1. Fundamentos e Conceitos de Política de Segurança da MSC SECURITIZADORA S/A:
Para a implementação de controles de segurança faz-se necessária a criação de um processo de gestão da segurança da informação. Este processo deve considerar o incentivo à definição de políticas de segurança, cujos escopos devem abarcar o gerenciamento de riscos baseado em análise quantitativa e qualitativa, como análises de custo benefício e programas de conscientização.
A gestão da segurança da informação inicia-se com a definição de políticas, procedimentos, guias e padrões. As políticas podem ser consideradas como o mais alto nível de documentação da segurança da informação, enquanto nos níveis mais baixos podemos encontrar os padrões, procedimentos e guias. Isto não quer dizer que as políticas sejam mais importantes que os guias, procedimentos e padrões.
O primeiro documento a ser definido deve conter o comprometimento da alta administração, deixando clara a importância da segurança da informação e dos recursos computacionais para a missão institucional. É uma declaração que fundamenta a segurança da informação na totalidade da instituição. Deve conter ainda a autorização para a definição dos padrões, procedimentos e guias de mais baixo nível.
As políticas de alerta não são mandatórias, mas são fortemente incentivadas, normalmente incluindo as consequências da não conformidade com as mesmas. A política informativa é aquela que existe simplesmente para informar aos usuários de um determinado ambiente. Não implica necessariamente em requisitos específicos, e seu público alvo pode ser determinados setores somente ou até mesmo parceiros externos. Possuindo caráter genérico, pode ser distribuída para parceiros externos, como fornecedores, por exemplo, que acessam a rede do local, sem que isso acarrete o comprometimento da informação interna.
Os regulamentos de segurança são políticos que uma instituição deve implementar em conformidade com legislação em vigor, garantindo aderência a padrões e procedimentos básicos de setores específicos.
Os padrões especificam o uso uniforme de determinadas tecnologias. Normalmente são mandatórios e implementados através de toda a instituição, a fim de proporcionar maiores benefícios.
Os fundamentos ou princípios são semelhantes aos padrões, com pequena diferença. Uma vez que um conjunto consistente de fundamentos seja definido, a arquitetura de segurança de uma instituição pode ser planejada e os padrões podem ser definidos. Os fundamentos devem levar em conta as diferenças entre as plataformas existentes, para garantir que a segurança seja implementada uniformemente em toda a instituição. Quando adotados, são mandatórios. Os guias são similares aos padrões, embora mais flexíveis, se referindo a metodologias para os sistemas de segurança, contendo apenas ações recomendadas e são mandatórias. Consideram a natureza distinta de cada sistema de informação.
Podem ser usados para especificar a maneira pela qual os padrões devem ser desenvolvidos, como quando indicam a conformidade com certos princípios da segurança da informação. Os procedimentos contêm os passos detalhados que devem ser seguidos para a execução de tarefas específicas. São ações detalhadas que as partes interessadas pertinentes e não pertinentes devem seguir. São considerados como inseridos no mais baixo nível em uma cadeia de políticas. O seu propósito é fornecer os passos detalhados para a implementação das políticas, padrões e guias. Também podem ser chamados de práticas. As responsabilidades devem estar relacionadas com o perfil de cada envolvido no processo, como nos exemplos listados a seguir:
a. Gerentes de mais alto nível: Estão envolvidos com toda a responsabilidade da segurança da informação. Podem delegar a função de segurança, mas são vistos como o principal ponto quando são consideradas as responsabilizações por eventos relacionados com a segurança;
b. Profissionais de segurança dos sistemas de informação: Recebem da gerência de mais alto nível a responsabilidade pela implementação e manutenção da segurança. Estão sob sua responsabilidade o projeto, a implementação, o gerenciamento e a revisão das políticas, padrões, guias e procedimentos;
c. Possuidores de dados: São responsáveis pela classificação da informação. Podem também ser responsabilizados pela exatidão e integridade das informações;
d. Usuários: Devem aderir às determinações definidas pelos profissionais de segurança da informação;
e. Auditor de sistemas de informação: São responsáveis pelo fornecimento de relatórios para gerência superior sobre a eficácia dos controles de segurança, consolidados através de auditorias independentes e periódicas. Também analisam se as políticas, padrões, guias e procedimentos são eficazes e estão em conformidade com os objetivos de segurança definidos para a instituição.
2. Recomendações Gerais da MSC SECURITIZADORA S/A
2.1. Recomendações para o uso aceitável dos recursos de TIO uso correto e responsável dos recursos de TI deve ser aplicado a todos os usuários da MSC SECURITIZADORA S/A, inclusive as partes interessadas pertinentes, que utilizam esses recursos e a infraestrutura disponível.
Somente atividades lícitas, éticas e administrativamente admitidas devem ser realizadas, pelo usuário, no âmbito da infraestrutura de TI, ficando os transgressores sujeitos à Lei Penal, Civil e Administrativa, na medida da conduta, dolosa ou culposa, que praticarem.
Os sistemas de TI deverão ser utilizados sem violação dos direitos de propriedade intelectual de qualquer pessoa ou da MSC SECURITIZADORA S/A, como marcas e patentes, nome comercial, segredo empresarial, domínio na Internet, desenho industrial ou qualquer outro material, que não tenha autorização expressa do autor ou proprietário dos direitos, relativos à obra artística, científica ou literária.
As informações da MSC SECURITIZADORA S/A devem ser utilizadas apenas para os propósitos definidos na sua missão institucional.
2.2. Recomendações para o uso seguro dos recursos de TI. O envolvimento do usuário é importante no processo da segurança dos recursos de TI, pois é na adequada utilização destes recursos, como instrumento de trabalho, que se inicia a formação de uma sólida cultura de segurança da informação. Desta forma, recomenda-se aos usuários a adoção das seguintes práticas:
a. Manter registro das cópias de segurança;
b. Guardar as cópias de segurança em local seguro e distinto daquele onde se encontra a informação original;
c. Utilizar um método de senhas que garante a segurança do usuário;
d. Alterar periodicamente suas senhas;
e. Utilizar um método de segurança que garanta o atendimento com o Art. 46 e Art. 47, de acessos não autorizados;
f. Certificar a procedência do site e a utilização de conexões seguras ao realizar transações via web;
g. Certificar que o endereço apresentado no navegador corresponde ao site que realmente se quer acessar, antes de realizar qualquer ação ou transação;
h. Digitar no navegador o endereço desejado e não utilizar links como recurso para acessar um outro endereço destino;
i. Não abrir arquivos ou executar programas anexados a e-mails, sem antes verificá-los com um antivírus;
j. Não utilizar o formato executável em arquivos compactados, pois estes tipos são propícios à propagação de vírus.
2.3. Recomendações sobre atividades permitidas
a. Utilizar programas de computador licenciados para uso da MSC SECURITIZADORA S/A;
b. A instalação de programas e sistemas homologados é atribuição da administração de sistemas e TI;
c. Criar, transmitir, distribuir, disponibilizar e armazenar documentos, desde que respeite às leis e regulamentações, notadamente àqueles referentes aos crimes informáticos, ética, decência, pornografia envolvendo crianças, honra e imagem de pessoas ou empresas, vida privada e intimidade
2.4. Recomendações sobre atividades não permitidas
a. Introduzir códigos maliciosos nos sistemas de TI;
b. Revelar códigos de identificação, autenticação e autorização de uso pessoal (conta, senhas, chaves privadas etc.) ou permitir o uso por terceiros de recursos autorizados por intermédio desses códigos;
c. Divulgar ou comercializar produtos, itens ou serviços a partir de qualquer recurso dos sistemas de TI;
d. Tentar interferir sem autorização em um serviço, sobrecarregá-lo ou, ainda, desativá-lo, inclusive aderir ou cooperar com ataques de negação de serviços internos ou externos;
e. Alterar registro de evento dos sistemas de TI;
f. Modificar cabeçalho de qualquer protocolo de comunicação de dados;
g. Obter acesso não autorizado, ou acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de TI;
h. Monitorar ou interceptar o tráfego de dados nos sistemas de TI, sem a autorização de autoridade competente;
i. Violar medida de segurança ou de autenticação, sem autorização de autoridade competente;
j. Fornece informações a terceiros, sobre usuários ou serviços disponibilizados nos sistemas de TI, exceto os de natureza pública ou mediante autorização de autoridade competente;
k. Fornecer dados classificados de acordo com a legislação vigente, sem autorização de autoridade competente;
l. Armazenamento ou uso de jogos em computador ou sistema informacional;
m. Uso de recurso informacional da MSC SECURITIZADORA S/A para fins pessoais, incluindo entre estes o comércio, venda de produtos ou engajamento em atividades comerciais de qualquer natureza;
n. Uso de aplicativos não homologados nos recursos informacionais;
3.1. Recomendações para controle de acesso à:
a. O acesso a informações rotuladas como públicas e uso interno não é restringido com controles de acesso que discriminam o usuário. Por outro lado, o acesso às informações confidenciais ou restritas serão permitidas apenas quando uma necessidade de trabalho tiver sido identificada e tal acesso aprovado pela unidade responsável. Da mesma forma, o acesso a alguns equipamentos de hardware e/ou software especiais (como equipamentos de diagnóstico de rede chamados “sniffers”) deve ser restrito a profissionais competentes, com uso registrado e baseado nas necessidades do local.
b. Recursos automáticos: Será dado a todos os usuários, automaticamente, o acesso aos serviços básicos como correio eletrônico, aplicações de produtividade e browser WEB. Estas facilidades básicas irão variar de acordo com os cargos. Todos os outros recursos dos sistemas serão providos via perfis de trabalho ou por uma solicitação especial feita ao proprietário da informação envolvida. A existência de acessos privilegiados, não significa por si só, que um indivíduo esteja autorizado a usar esses privilégios.
c. Solicitação de acesso: As solicitações para novas identificações de usuários e alterações de privilégios devem ser feitas por escrito e aprovadas pela chefia imediata do usuário antes que um administrador de sistema realize tal solicitação. Os usuários devem declarar, claramente, porque são necessárias alterações em seus privilégios e a relação de tais alterações com as atividades exercidas;
d. O processo de aprovação do acesso deve ser iniciado pelo superior do usuário e os privilégios garantidos continuarão em efeito até que o usuário mude suas atividades ou deixe-as. Se um desses dois eventos ocorrer, o superior hierárquico tem que notificar imediatamente a unidade responsável. Todos aqueles que não são usuários diretos (contratados, consultores, temporários, etc.) têm que se submeter a um processo semelhante através de seus gerentes de projetos. Os privilégios destas pessoas deverão ser imediatamente revogados quando da finalização do projeto. O mesmo deverá ser observado no desligamento antecipado, considerando ainda a responsabilização pelas atividades e atos cometidos durante a sua permanência no local.
e. Os privilégios para todos os usuários dos serviços da rede deverão ser revistos a cada seis meses.
f. Termo de Responsabilização e Sigilo: Todos os usuários que desejam usar os sistemas devem assinar este termo antes de acessar as dependências do local. Nos casos em que o usuário já possua a identificação e acesso ao local, mas que ainda não tenha assinado tal termo, a assinatura do termo deve ser obtida em caráter de urgência. A assinatura deste termo indica que o usuário em questão entende e concorda com as políticas, padrões, normas e procedimentos da MSC SECURITIZADORA S/A relacionados ao ambiente de TI(incluindo as instruções contidas neste documento), bem como as implicações legais decorrentes do não cumprimento do disposto.
g. Senha de Acesso: As senhas de acesso são controles de segurança essenciais para os sistemas de segurança do ambiente de TI. Para garantir que os sistemas de segurança façam a parte do trabalho para o qual eles foram desenvolvidos, os usuários devem escolher senhas que sejam difíceis de serem deduzidas.
h. Proibição de Senhas de Acesso Cíclicas: Os usuários dos recursos de TI devem utilizar sempre novas senhas e o histórico das senhas já utilizadas deve ser mantido pelo banco de dados. Os usuários podem escolher senhas de fácil memorização, mas que sejam ao mesmo tempo difíceis de serem descobertas por outras pessoas.
i. Encadear várias palavras formando o que é conhecido como “frases de acesso”. Combinar números e pontuação em uma palavra regular.
j. Criar acrônimos a partir de palavras de música, um poema ou outra sequência de palavras conhecidas.
k. Em caso de suspeita de exposição indevida do ambiente de TI, todas as senhas de acesso devem ser imediatamente alteradas.
l. Os usuários devem possuir orientação sobre a manutenção sigilosa das suas senhas de acesso e as responsabilidades envolvidas com o mal uso das mesmas. Independente das circunstâncias, as senhas de acesso não devem ser compartilhadas ou reveladas para outras pessoas que não o usuário autorizado, ficando o proprietário da senha responsável legal por qualquer prática indevida cometida.
m. Em caso de comprometimento comprovado da segurança do ambiente de TI por algum evento não previsto, todas as senhas de acesso deverão ser modificadas. Nestes eventos uma versão segura do sistema operacional assim como dos softwares de segurança deverá ser baixada novamente. Da mesma forma, sob uma dessas circunstâncias, todas as alterações recentes de usuários e privilégios do sistema devem ser revisadas a fim de detectar modificações não autorizadas de dados.
n. Todos os usuários têm que ser corretamente identificados antes de estarem aptos a utilizar qualquer atividade em computador ou recursos do ambiente de TI.
o. Quaisquer computadores que tenham comunicação remota em tempo real com os sistemas de TI, devem se submeter ao mecanismo de controle de acesso definido pela unidade competente, levando-se sempre em consideração os privilégios necessários ao acesso a cada tipo de informação.
p. Os computadores com informações sensíveis e/ou classificadas deverão, obrigatoriamente, ser desligados ou bloqueados na ausência do usuário.
q. Quando os equipamentos ou contas de usuário não estiverem em uso deverão ser imediatamente bloqueados ou desligados.
Deve ser vedado o acesso não autorizado às caixas postais de terceiros e as tentativas de acesso deverão ser registradas em log, inclusive acessos feitos indevidamente por administradores de sistemas;
Deve ser vedado o envio de informações críticas para pessoas ou organizações não autorizadas observando quando for o caso, orientações para o tratamento de informações classificadas;
Deve ser vedado o envio de material obsceno, ilegal ou não ético, envio de propaganda, mensagem do tipo corrente e de entretenimento, relacionadas com nacionalidade, raça, orientação sexual, religiosa, convicção política ou qualquer outro assunto que possa vir a difamar o usuário como cidadão e que não tenha relação com o serviço a que o usuário é destinado no ambiente do TI.
Deve ser vedado o envio de mensagens simultâneas aos usuários da rede, exceto por intermédio da administração desta;
É necessário o registro por parte do usuário, enquanto funcionário, nas listas de discussão em que se encontra inserido, para fins de controle e possível cancelamento quando houver necessidade;
É recomendada a utilização de Assinatura Digital, para o envio de mensagens internas via Correio Eletrônico Corporativo quando do trâmite de informações classificadas, seguindo sempre a legislação vigente que trata deste assunto.
Deve ser vedado aos usuários que fazem uso de sistemas de informação o acesso não autorizado a qualquer outro sistema que não possua permissão de uso, assim como a danificação, a alteração a interrupção da operação de qualquer sistema do ambiente de TI. Da mesma maneira deve ser vedado aos usuários a obtenção indevida desenhas de acesso, chaves criptográficas ou qualquer outro mecanismo de controle de acesso que possa possibilitar o acesso não autorizado a recursos informacionais;
A classificação ou reclassificação da informação deve seguir as orientações da legislação vigente;
Deve ser vedado aos usuários o acesso, modificação, a remoção ou a cópia de arquivos que pertençam a outro usuário sem a permissão expressa do mesmo;
A MSC SECURITIZADORA S/A deve reservar o direito de revogar os privilégios de usuário de qualquer sistema e a qualquer momento. Não sendo permitidas condutas que interfiram com a operação normal e adequada dos sistemas de informação e que adversamente afetam a capacidade de outras pessoas utilizarem esses sistemas de informação, bem como condutas que sejam prejudiciais e ofensivas;
Deve ser vedada aos usuários a execução de testes ou tentativas de comprometimento de controles interno, este tipo de prática somente pode ser permitido a usuários técnicos, em situações nas quais esteja ocorrendo monitoramento e análise de riscos, com a autorização da unidade competente;
Deve ser exigido a assinatura de termo de confidencialidade antes que seja fornecido o acesso aos sistemas relacionados com a cadeia de privilégios do usuário.
As configurações e atribuição de parâmetros em todos os computadores conectados à rede devem estar de acordo com as políticas e normas de gerenciamento internas.
A MSC SECURITIZADORA S/A quanto ao desligamento do usuário, seus arquivos armazenados em estação de trabalho ou em qualquer servidor de rede, também, seus documentos em papel devem ser imediatamente revisados pela chefia imediata para determinar quem tornará curador das informações relacionadas, assim como nos casos devidos, identificar o método mais adequado para a eliminação das mesmas, levando-se em conta as orientações sobre a eliminação de informações classificadas contidas na legislação vigente. Todas as atividades dos usuários que podem afetar os sistemas de informação da MSC SECURITIZADORA S/A devem ser possíveis de reconstituição a partir dos logs de maneira a evitar ou dissuadir o comportamento incorreto. Estes procedimentos devem contar inclusive com mecanismos de responsabilização claros e amplamente divulgados nos meios de comunicação internos.
A divulgação das regras e orientações de segurança aplicadas aos usuários finais deverão ser objeto de campanhas internas permanentes, seminários de conscientização e quaisquer outros meios de maneira a criar uma cultura de segurança da MSC SECURITIZADORA S/A.
Deve ser vedada a utilização de software da Internet ou de qualquer outro sistema externo. Esta proibição é necessária porque tal software pode conter vírus, worms, Cavalos de Tróia e outros podem comprometer o ambiente de TI. Caso haja uma legítima necessidade de obtenção de aplicações de terceiros o fato deve ser comunicado à unidade competente para que a mesma estabeleça os procedimentos de segurança necessários.
Deve ser vedada a utilização de dispositivos de armazenamento de origem externa, nas estações de trabalho ou nos servidores de rede antes de serem submetidos a um software antivírus. Todos os softwares e arquivos transferidos de fontes que não sejam próprias, via Internet (ou qualquer outra rede Pública) devem ser examinados com o software de detecção de vírus. Este exame deve acontecer antes que o arquivo seja executado ou aberto por um outro programa, como por exemplo, por um processador de texto e também, antes e depois que o material tenha sido descompactado.
O usuário do ambiente de TI da MSC SECURITIZADORA S/A não deve executar ou desenvolver qualquer tipo de programa ou processo externo às suas atividades .
Os usuários não devem desenvolver, gerar, compilar, copiar, coletar, propagar, executar ou tentar introduzir qualquer código projetado para se auto replicar, danificar ou de outra maneira obstruir o acesso ou afetar o desempenho de qualquer computador, rede ou sistema de TI. Deve ser vedado aos usuários e visitantes fumar, comer ou beber próximo aos equipamentos de TI.
A palavra “usuário” será utilizada para designar todos utilizadores do ambiente de TI, independente do cargo ocupado;
Instruções claras e bem divulgadas sobre normas existentes sobre a manipulação de informações;
Todos os usuários têm que observar as exigências para manipulação da informação, baseadas no tipo de informação considerada e que será definida pelo seu proprietário (ou responsável) seguindo as orientações encontradas no documento de Política de Segurança. Os proprietários podem atribuir controles adicionais para maior restrição de acesso ou para ampliar a proteção a suas informações.
A divulgação de informações CONFIDENCIAIS ou RESTRITA, para qualquer pessoa (usuário ou não do ambiente de TI)da MSC SECURITIZADORA S/A, é proibida, a menos que este acesso tenha sido previamente autorizado pelo proprietário da informação. Todas as pessoas que não forem usuários diretos, devem assinar um termo de confidencialidade antes de terem acesso a esses tipos de informação. Os curadores dessas informações devem verificar a existência deste termo, devidamente assinado, antes de divulgá-las para pessoas que não pertençam ao quadro funcional. O acesso a este tipo de informação deve ser sempre devidamente registrado.
A reprodução da informação CONFIDENCIAL e/ou RESTRITA, incluindo a impressão de cópias adicionais, não é permitida a menos que seja explicitamente autorizada por seu proprietário. Da mesma forma, trechos, resumos, traduções ou qualquer material derivado de informações sensíveis ou resguardadas por direitos autorais, não poderão ser feitos a menos que o proprietário da informação tenha aprovado previamente.
O transporte físico das informações CONFIDENCIAIS e/ou RESTRITAS requer a observação no disposto em legislação relacionada.
Quando as informações são CONFIDENCIAIS e/ou RESTRITAS não forem mais necessárias e quando exigências legais ou regulatórias para sua retenção não se aplicarem mais, elas deverão ser destruídas de acordo com os métodos aprovados. É proibida a eliminação em latas de lixo ou em depósitos de papel que serão encaminhados para reciclagem. A informação sensível em forma de papel deve ser eliminada com o uso de picotador de papel. A informação sensível armazenada em disquetes, fitas magnéticas ou outras mídias magnéticas computacionais deve ser destruída via reformatação ou apagando-se a informação caso a mídia seja reutilizada por outros sistemas do da MSC SECURITIZADORA S/A. A simples “remoção” de uma informação sensível armazenada em uma mídia magnética não é suficiente porque a informação pode ser definitivamente destruída com cortadores ou colocada em um recipiente especialmente destinado a armazenagem de informação sensível que será destruída.
É de competência de cada unidade e responsabilidade para assinatura de seus usuários, objetivando a declaração de conhecimento de suas normas de segurança. As transgressões a tais normas deverão ser apuradas em conformidade com a legislação aplicável.
E-mail:
[email protected]
Telefone comercial:
(11) 5199-4027
Site:
Canal de Denúncia e Informações
