Normas de utilização de contas e senhas
Introdução
As senhas são um meio comum de verificar a identidade de um usuário antes que acessos sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário. As senhas são utilizadas pela grande maioria dos sistemas de autenticação e são consideradas necessárias como meio de autenticação. Porém, elas são consideradas perigosas, pois dependem do usuário, que podem, por exemplo escolher senhas óbvias e fáceis de serem descobertas, ou ainda as compartilhar com seus amigos. Assim a cooperação de usuários autorizados é essencial para uma efetiva segurança, a fim de prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação. O objetivo deste tópico é estipular um conjunto de diretrizes e recomendações aos diferentes usuários do Grupo Diário da Região - GDR. A boa utilização destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios.
Abrangência da segurança
Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam os recursos computacionais que requerem autenticação por senhas.
Acesso e Identificação do Usuário
Todo usuário do GDR tem um identificador único para cada recuso computacional (estação de trabalho, sistemas entre outros), provido pelo Departamento de TI, sendo que para cada identificador é associado uma senha que permite o acesso ao recurso com seus devidos privilégios. Os privilégios são definidos pelo diretor e ou responsável de cada setor envolvido.
Regras de Uso de Mensagens Eletrônicas
O usuário é responsável direto pelo cumprimento das regras e pelos recursos acessados com seus usuários e senhas, estando passível de punição em casa de não cumprimento. Estas regras estão descritas abaixo:
I. O usuário deve, assim que receber as informações da conta com a senha inicial temporária, providenciar a sua alteração para uma senha que seja de seu conhecimento exclusivo;
II. O usuário não deve armazenar as senhas anotadas em papel ou em arquivos, seja no computador ou em dispositivos móveis, de forma desprotegida, ou seja, sem se utilizar de um meio de proteção, como, por exemplo, criptografia;
III. As senhas de acesso têm caráter pessoal, e é intransferível, cabendo ao seu titular total responsabilidade quanto ao seu sigilo;
IV. A prática de compartilhamento de contas e senhas de acesso é proibida e o titular que fornecer suas contas e senhas a outrem responderá pelas infrações por estes cometidas, estando passível das penalidades previstas;
V. O usuário está proibido de utilizar contas e senhas de acesso pertencentes a outros usuários;
VI. Caso o usuário desconfie que sua senha não é mais segura, ou de seu domínio exclusivo, deverá solicitar imediatamente a alteração desta;
VII. As senhas para usuários finais deverão conter no mínimo 8 (oito) caracteres, sendo recomendável o uso de letras e números. Sugere-se a utilização de letras maiúsculas, minúsculas e caracteres especiais (“$”, “%”, “&”,...);
VIII. Deverá ser evitada a composição de senhas com sequências numéricas (123...) e/ou alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de nascimento, nome de entes queridos...);
IX. A reinicialização das senhas das contas só poderá ser solicitada através de solicitação formal do seu detentor, à área responsável pela administração das contas;
X. Em casos de necessidade extrema de reinicializar uma senha em sistemas críticos será solicitado ao gestor do setor confirmação para a alteração;
XI. O usuário não deve incluir suas senhas em nenhum processo automático de autenticação, como por exemplo em uma macro ou funções-chave;
XII. O usuário não deve utilizar as mesmas senhas com finalidades pessoais e profissionais;
XIII. Não será permitido aos usuários finais possuírem contas com perfil de administrador local das estações, salvo solicitação expressa do diretor presidente, responsável ou responsável do setor.
Regras Administrativas de contas e senhas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pelo departamento de TI.
I. O usuário administrador assim que receber as informações da sua conta com sua respectiva senha inicial temporária deverá imediatamente providenciar a sua alteração para uma senha que seja de seu conhecimento exclusivo;
II. As senhas para os usuários com privilégios de administrador são pessoais e intransferíveis, devendo estas permanecer em absoluto sigilo, sendo o proprietário da senha responsável pela sua utilização;
III. É proibida a utilização de contas e senhas com privilégios de administrador pertencentes a outros usuários;
IV. Não será permitida a composição de senhas com sequências numéricas (123...) e/ou alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de nascimento, nome de entes queridos...);
V. As senhas para usuários com privilégios de administrador deverão obrigatoriamente conter no mínimo 8 (oito) caracteres, sendo obrigatório o uso de letras maiúsculas, minúsculas e caracteres numéricos e especiais (“$”, “%”, “&”,...). Para aqueles ambientes que não suportarem o mínimo de oito caracteres, deverão ser utilizados o limite máximo que o ambiente permitir;
VI. Os sistemas e aplicações deverão prover algum mecanismo ou instrução que garanta que só sejam aceitas senhas com a formação acima citada;
VII. Os sistemas e aplicações deverão prover algum mecanismo ou instrução para bloquear as contas dos usuários após 3 (três) tentativas de acesso (login) sem sucesso;
VIII. As contas com privilégios de administrador não poderão conter em sua formação nomes que possam identificá-las como sendo uma conta de administrador (Exemplo: “administrador”, “adm”, “admin”, etc);
IX. Deverão ser criadas, nos servidores, uma ou mais contas, sem nenhum privilégio, com a formação que possa identificá-la como sendo uma conta de administrador. Essas contas deverão ser constantemente submetidas à auditoria, com o propósito de se verificar as tentativas de utilização delas.
Processo para Criação ou Remoção de Contas de Usuários
A solicitação para a criação ou remoção de contas de usuários para acesso a rede ou sistemas deverão ser feitas pelos diretores, gerentes ou responsáveis do setor solicitante no GDR. Esta requisição deve ser realizada por intermédio de uma “solicitação de serviço” ao departamento de TI, contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar: “requisição de acesso ou remoção aos serviços de mensagens eletrônicas”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso.
Nos casos de remanejamento de usuários, o responsável pelo RH ou diretor ou gerente do setor em que o usuário está ingressando deve realizar uma solicitação de serviço ao departamento de TI contendo os mesmos itens acima, a fim de manter atualizado os dados cadastrais do usuário e, principalmente, a lista de privilégios do mesmo.
Nos casos de desligamento do usuário, o responsável pelo RH ou diretor ou gerente do setor deve solicitar o bloqueio das contas do usuário através de solicitação de serviço ao departamento de TI.
Cabe ao gestor de usuários do GDR a aprovação, reprovação, questionamento e análise das solicitações de serviço. No caso de aprovação o gestor de usuários do GDR deve liberar a solicitação de serviço para a execução.
São José do Rio Preto, 11 de outubro de 2022.
