Normas de acesso à rede
Introdução
O acesso a rede permite aos usuários trafegar informações de internet, correio eletrônico, sistemas disponibilizados pelo Grupo Diário da Região - GDR e por terceiros. Uma rede é definida como um conjunto de computadores interligados com o objetivo de permitir a transmissão das informações. Quanto à acessibilidade, as de redes podem ser públicas ou privadas. As redes privadas possibilitam a transmissão restrita de informações dentro do domínio de uma instituição pública ou privada; esta rede privada denomina-se intranet. As redes públicas permitem ao usuário a interconexão entre redes privadas. Quanto aos meios de transmissão, a informação pode ser enviada por conexões sem fio (Ex: rádio, microondas e infravermelho) ou por conexões que utilizem cabeamento (Ex: fibra ótica, cabo coaxial e par trançado).
No GDR, são utilizadas redes públicas e privadas transmitindo as informações tanto por redes cabeadas quanto por redes sem fio. Esta norma tem como objetivo a proteção e integridade da informação trafegada nestas redes estipulando um conjunto de diretrizes e recomendações aos diferentes usuários do GDR. A boa utilização destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembre-se que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do GDR.
Abrangência da segurança
Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam serviços de rede.
Acesso e Identificação do Usuário
Todo usuário do GDR tem um identificador único provido pelo Departamento de TI e seu acesso a estes serviços está restrito aos privilégios do usuário a cada sistema ou programa instalado ou acessado via WEB. Os privilégios são definidos pelo diretor presidente e ou responsável ou ainda responsáveis por cada departamento ou setor envolvido.
Regras de Uso de Rede
O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas nas redes privadas do GDR e redes públicas oriundas da máquina pelo qual é responsável, em caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes disponibilizados pelo GDR, não podendo fornecer e ou compartilhar seu usuário, senha e ou acesso a rede com outros usuários;
II. O usuário está proibido de utilizar contas de acesso às redes pertencentes a outros usuários;
III. É proibido ao usuário trafegar informações sigilosas em redes públicas. No caso de dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do diretor presidente, responsável ou diretor do setor competente. Caso seja estritamente necessário o envio da informação para uma rede externa, contate o gestor de segurança da informação do GDR;
IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas licenciados e ou dados pertencentes ao GDR ou quaisquer clientes ou parceiros;
V. O usuário somente poderá trafegar informações oriundas de redes públicas desde que não fira toda e qualquer conformidade legal prevista em lei. Deve-se respeitar os direitos autorais, proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitida a instalação de programas sem a prévia autorização do diretor presidente, responsável e ou do diretor do setor solicitante, também sem a prévia autorização do gestor de usuários do GDR e do gestor de segurança da informação;
VI. O usuário está comprometido a utilizar as redes públicas e ou privadas do GDR para uso exclusivo de atividades relacionadas ao setor no qual o usuário pertence;
VII. Por ser um serviço de concessão cedido pelo GDR, o usuário fica ciente sobre possível auditoria interna relacionada aos acessos de rede. Este processo deve conter autorização do diretor presidente, responsável e ou do diretor do setor cabível, bem como a autorização do gestor de usuários do GDR e do gestor de segurança da informação do GDR;
VIII. O usuário se compromete a respeitar toda a NORMA DE USO DE MENSAGENS ELETRÔNICAS – NSI-001;
IX. O usuário se compromete a respeitar toda a NORMA DE USO DE ACESSO A INTERNET – NSI-004;
X. É proibido a utilização de proxies não autorizados que permitam o tráfego de informações a redes privadas externas;
XI. É proibido o acesso a redes que disponibilizem conteúdos obscenos, pornográficos, eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;
XII. O usuário é responsável por informar o gestor de segurança da informação, por meio de solicitação de serviço todo e qualquer conteúdo inapropriado contendo informações pornográficas, eróticas, racistas, nazistas, discriminatórias e de qualquer outro conteúdo que violem a lei;
XIII. O usuário não deve utilizar o acesso a rede, tanto a intranet quanto a Internet, para molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições públicas e ou instituições privadas. Este item também compreende todo e qualquer ato ilícito proibidos por lei;
XIV. O usuário não deve utilizar o acesso a rede para disseminar informações de conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;
XV. O usuário não deve utilizar acesso a rede para tráfego de conteúdos que ferem a legislação vigente, a moral e os bons costumes;
XVI. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XVII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os direitos autorais e ou intelectuais;
XVIII. É proibido ao usuário a transmissão proposital de arquivos que contenham vírus, malware, spyware, fishing, trojan e qualquer outro arquivo potencialmente danoso ou código executável.;
XIX. O usuário deve reportar toda e qualquer indisponibilidade aos endereços e conteúdos relativos as realizações de suas atividades. Esta solicitação deve ser realizada pelo “Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a Internet”;
XX. O usuário declara-se ciente de que o equipamento utilizado no GDR está devidamente identificado. Todas e quaisquer tentativas de alteração na identificação do equipamento por parte do usuário caracteriza uma infração do usuário;
XXI. O usuário somente pode acessar aplicações pela rede que estejam de acordo com as atividades profissionais relacionadas a função exercida e autorizadas pelo diretor presidente, responsável e ou diretor do setor competente;
XXII. O usuário somente pode realizar acesso interativo pela rede onde a permissão esteja autorizada. A autorização depende das atividades profissionais relacionadas à função exercida e autorizadas pelo diretor presidente, responsável e ou secretário do setor competente;
O Departamento de TI, gestor de usuários do GDR e o gestor de segurança da informação não se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização destes serviços.
Regras Administrativas de Redes e Serviços de Rede
O administrador é responsável direto pelo cumprimento destas regras, sendo estes responsáveis (celetistas, estagiários e ou terceiros) gerenciados pelo departamento de TI.
I. O administrador é responsável direto pela manutenção, integridade, segurança e disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivo sistema deve informar o superior imediato do setor correspondente;
II. O administrador é proibido de alterar quaisquer informações trafegadas na rede oriundas dos equipamentos dos usuários do GDR;
III. A cada 30 dias o administrador deve verificar a existência de contas inválidas e informar por meio de um relatório ao gestor de segurança da informação. A remoção de contas inválidas deve ser previamente aprovada pelo gestor de segurança da informação e enviado por uma solicitação de serviço;
IV. Os servidores de acesso à Internet devem ser gerenciados para coibir, sempre que possível, o tráfego de informações com conteúdos de entretenimento, pornográficos, discriminatórios, racistas, obscenos, nazistas, vírus, programas (não autorizados) e quaisquer outros conteúdos que violem a lei, ou a propriedade intelectual, ou a propriedade autoral;
V. O administrador pode analisar, visualizar e ou bloquear quaisquer informações trafegadas pela rede independentemente de sua origem e conteúdo. Ou seja, o administrador tem o direito de analisar e visualizar as informações trafegadas em rede mesmo que estas contenham informações pessoais;
VI. O administrador tem total liberdade de bloquear e ou liberar acesso a rede e serviços de rede por meio de mecanismos automáticos e ou manuais;
VII. O administrador é responsável pela proteção da informação durante o tráfego pela rede de domínio do GDR. Então, cabe ao administrador o gerenciamento de controles e procedimentos no acesso de conexões e serviços de rede;
VIII. O administrador é responsável pelo desenvolvimento de procedimentos seguros, no tráfego de informações entre redes privadas, que permitam um usuário devidamente autorizado a conectar-se em redes externas. Neste caso, o administrador deve prover uma rede privada virtual (VPN);
IX. O administrador é responsável pela devida identificação dos equipamentos conectados a intranet pertencentes ao GDR. Para tanto, o administrador pode-se utilizar de máscara de rede e endereços IP;
X. O administrador é responsável pela segregação das redes. Cada domínio lógico segregado deve conter apenas os usuários que realizem atividades para um determinado setor. Também é de responsabilidade do administrador a definição do perímetro de segurança desta segregação da rede;
XI. O administrador é responsável pela utilização de filtros de tráfego utilizando tabelas de restrições e ou regras predefinidas que restrinjam o acesso dos usuários a serviços de rede não autorizados;
XII. O administrador é responsável pelo controle de roteamento de redes, com o objetivo de assegurar a integridade dos privilégios dos usuários nos acessos às redes.
Redes e Serviços Disponíveis
Os serviços e redes disponibilizados pelo GDR a diferentes usuários até a presente data de publicação deste documento são:
• Intranet;
• Contas de Usuário;
• DNS;
• DHCP;
• Identificação dos Equipamentos na rede por IP;
• Compartilhamento de Arquivos;
• Correio eletrônico;
• Internet;
• Impressão;
• Acesso Remoto;
• Anti Vírus;
• Anti Spam;
• Proxy;
• Firewall;
• HTTP / HTTPS;
• FTP;
• Mensageiro Instantâneo.
Observação: Embora estes sejam as redes e serviços de redes disponibilizados pelo GDR, o acesso do usuário a cada um destes serviços e redes está restrito ao próprio privilégio de acesso do usuário definido individualmente ou em grupo.
Meios de Acesso a Rede
Os meios de acesso a rede disponibilizados pelo GDR a diferentes usuários até a presente data de publicação deste documento são:
• Cabo (Ethernet);
• Cabo (Fibra Óptica);
• Rádio (Sem Fio).
Observação: Embora estes sejam os meios de acesso a redes disponibilizados pelo GDR, o acesso do usuário a cada um destes serviços e redes está restrito ao próprio privilégio de acesso do usuário definido individualmente pelo Diretor presidente, diretor ou responsável pelo setor.
Processo de Autorização ou Remoção
A solicitação para a liberação ou negação de acesso a rede é requisitada somente pelo diretor presidente, responsáveis ou diretores do setor solicitante no GDR. Esta solicitação deve ser realizada por intermédio de uma solicitação de serviço a departamento de TI, contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar: “requisição de acesso ou remoção à rede”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso contendo tipo de acesso e privilégios esperados.
Cabe ao gestor de usuários a aprovação, reprovação, questionamento e análise das solicitações de serviço. No caso de aprovação o gestor de usuários deve liberar a solicitação de serviço para a execução.