Gestão de Senhas e Acessos

Este documento tem como objetivo apresentar à equipe TATICCA uma série de itens que serão implementados no baseline de Tecnologia da Informação da empresa e deverão ser aplicados por todos os profissionais.

O documento focará aspectos relacionados à segurança da informação, mostrará como vários parâmetros podem comprometer todo o ambiente caso sejam mal configurados e, principalmente, as alterações necessárias para que o nível de segurança seja elevado e os riscos mitigados.

1. Acessos

O computador é nossa principal ferramenta de trabalho e devemos zelar por ele, tanto na questão de cuidados com o hardware, quanto nos aspectos de uso dos sistemas operacionais, webmail, internet, aplicações e documentos.

O profissional de TI nos ajudará a realizar, conforme políticas e procedimentos, as configurações nos computadores e dispositivos, objetivando proteger os dados do usuário, da TATICCA e de nossos clientes que estejam em nossa posse.

O e-mail corporativo é o serviço de correio eletrônico disponibilizado pela TATICCA ao colaborador, como ferramenta de trabalho, com a finalidade de que este mantenha contato com os clientes e demais membros da empresa por meio de canal apropriado.

Considerando a responsabilidade da empresa perante seus clientes pelas atitudes de seus empregados, em todas às comunicações realizadas em seu nome, bem como a questão da imagem que esta transmite aos seus clientes, sua reputação e outras inúmeras questões, sob o aspecto jurídico, é vedado aos colaboradores da TATICCA:

  • Utilizar o e-mail corporativo para envio de mensagens de caráter pessoal, bem como o uso dos equipamentos de computadores/notebook para fins pessoais;
  • Fazer comentários com terceiros que expressem sua própria opinião em contraponto à opinião da organização, podendo haver interpretações errôneas;
  • Disseminar mensagens com propaganda não autorizada, correntes, pedidos de ajuda, apoio religioso, político-partidário ou qualquer outra forma de apelo;
  • Divulgar e-mails corporativos a terceiros, sem prévia autorização da liderança;
  • Modificar dados de identificação e conteúdo das mensagens com o objetivo de forjar ou ocultar a origem, data e demais informações;
  • Utilizar o e-mail corporativo fora do horário de realização dos serviços, com exceção aos profissionais acima de nível gerencial e funções consideradas de confiança;
  • Disponibilizar senhas de acesso concedidas pela empresa ao e-mail corporativo ou a outras ferramentas tecnológicas a outros profissionais ou terceiros;
  • Abrir mensagens de e-mail filtradas pelo lixo eletrônico, exceto se o endereço for conhecido e a mensagem for confirmada com o emissor por outra fonte;
  • Fornecer endereços de e-mails de outros profissionais da empresa sem prévia autorização da liderança;

Faz-se mister destacar que os e-mails profissionais, assim como as outras ferramentas tecnológicas disponibilizadas pela empresa aos colaboradores para que possam desempenhar suas funções, são de propriedade da empresa.

O usuário é responsável pelo conteúdo das mensagens enviadas por e-mail corporativo sob sua identificação.

Casos omissos a esse documento devem ser tratados, pontualmente, pela com a liderança da TATICCA, pelo Departamento de Tecnologia da Informação e pela área de Recursos Humanos.

Gerenciamento e Proteção de Dados

Política para mídias removíveis (HD Externo, pen-drives, SD Card, DVDs, CDs, etc), servidores e cloud computing

A área de Tecnologia da Informação da TATICCA desenvolverá ações no sentido de proteger e salvaguardar os dados e informações corporativos e de nossos clientes, principalmente em:

  • Organizar servidores e plataformas de armazenamento em nuvem;
  • Realizar backups periódicos de informações corporativas;
  • Instalar ferramentas de criptografia e proteção de dados nos dispositivos da empresa;
  • Avaliar constantemente o nível de segurança das informações;
  • Orientar o usuário quanto ao uso adequado dos dispositivos.

Compete ao usuário:

  • Zelar pelas mídias removíveis disponibilizadas pela empresa para armazenamento de arquivos e backup;
  • Não disponibilizar a terceiros, sem prévia autorização, informações corporativas, de clientes e demais informações confidenciais;
  • Não utilizar dispositivos pessoais para armazenamento de arquivos e backup sem a prévia criptografia e configuração pela área de Tecnologia da Informação, salvo mediante autorização da empresa;
  • Realizar backup de informações importantes (de clientes, projetos e administrativas), periodicamente.

Política de Senhas

A política de senhas da TATICCA deve ser seguida por todos os profissionais, com o objetivo principal de maximizar a segurança do ambiente de Tecnologia da Informação, proteger os dados da empresa e de nossos clientes, bem como evitar possíveis ações e ataques maliciosos por meio de redes internas e da internet.

A política de senhas da TATICCA deve ser seguida por todos os profissionais, com o objetivo principal de maximizar a segurança do ambiente de Tecnologia da Informação, proteger os dados da empresa e de nossos clientes, bem como evitar possíveis ações e ataques maliciosos por meio de redes internas e da internet.

Necessariamente, a escolha e a administração das senhas devem ser realizadas pelo usuário, com suporte do profissional de Tecnologia da Informação sempre que necessário.

Abaixo listamos as regras e observações quanto ao uso e administração das senhas:

Observações gerais quanto ao uso das senhas:

a. As senhas são para uso pessoal em seu computador ou dispositivo e não devem ser compartilhadas com outros usuários ou com terceiros;

b. Uma dica muito básica, mas necessária, é de certificar-se que não está sendo observado ao digitar suas senhas;

c. Cuidado ao salvar suas informações de senha em navegadores. Faça isso apenas se for realmente necessário e seguro. Em caso de dúvidas, consulte o responsável por TI;

d. Ao navegar em sites que exijam login e senha, não se esqueça de efetuar o logout quando do término do acesso;

Sistema Operacional:

a. As senhas do Sistema Operacional (Windows) devem ser atualizadas, no mínimo, a cada 120 (dias), ou sempre que necessário. Para facilitar a operacionalização dessa necessidade, o profissional de TI fará a configuração em Active Directory. Enquanto a programação não for realizada, agende as alterações para janeiro, maio e setembro de cada ano;

b. As senhas devem possuir 8 caracteres ou mais, contendo, no mínimo:

i. 1 letra maiúscula

ii. 1 número

iii. 1 caractere especial (ex: ! # $ % & *)

c. Evite sequência de números ou letras na composição da senha (ex: 12345678, abcdefgh, qwertyui);

d. Evite nomes, sobrenomes, datas de nascimento, telefones e outros dados pessoais que podem ser facilmente descobertos;

e. Evite palavras simples na composição da senha, pois podem ser facilmente descriptografadas;

f. Não use a mesma senha do Windows para outros serviços, como o webmail, sistemas, entre outros e vice-versa;

g. Na dica de senha do Windows, não forneça informações óbvias nas perguntas e respostas, a fim de mitigar os riscos de invasão ou acesso indevido;

h. Uma senha bem elaborada é aquela fácil de ser lembrada e difícil de ser descoberta. Priorize senhas longas e mais complexas, troque letras por números... seja criativo(a);

i. Evite senhas consideradas como um “padrão” da companhia, salvo quando enviar o computador para manutenção. (Ex: Taticca2017, T@ticca).

j. Não reutilize senhas antigas;

k. Não utilize as mesmas senhas para fins profissionais e pessoais (ex: senhas de redes sociais);

l. Não utilize as mesmas senhas que concedam acesso a dados sensíveis, como internet banking ou e-mail;

m. Não deixe senhas anotadas em locais de fácil acesso. (ex: post-it colado no monitor, agenda, papel em cima da mesa de trabalho, etc);

n. Caso queira anotar suas senhas em um papel para relembrar em caso de urgência, mantenha-as armazenadas em local seguro (ex: cofre, gaveta com chave ou em um arquivo criptografado);

o. Ou utilize, quando aplicável, métodos de recuperação de senha como verificação de e-mail, pergunta e resposta de segurança, validação via SMS, token, confirmação de dados pessoais, entre outros;

p. Ao receber uma nova senha, procure alterá-la o mais breve possível.

Webmail

a. As senhas do Webmail devem ser atualizadas, no mínimo, a cada 180 (dias), ou sempre que necessário. Para facilitar a operacionalização dessa necessidade, o profissional de TI enviará um lembrete a todos;

b. Siga as mesmas dicas para a criação e administração de senhas do Windows, listadas acima.

Abaixo listamos situações que podem demandar uma atualização emergencial das senhas:

  • Quando da configuração do seu novo e-mail, que vem com uma senha básica e padrão;
  • Quando precisar ceder seu equipamento a outro profissional, por qualquer motivo;
  • Em caso de furto ou perda do equipamento;
  • Se desconfiar que alguma senha pode ter sido descoberta.

Acesso à Internet

a. Procure acessar sites da internet apenas para fins profissionais, minimizando o risco de infectar ou prejudicar o funcionamento do computador. Lembre-se: é de sua responsabilidade a salvaguarda e o bom uso do equipamento.

b. Certifique-se de que, quando para acessar um site for necessário o uso de login e senha, os serviços são criptografados ou possuem certificado de segurança válido;

c. Certifique-se de que o software antivírus está atualizado. Em caso de problemas, comunique o profissional responsável pela TI;

d. Procure evitar sites que utilizam cookies ou outras formas de envio de pacote de dados ao usuário quando do acesso à internet;

e. Prefira os modos de navegação anônima ou faça limpezas frequentes do histórico de acessos (incluindo limpeza de cookies e dados de formulários que não sejam necessários);

f. Evite utilizar as opções “Salvar senha”, “Continuar conectado” ou similares, evitando que dados sigilosos sejam armazenados em cookies e utilizados indevidamente.

g. Caso seja necessário salvar as senhas para sites específicos e para fins profissionais, procure adotar uma chave-mestra ou token de autenticação. Consulte o profissional de TI para orientações;

Uso adequado de computadores, notebooks e outros dispositivos tecnológicos

Compete ao usuário:

  • Zelar pelas ferramentas de trabalho a ele disponibilizadas (computadores, notebooks, aparelhos de celular, mídias removíveis, tablets, entre outros), mantendo-os em local seguro e adequado;
  • Tomar os devidos cuidados de segurança ao transportar dispositivos;
  • Não utilizar o modo “hibernar” em notebooks, o que pode danificar o disco rígido;
  • Não andar com o notebook ligado;
  • Não utilizar o notebook em veículos (particulares, táxi, Uber, ônibus, etc)
  • Não cobrir as aberturas de ventilação do notebook, utilizando-o em superfície adequada;
  • Não pressionar a tela com dedos ou objetos;
  • Não desligar o computador pelo método forçado;
  • Evitar a descarga total da bateria do notebook;
  • Utilizar, preferencialmente, as opções de otimização do uso da bateria (modo econômico);

Outras orientações

  • Realize as atualizações de software do Windows Update, sempre que o sistema operacional demandar;
  • Não remova softwares, como o Office, ou faça alterações no sistema operacional, pois os mesmos são acompanhados de licenças e as mesmas podem ser perdidas quando da realização do procedimento;
  • Não remova ou instale qualquer software sem comunicar o departamento de Tecnologia da Informação;
  • No caso de desligamento de um colaborador, o mesmo deve ser encaminhado de imediato ao Departamento de TI para realização de backup, entrega dos dispositivos e equipamentos e demais procedimentos que se fizerem necessários.

O não cumprimento das normas da Política Interna podem acarretar ao usuário as penalidades cabíveis, nos âmbitos administrativo, cível, criminal e trabalhista.