Política de Segurança da Informação

1.    Objetivo

Estabelecer diretrizes, princípios e responsabilidades, a fim de orientar na execução das ações relacionadas ao tratamento das informações e ao uso adequado de ativos e/ou informações pelos colaboradores, estagiários, terceiros, fornecedores, parceiros e outras partes interessadas nos negócios da Compet Engenharia.

 

2.    Definições

Informação: É a reunião ou conjunto de dados e conhecimentos resultante do processamento, manipulação e/ou organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (humano ou máquina) que a recebe;

 

Segurança da Informação: É o conjunto de ações e controles que tem como objetivo garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações, contribuindo para o cumprimento dos objetivos estratégicos empresa;

 

Confidencialidade: A informação deve estar disponível e somente ser divulgada a indivíduos, entidades ou processos autorizados;

 

Integridade: Salvaguarda da exatidão da informação e dos métodos de processamento;

 

Disponibilidade: As pessoas autorizadas devem obter acesso à informação e aos ativos correspondentes sempre que necessário;

 

Conformidade: Processo de garantia do cumprimento de um requisito, podendo ser obrigações empresariais com as partes interessadas (investidores, empregados, credores, etc.) e com aspectos legais e regulatórios relacionados à administração da empresa, dentro de princípios éticos e de conduta estabelecidos pela Compet Engenharia;

 

Incidente de Segurança da Informação: Evento decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades e que afete algum dos aspectos da segurança da informação: confidencialidade, integridade ou disponibilidade;

 

Risco de Segurança da Informação: Riscos associados à violação da confidencialidade e integridade, bem como da disponibilidade das informações da companhia nos meios físicos e digitais.

 

3.    Condições de Uso

3.1. Diretrizes

Informação é Patrimônio: Toda informação gerada, adquirida, manuseada, armazenada, transportada e/ou descartada nas dependências e/ou em ativos da empresa é considerada patrimônio da empresa e deve ser utilizada exclusivamente para os interesses corporativos.

 

A Responsabilidade e o comprometimento devem ser de todos: Todos os colaboradores, estagiários, terceiros, fornecedores e parceiros, em qualquer vínculo, função ou nível hierárquico, são responsáveis pela proteção e salvaguarda dos ativos e informações de que sejam usuários ou com os quais tenham contato, tanto com a Compet Engenharia, como de seus clientes, parceiros e fornecedores, dos ambientes físicos e computacionais a que tenham acesso, independentemente das medidas de segurança implantadas.

 

O acesso à informação deve ser gerenciado: O acesso lógico, o controle de acesso físico e o uso da informação da Compet Engenharia devem ser aprovados, controlados, registrados, armazenados e monitorados, de forma a permitir a adequada execução das tarefas inerentes ao seu cargo ou função.

 

Incidentes de Segurança precisam ser tratados: Os incidentes de segurança devem ser identificados, monitorados, comunicados e devidamente tratados de forma a reduzir riscos no ambiente, evitando interrupção das atividades e não afetar o alcance dos objetivos estratégicos da Compet Engenharia.

 

Os ativos da Compet Engenharia e sua utilização podem ser monitorados: A Compet Engenharia pode monitorar o acesso e a utilização de seus ativos tecnológicos, como dos ambientes, equipamentos e sistemas da informação, de forma que ações indesejáveis ou não autorizadas sejam detectadas.

 

Auditoria de conformidade com as práticas de SI: A Compet Engenharia pode auditar periodicamente as práticas de Segurança da Informação, de forma a avaliar a conformidade das ações de seus colaboradores, estagiários, terceiros, fornecedores e parceiros em relação ao estabelecido nesta Política e na legislação aplicável.

 

3.2. Papéis e Responsabilidades

3.2.1.   Encarregado de dados (DPO)

Ø  Gerenciar, coordenar, orientar, avaliar e promover a implantação das ações, atividades e projetos relativos à Segurança da Informação na Compet Engenharia, promovendo ações de interesse da empresa, programas educacionais e de conscientização do capital humano.

 

3.2.2.   Colaboradores, estagiários, terceiros, fornecedores, parceiros e partes interessadas da Compet Engenharia.

Ø  Conhecer e cumprir as normas e orientações estabelecidas nesta Política e demais Regulamentos que compõem a Política de Segurança da Informação da Compet Engenharia;

 

Ø  Informar as situações que comprometam a segurança das informações nas unidades organizacionais da Compet Engenharia.

 

Ø  Toda informação criada, modificada no exercício das funções e qualquer informação contida em mensagens do correio eletrônico corporativo deve ser tratada como referente a Compet Engenharia, não devendo ser considerada como pessoal, particular ou confidencial, mesmo que arquivadas na sua pasta pessoal;

 

Ø  Garantir que seja conhecida e cumprida a proibição de compartilhamento ou negociação de credencias (ID, senhas, crachás, tokens e similares);

 

Ø  Garantir que os requisitos de Segurança da Informação constem nas aquisições e/ou implementações tecnológicas.

 

3.3. Treinamento, Atualização e Divulgação

Um programa de conscientização, educação e treinamento em Segurança da Informação é disponibilizado para garantia dos objetivos, princípios e diretrizes definidas nesta Política. O programa deve ser seguido adequando-se às necessidades e responsabilidades específicas de cada colaborador, estagiário, terceiro, fornecedor e parceiro da Compet Engenharia.

 

Da mesma forma, o conteúdo da Política é amplo e constantemente atualizado e divulgado. A releitura desta Política, mesmo que não seja diretamente solicitada, deve ser feita periodicamente para melhor entendimento.

 

4.   Contas e Correio Eletrônico Corporativo

O objetivo desta política é informar aos colaboradores da Compet Engenharia quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo.

 

4.1 Uso de contas corporativas

A Compet Engenharia não utiliza para o trabalho e não faz gestão de computadores pessoais ou particulares. Abaixo as diretrizes quanto ao uso de contas corporativas (E-mail) Compet Engenharia e de Clientes.


Uso de e-mail Compet Engenharia: está permitida apenas para equipamentos corporativos onde há gestão da empresa ou do cliente, exceção ao Celular onde é permitido a utilização da conta no smartphone para facilitar comunicação, caso necessária.


Uso de chave de e-mail de clientes: Permitido a utilização em máquinas corporativas desde que alinhadas ao código segurança da informação de cada cliente, cada cliente tem sua política, o colaborador que tem essa permissão deve encaminhar a aprovação formal do uso da conta para Compet Engenharia para o Setor de TI da Compet Engenharia.

 

 

 

4.2   Correio Eletrônico

O objetivo desta política é informar aos colaboradores da Compet Engenharia quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo.

 

O uso do correio eletrônico do Compet Engenharia é para fins corporativos e relacionados às atividades do colaborador dentro da empresa.

 

Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico para:


Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;


Enviar qualquer mensagem por meios eletrônicos que torne seu remetente vulnerável a ações civis ou criminais;


Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida;


Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários;


Produzir, transmitir ou divulgar mensagem que:


- contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da Compet Engenharia;


- contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador; 


- contenha arquivos com código executável (.com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;


- vise obter acesso não autorizado a outro computador, servidor ou rede;


- vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.


- vise burlar qualquer sistema de segurança;


- vise vigiar secretamente ou assediar outro usuário;


- vise acessar informações confidenciais sem explícita autorização do proprietário;


- vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;


- inclua imagens criptografadas ou de qualquer forma mascaradas;


- tenha conteúdo considerado impróprio, obsceno ou ilegal;


- seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;


- contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;


- tenha fins políticos locais ou do país (propaganda política);


- inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

 

 As mensagens de correio eletrônico poderão incluir assinatura com o seguinte formato: 

Nome do colaborador

Função

Telefone(s)

Correio eletrônico

Logo da empresa

Slogan da empresa

 

5.    Computadores e Recursos Tecnológicos

Os equipamentos disponíveis aos colaboradores são de propriedade da Compet Engenharia, cabendo a cada um utilizá-los e manuseá-los e conservá-los corretamente no uso exclusivo de suas atividades de trabalho.

 

É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um responsável de TI da Compet Engenharia, ou de quem este determinar.

 

O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar a área de TI da Compet Engenharia.

 

A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida aprovação da área de TI da Compet Engenharia. 

 

É proibido o armazenamento de arquivos pessoais e/ou não pertinentes ao negócio do Compet Engenharia (fotos, músicas, vídeos, etc..). Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente sem comunicação prévia ao usuário.

 

Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.

 

No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:

Ø  Os colaboradores devem informar a área de TI qualquer identificação de dispositivo estranho conectado ao seu computador.

Ø  É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado pela área de TI da Compet Engenharia ou por terceiros devidamente contratados para o serviço.

Ø  O colaborador deverá manter a configuração do equipamento disponibilizado pela Compet Engenharia, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações.

Ø  Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso.

Ø  Tentar ou obter acesso não autorizado a outro computador, servidor ou rede.

Ø  Burlar quaisquer sistemas de segurança.

Ø  Acessar informações confidenciais sem explícita autorização do proprietário.

Ø  Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.

Ø  Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;

Ø  Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.

Ø  Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.

 

6.    Internet

A política visa o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.

 

Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante a Compet Engenharia e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado.

7.    Senhas

Os usuários que não possuem perfil de administrador são recomendáveis ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.

 

Já os usuários que possuem perfil de administrador ou acesso privilegiado são recomendáveis utilizar uma senha de no mínimo 10 (dez) caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %) e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.

 

É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.

 

As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.

 

Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.

 

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.  Portanto, assim que algum usuário for demitido ou solicitar demissão, o RH deverá imediatamente comunicar tal fato a área de TI, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.

 

O administrador poderá ter acesso aos equipamentos dos colaboradores, exceto as senhas dos mesmos.

 

8.    Backup

Regulamentar a política de backup das informações eletrônicas, com o objetivo de estabelecer diretrizes para o processo de cópia e armazenamento, visando garantir a segurança, integridade e disponibilidade dos dados.

 

Tipos de Backups:

Ø  Backup: Cópia de segurança de informações consideradas importantes para o negócio.

Ø  Backup Completo: Cópia de segurança de todos os dados selecionados para terem uma salvaguarda de informação.

Ø  Backup Incremental: Somente os arquivos novos ou modificados desde o último backup são transmitidos.

 

Os backups são realizados em um HD de acordo com a Instrução de backup (CE-INT-A-OD083_00)

 

Os colaboradores responsáveis pela gestão dos backups deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.

 

9.    Descarte de Mídia e Papéis

Informação somente pode ser descartada depois de devido processo e autorização. Mídias somente podem ser descartadas se a informação armazenada puder ser descartada ou tiver sido preservada em outro meio.

 

O descarte de mídias será feito por meio da Instrução de descarte de mídia (CE-INT-A-OD084_00).

 

Portanto, o descarte de mídias deve compreender os métodos de controle de classificação de documentos que permitam identificar mídias contendo informações sensíveis, de maneira que sejam guardadas e destruídas de maneira segura, e a Instrução de descarte para mídia;

 

Em caso de papel, devem ser usadas fragmentadoras de papel, podendo ser fragmentado manualmente, sendo também possível destruir cartões magnéticos.

 

10. Referências

ABNT NBR ISO/IEC 27001:2013 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos.

ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação.

Atualizado em: 11/06/2024