Segurança da Informação para Redes Educacionais

Gestão de Segurança da Informação para Rede Educacional
São Paulo
2010

Rodolfo Agustine


RESUMO
O objetivo do presente trabalho é demonstrar a importância da política de segurança
da informação para a Rede Educacional, para viabilizar a análise de seu
planejamento, dos seus elementos e sua implementação.
O planejamento da segurança deve ser feito, tendo como diretriz o caráter geral, por
isso sua forma será de uma pirâmide, onde no seu topo estará a política, abaixo as
normas e na base os procedimentos. Neste modelo, a política é o elemento que
orienta as ações, as normas abordam os detalhes e os procedimentos definem o
que é permitido.
Assim, serão apontados os principais elementos, que são: a vigilância; a atitude; a
estratégia; e a tecnologia.
Uma boa política de segurança deve levar em consideração o custo e os benefícios
de sua implementação. Cita a ISO:27.002 como pontos importantes a serem
tratados a sua formalidade dentro das organizações, o envolvimento dos executivos
e dos usuários.
Para isso, terá que haver por parte da organização uma ampla divulgação, para
conscientização de todos os usuários. Deve-se relacionar os principais obstáculos
que poderão surgir, os quais são: a falta de recursos financeiros, o convencimento
de sua importância junto aos executivos, deixar de traçar os aspectos essenciais
para sua implementação, não ter domínio técnico profundo do assunto e não
conhecer a complexidade que envolve sua implementação.
4

ABSTRACT
The objective of this study is to demonstrate the importance of information security
policy for the Educational Network, to enable the analysis of its planning, its elements
and its implementation.
The safety planning should be done, having as a general guideline, so its shape is a
pyramid, where the policy is its top, down the basic rules and procedures. In this
model policy is the element that guides actions, the standards address the details
and procedures define what is allowed.
So, be pointed out the main elements, which are: surveillance; attitude, strategy, and
technology.
A good security policy must take into consideration the cost and benefits of its
implementation. Quoting from the ISO: 27002 and important points to be treated to its
formality
within
organizations,
the
involvement
of
executives
and
users.
For this, there must be by a wide dissemination of the organization, to raise
awareness of all users. You should list the main obstacles that may arise, which are:
lack of financial resources, the conviction of its importance with executives fail to
outline the essential aspects for its implementation, not having deep technical
expertise of the subject and do not know the complexity involved in its
implementation.
5

LISTA DE ILUSTRAÇÕES
É preciso educar de dentro para fora! 21
BNWeb ? Tela de Login 47
BNWeb ? Menu acesso balcão 48
Área Exclusiva Aluno/Ex-Aluno e Professor (login) 49
Área Exclusiva Aluno/Ex-Aluno e Professor 50
Ambiente Virtual 51
6
Lista de Tabelas
Tabela de Infrações Digitais mais frequentes
39
7
SUMÁRIO
Introdução ................................................................................................................. 11
1. Contexto ................................................................................................................ 12
1.2. Objetivos ............................................................................................................ 12
1.3. Abrangência ....................................................................................................... 12
1.4. Conceitos e Definições ....................................................................................... 13
1.5. A Coleta de Evidências ...................................................................................... 14
1.6. Diretrizes ............................................................................................................ 14
2. METODOLOGIA DE PESQUISA .......................................................................... 15
2.1. Critérios de seleção da metodologia de pesquisa .............................................. 15
2.2. As Questões de Estudo ...................................................................................... 16
2.3. As Proposições .................................................................................................. 17
2.4. Fatores críticos diagnosticados .......................................................................... 18
2.5. Tratando os riscos de segurança da informação ................................................ 19
2.6. Novos riscos trazidos pela tecnologia ................................................................ 19
2.7. Problemas que mais atingem as instituições (PPP Advogados, 2007) .............. 20
2.8. As normas e os professores ............................................................................... 22
2.9. A Unidade de Análise ......................................................................................... 23
3. Confiança, Segurança e Privacidade na Internet .................................................. 23
3.1. Questão da Segurança da Internet .................................................................... 24
3.2. Aspectos de Segurança e Confiança ................................................................. 26
4. Normas e Padrões de Segurança da Informação ................................................. 27
4.1. Conceitos de segurança ..................................................................................... 28
4.2. Mecanismos de segurança................................................................................. 29
8
4.3. Ameaças à segurança ........................................................................................ 30
4.4. Nível de segurança ............................................................................................ 32
4.5. Segurança física ................................................................................................. 32
4.6. Segurança lógica ................................................................................................ 32
4.7. Políticas de segurança ....................................................................................... 33
4.8. Políticas de Senhas ............................................................................................ 34
5. Penalidades e punições ........................................................................................ 35
5.1. Comunidades, Chats, Fóruns e Blogs ................................................................ 36
5.2. Conceito de direito autoral.................................................................................. 36
5.3. Direitos constitucionais ....................................................................................... 37
6. Manutenção de equipamentos .............................................................................. 40
7. Segurança patrimonial .......................................................................................... 40
7.1. Monitoramento de áreas publica ........................................................................ 40
8. Gerência de infra-estrutura e sistemas ................................................................. 41
9. O processo de implantação de um SGSI .............................................................. 41
9.1. Metodologia de implantação de um SGSI .......................................................... 41
10. ANEXOS ............................................................................................................. 43
10.1. Fluxo para criação de usuário na rede administrativa ...................................... 43
10.2. Fluxo de cadastramento de docentes na rede educacional ............................. 43
10.2.1. Fluxo do procedimento de criação de senha na rede educacional ................ 44
11. Fluxo de soluções no atendimento de problemas no portal do aluno (alunos e
professores) ........................................................................................................... 45
11.1. Quando o Aluno/Professor não possui login e senha ....................................... 45
11.2. Quando o Aluno/Professor não lembra login e senha ...................................... 45
9
11.3. Fluxo de procedimentos para locação dos MACs PRO / PCs de Game / Tablets
............................................................................................................................... 46
11.4. Sistema de locação (BNWeb) .......................................................................... 46
11.5. Fluxo do ambiente virtual ................................................................................. 49
11.6. Netteacher ........................................................................................................ 51
11.7. Distribuição de software ? MSDNAA (Microsoft) .............................................. 51
12. Fluxo de troca e movimentação de equipamentos .............................................. 52
13. Programa de inclusão digital (P.E.T.) .................................................................. 52
14. Regulamento e guia de utilização do laboratório geral de informática ................ 56
14.1. Uso dos equipamentos ..................................................................................... 57
14.2. Uso do illuminate .............................................................................................. 58
14.3. Atividades eticamente impróprias ..................................................................... 58
14.4. Uso da internet ................................................................................................. 59
14.5. Regulamento para a utilização dos PCs DE GAME ......................................... 60
14.6. Recomenções gerais ........................................................................................ 60
14.7. Responsabilidade operacional ......................................................................... 61
14.8. Responsabilidade do usuário ........................................................................... 61
15. Considerações finais ........................................................................................... 62
16. Trabalhos Relacionados ...................................................................................... 63
17. Revisão de processos ......................................................................................... 63
17.1. Revisão ............................................................................................................ 63
17.2. Treinamento e acompanhamento de novos funcionários ................................. 63
17.3. Obrigatoriedade do cumprimento desta política ............................................... 64
18. Considerações Finais .......................................................................................... 65
Referências Bibliograficas ......................................................................................... 66
10
Introdução
Este documento tem como finalidade estabelecer uma política de segurança clara,
alinhada com os objetos do negócio.
O motivo para a criação deste documento é a necessidade de um controle maior
para os alunos, professores, visitantes e funcionários quando estes estiverem
navegando na rede de computadores do SENAC Campus Santo Amaro, garantindo
a segurança do ambiente de estudo e pesquisa para todos.
O referido documento intenciona diminuir em 80% (oitenta por cento) a quantidade
de equipamentos danificados, vírus disseminado na rede, materiais perdidos (salvos
em locais irregulares), sujeira e barulho no ambiente de estudo, etc.
A equipe de TI (Tecnologia da Informação) fica responsável para que se faça
executar as regras aqui descriminadas, pois todo o controle da estrutura de
rede/comunicação é de sua alçada. A equipe de limpeza será responsável pela
manutenção do local.
O material aqui contido foi em sua maior parte, desenvolvido pelo autor pela sua
própria experiência na área educacional. Desde sua criação, em 2007, vem sendo
melhorado e motivado pela necessidade de se ter um controle maior sobre o
ambiente computacional educacional garantindo a qualidade do serviço prestado.
Foram coletadas também informações de sites e empresas de advocacia para um
melhor embasamento nas leis vigentes.
1. Contexto
Homologação e implantação de normas até julho/2010 que terá uma abrangência
inicialmente no SENAC Campus Santo Amaro na rede Educacional (rede acessada
pelos alunos).
1.2. Objetivos
Esta norma objetiva definir padrões e critérios a serem seguidos quanto ao uso e
manuseio adequados dos recursos tecnológicos, bem como das informações
pertencentes e/ou disponibilizadas pelo SENAC São Paulo, seguindo preceitos de
ética, legalidade e segurança da informação no ambiente educacional preservando
as informações da instituição quanto à:
 Integridade: garantia de que a informação seja mantida em seu estado
original, visando protegê-la, na guarda ou transmissão, contra alterações
indevidas, intencionais ou acidentais. (PSI SENAC)
 Confidencialidade: garantia de que o acesso à informação seja obtido
somente por pessoas autorizadas. (PSI SENAC)
 Disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário. (PSI
SENAC)
1.3. Abrangência
Neste documento, iremos abranger normas e regulamentações da Segurança da
Informação para controle do ambiente educacional, destacando entre eles o
seguinte:
a) garantir a integridade dos equipamentos dos laboratórios de informática;
12
b) manter os alunos/professores informados da importância de se manter o ambiente
de estudo limpo e em ordem, não trazendo para dentro do mesmo, alimentos e
bebidas assegurando assim o supracitado no item "a" deste;
c) assegurar que os alunos/professores tomem consciência da importância de se ter
um ambiente em ordem e bem estruturado tanto visualmente quanto logicamente;
1.4. Conceitos e Definições
Aqui descrevemos os conceitos e definições utilizados neste Manual de Segurança
da Informação para um maior entendimento dos leitores e utilizadores do mesmo.
- Ativo: qualquer coisa que tenha valor para a organização. (ISO/IEC 13335-
1:2004). Isto vale tanto para parte física da empresa como equipamentos até a
parte lógica, os bancos de dados.
- Controle: forma de gerenciar o risco. (ISO 27002:2005). Esta é a forma
adotada pela instituição para gerenciamento dos riscos, ou seja, como tratá-los.
- Diretriz: descrição que orienta o que deve ser feito e como. (ISO/IEC 13335-
1:2004)
-
Recursos
de
processamento
da
informação:
qualquer
sistema
de
processamento da informação, serviço ou infra-estrutura, ou as instalações
físicas que os abriguem. (ISO 27002:2005)
- Segurança da informação: preservação da confidencialidade, da integridade e
da disponibilidade da informação. (ISO 27002:2005)
- Evento de segurança da informação: ocorrência identificada, uma possível
violação da política de segurança da informação ou falha de controles.
(ISO/IEC TR 18044:2004)
- Incidente de segurança da informação: um simples ou uma série de eventos
de segurança da informação indesejados ou inesperados com grande
probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação. (ISO/IEC TR 18044:2004)
- Política: intenções e diretrizes globais formalmente expressas pela direção.
13
(ISO 27002:2005)
- Risco: combinação de probabilidade de um evento e de suas consequências.
(ABNT ISO/IEC Guia 73:2005)
- Análise de risco: uso sistemático de informações para identificar fontes e
estimar risco. (ABNT ISO/IEC Guia 73:2005)
- Análise/Avaliação de riscos: processo completo de análise e avaliação de
riscos. (ABNT ISO/IEC Guia 73:2005)
- Tratamento de risco: processo de seleção e implementação de medidas para
modificar um risco. (ABNT ISO/IEC Guia 73:2005)
- Ameaça: causa potencial de um incidente indesejado. (ISO/IEC 13335-
1:2004)
- Vulnerabilidade: fragilidade de um ativo ou grupo de ativos. (ISO 27002:2005)
1.5. A Coleta de Evidências
Todo o conteúdo deste documento, salvo os devidamente discriminados na
bibliografia, foram vivenciados pelo autor em seus 10 anos de atuação no ambiente
educacional ao qual este documento se dirige.
1.6. Diretrizes
Para melhor organização e controle do ambiente tecnológico educacional, todos os
processos organizacionais para manter o sistema íntegro e funcionando estão
relacionados abaixo:
14
2. Metodologia de Pesquisa
Apesar do domínio e conhecimento da equipe, é evidente que somente a somatória
da percepção pessoal dos componentes da equipe não é suficiente, para a
compreensão integral de uma operação tão ampla, complexa e dinâmica.
Palavras chaves: Organização ? Qualidade ? Trabalho em Equipe ? Resultados.
2.1. Critérios de seleção da metodologia de pesquisa
As pesquisas foram embasadas em acontecimentos vivenciados pelo autor na
decorrência de seus 10 anos de vivência em Tecnologia da Informação voltada para
a administração do uso da rede de computadores por alunos, visitantes, professores
e funcionários.
O tipo de problema a ser resolvido;

O controle que o pesquisador tem sobre os acontecimentos que podem
variar de um simples barulho (alunos falando alto no laboratório de
estudo), até destruição/furto de equipamentos do SENAC.

O grau de foco em eventos contemporâneos em contraste com eventos
históricos, ou seja, prever acontecimentos futuros embasados em eventos
já vivenciados pelo autor.
15
2.2. As Questões de Estudo
Para evitar riscos é fundamental que a empresa tenha um conjunto de Políticas
Corporativas que trate destes temas, sendo requisitos básicos uma política de uso
de e-mail, internet e TI por funcionários, bem como um Código de Conduta
(descrito no capitulo 4 deste documento) para os alunos. Todos estes termos
precisam relatar a filosofia da instituição. Quando houver a necessidade de ressarcir
algum dano causado por um aluno, visitante, professor ou funcionário, poderá o
SENAC cobrar este prejuízo da pessoa que o causou.
Deve-se também ser criado um Comitê de Segurança.
Este grupo será composto por profissionais de diversas áreas internas e que serão
responsáveis pelas melhorias da Política de Segurança. Dentro desta Política de
Segurança, deve-se prever punições severas e eficientes ao usuário, podendo variar
de uma simples advertência ou a expulsão da instituição de ensino.
O monitoramento dos recursos digitais da instituição está legalmente autorizado,
desde que seja realizado de forma ética e cuidadosa, com aviso claro e expresso, já
que a Justiça brasileira entende que a empresa/instituição é responsável pelo mau
uso da tecnologia por seus usuários. Logo é necessário que sejam monitoradas e
guardadas as comunicações eletrônicas para fins de uso como prova na justiça,
para embasar auditorias, investigações, perícias, etc. (PPP Advogados, 2007)
Quando o usuário for menor de idade, seus pais serão responsabilizados, ou aquele
que tem sua guarda. O menor de 18 anos é protegido pelo Estatuto da Criança e do
Adolescente ECA ? Lei 008.069-1990, no art. 103, considerando como ato
infracional, as condutas descritas como crimes ou contravenção no Código Penal.
Segundo o art. 101 do ECA, a autoridade responsável poderá tomar as medidas
como de inclusão em programa comunitário ou oficial.
Não podemos esquecer que o Código Civil também abrange esta questão e
responsabiliza os pais, quando filhos menores cometem certos atos considerados
ilícitos, entende-se que os pais têm obrigação de dirigir a educação e exercer uma
espécie de poder de vigilância sobre seus filhos menores. Quando estes causam
danos a outrem entende-se que faltou com seu dever de vigilância, sendo
16
necessário provar que não houve descuido e não foi negligente. (PPP Advogados,
2007)
2.3. As Proposições
Para se estabelecer os requisitos de segurança da informação, deve ser feito uma
análise/avaliação de riscos para a organização, levando-se em conta os objetivos e
as estratégias globais de negócio da organização, que neste caso será a área
educacional. Por meio da avaliação de riscos, são identificadas as ameaças aos
ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de
ocorrência das ameaças e do impacto potencial ao negócio.
Uma fonte é a legislação vigente, os estatutos, a regulamentação, os procedimentos,
normas, e as cláusulas contratuais que a organização tem que atender. Outra fonte,
é um conjunto particular de princípios, objetivos e os requisitos do negócio para o
processamento da informação que uma organização tem que desenvolver para
apoiar suas operações. (ISO 27002:2005)
Na análise/avaliação dos riscos, os gastos com os controles precisam ser
balanceados de acordo com os danos causados pelas falhas na segurança da
informação e, uma vez que os requisitos de segurança da informação e os riscos
tenham sido identificados bem como, as decisões para o tratamento dos riscos
tenham sido tomadas, convém que controles apropriados sejam selecionados e
implementados para assegurar que os riscos sejam reduzidos a um nível aceitável.
(ISO 27002:2005)
17
2.4. Fatores críticos diagnosticados
As situações citadas abaixo foram identificadas em laboratórios de pesquisa,
laboratórios de aula e biblioteca (área dos computadores).
Devido a constância nestes acontecimentos, o ambiente acabava se tornando
"incômodo" para estudo/utilização.
 - Entrada/degustação de produtos alimentícios (derramamento de bebida nos
teclados, sujeira deixada por lanches, etc.);
 - Desleixo com os equipamentos (bater no teclado e no mouse, tentar adulterar
os cabos de ligação do computador, etc.);
 - Desorganização das cadeiras (desocupar uma estação de estudo e deixar a
cadeira fora do lugar obstruindo a passagem);
 - Sujeira produzida pelo corte de papel, spray de cola (no chão e nas mesas),
papel de bala (inseridos em todos os orifícios do computador onde o aluno possa
esconder evitando ter de levantar para jogar no lixo) e goma de mascar colada
em baixo da mesa, da cadeira e no chão;
 - Uso de estilete nas mesas impróprias para este tipo de trabalho (mesas sem
tampo de vidro, que são específicas para cortes com estilete preservando a
fórmica das mesas);
 - Desordem e algazarra (falar alto, reuniões desordenadas, etc.);
 - Utilização de aparelhos sonoros sem fones de ouvido (MP3 e o próprio som dos
computadores);
 - Falta de responsabilidade com os próprios pertences (objetos deixados nos
laboratórios de estudo ou na biblioteca, quando não encontrados por um
funcionário e guardados, tendem a desaparecer e os alunos querem
responsabilizar o SENAC pelo seu próprio desleixo);
Alguns fatores críticos para o sucesso da implantação de uma Política de Segurança
da Informação, é ter objetivos e atividades que reflitam os objetivos do negócio,
comprometimento e apoio visível de todos os níveis gerenciais, divulgação eficiente
da segurança da informação para todos os gerentes, coordenadores, funcionários e
outras partes envolvidas para se alcançar a conscientização, provisão de
18
conscientização, treinamento e educação adequados, implementação de um sistema
de medição (para que se possa avaliar o desempenho da gestão da segurança da
informação e obtenção de sugestões para a melhoria. (ISO 27002:2005)
2.5. Tratando os riscos de segurança da informação
Todas as decisões tomadas em tratamentos de risco devem ser registradas e para
cada risco identificado, uma decisão sobre o tratamento deve ser tomada.
Algumas opções de tratamento de risco seriam aplicar controles apropriados para
reduzir os riscos; conhecer e objetivamente aceitar os riscos; evitar riscos; e
transferir os riscos associados para outras partes, por exemplo, seguradoras ou
fornecedores. (ISO 27002:2005)
Educar na sociedade digital é preparar cidadãos para um novo mercado de trabalho
que exige postura adequada, segurança da informação, respeito às leis, inclusive na
internet. (PPP Advogados, 2007)
A tecnologia pode ser utilizada para o bem, ou para o mal.
2.6. Novos riscos trazidos pela tecnologia
No decorrer dos anos, desde o início da Tecnologia da Informação, pessoas de má
índole vêm criando meios de enganar, ludibriar, tirar vantagens dos outros, como as
comunidades de relacionamento, chats, bate-papos, etc. Abaixo cito alguns dos
novos riscos que estão presentes em tempo integral na nossa Sociedade
Tecnológica:
1 Plágio;
2 Pirataria;
3 Más amizades virtuais;
4 Assédio digital;
19
5 Falta de boas maneiras online;
6 Limites da liberdade de expressão;
7 Uso de imagens ? Privacidade;
8 Segurança ? fraude eletrônica, vírus.
9 Ameaças (Cyberbullying).
Este novo cenário exige uma postura reflexiva e flexível, precisamos educar a
geração de usuários de Tecnologia que estão despontando agora para o hábito de
leitura de políticas de segurança, privacidade, termo de uso e de serviço e reserva
de direitos autorais. O usuário tem que entender que ele pode ser punido tanto no
âmbito escolar quanto no judiciário. Os jovens precisam de ajuda para desenvolver
habilidades, que lhe permitam reconhecer os perigos online através de uma
orientação adequada para que possam desenvolvê-las e aplicá-la por si. (PPP
Advogados, 2007)
2.7. Problemas que mais atingem as instituições (PPP Advogados, 2007)
Abaixo descrevo alguns problemas que ocorrem rotineiramente dentro de um
ambiente de trabalho como um usuário novo que ainda não tem senha e o seu
vizinho "empresta" sua senha para que ele possa acessar o sistema. Um ato de
completa falta de segurança. O mesmo ocorre entre os alunos.
1
Uso indevido de senha;
2 Vazamento de informação confidencial;
3 Furto de dados e concorrência desleal;
4 Uso não autorizado da marca na internet (ex.: Orkut);
5 Responsabilidade civil por mau uso da ferramenta de trabalho tecnológica;
6 Pirataria, download de softwares não homologados, baixa de músicas,
imagens, contaminação por vírus e trojans;
7 Problemas com contratos de TI ? terceirização;
8 Segurança ? fraude eletrônica, vírus e privacidade (monitoramento).
20
A figura abaixo descreve uma ordem em que a educação ao alunos deve se
proceder. A família é o ponto principal em que o aluno tem seu primeiro contato com
regras. A instituição trabalhando com regras parecidas, mas aprimoradas para a
educação profissional, introduz mais informações aos que o aluno já obteve em sua
família.
E assim o aluno vai agregando conhecimentos e experiências para ao final utilizá-las
na comunidade/sociedade.
PPP Advogados, 2007
21
É preciso estar atento, pois temos que utilizar e incentivar o uso correto das
tecnologias, lembrando que a instituição é responsável pelas ferramentas de
trabalhos tecnológicas que disponibiliza para seus alunos e funcionários, bem como,
pelo uso que fazem delas e que qualquer incidente alcança a instituição, enquanto
pessoa jurídica na esfera civil, seus administradores e até mesmo professores e
alunos (pessoa física) na esfera criminal. (PPP Advogados, 2007)
2.8. As normas e os professores
O professor tem o dever de estar atento à nossa legislação e orientar os seus
alunos, para que percorram o caminho certo nesta jornada, tirando dúvida em sala
de aula sobre infração de direito autoral, sobre uso de imagem, sobre privacidade,
spam, o limite entre a brincadeira, a piada e a difamação em dimensão global, pois é
isso que a internet representa. É preciso ficar atento com o que expressamos pela
internet. Estamos colocando por escrito e assinando embaixo. A melhor medida de
prevenção é a informação e a educação. "Liberdade com responsabilidade" (PPP
Advogados, 2007)
Cabe a instituição promover não apenas a inclusão digital, mas sim a "Educação
Digital", pois a simples entrega da tecnologia sem o devido preparo e orientação
podem causar danos irreparáveis. É importante capacitar não apenas os professores
para que possam levar estas questões à sala de aula, mas, também, capacitar e
conscientizar os funcionários da instituição. (PPP Advogados, 2007)
22
2.9. A Unidade de Análise
- garantir o funcionamento adequado dos equipamentos do laboratório;
- instruir alunos/professores quanto as melhores práticas de utilização dos
equipamentos e ambientes;
- criação da documentação para tal.
3. Confiança, Segurança e Privacidade na Internet
A Internet é considerada a maior rede de informações dos últimos tempos. Bilhões
de internautas acessam todos os dias em busca de informações.
O material a seguir, foi extraído de uma publicação da e-Bit sobre segurança na
internet e mostra como os internautas estão se comportando quanto a questão da
segurança dos seus dados na Web.
A PricewaterhouseCoopers e a e-bit realizaram, no período de 1o. a 10 de outubro,
uma pesquisa sobre Segurança e Privacidade na Internet. Participaram dessa
pesquisa 1.172 e-consumidores brasileiros, com o objetivo de se verificar sua
opinião e preocupações sobre questões que envolvem segurança e privacidade e
identificar se tais fatores representam algum impedimento ou não no momento de
realizar compras virtuais, utilizar serviços ou mesmo navegar pela Internet.
(PricewaterhouseCoopers e a e-bit)
A PricewaterhouseCoopers vem realizando estudos semelhantes, em diversos
países do mundo e, no Brasil, estabeleceu parceria com a e-bit, empresa de
marketing e pesquisa online. As informações sobre e-commerce da e-bit foram
coletadas
junto
a
e-consumidores
após
estes
realizarem
compras
em
aproximadamente 400 lojas virtuais. Do universo pesquisado, 71% situam-se entre
23
25 ePPP Advogados, 2007 1 49 anos e 64% concentram-se no eixo São Paulo-Rio.
(PricewaterhouseCoopers e a e-bit)
A privacidade é vista como fator muito relevante pelos pesquisados: 54% temem que
terceiros não autorizados tenham acesso a seus dados pessoais e 75% que seus
dados bancários venham parar em mãos erradas. (PricewaterhouseCoopers e a e-
bit)
Detalhes sobre conta bancária e cartão de crédito são as informações campeãs em
matéria de resistência dos e-consumidores, quando solicitados a fornecer seus
dados pessoais pela Internet (68% e 61% respectivamente). Entretanto, embora
52% tenham receio por sua privacidade, não deixam de realizar suas atividades pela
Internet, demonstrando o quanto o fator comodidade e agilidade é importante na
vida das pessoas. (PricewaterhouseCoopers e a e-bit)
3.1. Questão da Segurança da Internet
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém
fortemente articulado pelas redes, onde a informação, independente do seu formato,
é um dos maiores patrimônios de uma organização moderna, sendo vital para
quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja manter-se
competitiva no mercado. Considerada um ativo importantíssimo para a realização do
negócio, a informação deve ser protegida e gerenciada.
Nos últimos anos, as tecnologias de informação e comunicação têm evoluído de
forma rápida, fazendo com que as organizações tenham maior eficiência e rapidez
nas tomadas de decisão, devido a este fato as chances de uma empresa não usar
sistemas de informação tornou-se praticamente nula. Neste contexto, a importância
de se utilizar mecanismos de segurança e de armazenamento das informações é
vital para a sobrevivência e competitividade destas organizações.
24
No passado, a questão segurança da informação era muito mais simples, pois os
arquivos contendo inúmeros papéis podiam ser trancados fisicamente, porém com a
chegada das tecnologias da informação e comunicação, a questão ficou bem mais
complexa,
hoje
a
maioria
dos
computadores
conecta-se
a
internet
e
consequentemente a internet conecta-se a eles, além disto, sabemos que dados em
formato digital são portáteis, este fato fez que estes ativos tornassem atrativos para
ladrões. Mas isto não é tudo, existem inúmeras situações de insegurança que
podem afetar os sistemas de informação como incêndios, alagamentos, problemas
elétricos, poeira, fraudes, uso inadequado dos sistemas, engenharia social, guerras,
sequestros, etc.
Portanto podemos dizer que não existe segurança absoluta, torna-se necessário
agirmos no sentido de descobrir quais são os pontos vulneráveis e a partir daí
avaliar os riscos e impactos, e rapidamente providenciar para que a segurança da
informação seja eficaz.
Infelizmente o que vemos na prática é que muitas empresas não dão o devido valor
a esta questão e por muitas vezes o preço é muito alto, portanto o melhor caminho é
reduzir ao máximo quaisquer riscos às informações, seguindo um trajeto no sentido
único de manter a integridade e a disponibilidade dos sistemas de informação.
Para se implantar uma eficaz segurança da informação dentro de uma organização
devemos ficar atentos para algumas questões como uma boa análise de riscos, a
definição da Política de Segurança e por fim um plano de contingência.
A análise de riscos basicamente visa a identificação dos pontos de riscos que a
informação está exposta, identificando desta maneira quais os pontos que
necessitam de maior empenho em proteção. A política de segurança da informação
é a formalização explícita de quais ações serão realizadas em um sentido único de
garantir a segurança e disponibilidade dos mesmos Esta política é de extrema
importância, uma vez que descreve as regras necessárias para o uso seguro dos
sistemas de informação. Os planos de contingência também possuem papel
fundamental, pois descrevem o que deve ser feito em caso de problemas com as
informações.
25
Nota-se, que normalmente as pessoas são o elo mais frágil quando o assunto é
segurança da informação, as soluções técnicas não contemplam totalmente sua
segurança. Desta forma torna-se necessário que os conceitos pertinentes a
segurança sejam compreendidos e seguidos por todos dentro da organização,
inclusive sem distinção de níveis hierárquicos.
Uma vez identificados quais os riscos que as informações estão expostas, deve-se
imediatamente iniciar um processo de segurança física e lógica, com o intuito de
alcançar um nível aceitável de segurança.
3.2. Aspectos de Segurança e Confiança
O objetivo da segurança é a preservação do patrimônio da empresa (os dados e as
informações fazem parte do patrimônio). Deve-se preservá-lo,protegendo-o contra
revelações acidentais, erros operacionais e contra quaisquer tipos de infiltrações,
sejam elas deliberadas ou ativas.
Mais precisamente, para a União Européia, "a segurança das redes e da informação
pode ser entendida como a capacidade de uma rede ou sistema da informação para
resistir, com um dado nível de confiança, a eventos acidentais ou ações maliciosas
que comprometem a disponibilidade, autenticidade, integridade e confidencialidade
dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou
acessíveis através dessa rede ou sistema." UE 2002 [25/10/2002].
Observando esta definição, fica claro como as premissas da segurança de
informação (confidencialidade, integridade, disponibilidade e autenticidade) inter-
relacionam-se entre si e em conjunto devem ser atendidas. Também, demonstra a
necessidade de estabelecimento de regras ou mesmo políticas de segurança para
todos os seus domínios.
Perante este fato, as constantes evoluções no mercado exercem importância
fundamental quanto à atenção e preocupação com a segurança das redes, sistemas
e informações. Defrontamo-nos com a indagação persistente entre a "tecnologia e
26
comodidade X segurança?". Questões como a liberalização dos acessos,
convergência tecnológica e globalização incidem diretamente no grau de
confiabilidade e bom funcionamento do trabalho sistematizado e capitalizado atual.
Estamos diante das evidências não somente aplicadas à globalização da economia
mundial, onde além dos negócios, o trânsito dos dados e informações também
passou a ser feito através de outros países e, o uso de produtos comerciais de
fornecedores internacionais fica sujeito a diferentes jurisdições.
A motivação da segurança na Internet deve-se a fatores importantes como:
1. Crescente aumento do número de usuários. Destaca-se:
Aqui temos dois exemplos de usuários que ingressam na rede.
a) usuários intelectualmente mais capacitados referentes à informática e
tecnologia que dispõem de conhecimento avançado do uso e manuseio dos
recursos tecnológicos;
b) usuários não capacitados intelectualmente que possuem pouco ou quase
nenhum conhecimento de informática e/ou tecnologia, sendo um risco à
segurança, o seu acesso às redes por meio de uso incorreto.
2. Aumento do valor das transações.
Grandes negócios são fechados a todo o momento, clientes finais e fornecedores
optaram por um modelo mais ágil de negociação ? a Internet.
4. Normas e Padrões de Segurança da Informação
Segurança da Informação está relacionada com proteção de um conjunto de dados,
no sentido de preservar o valor que possuem para um indivíduo ou uma
organização. São características básicas da segurança da informação, os atributos
de confidencialidade, integridade e disponibilidade, não estando esta segurança
restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de
armazenamento. O conceito se aplica a todos os aspectos de proteção de
27
informações e dados. O conceito de Segurança Informática ou Segurança de
Computadores está intimamente relacionado com o de Segurança da Informação,
incluindo não apenas a segurança dos dados/informação, mas também a dos
sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma
ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A
série de normas ISO/IEC 27000 foi reservada para tratar de padrões de Segurança
da Informação, incluindo a complementação ao trabalho original do padrão inglês. A
ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005
para fins históricos.
4.1. Conceitos de segurança
A Segurança da Informação se refere à proteção existente sobre as informações de
uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações
corporativas quanto às pessoais. Entende-se por informação todo e qualquer
conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode
estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a
definição do nível de segurança existente e, com isto, serem estabelecidas as bases
para análise da melhoria ou piora da situação de segurança existente. A segurança
de uma determinada informação pode ser afetada por fatores comportamentais e de
uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por
pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal
informação.
A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade,
Integridade e Disponibilidade -- representam os principais atributos que, atualmente,
orientam a análise, o planejamento e a implementação da segurança para um
determinado grupo de informações que se deseja proteger. Outros atributos
importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio
28
eletrônico e da sociedade da informação, a privacidade é também uma grande
preocupação.
Os atributos básicos (segundo os padrões ABNT NBR ISO/IEC 27002, ITIL, COBIT)
são os seguintes:
Confidencialidade - propriedade que limita o acesso à informação tão somente às
entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas
as características originais estabelecidas pelo proprietário da informação, incluindo
controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e
destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação.
O nível de segurança desejado, pode se consubstanciar em uma "política de
segurança" que é seguida pela organização ou pessoa, para garantir que uma vez
estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.
Para a montagem desta política, deve-se levar em conta:
 Riscos associados à falta de segurança;
 Benefícios;
 Custos de implementação dos mecanismos.
4.2. Mecanismos de segurança
Segundo a norma ABNT NBR ISO/IEC 27002, os mecanismos de seguranças
oferecem os suportes a:
Controles físicos: são barreiras que limitam o contato ou acesso direto à
informação ou à infra-estrutura (que garante a existência da informação) que a
suporta.
Existem mecanismos de segurança que apoiam os controles físicos:
29
Portas / trancas / paredes / blindagem / guardas / etc.
Controles lógicos: são barreiras que impedem ou limitam o acesso à informação,
que está em ambiente controlado, geralmente eletrônico, e que, de outro modo,
ficaria exposta a alteração não autorizada por elemento mal intencionado.
Existem mecanismos de segurança que apoiam os controles lógicos:
Mecanismos de criptografia. Permitem a transformação reversível da informação de
forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados
e uma chave secreta para, a partir de um conjunto de dados não criptografados,
produzir uma sequência de dados criptografados. A operação inversa é a decifração.
Assinatura digital. Um conjunto de dados criptografados, associados a um
documento do qual são função, garantindo a integridade do documento associado,
mas não a sua confidencialidade.
Mecanismos de garantia da integridade da informação. Usando funções de
"Hashing" ou de checagem, consistindo na adição.
Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls,
cartões inteligentes.
Mecanismos de certificação. Atesta a validade de um documento.
Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido
contra a personificação por intrusos.
Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a
ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao
sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma
vulnerabilidade daquele sistema.
Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam
alguns dos mecanismos citados aqui
Existe, hoje em dia, um elevado número de ferramentas e sistemas que pretendem
fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus,
firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.
30
4.3. Ameaças à segurança
As ameaças à segurança da informação são relacionadas diretamente à perda de
uma de suas três características principais, quais sejam:
Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma
determinada informação (ex: a senha de um usuário ou administrador de sistema)
permitindo com que sejam expostas informações restritas as quais seriam
acessíveis apenas por um determinado grupo de usuários.
Perda de Integridade: aconteceria quando uma determinada informação fica
exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não
foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado)
da informação.
Perda de Disponibilidade: acontece quando a informação deixa de estar acessível
por quem necessita dela. Seria o caso da perda de comunicação com um sistema
importante para a empresa, que aconteceu com a queda de um servidor ou de uma
aplicação crítica de negócio, que apresentou uma falha devido a um erro causado
por motivo interno ou externo ao equipamento ou por ação não autorizada de
pessoas com ou sem má intenção.
No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de
agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são
agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas
são motivadas para fazer esta ilegalidade por vários motivos. Os principais são:
notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa elaborada
pelo Computer Security Institute, mais de 70% dos ataques partem de usuários
legítimos de sistemas de informação (Insiders) -- o que motiva corporações a investir
largamente em controles de segurança para seus ambientes corporativos (intranet).
31
4.4. Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o
nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e
lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os
custos associados aos ataques e, os associados à implementação de mecanismos
de proteção para minimizar a probabilidade de ocorrência de um ataque.
4.5. Segurança física
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos,
alagamento, acesso indevido de pessoas, forma inadequada de tratamento e
manuseamento do material.
4.6. Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup
desatualizados, violação de senhas, etc.
Segurança lógica é a forma como um sistema é protegido no nível de sistema
operacional e de aplicação. Normalmente é considerada como proteção contra
ataques, mas também significa proteção de sistemas contra erros não intencionais,
como remoção acidental de importantes arquivos de sistema ou aplicação.
32
4.7. Políticas de segurança
De acordo com o RFC 2196 (The Site Security Handbook, September 1997) uma
política de segurança consiste num conjunto formal de regras que devem ser
seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as
áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e
redes e da direção. Deve também adaptar-se a alterações na organização. As
políticas de segurança fornecem um enquadramento para a implementação de
mecanismos de segurança, definem procedimentos de segurança adequados,
processos de auditoria à segurança e estabelecem uma base para procedimentos
legais na sequência de ataques.
O documento que define a política de segurança deve deixar de fora todos os
aspectos técnicos de implementação dos mecanismos de segurança, pois essa
implementação pode variar ao longo do tempo. Deve ser também um documento de
fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao
elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada
pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta
primeira). A ISO começou a publicar a série de normas 27000, em substituição à
ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi
publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo
que não é expressamente permitido é proibido) e a permissiva (tudo que não é
proibido é permitido).
Os elementos da política de segurança devem ser considerados:
A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário
necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos
usuários, e este ter condições de analisar a identidade do sistema.
33
A Confidencialidade: dados privados devem ser apresentados somente aos donos
dos dados ou ao grupo por ele liberado.
4.8. Políticas de Senhas
Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou
password é a mais controversa. Por um lado, profissionais com dificuldade de
memorizar varias senhas de acesso, por outro, funcionários displicentes que anotam
a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador
anota a senha no monitor.
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a
regra fundamental é a conscientização dos colaboradores quanto ao uso e
manutenção das senhas.
Senha com data para expiração- Adota-se um padrão definido onde a senha
possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a
renovar sua senha.
Inibir a repetição - Adota-se através de regras predefinidas, pois uma senha
quando utilizada, não poderá ter mais que 60% dos caracteres repetidos, p. ex:
senha anterior "123senha" nova senha deve ter 60% dos caracteres diferentes como
"456seuse", neste caso foram repetidos somente os caracteres "s" "e" os demais
diferentes.
Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos
Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por
exemplo:
1s4e3u2s ou os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes
alfabéticos por exemplo: 1432seuz.
Criar um conjunto de senhas que não podem ser utilizadas (ex.: Good, Deus,
Master, etc), pois são senhas padrões e qualquer hacker ou pessoa mal
intencionada tentará estes primeiro.
34
Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu
uso, como por exemplo, o usuário chama-se Jose da Silva, logo sua senha não deve
conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou
19XX, 1883emc ou I2B3M4 etc.
5. Penalidades e punições
Um dos piores males no ambiente digital é o anonimato, no sentido de favorecer a
prática de ilícitos, de atividades antiéticas e até crimes. Neste aspecto, cabe a
instituição conferir uma identidade digital para o usuário, de modo que se ocorrer
algum incidente, seja possível identificar sua autoria. (PPP Advogados, 2007)
A ninguém cabe alegar desconhecimento da lei (PPP Advogados, 2007)
Art. 21 CP "O desconhecimento da Lei é inescusável"
Cabe citar que o Código Penal Brasileiro não imputa a tipificação apenas no caso de
crime doloso, mas também para o crime culposo, cujo agente não tinha intenção de
cometê-lo. A única forma inescusável seria a falta de capacidade do agente para
entender a ilicitude do fato ou se não pudesse exigir conduta diversa. E quando o
infrator é menor de idade, quem responde são os pais!
A questão da responsabilidade (PPP Advogados, 2007)
No caso desta norma, o significado de responsabilidade é "ter que responder por um
ato danoso".
O Código Civil (Lei no 10.406/02) trata das relações entre as pessoas, estabelecendo
responsabilidades, inclusive no ambiente de trabalho. Verifique o texto dos artigos
abaixo:
Artigo 186 - Aquele que, por ação ou omissão voluntária, negligência ou
imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral,
comete ato ilícito.
Artigo 1016 - Os administradores (cargo de gerente ou superior) respondem
35
solidariamente perante a sociedade e os terceiros prejudicados, por culpa no
desempenho de suas funções.
5.1. Comunidades, Chats, Fóruns e Blogs
São utilizados por usuários para denegrir a imagem da instituição ou de outro
indivíduo. A falta de procedimento para identificação do usuário também deve ser
encarado como uma preocupação, pois a identidade digital é necessária, até mesmo
para identificação de autoria. Se detectado um crime cometido por intermédio de
ferramentas digitais e constata-se que o endereço IP do autor vem de sua instituição
você deve estar apto a identificar quem era o usuário logado naquele momento.
(PPP Advogados, 2007)
5.2. Conceito de direito autoral
A propriedade intelectual engloba tudo aquilo que se oriunda da inteligência
humana, independentemente dos escopos por ela visados (artístico, empresarial,
educacional etc.), excluindo-se, por óbvio, os de caráter imoral, bem como os que
contrariam os interesses coletivos.
O direito autoral, segundo Julio Fabbrini Mirabete "pode ser conceituado como
sendo os direitos que o criador detém sobre sua obra, fruto de sua criação, e os que
lhe são conexos (...) Direitos conexos ao direito de autor são os direitos dos artistas,
intérpretes, ou executantes da obra literária ou artística, dos produtores fonográficos
e das empresas de radiodifusão".
O crime de violação de direito autoral encontra-se definido no art. 184, caput, do
Código Penal, verbis:
"Violar direito de autor e os que lhe são conexos:
"Pena ? detenção de três meses a um ano, ou multa."
Trata-se, como se pode observar, de norma penal em branco, pois é o Direito Civil
36
que conceitua o direito autoral por meio da Lei n.o 9.610/98 (Lei dos Direitos
Autorais).
5.3. Direitos constitucionais
A Constituição Federal Brasileira de 1988 estabelece limites, estruturas e garantias
relativas a situações e a personalidade do cidadão. O Art. 5o é famoso por reunir
grande parte dessas garantias, as quais devem sempre ser observadas, como por
exemplo:
Artigo 5o - (...)
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenização pelo dano material ou moral decorrente de sua
violação;
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de
dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas
hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou
instrução processual penal;
LVI - são inadmissíveis, no processo, as provas obtidas por meios ilícitos;
Para que isso seja feito da maneira correta, sem atacar o direito constitucional à
privacidade de terceiros, é necessário que todos os usuários sejam alertados da
existência dessa vigilância. A não ser que estejamos nos referindo a espaços
públicos e abertos, há uma presunção de privacidade. Ou seja, se não for dito que
não é privativo, ou que está sendo monitorado, entende-se que há privacidade. Por
isso, é fundamental que sempre haja um aviso legal de que o ambiente não é
privativo. Ou seja, o aviso deve ser prévio e feito no próprio meio para garantir que a
pessoa foi informada e tinha ciência de que tudo que estivesse fazendo estaria
sujeito à observância de terceiros. (PPP Advogados, 2007)
"Educar o usuário é primordial para garantir a segurança."
37
Este documento tem a intenção de ser o "Controle" descrito na ISO 27002:2005
capítulo 5.1.1 Documento da política de segurança da informação.
Nesta tabela esta descrita as infrações digitais cometidas pelos usuários com suas
descrição no Código Penal Brasileiro e seus referentes artigos.
Ela serve como base para que possamos analisar as possíveis falhas em nossa
segurança e onde devemos agir para evitar tais infrações.
38
PPP Advogados, 2007
39
6. Manutenção de equipamentos
Uma empresa terceirizada deve ser contratada para agilizar o serviço melhorando
qualidade e atendimento. Ao utilizar-se de uma empresa terceirizada é subtraída
uma preocupação da direção que passa suas funções de costume, deixando a
preocupação de atendimento, manutenção e prevenção para a empresa
terceirizada.
Para que este processo funcione é necessário um controle efetivo, diretivas bem
planejadas e de comum acordo entre os gerentes.
7. Segurança patrimonial
Este item deve ser terceirizado pelo fato da rotatividade de funcionários. Uma
empresa terceirizada retira da instituição contratante a preocupação da segurança
patrimonial dos equipamentos. Mediante contrato e normas a que a empresa
contratada deve seguir para controle do patrimonial da instituição.
7.1. Monitoramento de áreas publica
Toda área do SENAC é monitorada por empresa de segurança contratada.
O gerenciamento deste serviço deve ficar nas mãos de um departamento interno
composto por funcionário do SENAC em um nível mais alto.
As imagens captadas pelo sistema de segurança só podem ser solicitadas e
visualizadas pela direção e, em caso de urgência como por exemplo, furto,
depredação de patrimônio, etc.
40
8. Gerência de infra-estrutura e sistemas
Tudo que for referente à infra-estrutura e softwares são primeiramente analisados
pela equipe de Gerência de Sistemas (GES). A GES pesquisa e analisa nos
mínimos detalhes os prós e contras e decidem se a mudança ou implantação deve
ser feita ou não.
Mudanças emergenciais podem ser autorizadas pelo Diretor (a) ou Reitor (a) vigente
e posteriormente comunicado a GES.
Tudo deve estar claramente definido, acordado, documentado e testado pelas
equipes responsáveis.
9. O processo de implantação de um SGSI
Umas das dificuldades encontradas pelos responsáveis em implantar o SGSI, é a
falta de um plano organizado de trabalho. Visando suprir esta deficiência, este artigo
apresenta uma metodologia teórico-conceitual, descrevendo o modelo criado para
auxiliar na concepção, elaboração e implantação do projeto de segurança em
organizações.
A implantação do SGSI proposto implica na padronização e documentação dos
procedimentos, ferramentas e técnicas utilizadas, além da criação de indicadores,
registro e todo um processo educacional e de conscientização da organização e
seus parceiros.
Além de possibilitar uma visão do aproveitamento de sistemas normativos já
implantados nas organizações, através da abordagem metodológica de integração
das normas e padrões de segurança da informação e outras normas como ISO.
41
9.1. Metodologia de implantação de um SGSI
A resistência comum da maioria dos usuários a qualquer mudança no seu processo
normal de trabalho tem sido o principal empecilho à implantação de políticas de
segurança. Como exemplo, foi visível a resistência de alguns profissionais quando
se propunha condutas como políticas de alteração constante de senhas, uso de
softwares alternativos que oferecem maior nível de segurança, maior preocupação
no descarte de documentos, uso de software anti-vírus e adoção de políticas
restritivas de acesso para instalação de programas em computadores desktop.
Além disso, a falta de pessoal dedicado ao estudo e à implantação do SGSI é algo
que tem tornado o processo demorado. A implantação de um Sistema de Gestão de
Segurança da Informação é difícil de ser realizada e leva tempo para sua
concretização.
Ela exige apoio da direção da organização, dedicação e constante qualificação dos
profissionais envolvidos.
42
10. ANEXOS
Criação de novos usuários no sistema da empresa (para acesso ao sistema, e-mails,
intranet, etc).
10.1. Fluxo para criação de usuário na rede administrativa
Após aproximadamente 24h da contratação do professor, será criado um usuário e
uma senha (padrão SENACGES) para o mesmo. Este usuário é utilizado para
acessar a INTRANET e o e-mail do OWA.SP.SENAC.BR.
O professor(a) poderá procurar o Laboratório Geral para que o auxilie no seu
primeiro login. (SENAC CAMPUS SANTO AMARO)
Para saber se seu usuário ADMINISTRATIVO já foi criado, basta solicitar que
alguém que esteja com o OWA aberto, abra uma nova mensagem e digite o começo
do seu nome no campo PARA: e clique no botão "Verificar nomes", caso já esteja
criado, ele completará o nome automaticamente. Neste caso, o USUÁRIO para se
logar nas estações ADMINISTRATIVAS (sala dos professores, coordenação) será o
que se encontra antes do @. (SENAC CAMPUS SANTO AMARO)
A senha expira a cada 90 dias e o usuário ADM só pode trocar sua senha dentro das
instalações do Senac (rede administrativa) ou abrindo um chamado pelo service
desk, onde eles irão zerar a senha colocando a padrão (SENACGES). (SENAC
CAMPUS SANTO AMARO)
10.2. Fluxo de cadastramento de docentes na rede educacional
Após a contratação do professor (a), o mesmo será cadastrado no sistema
UNIVERSUS. O sistema UNIVERSUS é um sistema interno de cadastro de todos os
funcionários e alunos. Sem este cadastro, o mesmo não poderá criar seu usuário
EDUCACIONAL. O processo de criação de login e senha na rede EDUCACIONAL
43
deve ser feito pelo próprio professor(a) pelo portal do aluno. (SENAC CAMPUS
SANTO AMARO)
10.2.1. Fluxo do procedimento de criação de senha na rede educacional
Acessar www.sp.senac.br, seguir até o rodapé da página, clicar em "Portal do Aluno
e ex-aluno", clicar no link "Ainda não possui login e senha? Cadastre-se aqui." e
fazer seu cadastro. O professor receberá no e-mail ao qual cadastrou no portal, uma
mensagem solicitando que o mesmo confirme seu cadastro. Basta confirmar o
cadastro e seu acesso ao Black Board e Netteacher estará liberado.
Após confirmação, entrar no portal, do lado direito, selecionar na área restrita o link
PROFESSOR, e verificar qual seu usuário de rede educacional. Ele aparecerá do
lado superior direito. (SENAC CAMPUS SANTO AMARO)
Qualquer problema relacionado ao portal, salvo dúvidas de como acessar, devem
ser encaminhadas diretamente para o portal pelo link "Caso tenha dificuldades em
acessar a Área Exclusiva, clique aqui." na tela de login ou pelo e-mail
[email protected], e encaminhar suas solicitações diretamente. (SENAC
CAMPUS SANTO AMARO)
Obs.: quanto maior o detalhamento do problema, mais rápida sua solução.
44
11. Fluxo de soluções no atendimento de problemas no portal do aluno (alunos
e professores)
11.1. Quando o Aluno/Professor não possui login e senha
Instruir o Aluno/Professor a acessar o portal, na página principal (e-mail e senha),
solicite que ele clique no link "Ainda não possui login e senha? Cadastre-se aqui." e
solicite que o mesmo faça seu cadastro. Avisar o Aluno/Professor que será enviado
um email para que ele confirme seu cadastro e que após esta confirmação o mesmo
deverá se logar no portal, entrar na área restrita " Aluno/Professor EX-ALUNO" e
consultar seu login de rede que aparecerá do lado direito superior do portal. (SENAC
CAMPUS SANTO AMARO)
11.2. Quando o Aluno/Professor não lembra login e senha
Instruir o Aluno/Professor a acessar o portal, na página principal (e-mail e senha),
solicite que ele clique no link "Esqueceu a senha? Clique aqui." e peça para que ele
preencha o email que foi cadastrado no portal.
Aluno/Professor não visualiza usuário para login dos computadores na área
exclusiva
/
Aluno/Professor
não
visualiza
link
ÁREA
RESTRITA
/
Aluno/Professor não consegue entrar no ambiente virtual (blackboard) pede
usuário e senha / Aluno/Professor não recebeu e-mail de confirmação de
cadastro
Instruir o Aluno/Professor a acessar o portal, na página principal (e-mail e senha),
solicite que ele clique no link "Caso tenha dificuldades em acessar a Área Exclusiva,
clique aqui" e peça para que ele preencha o formulário com a maior quantidade de
dados possíveis e detalhe ao máximo o que está acontecendo para que o portal
possa solucionar o quanto antes seu problema. (SENAC CAMPUS SANTO AMARO)
45
11.3. Fluxo de procedimentos para locação dos MACs PRO / PCs de Game /
Tablets
Quando é feita uma solicitação de locação do Mac Pro, é solicitada ao aluno sua
carteirinha do SENAC juntamente com um documento com foto. A carteirinha fica
retida com os atendentes e será liberada na devolução do equipamento.
É informado ao aluno de suas responsabilidades com o equipamento e aconselhado
que leiam o regulamento do laboratório.
Após este primeiro passo, é consultado seu nome no sistema de locação. Este
sistema é compartilhado com a Biblioteca Senac. Caso o aluno possua alguma
pendência registrada em seu nome, a locação é cancelada, os documentos são
devolvidos ao aluno e comunicado o motivo da não locação do equipamento.
Por ser um equipamento específico para uma determinada área, somente os alunos
dos cursos específicos podem efetuar sua locação. (SENAC CAMPUS SANTO
AMARO)
46
11.4. Sistema de locação (BNWeb)
O BNWeb é um sistema interno (ERP) interligado com o sistema UNIVERSUS.
BNWeb
No UNIVERSUS são cadastrados todos os alunos e professores. Mediante este
cadastro o aluno/professor pode acessar via WEB no portal do SENAC o "Ambiente
Virtual" e o "NetStudent" (citados logo abaixo).
Com o aluno/professor cadastrado neste sistema UNIVERSUS é possível localizá-lo
no sistema BNWeb.
47
Este sistema serve para locação de livros, controle de vídeo games, DVDs, VHS, na
biblioteca e no Laboratório Geral é utilizado para locação de Tablet, MacPro, PCs de
Game e fones de ouvido.
BNWeb
Com estes dois sistemas integrados é possível ter um controle total da
movimentação dos itens cadastrados no BNWeb, tendo um relatório com todo seu
histórioco.
Caso um usuário tenha qualquer restrição em seu nome (ex.: multa), o mesmo deve
regularizar sua situação para poder voltar a ter o benefício de usufruir novamente o
serviço de locação.
48
11.5. Fluxo do ambiente virtual
O ambiente virtual é uma área destinada a troca de informações e localiza-se no
portal do aluno e para acessar basta se logar e entrar na "Área Restrita ? Aluno/Ex-
Aluno".
Área Restrita ? Aluno/Ex-Aluno
Vulgarmente conhecido como "BlackBoard", ele é utilizado para que os professores
disponibilizem materiais de aula para os alunos, abram espaços para que os alunos
postem seus trabalhos para análise, criação de listas de discussão, bate-papo,
inclusão de mini-curriculum, informes, etc.
49
Área Restrita ? Aluno/Ex-Aluno
50
Ambiente Virtual
O Ambiente Virtual é gerenciado por uma equipe interna do SENAC que auxilia os
professores e alunos na sua utilização e soluciona possíveis problemas que venham
a ocorrer no decorrer de sua utilização. (SENAC CAMPUS SANTO AMARO)
11.6. Netteacher
O NETTEACHER é uma área destinada aos professores para lançamento de notas
e faltas e para consulta dos alunos. Para acessar esta área basta se logar e entrar
na "Área Restrita ? Aluno/Ex-Aluno". (SENAC CAMPUS SANTO AMARO)
51
11.7. Distribuição de software ? MSDNAA (Microsoft)
MSDNAA é um programa da Microsoft junto às universidades que viabiliza a
distribuição oficial e gratuita de softwares para os alunos pelo tempo em que
estiverem estudando (matriculados).
Todos os softwares antigos e lançamentos (Beta Test) são postados neste portal e
os alunos podem baixar gratuitamente. (SENAC CAMPUS SANTO AMARO)
12. Fluxo de troca e movimentação de equipamentos
Processo de troca e movimentação de equipamentos dentro do Campus é um
processo constante e que exige uma atenção redobrada.
O motivo é que todos os equipamentos montados e em funcionamento estão presos
com cadeados e patrimoniados. Isto significa que a equipe que cuida dos
patrimônios a qualquer momento pode localizar um equipamento (localização,
configuração, usuário, etc) em segundos.
Quando é feita a movimentação, que pode ser troca, manutenção ou somente
mudança de local, a equipe de patrimônio deve ser avisada e a ela repassados os
patrimônios dos equipamentos movimentados/trocados de onde estão saindo e para
onde está indo. (SENAC CAMPUS SANTO AMARO)
13. Programa de inclusão digital (P.E.T.)
O Programa de Educação para o Trabalho (PET) foi desenvolvido pelo SENAC/SP e
implementado, na sua forma atual, em 1996. É "voltado ao desenvolvimento de
jovens, especialmente daqueles com limitadas oportunidades de acesso aos bens
tecnológicos que possibilitam a apropriação do conhecimento, o domínio de
competências, bem como de contato e convívio com padrões estéticos requisitados
52
por um mercado de trabalho exigente e seletivo, inflexível a justificativas de natureza
sociopolítica" (José Luiz Gaeta Paixão. Introdução do Programa de Educação para o
Trabalho. São Paulo, SENAC, 1996).
(http://germinai.wordpress.com/2009/06/09/programa-educacao-para-o-trabalho-pet-
em-ribeirao-preto/)
- Período do programa no Campus Santo Amaro num período de 15 dias a cada
semestre.
- Todos diretamente ligados com os alunos do PET são inteiramente responsáveis
pelos mesmos, devendo acompanhá-los e instruir como a um funcionário novo.
- Total de 10 alunos (uma relação dos alunos e a escala de horário dos mesmos
deve estar na planilha "Vivencia Campus (PET)" que fica no servidor de
documentação)
- Horários pré-definidos para os alunos acompanharem e exercerem as atividades:
Manhã das 08:30h às 12:30h
Tarde das 13:30h às 17:00h
- Escala dinâmica entre os setores: Laboratório Geral, Digisystem (empresa
terceirizada para manutenção dos equipamentos e atendimento aos usuários),
Laboratórios de aula, Coordenação e Reitoria
- Responsáveis por setor:
Para cada departamento um responsável deve ser incumbido de acompanhar o
aluno PET.
Laboratório Geral.
Digisystem.
Laboratórios.
Coordenação.
Reitoria.
53
Procedimentos quanto aos PETs:
1 ? deverá ser divulgada a cada aluno, a escala e suas respectivas atividades junto
aos setores do Cas TI.
2 - Cada responsável pelo setor deverá acompanhar o aluno conforme atividades
pré-estabelecidas em planilha:
- Laboratório Geral: Explicação das rotinas diárias na área de Projetos e
acompanhamento no atendimento ao aluno. Dedicar 60 minutos em atividades
praticas.
- Digisystem: Explicação das rotinas diárias no atendimento, acompanhamento no
atendimento técnico ? Cas TI. Dedicar 60 minutos em atividades praticas.
- Laboratórios: Explicação dos processos Educacionais e das rotinas diárias. Dedicar
60 minutos em atividades praticas.
- Coordenação: Explicação da área de Processos e das rotinas administrativas.
Dedicar 60 minutos em atividades praticas.
Obs.: Entendem-se como atividade pratica as funções realizadas no setor.
3 ? Cada responsável deve atualizar a coluna "Status" na planilha "Vivencia Campus
(PET)"
Status:
- Concluído: concluído a atividade do aluno no setor.
- Pendente: Não foi concluída a atividade do aluno.
- Desmotivado: Aluno está desmotivado no setor.
- Recusado: Aluno se recusou em realizar alguma atividade
- Faltou: Aluno faltou no dia.
- Desinteressado: Aluno não mostra interesse no aprendizado.
Obs.: caso haja necessidade em detalhar o status, use a coluna "observação"
4 - Cada responsável deverá preencher o formulário de avaliação individual, ou seja,
para cada aluno deverá haver um formulário de avaliação.
54
1 = péssimo
2 = ruim
3 = razoável
4 = bom
5 = excelente
Itens sendo avaliados:
- Respeito ao horário
- Cuidados com a aparência (higiene pessoal e modo de vestir)
- Comunicação
- Participação no programa - atividades da área TI
- Atividade prática
- Ouve e considera críticas e sugestões
- Iniciativa em registrar as informações recebidas
Identificar:
- Aluno tem interesse na área de TI? Caso sim, qual o segmento?
- Aluno tem conhecimento na área de TI? Caso sim, qual?
Obs.: O nome do arquivo do formulário deverá ser igual ao nome do aluno.
5 ? Enviar o formulário individual de avaliação para o e-mail do responsável pelo
acompanhamento do programa junto ao setor Cas TI.
Programa finalizado junto aos setores:
6 ? Mensurar as informações coletadas junto aos responsáveis de cada setor.
7 ? Elaborar relatórios e gráficos dos dados coletados.
8 - Enviar para gerência do Cas TI os relatórios elaborados.
Lembrando: Para que este programa seja realizado com sucesso no Campus
55
Santo Amaro, contamos com a sensibilidade e colaboração de todos.
14. Regulamento e guia de utilização do laboratório geral de informática
Este laboratório é exclusivamente dedicado à realização de trabalhos acadêmicos
individuais.
Todo o trafego da rede é monitorado por medidas de segurança.
Nos laboratórios, ambientes de estudo e trabalho, cabe aos usuários desenvolver
suas atividades de forma ordeira e disciplinada, evitando brincadeiras, algazarras,
conversas desnecessárias e quaisquer outras atividades alheias à atividade
pedagógica. É vedado fumar, consumir qualquer tipo de alimento ou bebida, jogos de
qualquer espécie (salvo nos PCs específicos para o desenvolvimento de Games),
assim como utilizar qualquer tipo de aparelho sonoro, como celulares (Lei Municipal
no. 12.511, de 4 de novembro de 1997), mp3 players, etc.
É proibida a cópia e/ou instalação de programas para o computador sem expressa
autorização da coordenação do curso, bem como programas de interesse pessoal
como músicas ou jogos trazidos em disquetes, CD-ROMS, pendrives e similares.
Cada usuário é responsável pelo seu login e senha de identificação e deve utilizá-
los, sempre, para acessar os equipamentos. Para sua segurança, não utilize a
identificação de outras pessoas nem tampouco forneça seu login e senha para
terceiros. (SENAC CAMPUS SANTO AMARO)
O ambiente é climatizado e as portas devem permanecer fechadas.
Não é recomendável salvar seus arquivos no disco rígido, pois a limpeza periódica
poderá removê-los, alem disso, outros usuários poderão acessá-los. Ao desligar o
PC ou fazer logoff, todos os dados salvos na máquina serão perdidos. Salvem seus
documentos no seu RAID ou em dispositivos de armazenamento externo. (SENAC
CAMPUS SANTO AMARO)
Os arquivos relacionados a trabalhos devem ser salvos sempre no RAID.
56
Para os alunos de Áudio Visual que precisem de espaço maior devem-se utilizar as
ilhas de edição nos laboratórios 130 e 113. (SENAC CAMPUS SANTO AMARO)
14.1. Uso dos equipamentos
Avarias nos equipamentos causadas por mau uso ou pelo não-cumprimento das
normas estabelecidas determinarão à responsabilidade do usuário, inclusive quanto
ao ressarcimento dos gastos necessários ao reparo ou substituição.
Constituem usos indevidos do Laboratório Geral de Informática:
a) Desmontar quaisquer equipamentos ou acessórios, sob qualquer pretexto,
assim como deslocar equipamentos do local a eles destinados, mesmo que
dentro do mesmo recinto.
b) Usar qualquer equipamento de forma danosa ou agressiva.
c) Exercer atividades não pertinentes com o uso específico de cada laboratório.
d) Formatar o disco rígido das máquinas.
e) Usar o laboratório para atividades eticamente impróprias.
f) Sentar nas mesas.
g) Colocar os pés nas cadeiras ou mesas.
h) Desconectar as máquinas da rede para utilização do ponto sem autorização
prévia.
i) Utilizar-se de algum ponto de rede sobressalente sem autorização prévia.
57
14.2. Uso do illuminate
Qualquer trabalho poderá ser exposto no illuminate pelos alunos, desde que seja
aprovado/autorizado pela coordenação de seu curso.
Para agendar a utilização do illuminate, deverá ser encaminhada uma solicitação
para a coordenação do seu curso. A coordenação entrará em contato com a área de
tecnologia e efetuará o agendamento.
Mediante a eventos que possam ocorrer no Senac ? Campus Santo Amaro, o
illuminate poderá ser requisitado pela administração para que sejam expostos
material de sua escolha. Neste caso, os alunos, professores e coordenadores
deverão consultar a agenda de empréstimo para que não ocorra nenhum imprevisto.
Todos os trabalhos apresentados neste equipamento deverão seguir algumas
normas para sua melhor utilização/apresentação:
- a tela de apresentação do trabalho exposto, deve ocupar toda a tela e não pode ter
opção de sair para o Windows, e esta tela deve conter os itens subsequentes do
trabalho;
- todo o restante das telas deve conter um botão "voltar" ou "home", para que o
aluno possa navegar pelas funcionalidades do projeto;
- para aplicações que utilizem algum tipo de digitação, deve ser implementado um
teclado (ex.: teclado do HPTouch) para que o usuário possa interagir com a
aplicação;
IMPORTANTE: os botões devem ser de um tamanho razoável (aproximadamente
30x30mm no mínimo) para que não ocorra interferência entre um comando e outro.
14.3. Atividades eticamente impróprias
a) Alterar a configuração dos microcomputadores, instalar, copiar ou fazer backup
de softwares.
b) Alterar a configuração de qualquer equipamento disponível.
58
c) Instalar ou remover programas/softwares, salvo em caso de expressa
autorização assinada por monitor, professor, coordenador ou técnico do
laboratório.
d) Desenvolver e/ou disseminar vírus nos equipamentos dos laboratórios
intencionalmente.
e) Praticar ou facilitar a prática de pirataria de software/dados de qualquer
espécie.
f) Praticar intrusão de qualquer espécie, tal como quebra de privacidade,
utilização de conta alheia, tentativa de quebra de sigilo e/ou senha, ganhando
acesso de super-usuário, promoção de prejuízo operacional em detrimento
dos demais usuários, utilização de programas com objetivo de burlar o
sistema, bloquear as ferramentas de auditoria automática e/ou outras ações
semelhantes.
g) Fazer uso indevido dos recursos disponíveis na internet.
h) Formatar os discos rígidos das máquinas.
i) Salvar arquivos nos formatos .avi, .mp3, .gif, .jpg ou qualquer outra extensão
nas estações de trabalho (estes são apagados periodicamente, sem aviso
prévio) ou diretórios públicos dos servidores.
j) Tentativa ou prática de qualquer atividade alheia aos interesses da instituição.
k) Divulgação coletiva, por rede de mensagens de interesse particular ou
reduzido,
consideradas
indecorosas,
ofensivas
ou
pretensamente
humorísticas.
14.4. Uso da internet
O acesso a sites com conteúdos pornográficos e/ou eróticos dentro do SENAC SP é
proibido. A permissão para acessar tais conteúdos só será possível mediante
solicitação do(a) professor(a) junto à coordenação do referido laboratório, com
antecedência.
59
14.5. Regulamento para a utilização dos PCs DE GAME
1. Os alunos deverão agendar a utilização dos jogos (aparelho) com, pelo
menos, 1 (uma) hora de antecedência.
2. A carteirinha do usuário, necessária para a reserva de jogos, deve ser
apresentada no balcão juntamente com um documento com foto. A carteirinha
fica retida. O usuário só poderá retirá-la após o equipamento ser vistoriado
por um funcionário do Laboratório Geral de Informática na hora da devolução.
3. Só serão aceitas reservas de horários cheios (exemplo: das 8 às 9 horas) e
não horários quebrados (exemplo: 12h30 às 13h30). Caso queira utilizar o
equipamento em horários quebrados, o usuário deve estar ciente de que só
utilizará a sala durante o período restante da hora cheia.
4. O usuário terá direito a uma única escolha de jogo, caso existam jogos no
local para locação. Não será possível a troca de jogos nesse período.
5. Poderá ser emprestado mais de um controle por jogo. Os equipamentos
ficarão sob responsabilidade do usuário que os reservou.
6. Não é permitido o uso dos jogos (CDs) e controles (aparelhos) fora das
dependências do Laboratório Geral de Informática, bem como do Centro
Universitário Senac ? Campus Santo Amaro.
7. Não é permitida a instalação de quaisquer softwares nos PCs de Game sem
autorização da Coordenação.
8. É permitido o uso de jogos particulares (originais) e controles nos X-Box do
Laboratório Geral de Informática.
14.6. Recomenções gerais

Ligar e desligar os equipamentos dentro dos procedimentos indicados (inicial,
desligar), inclusive o monitor.
 Não colocar as mãos na tela dos monitores.
 Manipular o mouse e teclado com os cuidados necessários.
 Não mexer em cabos e interfaces dos microcomputadores e periféricos.
60
 Não abrir o mouse (caso não seja óptico).
 Manter o laboratório sempre limpo.
 Zelar para que os equipamentos estejam sempre em ordem.
 Comunicar imediatamente ao monitor de plantão, professor ou coordenador a
existência de qualquer problema com equipamentos ou instalações.
 Cuidar para que as cadeiras permaneçam em suas respectivas mesas.
 Ler atentamente o regulamento para uso dos laboratórios.
14.7. Responsabilidade operacional
Cabe ao administrador de rede/monitoria, supervisores e monitores a implantação, a
operacionalização e fiscalização deste regulamento. Aos monitores de laboratórios
compete permanecer em circulação dentro do laboratório.
14.8. Responsabilidade do usuário
1)
O usuário é responsável pelo equipamento em seu poder e deve
devolvê-lo em perfeito estado.
2)
Todo usuário em débito, tanto com o Laboratório Geral de Informática
quanto com a Biblioteca, ficará impedido de usufruir do serviço prestado pelo
referido espaço.
3) Equipamentos danificados devem ser substituídos pelo usuário.
4) Para oferecer um ambiente adequado a todos os usuários, não é
permitido fumar, consumir ou portar alimentos ou bebidas, nem utilizar
telefones celulares e congêneres dentro das instalações do Laboratório Geral
de Informática.
5)
No município de São Paulo, a utilização de telefones celulares e
congêneres pode ser punida com uma multa de até 200 UFIRs (congelada
61
em R$1,0641 em agosto de 2002, quando de sua extinção), de acordo com a
Lei Municipal no. 12.511, de 4 de novembro de 1997.
6)
Cooperar
com
os outros
usuários e
funcionários
do
Centro
Universitário Senac durante a permanência no Laboratório Geral de
Informática com o intuito de manter um ambiente agradável para que todos
possam desenvolver com harmonia e democracia suas pesquisas e trabalhos.
15. Considerações finais
Os laboratórios estarão disponíveis aos alunos nos dias letivos, de segunda a sexta-
feira, das 8 às 22 horas.
Cada usuário será responsável pelos danos provocados pelo uso indevido do
equipamento. Recomenda-se, portanto, em caso de dúvidas ou imprevistos, recorrer
sempre ao monitor, professor ou técnico do laboratório em busca de orientação.
Os casos omissos no presente regulamento serão submetidos à apreciação
técnica do coordenador da área e encaminhados à diretoria da instituição para
deliberação.
A desobediência ao presente regimento, além do ressarcimento do valor
necessário ao reparo ou substituição do equipamento avariado, poderá
determinar a penalidade de advertência, suspensão ou transferência compulsória
do infrator, conforme a gravidade da situação.
Eventuais críticas ou sugestões poderão ser encaminhadas diretamente pelo
Canal Aberto.
HORÁRIO DE FUNCIONAMENTO
De segunda a sexta-feira, das 8 às 22 horas
62
16. Trabalhos Relacionados

PSI ? Política de Segurança da Informação - Documento de Diretrizes e
Normas Administrativas - V.1.0

PSI ? Política de Segurança da Informação - Documento de Diretrizes e
Normas Educacionais - V.1.0
 Termo de Responsabilidade;
 Procedimentos/Regulamentos (contidos neste documento);
 Campanha de Conscientização (cursos e palestras).
 Política de Segurança da Informação (ISSO 27002);
 Normas de Uso de Computadores e Dispositivos Móveis (regulamentos
internos diferenciados para cada setor);
 Normas de Uso e Acesso à Internet (regulamento interno);
 Normas de SI no Ambiente Educacional (este documento);
 Boas Práticas Legais no uso da Tecnologia dentro e fora da sala de aula;
17. Revisão de processos
17.1. Revisão
Este documento deve ser revisado anualmente e toda alteração, se houver, deve ser
acordada entre todos os departamentos responsáveis e divulgada na rede interna
para conhecimento de todos.
17.2. Treinamento e acompanhamento de novos funcionários
Todo funcionário novo deve receber uma cartilha contendo estes procedimentos
para que possa ter conhecimento das normas.
63
Deve ser acompanhado de perto pelos funcionários responsáveis pela sua incursão
na empresa auxiliando-o na utilização destes conceitos no dia-a-dia.
17.3. Obrigatoriedade do cumprimento desta política
Esta política deve ser aprovada pela direção e acatada por todo o corpo docente,
funcionários e terceirizados.
É função das direções fazer com que se cumpra a mesma promovendo palestras
divulgando seus tópicos e setores mais influenciados por tais.
64
18. Considerações Finais
Em suma, este trabalho objetiva melhorar a segurança dos próprios funcionários e
alunos da instituição, resguardando-os de possíveis ataques contra seus patrimônios
(senhas, acesso a banco, dados pessoais, etc) garantindo assim um ambiente limpo
e de confiança para os mesmos.
Visa também, garantir a qualidade dos equipamentos utilizados pelos usuários
protegendo-os de vírus, worms, e até mesmo de problemas físicos como queima de
equipamento, retirada de equipamento para manutenção por vandalismo ou mau
uso, garantindo assim um parque de equipamentos sempre a disposição dos
usuários e com segurança garantida.
E embora não tenha uma Política de Segurança finalizada e formalmente definida,
ainda existem questões que devem ser rapidamente resolvidas, como a definição de
processos para tratamento de incidentes, procedimentos para auditoria do código
dos sistemas desenvolvidos pela Instituição e procedimentos para auditoria
completa de vulnerabilidades físicas e lógicas, quando solicitada pelas unidades
acadêmicas e órgãos administrativos. Tais questões serão trabalhadas no presente
ano.
65
Referências Bibliograficas
-
2006-2007 PPP, Patrícia Peck Pinheiro Advogados, Boas práticas legais no
uso da tecnologia dentro e fora da sala de aula (2007).
-
ABNT NBR ISO/IEC 27002, Tecnologia da informação ? Técnicas de
segurança ? Código de prática para a gestão da segurança da informação.
- Constituição Federal Brasileira de 1988, art. 5;
- Paixão, José Luiz Gaeta. Introdução do Programa de Educação para o
Trabalho. São Paulo, SENAC, 1996;
-
PricewaterhouseCoopers e a e-bit ? material encontrado no Google em
09/10/2009;
-
PSI ? Política de Segurança da Informação - Documento de Diretrizes e
Normas Administrativas - V.1.0 ? 2009;
-
PSI ? Política de Segurança da Informação - Documento de Diretrizes e
Normas Educacionais - V.1.0 ? 2009;
-
RFC 2196 (The Site Security Handbook, September 1997);
Sites:
-
http://www.viajus.com.br/viajus.php?pagina=artigos&id=355 ? 06/10/2009 ?
12:54h;
- http://gocsi.com/ - 07/10/2009 ? 13:15h;
- http://germinai.wordpress.com/2009/06/09/programa-educacao-para-o-
trabalho-pet-em-ribeirao-preto/);
66