Política de Segurança da Informação (PSI)
1. Introdução
A segurança é um dos assuntos mais importantes dentre as preocupações de qualquer empresa.
Nesse documento apresentaremos um conjunto de instruções e procedimentos para normatizar e melhorar nossa visão e atuação em segurança.
1.1 A empresa e a política de segurança
Todas as normas aqui estabelecidas serão seguidas à risca por todos os funcionários, parceiros e prestadores de serviços. Ao receber essa cópia da Política de Segurança, você se compromete a respeitar todos os tópicos aqui abordados. A equipe de segurança encontra-se a total disposição para tirar dúvidas e fornecer auxílio técnico.
1.2 O não cumprimento dessa política
O não comprimento dessas políticas acarretará em sanções administrativas em primeira instância, podendo acarretar no desligamento do funcionário de acordo com a gravidade da ocorrência.
2. Autenticação
A autenticação nos sistemas de informática geralmente é baseada em uma senha. Esse meio é muito utilizado por sua facilidade de implantação e manutenção e por seu baixo custo. Porém, é um meio inseguro e suscetível à ataques. Por isso foi criada a autenticação de dois fatores (2FA), um meio que exige que o usuário forneça dois meios de identificação antes de conseguir se autenticar.
Então aprenda a criar senha de forma coerente, observando nossa política de senhas e utilize o 2FA sempre que possível.
2.1 Política de senhas
Para facilitar a memorização das senhas, utilize padrões mnemônicos. Por exemplo: eSusOi1oC (eu SEMPRE uso Oito Caracteres).
As senhas devem ter um tempo curto de vida útil, devendo ser alteradas com periodicidade:
- Utilize senha de no mínimo 8 caracteres, alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação de maiúsculo e minúsculo;
- Não utilize a mesma senha para diversas finalidades, por exemplo, para sistemas corporativos, conta bancária, e-mail, etc.
- Sua senha não deve ser jamais passada a ninguém. Caso desconfie que sua senha não está mais segura, você deve altera-la imediatamente;
- Tudo que for executado com a sua senha será de sua inteira responsabilidade, por isso tome todas as precauções possíveis para manter sua senha secreta;
- As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos não criptografados;
- As senhas não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras;
- Utilize um software gerenciador de senhas para gerar senhas fortes e armazena-las de forma segura.
2.2 Autenticação de dois fatores (2FA)
Autenticação por dois fatores, também conhecida como 2FA, é uma informação adicional que é usada para permitir acesso à determinado serviço. Normalmente as pessoas somente utilizam um nome de usuário e uma senha. Mas se a senha é fácil de adivinhar ou foi roubada, a conta poderia ficar comprometida. Ela oferece identificação aos usuários através da combinação de dois componentes diferentes. Esses componentes podem ser algo que o usuário sabe, algo que o usuário possui ou algo que é inseparável do usuário. Um bom exemplo da vida cotidiana é a operação de saque em um terminal bancário de auto-atendimento. Apenas a combinação correta do cartão (algo que o usuário possui) e da senha (algo que o usuário sabe) permite a operação ser completada.
É considerada uma boa prática o uso da autenticação por dois fatores quando ela estiver disponível.
3. Política de e-mail
- Não abra anexos com as extensões
.exe
,.com
,.bat
,.pif
,.js
,.vbs
,.hta
,.src
,.cpl
,.reg
,.dll
,.inf
ou qualquer outra extensão que represente um risco à segurança; - Não envie e-mails do tipo corrente, criança desaparecida, criança doente, pague menos em alguma coisa , não pague alguma coisa, aumente o tamanho do seu pênis, etc.;
- Não utilize o e-mail da empresa para assuntos pessoais;
- Não mande e-mails para mais de 10 pessoas de uma única vez. Utilize cc ou bcc;
- Não divulgue informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
- Não falsifique informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
- Não produza, transmita ou divulgue mensagens que tenham conteúdo considerado impróprio, obsceno ou ilegal;
- Os e-mails sempre devem conter seu nome, telefone, logotipo e área da empresa;
- Não será tolerado e-mails contendo perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
- Não cadastre o e-mail institucional em listas de discussões não ligadas ao trabalho.
4. Políticas de acesso a Internet
- Sites com conteúdo pornográfico, jogos, bate-papo, apostas e similares não devem ser acessados a partir do escritório da empresa;
- Não utilize os recursos da empresa para deliberadamente propagar qualquer tipo de vírus, worm, trojan, spam, assédio, perturbação ou software de controle de outros computadores;
- Materiais de cunho sexual não podem ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso.
5. Política de uso de estação de trabalho
Cada estação de trabalho tem códigos internos que permitem que ela seja identificada na rede, e cada indivíduo possui sua própria estação de trabalho. Isso significa que tudo que venha a ser executado de sua estação acarretará em responsabilidade sua. Por isso sempre que sair da frente de sua estação, tenha certeza que efetuou logoff ou travou o console.
- Não instale nenhum tipo de software / hardware sem autorização da equipe técnica ou de segurança em dispositivos fornecidos pela empresa;
- Mantenha na sua estação somente o que for supérfulo ou pessoal. Todos os dados relativos à empresa devem ser mantidos na cloud do Google Drive ou repositório Git;
- Não tente obter acesso não autorizado a outro computador, servidor ou rede;
- Não acesse informações confidenciais sem explícita autorização do proprietário;
- Não analise os dados trafegados pela rede;
- Não interrompa um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
- Não hospede pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;
- Não utilize software pirata em equipamentos da empresa.
6. Política Social
Como seres humanos, temos a grande vantagem de sermos sociáveis, mas muitas vezes quando descorremos sobre segurança, isso é uma desvantagem. Por isso observe os seguintes tópicos:
- Não fale sobre a política de segurança da empresa com terceiros ou em locais públicos;
- Não diga sua senha para ninguém;
- Não digite suas senhas ou usuários em máquinas de terceiros, especialmente fora da empresa;
- Relate a equipe de segurança pedidos externos ou internos que venham a discordar dos tópicos anteriores.
7. Vírus e códigos maliciosos
- Mantenha seu anti-vírus (se houver) e sistema operacional atualizado;
- Reporte atitudes suspeitas em seu sistema a equipe técnica;
- Suspeite de softwares que “você clica e não acontece nada”.
8. Engenharia Social
A engenharia social, no contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais. Este é um termo que descreve um tipo de intrusão que depende fortemente de interação humana e envolve enganar outras pessoas para quebrar procedimentos de segurança. Para reduzir o risco:
- Evite falar sobre assuntos confidenciais sobre trabalho com desconhecidos;
- Não abra anexos de e-mails suspeitos;
- Não permita que ninguém além de você utilize seu equipamento de trabalho.