Apesar de parecer seguro, esse método de autenticação se torna inviável quando deparados por pessoas que não conseguem memorizar a senha. É muito comum ver uma pessoa idosa ou ate mesmo de meia idade olhando um papel para digitar a senha do cartão do banco.

Antigamente não existiam muitas tecnologias que asseguravão de forma precisa a autenticação que não fosse por login e senha. Mas hoje, existem diversas formas de autenticação que não necessitam de senha digitada, por exemplo: autenticação por identificação biométrica, por identificação facial, por identificação por voz e até mesmo pela íris dos olhos.

Mas porque esses métodos não foram implementados? Por que temos que ficar em filas para pegar o dinheiro? Porque temos que frequentemente cadastrar senhas e mais senhas????

Tudo se resume a uma só palavra, custo!!! Essas metodologias de autenticação são muito caras, e implementa-las seria muito custoso para todas as empresas e principalmente aos bancos. Imagine adaptar todos os mais de 30 mil terminais de atendimento espalhados por todo país. Adaptar, é dificíl leva tempo e dinheiro, e nenhum banco está interessado em gastar todo esse dinheiro, simplismente para dar “conforto aos clientes”.

A unica maneira que eles o façam é se for obrigatório por uma medida de lei, mas todos sabemos que a influência que os banqueiros tem sobre o congresso é muito grande e uma lei dessas nao sairia do papel.

Então, como sabemos que isso continuará do jeito que está, temos que seguir algumas dicas para não nos complicarmos. Eis algumas….

1)Jamais forneça sua senha a alguem que não seja de confiança e caso você tenha anotado, deve muda-la após a pessoa utilizar.

2)Coloque alguns numeros na frente e atras da senha, caso alguem achar o seu papel, será mais dificil descobrir a senha.

3)Caso tenha problemas em ir ao caixa, solicite ajuda de alguem de casa, normalmente um neto ou o filho, para que não seja necessário pedir auxilio a algum estranho.

4)Faça o possivel para efetuar pagamentos e compras por caixa ou on-line, também utilize a função pagamento em débito no cartão. Isso deixa seu dinheiro mais seguro, evitando roubos de quantias enormes.

5)Nunca deixe o cartao junto com o papel da senha, se possivel coloque no bolso da calça ou em outro lugar que nao seja junto.

6)Tenha sempre na mão o numero do 0800 do banco ou operadora para cancelar o cartão que foi roubado ou perdido.

7)Vote em alguem que faça uma lei que nos ajude!!!

Brincadeiras a parte, devemos lembrar que somente se votarmos consciente é que teremos pessoas conscientes la nos representando.

Obrigado e até a próxima

Recentemente estava passeando pelo Shopping aqui da cidade e entrei numa grande loja de eletromésticos com o intuito de descobrir possíveis falhas de segurança. No andar de baixo, constatei que existem vários terminais para visualização de preços e geração de vendas por parte dos vendedores. Contudo, todos estavam em tela de login e senha e existem muitos vendedores que com toda a certeza perceberiam a ação de uma pessoa não autorizada a um terminal. Com isso percebi que seria difícil alguem conseguir alguma infomação e ou sair com alguma mercadoria, visto que nas saídas possuem sensores de código de barras instalados.

Mas para minha surpresa, no pavimento superior, não encontrei nenhum vendedor, nem mesmo um segurança ou qualquer pessoa que estivesse ali para garantir a segurança do estabelecimento. Com isso pude constar as seguintes falhas de seguranças:

1-Não existiam pessoas ligadas a empresa no setor;
2-Encontrei um armário embaixo da mesa com a chave;
3-Notei que existiam 2 terminais ligados;
4-Um dos terminais estava com o gabinete exposto e
5-O quadro de energia estava a vista e sem cadeado.

Vamos análisar cada falha:

1)Não existiam pessoas ligadas a empresas no setor:

Esta falha pode ser considerada como alta, visto que a falta de alguem ligado a empresa em um setor, propicia a investigação por parte de um atacante e possivelmente a instalação de equipamentos de escuta, de video ou qualquer outro dispositivo que possa ser utilizado para um futuro roubo de equipamentos ou até mesmo de informação. Tendo em consideração que o atacante pode simplismente instalar uma camera para observar as senhas que são digitadas no terminal, para posteriormente podê-las usa-las.

2)Encontrei um armário embaixo da mesa com a chave;

Esta falha também pode ser considerada como alta, pois, normalmente se colocam informações em gavetas de escritório. Estas informações podem ser: senhas, valores de preços, comprovantes de clientes, numero de fornecedores, dados bancários, etc. Um atacante pode extrair tais informações e usa-las a favor de uma tentativa de estelionato, podendo se passar por alguem, simplismente por ter os dados da pessoa.

3)Notei que existiam 2 terminais ligados;

Esta falha pode ser considerada como leve, mas nem por isso deve ser desconsiderada. Caso alguem consiga a senha de um vendedor ou até mesmo de um gerente, pode perfeitamente entrar no sistema e fazer várias compras, com isso o sistema ficaria parcialmente inoperante, pois, com um excesso de vendas o estoque estaria zerado e ninguem conseguira fazer uma venda naquele instante. Isso geraria um descontentamento por parte dos clientes e uma dor de cabeça para o administrador do sistema.

4)Um dos terminais estava com o gabinete exposto;

Esta falha pode ser considerada como grave, pois, tendo acesso físico a uma maquina, um atacante pode facilmente instalar um pen-drive com um vírus do tipo TROJAN, fazendo com que ele envie informações por meio da internet ou extraia informações para o pen-drive. Tambem, hoje existem modens de internet móvel que vem com entrada USB, com um desses em mãos, o atacante pode criar um ponto de internet para acessar a maquina remotamente, fazendo assim uma invasão ao sistema. Com isso, cada pessoa que digitar ali estará enviando para uma outra máquina as informações digitadas.

5)  O quadro de energia estava a vista e sem cadeado;

Esta falha pode ser considerada como grave, pois, com apenas 2 pessoas pode-se levar um equipamento da loja sem que ninguem veja, visto que sem energia, os sensores de código de barra não funcionarão e com toda certeza não será possivel ver alguem saindo da empresa com um equipamento. Também sem energia os clientes sairiam da empresa assustados e isso geraria uma perda de prestígio por parte da loja.

Falamos de cada falha e suas deficiencias. Agora vamos ver como corrigi-las.

1-Não existiam pessoas ligadas a empresa no setor;

Esta falha é possivel de ser corrida de maneira muito simples. Cada possivel cliente deve ter um vendedor com ele, caso tenha muitos clientes, os vendedores terão que estar posicionados em setores, não sendo permitidos nenhum setor ficar sem alguem. Também pode ser resolvido com a contratação de seguranças em pontos estratégicos.
As duas medidas podem ser feitas ao mesmo tempo, isso vai depender do nível de gravidade que cada setor pode ter.
2-Encontrei um armário embaixo da mesa com a chave;

Esta com toda certeza deve ser evitada apenas com a concientização das pessoas que possuem mesas em lugares que circulam clientes, que jamais deixem gavetas, mesas, armários ou qualquer outro meio de se guardar documentos, abertos ou com chave exposta. Cada um deve ter conciência dos maleficios do não cumprimento da medida e as penalidades.

3-Notei que existiam 2 terminais ligados;

Os terminais devem estar ligados para que as vendas possam ser feitas, mas com toda certeza deve-se ter um vendedor por perto para que o mesmo nao seja utilizado por outra pessoa.
4-Um dos terminais estava com o gabinete exposto

Com toda a certeza os terminais devem ser fechados dentro de caixas de aço com cadeado, mas uma norma deve ser estabelecida a equipe de suporte e concientizado o cumprimento dela.
5-O quadro de energia estava a vista e sem cadeado.

O quadro deve com certeza esta em lugar de dificil visualização e com cadeado. Caso o mesmo ja tenha sido feito em lugar de livre visualização, um cadeado deve ser colocado e a chave a um responsável. Isso tudo através de uma norma.

Bem, averiguamos as falhas e através de uma análise branda, averiguamos a necessidade de criação de normas para que sejam solucionadas e evitadas. Com isso, podemos concluir que uma criação de política de segurança nessa empresa seria viável e pode ser iniciada através de normas pré-estabelecidas pela diretoria.

OLHA O CARA DA TI EXPLICANDO PRO FILHO COMO ELE NASCEU:

-Pai, como é que eu nasci? – pergunta o Joaozinho…
- Muito bem, tínhamos de ter esta conversa um dia… O que aconteceu foi o seguinte: Eu e sua mãe nos conhecemos num Chat desses da Net, que existem para se trocar idéias. O papai marcou uma interface com a mamãe num Cybercafé e acabamos plugados no banheiro dele. A seguir, a mamãe fez uns Downloads no Memory Stick do papai e quando estava tudo pronto para a transferência de arquivos, descobrimos que não havia qualquer tipo de Firewall conosco. Como era tarde demais para dar o ESC, papai acabou fazendo o Upload de qualquer jeito com a mamãe, e nove meses depois o Vírus apareceu e se instalou em casa…

ESSA É PRA QUEM GOSTA DE GAMES!!!

Um cara está jogando boliche, ele lança uma bola perfeita, que vai derrubar todos os pinos. De repente cai uma coisa na pista, e manda a bola pra canaleta, evitando os 10 pontos. O cara vai olhar e é um jogo, qual é o nome do jogo?
- Counter Strike!!!!!

ERRO NO ENVIO DO EMAIL.

Um casal decide passar férias numa praia do Caribe, no mesmo hotel onde passou a lua de mel 20 anos antes.
Por causa do trabalho, a mulher não pode viajar com o marido. Deixa para ir alguns dias depois.
Quando o homem chega ao seu quarto do hotel, vê que há um computador com acesso à internet. Decide então enviar um e-mail à mulher, mas erra uma letra sem perceber e o envia a outro endereço.
O e-mail é recebido por uma viúva que acabara de chegar do enterro do marido. Ao conferir seus e-mails, ela desmaia instantaneamente.
O filho, ao entrar em casa, encontra a mãe caída perto do computador. Na tela está escrito:
Querida esposa,
Cheguei bem
Provavelmente você se surpreenda ao receber noticias minhas por e-mail. Mas agora tem computador aqui e pode-se enviar mensagens às pessoas queridas. Acabo de chegar e já me certifiquei de que esta tudo preparado para você vir na sexta-feira que vem. E espero que a sua viajem seja tão tranqüila como está sendo a minha.
SÓ UM DETALHE: Não traga muita roupa, Aqui faz um calor infernal.

O termo RAID ( “Redundant Array of Inexpensive Disks”) foi cunhado na Universidade da Califórnia em Berkeley em oposição a SLED (“Single Large Expensive Disk”). É um sistema de discos rígidos rápido e confiável, por meio de discos individuais.  O RAID trabalha com dois conceitos. O primeiro conceito é a divisão dos dados (data striping), que tem por objetivo aumentar o desempenho da máquina. Com a utilização do sistema de divisão de dados do RAID, os dados a serem armazenados são divididos em vários fragmentos e cada fragmento é armazenado em um disco rígido diferente e ao mesmo tempo. O segundo conceito é o espelhamento, que tem como objetivo aumentar a confiabilidade dos dados armazenados. Por meio do espelhamento, os dados armazenados em um disco rígido são imediatamente copiados para outro disco rígido. Caso o primeiro disco rígido falhe, o segundo entra imediatamente em ação substituindo o disco rígido defeituoso automaticamente.

• Desempenho: discos são acessados em paralelo, operações de leitura e escrita podem ser feitas simultaneamente em vários discos físicos.
• Armazenamento: diversos discos físicos podem ser combinados para uso conjunto de sua capacidade de armazenamento.
• Confiabilidade: os dados são armazenados com redundância (espelhamento ou paridade), permitindo que discos com defeito sejam substituídos sem perda de informação.

2.0 RAID por hardware e software

Sistemas RAID podem ser implementados em hardware ou software.

• RAID por hardware: realizado pela controladora de discos, é transparente para o sistema operacional. É visível como um único disco e não consome recursos do sistema para a obtenção de redundância ou reconstrução.
• RAID por software: é feito pelo kernel, não exigindo hardware especial, mas utilizando recursos do sistema para cálculo de paridades e reconstrução do array em caso de inconsistência.

As informações gerais e conceitos sobre RAID contidas neste artigo valem para implementações de hardware e software. Contudo, as informações de configuração são restritas á implementação de RAID por software existente no kernel do Linux.

3.0 Níveis de RAID

Cinco níveis de RAID foram originalmente propostos para organizar discos em diferentes graus de capacidade, redundância e desempenho: RAID1, RAID2, RAID3, RAID4 e RAID5. Adicionalmente, uma configuração não-redundante é conhecida por RAID0. RAID2 não é tecnicamente viável e sua funcionalidade pode ser obtida com outros níveis de RAID.

• RAID0 (Data striping): o conjunto de discos é visto como um grande disco, sem redundância. Os dados são distribuídos em “chunks” por todos os discos. Quando um disco falha, todos os dados são perdidos.
• RAID1 (Espelhamento): dados armazenados são duplicados em dois (ou mais) discos. Quando um disco falha, a totalidade dos dados está disponível em outro disco.
• RAID3 (Striping de dados por bit com paridade em disco dedicado): os dados são distribuídos em bits pelos discos (por exemplo, em um array com 5 discos, dois bits de cada byte são armazenados em cada um dos quatro primeiros discos e dois bits de paridade são armazenados no quinto disco). Usualmente RAID4 é utilizado em vez de RAID3. O Linux não oferece RAID3 por software.
• RAID4 (Striping de dados de paridade em um disco dedicado): como RAID0, tem informação de paridade armazenada em um disco separado. Quando um disco falha, os dados podem ser recuperados usando a informação de paridade. Apenas um disco pode falhar, ou os dados serão perdidos . Tem penalização de desempenho para acesso a muitos blocos pequenos de dados.
• RAID5 (Striping de dados com paridade distribuída): como RAID4, mas com a informação de paridade distribuída entre os discos do RAID. Apresenta melhor desempenho ao lidar com muitos blocos pequenos de dados.

A combinação entre RAID0 e RAID1 é conhecida por RAID0+1 ou RAID10, oferece string com redundância total dos dados armazenados.

O Linux fornece ainda uma configuração de RAID chamada RAID linear, semelhante ao RAID0 mas sem striping de dados.

4.0 Utilitários do RAID

Para utilizar RAID por software no Linux, instale o pacote “raidtools”(lembrando que o nome do pacote pode variar entre uma distrubuição e outra). Uma maneira simples de preparar o sistema para utilizar RAID é configurar os dispositivos no momento da instalação do sistema, utilizando as ferramentas do particionador.

A tabela seguinte lista alguns dos arquivos utilizados pelo sistema de RAID usando o distribuição Conectiva Linux:

Comandos importantes na configuração e uso de sistemas RAID incluem:

5.0 Configuração do RAID

Para configuração manual do RAID por software, os seguintes passos são necessários:

• Criar o arquivo /etc/raidtab contendo a configuração desejada. O exemplo seguinte ilustra a configuração de um arranjo RAID1 com os dispositivos /dev/sdb1 e /dev/sdc1, reservando dispositivo /dev/sdd1 como hot spare.

raiddev /dev/md0

raid-level1

nr-raid-disks 2

nr-spare-disks 1

persistent-superblock 1

device /dev/sdb1

raid-disk 0

device /dev/sdc1

raid-disk 1

device /dev/sdd1

spare-disk 0

• Criar o array de discos propriamente dito, com mkraid /dev/md0. Verifique /proc/mdstat para informações sobre o estado dos dispositivos existentes no sistema.
• Habilite a inicialização automática do serviço com o comando “chkconfig raid add”.

“Hot spare” é um disco reserva que já está presente no sistema e é ativado assim que um defeito é detectado em outro disco.

“Hot swap” são discos que podem ser substituídos fisicamente sem interromper o funcionamento do sistema.

Conclusão

Na primeira parte do capítulo é de suma importância que antes de qualquer implementação de uma política de segurança, o estudo da análise e avaliação dos riscos que a instituição possui, bem como a prioridade dos ativos e quão valiosa é a informação para a instituição.

A partir deste ponto iniciou-se as políticas externas. Neste tópico foram feitas medidas focalizadas principalmente quanto ao problema da engenharia social. Tais medidas são importantíssimas para que um atacante não consiga êxito em sua investida. Foram abordados apenas os pontos quanto ao cliente, fornecedor e filiais por serem comuns na maioria das instituições.

Após isso as políticas internas, focalizando também a engenharia social como problemática. Principalmente as políticas ligadas a informática, pois, são principalmente nessa area que o atacante faz suas maiores tentativas. Também através das medidas o ambiente torna-se mais produtivo e organizado.

Nos últimos tópicos falou-se brevemente sobre as medidas quanto a segurança física e contratação. Sendo muito importante ressaltar que as políticas físicas são tão importantes quantos as internas. A política de contratação é importante para prevenção de futuros funcionários que podem causar prejuízos a instituição.

Por fim falou-se sobre as penalidades do não cumprimento das medidas, dando apoio a quem a não utiliza involuntariamente e penalizando seriamente os que não a utilizam de forma proposital. Tais medidas sempre devem ser consultadas pelo setor jurídico da instituição.

Desta forma concluiu-se que com apenas essas políticas de segurança se previne a maioria dos problemas relativos a engenharia social. Vale ter como consciência que para se prevenir de tal ameaça, deve-se fazer um estudo especializado por pessoas profissionais na área. E que também vários outros pontos devem ser colocados para que a estrutura da instituição bem como sua total segurança sejam preservadas.

Sobre as Penalidades

Serão listadas a seguir as penalidades referentes ao não cumprimento das medidas. Sendo eles:

1. O funcionário que não concordar com as medidas a ele relacionadas receberá aviso prévio de demissão.
2. O funcionário que for pego não efetuando alguma medida de segurança a ele cabível, receberá uma advertência por escrito, no caso da terceira reincidência não proposital o mesmo deverá receber um curso de segurança do trabalho e orientação das medidas de segurança feito pelo Setor de recursos humanos. Um terço de seu salário será descontado para cobrir os gastos.
3. Caso o funcionário tenha feito o por duas vezes e mesmo assim reincidir ao não cumprimento das medidas, este receberá aviso prévio de demissão.
4. No caso de reincidência proposital o funcionário receberá aviso prévio de demissão na terceira falta.
5. Toda a auditoria dos funcionários terão que ser feitas pelo Setor de TI e encaminhadas aos chefes de Setor.
6. O setor de TI deverá ser auditado pelo chefe de TI, que deverá encaminhar tais relatórios a diretoria.
7. O funcionário que souber que seu colega de trabalho não está cumprindo com as medidas de segurança, deverá obrigatoriamente notificar verbalmente o chefe de seu setor. Este por sua vez fará a advertência por escrito a ele.

As penalidades referentes as medidas são motivo de muita polemica, pois a questão jurídica deles deve ser muito bem consultada e analisada. Também vale ressaltar que sem as penalidades as políticas de segurança dificilmente serão utilizadas pelas pessoas.

Quanto a segurança física

Neste ponto será analisado a melhor forma de  prevenir o acesso não autorizado, danos e interferência ás informações e instalações físicas da instituição. Algumas medidas podem ser feitas para amenizar este problema sendo elas:

1. Só poderão ter acesso ao setor de TI os funcionários que fazem parte a ele.
2. Todos os funcionários de todos os setores deveram possuir crachás que identifiquem o setor ao qual estão lotados, juntamente com o nome e foto.
3. Será proibido o acesso de qualquer pessoa que não possua um crachá.
4. Cada sala que possua chave será de responsabilidade do Chefe de Setor, caso o mesmo não possa pegar ou entregar a chave no armário de chaves, este deverá nomear por escrito o responsável e entregar a nomeação ao setor de segurança.
5. Todas as chaves ficarão no setor de segurança.
6. A mesa de cada funcionário deverá estar limpa, não podendo possuir nenhum papel que possa ser extraviado, tampouco mídias e outros recursos que o usuário dispuser.
7. O ambiente de todos os setores deverão ser mantidos limpos, sem material no chão de nenhuma espécie. Facilitando assim o fluxo de pessoas que estiverem no setor.
8. O usuário deverá fechar qualquer documento que esteja redigindo quando necessitar se ausentar de sua mesa. Deixando-o na proteção de tela no modo de login ativado.
9. Caso seja necessário a visita de alguém que não seja da instituição, deverá ser entregue a ele um crachá de visitante mostrando seu nome e a data de visita.

10.  Os papéis que não são mais necessários antes de serem levados ao lixo devem ser passados na máquina fragmentadora.

11.  O uso de telefone da instituição deverá ser exclusivo a serviço. Não podendo de forma alguma ser utilizado para fins pessoais.

12.  A equipe de segurança deverá ter um uniforme diferenciado dos demais funcionários.

13.  O setor de TI deverá possuir um uniforme diferente dos funcionários e equipe de segurança.

14.  Cada setor deverá obrigatoriamente possuir um extintor de incêndio e cada funcionário receberá treinamento para o seu manuseio.

Este é um ponto onde existem muitas individualidades entre as instituições, podendo ser alteradas de acordo com o tipo e ramo que elas empregam e até mesmo a natureza de informações que possuem.

Quanto a contratação

Aqui estaremos implementando as políticas referentes a contratações, tais medidas antes de serem implementadas deverão ser consultadas pelo setor jurídico. Sendo elas:

1. Só serão contratadas pessoas que tenham encaminhado seu currículo por escrito ao departamento de recursos humanos.
2. Só serão contratadas pessoas que tenham sido aprovadas na entrevista.
3. Pessoas que possuem antecedentes criminais relativo a furtos e roubos deveram ser colocadas ao fim da lista de convocados a entrevista.
4. Pessoas que foram demitidas por justa causa do antigo emprego, deverão ser colocadas ao fim da lista de convocados a entrevista.
5. Pessoas com histórico de agressão física deveram ser colocadas no fim da lista de convocados a entrevista.
6. Pessoas que estiveram contratadas em instituições com medidas de segurança ativas, deveram ser colocadas no topo da lista de convocados.
7. Pessoas com curso em segurança da informação ou do gênero deveram ser colocados no inicio da lista de convocados.
8. Todos os convocados a entrevista deveram ler as medidas de segurança ao cargo que almeja e ter pleno conhecimento delas.
9. Todo novo funcionário que for contratado deverá passar pelo curso de segurança da informação fornecido pelo setor de recursos humanos.

Com toda certeza alguns pontos levantados acima podem ser retirados ou incrementados, também a medida não tem como objetivo excluir alguém, e sim a contratação de pessoas confiáveis e que estejam dispostas a seguir as políticas.

Quanto a política de senhas

Quanto ao cadastramento de senhas, deverá ocorrer da seguinte maneira:

1. Apenas o Chefe da TI deverá possuir uma senha mestre geral que deverá possuir no mínimo 12 caracteres com letras, números e caracteres especiais.
2. A senha de administrador de setor, deverá possuir no mínimo 8 caracteres e ter letras e números intercalados.
3. A senhas referente aos usuários deverão possuir no mínimo 6 caracteres, também devem possuir números e letras intercalados.
4. Todas as senhas não deverão ser derivadas de datas de aniversário, nome de parentes, time de futebol, esporte favorito, ou qualquer outro fator pessoal. Também não poderá estar em nenhum dicionário e jamais devem ser anotadas.

Quanto a manipulação de senhas, deverá ocorrer da seguinte maneira:

1. Todo usuário deverá obrigatoriamente decorar sua senha. Não podendo possuir nenhum lembrete por escrito referente a mesma.
2. Cada senha possuirá um tempo de validade de 6 meses, ao término deste período o usuário deverá cadastrar uma nova senha.
3. Não é permitido o uso conjunto de senha, caso o usuário esquecer a senha, poderá cadastrar outra junto ao Setor de TI.
4. A TI só poderá cadastrar ou recadastrar senhas, mediante a um pedido por e-mail e por escrito, quando for solicitado por e-mail, a pessoa responsável deverá dirigir-se ao usuário que fez a solicitação juntamente com o protocolo de pedido.

Vale ressaltar que as medidas acima descritas são de natureza geral e com toda a certeza devem ser incrementadas quando forem utilizadas em qualquer instituição.

Quanto ao uso do E-Mail

Quanto ao cadastro da conta de e-mail da instituição deverá ocorrer da seguinte maneira:

1. Assim que o funcionário for contratado, será encaminhado ao setor de TI o pedido de cadastro de uma conta de e-mail para o usuário. Este por sua vez deverá assim que se conectar a conta, alterar a senha. O sistema deverá fazer o pedido de mudança de senha assim que o usuário se conectar.
2. Caso o funcionário se esqueça da senha que cadastrou, deverá fazer um pedido por escrito solicitando a mudança de senha ao setor de TI. Este por sua vez lhe dará uma senha gerada pelo sistema, que por sua vez assim que for logado fará a solicitação da troca de senha.
3. O nome do e-mail de cada funcionário começará com o ultimo nome seguido de ponto e terminado com o primeiro nome.

Quanto a utilização da conta de e-mail, deverá ocorrer da seguinte maneira:

1. Só será permitido o uso de e-mail fornecido pela instituição, nenhum outro e-mail poderá ser utilizado pelo usuário.
2. Não será permitido o envio de arquivos pelos usuários para pessoas de fora da instituição. Este só poderá ser feito pelo Gerente do Setor.
3. Não será permitido o recebimento de arquivos pelos usuários de pessoas que não forem da instituição. Caso necessite da recepção de algum arquivo, este poderá ser recebido pelo Gerente do Setor.
4. Não será permitido o envio e ou recepção de e-mail de pessoas que não estejam ligadas diretamente a instituição.
5. Serão automaticamente bloqueados todos os e-mails que forem enviados a mais de 10 pessoas. Caso seja necessário o envio para uma quantidade maior de pessoas, deverá ser encaminhado um pedido a equipe de TI solicitando a autorização de um envio maior.
6. Cada usuário deverá organizar sua caixa de e-mail de forma que deverá apagar as mensagens não úteis e salvando no computador as úteis.
7. O Setor de TI fixará a cota de 100MB de espaço para caixa de e-mail dos usuários e 250MB para os gerentes de setor.
8. O Setor de TI deverá configurar o uso do protocolo IMAP para todas as contas de e-mail.
9. O Setor de TI deverá fazer o bloqueio automático de todos os e-mails enviados de outras pessoas que não estejam ligadas a instituição. Caso algum usuário deseje receber o envio de alguma pessoa que não seja da instituição, deverá encaminhar pedido por escrito juntamente com a justificativa.

10.  Cada conta será sujeita a possíveis auditorias, sendo o usuário responsável por tudo aquilo que lê e escreve em seus e-mails.

Muitas outras regras podem ser colocadas neste ponto, mas com as descritas acima observou-se o quão é importante fazer o uso correto do e-mail. Sendo sua utilização segura um dos fatores que fazem com que o ambiente de trabalho se torne mais seguro.

Política Interna

Aqui serão descritas as políticas referentes as medidas de segurança internas. Abrangendo apenas os funcionários e pessoas que tem acesso as instalações internas da instituição.

Quanto a Informática

Neste ponto estaremos mostrando as políticas referente a utilização dos meios de tecnologia da instituição.

Quanto a utilização dos computadores e rede

Toda e qualquer pessoa que esteja conectada a rede de computadores estará incluída neste tópico. Deverão seguir os seguintes procedimentos:

1. Cada pessoa deverá obrigatoriamente ligar o computador e ao término de sua tarefa, o desligar. Caso necessite se ausentar por algum tempo qualquer, deverá deixar o computador com a tela travada.
2. O usuário é responsável por sua senha, pois todos os acessos e procedimentos feitos por ele deverão ser armazenados para futuras auditorias.
3. Caso o usuário necessite da instalação de qualquer software, plugin, ou atualização. Deverá encaminhar um pedido por e-mail para o setor de TI, este por sua vez responderá de forma imediata o tempo para a execução do serviço.
4. O Setor de TI deverá obrigatoriamente protocolar todos as solicitações que os usuários solicitarem e sempre antes de qualquer procedimento confirmar o horário para a execução do mesmo.
5. Ao usuário não será permitido o acesso a domínios não pertencentes ao seu setor.
6. Não serão permitidos o uso de jogos para computador, tampouco sites do mesmo gênero.
7. O comunicador instantâneo que o usuário poderá utilizar será o que a instituição fornecer, nenhum outro será permitido.
8. Os acessos a Web Sites ficam restritos aos que forem permitidos pela reunião de Diretoria junto a Gerencia de cada setor. A lista dos sites que podem ser acessados deverão obrigatoriamente ser protocolados junto a TI.
9. As impressões que o usuário deseja efetuar, só poderá ser referente a instituição. Não sendo autorizado a utilização de impressões de cunho pessoal.

10.  São proibidos o uso de material sexualmente explícito, bem como sua armazenagem, distribuição, edição e gravação nos computadores da instituição.

11.  O uso dos recursos da instituição para fins ilegais serão seriamente punidos mediante medidas pré estabelecidas.

12.  Os softwares que a instituição instalou para a segurança da rede, de maneira nenhuma devem ser desinstalados e tampouco re-configurados pelos usuários. Caso o usuário julgue necessário uma manutenção em seus softwares, deverá encaminhar um pedido por escrito para o setor de TI e confirmar por e-mail.

13.  Cada usuário deverá armazenar em seu e-mail os arquivos pertencentes a instituição, tornando-os confiáveis e íntegros.

Existem muitas outras medidas que podem ser colocadas neste ponto, mas tais procedimentos vão variar de instituição para instituição. Também deverão ser observadas as questões jurídicas e algumas medidas obrigatoriamente deverão ser aprovadas pela diretoria.