Aula_03_politicadesegurança

Prévia do material em texto

PolíticaPolítica de de SegurançaSegurança
dadadada
InformaçãoInformação
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Instrumento que define as normas a serem aplicadas Instrumento que define as normas a serem aplicadas 
na empresa e praticadas por seus funcionários, na empresa e praticadas por seus funcionários, 
colaboradores, prestadores de serviço, clientes e colaboradores, prestadores de serviço, clientes e colaboradores, prestadores de serviço, clientes e colaboradores, prestadores de serviço, clientes e 
fornecedores, com o objetivo de preservar os ativos fornecedores, com o objetivo de preservar os ativos 
de informação livres de risco, assegurando a de informação livres de risco, assegurando a 
continuidade dos negócios. continuidade dos negócios. 
Estabelece os princípios através dos quais a empresa Estabelece os princípios através dos quais a empresa 
irá proteger, controlar e monitorar seus recursosirá proteger, controlar e monitorar seus recursos
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Objetivos Objetivos 
A política de segurança é um conjunto de diretrizes gerais A política de segurança é um conjunto de diretrizes gerais 
destinadas a proteção a ser dada a ativos da empresa.destinadas a proteção a ser dada a ativos da empresa.destinadas a proteção a ser dada a ativos da empresa.destinadas a proteção a ser dada a ativos da empresa.
As As consequênciasconsequências de uma política de segurança de uma política de segurança 
implementada e corretamente seguida podem ser implementada e corretamente seguida podem ser 
resumidas em três aspectos:resumidas em três aspectos:
-- redução da probabilidade de ocorrência de incidentesredução da probabilidade de ocorrência de incidentes
-- redução dos danos provocados por eventuais ocorrênciasredução dos danos provocados por eventuais ocorrências
-- procedimentos de recuperação de eventuais danosprocedimentos de recuperação de eventuais danos
Política de Segurança da InformaçãoPolítica de Segurança da Informação
redução da probabilidade de ocorrência de incidentesredução da probabilidade de ocorrência de incidentes
Medidas devem ser de cunho preventivo e normativoMedidas devem ser de cunho preventivo e normativo
Riscos devem ser previstos e eliminados antes que se Riscos devem ser previstos e eliminados antes que se Riscos devem ser previstos e eliminados antes que se Riscos devem ser previstos e eliminados antes que se 
manifestemmanifestem
Prevenção costuma ser mais barata que a correçãoPrevenção costuma ser mais barata que a correção
De forma geral, as organizações conhecem os riscos De forma geral, as organizações conhecem os riscos 
envolvidos mesmo quando não existem normas explícitas a envolvidos mesmo quando não existem normas explícitas a 
respeito de segurança.respeito de segurança.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
redução dos danos provocados por eventuais redução dos danos provocados por eventuais 
ocorrênciasocorrências
Mesmo com a adoção de medidas preventivas, é possível que Mesmo com a adoção de medidas preventivas, é possível que Mesmo com a adoção de medidas preventivas, é possível que Mesmo com a adoção de medidas preventivas, é possível que 
ocorram incidentes que resultem em danosocorram incidentes que resultem em danos à empresa.à empresa.
As medidas de redução de riscos variam em função dos ativos As medidas de redução de riscos variam em função dos ativos 
e dos riscos envolvidos.e dos riscos envolvidos.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
procedimentos de recuperação de eventuais danosprocedimentos de recuperação de eventuais danos
Se, apesar de todas as precauções tomadas, vier a ocorrer Se, apesar de todas as precauções tomadas, vier a ocorrer Se, apesar de todas as precauções tomadas, vier a ocorrer Se, apesar de todas as precauções tomadas, vier a ocorrer 
um incidente de segurança, é necessário haver um plano para um incidente de segurança, é necessário haver um plano para 
recuperar os danos provocados pela ocorrênciarecuperar os danos provocados pela ocorrência..
As medidas de recuperação de danos também variam em As medidas de recuperação de danos também variam em 
função dos ativos e dos riscos envolvidos.função dos ativos e dos riscos envolvidos.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
O primeiro passo para a elaboração de uma Política O primeiro passo para a elaboração de uma Política 
de Segurança é a definição das equipes responsáveis de Segurança é a definição das equipes responsáveis 
pela elaboração, implantação e manutenção da pela elaboração, implantação e manutenção da pela elaboração, implantação e manutenção da pela elaboração, implantação e manutenção da 
política.política.
É importante que sejam definidas claramente as É importante que sejam definidas claramente as 
responsabilidades de cada colaborador, e também responsabilidades de cada colaborador, e também 
que sejam envolvidas pessoas da alta administração que sejam envolvidas pessoas da alta administração 
da organizaçãoda organização
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Como toda política institucional, deve ser aprovada Como toda política institucional, deve ser aprovada 
pela alta gerência e divulgada para todos na pela alta gerência e divulgada para todos na 
empresa. empresa. empresa. empresa. 
A partir de então, todos os controles devem se A partir de então, todos os controles devem se 
basear nessa política de segurança, aprovada pela basear nessa política de segurança, aprovada pela 
alta gerência e difundida pela organização.alta gerência e difundida pela organização.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Principais fases para elaboração de uma política:Principais fases para elaboração de uma política:
1.1. Identificação dos recursos críticosIdentificação dos recursos críticos
2.2. Classificação das informaçõesClassificação das informações2.2. Classificação das informaçõesClassificação das informações
3.3. Elaboração de normas e procedimentosElaboração de normas e procedimentos
4.4. Definição de planos de recuperação, contingência, Definição de planos de recuperação, contingência, 
continuidade de negócioscontinuidade de negócios
5.5. Definição de sanções ou penalidades pelo não Definição de sanções ou penalidades pelo não 
cumprimento da cumprimento da políticapolítica
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Principais fases para elaboração de uma política:Principais fases para elaboração de uma política:
6.6. Elaboração Elaboração de um termo de compromissode um termo de compromisso
7.7. Aprovação da alta administraçãoAprovação da alta administração7.7. Aprovação da alta administraçãoAprovação da alta administração
8.8. DivulgaçãoDivulgação
9.9. ImplantaçãoImplantação
10.10.RevisãoRevisão
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Identificação dos recursos críticos Identificação dos recursos críticos 
Devem ser mapeados todos os procedimentos Devem ser mapeados todos os procedimentos 
executados na organização, informatizados ou executados na organização, informatizados ou executados na organização, informatizados ou executados na organização, informatizados ou 
não, que tenham relevância para as atividades não, que tenham relevância para as atividades 
principais da empresa.principais da empresa.
Os processos considerados críticos à organização Os processos considerados críticos à organização 
deverão ser tratados de maneira diferenciada na deverão ser tratados de maneira diferenciada na 
política de segurançapolítica de segurança
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Classificaçãodas informaçõesClassificação das informações
Tem como objetivo assegurar que as informações Tem como objetivo assegurar que as informações 
recebam um nível apropriado de proteção. As recebam um nível apropriado de proteção. As recebam um nível apropriado de proteção. As recebam um nível apropriado de proteção. As 
informações devem ser classificadas para indicar informações devem ser classificadas para indicar 
a necessidade, as prioridades e o grau de a necessidade, as prioridades e o grau de 
proteção e definir necessidade de medidas proteção e definir necessidade de medidas 
especiais de manipulação. especiais de manipulação. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Classificação das informações Classificação das informações –– exemploexemplo
Uso Confidencial Uso Confidencial 
aplicada às informações de grande valor a organização, aplicada às informações de grande valor a organização, aplicada às informações de grande valor a organização, aplicada às informações de grande valor a organização, 
se divulgadas indevidamente podem causar danos e se divulgadas indevidamente podem causar danos e 
prejuízos a organização ou a seus parceiros, expor a prejuízos a organização ou a seus parceiros, expor a 
empresa à danos financeiros, perdas de vantagens empresa à danos financeiros, perdas de vantagens 
competitivas, ou a constrangimento público; violar competitivas, ou a constrangimento público; violar 
direitos individuais de privacidade. Seu uso e direitos individuais de privacidade. Seu uso e 
disseminação devem ser restritos e controlados. disseminação devem ser restritos e controlados. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Classificação das informações Classificação das informações –– exemploexemplo
Uso Confidencial Uso Confidencial 
Ex: arquivos de folha de pagamento e recursos Ex: arquivos de folha de pagamento e recursos Ex: arquivos de folha de pagamento e recursos Ex: arquivos de folha de pagamento e recursos 
humanos, organogramas, planejamentos de marketing, humanos, organogramas, planejamentos de marketing, 
fórmulas de produtos ou processos produtivos, fórmulas de produtos ou processos produtivos, 
planejamentos financeiros, listas de preços e acordos planejamentos financeiros, listas de preços e acordos 
comerciais. comerciais. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Classificação das informações Classificação das informações –– exemploexemplo
Uso InternoUso Interno
aplicada às informações restritas aos funcionários e a aplicada às informações restritas aos funcionários e a aplicada às informações restritas aos funcionários e a aplicada às informações restritas aos funcionários e a 
terceiros. terceiros. 
Quando puder ser revelada a qualquer empregado sem Quando puder ser revelada a qualquer empregado sem 
causar e expor a empresa a danos financeiros ou causar e expor a empresa a danos financeiros ou 
constrangimento público; não violar os direitos individuais de constrangimento público; não violar os direitos individuais de 
privacidade ou necessitar de controles de acesso limitados privacidade ou necessitar de controles de acesso limitados 
((ExEx: informações sobre projetos internos ou listagem de : informações sobre projetos internos ou listagem de 
telefones internos). telefones internos). 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Classificação das informações Classificação das informações –– exemploexemplo
Uso PúblicoUso Público
Quando puder ser revelada a qualquer pessoa, Quando puder ser revelada a qualquer pessoa, Quando puder ser revelada a qualquer pessoa, Quando puder ser revelada a qualquer pessoa, 
incluindo não funcionários da empresa sem causar ou incluindo não funcionários da empresa sem causar ou 
expor a empresa à danos financeiros ou expor a empresa à danos financeiros ou 
constrangimento público.constrangimento público.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Elaboração de normas e procedimentosElaboração de normas e procedimentos
–– acessos externos, internos, físico e lógico; acessos externos, internos, físico e lógico; 
–– uso da Intranet e Internet; uso da Intranet e Internet; 
–– uso de correio eletrônico; uso de correio eletrônico; 
–– uso e instalação de softwares; uso e instalação de softwares; 
–– política de senhas; política de senhas; 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Elaboração de normas e procedimentosElaboração de normas e procedimentos
–– política política de backup; de backup; 
–– uso e atualização de uso e atualização de antianti--vírusvírus; ; 
–– trilhas de auditoria; trilhas de auditoria; 
–– padrões de configuração de redepadrões de configuração de rede
–– outrosoutros
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Definição de planos de recuperação, contingência, Definição de planos de recuperação, contingência, 
continuidade de negócioscontinuidade de negócios
Plano de contingência ou plano de recuperação, é um Plano de contingência ou plano de recuperação, é um Plano de contingência ou plano de recuperação, é um Plano de contingência ou plano de recuperação, é um 
plano que contém as diretrizes que a empresa deve plano que contém as diretrizes que a empresa deve 
seguir em caso de parada no processamento, seguir em caso de parada no processamento, 
decorrente de desastre.decorrente de desastre.
Tem como objetivo auxiliar na recuperação imediata do Tem como objetivo auxiliar na recuperação imediata do 
processamento das informações, levando em processamento das informações, levando em 
consideração a criticidade, de modo que minimize consideração a criticidade, de modo que minimize 
eventuais prejuízos à organização.eventuais prejuízos à organização.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Definição de sanções ou penalidades pelo não Definição de sanções ou penalidades pelo não 
cumprimento da políticacumprimento da política
Devem ser definidas punições de acordo com a cultura Devem ser definidas punições de acordo com a cultura Devem ser definidas punições de acordo com a cultura Devem ser definidas punições de acordo com a cultura 
da organização. Algumas empresas optam por criar da organização. Algumas empresas optam por criar 
níveis de punições relacionados aos itens da política, níveis de punições relacionados aos itens da política, 
sendo a punição máxima a demissão ou desligamento sendo a punição máxima a demissão ou desligamento 
do funcionário ou colaborador.do funcionário ou colaborador.
Os principais objetivos são dar respaldo jurídico a Os principais objetivos são dar respaldo jurídico a 
organização e incentivar os usuários a aderirem à organização e incentivar os usuários a aderirem à 
política.política.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Elaboração de um termo de compromissoElaboração de um termo de compromisso
Utilizado para formalizar o comprometimento dos Utilizado para formalizar o comprometimento dos 
funcionários em seguir a política de segurança, funcionários em seguir a política de segurança, funcionários em seguir a política de segurança, funcionários em seguir a política de segurança, 
tomando ciência das sanções e punições impostas ao tomando ciência das sanções e punições impostas ao 
seu não cumprimento. seu não cumprimento. 
O termo de compromisso deve ser implantado como um O termo de compromisso deve ser implantado como um 
aditivo ao contrato de trabalho, para tanto deve ser aditivo ao contrato de trabalho, para tanto deve ser 
assinado pelos funcionários e colaboradores e deve ser assinado pelos funcionários e colaboradores e deve ser 
envolvida a área jurídica da organização na sua revisão. envolvidaa área jurídica da organização na sua revisão. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Aprovação da alta administraçãoAprovação da alta administração
Para reforçar o aval da alta administração da Para reforçar o aval da alta administração da 
organização, e reafirmar a importância da segurança, é organização, e reafirmar a importância da segurança, é organização, e reafirmar a importância da segurança, é organização, e reafirmar a importância da segurança, é 
importante que antes da implantação da Política de importante que antes da implantação da Política de 
Segurança seja feito um comunicado da diretoria ou Segurança seja feito um comunicado da diretoria ou 
presidência, aos funcionários e colaboradores, presidência, aos funcionários e colaboradores, 
comunicando a implantação da Política de Segurança na comunicando a implantação da Política de Segurança na 
organização.organização.
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Divulgação da políticaDivulgação da política
A Política de Segurança deve ser de conhecimento de A Política de Segurança deve ser de conhecimento de 
todos os funcionários, estagiários e colaboradores da todos os funcionários, estagiários e colaboradores da todos os funcionários, estagiários e colaboradores da todos os funcionários, estagiários e colaboradores da 
organização, portanto deve ser amplamente divulgada.organização, portanto deve ser amplamente divulgada.
alguns dos métodos de divulgação mais utilizados: alguns dos métodos de divulgação mais utilizados: 
campanhas internas e palestras de conscientização; campanhas internas e palestras de conscientização; 
destaque em jornal e folhetos internos; Intranet; destaque em jornal e folhetos internos; Intranet; 
criação de manual em formato compacto e com criação de manual em formato compacto e com 
linguagem acessível aos usuárioslinguagem acessível aos usuários
Política de Segurança da InformaçãoPolítica de Segurança da Informação
ImplantaçãoImplantação
A implantação é a etapa final da política de segurança. A implantação é a etapa final da política de segurança. 
Consiste na aplicação formal das regras descritas na Consiste na aplicação formal das regras descritas na Consiste na aplicação formal das regras descritas na Consiste na aplicação formal das regras descritas na 
política da organização, e a assinatura do termo de política da organização, e a assinatura do termo de 
compromisso.compromisso.
Deve ser realizada de forma gradativa e Deve ser realizada de forma gradativa e 
obrigatoriamente após ao programa de divulgação e obrigatoriamente após ao programa de divulgação e 
conscientização dos funcionários. conscientização dos funcionários. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
RevisãoRevisão
A política de segurança deve ser revisada A política de segurança deve ser revisada 
periodicamente, para mantêperiodicamente, para mantê--la atualizada frente as la atualizada frente as periodicamente, para mantêperiodicamente, para mantê--la atualizada frente as la atualizada frente as 
novas tendências e acontecimentos do mundo da novas tendências e acontecimentos do mundo da 
segurança da informação. segurança da informação. 
Deve ser realizada uma revisão sempre que forem Deve ser realizada uma revisão sempre que forem 
identificados fatos novos não previstos na política de identificados fatos novos não previstos na política de 
segurança vigente, que possam impactar na segurança segurança vigente, que possam impactar na segurança 
das informações da organização. das informações da organização. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Para a definição de uma política de segurança, em Para a definição de uma política de segurança, em 
primeiro lugar, devem ser levantados as primeiro lugar, devem ser levantados as ameaçasameaças, , 
vulnerabilidadesvulnerabilidades e e riscosriscos a que as informações estão a que as informações estão vulnerabilidadesvulnerabilidades e e riscosriscos a que as informações estão a que as informações estão 
sujeitas, para que se possa definir a política com sujeitas, para que se possa definir a política com 
foco a combater estes pontos fracos para a foco a combater estes pontos fracos para a 
organizaçãoorganização
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Não há como definir uma receita única para a Não há como definir uma receita única para a 
elaboração de uma política de segurança visto que elaboração de uma política de segurança visto que elaboração de uma política de segurança visto que elaboração de uma política de segurança visto que 
estes aspectos de ameaças, riscos e vulnerabilidades estes aspectos de ameaças, riscos e vulnerabilidades 
são particulares de cada organização. são particulares de cada organização. 
exploram
ameaças
vulnerabilidadesvulnerabilidades
implementados por
determinam
possuem
aumentam
RISCOS
ativos de 
informação
valor dos ativos
afetam
impactam
requerimentos
de segurança
controles
de segurança
eliminam
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Uma Uma ameaçaameaça pode ser definida como um evento ou pode ser definida como um evento ou 
atitude indesejável (roubo, incêndio, vírus atitude indesejável (roubo, incêndio, vírus etcetc) que ) que 
potencialmente corrompe, remove, desabilita ou potencialmente corrompe, remove, desabilita ou 
destrói um recurso computacional e, destrói um recurso computacional e, 
conseqüentemente, as informações a ele vinculadasconseqüentemente, as informações a ele vinculadas
Política de Segurança da InformaçãoPolítica de Segurança da Informação
VulnerabilidadeVulnerabilidade pode ser definida como a fraqueza pode ser definida como a fraqueza 
ou deficiência que pode ser explorada por uma ou deficiência que pode ser explorada por uma 
ameaça. Além disso, a definição dos recursos ameaça. Além disso, a definição dos recursos ameaça. Além disso, a definição dos recursos ameaça. Além disso, a definição dos recursos 
computacionais, a classificação das informações e a computacionais, a classificação das informações e a 
classificação dos tipos de usuários são de suma classificação dos tipos de usuários são de suma 
importância para situar o contexto de atuação da importância para situar o contexto de atuação da 
política de segurança. política de segurança. 
Para os graus de riscos devePara os graus de riscos deve--se analisar qual a se analisar qual a 
importância da importância da consequência consequência que o risco provoca que o risco provoca 
sobre o ambiente.sobre o ambiente.
Baixo risco: Baixo risco: consequência consequência pouco importante. Afeta pouco importante. Afeta 
localmente um serviço ou uma pessoalocalmente um serviço ou uma pessoalocalmente um serviço ou uma pessoalocalmente um serviço ou uma pessoa
Médio risco: Médio risco: consequência consequência razoavelmente razoavelmente 
importante. Afeta serviços ou um grupo de usuáriosimportante. Afeta serviços ou um grupo de usuários
Alto risco: Alto risco: consequência consequência fortemente importante. fortemente importante. 
Afeta a organização em si ou serviços críticos da Afeta a organização em si ou serviços críticos da 
corporação. corporação. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Direitos Direitos -- São direitos dos usuários: São direitos dos usuários: 
I I -- fazer uso dos recursos computacionais, nos termos desta fazer uso dos recursos computacionais, nos termos desta 
Política;Política;Política;Política;
II II -- ter conta de acesso à rede corporativa;ter conta de acesso à rede corporativa;
III III -- ter conta de correio eletrônico;ter conta de correio eletrônico;IV IV -- acessar a INTRANET e a INTERNET;acessar a INTRANET e a INTERNET;
V V -- ter acesso aos registros de suas ações através da rede ter acesso aos registros de suas ações através da rede 
corporativa;corporativa;
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Direitos Direitos -- São direitos dos usuários: São direitos dos usuários: 
VI VI -- ter acesso às informações que lhe são franqueadas, nos ter acesso às informações que lhe são franqueadas, nos 
termos desta Política, relativamente às áreas de termos desta Política, relativamente às áreas de termos desta Política, relativamente às áreas de termos desta Política, relativamente às áreas de 
armazenamento privativa e compartilhada;armazenamento privativa e compartilhada;
VII VII -- ter privacidade das informações na sua área de ter privacidade das informações na sua área de 
armazenamento;armazenamento;
VIII VIII -- solicitar recuperação das informações contidas na sua solicitar recuperação das informações contidas na sua 
área de armazenamento privativa e compartilhada;área de armazenamento privativa e compartilhada;
IX IX -- solicitar suporte técnico. solicitar suporte técnico. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Obrigações Obrigações -- São obrigações dos usuários: São obrigações dos usuários: 
I I -- responder pelo uso exclusivo de sua conta;responder pelo uso exclusivo de sua conta;
II II -- identificar, classificar e enquadrar as informações da rede identificar, classificar e enquadrar as informações da rede II II -- identificar, classificar e enquadrar as informações da rede identificar, classificar e enquadrar as informações da rede 
corporativa, relacionadas às suas atividades, de acordo com a corporativa, relacionadas às suas atividades, de acordo com a 
classificação definida nesta Política;classificação definida nesta Política;
III III -- zelar por toda e qualquer informação armazenada na zelar por toda e qualquer informação armazenada na 
rede corporativa contra alteração, destruição, divulgação, rede corporativa contra alteração, destruição, divulgação, 
cópia e acesso não autorizadoscópia e acesso não autorizados;;
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Obrigações Obrigações -- São obrigações dos usuários: São obrigações dos usuários: 
IV IV -- guardar sigilo das informações confidenciais, mantendoguardar sigilo das informações confidenciais, mantendo--
as em caráter restrito;as em caráter restrito;
V V -- manter em caráter confidencial e intransferível a senha de manter em caráter confidencial e intransferível a senha de 
acesso aos recursos computacionais da organização; acesso aos recursos computacionais da organização; 
VI VI -- fazer o treinamento para utilização desta Política;fazer o treinamento para utilização desta Política;
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Obrigações Obrigações -- São obrigações dos usuários: São obrigações dos usuários: 
VII VII -- informar à gerência imediata as falhas ou os desvios informar à gerência imediata as falhas ou os desvios 
constatados das regras estabelecidas nesta Política;constatados das regras estabelecidas nesta Política;constatados das regras estabelecidas nesta Política;constatados das regras estabelecidas nesta Política;
VIII VIII -- responder pelos danos causados em decorrência da não responder pelos danos causados em decorrência da não 
observância das regras de proteção da informação e dos observância das regras de proteção da informação e dos 
recursos computacionais da rede corporativa, nos termos recursos computacionais da rede corporativa, nos termos 
previstos nesta Política;previstos nesta Política;
IX IX -- fazer uso dos recursos computacionais para trabalhos de fazer uso dos recursos computacionais para trabalhos de 
interesse exclusivo da organização. interesse exclusivo da organização. 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Proibições Proibições -- É expressamente proibido aos usuários: É expressamente proibido aos usuários: 
I I -- usar, copiar ou armazenar programas de computador ou usar, copiar ou armazenar programas de computador ou 
qualquer outro material, em violação à lei de direitos autorais qualquer outro material, em violação à lei de direitos autorais qualquer outro material, em violação à lei de direitos autorais qualquer outro material, em violação à lei de direitos autorais 
(copyright);(copyright);
II II -- utilizar os recursos computacionais para constranger, utilizar os recursos computacionais para constranger, 
assediar, prejudicar ou ameaçar qualquer pessoa;assediar, prejudicar ou ameaçar qualquer pessoa;
III III -- fazerfazer--se passar por outra pessoa ou esconder sua se passar por outra pessoa ou esconder sua 
identidade quando utilizar os recursos computacionais da identidade quando utilizar os recursos computacionais da 
organização; organização; 
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Proibições Proibições -- É expressamente proibido aos usuários: É expressamente proibido aos usuários: 
IV IV -- instalar ou retirar componentes eletrônicos dos instalar ou retirar componentes eletrônicos dos 
equipamentos da rede corporativa, sem autorização;equipamentos da rede corporativa, sem autorização;
V V -- instalar ou remover qualquer programa das estações de instalar ou remover qualquer programa das estações de 
trabalho ou dos equipamentos servidores da rede corporativa, trabalho ou dos equipamentos servidores da rede corporativa, 
sem autorização;sem autorização;
VI VI -- alterar os sistemas padrões, sem autorização;alterar os sistemas padrões, sem autorização;
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Proibições Proibições -- É expressamente proibido aos usuários: É expressamente proibido aos usuários: 
VII VII -- retirar qualquer recurso computacional da organização, retirar qualquer recurso computacional da organização, 
sem prévia autorização da gerência;sem prévia autorização da gerência;
VIII VIII -- divulgar informações confidenciais;divulgar informações confidenciais;
IX IX -- efetuar qualquer tipo de acesso ou alteração não efetuar qualquer tipo de acesso ou alteração não 
autorizados a dados dos recursos computacionais da autorizados a dados dos recursos computacionais da 
organizaçãoorganização;;
Política de Segurança da InformaçãoPolítica de Segurança da Informação
Proibições Proibições -- É expressamente proibido aos usuários: É expressamente proibido aos usuários: 
X X -- violar os sistemas de segurança dos recursos violar os sistemas de segurança dos recursos 
computacionais, no que tange à identificação de usuários, computacionais, no que tange à identificação de usuários, computacionais, no que tange à identificação de usuários, computacionais, no que tange à identificação de usuários, 
senhas de acesso, fechaduras automáticas ou sistemas de senhas de acesso, fechaduras automáticas ou sistemas de 
alarme;alarme;
XI XI -- utilizar acesso discado através de notebook, quando utilizar acesso discado através de notebook, quando 
conectado nas redes dos prédios da organização. conectado nas redes dos prédios da organização.