Política da Segurança da Informação

1. Objetivos

O objetivo deste documento é regulamentar a política de segurança da informação aplicada á empresa MOST, visando a proteção das informações por ela utilizadas, através de normas e procedimentos a serem seguidos pelos funcionários, diretores, colaboradores e parceiros da empresa.

2. Abrangência

Os procedimentos e normas estabelecidos por este documento são aplicáveis a todas as áreas da empresa, as quais estão sujeitas as várias interferências, como tecnológicas e físicas, a fim de se prevenir de quaisquer danos.

3. Visão Geral

As informações que estão em constante circulação dentro da empresa são ativos valiosos para toda a organização. Por esta razão, elas devem ser protegidas contra qualquer tipo de dano que possa lhes ocorrer. Daí a obrigação de seguir esta política de segurança, que abrange os pontos críticos deste processo.
Este normativo deve ser entendido como um conjunto de ações a serem efetuadas para que seja alcançada uma condição de segurança. Para garantir essa condição, as normas e procedimentos aqui descritos definirão e classificarão os riscos e ameaças, através do conhecimento de possíveis vulnerabilidades, e de um plano de riscos.
Desta maneira, o documento apresentará ações e procedimentos de segurança, capacitando assim os recursos humanos em maneiras de preservar a informação dentro da organização.
Este documento contém as normas responsáveis por assegurar que a informação esteja devidamente tratada nos cinco seguintes tópicos:

  • Disponibilidade: Toda vez que for necessária, a informação deverá estar disponível para todas as pessoas que necessitem utiliza-la;
  • Confidencialidade: A informação deve ser classificada de maneira que somente pessoas autorizadas tenham acesso a ela;
  • Integridade: Alterações que venham a ser necessárias nas informações só devem ser realizadas por pessoas autorizadas;
  • Autenticidade: A informação deve se manter original ao seu propósito, independente de como for utilizada;
  • Privacidade: Os locais onde informações sensíveis são manipuladas ou tratadas terão seus acessos restringidos e controlados por sistemas eletrônicos.

4. Classificação da Informação

4.1 Processo de gerenciamento da informação

As informações da MOST serão classificadas segundo o seguinte processo de gerenciamento:

Processo de gerenciamento da informação

4.2 Inventário de Ativos

O principal objetivo da segurança da informação é proteger os sistemas de informação contra usuários não autorizados, contra modificações, vazamentos e acessos não autorizados de dados.
Seguindo as políticas da empresa MOST, a informação pode estar contida em:

  • Mídia digital;
  • Sistemas de informação / bases de dados;
  • Documentos impressos ou escritos;
  • Equipamentos capazes de armazenarem dados;
  • Informações verbais;
  • Internet;
  • Cloud Computing;
  • E-mails.

4.3 Classificação da informação

A classificação da informação tem como objetivo criar uma hierarquia para os vários tipos de informação que circulam dentro da organização, de forma que somente a informação necessária estará disponível para o funcionário de acordo com seu papel dentro da empresa;
Para obter um gerenciamento das informações durante o seu ciclo de vida (criação, manuseio, transporte, armazenamento, descarte), é necessário classificar a informação em diferentes níveis:

  • Confidencial: Informações que devem ser mantidas em caráter de sigilo, disponíveis apenas para pessoas autorizadas, e que influem diretamente na responsabilidade de sigilo e continuidade do negócio, caso sejam divulgadas. São consideradas informações confidenciais, para os fins desta Política, quaisquer informações consideradas não disponível ao público ou reservadas, dados, especificações técnicas, desenhos, manuais, esboços, modelos, amostras, materiais promocionais, projetos, estudos, documentos e outros papéis de qualquer natureza, tangíveis ou em formato eletrônico, arquivos em qualquer meio, programas e documentação de computador, comunicações por escrito, verbalmente ou de outra forma reveladas pela MOST sobre ela mesma ou sobre seus clientes e parceiros, e obtidas pelo funcionário em decorrência da execução de suas atividades profissionais;
  • Restrita: Informação estratégica que deve estar disponível apenas para grupos restritos de colaboradores. É protegida por senhas com acesso restrito à uma pasta ou diretório da rede;
  • Interna: Informação que poderá ser acessada e utilizada por todos os funcionários da organização, mais em nenhuma hipótese deverá ser divulgada para pessoas externas;
  • Pública: Informação isenta de qualquer restrição para divulgação. Podem ser acessadas tanto pelos funcionários quanto pelo público.

4.4 Rótulos da informação

Se a informação NÃO FOR PÚBLICA, a mesma deve ser rotulada no momento em que forem geradas, armazenadas ou disponibilizadas.
A rotulagem da informação é responsabilidade do proprietário da informação.

  • Informações em papel: Usar carimbo ou marca d´água;
  • Informações por e-mail: Rotulada com a classificação que lhe é inerente;
  • Informações digital: Rotulada com a classificação que lhe é inerente.

4.5 Manuseio de Ativos de Dados

O manuseio de dados deve contar com regras de acordo com o nível de confidencialidade. As informações que carecem de restrição ao serem transmitidas, devem estar rotuladas como tal.

5. Normas

O principal objetivo da segurança da informação é proteger os sistemas de informação contra usuários não autorizados, contra modificações, vazamentos e acessos não autorizados de dados.
Seguindo as políticas da empresa MOST, a informação pode estar contida em:

  • Recursos Humanos;
  • Em papel impresso ou escrito;
  • Documentos eletrônicos;
  • Internet;
  • Cloud computing (nuvem);
  • Sistemas de informação / Banco de dados;
  • Informações verbais;
  • E-mail.

5.1 Responsáveis pelo Normativo e seu Funcionamento

A elaboração das normas contidas neste documento é de responsabilidade da Diretoria de TI da MOST, que deverá assegurar o atendimento integral ao que ficou estabelecido pela legislação pertinente à proteção de dados vigente e aplicável à MOST.

Caberá a este diretor a atualização e divulgação das normas, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, junto a todo o corpo de funcionários, diretores, colaboradores e parceiros da empresa.
Uma cópia digital deve ser encaminhada a todos, via e-mail, e com solicitação de recebimento e ciência do destinatário.
Os setores responsáveis pelo cumprimento dos normativos são:

  • Diretoria de TI
    • Diretor – Elaboração, atualização e divulgação das normas;
    • Infraestrutura – Controle de acessos, monitoramento de ativos e gestão da rede, e controle e atribuições dos dados de acesso a Banco de Dados e Repositórios de dados.
  • Gerente de RH
    • Realizar, no processo de admissão de novos recursos, o seguinte:
      • Preenchimento do modelo de cadastro de acessos a ser encaminhado para o coordenador de infraestrutura;
      • Providenciar a geração de crachá de identificação e acesso físico ao edifício e às instalações da MOST, de acordo com o setor de trabalho do contratado;
    • Realizar, no processo de desligamento de recursos, o seguinte:
      • Recolher os crachás de acesso;
      • Comunicar ao coordenador de infraestrutura do desligamento do recurso, para a retirada de todas as permissões de acesso dados ao recurso desligado.

5.2 Normas Gerais

a) Os equipamentos usados na atividade profissional são disponibilizados pela empresa MOST e devem ser utilizados de forma ética e em conformidade com as normas de conduta e segurança estabelecidas, em particular com a Política de Segurança da Informação da empresa. Para tanto, a empresa se reserva do direito de controlar e monitorar seus conteúdos e formas de utilização, via MAC address, já que o objetivo de todos os recursos e equipamentos de comunicações deve ser o trabalho.
b) As portas de conectividade (USB, CDs etc) de todos os equipamentos da empresa são, por padrão, bloqueados. As exceções serão tratadas pela Diretoria de TI.
c) Equipamentos particulares/privados, como computadores ou quaisquer dispositivos portáteis que possa armazenar e/ou processar dados, não devem ser usados para armazenar ou processar informações relacionadas com o negócio, nem devem ser conectados às redes da Organização.
d) Os recursos de comunicação internos da empresa incluem o uso da internet, telefones fixos e celulares corporativos, bem como correio eletrônico, e devem ser utilizados sempre de maneira ética pelos funcionários.
e) Caberá à Diretoria de TI a definição de quais sites e redes sociais poderão ser acessados pelos colaboradores.
f) Caberá ao setor de infraestrutura o monitoramento de acesso não autorizado na rede, e a sua informação ao seu gestor responsável, para que as devidas medidas sejam tomadas.
g) Todos os e-mails deverão ser rotulados de acordo com a classificação da informação que lhe é inerente.
h) Realização de downloads só será permitido quando for estritamente necessário ao trabalho do colaborador, que deverá solicitar autorização, via HELP DESK.
i) Os ambientes de trabalho da MOST serão monitorados por câmeras dia/noite, com sensores de movimento, dispostas em locais estratégicos, e ligadas a uma rede independente de internet, 24 horas por dia, sob controle e monitoramento dos gestores da empresa.

5.3 Normas dos Usuários

a) Executar todas as normas definidas neste documento de Política de Segurança da Informação durante o período em que estiver vinculado à empresa;
b) O uso do crachá de identificação e controle de acesso é obrigatório para todos os funcionários, gestores e visitantes, enquanto estes estivem nas dependências da empresa, em local visível;
c) Sempre que possível, propor idéias e melhorias que de alguma forma possam vir a agregar novas medidas de segurança para toda a empresa;
d) Todo recurso deverá comunicar imediatamente ao seu superior, qualquer incidente que venha a acontecer, e que possa prejudicar a segurança da informação, para que este tome as medidas cabíveis com relação ao problema;
e) Não executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da empresa;
f) Não executar programas que tenham como finalidade a decodificação de senhas, o monitoramento da rede, a leitura de dados de terceiros, a propagação de vírus de computador, a destruição parcial ou total de arquivos ou a inoperância de serviços;
g) Impedir o uso de seu equipamento por outras pessoas, enquanto este estiver conectado/logado com sua identificação;
h) Sempre bloquear o equipamento ao se ausentar de seu posto de trabalho;
i) Alterar suas senhas, sempre que suspeitar de qualquer comprometimento de seu sigilo;
j) Quando o usuário necessitar de acesso às maquinas virtuais contidas nos Terminal Services, ou acesso a arquivos aos quais não possui permissão, deverá solicitar estes acessos, através do sistema de chamados HELP DESK. O gestor do HELP DESK irá direcionar, para a instância responsável, a avaliação do pedido, e em caso positivo, providenciar a liberação do acesso;
k) É estritamente proibido divulgar quaisquer informações para pessoas não ligadas às atividades da empresa MOST, salvo quando devidamente autorizado pelos gestores da empresa;
l) Não são permitidas alterações nos sistemas padrões da empresa;
m) Não utilizar quaisquer recursos ou equipamentos disponibilizados para fins diversos daqueles necessários ao desempenho da sua atividade;
n) Com relação às políticas de tratamento de Informações Confidenciais, são responsáveis pela observância os diretores, empregados, agentes e consultores (incluindo advogados, auditores e consultores financeiros) da MOST. Todos aqueles que receberem informações confidenciais deverão mantê-las e resguardá-las em caráter sigiloso, bem como limitar seu acesso, controlar quaisquer cópias de documentos, dados e reproduções que porventura sejam extraídas das mesmas. Nenhuma das informações confidenciais podem ser repassadas para terceiros sem consentimento por escrito dos gestores responsáveis na MOST. Qualquer revelação das informações confidenciais deverá estar de acordo com os termos e condições estabelecidos neste documento. As informações confidenciais somente poderão ser utilizadas para fins de execução dos trabalhos, e deverão ser resguardas de forma estrita, e jamais reveladas, a não ser para aqueles que eventualmente também estejam autorizados a recebe-las. Qualquer vazamento ou quebra de sigilo das informações deverão ser informados, prontamente, aos gestores responsáveis.

5.4 Normas de “mesa e tela” Limpas

Nenhuma informação confidencial deve ser deixada à vista, seja em papel ou em qualquer dispositivo, eletrônico ou não. Esta regra tem como principal finalidade reduzir riscos de fraudes, violações, roubos e até acessos não autorizados de informações que possam ser obtidas por documentos, livros, manuais, mídias, arquivos e outras fontes de informação que estão sendo deixadas à vista.

a) As informações devem ser protegidas e tratadas com um alto grau de segurança e confidencialidade;
b) Informações sensíveis e/ou sigilosas não devem ficar nas mesas dos colaboradores. Quando não estiverem sendo utilizadas, elas devem ser armazenadas nas gavetas chaveadas de cada mesa, ou na ausência das gavetas, nos escaninhos individuais disponibilizados pela MOST;
c) Todos os aparelhos de telefones devem estar protegidos contra uso não autorizado;
d) Ao usar uma impressora coletiva, recolher o documento impresso imediatamente;
e) Para evitar qualquer dano a equipamentos e/ou documentos, não realizar refeições sobre as mesas de trabalho. As refeições devem ser realizadas exclusivamente no refeitório;
f) Os terminais de computador não devem ser deixados “logados” quando não houver um operador (usuário) junto dos mesmos, e devem ser protegidos por senhas e outros controles quando não estiverem em uso.

5.5 Normas para Acesso Físico

O acesso a todos os espaços físicos da MOST é controlado por portas, cuja abertura é comandada por crachás com RFID ou por aposição de senhas individuais em teclado.
Os setores protegidos deverão estar com as suas portas fechadas.
Os crachás e senhas são compatível com as funções desempenhadas por cada um de seus portadores e pela sensibilidade das informações contidas e tratadas em cada um dos espaços da empresa.
A determinação de quem acessa cada um dos ambientes é determinado pelo Diretor de TI.
Visitantes e terceiros devem ser atendidos e contidos, na área da recepção ou nas salas de reunião. Somente quando devidamente autorizado pelos gestores da empresa, o visitante ou terceiro poderá adentrar alguma área interna, e para isso deverão estar portando o crachá de visitante e permanentemente acompanhados por um funcionário/representante da MOST, que que sua vez assumirá as responsabilidades pelos riscos à segurança que possam ser causados pelo(s) seu(s) acompanhado(s).

5.6 Normas para Senhas

A senha é o meio pelo qual o colaborador poderá validar seus dados para acessar os sistemas da empresa, correios eletrônicos e perfis nas maquinas, e para tanto, devem obedecer às seguintes políticas:

a) Ao novo colaborador, quando lhe for passada a senha inicial, ele deverá alterá-la, observando as seguintes recomendações;
Utilizar letras e números

  • Misturar caracteres maiúsculos e minúsculos;
  • Não utilizar senhas com letras ou números repetidos ou em sequência:
  • Não utilizar informações pessoais fáceis de serem obtidas, como data de nascimento, nomes e sobrenomes, números de telefone, e outros dados de fácil identificação;
  • Digitar as senhas rapidamente, tomando cuidado com a observação de terceiros;
  • As Senhas devem ter o tamanho fixo de 08 posições;
  • Não permitir o reuso da última senha cadastrada;
  • Obrigatoriedade de reinserção da senha a cada 15 minutos de inatividade na estação de trabalho.

b) A área de infraestrutura irá forçar a atualização constantemente das senhas, observando sempre um período máximo de três meses entre elas, ou sempre que suspeitar de qualquer comprometimento de seu sigilo;
c) As senhas são de uso pessoal e intransferível;
d) Responder pelas consequências de atos causados pelo uso indevido de suas senhas;
e) Caso um recurso seja desligado da empresa, o responsável pelo setor de RH enviará um e-mail para o gestor da rede solicitando que o seu login e sua senha sejam desativados, atualizando o registro do funcionário nos sistemas de controle da empresa, para fins de verificação.

5.7 Normas para infraestrutura

a) Caberá aos responsáveis do departamento de infraestrutura monitorar os acessos à rede e sua utilização, observando os seguintes aspectos:

  • Controle e monitoramento de acessos/permissões
  • Monitoramento de Firewall
  • Monitoramento nos servidores
  • Monitoramento de versões de software
  • Monitoramento do tráfego
  • Ativos utilizados e compartilhamentos
  • Downloads efetuados
  • Endereços IPs
  • Monitoramento dos serviços de Cloud (AWS e Google GCP)
  • Versão 2.1 de 14/07/2020

b) Definir e adquirir ferramentas para gravação de registros de logs, seja para a internet ou para os sistemas internos da empresa;
c) Acesso às máquinas virtuais (terminal services), só serão realizadas mediante avaliação e autorização do departamento de infraestrutura;
d) O responsável pela infraestrutura obterá os logs semanais de acesso à internet, e o enviará ao diretor de TI, semanalmente, para seu conhecimento e avaliação;
e) O Coordenador de Infraestrutura é responsável pelo monitoramento constante (24 horas por dia) do uso dos serviços em nuvem (Cloud), para acompanhamento das equipes de desenvolvimento e suporte.

5.8 Normas de uso de ferramentas de suporte e desenvolvimento

a) Caberá ao Diretor de TI definir o tipo de acesso que cada membro das equipes possuirá, e de acordo com as funções específicas de cada um.
b) Caberá ao coordenador de Infraestrutura o controle e atribuição dos dados de acesso das ferramentas descritas abaixo, conforme definido pelo Diretor de TI:

  • Sistemas Gerenciadores de Banco de Dados
  • Sistemas internos (HELP DESK)
  • Repositório de dados
  • FTP
  • Controle de chamados internos
  • Serviços Cloud

6. Penalidades

a) Caso as normas e políticas descritas neste documento não sejam cumpridas, o funcionário estará sujeito a punições, de acordo com seu vínculo empregatício, e conforme os compromissos assumidos no Termo de Sigilo e Responsabilidade por ele assinado na data de sua admissão;
b) Despesas geradas causadas pelo não cumprimento dos procedimentos de segurança citados neste manual, deverão ser assumidas exclusivamente pelo empregado envolvido na falha;
c) Infrações a este regulamento da MOST, que venham a causar danos a imagem da empresa, a seus empregados ou clientes, devem ser punidas imediatamente, iniciando por uma advertência, e em casos mais graves, o desligamento da empresa.

7. Gerenciamento de Riscos

Os procedimentos, os controles e as tecnologias a serem utilizados no gerenciamento de riscos e na resposta a incidentes, em conformidade com as diretrizes da política de segurança, estão descritos no documento “Plano de Contingência”.

Neste mesmo documento estão descritas as práticas adotadas de governança corporativa e de gestão dos serviços em nuvem, assim como a política de back-ups de segurança e de descarte de informações.

8. Revisões de Aprimoramento

Na busca do aprimoramento e evolução das normas, sistematicamente esta Política de Segurança da Informação será revisada pela Diretoria de TI, juntamente com os principais atores e gestores da empresa.

 

Versão 2.1 de 14/07/2020