Norma de instalação e remoção de software
Introdução
Todo e qualquer programa (software) são ferramentas ou instrumentos que auxiliam civis, empresas, governos, instituições de pesquisa, instituições de ensino, entre outros a realizar suas respectivas atividades. Os softwares podem ser executados em desktops, estações de trabalho, servidores, mainframes, roteadores, celulares, e em qualquer outro dispositivo computacional. Quanto aos tipos de programas eles podem ser: software de sistema e software aplicativo. Os softwares de sistema são responsáveis pela integração entre máquina, periféricos e software de aplicativos. Enquanto os softwares de aplicativo são responsáveis pela a interação entre o usuário e suas atividades. Alguns exemplos de software são: sistemas operacionais, planilhas eletrônicas, editores de texto, editores de imagens, visualizadores de arquivos, mensageiros instantâneos, correio eletrônico, dentre outros. O acesso de um aplicativo pode ser realizado localmente (quando acessados fisicamente na máquina utilizada) ou remotamente (quando os aplicativos são providos por outros equipamentos diferentes da máquina utilizada fisicamente).
Esta norma tem como objetivo estipular um conjunto de diretrizes e recomendações aos diferentes usuários sobre procedimentos de instalação e ou remoção de programas nos equipamentos do Grupo Diário da Região - GDR.
Abrangência da segurança
Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam da necessidade de instalar ou remover programas.
Acesso e Identificação do Usuário
Todo usuário do GDR tem um identificador único provido pelo Departamento de TI e seu acesso a estes serviços está restrito aos privilégios do usuário a cada sistema ou programa instalado ou acessado via WEB. Os privilégios são definidos pelo diretor presidente ou responsável ou ainda responsáveis por cada departamento ou setor envolvido.
Regras de Instalação e Remoção de Programas
O usuário é responsável direto pelo cumprimento das regras e pela instalação e remoção de todo e qualquer programa não previamente autorizado pelo departamento de TI, gestor de usuários do GDR e pelo diretor presidente ou diretor ou responsáveis do setor competente. Em caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é proibido instalar todo e qualquer programa não autorizado no computador e qualquer outro dispositivo computacional pertencente ao GDR, salvo as instalações de programas que contenham prévia autorização do diretor ou responsável pelo setor, e com a aprovação do gestor de usuários do GDR e do gestor de segurança da informação do GDR. Este item também é aplicado a programas com conteúdos de atualização conhecidos como patches;
II. Ao usuário é permitido instalar todo e qualquer programa previamente autorizado pelo departamento de TI. A relação de programas previamente autorizados está disponibilizada pelo departamento de TI;
III. O usuário é proibido de instalar e ou remover todo e qualquer programa voltado para desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais, interfaces de desenvolvimento (IDEs), banco de dados, códigos-fontes e qualquer outra ferramenta voltada a desenvolvimento de software. Salvo os usuários que necessitem destes programas para realizar estas atividades. Estes usuários devem requerer prévia autorização do diretor ou responsável do setor, e a aprovação do gestor de usuários do GDR e do gestor de segurança da informação do GDR;
IV. O usuário é proibido de remover toda e qualquer versão de software obsoleto, mesmo em casos em que exista uma versão atualizada da aplicação utilizada;
V. Caso o usuário necessite remover qualquer software instalado, entre em contato com seus superiores para que estes entrem em contato com o gestor de usuários do GDR;
VI. O usuário fica ciente de possível auditoria nos equipamentos de propriedade do GDR.
Regras Administrativas e Técnicas de Instalação e Remoção de Programas
Os administradores e técnicos são responsáveis diretos pelo cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pelo departamento de TI.
I. O administrador é responsável direto pela atualização dos programas nos equipamentos. Antes de realizar toda e qualquer atualização de software, o administrador deve enviar uma solicitação ao seu superior descrevendo o nome do programa, número da versão, descrição, justificativa, as notas da versão, fabricante, página do fabricante e do produto;
II. O administrador não deve liberar softwares em desenvolvimento, testes, previews, betas e candidatos a liberação para instalação em computadores do GDR. Somente devem ser utilizados programas homologados e liberados para utilização em produção;
III. O administrador é proibido de instalar todo e qualquer programa voltado para desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais, interfaces de desenvolvimento (IDEs), banco de dados, códigos-fontes e qualquer outra ferramenta voltada a desenvolvimento de software, salvo os usuários que necessitem destes programas para realizar estas atividades. Estes usuários devem requerer prévia autorização do diretor ou responsável do seto, e com a aprovação do gestor de usuários do GDR e do gestor de segurança da informação do GDR;
IV. O administrador é responsável pela delegação e ou realização de testes nos softwares. Os testes devem conter análises de usabilidade, amigabilidade, segurança e efeitos no sistema. Estes testes devem ser transformados em um relatório e entregues ao diretor do setor de tecnologia. O ambiente de teste deve ser isolado dos ambientes de produção utilizados;
V. O administrador deve especificar, por escrito, o processo de downgrade de um software autorizado para que possibilite o retorno do sistema no caso de aparecimento de erros. Sempre que for necessário e possível, o administrador deve prover ferramentas de apoio tais como mídias e softwares para realizar o downgrade;
VI. O administrador deve prover um repositório da última versão anterior de softwares autorizados, desde que não fira as respectivas licenças e conformidades legais;
VII. O administrador deve utilizar ferramentas de controle de versão para gerenciar documentos de instalação, processos, procedimentos, requisitos, configurações, software e quaisquer outros materiais que sejam necessários para instalação, remoção, atualização e ou downgrade de uma aplicação;
VIII. O administrador é responsável pela publicação de uma lista com programas previamente autorizados para instalação. As licenças destes programas devem ser do tipo livre, gratuita ou pública ou privada, caso em que as devidas comprovações de aquisições devem ser ajuntadas. Deve-se respeitar todas as conformidades legais e de propriedade de licenciamento destes programas;
IX. O administrador é responsável por manter, quando adquirido e no prazo de validade de suporte do programa, uma lista com nomes de fornecedores e meios de contato para acionar a manutenção e a resolução de erros;
X. O administrador deve requirir por escrito todo e qualquer autorização de seus superiores para liberar os privilégios de acesso necessários a terceiros, tanto físico quanto lógico. Estes acessos devem ser monitorados pelo administrador.
Processo de Requisição de Instalação e ou Remoção de Programas
A solicitação para a liberação ou negação de acesso a rede é requisitada somente pelo diretor presidente, responsáveis ou diretores do setor solicitante no GDR. Esta solicitação deve ser realizada por intermédio de uma solicitação de serviço a departamento de TI, contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar: “requisição de acesso ou remoção à rede”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso contendo tipo de acesso e privilégios esperados.
Cabe ao gestor de usuários a aprovação, reprovação, questionamento e análise das solicitações de serviço. No caso de aprovação o gestor de usuários deve liberar a solicitação de serviço para a execução.
