Apresentao

Ciente da importncia de aprimorar os controles de gesto e governana, garantindo a proteo da informao e zelando pela integridade e sigilo dos dados corporativos, principalmente os dados dos
Participantes e Assistidos, o Conselho Deliberativo da Fachesf aprovou a Poltica de Segurana da Informao, no dia 5 de Fevereiro de
2010.

A informao um dos bens mais valiosos da Fachesf, independentemente do formato que apresente: eletrnico (computador,
pendrive, e-mail, etc.), linguagem falada (conversa pessoal ou telefnica) ou escrita (documentos, cartas, etc.). Dessa forma, importante
proteg-la sempre. Voc, como usurio, tem um papel fundamental,
pois a segurana da informao acontece atravs das pessoas!
Cada funcionrio um elo dessa grande corrente. O envolvimento
de todos essencial na consolidao e representatividade da nossa
Poltica de Segurana da Informao.
Para apresentar os principais aspectos e conceitos que envolvem o
tema, bem como facilitar e nivelar o entendimento de todos os colaboradores da Fachesf, elaboramos esta cartilha.
Sugerimos que voc leia o material por inteiro e que as orientaes
aqui repassadas possam fazer parte do seu cotidiano.
A Diretoria Executiva

Cartilha de Segurana da Informao | Apresentao

O referido documento contm as principais diretrizes para todas as

aes e demais regulamentos relacionados ao tema. Nos ltimos
anos, a Fachesf tem intensificado a implantao de vrios controles
de proteo da informao e a formalizao da Poltica vem para
aperfeioar esse processo.

03

Cartilha de Segurana da Informao | Sumrio

Sumrio

04

Parte 01

Parte 02

Parte 03

A importncia da
Segurana da Informao
para as empresas

Os princpios bsicos
da Segurana Informao

Segurana da Informao
da Fachesf

pgina 06

pgina 10
pgina 13

Parte 05

Anexo

Atitudes para
a Segurana da
Informao

Glossrio:
Termos Utilizados na
Segurana da Informo

Poltica de Segurana
da Informao
da Fachesf

ANEXO

ltica de Seguran
pgina 28

pgina 36
pgina 43

Cartilha de Segurana da Informao |Sumrio

Parte 04

05

Parte 01

Mas o que Segurana da Informao?

Segurana da Informao um conjunto de medidas constitudas
basicamente de controles e de polticas de segurana, tendo como
objetivo a proteo das informaes, atravs do controle dos riscos
de revelao ou alterao por pessoas no autorizadas. Segurana
da Informao remete ideia de que informaes e/ou conhecimentos estejam seguros e protegidos contra pessoas que no precisam
(ou no devam) ter acesso a tais dados.
A segurana visa tambm aumentar a produtividade dos usurios,
atravs de um ambiente mais organizado, com maior controle sobre
os recursos materiais, patrimoniais e de informtica.
O que Poltica de Segurana da Informao?
Poltica de Segurana um conjunto de diretrizes que definem formalmente as regras e os direitos para todos os colaboradores, visando proteo adequada dos que compartilham a informao. Ela
tambm define as atribuies de cada um dos atores, em relao

Cartilha de Segurana da Informao | Parte 01

Os pilares da segurana da informao nos do ferramentas completas para proteger as informaes das empresas, ou seja, minimizar riscos e maximizar o maior retorno do investimento. Portanto,
quando mencionamos segurana da informao estamos falando
de protees voltadas s informaes impressas, verbais e sistmicas, bem como, nos controles de acesso, vigilncia, contingncia de
desastres naturais, contrataes, clusulas e demais questes que
juntas formam uma proteo adequada para qualquer empresa.

07

segurana dos recursos com os quais trabalham, alm disso, deve

prever o que pode ser feito e o que ser considerado inaceitvel.
A informao s o que est nos sistemas?
No. Entende-se por informao todo e qualquer contedo ou dado
que tenha valor para a organizao ou pessoa. Alm do que est
armazenado nos computadores, a informao tambm est impressa em relatrios, documentos, nos arquivos fsicos, ou repassada
atravs de conversas nos ambientes interno e externo.
Por isso, todo cuidado pouco na hora de imprimir relatrios, jogar
papis no lixo, deixar documentos em cima da mesa, conversar sobre
a empresa em locais pblicos ou com pessoas estranhas.

Cartilha de Segurana da Informao | Parte 01

O que Engenharia Social?

08

a ao mal intencionada que, aproveitando-se da ingenuidade

e da confiana alheia, obtm informaes importantes de uma
determinada pessoa ou empresa, por meio de uma conversa
informal.
O indivduo mal intencionado geralmente usa telefone, e-mail, salas de bate-papo e at mesmo contato pessoal para conseguir as
informaes que procura.
Muito cuidado: desconfie de abordagens de pessoas que ligam e
se identificam como tcnicos ou funcionrios de determinada firma
e pedem dados sobre a Fachesf, um Participante, voc, etc. Nunca
fornea dados se no foi voc quem iniciou o contato ou se no
tem como assegurar a credibilidade da pessoa e da firma.

Internet: ameaas e vulnerabilidades

Atualmente a maioria das aplicaes est ligada de alguma maneira Internet, que pode ser considerada um marco importante para reavaliar a maneira de utilizarmos o computador.
Porm, se por um lado a Internet uma ferramenta mais indispensvel a cada dia, e existe um nmero crescente de pessoas conectadas, isto leva inevitavelmente, existncia de pessoas que vo se
aproveitar da situao para obter benefcio prprio de forma ilegal.
Com o aumento dos nmeros de aplicaes e a complexidade das
redes, as pessoas e sistemas esto mais e mais susceptveis a ataques.

Por que acontecem ataques?

De alguma maneira, ataques acontecem porque existe:
Motivao de um hacker (atacante do sistema);
Falha na estrutura de segurana do alvo atacado;
Desconhecimento do valor da informao.
Podemos ento imaginar isso tudo como uma balana: quanto mais
vulnervel o sistema de segurana de uma empresa, menos motivao precisa ter o hacker, pois mais fcil efetuar o ataque. Se
o sistema muito bem protegido, entende-se que o hacker precisa
de mais conhecimento, maior motivao e mais tempo para atacar.

Cartilha de Segurana da Informao | Parte 01

O uso da Internet nas empresas trouxe novas vulnerabilidades na

rede interna. Alm das preocupaes existentes com fraudes, erros e acidentes, as empresas precisam se preocupar agora com os
hackers, invases, vrus, cavalos de tria e outras ameaas que penetram atravs dessa nova porta de acesso.

09

Os princpios bsicos da Segurana da Informao so a Confidencialidade, Integridade e Disponibilidade das informaes.

Outras caractersticas so a Irrefutabilidade, a Autenticao e o
Controle de Acesso. Os benefcios evidentes so reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens,
roubo de informaes e diversos outros problemas que possam
comprometer esses princpios bsicos.

Ameaa segurana: acontece quando h uma quebra de

sigilo de uma determinada informao (ex: a senha de um
usurio ou administrador de sistema), permitindo que sejam
expostas informaes restritas que deveriam ser acessveis
apenas por um determinado grupo de usurios.
Integridade: garantia da veracidade da informao, que
no pode ser corrompida. A informao no deve ser alterada enquanto est sendo transferida ou armazenada. Alm
disso, ningum pode modificar seu contedo e muito menos
elimin-lo.
Ameaas segurana: acontece quando uma determinada
informao fica exposta ao manuseio por uma pessoa no
autorizada, que efetua alteraes que no foram aprovadas
e no esto sob o controle do proprietrio (corporativo ou
privado) da informao.

Cartilha de Segurana da Informao | Parte 02

Confidencialidade: proteo da informao compartilhada contra acessos no autorizados.

11

Disponibilidade: preveno de interrupes na operao

de todo o sistema; uma quebra do sistema no deve impedir
o acesso aos dados. Os mtodos para garantir a disponibilidade incluem um controle fsico e tcnico das funes dos
sistemas de dados, assim como a proteo dos arquivos, seu
correto armazenamento e a realizao de cpias de segurana.

Cartilha de Segurana da Informao | Parte 02

Ameaa segurana: acontece quando a informao deixa de estar acessvel para quem necessita dela. Seria o caso da perda de comunicao com um sistema importante para a empresa, devido queda de um servidor
ou de uma aplicao crtica de negcio, podendo ser por
motivo interno ou externo ao equipamento por ao
no autorizada de pessoas (com ou sem m inteno).

12

Acesso controlado: o acesso dos usurios informao

restrito e controlado, significando que s as pessoas que
devem ter acesso a uma determinada informao, tenham
esse acesso.
Ameaa segurana: descuido e possvel quebra da confidencialidade das senhas de acesso rede, ou o acesso rede
por hackers mal intencionados.

Parte 03

Quanto ao uso dos recursos de Tecnologia

Os recursos que permitem o acesso informao so autorizados e disponibilizados exclusivamente para o usurio desempenhar suas funes na Fachesf ou para outras situaes
formalmente permitidas.

Cartilha de Segurana da Informao | Parte 03

Quando o usurio se comunicar atravs de recursos de

tecnologia da Fachesf, a linguagem falada ou escrita deve
ser profissional, de modo que no comprometa a imagem
da Fundao.

14

Os contedos acessados e transmitidos atravs dos recursos de tecnologia da Fachesf devem ser legais, de acordo
com o Cdigo de tica da entidade, e devem contribuir para
as atividades profissionais do usurio.
O uso dos recursos de tecnologia da Fachesf pode ser examinado, auditado ou verificado pela Fundao, mediante
autorizao expressa da Diretoria Executiva, sempre respeitando a legislao vigente.
Cada usurio responsvel pelo uso dos recursos que lhe
foram fisicamente entregues e esto sob sua custdia, garantindo a conservao, guarda e legalidade dos programas
(softwares) instalados.

 Em caso de roubo ou furto de recursos fsicos de tecnologia, o usurio deve fazer o registro da ocorrncia em unidade policial, comunicar ao seu gestor e ATI (Assessoria de
Tecnologia da Informao).
Os recursos de tecnologia da Fachesf, disponibilizados
para os usurios, no podem ser repassados para outra pessoa interna ou externa da organizao.
Ao identificar qualquer irregularidade no recurso de tecnologia o usurio deve comunicar imediatamente Assessoria
de Tecnologia da Informao (ATI).

Quanto ao uso do computador

O recurso computador disponibilizado para o usurio de

propriedade da Fachesf.
b. Disponibilizao e uso
O recurso computador disponibilizado para o usurio
pela Fachesf tem por objetivo o desempenho das atividades profissionais desse usurio na organizao.
necessrio que o Gestor do Usurio autorize-o a usar
o computador. Deve ser feita uma solicitao ATI, que
autorizar tecnicamente e far a liberao mediante a disponibilidade de recursos e atendimento das demais solicitaes.

Cartilha de Segurana da Informao | Parte 03

a. Propriedade do computador

15

 obrigatrio que o equipamento a ser autorizado pela

ATI seja um dos modelos aprovados para uso na Fachesf.
obrigatrio que os programas aplicativos, programas
produto e sistema operacional a serem utilizados no equipamento sejam os autorizados pela ATI.
A Fachesf pode a qualquer momento retirar ou substituir
o computador disponibilizado para o usurio.
Cada computador deve ter o seu gestor, que responsvel por esse equipamento. O controle das mquinas de
responsabilidade da ATI.

Cartilha de Segurana da Informao | Parte 03

c. Programas utilizados no computador

16

Os programas aplicativos, programas bsicos (sistema

operacional e ferramentas) e componentes fsicos so implantados e configurados pela ATI.
proibido ao usurio implantar novos programas ou alterar configuraes sem a permisso formalizada da ATI.
proibido ao usurio implantar ou alterar componentes
fsicos no computador.
d. Verificao do computador
A Fachesf pode, a qualquer tempo, verificar o contedo
armazenado no computador de cada usurio.

e. Uso do computador porttil (Notebook)

Quando o usurio no estiver usando o computador porttil, deve utilizar cabo de proteo fsica que evita o furto
fsico do equipamento.
Caso o computador porttil fique mais de 12 horas sem
uso, o usurio deve guard-lo em um armrio com chave.
Ao transportar o computador porttil no carro, o usurio
deve coloc-lo no compartimento porta-malas. O aparelho
nunca deve ser deixado em local visvel dentro do automvel.

O uso de computadores portteis em locais pblicos (aeroportos, recepes de hoteis, restaurantes) deve ser evitado.
Caso seja extremamente necessrio, o usurio deve tomar todos os cuidados para evitar furto ou perda do equipamento.
f. Responsabilidades do usurio
O usurio que utiliza o recurso computador deve:
Cuidar adequadamente do equipamento. O usurio o
Custodiante deste recurso.
Garantir a sua integridade fsica e o seu perfeito funcionamento, seguindo as regras e orientaes fornecidas pela ATI.

Cartilha de Segurana da Informao | Parte 03

Ao viajar com o computador porttil, o usurio deve

mant-lo prximo ao seu corpo e estar atento para evitar
furtos em locais pblicos.

17

g. Informaes contidas no computador

O usurio tem a responsabilidade de transferir para o servidor designado as informaes que esto no computador
porttil e que precisam possuir cpias de segurana.
h. Outras protees
Deve ser implantada a proteo de tela no computador
e/ou proteo de ausncia (aps um tempo de inatividade,
o computador bloqueia o sistema, exigindo senha para ser
usado novamente).

Cartilha de Segurana da Informao | Parte 03

Havendo possibilidade tcnica e viabilidade de utilizao, a ATI pode desenvolver e implantar aes para que as
informaes armazenadas no computador porttil sejam
criptografadas, evitando que, em caso de roubo ou perda
do equipamento, as informaes da Fachesf sejam acessadas por pessoas no autorizadas.

18

i. Termo de compromisso
Para ter acesso informao da Fachesf, o usurio dever
assinar (manual ou eletronicamente) um termo de compromisso. Os casos de exceo sero definidos pela Diretoria
Executiva.
Quanto ao uso da Internet
a. Autorizao
O acesso Internet atravs de recursos de tecnologia da
Fachesf necessita ser autorizado pelo Gestor do Usurio.

b. Realizao do acesso
O acesso Internet somente acontecer aps o usurio
se identificar no ambiente de tecnologia da Fachesf atravs
dos controles do ambiente de rede de computadores.
O acesso Internet deve ser feito exclusivamente com os
programas (softwares) autorizados e disponibilizados para
os usurios pela ATI. O usurio no deve alterar as configuraes implantadas no computador, notebook, etc. que
utiliza.
c. Responsabilidade e forma de uso
O usurio que utiliza o acesso Internet:

proibido de acessar locais virtuais (sites) que:

Possam violar direitos de autor, marcas, licenas de programas (softwares) ou patentes existentes.
Possuam contedo pornogrfico, relacionado a sexo, explorao infantil ou ao crime de pedofilia.
Contenham informaes que no colaborem para o alcance dos objetivos da Fachesf.
Defendam atividades ilegais.
Menosprezem, depreciem ou incitem o preconceito a
determinadas classes como sexo, raa, orientao sexual, religio, nacionalidade, local de nascimento ou deficincia fsica.

Cartilha de Segurana da Informao | Parte 03

responsvel por todo acesso realizado com a sua identificao/autenticao.

19

Que no tenham relao direta com a atividade profissional desempenhada pelo usurio.
No deve retirar (copiar) dos endereos acessados (sites)
material que no seja para o uso profissional na Fachesf.
Nesses casos, o usurio deve garantir que est cumprindo
a legislao em relao ao direito autoral, licena de uso e
patentes existentes e que o uso do material foi autorizado
pelo gestor da sua rea.
Est proibido de participar de salas de conversas (Chat)
online, exceto em eventuais situaes de uso profissional
autorizado pelo gestor da rea e pela ATI.

Cartilha de Segurana da Informao | Parte 03

d. Uso de servio de mensagem instantnea.

20

proibido o uso de servios de mensagem instantnea

(MSN, etc), atravs dos computadores da Fachesf, exceto
em eventuais situaes de uso profissional autorizado pelo
gestor da rea e pela ATI.
e. Uso de servio de rdio, TV, download de vdeos, filmes e msicas.
proibido o uso de servios de rdio, TV, download de
vdeos, filmes e msicas, atravs dos computadores da Fachesf, exceto em eventuais situaes de uso profissional
autorizado pelo gestor da rea e pela ATI.
f. Bloqueio de endereos de Internet
Periodicamente a ATI revisar e bloquear o acesso para os

endereos da Internet que no estejam alinhados com esta

Poltica e com o Cdigo de tica da Fundao.
g. Uso de Correio Eletrnico particular tipo WebMail (centralizado em provedores)
Os usurios podero acessar servios de correio eletrnico particular, tipo WebMail, atravs dos recursos de tecnologia da Fachesf.
Esse tipo de acesso est submetido Poltica de Segurana da Informao da Fachesf e aos controles tcnicos
da ATI.

Quanto ao uso do correio eletrnico (e-mail)

a. Endereo eletrnico do usurio
A Fachesf disponibiliza endereos de seu correio eletrnico
para utilizao do usurio no desempenho de suas funes
profissionais. (Ex.:usuario@fachesf.com.br)
O endereo eletrnico disponibilizado para o usurio individual, intransfervel e pertence Fundao.

O endereo eletrnico cedido para o usurio deve ser o
mesmo durante todo o seu perodo de vnculo com a Fachesf. Se houver necessidade de troca de endereo, a alterao dever ser autorizada pela ATI e registrada para possibilitar uma posterior verificao de autoria.

Cartilha de Segurana da Informao | Parte 03

Havendo necessidade tcnica, esse tipo de acesso poder

ser bloqueado ou suspenso pela ATI.

21

b. Criao, manuteno e excluso do endereo

de correio eletrnico
A utilizao desse endereo de correio eletrnico pelo
usurio necessita ser autorizada pelo seu Gestor.
A liberao do endereo de correio eletrnico ser feita
pela ATI de maneira controlada e segura com o objetivo
de garantir que apenas o usurio tenha possibilidade de
utilizar o referido endereo.
Quando acontecer desligamento de usurio do tipo empregado ou estagirio, a FCS (Central de Servios) deve comunicar ATI seu nome e a identificao.

Cartilha de Segurana da Informao | Parte 03

Quando acontecer desligamento de usurio do tipo no

empregado e no estagirio, o Gestor da Informao deve
comunicar ATI o nome e a identificao desse usurio.

22

Havendo necessidade, o Gestor do Usurio poder autorizar ATI para que, durante 30 dias, o endereo eletrnico de um usurio desligado permanea ativo sem acesso. Nesse caso ser configurada uma resposta automtica
informando que o email foi desativado e que mensagens
profissionais devem ser encaminhadas para outro endereo
eletrnico indicado.
c. Endereo eletrnico de programas ou de comunicao corporativa
permitido que um programa aplicativo ou um programa de sistema possua um endereo de correio eletrnico.
Nesse caso, obrigatria a existncia de um usurio da

ATI responsvel por acompanhar as mensagens emitidas e

recebidas por esse endereo.

permitido a existncia de endereos de correio eletrnico para o envio de mensagens tipo Comunicao Interna
da Fachesf, porm, obrigatria a identificao do usurio
que encaminhou a mensagem.
d. Acesso distncia
O usurio pode acessar o seu endereo eletrnico cedido
pela Fachesf mesmo quando estiver fora do ambiente de
tecnologia da Fundao, atravs do servio de correio eletrnico via Internet (Web Mail).

A ATI deve avaliar, junto com os usurios, o nvel de

proteo de sigilo que deve ser necessrio para o uso de
correio eletrnico de maneira remota.
e. Envio e recebimento de mensagens
O endereo eletrnico de usurio do tipo prestador de
servio ou tipo estagirio somente poder enviar e receber
mensagens de endereos de correio eletrnico da Fachesf.
O endereo eletrnico dos demais tipos de usurio pode
enviar e receber mensagens internas ou externas.

Cartilha de Segurana da Informao | Parte 03

O acesso ao endereo da Fachesf na Internet deve ser

autenticado via certificado digital.

23

f. Propriedades do endereo
O endereo de correio eletrnico disponibilizado para o
usurio e as mensagens associadas a esse endereo so de
propriedade da Fachesf.
Em situaes autorizadas pela Diretoria Executiva, as
mensagens do correio eletrnico de um usurio podero
ser acessadas pela Fachesf ou por pessoas/entidades por
ela indicada. No deve ser mantida portando, expectativa
de privacidade pessoal.
g. Responsabilidades e forma de uso
O usurio que utiliza um endereo de correio eletrnico:

Cartilha de Segurana da Informao | Parte 03

responsvel por todo acesso, contedo de mensagens

e uso relativos ao seu e-mail.

24

Pode enviar mensagens necessrias para o seu desempenho profissional na Fundao.

proibido de criar, copiar ou encaminhar mensagens ou
imagens que:
Contenham declaraes difamatrias ou linguagem
ofensiva de qualquer natureza.
Faam parte de correntes de mensagens, independentemente de serem legais ou ilegais.
Repassem propagandas ou mensagens de alerta sobre
qualquer assunto. Havendo situaes em que o usurio
ache benfico divulgar o assunto para Fundao, a sugesto deve ser encaminhada para a rea de Recursos
Humanos, que definir a sua publicao ou no.

Menosprezem, depreciem ou incitem o preconceito a

determinadas classes, como sexo, raa, orientao sexual, idade, religio, nacionalidade, local de nascimento ou
deficincia fsica.
Possuam informao pornogrfica, obscena ou imprpria para um ambiente profissional.
Sejam susceptveis de causar qualquer tipo de prejuzo
a terceiros.
Sejam hostis ou transmitam indiretamente mensagens
hostis.
Defendam ou possibilitem a realizao de atividades
ilegais.
Sejam ou sugiram a formao ou divulgao de correntes de mensagens.
Sejam incoerentes com o nosso Cdigo de tica.
proibido reproduzir qualquer material recebido pelo correio eletrnico ou outro meio, que possa infringir direitos
de autor, marca, licena de uso de programas ou patentes
existentes, sem que haja autorizao expressa do autor do
trabalho e da organizao.
Deve estar ciente que uma mensagem de correio eletrnico
da Fachesf um documento formal e, portanto, possui as
mesmas responsabilidades de um documento convencional
em papel timbrado da entidade.
Exceto quando especificamente autorizado para tal, proibido emitir opinio pessoal, colocando-a em nome da Fachesf.

Cartilha de Segurana da Informao | Parte 03

Possam prejudicar a imagem da Fachesf.

25

 Deve observar se o endereo do destinatrio corresponde

realmente ao destinatrio desejado.
Deve ser diligente em relao:
aos usurios que recebero a mensagem (Destinatrio/
To, Copiado/Cc e Copiado Oculto/Bcc);
ao nvel de sigilo da informao contida na mensagem;
aos anexos da mensagem, enviando os arquivos apenas
quando for imprescindvel e garantindo a confidencialidade dos mesmos;

Cartilha de Segurana da Informao | Parte 03

ao uso da opo Encaminhar (Forward), verificando se

necessria a manuteno das diversas mensagens anteriores que esto encadeadas.

26

Deve acessar diariamente sua caixa de entrada, remover

as mensagens no mais necessrias e responder rapidamente s mensagens recebidas.
Deve deixar mensagem de ausncia quando for passar
um perodo maior do que 48 horas sem acessar seu correio eletrnico. Essa mensagem deve indicar o perodo de
ausncia e o endereo do substituto para quem deve ser
enviada a mensagem.
Deve avaliar se conveniente para a Fachesf que outro
usurio interno possa acessar suas mensagens de correio
eletrnico e antecipadamente delegar esse acesso, quando
se ausentar por um perodo maior que uma semana.

h. Cpias de segurana
Para que seja possvel uma gesto segura, efetiva, confivel, administrvel e passvel de auditoria:

Cartilha de Segurana da Informao | Parte 03

A cpia de segurana das mensagens de correio eletrnico deve ser feita de forma centralizada no ambiente dos
equipamentos servidores corporativos ou servidores regionais, sob a responsabilidade da ATI.

A ATI fornecer o servio de recuperao de mensagens
de correio eletrnico, a partir de arquivos de cpia de segurana, cumprindo parmetros de nvel de servio previamente estabelecido.

27

Controle de acesso
O controle de acesso parte central da segurana de uma empresa do ponto de vista da segurana da informao. Por isso,
fundamental o uso dirio do crach nas instalaes da Fachesf.
No ambiente externo, melhor ficar atento

Quando seu equipamento viajar com voc, evite deix-lo por muito tempo sozinho em uma sala ou mesa da empresa. Qualquer
pendrive ou conexo de rede pode levar dados valiosos.
Cuidado com o lixo que voc produz
O lixo pode ser uma fonte de informaes para pessoas mal intencionadas. Destrua os documentos que contenham informaes
sensveis, pessoais ou da Fundao antes de descart-los. Se o papel que vai ser jogado no lixo contm informaes que no devem
ser lidas por estranhos, rasgue-o antes de jog-lo fora.
Cuidados com senhas e acessos no sistema
Cada tarefa desenvolvida na Fachesf deve e precisa ter um responsvel. A nica forma de saber o responsvel por cada atividade
atravs da identificao do usurio.

Cartilha de Segurana da Informao | Parte 04

Falar sobre informaes restritas ou segredos profissionais em

um lugar pblico ou por telefone merecem cuidado especial. Frequentemente, as pessoas so o elo mais fraco na segurana da
informao de uma empresa.

29

Tudo que feito com a sua identificao (assinatura ou senha)

de sua responsabilidade. Portanto, cuidado com seus dados,
seja na rede ou nos sistemas, pois ela serve para garantir que
voc realmente quem est usando esse acesso.
Se uma outra pessoa tem acesso a sua senha, ela poder utilizla para se passar por voc, porm, a responsabilidade por tudo
que ela fizer ser sua.
Alguns exemplos de aes que podem ser atribudas a voc, so:
liberao de atendimentos indevidos;
e-mails com informaes inadequadas;
acesso a pginas da internet proibidas;
downloads proibidos.
Cartilha de Segurana da Informao | Parte 04

Compartilhar sua senha como assinar um cheque em branco.

30

Utilize senhas fortes, isto , com mais de 6 caracteres, combinando numricos e alfanumricos, maisculas e minsculas e
no utilize datas comemorativas, sobrenomes, nome do cnjuge, nome dos filhos, placas de carro, etc. No escreva a senha
em local pblico ou de fcil acesso, como por exemplo, em
sua agenda, em um pedao de papel pregado no seu monitor
ou guardado na sua gaveta. Utilize uma senha diferente para
cada servio. Sempre que suspeitar de perda de sigilo das suas
senhas, altere-as imediatamente.

Pausa para o caf

Apesar de saber que voc bastante cuidadoso, acidentes
acontecem, e ao derramar caf ou gua em um documento ou
no computador voc poder danific-los.
Quanto s bolachas, os resduos no teclado diminuem consideravelmente a vida til do equipamento. A sujeira acumulada
em baixo das teclas difcil de limpar, portanto aproveite o
momento do cafezinho, da gua e da bolacha para esticar as
pernas e fique longe dos computadores e papeis. Voc pode at
aproveitar para fazer um alongamento rpido.

Uso de e-mails
Sua conta de e-mail foi criada para ser usada em atividades ligadas ao trabalho. Alguns cuidados so indispensveis em sua
utilizao:
No abra e-mails enviados por desconhecidos, principalmente se eles contiverem arquivos anexados;
No responda mensagens de propaganda;
No repasse mensagens com notcias sensacionalistas, pedidos de ajuda, avisos de vrus, textos de auto-ajuda e outras
similares;
No cadastre seu endereo da Fachesf em listas de discusso, sites de compra ou similares;

Cartilha de Segurana da Informao | Parte 04

No esquea de bloquear o computador nesses momentos de

intervalo. Use o Ctrl+ALT+Del e voc no perder nada do que
est fazendo (apenas a tela ficar protegida e sua senha dever
ser digitada novamente quando voc voltar).

31

 Confirme se os destinatrios esto corretos;

Avalie a necessidade de enviar com cpia;
Verifique se necessrio o envio de mensagens encadeadas e o envio de anexos;
Escreva textos claros, simples e objetivos;
No acredite em todos os e-mails sobre vrus, principalmente aqueles de origens duvidosa, que mandam em anexo um arquivo para ser executado prometendo solucionar o
problema. Verifique sua veracidade com a ATI;
Ateno: o correio eletrnico deve ser usado apenas
para assuntos relacionados com a Fachesf.

Cartilha de Segurana da Informao | Parte 04

Fique atento ao Vrus

32

Os vrus so programas que se multiplicam e podem afetar o

funcionamento de toda a rede, alm de roubar sua senha ou
apagar arquivos preciosos na sua mquina. Ao perceber que o
computador que voc usa foi infectado, desligue a mquina e
comunique imediatamente ao helpdesk.
A melhor forma de combater os vrus proceder da seguinte
forma:
Verifique se o antivrus da mquina que voc usa est ligado (cor verde no canto inferior direito da tela) e mantenha-o
atualizado.
No abra e-mails e arquivos enviados por desconhecidos;
No abra programas ou fotos que dizem oferecer prmios;
Cuidado com os e-mails falsos de bancos, lojas e cartes
de crdito;

 Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS
e, principalmente, os terminados com EXE e COM;
Nunca acredite em pedidos de pagamento, correo de
senhas ou solicitao de qualquer dado pessoal por e-mail.
Comunique-se por telefone com a instituio que supostamente enviou a mensagem e confira o assunto;
Se voc desconfiar de um e-mail recebido, mesmo quando
enviado por pessoa conhecida, no abra-o, pois pode ser
falso: Apague-o imediatamente e no utilize o contato.

A instalao de softwares no autorizados podem colocar em

risco toda a rede da Fachesf. Mesmo que seja para melhorar o
seu desempenho no trabalho, solicite ATI a anlise prvia do
programa que voc pretende instalar. O uso de cpias no autorizadas podem acarretar multa de 3 mil vezes o valor de sua
licena. Dessa forma, at um simples descompactador pode sair
muito caro.
Cpias de segurana
Cpias de segurana dos dados armazenados em um computador so importantes no apenas para recuperar eventuais falhas, mas tambm para reparar as consequncias de uma possvel infeco por vrus ou invaso.
Quais so as formas de realizar cpias de segurana?
Cpias de segurana podem ser simples, como o armazenamento de arquivos na rede, em CDs ou DVDs, ou mais complexas,
como o espelhamento de um disco rgido inteiro em um outro
disco de computador. Atualmente, uma unidade gravadora de

Cartilha de Segurana da Informao | Parte 04

Instalao de Softwares

33

CDs/DVDs e um software que possibilite copiar dados so suficientes para que a maior parte dos usurios de computadores
realizem suas cpias de segurana.
Tambm existem equipamentos e softwares mais sofisticados e
especficos que, dentre outras atividades, automatizam todo o
processo de realizao de cpias de segurana, praticamente
sem interveno do usurio. A utilizao de tais recursos envolve custos mais elevados e depende de necessidades particulares
de cada usurio.
Com que frequncia devo fazer cpias de segurana?

Cartilha de Segurana da Informao | Parte 04

A frequncia em que deve ser realizada uma cpia de segurana

e a quantidade de dados armazenados nesse processo depende
da periodicidade em que o usurio cria ou modifica arquivos.
Cada um deve criar sua prpria rotina de cpia dos arquivos.

34

Navegando na Internet
Verifique se o endereo que est aparecendo em seu navegador realmente o que voc deseja acessar;
Antes de clicar em um link, veja na barra de status do navegador se o endereo de destino est de acordo com a sua
descrio;
No autorize a instalao de softwares de desconhecidos
ou de sites estranhos;
Confie em seus instintos. Se voc desconfiar de um site,
saia da pgina imediatamente;
No clique em OK ou confirme sem entender a mensagem

que est sendo confirmada. Na dvida, ligue para o helpdesk;

Use a internet somente para assuntos relacionados exclusivamente com o seu trabalho.
Adote um comportamento seguro
No utilize ferramentas da empresa como Notebook ou
PC para armazenar contedo particular como fotos ou textos;
No baixe nem instale qualquer programa no PC sem ter
autorizao expressa da ATI;
No compartilhe nem divulgue sua senha a terceiros;

Assuntos confidenciais de trabalho no devem ser discutidos em ambientes pblicos ou em reas expostas (avies,
restaurantes, encontros sociais, etc.);
No abra mensagens de origem desconhecida nem utilize
a internet para acessar sites de relacionamento e/ou salas de
bate-papo;
Armazene e proteja adequadamente documentos impressos e arquivos eletrnicos que contm informaes confidenciais;
Siga corretamente a poltica para uso de internet e correio
eletrnico estabelecida pela Fachesf.

Cartilha de Segurana da Informao | Parte 04

No transporte informaes confidenciais da Fachesf em

qualquer meio (CD, DVD, disquete, pendrive, papel, etc.)
sem as devidas autorizaes e protees;

35

Acesso informao
o ato de um usurio ter contato com a informao e ter conhecimento dela. Pode ser no ambiente de tecnologia (atravs
de computadores) ou no ambiente convencional, quando acessamos uma pasta ou um documento em papel.
Acesso seguro (acesso controlado)
o acesso informao feito com a existncia de controles que
buscam garantir que:

seja registrado tudo que feito com a informao;

seja indicado os tipos de acesso: se somente para leitura,
se autorizada alterao ou se autorizada a remoo da informao;
foram tomados cuidados para garantir a integridade da
informao.
Ambiente convencional
o ambiente fsico onde vivemos. As informaes nesse ambiente convencional esto em papel, escritas no quadro ou em
outros meios fsicos.

Cartilha de Segurana da Informao | Parte 05

as informaes sejam acessadas apenas por pessoas de

direito;

37

Ambiente de desenvolvimento
o ambiente onde os sistemas aplicativos so desenvolvidos.
Antes de um sistema funcionar, ele precisa ser criado e testado,
ficando acessivel, portanto, apenas para o pessoal envolvido no
desenvolvimento desse sistema.
Ambiente de produo
o ambiente computacional onde os sistemas que atendem
organizao funcionam e as suas informaes esto sendo utilizadas pelos usurios durante o funcionamento da organizao.
o ambiente verdadeiro: o que estiver nele o que vale para a
organizao.

Cartilha de Segurana da Informao | Parte 05

Ambiente de tecnologia

38

o ambiente que utiliza a tecnologia para o tratamento da

informao, o mundo virtual. Nesse caso, as informaes esto
gravadas nos discos (e outras mdias) e para utilizarmos a mesma precisamos de equipamentos de tecnologia e de programas
que so executados nesse ambiente.
Autenticao do usurio
a validao de que a pessoa que est acessando um sistema
da Fachesf realmente quem diz ser. No mundo convencional,
autenticamos algum pela sua carteira de identidade ou atravs
de um amigo de confiana que garante que aquela pessoa
realmente quem diz ser.

Confidencialidade da informao
a caracterstica da informao que indica acesso somente por
pessoas previamente autorizadas.
Continuidade do recurso
a garantia de que o recurso vai continuar disponvel e operante ao longo do tempo. Um recurso pode deixar de estar disponvel caso seja roubado ou destrudo.
Cpia de segurana
a cpia de uma informao (dados, imagem, outro) que pode
ser utilizada caso a informao original seja destruda.

um processo matemtico que transforma a informao original em uma sequncia de dados ilegveis, garantindo a sua
confidencialidade, e depois permite retornar informao original (legvel).
Custodiante de recurso
a pessoa que fica responsvel por determinado recurso e tem
a obrigao de presar pelo seu funcionamento adequado ao
longo do tempo.
Disponibilidade da informao
a caracterstica que exige que a informao esteja sempre disponvel para ser usada pela organizao (de acordo com o que
foi combinado).

Cartilha de Segurana da Informao | Parte 05

Criptografia da informao

39

Gestor da Informao
a pessoa que autoriza ou nega o acesso informao pelo usurio. Essa autorizao ocorre em funo da avaliao determinada
que o gestor faz sobre a real necessidade do acesso determinada
informao.
Gestor do Usurio
a pessoa (normalmente a chefia) que tem a responsabilidade
de indicar que o usurio uma pessoa verdadeira naquela organizao e realiza determinadas tarefas.
Grupo de acesso informao
um grupo de pessoas que possui o mesmo direito de acesso
informao. Nesse caso, todos compartilham um mesmo meio
de acesso.

Cartilha de Segurana da Informao | Parte 05

Identificao do usurio

40

a sequncia de caracteres que representar o usurio no ambiente computacional. Exemplo: matrcula, nome, CPF.
Integridade da informao
a caracterstica que possibilita que a informao no seja corrompida ao longo do tempo. Exemplo: em uma folha de fax,
ao longo do tempo, a informao perde sua integridade, pois
apagada.
Limites de acesso informao: leitura, alterao,
acesso de retirada do recurso
Quando dado um acesso informao, deve-se indicar o poder desse acesso: alguns usurios podero apenas ler o conte-

do, enquanto outros podero alter-lo. Haver ainda aqueles

que podero apagar a informao.
Nvel de sigilo da informao
Indica o tratamento mais ou menos rgido que deve ser dado
informao, em relao sua possibilidade de acesso. Por
exemplo: uma informao com nvel pblico de sigilo no precisa ser destruda aps seu uso. Porm, uma informao confidencial deve ser destruda (de forma a no poder ser refeita).
Perfil de acesso informao
Est relacionado a um perfil profissional. Exemplo: gerentes.
Nesse caso, teremos o perfil do gerente previamente definido
com vrios acessos autorizados. Quando algum na organizao for contratado como gerente, receber os acessos do perfil
correspondente.

o processo que implanta, desenvolve, mantm, atualiza e planeja a segurana da informao na organizao.
Programas produto
So programas vendidos para as empresas com pouca ou nenhuma customizao. Exemplo: um processador de textos.
Recurso de informao
So elementos que armazenam, processam, transmitem ou tratam a informao; variam do mundo tecnolgico (discos, fitas
e equipamentos) at o ambiente convencional (papeis, nossas
mentes).

Cartilha de Segurana da Informao | Parte 05

Processo de segurana da informao

41

Recurso fsico que suporta a informao

o recurso fsico que possui a informao. Exemplo: uma folha
de papel. O papel o recurso, mas a informao aquilo que
est escrita nele.
Registro de acesso informao
o registro de quando a informao foi acessada, alterada,
gravada ou removida. importante para gerenciar o acesso
informao.
Servidor (Computador)

Cartilha de Segurana da Informao | Parte 05

o computador ou o conjunto de computadores que suportam

o ambiente corporativo de uma organizao. Normalmente o
responsvel pelos servidores de uma organizao da rea de
TI.

42

Situaes de contingncia
So situaes que tornam indisponveis a informao (ou outro recurso). Podem ser causadas por problemas da natureza
(chuvas, raios, terremotos) ou ao humana (roubos, atentados, erros).
Sistemas aplicativos
So sistemas desenvolvidos para atender de maneira especifica
as organizaes. Exemplo: folha de pagamento, controle de estoque, etc.
Usurio
a pessoa que utiliza a informao.

ANEXO

Poltica de Segurana
da Informao da Fachesf

1. Objetivo
Definir as diretrizes para o uso da informao na Fachesf.

2. Abrangncia
Toda informao do ambiente de tecnologia e do ambiente convencional da Fachesf.

Cartilha de Segurana da Informao | Anexo

Todo usurio da informao da Fachesf: conselheiro, presidente, diretor, empregado, estagirio, participante, prestador de servio e eventualmente algum rgo que seja legalmente autorizado a acessar informaes da Fundao.

44

3. Diretrizes
3.1 A informao da Fachesf deve ser protegida de maneira
a garantir sua confidencialidade, integridade, disponibilidade e acesso controlado.
3.2 O acesso informao:
Dever possibilitar e facilitar o desempenho das atividades relativas Fachesf;

 Atender legislao em vigor;

Poder ser examinado, auditado ou verificado mediante
autorizao da Diretoria Executiva ou autoridade competente.
Ser realizado atravs de uma identificao pessoal do
usurio e de uma autenticao que garanta a veracidade
da sua identificao;
Ser autorizado pelo Gestor da Informao que tem a
responsabilidade de avaliar o pedido de acesso para o usurio.
3.3 O usurio:

Deve acessar a informao para desempenhar profissionalmente suas funes relacionadas Fachesf ou para outras situaes formalmente permitidas;
Ser validado pelo Gestor de Usurio que assegurar sua
atuao na Fachesf.
3.4 Todos os recursos de informao da Fachesf devem
possuir um Custodiante de Recurso que tem a responsabilidade pela integridade, disponibilidade para uso e continuidade do recurso.

Cartilha de Segurana da Informao | Anexo

responsvel pelo acesso realizado com a sua identificao e autenticao;

45

3.5 Apenas produtos autorizados no portflio da Fachesf e

sistemas aplicativos homologados pelas reas tcnica e de
negcio podem ser executados no ambiente de produo.
3.6 As informaes devem ser classificadas em relao ao
seu nvel de sigilo com o objetivo de descrever o tratamento
que deve ser dado a essa informao e ao respectivo recurso
de informao.
3.7 A Diretoria Executiva tem a responsabilidade de:
Designar os Gestores da Informao, Gestor de Usurio e
Custodiante de Recursos;

Cartilha de Segurana da Informao | Anexo

Garantir a existncia de um plano de continuidade para

os recursos de informao que suporte situaes de contingncia e definir os limites dessa disponibilidade;

46

Garantir a implantao e manuteno do processo de

segurana da informao;
Manter aes de conscientizao, treinamento e educao dos usurios em segurana da informao.

4. Cumprimento
O no cumprimento desta poltica por parte do usurio deve
acarretar punies administrativas e contratuais.

Ficha tcnica
Edio: Assessoria de Comunicao Institucional (ACI)
Textos: Assessoria de Tecnologia da Informao (ATI)
e Assessoria de Comunicao Institucional (ACI)
Projeto Grfico: Corisco Design