Política de Segurança da Informação - Informática Corporativa de... · Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018 4 1

Política de Segurança

da Informação -

Informática

Corporativa

Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018

2

SUMÁRIO

1. OBJETIVO .............................................................................................................. 4

2. DEFINIÇÕES.......................................................................................................... 4

3. ABRANGÊNCIA ..................................................................................................... 4

4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE .................................. 4

5. PRINCIPIOS DA POLITICA DE SEGURANÇA ....................................................... 5

6. OBJETIVOS DA POLITICA DE SEGURANÇA ......................................................... 5

7. DIRETRIZES ........................................................................................................... 5

7.1 GERAL .................................................................................................................... 5

7.2 ACESSO LÓGICO ................................................................................................... 6

7.2.1 DIREITO DE ACESSO ..................................................................................... 6

A. NORMA DE UTILIZAÇÃO DA REDE DE DADOS .................................................. 6

B. NORMA DE UTILIZAÇÃO DA REDE SEM FIO ...................................................... 6

C. NORMA DE UTILIZAÇÃO DOS SISTEMAS ........................................................... 6

D. NORMA DE UTILIZAÇÃO DE ACESSO REMOTO ................................................. 6

E. NORMA DE UTILIZAÇÃO DE CORREIO ELETRÔNICO ........................................ 6

F. NORMA DE UTILIZAÇÃO DE INTERNET ............................................................. 6

7.3 AUTENTICAÇÃO E SENHAS ................................................................................. 7

7.4 GESTÃO DE RISCOS DE SEGURANÇA .................................................................. 7

7.5 DISPOSITIVOS MOVEIS ........................................................................................ 7

7.6 TELA PROTEGIDA ................................................................................................. 7

7.7 MESA LIMPA ........................................................................................................ 7

7.8 IMPRESSÃO .......................................................................................................... 7

7.9 CLASSIFICAÇÃO DA INFORMAÇÃO .................................................................... 7

7.10ATIVOS DA INFORMAÇÃO .................................................................................. 8

7.11SEGURANÇA FÍSICA ............................................................................................. 8

7.12SEGURANÇA NAS OPERAÇÕES ........................................................................... 8

7.13SEGURANÇA NAS COMUNICAÇÕES ................................................................... 9

7.14SEGURANÇA COM FORNECEDORES ................................................................... 9


3

7.15GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO .......................... 9

7.16GESTÃO DA CONTINUIDADE DE NEGÓCIO ....................................................... 9

7.17CONFORMIDADES ............................................................................................... 9

8. PÁPEIS E RESPONSABILIDADES ........................................................................ 10

8.1 COLABORADORES .............................................................................................. 10

8.2 GESTORES ............................................................................................................ 10

8.3 SEGURANÇA DA INFORMAÇÃO ......................................................................... 10

8.4 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO ...................................... 11

8.5 ÁREA DE RECURSOS HUMANOS ........................................................................ 11

9. DOCUMENTOS RELACIONADOS ...................................................................... 11

10. ANEXOS .............................................................................................................. 11

11. CONTROLE DO DOCUMENTO ........................................................................... 12

11.1 HISTÓRICO DE VERSÕES .................................................................................. 12

11.2 REVISÃO DO DOCUMENTO .............................................................................. 12

11.3 APROVAÇÃO DO DOCUMENTO ....................................................................... 12


4

1. OBJETIVO

A Política de Segurança da Informação tem como objetivo estabelecer as

diretrizes a serem seguidas pela Informática Corporativa do Grupo Ultra

relativas à adoção de normas e procedimentos relacionados à Segurança da

Informação, permitindo aos colaboradores e demais partes interessadas

seguirem padrões de comportamento relacionados à proteção da informação,

além de declarar formalmente o seu compromisso com a proteção das

informações, considerando os três pilares da segurança: confidencialidade,

integridade e disponibilidade, o cumprimento dos requisitos legais e

regulamentares e a busca constante pela melhoria contínua.

2. DEFINIÇÕES

Vide ISO/IEC 27000:2016

3. ABRANGÊNCIA

Esta Política aplica-se a todos seus colaboradores, terceiros, parceiros e

fornecedores do Ultra.

4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE

A Política deve ser de conhecimento de todos. Sua divulgação e educação são de

suma importância para o Ultra, e poderá ser divulgada ou publicada das

seguintes formas:

a) impressa;

b) digital; e

c) Sonora ou Áudio visual.

Cabe a Informática Corporativa juntamente com a equipe de segurança da

informação, além das equipes de comunicação e recursos humanos, divulgar e

definir a melhor forma de divulgação, considerando e respeitando a cultura e

costumes, leis e regulamentos vigentes e evitando qualquer tipo de

discriminação.

Todos os funcionários, estagiários e prestadores de serviço devem aderir

formalmente ao “Termo de Adesão à Política de Segurança da Informação”,

comprometendo-se a respeitar esta PSI e as normas de forma integral.


5

5. PRINCIPIOS DA POLITICA DE SEGURANÇA

A informação do Ultra trata-se de um ativo essencial para os negócios, portanto

ela deverá ser devidamente protegida e utilizada de modo ético e seguro,

garantindo confiabilidade através da proteção da:

a) Confidencialidade: Garantir que a informação não seja revelada ou esteja

disponível para indivíduos, entidades e processos não autorizados;

b) Integridade: Garantir a salvaguarda da exatidão e totalidade da informação

e dos métodos de processamento.

c) Disponibilidade: Garantir que a informação esteja sempre acessível e

disponível quando necessário. Considerando a Prontidão: Ser acessível sempre

que necessária, a Continuidade: Manter-se disponível mesmo quando

houverem falhas nos sistemas, e a Robustez: Atender a todos os usuários do

sistema sem que haja uma degradação que comprometa o resultado.

6. OBJETIVOS DA POLITICA DE SEGURANÇA

Para endereçar todo o esforço e manutenção necessária para a Segurança da

Informação, o Ultra estabelece os seguintes objetivos:

a) Uma estrutura de Gestão da Segurança da Informação será estabelecida e

mantida com apoio da Direção, através de um Sistema de Gestão de Segurança

da Informação (SGSI);

b) A conscientização dos colaboradores deve ser realizada com objetivo de

manter e melhorar o nível de segurança da informação no Ultra;

c) A identificação de cada colaborador do Ultra deve ser única, pessoal e

intransferível, qualificando-o como responsável pelas ações realizadas;

d) Os riscos deverão ser analisados, classificados e apresentados ao Comitê de

Segurança da Informação que deliberará sobre o tratamento adequado para

tais; e

e) Os incidentes de segurança devem ser reportados para a área de Segurança

da Informação para que sejam analisados, avaliados e tratados.

7. DIRETRIZES

7.1 GERAL

A informação é conhecimento ou dados que têm valor para o negócio das

empresas do Ultra. Esta informação pode ser armazenada em qualquer formato

e para tanto deve ser adequadamente protegida. A informação está presente em


6

diversas formas e independente da forma apresentada ou do meio pela qual é

compartilhada ou armazenada deve ser utilizada unicamente para a finalidade

para a qual foi autorizada.

A Política de Segurança da Informação tem como principal diretriz proteger a

informação de diversos tipos de ameaças, acesso, destruição, divulgação ou

modificação não autorizada, para possibilitar a continuidade dos negócios

minimizando os danos e maximizando o retorno dos investimentos e a

oportunidade de negócios.

7.2 ACESSO LÓGICO

7.2.1 Direito de acesso

A gestão de acesso para os colaboradores, terceiros, parceiros e fornecedores

do Ultra é realizada pela área de Suporte seguindo as normas estabelecidas:

a. Norma de Utilização da Rede de Dados

Descreve as diretrizes para o processo de autenticação para as solicitações

de acesso à rede de dados, a conexão de equipamentos e etc.

b. Norma de Utilização da Rede sem Fio

Descreve sobre as diretrizes relacionadas à utilização da rede sem fio do

Ultra.

c. Norma de Utilização dos Sistemas

Estabelece as diretrizes relacionadas à utilização adequada aos Sistemas

do Ultra permitindo acesso apenas após a autenticação do usuário, que

será formalmente solicitada pelo gestor, incluindo também neste processo

as alterações, bloqueios de acesso aos sistemas, garantindo que as

credenciais de acesso à rede são de uso pessoal, intransferível e de

responsabilidade exclusiva do usuário.

d. Norma de Utilização de Acesso Remoto

Descreve as diretrizes de liberação de acesso à rede de dados do Ultra

tanto para pessoas físicas, quanto jurídicas.

e. Norma de Utilização de Correio Eletrônico

Descreve as diretrizes de utilização adequada do correio eletrônico no

Ultra.

f. Norma de Utilização de Internet

Descreve sobre as diretrizes relacionadas à utilização adequada da

internet para o desenvolvimento das atividades profissionais no Ultra.


7

7.3 AUTENTICAÇÃO E SENHAS

Utilizar senhas de usuários de maneira pessoal e intransferível, sem

compartilhamento, divulgação a terceiros ou anotações em papel. É

responsabilidade do usuário autorizado qualquer ação executada com o seu

login/senha. A senha deverá estar em conformidade com o documento de

Definições Relacionadas a Política de Segurança adotada pelo Ultra. Não se

deve utilizar senhas fracas, como baseada em nomes próprios, dados

pessoais tais como nome, data de nascimento, número de documentos e etc.

7.4 GESTÃO DE RISCOS DE SEGURANÇA

Orientar sobre os métodos de gestão e análise de riscos que contribuem

para a identificação, registro, classificação e monitoramento dos riscos

inerentes às atividades de negócio, bem como desenvolver e aplicar as

respectivas medidas de tratamento dos atuais ou novos riscos que impactem

direta ou indiretamente os Serviços Essenciais de Tecnologia da Informação

do Ultra.

7.5 DISPOSITIVOS MOVEIS

Define as diretrizes relacionadas à utilização dos dispositivos móveis no

Ultra.

7.6 TELA PROTEGIDA

Orientar colaboradores e partes interessadas, quando aplicável a bloquear

todos os equipamentos, estações de trabalho e servidores em qualquer

ausência temporária evitando o uso indevido do equipamento.

7.7 MESA LIMPA

Adotar a prática de que nenhuma informação confidencial deve ser deixada

à vista, seja ela em papel ou em quaisquer dispositivos, eletrônicos ou não.

Especial atenção também deve ser dada quando da utilização de

impressoras coletivas, recolhendo o documento impresso imediatamente.

7.8 IMPRESSÃO

Descreve sobre as diretrizes relacionadas à utilização adequada dos recursos

de impressão no Ultra.

7.9 CLASSIFICAÇÃO DA INFORMAÇÃO

As informações de propriedade ou sob custódia do Ultra são rotuladas,

utilizadas, armazenadas, transmitidas e descartadas conforme o nível de


8

classificação atribuído formalmente pela área de segurança da informação.

Como diretriz o Ultra adota que todo documento não rotulado deve ser

considerado de uso interno, o que significa que, fora de suas dependências

deve ser tratado como confidencial. Mais detalhes sobre as regras, estão

descritos na Norma de Classificação da Informação.

7.10 ATIVOS DA INFORMAÇÃO

Os ativos associados à informação e aos recursos de processamento da

informação do Ultra estão identificados, inventariados e o ciclo de vida da

informação.

Para cada ativo da informação está definido um proprietário que é

responsável por assegurar que o mesmo seja inventariado, seja

adequadamente classificado e protegido e analise criticamente as

classificações e restrições de acesso, além do tratamento quando o mesmo

é excluído ou destruído.

As diretrizes para utilização adequada dos ativos estão definidas na Norma

de Utilização dos Ativos de Informática.

7.11 SEGURANÇA FÍSICA

O Ultra, através de sua área de Facilities, responsável pelos controles de

segurança física, estabelece diretrizes a seus colaboradores, terceiros,

parceiros e fornecedores acerca de acesso físico as suas instalações.

Os controles implementados de entrada e saída limitam e monitoram o

acesso físico a todos os ambientes com equipamentos, datacenter e outras

áreas físicas que contenham sistemas e/ou informações do Ultra.

Os controles de segurança física incluem, além do monitoramento de

entradas e saídas, a proteção do ambiente e contra ameaças externas e do

meio ambiente, garantindo que as pessoas envolvidas desenvolvam suas

atividades em áreas seguras.

7.12 SEGURANÇA NAS OPERAÇÕES

Estabelece as diretrizes que contribuem para maior controle dos serviços de

rede internas e externas, através da geração e tratamento de logs utilizados

no controle e monitoração dos acessos dos componentes, recursos de redes

e informações confidenciais do Ultra, contribuindo com a disponibilidade

desses serviços.


9

7.13 SEGURANÇA NAS COMUNICAÇÕES

O Ultra estabelece as diretrizes de acesso e utilização segura dos Recursos

de Tecnologia da Informação e Comunicação, baseado nas melhores práticas

de segurança da informação e padrões de mercado, estabelecendo

recomendações para a gestão. Desta forma, fica proibida a utilização dos

Sistemas de Informação de propriedade do Ultra com o fim de realizar ações

que sejam contra a legislação e normas nacionais e internacionais que

podem provocar danos intencionais na rede ou outros sistemas,

prejudicando de forma intencional o tráfego da rede ou o acesso a recursos.

7.14 SEGURANÇA COM FORNECEDORES

O Ultra, através de sua Norma de Gestão de Terceiros, Parceiros e

Fornecedores, define as regras de segurança para tratar o acesso seguro às

informações, garantindo as mesmas não sejam colocadas em risco por

terceiros, parceiros e fornecedores quando da gestão da segurança da

informação inadequada.

A definição de acordos com terceiros, parceiros e fornecedores são

estabelecidos e documentados garantindo que não existam

desentendimentos entre as partes, com relação à obrigação de ambos com

os requisitos de segurança aplicáveis.

7.15 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Estabelece as diretrizes para a gestão de incidentes de Segurança da

Informação do Ultra, garantindo um enfoque consistente e efetivo de

gerenciamento de incidentes, assegurando que fragilidades e eventos de

segurança da informação sejam detectados, registrados, investigados e

sempre que possível, prevenidos. As diretrizes podem ser verificadas na

Norma de Gestão de Incidentes de Segurança da Informação.

7.16 GESTÃO DA CONTINUIDADE DE NEGÓCIO

Estabelece as diretrizes para a recuperação de seus serviços e processos

críticos de forma a assegurar que suas atividades consideradas essenciais

continuem a ser executadas e que os serviços críticos fiquem disponíveis para

o cidadão, em situação de desastre, crises ou indisponibilidades não

programadas.

7.17 CONFORMIDADES

O Ultra, através de sua área Governança Financeiro e Jurídica identifica e

segue toda a sua legislação aplicável que regulamenta o seu tipo de negócio,

bem como os aspectos de propriedade intelectual.


10

O Ultra também garante que utiliza somente softwares e licenças oficiais,

homologadas e autorizadas pela equipe de TI para não infringir direitos de

propriedade intelectual e autoral de fabricantes e seus representantes.

A informação deverá ser utilizada com senso de responsabilidade e de modo

ético e seguro por todos, em benefício exclusivo dos negócios;

O Ultra reserva-se o direito de monitorar e registrar todo o uso das

informações geradas, armazenadas ou veiculadas na empresa. Para tanto

serão criados e implantados controles apropriados e trilhas de auditoria ou

registros de atividades em todos os pontos e sistemas que a empresa julgar

necessário para reduzir os riscos;

8. PÁPEIS E RESPONSABILIDADES

8.1 COLABORADORES

Conhecer e cumprir a Política de Segurança da Informação na íntegra;

Relatar ocorrências ou suspeitas de incidentes de segurança ao comitê de

segurança.

8.2 GESTORES

Ser agente multiplicador, informando, incentivando e conscientizando

cada usuário a cumprir a Política de Segurança da Informação;

Informar ao prestador de serviço no momento da contratação, sobre o

conhecimento e aceite da Política de Segurança da Informação.

8.3 SEGURANÇA DA INFORMAÇÃO

Conduzir as atividades do Sistema de Gestão de Segurança da Informação

na Informática Corporativa;

Disponibilizar o acesso e monitorar as informações;

Revisar e atualizar os documentos que compõem a Política de Segurança

da Informação;

Conscientizar e orientar os usuários em relação à Política de Segurança da

Informação;

Coordenar ações corretivas ou de melhoria que visam atender requisitos

de segurança provenientes de auditorias, análises de vulnerabilidades e

incidentes de segurança;

Encaminhar os incidentes de segurança ao comitê de segurança;

Zelar pela segurança da informação.


11

8.4 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO

Coordenar as atividades do Comitê Gestor de Segurança da Informação

conforme previsto em norma;

8.5 ÁREA DE RECURSOS HUMANOS

Informar aos funcionários e estagiários no momento da contratação,

sobre o conhecimento e aceite da Política de Segurança da Informação.

9. DOCUMENTOS RELACIONADOS

Norma de Gestão de Riscos de Segurança;

Comitê Gestor de Segurança da Informação;

Política de Segurança da Informação;

Norma ISO/IEC 27001:2013

Norma ISO/IEC 27000:2016

10. ANEXOS

N/A;


12

11. CONTROLE DO DOCUMENTO

Versão Original http://intranet.ultra.corp/si

Emissão 06/09/2017

Área Responsável Segurança da Informação

Classificação Interna

Alterações Se você tem sugestões para alterações ou melhorias sobre

este documento. Por favor, entre em contato com o

responsável pelo documento.

11.1 HISTÓRICO DE VERSÕES

Versão Data Autor Comentários

1 01/08/2017 Eduardo Duclos Criação do documento

11.2 REVISÃO DO DOCUMENTO

Revisão Data Revisor Comentários

11.3 APROVAÇÃO DO DOCUMENTO

Versão /

Revisão Data Aprovador Assinatura

1 06/09/2017 Juliano A. Tedaldi De acordo com e-mail de (06/09/17)

1 06/09/2017 Alexander J. A. Bergami De acordo com e-mail de (06/09/17)

http://intranet.ultra.corp/si

Documents

Política de Segurança da Informação - Informática Corporativa de... · Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018 4 1