manual de seguranca da informacao

Prévia do material em texto

C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 A
pr
es
en
ta
çã
o
03
Apresentação
Ciente da importância de aprimorar os controles de gestão e gover-
nança, garantindo a proteção da informação e zelando pela integri-
dade e sigilo dos dados corporativos, principalmente os dados dos 
Participantes e Assistidos, o Conselho Deliberativo da Fachesf apro-
vou a Política de Segurança da Informação, no dia 5 de Fevereiro de 
2010. 
O referido documento contém as principais diretrizes para todas as 
ações e demais regulamentos relacionados ao tema. Nos últimos 
anos, a Fachesf tem intensificado a implantação de vários controles 
de proteção da informação e a formalização da Política vem para 
aperfeiçoar esse processo.
A informação é um dos bens mais valiosos da Fachesf, indepen-
dentemente do formato que apresente: eletrônico (computador, 
pendrive, e-mail, etc.), linguagem falada (conversa pessoal ou telefô-
nica) ou escrita (documentos, cartas, etc.). Dessa forma, é importante 
protegê-la sempre. Você, como usuário, tem um papel fundamental, 
pois a segurança da informação acontece através das pessoas!
Cada funcionário é um elo dessa grande corrente. O envolvimento 
de todos é essencial na consolidação e representatividade da nossa 
Política de Segurança da Informação. 
Para apresentar os principais aspectos e conceitos que envolvem o 
tema, bem como facilitar e nivelar o entendimento de todos os cola-
boradores da Fachesf, elaboramos esta cartilha.
Sugerimos que você leia o material por inteiro e que as orientações 
aqui repassadas possam fazer parte do seu cotidiano.
A Diretoria Executiva 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 S
um
ár
io
04
Sumário
Os princípios básicos 
da Segurança Informação 
Parte 01 Parte 02
Segurança da Informação
da Fachesf
Parte 02 Parte 03
Atitudes para 
a Segurança da
Informação
Parte 03 Parte 04
Glossário:
Termos Utilizados na 
Segurança da Informção
Parte 03 Parte 05
A importância da 
Segurança da Informação 
para as empresas
Parte 01
ANEXO 
lítica de Seguran
Política de Segurança 
da Informação 
da Fachesf
Parte 05 Anexo
página 06
página 10
página 13
página 28
página 36
página 43
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
Su
m
ár
io
05
Sumário
Os princípios básicos 
da Segurança Informação 
Parte 01 Parte 02
Segurança da Informação
da Fachesf
Parte 02 Parte 03
Atitudes para 
a Segurança da
Informação
Parte 03 Parte 04
Glossário:
Termos Utilizados na 
Segurança da Informção
Parte 03 Parte 05
A importância da 
Segurança da Informação 
para as empresas
Parte 01
ANEXO 
lítica de Seguran
Política de Segurança 
da Informação 
da Fachesf
Parte 05 Anexo
página 06
página 10
página 13
página 28
página 36
página 43
Parte 01
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
1
07
Os pilares da segurança da informação nos dão ferramentas com-
pletas para proteger as informações das empresas, ou seja, minimi-
zar riscos e maximizar o maior retorno do investimento. Portanto, 
quando mencionamos “segurança da informação” estamos falando 
de proteções voltadas às informações impressas, verbais e sistêmi-
cas, bem como, nos controles de acesso, vigilância, contingência de 
desastres naturais, contratações, cláusulas e demais questões que 
juntas formam uma proteção adequada para qualquer empresa.
Mas o que é Segurança da Informação? 
Segurança da Informação é um conjunto de medidas constituídas 
basicamente de controles e de políticas de segurança, tendo como 
objetivo a proteção das informações, através do controle dos riscos 
de revelação ou alteração por pessoas não autorizadas. Segurança 
da Informação remete à ideia de que informações e/ou conhecimen-
tos estejam seguros e protegidos contra pessoas que não precisam 
(ou não devam) ter acesso a tais dados. 
A segurança visa também aumentar a produtividade dos usuários, 
através de um ambiente mais organizado, com maior controle sobre 
os recursos materiais, patrimoniais e de informática.
O que é Política de Segurança da Informação?
Política de Segurança é um conjunto de diretrizes que definem for-
malmente as regras e os direitos para todos os colaboradores, visan-
do à proteção adequada dos que compartilham a informação. Ela 
também define as atribuições de cada um dos atores, em relação à 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
1
08
O que é Engenharia Social?
É a ação mal intencionada que, aproveitando-se da ingenuidade 
e da confiança alheia, obtém informações importantes de uma 
determinada pessoa ou empresa, por meio de uma conversa 
informal. 
O indivíduo mal intencionado geralmente usa telefone, e-mail, sa-
las de bate-papo e até mesmo contato pessoal para conseguir as 
informações que procura.
 
Muito cuidado: desconfie de abordagens de pessoas que ligam e 
se identificam como técnicos ou funcionários de determinada firma 
e pedem dados sobre a Fachesf, um Participante, você, etc. Nunca 
forneça dados se não foi você quem iniciou o contato ou se não 
tem como assegurar a credibilidade da pessoa e da firma.
segurança dos recursos com os quais trabalham, além disso, deve 
prever o que pode ser feito e o que será considerado inaceitável. 
A informação é só o que está nos sistemas?
Não. Entende-se por informação todo e qualquer conteúdo ou dado 
que tenha valor para a organização ou pessoa. Além do que está 
armazenado nos computadores, a informação também está impres-
sa em relatórios, documentos, nos arquivos físicos, ou é repassada 
através de conversas nos ambientes interno e externo.
 
Por isso, todo cuidado é pouco na hora de imprimir relatórios, jogar 
papéis no lixo, deixar documentos em cima da mesa, conversar sobre 
a empresa em locais públicos ou com pessoas estranhas. 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
1
09
Internet: ameaças e vulnerabilidades
Atualmente a maioria das aplicações está ligada de alguma ma-
neira à Internet, que pode ser considerada um marco impor-
tante para reavaliar a maneira de utilizarmos o computador. 
Porém, se por um lado a Internet é uma ferramenta mais indispen-
sável a cada dia, e existe um número crescente de pessoas conecta-
das, isto leva inevitavelmente, à existência de pessoas que vão se 
aproveitar da situação para obter benefício próprio de forma ilegal. 
Com o aumento dos números de aplicações e a complexidade das 
redes, as pessoas e sistemas estão mais e mais susceptíveis a ataques.
O uso da Internet nas empresas trouxe novas vulnerabilidades na 
rede interna. Além das preocupações existentes com fraudes, er-
ros e acidentes, as empresas precisam se preocupar agora com os 
hackers, invasões, vírus, cavalos de tróia e outras ameaças que pe-
netram através dessa nova porta de acesso. 
Por que acontecem ataques?
De alguma maneira, ataques acontecem porque existe:
• Motivação de um hacker (atacante do sistema);
• Falha na estrutura de segurança do alvo atacado; 
• Desconhecimento do valor da informação. 
Podemos então imaginar isso tudo como uma balança: quanto mais 
vulnerável é o sistema de segurança de uma empresa, menos mo-
tivação precisa ter o hacker, pois é mais fácil efetuar o ataque. Se 
o sistema é muito bem protegido, entende-se que o hacker precisa 
de mais conhecimento, maior motivação e mais tempo para atacar.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
2
11
Os princípiosbásicos da Segurança da Informação são a Con-
fidencialidade, Integridade e Disponibilidade das informações. 
Outras características são a Irrefutabilidade, a Autenticação e o 
Controle de Acesso. Os benefícios evidentes são reduzir os ris-
cos com vazamentos, fraudes, erros, uso indevido, sabotagens, 
roubo de informações e diversos outros problemas que possam 
comprometer esses princípios básicos. 
Integridade: garantia da veracidade da informação, que 
não pode ser corrompida. A informação não deve ser alte-
rada enquanto está sendo transferida ou armazenada. Além 
disso, ninguém pode modificar seu conteúdo e muito menos 
eliminá-lo. 
Confidencialidade: proteção da informação comparti-
lhada contra acessos não autorizados.
• Ameaça à segurança: acontece quando há uma quebra de 
sigilo de uma determinada informação (ex: a senha de um 
usuário ou administrador de sistema), permitindo que sejam 
expostas informações restritas que deveriam ser acessíveis 
apenas por um determinado grupo de usuários.
• Ameaças à segurança: acontece quando uma determinada 
informação fica exposta ao manuseio por uma pessoa não 
autorizada, que efetua alterações que não foram aprovadas 
e não estão sob o controle do proprietário (corporativo ou 
privado) da informação.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
2
12
Disponibilidade: prevenção de interrupções na operação 
de todo o sistema; uma quebra do sistema não deve impedir 
o acesso aos dados. Os métodos para garantir a disponibi-
lidade incluem um controle físico e técnico das funções dos 
sistemas de dados, assim como a proteção dos arquivos, seu 
correto armazenamento e a realização de cópias de segurança.
• Ameaça à segurança: acontece quando a informa-
ção deixa de estar acessível para quem necessita dela. Se-
ria o caso da perda de comunicação com um sistema im-
portante para a empresa, devido à queda de um servidor 
ou de uma aplicação crítica de negócio, podendo ser por 
motivo interno ou externo ao equipamento por ação 
não autorizada de pessoas (com ou sem má intenção). 
Acesso controlado: o acesso dos usuários à informação 
é restrito e controlado, significando que só as pessoas que 
devem ter acesso a uma determinada informação, tenham 
esse acesso.
• Ameaça à segurança: descuido e possível quebra da confi-
dencialidade das senhas de acesso à rede, ou o acesso à rede 
por hackers mal intencionados.
Parte 03
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
14
Quanto ao uso dos recursos de Tecnologia
• Os recursos que permitem o acesso à informação são auto-
rizados e disponibilizados exclusivamente para o usuário de-
sempenhar suas funções na Fachesf ou para outras situações 
formalmente permitidas.
• Quando o usuário se comunicar através de recursos de 
tecnologia da Fachesf, a linguagem falada ou escrita deve 
ser profissional, de modo que não comprometa a imagem 
da Fundação. 
• Os conteúdos acessados e transmitidos através dos recur-
sos de tecnologia da Fachesf devem ser legais, de acordo 
com o Código de Ética da entidade, e devem contribuir para 
as atividades profissionais do usuário. 
• O uso dos recursos de tecnologia da Fachesf pode ser exa-
minado, auditado ou verificado pela Fundação, mediante 
autorização expressa da Diretoria Executiva, sempre respei-
tando a legislação vigente.
• Cada usuário é responsável pelo uso dos recursos que lhe 
foram fisicamente entregues e estão sob sua custódia, ga-
rantindo a conservação, guarda e legalidade dos programas 
(softwares) instalados.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
15
• Em caso de roubo ou furto de recursos físicos de tecnolo-
gia, o usuário deve fazer o registro da ocorrência em unida-
de policial, comunicar ao seu gestor e à ATI (Assessoria de 
Tecnologia da Informação).
• Os recursos de tecnologia da Fachesf, disponibilizados 
para os usuários, não podem ser repassados para outra pes-
soa interna ou externa da organização.
• Ao identificar qualquer irregularidade no recurso de tecno-
logia o usuário deve comunicar imediatamente à Assessoria 
de Tecnologia da Informação (ATI).
Quanto ao uso do computador
 a. Propriedade do computador
O recurso computador disponibilizado para o usuário é de 
propriedade da Fachesf.
 b. Disponibilização e uso
• O recurso computador disponibilizado para o usuário 
pela Fachesf tem por objetivo o desempenho das ativida-
des profissionais desse usuário na organização.
• É necessário que o Gestor do Usuário autorize-o a usar 
o computador. Deve ser feita uma solicitação à ATI, que 
autorizará tecnicamente e fará a liberação mediante a dis-
ponibilidade de recursos e atendimento das demais solici-
tações.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
16
• É obrigatório que o equipamento a ser autorizado pela 
ATI seja um dos modelos aprovados para uso na Fachesf. 
• É obrigatório que os programas aplicativos, programas 
produto e sistema operacional a serem utilizados no equi-
pamento sejam os autorizados pela ATI.
• A Fachesf pode a qualquer momento retirar ou substituir 
o computador disponibilizado para o usuário.
• Cada computador deve ter o seu gestor, que é responsá-
vel por esse equipamento. O controle das máquinas é de 
responsabilidade da ATI.
 c. Programas utilizados no computador
• Os programas aplicativos, programas básicos (sistema 
operacional e ferramentas) e componentes físicos são im-
plantados e configurados pela ATI.
• É proibido ao usuário implantar novos programas ou al-
terar configurações sem a permissão formalizada da ATI.
• É proibido ao usuário implantar ou alterar componentes 
físicos no computador.
 d. Verificação do computador
A Fachesf pode, a qualquer tempo, verificar o conteúdo 
armazenado no computador de cada usuário.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
17
 e. Uso do computador portátil (Notebook)
• Quando o usuário não estiver usando o computador por-
tátil, deve utilizar cabo de proteção física que evita o furto 
físico do equipamento.
• Caso o computador portátil fique mais de 12 horas sem 
uso, o usuário deve guardá-lo em um armário com chave.
• Ao transportar o computador portátil no carro, o usuário 
deve colocá-lo no compartimento porta-malas. O aparelho 
nunca deve ser deixado em local visível dentro do automóvel.
• Ao viajar com o computador portátil, o usuário deve 
mantê-lo próximo ao seu corpo e estar atento para evitar 
furtos em locais públicos.
• O uso de computadores portáteis em locais públicos (ae-
roportos, recepções de hoteis, restaurantes) deve ser evitado. 
Caso seja extremamente necessário, o usuário deve tomar to-
dos os cuidados para evitar furto ou perda do equipamento. 
 f. Responsabilidades do usuário
O usuário que utiliza o recurso computador deve:
• Cuidar adequadamente do equipamento. O usuário é o 
Custodiante deste recurso.
• Garantir a sua integridade física e o seu perfeito funciona-
mento, seguindo as regras e orientações fornecidas pela ATI.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
18
g. Informações contidas no computador
O usuário tem a responsabilidade de transferir para o ser-
vidor designado as informações que estão no computador 
portátil e que precisam possuir cópias de segurança.
h. Outras proteções
• Deve ser implantada a proteção de tela no computador 
e/ou proteção de ausência (após um tempo de inatividade, 
o computador bloqueia o sistema, exigindo senha paraser 
usado novamente).
• Havendo possibilidade técnica e viabilidade de utiliza-
ção, a ATI pode desenvolver e implantar ações para que as 
informações armazenadas no computador portátil sejam 
criptografadas, evitando que, em caso de roubo ou perda 
do equipamento, as informações da Fachesf sejam acessa-
das por pessoas não autorizadas.
i. Termo de compromisso
Para ter acesso à informação da Fachesf, o usuário deverá 
assinar (manual ou eletronicamente) um termo de compro-
misso. Os casos de exceção serão definidos pela Diretoria 
Executiva.
Quanto ao uso da Internet
a. Autorização
O acesso à Internet através de recursos de tecnologia da 
Fachesf necessita ser autorizado pelo Gestor do Usuário. 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
19
b. Realização do acesso
• O acesso à Internet somente acontecerá após o usuário 
se identificar no ambiente de tecnologia da Fachesf através 
dos controles do ambiente de rede de computadores.
• O acesso à Internet deve ser feito exclusivamente com os 
programas (softwares) autorizados e disponibilizados para 
os usuários pela ATI. O usuário não deve alterar as confi-
gurações implantadas no computador, notebook, etc. que 
utiliza.
c. Responsabilidade e forma de uso
O usuário que utiliza o acesso à Internet:
• É responsável por todo acesso realizado com a sua iden-
tificação/autenticação.
• É proibido de acessar locais virtuais (sites) que:
Possam violar direitos de autor, marcas, licenças de pro-
gramas (softwares) ou patentes existentes.
Possuam conteúdo pornográfico, relacionado a sexo, ex-
ploração infantil ou ao crime de pedofilia.
Contenham informações que não colaborem para o al-
cance dos objetivos da Fachesf.
Defendam atividades ilegais.
Menosprezem, depreciem ou incitem o preconceito a 
determinadas classes como sexo, raça, orientação sexu-
al, religião, nacionalidade, local de nascimento ou defi-
ciência física.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
20
Que não tenham relação direta com a atividade profissio-
nal desempenhada pelo usuário.
• Não deve retirar (copiar) dos endereços acessados (sites) 
material que não seja para o uso profissional na Fachesf. 
Nesses casos, o usuário deve garantir que está cumprindo 
a legislação em relação ao direito autoral, licença de uso e 
patentes existentes e que o uso do material foi autorizado 
pelo gestor da sua área.
• Está proibido de participar de salas de conversas (Chat) 
online, exceto em eventuais situações de uso profissional 
autorizado pelo gestor da área e pela ATI. 
 
d. Uso de serviço de mensagem instantânea.
É proibido o uso de serviços de mensagem instantânea 
(MSN, etc), através dos computadores da Fachesf, exceto 
em eventuais situações de uso profissional autorizado pelo 
gestor da área e pela ATI. 
e. Uso de serviço de rádio, TV, download de ví-
deos, filmes e músicas.
É proibido o uso de serviços de rádio, TV, download de 
vídeos, filmes e músicas, através dos computadores da Fa-
chesf, exceto em eventuais situações de uso profissional 
autorizado pelo gestor da área e pela ATI.
f. Bloqueio de endereços de Internet
Periodicamente a ATI revisará e bloqueará o acesso para os 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
21
endereços da Internet que não estejam alinhados com esta 
Política e com o Código de Ética da Fundação.
g. Uso de Correio Eletrônico particular tipo Web-
Mail (centralizado em provedores)
• Os usuários poderão acessar serviços de correio eletrôni-
co particular, tipo WebMail, através dos recursos de tecno-
logia da Fachesf.
• Esse tipo de acesso está submetido à Política de Segu-
rança da Informação da Fachesf e aos controles técnicos 
da ATI. 
• Havendo necessidade técnica, esse tipo de acesso poderá 
ser bloqueado ou suspenso pela ATI. 
Quanto ao uso do correio eletrônico (e-mail)
a. Endereço eletrônico do usuário 
• A Fachesf disponibiliza endereços de seu correio eletrônico 
para utilização do usuário no desempenho de suas funções 
profissionais. (Ex.:usuario@fachesf.com.br) 
• O endereço eletrônico disponibilizado para o usuário é in-
dividual, intransferível e pertence à Fundação.
 
• O endereço eletrônico cedido para o usuário deve ser o 
mesmo durante todo o seu período de vínculo com a Fa-
chesf. Se houver necessidade de troca de endereço, a altera-
ção deverá ser autorizada pela ATI e registrada para possibi-
litar uma posterior verificação de autoria.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
22
b. Criação, manutenção e exclusão do endereço 
de correio eletrônico
• A utilização desse endereço de correio eletrônico pelo 
usuário necessita ser autorizada pelo seu Gestor. 
• A liberação do endereço de correio eletrônico será feita 
pela ATI de maneira controlada e segura com o objetivo 
de garantir que apenas o usuário tenha possibilidade de 
utilizar o referido endereço.
• Quando acontecer desligamento de usuário do tipo em-
pregado ou estagiário, a FCS (Central de Serviços) deve co-
municar à ATI seu nome e a identificação.
• Quando acontecer desligamento de usuário do tipo não 
empregado e não estagiário, o Gestor da Informação deve 
comunicar à ATI o nome e a identificação desse usuário.
• Havendo necessidade, o Gestor do Usuário poderá auto-
rizar à ATI para que, durante 30 dias, o endereço eletrô-
nico de um usuário desligado permaneça ativo sem aces-
so. Nesse caso será configurada uma resposta automática 
informando que o email foi desativado e que mensagens 
profissionais devem ser encaminhadas para outro endereço 
eletrônico indicado. 
c. Endereço eletrônico de programas ou de co-
municação corporativa
• É permitido que um programa aplicativo ou um progra-
ma de sistema possua um endereço de correio eletrônico. 
Nesse caso, é obrigatória a existência de um usuário da 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
23
ATI responsável por acompanhar as mensagens emitidas e 
recebidas por esse endereço. 
 
• É permitido a existência de endereços de correio eletrô-
nico para o envio de mensagens tipo Comunicação Interna 
da Fachesf, porém, é obrigatória a identificação do usuário 
que encaminhou a mensagem. 
d. Acesso à distância
• O usuário pode acessar o seu endereço eletrônico cedido 
pela Fachesf mesmo quando estiver fora do ambiente de 
tecnologia da Fundação, através do serviço de correio ele-
trônico via Internet (Web Mail).
• O acesso ao endereço da Fachesf na Internet deve ser 
autenticado via certificado digital.
• A ATI deve avaliar, junto com os usuários, o nível de 
proteção de sigilo que deve ser necessário para o uso de 
correio eletrônico de maneira remota.
e. Envio e recebimento de mensagens
• O endereço eletrônico de usuário do tipo prestador de 
serviço ou tipo estagiário somente poderá enviar e receber 
mensagens de endereços de correio eletrônico da Fachesf. 
• O endereço eletrônico dos demais tipos de usuário pode 
enviar e receber mensagens internas ou externas. 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
24
f. Propriedades do endereço
• O endereço de correio eletrônico disponibilizado para o 
usuário e as mensagens associadas a esse endereço são de 
propriedade da Fachesf.
• Em situações autorizadas pela Diretoria Executiva, as 
mensagens do correio eletrônico de um usuário poderão 
ser acessadas pela Fachesf ou por pessoas/entidades por 
ela indicada. Não deve ser mantida portando, expectativa 
de privacidadepessoal.
g. Responsabilidades e forma de uso
O usuário que utiliza um endereço de correio eletrônico:
• É responsável por todo acesso, conteúdo de mensagens 
e uso relativos ao seu e-mail.
• Pode enviar mensagens necessárias para o seu desempe-
nho profissional na Fundação.
• É proibido de criar, copiar ou encaminhar mensagens ou
imagens que:
Contenham declarações difamatórias ou linguagem 
ofensiva de qualquer natureza.
Façam parte de correntes de mensagens, independente-
mente de serem legais ou ilegais.
Repassem propagandas ou mensagens de alerta sobre 
qualquer assunto. Havendo situações em que o usuário 
ache benéfico divulgar o assunto para Fundação, a su-
gestão deve ser encaminhada para a Área de Recursos 
Humanos, que definirá a sua publicação ou não.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
25
Menosprezem, depreciem ou incitem o preconceito a 
determinadas classes, como sexo, raça, orientação sexu-
al, idade, religião, nacionalidade, local de nascimento ou 
deficiência física.
Possuam informação pornográfica, obscena ou impró-
pria para um ambiente profissional.
Sejam susceptíveis de causar qualquer tipo de prejuízo 
a terceiros.
Sejam hostis ou transmitam indiretamente mensagens 
hostis.
Defendam ou possibilitem a realização de atividades 
ilegais.
Sejam ou sugiram a formação ou divulgação de corren-
tes de mensagens.
Possam prejudicar a imagem da Fachesf.
Sejam incoerentes com o nosso Código de Ética.
• É proibido reproduzir qualquer material recebido pelo cor-
reio eletrônico ou outro meio, que possa infringir direitos 
de autor, marca, licença de uso de programas ou patentes 
existentes, sem que haja autorização expressa do autor do 
trabalho e da organização.
• Deve estar ciente que uma mensagem de correio eletrônico 
da Fachesf é um documento formal e, portanto, possui as 
mesmas responsabilidades de um documento convencional 
em papel timbrado da entidade.
• Exceto quando especificamente autorizado para tal, é proi-
bido emitir opinião pessoal, colocando-a em nome da Fachesf.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
26
• Deve observar se o endereço do destinatário corresponde 
realmente ao destinatário desejado.
• Deve ser diligente em relação:
aos usuários que receberão a mensagem (Destinatário/
To, Copiado/Cc e Copiado Oculto/Bcc);
ao nível de sigilo da informação contida na mensagem;
aos anexos da mensagem, enviando os arquivos apenas 
quando for imprescindível e garantindo a confidenciali-
dade dos mesmos;
ao uso da opção Encaminhar (Forward), verificando se é 
necessária a manutenção das diversas mensagens ante-
riores que estão encadeadas.
• Deve acessar diariamente sua caixa de entrada, remover 
as mensagens não mais necessárias e responder rapida-
mente às mensagens recebidas. 
• Deve deixar mensagem de ausência quando for passar 
um período maior do que 48 horas sem acessar seu cor-
reio eletrônico. Essa mensagem deve indicar o período de 
ausência e o endereço do substituto para quem deve ser 
enviada a mensagem.
• Deve avaliar se é conveniente para a Fachesf que outro 
usuário interno possa acessar suas mensagens de correio 
eletrônico e antecipadamente delegar esse acesso, quando 
se ausentar por um período maior que uma semana.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
3
27
h. Cópias de segurança
Para que seja possível uma gestão segura, efetiva, confiá-
vel, administrável e passível de auditoria:
• A cópia de segurança das mensagens de correio eletrô-
nico deve ser feita de forma centralizada no ambiente dos 
equipamentos servidores corporativos ou servidores regio-
nais, sob a responsabilidade da ATI.
 
• A ATI fornecerá o serviço de recuperação de mensagens 
de correio eletrônico, a partir de arquivos de cópia de se-
gurança, cumprindo parâmetros de nível de serviço previa-
mente estabelecido.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
29
Controle de acesso
O controle de acesso é parte central da segurança de uma em-
presa do ponto de vista da segurança da informação. Por isso, é 
fundamental o uso diário do crachá nas instalações da Fachesf.
No ambiente externo, é melhor ficar atento
Falar sobre informações restritas ou segredos profissionais em 
um lugar público ou por telefone merecem cuidado especial. Fre-
quentemente, as pessoas são o elo mais fraco na segurança da 
informação de uma empresa.
Quando seu equipamento viajar com você, evite deixá-lo por mui-
to tempo sozinho em uma sala ou mesa da empresa. Qualquer 
pendrive ou conexão de rede pode levar dados valiosos.
Cuidado com o lixo que você produz
O lixo pode ser uma fonte de informações para pessoas mal inten-
cionadas. Destrua os documentos que contenham informações 
sensíveis, pessoais ou da Fundação antes de descartá-los. Se o pa-
pel que vai ser jogado no lixo contém informações que não devem 
ser lidas por estranhos, rasgue-o antes de jogá-lo fora.
Cuidados com senhas e acessos no sistema
Cada tarefa desenvolvida na Fachesf deve e precisa ter um respon-
sável. A única forma de saber o responsável por cada atividade é 
através da identificação do usuário.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
30
Tudo que é feito com a sua identificação (assinatura ou senha) 
é de sua responsabilidade. Portanto, cuidado com seus dados, 
seja na rede ou nos sistemas, pois ela serve para garantir que 
você é realmente quem está usando esse acesso. 
Se uma outra pessoa tem acesso a sua senha, ela poderá utilizá-
la para se passar por você, porém, a responsabilidade por tudo 
que ela fizer será sua. 
Alguns exemplos de ações que podem ser atribuídas a você, são:
• liberação de atendimentos indevidos; 
• e-mails com informações inadequadas;
• acesso a páginas da internet proibidas;
• downloads proibidos.
Compartilhar sua senha é como assinar um cheque em branco.
Utilize senhas fortes, isto é, com mais de 6 caracteres, combi-
nando numéricos e alfanuméricos, maiúsculas e minúsculas e 
não utilize datas comemorativas, sobrenomes, nome do cônju-
ge, nome dos filhos, placas de carro, etc. Não escreva a senha 
em local público ou de fácil acesso, como por exemplo, em 
sua agenda, em um pedaço de papel pregado no seu monitor 
ou guardado na sua gaveta. Utilize uma senha diferente para 
cada serviço. Sempre que suspeitar de perda de sigilo das suas 
senhas, altere-as imediatamente.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
31
Pausa para o café
Apesar de saber que você é bastante cuidadoso, acidentes 
acontecem, e ao derramar café ou água em um documento ou 
no computador você poderá danificá-los.
Quanto às bolachas, os resíduos no teclado diminuem consi-
deravelmente a vida útil do equipamento. A sujeira acumulada 
em baixo das teclas é difícil de limpar, portanto aproveite o 
momento do cafezinho, da água e da bolacha para esticar as 
pernas e fique longe dos computadores e papeis. Você pode até 
aproveitar para fazer um alongamento rápido.
Não esqueça de bloquear o computador nesses momentos de 
intervalo. Use o Ctrl+ALT+Del e você não perderá nada do que 
está fazendo (apenas a tela ficará protegida e sua senha deverá 
ser digitada novamente quando você voltar).
Uso de e-mails
Sua conta de e-mail foi criada para ser usada em atividades li-
gadas ao trabalho. Alguns cuidados são indispensáveis em sua 
utilização: 
• Não abra e-mails enviados por desconhecidos, principal-
mente se eles contiveremarquivos anexados;
• Não responda mensagens de propaganda;
• Não repasse mensagens com notícias sensacionalistas, pe-
didos de ajuda, avisos de vírus, textos de auto-ajuda e outras 
similares;
• Não cadastre seu endereço da Fachesf em listas de discus-
são, sites de compra ou similares;
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
32
• Confirme se os destinatários estão corretos;
• Avalie a necessidade de enviar “com cópia”;
• Verifique se é necessário o envio de mensagens encadea-
das e o envio de anexos;
• Escreva textos claros, simples e objetivos;
• Não acredite em todos os e-mails sobre vírus, principal-
mente aqueles de origens duvidosa, que mandam em ane-
xo um arquivo para ser executado prometendo solucionar o 
problema. Verifique sua veracidade com a ATI;
• Atenção: o correio eletrônico deve ser usado apenas 
para assuntos relacionados com a Fachesf.
Fique atento ao Vírus
Os vírus são programas que se multiplicam e podem afetar o 
funcionamento de toda a rede, além de roubar sua senha ou 
apagar arquivos preciosos na sua máquina. Ao perceber que o 
computador que você usa foi infectado, desligue a máquina e 
comunique imediatamente ao helpdesk.
A melhor forma de combater os vírus é proceder da seguinte 
forma:
• Verifique se o antivírus da máquina que você usa está liga-
do (cor verde no canto inferior direito da tela) e mantenha-o 
atualizado.
• Não abra e-mails e arquivos enviados por desconhecidos;
• Não abra programas ou fotos que dizem oferecer prêmios;
• Cuidado com os e-mails falsos de bancos, lojas e cartões 
de crédito;
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
33
• Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS 
e, principalmente, os terminados com EXE e COM; 
• Nunca acredite em pedidos de pagamento, correção de 
senhas ou solicitação de qualquer dado pessoal por e-mail. 
Comunique-se por telefone com a instituição que suposta-
mente enviou a mensagem e confira o assunto;
• Se você desconfiar de um e-mail recebido, mesmo quando 
enviado por pessoa conhecida, não abra-o, pois pode ser 
falso: Apague-o imediatamente e não utilize o contato.
Instalação de Softwares
A instalação de softwares não autorizados podem colocar em 
risco toda a rede da Fachesf. Mesmo que seja para melhorar o 
seu desempenho no trabalho, solicite à ATI a análise prévia do 
programa que você pretende instalar. O uso de cópias não au-
torizadas podem acarretar multa de 3 mil vezes o valor de sua 
licença. Dessa forma, até um simples descompactador pode sair 
muito caro.
Cópias de segurança
Cópias de segurança dos dados armazenados em um compu-
tador são importantes não apenas para recuperar eventuais fa-
lhas, mas também para reparar as consequências de uma pos-
sível infecção por vírus ou invasão.
Quais são as formas de realizar cópias de segurança?
Cópias de segurança podem ser simples, como o armazenamen-
to de arquivos na rede, em CDs ou DVDs, ou mais complexas, 
como o espelhamento de um disco rígido inteiro em um outro 
disco de computador. Atualmente, uma unidade gravadora de 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
34
CDs/DVDs e um software que possibilite copiar dados são sufi-
cientes para que a maior parte dos usuários de computadores 
realizem suas cópias de segurança. 
Também existem equipamentos e softwares mais sofisticados e 
específicos que, dentre outras atividades, automatizam todo o 
processo de realização de cópias de segurança, praticamente 
sem intervenção do usuário. A utilização de tais recursos envol-
ve custos mais elevados e depende de necessidades particulares 
de cada usuário.
 
Com que frequência devo fazer cópias de segurança?
A frequência em que deve ser realizada uma cópia de segurança 
e a quantidade de dados armazenados nesse processo depende 
da periodicidade em que o usuário cria ou modifica arquivos. 
Cada um deve criar sua própria rotina de cópia dos arquivos.
Navegando na Internet
• Verifique se o endereço que está aparecendo em seu nave-
gador é realmente o que você deseja acessar;
• Antes de clicar em um link, veja na barra de status do na-
vegador se o endereço de destino está de acordo com a sua 
descrição;
• Não autorize a instalação de softwares de desconhecidos 
ou de sites estranhos;
• Confie em seus instintos. Se você desconfiar de um site, 
saia da página imediatamente;
• Não clique em OK ou confirme sem entender a mensagem 
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
4
35
que está sendo confirmada. Na dúvida, ligue para o help-
desk;
• Use a internet somente para assuntos relacionados exclusi-
vamente com o seu trabalho. 
Adote um comportamento seguro
• Não utilize ferramentas da empresa como “Notebook” ou 
“PC” para armazenar conteúdo particular como fotos ou tex-
tos;
• Não baixe nem instale qualquer programa no PC sem ter 
autorização expressa da ATI;
• Não compartilhe nem divulgue sua senha a terceiros;
• Não transporte informações confidenciais da Fachesf em 
qualquer meio (CD, DVD, disquete, pendrive, papel, etc.) 
sem as devidas autorizações e proteções;
• Assuntos confidenciais de trabalho não devem ser discu-
tidos em ambientes públicos ou em áreas expostas (aviões, 
restaurantes, encontros sociais, etc.);
• Não abra mensagens de origem desconhecida nem utilize 
a internet para acessar sites de relacionamento e/ou salas de 
bate-papo;
• Armazene e proteja adequadamente documentos impres-
sos e arquivos eletrônicos que contêm informações confi-
denciais;
• Siga corretamente a política para uso de internet e correio 
eletrônico estabelecida pela Fachesf.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
5
37
Acesso à informação
É o ato de um usuário ter contato com a informação e ter co-
nhecimento dela. Pode ser no ambiente de tecnologia (através 
de computadores) ou no ambiente convencional, quando aces-
samos uma pasta ou um documento em papel.
Acesso seguro (acesso controlado)
É o acesso à informação feito com a existência de controles que 
buscam garantir que: 
• as informações sejam acessadas apenas por pessoas de 
direito;
• seja registrado tudo que é feito com a informação;
• seja indicado os tipos de acesso: se somente para leitura, 
se autorizada alteração ou se autorizada a remoção da in-
formação;
• foram tomados cuidados para garantir a integridade da 
informação.
Ambiente convencional
É o ambiente físico onde vivemos. As informações nesse am-
biente convencional estão em papel, escritas no quadro ou em 
outros meios físicos.
:
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
5
38
Ambiente de desenvolvimento
É o ambiente onde os sistemas aplicativos são desenvolvidos. 
Antes de um sistema funcionar, ele precisa ser criado e testado, 
ficando acessivel, portanto, apenas para o pessoal envolvido no 
desenvolvimento desse sistema.
Ambiente de produção 
É o ambiente computacional onde os sistemas que atendem à 
organização funcionam e as suas informações estão sendo utili-
zadas pelos usuários durante o funcionamento da organização. 
É o ambiente verdadeiro: o que estiver nele é o que vale para a 
organização.
Ambiente de tecnologia
É o ambiente que utiliza a tecnologia para o tratamento da 
informação, o mundo virtual. Nesse caso, as informações estão 
gravadas nos discos (e outras mídias) e para utilizarmos a mes-
ma precisamos de equipamentos de tecnologia e de programas 
que são executados nesse ambiente.Autenticação do usuário
É a validação de que a pessoa que está acessando um sistema 
da Fachesf é realmente quem diz ser. No mundo convencional, 
autenticamos alguém pela sua carteira de identidade ou através 
de um amigo de confiança que garante que aquela pessoa é 
realmente quem diz ser.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
5
39
Confidencialidade da informação
É a característica da informação que indica acesso somente por 
pessoas previamente autorizadas. 
Continuidade do recurso
É a garantia de que o recurso vai continuar disponível e operan-
te ao longo do tempo. Um recurso pode deixar de estar dispo-
nível caso seja roubado ou destruído.
Cópia de segurança
É a cópia de uma informação (dados, imagem, outro) que pode 
ser utilizada caso a informação original seja destruída.
Criptografia da informação
É um processo matemático que transforma a informação ori-
ginal em uma sequência de dados ilegíveis, garantindo a sua 
confidencialidade, e depois permite retornar à informação ori-
ginal (legível).
Custodiante de recurso
É a pessoa que fica responsável por determinado recurso e tem 
a obrigação de presar pelo seu funcionamento adequado ao 
longo do tempo.
Disponibilidade da informação
É a característica que exige que a informação esteja sempre dis-
ponível para ser usada pela organização (de acordo com o que 
foi combinado).
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
5
40
Gestor da Informação
É a pessoa que autoriza ou nega o acesso à informação pelo usu-
ário. Essa autorização ocorre em função da avaliação determinada 
que o gestor faz sobre a real necessidade do acesso à determinada 
informação.
Gestor do Usuário
É a pessoa (normalmente a chefia) que tem a responsabilidade 
de indicar que o usuário é uma pessoa verdadeira naquela or-
ganização e realiza determinadas tarefas.
Grupo de acesso à informação
É um grupo de pessoas que possui o mesmo direito de acesso à 
informação. Nesse caso, todos compartilham um mesmo meio 
de acesso.
Identificação do usuário
É a sequência de caracteres que representará o usuário no am-
biente computacional. Exemplo: matrícula, nome, CPF.
Integridade da informação
É a característica que possibilita que a informação não seja cor-
rompida ao longo do tempo. Exemplo: em uma folha de fax, 
ao longo do tempo, a informação perde sua integridade, pois 
é apagada. 
Limites de acesso à informação: leitura, alteração, 
acesso de retirada do recurso
Quando é dado um acesso à informação, deve-se indicar o po-
der desse acesso: alguns usuários poderão apenas ler o conte-
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
5
41
údo, enquanto outros poderão alterá-lo. Haverá ainda aqueles 
que poderão apagar a informação.
Nível de sigilo da informação
Indica o tratamento mais ou menos rígido que deve ser dado 
à informação, em relação à sua possibilidade de acesso. Por 
exemplo: uma informação com nível público de sigilo não pre-
cisa ser destruída após seu uso. Porém, uma informação con-
fidencial deve ser destruída (de forma a não poder ser refeita).
Perfil de acesso à informação
Está relacionado a um perfil profissional. Exemplo: gerentes. 
Nesse caso, teremos o perfil do gerente previamente definido 
com vários acessos autorizados. Quando alguém na organiza-
ção for contratado como gerente, receberá os acessos do perfil 
correspondente.
Processo de segurança da informação
É o processo que implanta, desenvolve, mantém, atualiza e pla-
neja a segurança da informação na organização.
Programas produto
São programas vendidos para as empresas com pouca ou ne-
nhuma customização. Exemplo: um processador de textos.
Recurso de informação
São elementos que armazenam, processam, transmitem ou tra-
tam a informação; variam do mundo tecnológico (discos, fitas 
e equipamentos) até o ambiente convencional (papeis, nossas 
mentes).
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 P
ar
te
 0
5
42
Recurso físico que suporta a informação
É o recurso físico que possui a informação. Exemplo: uma folha 
de papel. O papel é o recurso, mas a informação é aquilo que 
está escrita nele.
Registro de acesso à informação
É o registro de quando a informação foi acessada, alterada, 
gravada ou removida. É importante para gerenciar o acesso à 
informação.
Servidor (Computador)
É o computador ou o conjunto de computadores que suportam 
o ambiente corporativo de uma organização. Normalmente o 
responsável pelos servidores de uma organização é da área de 
TI.
Situações de contingência
São situações que tornam indisponíveis a informação (ou ou-
tro recurso). Podem ser causadas por problemas da natureza 
(chuvas, raios, terremotos) ou ação humana (roubos, atenta-
dos, erros).
Sistemas aplicativos
São sistemas desenvolvidos para atender de maneira especifica 
as organizações. Exemplo: folha de pagamento, controle de es-
toque, etc.
Usuário
É a pessoa que utiliza a informação.
ANEXO 
Política de Segurança 
da Informação da Fachesf
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 A
ne
xo
44
1. Objetivo
Definir as diretrizes para o uso da informação na Fachesf. 
2. Abrangência
• Toda informação do ambiente de tecnologia e do ambien-
te convencional da Fachesf.
• Todo usuário da informação da Fachesf: conselheiro, pre-
sidente, diretor, empregado, estagiário, participante, presta-
dor de serviço e eventualmente algum órgão que seja legal-
mente autorizado a acessar informações da Fundação.
3. Diretrizes
3.1 A informação da Fachesf deve ser protegida de maneira 
a garantir sua confidencialidade, integridade, disponibilida-
de e acesso controlado.
3.2 O acesso à informação:
• Deverá possibilitar e facilitar o desempenho das ativida-
des relativas à Fachesf;
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 A
ne
xo
45
• Atenderá à legislação em vigor;
• Poderá ser examinado, auditado ou verificado mediante 
autorização da Diretoria Executiva ou autoridade compe-
tente.
• Será realizado através de uma identificação pessoal do 
usuário e de uma autenticação que garanta a veracidade 
da sua identificação;
• Será autorizado pelo Gestor da Informação que tem a 
responsabilidade de avaliar o pedido de acesso para o usu-
ário.
3.3 O usuário:
• É responsável pelo acesso realizado com a sua identifica-
ção e autenticação;
• Deve acessar a informação para desempenhar profissio-
nalmente suas funções relacionadas à Fachesf ou para ou-
tras situações formalmente permitidas;
• Será validado pelo Gestor de Usuário que assegurará sua 
atuação na Fachesf.
3.4 Todos os recursos de informação da Fachesf devem 
possuir um Custodiante de Recurso que tem a responsabi-
lidade pela integridade, disponibilidade para uso e conti-
nuidade do recurso.
C
ar
til
ha
 d
e 
Se
gu
ra
nç
a 
da
 In
fo
rm
aç
ão
 |
 A
ne
xo
46
3.5 Apenas produtos autorizados no portfólio da Fachesf e 
sistemas aplicativos homologados pelas áreas técnica e de 
negócio podem ser executados no ambiente de produção.
3.6 As informações devem ser classificadas em relação ao 
seu nível de sigilo com o objetivo de descrever o tratamento 
que deve ser dado a essa informação e ao respectivo recurso 
de informação.
3.7 A Diretoria Executiva tem a responsabilidade de:
• Designar os Gestores da Informação, Gestor de Usuário e 
Custodiante de Recursos;
• Garantir a existência de um plano de continuidade para 
os recursos de informaçãoque suporte situações de con-
tingência e definir os limites dessa disponibilidade;
• Garantir a implantação e manutenção do processo de 
segurança da informação;
• Manter ações de conscientização, treinamento e educa-
ção dos usuários em segurança da informação.
4. Cumprimento 
O não cumprimento desta política por parte do usuário deve 
acarretar punições administrativas e contratuais.
Ficha técnica
Edição: Assessoria de Comunicação Institucional (ACI)
Textos: Assessoria de Tecnologia da Informação (ATI) 
e Assessoria de Comunicação Institucional (ACI)
Projeto Gráfico: Corisco Design