Norma de acesso remoto
Introdução
A interconexão entre redes privadas a distância permite ao usuário utilizar de redes e serviços de redes disponibilizados por terceiros. O acesso a redes remotas disponibilizados por redes privadas externas permitem ao usuário acessar e utilizar e executar aplicações e sistemas operacionais disponibilizados naquele ambiente, desde que tenham acesso autorizado para isto.
Por se tratar de um acesso entre redes privadas, a segurança e integridade da informação trafegada depende das configurações da rede. Logo, este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos diferentes usuários do Grupo Diário da Região - GDR. A boa utilização destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembre-se que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do GDR.
Abrangência da segurança
Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam serviços de acesso remoto.
Acesso e Identificação do Usuário
Todo usuário do GDR tem um identificador único provido pelo Departamento de TI e seu acesso a estes serviços está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente e ou responsável ou ainda responsáveis por cada departamento ou setor envolvido.
Regras de Uso de Acesso Remoto
O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas entre redes privadas. Em caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes disponibilizados pelo GDR, não podendo fornecer e ou compartilhar seu usuário, senha e ou acesso a rede com outros usuários;
II. O usuário está proibido de utilizar contas de acesso às redes pertencentes a outros usuários;
III. É proibido ao usuário trafegar informações sigilosas em redes públicas. No caso de dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do diretor presidente, responsável ou diretor do setor competente. Caso seja estritamente necessário o envio da informação para uma rede externa, contate o gestor de segurança da informação do GDR;
IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas licenciados e ou dados pertencentes ao GDR ou quaisquer clientes ou parceiros;
V. O usuário somente poderá trafegar informações oriundas de redes públicas desde que não fira toda e qualquer conformidade legal prevista em lei. Deve-se respeitar os direitos autorais, proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitida a instalação de programas sem a prévia autorização do diretor presidente, responsável e ou do diretor do setor solicitante, também sem a prévia autorização do gestor de usuários do GDR e do gestor de segurança da informação;
VI. O usuário está comprometido a utilizar as redes públicas e ou privadas do GDR para uso exclusivo de atividades relacionadas ao setor no qual o usuário pertence;
VII. Por ser um serviço de concessão cedido pelo GDR, o usuário fica ciente sobre possível auditoria interna relacionada aos acessos de rede. Este processo deve conter autorização do diretor presidente, responsável e ou do diretor do setor cabível, bem como a autorização do gestor de usuários do GDR e do gestor de segurança da informação do GDR;
VIII. É proibido a utilização de proxies não autorizados que permitam o tráfego de informações a redes privadas externas;
IX. O usuário não deve utilizar acesso a rede para tráfego de informações que violem o acordos de trocas de informação;
X. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XI. O usuário somente pode acessar aplicações entre redes que estejam autorizados por meio de acordos de troca de informações entre terceiros e município;
XII. O usuário somente pode realizar acesso interativo entre redes onde a permissão esteja autorizada. A autorização depende das atividades profissionais relacionadas a função exercida e autorizadas pelo presidente, responsável e ou diretor do setor competente;
XIII. O usuário deve utilizar somente o local e o ambiente físico aprovados pelo administrador de acesso remoto;
XIV. O usuário externo deve configurar de forma adequada o firewall e a proteção anti-vírus na rede externa a rede GDR;
XV. O usuário externo deve garantir a manutenção do equipamento tanto hardware quanto software utilizados remotamente. E caso necessário será solicitado a provisão de um seguro, esta solicitação é realizada pelo gestor de segurança da informação do GDR;
XVI. O usuário não deve permitir que familiares e ou visitantes acessem estes equipamentos;
XVII. O usuário externo é responsável pela devida cópia de segurança das informações presentes em equipamentos externos a rede do GDR. E caso requerido também deverá ser implementados procedimentos de continuidade do negócio. Esta requisição é realizada pelo gestor de segurança da informação do GDR;
XVIII. O usuário fica ciente da obrigatoriedade de devolução de equipamentos de propriedade do município;
XIX. O usuário externo, no que tange a utilização de equipamentos de propriedade do GDR, renuncia à propriedade intelectual sobre estas informações;
XX. O usuário externo deve utilizar somente softwares devidamente licenciado em seu equipamento;
XXI. O usuário deve utilizar equipamentos de comunicação apropriados exigidos pelo administrador do acesso remoto;
XXII. O usuário somente poderá realizar as atividades em período estipulado pelo gestor de segurança da informação do GDR;
XXIII. O usuário externo é responsável, quando não forem fornecidos pelo GDR, pela aquisição de equipamentos e mobília apropriadas para a realização das atividades profissionais;
O Departamento de TI, gestor de usuários do GDR e o gestor de segurança da informação não se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização destes serviços.
Regras Administrativas de Acesso Remoto
O administrador é responsável direto pelo cumprimento destas regras, sendo estes responsáveis (celetistas, estagiários e ou terceiros) gerenciados pelo departamento de TI.
I. O administrador é responsável direto pela manutenção, integridade, segurança e disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivo sistema deve informar o superior imediato do setor correspondente;
II. O administrador é proibido de alterar quaisquer informações trafegadas na rede oriundas dos equipamentos dos usuários do GDR;
III. O administrador pode analisar, visualizar e ou bloquear quaisquer informações trafegadas pelo acesso remoto. Ou seja, o administrador tem o direito de analisar e visualizar as informações trafegadas em rede mesmo que estas contenham informações pessoais;
IV. O administrador tem total liberdade de bloquear e ou liberar acesso a redes e serviços de rede que não estejam acordados.;
V. O administrador é responsável pela proteção da informação durante o tráfego pela rede. Então, cabe ao administrador o gerenciamento de controles e procedimentos no acesso de conexões e serviços de rede;
VI. O administrador é responsável pelo desenvolvimento de procedimentos seguros, no tráfego de informações entre redes privadas que permitam um usuário devidamente autorizado a conectar-se em redes externas. Neste caso, o administrador deve prover uma rede privada virtual (VPN);
VII. O administrador é responsável pelo gerenciamento de acessos físicos e lógicos em determinadas portas destinadas para diagnóstico e configuração;
VIII. A troca de informações entre redes privadas só poderão ser iniciadas após a identificação do equipamento e a autenticação do usuário;
IX. O administrador deve aprovar ou reprovar a segurança e o ambiente físico utilizada no local do acesso remoto;
X. O administrador deve especificar, aprovar ou reprovar o meio de acesso entre as redes envolvidas, sendo estas cabeadas ou sem fios;
XI. O administrador deve configurar de forma adequada o firewall e a proteção anti-vírus na rede do GDR;
XII. O administrador deve remover os direitos de acesso remoto de usuários externos ao término do trabalho remoto.
Processo de Autorização ou Remoção
A solicitação para a liberação ou negação de acesso a rede é requisitada somente pelo diretor presidente, responsáveis ou diretores do setor solicitante no GDR. Esta solicitação deve ser realizada por intermédio de uma solicitação de serviço a departamento de TI, contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar: “requisição de acesso ou remoção à rede”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso contendo tipo de acesso e privilégios esperados.
Cabe ao gestor de usuários a aprovação, reprovação, questionamento e análise das solicitações de serviço. No caso de aprovação o gestor de usuários deve liberar a solicitação de serviço para a execução.