1. DEFINIÇÃO

A Política de Segurança da Informação define a implantação de um conjunto de controles, procedimentos, processos, políticas estruturas organizacionais e funções de software e hardware, com o objetivo de monitorar, analisar, criticar, estabelecer controles que prezem a segurança da informação visando garantir a qualidade dos serviços prestados, além de definir metodologia para avaliar sistematicamente os riscos inerentes à atividade desenvolvida.

2. OBJETIVO

A Política de Segurança da Informação tem como objetivo informar aos usuários de recursos tecnológicos sobre a sua utilização adequada, além de descrever as normas de utilização e atividades que são entendidas como violação ao uso dos recursos e serviços, os quais pela política de segurança são considerados proibidos.

Os objetivos de controle têm como finalidade ser implementado para atender os requisitos identificados por meio de analise e avaliações de riscos. Serve também como um guia para desenvolver os procedimentos de segurança da organização e as eficientes praticas de gestão e assim criar confiança na atividade organizacional.

As normas descritas estarão sujeitas a atualizações, sendo que, quando necessário, serão comunicadas em tempo hábil para evitar transtornos aos usuários. Em caso de dúvida sobre algum item desta política, o colaborador deverá entrar em contato com o Setor de Tecnologia da Informação para melhor esclarecimento.

3. RESPONSABILIDADES

a) A Direção do Hospital Espanhol é responsável por disponibilizar os recursos necessários para garantir a efetividade da Política de Segurança da Informação. Os recursos e serviços são identificados, especificados e implantados pelo Setor de Tecnologia da Informação;

b) A Direção do Hospital Espanhol é representada por uma Superintendência Administrativa e Financeira onde o Setor de Tecnologia da Informação (TI) está subordinado e responsável por definir, avaliar e aprovar as definições das regras aqui descritas; convém que o documento da política de segurança declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação.

c) A Política de Segurança da Informação deve ser do conhecimento de todos, em especial, Coordenadores e Gerentes, que aderem a seus princípios e são responsáveis pela disseminação da cultural na Organização.

d) É de responsabilidade do setor de TI, manter atualizada com relação a novas tecnologias, além de estudar a viabilidade das mesmas e possíveis mudanças que possam trazer melhorias ao Hospital.

e) Fica a cargo da área de Administração de Pessoal como parte integrante do processo de admissão e integração de novos colaboradores, a entrega da Política de Segurança da Informação, bem como o recolhimento de assinatura do “Termo de Responsabilidade pela Informação” para ciência do novo colaborador.

f) Fica a cargo do setor de TI quando da admissão do colaborador, a criação da conta de usuário para acesso ao computador, e-mail corporativo, diretório de gupos e acessos Intranet de acordo com as informações enviadas por Intranet ou Sistema de Chamados pelo respectivo responsável da área.

g) Fica a cargo da TI o bloqueio dos recursos tecnológicos aos usuários afastados, desde que estes sejam informados imediatamente pelo Setor de Pessoal do Hospital Espanhol.

h) Fica a cargo do setor de TI comunicar/publicar as mudanças/atualizações da Política de Segurança da Informação que impactem nos usurários.

i) Fica a cargo da área de Administração de Pessoal a solicitação de treinamentos específicos dos sistemas a serem utilizados conforme área de atuação dos novos colaboradores;

j) Fica a cargo da área de Tecnologia da Informação garantir o treinamento e conscientização dos colaboradores para as políticas de segurança.

k) Fica a cargo das coordenações da instituição, solicitar a criação/alteração do usuário da rede, conta de e-mail, Intranet, Internet além dos acessos necessários aos sistemas utilizados.

l) Fica a cargo também das coordenações a solicitação de atualização dos acessos aos grupos e pastas.

m) Fica a cargo da Administração de Pessoal avisar ao setor de TI o desligamento de colaborador para que possa ser feito o cancelamento dos acessos do mesmo. No caso de transferências entre setores, o setor de TI deve ser comunicado para configurar o novo perfil do colaborador;

n) Todos os colaboradores são responsáveis por comunicar ao setor de TI qualquer situação que possa representar ameaça ao ambiente de segurança da Organização;

o) Quando do encerramento da contratação, a Coordenação da área deverá garantir que o parceiro, fornecedor ou terceiro devolvam os ativos que estejam em sua posse, além de garantir que as informações não sejam transferidas.

4. UTILIZAÇÃO DOS RECURSOS DE INFORMAÇÃO

Para garantir o uso adequado dos recursos tecnológicos para execução das atividades diárias de acordo com a necessidade de cada área, foram definidos pontos cruciais que devem ser entendidos, obedecidos e difundidos por todos:

a) É de responsabilidade de todos os colaboradores cuidarem da integridade e da boa utilização dos recursos de tecnologia da informação preservando a conservação dos mesmos;

b) Os recursos de tecnologia da informação devem ser utilizados para as atividades de interesse da Organização, ficando proibido a aplicação para interesses pessoais;

c) Não é permitido o uso de recursos de tecnologia da informação de propriedade particular nas instalações da Organização. Caso seja necessária a utilização de alguma ferramenta, o usuário deverá solicitar a Coordenação da área, para que a mesma solicite a avaliação da TI;

d) Não é permitido o uso de recursos tecnologicos para prestação de serviços a terceiros que não sejam em nome da Organização;

e) Qualquer necessidade adicional identificada deverá ser passada pelos Coordenadores para o Setor de Tecnologia da Informação. Esta fará uma análise da necessidade e das possíveis formas de atendimento. Em caso de aceitação, o setor de TI disponibilizará o recurso, conforme especificação;

f) A instalação de softwares na Organização deverá passar pela aprovação do Setor de Tecnologia da Informação o qual providenciará a devida aprovação e licenciamento.

g) O Setor de Tecnologia da Informação será a única área a possuir drives de mídias removíveis, como CD-Room, disquete e pen-drive, com o intuído de proteger a saída e/ou entrada não autorizada de informações por qualquer usuário. Caso o usuário necessite gravar algum arquivo deverá ser solicitado ao setor de TI.

h) No caso de uso de computador móvel, o acesso à rede deverá ser autorizado pela Coordenação de TI que procederá com um documento jurídico informando ao usuário da responsabilidade com relação a licenciamento e proteção de antivírus.

i) O setor de TI será responsável por manter sincronizados todos os relógios dos computadores do hospital ajustados através do software NTP, ferramenta que mantém os horários dos computadores ajustada com base no horário local.

5. SEGURANÇA DA REDE

a) Para garantir a segurança das informações que trafegam na rede são utilizados softwares para monitoramento e controle de acesso as informações.

b) Não é permitida a tentativa de acesso não autorizado, tais como fraudar autenticação de usuários, segurança de qualquer servidor ou serviço oferecido. Inclui-se neste tópico o acesso a rede sem fio, disponibilizada pelo hospital a pacientes e acompanhantes.

c) Não é permitida a tentativa de interferir nos serviços de qualquer outro usuário, servidor ou rede. Isso inclui ataques para provocar congestionamento em rede, tentativas deliberadas de sobrecarregar um servidor e tentativas de invadir um servidor interno ou externo;

d) Não é permitida a instalação e/ou utilização de qualquer tipo de programa não autorizado, jogos locais e/ou via rede ou comando com a intenção de prejudicar a conexão de outros usuários;

e) Qualquer acesso a recursos de tecnologia da informação (servidores, estações de trabalho, aplicativos e outros) deve ser sempre realizado pelas contas de usuários com as respectivas senhas, permitindo assim o rastreamento das atividades executadas. O controle do acesso através de usuário e senha é gerenciado por um software (Active Directory).

f) Só será permitida a criação ou alteração de novas contas de usuários de rede após solicitação via Comunicação Interna ou Sistema de Chamados, pela coordenação do setor;

g) O usuário deve manter a confidencialidade da senha, não compartilhar com ninguém, assim como evitar senhas curtas, como, por exemplo, data de nascimento, numero de telefone, nomes de pessoas. Para formar uma senha segura o usuário deve utilizar números e letras, variando entre maiúsculas e minúsculas e modificá-la sempre que existir qualquer indicação de possível comprometimento;

h) A Auditoria das atividades dos usuários será realizada através de relatórios de rastreamento, o qual registrará data, horários, acessos, uso das aplicações e endereço de rede.

i) A rede do Hospital Espanhol é filtrada por um firewall. Funciona como uma barreira que evita a entrada e saída de tráfego de rede externa e/ou interna não autorizada. Na ausência do firewall a rede fica vulnerável a roubo de informações confidenciais, invasão de hackers, crackers e proliferação de vírus. Portanto, só são liberadas, as conexões necessárias para o funcionamento do hospital.

j) Para prevenir a propagação de vírus, todos os computadores do Hospital Espanhol executam o antivírus Trendmicro. O sistema de antivírus funciona na plataforma cliente/servidor, na qual o servidor consulta a base de atualização no site do fornecedor, em intervalos de uma hora, e caso haja atualização, as mesmas são replicadas para todas as estações de trabalho. Além do serviço contra vírus é possível também extrair relatórios de infecção e monitorar via página web todos os computadores que estão ou não com o software funcionando.

k) Apesar de todos os computadores executarem o antivírus Trendmicro, com objetivo de reforçar a segurança, o servidor de e-mail Postfix (software responsável pelo envio e recebimento de e-mail), também executa um antivírus, chamado Clamav, que checa a presença de vírus em todos os e-mails a serem enviados e recebidos.

6. SISTEMA DE CORREIO ELETRÔNICO

O sistema de Mensagens Eletrônicas é uma ferramenta de comunicação que deve ser utilizada de acordo com as regras definidas:

a) É proibido o envio de e-mail a qualquer pessoa que não o deseje receber. Se o destinatário solicitar a interrupção, o usuário deve acatar tal solicitação e não lhe enviar mais tais mensagens indesejadas;

b) É proibido o envio de grande quantidade de mensagens de e-mail (”junk mail” ou ”spam”) que, de acordo com a capacidade técnica da Rede, seja prejudicial ou gere reclamações de outros usuários. Isso inclui qualquer tipo de mala direta, como, por exemplo, publicidade, comercial ou não, anúncios e informativos, ou propaganda política;

c) É proibido reenviar ou de qualquer forma propagar mensagens em cadeia ou ”pirâmides”, independentemente da vontade do destinatário de receber tais mensagens. Essas cadeias são mensagens de correntes, solicitação de encaminhamento para os seus contatos, avisos de novos vírus, fotos de desaparecidos e afins;

d) É proibido o envio de e-mail mal-intencionado, tais como ”mail bombing” (Terrorismo eletrônico que envolvem contínuos ataques à caixa de correio de alguém), ou sobrecarregar um usuário, site ou servidor, com e-mail muito extenso ou numerosos.

e) É proibido forjar quaisquer informações do cabeçalho do remetente;

f) É obrigatória a manutenção da caixa de e-mail, evitando acúmulo de e-mails e arquivos inúteis. Deve-se deixar a caixa de entrada apenas com mensagens úteis;

g) A cota máxima de e-mails armazenados não deve ultrapassar os 400 MegaBytes. Salvo casos especiais que acordados com a TI possuem cotas diferenciadas conforme a atividade desenvolvida pelo setor.

h) A cota máxima de arquivos anexados não deve ultrapassar os 15 MegaBytes;

i) É obrigatória a utilização da página http://webmail ou http://webmail.hospitalespanhol.com.br, e em casos necessários, a utilização dos clientes de e-mail Outlook Express e Microsoft Outlook, não havendo suporte para outros softwares clientes de e-mail;

j) O servidor não receberá anexos que possam conter vírus, encontradas nas extensões suspeitas como: exe, .bat, .pif, .scr, .bin, entre outros. Mesmo adotando este procedimento, sempre deverá ser verificado o anexo de cada usuário que chegue a sua caixa postal;

k) Os vírus mais devastadores costumam utilizar assuntos que estão em destaque no momento. Por isso, a orientação ao usuário é de desconfiar de todos os e-mails com assuntos estranhos e não reconhecidos.

l) Evitar o envio de e-mails para mais de 15 pessoas de uma única vez. Fazendo isso, o servidor destinatário pode considerar nosso domínio como SPAM (Mensagens Indesejadas).

m) A equipe de TI poderá inspecionar o nome dos arquivos anexos que possam degradar a disponibilidade da banda, e se for o caso, impedir o seu envio. Esta inspeção só poderá ser realizada por uma pessoa autorizada, pertencente ao setor de TI;

n) Caso o setor de TI considere necessário, haverá os seguintes bloqueios nos e-mails que:

• Contenham arquivos anexos que comprometam o uso de banda ou perturbe o bom andamento dos trabalhos;

• Enviados para destinatários ou domínios que comprometam o uso de banda ou perturbe o bom andamento dos trabalhos;

7. UTILIZAÇÃO DE ACESSO A INTERNET

Para permitir um uso adequado da internet foram definidas algumas regras de acesso a fim de não impactar na produtividade das atividades desenvolvidas:

a) É proibido aos usuários a divulgação de informações confidenciais da Instituição em grupos de discussão, listas ou bate-papo, não importando se a divulgação foi deliberada ou inadvertida, estando este sujeito às penalidades previstas nas políticas e procedimentos internos e/ou na forma da lei;

b) Os funcionários com acesso à Internet não poderão fazer download de qualquer tipo de software. A instalação de softwares mesmo sendo freeware (gratuito) é proibida. Caso haja alguma necessidade extrema para a instalação de algum software, este deverá ser apresentado ao setor de TI para uma avaliação técnica. Caso o usuário instale sem o consentimento do setor técnico, o fato será levado ao superior imediato e removido da máquina;

c) Funcionários com acesso à Internet não podem efetuar upload de qualquer software licenciado ao Hospital Espanhol ou de dados de propriedade do Hospital Espanhol, sem expressa autorização da direção;

d) Casos específicos que exijam outros protocolos deverão ser solicitados diretamente a equipe de TI com prévia autorização da coordenação do setor;

e) Serão emitidos relatórios diários e/ou semanais dos acessos de usuários aos sites. Caso seja identificada alguma irregularidade, o relatório será enviado para a gerência imediata;

f) Não serão permitidos softwares de comunicação instantânea, tais como ICQ, Microsoft Messenger, Yahoo Messenger, Google Talk, Skype, MSN, entre outros.

g) Não será permitida a utilização de softwares de compartilhamento de arquivos, peer-to-peer (P2P-Protocolo de compartilhamento de arquivos entre usuários da internet), tais como Kazaa, Morpheus, Emule e afins.

h) Não será permitida a utilização de serviços de streaming (protocolo de transmissão de vídeo e sons), tais como Rádios On-Line, Videoconferência e afins.

i) Só será permitida a liberação da Internet após solicitação via Comunicação Interna ou Sistema de Chamados, do responsável do Setor informando o seu nível de acesso conforme definição:

Nível 0 – Sites de saúde, convênio, governo e bancos;
Nível 1 – Sites liberados após análise, conforme solicitado;
Nível 2 – Acesso à todos os endereços passando por uma lista de sites proibidos;
Nível 3 – Assim como o anterior sendo que liberado o acesso à e-mail pessoal;
LabHe – Sites referentes ao laboratório;

j) É expressamente proibido o acesso, exibição, edição, cópia, armazenamento e distribuição de material de conteúdo pornográfico e/ou que expressem ou promovam algum tipo de discriminação.
k) Caso o setor de TI considere necessário, haverá os seguintes bloqueios de acesso:

• De arquivos que comprometam o uso de banda, segurança da rede ou que perturbe o bom andamento dos trabalhos;

• Aos domínios que comprometam o uso de banda ou perturbem o bom andamento dos trabalhos;
• Aos sites de “bypass”, que tem como objetivo burlar a política de segurança estabelecida;

8. UTILIZAÇÃO DO SERVIDOR DE ARQUIVOS

a) O servidor de arquivos do Hospital Espanhol disponibiliza todos os arquivos  em única unidade, DOCUMENTOS (F:). Nesta unidade estão disponíveis:
 

• DIGITALIZAÇÃO: disponibiliza os arquivos digitalizados em scanner´s setoriais;
   
• SETORES: deverá conter arquivos pertinentes ao setor. Estes arquivos são visíveis e editáveis por todos aqueles que, especificamente, fazem parte do grupo;
   
• PÚBLICO: não deverá ser utilizada para armazenamento de arquivos que contenham assuntos sigilosos ou de natureza sensível. Esta pasta também não deve ser utilizada como local de armazenamento permanente, pois todos os usuários têm acesso  e não está incluído na rotina do backup;
   
• PROCEDIMENTO: contém arquivos de manuais, procedimentos e formulários, de acesso público, com permissão apenas para visualização e impressão. Para incluir um arquivo deverá ser solicitado ao setor de TI;
   
• USUÁRIOS: é um diretório pessoal, de acesso restrito e estará visível apenas ao usuário autenticado no computador;
   
• ESCALAS: escalas que devem ser digitadas e salvas nas planilhas, seguindo o modelo padrão, para que o Setor Pessoal incluam no sistema;
   
• VÍDEOS E APRESENTAÇÕES: videos para apresentações deverão ser disponbilizadas neste espaço. Os pedidos de inclusão devem ser solicitados ao setor de TI.

Em alguns casos pode haver mais de uma permissão referente às pastas de setores em qual o usuário faz parte, dependerá da área de atuação do mesmo.

b) Para permitir o uso adequado do servidor de arquivos foram definidas as seguintes regras de utilização a fim de não impactar na produtividade das atividades desenvolvidas:

• Só será permitido o acesso a qualquer pasta ou arquivo no servidor mediante abertura de chamados, pelo do responsável do setor.

• O usuário deverá fazer uma manutenção periódica no diretório pessoal USUARIOS  e no diretório SETORES, evitando acúmulo de dados desnecessários, ocupando espaço em disco no servidor de arquivos;

• Haverá limpeza semanal dos arquivos armazenados na pasta PÚBLICO para que não haja acúmulo desnecessário de arquivos, degradando o espaço físico do servidor;

• É proibida a exposição de material de natureza pornográfica e racista, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede;

• Não é permitido criar e/ou remover arquivos fora da área alocada ao usuário e/ou que venham a comprometer o desempenho e funcionamento dos sistemas.

• Após utilizar o computador, o usuário deverá efetuar o logoff ou desligar o computador para evitar que os arquivos do setor ou arquivos pessoais sejam manipulados;

• Não é permitida a gravação de arquivos de áudio, vídeo e jogos. No caso de programas, scripts, backups, fotos pessoais ou de terceiros ou figuras que não sejam de caráter profissional, não serão permitidas a gravação, mesmo que o(s) arquivo(s) esteja(m) compactado(s);

• É obrigatório armazenar os arquivos inerentes ao Hospital Espanhol na unidade S: ou U: do servidor de arquivos para garantir o backup dos mesmos. Arquivos salvos na unidade de disco local e no PUBLICO são têm garantia de recuperação;

9. BACKUP

Backup destina-se a copia de segurança dos dados e tem por finalidade garantir a recuperação de informações gravadas em forma digital, caso esta tenha sido perdida por qualquer motivo.

O sistema de backup é constituído de dois servidores que trabalham integrados para promover a gravação dos arquivos em disco e em fita DAT. Um servidor executa o software bacula-server (software de gravação e recuperação de backup) de gerenciamento dos arquivos que serão ou já foram gravados e os que eventualmente serão recuperados, o outro é um robô responsável por manipular a troca de fitas. Ele efetua a troca mecânica das fitas de acordo com o que foi programado no servidor do bacula-server. Este robô tem a capacidade de manipular oito fitas simultaneamente.

A rotina de backup dos arquivos é dividida em dois tipos, são elas:

BACKUP COMPLETO (full) - Backup de todos os arquivos contidos na rede. Esta rotina é executada todos os domingos as 00h00min.

BACKUP INCREMENTAL - Backup somente dos arquivos modificados desde a ultima realização do BACKUP COMPLETO, realizado diariamente as 00h00min, exceto aos domingos.

O BACKUP COMPLETO é gravado em disco(HD) e em fita DAT (redundância) que ao final da realização do backup são retiradas do robô e colocadas em um cofre blindado resistente a incêndio.

A estrutura de backup do Hospital Espanhol permite guardar arquivos durante 12 dias após a sua exclusão ou modificação indevida.
OBS. Imagem com esquema do backup e Contingência de servidores em ANEXOS.

10. PUNIÇÕES

Caso haja o não cumprimento das definições da Política de Segurança da Informação por parte dos usuários a TI sinalizará a Coordenação ou Gerência sobre o ocorrido para que sejam tomadas as medidas cabíveis. A Direção do Hospital Espanhol deve assegurar que as ações sejam tomadas de maneira apropriada.

Os colaboradores que desrespeitarem a Política de Segurança da Informação poderão sofrer ações da Organização com base na CLT e na legislação em vigor, assumindo toda e qualquer responsabilidade tanto na esfera civil como criminal sobre esta ocorrência.

11. SEGURANÇA FÍSICA E DE AMBIENTE

O acesso às áreas TI em que são processadas ou armazenadas informações é controlado e restrito somente a pessoas autorizadas.

Aos Parceiros que realizam serviços de suporte só será permitido o acesso às áreas restritas se estiverem devidamente identificados e monitorados por um colaborador da TI.

12. MESA LIMPA

Os colaboradores e fornecedores não poderão deixar documentos com informações críticas em mesas de trabalho, impressoras ou em qualquer outro lugar que permita o acesso indevido de outros usuários.

13. SEGURANÇA DE EQUIPAMENTOS

O Hospital considera e orienta algumas práticas e ações condicionantes a segurança dos equipamentos:

• Os colaboradores devem cuidar da integridade e da boa utilização dos recursos de tecnologia da informação.
• O Setor de Tecnologia da Informação toma os devidos cuidados com a instalação/remoção dos equipamentos.
• O Hospital Espanhol possui gerador STEMAC para os servidores e rede, protegendo o atendimento ao paciente de possíveis interrupções/falta de energia;
• O setor de TI monitora as condições ambientais (temperatura e umidade) das salas de servidores para garantir o atendimento das necessidades dos recursos de processamento das informações;
• O cabeamento lógico e elétrico do Hospital está protegido contra interceptações e danos de acordo com as normas NBR 5410-2004 e ANSI_TIA_EIA-5679-A
• O setor de TI realiza manutenção preventiva dos equipamentos para garantir a disponibilidade de tecnologia para o usuário.

Setor de Tecnologia da Informação
Atualizado em 16/09/2011