Política de Segurança da Informação
1. Objetivo
Esta política de segurança da informação tem como principal objetivo documentar e proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização e é realizada com o fim de atender os princípios básicos da segurança da informação, conhecidos pelo acrônimo CID: confidencialidade, integridade e disponibilidade.
2. Abrangência
Todos os colaboradores, fornecedores, visitantes, clientes, pessoas de modo geral que possuem alguma troca de informações com a ART IT.
3. Definições
Essa política deve ser divulgada a todos os colaboradores da ART, ela não abrange somente os sistemas computacionais, o conceito deve ser aplicado a todos os aspectos de proteção relacionada a tecnologia, procedimentos e pessoas.
4. Acesso à Informação
4.1 Politica de Senhas
A senha a forma mais convencional de identificação e acesso do usuário, é um recurso pessoal e intransferível que protege a identidade do colaborador.
Seguem abaixo regras que devem ser seguidas para elaboração de senhas seguras:
A senha é de total responsabilidade do colaborador, sendo expressamente proibida sua divulgação ou empréstimo, devendo ser imediatamente alterada no caso de suspeita de divulgação;
A senha inicial só será fornecida ao próprio colaborador, que deverá efetuar sua alteração para que tenha acesso aos sistemas;
É proibido o compartilhamento de login para funções de administração de sistema;
As senhas não devem ser anotadas;
É proibido o compartilhamento de senha com terceiros;
É proibido utilizar a senha em equipamentos de terceiros;
As senhas deverão seguir os seguintes pré-requisitos: a. Tamanho mínimo de oito caracteres; b. Possuir pelo menos 3 caracteres dos seguintes tipos: letras maiúsculas, letras minúsculas, números e caracteres especiais; c. Não devem ser baseadas em informações pessoais de fácil dedução (aniversario, nome do pai, etc...); d. As senhas precisarão ter validade de 60 dias; e. Não poderão repetir senhas anteriores (últimas 3 senhas).
O acesso do colaborador deverá ser imediatamente cancelado nas seguintes situações: a. Desligamento do colaborador; b. Mudança de função do colaborador; c. Quando, por qualquer razão, cessar a necessidade de acesso do colaborador ao sistema ou informação.
Para os cancelamentos acima mencionados, a área de Recursos Humanos ficará responsável por informar prontamente a equipe de Infra Estrutura acerca dos desligamentos e mudança de função dos colaboradores.
4.2 E-mail
O e-mail é uma das principais ferramentas de comunicação. No entanto, também é uma das principais vias de disseminação de malwares, vírus e SPAMs, por isso surge a necessidade de normatização de seu uso.
O e-mail corporativo é destinado a fins profissionais, relacionados às atividades dos colaboradores;
Os e-mails enviados ou recebidos de endereços externos poderão ser monitorados com o intuito de bloquear spams, malwares, vírus ou outros conteúdos maliciosos que violem a Política de Segurança da Informação;
É proibido enviar, com endereço eletrônico corporativo, mensagens com anúncios particulares, propagandas, vídeos, fotografias, músicas, mensagens do tipo “corrente”, campanhas ou promoções;
É proibido abrir arquivos com origens desconhecidas anexadas a mensagens eletrônicas;
É proibido falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários;
Produzir, transmitir ou divulgar mensagem que: a. Contenha ameaças eletrônicas, como: spam, phishing, mail bombing, mailwares; b. Contenha arquivos com código executável: .exe, .cmd, .pif, .js, .hta, .src, .cpl, .reg, .dll, .inf, ou qualquer extensão que represente risco à segurança; c. Vise obter acesso não autorizado a outro computador, servidor ou rede; d. Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado; e. Vise burlar qualquer sistema de segurança; f. Vise vigiar secretamente ou assediar outro colaborador; g. Vise acessar informações confidenciais sem explicita autorização do proprietário; h. Tenha conteúdo impróprio, obsceno ou ilegal; i. Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros; j. Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos; k. Dados pessoais tanto de colaboradores da ART IT quanto de terceiros.
O uso de e-mails pessoais é aceitável, se usado com moderação, em caso de necessidade e quando: a. Não contrariar as normas aqui estabelecidas; b. Não interferir, negativamente, nas atividades profissionais individuais ou na de outros colaboradores.
4.3 Acesso a rede
O acesso a rede interna da ART IT deve ser devidamente controlado para que os riscos de acessos não autorizados e/ou indisponibilidade das informações sejam minimizados. Assim, é preciso que sejam instauradas algumas regras, listadas abaixo:
A Internet sem fio deverá ser acessada utilizando usuário e senha de rede;
É proibido visitantes terem acesso a rede sem fio da ART IT, para este tipo de acesso será disponibilizada uma rede específica que não terá conectividade com a rede local da ART IT;
O uso, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente são expressamente proibidos;
Os colaboradores e visitantes não poderão utilizar os recursos da ART IT para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional;
Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso;
Documentos digitais de condutas consideradas ilícitas, como por exemplo, apologia ao tráfico de drogas e pedofilia, são expressamente proibidos e não devem ser acessados, expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso;
Os colaboradores e visitantes não poderão usar os recursos da ART IT para deliberada ou inadvertidamente propagar qualquer tipo de vírus, worms, cavalos de troia, spam, ou programas de controle remoto de outros computadores;
Não serão permitidos software peer-to-peer;
Não serão permitidas tentativas de burlar os controles de acesso à rede, tais como utilização de proxies anônimos e estratégias de by pass de firewall;
Não serão permitidos o uso de aplicativos de reconhecimento de vulnerabilidades, análise de tráfego, ou qualquer outro que possa causar sobrecarga ou prejudicar o bom funcionamento e a segurança da rede interna, salvo os casos em que o objetivo for realizar auditorias de segurança.
5. Classificação da Informação
A classificação da informação consiste na definição de níveis de proteção que cada dado deve receber, ela serve para garantir que nenhum dado seja divulgado indevidamente e que apenas as pessoas que tem direito recebam acesso à informação.
Deverá estar alinhada com as definições da LGPD, que define as normas como se dará a coleta, tratamento, proteção e publicação de dados pessoais e sensíveis.
5.1. Responsabilidade e Princípios da Classificação da Informação
Gestor da segurança da informação é o responsável por solicitar a classificação do sigilo das informações aos colaboradores ao qual foi delegada esta autoridade;
A classificação da informação deve levar em consideração: a. A necessidade de proteger as informações de acordo com sua importância e suas conseqüências, caso estas sejam comprometidas; b. As regulamentações e exigências legais; c. As obrigações contratuais.
A classificação da informação deve existir independentemente do formato, local e da mídia de armazenamento;
As concessões de acesso aos ambientes computacionais, pastas de rede, dispositivos de rede e outros que possibilitem acesso às informações da ART IT, devem ter aprovação dos seus respectivos gestores da informação;
O respectivo gestor da informação de cada área deve realizar periodicamente um processo de análise de classificação, para avaliar se a informação permanece com o mesmo nível de sigilo ou se deve ser solicitada sua reclassificação.
Os direitos de acesso dos colaboradores às informações devem ser periodicamente revistos e atualizados pelos seus respectivos gestores da informação;
Nos casos em que houver a combinação de várias informações diferentemente classificadas, as informações resultantes devem ser classificadas adotando-se ao nível de classificação mais alto de restrição.
5.2. Níveis de Classificação
A designação do nível de segurança de uma determinada classificação constitui a pilastra que vai possibilitar determinar as salvaguardas mínimas necessárias para proteger informações sensíveis e garantir a continuidade operacional crítica da capacidade de processamento das informações.
Confidencial: é o nível mais alto de segurança dentro deste padrão, as informações confidenciais são aquelas que, se divulgadas interna ou externamente, tem potencial para trazer grandes prejuízos financeiros ou a imagem da ART IT. Portanto, nessa classificação incluem-se todos os dados pessoais e sensíveis (definido como DP na ABNT NBR ISO/IEC 27701) que se encontram descritos na LGPD (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018).
Confidencial-DP: é uma subclassificação da classificação Confidencial para dados pessoais e/ou sensíveis (DP) para dar tratamento adequado e, seguir os processos destinados a DP, conforme LGPD;
Restrita: é o nível médio de confidencialidade, são informações estratégicas que devem estar disponíveis apenas para colaboradores previamente autorizados;
Uso interno: representa baixo nível de confidencialidade, informações de uso interno são aquelas que não podem ser divulgadas para fora da ART IT, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação neste nível está relacionada principalmente à integridade da informação;
Pública: são dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público.
5.3. Ciclo de Vida da Informação
O ciclo de vida da informação corresponde aos momentos vividos pela informação e que são evidentes quando os ativos físicos, tecnológicos e humanos fazem uso da informação, garantindo processos que suportam a operação da organização.
Neste sentido, o ciclo de vida da informação merece atenção, pois corresponde às situações em que a informação é exposta a ameaças, colocando em risco sua integridade. Assim, podemos destacar quatro fases relativas ao ciclo de vida:
1ª Fase: quando a informação é criada e manipulada, seja ao folhear papéis, digitar informações recebidas ou até mesmo o uso de senha de acesso para autenticação;
2ª Fase: quando a informação é armazenada, seja em banco de dados, anotações em papel, mídia ótica, etc.;
3ª Fase: quando a informação é transportada, seja por e-mail, postal, telefone, etc.;
4ª Fase: quando a informação já não é mais útil e deve ser descartada (ex: depositada em uma lixeira, apagada do banco de dados, etc.).
Considerando o ciclo de vida da informação em relação ao descarte, deve-se observar os prazos máximos de restrição de acesso, conforme descrição a seguir:
Informação Confidencial: 30 anos;
Informação Confidencial-DP: conforme tabela de Guarda de documentos Trabalhistas, Previdenciários e FGTS, disponível no Departamento Pessoal da ART IT;
Informação Restrita: 10 anos;
Uso interno: conforme determinar o gestor da informação;
Uso público: conforme determinar o gestor da informação.
O nível de classificação poderá mudar durante o ciclo de vida, de forma que uma informação “confidencial” poderá ser considerada “restrita” posteriormente, por exemplo, desde que a autoridade delegada responsável assim estabeleça, respeitando o ciclo de vida da reclassificação.
5.4. Boas Práticas
É preciso atenção especial para evitar que informações sensíveis não sejam solicitadas erroneamente, pelo gestor da informação, como classificação pública, de forma que devem ser adotados critérios para se decidir quais informações podem ser classificadas como públicas;
As informações de caráter confidencial devem ter sua classificação estampada;
As informações que não possuírem classificação de forma explícita, não eximem o gestor da informação da responsabilidade de avalia-las e solicitar para que sejam classificadas adequadamente;
A utilização e o acesso das informações produzidas ou recebidas devem ser feitos de acordo com sua classificação, atribuindo aos respectivos usuários as permissões mínimas necessárias ao desempenho de suas atividades;
O processamento, armazenamento, transmissão e eliminação da informação devem ser feitos de acordo com sua classificação, nos moldes da legislação vigente;
O armazenamento da informação deve considerar medidas de proteção lógica e física, de acordo com sua classificação, de forma que a informação seja acessada apenas por usuários autorizados;
A eliminação da informação deve ocorrer de forma permanente, seguindo procedimentos determinados, e que podem abranger a utilização de fragmentadores de papel, desmagnetizadores de disco rígido, dentre outros recursos;
A informação deve ser classificada antes de ser divulgada, sob o risco de perder o caráter sigiloso, se for o caso.
6. Conscientização e Treinamento
O objetivo é que todos os colaboradores tenham um nível adequado de conhecimento sobre segurança, além de um senso apropriado de responsabilidade. A ideia é estar sempre estimulando e motivando os colaboradores a se preocuparem com a segurança e privacidade.
Deve fazer parte do cronograma de treinamento corporativo, treinamentos específicos sobre segurança da informação e LGPD, manter um controle de quantos colaboradores participaram de treinamentos, visto que colaboradores novos podem chegar na empresa.
Além dos treinamentos, avisos, lembretes ou boletins informativos de boas práticas devem ser utilizados constantemente para fixar os itens mais importantes.
O calendário de conscientização deve ser anual, definido no inicio do ano e divulgado para toda a empresa.
7. Continuidade do Negócio
O processo de gestão de continuidade de negócios relativo a segurança da informação, é implementado para minimizar os impactos e recuperar perdas de ativos da informação, após um incidente crítico, retornando a operação a um nível aceitável, através da combinação de requisitos como operações, colaboradores chaves, mapeamento de processos críticos, análise de impacto nos negócios e testes periódicos de recuperação de desastres.
Referido processo seguirá o quanto estabelecido na Política de Continuidade de Negócios da ART IT e deverá considerar, ao menos, os seguintes cenários para a realização de testes de continuidade de negócios:
Exploração de possíveis vulnerabilidades que permitam o acesso, a cópia e/ou a extração de informações e dados internos e/ou confidenciais do ambiente lógico da ART IT;
Realização de testes de intrusão a base de dados contendo informações sensíveis da ART IT;
Tempo de recuperação de acesso a informações de backup em caso de perda de informações sensíveis (RTO);
Estratégias de recuperação de informações sensíveis e serviços relevantes;
Definição da quantidade de recursos mínimos a serem recuperados em caso de falha grave de perda de dados (RPO).
8. Acesso Físico
Todo acesso físico à ART IT será identificado, de forma eletrônica para os colaboradores e manual para visitantes.
Câmeras deverão estar espalhadas nos pontos estratégicos e as gravações armazenadas em nuvem, retendo imagens por mínimo 2 meses.
Fornecedores externos deverão estar sempre acompanhados por algum colaborador da ART IT.
Todos os servidores de produção da ART IT deverão estar instalados no datacenter, onde possui controle de acesso para apenas colaboradores previamente autorizados, apenas servidores de testes poderão estar instalados fisicamente nas dependências da ART IT.
9. Plano de Resposta a Incidentes
O plano de resposta a incidentes de segurança e privacidade é basicamente um processo. Descreve como a ART IT responderá às situações de emergência e exceção. Pela gravidade, a resposta deve ser rápida e confiável, ao mesmo tempo resguardando evidências forenses que podem ajudar a prevenir novos incidentes e atendendo as exigências legais de comunicação e transparência. Para o processo funcionar e ser estabelecido é pré-requisito a preparação prévia de contínua, atendendo os seguintes itens:
Formação do Time de Resposta a Incidentes (TRI). Este é um grupo de colaboradores que deve ser designado através de Resolução da diretoria, com acessos, habilidades, responsabilidades, treinamento e conhecimentos chave para responder aos mais variados tipos de incidentes. O TRI deve ter reuniões periódicas para definir melhorias neste plano, verificação de pré-requisitos, mecanismos, atribuições, necessidade de preparo, bem como divulgação e treinamentos para os membros e demais colaboradores. O encarregado pelo tratamento de dados pessoais (DPO) e pelo menos um representante da equipe de segurança da informação devem fazer parte desse grupo;
Instalação de divulgação dos mecanismos de comunicação de incidente. Devem ser criadas, disponibilizadas e publicadas as formas de notificação à ART IT quando ocorrerem incidentes. O §1°, do Artigo 41, da Lei 13709/2018, a LGPD, estabelece: “A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sitio eletrônico do controlador.” Portanto, devem ser divulgados os e-mails: dpo@artit.com.br e seguranca@artit.com.br.
9.1 Processo Resposta a Incidentes
1. Inicio
a. Um novo incidente é notificado, por pessoa externa ou não a ART IT ou por alarme de monitoração, usando um dos mecanismos de comunicação definidos. Notificação é recebida pelo time do TRI;
2. Triagem
a. O time do TRI deve fazer a avaliação preliminar, descartando as notificações nulas ou claramente improcedentes, tomando os devidos cuidados;
b. Na avaliação preliminar, devem ser buscadas informações sobre os sistemas que foram alegadamente impactados, sua criticidade, quais os danos aparentes e o risco da situação se agravar se não houver resposta imediata;
c. Conforme a avaliação preliminar, incidentes que não envolvem sistemas online e que seguramente não apresentam riscos aumentados pela falha de ação imediata podem ser reencaminhados para tramites regulares da ART IT pela equipe de segurança da informação e DPO, caso o incidente envolva dados pessoais;
d. Em caso de incidentes que exijam resposta imediata ou melhor avaliação, o TRI deve ser acionado e passamos às fases seguintes:
3. Avaliação
a. Nesta fase deve ser iniciada uma avaliação mais detalhada do incidente. Deve-se procurar identificar a causa do incidente, endereços IP e credenciais envolvidas, transações e transferências de dados irregulares, métodos e vulnerabilidades exploradas, visando determinar ações para as demais fases. Pode ser importante engajar especialistas dos sistemas afetados para colaborar e isso deve ser feito a critério do TRI a qualquer momento que julgar adequado e viável.
4. Contenção e Erradicação
a. O objetivo das medidas de contenção e erradicação é limitar o dano e isolar os sistemas afetados para evitar mais danos. Conforme a necessidade e a autorização obtida será realizado o desligamento dos sistemas inteiros ou de funcionalidades específicas, comunicação de avisos de indisponibilidade para manutenção, sempre que possível tomando cuidados para não impactar evidências que poderiam ser utilizadas para identificar autoria, origem e método usado para quebrar a segurança.
5. Recuperação
a. Iniciar o plano de continuidade do negócio imediatamente conforme especificado;
b. A recuperação é o conjunto de medidas para restaurar os serviços completamente, mas pode ser feita de forma gradual, conforme viabilidade e decisão do responsável pelo sistema;
c. O TRI tem a responsabilidade de passar as informações que obteve para o desenvolvimento da solução e sua instalação; d. Para a recuperação devem ser tomadas medidas identificadas na avaliação, tais como: restauração de backups, clonagem de máquinas virtuais, reinstalação de sistemas, etc.;
e. Pode ser necessário o desenvolvimento e instalação de atualizações de aplicação ou do Sistema Operacional, por isso esta fase pode ser prolongada, de acordo com a priorização dada.
6. Lições Aprendidas
a. Com o incidente contido e sua resolução encaminhada, o TRI deve agendar e conduzir uma reunião de Lições Aprendidas, com convidados a seu critério, com o objetivo de discutir erros e dificuldades encontradas, propor melhorias para os sistemas e processos (inclusive deste plano de resposta a incidentes);
b. As melhorias sugeridas na reunião, com o devido consenso, devem ser encaminhadas aos responsáveis para definição sobre sua adoção.
7. Documentação
a. O TRI deve documentar o incidente em base de conhecimento apropriada, detalhando as informações obtidas, linha do tempo, atores envolvidos, evidencias, conclusões, decisões, autorizações e ações tomadas, inclusive as da reunião de lições aprendidas.
8. Comunicações
a. No caso de incidente com vazamento de dados pessoais, o DPO deve avaliar se há risco ou dano relevante aos titulares, deve fazer as comunicações obrigatórias por lei, na maior brevidade possível, no máximo em até dois dias úteis. Essas comunicações podem incluir agradecimentos ao notificador e/ou informações para os titulares dos dados.
2024 ART IT Intelligent Technology