1.
Objetivo
Estabelecer diretrizes, princípios e responsabilidades, a fim de orientar na execução das ações relacionadas ao tratamento das informações e ao uso adequado de ativos e/ou informações pelos colaboradores, estagiários, terceiros, fornecedores, parceiros e outras partes interessadas nos negócios da Compet Engenharia.
2.
Definições
Informação: É a reunião ou conjunto de dados e conhecimentos resultante do processamento, manipulação e/ou organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (humano ou máquina) que a recebe;
Segurança da Informação: É o conjunto de ações e controles
que tem como objetivo garantir a preservação dos aspectos de confidencialidade,
integridade, disponibilidade, autenticidade e conformidade das informações,
contribuindo para o cumprimento dos objetivos estratégicos empresa;
Confidencialidade: A informação deve estar disponível
e somente ser divulgada a indivíduos, entidades ou processos autorizados;
Integridade: Salvaguarda da exatidão da informação e dos métodos de
processamento;
Disponibilidade: As pessoas autorizadas devem obter
acesso à informação e aos ativos correspondentes sempre que necessário;
Conformidade: Processo de garantia do cumprimento
de um requisito, podendo ser obrigações empresariais com as partes interessadas
(investidores, empregados, credores, etc.) e com aspectos legais e regulatórios
relacionados à administração da empresa, dentro de princípios éticos e de
conduta estabelecidos pela Compet Engenharia;
Incidente de Segurança da Informação: Evento decorrente da ação de uma
ameaça, que explora uma ou mais vulnerabilidades e que afete algum dos aspectos
da segurança da informação: confidencialidade, integridade ou disponibilidade;
Risco de Segurança da Informação: Riscos associados à violação da
confidencialidade e integridade, bem como da disponibilidade das informações da
companhia nos meios físicos e digitais.
3.
Condições
de Uso
3.1. Diretrizes
Informação é Patrimônio: Toda informação gerada, adquirida,
manuseada, armazenada, transportada e/ou descartada nas dependências e/ou em
ativos da empresa é considerada patrimônio da empresa e deve ser utilizada
exclusivamente para os interesses corporativos.
A Responsabilidade e o comprometimento devem
ser de todos: Todos
os colaboradores, estagiários, terceiros, fornecedores e parceiros, em qualquer
vínculo, função ou nível hierárquico, são responsáveis pela proteção e
salvaguarda dos ativos e informações de que sejam usuários ou com os quais
tenham contato, tanto com a Compet Engenharia, como de seus clientes, parceiros
e fornecedores, dos ambientes físicos e computacionais a que tenham acesso,
independentemente das medidas de segurança implantadas.
O acesso à informação deve ser gerenciado: O acesso lógico, o controle de
acesso físico e o uso da informação da Compet Engenharia devem ser aprovados,
controlados, registrados, armazenados e monitorados, de forma a permitir a
adequada execução das tarefas inerentes ao seu cargo ou função.
Incidentes de Segurança precisam ser tratados: Os incidentes de segurança devem
ser identificados, monitorados, comunicados e devidamente tratados de forma a
reduzir riscos no ambiente, evitando interrupção das atividades e não afetar o
alcance dos objetivos estratégicos da Compet Engenharia.
Os ativos da Compet Engenharia e sua
utilização podem ser monitorados: A
Compet Engenharia pode monitorar o acesso e a utilização de seus ativos
tecnológicos, como dos ambientes, equipamentos e sistemas da informação, de
forma que ações indesejáveis ou não autorizadas sejam detectadas.
Auditoria de conformidade com as práticas de
SI: A Compet Engenharia pode auditar
periodicamente as práticas de Segurança da Informação, de forma a avaliar a
conformidade das ações de seus colaboradores, estagiários, terceiros,
fornecedores e parceiros em relação ao estabelecido nesta Política e na
legislação aplicável.
3.2. Papéis e Responsabilidades
3.2.1.
Encarregado
de dados (DPO)
Ø Gerenciar, coordenar, orientar, avaliar e
promover a implantação das ações, atividades e projetos relativos à Segurança
da Informação na Compet Engenharia, promovendo ações de interesse da empresa,
programas educacionais e de conscientização do capital humano.
3.2.2.
Colaboradores,
estagiários, terceiros, fornecedores, parceiros e partes interessadas da Compet
Engenharia.
Ø Conhecer e cumprir as normas e
orientações estabelecidas nesta Política e demais Regulamentos que compõem a
Política de Segurança da Informação da Compet Engenharia;
Ø Informar as situações que comprometam a
segurança das informações nas unidades organizacionais da Compet Engenharia.
Ø Toda informação criada, modificada no
exercício das funções e qualquer informação contida em mensagens do correio
eletrônico corporativo deve ser tratada como referente a Compet Engenharia, não
devendo ser considerada como pessoal, particular ou confidencial, mesmo que
arquivadas na sua pasta pessoal;
Ø Garantir que seja conhecida e cumprida a
proibição de compartilhamento ou negociação de credencias (ID, senhas, crachás,
tokens e similares);
Ø Garantir que os requisitos de Segurança
da Informação constem nas aquisições e/ou implementações tecnológicas.
3.3. Treinamento, Atualização e Divulgação
Um programa de conscientização, educação
e treinamento em Segurança da Informação é disponibilizado para garantia dos
objetivos, princípios e diretrizes definidas nesta Política. O programa deve
ser seguido adequando-se às necessidades e responsabilidades específicas de
cada colaborador, estagiário, terceiro, fornecedor e parceiro da Compet
Engenharia.
Da mesma forma, o conteúdo da Política é
amplo e constantemente atualizado e divulgado. A releitura desta Política,
mesmo que não seja diretamente solicitada, deve ser feita periodicamente para
melhor entendimento.
4.
Correio
Eletrônico
O
objetivo desta política é informar aos colaboradores da Compet Engenharia quais
são as atividades permitidas e proibidas quanto ao uso do correio eletrônico
corporativo.
O
uso do correio eletrônico do Compet Engenharia é para fins corporativos e relacionados
às atividades do colaborador dentro da empresa.
Acrescentamos
que é proibido aos colaboradores o uso do correio eletrônico para:
Ø enviar
mensagem por correio eletrônico pelo endereço de seu departamento ou usando o
nome de usuário de outra pessoa ou endereço de correio eletrônico que não
esteja autorizado a utilizar;
Ø enviar
qualquer mensagem por meios eletrônicos que torne seu remetente vulnerável a
ações civis ou criminais;
Ø divulgar
informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem
autorização expressa e formal concedida;
Ø falsificar
informações de endereçamento, adulterar cabeçalhos para esconder a identidade
de remetentes e/ou destinatários;
Ø Produzir,
transmitir ou divulgar mensagem que:
·
contenha qualquer ato ou forneça orientação que
conflite ou contrarie os interesses da Compet Engenharia;
·
contenha ameaças eletrônicas, como: spam, mail
bombing, vírus de computador;
·
contenha arquivos com código executável (.com,
.bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra
extensão que represente um risco à segurança;
·
vise obter acesso não autorizado a outro
computador, servidor ou rede;
·
vise interromper um serviço, servidores ou rede
de computadores por meio de qualquer método ilícito ou não autorizado;
·
vise burlar qualquer sistema de segurança;
·
vise vigiar secretamente ou assediar outro
usuário;
·
vise acessar informações confidenciais sem
explícita autorização do proprietário;
·
vise acessar indevidamente informações que
possam causar prejuízos a qualquer pessoa;
·
inclua imagens criptografadas ou de qualquer
forma mascaradas;
·
tenha conteúdo considerado impróprio, obsceno
ou ilegal;
·
seja de caráter calunioso, difamatório,
degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
·
contenha perseguição preconceituosa baseada em
sexo, raça, incapacidade física ou mental ou outras situações protegidas;
·
tenha fins políticos locais ou do país
(propaganda política);
·
inclua material protegido por direitos autorais
sem a permissão do detentor dos direitos.
As mensagens de correio eletrônico poderão
incluir assinatura com o seguinte formato:
Ø Nome
do colaborador
Ø Função
Ø Telefone(s)
Ø Correio
eletrônico
Ø Logo
da empresa
Ø Slogan
da empresa
5.
Computadores
e Recursos Tecnológicos
Os equipamentos disponíveis aos colaboradores são de
propriedade da Compet Engenharia, cabendo a cada um utilizá-los e manuseá-los e conservá-los corretamente
no uso exclusivo de suas atividades de trabalho.
É proibido todo procedimento de manutenção física ou
lógica, instalação, desinstalação, configuração ou modificação, sem o
conhecimento prévio e o acompanhamento de um responsável de TI da Compet
Engenharia, ou de quem este determinar.
O usuário, em caso de suspeita de vírus ou problemas
na funcionalidade, deverá acionar a área de TI da Compet Engenharia.
A transferência e/ou a divulgação de qualquer
software, programa ou instruções de computador para terceiros, por qualquer
meio de transporte (físico ou lógico), somente poderá ser realizada com a
devida aprovação da área de TI da Compet Engenharia.
É proibido o armazenamento de arquivos pessoais e/ou
não pertinentes ao negócio do Compet Engenharia (fotos, músicas, vídeos, etc..).
Caso identificada a existência desses arquivos, eles poderão ser excluídos
definitivamente sem comunicação prévia ao usuário.
Documentos imprescindíveis para as atividades dos
colaboradores da instituição deverão ser salvos em rede. Tais arquivos, se
gravados apenas localmente nos computadores (por exemplo, no drive C:), não
terão garantia de backup e poderão ser perdidos caso ocorra uma falha no
computador, sendo, portanto, de responsabilidade do próprio usuário.
No uso dos computadores, equipamentos e recursos de
informática, algumas regras devem ser atendidas:
Ø Os colaboradores devem informar a área de TI
qualquer identificação de dispositivo estranho conectado ao seu computador.
Ø É vedada a abertura ou o manuseio de computadores ou
outros equipamentos de informática para qualquer tipo de reparo que não seja
realizado pela área de TI da Compet Engenharia ou por terceiros devidamente
contratados para o serviço.
Ø O colaborador deverá manter a configuração do
equipamento disponibilizado pela Compet Engenharia, seguindo os devidos
controles de segurança exigidos pela Política de Segurança da Informação e
pelas normas específicas da instituição, assumindo a responsabilidade como
custodiante de informações.
Ø Os equipamentos deverão manter preservados, de modo
seguro, os registros de eventos, constando identificação dos colaboradores,
datas e horários de acesso.
Ø Tentar ou obter acesso não autorizado a outro
computador, servidor ou rede.
Ø Burlar quaisquer sistemas de segurança.
Ø Acessar informações confidenciais sem explícita
autorização do proprietário.
Ø Interromper um serviço, servidores ou rede de
computadores por meio de qualquer método ilícito ou não autorizado.
Ø Usar qualquer tipo de recurso tecnológico para
cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação,
manipulação ou supressão de direitos autorais ou propriedades intelectuais sem
a devida autorização legal do titular;
Ø Hospedar pornografia, material racista ou qualquer
outro que viole a legislação em vigor no país, a moral, os bons costumes e a
ordem pública.
Ø Utilizar software pirata, atividade considerada
delituosa de acordo com a legislação nacional.
6.
Internet
A política visa o desenvolvimento de um
comportamento eminentemente ético e profissional do uso da internet. Embora a
conexão direta e permanente da rede corporativa da instituição com a internet
ofereça um grande potencial de benefícios, ela abre a porta para riscos
significativos para os ativos de informação.
Se existir login de uso compartilhado por mais de um
colaborador, a responsabilidade perante a Compet Engenharia e a legislação
(cível e criminal) será dos usuários que dele se utilizarem. Somente se for
identificado conhecimento ou solicitação do gestor de uso compartilhado ele
deverá ser responsabilizado.
7.
Senhas
Os usuários que não possuem perfil de administrador
são recomendáveis ter senha de tamanho variável, possuindo no mínimo 6 (seis)
caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação
entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.
Já os usuários que possuem perfil de administrador
ou acesso privilegiado são recomendáveis utilizar uma senha de no mínimo 10
(dez) caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %) e
variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.
É de responsabilidade de cada usuário a memorização
de sua própria senha, bem como a proteção e a guarda dos dispositivos de
identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em
arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana
(não criptografados); não devem ser baseadas em informações pessoais, como
próprio nome, nome de familiares, data de nascimento, endereço, placa de
veículo, nome da empresa, nome do departamento; e não devem ser constituídas de
combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
Os usuários podem alterar a própria senha, e devem
ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso
indevido ao seu login/senha.
Todos os acessos devem ser imediatamente bloqueados
quando se tornarem desnecessários. Portanto,
assim que algum usuário for demitido ou solicitar demissão, o RH deverá
imediatamente comunicar tal fato a área de TI, a fim de que essa providência
seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação
de serviços tenha se encerrado, bem como aos usuários de testes e outras
situações similares.
O administrador poderá ter acesso aos equipamentos
dos colaboradores, exceto as senhas dos mesmos.
8.
Backup
Regulamentar a política de backup das informações
eletrônicas, com o objetivo de estabelecer diretrizes para o processo de cópia
e armazenamento, visando garantir a segurança, integridade e disponibilidade
dos dados.
Tipos de Backups:
Ø Backup: Cópia de segurança de informações
consideradas importantes para o negócio.
Ø Backup Completo: Cópia de segurança de todos os
dados selecionados para terem uma salvaguarda de informação.
Ø Backup Incremental: Somente os arquivos novos ou
modificados desde o último backup são transmitidos.
Os backups são realizados em um HD de acordo com a
Instrução de backup (CE-INT-A-OD083_00)
Os colaboradores responsáveis pela gestão dos
backups deverão realizar pesquisas frequentes para identificar atualizações de
correção, novas versões do produto, ciclo de vida (quando o software não terá
mais garantia do fabricante), sugestões de melhorias, entre outros.
9.
Descarte de Mídia e Papéis
Informação somente pode ser descartada depois de
devido processo e autorização. Mídias somente podem ser descartadas se a
informação armazenada puder ser descartada ou tiver sido preservada em outro
meio.
O descarte de mídias será feito por meio da Instrução de descarte de mídia (CE-INT-A-OD084_00).
Portanto, o descarte de mídias deve compreender os métodos
de controle de classificação de documentos que permitam identificar mídias
contendo informações sensíveis, de maneira que sejam guardadas e destruídas de
maneira segura, e a Instrução de descarte para mídia;
Em caso de papel, devem ser usadas fragmentadoras de
papel, podendo ser fragmentado manualmente, sendo também possível destruir cartões
magnéticos.
10.
Referências
ABNT NBR ISO/IEC 27001:2013 Tecnologia da
informação — Técnicas de segurança — Sistemas de gestão da segurança da
informação — Requisitos.
ABNT NBR ISO/IEC 27002:2013 Tecnologia da
informação — Técnicas de segurança — Código de prática para controles de
segurança da informação.