POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - POLÍTICA ORGANIZACIONAL DE INFORMAÇÕES
Protótipo de orientação a equipe de segurança da informação corporativa que permite seguir e alinhar as boas práticas de governança e conhecimentos em TI.O texto publicado foi encaminhado por um usuário do site por meio do canal colaborativo Meu Artigo. Brasil Escola não se responsabiliza pelo conteúdo do artigo publicado, que é de total responsabilidade do autor . Para acessar os textos produzidos pelo site, acesse: https://www.brasilescola.com.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
POLÍTICA ORGANIZACIONAL
A TL Consulting é responsável pelo monitoramento de recursos computacionais e informacionais no ciberespaço, buscando antever meios que possam colocar em risco a segurança da informação de empresas do seguimento industrial.
Trabalhamos com os melhores softwares de segurança cibernética aliado a gestão de pessoas, procurando desenvolver uma cultura de boas práticas, aplicando as normativas orientadoras da ISO 27001 assim como as metodologias necessárias para cumprir a Lei Geral de Proteção de Dados Pessoais, em meio a crimes cibernéticos de todos os níveis formulamos uma politica centrada no colaborador a fim de evitar que a empresa seja vitima de ataques de engenharia social onde hackers identificam na internet funcionários que usam sistemas da empresa em seus dispostivos particulares para um trabalho remoto ou quando estão exercendo uma função em home oficce e os ciber criminosos encontram no BYOD as vulnerabilidades necessárias para a obtenção de uma informação sigilosa ou acessos restritos usando os funcionários como meio para obtenção de dados sigilosos.
Mesmo com as restrições de acesso por usuários, bloqueio de páginas específicas, filtros de spam, configuração adequada de Firewall, antivírus atualizado e uso de softwares originais ainda assim muitas são as portas que permanecem entre abertas para um evento cibernético afetar as organizações podendo partir de clientes insatisfeitos, organizações rivais ou colaboradores mal-intencionados.
Por isso a Política de segurança da informação, será aplicada a todos os colaboradores sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da EMPRESA, ou acesso a informações pertencentes à EMPRESA. Todo e qualquer usuário de recursos computadorizados da EMPRESA tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática, quando o dispositivo for utilizado fora das dependências da empresa o colaborador se responsabiliza pelo correto uso de seus acessos com o objetivo de cumprir suas funções de trabalho seja usando seus dispositivos particulares ou cedidos pela organização.
Será responsabilidade desta política:
Evitar que informações sejam divulgadas com o intuito de prejudicar a organização em quaisquer níveis sejam eles estratégico, tático ou operacional.
Será desenvolvida com o objetivo de manter a continuidade dos negócios, permitindo maior confiança e credibilidade no campo em que atua, nos colaboradores e em sintonia com a legislação vigente.
Todos os processos dentro da organização serão responsáveis por colocar em prática esta política, levando em conta seu respectivo nível de acesso em relação aos sistemas e as informações do negócio, ficará sob a responsabilidade da liderança o acompanhamento e verificação se os procedimentos estão sendo cumpridos adequadamente, assim como reportarem ao setor responsável pela política de segurança eventuais descumprimentos das normas acordadas junto a diretoria.
Após divulgada na INTRANET a política de segurança os colaboradores devem receber um treinamento junto ao setor de segurança da informação sobre suas responsabilidades com a organização em relação a esta política e declarar ciência que atitudes em desacordo com estas normas podem levar a determinadas penalidades, para findar os termos o colaborador realizará um aceite digital alegando conhecimento da política de segurança assim como se compromete a reportar seu superior imediato de eventuais problemas que possam interferir no cumprimento da mesma.
Pensando na segurança dos dados pessoais, foi aprovada a LGPD ( Leis Geral de Proteção de Dados Pessoais ) que determina uma série de cuidados e procedimentos para qualquer pessoa física ou jurídica, de direito público ou privado, que promove a coleta,tratamento, classificação e compartilhamento de informações e dados pessoais.
A LGPD veio para deixar claro que o tratamento de dados, especialmente para fins comerciais, só pode ser feito com o consentimento do titular das informações.
Para isso é preciso investir em uma nova politica de compliance digital e em uma estrutura para gerenciar o bom uso dos dados de clientes da organização.
O primeiro passo para a adequação é fazer um diagnóstico de preparação para a LGPD, que significa inicialmente verificar as bases de dados e comos eles estão sendo utilizadas.
Os profissionais dos setores de tecnologia e do jurídico com as ferramentas certas devem realizar o assessment, verificar todas as bases de dados que possam conter dados pessoais, sejam eles: nomes, documentos, endereço, telefone e até preferênciais de conumo, achar os gaps, identificar os possívels problemas e os pontos em que a Lei não é cumprida e então montar um comitê para gerenciar as mudanças necessárias, eventos e crises envolvendo quebra de privacidade dos clientes da organização.
Realizar um mapeamento completo dos processos internos, para se ter as recomendações do que fazer e de como se adequar. Essas recomendações podem ser técnicas de mudanças de processos, atualização das políticas de segurança da informação e jurídicas, novos contratos, cuidados no manuseio e tratamento dos dados, é importante destacar que este mapeamento demanda tempo e a regularização precisa ser feita para que a organização cumpra a lei que se tornará vigente a partir de agosto de 2020 para não sofrer as sanções e punições da referida lei.
Para uma melhor comodidade e possibilitar aos funcionários o trabalho remoto a qualquer momento e em qualquer lugar, em home office por exemplo, o BYOD (traga seu próprio dispositivo, em português ) permite que com funcionários e empresa fiquem cada vez mais conectados, e seja possível manter uma operação de trabalho de 24 horas por dia 7 dias por semana possibilitando que um funcionário plantonista, por exemplo, atenda de casa uma situação de um cliente que não possa aguardar o horário comercial ou de funcionamento da empresa para ter uma falha resolvida, ou ainda em um evento onde a empresa precise dispensar seus funcionários por motivos de segurança ou saúde e possa manter seus serviços em funcionamento sem prejudicar seus stakeholders.
O processo de implementação do BYOD precisará, de uma análise criteriosa, entre quais funcionários terão acesso aos sistemas da organização, quais acessos e nível que cada um terá permissão, quais aparelhos poderão acessar tais dados internos dentro e fora da organização, além de como será o acompanhamento do uso destes sistemas fora do ambiente organizacional, por isso será necesário, como politica de segurança eficaz, um alerta, onde todo acesso ou alteração nos dados ou sistemas da organização serão registrados e caso exista divergência entre a necessidade de uso e o procedimento realizado, o colaborador deverá ser advertido pelas normas internas da organização, por inlflingir as normas da politica de segurança da informação, este acompanhamento poderá ser feito pela equipe de governça e compliance com dashboards especificos para usuários que utilizam seus prórpios dispositivos para trabalhar e acabam por utilizar os sistemas internos da empresa, uma maneira de colocar em prática de forma barata e com maior segurança seria a utilização de VPN (Rede privada virtual) onde o colaborador pode acessar em seu dispostivio particular a rede da empresa via internet e com segurança de criptografia.
Mesmo o BYOD permitindo que os colaboradores se tornem, mais produtivos, satisfeitos e engajados, por utilizarem um equipamento que já dominam na vida particular, e com as configurações que são mais confortaveis a eles, por levarem seus próprios dispositivos para o ambiente de trabalho, em que podem ter como plano de fundo na área de trabalho do notebook uma foto de seus familiares ou dos animais de estimação, mesmo nos escritórios onde todos os computadores são padronizados. A segurança da informação não pode deixar de considerar que este dispositivo também é um risco, pois é necessário que o mesmo esteja dentro de algumas regras, já que não é possível saber qual o cuidado com a segurança cibernética que o funcionário tem em casa o mesmo poderia colocar toda a rede interna e de dados da empresa em risco, se em seu equipamento um malware estivesse instalado com ou sem o conhecimento dele, por isso recomenda-se que a equipe de segurança da informação avalie que aquele dispositivo atende os mesmos critérios de segurança da infromação que os dispostivos disponibilizados dentro da organização, também caberia um treinamento afim de evitar que o colaborador caia em golpes de engenharia social, onde poderia ser enviado ao mesmo pelo e-mail corporativo um link malicioso para roubar login e senha ou ainda receber um e-mail com uma falsa identificação e assinatura de e-mail de um superior passando uma alteração nos procedimentos internos da empresa.
Toda a organização deve alinhar um pensamento de segurança da informação com seus colaboradores, para tornar o trabalho mais prazeroso, cumprir as novas leis e suas demandas, respeitar os dados de seus clientes e utilizar os sistemas e recursos da tecnologia da informação da maneira mais responsável possível e assim preservar sua própria segurança e da sua empresa, pois a tecnologia é um meio para os resultados e a forma como ela será utilizada é que define se ela foi positiva ou não para os fins desejados; por isso o apoio e monitoramento de todos é importante para manter o ativo informação sempre seguro dentro e fora da organização.
OBJETIVO
Esta Política tem o objetivo de estabelecer as diretrizes que devem orientar as atitudes e o comportamento de todos os Colaboradores da organização em relação à Segurança da Informação, além de nortear a definição dos controles necessários à proteção das informações durante o tempo em que essas vigorarem.
Cada um de nós tem o dever de praticar estas regras no nosso dia-a-dia, além de reforçá- las junto aos colegas de trabalho.
PÚBLICO ALVO
Esse procedimento aplica-se a todos os Colaboradores da organização.
TERMOS E DEFINIÇÕES
- O conhecimento dos termos abaixo proporcionará um melhor entendimento dos aspectos definidos nesta Política:
- ATIVOS: são os bens, valores, créditos e direitos que formam o patrimônio da empresa;
- AUDITORIA: processo de coleta e revisão de informações de acesso de pessoas a ambientes físicos e lógicos (compreende todos os mecanismos de proteção que são baseados em softwares como criptografia, senhas, listas de acessos, firewall, redes privadas, etc.), a fim de garantir a identificação da ocorrência de falhas, fraudes ou incidentes e a adequação de procedimentos e permissões;
- AUTENTICAÇÃO: processo de confirmação da identificação, baseado em fatores biométricos (o que você é, ex.: impressão digital), na posse de dispositivos (o que você tem, ex.: Crachá com cartão magnético) ou no conhecimento de alguma informação (o que você sabe, ex.: Login e senha);
- AUTENTICIDADE: garantia de que o que foi produzido é de fato verdadeiro. Ex.: um documento assinado tem autenticidade comprovada quando a assinatura é reconhecida
- AUTORIZAÇÃO: pode ser entendido como uma ação que visa permitir ou negar acesso a algum sistema ou espaço físico;
- BYOD: (Bring your own device em inglês) A ideia é dar liberdade ao funcionário para que ele possa usar seus próprios aparelhos e dispositivos para acessar e modificar informações da empresa dentro de limites seguros;
- CONFIDENCIALIDADE: garantia de que a informação seja acessível somente a pessoas autorizadas;
- CUSTÓDIA: lugar seguro onde se guarda alguém ou alguma coisa; ato de guardar; ato ou efeito de cuidar/vigiar;
- CUSTODIANTE: responsável pela custódia;
- Dados sensíveis: Trata-se de informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial;
- Dados pessoais de crianças e adolescentes: O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal;
- Dado pessoal anonimizado: É o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- GA: Gestão de Acesso. Sistema de solicitação de acesso da organização;
- IDENTIFICAÇÃO: processo de reconhecimento da identidade de um indivíduo (ex.: apresentação da carteira de identidade na recepção; informação de nome de usuário no acesso a um sistema);
- INTEGRIDADE: salvaguarda da exatidão da informação e dos métodos de processamento;
- LEGALIDADE: garantia de que ações sejam realizadas em conformidade com os preceitos legalmente estabelecidos e que seus produtos tenham validade legal e jurídica;
- LGPD: Lei Geral de Proteção de Dados Pessoais regulamentará qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados;
- Proteção à privacidade: Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais;
- PSI: Política da Segurança da Informação;
- SEGURANÇA DA INFORMAÇÃO: conjunto de ações e controles com vista a garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e legalidade das informações;
- Transparência: Estabelecer regras claras sobre tratamento de dados pessoais.
DIRETRIZES ESPECÍFICAS
PROTEÇÃO E ACESSO À INFORMAÇÃO
A segurança das informações é fator preponderante nas atividades da organização. Em toda e qualquer ação a ser realizada, devemos considerar os riscos existentes devido às informações envolvidas.
Os controles e ações para garantir a adequada proteção às informações devem ser planejados, implementados e revistos periodicamente, sendo estabelecidos em função de avaliações de riscos para o negócio, de resultado de auditorias, de alterações nos processos ou ambientes de trabalho ou de eventos/incidentes que possam comprometer a segurança destas informações.
Estes controles e ações devem garantir conformidade com as melhores práticas internacionais de gestão, aderência às legislações e regulamentações vigentes e alinhamento com as necessidades de negócio da organização, objetivando a preservação da continuidade e da competitividade da empresa em seu mercado de atuação.
Faz parte do nosso dia-a-dia apoiar a identificação dos mesmos e garantir a implementação dos controles necessários à manutenção destes riscos em níveis aceitáveis.
Todos nós, Colaboradores da organização, teremos acesso somente às informações, ativos e ambientes que sejam imprescindíveis para o total desenvolvimento do nosso trabalho. Isto está baseado no conceito de menor privilégio e não tem o objetivo de acabar com a nossa liberdade, mas de nos proteger contra possíveis problemas relacionados a fraudes, mau uso ou vazamento de informações.
Toda informação elaborada, adquirida, manuseada, armazenada, transportada e descartada nas dependências e/ou ativos da organização, são consideradas patrimônios da empresa e devem ser utilizadas exclusivamente para fins corporativos.
Com a aproximação da data de vigência da Lei Geral de Proteção de dados, a organização deve identificar neste cenário como estes dados serão tratados, um dos pontos de maior importância é a necesidade de controladores e operadors indicarem que será a pessoa, física ou jurídica, que ficará a responsabilidade do tratamentos dos dados pessoais na empresa conhecido como “DPO” Data Protection Officer, que ficarrá encarregado também pela criação e manutenção de uma cultura de proteção de dados e privacidade, conduzir e auxiliar na na condução dos relatórios de impacto além de apoior a conscientização e capacitação dos colaboradores.
Para que a politica de segurança da informação esteja completa, dentro das especificações atuais, é recomendado a auditoria da gestão da informação que já se faz para identificar se todos os processos utilizados pela empresa para manter seus dados bem organizados. Incluindo rotinas de processamento, armazenamento, classificação, identificação e compartilhamento de registros, considerando a LGPD que divide os dados em três grupos, dado pessoal que pode ser definido como qualquer informação sobre uma pessoa, dado pessoal sensivel que esta relacionado a sua vida particular e dado pessoal anonimizado onde os dados relacionados ao titular não podem ser identificados, a partir destes critérios deve ser classificada a informação quanto à confidencialidade, é definido o grau de confidencialidade e os grupos de acesso atribuídos à informação, garantindo somente o acesso autorizado às informações e protegendo-as adequadamente, o tempo de vida desta informação deve corresponder ao tempo aceito pelo dono da informação em contrato com a organização, para que a mesma permaneça disponível pelo tempo necessário, passe por atualizações e, depois, ao perder sua serventia, seja adequadamente descartada.
Tendo em vista que a segurança da informação deve antever acontecimentos que possam colocar em risco a organização e a organização não poderá evitar eventuais desastres, manter um um processo documentado e um conjunto de procedimentos para recuperar os serviços de TI após um evento extremo é de extrema importância por isso o desenvolvimento de um Plano de Recuperação de Desastres (DRP – Disaster Recovery Plan) permite minimizar os efeitos danosos. Os setores de TI e de Negócios devem alinhar seus processos internos definir quais informações vitais a organização devem receber um cuidado maior para assegurar que suas cópias de segurança (backups) para as informaçoes vitais estão sendo regularmente produzidas, uma das formas mais eficazes de manter a disponibilidade destes dados seria utilizar o recurso de armazenamento em nuvem pois também facilitaria sua atualização constante, recomenda-se programar testes de restauração de arquivos ou de base de dados para evitar acontecimentos desagradaveis.
As pessoas responsáveis e com acesso ao Plano de Recuperação de Desastres normalmente são representantes da área chave da organização , os gerentes de TI e de negócios além da auditoria interna e aqueles que façam parte da equipe de projeto, técnica e de negócios que serão responsáveis pelo DRP e sua constante atualização de quais informações devem ser atualizadas tanto em (backups) quanto na nuvem essa manutenção de verificar se as informações mais atualizadas estão disponíveis são importantes para evitar que após um cenário de crise a organização volte a operar com informações desatualizadas ou com redunância de informações para ssim cumprir o objetivo de restaurar os recursos computacionais com as funções vitais de processamento de dados para atender as necessidades dos negócios da empresa.
COMPROMISSO E PENALIDADES
Todas as garantias necessárias ao cumprimento da PSI serão estabelecidas formalmente com os Colaboradores, fornecedores e parceiros comerciais da organização, com o apoio dos instrumentos devidos. O nosso compromisso é essencial.
O descumprimento da PSI acarretará a aplicação das sanções previstas em lei, nos regulamentos internos ou nas disposições contratuais.
Observe também todas as disposições constantes no Código de Ética e Normas de Conduta, disponíveis no manual interno da empresa.
É responsabilidade da área de Segurança da Informação, gerenciar, coordenar, orientar, avaliar e implantar ações, atividades e projetos relativos à segurança da informação na organização, promovendo ações de interesse da empresa para disseminar esta Política e sua prática na companhia.
Todo Colaborador deve zelar por suas credenciais. Portanto é proibido compartilhar ou negociar Login e senha de qualquer sistema utilizado durante o ato laboral, assim como é responsabilidade do Colaborador bloquear sua estação de trabalho sempre que se ausentar fisicamente deste local, durante a sua jornada de trabalho. O compartilhamento ou negociação do seu acesso às dependências da empresa, também são vedados.
CONTROLES
Fica sob a responsabilidade da área de Gestão de Acessos solicitar, acompanhar e testar os perfis necessários para que os Colaboradores da organização possam exercer suas funções.
As solicitações devem ser devidamente registradas via o sistema de solicitações internas da empresa e a GA seguir o processo de aprovações pertinentes ao acesso concedido.
A Auditoria TL Consulting/ORGANIZAÇÃO pode auditar e monitorar periodicamente as práticas de Segurança da Informação, de forma a avaliar a conformidade das ações de seus Colaboradores e estagiários em relação ao estabelecido nesta Política e legislação aplicável.
TREINAMENTO E DIVULGAÇÃO
O treinamento e conscientização necessários à garantia dos objetivos definidos nesta Política serão realizados adequando-se às necessidades e responsabilidades específicas de cada um de nós.
Da mesma forma, o conteúdo da PSI será ampla e constantemente divulgado, internamente. Para que o colaborador releia-o de tempos em tempos, mesmo que não seja diretamente solicitado pois a participação do mesmo é muito importante.
RESPONSABILIDADES
A Política de Segurança da Informação (PSI) da organização destina-se a todos os Colaboradores, devendo ser seguida por todos nós, independentemente de nível hierárquico, incluindo estagiários. Também deve servir de referência aos nossos fornecedores e parceiros comerciais.
Todos nós, somos responsáveis por estabelecer, prover e garantir todos os controles de acesso físico e lógico necessários à segurança das informações, ambientes e ativos de nossa propriedade ou sob nossa responsabilidade. Cada gerência deve promover e garantir o conhecimento e cumprimento da PSI entre os seus Colaboradores.
Somos corresponsáveis pela segurança dos ativos e informações que estejam sob nossa custódia ou ao que nos seja concedido acesso. Além disso, temos a obrigação de zelar pela segurança das credenciais ou identificações de acesso a ambientes físicos ou lógicos que nos sejam concedidas. Todos os atos executados com essas identificações são de nossa inteira responsabilidade. Qualquer que seja sua forma, estas identificações são pessoais e intransferíveis.
Toda informação criada, manipulada ou mantida pela organização deve ser classificada quanto à sua confidencialidade, além de ter garantidos os seus aspectos de integridade, disponibilidade, autenticidade e legalidade. A classificação é responsabilidade do dono da informação, devendo ser garantida por todos os seus custodiantes e respeitada por todos os Colaboradores, em qualquer situação.
A segurança da informação é de responsabilidade de todos. Não se exima. Ao identificar uma possível falha, fraude, problema ou incidente que possa comprometer a Segurança da Informação, devemos informar a situação identificada através do Canal de Denúncias da organização ou ao superior imediato.
AGRADECIMENTO E CONCLUSÃO
Agradeço aos professores pоr mе proporcionar о conhecimento nãо apenas racional, mаs а manifestação dо caráter е afetividade dа educação nо processo dе formação profissional, aos quais me permitiram realizar esta politica de segurança da informação.
Este protótipo serve como uma orientação a equipe de segurança da informação corporativa permitindo seguir e alinhar as boas práticas de governança e conhecimentos em TI sem levar em consideração a rede fabril da organização ao qual seria necessario considerar o isolamento das redes e uma forma de comunicação segura entre elas desenvolvendo uma zona desmilitarizada ( DMZ).
ATRIBUIÇÕES
Elaborado / Revisado por: |
TIAGO LESKI Consultor em Segurança da Informação |
DATA: 10/03/2020
|
Professor *** Coordenador de TI e Gestor de acessos |
||
Aprovado por: |
Professor *** Diretor Tecnologia Da Informação |
CONTROLE DE VERSÃO
VERSÃO: |
ITENS: |
ALTERAÇÕES: |
APROVADO POR: |
DATA: |
001 |
- |
Versão inicial de consultoria |
Professor *** |
10/03/2020 |
REFERÊNCIAS
ABNT NBR ISO/IEC 2700:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão e segurança da informação - Requisitos.
ABNT NBR ISO/IEC 27001:2013 - Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles.
Publicado por: Tiago Leski
O texto publicado foi encaminhado por um usuário do site por meio do canal colaborativo Meu Artigo. Brasil Escola não se responsabiliza pelo conteúdo do artigo publicado, que é de total responsabilidade do autor . Para acessar os textos produzidos pelo site, acesse: https://www.brasilescola.com.