ATI AGNCIA ESTADUAL DE TECNOLOGIA DA INFORMAO

USI Unidade de Segurana da Informao

Normas Gerais de Utilizao da Rede, Uso de E-mail

Corporativo e Acesso Internet

Este documento foi elaborado pela Unidade de Segurana da Informao da

ATI e aborda a segurana da Rede Computacional da ATI, do e-mail
corporativo e da utilizao do acesso Internet, visando, em seus diversos
aspectos, apresentar normas para utilizao dos recursos acima referidos, de
forma a preservar o patrimnio e a informao, no que se refere aos setores
computacionais e de comunicao, e a reputao da Agncia Estadual de
Tecnologia da Informao - ATI.

1. Objetivo

Esta norma tem como objetivo especfico integrar-se Poltica de Segurana

da ATI, em seu momento inicial de implantao, podendo vir a ser substituda
ou conviver junto s demais normas de segurana futuramente elaboradas e
visa, de forma geral, a proteo do ambiente tecnolgico da ATI no intuito de
prevenir e responder a possveis incidentes de segurana. Sua abrangncia
estende-se a todos os usurios dos recursos computacionais da ATI,
incluindo empregados, servidores, terceirizados, estagirios, tcnicos dos
Ncleos Setoriais de Informtica instalados no prdio sede da ATI e os que,
de alguma forma, se utilizem dos recursos de rede da ATI.
Ressalta-se que, primordialmente, todos os que necessitem ter acesso aos
recursos de rede da ATI, devero, como requisito bsico, assinar Termo de
Responsabilidade, comprometendo-se estrita observncia e obedincia
s condies e requisitos bsicos para o acesso aos recursos
computacionais da ATI, cujo descumprimento incorrer nas penalidades
cabveis de acordo com a infrao cometida e penalidades previstas em
legislao competente. O referido Termo de Responsabilidade estar
disponvel para download no site da ATI e dever ser disponibilizado ao
requisitante de acesso, no ato de sua requisio, j que requisito para obt-
lo;

As atitudes consideradas violao a esta poltica encontram-se divididas nos

seguintes tpicos:

I. Utilizao da Rede
II. Utilizao do E-mail corporativo
III. Utilizao do acesso a Internet

1
Abaixo esto descritas as normas acima relacionadas que trazem como
premissa bsica o conceito de que tudo o que no for permitido e/ou liberado
considerado violao Poltica de Segurana da Informao da ATI.
Salienta-se que, em virtude de ser a segurana da informao um processo
contnuo e de estar a ATI em pleno processo de elaborao e implantao de
sua Poltica de Segurana da Informao, novas normas e possveis
alteraes de verso estaro sendo implementadas, neste ltimo caso,
revogando-se, automaticamente, a norma anterior, devendo, portanto, todos
os que fazem uso dos recursos computacionais da ATI, manterem-se
atualizados e obedientes s normas em vigor que estaro disponibilizadas no
site da ATI para fins de conhecimento.

I. Utilizao da Rede

Esse tpico visa definir as normas de utilizao da rede da ATI.

a. No so permitidas tentativas de obter acesso no autorizado, tais

como tentativas de fraudar autenticao de usurio ou segurana de
qualquer servidor, rede ou conta. Isso inclui acesso aos dados no
disponveis para o usurio, conectar-se a servidor ou conta cujo
acesso no seja expressamente autorizado ao usurio ou colocar
prova a segurana de outras redes;

b. No permitida a conexo de dispositivos no autorizados na rede

local, principalmente, equipamentos de rede sem fio como Access
Points, wireless, bluetooth, entre outros, inclusive fax modem ou
qualquer outra soluo que estabelea conexo simultnea com a
rede local e outras redes. Em casos justificados para o uso destes
equipamentos, a ATI deve prover segmento de rede independente,
atravs de VLAN, para este fim, de forma a permitir o
compartilhamento de sua infra-estrutura de TI sem o comprometimento
do desempenho e da segurana da rede local;

c. Profissionais tcnicos no exerccio de suas funes, no devem utilizar

a rede da ATI para testes. Para este trabalho a ATI, tambm, deve
prover segmento de rede independente, atravs de VLAN, para este
fim;

d. A incluso de novos equipamentos na rede interna dever ser

executada pela Unidade destinada a estes fins, para balanceamento
de carga, instalao de S.O. bsico com suas respectivas atualizaes
e instalao dos demais softwares necessrios s funes a que se
destina, e, somente mediante prvia requisio e autorizao do
gerente da Unidade. As credencias de administrador do equipamento
devero ficar sob a guarda e responsabilidade da Unidade que efetua
tais instalaes, restando ao usurio, ao qual se destina o
2
 equipamento, utiliz-lo mediante credenciais de usurio comum.
Ressalva-se o caso de usurios da rea tcnica, devidamente
autorizados, que por fora de suas funes e conhecimento tcnico, se
reservam ao direito de efetuar suas prprias instalaes, bem como, a
guarda e o uso oportuno das credenciais de administrador. No mais,
ressalta-se a necessidade de conformidade com as demais polticas
vigentes. Posteriormente, a USI dever ser comunicada para futuras
auditorias. No caso de novos servidores, estes equipamentos devero
ser configurados e administrados pela UDC;

e. A instalao de novas secretarias ou rgos no prdio da ATI dever

ser feita em uma rede parte, no podendo seus equipamentos ser
conectados rede local (LAN) da ATI. Para tanto, a ATI dever prover
ambiente de segmentao de redes por VLANs de forma a permitir o
compartilhamento de sua infra-estrutura de TI sem o comprometimento
do desempenho e da segurana;

f. Caso seja necessria a incluso de mquinas previamente em uso em

outras redes e transferidas para o ambiente da ATI, dever ser feita
anlise prvia de conformidade das instalaes com as polticas
vigentes de forma a adequ-las aos padres exigidos, evitando-se
riscos de comprometimento da performance e segurana da rede da
ATI;

g. No so permitidas tentativas de interferir nos servios de qualquer

outro usurio, servidor ou rede. Isso inclui ataques do tipo negao de
servio (DoS), provocar congestionamento em redes, tentativas
deliberadas de sobrecarregar um servidor e tentativas de "quebrar"
(invadir) um servidor;

h. No permitido o uso de qualquer tipo de programa no relacionado

s funes e atividades pertinentes ATI;

i. Instalaes e/ou remoes de softwares devero ser efetuadas pela

Unidade destinada a estes fins, a qual detm a guarda das credenciais
de administrador dos equipamentos, e, somente mediante prvia
autorizao do gerente da Unidade. Ressalva-se o caso de usurios
da rea tcnica, devidamente autorizados, que por fora de suas
funes e conhecimento tcnico, se reservam ao direito de efetuar
suas prprias instalaes, bem como, permanecer com a guarda e o
uso oportuno das credenciais de administrador. Salienta-se a
necessidade da estrita observncia ao que se refere o item anterior;

j. Antes de ausentar-se do seu local de trabalho, o usurio dever fechar

todos os programas acessados, evitando, desta maneira, o acesso por
pessoas no autorizadas, bem como, efetuar o logout/logoff da rede
ou bloqueio da estao de trabalho atravs de senha;
3
k. Material de natureza pornogrfica e racista no pode ser acessado,
exposto, armazenado, distribudo, editado ou gravado atravs do uso
dos recursos computacionais da rede;

l. de responsabilidade do empregado o backup dos seus arquivos

importantes para o desempenho das funes sob sua
responsabilidade;

m. vedada a abertura de computadores para qualquer tipo de reparo,

uma vez que, qualquer reparo necessrio dever ser feito pelo
departamento tcnico responsvel. No se aplica esta restrio aos
usurios tcnicos que por fora de suas atribuies, tenham a devida
competncia e autorizao para faz-los.

n. No ser permitida a alterao das configuraes de rede

(principalmente endereo IP) e da BIOS das mquinas, bem como,
modificaes que possam trazer algum problema futuro. Exceo feita
s equipes tcnicas no desempenho de suas atribuies;

o. obrigatrio o logon na rede, sendo proibido o logon como usurio da

mquina local no que se refere s estaes de trabalho da ATI;

p. Cabe Unidade destinada s instalaes dos equipamentos da rede

interna, a guarda das respectivas senhas de administrador, devendo
providenciar a instalao de ferramentas e configuraes que delas
necessitem, quando previamente solicitadas e autorizadas pelo
gerente da respectiva Unidade requisitante. Ressalva-se o caso de
usurios da rea tcnica, devidamente autorizados, que por fora de
suas funes e conhecimento tcnico, se reservam ao direito de
efetuar suas prprias instalaes, bem como, a guarda e o uso
oportuno das credenciais de administrador;

q. de responsabilidade do usurio, manter o sigilo das suas senhas de

acesso rede e aos sistemas, bem como, seguir as recomendaes
de segurana de como se criar uma senha forte, conforme poltica
vigente (vide seo de documentos tcnicos relativos a segurana no
site www.ati.pe.gov.br/ como escolher uma senha forte);

r. Para fins legais de auditoria, a empresa se reserva ao direito de

realizar investigaes em qualquer dos equipamentos que integrem a
rede local da ATI;

4
II. Utilizao do E-mail Corporativo

Esse tpico visa definir as normas de utilizao do e-mail corporativo.

a. O e-mail corporativo deve ser de uso restrito para as atividades

relacionadas ao desempenho das funes do funcionrio, sendo
considerado o meio formal e obrigatrio de comunicao eletrnica na
autarquia;

b. A troca de mensagens com contedo sigiloso deve ser realizada com

uso de criptografia de chave pblica. As chaves dos funcionrios da
ATI esto disponveis em http://www2.ati.pe.gov.br/web/siteati/pgp;

c. Para fins legais de auditoria, a empresa se reserva ao direito de

realizar investigaes nas caixas postais do e-mail corporativo;

d. proibido o assdio ou perturbao de outrem, seja atravs de

linguagem utilizada, freqncia ou tamanho das mensagens;

e. proibido o envio de e-mail a qualquer pessoa que no o deseje

receber. Se o destinatrio solicitar a interrupo de envio de e-mails, o
usurio deve acatar tal solicitao e no lhe enviar qualquer e-mail;

f. proibido o envio de grande quantidade de mensagens de e-mail

("junk mail" ou "spam") que, de acordo com a capacidade tcnica da
Rede, seja prejudicial ou gere reclamaes de outros usurios. Isso
inclui qualquer tipo de mala direta, como, por exemplo, publicidade,
comercial ou no, anncios e informativos, ou propaganda poltica.
Ressalva-se, neste caso, que fica preservado o direito de envio de e-
mail para todos os funcionrios por parte da empresa, quando se fizer
necessrio;

g. proibido reenviar ou, de qualquer forma, propagar mensagens em

cadeia ou "pirmides", independentemente da vontade do destinatrio
de receber tais mensagens;

h. proibido o envio de e-mails mal-intencionados, tais como "mail

bombing" ou sobrecarregar um usurio, site ou servidor com e-mails
muito extensos ou numerosas partes de e-mail;

i. Caso a empresa julgue necessrio haver bloqueios:

1. De e-mail com arquivos anexos que comprometa o uso de banda,

perturbe o bom andamento dos trabalhos, ou ainda, exponha a rede
riscos de segurana. Arquivos com cdigo executvel (.exe, .com, .bat,
.pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) e outras extenses
comumente utilizadas por vrus so automaticamente bloqueadas.
5
 2. De e-mail para destinatrios ou domnios que comprometa o uso de
banda, perturbe o bom andamento dos trabalhos ou ainda, exponha a
rede e o ambiente destinatrio riscos de segurana;

j. proibido forjar qualquer das informaes do cabealho do remetente;

k. de responsabilidade do usurio, manter o sigilo da senha de acesso

a sua caixa postal, bem como, seguir s recomendaes de segurana
de como criar uma senha forte (vide seo de documentos tcnicos
relativos a segurana no site www.ati.pe.gov.br/ como escolher uma
senha forte);

III. Utilizao do acesso Internet

Esse tpico visa definir as normas de utilizao da Internet.

a. proibido utilizar os recursos da empresa para fazer o download ou

distribuio de software ou dados no legalizados;

b. proibida a divulgao de informaes confidenciais da empresa em

grupos de discusso, listas ou bate-papo, no importando se a
divulgao foi deliberada ou inadvertida, ficando aquele que assim
proceder, sujeito s penalidades previstas nas polticas e
procedimentos internos e/ou na forma da lei;

c. A Internet poder ser utilizada para atividades no relacionadas com

os negcios da ATI durante o horrio de almoo, ou fora do
expediente, desde que dentro das regras de uso definidas nesta
poltica;

d. Os usurios da rea tcnica, que por fora de suas funes e

conhecimento tcnico, devidamente autorizados, se reservam ao
direito de efetuar suas prprias instalaes, bem como, permanecer
com a guarda e o uso oportuno das credenciais de administrador,
somente podero efetuar download de softwares necessrios
execuo de suas atribuies, devendo providenciar, quando for o
caso, a regularizao da licena e o registro desses de forma a evitar
possveis penalidades ATI;

e. Funcionrios com acesso Internet no podem efetuar upload de

qualquer software licenciado empresa ou de dados de propriedade
da empresa ou de seus clientes, sem a expressa autorizao do
gerente responsvel pelo software ou pelos dados;

6
 f. Caso a empresa julgue necessrio, haver bloqueios de acesso a
arquivos e sites no autorizados que comprometam o uso de banda da
rede, o desempenho e produtividade das atividades do empregado,
bem como, que exponham a rede a riscos de segurana;

g. proibida a utilizao de meios para burlar as polticas de bloqueios

automaticamente aplicadas no proxy da ATI. Tais meios envolvem
web-proxy e tunelamentos criptografados. Apenas em casos restritos,
com a devida autorizao e quando se fizer necessrio para execuo
de suas atividades que o usurio poder se utilizar de tais recursos;

h. Haver gerao de relatrios dos sites acessados por usurio para

verificao da adequao poltica vigente;

i. No ser permitido o uso abusivo de comunicao instantnea (MSN,

Skype e afins) de forma que venha a impactar na produtividade das
atividades da ATI. A USI estar monitorando o tempo de uso desses
recursos e relatrios sero enviados para as respectivas gerncias
para as devidas providencias;

j. No ser permitida a utilizao de softwares peer-to-peer (P2P), tais

como Emule, Kazaa, Morpheus e afins;

k. A utilizao de servios de redes sociais, alm de streaming de udio

e/ou vdeo ser controlada quanto ao seu uso e excessos,
ressalvando-se aqueles servios pertinentes s atividades da ATI

2. Verificao de Conformidade

Para garantir as regras acima mencionadas, a ATI vem utilizando os

seguintes meios:

a. Sistemas que podem monitorar e gerar relatrios do uso de Internet

atravs da rede e das estaes de trabalho da empresa;

b. Sistemas de proteo da rede interna para garantir a integridade dos

dados e acessos, incluindo firewall com filtro de aplicaes, proxy com
filtro de sites no permitidos ou com controle de horrio, sistema de
deteco de intrusos, entre outros;

c. Sistemas de inspeo de arquivos armazenados na rede, estejam no

disco local da estao ou nas reas privadas da rede, visando
assegurar o rgido cumprimento desta poltica;

7
 d. Sistemas de inventrio de software e hardware para monitorar as
estaes de trabalho e identificar o uso ou a modificao no
autorizada das caractersticas da estao;

3. Penalidades

O no cumprimento pelo funcionrio das normas ora estabelecidas neste

Documento (Normas Gerais de Utilizao da Rede, Uso de E-mail
Corporativo e Acesso Internet), seja isolada ou cumulativamente, poder
ensejar, de acordo com a infrao cometida, as seguintes punies:

(A) COMUNICAO DE DESCUMPRIMENTO;

Ser encaminhado ao funcionrio, por e-mail, notificao informando o

descumprimento da norma, com a indicao precisa da violao praticada e,
em caso de reincidncia, ser enviada tambm, uma cpia para a respectiva
chefia.

(B) ADVERTNCIA OU SUSPENSO;

A pena de advertncia ou suspenso ser aplicada nos casos legais e aps

regular apreciao atravs de processo administrativo disciplinar.

(C) DEMISSO POR JUSTA CAUSA;

A pena de demisso por justa causa ser aplicada nos casos legais e aps
regular apreciao atravs de processo administrativo disciplinar;

Aos funcionrios enquadrados no regime de trabalho CLT, ditos

empregados, a pena de demisso por justa causa ser aplicada nas
hipteses previstas no artigo 482 e pargrafo nico da Consolidao das Leis
do Trabalho - DECRETO-LEI N. 5.452, DE 1 DE MAIO DE 1943;

Aos funcionrios enquadrados no regime de trabalho ESTATUTRIO, ditos

servidores, a pena de demisso ser aplicada nas hipteses previstas no
artigo art. 204, LEI 6.123, DE 20.07.68 (Estatuto dos Funcionrios Pblicos
do Estado de Pernambuco), e nas hipteses das penas pelo cometimento de
crime contra a administrao pblica previstas no Decreto-Lei n 2.848, de 7
de dezembro de 1940 (Cdigo Penal).

Aos funcionrios terceirizados, ser solicitado empresa prestadora da

respectiva mo-de-obra, o afastamento definitivo do funcionrio, podendo a
ATI solicitar a substituio deste ou at mesmo, rescindir o contrato de
prestao de servio, conforme clusulas contratuais pr-estabelecidas.