fácil compreensão eaplicação. Os controles de segurança, de um modo geral, e a política, emparticular, devem ser definidos para garantir um nível de segurança coerentecom o negócio da empresa. “Em um país, temos a legislação que deve ser seguida para que tenhamos um padrão de conduta considerado adequado às necessidades da nação para garantia de seu progresso e harmonia. Não havia como ser diferente em uma empresa. Nesta precisamos definir padrões de conduta para garantir o sucesso do negócio.” (ABREU, 2002) Política de segurança pode ser comparada com a legislação quetodos devemos seguir, de modo que o cumprimento da legislação nos garanteque o padrão de conduta esta sendo seguida, a política de segurança tambémdeve ser seguida por todos os funcionários de uma organização, garantindoassim a proteção das informações e o sucesso do negócio. Segundo a Wilkipédia(2009), a política de segurança deveconsiderar os seguintes elementos: • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente. • A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos. 4
  10. 10. • A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado. • A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema. • A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado. A política de segurança deve fornecer um enquadramento para aimplementação de mecanismos de segurança, definindo procedimentos desegurança adequados, processos de auditoria à segurança e estabelecer umabase para procedimentos legais na sequência de ataques. 5
  11. 11. 3 VISÃO GERAL DO AMBIENTE A COMEFO, estando ciente sobre a importância da existência deuma legítima segurança das informações para que todos os usuários dosrecursos de informática tenham conhecimento de suas responsabilidades, epara auxiliar na manutenção da integridade dos dados da empresa, almejandoadotar uma política de segurança. O modelo aqui proposto visa atender a essanecessidade, tendo como análise o atual panorama apresentado pela empresano que se diz respeito a segurança da informação.3.1 Desenho e Caracterização do Ambiente A COMEFO – Cooperativa dos Médicos de Fortaleza, se encontralocalizada na Avenida Desembargador Gomes Moreira, nº. 2896, Aldeota,Fortaleza-CE, atuando no seguimento de plano de saúde. Atualmente concentra o total de 50 (cinquenta) funcionários fixos nasede da empresa, sendo a locação destes, distribuídas da seguinte forma: • Setor Administrativo e Financeiro: 20 funcionários; • Setor de Atendimento ao Usuário: 20 funcionários; • Setor Recursos Humanos: 05 funcionários; e • Núcleo de Tecnologia da Informação: 05 funcionários. A estrutura tecnológica da COMEFO é composta de 04 (quatro)servidores, 01 (um) roteador, 03 (três) switches; tendo ainda distribuídos entreos setores acima descritos: 46 (quarenta e seis) computadores, 05 (cinco)impressoras e 02 (duas) fotocopiadoras, além de 01 (uma) central telefônicacom PABX, e 01 (um) sistema ERP, que integra os setores integrantes daempresa. 6
  12. 12. 3.2 Detalhamento dos Serviços Existentes Os serviços e recursos existentes na COMEFO são osdescriminados abaixo, com o respectivo estado atual apresentado em cadaserviço. • Acesso a Internet: Atualmente a empresa possui acesso a internet através de linkdedicado 2Mb da Embratel; e não dispõe de nenhuma política de segurançapara acesso à internet, permitindo acesso irrestrito à web, também nãohavendo regras para downloads e uploads. • Correio Eletrônico: Quanto ao uso do correio eletrônico, não existe nenhum controlepara envio e/ou recebimento de e-mails corporativos e pessoais; a empresanão utiliza serviços de antivirus/antispam, para os emails; além do servidor deemail não contar com ma política eficaz contra spam. • ERP com Banco de Dados: O sistema ERP existente na empresa, e seu respectivo Banco deDados apresentam senhas de usuário únicas por setor; além de não haver logpara auditoria; não havendo rotinas de backup pré-definidas. • Servidor de Arquivos: Para o servidor de arquivos não existe uma política de acesso, todostêm acesso a todos os arquivos do servidor; a sala dos servidores não temacesso restrito; não havendo também uma política de backup para os arquivos;e o anti-vírus é ineficiente pois não é atualizado automaticamente. • Serviço de Intranet: O serviço de intranet não dispõe de login, tendo todos o acesso àaplicativos de todos os setores; a aplicação não utiliza normas de segurançapara um Sistema Web; tendo ainda o processo de testes da equipe dedesenvolvimento no mesmo banco de produção. 7
  13. 13. 4 ANÁLISE E TRATAMENTO DO RISCOS4.1 Modelo e Classificação da Criticidade dos Riscos O modelo e classificação da criticidade dos riscos, apresentadosneste trabalho tem como finalidade identificar os riscos e apontar soluçõesapropriadas para a correção das vulnerabilidades e ameaças apresentadaspelos serviços expostos. O modelo segue os preceitos da ABNT NBR ISO/IEC17799:2005, onde se aplica os seguintes termos e definições: Ativo: qualquer coisa que tenha valor para a organização. Evento: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. Risco: combinação da probabilidade de um evento e de suas conseqüências. Riscos Projetados: Riscos que poderão acontecer depois das políticas aplicadas. Os riscos estão classificados de acordo com os seguintes critérios: 8
  14. 14. As ameaças estão classificadas de acordo com os seguintes critérios: 9
  15. 15. 4.2 Levantamento e Classificação dos Riscos AtivoComputador que faz o roteamento da Computador que faz o roteamento da internet internet para a rede interna para a rede interna Agente/Evento Infecção por vírus Defeito no Invasão por Hackers equipamento Quebra de Classificação da Interrupção do Interrupção do sigilo/Remoção ou ameaça serviço serviço perda de dados Probabilidade de Alta Médio Médio Avaliação da ocorrência ameaça Paralisação do Dados confidenciais Conseqüência da serviço de Paralisação do da empresa são ocorrência internet. Perda do serviço de internet expostos equipamento Impacto Excepcionalment Sério Sério e grave Taxa de exposição 8 4 5 Política de Acesso à Internet - AIN e Acesso à Acesso à Internet - Autenticação segurança a ser Rede e Sistemas AIN (Senhas) - AUS; aplicada - ARS Computador que faz o roteamento da internet Ativo para a rede interna Anti-vírus sem Contramedidas Não existe Não existe atualização existentes contramedida contramedida automática Dados da empresa Avaliação dos expostos para Negocio da empresa Riscos Infecção da rede terceiros / Vulnerabilidades por vírus parado durante o Indisponibilidade evento dos serviços de internet Riscos Alto Médio Alto Política de Acesso à Internet Acesso à Rede e - AIN e Acesso à Acesso à Rede e Sistemas - ARS e segurança a ser Rede e Sistemas Sistemas - ARS Acesso à Internet - aplicada - ARS AIN Disponibilizar uma Troca do Sistema Implantar um máquina para backup Contramedidas Operacional para sistema de Firewall / Fazer manutenção propostas Linux e instalação e detecção de preventiva no de um anti-vírus invasão equipamentoRecomendações Riscos Projetados Baixo Baixo Baixo Satisfatória na Avaliação de Completamente Satisfatória na maioria dos contramedidas Satisfatória maioria dos aspectos aspectos Política de Nenhuma Política Nenhuma Política Nenhuma Política segurança a ser Aplicada - NPA Aplicada - NPA Aplicada - NPA aplicada 10
  16. 16. Ativo Serviço de Email Acesso a e-mails Recebimento de Exceder espaço do Agente/Evento pessoais pela Spam e vírus pelo servidor de e-mails ferramenta Outlook email Interrupção do serviço Quebra de sigilo: Classificação / Ameaça a Interrupção do ameaça os dados da da ameaça integridade da serviço ao usuário empresa informação Avaliação da Probabilidade Alta Médio Alta ameaça de ocorrência Problema no Problema no computador do Usuário não tem Conseqüência computador do usuário usuário / Roubo de acesso ao serviço de da ocorrência / Roubo de informação informação / Distribuir email vírus pela rede Impacto Sério Sério Sério Taxa de 6 4 4 exposição Política de Correio Eletrônico - Correio Eletrônico - Acesso à Rede e segurança a COE, Autenticação COE, Autenticação Sistemas - ARS ser aplicada (Senhas) - AUS (Senhas) - AUS Ativo Serviço de Email Anti vírus sem Contramedidas Não existe Não existe atualização existentes contramedida contramedida automáticaAvaliação dos Negocio da empresa Informações Riscos Vulnerabilidade Roubo de informação parado durante o prioritárias não são s evento recebidas Riscos Alto Médio Alto Política de Autenticação (Senhas) - AUS e Acesso à Acesso à Rede e Acesso à Rede e segurança a Rede e Sistemas - Sistemas - ARS Sistemas – ARS ser aplicada ARS Implantar um sistema de cota por conta de Bloqueio para uso da Instalar outra Contramedidas email, informando ao ferramenta Outlook ferramenta de anti propostas usuário a para email pessoal vírus e anti spam. porcentagem utilizada da caixaRecomendaçõe Riscos s Baixo Baixo Baixo Projetados Avaliação de Completamente Satisfatória na Completamente contramedidas Satisfatória maioria dos aspectos satisfatória Política de Nenhuma Política Nenhuma Política Nenhuma Política segurança a Aplicada - NPA Aplicada - NPA Aplicada – NPA ser aplicada 11
  17. 17. Ativo Servidor de Arquivos e Domínio Acesso indevido aos Falta de energia Agente/Evento arquivos Infecção por vírus elétrica Classificação da Ameaça a integridade da Interrupção do serviço / Interrupção do serviço informação / acesso Modificação de ao usuário / Corromper ameaça indevido arquivos Sistema Operacional Avaliação da Probabilidade ameaça Média Alta Alta de ocorrência Conseqüência Serviço e dados Serviço indisponível / Roubo de informação da ocorrência indisponíveis Perda de dados Excepcionalmente Excepcionalmente Impacto Sério grave grave Taxa de 6 9 8 exposição Política de Acesso à Rede e Acesso à Rede e Sistemas - ARS e Nenhuma Política segurança a ser Sistemas - ARS Acesso à Internet - Aplicada – NPA aplicada AIN Ativo Servidor de Arquivos e Domínio Todos acessam o Anti vírus sem Contramedidas Não existe mesmo atualização automática existentes contramedida compartilhamento e sem anti spamAvaliação dos Riscos Negocio da empresa Acesso indevido a Perda de arquivos / Vulnerabilidades informação Sem acesso aos dados fica parado durante o evento Riscos Alto Alto Alto Política de Acesso à Rede e Acesso à Rede e Acesso à Rede e segurança a ser Sistemas - ARS Sistemas - ARS Sistemas - ARS aplicada Instalar sistema de anti Instalar um no-break Contramedidas Criar acompanhamento vírus e anti spam atual com autonomia de 2 propostas por setor que atualize horas no caso falta de automaticamente energia Riscos Baixo Baixo BaixoRecomendações Projetados Avaliação de Satisfatória na maioria Satisfatória na maioria Completamente contramedidas dos aspectos dos aspectos satisfatória Política de Nenhuma Política Nenhuma Política Nenhuma Política segurança a ser Aplicada - NPA Aplicada - NPA Aplicada – NPA aplicada 12
  18. 18. Ativo Sistema ERP com banco dados Acesso indevido ao Perda de dados por falha Acesso físico ao Agente/Evento Sistema na aplicação servidor Ameaça a integridade da Interrupção do serviço / Classificação da Interrupção do serviço informação / acesso Ameaça a integridade da ameaça ao usuário indevido informação Avaliação da ameaça Probabilidade Média Médio Alta de ocorrência Conseqüência Inconsistência nos dados Roubo de informação Serviço indisponível da ocorrência disponíveis. Excepcionalmente Impacto Sério Sério grave Taxa de 6 5 8 exposição Ativo Sistema ERP com banco dados Contramedidas Não existe Senha única por setor Não existe contramedida existentes contramedidaAvaliação dos Riscos Negocio da empresa A empresa trabalha com Vulnerabilidades Roubo de informação dados inconsistentes fica parado durante o evento Riscos Alto Médio Alto Política de Autenticação (Senhas) - Acesso à Rede e Acesso à Rede e segurança a ser AUS e Acesso à Rede e Sistemas - ARS Sistemas - ARS aplicada Sistemas - ARS Analisar o código com a Instalar uma porta com empresa de Contramedidas Criar política de senha por acesso restrito, desenvolvimento, para propostas usuário somente a pessoas seguir padrões de autorizadas segurançaRecomendações Riscos Baixo Baixo Baixo Projetados Avaliação de Satisfatória na maioria dos Satisfatória na maioria Completamente contramedidas aspectos dos aspectos satisfatória 13
  19. 19. Ativo Serviço de intranet Acesso indevido ao Aplicação com falhas de Agente/Evento aplicativo segurança Acesso físico ao servidor Ameaça a integridade da Classificação da Interrupção do serviço / Interrupção do serviço informação / acesso ameaça Modificação dos dados ao usuário indevido Probabilidade Avaliação da Média Baixo Alta de ocorrência ameaça Exposição e alteração dos Conseqüência Serviço e dados dados por pessoas Serviço indisponível da ocorrência indisponíveis indevidas Excepcionalmente Impacto Sério Sério grave Taxa de 5 6 8 exposição Ativo Serviço de intranet Contramedidas Senha única para acesso Não existe Não existe contramedida existentes a aplicação contramedidaAvaliação dos Negocio da empresa Riscos Acesso indevido a Vulnerabilidades informação Perda de dados fica parado durante o evento Riscos Alto Alto Alto Política de Autenticação (Senhas) - Acesso à Rede e segurança a ser AUS e Acesso à Rede e Sistemas - ARS Acesso à Internet - AIN aplicada Sistemas - ARS Analisar a aplicação e Instalar uma porta com Contramedidas Criar política de senha por alterar onde for acesso restrito, propostas usuário necessário seguindo somente a pessoas padrões de segurança autorizadasRecomendações Riscos Baixo Baixo Baixo Projetados Avaliação de Satisfatória na maioria dos Satisfatória na maioria Completamente contramedidas aspectos dos aspectos satisfatória 14
  20. 20. 4.3 Abrangência A abrangência da Política de Segurança da Informação é definidapela Comissão de Segurança da Informática, divisão instituída pela COMEFO,no tocante das responsabilidades e aplicações das normas estabelecidas No escopo definido pela Comissão de Segurança da Informática, osquesitos da Política de Segurança devem ser aplicados de maneiramandatória. Fora desse escopo, eles devem servir de recomendações,podendo ser aplicados pelos departamentos ou outros setores integrantes daempresa. A COMEFO institui que a presente Política de Segurança temabrangência somente no que se refere aos riscos classificados como ‘Médio’ e‘Alto’, tendo a Comissão de Segurança da Informação da empresa, aresponsabilidade da aplicação das contramedidas recomendadas, para acompleta resolução do problema. Aos riscos definidos como ‘Baixo’, a COMEFO, com a justificativa deque há irrelevância nos danos que venha a incidir contra a empresa, justapõe anão realização de qualquer medida preventiva a ser aplicada por essa Políticade Segurança, e se responsabiliza por qualquer agravo ocorrido devido osreferidos riscos. 15
  21. 21. 5 DOCUMENTOS5.3 Políticas de Segurança O modelo apresentado para as Políticas de Segurança da COMEFO,não tem objetivo de impor restrições contrárias à cultura de abertura econfiança da empresa, mas proteger a mesma, funcionários e parceiros, deações ilegais ou danosas praticadas por qualquer indivíduo, de forma propositalou inadvertidamente. Sistemas relacionados à Internet/Intranet/Extranet - incluídos, masnão limitados, os equipamentos de computação, software, sistemasoperacionais, dispositivos de armazenamento, contas de rede que permitemacesso ao correio eletrônico, consultas WWW e FTP a partir de IP’s (endereçosde protocolo da internet) e o sistema de telefonia - são propriedades daCOMEFO, devendo ser utilizados com o exclusivo propósito de servir aosinteresses da empresa e de seus clientes, no desempenho de suas atividadesempresariais. A segurança efetiva é um trabalho de equipe envolvendo aparticipação e colaboração de todos os funcionários e cooperados da empresaque manipulam informações e/ou sistemas de informações. É deresponsabilidade de cada usuário de computador conhecer esta política econduzir suas atividades de acordo com a mesma. As Políticas de Segurança da Informação da COMEFO sedistinguem nos seguintes parâmetros: • Acesso à Internet - AIN; • Acesso à Rede e Sistemas - ARS; • Backup - BKP; • Autenticação (Senhas) - AUS; • Correio Eletrônico - COE; e • Nenhuma Regra Aplicada - NRA 16
  22. 22. 5.3.1 Política de Acesso à Internet - AIN O propósito dessa política é assegurar o uso apropriado da Internet na COMEFO O uso da Internet pelos empregados da COMEFO é permitido eencorajado desde que seu uso seja aderente aos objetivos e atividades fins donegócio da COMEFO. Entretanto, a COMEFO tem uma política para o uso da Internetdesde que os funcionários/cooperados assegurem que cada um deles: • Siga a legislação corrente (sobre pirataria, pedofilia, ações discriminatórias) • Use a Internet de uma forma aceitável • Não crie riscos desnecessários para o negócio para a COMEFO • Se você tem alguma dúvida ou comentários sobre essa Política de Uso da Internet, por favor entre em contato com seu supervisor. Concorrentemente ao descrito acima, será considerado totalmente inaceitável tanto no uso quanto no comportamento dos empregados: • Visitar sites da Internet que contenha material obsceno e/ou pornográfico; • Usar o computador para executar quaisquer tipos ou formas de fraudes, ou software/musica pirata; • Usar a Internet para enviar material ofensivo ou de assédio para outros usuários; • Baixar (download) de software comercial ou qualquer outro material cujo direito pertença a terceiros (copyright), sem ter um contrato de licenciamento ou outros tipos de licença; • Atacar e/ou pesquisar em areas não autorizadas (Hacking); • Criar ou transmitir material difamatório; • Executar atividades que disperdice os esforços do pessoal técnico 17
  23. 23. ou dos recursos da rede;• Introduzir de qualquer forma um virus de computador dentro da rede corporativa;• É proibido utilizar os recursos da COMEFO para fazer downloads (mp3, vídeos,programas diversos)• distribuição de softwares ou dados não legalizados, bem como a distribuição destes;• É proibida a divulgação de informações confidenciais da COMEFO em grupos de• Discussão, listas ou bate-papo, não importando se a divulgação foi deliberada ou inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da lei;• Poderá ser utilizada a Internet para atividades não relacionadas a atividades profissionais fora do expediente, desde que dentro das regras de uso definidas nesta política;• Os funcionários com acesso à Internet podem baixar somente programas ligados diretamente às atividades da empresa e devem solicitar ao setor de TI o que for necessário para instalar e regularizar a licença e o registro desses programas;• Funcionários com acesso à Internet não podem efetuar upload de quaisquer dados e/ou softwares de propriedade e licenciados à COMEFO, sem expressa autorização da Administração;• Caso a COMEFO julgue necessário haverá bloqueios de acesso a arquivos, domínios e serviços de Internet que comprometam o uso de banda, a segurança do servidor de internet ou o bom andamento dos trabalhos;• Haverá geração de relatórios para análise de segurança dos sites acessados pelos usuários;• Acessar e-mail pessoal;• É proibida a utilização de softwares de peer-to-peer (P2P), tais como Kazaa, Morpheus, E-Mule e afins; 18
  24. 24. • Criar blogs e comunidades na Internet, ou qualquer ambiente virtual semelhante, utilizando-se, sem autorização expressa, da logomarca da Empresa; • É proibida a utilização de serviços de streaming, tais como rádios on-line e afins, a não ser que o acesso seja inerente a trabalhos, pesquisas, negócios da COMEFO. A COMEFO reafirma que o uso da Internet é uma ferramenta valiosapara seus negócios. Entretanto, o mau uso dessa facilidade pode ter impactonegativo sobre a produtividade dos funcionários e a própria reputação donegócio. Em adição, todos os recursos tecnológicos da COMEFO existempara o propósito exclusivo de seu negócio. Portanto, a empresa se dá ao direitode monitorar o volume de tráfico na Internet e na Rede, juntamente com osendereços web (http://) visitados. A falha em não seguir a política irá resultar em sanções que variarãodesde procedimentos disciplinares, com avisos verbais ou escritos, até ademissão, não obstante as sanções cíveis e criminais decorrentes da nãoobservância das mesmas. 19
  25. 25. 5.3.2 Política Acesso à Rede e Sistemasc - ARS O propósito dessa política é assegurar o uso apropriado da Rede e Sistema Os usuários da rede corporativa têm as seguintes obrigações: • Responder pelo uso exclusivo de sua conta pessoal de acesso à rede corporativa; • Identificar, classificar e enquadrar as informações da rede corporativa relacionadas às atividades por si desempenhadas; • Zelar por toda e qualquer informação armazenada na rede corporativa contra alteração, destruição, divulgação, cópia e acessos não autorizados; • Guardar sigilo das informações confidenciais, mantendo-as em caráter restrito; • Manter, em caráter confidencial e intransferível, a senha de acesso aos recursos computacionais e de informação da organização, informando-a formalmente ao Administrador da Rede; • Informar imediatamente à Gerência sobre quaisquer falhas ou desvios das regras estabelecidas neste documento, bem como sobre a ocorrência de qualquer violação às mesmas, praticada em atividades relacionadas ao trabalho, dentro ou fora das dependências da Empresa; • Responder cível e criminalmente pelos danos causados em decorrência da não observância das regras de proteção da informação e dos recursos computacionais da rede corporativa; • Fazer uso dos recursos computacionais para trabalhos de interesse exclusivo da organização; • Fazer a emissão de pedidos de compra de recursos computacionais e a confirmação do recebimento das compras à administração, via e-mail, com cópia ao gestor. É estritamente proibido e inaceitável: 20
  26. 26. • Acessar, copiar ou armazenar programas de computador ou qualquer outro material (músicas, fotos e vídeos) que violem a lei de direitos autorais (copyright), bem como aqueles de conteúdo ilegal, pornográfico, discriminatório, homofóbico, racista ou que faça apologia ao crime; • Utilizar os recursos computacionais ou quaisquer outros de propriedade da Empresa, colocados à disposição do colaborador em razão do exercício de sua função, para constranger, assediar, prejudicar ou ameaçar a mesma ou terceiros, sejam eles indivíduos ou organizações; • Alterar os sistemas padrões, sem autorização; • Divulgar quaisquer informações confidenciais para concorrentes e/ou qualquer pessoa não ligada às atividades da Empresa; • Efetuar qualquer tipo de acesso ou alteração não autorizada a dados dos recursos computacionais pertencentes à Empresa; • Violar os sistemas de segurança dos recursos computacionais, no que tange à identificação de usuários, senhas de acesso, fechaduras automáticas, sistemas de alarme e demais mecanismos de segurança e restrição de acesso; • Utilizar acesso discado através de modem, ou qualquer outra forma de conexão não autorizada, quando conectado às redes instaladas nas dependências da Empresa; • Acessar e-mail pessoal; • Utilizar quaisquer recursos ou equipamentos da Empresa para fins diversos daqueles necessários ao desempenho da função contratada; A falha em não seguir a política irá resultar em sanções que variarãodesde procedimentos disciplinares, com avisos verbais ou escritos, até ademissão, não obstante as sanções cíveis e criminais decorrentes da nãoobservância das mesmas. 21
  27. 27. 5.3.3 Política de Backup - BKPO propósito dessa política é assegurar a consistência dos dados da COMEFO. O backup é feito exclusivamente da área de rede do usuário (driveH:). Dados em estações de trabalho ou perfil do usuário podem ser apagados aqualquer momento e são perdidos em caso de reinstalação da estação. Casonão queira utilizar sua área de rede, a responsabilidade pelos dados étotalmente do usuário. A política de backup da COMEFO obedece ao seguinte esquema: • Backup Completo a cada 30 dias; • Backup Incremental semanal; • Backup Incremental diário OBSERVAÇÃO: Por backup incremental entende-se aquele quecopia apenas os arquivos alterados durante determinado período. Desta forma,o arquivo somente será copiado se foi alterado durante o dia ou a semana. Obackup completo, por outro lado, copia todo o conteúdo da área do usuário,independentemente do mesmo haver sido trabalhado ou não. Na prática, issosignifica que é possível recuperar: • A última versão do dia de qualquer arquivo até uma semana atrás. Versões intermediárias não são recuperáveis porque o backup é realizado apenas uma vez durante a noite; • A última versão da semana de arquivos até quatro semanas atrás; • Todo o conteúdo armazenado na data do último backup completo. 22
  28. 28. 5.3.4 Política de Autenticação (Senhas) - AUSO propósito dessa política é assegurar a correta autenticação dos usuários nos sistemas de informação da COMEFO. A política de autenticação da COMEFO obedece às seguintesdeterminações: • Somente poderão acessar a Internet usuários que tenham sido credenciados com suas senhas de acesso. • Cada setor deverá, através de memorando, indicar novos servidores que deverão ser credenciados para tal serviço, justificando quanto a necessidade do referido funcionário utilizar-se deste recurso. • A senha de acesso tem caráter pessoal, e é intransferível, cabendo ao seu titular total responsabilidade quanto seu sigilo. • A prática de compartilhamento de senhas de acesso é terminantemente proibida e o titular que fornecer sua senha a outrem responderá pelas infrações por este cometidas, estando passível das penalidades aqui previstas. Caso o usuário desconfie que sua senha não é mais segura, ou de seu domínio exclusivo, poderá solicitar à Gerência de Informática a alteração desta. O usuário que infringir qualquer uma das diretrizes de segurançaexpostas neste instrumento estará passível das seguintes penalidades (semprévio aviso): Descredenciamento da senha de acesso a Internet;Cancelamento da caixa de e-mail; Desativação do ponto de rede do setor;Suspensão; Multa e Demissão; O(s) usuário(s) infrator poderá ser notificado e a ocorrência datransgressão imediatamente comunicada ao seu chefe imediato, à diretoriacorrespondente e à Presidência. 23
  29. 29. 5.3.5 Política de Correio Eletrônico - COE O propósito dessa política é assegurar o bom uso do correio eletrônico na COMEFO. • O número de mensagens com permissão para serem enviadas por hora, por usuário, é de 350 mensagens. • O usuário não deve tentar esconder, forjar ou representar de maneira errada o remetente do e-mail e o domínio do site. • E-mails em massa devem exibir especificamente como os endereços de e-mail da pessoa foram obtidos e deve indicar a frequencia de envio. • E-mails em massa devem conter mecanismos de descadastramento simples e óbvios. Nós recomendamos que isso esteja em forma de um link para um sistema de descadastramento de um único clique. Po outro lado, um endereçco "reply-to" válido pode ser usado como alternativa. • Todo cadastramento baseado em e-mail deve ter informações de contato válidas e não eletrônicas da organização que está enviando o e-mail no texto de cada e-mail, incluindo um número de telefone ou um endereço físico válido. • Todo e-mail em massa deve ser solicitado, quer dizer, o remetente tem uma relação existente e que se pode provar com o e-mail remetente e o receptor não requisitou não receber futuros e-mails desse remetente. A documentação da relação entre o remetente e o receptor deve ser disponível quando requisitado. • Usos Proibidos dos Sistemas de Rede da COMEFO(ou sub- contratada) e Serviços Relativos a Spam 24
  30. 30. • Envio de E-mail Lixo Não Solicitado ("UBE", "spam") O envio de qualquer forma de E-mail Lixo Não Solicitado através dos servidores da COMEFO(ou sub-contratada) é proibido. Do mesmo modo, o envio de spam a partir de outro provedor de serviço fazendo propaganda de um site, endereço de email ou a utilização de qualquer recurso hospedado nos servidores da COMEFO(ou sub-contratada) é proibido. As contas ou serviços da COMEFO não devem ser usados para solicitar clientes ou coletar replies to de mensagens enviadas a partir de outro Provedor de Serviço de Internet onde essas mensagens violam essa Política ou de outro provedor. • Executar Listas de E-mail Não Confirmadas, Inscrever endereços de e-mail para qualquer lista de e-mail sem a permissão expressa e verificável do dono do endereço de e-mail é poibido. Todas as listas de e-mail executadas por clientes da COMEFO devem ser Closed-loop ("Confirmed Opt-in"). A mensagem confirmação de inscrição recebida de cada dono do endereço deve ser mantida em arquivo pela duração da existência da lista de e-mail. Comprar listas de endereços de e-mail de terceiros para enviar e-mails a partir dos domínios da COMEFO, ou referenciar qualquer conta da COMEFO, é proibido. A falha em não seguir a política irá resultar em sanções que variarãodesde procedimentos disciplinares, com avisos verbais ou escritos, até ademissão, não obstante as sanções cíveis e criminais decorrentes da nãoobservância das mesmas. 25
  31. 31. 6 CONCLUSÃO Este estudo procurou abranger a segurança da informação, tendoseu objetivo voltado para política de segurança da informação, sendodesenvolvido um modelo de política de segurança para a empresa COMEFO. A dependência progressiva das organizações com relação aossistemas de informações computadorizados as torna cada vez mais vulneráveisa ameaças. Na sociedade da informação, ao mesmo tempo em que asinformações são consideradas um dos principais ativos de uma organização,elas estão, também sobre constantes riscos. Com isso a segurança dainformação tornou-se um ponto extremamente importante para a sobrevivênciadas organizações. Dentre as medidas de segurança implantadas pelasorganizações, para garantir a segurança da informação, está a política desegurança que tem por objetivo definir normas, procedimentos, ferramentas eresponsabilidades que devem ser seguidas pelos usuários das organizações,de modo a garantir a segurança da informação. A política de segurança é abase para todas as questões relacionadas à proteção da informação,desempenhando um papel importante nas organizações. Para odesenvolvimento do modelo de política de segurança foi utilizada a normaABNT NBR ISO/IEC 17799:2005. Esta norma trata da Gestão de segurança dainformação cobre os mais diversos tópicos da área de segurança, possuindoum grande número de controles e requerimentos que devem ser atendidospara garantir a segurança das informações de uma empresa. É importante para os usuários da rede de computadores daCOMEFO, a definição de regras que devem ser seguidas para a utilização demaneira adequada dos recursos de informática, assim como para a garantia dasegurança física. O modelo de política de segurança desenvolvido visa adescrição destas regras de modo acessível ao entendimento dos usuários. Fica a certeza que este trabalho trouxe contribuições importantes,como: Identificação do cenário atual da segurança da informação e dasmedidas de segurança necessárias a serem utilizadas pela COMEFO; Estudoda utilização e da importância da política da segurança como uma importantemedida de segurança utilizada pelas empresas; Desenvolvimento de ummodelo de política de segurança. 26
  32. 32. BIBLIOGRAFIAABREU, Dimitri. Melhores práticas para classificar as informações. Disponívelem: www.modulo.com.br. Acessado em 19 de março de 2009.GONÇALVES, Luis Rodrigo de Oliveira. Pequeno histórico sobre o surgimentodas Normas de Segurança. Disponível em http://www.lockabit.coppe.ufrj.br.Acessado em 19 de março de 2009.WILKEPEDIA, A enciclopédia livre. Segurança da Informação. Disponível em:http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.Acessado em 19de março de 2009.SPANCESKI, Francini Reitz. Política de Segurança da Informação –Desenvolvimento de um modelo voltado para instituições de Ensino, 2004.Monografia (Graduação em Sistemas de Informação) Instituto Superior Tupy.Joinville.ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação – Técnicas desegurança - Código de prática para a gestão de segurança da informação. 2ª.ed., ABNT, 2005. 27
  33. 33. ANEXOSAnexo I – Declaração de ciência e concordância com a Política de Segurança DECLARAÇÃO DE CIÊNCIA E CONCORDÂNCIA DA PSI/COMEFO Pelo presente instrumento, eu, ____________________________,matrícula/identidade no __________________, perante COMEFO –Cooperativa dos Médicos de Fortaleza, na qualidade de usuário dos recursosde processamento da informação da referida empresa, declaro estar ciente econcordar com a Política de Segurança da Informação – PSI/COMEFOcomposta por suas Diretrizes Gerais, Normas, Procedimentos e Instruções, queestão disponíveis na INTRANET da empresa, seção Política de Segurança.Declaro, também, estar ciente de que os acessos por mim realizados à internet,bem como o conteúdo das mensagens enviadas através do Correio Eletrônicocorporativo são monitorados automaticamente. Declaro, ainda, estar ciente das minhas responsabilidades descritasnas normas da Política de Segurança da Informação e que, a não observânciadesses preceitos, implicará na aplicação das sanções previstas nas DiretrizesGerais desta Política. ______________, _______________________ Local e data ______________________________________________ Nome legível por extenso ______________________________________________ Assinatura do funcionário 28
  34. 34. Anexo II – Termo de Confidencialidade da Informação TERMO DE CONFIDENCIALIDADE DA INFORMAÇÃO Declaro que, ao utilizar os recursos computacionais do ambientetecnológico da COMEFO – Cooperativa dos Médicos de Fortaleza, estou cientedas responsabilidades inerentes às minhas atribuições, assumindo, no que meenquadrar, o compromisso de: a. Acessar os sistemas informatizados somente por necessidade de serviço ou por determinação expressa de superior hierárquico, realizando as tarefas e operações em estrita observância aos procedimentos, normas e disposições contidas na política de segurança da informação da empresa; b. Não revelar, fora do âmbito profissional, fato ou informação de qualquer natureza de que tenha conhecimento por força de minhas atribuições ou por fontes secundárias, salvo em decorrência de decisão competente na esfera legal ou judicial, bem como de autoridade superior; c. Manter a necessária cautela quando da exibição de dados em tela, impressora ou na gravação em meios eletrônicos, a fim de evitar que deles venham a tomar ciência pessoas não autorizadas; d. Para garantir a impossibilidade de acesso indevido por terceiros, não deverei me ausentar do terminal sem encerrar ou bloquear a sessão do sistema; e. Não revelar as minhas senhas de login da rede e de acesso aos sistemas a ninguém e seguir as recomendações de segurança em relação à criação de uma senha forte, conforme política vigente, de forma a possibilitar que ela continue secreta; f. Responder, em todas as instâncias, pelas conseqüências das ações ou omissões de minha parte que possam pôr em risco ou comprometer a exclusividade de conhecimento de minha senha ou das transações e informações a que tenha acesso. g. Manter estrita observância à Política de Segurança da Informação da COMEFO; Declaro, ainda, estar plenamente esclarecido e consciente de que: h. É minha responsabilidade cuidar da integridade, confidencialidade e disponibilidade dos dados, informações e sistemas aos quais tenho acesso, devendo comunicar, por escrito, à chefia imediata quaisquer indícios ou possibilidades de irregularidades, de desvios ou de falhas identificadas nos sistemas, sendo proibida a exploração de falhas ou vulnerabilidades porventura existentes nos sistemas; i. O acesso à informação não me garante direito sobre ela, nem me confere autoridade para liberar acesso a outras pessoas; 29
  35. 35. j. O descumprimento das disposições deste Termo de Confidencialidade caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil;k. O acesso aos sistemas com fins escusos ou imotivados constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de falta de zelo e dedicação às atribuições do cargo, e descumprimento de normas legais ou regulamentares tipificadas em Lei;l. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional, a divulgação de dados obtidos dos sistemas informatizados ou quaisquer outras informações pertinentes à COMEFO que tenha conhecimento por força de minhas atribuições, para outros servidores não envolvidos nos trabalhos executados;m. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração de revelação de sigilo funcional do qual me apropriei em razão do cargo, a divulgação, a quem não tenha a devida autorização, de informações dos sistemas fazendários ou quaisquer outras informações pertinentes, protegidas pelo sigilo fiscal, sujeitando-me à penalidade de demissão;n. Sem prejuízo da responsabilidade penal e civil e de outras infrações disciplinares, constitui falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais e regulamentares, não proceder com cuidado na guarda e utilização de senha ou emprestá-la a outro funcionário.o. Constitui infração funcional de minha parte, inserir ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente dados nos sistemas informatizados ou bancos de dados, bem como modificar ou alterar o sistema de informações ou programas de informática sem autorização ou solicitação de autoridade competente, sujeitando-me à punição, conforme Política da empresa.p. Devo prestar estrita obediência às normas e recomendações da Política de Segurança da Informação - PSI/COMEFO, bem como manter-me ciente de suas atualizações, que serão devidamente homologadas e publicadas na Intranet da empresa, submetendo-me, em caso de descumprimento, às penalidades administrativas previstas na própria Política de Segurança e no Regimento Interno, sem prejuízo da responsabilidade penal e civil. ______________, _______________________ Local e data ______________________________________________ Nome legível por extenso ______________________________________________ Assinatura do funcionário 30

×