Diário da Região
NSI-005

Norma de acesso remoto

por Usuário não informado
Publicado em 21/11/2022 às 14:05Atualizado em 21/11/2022 às 14:20
Ouvir matéria

Introdução

A interconexão entre redes privadas a distância permite ao usuário utilizar de redes e serviços de redes disponibilizados por terceiros. O acesso a redes remotas disponibilizados por redes privadas externas permitem ao usuário acessar e utilizar e executar aplicações e sistemas operacionais disponibilizados naquele ambiente, desde que tenham acesso autorizado para isto.

Por se tratar de um acesso entre redes privadas, a segurança e integridade da informação trafegada depende das configurações da rede. Logo, este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos diferentes usuários do Grupo Diário da Região - GDR. A boa utilização destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembre-se que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do GDR.

Abrangência da segurança

Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam serviços de acesso remoto.

Acesso e Identificação do Usuário

Todo usuário do GDR tem um identificador único provido pelo Departamento de TI e seu acesso a estes serviços está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente e ou responsável ou ainda responsáveis por cada departamento ou setor envolvido.

Regras de Uso de Acesso Remoto

O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas entre redes privadas. Em caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:

    I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes disponibilizados pelo GDR, não podendo fornecer e ou compartilhar seu usuário, senha e ou acesso a rede com outros usuários;

    II. O usuário está proibido de utilizar contas de acesso às redes pertencentes a outros usuários;

    III. É proibido ao usuário trafegar informações sigilosas em redes públicas. No caso de dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do diretor presidente, responsável ou diretor do setor competente. Caso seja estritamente necessário o envio da informação para uma rede externa, contate o gestor de segurança da informação do GDR;

    IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas licenciados e ou dados pertencentes ao GDR ou quaisquer clientes ou parceiros;

    V. O usuário somente poderá trafegar informações oriundas de redes públicas desde que não fira toda e qualquer conformidade legal prevista em lei. Deve-se respeitar os direitos autorais, proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitida a instalação de programas sem a prévia autorização do diretor presidente, responsável e ou do diretor do setor solicitante, também sem a prévia autorização do gestor de usuários do GDR e do gestor de segurança da informação;

    VI. O usuário está comprometido a utilizar as redes públicas e ou privadas do GDR para uso exclusivo de atividades relacionadas ao setor no qual o usuário pertence;

    VII. Por ser um serviço de concessão cedido pelo GDR, o usuário fica ciente sobre possível auditoria interna relacionada aos acessos de rede. Este processo deve conter autorização do diretor presidente, responsável e ou do diretor do setor cabível, bem como a autorização do gestor de usuários do GDR e do gestor de segurança da informação do GDR;

    VIII. É proibido a utilização de proxies não autorizados que permitam o tráfego de informações a redes privadas externas;

    IX. O usuário não deve utilizar acesso a rede para tráfego de informações que violem o acordos de trocas de informação;

    X. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;

    XI. O usuário somente pode acessar aplicações entre redes que estejam autorizados por meio de acordos de troca de informações entre terceiros e município;

    XII. O usuário somente pode realizar acesso interativo entre redes onde a permissão esteja autorizada. A autorização depende das atividades profissionais relacionadas a função exercida e autorizadas pelo presidente, responsável e ou diretor do setor competente;

    XIII. O usuário deve utilizar somente o local e o ambiente físico aprovados pelo administrador de acesso remoto;

    XIV. O usuário externo deve configurar de forma adequada o firewall e a proteção anti-vírus na rede externa a rede GDR;

    XV. O usuário externo deve garantir a manutenção do equipamento tanto hardware quanto software utilizados remotamente. E caso necessário será solicitado a provisão de um seguro, esta solicitação é realizada pelo gestor de segurança da informação do GDR;

    XVI. O usuário não deve permitir que familiares e ou visitantes acessem estes equipamentos;

    XVII. O usuário externo é responsável pela devida cópia de segurança das informações presentes em equipamentos externos a rede do GDR. E caso requerido também deverá ser implementados procedimentos de continuidade do negócio. Esta requisição é realizada pelo gestor de segurança da informação do GDR;

    XVIII. O usuário fica ciente da obrigatoriedade de devolução de equipamentos de propriedade do município;

    XIX. O usuário externo, no que tange a utilização de equipamentos de propriedade do GDR, renuncia à propriedade intelectual sobre estas informações;

    XX. O usuário externo deve utilizar somente softwares devidamente licenciado em seu equipamento;

    XXI. O usuário deve utilizar equipamentos de comunicação apropriados exigidos pelo administrador do acesso remoto;

    XXII. O usuário somente poderá realizar as atividades em período estipulado pelo gestor de segurança da informação do GDR;

    XXIII. O usuário externo é responsável, quando não forem fornecidos pelo GDR, pela aquisição de equipamentos e mobília apropriadas para a realização das atividades profissionais;

O Departamento de TI, gestor de usuários do GDR e o gestor de segurança da informação não se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização destes serviços.

Regras Administrativas de Acesso Remoto

O administrador é responsável direto pelo cumprimento destas regras, sendo estes responsáveis (celetistas, estagiários e ou terceiros) gerenciados pelo departamento de TI.

    I. O administrador é responsável direto pela manutenção, integridade, segurança e disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivo sistema deve informar o superior imediato do setor correspondente;

    II. O administrador é proibido de alterar quaisquer informações trafegadas na rede oriundas dos equipamentos dos usuários do GDR;

    III. O administrador pode analisar, visualizar e ou bloquear quaisquer informações trafegadas pelo acesso remoto. Ou seja, o administrador tem o direito de analisar e visualizar as informações trafegadas em rede mesmo que estas contenham informações pessoais;

    IV. O administrador tem total liberdade de bloquear e ou liberar acesso a redes e serviços de rede que não estejam acordados.;

    V.  O administrador é responsável pela proteção da informação durante o tráfego pela rede. Então, cabe ao administrador o gerenciamento de controles e procedimentos no acesso de conexões e serviços de rede;

    VI.  O administrador é responsável pelo desenvolvimento de procedimentos seguros, no tráfego de informações entre redes privadas que permitam um usuário devidamente autorizado a conectar-se em redes externas. Neste caso, o administrador deve prover uma rede privada virtual (VPN);

    VII. O administrador é responsável pelo gerenciamento de acessos físicos e lógicos em determinadas portas destinadas para diagnóstico e configuração;

    VIII.  A troca de informações entre redes privadas só poderão ser iniciadas após a identificação do equipamento e a autenticação do usuário;

    IX. O administrador deve aprovar ou reprovar a segurança e o ambiente físico utilizada no local do acesso remoto;

    X. O administrador deve especificar, aprovar ou reprovar o meio de acesso entre as redes envolvidas, sendo estas cabeadas ou sem fios;

    XI. O administrador deve configurar de forma adequada o firewall e a proteção anti-vírus na rede do GDR;

    XII. O administrador deve remover os direitos de acesso remoto de usuários externos ao término do trabalho remoto.

Processo de Autorização ou Remoção

A solicitação para a liberação ou negação de acesso a rede é requisitada somente pelo diretor presidente, responsáveis ou diretores do setor solicitante no GDR. Esta solicitação deve ser realizada por intermédio de uma solicitação de serviço a departamento de TI, contemplando os requisitos descritos abaixo:    

    I. Nome do solicitante (responsável pelo setor);
    II. Pessoa para contato;
    III.  Nome do usuário que utilizará os serviços de mensagens eletrônicas;
    IV. Informar: “requisição de acesso ou remoção à rede”;
    V. Descrição detalhada;
    VI. Justificativa para a liberação ou remoção de acesso contendo tipo de acesso e privilégios esperados.

Cabe ao gestor de usuários a aprovação, reprovação, questionamento e análise das solicitações de serviço. No caso de aprovação o gestor de usuários deve liberar a solicitação de serviço para a execução.