Gerenciamento da Segurança da Informação

A estruturação da equipe de Segurança deve ser formal e os colaboradores que desempenham as atividades devem possuir conhecimento específico nesta disciplina. É de responsabilidade da equipe de Segurança a condução das iniciativas e ações táticas e operacionais.

As iniciativas estratégicas de Segurança da Informação devem ser avaliadas e patrocinadas por um Comitê de Segurança da Informação, composto por um representante indicado pela Administração, pelo responsável pela Segurança e especialistas, quando necessário, e por representantes que possuam funções gerenciais claramente definidas no Organograma da 2CLIX TECNOLOGIA EIRELI. No momento o CSI é composto por um representante das equipes de Segurança, Projetos e um representante da Administração.

Gerenciamento de Recursos Humanos

As responsabilidades dos colaboradores e terceiros estão descritas  na [SEG2CX12]Política de Segurança de Recursos Humanos a fim de garantir a correta conscientização, prevenção de eventos de Segurança e penalização de acordo com as fases do contrato de trabalho ou prestação de serviços.

Para a Segurança de Informação a gestão de Recursos Humanos se constrói a partir dos seguintes requisitos e objetivos:

• As diretrizes e responsabilidades de segurança devem ser claramente comunicadas aos colaboradores durante o processo de seleção e contratação;
• Deve-se verificar o histórico profissional e criminal dos candidatos e terceiros de acordo com as leis, regulamentações e condutas éticas;
• Procedimentos formais de revogação e autorização de acessos, devem ser aplicados no processo de desligamento de colaboradores bem como em mudanças de cargos, funções e atividades seja na 2CLIX TECNOLOGIA EIRELI ou pela empresa responsável pelo colaborador;
• Todos os ativos e informações em posse do colaborador devem ser devolvidos quando ocorrer o desligamento ou encerramento de contrato com terceiros.

Tratamento e Classificação da Informação

Garantir que as informações sob responsabilidade da 2CLIX TECNOLOGIA EIRELI, durante todo o seu ciclo de vida sejam manipuladas de forma correta.  Todos os ativos devem ser identificados, inventariados e classificados (sigilo e criticidade) para o seu correto gerenciamento e identificação da proteção adequada.

• Informação Pública: É toda informação que pode ser acessada por todos os colaboradores, clientes, prestadores de serviços e público em geral. 
• Informação Interna: É toda informação que só pode ser acessada por colaboradores. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização.   
• Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence e por parceiros da organização conforme a necessidade e sob assinatura de um NDA. A divulgação não autorizada desta informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio dos seus clientes.   
• Dado Pessoal: É toda informação que pode ser usada para a identificação de pessoa natural.
• Dado Pessoal Sensível: são dados que trazem informações particulares do dono do dado, são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Gerenciamento de Credenciais de Acesso

As solicitações e aprovações de acesso na 2CLIX TECNOLOGIA EIRELI devem seguir processos formais descritos no documento [SEG2CX09 ]Gestão de Acessos para a definição do uso das senhas, controle dos privilégios concedidos ou negados e ciclo de atualização e revisão de acessos. 

A segregação de funções deve ser aplicada para reduzir as oportunidades de mudanças ou má utilização dos ativos de informação sejam acidentais ou não.

Trabalho Remoto ( Home-Office )

VPN 

O acesso a rede da empresa por uma VPN, permite um nível de segurança maior para a rede interna, pois faz com que este acesso ocorra por uma rede criptografada.

Política de Senhas

• Utilize senha de no mínimo 8 caracteres, alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação de maiúsculo e minúsculo;

• Não deve ser utilizada a mesma senha para diversas finalidades, por exemplo, para sistemas corporativos, conta bancária, e-mail, etc.

• A senha não deve ser jamais passada a ninguém. Em caso de desconfiança quanto a segurança da senha, ela deverá ser alterada imediatamente;

• Tudo que for executado com uma senha será de responsabilidade do ‘dono’ do acesso;

• As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos não criptografados;

• As senhas não devem ser baseadas em informações pessoais, como nome próprio. nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras;

• Uso de um software gerenciador de senhas é recomendado para gerar senhas fortes e armazená-las de forma segura.

Política de uso e estação de trabalho

Cada estação de trabalho tem códigos internos que permitem que ela seja identificada na rede, e cada indivíduo possui sua própria estação de trabalho. Isso significa que tudo que venha a ser executado de uma estação será de responsabilidade do colaborador responsável por ela.

• Não instale nenhum tipo de software / hardware sem autorização da equipe técnica ou de segurança em dispositivos fornecidos pela empresa;

• Mantenha na sua estação somente o que for supérfluo ou pessoal. Todos os dados relativos à empresa devem ser mantidos na cloud do Google Drive ou repositório Azure;

• Não tente obter acesso não autorizado a outro computador, servidor ou rede;

• Não acesse informações confidenciais sem explícita autorização do proprietário;

• Não analise os dados trafegados pela rede;

• Não interrompa um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;

• Não hospede pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;

• Não utilize software pirata em equipamentos da empresa.

Antivírus

• Mantenha seu antivírus e sistema operacional atualizados;

• Reporte atitudes suspeitas em seu sistema para a equipe técnica;

• Reporte conflitos entre o antivírus e softwares necessários para a realização de suas funções.

Gerenciamento da Segurança Física e do Ambiente

Os ambientes e perímetros em que as informações sob responsabilidade da 2CLIX TECNOLOGIA EIRELI são acessadas ou se encontram, devem ser protegidos com controles de acesso físico, monitoramentos, identificação dos colaboradores e trilhas de auditoria.

Cópias de Segurança (Back-up/Restore)

As cópias de segurança das informações e ativos de infraestrutura e suporte devem ser efetuadas, testadas periodicamente e armazenadas adequadamente por períodos determinados de acordo com as diretrizes estabelecidas e alinhados a garantia de Continuidade de Negócios da 2CLIX TECNOLOGIA EIRELI.

Gerenciamento das Operações e Comunicações

• Os procedimentos operacionais devem ser documentados, atualizados e disponíveis aos colaboradores;

• Ambientes de desenvolvimento, homologação e produção devem ser segregados para reduzir os riscos de acesso às informações ou mudanças não autorizadas nos ativos;

• O uso dos ativos de informação deve ser monitorado periodicamente para uma projeção futura de capacidade e desempenho dos ativos;

• Planejar adequadamente a alocação de recursos para atender as demandas flutuantes de capacidade dos ativos;

• Critérios de aceitação de novos sistemas, atualizações e novas versões devem ser estabelecidos e procedimentos de testes aplicados, antes da implantação em ambiente de operação real dos negócios;

• Controles de detecção, prevenção e proteção contra códigos maliciosos (vírus, malware, adware, ransomware e outros) e procedimentos de conscientização devem ser implementados;

• Aspectos de segurança, níveis de serviços e os requerimentos para gerenciamento de todos os serviços de rede devem ser identificados e mencionados nos acordos e contratos;

• Procedimentos devem estar documentados para o gerenciamento das mídias físicas, de forma a prevenir exposição, alteração, remoção, destruição não autorizada ou interrupção das atividades de negócio;

• O processo de destruição de mídias e documentos, quando não mais necessários, deve ser efetuado de forma segura descrita em procedimento interno;

• Procedimentos devem ser descritos para monitoração dos ativos de informação e das atividades de revisão periódica dos resultados;

• O registro das atividades de usuários, sistemas e transações (trilhas de auditoria), exceções e eventos de segurança da informação devem ser registrados e armazenados adequadamente por um período acordado, para cumprimento de regulamentos e padrões, possíveis investigações futuras e monitoração do controle de acesso.

Aquisição, Desenvolvimento e Manutenção de Ativos de Informação

• Os requerimentos de segurança devem ser identificados e adotados antes do desenvolvimento ou avaliação do ativo de informação;
• A análise das especificações de segurança deve ser considerada como uma fase de projeto e justificado, acordado e documentado;
• O uso de controles de criptografia para proteção dos ativos de informação deve seguir os requisitos exigidos e deve ser considerado como parte do processo de análise e mitigação de riscos, por meio da seleção e implementação de controles;
• Os processos de geração, distribuição, guarda e revogação das chaves de criptografia devem seguir procedimentos formais.

Gerenciamento dos incidentes de segurança

Procedimentos de resposta a incidentes envolvendo os recursos da 2CLIX TECNOLOGIA EIRELI e terceiros devem ser definidos e publicados com o objetivo de manter a melhoria contínua nos processos relacionados ao gerenciamento dos incidentes de segurança.

A comunicação dos eventos de segurança e fragilidades identificadas nos ativos de informação da 2CLIX TECNOLOGIA EIRELI deve seguir procedimento formais para que correções ou ações necessárias sejam aplicadas em tempo hábil.

Atividades de E-mail e Comunicação

A conta de correio eletrônico disponibilizada pela 2CLIX TECNOLOGIA EIRELI é de uso exclusivamente profissional e caberá a área de TI realizar toda gestão de uso de correio eletrônico. O usuário é responsável por todo acesso, conteúdo de mensagens e uso relativos ao seu e-mail.

Lembrando que, a empresa poderá a qualquer tempo monitorar o recebimento e envio de mensagens de seus colaboradores (funcionários e estagiários) e partes envolvidas (exceto clientes), sendo que é proibido de criar, copiar ou encaminhar mensagens ou imagens que:

• Contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza;

• Façam parte de correntes de mensagens, independentemente de serem legais ou ilegais;

• Repassem propagandas ou mensagens de alerta sobre qualquer assunto. Havendo situações em que o usuário ache benéfico divulgar o assunto para a 2CLIX TECNOLOGIA EIRELI, a sugestão deve ser encaminhada para a Área de Recursos Humanos, que definirá a sua publicação ou não;

• Menosprezem, depreciem ou incitem o preconceito a determinadas classes, como sexo, raça, orientação sexual, idade, religião, nacionalidade, local de nascimento ou deficiência física;

• Possuam informação pornográfica, obscena ou imprópria para um ambiente profissional;

• Sejam hostis ou transmitam indiretamente mensagens hostis; defendam ou possibilitem a realização de atividades ilegais; possam prejudicar a imagem da 2CLIX TECNOLOGIA EIRELI, parceiros e clientes.

• Alterar o conteúdo original de mensagens e repassar as mesmas sem fazer menção desta alteração. A modificação do conteúdo original de mensagens realizada sem prévia autorização pode ser caracterizada como fraude é esta ação será tratada judicialmente conforme os parâmetros das leis vigentes.

Acesso à Internet

Uma vez criadas as contas corporativas e o acesso à estação de trabalho 2clix seja cedido, o colaborador não poderá acessar a sites que tenham o seguinte conteúdo:  

• Pornografia;  

• Racismo;

• Hacker;

• Jogos;  

• Bate papo;  

• Webmail;

• Instant Messenger;

• Busca de softwares piratas;  

• Redes sociais e relacionamentos;

• Outros que o CSI venha a determinar como restritos.  

Auditoria e Conformidade

• O uso de informações ou ativos de informação que possam vir a ter direitos de propriedade intelectual, tais como, direitos autorais, patentes ou marcas registradas aplicáveis, devem seguir procedimentos apropriados para assegurar a legalidade em sua utilização;
• Os procedimentos de segurança devem ser seguidos corretamente para alcançar os objetivos de conformidade com as diretrizes Políticas, Normas e Procedimentos da 2CLIX TECNOLOGIA EIRELI ou atendimento a cláusulas contratuais específicas;
• Os controles implementados aos ativos de informação devem ser periodicamente revisados para assegurar a conformidade com os documentos da Política de Segurança da Informação;
• Os controles devem ser auditados periodicamente para identificação de eventuais desvios nas configurações, tentativas ou acessos não autorizados e associação de privilégios divergentes das funções e cargos;
• As ferramentas de auditoria, bem como os seus resultados, devem ser restritos aos responsáveis envolvidos.

Exceções

Todas as exceções devem seguir procedimentos formais de registro e autorização.  A exceção em nenhum caso poderá anular o controle original implementado e os controles compensatórios utilizados serão incorporados e tratados como um novo controle de Segurança.

Responsabilidades

• O responsável pela equipe de Segurança deve garantir que o SGSI seja implementado conforme o escopo e controles definidos nos documentos de segurança de informação;

• É designado à equipe de segurança a responsabilidade de comunicar e treinar as demais equipes para a adaptação e utilização correta dos processos e controles de segurança adotados;

• Em conjunto com a Administração, a equipe de Segurança deverá revisar as documentações, processos e controles conforme os ciclos definidos em suas respectivas sessões de ‘Validade e gestão de documentos’;

• O responsável pela criação dos acessos deve comunicar aos colaboradores seus acessos quando forem criados ou alterados, assim como deve ser o responsável por remover os acessos dos colaboradores conforme o necessário;

• Todos os incidentes de segurança devem ser reportados ao responsável pela equipe de Segurança;

• Todo incidente ou mudança no escopo do tipo de tratamento de dados deve ser comunicada à parte interessada representante do dado. Esta comunicação deve ser feita ou pelo responsável de Segurança ou pelo Administrador do Sistema;

• A equipe de Segurança deve organizar e ministrar treinamentos para o compartilhamento e conscientização dos demais colaboradores com as políticas e processos de segurança adotados pela organização;

• É responsabilidade de todo colaborador: conhecer, cumprir e fazer cumprir as diretrizes de segurança de informação da 2CLIX TECNOLOGIA EIRELI.

Comunicação da Política

A comunicação da política é de responsabilidade da equipe de Segurança que deve manter os documentos atualizados nos repositórios compartilhados do google drive e wiki do Azure DevOps, além de organizar treinamentos para todas as equipes sempre que necessário.

Suporte à implementação do SGSI

A equipe de Administração declara seu apoio à implementação do SGSI, e irá trabalhar para reforçar as políticas e processos na cultura da 2CLIX TECNOLOGIA EIRELI, assim como implementar os controles necessários para a adequação da organização aos padrões de segurança desejados.

Penalidades

• O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade);
• Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante o 2CLIX TECNOLOGIA EIRELI e a legislação (cível e criminal) será dos usuários que dele se utilizarem, no entanto, se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado;
• Caberá ao Comitê de Segurança julgar os colaboradores que infringirem as normas aqui estabelecidas.

Validade e Gestão de Documentos

Este documento passa a ser válido a partir da data de sua última aprovação e tem uma vida útil de até um ano. 

A equipe de Segurança é responsável por fazer a revisão, auditoria e atualização deste documento, podendo adiantar o processo de alterações na documentação caso seja necessário.

Para garantir uma avaliação clara e objetiva, alguns fatores serão usados como critérios de avaliação. 

• Quantidade de Incidentes causados por definição confusa ou incerta da política de segurança;

• Tempo desperdiçado pelos colaboradores e funcionários em processos redundantes ou burocráticos;

• Evolução dos registros de ofensores de processos de segurança;

• Processos ineficazes para aquilo que foram implementados;

• Alinhamento com os requisitos legais e contratuais.

Os registros de incidentes envolvendo o conteúdo deste documento e dos demais processos de segurança da 2CLIX TECNOLOGIA EIRELI serão registrados em pasta específica no diretório de documentos internos.