Políticas de Segurança - UFSC

Prévia do material em texto

UNIVERSIDADE DO OESTE DE SANTA CATARINA 
Políticas de Segurança 
Estudo de casos e aplicação de Normas 
 
 
 
Gabriela Gugel, Giovani Raci Paganini, Fernando Cesar R., Leonir Clen e Alexandre Finger. 
 
 
 
 
Professor: Tiago Moraes 
 
 
26/05/2012 
 
 
Joaçaba, SC 
1 
 
INTRODUÇÃO 
Podemos dizer que não existe segurança absoluta se for observado o mundo globalizado de 
hoje, frente a isso torna-se necessário agirmos no sentido dos pontos vulneráveis e a partir daí 
avaliar os riscos e impactos, e rapidamente providenciar uma política de segurança para que a 
segurança da informação seja eficaz e segura o máximo possível. 
Esta política criada pode vir a ser um guia prático para estabelecer práticas e 
procedimentos referentes à segurança da informação da UNOESC. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 
 
OBJETIVOS 
 Elaboração 
A política de segurança aqui estabelecida deve informar aos usuários, equipe e gerentes, as 
suas obrigações para a proteção da tecnologia e do acesso à informação da instituição de 
ensino UNOESC - Joaçaba. 
 Nesse documento apresentaremos um conjunto de instruções e procedimentos para 
normatizar e melhorar a visão e atuação em segurança dentro da UNOESC – 
UNIVERSIDADE DO OESTE DE SANTA CATARINA. 
Processual 
Tem como principal objetivo formalizar a missão da área de segurança da informação e 
formalizar as responsabilidades da própria área, dos usuários e gestores da instituição. 
Tecnológica 
Garantir que os serviços da área tecnológica sejam levados em consideração, dentre seus 
aspectos mais importantes e críticos do funcionamento do mesmo, sem deixar de lado as 
questões relacionadas à boa conduta e a ética profissional dos usuários. 
Humana 
Objetivo de tornar todos os conceitos pertinentes à segurança compreendido e seguidos por 
todos dentro da organização, inclusive sem distinção de níveis hierárquicos. 
Elaboração da Política 
A política elaborada tendo como base a cultura da UNOESC e o conhecimento de 
segurança dos profissionais envolvidos na sua aplicação e comprometimento, sendo 
necessário criar um comitê de segurança responsável pelas definições da política, elaborando 
um documento final e oficializando o uso da política, com critérios de segurança adotados em 
cada área necessária para o alcance de tais critérios. 
 
 
 
 
 
3 
 
CAPÍTULO 1 
Política de Segurança 
Todas as normas aqui estabelecidas serão seguidas à risca por todos os funcionários, 
parceiros, prestadores de serviços e acadêmicos. Ao receber essa cópia da Política de 
Segurança, o(a) Sr.(Sra.) comprometeu-se a respeitar todos os tópicos aqui abordados e está 
ciente de que seus e-mails e navegação na internet/intranet podem estar sendo monitorados. A 
equipe de segurança encontra-se a total disposição para esclarecimentos de dúvidas e auxílio 
técnico. 
Não cumprimento de normas ou Roubo de Dados: 
O não comprimento dessas políticas acarretará em sanções administrativas, podendo 
ocasionar o desligamento do funcionário/acadêmico e demais usuários que possuem quaisquer 
ligações com a UNOESC de acordo com a gravidade da ocorrência. 
Responsabilidade e Penalidades: 
É de grande importância conhecer e identificar os responsáveis pelo gerenciamento da 
segurança e estabelecer normas de aplicação de sansões resultantes de casos de 
inconformidade com a política elaborada, com relação às penalidades e casos de infração da 
política de segurança da empresa. 
Oficialização da Política 
A aprovação desta política deve ser aceita pela administração da UNOESC, incluindo o 
Reitor, devendo ser publicada e comunicada para todos os funcionários, acadêmicos e 
colaboradores que possuam qualquer ligação com a instituição de ensino. 
Algumas ações podem comprometer a eficácia da política de segurança como, por 
exemplo, se os funcionários não a conhecem ou aplicam corretamente. 
 
4 
 
1. ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS 
Tratativas regulamentadoras segundo Gabriela Schmitz Gugel: 
1.1 Ameaças 
Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada 
através de auditorias internas. 
Fatores que podem vir a ameaçar a instituição e torná-la vulnerável: 
 Acesso a conteúdos nocivos e impróprios; 
Consequências: Poluição da rede. 
 Uso da internet para download de jogos, filmes, programas e afins para utilização 
 pessoal. 
 Consequências: Diminuição da qualidade do tráfego na rede. 
 Utilização da internet por parte de pessoas que não possuem vínculo com a 
universidade. 
 Consequências: Perda de controle da área estabelecida como restrita. 
 Exposição de dados confidenciais. 
 Consequências: Quebra de sigilo permitindo que sejam expostas informações restritas às 
 quais seriam acessíveis apenas por um determinado grupo de usuários. 
1.2 Impacto 
Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada 
através de auditorias internas. 
Tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes 
podem causar na Empresa, dentre eles: o roubo de informação, paralisação de serviços, perdas 
financeiras, diminuição da qualidade do tráfego, poluição da rede entre outros. 
1.3 Disponibilidade 
Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada 
através de auditorias internas. 
Garantir que a UNOESC e demais usuários vinculados a Universidade tenham acesso à 
rede sempre que necessário (Período Integral). 
Serão monitorados 24h por dia com acompanhamento de um instrutor: 
 Páginas de Conteúdo impróprio (Pornografia, Site de Jogos Online entre outros). 
5 
 
 Portal de Ensino 
 Tráfego da rede 
 Servidores de e-mail 
 Servidores de Proxy 
 Firewall 
Exceções para a Área da Informática (Cursos, Especializações, Pós-graduações, 
Mestrados, Doutorados e Ph.D.): Deverá ser disponibilizada uma Porta de Rede específica 
para os acadêmicos, professores e membros relacionados à área da informática, para 
utilização da internet com acesso mais rápido devido à dependência direta da mesma. 
1.4 Integridade: 
Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada 
através de auditorias internas. 
Deverá ser garantido o controle quanto à alteração das informações pelos meios acima 
citados. 
1.5 Confidencialidade: 
Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada através 
de auditorias internas. 
Os dados privados deverão ser apresentados somente aos donos dos dados ou ao grupo por 
ele liberado. É de suma importância que os autorizados tenham à informação e os ativos 
correspondentes sempre que necessário. 
1.6 Autenticidade: 
Período de duração e planejamento: Após um ano esta tratativa deverá ser revisada 
através de auditorias internas. 
O sistema deve ter condições de identificar a identidade dos usuários através de seus 
respectivos códigos de acesso, disponibilizados em suas matrículas pela UNOESC, e este 
deve ter condições de analisar a identidade do sistema. (utilização de logs). 
Quanto à tipificação dos utilizadores: 
Residentes: Pessoas que exercem suas atividades laborais continuamente no local. Sem 
término definido. Devem conhecer e cumprir todas as regras de segurança. 
6 
 
Não Residentes: Pessoas que exercem suas atividades laborais com ou sem regularidade, 
com término definido. Devem conhecer e cumprir todas as regras de segurança. 
Visitantes: Pessoas que se deslocam no local por um determinado período de tempo. 
Devem conhecer e cumprir todas as regras de segurança. 
 
2.ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO 
Tratativas Regulamentadoras segundo Gabriela Gugel: 
2.1 Comprometimento da direção frente à segurança da informação: 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
Responsabilidade pela contratação da equipe de segurança da informação e de 
supervisionar o gerenciamento da segurança (TI) da instituição. 
 Manter a segurança dos recursos de processamento da informação e da informação da 
organização que são acessados, processados, comunicados e/ou gerenciados por partes 
externas (clientes, fornecedores, terceiros). 
 Para que nossa política de segurança tenha um nível de cultura desejado é 
imprescindível o apoio da administração, coordenadoria e direção da UNOESC. Soluções 
técnicas não contemplam totalmente a integridade segurança. 
2.2 Objetivo da Política: 
Período de duração e planejamento: Após 3 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
Esta política visa estabelecer uma estrutura de gerenciamento para iniciar e controlar a 
implementação da segurança da informação dentro da UNOESC. 
A estrutura da segurança tem enfoque multidisciplinar e sua disponibilidade deverá 
envolver os colaboradores (acadêmicos, diretorias, coordenações) de todas as áreas da 
UNOESC. 
Devem-se priorizar serviços terceirizados, tendo a possibilidade de contratar profissionais 
especializados em vigilância para área de TI e utilização da compra de softwares, com a 
finalidade de auxiliar a instituição e seus membros estabelecendo, mantendo e melhorando a 
área de segurança da informação. 
7 
 
2.3 Confidencialidade: 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
Tem o objetivo de proteger todo o conhecimento, técnico ou informação confidencial 
capaz de possibilitar vantagens no processo produtivo econômico da UNOESC. 
2.4 Gestão de Emergências: Esferas de Competência e Incidentes de Segurança 
(gráfico): 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
Este gráfico tem como objetivo medir o nível da gravidade do fator problema classificando 
os possíveis riscos que a Segurança da Instituição pode vir a ter. 
 
Figura 1 - Pirâmide de Riscos: Controle de Acessos 
 
Alto Risco 
* Controle de acesso aos servidores 
* Controle de acesso as maquinas de fora da UNOESC 
*Controle de acesso (perfis) 
Médio Risco 
* Controle de acesso por usuário nas maquinas 
locais, gerando log. 
Baixo Risco 
* Controle de acesso 
nas bibliotecas 
* Controle de acesso 
 com 
utilização de 
etiquetas 
8 
 
2.5 Organograma Operacional da Segurança da Informação 
 
 
 
 
 
 
 
 
 
 
Figura 2: Organograma Operacional da Segurança da Informação 
 
2.6. Modelo da Estrutura da Política de Segurança: 
Período de duração e planejamento: Após 1 ano esta tratativa deverá ser revisada através 
de auditorias internas. 
Sua estrutura é composta por 11 seções, sendo que cada uma possui seu responsável 
conforme na figura 3. Vale lembrar de que sua integridade deverá ser mantida para que a 
informação mantenha suas características originais. 
Chefe de 
Segurança 
Central de 
Vulnerabilidade 
Gabinete 
de Riscos 
Controle de 
Acessos 
Técnico de 
Manutenção 
de Sistema 
Supervisão 
Central de 
Segurança 
9 
 
 Figura 3: Estrutura da Politica de Segurança 
2.7 Perfil do Gestor de Segurança ou Chefe de Segurança (Chief Security Officer): 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
 Visão Global e Foco; 
 Saber tomar decisões baseados na Análise de Riscos observando possíveis ameaças; 
 Criar e multiplicar padrões; 
 Ser especialista em segurança na área de TI; 
 Boa relação interpessoal e capacidade de liderança; 
 Ser um profissional orientado a metas ligadas à missão da UNOESC; 
 
1. ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS 
2. ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO 
• Responsável: Gabriela Schmitz Gugel 
3. GESTÃO DE ATIVOS 
4. SEGURANÇA EM RECURSOS HUMANOS 
• Responsável: Alexandre Finger 
5. SEGURANÇA FÍSICA E DO AMBIENTE 
6. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES 
7.CONTROLE DE ACESSO 
8.AQUISIÇÃO, MANUTENÇÃO E DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO 
9.GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÕES 
10.GESTÃO DA CONTINUIDADE DO NEGOCIO 
11.CONFORMIDADE 
 Responsável: Fernando Cesar Rigo 
 Responsável: Giovani Raci Paganini 
 Responsável: Leonir Clen 
 Responsável: Giovani Raci Paganini 
10 
 
3. GESTÃO DE ATIVOS 
Tratativas de regulamentação segundo: Fernando Cesar Rigo. 
Objetivos: 
Alcançar e manter a proteção dos ativos da organização. 
Convém que todos os ativos tenham um inventário e tenham um responsável pelo mesmo. 
3.1 Sanções Gerais: 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
Os ativos de trabalho deverão ser identificados e classificados de acordo com a 
importância para o funcionamento da organização. 
Os ativos deverão ter o seu formato (. DOC, .EXE, .TXT, ECT...) , tipo e localização 
sobre onde estão armazenados, tipos de licenças e a importância para o funcionamento da 
organização salvos em copias de segurança em um servidor interno para consulta e um 
servidor externo para a possível recuperação dos mesmos em caso de acidentes ou desastres, 
incidentes de segurança ou ataque a segurança dos mesmos. 
Todos os ativos deverão ter um proprietário para assegurar os recursos que foram a ele 
designados. 
Os ativos serão classificados como: 
 Ativos de informação: Banco de Dados do sistema, contratos de matricula, contratos 
de bolsa de estudos, contratos de Funcionários em geral, contratos de professores, materiais 
de Aula, regras e regimentos. 
 Ativos de software: aplicativos, sistemas, e utilitários. 
 Ativos físicos: Computadores, notebooks, impressoras, pen drives, HDs externos entre 
outros. 
 Serviços: Serviço de acesso à internet, Serviço de Utilização de computadores, acesso 
a biblioteca, iluminação dos espaços físicos e serviço de rede de internet. 
 Pessoas e suas qualificações habilidades e experiências; 
3.2 Deveres: 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
11 
 
 O proprietário do ativo deverá: 
 Assegurar que as informações e os ativos associados com os recursos de 
processamento da informação estejam adequadamente classificados, bem como manter o 
registro do local onde os mesmo estão armazenados dentro da instituição, para posterior 
consulta ou alteração dos mesmos. 
 Definir e analisar dentro de um período as classificações e restrições de acesso 
levando em conta as políticas de controle de acesso, dentro de um período e um ano o 
proprietário deverá analisar e atualizar a classificação dos ativos e verificar se houve alteração 
no local de armazenamento dos mesmos e fazer alterações se necessário. 
 Em caso de desligamento da pessoa encarregada de gerir determinado ativo deverá ser 
designado um novo proprietário para o ativo em questão e o mesmo deverá fazer a revisão e 
classificação do ativo, visando sua posterior integridade. 
3.3 Proibições 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
O proprietáriode um ativo será proibido de: 
 Alterar informações, ou classificação de ativos a qual não foi designado, visando à 
legalidade do autor. 
 Infringir as regras de uso de internet e de e-mail. 
 Infringir as regras de uso de dispositivos móveis especialmente as regras de uso fora 
das instalações. 
Classificações da Informação 
Objetivos: 
Assegurar que a informação receba um nível adequado de proteção. 
3.4 Recomendações Para Classificação 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
A Classificação dos ativos deve levar em conta as suas necessidades de compartilhamento 
e restrição, risco - médio: Os ativos serão Classificados de acordo com a sua usabilidade, e 
importância para a instituição. Serão incluídos no máximo três ativos da informação por 
12 
 
classificação, para evitar a probabilidade de possuir esquemas muitos complexos são 
inviáveis para a instituição. 
3.5 Nível de proteção, risco - alto: os ativos terão três níveis de proteção, alta, media e 
baixa, que serão avaliadas analisando a confidencialidade, integridade e disponibilidade da 
informação para a UNOESC. 
3.6 Tratamentos dos ativos: 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
Cada nível de informação deverá ter o seguinte tratamento, levando em conta o seu nível 
de classificação: 
Os ativos serão armazenados e ou disponilizados em pastas, de acordo com classificação, 
dentro de cada pasta os mesmos serão organizados em arquivos de acordo com o nível de 
segurança. 
4. SEGURANÇA EM RECURSOS HUMANOS 
Tratativas de regulamentação segundo: Fernando Cesar Rigo. 
Objetivos: Assegurar que os funcionários, fornecedores e terceiros entendam suas 
responsabilidades e estejam de acordo com os seus papeis, e reduzir o risco de furto ou roubo, 
fraude ou mau uso dos recursos da instituição UNOESC. 
4.1 Papeis e responsabilidades Risco - médio: Papeis e responsabilidades de todos os 
funcionários e candidatos a ingressar como o mesmo na instituição. 
Período de duração e planejamento: Após 3 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
 Todos os contratados, empregadores e candidatos a vagas deveram seguir e agir de 
acordo com a política de segurança da informação da instituição; 
 Os funcionários deveram ter níveis de acesso aos ativos para evitar uso não autorizado, 
divulgação ou destruição dos mesmos. Os Funcionários terão um tempo de experiência ao 
ingressar na instituição de três meses, durante esse tempo os mesmos não terão 
disponibilidade de acesso às informações sobre os ativos da instituição. 
 Os funcionários terão cargos que delimitarão o acesso às informações da instituição, 
os mesmos serão: 
13 
 
1. Assistente: Funcionário em período de experiência. 
2. Efetivo: Funcionário que já passou pelo período de experiência. 
3. Supervisor: Funcionário que tem uns níveis maiores de confiabilidade na instituição 
que deverá ser responsável pelos níveis de assistentes e efetivos. 
4. Gerentes: funcionários com total acesso a totós os níveis de ativos. 
 As diretrizes acima citadas deverão ser passadas no para o funcionário em seu período 
de treinamento durante os três meses de experiência. 
4.2 Seleção de Funcionários Risco – alto: Diretrizes para a contratação de pessoal, para a 
instituição: 
Período de duração e planejamento: Após 1 ano esta tratativa deverá ser revisada através 
de auditorias internas. 
 Deverá ser levado em conta o caráter do candidato de acordo com as referências que 
ele disponibilizará no momento da entrevista para avaliação 
 O candidato devera apresentar curriculum vitae apresentável, com informações 
relevantes sobre experiências profissionais anteriores. 
 Deverá ser avaliada a qualificação acadêmica do candidato e suas experiências 
profissionais anteriores em outras empresas. 
 Deverá ser pesquisado e verificado a veracidade de TODAS as informações que o 
candidato forneceu, tanto pessoais quanto profissionais. 
 Verificar antecedentes criminais e créditos financeiros do candidato; 
O candidato que apresentar todos os requisitos de forma satisfatória será apto para a 
contratação, tendo a instituição total autonomia para decidir entre candidatos que 
apresentarem aptidões parecidas. 
4.3 Temos e condições para contratação Risco – baixo: Ambas as partes contratante e 
contratado deverão concordar com as condições contratuais. 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
 Os funcionários que forem contratados para os cargos de gerente e supervisor deverão 
assinar um termo de confidencialidade e não divulgação dos dados sensíveis à instituição. 
14 
 
O não cumprimento deste termo resultará em total desligamento do funcionário da 
instituição podendo de acordo com a gravidade de o ato ser gerado processo judicial contra o 
mesmo. 
 Ao momento da contratação deverão ser expostas ao contratado todos os seus direitos 
e deveres legais. 
 Deverá ser exposta a todos os funcionários contratados a política externa da 
instituição. 
 Deverá ser exposta ao novo funcionário a política de tratamento dos demais 
funcionários dentro da instituição; 
Poderá ser utilizado um código de conduta para apresentas os requisitos acima citados ao 
contratado. 
Se ambas as partes concordarem com os termos de contrato, o usuário deverá ser 
contratado, caso o usuário discorde de algum termo poderá haver um novo processo de 
seleção. 
4.4 Durante a contratação – Risco Médio: Assegurar que os funcionários estejam cientes 
de suas responsabilidades e obrigações evitando o não repúdio. 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
 Os diretores devem assegurar que os funcionários estejam cientes de suas 
responsabilidades e que os mesmo recebam as diretrizes sobre a segurança da empresa. 
 Os funcionários recém-contratados deveram passar por um período de treinamento, 
composto por um curso teórico sobre a política de segurança da empresa. 
4.5 Processo Disciplinar Risco – Alto: Os funcionários que tenham cometido uma 
violação na segurança da informação deverão passar por um processo disciplinar. 
Período de duração e planejamento: Após 2 anos esta tratativa deverá ser revisada através 
de auditorias internas. 
 Um processo disciplinar não deve ser iniciado sem uma verificação prévia se o fato 
realmente ocorreu. 
Caso comprovado que o funcionário realmente cometeu a infração ou utilizou o não 
repúdio deverá ser imposto ao mesmo, um processo disciplinar que dependendo da gravidade 
15 
 
do assunto poderá ser uma advertência, restrição de acesso a determinadas áreas de segurança 
dos ativos ou até desligamento da instituição e processo judicial. 
4.6 Encerramento ou mudança de contratação Risco – Alto: todos os funcionários que 
deixarem a instituição deverão faz isso de forma ordenada. 
Período de duração e planejamento: Após 1 ano esta tratativa deverá ser revisada através 
de auditorias internas. 
 O funcionário que deixar a instituição deverá ter todos os seus direitos assegurados. 
 Quando o motivo do desligamento do funcionário for por sua própria vontade, deverá 
haver um aviso prévio de 30 dias para que haja um novo processo de admissão. 
 O funcionário que estiver deixando a instituição deverá repassar por meio de um 
treinamento superficial suas funções ao novo funcionário contratado. 
 Deverá ser retirado todo e qualquer nível de acesso, por senha ou por outros meios de 
um funcionário que deixe a instituiçãopara evitar possíveis incidentes de segurança. 
 
 
16 
 
CAPÍTULO 2 
Fraudes e bots – O combate às fraudes de internet deve ser uma prioridade, pois elas 
representam mais de 55% dos 4015 registradas durante o ano de 2005. 
Os ataques são realizados através de envio de mensagens falsas utilizando a imagem de 
instituições idôneas como IBGE, hospedando cavalos de Tróia que monitoram o computador 
da vítima por acessos a sites financeiros enviando os dados obtidos para diversas contas de e-
mail. 
Diretrizes 
As diretrizes, que são a parte estratégica da política de segurança, correspondem às 
preocupações da empresa sobre a segurança das informações, ao estabelecer seus objetivos, 
meios e responsabilidades. 
Procedimentos e Instruções de Trabalho (Operacional) 
Procedimentos 
Atividades operacionais de segurança envolvendo procedimentos, permitindo sua execução 
detalhada e padronizada. 
Instruções de trabalho 
Conjunto de comandos operacionais a serem executados em um procedimento de 
segurança estabelecido por uma norma. 
Exemplo de procedimentos e instruções 
Integrar uma lista com procedimentos para realizações de suporte no banco de dados que 
são os responsáveis, a periodicidade, o armazenamento, etc. 
Instruções de trabalho para a restauração de equipamentos portáteis que precisem ser 
reinstalados com um guia passo a passo sobre o que fazer em cada caso. 
 
5. SEGURANÇA FÍSICA E DO AMBIENTE 
Tratativas de regulamentação segundo: Alexandre Finger. 
A segurança física tem como objetivo proteger equipamentos e informações contra 
usuários não autorizados, prevenindo o acesso a esses recursos. 
 
17 
 
5.1 Controle de entrada e saída de materiais da instituição, ou pessoal em locais de 
acesso restrito, registrando data e horários: 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Funcionários responsáveis pela segurança devem manter registro de equipamentos e 
materiais que entram e saem do estabelecimento para evita incidente de segurança. E proibir 
entradas com mochilas e afins, inclusive de funcionários. O Aluno ou funcionário pode 
manifestar-se em caso de furto ou danos gerados caso não havendo este controle, e 
comprovado o dano. Poderá acarretar na demissão do funcionário, ou expulsão do aluno; 
5.2 Utilização de aparelhos eletrônicos para monitoramento em vídeo 24hs dos 
acontecimentos realizados na instituição: 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Manter as informações geradas por câmeras visuais, em servidores por períodos mínimos 
de 3 meses em locais seguros. Caso a necessidade de visualização das imagens por pessoas 
que sintam-se mobilizadas ou que tiveram sua privacidade violada será necessidade de 
requerimento via protocolo. Não é permitida a utilização das gravações, sem devida 
autorização e para fins que não sejam o de manter a segurança no estabelecimento. 
5.3 Manter equipamentos que forneçam acesso à rede interna da corporação, em 
lugares com acesso restrito: 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Apenas pessoas autorizadas poderão ter acesso a estes equipamentos que devem ser 
instalados em salas fechadas e/ou rack. Caso ocorra um incidente de segurança a 
universidade não pode exigir que os aparelhos estejam seguros. O responsável pelas chaves é 
de total responsável pelos danos em aparelhos em caso de descumprimento disto. O acesso a 
estes equipamentos só podem ser aceitos pelo pessoal responsável pela rede, sendo que as 
chaves ficam apenas com uma pessoa e esta controla todas as utilizações; 
5.4 Utilizar-se de equipamentos para prevenção e combate a: 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
18 
 
 Incêndios; 
 Danos pela Água; 
 Climatização. 
Devem ser utilizados equipamentos e técnicas para a prevenção e combate, que são: 
extintores, alarmes de incêndio, manter equipamentos e materiais longe de tubulações de 
água, equipamentos e materiais devem ser mantidos em temperatura ideal para conservação 
dos mesmos. No caso de não serem utilizadas estas medidas, os responsáveis por isso poderão 
punidos com multas e expulsões. 
5.5 Proteger fisicamente as unidades de backup: 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Unidades de backup devem estar em locais fechados, com temperatura ambiente com baixa 
umidade e com acesso restrito. Todas as unidades devem estar catalogadas identificado 
conteúdo armazenado. Além disso, deve manter-se uma rotina de verificação de consistência 
dos backups, para manter a confiabilidade da segurança dos dados guardados. 
5.6 Segurança no cabeamento elétrico e telecomunicações: 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
 Sempre que possível utilizar-se de linhas subterrâneas para passagem do cabeamento, 
separando os cabos de energia dos de redes ou telecomunicações, evitando a probabilidade de 
ocorrência de ruídos ou interferências que provocam falhas de comunicação. 
O cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por 
exemplo, uso de conduítes ou evitando trajetos que passem por áreas públicas. 
 
19 
 
6. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES 
Tratativas de regulamentação segundo: Alexandre Finger. 
Garantir a operação segura e correta dos recursos de processamento da informação. 
6.1 Gestão de mudanças: Risco: Baixo 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Atualizações ou modificações nas mudanças de sistema operacionais ou versões de 
software que trabalham em compatibilidade com outros sistemas devem ser analisados para 
não causarem nenhum impacto à confiabilidade da aplicação e integridade dos dados. Caso 
mudanças em versões sejam realizadas, deve ser mantido um registro contendo todas as 
informações relevantes. 
6.2 Gerenciamento de serviços terceirizados: Risco: Médio 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Devem-se implementar acordos para aquisição de serviços terceirizados, para garantir que 
serviços entregues atendam a todos os requisitos acordados com terceiros. Utilizar-se de 
serviço terceirizado para seguintes áreas: Segurança e vigilância da instituição, manutenção 
dos equipamentos de comunicação e unidades de backup, limpeza, desenvolvimento e 
manutenção de sistemas, mantendo registro dos acordos como trilha de auditoria. 
6.3 Proteger a integridade de software e da informação: Risco: Médio 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Deve-se bloquear/proibir o uso de softwares não autorizados pela instituição para evitar 
ataques e ameaças aos sistemas. Proibir a instalação de qualquer software nas maquinas da 
instituição, delimitado isso por níveis de acesso do usuário. Toda a vez que o equipamento for 
reiniciado volte a uma configuração padrão determinada pelo departamento de segurança de 
TI da universidade. 
6.4 Gerenciamento da segurança Serviços de redes: Risco: Alto 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reuniãocom o conselho gestor. 
20 
 
Gerenciamento dos serviços de rede como: controle de acesso, limitação de horários para 
utilização dos serviços de rede, limitação de banda larga para downloads, detecção de 
intrusos, autenticação de usuários, troca de regular de senhas dos aparelhos de rede. O 
usuário tem a total responsabilidade do seu acesso aos equipamentos da instituição, caso 
dados importantes do usuário sejam expostos à rede publica a instituição não terá 
responsabilidade sobre o ocorrido. 
6.5 Manuseio de mídias Removíveis: Risco: Médio 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
O uso de mídias removíveis (CDs, Hard-drivers, Pen-Drivers, etc...), será inteiramente 
bloqueado a equipamentos com acesso restrito que forneçam dados da instituição e pessoais 
de acadêmicos e funcionários. Quando a necessidade de acesso a esta maquinas deverá ser 
efetuada uma autorização por meio de protocolo mantendo o registro como trilha de 
auditoria. 
6.6 Monitoramento: Risco: Alto 
Período de duração e planejamento: A cada semestre esta tratativa deve ser revisada através 
de uma reunião com o conselho gestor. 
Devem ser mantidos registros (log) de usuários e funcionários, registro de falhas para 
assegurar que os problemas e incidentes de segurança sejam identificados. Estes registros 
precisam ser mantidos por um período de tempo para auxiliar futuras investigações caso 
necessário. Nos registro deverá constar: Usuário logado, data e hora, arquivos acessados, 
identidade do terminal, configuração do sistema. Identificado usuário que causou problemas 
ou violação das políticas de segurança, acarretara na demissão (Em caso Funcionário) ou 
expulsão (Em caso Acadêmico). 
 
7. CONTROLE DE ACESSOS 
Tratativas de regulamentação segundo: Giovani Raci Paganini. 
7.1 Controle de acesso aos servidores – Risco: alto 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Pessoas autorizadas tem acesso às maquinas para manutenção e utilização. 
21 
 
O usuário é totalmente responsável por sua senha e deve substituí-la conforme 
determinado. O registro deve ser realizado remotamente, gerando um log de tudo o que é feito 
nessas máquinas e por qual usuário. 
Pessoas não autorizadas tem o acesso proibido, exceto quando estiverem acompanhadas de 
pessoas autorizadas. É de responsabilidade de a segurança garantir que não haja 
vulnerabilidade para evitar ataques. 
Para os casos em que for evidenciado quebra na segurança, os responsáveis pela segurança 
serão alertados por escrito a respeito. 
7.2 Controle de acesso às maquinas de fora da UNOESC – Risco: alto 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
 Os responsáveis pela rede devem informar a necessidade do bloqueio externo a quem 
pretender acessar. A rede deve estar configurada para acesso remoto e deve requerer a 
autenticação às maquinas para conexões advindas de redes da própria UNOESC e registrar 
esses acessos em logs. Acessos provenientes de outras redes são proibidos. 
E de responsabilidade da empresa de segurança (Contratada), fazer com que as normas 
sejam cumpridas. 
Toda a conexão as maquina, devem ser realizadas somente dentro das redes da 
universidade. Caso haja o descumprido e com isso gerem problemas, ou seja, evidencia do 
apenas o descumprimento, os responsáveis serão advertidos. 
7.3 Controle de acesso por usuário nas maquinas locais, gerando log. – Risco: médio. 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Funcionários e alunos da instituição tem acesso à rede com cabo e sem fio, tanto utilizando 
maquinas disponibilizadas, quanto em maquinas pessoais utilizando seu usuário e senha. 
Quem utilizar a rede deve respeitar as regras impostas. O usuário e senha são de total 
responsabilidade do usuário. 
Não é permitido o acesso à rede para uso pessoal. 
 Sites que são comumente utilizados com intuitos diferentes desses são bloqueados (Mais 
informações em 6.6). 
22 
 
Não é permitida a autenticação em duas maquinas com o mesmo usuário ao mesmo 
tempo. Caso isso ocorra à primeira maquina tem a conexão desconectada. 
 Caso algum funcionário utilizar a rede e acessar informações não permitidas, o mesmo 
será advertido verbalmente. 
Caso haja descumprimento por acadêmico, sua rematrícula ficara bloqueada ate que o 
mesmo assine o termo de que esta ciente da política de utilização da rede da instituição, e caso 
haja reincidência poderá ter o acesso bloqueado pelo tempo determinado pela comissão 
responsável. 
7.4 Controle de acesso nas bibliotecas – Risco: baixo. 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Os alunos podem utilizar dos computadores dispostos nas bibliotecas para realização de 
pesquisas de livros disponíveis além de reservar os que não estão disponíveis. Porem não há 
necessidade de autenticação para utilizar estes recursos. 
É proibido o uso para fins que não sejam o de busca e reserva de livros. 
Quando burlado o uso das maquinas para um fim não determinado, os responsáveis serão 
punidos conforme decidido pela comissão. 
7.5 Controle de acesso (perfis) – Risco: alto. 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Alunos e funcionários podem utilizar-se da internet da universidade, desde que possuam 
um login e senha de acesso. Os usuários são separados por perfis de acesso, onde cada perfil 
determina o que o usuário pode acessar, horários e dias. Um usuário pode ter seu perfil 
alterado caso necessário. 
Nenhum usuário pode fazer autenticação com as informações de outra pessoa, 
considerando-se que o usuário da rede é o responsável por tudo que venha a ocorrer com seu 
usuário. 
Não existem punições diretamente ligadas para o descumprimento deste. 
7.6 Controle de acesso com utilização de etiquetas – Risco: baixo. 
23 
 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Todos que frequentam as dependências da universidade devem possuir um cartão de 
identificação que contem os dados da pessoa e um código de barras. Este controle garante que 
ocorra algum incidente de segurança com o equipamento de algum aluno ou funcionário. 
Os equipamentos devem ser registrados e adesivados com um código de barras que 
identifique o equipamento. Todos os notebooks, netbooks e tablets devem ter seu cadastro 
obrigatório. 
Ao entrar e sair das dependências da universidade, o aluno ou funcionário deve entregar 
seu cartão e mostrar os equipamentos para que os seguranças possam utilizar de um sistema 
para conferir se o usuário é realmente dono do equipamento. Os seguranças também devem 
revistar mochilas, malas e afins. 
 
8. AQUISIÇÃO, MANUTENÇÃO E DESENVOLVIMENTO DE SISTEMAS DE 
INFORMAÇÃO. 
Tratativas de regulamentação segundo: Giovani Raci Paganini. 
8.1 Prevenir a ocorrência de erros: 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Incorporar nas aplicações checagens de validação com o objetivo de detectar dados que 
podem estar corrompidos einformar isso no e-mail de todos os responsáveis todos os dias, 
enquanto o problema não for solucionado. 
Os responsáveis devem registrar todas as ocorrências de erros e quando determinado que o 
problema ocorreu por falha humana este será repassado para o responsável geral pela 
segurança para que este tome as medidas cabíveis. 
No caso da descoberta de que o incidente de segurança ocorreu por negligencia de algum 
funcionário o mesmo será responsabilidade segundo o que o responsável geral definir. 
8.2 Proteger os dados e a integralidade de informações por meios criptográficos: 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
24 
 
Devem ser criados métodos criptográficos nos casos em que as informações devem 
permanecer seguras, baseando-se nas chaves criptográficas e certificados digitais. Cada 
pessoa que tenha acesso a informações restritas devem possuir um certificado digital para 
criptografar as informações. Quando alguém se desliga da instituição seu certificado deve ser 
imediatamente revogado e todas as informações anteriormente geradas devem ser analisadas e 
então armazenadas por um período mínimo de 5 anos para uma possível auditoria. 
8.4 Garantir a segurança de arquivos de sistemas: 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Todos os arquivos de sistemas devem possuir estes itens de segurança: 
 Dois backups ao mínimo, Logs de modificações no BD que não as comuns; 
 Disponibilidade ao código fonte a apenas os programadores dos sistemas, 
 Proteger as informações dos sistemas em maquinas fora da instituição 
 Armazenar dados temporários em partição separada. 
8.5 Prevenir a ocorrência de erros, perdas, modificações não autorizadas. 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Utilizar ferramentas que conferem e corrigem tabelas e informações dos bancos de dados 
de sistemas quando o mesmo for iniciado. Não permitir modificações em informações que são 
sensíveis, e quando isso ocorrer uma copia do arquivo original deve ser mantida em uma pasta 
e removida manualmente apenas pelo pessoal autorizado. Diariamente devem ser verificadas 
as consistências dos sistemas e testadas todas as modificações. Quando ocorrer a 
disponibilidade de uma nova ferramenta utilizada pelo sistema, mesmo um sistema 
operacional, é obrigatório testar todas as funcionalidades do mesmo antes de autorizar 
atualizações destas ferramentas. 
8.6. Procedimentos para modificação de softwares 
Período de duração e planejamento: Todo semestre esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor e o pessoal da área de TI. 
Devem ser seguidas etapas de testes de software para que a versão nova seja aprovada, 
sendo necessário registrar informações em todas as etapas, que são: 
Teste unitário: Aplicado em menores componentes de código; 
25 
 
Teste de integração: Testa-se a integração entre partes do software, as dependências entre 
as unidades de componentes; 
Teste de sistema: Os testes devem ser executados por profissionais de teste; 
Teste de aceitação: Os testes devem ser executados pelos usuários finais. 
Caso seja detectado incidente de segurança no software, deve ser negada a aceitação e 
testado novamente quando o erro for concertado. 
 
9. GESTÃO DE INCIDENTES DE INCIDENTES DA SEGURANÇA DA 
INFORMAÇÃO 
Tratativas de regulamentação segundo: Leonir Clen. 
9.1 Caso ocorra invasão do sistema: 
Deverá ser identificado o responsável, e em no máximo 12 horas devera ser feito um 
boletim de ocorrência para posteriores ações. 
 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada 
final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 
9.2 Caso ocorra, de alguma forma, exposição de dados confidenciais de alunos, 
professores ou outro funcionário: 
Deverão imediatamente serem desligados os equipamentos pra evitar danos maiores. 
 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada 
final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 
9.3 Caso ocorra danos na estrutura física do servidor principal, por incêndio ou por causas 
naturais: 
O primeiro procedimento será identificar se existe a possibilidade de salvar os 
equipamentos, em seguida acionar órgãos responsáveis, bombeiros ou defesa civil. 
 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada 
final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 
9.4 Caso ocorra uma invasão da área onde esta o servidor, por pessoas não autorizadas: 
O individuo não poderá sair da instituição portando, pen drive, CD, DVD, HD Externo, ou 
qualquer outra forma de equipamento que possibilite a passagem de dados. O mesmo 
responderá perante a instituição por seus atos. 
26 
 
 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada 
final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 
9.5 Ocorrendo modificações no sistema, sem o conhecimento, instruções ou 
consentimento prévio da instituição, tornando o sistema vulnerável: 
O responsável será penalizado de acordo com as regras da universidade. 
 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada 
final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 
9.6 Caso ocorra uma pane técnica, em que incida indisponibilidade, em qualquer 
equipamento de T.I, computadores ou servidores: 
 Deverá ser automaticamente detectado onde ocorreu o problema. 
 Período de duração e planejamento: Esta gestão de incidente devera ser revisada a cada 
final de ano letivo, e alterada caso ela tenha deixado de atender todas as necessidades devidas. 
 
10. GESTÃO DA CONTINUIDADE DO NEGÓCIO 
Tratativas de regulamentação segundo: Leonir Clen. 
10.1 Se durante uma invasão o sistema for prejudicado ou removidos os dados do servidor: 
Deverá imediatamente haver troca de servidor com backups dos dados. 
 Período de duração e planejamento: Caso não atenda a necessidade para continuidade 
do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 
10.2 Se terceiros tiverem acesso aos dados confidenciais expostos acidentalmente, causando a 
falta de Confidencialidade do sistema. 
 Os prejudicados deverão ser indenizados pelo ocorrido. 
 Período de duração e planejamento: Caso não atenda a necessidade para continuidade 
do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 
10.3 Em caso de não haver a possibilidade de salvar os equipamentos do servidor 
principal: 
 Um segundo servidor, onde nele estão todos os dados do principal feitos por backup, 
devera ser ativado. 
 Período de duração e planejamento: Caso não atenda a necessidade para continuidade 
do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 
27 
 
10.4 Em caso de ter ocorrido uma invasão na área restrita do servidor: 
Deverá ser feito uma inspeção, para verificar se ouve ou não danos a software ou 
hardware. 
 Período de duração e planejamento: Caso não atenda a necessidade para continuidade 
do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 
10.5 Em caso de ter ocorrido umamodificação, prejudicando a integridade do sistema, 
sem consentimento da universidade: 
 Deverão ser reparadas todas as partes do sistema independente de ter sido modificado ou 
não, isso por precaução, por possíveis prejuízos causados. 
 Período de duração e planejamento: Caso não atenda a necessidade para continuidade 
do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 
10.6 Em caso de ter ocorrido algum tipo de pane técnica, em que incida indisponibilidade 
em algum equipamento: 
O mesmo deverá imediatamente entrar em manutenção ou ser substituído. 
 Período de duração e planejamento: Caso não atenda a necessidade para continuidade 
do negócio, esta tratativa devera ser alterada a cada final de semestre letivo. 
 
11. CONFORMIDADE 
Para garantir a inexistência de não conformidades é necessário que este estatuto seja seguido à 
risca. 
Além do que já foi anteriormente citado, abaixo são relatados mais 6 tópicos mais específicos 
à conformidade. 
Toda não conformidade deve ser registrada e cobrada uma solução na próxima auditoria. Em 
casos em que a não conformidade persiste, deve-se encaminhar o relatório ao chefe da 
segurança de TI. 
11.1 Direitos autorais de software 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
28 
 
Para estar em conformidade é necessário emitir padrões para procedimentos de aquisição de 
produtos de software, manter atenção sobre a política de aquisição e de direitos autorais de 
software e notificar a intenção de tomar ações disciplinares contra colaboradores que violarem 
essas políticas para evitar incidente de segurança. 
11.2 Privacidade da informação pessoal 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
Todos os dados dos usuários são armazenados e feitos backup para uso da universidade, além 
de que é armazenado informação do que ele faz na internet. 
Essas informações são de uso exclusivo da UNOESC e assim deve permanecer. Desta 
maneira devem-se considerar esses dados como sendo confidencias e aplicar praticas de 
segurança conforme especificado nesta norma para evitar incidente de segurança. 
11.3 Proteção das ferramentas de auditoria de sistemas 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
A função da auditoria de sistemas é promover a adequação, revisão, avaliação e 
recomendações para o aprimoramento dos controles internos em qualquer um dos sistemas de 
informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e 
tecnológicos envolvidos no processamento dos mesmos. Por esse motivo, faz-se necessidade 
que seja mantida uma politica rígida para manter essas ferramentas de auditoria seguras e 
autenticas. 
11.4 Conformidade com Requisitos Legais 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
Deve-se definir uma estrutura que atenda aos principais requisitos legais para a atuação da 
área de TI. Requisitos legais são as leis e regulamentos que devem ser seguidos pelas 
organizações. 
11.5 Proteção de informações e dados 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
29 
 
Os dados considerados restritos devem ser protegidos contra ataque, roubo, perda ou 
qualquer outro meio que possa prejudicar os mesmos. 
Para que isso ocorra é necessário seguir este estatuto, principalmente os capítulos que se 
referem ao controle de acessos e segurança do ambiente físico. 
11.6 Prevenção do mau uso dos recursos disponíveis 
Período de duração e planejamento: A cada ano esta tratativa deve ser revisada através de 
uma reunião com o conselho gestor. 
Mesmo havendo bloqueio para garantir incidentes de segurança, são necessários que sejam 
informados e orientados os usuários sobre o uso correto dos recursos que possuem. É 
obrigatório informar a cada usuário a causa da correta utilização dos recursos disponíveis. 
 
 
30 
 
GLOSSÁRIO DA POLÍTICA 
Log: uma expressão utilizada para descrever o processo de registro de eventos relevantes 
num sistema computacional. Esse registro pode ser utilizado para restabelecer o estado 
original de um sistema ou para que um administrador conheça o seu comportamento no 
passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em 
sistemas computacionais. 
BD (Banco de Dados): Armazenamento de dados de forma ordenada, objetivando 
controlar a existência de duplicidade nas informações e facilitando o acesso às informações 
armazenadas. 
Acesso remoto: acesso, por meio de uma rede, aos dados de um computador fisicamente 
distante da máquina do usuário. 
Certificado digital: Um certificado digital é um arquivo de computador que contém um 
conjunto de informações referentes à entidade para o qual o certificado foi emitido (seja uma 
empresa, pessoa física ou computador) mais a chave pública referente à chave privada que se 
acredita ser de posse unicamente da entidade especificada no certificado. 
Conduíte: Tubo de ferro ou plástico, rígido ou flexível, usado em instalações elétricas para 
passagem de fios condutores de energia.