Baixe o app para aproveitar ainda mais
Prévia do material em texto
FACULDADE ESTÁCIO DE SÁ CURSO DE CIÊNCIAS DA COMPUTAÇÃO MATÉRIA: INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO PROF.: HARILTON DA SILVA ARAÚJO ALUNOS(MATRÍCULA): Alexandre Estevan de Carvalho Araujo(202002832797) Lucas Pereira dos Santos(202002552051) Keveny Borges dos Santos(202001410261) Lucas Mateus da Silva Félix(202001383531) TERESINA-PI 2020 Pedro Virgilio Sousa Silva(202002273429) POLITICA DE SEGURANÇA DA INFORMAÇÃO Teresina, Junho de 2020 Versão 1.0 INTRODUÇÃO A adoção de políticas, normas e procedimentos que visem garantir a segurança da informação deve ser uma das prioridades do Compliance, reduzindo-se os riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos da organização. A informação pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo, etc. Por princípio, a segurança da informação deve abranger três aspectos básicos, destacados a seguir: Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação. Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações. Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem e perda não intencional, acidentes e outras ameaças. Em geral, o sucesso da Política de Segurança da Informação adotada pela Anonymous Security depende da combinação de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados, à segurança da informação e à maneira pela qual são implantados e monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, colaboradores, associados e sócios. SUMÁRIO 1 OBJETIVO ................................................................................... 6 2 RESPONSABILIDADES .............................................................. 6 3 CONCEITOS ................................................................................ 9 4 SEGURANÇA EMPRESARIAL .................................................. 10 5 SEGURANÇA DAS INFORMAÇÕES ........................................ 11 6 CÓDIGOS DE ACESSO ............................................................. 21 7 MEDIDAS DICIPLINARES ......................................................... 21 8 DIVULGAÇÃO ........................................................................... 26 9 GESTÃO DE CONTINUIDADE DE NEGÓCIOS ........................ 26 10 DISPOSIÇÕES FINAIS ............................................................ 27 1 OBJETIVO Este documento tem como objetivo estabelecer a política de segurança—de—nossa--empresa,--assegurando--seus funcionários e bens com métodos para evitar qualquer tipo de incidente que possa vir acontecer. 2 RESPONSABILIDADES Qualquer incidente que abale a segurança da informação deverá ser comunicado a Área de Tecnologia da; Informação. Todos devem zelar pelos os três pilares da segurança da informação; Comunicar prontamente à chefia imediata qualquer violação a esta política, suas normas e procedimentos; O não cumprimento das Normas de Segurança da informação acarretará violação às regras internas da instituição e o indivíduo ou grupo será penalizado; Não é permitido recusar/combater, ou ocultar os atos cabíveis de aplicação de medidas disciplinares. 2.1 Colaboradores A segurança da informação deve ser comunicada na fase de admissão dos cooperantes. Todos os colaboradores devem ser orientados sobre os metodologia de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Eles devem assinar um termo de responsabilidade a que cada indivíduo leu e entendeu adequadamente o escrito; Buscar o Setor de Gestão de Informação e Informática para esclarecimentos de dúvidas referentes à PSI; É obrigação de cada colaborador estar atualizado em relação a este guia e aos procedimentos e normas relacionadas, buscando orientação do seu Gestor ou da Área de TI sempre que ele não estiver absolutamente seguro quanto ao uso da informação e/ou de ativos/ou sistemas de informação; A política de segurança deve ser implementada por meio de procedimentos específicos, obrigatórios para todos os colaboradores. Proteger as informações contra acesso, divulgação, modificação ou destruição não autorizados pelo Anonymous Security; Garantir que equipamentos e recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pelo Anonymous Security; Descarte adequado de documentos de acordo com seu grau de classificação. 2.2 Gestores de Pessoas Aprovar a Política de Segurança da Informação e suas atualizações; Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão; Dar ciência, na fase de contratação e formalização dos contratos individuais de trabalho, à responsabilidade do cumprimento da PSI do Anonymous Security; Cumprir e fazer cumprir esta Política, as Normas e os Procedimentos de Segurança da Informação; Exigir de parceiros, prestadores de serviços e outras entidades externas, a assinatura do termo de confidencialidade referente às informações às quais terão acesso; Elaborar, com o apoio do Setor de Gestão de Processos e Tecnologia da Informação, os procedimentos de segurança da informação relacionados às suas áreas, fornecendo as informações necessárias e mantendo-os atualizados; Informar, sempre que necessário, atualizações referentes a processos e/ou cadastros de funcionários para que as permissões possam ser concedidas ou revogadas de acordo com a necessidade. 2.3 Subcomitê Gestor de Segurança da Informação Propor melhorias, alterações e ajustes da PSI; Propor investimentos relacionados à segurança da informação com o intuito de minimizar os riscos; Classificar e reclassificar o nível de acesso às informações sempre que necessário; Avaliar incidentes de segurança e propor ações corretivas; O Subcomitê de Gestão de Segurança da Informação deverá ser composto por, no mínimo, um colaborador das seguintes áreas: Representante da Governança; Setor de Gestão de Processos e Tecnologia da Informação; Unidade de Gestão da Informação; Unidade de Suporte de TI; Divisão de Gestão de Pessoas; Assessoria Jurídica; O Departamento da segurança da informação reunir-se-á, ordinariamente, uma vez a cada seis meses e extraordinariamente sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para o Anonymous Security. 2.4 Setor de Gestão de Processos e Tecnologia da Informação Definir as regras para instalação de software e hardware no Anonymous Security; Implementar os controles necessários para cumprir os requerimentos de segurança estabelecidos pela política de segurança da informação são fundamentais para que o documento elaborado tenha vida e funcionalidade na dinâmica da organização. Homologar os equipamentos pessoais (smartphones e notebooks) para uso na rede do Anonymous Security; Monitorar os acessos às informações e aos ativos de tecnologia (sistemas, bancos de dados, recursos de rede), tendo como referência a Política e as Normas de Segurança da Informação; Mediante informaçõesde processos de ativos, manter registro e controle atualizados de todas as liberações de acesso concedidas, providenciando, sempre que demandado formalmente, a pronta suspensão ou alteração de tais liberações; Propor as metodologias e processos referentes à segurança da informação, como classificação da informação, avaliação de risco, análise de vulnerabilidades, etc. Promover, com o envolvimento da gestão de pessoas palestras de conscientização dos colaboradores em relação à importância da segurança da informação para o negócio do Anonymous Security; Manter comunicação efetiva com o Subcomitê Gestor de Segurança da Informação sobre possíveis ameaças e novas medidas de segurança; Buscar alinhamento com as diretrizes da organização. 3 CONCEITOS 3.1 Política de segurança da informação A Política de Segurança da Informação nada mais é que um conjunto de práticas e controles adequados, formada por diretrizes, normas e procedimentos, com objetivo de preservar a integridade dos dados, garantir sua disponibilidade para as pessoas e os sistemas certos, além de estabelecer a confidencialidade das informações, principalmente das mais críticas para o negócio. Ela deve indicar como os dados são utilizados, descartados após perderem sua relevância. Aplicada de forma correta ajudam a proteger as informações que são consideradas como um ativo importante dentro da organização. 3.2 Sigiloso Grau de segurança no qual a informação está classificada, caso alguma informação seja revelada poderá ter baixa ou desconhecida confiabilidade ou intenções indetermináveis. 3.3 Controle de Acesso Referência à prática de permitir o acesso a uma propriedade, prédio ou sala, apenas para pessoas autorizadas. 3.4 Classificação de Informações Consiste na definição de níveis de proteção que cada dado deve receber, a norma é considerada a principal diretriz de segurança da informação e recomenda que as informações sejam classificadas de acordo com seu valor, requisitos legais, criticidade e sensibilidade. 3.5 Integridade É a preservação de que a informação é acessível somente por pessoas autorizadas a terem acesso. 3.6 Códigos de Acesso Códigos números utilizados para acessar uma informação, ajudam a restringir o acesso a determinadas informações 3.7 Ativo É o conjunto de bem da empresa formado pelo patrimônio, informações e as pessoas que a compõem 3.8 Bens São as coisas úteis de satisfazer as necessidades das pessoas e das empresas. Os bens classificam-se em: bens móveis, bens imóveis, bens Tangíveis e bens intangíveis, fazem parte do Ativo. 3.9 Medidas disciplinares É a aplicabilidade de sansões de ação ou omissão de normas, a consolidação das Leis Trabalhistas legitima o empregador punir o empregado, sempre que necessário, de três formas distintas: Advertência, que pode ser verbal ou escrita; Suspensão e Rescisão do Contrato de Trabalho por Justa Causa. 4 SEGURANÇA EMPRESARIAL 4.1Sobre os Ativos Os Anonymous Security visa sempre a segurança de seus ativos, que são eles: funcionários, patrimônio, informações da empresa e seus clientes. Com isso, garantimos a segurança de todos com excelência. 4.2 Classificação dos documentos Todos os documentos da empresa Anonymous Security é classificada pelo nível de sigilo, que será citado em ordem abaixo: 4.2.1 Suas Classificações Pública: Informações internas e externas da empresa. Restrita: Acesso apenas para todos os membros dentro da empresa. Disponibilidade: Pessoas autorizadas devem ter acesso a determinada informação apenas caso necessário. Confidencial: Pessoas previamente autorizadas para terem acesso a determinada informação. Menor número de pessoas com acesso. Integridade: Alterações e adições nas informações por pessoas autorizadas. 4.3 Acessos Como informado nas normas acima, todos as regras de segurança e acesso de algumas informações para determinadas pessoas deve ser seguido à risca, dessa maneira mantendo todos os dados em sigilo, trazendo maior segurança aos funcionários, clientes, patrimônio e nossa empresa em si. 5 SEGURANÇA DAS INFORMAÇÕES Essa área será responsável pela gestão de todas as frentes de Segurança da Informação da Anonymous security. Sua missão é estabelecer e utilizar uma metodologia para avaliar, implementar e monitorar as diretrizes de proteção dos bens de informações visando garantir a continuidade dos negócios e serviços da Anonymous Security. 5.1 Suas atribuições serão: Viabilizar, controlar a implementação e divulgar, de forma corporativa, a Política, Normas e Padrões de Segurança da Informação para todos os colaboradores, a arquitetura e os processos pertinentes à Segurança da Informação. Elaborar, participar e propor ao Comitê de Segurança da Informação a arquitetura e os processos pertinentes à Segurança da Informação. Apoiar e disseminar a cultura de Segurança da Informação. Apoiar os auditores internos e, eventualmente, externos. Elaborar e divulgar as normas e procedimentos de Segurança da Informação, assim como mantê-los sempre atualizados. Elaborar e implementar projetos de suporte à Segurança da Informação. Definir e Implantar a arquitetura de acesso lógico aos softwares de Segurança da Informação com apoio da área de Tecnologia & Operações. Fornecer suporte técnico aos clientes/usuários regionais sobre aspectos de Segurança da Informação. Essas administrações regionais estão subordinadas tecnicamente a área de Segurança da Informação Corporativa. Assegurar em nível de software, o controle de acesso lógico aos recursos computacionais com apoio das áreas técnicas, monitorando todo o ambiente de segurança. Garantir que todos os procedimentos e controles de acesso lógico aos recursos de informática atendam às exigências de integridade, confiabilidade e confidencialidade dos dados e informações, assim como a continuidade das operações dos negócios. Assegurar a adequação, a efetividade e a eficácia das Tecnologias empregadas e as operações de segurança lógica como (hardwares, softwares, técnicas de criptografia, firewalls, autenticadores, antivírus e demais recursos pertinentes) e físicos (acesso biométrico, etc.), com apoio da área de Tecnologia & Operações. Assegurar a definição das nomenclaturas e padrões de identificador de usuário (ID), logins e logons pela área de Tecnologia & Operações. Estabelecer e manter um processo de suporte aos proprietários, (owners) dos bens de informações e dos softwares aplicativos e suas plataformas quanto às revisões periódicas dos acessos concedidos pelos mesmos. As revisões são de responsabilidade dos próprios proprietários (owners) e sua periodicidade será semestral ou realizada a qualquer momento conforme solicitação/necessidade dos próprios owners. Analisar os riscos pertinentes à segurança da informação da Anonymous Security e apresentar relatórios sobre tais riscos ao CSIC. Realizar trabalhos de análise de vulnerabilidades, com intuito de assegurar o nível de segurança dos sistemas de informações e dos demais ambientes em que armazenam, processam ou transmitem as informações custodiadas da Anonymous Security. Solicitar informações às demais áreas da Anonymous Security e realizar testes e avaliações de segurança, no intuito de verificar o cumprimento e aderência da Política de Segurança da Informação, sempre que necessário. 5.2 Proprietário da Informação O proprietário da informação pode ser um diretor ou um gerente responsável pelo sistema ou processo da Anonymous Security, os mesmos são responsáveis por estabelecer diretrizes de segurança da informação na Organização. A concessão, manutenção, revisão e cancelamento de autorizações de acesso a determinadoconjunto de informações pertencentes à Anonymous Security ou sob a sua guarda envolve a área de Tecnologia & Operações e proprietário da informação. 5.2.1 Cabe ao proprietário da informação: Elaborar, para toda informação sob sua responsabilidade, matriz que relaciona cargos e funções da Anonymous Security às autorizações de acesso concedidas; Autorizar a liberação de acesso à informação sob sua responsabilidade, observadas a matriz de cargos e funções, a Política, Normas e Procedimentos de Segurança da Informação da Anonymous Security; Manter registro e controle atualizados de todas as liberações de acesso concedidas, determinando, sempre que necessário, a pronta suspensão ou alteração de tais liberações; Reavaliar, sempre que necessário, as liberações de acesso concedidas, cancelando aquelas que não forem mais necessárias; Analisar e fornece os relatórios de controle de acesso fornecidos pela área de Tecnologia & Operações, com o objetivo de identificar desvios em relação à Política, as Normas e Procedimentos de Segurança da Informação, tomando as ações corretivas necessárias; Participar da investigação de incidentes de segurança relacionados à informação sob sua responsabilidade; Participar, sempre que convocado, das reuniões do Comitê de Segurança da Informação e Compliance (CSIC), prestando os esclarecimentos solicitados. 5.3 Identificação e Autenticação Todas as plataformas de Tecnologia & Operações da Anonymous Security devem autenticar a identidade de usuários (incluindo outros sistemas que acessam estas plataformas) antes de iniciar uma sessão ou transação, a menos que o usuário tenha direitos de acesso limitados a leitura de dados com classificação INTERNA ou PÚBLICA. Todo usuário deve possuir uma identidade e ser identificado para cada plataforma de Tecnologia & Operações por: Um ID (Iogin) de usuário não compartilhado. Um método de autenticação que possibilite a identificação do usuário, por exemplo: senha única (estática) ou dinâmica, chave privada, dados biométricos ou outro mecanismo de autenticação homologado pelo Comitê Corporativo. Todo usuário é responsável por toda atividade associada com o login de usuário associados à sua identidade ou sob sua custódia. Os usuários devem seguir as seguintes práticas para proteção de senhas estáticas: Nunca podem ser compartilhadas ou apresentadas a terceiros. Nunca podem ser apresentadas/escritas em claro (com exceção de senha pré-expirada, utilizada no processo de senha inicial). Um processo documentado deve ser implementado para garantir que todas as senhas estáticas sejam mudadas periodicamente e que os IDs (Iogin) de usuário sejam desabilitados depois de um período definido de inatividade, compatível com o nível de risco, com a classificação da informação e com a classificação da infraestrutura correspondente. Com a aprovação do Comitê Corporativo, este requisito pode ser substituído por um processo de esclarecimento periódico dos usuários quanto à necessidade de troca de senhas para a garantia da eficácia deste método de autenticação. 5.4 Confidencialidade e Integridade Os gestores devem informar a todos da Anonymous Security, os clientes e os fornecedores, usuários em geral dos sistemas de informação e dos processos que todas as informações armazenadas, transmitidas ou manuseadas por estes processos e sistemas são de propriedade da Anonymous Security de seus clientes ou licenciadas por terceiros. Sempre que permitido pela legislação, a Anonymous Security reserva o direito de revisar e monitorar estas informações para fins administrativos, de segurança ou legais. Informações confidenciais da Anonymous Security, independentemente da mídia ou ambiente onde estejam sendo mantidas, devem ser protegidas contra acessos não autorizados e com as devidas aprovações. Este padrão se aplica, mas não está limitado, aos seguintes tipos de mídia ou ambiente, nos quais as informações estão contidas, registradas ou armazenadas: cartões, CD, DVD, cópia impressa, disco magnético, fita magnética, pen drive, microfilme, disco ótico, documentos em geral, equipamentos de processamento, de rede, Internet, etc. Para a proteção adequada das informações custodiadas pela Anonymous Security, que estão sendo manuseadas nas estações de trabalho, sempre que o colaborador se ausentar do ambiente, em particular fora do horário de trabalho, é sua responsabilidade bloquear a estação de trabalho, solicitar e utilizar os recursos disponibilizados pela Anonymous Security para proteger as informações de acessos não autorizados. Para a proteção adequada das informações custodiadas pela Anonymous Security, que estão sendo manuseadas em equipamentos portáteis (notebook), todos os usuários devem cumprir os requerimentos definidos pela norma específica. As informações classificadas como RESTRITA ou CONFIDENCIAL, no momento em que não forem mais úteis a Anonymous Security ou seus clientes, considerados os períodos de retenção estabelecidos por lei, regulamento ou contrato, devem ser destruídas segundo os procedimentos definidos. Cada gestor deve assegurar que Terceiros (clientes ou fornecedores) protejam adequadamente as informações custodiadas pela Anonymous Security às quais eles têm acesso. Monitorando os Terceiros que armazenam, processam, gerenciam ou acessam as informações da Anonymous Security (exceto as informações classificadas como INTERNA ou PÚBLICA) ou têm conexão com os recursos de rede da Anonymous Security, para que cumpram os padrões aqui definidos. Realizando avaliações de segurança da informação nos Terceiros de acordo com os procedimentos aprovados pelo Comitê Corporativo. Formalizando acordos de confidencialidade NDA – “Non Disclosure Agreement” ou disposições equivalentes, aprovados pela área jurídica da SOLVIMM, com os Terceiros que armazenem, processem, gerenciem ou acessem informações custodiadas pela Anonymous Security (exceto informações classificadas corno PÚBLICA). 5.5 Adoção de Comportamento Seguro Independentemente do meio ou da forma em que exista, a informação está presente no trabalho de todos os profissionais. Portanto, é fundamental para a proteção e salvaguarda das informações que os profissionais adotem comportamento seguro e consistente com o objetivo de proteção das informações da Anonymous Security, com destaque para os seguintes itens: Sócios, colaboradores e prestadores de serviços devem assumir atitude proativa e engajada no que diz respeito à proteção das informações da Anonymous Security. Todos na Anonymous Security devem compreender as ameaças externas que podem afetar a segurança das informações da empresa, tais como vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos etc., bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informação. Todo tipo de acesso à informação da Anonymous Security que não for explicitamente autorizado é proibido. Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais, elevadores, táxis, espaços de coworking, etc.). As senhas de usuário são pessoais e intransferíveis, não podendo ser compartilhadas, divulgadas a terceiros (inclusive colaboradores da própria empresa), anotadas em papel ou em sistema visível ou de acesso não-protegido. Somente softwares homologados pela equipe de TI da Anonymous Security podem ser instalados nas estações de trabalho, o que deve ser feito, com exclusividade, pela equipe de Tecnologia & Operações da Anonymous Security, respeitando as questões legais de licenciamento; A política para uso de internet e correio eletrônico deve ser rigorosamente seguida; Arquivos de origem desconhecida nunca devem ser abertos e/ou executados; Documentos impressos e arquivos contendo informações confidenciais devem ser adequadamente armazenados e protegidos. Qualquer tipo de dúvida sobre a Política de Segurança da Informação e suas Normas deve ser imediatamente esclarecido com a área de Segurança Corporativa; Todas as normas de segurança da informação devem ser rigorosamente seguidas. Casos não previstos devem ser imediatamente submetidos para análise e a validação à área de Segurança Corporativa. 5.6 Avaliação dos Riscos de Segurança da Informação A área de Segurança da Informação Corporativa deve realizar, de forma sistemática, a avaliação dos riscos relacionados à segurança da informação da Anonymous Security. A análise dos riscos deve atuar como ferramenta de orientação ao Comitê Corporativo de Segurança da Informação, principalmente, no que diz respeito à: Identificação dos principais riscos aos quais as informações da Anonymous Security estão expostas; Priorização das ações voltadas à mitigação dos riscos apontados, tais como implantação de novos controles, criação de novas regras e procedimentos, reformulação de sistemas etc. O escopo da análise/avaliação de riscos de segurança da informação pode ser toda a organização, partes da organização, um sistema de informação específico, componentes de um sistema específico etc. Planejamento trimestral de identificação e análise dos riscos, podendo ser alterado o ciclo de análise conforme definido pelo Comitê de Segurança da Informação. Implantação de ferramentas para identificação de riscos e compliance. 5.7 Gestão de Acesso a Sistemas de Informação e a Outros Ambientes Todo acesso às informações e aos ambientes lógicos e físicos da Anonymous Security deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas pelo respectivo proprietário da informação. A política de controle de acesso deve ser documentada e formalizada por meio de Normas e Procedimentos que contemplem, pelo menos, os seguintes itens: Procedimento formal de concessão e cancelamento de autorização de acesso do usuário aos sistemas de informação; Comprovação da autorização do proprietário da informação; Utilização de identificadores de usuário (ID de usuário) individualizados, de forma a assegurar a responsabilidade de cada usuário por suas ações; Verificação se o nível de acesso concedido é apropriado ao propósito do negócio e se é consistente com a Política de Segurança da Informação, as Normas e Procedimentos; Remoção imediata de autorizações dadas a usuários afastados ou desligados da empresa, ou que tenham mudado de função; Processo de revisão periódica das autorizações concedidas; Política de atribuição, manutenção e uso de senhas. 5.8 Monitoração e Controle Os equipamentos, os sistemas, as informações e os serviços utilizados pelos usuários são de exclusiva propriedade da Anonymous Security, não podendo ser interpretados como de uso pessoal. Todos os profissionais da Anonymous Security devem ter ciência de que o uso das informações e dos sistemas de informação da Anonymous Security pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da Política, as Normas e Procedimentos de Segurança da Informação e, conforme o caso, servir como evidência em processos administrativos e/ou legais. 5.9 Grupo de Resposta a Incidentes de Segurança (GRIS) A área de Segurança da Informação, em conjunto as áreas de Tecnologia & Operações e Segurança da Informação, são responsáveis por manter procedimentos para os processos de Gerenciamento de Incidente e de Resposta a Incidente de Segurança (GRIS). Os gestores devem assegurar que todos os sistemas de informação que armazenam informações custodiadas (confidenciais) pela Anonymous Security usam trilhas de auditoria para registrar e reportar: Todas as tentativas de violação da segurança do sistema. Todos os eventos significativos relacionados à administração do sistema bem como a segurança das transações e informações custodiadas (confidenciais) pela Anonymous Security. O nível de detalhe das trilhas de auditoria deve ser compatível com o nível de risco do processo associado. Os gestores devem assegurar que as trilhas de auditoria sejam revisadas periodicamente de forma compatível com o nível de risco do processo associado. O processo de revisão deve ser segregado para assegurar que os revisores não revisem sua própria atividade. Qualquer atividade suspeita deve ser imediatamente verificada e tomadas as ações corretivas necessárias. 5.10 Treinamento e conscientização de segurança da informação. Cada gestor deve garantir que todos da Anonymous Security e os fornecedores, ao iniciar a relação com a Anonymous Security ou quando tiverem alteração significativa na responsabilidade do trabalho, recebam treinamento sobre aspectos de segurança da informação relacionados a sua função dentro de 30 dias do início do trabalho. Os gestores devem assegurar que todos os colaboradores da Anonymous Security e de fornecedores recebam anualmente material de conscientização aprovado pelo Comitê Corporativo sobre Segurança da Informação. 5.11 Auditoria O processo de auditoria de verificação de conformidade dos sistemas existentes será executado semestralmente, ou a qualquer momento de acordo com a necessidade do negócio, para garantir que todas as partes estão executando corretamente as suas atividades e garantir que todos os outros requisitos de Segurança da Informação estão sendo constantemente observados. A auditoria poderá ser realizada por auditor externo ou equipe interna, seguindo a programação de auditoria estabelecida pelo Security Officer. Neste processo será observada a independência do auditor com os processos a serem auditados. O Security Officer deverá planejar a correção dos itens de não conformidade identificados nas auditorias com envolvimento das equipes responsáveis pelas não conformidades. 5.12 Produtos e Serviços de Gerenciamento da Segurança Sistemas de detecção de invasão e demais produtos e serviços de segurança da informação só podem ser contratados se aprovados pelo Comitê Corporativo de Segurança da Informação. Todos os alarmes de sistema associados a Segurança da Informação e eventos de segurança gerados sejam registrados e arquivados diariamente. Quando ocorrer um Evento de Segurança, o Grupo de Resposta a Incidente de Segurança (GRIS) deve ser acionado através do processo e procedimento definidos pela área de Segurança da Informação. Os controles da área TI devem assegurar que todas as conexões IP a Terceiros são protegidas por firewalls gerenciados pela Tecnologia & Operações ou ao menos submetidos a Diretoria de Segurança e Compliance. 6 CÓDIGOS DE ACESSO Dado os códigos de acesso nos sistemas da empresa, possuem acesso a eles apenas funcionários da empresa, ficando o acesso a eles regulados conforme o cargo que o funcionário ocupa, usando os protocolos AAA, o que dá a pessoalidade do uso dos códigos de acesso, além de tornar intransferível os mesmos, sejam eles contas com senha, ou e- mails corporativos; Em caso de descaso, perca, mal uso, ou vazamento (intencional ou não), ficará o funcionário sucessível a medidas disciplinares conforme o ocorrido; 7 MEDIDAS DICIPLINARES 7.1 Quanto a responsabilidade do conselho: O conselho (como já citado) é formado por gerentes e diretores já pré-selecionados, com o responsável da área presente, e quando necessário é pedido o auxílio de segundos, os observadores, podendo esses serem advogados em situações mais extremas, ou testemunhas desses incidentes, para assimobterem uma visão maior e mais precisa do incidente; No que se refere as decisões escolhidas e impostas por esse conselho, elas são dadas pelos membros já pré-selecionados, com cada qual dando sua opinião sobre o ocorrido, a forma de trata-lo, e a forma da julga-lo, podendo isso também ser dado pelos observadores, sendo expedido tudo isso da forma mais justa possível de cada pessoa; E no que se refere a forma de julgamento, como já citado, apenas os membros pré-selecionados tem o poder de voto para as opiniões dadas, sendo requerido de cada membro um voto imparcial e justo, com ele (o voto) tendo o mesmo valor independente do cargo ou posição que cada membro do conselho ocupa; 7.2 Quanto aos tipos de categorias das medidas disciplinares: O conselho trata as medidas disciplinares em dois tipos de categorias: faltas, e faltas graves; nas faltas, o(s) envolvido(s) no incidente está sujeito a apenas medidas disciplinares passivas,” os ditos puxões de orelha”, já nas faltas graves o(s) envolvido(s), está(ão) sujeito(s) a medidas disciplinares mais extremas como a demissão imediata, ou até mesmo processos cabíveis conforme aquilo que foi cometido; Observação: que fique claro nessa explicativa, que sobre a separação das medidas disciplinares em duas categorias, elas não são totalmente correspondentes as mesmas, podendo uma falta, com medidas disciplinares passivas, se tornarem uma falta grave, com medidas disciplinares mais extremas, ou vice-versa, o que é dado conforme a situação e o caso a ser julgado; 7.3 Quanto as medidas disciplinares denominadas faltas serem aplicadas: A perca de senhas, contas corporativas ou chaves de acesso atribuídas ao funcionário, dada pela falta de cuidado; Funcionário(s) abaixo da gerencia, e fora dos cargos de confiança, passarem indevidamente suas contas de acesso corporativo a outras pessoas, que não foram autorizadas pela empresa; Fotografias, filmagens e gravações audiovisuais não autorizadas da empresa, de clientes que estejam dentro da empresa ou de mensagens enviadas da empresa para o(s) funcionário(s); A instalação de apps, jogos, softwares ou qualquer outro tipo de programa não autorizado pela empresa, bem como a instalação de hardwares (peças de computador) indevidas nas máquinas da empresa; Trazer pessoas que não façam parte da empresa para dentro do espaço da empresa, por qualquer que sejam os motivos, independente da relação que a pessoa tenha com o funcionário; Funcionários que entrarem em áreas restritas a um grupo da empresa sem a autorização devida; A colocação de discos, disquetes, pen-drives, mídias físicas em geral, que não tenham recebido autorização, no(s) computador(es) da empresa; O descarte inadequado de máquinas antigas, discos, disquetes, pen-drives, ou mídias físicas em geral que pertençam à empresa; O acesso indevido a sites de conteúdo adulto, obsceno ou ilegal, a partir dos computadores da empresa; O uso de alto falantes ou aparelhos com som alto dentro da empresa; O uso indevido, ou para fins pessoais de veículos da empresa; O uso dos correios eletrônicos coorporativos (que foram atribuídos pela empresa) de forma indevida, ou para uso pessoal; Enviar informações relevantes ou documentos por e-mails ou outros canais de correio eletrônico que não foram atribuídos pela empresa; Apagar toda e qualquer tipo de mensagem enviada pelos e- mails ou canais de comunicação da empresa; Retransmitir a outros e-mails ou canais de comunicação, mensagens da empresa para um funcionário ou um grupo específico; Enviar mensagens em nome de outros funcionários independente do cargo, bem como a adulteração de cabeçalhos para esconder a identidade de remetentes ou(e) destinatários; Enviar ou compartilhar para outros funcionários, conteúdos de cunho adulto, obsceno ou ilegal, pelos canais de comunicação da empresa; O funcionário omitir informações acerca da empresa, ou dos membros da mesma, aos superiores; Divulgar informações de cunho privado e geral para os funcionários para pessoas de fora da empresa; A permissão ou negligência do acesso não autorizado quando ou não necessário, nos sistemas da empresa, ou em dados dos clientes; Quanto as penalidades a serem atribuídas em relação a quebra dos parâmetros anteriores As penalidades em geral dadas a quebra de uma ou mais regras citadas anteriormente são principalmente de peso relativamente baixo, na maioria aplicando-se como penalidade apenas uma chamada e uma conversa para que o ocorrido não se repita; Salvo a exceção, de em caso de persistência nos erros cometidos serão aplicadas medidas administrativas a(os) envolvido(s), essas que serão decididas pelo conselho; Observação: Se mesmo após sérias advertências e sanções administrativas o(s) mesmo(s) ainda persistirem nos erros sofrerão punições mais drásticas, podendo até mesmo perder o emprego; 7.4 Quanto as medidas disciplinares denominadas faltas graves a serem aplicadas: O furto, ou subtração de bens materiais, informações, ou documentos, dentro da empresa, sendo ele(s) propriedade ou não da empresa; O vazamento de dados de clientes, ou da própria empresa para terceiros; A aquisição ilegal, e sem o consentimento da empresa de códigos de acesso restrito da empresa; A repetição de erros (faltas) cometidas várias vezes, mesmo após vários alertas; Qualquer tipo de assédio, racismo, ou qualquer outro tipo de ilicitude cometida a todo e qualquer funcionário da empresa, clientes ou visitantes; A instalação consciente de malwares, ou qualquer outro tipo de arquivo malicioso nos computadores da empresa, para fins de sabotagem; A falsificação de documentos para benefício(s) próprio(s), dada por um ou mais funcionários; A irresponsabilidade quanto ao não cumprimento das normas de segurança pré-estabelecidas pela TI da empresa em caso de incidentes; A negligência dos serviços ou tarefas atribuídas e de função do cargo exercido; Quanto as penalidades atribuídas dada a quebra dos parâmetros anteriores As penalidades denominadas faltas graves apresentadas, são consideradas pela empresa de cunho mais grave, levando algumas delas automaticamente à demissão(ões) do(s) envolvidos, ou até mesmo à processos coorporativos; Plausíveis de processos e denúncias às autoridades aqueles que expõem crimes contra ao(s) funcionário(s), e(ou) outras pessoas envolvidas, ou até mesmo à própria empresa, correspondendo a eles os crimes de assédio moral ou sexual, racismo, xenofobia, roubo ou subtração de bens, sabotagem empresarial, irresponsabilidade quanto a deveres(o que pode ser tido também como a negligência), falsificação, vazamento de dados, dentre diversos outros crimes ou desdéns que possam ser cometidos; Salvo que a empresa Anonymous Security zela pela moralidade, ordem, justiça, e igualdade. 7.5 Observações gerais quanto as penalidades e faltas por este citados: As penalidades e faltas, graves ou não, anteriormente citadas não correspondem a totalidade das normas, regras, punições e crimes plausíveis de acontecerem, podendo acontecer mais tipos em diferentes casos, esses que são definidos e julgados conforme a situação pelo conselho já citado. 8 DIVULGAÇÃO É importante que cada ativo tenha a sua própria cópia dos regulamentos internos de segurança. Com isso, ele pode ter sempre esse material para consulta. A divulgação será realizado para todos que trabalham na empresa, no momento de sua contratação para estarem ciente de que podem ocorrer nenhuma penalização. Todos os empregados deverão assinar o Termo de Responsabilidade e Conhecimento da Política de Segurança da Anonymous Security e estar de acordo com o tratado As alterações devemser anunciado aos empregados e deverão assinar o Termo de responsabilidade e Conhecimento da Política de Segurança da Anonymous Security. 9 GESTÃO DE CONTINUIDADE DE NEGÓCIOS O processo de gestão de continuidade de negócios da Anonymous Security é estabelecido por um conjunto de políticas, normas e práticas operacionais que seguem os princípios da NBR ISO 22301, o objetivo do processo de gestão de continuidade de negócios é garantir que os processos críticos tenham continuidade, atendendo aos requisitos mínimos operacionais e evitando impactos nos negócios da Anonymous Security e seus clientes. 10 DISPOSIÇÕES FINAIS Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Anonymous Security. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela Empresa. SEGURANÇA EM PRIMEIRO LUGAR Teresina-PI Versão 1.0
Compartilhar