GRUPO 5_PSI_ Anonymous Security

Prévia do material em texto

FACULDADE ESTÁCIO DE SÁ 
CURSO DE CIÊNCIAS DA COMPUTAÇÃO 
MATÉRIA: INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 
PROF.: HARILTON DA SILVA ARAÚJO 
ALUNOS(MATRÍCULA): 
Alexandre Estevan de Carvalho Araujo(202002832797) 
Lucas Pereira dos Santos(202002552051) 
Keveny Borges dos Santos(202001410261) 
Lucas Mateus da Silva Félix(202001383531) 
 
 
 
 
 
 
 
TERESINA-PI 
2020 
Pedro Virgilio Sousa Silva(202002273429)
 
 
 
 
 
 
 
 
 
 
POLITICA DE 
SEGURANÇA DA 
INFORMAÇÃO 
 
 
 
 
 
 
 
Teresina, Junho de 2020 
Versão 1.0 
 
 
 
INTRODUÇÃO 
A adoção de políticas, normas e procedimentos que visem garantir a 
segurança da informação deve ser uma das prioridades do 
Compliance, reduzindo-se os riscos de falhas, os danos e/ou os 
prejuízos que possam comprometer a imagem e os objetivos da 
organização. 
A informação pode existir e ser manipulada de diversas formas, ou 
seja, por meio de arquivos eletrônicos, mensagens eletrônicas, 
internet, bancos de dados, em meio impresso, verbalmente, em 
mídias de áudio e de vídeo, etc. 
Por princípio, a segurança da informação deve abranger três 
aspectos básicos, destacados a seguir: 
Confidencialidade: somente pessoas devidamente autorizadas pela 
empresa devem ter acesso à informação. 
Integridade: somente alterações, supressões e adições autorizadas 
pela empresa devem ser realizadas nas informações. 
Disponibilidade: a informação deve estar disponível para as 
pessoas autorizadas sempre que necessário ou demandado. 
Para assegurar esses três itens mencionados, a informação deve ser 
adequadamente gerenciada e protegida contra roubo, fraude, 
espionagem e perda não intencional, acidentes e outras ameaças. 
Em geral, o sucesso da Política de Segurança da Informação 
adotada pela Anonymous Security depende da combinação de 
diversos elementos, dentre eles, a estrutura organizacional da 
empresa, as normas e os procedimentos relacionados, à segurança 
da informação e à maneira pela qual são implantados e monitorados, 
os sistemas tecnológicos utilizados, os mecanismos de controle 
desenvolvidos, assim como o comportamento de diretores, 
colaboradores, associados e sócios. 
 
 
 
 
 
SUMÁRIO 
1 OBJETIVO ................................................................................... 6 
 
2 RESPONSABILIDADES .............................................................. 6 
 
3 CONCEITOS ................................................................................ 9 
 
4 SEGURANÇA EMPRESARIAL .................................................. 10 
 
5 SEGURANÇA DAS INFORMAÇÕES ........................................ 11 
 
6 CÓDIGOS DE ACESSO ............................................................. 21 
 
7 MEDIDAS DICIPLINARES ......................................................... 21 
 
8 DIVULGAÇÃO ........................................................................... 26 
 
9 GESTÃO DE CONTINUIDADE DE NEGÓCIOS ........................ 26 
 
10 DISPOSIÇÕES FINAIS ............................................................ 27 
 
 
 
 
 
 
1 OBJETIVO 
Este documento tem como objetivo estabelecer a política de 
segurança—de—nossa--empresa,--assegurando--seus 
funcionários e bens com métodos para evitar qualquer tipo 
de incidente que possa vir acontecer. 
2 RESPONSABILIDADES 
 Qualquer incidente que abale a segurança da informação 
deverá ser comunicado a Área de Tecnologia da; 
Informação. 
 Todos devem zelar pelos os três pilares da segurança da 
informação; 
 Comunicar prontamente à chefia imediata qualquer violação 
a esta política, suas normas e procedimentos; 
 O não cumprimento das Normas de Segurança da 
informação acarretará violação às regras internas da 
instituição e o indivíduo ou grupo será penalizado; 
 Não é permitido recusar/combater, ou ocultar os atos 
cabíveis de aplicação de medidas disciplinares. 
 2.1 Colaboradores 
 A segurança da informação deve ser comunicada na fase de 
admissão dos cooperantes. Todos os colaboradores devem 
ser orientados sobre os metodologia de segurança, bem 
como o uso correto dos ativos, a fim de reduzir possíveis 
riscos. Eles devem assinar um termo de responsabilidade a 
que cada indivíduo leu e entendeu adequadamente o 
escrito; 
 Buscar o Setor de Gestão de Informação e Informática para 
esclarecimentos de dúvidas referentes à PSI; 
 É obrigação de cada colaborador estar atualizado em 
relação a este guia e aos procedimentos e normas 
relacionadas, buscando orientação do seu Gestor ou da 
Área de TI sempre que ele não estiver absolutamente 
seguro quanto ao uso da informação e/ou de ativos/ou 
sistemas de informação; 
 A política de segurança deve ser implementada por meio de 
procedimentos específicos, obrigatórios para todos os 
colaboradores. 
 
 
 Proteger as informações contra acesso, divulgação, 
modificação ou destruição não autorizados pelo 
Anonymous Security; 
 Garantir que equipamentos e recursos tecnológicos à sua 
disposição sejam utilizados apenas para as finalidades 
aprovadas pelo Anonymous Security; 
 Descarte adequado de documentos de acordo com seu grau 
de classificação. 
2.2 Gestores de Pessoas 
 Aprovar a Política de Segurança da Informação e suas 
atualizações; 
 Ter postura exemplar em relação à segurança da informação, 
servindo como modelo de conduta para os colaboradores sob 
sua gestão; 
 Dar ciência, na fase de contratação e formalização dos 
contratos individuais de trabalho, à responsabilidade do 
cumprimento da PSI do Anonymous Security; 
 Cumprir e fazer cumprir esta Política, as Normas e os 
Procedimentos de Segurança da Informação; 
 Exigir de parceiros, prestadores de serviços e outras entidades 
externas, a assinatura do termo de confidencialidade referente 
às informações às quais terão acesso; 
 Elaborar, com o apoio do Setor de Gestão de Processos e 
Tecnologia da Informação, os procedimentos de segurança da 
informação relacionados às suas áreas, fornecendo as 
informações necessárias e mantendo-os atualizados; 
 Informar, sempre que necessário, atualizações referentes a 
processos e/ou cadastros de funcionários para que as 
permissões possam ser concedidas ou revogadas de acordo 
com a necessidade. 
2.3 Subcomitê Gestor de Segurança da Informação 
 Propor melhorias, alterações e ajustes da PSI; 
 Propor investimentos relacionados à segurança da informação 
com o intuito de minimizar os riscos; 
 Classificar e reclassificar o nível de acesso às informações 
sempre que necessário; 
 Avaliar incidentes de segurança e propor ações corretivas; 
 
 
 O Subcomitê de Gestão de Segurança da Informação deverá 
ser composto por, no mínimo, um colaborador das seguintes 
áreas: 
 Representante da Governança; 
 Setor de Gestão de Processos e Tecnologia da 
Informação; 
 Unidade de Gestão da Informação; 
 Unidade de Suporte de TI; 
 Divisão de Gestão de Pessoas; 
 Assessoria Jurídica; 
 O Departamento da segurança da informação reunir-se-á, 
ordinariamente, uma vez a cada seis meses e 
extraordinariamente sempre que for necessário deliberar sobre 
algum incidente grave ou definição relevante para o 
Anonymous Security. 
2.4 Setor de Gestão de Processos e Tecnologia da 
Informação 
 Definir as regras para instalação de software e hardware no 
Anonymous Security; 
 Implementar os controles necessários para cumprir os 
requerimentos de segurança estabelecidos pela política de 
segurança da informação são fundamentais para que o 
documento elaborado tenha vida e funcionalidade na dinâmica 
da organização. 
 Homologar os equipamentos pessoais (smartphones e 
notebooks) para uso na rede do Anonymous Security; 
 Monitorar os acessos às informações e aos ativos de tecnologia 
(sistemas, bancos de dados, recursos de rede), tendo como 
referência a Política e as Normas de Segurança da Informação; 
 Mediante informaçõesde processos de ativos, manter registro 
e controle atualizados de todas as liberações de acesso 
concedidas, providenciando, sempre que demandado 
formalmente, a pronta suspensão ou alteração de tais 
liberações; 
 Propor as metodologias e processos referentes à segurança da 
informação, como classificação da informação, avaliação de 
risco, análise de vulnerabilidades, etc. 
 
 
 Promover, com o envolvimento da gestão de pessoas palestras 
de conscientização dos colaboradores em relação à 
importância da segurança da informação para o negócio do 
Anonymous Security; 
 Manter comunicação efetiva com o Subcomitê Gestor de 
Segurança da Informação sobre possíveis ameaças e novas 
medidas de segurança; 
 Buscar alinhamento com as diretrizes da organização. 
 
3 CONCEITOS 
3.1 Política de segurança da informação 
 A Política de Segurança da Informação nada mais é que um 
conjunto de práticas e controles adequados, formada por 
diretrizes, normas e procedimentos, com objetivo de preservar 
a integridade dos dados, garantir sua disponibilidade para as 
pessoas e os sistemas certos, além de estabelecer a 
confidencialidade das informações, principalmente das mais 
críticas para o negócio. Ela deve indicar como os dados são 
utilizados, descartados após perderem sua relevância. 
Aplicada de forma correta ajudam a proteger as informações 
que são consideradas como um ativo importante dentro da 
organização. 
3.2 Sigiloso 
 Grau de segurança no qual a informação está classificada, 
caso alguma informação seja revelada poderá ter baixa ou 
desconhecida confiabilidade ou intenções indetermináveis. 
3.3 Controle de Acesso 
 Referência à prática de permitir o acesso a uma propriedade, 
prédio ou sala, apenas para pessoas autorizadas. 
3.4 Classificação de Informações 
 Consiste na definição de níveis de proteção que cada dado 
deve receber, a norma é considerada a principal diretriz de 
segurança da informação e recomenda que as informações 
 
 
sejam classificadas de acordo com seu valor, requisitos legais, 
criticidade e sensibilidade. 
3.5 Integridade 
 É a preservação de que a informação é acessível somente por 
pessoas autorizadas a terem acesso. 
3.6 Códigos de Acesso 
 Códigos números utilizados para acessar uma informação, 
ajudam a restringir o acesso a determinadas informações 
3.7 Ativo 
 É o conjunto de bem da empresa formado pelo patrimônio, 
informações e as pessoas que a compõem 
3.8 Bens 
 São as coisas úteis de satisfazer as necessidades das 
pessoas e das empresas. Os bens classificam-se em: bens 
móveis, bens imóveis, bens Tangíveis e bens intangíveis, 
fazem parte do Ativo. 
3.9 Medidas disciplinares 
 É a aplicabilidade de sansões de ação ou omissão de normas, 
a consolidação das Leis Trabalhistas legitima o empregador 
punir o empregado, sempre que necessário, de três formas 
distintas: Advertência, que pode ser verbal ou escrita; 
Suspensão e Rescisão do Contrato de Trabalho por Justa 
Causa. 
 
4 SEGURANÇA EMPRESARIAL 
 4.1Sobre os Ativos 
 Os Anonymous Security visa sempre a segurança de seus 
ativos, que são eles: funcionários, patrimônio, informações da 
empresa e seus clientes. Com isso, garantimos a segurança 
de todos com excelência. 
 
 
 
 4.2 Classificação dos documentos 
 Todos os documentos da empresa Anonymous Security é 
classificada pelo nível de sigilo, que será citado em ordem 
abaixo: 
4.2.1 Suas Classificações 
 Pública: Informações internas e externas da empresa. 
 Restrita: Acesso apenas para todos os membros dentro da 
empresa. 
 Disponibilidade: Pessoas autorizadas devem ter acesso a 
determinada informação apenas caso necessário. 
 Confidencial: Pessoas previamente autorizadas para terem 
acesso a determinada informação. Menor número de pessoas 
com acesso. 
 Integridade: Alterações e adições nas informações por 
pessoas autorizadas. 
4.3 Acessos 
 Como informado nas normas acima, todos as regras de 
segurança e acesso de algumas informações para 
determinadas pessoas deve ser seguido à risca, dessa maneira 
mantendo todos os dados em sigilo, trazendo maior segurança 
aos funcionários, clientes, patrimônio e nossa empresa em si. 
 
5 SEGURANÇA DAS INFORMAÇÕES 
 Essa área será responsável pela gestão de todas as frentes de 
Segurança da Informação da Anonymous security. Sua 
missão é estabelecer e utilizar uma metodologia para avaliar, 
implementar e monitorar as diretrizes de proteção dos bens de 
informações visando garantir a continuidade dos negócios e 
serviços da Anonymous Security. 
 
 
5.1 Suas atribuições serão: 
 Viabilizar, controlar a implementação e divulgar, de forma 
corporativa, a Política, Normas e Padrões de Segurança da 
 
 
Informação para todos os colaboradores, a arquitetura e os 
processos pertinentes à Segurança da Informação. 
 Elaborar, participar e propor ao Comitê de Segurança da 
Informação a arquitetura e os processos pertinentes à 
Segurança da Informação. 
 Apoiar e disseminar a cultura de Segurança da Informação. 
 Apoiar os auditores internos e, eventualmente, externos. 
 Elaborar e divulgar as normas e procedimentos de Segurança 
da Informação, assim como mantê-los sempre atualizados. 
 Elaborar e implementar projetos de suporte à Segurança da 
Informação. 
 Definir e Implantar a arquitetura de acesso lógico aos softwares 
de Segurança da Informação com apoio da área de Tecnologia 
& Operações. 
 Fornecer suporte técnico aos clientes/usuários regionais sobre 
aspectos de Segurança da Informação. Essas administrações 
regionais estão subordinadas tecnicamente a área de 
Segurança da Informação Corporativa. 
 Assegurar em nível de software, o controle de acesso lógico 
aos recursos computacionais com apoio das áreas técnicas, 
monitorando todo o ambiente de segurança. 
 Garantir que todos os procedimentos e controles de acesso 
lógico aos recursos de informática atendam às exigências de 
integridade, confiabilidade e confidencialidade dos dados e 
informações, assim como a continuidade das operações dos 
negócios. 
 Assegurar a adequação, a efetividade e a eficácia das 
Tecnologias empregadas e as operações de segurança lógica 
como (hardwares, softwares, técnicas de criptografia, firewalls, 
autenticadores, antivírus e demais recursos pertinentes) e 
físicos (acesso biométrico, etc.), com apoio da área de 
Tecnologia & Operações. 
 Assegurar a definição das nomenclaturas e padrões de 
identificador de usuário (ID), logins e logons pela área de 
Tecnologia & Operações. 
 Estabelecer e manter um processo de suporte aos 
proprietários, (owners) dos bens de informações e dos 
softwares aplicativos e suas plataformas quanto às revisões 
periódicas dos acessos concedidos pelos mesmos. As revisões 
 
 
são de responsabilidade dos próprios proprietários (owners) e 
sua periodicidade será semestral ou realizada a qualquer 
momento conforme solicitação/necessidade dos próprios 
owners. 
 Analisar os riscos pertinentes à segurança da informação da 
Anonymous Security e apresentar relatórios sobre tais riscos 
ao CSIC. 
 Realizar trabalhos de análise de vulnerabilidades, com intuito 
de assegurar o nível de segurança dos sistemas de 
informações e dos demais ambientes em que armazenam, 
processam ou transmitem as informações custodiadas da 
Anonymous Security. 
 Solicitar informações às demais áreas da Anonymous 
Security e realizar testes e avaliações de segurança, no intuito 
de verificar o cumprimento e aderência da Política de 
Segurança da Informação, sempre que necessário. 
 
5.2 Proprietário da Informação 
 O proprietário da informação pode ser um diretor ou um gerente 
responsável pelo sistema ou processo da Anonymous 
Security, os mesmos são responsáveis por estabelecer 
diretrizes de segurança da informação na Organização. A 
concessão, manutenção, revisão e cancelamento de 
autorizações de acesso a determinadoconjunto de informações 
pertencentes à Anonymous Security ou sob a sua guarda 
envolve a área de Tecnologia & Operações e proprietário da 
informação. 
 
5.2.1 Cabe ao proprietário da informação: 
 Elaborar, para toda informação sob sua responsabilidade, 
matriz que relaciona cargos e funções da Anonymous 
Security às autorizações de acesso concedidas; 
 Autorizar a liberação de acesso à informação sob sua 
responsabilidade, observadas a matriz de cargos e funções, a 
Política, Normas e Procedimentos de Segurança da 
Informação da Anonymous Security; 
 
 
 Manter registro e controle atualizados de todas as liberações 
de acesso concedidas, determinando, sempre que necessário, 
a pronta suspensão ou alteração de tais liberações; 
 Reavaliar, sempre que necessário, as liberações de acesso 
concedidas, cancelando aquelas que não forem mais 
necessárias; 
 Analisar e fornece os relatórios de controle de acesso 
fornecidos pela área de Tecnologia & Operações, com o 
objetivo de identificar desvios em relação à Política, as Normas 
e Procedimentos de Segurança da Informação, tomando as 
ações corretivas necessárias; 
 Participar da investigação de incidentes de segurança 
relacionados à informação sob sua responsabilidade; 
 Participar, sempre que convocado, das reuniões do Comitê de 
Segurança da Informação e Compliance (CSIC), prestando os 
esclarecimentos solicitados. 
 
5.3 Identificação e Autenticação 
 Todas as plataformas de Tecnologia & Operações da 
Anonymous Security devem autenticar a identidade de 
usuários (incluindo outros sistemas que acessam estas 
plataformas) antes de iniciar uma sessão ou transação, a 
menos que o usuário tenha direitos de acesso limitados a 
leitura de dados com classificação INTERNA ou PÚBLICA. 
 Todo usuário deve possuir uma identidade e ser identificado 
para cada plataforma de Tecnologia & Operações por: 
 Um ID (Iogin) de usuário não compartilhado. 
 Um método de autenticação que possibilite a identificação do 
usuário, por exemplo: senha única (estática) ou dinâmica, 
chave privada, dados biométricos ou outro mecanismo de 
autenticação homologado pelo Comitê Corporativo. 
 Todo usuário é responsável por toda atividade associada com 
o login de usuário associados à sua identidade ou sob sua 
custódia. 
 Os usuários devem seguir as seguintes práticas para proteção 
de senhas estáticas: 
 Nunca podem ser compartilhadas ou apresentadas a terceiros. 
 
 
 Nunca podem ser apresentadas/escritas em claro (com 
exceção de senha pré-expirada, utilizada no processo de senha 
inicial). 
 Um processo documentado deve ser implementado para 
garantir que todas as senhas estáticas sejam mudadas 
periodicamente e que os IDs (Iogin) de usuário sejam 
desabilitados depois de um período definido de inatividade, 
compatível com o nível de risco, com a classificação da 
informação e com a classificação da infraestrutura 
correspondente. Com a aprovação do Comitê Corporativo, este 
requisito pode ser substituído por um processo de 
esclarecimento periódico dos usuários quanto à necessidade 
de troca de senhas para a garantia da eficácia deste método 
de autenticação. 
 
5.4 Confidencialidade e Integridade 
 Os gestores devem informar a todos da Anonymous Security, 
os clientes e os fornecedores, usuários em geral dos sistemas 
de informação e dos processos que todas as informações 
armazenadas, transmitidas ou manuseadas por estes 
processos e sistemas são de propriedade da Anonymous 
Security de seus clientes ou licenciadas por terceiros. Sempre 
que permitido pela legislação, a Anonymous Security reserva 
o direito de revisar e monitorar estas informações para fins 
administrativos, de segurança ou legais. 
 Informações confidenciais da Anonymous Security, 
independentemente da mídia ou ambiente onde estejam sendo 
mantidas, devem ser protegidas contra acessos não 
autorizados e com as devidas aprovações. Este padrão se 
aplica, mas não está limitado, aos seguintes tipos de mídia ou 
ambiente, nos quais as informações estão contidas, registradas 
ou armazenadas: cartões, CD, DVD, cópia impressa, disco 
magnético, fita magnética, pen drive, microfilme, disco ótico, 
documentos em geral, equipamentos de processamento, de 
rede, Internet, etc. 
 Para a proteção adequada das informações custodiadas pela 
Anonymous Security, que estão sendo manuseadas nas 
estações de trabalho, sempre que o colaborador se ausentar 
do ambiente, em particular fora do horário de trabalho, é sua 
 
 
responsabilidade bloquear a estação de trabalho, solicitar e 
utilizar os recursos disponibilizados pela Anonymous Security 
para proteger as informações de acessos não autorizados. 
Para a proteção adequada das informações custodiadas pela 
Anonymous Security, que estão sendo manuseadas em 
equipamentos portáteis (notebook), todos os usuários devem 
cumprir os requerimentos definidos pela norma específica. 
 As informações classificadas como RESTRITA ou 
CONFIDENCIAL, no momento em que não forem mais úteis a 
Anonymous Security ou seus clientes, considerados os 
períodos de retenção estabelecidos por lei, regulamento ou 
contrato, devem ser destruídas segundo os procedimentos 
definidos. Cada gestor deve assegurar que Terceiros (clientes 
ou fornecedores) protejam adequadamente as informações 
custodiadas pela Anonymous Security às quais eles têm 
acesso. 
 Monitorando os Terceiros que armazenam, processam, 
gerenciam ou acessam as informações da Anonymous 
Security (exceto as informações classificadas como INTERNA 
ou PÚBLICA) ou têm conexão com os recursos de rede da 
Anonymous Security, para que cumpram os padrões aqui 
definidos. 
 Realizando avaliações de segurança da informação nos 
Terceiros de acordo com os procedimentos aprovados pelo 
Comitê Corporativo. 
 Formalizando acordos de confidencialidade NDA – “Non 
Disclosure Agreement” ou disposições equivalentes, 
aprovados pela área jurídica da SOLVIMM, com os Terceiros 
que armazenem, processem, gerenciem ou acessem 
informações custodiadas pela Anonymous Security (exceto 
informações classificadas corno PÚBLICA). 
 
5.5 Adoção de Comportamento Seguro 
 Independentemente do meio ou da forma em que exista, a 
informação está presente no trabalho de todos os profissionais. 
Portanto, é fundamental para a proteção e salvaguarda das 
informações que os profissionais adotem comportamento 
seguro e consistente com o objetivo de proteção das 
 
 
informações da Anonymous Security, com destaque para os 
seguintes itens: 
 Sócios, colaboradores e prestadores de serviços devem 
assumir atitude proativa e engajada no que diz respeito à 
proteção das informações da Anonymous Security. 
 Todos na Anonymous Security devem compreender as 
ameaças externas que podem afetar a segurança das 
informações da empresa, tais como vírus de computador, 
interceptação de mensagens eletrônicas, grampos telefônicos 
etc., bem como fraudes destinadas a roubar senhas de acesso 
aos sistemas de informação. 
 Todo tipo de acesso à informação da Anonymous Security 
que não for explicitamente autorizado é proibido. 
 Assuntos confidenciais de trabalho não devem ser discutidos 
em ambientes públicos ou em áreas expostas (aviões, 
restaurantes, encontros sociais, elevadores, táxis, espaços de 
coworking, etc.). 
 As senhas de usuário são pessoais e intransferíveis, não 
podendo ser compartilhadas, divulgadas a terceiros (inclusive 
colaboradores da própria empresa), anotadas em papel ou em 
sistema visível ou de acesso não-protegido. 
 Somente softwares homologados pela equipe de TI da 
Anonymous Security podem ser instalados nas estações de 
trabalho, o que deve ser feito, com exclusividade, pela equipe 
de Tecnologia & Operações da Anonymous Security, 
respeitando as questões legais de licenciamento; 
 A política para uso de internet e correio eletrônico deve ser 
rigorosamente seguida; Arquivos de origem desconhecida nunca devem ser abertos 
e/ou executados; 
 Documentos impressos e arquivos contendo informações 
confidenciais devem ser adequadamente armazenados e 
protegidos. 
 Qualquer tipo de dúvida sobre a Política de Segurança da 
Informação e suas Normas deve ser imediatamente 
esclarecido com a área de Segurança Corporativa; 
 Todas as normas de segurança da informação devem ser 
rigorosamente seguidas. Casos não previstos devem ser 
 
 
imediatamente submetidos para análise e a validação à área 
de Segurança Corporativa. 
 
5.6 Avaliação dos Riscos de Segurança da Informação 
 A área de Segurança da Informação Corporativa deve realizar, 
de forma sistemática, a avaliação dos riscos relacionados à 
segurança da informação da Anonymous Security. 
 A análise dos riscos deve atuar como ferramenta de orientação 
ao Comitê Corporativo de Segurança da Informação, 
principalmente, no que diz respeito à: 
 Identificação dos principais riscos aos quais as informações da 
Anonymous Security estão expostas; 
 Priorização das ações voltadas à mitigação dos riscos 
apontados, tais como implantação de novos controles, criação 
de novas regras e procedimentos, reformulação de sistemas 
etc. O escopo da análise/avaliação de riscos de segurança da 
informação pode ser toda a organização, partes da 
organização, um sistema de informação específico, 
componentes de um sistema específico etc. 
 Planejamento trimestral de identificação e análise dos riscos, 
podendo ser alterado o ciclo de análise conforme definido pelo 
Comitê de Segurança da Informação. 
 Implantação de ferramentas para identificação de riscos e 
compliance. 
 
5.7 Gestão de Acesso a Sistemas de Informação e a 
Outros Ambientes 
 Todo acesso às informações e aos ambientes lógicos e físicos 
da Anonymous Security deve ser controlado, de forma a 
garantir acesso apenas às pessoas autorizadas pelo respectivo 
proprietário da informação. A política de controle de acesso 
deve ser documentada e formalizada por meio de Normas e 
Procedimentos que contemplem, pelo menos, os seguintes 
itens: 
 Procedimento formal de concessão e cancelamento de 
autorização de acesso do usuário aos sistemas de informação; 
 Comprovação da autorização do proprietário da informação; 
 
 
 Utilização de identificadores de usuário (ID de usuário) 
individualizados, de forma a assegurar a responsabilidade de 
cada usuário por suas ações; 
 Verificação se o nível de acesso concedido é apropriado ao 
propósito do negócio e se é consistente com a Política de 
Segurança da Informação, as Normas e Procedimentos; 
 Remoção imediata de autorizações dadas a usuários afastados 
ou desligados da empresa, ou que tenham mudado de função; 
 Processo de revisão periódica das autorizações concedidas; 
 Política de atribuição, manutenção e uso de senhas. 
 
 5.8 Monitoração e Controle 
 Os equipamentos, os sistemas, as informações e os serviços 
utilizados pelos usuários são de exclusiva propriedade da 
Anonymous Security, não podendo ser interpretados como 
de uso pessoal. 
 Todos os profissionais da Anonymous Security devem ter 
ciência de que o uso das informações e dos sistemas de 
informação da Anonymous Security pode ser monitorado, e 
que os registros assim obtidos poderão ser utilizados para 
detecção de violações da Política, as Normas e Procedimentos 
de Segurança da Informação e, conforme o caso, servir como 
evidência em processos administrativos e/ou legais. 
 
5.9 Grupo de Resposta a Incidentes de Segurança 
(GRIS) 
 A área de Segurança da Informação, em conjunto as áreas de 
Tecnologia & Operações e Segurança da Informação, são 
responsáveis por manter procedimentos para os processos de 
Gerenciamento de Incidente e de Resposta a Incidente de 
Segurança (GRIS). 
 Os gestores devem assegurar que todos os sistemas de 
informação que armazenam informações custodiadas 
(confidenciais) pela Anonymous Security usam trilhas de 
auditoria para registrar e reportar: 
 Todas as tentativas de violação da segurança do sistema. 
 
 
 Todos os eventos significativos relacionados à administração 
do sistema bem como a segurança das transações e 
informações custodiadas (confidenciais) pela Anonymous 
Security. 
 O nível de detalhe das trilhas de auditoria deve ser compatível 
com o nível de risco do processo associado. 
 Os gestores devem assegurar que as trilhas de auditoria sejam 
revisadas periodicamente de forma compatível com o nível de 
risco do processo associado. O processo de revisão deve ser 
segregado para assegurar que os revisores não revisem sua 
própria atividade. 
 Qualquer atividade suspeita deve ser imediatamente verificada 
e tomadas as ações corretivas necessárias. 
5.10 Treinamento e conscientização de segurança da 
informação. 
 Cada gestor deve garantir que todos da Anonymous Security 
e os fornecedores, ao iniciar a relação com a Anonymous 
Security ou quando tiverem alteração significativa na 
responsabilidade do trabalho, recebam treinamento sobre 
aspectos de segurança da informação relacionados a sua 
função dentro de 30 dias do início do trabalho. 
 Os gestores devem assegurar que todos os colaboradores da 
Anonymous Security e de fornecedores recebam 
anualmente material de conscientização aprovado pelo Comitê 
Corporativo sobre Segurança da Informação. 
5.11 Auditoria 
 O processo de auditoria de verificação de conformidade dos 
sistemas existentes será executado semestralmente, ou a 
qualquer momento de acordo com a necessidade do negócio, 
para garantir que todas as partes estão executando 
corretamente as suas atividades e garantir que todos os outros 
requisitos de Segurança da Informação estão sendo 
constantemente observados. A auditoria poderá ser realizada 
por auditor externo ou equipe interna, seguindo a programação 
de auditoria estabelecida pelo Security Officer. 
 Neste processo será observada a independência do auditor 
com os processos a serem auditados. 
 
 
 O Security Officer deverá planejar a correção dos itens de não 
conformidade identificados nas auditorias com envolvimento 
das equipes responsáveis pelas não conformidades. 
 
5.12 Produtos e Serviços de Gerenciamento da 
Segurança 
 Sistemas de detecção de invasão e demais produtos e serviços 
de segurança da informação só podem ser contratados se 
aprovados pelo Comitê Corporativo de Segurança da 
Informação. 
 Todos os alarmes de sistema associados a Segurança da 
Informação e eventos de segurança gerados sejam registrados 
e arquivados diariamente. 
 Quando ocorrer um Evento de Segurança, o Grupo de 
Resposta a Incidente de Segurança (GRIS) deve ser acionado 
através do processo e procedimento definidos pela área de 
Segurança da Informação. 
 Os controles da área TI devem assegurar que todas as 
conexões IP a Terceiros são protegidas por firewalls 
gerenciados pela Tecnologia & Operações ou ao menos 
submetidos a Diretoria de Segurança e Compliance. 
 
6 CÓDIGOS DE ACESSO 
 Dado os códigos de acesso nos sistemas da empresa, 
possuem acesso a eles apenas funcionários da empresa, 
ficando o acesso a eles regulados conforme o cargo que o 
funcionário ocupa, usando os protocolos AAA, o que dá a 
pessoalidade do uso dos códigos de acesso, além de tornar 
intransferível os mesmos, sejam eles contas com senha, ou e-
mails corporativos; 
 Em caso de descaso, perca, mal uso, ou vazamento 
(intencional ou não), ficará o funcionário sucessível a medidas 
disciplinares conforme o ocorrido; 
 
7 MEDIDAS DICIPLINARES 
7.1 Quanto a responsabilidade do conselho: 
 
 
 O conselho (como já citado) é formado por gerentes e diretores 
já pré-selecionados, com o responsável da área presente, e 
quando necessário é pedido o auxílio de segundos, os 
observadores, podendo esses serem advogados em situações 
mais extremas, ou testemunhas desses incidentes, para assimobterem uma visão maior e mais precisa do incidente; 
 No que se refere as decisões escolhidas e impostas por esse 
conselho, elas são dadas pelos membros já pré-selecionados, 
com cada qual dando sua opinião sobre o ocorrido, a forma de 
trata-lo, e a forma da julga-lo, podendo isso também ser dado 
pelos observadores, sendo expedido tudo isso da forma mais 
justa possível de cada pessoa; 
 E no que se refere a forma de julgamento, como já citado, 
apenas os membros pré-selecionados tem o poder de voto para 
as opiniões dadas, sendo requerido de cada membro um voto 
imparcial e justo, com ele (o voto) tendo o mesmo valor 
independente do cargo ou posição que cada membro do 
conselho ocupa; 
 
7.2 Quanto aos tipos de categorias das medidas 
disciplinares: 
 O conselho trata as medidas disciplinares em dois tipos de 
categorias: faltas, e faltas graves; nas faltas, o(s) envolvido(s) 
no incidente está sujeito a apenas medidas disciplinares 
passivas,” os ditos puxões de orelha”, já nas faltas graves o(s) 
envolvido(s), está(ão) sujeito(s) a medidas disciplinares mais 
extremas como a demissão imediata, ou até mesmo processos 
cabíveis conforme aquilo que foi cometido; 
 Observação: que fique claro nessa explicativa, que sobre a 
separação das medidas disciplinares em duas categorias, elas 
não são totalmente correspondentes as mesmas, podendo 
uma falta, com medidas disciplinares passivas, se tornarem 
uma falta grave, com medidas disciplinares mais extremas, ou 
vice-versa, o que é dado conforme a situação e o caso a ser 
julgado; 
 
7.3 Quanto as medidas disciplinares denominadas 
faltas serem aplicadas: 
 
 
 A perca de senhas, contas corporativas ou chaves de acesso 
atribuídas ao funcionário, dada pela falta de cuidado; 
 Funcionário(s) abaixo da gerencia, e fora dos cargos de 
confiança, passarem indevidamente suas contas de acesso 
corporativo a outras pessoas, que não foram autorizadas pela 
empresa; 
 Fotografias, filmagens e gravações audiovisuais não 
autorizadas da empresa, de clientes que estejam dentro da 
empresa ou de mensagens enviadas da empresa para o(s) 
funcionário(s); 
 A instalação de apps, jogos, softwares ou qualquer outro tipo 
de programa não autorizado pela empresa, bem como a 
instalação de hardwares (peças de computador) indevidas nas 
máquinas da empresa; 
 Trazer pessoas que não façam parte da empresa para dentro 
do espaço da empresa, por qualquer que sejam os motivos, 
independente da relação que a pessoa tenha com o 
funcionário; 
 Funcionários que entrarem em áreas restritas a um grupo da 
empresa sem a autorização devida; 
 A colocação de discos, disquetes, pen-drives, mídias físicas em 
geral, que não tenham recebido autorização, no(s) 
computador(es) da empresa; 
 O descarte inadequado de máquinas antigas, discos, 
disquetes, pen-drives, ou mídias físicas em geral que 
pertençam à empresa; 
 O acesso indevido a sites de conteúdo adulto, obsceno ou 
ilegal, a partir dos computadores da empresa; 
 O uso de alto falantes ou aparelhos com som alto dentro da 
empresa; 
 O uso indevido, ou para fins pessoais de veículos da empresa; 
 O uso dos correios eletrônicos coorporativos (que foram 
atribuídos pela empresa) de forma indevida, ou para uso 
pessoal; 
 Enviar informações relevantes ou documentos por e-mails ou 
outros canais de correio eletrônico que não foram atribuídos 
pela empresa; 
 Apagar toda e qualquer tipo de mensagem enviada pelos e-
mails ou canais de comunicação da empresa; 
 
 
 Retransmitir a outros e-mails ou canais de comunicação, 
mensagens da empresa para um funcionário ou um grupo 
específico; 
 Enviar mensagens em nome de outros funcionários 
independente do cargo, bem como a adulteração de 
cabeçalhos para esconder a identidade de remetentes ou(e) 
destinatários; 
 Enviar ou compartilhar para outros funcionários, conteúdos de 
cunho adulto, obsceno ou ilegal, pelos canais de comunicação 
da empresa; 
 O funcionário omitir informações acerca da empresa, ou dos 
membros da mesma, aos superiores; 
 Divulgar informações de cunho privado e geral para os 
funcionários para pessoas de fora da empresa; 
 A permissão ou negligência do acesso não autorizado quando 
ou não necessário, nos sistemas da empresa, ou em dados dos 
clientes; 
 Quanto as penalidades a serem atribuídas em relação a quebra 
dos parâmetros anteriores 
 
 As penalidades em geral dadas a quebra de uma ou mais 
regras citadas anteriormente são principalmente de peso 
relativamente baixo, na maioria aplicando-se como penalidade 
apenas uma chamada e uma conversa para que o ocorrido não 
se repita; 
 Salvo a exceção, de em caso de persistência nos erros 
cometidos serão aplicadas medidas administrativas a(os) 
envolvido(s), essas que serão decididas pelo conselho; 
 Observação: Se mesmo após sérias advertências e sanções 
administrativas o(s) mesmo(s) ainda persistirem nos erros 
sofrerão punições mais drásticas, podendo até mesmo perder 
o emprego; 
 
7.4 Quanto as medidas disciplinares denominadas 
faltas graves a serem aplicadas: 
 O furto, ou subtração de bens materiais, informações, ou 
documentos, dentro da empresa, sendo ele(s) propriedade ou 
não da empresa; 
 
 
 O vazamento de dados de clientes, ou da própria empresa 
para terceiros; 
 A aquisição ilegal, e sem o consentimento da empresa de 
códigos de acesso restrito da empresa; 
 A repetição de erros (faltas) cometidas várias vezes, mesmo 
após vários alertas; 
 Qualquer tipo de assédio, racismo, ou qualquer outro tipo de 
ilicitude cometida a todo e qualquer funcionário da empresa, 
clientes ou visitantes; 
 A instalação consciente de malwares, ou qualquer outro tipo 
de arquivo malicioso nos computadores da empresa, para fins 
de sabotagem; 
 A falsificação de documentos para benefício(s) próprio(s), 
dada por um ou mais funcionários; 
 A irresponsabilidade quanto ao não cumprimento das normas 
de segurança pré-estabelecidas pela TI da empresa em caso 
de incidentes; 
 A negligência dos serviços ou tarefas atribuídas e de função 
do cargo exercido; 
 Quanto as penalidades atribuídas dada a quebra dos 
parâmetros anteriores 
 
 As penalidades denominadas faltas graves apresentadas, são 
consideradas pela empresa de cunho mais grave, levando 
algumas delas automaticamente à demissão(ões) do(s) 
envolvidos, ou até mesmo à processos coorporativos; 
 Plausíveis de processos e denúncias às autoridades aqueles 
que expõem crimes contra ao(s) funcionário(s), e(ou) outras 
pessoas envolvidas, ou até mesmo à própria empresa, 
correspondendo a eles os crimes de assédio moral ou sexual, 
racismo, xenofobia, roubo ou subtração de bens, sabotagem 
empresarial, irresponsabilidade quanto a deveres(o que pode 
ser tido também como a negligência), falsificação, vazamento 
de dados, dentre diversos outros crimes ou desdéns que 
possam ser cometidos; Salvo que a empresa Anonymous 
Security zela pela moralidade, ordem, justiça, e igualdade. 
 7.5 Observações gerais quanto as penalidades e 
faltas por este citados: 
 
 
 As penalidades e faltas, graves ou não, anteriormente 
citadas não correspondem a totalidade das normas, 
regras, punições e crimes plausíveis de acontecerem, 
podendo acontecer mais tipos em diferentes casos, 
esses que são definidos e julgados conforme a situação 
pelo conselho já citado. 
 
8 DIVULGAÇÃO 
 É importante que cada ativo tenha a sua própria cópia dos 
regulamentos internos de segurança. Com isso, ele pode ter 
sempre esse material para consulta. 
 A divulgação será realizado para todos que trabalham na 
empresa, no momento de sua contratação para estarem ciente 
de que podem ocorrer nenhuma penalização. 
 Todos os empregados deverão assinar o Termo de 
Responsabilidade e Conhecimento da Política de Segurança 
da Anonymous Security e estar de acordo com o tratado 
 As alterações devemser anunciado aos empregados e deverão 
assinar o Termo de responsabilidade e Conhecimento da 
Política de Segurança da Anonymous Security. 
 
9 GESTÃO DE CONTINUIDADE DE NEGÓCIOS 
 O processo de gestão de continuidade de negócios da 
Anonymous Security é estabelecido por um conjunto de 
políticas, normas e práticas operacionais que seguem os 
princípios da NBR ISO 22301, o objetivo do processo de gestão 
de continuidade de negócios é garantir que os processos 
críticos tenham continuidade, atendendo aos requisitos 
mínimos operacionais e evitando impactos nos negócios da 
Anonymous Security e seus clientes. 
 
 
 
 
10 DISPOSIÇÕES FINAIS 
Assim como a ética, a segurança deve ser entendida como parte 
fundamental da cultura interna da Anonymous Security. Ou seja, 
qualquer incidente de segurança subtende-se como alguém agindo 
contra a ética e os bons costumes regidos pela Empresa. 
SEGURANÇA EM PRIMEIRO LUGAR 
 
 
 
Teresina-PI 
 Versão 1.0