1

TECNOLOGIA EM REDES DE COMPUTADORES

CARLOS WILTEMAR DE FREITAS ALVES

FRANCISCO HÉLIO DE OLIVEIRA LIMA JUNIOR

ROBERTO BRUNO NETO

POLITICA DE SEGURANÇA DA INFORMAÇÃO

FORTALEZA

2007

2

CARLOS WILTEMAR DE FREITAS ALVES

FRANCISCO HÉLIO DE OLIVEIRA LIMA JUNIOR

ROBERTO BRUNO NETO

POLITICA DE SEGURANÇA DA INFORMAÇÃO

FORTALEZA

2007

3

CARLOS WILTEMAR DE FREITAS ALVES

FRANCISCO HÉLIO DE OLIVEIRA LIMA JUNIOR

ROBERTO BRUNO NETO

POLITICA DE SEGURANÇA DA INFORMAÇÃO

Estudo de caso da implantação de política de segurança da empresa Enerlux baseado na metodologia empregada pela norma ABNT NBR ISO/IEC 17799:2005 apresentado ao curso de Tecnologia de Redes de Computadores da faculdade Integrada do Ceará como objetivo para conclusão da disciplina de Segurança da Informação, sob orientação do Professor Esp. Clayton Felipe Reymão Soares.

FORTALEZA

2007

4

RESUMO

Na medida em que ocorre o incremento freqüente da eficiência dos sistemas de informação, cada vez mais ocorre um considerável aumento da complexidade deste cenário o que proporcionalmente repercute num ambiente altamente inseguro. Preocupações primordiais com a segurança da informação tornam-se ponto obrigatório, levando empresas, profissionais de TI e mesmo pessoas físicas a buscar conhecimentos de no mínimo conceitos básicos sobre segurança da informação. Vários textos foram criados com o decorrer do tempo, modelos e referências gerais para melhores práticas de segurança básica em ambientes tecnológicos. Tais atitudes culminaram na criação, através de órgãos e instituições públicas, de normas específicas, a fim de buscar padronizações dessas melhores práticas. Buscamos com este trabalho demonstrar a utilização de tais padrões em ambiente corporativo, baseando-se na norma NBR ISO/IEC 17799:2005, que visa demonstrar conjunto de normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para a sua implantação.

Palavras-chave: Complexidade, segurança da informação, ambiente inseguro, 17799:2005, riscos.

5

ABSTRACT

In the measure in that it happens the frequent increment of the efficiency of the systems of information, more and more it happens a considerable increase of the complexity of this scenery that proportionally echoes in an atmosphere highly insecure. Primordial concerns with the safety of the information become obligatory point, taking companies, professionals of IT and even natural persons to look for knowledge of in the minimum basic concepts on safety of the information. Several texts were created with elapsing of the time, models and general references for practical best of basic safety in technological atmospheres. Such attitudes culminated in the creation, through organs and public institutions, of specific norms, in order to look for standardizations of those practical best. We looked for with this work to demonstrate the use of such patterns in corporate atmosphere, basing on the norm NBR ISO/IEC 17799:2005, that it seeks to demonstrate group of norms on requirements of system of administration of the safety of the information, administration of risks, metric and measured, and guidelines for his/her implantation.

Key-words: Complexity, safety of the information, insecure atmosphere, 17799:2005, risks.

6

LISTA DE FIGURAS

Figura 1 - Empresa Enerlux - Representação do Ambiente .........Erro! Indicador não definido.

Excluído: 10

7

LISTA DE TABELAS

TABELA 1 - AVALIAÇÃO DA RELEVÂNCIA DO RISCO ........................................ 12

TABELA 2 – LEVANTAMENTO DE RISCOS E CLASSIFICAÇÃO ......................... 13

TABELA 3 – POLÍTICAS DE SEGURANÇA ............................................................ 16

8

LISTA DE ABREVIATURAS E SIGLAS

BIOS – Basic Input/Output System

CFTV – Circuito Fechado de Televisão

ETC – Etecetera

GPO – Group Policy Objects

MAC - Media Access Control

PBX – Private Branch Exchange

PC – Personal Computer

PST – Formato de arquivos Microsoft Outlook

SQL – Structured Query Language

TI – Tecnologia da Informação

UPS – Uninterruptible power supply

WEB - World Wide Web

WEP – Wired Equivalent Privacy

WI-FI – wireless fidelity

WPA – Wi-Fi Protected Access

WSUS – Windows Server Update Services

9

SUMÁRIO

1 INTRODUÇÃO........................................................................................1

1.1 Objetivo................................................................................................1

1.2 Referencia Normativa ..........................................................................1

2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ................................2

2.1 Segurança da Informação ...................................................................2

2.2 Para que Serve ....................................................................................3

2.3 Histórico ...............................................................................................3

3 VISÃO GERAL DO AMBIENTE.............................................................5

3.1 Desenho do Ambiente .......................................................................10

4 ANALISE E TRATAMENTO DE RISCOS ...........................................11

4.1 Modelo de Classificação da Criticidade dos Riscos..........................11

4.2 Levantamento de Riscos e Classificação..........................................13

4.4 Documentos.......................................................................................16

4.4.1 P01 – Política de Segurança Patrimonial .........................................................17

4.4.2 P02 – Política de Controle de Acesso ..............................................................19

4.4.3 P03 – Política de Backup .................................................................................22

4.4.4 P04 – Política de tratamento de incidentes ......................................................23

4.4.5 P05 – Política de Manutenção de Equipamentos.............................................25

4.4.6 P06 – Política de Correio Eletrônico.................................................................26

BIBLIOGRAFIA .......................................................................................28

ANEXOS..................................................................................................29

Excluído: 16

Excluído: 18

Excluído: 20

Excluído: 21

Excluído: 23

Excluído: 24

Excluído: 26

Excluído: 27

1

1 INTRODUÇÃO

A Companhia Enerlux, localizada na Rodovia CE 333, km 12, no

Complexo Industrial, foi inaugurada em Dezembro de 2006.

A usina termelétrica é do tipo Ciclo Combinado, empregando gás natural

como combustível, e possui uma potência total instalada de 310,7MW. O gás é

fornecido pela Petrobrás, através de sistema de gasodutos, com interligação pelo

“City-Gate” situado a aproximadamente 600 metros a leste do terreno da usina.

A Companhia tem por objetivo produzir e comercializar energia elétrica no

Estado do Ceará, reduzindo a vulnerabilidade em relação ao déficit de energia

elétrica da região, conforme identificado pela Eletrobrás.

A Usina está interligada com o sistema de transmissão e distribuição de

energia elétrica através de Subestação da Companhia Hidroelétrica do São

Francisco – CHESF, situada a aproximadamente 700 metros ao sul da área do

empreendimento.

A Companhia está autorizada pela ANEEL – Agência Nacional de Energia

Elétrica para estabelecer-se como produtor independente de energia elétrica,

conforme Resolução 433, de 19 de outubro de 2001.

1.1 Objetivo

Este trabalho tem por objetivo descrever os elementos que compõem a

política de segurança da informação da Companhia Enerlux, bem como sua

interação e fazer referencia aos documentos associados, que demonstram a

adequação desta com o modelo normativo adotado.

1.2 Referencia Normativa

A política de segurança da informação da Companhia Enerlux se baseia

na norma NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de

Segurança – Código de prática para a gestão da segurança da informação.

2

2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

2.1 Segurança da Informação

Segurança da informação é a proteção da informação de vários tipos de

ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,

maximizar o retorno sobre os investimentos e as oportunidades de negócio (NBR

ISO/IEC 17799:2005, p.ix).

“Preservação da confidencialidade, da integridade e da

disponibilidade da informação; adicionalmente, outras

propriedades, tais como autenticidade, responsabilidade, não

repúdio e confiabilidade, podem também estar envolvidas.“

(NBR ISO/IEC 17799:2005, pág.1).

Segundo Wikipédia (2007), a Segurança da Informação está relacionada

com métodos de proteção aplicados sobre um conjunto de dados no sentido de

preservar o valor que possui para um indivíduo ou uma organização.

São características básicas da segurança da informação os aspectos de

confidencialidade, integridade e disponibilidade, não estando restritos somente a

sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.

O conceito se aplica a todos os aspectos de proteção de informações e dados.

Conforme Goldim (2003), a definição clássica de confidencialidade é a

garantia do resguardo das informações dadas pessoalmente em confiança e a

proteção contra a sua revelação não autorizada, ou seja, (Wikipédia, 2007).deve

garantir que a informação não esteja disponível ou mesmo seja divulgada a

indivíduos, entidades ou processos sem autorização.

Conforme Wikipédia (2007), em segurança da informação, integridade

significa ter a disponibilidade de informações confiáveis, corretas e dispostas em

formato compatível com o de utilização, ou seja, informações íntegras.

Disponibilidade tem por objetivo manter os serviços disponibilizados o

máximo de tempo possível.

3

2.2 Objetivos

Segundo Data Security (2006), a Política de Segurança da Informação

serve como base ao estabelecimento de normas e procedimentos que garantem a

segurança da informação, bem como determina as responsabilidades relativas à

segurança dentro da empresa.

Ainda segundo Data Security (2006), a elaboração de uma Política de

Segurança da Informação deve ser o ponto de partida para o gerenciamento dos

riscos associados aos sistemas de informação.

Para atender as principais necessidades da empresa, uma Política de

Segurança da Informação deve ser:

• Clara e concisa

• De fácil compreensão

• Coerente com as ações da empresa

• Amplamente divulgada

• Revisada periodicamente

A Política de Segurança da Informação visa preservar a confidencialidade,

integridade e disponibilidade das informações. Descrevendo a conduta adequada

para o seu manuseio, controle, proteção e descarte.

2.3 Histórico

Na sociedade moderna, com o advento do surgimento dos primeiros

computadores houve uma maior atenção para a questão da segurança das

informações, inicialmente esta preocupação era ainda muito rudimentar, porém com

o passar do tempo este processo mudou.

A partir da década de 90, o boom da internet trouxe também o boom dos

ataques às redes de computadores. A segurança de dados deixou de ser apenas

uma preocupação com a perda da informação devido a um acidente com os meios

de armazenamento ou a uma operação indevida do usuário. Tem-se agora a

4

ameaça de ataques via rede, podendo haver roubo das informações, vandalismos

que as destruam ou simplesmente técnicas de navegação de serviços impedindo o

acesso aos dados (JUNIOR, 2006, p.16).

Outra grande fonte de ameaças é o ataque interno, esse muitas vezes até

mais difícil de ser contido devido ao nível de acesso e a proximidade que usuário

tem à rede e aos seus recursos físicos. Neste caso, como resolver o problema de

permitir o acesso a certas informações aos usuários autorizados e,

simultaneamente, como negar o acesso aos usuários não autorizados?

Segundo Gonçalves (2003):

“A questão da segurança no âmbito dos computadores ganha força com o surgimento das máquinas de tempo compartilhado, também conhecidas como computadores "time-sharing", ou seja, que permitiam que mais de uma pessoa, ou usuário, fizessem uso do computador ao mesmo tempo, processo comum na atualidade mas que até então não era possível.”

Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um

conjunto de regras para avaliação de segurança das, este conjunto de regras ficou

conhecido como “The Orange Book”.

Mais tarde surgiu a primeira norma homologada a apresentar soluções

para o tratamento da informação de maneira mais ampla. Segundo a norma todo

tipo de informação deve ser protegido, independente da sua forma de

armazenamento, seja analógica ou digital, e de seu valor para a organização, sendo

ela a BS-799 publicada pelo comitê Comercial Computer Security Centre, criado

pelo governo britânico.

Em 2000 houve a homologação da BS-7799 que deu origem à Norma

Internacional de Segurança da Informação – ISO/IEC 17799, e já em abril de 2001, a

versão brasileira da norma ISO homologada pela ABNT, que passou a ser

denominada NBR ISO/IEC 17799:2000 e em 30 de setembro de 2005, passou a ser

validada a segunda edição atualizada da norma brasileira a NBR ISO/IEC

17799:2005.

5

3 VISÃO GERAL DO AMBIENTE

A Enerlux decidiu criar uma política de segurança que permitisse garantir

que o processo interno da empresa seguisse as idéias de melhores práticas em TI,

permitindo que à empresa receber certificações comerciais de qualidade de serviço

e assim permitir sua entrada em novos mercados

Os limites da política de segurança da informação acham-se abaixo descriminados:

Escopo de localização:

• A Companhia está localizada na Rodovia CE 333, km 12, no Complexo

Industrial

Escopo de produtos e serviços:

• Geração de energia elétrica a partir da queima do gás e do

aproveitamento dos gases resultantes para mover uma turbina a vapor.

Principais processos:

• Enlaces de dados e voz (rádio);

Consiste de um rádio situado no setor da Operação, interligado com

sistema do provedor de acesso, utiliza roteador com conexão E1 de 2MB, sendo que

este sinal é multiplexado (via multiplexador da própria empresa) dividindo este sinal

em 1MB para trafego de dados e 1MB para trafego de voz, interligado a placa ISDN

na central PBX e ao Roteador da empresa.

Estes equipamentos localizam-se em sala de racks de ativos no setor da

Operação da Usina, não tendo controle de acesso, tampouco sistema de detecção

de incêndios.

6

• Rede Wifi;

Consiste de equipamentos de ponto de acesso (Access Point) instalados

nos setores de Administração, Manutenção Eletroeletrônica, Operação, Capacitação

da empresa. Os acessos são realizados a partir de notebooks da Empresa cedidos a

supervisores, gerentes e diretores, não sendo abertos a acessos de visitantes

tampouco a notebooks pessoais de funcionários.

Os pontos de acesso são controlados pelo setor de informática e não

contém qualquer controle de segurança de acesso tampouco criptografia nos

modelos que utilizam protocolos 802.11b e 802.11g, bem como não utilizam

filtragem MAC address, sendo portanto uma rede “aberta”..

• Controle de acesso físico e lógico;

Acessos à rede são realizados via pontos de rede cabeada (tomadas

localizadas nos diversos setores da empresa) através apenas de computadores

instalados na Empresa, não sendo permitido acesso de equipamento de terceiros à

rede, contudo, não existe um controle efetivo dos equipamentos de terceiros que

adentram a empresa. Os acessos são realizados através de chaves de acesso

disponibilizadas a cada usuário (usuário e senha de rede), sendo de cunho pessoal

e intransferível, percebe-se entretanto que alguns usuários compartilham algumas

senhas entre si.

Este controle é feito mediante Servidor Controlador de Domínio baseado

em plataforma Microsoft (Active Directory), onde ficam armazenadas as contas dos

usuários que podem efetuar acesso à rede da empresa.

• Ativos de rede;

Compreende-se como ativos de rede todos os equipamentos de

interconexão que fazem parte da rede da empresa, sendo eles Switchs, Roteadores,

Servidores, UPS com conexão à rede ou a algum ativo da rede, impressoras de

rede, dentre outros. Até o momento não existe controle quanto a manutenções

programadas, apenas ações reativas em caso de falhas.

7

A empresa possui nove (4) switchs de core conectadas a anel ótico que

circunda a empresa contendo redundância, e cinco (5) switchs de distribuição

espalhadas pelos diversos racks de serviço instalados nos quatro principais prédios

da empresa.

Um roteador instalado no rack de comunicação no setor de painéis da

operação, em ambiente com temperatura controlada e acesso restrito.

• Serviços de rede (servidor de arquivos, serviço de diretório, correio,

aplicativos);

A Empresa tem os seguintes serviços de rede:

- Servidor de arquivos contendo todas pastas administrativas

(Administrativo, Manutenção, Operação, Terceiros, GestaoUsina) controladas

através de políticas de grupos de acesso, e pastas pessoais dos usuários da rede

(Users), bem como pasta de domínio público (sem restrições de acesso)

denominada Público, algumas destas pastas ainda não fazem parte de nenhum

esquema de backup.

O acesso é realizado através da rede da empresa, e o acesso aos dados

é controlado através de grupos de acesso determinados pelo setor de TI em

conjunto com as gerencias setoriais da empresa.

Este Servidor também contém as filas de impressão que são utilizadas

pelos setores da empresa e determinadas a cada usuário através de scripts

acionados no momento do logon e determinado via GPO (Group Policy Objects).

- Servidor de diretórios que armazena os objetos do domínio da empresa

(Active Directory) e provê a liberação do acesso aos recursos de rede.

Este servidor tem seu acesso administrativo restrito apenas ao

Administrador da rede da empresa, não podendo ser acessado, portanto, por

nenhum outro funcionário.

Nele estão contidas todas as contas de usuário da empresa, bem como

suas senhas e informações adicionais, bem como outros objetos como

computadores, impressoras, grupos de acessos, etc., este banco centralizado de

informações permite a administração centralizada do Domínio da empresa.

8

A inclusão de registros neste banco como contas de usuários é efetuada

mediante solicitação formal das gerencias dos setores da empresa à área de TI.

Computadores, notebooks e demais ativos de rede que podem ser

inseridos no domínio são feitos apenas pelo setor de TI.

Também a inserção de usuários a grupos de segurança (acesso) são

efetuadas mediante solicitação formal das gerencias dos setores da empresa ao

setor de TI.

- Servidor de correio, que provê todo o serviço de envio e recebimento de

e-mails internos e externos da empresa, utilizando-se do software Exchange.

O Servidor de correio está instalado em servidor próprio da empresa,

utiliza o Microsoft Exchange Server para gerenciar as caixas de correios dos

usuários e encontra-se integrado ao Active Directory da empresa.

A administração deste servidor é realizada pelo setor de TI da empresa e

o acesso dos usuários a suas caixas de correio é efetuado através de cliente

Microsoft Outlook instalado nos micros/notebooks da empresa, configurados pelo

pessoal de TI. As mensagens são armazenadas em arquivos PST configurados em

pasta padrão no disco do usuário (para facilitar backups futuros).

Existe tráfego intenso de correio não corporativo por parte dos usuários

que utilizam suas contas também para assuntos pessoais.

- Servidor de aplicações, contendo banco de dados que suporta sistema

de registro e calculo cientifico de probabilidade de falha denominado Autolab, onde é

realizado todo o cadastro de instrumentos (instrumentação) que fazem parte da área

industrial, e inserção dos dados de acompanhamento de alterações nas medições

destes equipamentos, tal sistema não possui contrato de manutenção, tampouco

existe qualquer procedimento de recuperação em caso de falha.

Neste servidor também está localizado o Serviço denominado WSUS que

efetua as atualizações de segurança de todos os micros/notebooks inseridos no

domínio a empresa.

Contém também o software de coleta de tarifação telefônica (STI On-line),

sistema de gravação de voz (Mirra Racal).

9

• Backup;

A empresa possui biblioteca de backup responsável por realizar o backup

previsto na política de backup da empresa, que ainda está em processo de

confecção, e será controlada e administrada pelo setor de TI.

Esta biblioteca tem capacidade para 8 fitas denominadas AIT-4 e

capacidade para aproximadamente 4 Terabytes de dados, fica instalada em rack de

equipamentos no prédio da operação, em sala climatizada e com acesso restrito ao

pessoal de TI da empresa.

• PBX;

Central Telefônica PBX da Ericsson de grande porte, denominada MD110,

onde centraliza-se o link de voz e todos os ramais disponíveis na Usina. Possui No-

break próprio com autonomia para 24horas sem alimentação elétrica.

Nela está interligado link de 1Mb multiplexado do link principal E1 de 2Mb

da empresa.

• CFTV;

Sistema de monitoramento patrimonial através de câmeras analógicas,

conectadas a dispositivos denominados “encoders” que codificam o sinal analógico

para sinal digital.

O Sistema conta com administração centralizada em servidor denominado

Servidor CFTV, contendo software da SmartSight e banco de dados SQL Server

2000, tal sistema não encontra-se em nenhuma política de backup até o momento.

Possui suporte a 16 câmeras controladas a partir de dois clientes

instalados na guarita e setor de operações da empresa respectivamente.

O acesso também é possível através de página web disponível apenas

através da rede da empresa (não sendo possível acesso externo à mesma). Este

acesso é restrito apenas à Diretoria da empresa (através de política de senha),

contudo percebe-se um aumento significativo nos acessos via web, o que poderia

indicar alguma falha de segurança ou roubo de senhas.

10

• Utilização de computadores e notebooks;

Os computadores e notebooks são de caráter puramente corporativo,

sendo, portanto, controlados através de políticas de acesso definidas neste

documento, e implementadas de forma automática através da área de TI da

empresa.

Em virtude da não consolidação das políticas de segurança da empresa,

os equipamentos, eventualmente, vem sendo utilizados por terceiros com a

anuência dos colaboradores da empresa.

Por vezes percebeu-se alteração do hardware de alguns equipamentos,

uma vez que inexiste um efetivo controle, alguns usuários acessam o hardware dos

equipamentos para efetuar reparos não solicitando portanto à área de TI.

Percebe-se que os notebooks não tem seus dados criptografados, o que

pode ocasionar falha de segurança caso sejam roubados.

11

4 ANALISE E TRATAMENTO DE RISCOS

A Enerlux efetua análise dos eventos presentes em seus processos, que

possam gerar riscos, de forma sistemática. Posteriormente, estes possíveis pontos

de criticidade são analisados para determinação do grau de abrangência desses

elementos críticos, classificando-os conforme sua significância.

4.1 Modelo de Classificação da Criticidade dos Riscos

O objetivo é identificar através de uma avaliação, os riscos que os ativos

estão expostos e identificar e selecionar uma correção de segurança justificada e

apropriada.

Porém existem diferentes tipos de metodologias de análise, baseada em

determinação de valores dos ativos, vulnerabilidades e ameaças, inclusive com

softwares para automatizar esta análise.

Para a análise dos riscos será adotado um modelo para identificação e

classificação dos riscos envolvidos em cada um dos processos listados no item

ESCOPO deste documento.

Risco: combinação da probabilidade de um evento e de suas conseqüências.

ABNT ISO/IEC Guia 73:2005;

Evento: ocorrência identificada de um sistema, serviço ou rede, que indica uma

possível violação da política de segurança da informação ou falha de controles, ou uma

situação previamente desconhecida, que possa ser relevante para a segurança da

informação. ISO/IEC TR 18044:2004;

Análise de riscos: uso sistemático de informações para identificar fontes e

estimar o risco. ABNT ISO/IEC Guia 73:2005;

Avaliação de riscos: processo de comparar o risco estimado com critérios de

risco pré-definidos para determinar a importância do risco. ABNT ISO/IEC Guia 73:2005;

Abaixo, segue a classificação:

12

TABELA 1 - AVALIAÇÃO DA RELEVÂNCIA DO RISCO Abrangência (do risco) Gravidade (do risco)

Nota Grau Nota Grau

1 Pontual Atinge somente o ponto de geração, armazenamento, etc.

1 Baixa Danos pouco significativos, reversíveis em curto prazo

3 Local

Dentro dos limites da empresa, além do ponto de geração, armazenamento. etc.

3 Média Danos consideráveis, reversíveis a médio prazo

5 Regional / Global

Atinge áreas fora dos limites da empresa.

5 Alta Danos severos, efeitos irreversíveis no médio prazo

Freqüência (do evento) ou Probabilidade (do risco) Nota Grau Situação Normal/Anormal Situação potencial de risco

1 Baixa Ocorre uma ou mais vezes por mês

Pouco provável de ocorrer, remota

3 Média Ocorre uma ou mais vezes por semana

Provável que ocorra

5 Alta Ocorre uma ou mais vezes por dia ou continuamente

Muito provável ou já ocorreu

Resultado da relevância = soma das notas obtidas na avaliação

Observe-se que freqüência e probabilidade são dois fatores excludentes

entre si, pois, se a análise se refere a um evento que ocorre efetivamente, vai-se

avaliar sua freqüência; se a análise se refere a um risco (pode ou não ocorrer), vai-

se avaliar sua probabilidade.

Um risco pode ter, portanto, um mínimo de 3 e um máximo de 15 pontos.

Os riscos identificados serão tratados conforme descrito abaixo:

• De 3 a 7 � Risco Baixo;

• De 9 a 11 � Risco Médio;

• De 13 a 15 � Risco Alto.

Risco Baixo: Nível aceitável, será assumido pela empresa;

Médio: Será analisado quanto a sua abrangência pelo comitê de

segurança da informação da empresa;

Alto: Tratados através das políticas (PXX, onde cada X representa número

de 0 a 9).

13

4.2 Levantamento de Riscos e Classificação

TABELA 2 – LEVANTAMENTO DE RISCOS E CLASSIFICAÇÃO Enlace de dados e Voz Risco Abrang. Grav. Prob. Total Significância Tratativa Pane elétrica no circuito que alimenta o Roteador

1 3 1 5 Baixa NÃO

Defeito no Roteador 3 3 1 7 Média Analise Erros de configuração 1 1 1 3 Baixa NÃO Pane elétrica no rádio de enlace

1 3 1 5 Baixa NÃO

Pane elétrica da repetidora

1 3 1 5 Baixa NÃO

Indisponibilidade no serviço da operadora

3 3 1 7 Média Analise

Ataques de DDNS 3 3 1 7 Média Analise Incêndio no local dos equipamentos

3 5 1 9 Alta P01

Rede Wi-fi Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso Indevido 3 5 1 9 Alta P02 Indisponibilidade 3 1 1 5 Baixa NÃO Erro de Configuração 1 1 1 3 Baixa NÂO Segurança do trafego 3 3 1 7 Média Analise Acesso Físico Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso não autorizado à sala de Servidores

1 3 1 5 Baixa NÂO

Danos à integridade dos equipamentos

3 3 1 7 Média Analise

Acesso Lógico Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso não autorizado aos sistemas

3 3 1 7 Média Analise

Acesso indevido aos dados

3 5 1 9 Alta P02

Alteração de informações

3 5 1 9 Alta P02

Ativos de Rede Risco Abrang. Grav. Prob. Total Significância Tratativa Erro de Configuração 1 1 1 3 Baixa NÂO Pane elétrica no circuito que alimenta os ativos

1 3 1 5 Baixa NÂO

Defeito no ativo 3 3 1 7 Média Analise

14

Serviços de Rede (File Servers) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica

1 3 1 5 Baixa NÂO

Perda de dados 3 5 1 9 Alta P03 Defeito de Hardware 3 5 1 9 Alta P05 Erro de Sistema Operacional

1 3 1 5 Baixa NÂO

Acesso Indevido 3 5 1 9 Alta P02 Serviços de Rede (Servidor de Diretório) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica

1 3 1 5 Baixa NÃO

Perda de dados 3 5 1 9 Alta P03 Defeito de Hardware 3 5 1 9 Alta P05 Erro de Sistema Operacional

1 3 1 5 Baixa NÂO

Indisponibilidade 3 5 1 9 Alta P04 Acesso indevido 3 5 1 9 Alta P02 Serviços de Rede (Servidor de Correio) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica

1 3 1 5 Média Analise

Ataque de ddns 3 5 3 11 Alta P04 Erro de configuração 1 1 1 3 Baixa NÂO Falta de atualizações de segurança

1 3 1 5 Média Analise

Utilização inadequada por parte dos usuários

3 3 3 9 Alta P06

Serviços de Rede (Servidor de Aplicações) Risco Abrang. Grav. Prob. Total Significância Tratativa Problema de pane elétrica

1 3 1 5 Média Analise

Erro nos sistemas 3 3 1 7 Alta P04 Acesso indevido 3 5 1 9 Alta P02 Problema de Hardware

1 3 1 5 Média Analise

Erro de configuração 1 3 1 5 Média Analise Backup Risco Abrang. Grav. Prob. Total Significância Tratativa Falta de política de backup

3 5 1 9 Alta P03

Classificação errada dos dados

3 3 1 7 Alta P03

Localização das fitas 1 1 3 5 Média Analise Acesso indevido às fitas

1 5 1 7 Alta P01

Pessoal técnico não apto a realizar o

3 3 1 7 Alta P03

15

backup Falta de testes de restauração

3 5 3 11 Alta P03

PBX Risco Abrang. Grav. Prob. Total Significância Tratativa Falta de Alimentação elétrica

1 3 1 5 Média Analise

Defeito nas baterias 1 3 1 5 Média Analise Erros de configuração 1 3 1 5 Média Analise Defeito de Hardware 1 3 1 5 Média Analise Falta de contrato de manutenção

1 1 1 3 Baixa NÃO

CFTV Risco Abrang. Grav. Prob. Total Significância Tratativa Falta de Alimentação elétrica

1 3 1 5 Média Analise

Defeito na câmera 1 3 3 7 Alta P05 Defeito no Encoder 1 3 1 5 Média Analise Erro de Software 1 3 1 5 Média Analise Defeito de Hardware 1 3 1 5 Média Analise Acesso indevido ao sistema

3 5 1 9 Alta P02

Utilização de Computadores e Notebooks Risco Abrang. Grav. Prob. Total Significância Tratativa Acesso Indevido 3 3 1 7 Alta P02 Movimentação de equipamentos não autorizada

3 3 3 9 Alta P01

Alteração de Hardware

1 5 1 7 Alta P05

Furto de Equipamentos (Desktops)

1 5 1 7 Alta P04

Furto de Equipamentos (Notebooks)

3 5 3 11 Alta P04

4.3 Escopo da Política

Todos os riscos assinalados como sendo de significância Alta serão

tratados conforme sua abrangência pelo comitê de segurança da informação da

empresa e através dos procedimentos referenciadas no campo “Tratativa” da tabela

de Levantamento de Riscos e Classificação.

Os de significância Média serão analisados pelo Comitê de Segurança

junto às gerencias de cada área afetada e ao gerente de TI da empresa para

16

determinar qual política de segurança será enquadrado o incidente e qual tratativa

deverá ser utilizada para mitigar o problema.

Aos demais riscos, assinalados com sendo de grau “baixo”, entende-se que

não tem grande significância para a segurança da empresa, ou sua abrangência não

afeta suas operações, ficando assim sob total responsabilidade da empresa os

danos causados pelas mesmas.

4.4 Documentos

Seguem relacionados documentos denominados políticas de segurança a

serem implantados na organização para mitigar os riscos assinalados no

levantamento realizado, conforme tabela de Políticas abaixo:

TABELA 3 – POLITICAS DE SEGURANÇA P01 Política de Segurança Patrimonial P02 Política de Controle de Acesso P03 Procedimento de Backup P04 Política de tratamento de incidentes P05 Política de Manutenção de Equipamentos P06 Política de Correio Eletrônico

17

4.4.1 P01 – Política de Segurança Patrimonial

Dispor-se-á das medidas necessárias de controle de acesso físico aos

prédios e áreas de segurança, bem como a sala de Servidores, equipamentos de

comunicação, etc., para proteção dos ativos de informática neles armazenados.

Para salvaguardar o conjunto de ativos da empresa, a unidade de

Segurança Física e Patrimonial implantará uma série de medidas de controle de

acesso físico de pessoas externas à Empresa para acessar as dependências da

empresa, dependendo do nível de segurança exigido. Estas medidas são úteis para

controlar o acesso aos ativos de informação, equipamentos de suporte e de

comunicação. Por sua amplitude, estas medidas não são objetos deste documento,

mas devem ser utilizadas caso necessário, para estabelecer um nível mínimo de

controle. Estas são algumas delas:

• Verificar a identidade das pessoas que acessam os edifícios.

• Registrar entradas e saídas de visitantes.

• Controle de visitantes mediante passes/autorizações.

• Controles físicos (crachás, catracas, etc.).

• Não permitir o acesso a zonas restritas às visitas.

• Acompanhar as visitas.

• Alertas de segurança.

Mediante algumas destas últimas medidas se efetuará o controle do

acesso a salas de servidores, racks de equipamentos de comunicação e para

qualquer outro componente fundamental ao sistema de informação que possa por

em risco a disponibilidade de seus serviços.

Quando afastar-se por várias horas do posto de trabalho, ou ao final da

jornada, desligar o Terminal ou PC, conforme concordado pelos sistemas

corporativos. Isto evitará acessos não autorizados à informação e seus processos.

O usuário não alterará a configuração de seus equipamentos de acesso,

sem a solicitação de intervenção por parte do suporte de informática, do contrário

poderá ocorrer interrupção de seus serviços, e inclusive afetar outros usuários.

18

Não será permitida saída de nenhum material da área de segurança (sala

de servidores, almoxarifados de suporte,...), sem autorização pelo responsável da

área técnica em questão.

Também deve ser verificado estado de extintores de incêndio instalados

no local (validade da recarga, gatilho, localização, etc.), observando sua

classificação para que seja compatível com o tipo de equipamentos instalados na

sala de servidores.

Recomenda-se ainda que sensores de controle destes fatores como

incêndio, fumaça, poeira, vibração, umidade, e água, estejam integrados a um

sistema que permita a monitoração remota, assim como o disparo de alarmes.

Que sejam adotados, ainda, procedimentos restringindo comida, bebida e

fumo dentro das Instalações da sala de servidores e área de comunicação.

19

4.4.2 P02 – Política de Controle de Acesso

Com o objetivo de controlar o acesso a informação restrita, se disporá de

um sistema que autentique a identidade de quem solicita acesso à informação,

mediante a aplicação de um sistema de senhas eficaz e fácil de utilizar. Este sistema

será integrado e único para todos os subsistemas, na medida que a tecnologia

permita, devendo assim justificar seu custo de implantação. Por último, da

possibilidade de introduzir o código (senha) apenas uma única vez, ou seja, o código

e sua senha associada a cada usuário cada vez que acesse o terminal ou PC de

acesso aos sistemas.

Existirá uma relação de usuários e seus respectivos acessos autorizados.

Esta relação deverá ser incluída no documento de segurança correspondente. Sem

esta relação, não deverá ser disponibilizada senha de acesso. Se estiver em

dispositivo magnético, a senha associada deverá estar cifrada (criptografada).

A programação e distribuição de contra-senhas deverá seguir o

procedimento seguinte:

Quando o destinatário da contra-senha não dispor de acesso a correio

eletrônico ou PC, lhe será enviada contra-senha provisória como informação

reservada em envelope fechado com a indicação externa de PESSOAL E

RESERVADA, entregando-a diretamente e em mãos ao destinatário. O usuário

deverá alterar esta senha imediatamente quando de seu primeiro acesso aos

sistemas de informática.

Quando o destinatário dispuser de correio eletrônico, receberá a contra-

senha em forma cifrada (criptografada). O usuário deverá alterá-la, imediatamente, e

apagar a mensagem que lhe foi enviada.

Todas as pessoas deverão manter a confidencialidade e integridade de

suas contra-senhas configuradas. Deve-se alterar periodicamente a contra-senha,

segundo período determinado no item 5o deste documento.

Cumprir-se-ão as especificações referentes aos requisitos do código do

usuário e contra-senha associada conforme descrito abaixo:

1. O código de usuário é único, pessoal e intransferível, com objetivo de

auditoria dos acessos.

20

2. O código e senha do usuário serão os mesmo utilizados em todos os

sistemas e aplicativos, salvo os softwares que não permitirem (Single sign-on).

3. No caso da utilização de senhas de grupo, códigos e senhas de

softwares específicos onde há a utilização por várias pessoas, o usuário possui

inteira responsabilidade sobre a preservação do login e senha frente o

compartilhamento da mesma.

4. O código do usuário será constituído do modelo composto pelos

seguintes caracteres: HRC#XXXXXXXXX, onde X representa o código número dos

primeiros 9 dígitos do CPF do usuário.

5. Automaticamente, será solicitada alteração de senha de usuário, sendo

que a mesma valerá durante um período de 40 dias, deixando de acessar o sistema

caso não seja alterada.

6. Devendo ser diferente das últimas doze contra-senhas.

7. A contra-senha inicial configurada pelo administrador, será temporária

até que o usuário entre pela primeira vez. Nesse momento, o sistema exigirá nova

chave.

8. A senha não será visível ao ser introduzida.

9. O usuário será o único que selecionará e modificará sua contra-senha

interativamente. O sistema lhe pedirá confirmação da mesma ao alterá-la. O

administrador somente configurará a contra-senha ao habilitar o usuário ou quando

o usuário esquecer a contra-senha, a qual irá expirar depois do primeiro acesso.

10. Deverá ser formada por um conjunto de caracteres numéricos e

alfanuméricos intercalados, igual a sete posições.

11. Automaticamente, sempre que a tecnologia permitir, será exigido sua

troca periódica, previamente fixada.

12. A senha não deve ter correspondência com datas, nomes próprios, ou

vocabulários de dicionários e/ou da área de informática.

13. A nova contra-senha se diferenciará da anterior, nos caracteres que a

compõe e na posição dos mesmos.

14. Após três tentativas invalidas de introduzir a contra-senha associada a

um código de usuário, produzirá bloqueio temporal deste usuário (30 minutos),

registrando-se este incidente e provocando o alarme correspondente no posto de

monitoramento.

21

15. As contra-senhas serão armazenadas em diretório específico para este

fim, em forma cifrada (criptografadas) não podendo ser recuperada, apenas

alterada.

16. O acesso ao diretório de contra-senhas deve estar reservado

exclusivamente ao administrador.

22

4.4.3 P03 – Política de Backup

Dispor-se-á das medidas necessárias de controle da segurança da

informação.

Recomenda-se a adoção das seguintes medidas que visem proteger a

integridade das informações da empresa:

A empresa se compromete a adquirir cofre especial para a guarda das

mídias contendo as cópias de segurança (back-up). Este cofre especial deve ser

resistente a incêndio, umidade, interferência eletromagnética, poeira, fumaça e

vandalismo.

O acesso às mídias de back-up deve ser restrito ao pessoal autorizado da

área de TI da empresa.

O acesso ao aplicativo de back-up deve ser restrito ao pessoal autorizado

da área de TI da empresa, deve possibilitar a copia de arquivos abertos (cópia de

sombra), verificação automática do back-up realizado. O pessoal de TI deve efetuar

a guarda dos logs de back-up realizados pelo prazo mínimo de 1 ano para posterior

conferencia.

Equipamentos, informações ou software não devem ser retirados da

organização sem autorização.

Toda informação, quer em mídia eletro-eletrônica ou papel, deve ficar

sempre guardada em locais apropriados e de acesso restrito, especialmente fora

dos horários de trabalho normal.

É recomendado que uma outra cópia seja guardada fora do site,

semanalmente, por meio do gerente de TI ou um funcionário autorizado.

Aconselha-se que seja feita uma vez por semana o back-up completo dos

sistemas e, diariamente, de preferência à noite ou madrugada, a cópia incremental,

ou seja, o que foi modificado, salvo informações críticas à organização, essas, se

viável, deve ser feito backup completo todos os dias em mídia diferenciada.

A restauração deve ocorrer da última cópia completa até as cópias com as

alterações incrementais (layered over), até o momento do evento. Esses testes de

restauração devem ocorrer diariamente e os logs devem ser guardados pelo pessoal

de TI pelo prazo mínimo de 1 ano para posterior conferencia.

23

4.4.4 P04 – Política de tratamento de incidentes

Deve-se atender às seguintes diretrizes para lidar com os incidentes que

porventura venham a ocorrer:

Devem-se efetuar todos os registros de incidentes bem como as suas

soluções propostas, sendo submetidos ao gerente de rede, ou ao administrador de

TI e este ao Comitê de Segurança da empresa.

A análise do incidente deverá ser discutida em uma reunião em grupo

como comitê de segurança da empresa para identificar os pontos fracos, visando

prevenir incidentes futuros, procurando sempre contar com o apoio da área de TI e

demais áreas de empresa atingidas pelo evento.

No caso de visitante não autorizado, o funcionário deve notificar

imediatamente o departamento de segurança e solicitar auxílio para remoção do

mesmo.

Caso o visitante seja pego cometendo furto, ataque ou destruição da

propriedade deve-se notificar o departamento de segurança para que ele entre em

contato com as autoridades competentes.

Todas as testemunhas devem fornecer aos responsáveis pela segurança

um depoimento detalhado do incidente que indique a presença de um visitante não

autorizado e devem estar disponíveis para interrogatório posterior pela segurança e

pelas autoridades competentes.

Todas as portas, fechaduras e métodos de acesso que não estejam

funcionando devem ser informados ao departamento de segurança. A segurança

coordenará com o departamento de manutenção a correção do equipamento

defeituoso.

Os gerentes devem ser notificados quando um funcionário estiver

envolvido em uma brecha de segurança.

Os funcionários não devem tratar destas situações sozinhos, mas devem

notificar a segurança e permitir que o pessoal da segurança controle a situação.

Se uma invasão (a sistemas) causar parada ou ruptura de serviços, a

prioridade é restabelecer os serviços, porém sempre que possível, os

administradores devem tentar identificar a origem do problema, preservando as

evidências.

24

No caso de uma invasão é aconselhável rever as regras dos filtros dos

roteadores e firewalls, modificando-as para controlar os efeitos.

Em caso de incidente que resulte em perda de dados, o funcionário deve

notificar ao responsável pela rede imediatamente.

O responsável pela rede deve sempre relatar os incidentes ao Comitê de

Segurança.

Em caso de incidentes, como falha de hardware, comprometimento do

sistema ou invasões de um servidor ou outro ativo, deve-se removê-lo da rede e

deixá-lo em seu estado atual a fim de permitir um trabalho de investigação eficiente.

É importante que a empresa adote um esquema de Auditorias. Neste

caso, os funcionários devem ler e entender e cooperar com os procedimentos e

diretivas adotadas.

As auditorias serão realizadas principalmente em servidores e

equipamentos de rede para assegurar a configuração e atualização adequadas.

Os auditores podem ser funcionários internos ou de órgãos externos, com

ou sem o conhecimento dos administradores.

Quanto à possibilidade de roubo de equipamentos móveis, os notebooks

devem utilizar senhas de BIOS para evitar acesso não autorizado.

Os usuários jamais devem deixar sessões abertas, efetuando o logout

quando ele não estiver em uso.

Recomenda-se que dados importantes sejam protegidos por senhas e

criptografia.

É fortemente recomendado que o usuário utilize senhas diferentes para os

sistemas e equipamentos, defendendo-se em caso de roubo de alguma senha.

Estes equipamentos portáteis devem estar presos fisicamente através de

cabos, correntes ou outro dispositivo de segurança, ou ainda, trancados em gavetas

ou armários quando fora de uso.

25

4.4.5 P05 – Política de Manutenção de Equipamentos

A manutenção de equipamentos de Informática deve ser de acordo com

intervalos e especificações do fabricante. Se essas recomendações não forem

conhecidas, procedimentos de manutenção devem ser elaborados e aplicados;

Apenas profissionais autorizados podem fazer manutenção nos

equipamentos, ou seja, o próprio fabricante, empresas autorizadas por ele e equipes

de manutenção de redes da área de Informática da empresa, sendo

terminantemente proibido ao usuário efetuar qualquer alteração e/ou intervenção no

hardware do equipamento.

Caso ocorra a necessidade de intervenção por empresas “terceiras”, o

serviço somente poderá ter sua realização permitida mediante acompanhamento de

pessoal autorizado do Setor de Informática da empresa.

Devem ser mantidos registros de todas as falhas suspeitas ou ocorridas

em toda manutenção preventiva e corretiva. É recomendado o uso de um sistema

computacional com um banco de dados para estas informações, preferencialmente

com acesso via web.

Equipamentos enviados para manutenção de terceiros e que possuem

meios de armazenamento (disco rígido, fitas, etc) devem ter seus itens checados

para assegurar que toda informação sensível, sigilosa e software licenciado foi

removido ou sobreposto antes da alienação do equipamento.

Um hardware sobressalente deve estar disponível caso a criticidade do

equipamento seja alta.

Dispositivos de armazenamento danificados, assim como equipamentos,

devem sofrer uma avaliação de riscos para verificar se eles devem ser destruídos,

reparados ou descartados. Recomenda-se que cada ativo ou parte dele seja

avaliado pela Comissão constituída pelo comitê de segurança da informação da

empresa, à qual caberá dar o devido destino.

26

4.4.6 P06 – Política de Correio Eletrônico

O USUÁRIO deverá abster-se de utilizar a conta de correio cedida pela

empresa para:

Enviar, transmitir ou disponibilizar, de qualquer forma, mensagens

publicitárias ou de natureza comercial a uma pluralidade de pessoas, sem a prévia

solicitação destas, sobretudo se forem ilícitas ou que constituam concorrência

desleal.

Enviar, transmitir ou disponibilizar, de qualquer forma, quaisquer

mensagens não solicitadas ou não consentidas a uma ou mais pessoas.

Enviar, transmitir ou disponibilizar, de qualquer forma, "correntes",

mensagens tipo 'pirâmides' ou qualquer outro tipo de apelo, que cresçam em

progressão geométrica, causando congestionamento do serviço de correio eletrônico

ou dos Grupos de Notícias ('Newsgroups'), exceto nas áreas reservadas para esse

fim.

Disponibilizar os dados de identificação pessoal de outros usuários, que

eventualmente lograr coletar pela Internet, para terceiros.

Enviar mensagem para uma ou mais pessoas com qualquer conteúdo

que, em geral, seja contrário à lei, à ordem, às condições de uso aqui determinadas

e aos bons costumes, inclusive aquelas que disseminem discriminação e

preconceitos de qualquer ordem, ou induzam a um estado psíquico ou emocional

insalubre.

Enviar mensagens que contenham palavras, termos, expressões,

imagens, figuras, símbolos ou fotos de caráter obsceno ou pornográfico, bem como

de caráter difamatório, degradante, infame, violento, injurioso, de divulgação de

pirataria de software ou que afetem a intimidade pessoal e/ou familiar de outrem.

Enviar pluralidade de mensagens para um mesmo endereço eletrônico,

conhecido como 'mail bombing' ('bombardeio de mensagens eletrônicas') com

conteúdo de qualquer natureza.

Enviar ou divulgar mensagens de conteúdos falsos ou exagerados que

possam induzir a erros o seu receptor.

Enviar ou divulgar mensagens que infrinjam normas sobre o segredo das

comunicações.

27

Enviar, disponibilizar ou transmitir mensagens que transmitam vírus ou

outro código, arquivo ou objeto que possam causar danos de qualquer natureza ao

serviço utilizado e/ou às pessoas que dele se utilizam.

Postar mensagens e/ou advertências que violem as regras de um

determinado Grupo de Notícias ('Newsgroups') ou Lista de Mala Direta ('Mailing

List'), sendo reservado à empresa Enerlux ou ao Administrador de tal serviço, a

adoção das medidas cabíveis julgadas necessárias.

À Empresa Enerlux reserva-se o direito, em caso de não atendimento à

política aqui disposta, da aplicação das punições previstas no documento “Termo de

Ciência das Políticas e Penalidades” .

28

BIBLIOGRAFIA

GOLDIM, José; Kennedy Institute of Ethics. Bioethics Thesaurus. Washington: KIE,

1995.

JUNIOR, Arthur; FONSECA, Fernando; COELHO, Paulo; Entendendo e

implementando a Norma ABNT NBR ISO/IEC 17799:2005 - Academia Latino

Americana de segurança; 2006.

LOCKABIT - Pequeno histórico sobre o surgimento das Normas de Segurança.

Disponível em: <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=69>.

Acessado em: 20/11/07.

SECURITY, Data - Política De Segurança Da Informação, 2006. Disponível em:

<http://www.brdatanet.com.br/solucoes/politica.htm>. Acessado em: 20/11/07.

USPNET, Comissão de Segurança da - NORMA DE SEGURANÇA PARA A

USPNET, São Paulo, 1997. Disponível em: <http://www.security.usp.br/

normas/pseg01.html>. Acessado em:12/11/07.

WIKIPEDIA; Segurança da informação, 2007; Disponível em: <http://pt.wikipedia.org/

wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o>. acessador em: 27/11/07.

29

ANEXOS

30

ANEXO A - TERMO DE CONFIDENCIALIDADE DA INFORMAÇÃO

XXX , nacionalidade, estado civil, função, inscrito(a) no CPF/MF

sob o nº 000000, abaixo firmado, assume o compromisso de manter

confidencialidade e sigilo sobre todas as informações técnicas e outras relacionadas

ao trabalho e sistemas computacionais da Empresa Enerlux, do qual sou

(funcionário, estagiário, terceirizado), a que tiver acesso durante o período de meu

contrato, relacionados ao desenvolvimento de minhas funções.

Por este Termo de Confidencialidade compromete-se:

1. a não utilizar as informações confidenciais a que tiver acesso, para gerar

benefício próprio exclusivo e/ou unilateral, presente ou futuro, ou para uso de

terceiros;

2. a não efetuar nenhuma gravação ou cópia da documentação confidencial a

que tiver acesso relacionada a tecnologia da informação da empresa Enerlux;

3. a não apropriar-se para si ou para outrem de material confidencial e/ou

sigiloso que venha a ser disponível através da tecnologia ora mencionada;

4. a não repassar o conhecimento das Informações confidenciais,

responsabilizando-se por todas as pessoas que vierem a ter acesso às informações,

por seu intermédio, e obrigando-se, assim, a ressarcir a ocorrência de qualquer dano

e/ou prejuízo oriundo de uma eventual quebra de sigilo das informações fornecidas.

Neste Termo, as seguintes expressões serão assim definidas:

• “ Informação Confidencial” significará toda informação revelada relacionada a

tecnologia acima descrita, através da execução de suas funções, a respeito de, ou,

associada com a Avaliação, sob a forma escrita, verbal ou por quaisquer outros

meios.

• “ Informação Confidencial” inclui, mas não se limita, à informação relativa às

operações, processos, planos ou intenções, informações sobre produção,

instalações, equipamentos, segredos de negócio, segredos de fábrica, dados,

habilidades especializadas, projetos, métodos e metodologia, fluxogramas,

31

especificações, componentes, fórmulas, produtos, amostras, diagramas, desenhos,

desenhos de esquema industrial, patentes, oportunidades de mercado e questões

relativas a negócios revelados durante a execução de qualquer projeto da empresa.

• “Avaliação” significará todas e quaisquer discussões, conversações ou

negociações entre, ou com as partes, de alguma forma relacionada ou associada

com a apresentação da proposta acima mencionada.

A vigência da obrigação de confidencialidade, assumida pela minha pessoa por meio

deste termo, terá validade por 20 anos, ou enquanto a informação não for tornada de

conhecimento público por qualquer outra pessoa, ou ainda, mediante autorização

escrita, concedida à minha pessoa pelas partes interessadas neste termo.

Pelo não cumprimento do presente Termo de Confidencialidade, fica o abaixo

assinado ciente de todas as sanções judiciais que poderão advir.

Fortaleza, __________ de ______________________ de 200__.

____________________________ ______________________________

Colaborador Responsável pelo Setor de TI

TESTEMUNHAS:

_____________________________

Nome:

CPF:

_____________________________

Nome:

CPF:

32

ANEXO B - TERMO DE CIÊNCIA DAS POLITICAS E PENALIDADES

1 Informações Gerais:

Este termo se refere ao uso devido dos equipamentos e da rede de

computadores da Empresa Enerlux, estando sob a responsabilidade do setor de TI.

A Empresa Enerlux reserva-se o direito de cancelar qualquer tarefa que

possa comprometer a performance dos servidores. Neste caso, podendo sem aviso

prévio efetuar o bloqueio ao usuário ao link e/ou sistemas de informática da

empresa.

Diariamente é efetuado backup dos dados contidos nos Servidores da

Empresa, não se responsabilizando, portanto por perdas de informações não

contidas em seu ambiente de rede.

A Enerlux reserva-se o direito de, a qualquer momento, fazer uma análise

dos equipamentos e recursos que são utilizados pelos colaboradores (dados,

internet, correio, telefonia e etc.).

2. Obrigações do Colaborador

Zelar pela eficiência e efetividade da rede, adotando junto a todos os

usuários todas as medidas necessárias para evitar prejuízos ao funcionamento da

mesma de acordo com as Políticas de segurança adotadas pela empresa.

Fornecer ao setor de TI todas as informações solicitadas quando

necessário.

Colaborar com o setor de TI quando solicitado a desligar o equipamento e

quanto ao uso racional das informações contidas no ambiente de rede.

Informar ao setor de TI sempre que identificar qualquer anormalidade no

funcionamento da rede.

Manter pastas e documentos importantes da empresa em ambiente de

rede, sempre zelando pela organização das mesmas.

Manter a senha de acesso à rede atualizada.

33

3. Proibições:

Transmitir ou armazenar qualquer informação, dado ou material que viole

qualquer lei federal, estadual ou municipal, do Brasil e de outros países.

Promover ou prover informação instrutiva sobre atividades ilegais, que

promovam ou induzam a dano físico ou moral contra qualquer grupo ou indivíduo.

Disponibilizar, utilizar ou armazenar qualquer material de conteúdo

grotesco ou ofensivo às pessoas, à empresa ou à sociedade.

Enviar abusiva e generalizadamente e-mails ou enviá-los sem solicitação

do(s) destinatário(s), partindo de um servidor da empresa, sob pena de

sobrecarregar os servidores, prejudicando o desempenho, às vezes, de toda rede.

Transferir a senha a terceiros ou permitir que se utilizem sua conta, que é

de uso exclusivo do colaborador.

Tentar ou efetivamente quebrar as senhas ou invadir contas pertencentes

a outros colaboradores.

Utilizar equipamentos e recursos da rede para tarefas particulares dentro

do horário de expediente.

Desligar o computador em período em que o antivírus estiver ativo.

4. Penalidades:

O não cumprimento das Políticas de Segurança da Informação da

empresa Enerlux acarretará as punições cabíveis constantes em regulamento

interno da empresa Enerlux, ou de acordo com a CLT, a saber:

1. Advertência Verbal;

2. Advertência Escrita;

3. Suspensão ou

4. Demissão.

Bem como Assim, o mesmo responderá por qualquer ação legal

apresentada à empresa Enerlux e que o envolva.

Declaro que estou ciente e concordo com todas as informações contidas

neste documento, bem como com as Políticas de Segurança da Informação da

empresa Enerlux.

34

Fortaleza, __________ de ______________________ de 200__.

____________________________ ______________________________

Colaborador Responsável pelo Setor de TI

TESTEMUNHAS:

_____________________________

Nome:

CPF:

_____________________________

Nome:

CPF: