Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.

2. “ Conte-me, e eu vou esquecer. Mostre-me, e eu vou lembrar. Envolva-me, e eu vou entender.” Confúcio

3. Introdução Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é uma realidade afirmar que existem mais usuários conectados a rede mundial de computadores, e por esse motivo é maior a exposição das organizações.

4. Política de Segurança O que é Política de Segurança da Informação?

5. Política de Segurança A Política de Segurança nada mais é do que um framework para as normas e procedimentos de segurança adotados por uma organização. Tornando-se uma base para toda e qualquer norma, procedimento de segurança da informação ...

7. Objetivo Este documento tem como objetivo específico definir uma Política de Segurança para o Ensino Superior Bureau Jurídico, especialmente quanto à proteção dos seus ativos relacionados ao acesso físico e lógico da empresa. Garantindo: Confidencialidade; Integridade; e Disponibilidade

8. Organização da Política A estrutura normativa da Segurança da Informação do Ensino Superior Bureau Jurídico é composta por um conjunto de documentos com três níveis hierárquicos distintos...

11. Informação

14. Classificação da Informação A informação é um ativo que como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. As informações tramitadas pela ESBJ, seguem um critério no qual consiste na preservação da confidencialidade, integridade e disponibilidade da informação ...

18. Gestão de Operação Garantir uma operação segura, correta e coesa dos sistemas computacionais da ESBJ.

19. Gestão de Operação Uso da Rede Local: Estabelecer critérios para a disponibilidade das informações, protegendo contra o seu uso indevido ou não autorizado, e que toda a movimentação de informações (seja escrita, leitura, cópia ou deleção) esteja devidamente identificada. Os serviços e recursos computacionais da ESBJ são destinados apenas para atividades acadêmicas e administrativas de interesse da ESBJ, salvo autorizações especiais concedidas formalmente por sua Diretoria e limitados usos privativos.

22. Gestão de Operação – Internet Estabelecer regras para as transações com o meio publico de comunicação (internet). Não permitir o acesso (ou decesso) da informação sem o devido controle e analise quanto a sua segurança e confiabilidade. Registrar toda e qualquer transação com a internet e ser capaz de recuperá-la a qualquer momento.

23. Gestão de Operação – Internet Amostra de Diretriz: Causar tráfego impróprio na rede que congestione por longo tempo ou se ocupar de atividades inativas, não relacionadas a empresa, acarreta em punição. A única pessoa permitida a usar uma conta é o usuário a quem aquela conta e senha foram emitidas pelo NTI;

24. Controle de Acesso Existem áreas que merecem maior atenção quanto ao controle da entrada de pessoas, estas áreas são departamentos que contém informações ou equipamentos que devem ser protegidos, como por exemplo: sala de servidores, departamentos como financeiro, setor de documentação, departamento de recursos humanos

25. Controle de Acesso – Mesa limpa, tela limpa A política de mesa limpa deve ser considerada para os departamentos e utilizada pelos funcionários da ESBJ, de modo que papéis não fiquem expostas à acessos não autorizado. Diretriz: A política de tela limpa deve considerar que se o usuário não estiver utilizando a informação ela não deve ficar exposta, reduzindo o risco de acesso não autorizado, perda e danos à informação.

26. Controle de Acesso – Acesso Lógico Usuários e aplicações que necessitem ter acesso a recursos da ESBJ são identificados e autenticados;

27. Controle de Acesso – E-mail O correio eletrônico fornecido pela EMPRESA é um instrumento de comunicação interna e externa para a realização do negócio da EMPRESA.

28. Gestão de Incidentes Tem como principal objetivo restaurar a operação normal do serviço o mais rápido possível, minimizando os prejuízos à operação do negócio. Informando fragilidades e eventos de segurança permitindo a tomada de ação corretiva em tempo hábil para, garantir o melhor nível de serviço e disponibilidade.

29. Gestão de Continuidade Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. A gestão de continuidade convém que seja implementada para minimizar o impacto de algum risco vim a ocorrer para a organização e recuperação de perda de ativos de informação.

30. Conformidade Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. A gestão de continuidade convém que seja implementada para minimizar o impacto de algum risco vim a ocorrer para a organização e recuperação de perda de ativos de informação.

34. Muito Obrigado pela atenção