Política de Segurança
Este documento tem como objetivo definir a política de Segurança da Informação da iFractal, no que diz respeito a seus colaboradores, clientes e ativos.
Índice
Objetivo
Aplicação
Referências
Glossário
Diretrizes
Responsabilidades
Alta Direção
Área de Segurança da Informação
Comitê de Segurança da Informação
Colaboradores
Penalidades
Aprovações
Objetivo
Esta Política de Segurança da Informação tem por objetivo orientar as ações necessárias sobre os requisitos estabelecidos para garantir e manter a Confidencialidade, Integridade e Disponibilidade das informações nos processos de negócio da iFractal, assegurando assim o seu cumprimento.
Aplicação
Esta Política aplica-se a todos os colaboradores da iFractal. Incluindo-se clientes, fornecedores e parceiros estratégicos que a iFractal compartilha informações.
Referências
- ABNT NBR ISO/IEC 27001:2013;
- ABNT NBR ISO/IEC 27002:2013.
Glossário
- Colaboradores – Sócios, acionistas, funcionários celetistas, jovens aprendizes, bolsistas e estagiários da iFractal.
- Cadeia de Suprimentos – Rede interligada que abrange todo o processo logístico de um produto ou serviço, revelando desde a cotação até a entrega do pedido.
- Confidencialidade – Propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, sistema ou a entidade não autorizada nem credenciada.
- Disponibilidade – Propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados.
- Informação – Dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.
- Integridade – Propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.
- Segurança da Informação – Ações que objetivam viabilizar e assegurar a disponibilidade, a confidencialidade, a integridade das informações.
- Tecnologia da Informação – Ativo estratégico que apoia processos de negócios institucionais, mediante a conjugação de recursos, processos e técnicas utilizadas para obter, processar, armazenar, disseminar e fazer uso de informações.
Diretrizes
- Garantir a Confidencialidade, Integridade e Disponibilidade das informações da iFractal, de clientes e de terceiros.
- Garantir o melhor tratamento de qualquer informação através da sua classificação.
- Garantir que os acessos lógicos e credenciais de acesso da iFractal sejam restritos e controlados.
- Garantir o descarte seguro de informações e de equipamentos de Tecnologia da Informação.
- Registrar, acompanhar, investigar, tratar e reportar os incidentes de Segurança da Informação, garantindo que os mecanismos necessários de proteção sejam implementados e mantidos para evitar novas ocorrências.
- Garantir que práticas de proteção à informação sejam adotadas nos equipamentos e no ambiente de trabalho.
- Proteger os processos de negócio contra falhas e/ou desastres significativos que possam comprometer a segurança das informações e a continuidade de negócio da iFractal.
- Garantir que toda informação gerenciada pela iFractal esteja disponível para recuperação em caso de perda.
- Garantir que informações que necessitem custódia possuam um correto tratamento devido ao seu período de retenção.
- Garantir a utilização correta de recursos de Tecnologia da Informação e de dispositivos móveis, tanto pessoais quanto de propriedade da iFractal.
- Garantir que sejam utilizadas melhores práticas de segurança e que todas as falhas sejam devidamente corrigidas nos equipamentos da iFractal.
- Garantir que os requisitos de Segurança da Informação sejam considerados na contratação de terceiros.
- Garantir que sistemas/aplicações sejam desenvolvidos de forma segura.
- Melhorar continuamente o Sistema de Gestão da Segurança da Informação.
Responsabilidades
Alta Direção
- Apoiar e incentivar a cultura organizacional de Segurança da Informação na iFractal.
- Garantir que os requisitos de Segurança da Informação estejam de acordo com os objetivos de negócio da iFractal.
- Aprovar e analisar criticamente esta Política de Segurança da Informação e suas respectivas Normas.
- Fornecer os recursos necessários para garantir o cumprimento desta Política de Segurança da Informação e suas respectivas Normas.
- Aprovar as atribuições de responsabilidades e de tarefas para a segurança da informação em toda a iFractal.
Área de Segurança da Informação
- Gerir a segurança das informações na iFractal.
- Definir e documentar as políticas e procedimentos de segurança da informação.
- Monitorar atividades relacionadas à segurança das informações da iFractal.
- Identificar, documentar e tratar incidentes, riscos, ameaças e vulnerabilidades que possam comprometer a Segurança da Informação na iFractal.
- Garantir que as diretrizes sejam praticadas e respeitadas.
Comitê de Segurança da Informação
- Analisar, aprovar e revisar a Política de Segurança da Informação e suas respectivas Normas regularmente.
- Analisar as solicitações de exceções às diretrizes das Políticas e Normas de Segurança da Informação.
- Propor a adoção de medidas corretivas e adequações normativas e procedimentais necessárias para a prevenção de situações de vulnerabilidades referentes à Segurança e Privacidade da Informação
- Avaliar ações necessárias em casos de incidentes de Segurança e Privacidade da Informação classificados como críticos.
- Discutir sobre eventuais dúvidas e emitir comunicados sobre assuntos relativos à Segurança e Privacidade da Informação.
- Propor e criar Grupos Técnicos de Trabalho para análise e manifestação sobre temas específicos.
Colaboradores
- Conhecer e cumprir as diretrizes estabelecidas por esta Política de Segurança da Informação e suas respectivas Normas.
Escritório de Processos
- Apoiar a Segurança da Informação na elaboração, revisão, controle e auditoria interna da política.
Penalidades
Para toda e qualquer infração à PSI e às Normas de Segurança da Informação deverá ser aberto um incidentes de segurança da informação, tratado de acordo com a Norma de Gestão de Incidentes de Segurança da Informação e, por conseguinte, apurada através de procedimentos internos, que deve ser conduzido pelo gestor da área em que se encontra alocado o profissional que cometeu a infração, em conjunto com o Comitê de Segurança da Informação.
Ao colaborador suspeito de cometer violações à Política e Normas de Segurança da Informação, deverá ser assegurado tratamento justo e correto, sendo que toda e qualquer medida resultante de sua infração deverá ser aplicada com proporcionalidade à ocorrência com base no Termo de Confidencialidade, Contrato de Trabalho, Manuais de conduta e Legislações vigentes e aplicáveis.
Revisão/Análise Crítica
Este documento passa a vigorar a partir de sua publicação e deve ser revisado sempre que fatores internos ou externos exigirem alteração do conteúdo deste documento ou 30 dias antes de completar um ano da publicação de sua última versão.
Index
1. Introdução
1.1. A empresa e a Política de Segurança
1.2. O não cumprimento da Política de Segurança
2. Objetivo
3. Alta Direção
4. Por que se preocupar com Segurança da Informação?
5. Classificação das Informações
6. Das responsabilidades
6.1. Dos colaboradores
6.2. Dos Gestores de Pessoas e/ou Processos
7. Autenticação e recursos digitais
7.1. Política de senha
7.2. Política de e-mail
7.3. Acesso a rede
8. Uso da estação de trabalho e equipamentos
9. Dados pessoais
10. Infraestrutura
11. Vírus e códigos maliciosos
12. Continuidade de negócio
13. Atualização desta política
Glossário
Agente: pessoa responsável por determinadas atividades na organização.
Ativo: todo e qualquer item utilizado na entrega de serviço e valor pela empresa. Colaboradores, informações, sistemas, dispositivos, softwares e processos são considerados ativos dentro de uma empresa.
Backup: cópia de segurança de uma base de dados ou sistema que, em caso de perda de dados ou demais incidentes, garante a integridade e disponibilidade de informações.
Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Desastre: evento de causas naturais, como terremotos e maremotos, que prejudicam o funcionamento de uma infraestrutura e sistemas.
Data Center: local onde estão concentrados os sistemas computacionais de uma empresa ou organização.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondente sempre que necessário.
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
LGPD: Lei Geral de Proteção de Dados, legislação que regula as atividades relacionadas a dados pessoais de seus titulares.
Log: registro de eventos relevantes em um sistema de informação, como lista de acessos, bugs e execuções em banco.
Malware: programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações.
Newsletter: também conhecido como boletim informativo, é um tipo de distribuição regular a assinantes e que aborda geralmente um determinado assunto.
Padrões mnemônicos: um padrão auxiliar de memória, que ajuda a pessoa a decorar senhas e outras informações de construções maiores usando uma combinação de iniciais e números.
Plano de Recuperação de Desastres: um conjunto de políticas e procedimentos para permitir a recuperação ou continuação da infraestrutura de tecnologia e sistemas vitais na sequência de um desastre natural ou provocado pelo homem.
Política de Privacidade de Dados: documento que define normas e procedimentos realizados na instituição no que diz respeito à proteção e o tratamento de dados pessoais. A política deve estar alinhada com os interesses da Lei Geral de Proteção de Dados.
PSI: Política de Segurança da Informação
Termo de Confidencialidade: documento entre duas partes que visa proteger dados estratégicos da parte contratante. Assim, a parte contratada assume o compromisso de não divulgar as informações às quais terá acesso em determinado projeto ou por algum período específico.
VPN: Rede Privada Virtual (Virtual Private Network) trata-se de uma rede privada construída sobre a infraestrutura de uma rede pública. Essa é uma forma de conectar dois computadores através de uma rede pública de forma mais segura.
1. Introdução
Com a preocupação de mantermos a segurança nas atividades da iFractal, apresentamos, neste documento, um conjunto de instruções e procedimentos para normalizar e melhorar a visão e atuação em segurança.
1.1. A empresa e a Política de Segurança
As regras aqui estabelecidas serão observadas em todos os seus detalhes por todos os colaboradores, parceiros, clientes e prestadores de serviços. Desta forma, quando divulgado e entregue a cópia desse documento, todos os que recebem se comprometem a respeitar todos os tópicos abordados e está ciente da repercussão de tais regras no seu dia-a-dia.
1.2. O não cumprimento da Política de Segurança
O não cumprimento desta política acarretará em sanções administrativas em primeiro momento, podendo, na reincidência ou conforme a gravidade do ato contrário à esta política, está sujeito às devidas penalidades.
2. Objetivo
Esta Política de Segurança tem como objetivo estabelecer diretrizes que permitam aos colaboradores, parceiros, clientes e prestadores de serviços da iFractal seguirem padrões de comportamento relacionados à Segurança da Informação adequados às necessidades de negócio e proteção legal da empresa e do indivíduo.
Ainda, servirá esta Política de Segurança para nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
Por fim, temos ainda como objetivo preservar as informações da iFractal, e seus clientes, quanto à:
- Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
- Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondente sempre que necessário.
3. Alta Direção
A efetividade desta Política de Segurança da Informação depende estritamente do comprometimento da alta direção. É essencial que os responsáveis por liberar recursos, aplicar sanções, criar regras e portarias apoiem esta política e demonstrem seu comprometimento para que os colaboradores se sintam motivados a cumpri-la.
A ordem expressa e o exemplo de cumprimento das cláusulas da PSI pela alta direção possibilitam:
- A inexistência de exceções à regra;
- Que a política seja um ativo estratégico;
- Que a política componha a legislação interna da iFractal;
- Que a política tenha ampla divulgação;
- Que a política seja incluída no processo de contratação de novos funcionários.
Caso esta premissa não seja cumprida, a Política de Segurança da Informação se tornará apenas um documento obsoleto, existente na teoria e não adotado na prática.
4. Por que se preocupar com Segurança da Informação?
A área de Tecnologia da Informação é responsável pela salvaguarda dos dados da organização, mas o processo de segurança da informação deve envolver todos os colaboradores, independentemente do nível hierárquico. De posse de uma informação específica, qualquer pessoa pode, por descuido e/ou com má intenção, se tornar um agente de disseminação não autorizada.
Diante disto, a presente política vem propor uma Gestão de Segurança da Informação baseada em controles e procedimentos técnicos, considerando e promovendo o comportamento dos colaboradores de forma que possa aplicar a tecnologia adequada em todo o processo e atingir efetividade em seu objetivo: entender o negócio e aplicar sua segurança.
5. Classificação das Informações
- Pública: informação que não necessita de proteção sofisticada contra vazamentos, pois pode ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares: a disponibilidade e a integridade; Exemplos de informações públicas são a Política de Privacidade de Dados e a Política de Segurança da Informação.
- Interna: representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.
- Confidencial: informação sigilosa, acessível a determinados grupos de usuários, que não deve ser disseminada ou acessada de forma externa à organização. O vazamento de uma informação de caráter confidencial têm potencial de trazer grandes prejuízos à empresa, tanto financeiramente quanto à sua imagem.
6. Das responsabilidades
6.1. Dos colaboradores
- Cumprir fielmente a presente Política de Segurança da Informação;
- Buscar o Setor de Gestão Estratégica e Diretorias para esclarecimentos de dúvidas referentes à política;
- Proteger as informações contra acesso, divulgação, modificação ou destruição não autorizados pela iFractal;
- Garantir que equipamentos e recursos tecnológicos à sua disposição sejam utilizados apenas para as finalizadas aprovadas pela iFractal;
- Descarte adequado de documentos de acordo com seu grau de classificação;
- Comunicar prontamente à gestão imediata qualquer violação a esta política, suas normas e procedimentos.
6.2. Dos Gestores de Pessoas e/ou Processos
- Aprovar a Política de Segurança da Informação e suas atualizações;
- Ter postura exemplar em relação à Segurança da Informação, servindo como modelo de conduta para os colaboradores sob sua gestão;
- Dar ciência, na fase de contratação e formalização dos contratos individuais de trabalho, à responsabilidade do cumprimento da presente política;
- Cumprir e fazer cumprir esta política, suas normas e procedimentos;
- Exigir de parceiros, prestadores de serviços e outras entidades externas a assinatura do Termo de Confidencialidade referente às informações às quais terão acesso;
- Elaborar, com o apoio do Setor de Gestão de Processos e Tecnologia da Informação, os procedimentos de Segurança da Informação relacionados às suas áreas, fornecendo informações necessárias e mantendo-os atualizados;
- Informar, sempre que necessário, atualizações referentes a processos e/ou cadastros de funcionários para que as permissões possam ser concedidas ou revogadas de acordo com a necessidade;
- Tomar as decisões administrativas referentes aos descumprimentos desta política.
7. Autenticação e recursos digitais
7.1. Política de senha
Por recomendação da iFractal, uma senha segura deve conter no mínimo oito caracteres, alternando-se entre letras maiúsculas e minúsculas, números e caracteres especiais. Para facilitar a memorização e aumentar a segurança de sua senha, priorize utilizar padrões mnemônicos, por exemplo: eSus6C!? (eu SEMPRE uso seis 6 CARACTERES!?).
As senhas são pessoais, intransferíveis e devem ser alteradas no primeiro acesso ao e-mail, sistemas e ferramentas que o funcionário da iFractal venha a utilizar no seu dia-a-dia. As senhas nos sistemas da iFractal possuem validade de 365 dias, sendo obrigatória a alteração após este período.
Tudo que for executado com o acesso de determinado funcionário, será de total responsabilidade do mesmo.
Informações de login e senha não devem ser guardadas em arquivos, tanto deixados na máquina quanto em nuvem, ou anotados e à vista no ambiente de trabalho.
Em caso de cinco tentativas falhas de acesso nos sistemas da iFractal, a senha da conta em questão é bloqueada e o funcionário deve entrar em contato com um administrador para desbloqueio e criação de nova senha. Não é possível, ao definir uma nova senha particular, utilizar alguma previamente cadastrada.
Por motivos de prestação de suporte e manutenção, cada ambiente de cliente possui um login genérico usado por diversos funcionários da iFractal, de acordo com sua função. As informações de login e senha destas contas genéricas não devem ser compartilhadas com funcionários que não se aplicam às funções ou atividades relacionadas. Para aumentar a segurança, estas senhas também passam por uma renovação periódica e automática.
7.2. Política de e-mail
Cada funcionário possui sua própria conta de e-mail corporativo, que deve ser utilizado apenas para meios profissionais e assuntos relacionados à entrega de serviço e suporte da iFractal. A conta de e-mail corporativo não pode ser utilizado para assuntos pessoais, cadastros em sites, lojas online e serviços de newsletter.
As áreas da empresa possuem grupos de e-mail, onde devem estar apenas colaboradores que exerçam funções e atividades nas áreas pertinentes. Por exemplo, apenas Analistas Comercial devem possuir acesso à caixa de e-mail comercial@ifractal.com.br, uma vez que é utilizada como canal de comunicação com clientes e revendas.
Há também contas de e-mail corporativas utilizadas, simultaneamente, por colaboradores de determinada área. Por exemplo. Analistas de Suporte possuem acesso à caixa suporte@ifractal.com.br para prestar atendimento aos clientes da iFractal.
E-mails devem ser sempre encaminhados com a assinatura do funcionário, de acordo com o padrão determinado e divulgado pela área de Marketing da iFractal.
7.3. Acesso a rede
A fim de proteger e restringir a rede da iFractal, o acesso de terceiros e visitantes deve ser realizado em uma rede própria para esta finalidade, separando da estrutura utilizada pelos funcionários.
Para redes públicas, recomenda-se que a utilização de serviços e equipamentos da iFractal sejam feitos via VPN pré-definida pela equipe de Infraestrutura.
O acesso a sites comerciais, redes sociais e afins está liberado para atividades relacionadas ao negócio. Por questões de segurança, qualquer site ou serviço na internet está sujeito a bloqueio imediato de acesso na rede interna.
8. Uso da estação de trabalho e equipamentos
Ao serem contratados, os funcionários da iFractal recebem um notebook formatado e configurado, e demais equipamentos que venham a utilizar em seu dia-a-dia. É responsabilidade do colaborador manter tais equipamento em ótimo estado de conservação e notificar seu superior em caso de problemas técnicos ou danos.
A instalação de softwares pelo colaborador é permitida, porém a área de Infraestrutura, responsável pela gestão e manutenção das máquinas, deve avaliar e autorizar o procedimento, para fins de registro no controle do ativo.
Por questão de controle de ativos, o funcionário não pode realizar alteração do nome da máquina na rede. Qualquer alteração no computador deve ser feita pela área de Infraestrutura da empresa.
O colaborador deve utilizar apenas equipamentos fornecidos pela empresa para exercer suas atividades, evitando o uso de dispositivos pessoais para fins profissionais.
9. Dados pessoais
O acesso e a manipulação de dados de nossos clientes são realizados por funcionários de acordo com suas funções e atividades na empresa. Para saber mais sobre nossas ações em relação à gestão de dados pessoais e adequação à LGPD, consulte a Política de Privacidade de Dados da iFractal.
Dados dos clientes da iFractal devem ser utilizados apenas para fins de suporte e desenvolvimento de demandas específicas, e não devem ser compartilhados com funcionários cuja função não se aplica ao conhecimento e acesso a tais informações.
10. Infraestrutura
Os servidores que armazenam as soluções da iFractal estão em área protegida pelo fornecedor do serviço, em conformidade com padrões e normas de mercado.
O acesso físico aos Data Centers é realizado de acordo com processo interno do fornecedor da infraestrutura e apenas por pessoas autorizadas. Já o acesso digital é feito apenas por colaboradores da iFractal, de acordo com suas funções e hierarquia.
Os servidores devem ser monitorados, e seus logs analisados, pela equipe responsável, para garantir a segurança e continuidade de informações e sistemas.
Os servidores dos ambientes de produção são monitorados e acessados apenas por colaboradores da equipe de Infraestrutura.
11. Vírus e códigos maliciosos
Todos os computadores da iFractal são equipados com softwares de proteção contra vírus e arquivos maliciosos, com constante atualização.
É de responsabilidade da equipe de infraestrutura da iFractal monitorar a instalação de softwares não homologados e varredura por vírus e malwares.
12. Continuidade de negócio
A iFractal mantém uma política de backups diários das bases de dados em uma infraestrutura de contingência, localizada em outro Data Center do mesmo provedor da infraestrutura principal. Em casos de indisponibilidade da estrutura principal, o ambiente de contingência é acionado até que seja solucionado o incidente.
Um Plano de Recuperação de Desastre é mantido pelo fornecedor do serviço, que deve notificar a iFractal o retorno da infraestrutura principal e relatórios sobre o incidente.
13. Atualização desta política
A atual Política de Segurança da Informação está passível de atualização a qualquer momento, ou revisão obrigatória no período de um ano após sua publicação, sem aviso prévio aos clientes da iFractal.