FUNDAO DE MEDICINA TROPICAL DO AMAZONAS - FMTAM POLTICA INTERNA DE SEGURANA DA INFORMAO

1. INTRODUO A Fundao de Medicina Tropical do Amazonas, visando a integrao dos dados como forma de otimizar e aumentar a qualidade da atividade assistencial aos pacientes aqui atendidos, bem como democratizar o patrimnio intelectual aqui produzido, implantou a estrutura de rede de informaes. Esta rede foi idealizada para servir como base implantao de um robusto sistema de gerenciamento hospitalar, que ir integrar todas as informaes pertinentes s atividades assistenciais e de pesquisa aqui realizadas, compreendendo rotinas que vo desde a abertura do pronturio nico do paciente, atendimento ambulatorial informatizado, controle dos procedimentos laboratoriais, controle de almoxarifado e farmcia at ao faturamento final, todos unificados por meio deste sistema, configurandose, assim, o objetivo principal que embasou a implantao desta estrutura de rede. Alm desta poderosa ferramenta, a rede proporcionaria, de imediato, outros recursos, como o acesso a internet e caixas de correio eletrnico (e-mail), cujo intuito maior foi disponibilizar aos servidores e pesquisadores desta FMTAM ferramentas que contribuissem para o enriquecimento pessoal e intelectual destes usurios, j que sabido que a Internet uma fonte riqussima em informaes sobre os mais variados assuntos, e que o correio eletrnico facilitaria a comunicao dos servidores e pesquisadores com outras pessoas das mais longnquas localidades. Apesar de serem a internet e as caixas de e-mail os recursos diretamente relacionados estrutura de rede interna mais difundidos nesta FMTAM, importante salientar que estes no so os nicos recursos oferecidos pela rede, nem os mais importantes. O objetivo principal da estrutura de rede ainda o sistema de gerenciamento hospitalar, motivo primordial para a implantao de tal estrutura.

1.1 A INTERNET E O CORREIO ELETRNICO Com o advento do uso da internet, surgiram problemas diretamente ligados a esta ferramenta. A anlise das diversas formas de sua utilizao levou concluso de que muitos usurios da FMTAM a manuseavam de forma indiscriminada, com objetivos extremamente alheios aos preceitos de crescimento individual e intelectual dos indivduos, acessando sites de contedo discordante dos preconizados por esta Fundao ou tratando a referida ferramenta como mecanismo exclusivo para entretenimento pessoal. Estas condutas refletiram diretamente na segurana interna dos computadores da FMTAM, uma vez que o acesso a tais sites ou o uso de programas especficos tornaram a estrutura vulnervel, passvel de invaso por hackers (piratas da internet), vrus de computador e uma infinidade de outros perigos virtualmente existentes. Assim, uma verdadeira avalanche de vrus passou a circular nesta rede, os quais, a muito custo, foram eliminados.

Uma vez que no havia qualquer restrio e/ou controle quanto ao acesso a Internet, decidiuse adotar senhas de acesso. Com isso, cada setor indicou os servidores que deveriam, por conta da necessidade do servio do setor, acessar a Internet. Paralelamente foi implantado um mecanismo que monitora todo o trfego da rede, informando os sites acessados por cada usurio, dia/ms/ano e horrio do acesso, o que permitiu ter uma melhor viso do que era acessado, quando e por quem. Este recurso permitiu a identificao de computadores infectados por vrus e os usurios que persistiam em acessar sites de contedo proibido ou que utilizavam softwares que comprometiam a segurana da rede interna. Deste modo, todo trfego de internet permanentemente monitorado.

1.2 OS SOFTWARES DE CONVERSAO INSTANTNEA (Instant Messengers ou IM) Grande maioria dos equipamentos desta Fundao possua (ou ainda possui) algum software de conversao instantnea instalado. Softwares de conversao instantnea, ou IM-Instant Messengers, so programas que permitem a usurios se comunicarem remotamente ( distncia), atravs de conexo com a Internet. Por meio destes programas, possvel enviar mensagens de texto entre equipamentos fisicamente distantes. Tambm possvel enviar arquivos ou iniciar sesses de conversao com udio e/ou com vdeo, em tempo real. Os IM apareceram como a soluo para muitas empresas/setores que no possuam linha telefnica externa ou que pretendiam reduzir custos com ligao, pois as sesses de udio substituiam o telefone convencional e o envio de arquivos superavam a remessa via correio, seja pelo fato de serem instantneos, onde em menos de 1 minuto o arquivo j estava no micro do destinatrio, seja pelo custo, que zero. O grande problema de se utilizar este tipo de software que, uma vez conectado, o computador fica altamente vulnervel. As portas de entrada/sada ficam abertas, sem qualquer restrio de leitura ou gravao. Desta forma, vrus que exploram esse tipo de vulnerabilidade no encontram empecilhos para se instalarem e iniciarem os processos danosos, no s para aquele micro, mas para todos os que a ele estiverem conectados ou que estiverem em rede. Essa foi uma das formas com que muitos vrus adentraram em nossa rede e permaneceram por muito tempo se replicando freneticamente. Exemplos de Instant Messengers mIRC, Scoop Script, Avalanche, Full Throttle, MSN Messenger, Yahoo Messenger, Skype.

1.3 OS COMPARTILHADORES DE ARQUIVOS Outro tipo de software muito utilizado e frequentemente encontrado instalado nos equipamentos da FMTAM so os compartilhadores de arquivos. Este tipo de software promove um compartilhamento universal de arquivos de todos os formatos, permitindo ainda ao usurio executar o referido arquivo on-line ou baix-lo em seu computador. Geralmente era utilizado para baixar msicas no formato MP3, localizar, baixar ou visualizar on-line filmes em DVD, ou encontrar outros softwares e realizar downloads gratuitamente.

O uso deste tipo de software tambm altamente nocivo, principalmente pelo fato de que, ao instal-lo no computador, o usurio d amplas permisses de leitura e gravao. Ou seja, ao se conectar atravs do software, o usurio no est somente lendo arquivos de outros computadores, mas tambm permitindo que outros usurios efetuem uma verdadeira varredura em seu disco rgido. Esta vulnerabilidade tambm explorada pelos vrus e/ou por hackers que vasculham por redes passveis de invaso. Exemplos de Compartilhadores de Arquivos Full Throttle, Kazaa, Morpheus, Napster, Mp3X

1.4 OS SITES DE CONTEDO INAPROPRIADO Grande parte dos usurios da FMTAM j acessou alguma home page com contedo pornogrfico. O acesso a este tipo de site trouxa uma srie de situaes de extremo constrangimento, pois a maioria deles tem a capacidade de tornar-se a pgina inicial do navegador, mesmo sem o consentimento do usurio, e fazer-se exibir automaticamente sempre que o navegador era invocado. Mesmo aps o trabalho de conscientizao realizado junto aos setores no sentido de coibir este tipo de prtica foram procedidos ajustes no servidor de modo que no permitisse o acesso a uma srie de sites cujo contedo vai de encontro aos interesses desta Fundao.

1.5 A SEGURANA DA INFORMAO A segurana um dos assuntos mais importantes dentre as preocupaes de qualquer entidade. Confidencialidade, confiabilidade, diretamente ligados segurana. integridade e disponibilidade da informao esto

Segurana da Informao nada mais que mecanismos que promovam a integridade de uma estrutura de rede na qual trafeguem informaes e dados comuns e/ou restritos, e nela includos os equipamentos que armazenam tais informaes. tornar estas informaes confiveis e garantir que o seu uso no trar nenhuma consequncia danosa tanto para si como para outros usurios. Temos nesse documento um conjunto de instrues e procedimentos para normatizar, melhorar e disciplinar o uso dos recursos da rede.

2. AUTONOMIA DA GERNCIA DE INFORMTICA A Gerncia de Informtica, tem total autonomia para atuar sobre os equipamentos desta Fundao, sem prvio aviso, o que concerne aos seguintes tpicos: Realizao de auditoria (local ou remota) A definio de perfis de usurios cujos privilgios no permitam a realizao de atividades tidas como nocivas ao sistema operacional ou rede como um todo; A instalao de softwares de monitoramento; A desinstalao de quaisquer softwares considerados nocivos integridade da rede O credenciamento/descredenciamento de usurios

No pertinente Gerncia de Informtica o manuseio de arquivos no executveis.

3. DIRETRIZES QUANTO AO USO DA INTERNET A internet deve ser utilizada para fins de complemento s atividades do setor, para o enriquecimento intelectual de seus servidores ou, no caso dos pesquisadores, como ferramenta para busca por informaes que venham contribuir para o desenvolvimento de seus trabalhos. Jamais devem ser utilizados para a realizao de trabalhos de terceiros ou de atividades paralelas. O uso para fins pessoais, como a consulta a movimento bancrio ou acesso a e-mail pessoal, deve ser realizado fora do horrio de expediente, e com o consentimento do chefe ou responsvel pelo setor.

3.1 A REALIZAO DE DOWNLOADS O processo de realizao de downloads exige boa parte da banda de navegao do servidor e, quando realizado em demasia, congestiona o trfego e torna a navegao para os demais usurios invivel. Como esta Fundao j possui um sistema que realiza naturalmente downloads constantes (Sistema Financeiro AFI) a tarefa de downloads deve ser vista com muito cuidado e sua realizao feita somente em casos de extrema necessidade. Downloads muito grandes podem congestionar o fluxo de trfego e comprometer sistemas que funcionam on-line.

3.2 EXECUO DE JOGOS E RDIOS ON-LINE Uma vez que no existe qualquer pertinncia com as finalidades institucionais propostas por esta FMTAM, terminantemente proibida a execuo de jogos, msicas ou rdios on-line, visto que esta prtica toma toda a banda de navegao de internet, dificultando a execuo de outros servios da FMTAM que necessitam deste recurso.

3.3 SENHAS DE ACESSO Somente podero acessar a Internet usurios que tenham sido credenciados com suas senhas de acesso. Cada setor dever, atravs de memorando, indicar novos servidores que devero ser credenciados para tal servio, justificando quanto a necessidade do referido funcionrio utilizar-se deste recurso. A senha de acesso tem carter pessoal, e intransfervel, cabendo ao seu titular total responsabilidade quanto seu sigilo.

A prtica de compartilhamento de senhas de acesso terminantemente proibida e o titular que fornecer sua senha a outrem responder pelas infraes por este cometidas, estando passvel das penalidades aqui previstas. Caso o usurio desconfie que sua senha no mais segura, ou de seu domnio exclusivo, poder solicitar Gerncia de Informtica a alterao desta.

3.4 RECOMENDAES SOBRE O USO DO CORREIO ELETRNICO (E-MAIL) No abrir anexos com as extenses .bat, .exe, .src, .lnk e .com, ou de quaisquer outros formatos alertados pela Gerncia de Informtica, se no tiver certeza absoluta de que solicitou esse e-mail Desconfiar de todos os e-mails com assuntos estranhos e/ou em ingls. Alguns dos vrus mais terrveis dos ltimos anos tinham assuntos como: ILOVEYOU, Branca de neve porn, etc. No reenviar e-mails do tipo corrente, aviso de vrus, avisos da Microsoft/AOL/Symantec, criana desaparecida, criana doente, pague menos em alguma coisa , no pague alguma coisa, etc. No utilizar o e-mail da empresa para assuntos pessoais Evitar enviar anexos muito grandes Aps 3 (trs) tentativas de acesso caixa de e-mail com senha ou nome de usurio incorretos, o referido e-mail automaticamente bloqueado. Caso isto ocorra, o usurio deve entrar em contato com a Gerncia de Informtica e relatar o acontecido, solicitando o desbloqueio junto a PRODAM. Adotar o hbito de ler sua caixa de e-mails diariamente (pela manh e tarde), de modo a evitar que se acumulem os e-mails. E-mails a serem lidos em demasia lidos congestionar o navegador e fazer com que o sistema no responda. Com isso, novas mensagens no sero recebidas at que as anteriores sejam baixadas por completo. Utilizar o e-mail para comunicaes oficiais internas, as quais no necessitem obrigatoriamente do meio fsico escrito. Isto diminui custo com impresso e aumenta a agilidade na entrega e leitura do documento. Observat: para aqueles documentos que necessitaro do meio fsico (os que iro gerar processos e outros documentos aos quais sero anexados outros comprovantes etc), utilizar o meio convencional impresso.

4. USO DE SOFTWARES DE CONVERSAO INSTANTNEA permanentemente proibido aos demais setores o uso de quaisquer softwares de conversao instantnea, ou de qualquer outro mecanismo que venha promover servio semelhante, existentes e que venham a existir. No haver permisso especial a qualquer setor para utilizao de Instant Messengers.

5. A INSTALAO DE SOFTWARES Qualquer software que, por necessidade do servio daquele setor, necessitar ser instalado, dever ser comunicado com antecedncia Gerncia de Informtica. Fica permanentemente proibida a instalao de quaisquer softwares no-freeware sem licena de uso. A Gerncia de Informtica poder valer-se da autonomia citada no item 2 deste instrumento para desinstalar, sem aviso prvio, todo e qualquer software sem licena de uso, em atendimento Lei 9.609/98 (Lei do Software).

6. PENALIDADES O usurio que infringir qualquer uma das diretrizes de segurana expostas neste instrumento estar passvel das seguintes penalidades (sem prvio aviso): Descredenciamento da senha de acesso a Internet Cancelamento da caixa de e-mail Desativao do ponto de rede do setor

O(s) usurio(s) infrator poder ser notificado e a ocorrncia da transgresso imediatamente comunicada ao seu chefe imediato, diretoria correspondente e Presidncia. A Gerncia de Informtica poder valer-se da autonomia de gestora da informao para deliberar privilgios a quaisquer usurios da FMTAM, ou indefer-los.

7. MEMBROS DA EQUIPE DE SEGURANA Os servidores abaixo qualificados esto diretamente responsveis pela implantao e implementao da presente poltica, devendo reportar-se a eles todo e qualquer usurio e/ou setor para tratar de assuntos pertinentes segurana da informao de que trata este instrumento. Marco Antnio Sabia Moura marco@fmt.am.gov.br Clenilton Cruz de Alencar nilton@fmt.am.gov.br Jos do Patrocnio Carioca jpatrocinio@fmt.am.gov.br

8. VIGNCIA E VALIDADE A presente poltica passa a vigorar a partir da data de sua homologao e publicao como Portaria Interna da FMTAM sendo vlida por tempo indeterminado.