Como este tema funciona na sua empresa
Política simples, baseada em confiança com bloqueio de apenas categorias óbvias (malware, pornografia, apostas). Foco em educated users vs. heavy enforcement. Documento informal, comunicado verbalmente. Sem ferramentas sofisticadas de DLP.
Política estruturada: categorias permitidas/bloqueadas claras, VPN para remoto, BYOD guidelines, bloqueio de P2P/torrent. Implementação com firewall + proxy web básico. Comunicação formal, assinatura de AUP esperada de todos os usuários.
Política completa e codificada: segmentação de rede por função, DLP avançado (detecção de vazamento de dados), monitoramento de comportamento (UBA), integração com HR para consequence management. Auditoria contínua, revisão formal anual.
Política de uso da rede corporativa é o documento que define quais usos de internet e rede são permitidos, quais são proibidos e quais são monitorados. Equilibra segurança (proteger contra ameaças), conformidade (cumprir regulação), produtividade (permitir trabalho legítimo) e privacidade (respeitar direitos dos funcionários).
Por que política de rede é necessária
Sem política, é caótico: que sites podem ser acessados? O funcionário pode fazer download de arquivo executável? Dados confidenciais podem sair por email? Sem diretrizes, cada pessoa faz o que quer, gerando risco.
Riscos específicos: malware entra por download de arquivo infectado, dados sensíveis vazam por email não encriptado, banda é desperdiçada em streaming de vídeo pessoal, conformidade é violada (LGPD, PCI). Política clara reduz risco ao estabelecer expectativas.
Terceiro motivo: sem política documentada, você não tem base legal para monitorar ou disciplinar. Se descobre que funcionário acessava site inapropriado, precisa ter documentado que isso é proibido e que monitoramento é permitido.
Balanceando segurança vs. produtividade
Política muito restritiva cria frustração e workarounds inseguros: funcionário não consegue acessar ferramenta legítima, então usa VPN pessoal (derrotando seu controle). Política muito relaxada expõe empresa a risco.
Abordagem equilibrada: permitir o máximo possível, bloquear apenas o que for realmente arriscado.
Bloquear apenas: malware (sites conhecidos), pornografia (reputação), jogos online (risco de malware), P2P (legal). Permitir tudo mais. Monitoramento ocasional de logs (não contínuo).
Bloquear: malware, pornografia, jogos, P2P, redes sociais intensivas. Permitir com limite: email pessoal (1h/dia), YouTube (apenas durante pausa). Monitoramento de alertas (tentativa de acesso bloqueado, download suspeito).
Segmentação por função: vendedor pode usar LinkedIn; desenvolvedor pode usar GitHub; financeiro não pode acessar redes sociais. DLP detecta tentativa de enviar dados sensíveis. Monitoramento comportamental contínuo. Integração com RH para consequence management.
Categorias típicas de sites[1]:
- Bloqueado SEMPRE: Malware, phishing, pornografia, jogos, P2P
- Bloqueado para maioria: Redes sociais (pode variar por função), streaming de vídeo (YouTube)
- Permitido com limite: Email pessoal, cloud storage pessoal (Dropbox, Google Drive), fóruns
- Permitido liberamente: Email corporativo, ferramentas de trabalho (Slack, Jira), notícias, documentação técnica
Componentes de uma política de uso
1. Objetivo e escopo
Declaração clara: esta política aplica a todos os usuários (internos e contractors)? Applies to all devices (corporate e BYOD)? Applies to all locations (office e remoto)? Exceptions?
2. Categorias permitidas e bloqueadas
Ser explícito: "Redes sociais são bloqueadas" vs. "YouTube é permitido durante pausa de almoço de 12-13h". Clareza reduz confusão.
3. Segurança de senhas e contas
- Senhas devem ser únicas (não reutilizar entre sistemas)
- Senhas não devem ser compartilhadas com colegas
- Senhas devem ser alteradas a cada 90 dias (ou usar MFA em vez de rotação)
- Conta não é propriedade pessoal - empresa pode acessar se necessário (legal notice)
4. Proteção de dados sensíveis
- Dados confidenciais não podem ser salvos em disco pessoal (use compartilhado ou cloud corporativo)
- Dados de cliente não podem ser copiados para email pessoal
- Dados financeiros não podem ser compartilhados via messaging inseguro
- Respeitato de LGPD: dados pessoais (CPF, telefone, email) precisam de encriptação em trânsito
5. Acceptable Use Statement (AUP)
Declaração simples: "Você concorda que sua atividade na rede será monitorada. Você concorda que não vai acessar conteúdo inapropriado. Você concorda que não vai tentar derrotar controles de segurança." Todos devem assinar.
6. Segurança em acesso remoto e VPN
- VPN é obrigatório para acessar rede corporativa de fora
- Certificado de VPN é pessoal - não compartilhar
- Mfator de autenticação obrigatório (senha + código de segurança)
- Session de VPN é encerrada automaticamente após 8 horas inatividade
7. BYOD guidelines (se aplicável)
- Dispositivo pessoal pode conectar a rede corporativa? Com restrições?
- MDM (Mobile Device Management) precisa estar instalado?
- Dados corporativos podem ser salvos em dispositivo pessoal?
- O que acontece se funcionário sair da empresa - dados são apagados remotamente?
8. Monitoramento e consequências
Ser transparente sobre o que é monitorado e como violações serão tratadas:
- Atividade de rede é monitorada (logs de URLs visitadas, emails enviados)
- Violação leve: aviso verbal e treinamento de segurança
- Violação grave (tentativa de hacking, vazamento de dados): investigação formal e possível rescisão
Implementando política de rede: tecnologia
Pequena empresa: Firewall básico (bloqueio por categoria de site) + logs ocasionais de acesso.
Média empresa: Proxy web (Forcepoint, Palo Alto Networks) + DLP básico (bloquear tentativa de enviar arquivo executável via email).
Grande empresa: Proxy avançado + DLP sofisticado (detecção de padrão, ex: employee enviando 1000 emails em 10 min) + CASB (Cloud Access Security Broker, monitora Salesforce, Slack) + UBA (User Behavior Analytics).
Ferramentas mencionadas[2]:
- Proxy web: Forcepoint, Palo Alto Networks, Fortinet, Cisco
- DLP: Endpoint Protector, Symantec DLP, Forcepoint
- MDM: Microsoft Intune, MobileIron, Kandji
- CASB: Microsoft Cloud App Security, Netskope
Comunicando política ao usuário final
Política ruim é melhor que política bem escondida que ninguém conhece. Comunicação efetiva:
1. Apresentação formal
Reunião ou vídeo explicando política, por que existe, quais são as expectativas.
2. Documento acessível
Intranet, wiki, ou share corporativo com política legível (não jargão legal demais).
3. Assinatura de AUP
Cada funcionário assina concordância com política antes de acessar rede. Prova legal de que foi comunicado.
4. Lembretes periódicos
Anual ou após mudança de política, reenviar lembrete aos usuários.
5. Educação, não apenas punição
Treinamento de segurança que explica POR QUE política existe (malware mata empresas, vazamento de dados é crime). Usuário educado é melhor defesa que usuário assustado.
Sinais de que política de rede precisa ser implementada ou revisada
Se você identifica três ou mais, sua situação de segurança de rede precisa ser endereçada.
- Não existe política documentada de uso de rede
- Usuários acessam sites inapropriados sem consequência
- Dados sensíveis são copiados para dispositivos pessoais ou cloud públicas
- Incidente de segurança (malware, vazamento) ocorreu e não havia política para prevenção
- Novo funcionário não assina nada relacionado a segurança de rede
- Você não consegue rastrear quem acessou qual site (falta de logging)
- Auditor de conformidade pediu política de rede e você não tem
- Banda de internet é constantemente congestionada por uso pessoal (streaming, etc.)
Caminhos para elaborar e implementar política de rede
Política pode ser criada internamente ou com apoio especializado. Ambas têm trade-offs.
Sua equipe de TI e RH elaboram política, testam com grupo piloto, comunicam aos usuários.
- Perfil necessário: Especialista em segurança de TI, coordenação com RH e jurídico
- Tempo estimado: 6-8 semanas para elaborar, testar e comunicar
- Faz sentido quando: Política é simples; cultura interna pode absorver mudança
- Risco principal: Falta de expertise legal; implementação tecnológica deficiente; resistência do usuário
Consultoria de segurança que elabora política template, customiza para sua empresa, treina time e implementa tecnologia.
- Tipo de fornecedor: Consultoria de segurança/cibersegurança, Integrador de TI
- Vantagem: Expertise em compliance e legislação (LGPD); metodologia pronta; implementação profissional
- Faz sentido quando: Setor regulado; risco elevado; falta de expertise interna em segurança
- Resultado típico: Política documentada, tecnologia implementada, usuários treinados em 10-12 semanas
Precisa estruturar política de segurança de rede corporativa?
Se segurança e conformidade de rede é prioridade, o oHub conecta você gratuitamente a especialistas em cibersegurança. Descreva sua situação em menos de 3 minutos e receba propostas de consultores, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a política de uso de internet mais comum em empresas?
Bloqueio de malware, pornografia, jogos, P2P. Bloqueio parcial de redes sociais (restringido a horas de pausa). Permitir email pessoal e cloud storage com limites. Monitoramento de tentativas de acesso bloqueado e downloads suspeitos.
Como bloquear sites e aplicativos na rede corporativa?
Usar firewall (bloqueio por IP/domínio) ou proxy web (bloqueio por categoria de site, URL, aplicação). Proxy é mais sofisticado - consegue bloquear YouTube especificamente mas permitir Google Drive. Implementação requer investimento em ferramentas e pessoal.
Posso monitorar uso de internet dos funcionários?
Legalmente sim (com restrições). Precisa estar documentado na política que monitoramento vai ocorrer. No Brasil, LGPD e CLT protegem privacidade - monitoramento deve ser razoável e proporcional ao risco. Avisar aos usuários é importante e reduz risco legal.
Como equilibrar segurança e produtividade em política de rede?
Permitir o máximo possível, bloquear apenas o que for realmente arriscado. Testar políticas em grupo piloto antes de rolar out global. Educação do usuário vale mais que restrição pesada. Revisar regularmente se bloqueios ainda fazem sentido.
Quais ferramentas usar para implementar política de uso?
Pequena: firewall básico + proxy web simples. Média: proxy web robusto (Palo Alto, Forcepoint) + DLP básico. Grande: proxy + DLP + CASB + UBA. Escolha depende de budget e complexidade da infraestrutura.
Como comunicar política de rede aos funcionários?
Apresentação formal + documento escrito + assinatura de AUP. Explicar POR QUE política existe (segurança, conformidade) não apenas QUAIS são as regras. Educação reduz resistência e melhora aderência.
Fontes e referências
- TechTarget. Acceptable Use Policy (AUP) Definition. Best practices for defining acceptable network use categories.
- NIST Cybersecurity Framework. Guidelines for access controls and network monitoring implementation.
- ISO/IEC 27001:2013 Information Security Management. Standard for controls on use of information assets.
- Heimdal Security. Complete Guide to Acceptable Use Policies. Implementation guidance and templates.