|
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO |
|||
|---|---|---|---|
|
Versão: 001 |
Data: 26/03/2024 |
página 1 |
|
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
OBJETIVO
A Política de Segurança da Informação é uma declaração formal da Previsiown acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus funcionários.
ABRANGÊNCIA
Todos os funcionários, diretores, executivos, acionistas (incluindo o Supervisory Board), prestadores de serviços, consultores, auditores, temporários, fornecedores, parceiros diversos e demais contratados que estejam a serviço e disponibilizam de ativos corporativos da Previsiown, suas Unidades, subsidiárias e/ou coligadas.
MISSÃO
Garantir a integridade, confidencialidade, legalidade e autenticidade da informação necessária para a realização dos negócios da Previsiown.
DOCUMENTOS DE REFERÊNCIA
NBR ISO/IEC 17799:2005
ABNT 21:204.01-010
Lei 9.609/98 – Lei do Software
TERMOS E DEFINIÇÕES
TI: Tecnologia da Informação
Software: É a parte lógica, o conjunto de instruções e dados processados nos servidores e computadores. Toda interação dos usuários de computadores é realizada através de softwares.
Backup: É a cópia de dados de um dispositivo de armazenamento a outro para que possa ser restaurado em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupção de dados.
Mídias Removíveis: Dispositivos que permitem a leitura e gravação de dados tais como: CD, DVD, Disquete, Pen Drive, cartão de memória entre outros.
USB: É um tipo de conexão “ligar e usar” que permite a conexão de periféricos sem a necessidade de desligar o computador.
VPN (Virtual Private Network): Modalidade de acesso à rede corporativa, que possibilita a conectividade, via internet, de um equipamento externo à rede interna da corporação, provendo funcionalidades e privilégios como se o mesmo estivesse conectado física e diretamente à rede interna. Comumente é utilizado por funcionários em trânsito.
Softwares de Mensageria: São programas que permitem aos usuários se comunicarem remotamente (à distância), através de conexão com a Internet. Por meio destes programas, é possível enviar mensagens de texto entre equipamentos fisicamente distantes. Também é possível enviar arquivos ou iniciar sessões de conversação com áudio e/ou com vídeo, em tempo real.
Firewall: É um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede.
Modem 3G: É um dispositivo sem fio, com saída USB para conexão em outro dispositivo tais como Tablets (com suporte 3G), notebooks, netbooks, desktops, etc. objetivando conexão com a internet. O modem 3G recebe e decodifica o sinal digital de alta velocidade transmitido pelas operadoras de celulares para aparelhos portáteis (celulares, smartphones e notebooks) compatíveis com a tecnologia 3G.
DIRETRIZES
DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO
Conforme definição da norma NBR ISO/IEC 17799: 2005, a informação é um ativo que, como qualquer outro ativo importante para os negócios, têm um valor para a organização e, consequentemente, necessita ser adequadamente protegida. A Política de Segurança da Informação objetiva proteger a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.
A segurança da informação é aqui caracterizada pela preservação da:
- Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
- Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
- Disponibilidade, a Política de Segurança da Informação deve ser divulgada a todos os funcionários e dispostas de maneira que seu conteúdo possa ser consultado a qualquer momento.
Para assegurar esses três itens mencionados, a informação deve ser
adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não-intencional, acidentes e outras ameaças.
É fundamental para a proteção e salvaguarda das informações que os usuários adotem a ação de Comportamento Seguro e consistente com o objetivo de proteção das informações, devendo assumir atitudes pró-ativas e engajadas no que diz respeito à proteção das informações.
Campanhas contínuas de conscientização de Segurança da Informação serão utilizadas para monitoração e controle destas diretrizes.
A Política de Segurança da Informação da Previsiown é aprovada e revisada anualmente pela Diretoria Executiva.
ATRIBUIÇÕES E RESPONSABILIDADES NA GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Definição
Cabe a todos os funcionários (funcionários, estagiários e prestadores de serviços) cumprir fielmente a Política de Segurança da Informação; buscar orientação do gestor imediato em caso de dúvidas relacionadas à segurança da informação; proteger as informações contra acesso, modificação, destruição ou divulgação não-autorizados; assegurar que os recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pela Previsiown; cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual; e comunicar imediatamente a empresa quando do descumprimento ou violação desta política, através do canal de ética.
Diretorias e Gerências
Cabe às Diretorias e Gerências cumprir e fazer cumprir esta Política; assegurar que suas equipes possuam acesso e conhecimento desta Política de Segurança da Informação; e comunicar imediatamente eventuais casos de violação de segurança da informação através do website da empresa no formulário para denúncias.
Área de Governança de TI
Cabe à área propor ajustes, melhorias, aprimoramentos e modificações desta Política; convocar, coordenar, lavrar atas e prover apoio às reuniões que discutam a respeito desta Política; prover todas as informações de gestão de segurança da informação solicitadas por Gestores.
PROPRIEDADE INTELECTUAL
É de propriedade da Previsiown, todos os “designs”, criações ou procedimentos desenvolvidos por qualquer funcionário durante o curso de seu vínculo empregatício com a Previsiown.
ENGENHARIA SOCIAL
Engenharia social é um termo utilizado para representar a habilidade de enganar pessoas, visando obter informações sigilosas.
A Engenharia Social manifesta-se de diversas formas, e podemos dividi-los em dois grupos. No entanto, o grande ponto onde engenheiros sociais se baseiam é na falta de conscientização do usuário com relação à Segurança da Informação e na exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes, e como uma simples informação poderia trazer prejuízos à empresa:
Diretos: São aqueles caracterizados pelo contato direto entre o engenheiro social e a vítima através de telefonemas e até mesmo pessoalmente, pois engenheiro social nem sempre é alguém desconhecido.
Indiretos: Caracterizam-se pela utilização de softwares ou ferramentas para invadir, como, por exemplo, vírus, cavalos de Tróia ou através de sites e e-mails falsos para assim obter informações desejadas. Podem ser mensagens que contenham avisos de premiações milionárias em loterias, ofertas de sociedade em grandes somas de dinheiro, heranças e negócios em outros países etc. O melhor a fazer é ignorar a oferta tentadora e apagar o e-mail imediatamente.
CLASSIFICAÇÃO DA INFORMAÇÃO
É de responsabilidade do Gerente/Supervisor de cada área estabelecer critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com os critérios a seguir:
Pública: D4 – É uma informação da Previsiown ou de seus clientes com linguagem e formato dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou promocional. É destinada ao público externo ou ocorre devido ao cumprimento de legislação vigente que exige publicidade da mesma.
Interna: D3 – É uma informação da Previsiown que ela não tem interesse em divulgar, onde o acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não com a mesma magnitude de uma informação confidencial. Pode ser acessada sem restrições por todos os empregados e prestadores de serviços da Previsiown.
Confidencial: D2 – É uma informação crítica para os negócios da Previsiown ou de seus clientes. A divulgação não autorizada desta informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à Previsiown ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores.
Restrita: D1 – É toda informação que pode ser acessada somente por usuários da Previsiown explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada desta informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização.
REQUISITOS DE SEGURANÇA DO AMBIENTE FÍSICO
As máquinas (servidores) que armazenam sistemas da Previsiown estão em área protegida;
Data Centers localizados nas unidades N. Virginia sem acesso físico por nossos colaboradores.
BOAS PRÁTICAS DE COMUNICAÇÃO VERBAL DENTRO E FORA DA EMPRESA
Cuidado ao tratar de assuntos da empresa dentro e fora do ambiente de trabalho, em locais públicos, ou próximos a visitantes, seja ao telefone ou com algum colega, ou mesmo fornecedor.
Evite nomes e tratativas de assuntos confidenciais, nestas situações, fora da empresa ou próximos a pessoas desconhecidas.
Caso seja extremamente necessária a comunicação de assuntos sigilosos em ambientes públicos, ficar atento às pessoas à sua volta que poderão usar as informações com o intuito de prejudicar a imagem da empresa.
REQUISITOS DE SEGURANÇA DO AMBIENTE LÓGICO
Diretrizes Gerais
Todo acesso às informações e aos ambientes lógicos deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas. As autorizações devem ser revistas, confirmadas e registradas continuamente. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado. Os dados, as informações e os sistemas de informação das entidades devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens.
Diretrizes Específicas
Sistemas
Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas por usuários autorizados. O responsável pela autorização deve ser claramente definido e ter registrado a aprovação concedida.
Cópia de segurança (Backup) deve ser testada e mantida atualizada para fins de recuperação em caso de desastres.
Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a indisponibilidade de serviços.
Não executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da empresa.
Não enviar informações confidenciais (autorizadas) para e-mails externos sem proteção.
No mínimo, o arquivo deve contar com a proteção de uma senha “robusta”.
Máquinas – Estação de Trabalho
As estações de trabalho, incluindo equipamentos portáteis, e informações devem ser protegidos contra danos ou perdas, bem como o acesso, uso ou exposição indevidos.
As estações de trabalho possuem códigos internos, os quais permitem que seja identificada na rede. Desta forma, tudo que for executado na estação de trabalho é de responsabilidade do funcionário.
O acesso à estação de trabalho deverá ser encerrado no final do expediente, desligando o equipamento.
Quando estiver trabalhando no escritório e se ausentar da mesa, deverá bloquear a estação de trabalho com senha. Esta ação aplica-se a todos os funcionários com estações de trabalho, incluindo equipamentos portáteis.
Informações sigilosas, corporativas ou cuja divulgação possa causar prejuízo às entidades da Previsiown, só devem ser utilizadas em equipamentos com controles adequados.
Os usuários de TI devem utilizar apenas softwares licenciados pela área de Suporte Técnico – Infraestrutura TI, nos equipamentos da empresa.
A área de Infraestrutura de TI deverá estabelecer os aspectos de controle, distribuição e instalação de softwares utilizados.
Todas as estações de trabalho devem possuir o software de acesso remoto padrão da empresa instalado para eventuais necessidades de configuração remota pela área de Suporte Técnico – Infraestrutura TI.
Boas práticas de segurança para seu notebook
Quando em deslocamentos de carro, coloque o mesmo no porta-malas ou em local não visível.
Ao movimentar-se com o notebook, se possível, não utilize malas convencionais para notebook e sim mochilas ou malas discretas.
Não coloque o notebook em carrinhos de aeroportos ou despacho junto à bagagem.
Em locais públicos (recepção de hotéis, restaurantes e aeroportos dentre outros), mantenha o notebook próximo e sempre à vista, não se distanciando do equipamento.
Evite utilizar o notebook em locais públicos.
Nos hotéis, preferencialmente, guarde o notebook no cofre do seu apartamento.
Avalie se em pequenas viagens é realmente necessário levar o notebook.
Utilização de equipamentos particulares / terceiros dentro da empresa
Notebooks particulares para serem usados dentro da rede das empresas abrangidas neste documento, precisam ser avaliados pelo pessoal responsável de TI.
Equipamentos de terceiros devem ser levados ao suporte para serem verificadas atualização do antivírus e existência de vírus.
É responsabilidade da área contratante encaminhar os terceiros sob sua responsabilidade para esta verificação.
Boas práticas de segurança para Impressão
Documento enviado para a impressão deverá ser retirado imediatamente.
A impressão de documentos sigilosos deve ser feita sob supervisão do responsável. Os relatórios impressos devem ser protegidos contra perda, reprodução e uso não-autorizado. Isto é, documentos esquecidos nas impressoras, ou com demora para retirada, ou até mesmo em cima da mesa, podem ser lidos, copiados ou levados por outro funcionário ou por alguém de fora da empresa..
A Instalação de Softwares
Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser comunicado à área de Suporte Técnico – Infraestrutura TI, para que o mesmo possa ser homologado pelos responsáveis de TI e só assim ser disponibilizado para a área requerente mediante formulário específico.
A empresa respeita os direitos autorais dos softwares que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores da empresa. É terminantemente proibido o uso de softwares ilegais (sem licenciamento) na Previsiown.
A Gerência de TI poderá valer-se deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à Lei 9.609/98 (Lei do Software).
Diretrizes quanto à utilização da Rede Corporativa
Material sexualmente explícito não pode ser exposto, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede corporativa.
Somente os empregados que estão devidamente autorizados a falar em nome da empresa para os meios de comunicação podem escrever em nome da empresa em sites de Bate- Papo (Chat Room) ou Grupos de Discussão (fóruns,newsgroups). Em caso de dúvidas, procurar a área de Comunicação.
Todos os arquivos devem ser gravados na Cloud do Google, pois arquivos gravados no computador (local) não possuem cópias de segurança (backup) e podem ser perdidos. Recomenda-se a utilização do Google Drive para sincronização automática dos arquivos locais com a nuvem. O espaço em disco é controlado por departamento, por isso, os usuários devem administrar seus arquivos gravados, excluindo os arquivos desnecessários. Importante citar que não é responsabilidade da área de TI a recuperação de arquivos que não respeitem a regra acima citada.
Não é permitida a gravação de arquivos particulares (músicas, filmes, fotos, etc..), pois ocupam espaço comum limitado do departamento.
Diretrizes quanto ao uso de Mídias Removíveis e da porta USB
O uso de mídias removíveis na empresa não é estimulado, devendo ser tratado como exceção à regra.
A porta USB é o principal ponto de vulnerabilidade de segurança, podendo ser usada para a fuga de informações corporativas confidenciais, neste caso, os modens 3G e os pen drives merecem a atenção. Tal vulnerabilidade não pode ser contida com firewalls ou com programas antivírus já que os dispositivos são acoplados aos equipamentos pelos próprios funcionários da empresa.
Para liberação das portas USB dos desktops e notebooks é necessário justificar o uso e a aprovação da chefia do departamento do solicitante. Para notebooks de gerentes e cargos acima esta liberação é efetuada por padrão.
Dentro da empresa dê preferência à utilização da rede evitando a utilização de modem 3G conectado à porta USB do computador, pois é considerada uma forma de burlar a segurança da rede, protegida por Firewall e regras de segurança. Assim o funcionário abre a porta para acesso sem qualquer controle.
Os usuários de mídias removíveis são diretamente responsáveis pelos riscos e impactos que o uso de tais dispositivos possam vir a causar nos ativos de informação, pois este tipo de mídia pode conter vírus e softwares maliciosos, podendo danificar e corromper dados.
É vedado aos usuários utilizarem as mídias removíveis como meio preferencial de armazenamento de informações corporativas.
Diretrizes quanto ao uso da Internet
A internet deve ser utilizada para fins corporativos, enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa vir a contribuir para o desenvolvimento de atividades relacionadas à empresa.
O acesso às páginas e websites é de responsabilidade de cada usuário, ficando vedado o acesso a sites com conteúdos impróprios e de relacionamentos.
O uso da internet para assuntos pessoais deve ser restrito, sem comprometer as atividades dos usuários.
É vedado qualquer tipo de download. Como também o upload de qualquer software licenciado à empresa ou de dados de propriedade da empresa ou de seus clientes, sem expressa autorização do gerente responsável pelo software ou pelos dados.
Recomendações sobre o uso do Correio Eletrônico (E-Mail)
É vedado o uso de sistemas webmail externo. O uso do correio eletrônico para envio e recepção de e-mail deverá ocorrer apenas através do correio eletrônico da Previsiown.
É proibido o uso do Correio Eletrônico para envio de mensagens que possam comprometer a imagem da empresa perante seus clientes e a comunidade em geral e que possam causar prejuízo moral e financeiro.
Evitar utilizar o e-mail da empresa para assuntos pessoais.
Assegurar a propriedade de todas as mensagens geradas internamente e/ou por meio de recursos de comunicação e definir o uso desses recursos como ferramenta de comunicação e aumento de produtividade, devendo ser usado prioritariamente para atividades de negócio e podendo ser monitorado por ser propriedade da empresa e até mesmo vistoriado por direitos de verificação e auditoria.
Não executar ou abrir arquivos anexados enviados por remetentes desconhecidos ou suspeitos. Exemplo de extensões que não devem ser abertas: .bat, .exe, .src, .lnk e .com, ou de quaisquer outros formatos alertados pela área de TI.
Não utilizar o e-mail para enviar grande quantidade de mensagens (spam) que possam comprometer a capacidade da rede, não enviando e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/Symantec, criança desaparecida, criança doente, materiais preconceituosos ou discriminatórios e os do tipo boatos virtuais, etc.
Utilizar o e-mail para comunicações oficiais internas, as quais não necessitam obrigatoriamente do meio físico escrito. Isto diminui custos com impressão e aumenta a agilidade na entrega e leitura do documento.
A utilização do e-mail/webmail da empresa fora do horário de trabalho para posições que possuam controle/reporte de jornada deve ser aprovado pelo Diretor da área.
Uso de Softwares de Mensageria
Recomenda-se a utilização do Software Whatsapp e Telegram como ferramenta de comunicação e aumento de produtividade, devendo ser usado prioritariamente para atividades de negócio.
A instalação de software de mensageria e a liberação do acesso são restritas e sua utilização deve ser justificada à Gerência de TI.
O uso de sistemas de mensageria é aceitável apenas quando for utilizado como ferramenta de produtividade para comunicação online, no exercício de sua função. Enquanto o uso responsável dos sistemas de mensageria é estimulado, o seu abuso deve ser evitado.
Sistemas de mensageria possuem histórico de riscos associados à malwares (p.ex. vírus, worms etc), de forma que deve ser utilizado com zelo e cuidado.
O uso de sistemas de mensageria em redes de relacionamento pessoais deve ser evitado no ambiente corporativo, por conta da natural assincronia das mensagens instantâneas oriundas de terceiros sem finalidades laborais, o que usualmente torna-se contraproducente.
O grande problema de se utilizar este tipo de software é que, uma vez conectado, o computador fica altamente vulnerável. As portas de entrada/saída ficam abertas, sem qualquer restrição de leitura ou gravação. Desta forma, vírus que exploram esse tipo de vulnerabilidade não encontram empecilhos para se instalarem e iniciarem os processos danosos, não só para aquele dispositivo, mas para todos os que a ele estiverem conectados ou que estiverem em rede.
CANAL DE DENÚNCIAS
VIGÊNCIA E VALIDADE
A presente política passa a vigorar a partir da data de sua homologação e publicação, sendo válida por tempo indeterminado.
|
Elaboração |
Aprovação |
Nível de confidencialidade |
|
Caroline Borba |
Victor Gonçalves – 19/04 |
Uso Público – D4 |