Política de Segurança da Informação

Política de Segurança da Informação

Introdução

A GSW, visando estabelecer uma aliança duradoura e de confiança, com seus clientes na geração de soluções para o gerenciamento e controle de processos e negócios, está comprometida com a proteção das informações de sua propriedade, utilizadas no fornecimento de seus produtos e serviços.

O estabelecimento de um Sistema de Gestão de Segurança da Informação é um compromisso da alta direção da GSW, com foco em:

Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da GSW ou sendo utilizadas por ela, com o objetivo de assegurar a continuidade dos processos e qualidade no fornecimento de seus produtos e serviços
Garantir o atendimento à legislação vigente e requisitos contratuais
Promover a capacitação de seus colaboradores
Praticar a melhoria contínua do Sistema de Gestão da Segurança da Informação

Abrangência

Esta Política aplica-se a todos os colaboradores e terceiros que sejam usuários dos recursos e das informações da empresa.

Estratégia de Segurança da Informação

A política da segurança da informação da GSW é suportada por ações que visam viabilizar e assegurar:

Confidencialidade: que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizados nem credenciados

Integridade: que a informação não foi modificada ou destruída de maneira não autorizada ou acidental

Disponibilidade: que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados

Além disso, a política segue os seguintes princípios:

a) A informação é um ativo essencial para a execução dos processos da GSW

b) A segurança da informação é aplicável a todos os colaboradores da GSW em todos os departamentos/áreas/setores, sendo atribuídas responsabilidades específicas a determinadas funções

A GSW avalia continuamente seu sistema de gestão da segurança da informação, e implementa ações de melhoria sempre que aplicável.

Essa é a política estratégica do SGSI que define a intenção estratégica e os objetivos da segurança da informação.

A GSW definiu e implementou políticas específicas (operacionais) de segurança da informação e garante que as mesmas se encontram atualizadas e devidamente implementadas.

Todas as políticas são aprovadas pela direção da GSW, e revisadas periodicamente durante a análise crítica pela direção do SGSI.

Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as Leis abaixo relacionadas, mas não se limitando às mesmas:

a) Lei Federal 8159, de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)
b) Lei Federal 9610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)
c) Lei Federal 9279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)
d) Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)
e) Lei Federal 10406, de 10 de janeiro de 2002 (Institui o Código Civil)
f) Decreto-Lei 2848, de 7 de dezembro de 1940 (Institui o Código Penal)
g) Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providencias)
h) Lei Federal 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)

Informação Documentada – Estrutura Normativa

Os documentos que compõem a estrutura normativa são divididos em 5 categorias:

Políticas (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a GSW decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Disponibilizado no Portal de Governança.
Processos / Diretrizes: instrumentalizam o disposto na política, permitindo a direta aplicação nas atividades da GSW. – Disponibilizado no Portal de Governança.
Procedimentos (nível operacional) – Disponibilizados na Intranet.
Guias ou Roteiros – Disponibilizados na Intranet e no Portal de Governança
Templates – Disponibilizados no Portal de Governança.

Novos documentos ou revisões devem ser aprovadas pela diretoria antes de serem publicados. O fluxo da criação, revisão dos documentos são descritos no processo de Informação Documentada que está publicado no portal de Governança da GSW onde também se encontra o controle de versão de todos os documentos.

As Políticas, Processos e Diretrizes devem ser divulgadas a todos os colaboradores, estagiários e prestadores de serviços da GSW quando de sua admissão.

Todas as Políticas do Sistema de Gestão de Segurança da Informação, incluindo este documento, devem ser revisadas pelo menos uma vez a cada 12 meses. Os demais documentos devem ser revisados de acordo com as modificações estabelecidas nas políticas ou por mudanças nos processos.

Classificação das Informações

É necessária a classificação de toda a informação de propriedade da GSW ou sob sua custódia, de maneira proporcional ao seu valor e impactos na estratégia e negócios para a empresa.

Todas as Informações que compõem o SGSI devem ser classificadas em:

Confidenciais – São aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da GSW.
Restritas – São informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Podem ser protegidas, por exemplo, restringindo-se o acesso à uma pasta ou diretório da rede
Internas – São aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causa grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação
Públicas – São dados que não necessitam de proteção específica contra vazamentos, pois podem ser de conhecimento público

Todos os emails enviados por usuários da GSW possuem um aviso quanto a confidencialidade das informações contidas no email. Os documentos e sistemas que contenham informações pessoais são classificadas como Confidenciais.

Classificação das Informações
Confidencial	Documentos Pessoais de funcionários e prestadores de serviço;Documentação de Benefícios em geral;Folha de pagamento em geral;Documentos de rescisão;Controle de Ponto;Documentação sobre férias;Encargos relacionados aos funcionários;Documentos do sindicato;Documentos da GSW;Documentos da DIRF;Declarações e formulários diversos;Base completa de contatos;Organizações Pipedrivre;Negócios Pipedrivre;Bases bigdata Neoway;Planilha de pagamentos e recebidos diários do Financeiro;Ativo- Prosoft;Ativo- GAM;Ativo- Email Office 365;Boletos Pagos Financeiro;Boletos a vencer financeiro;Relatórios financeiros;Documentos de contas a pagar financeiro;Ativo- PPJ;
Restrita	Propostas Comerciais;Documentações de Projeto;Documentos do Service Desk;Documentação de Rede;Relatório Comercial ano 2023;Playbook Lead Generation 2023;Listagem de parceiros;Planilhas de Notas Fiscais dos Clientes -Bpo;Controles de Acessos do Cliente para sites dos Sistemas das Prefeituras- Bpo;Relatórios de entrega das Notas Fiscais geradas para os Clientes. Bpo;Balanços Contábeis Clientes – Bpo;Extratos bancários de Clientes-Bpo;Documentos Contábeis;Documentos Ficais dos Clientes Bpo;Certificados digitais Clientes-Bpo;Dados cadastrais Clientes -Bpo;Documentos de Retificação de obrigação fiscal e contábil- Bpo;Planilha dos controles das operações em andamento- Bpo;Planilha com Informações de Apontamento das Areas;Planilhas de faturamento; Curriculum de profissionais;Indicadores de performance das Areas;Ativo-Prosoft;Ativo- GAM;Ativo- Alterdata;Ativo- PSOffice;Ativo- GLPI;Ativo- Reembolso de despesas;Ativo- Power BI;Ativo- Azure Bord;Ativo- Gitlab;
Interna	Procedimentos operacionais;Portal de Governanças;
Pública	Portfólio de soluções;Site GSW.com.br;

Documentos que não constem dessa classificação serão considerados internos.

Competências Necessárias para Segurança da Informação

Os responsáveis diretos pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada na organização e garantindo assim o sucesso do SGSI. A competência exigida deve:

a) Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriados;

b) Reter informações documentadas adequadas, como prova de competência.

Nota: As competências devem ser determinadas pela organização, devendo ser revisadas periodicamente quanto sua eficácia no contexto organizacional.

Diretrizes de Segurança da Informação

A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da GSW que constituem os principais pilares da gestão de segurança da informação da empresa, norteando a elaboração das normas e procedimentos.

Define-se como necessária a proteção das informações da empresa ou sob sua custódia como fator primordial nas atividades profissionais de cada colaborador, estagiário, aprendiz ou prestador de serviços da GSW:

a) Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações da GSW e devem estar atentos a ameaças externas, bem como fraudes, roubo de informações, e acesso indevido a sistemas de informação sob responsabilidade da GSW

b) Assuntos confidenciais não devem ser expostos publicamente

c) Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados

d) Somente softwares homologados, podem ser utilizados no ambiente computacional da GSW

e) Documentos impressos e arquivos contendo informações confidenciais devem ser armazenados e protegidos. O descarte deve ser feito de acordo com a legislação pertinente e respeitando o procedimento de descarte

f) Todos os dados considerados como imprescindíveis aos objetivos da GSW devem ser protegidos através de rotinas sistemáticas e documentadas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação

g) O acesso às dependências da GSW deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado

h) O acesso lógico à sistemas computacionais disponibilizados pela GSW devem ser controlados de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado

i) São de propriedade da GSW todas as criações, códigos ou procedimentos desenvolvidos por qualquer colaborador, estagiário, aprendiz ou prestador de serviço durante o curso de seu vínculo com a empresa

Avaliar Riscos de Segurança da Informação

A gestão do SGSI da GSW deve conduzir ações para identificar e classificar os riscos de Segurança da Informação da organização através do mapeamento das vulnerabilidades, ameaças, impacto e probabilidade de ocorrência bem como a adoção dos controles que mitigam estes riscos junto dos donos de riscos responsáveis.

AMBIENTE FÍSICO

O acesso aos ambientes físicos da GSW deve ser controlado e monitorado. Acesso a ambientes críticos (Ex.: Data Center, TI) deve ter o acesso restrito. Todas as definições de controle de acesso ao ambiente físico devem estar documentadas na Política de Controle de Acesso.

FORNECEDORES

Fornecedores, que podem ter acesso a informações confidenciais e dados pessoais devem possuir cláusulas de segurança e sigilo de informação em seus contratos. Os fornecedores devem ser avaliados quanto ao nível de segurança, conforme os requisitos estabelecidos nesta política, quanto à gestão de acesso, análise de vulnerabilidades e continuidade de negócios e em alguns casos devem possuir em seus contratos SLA estabelecido.

Compartilhamento de Dados

Não é permitido o compartilhamento de pastas nas estações de trabalho. Todos os dados deverão ser armazenados nos servidores da rede ou mantidos pela organização em serviços de nuvem. O Service Desk pode auxiliar na criação dos repositórios de arquivos em ambiente do Sharepoint na cloud do Office 365.

Todos na GSW devem considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio.

Privacidade da Informação sob custódia da empresa

Define-se como necessária a proteção da privacidade das informações que estão sob custódia da GSW, ou seja, aquelas que pertencem aos seus clientes e que são manipuladas ou armazenadas nos meios às quais a GSW detém total controle administrativo, físico, lógico e legal.

As diretivas abaixo refletem os valores institucionais da GSW e reafirmam o seu compromisso com a melhoria contínua desse processo:

a) As informações são coletadas de forma ética e legal, com o conhecimento do cliente, para propósitos específicos e devidamente informados

b) As informações são recebidas pela GSW, tratadas e armazenadas de forma segura e íntegra, com métodos de criptografia ou certificação digital, quando aplicável

c) As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado

d) As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados

e) As informações somente são fornecidas a terceiros, mediante autorização prévia do cliente ou para o atendimento de exigência legal ou regulamentar

f) As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais só são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes

Criação de Acessos e Conta de E-Mail

Será permitida a criação de acessos e conta de e-mail para colaboradores previamente cadastrados no RH da empresa. Toda solicitação de criação de Email deve ser enviado pelos gestores para o RH que vai realizar a solicitação de criação do email e acessos necessários via chamado para o Service Desk.

Os acessos a terceiros contratados por tempo determinado chamados de freelancers devem obedecer a essa mesma regra e eles devem seguir às definições da Política de Controle de Acesso.

Gestão de Acessos

Todos os tipos de sistemas que necessitam de acesso lógico deverão possuir um controle formal desde a liberação de acesso até a revogação do acesso. Todos os controles, critérios e regras para a gestão de acesso estão definidas na Política de Controle de Acessos.

FERRAMENTA DE ACESSO REMOTO

O acesso as estações de trabalho são realizados através da ferramenta Anydesk ou solicitação de controle pelo Service Desk no MS Teams.

Prevenção de Incidentes de Segurança da Informação

a. TESTE DE INVASÃO

Testes de vulnerabilidade devem ser realizados periodicamente, ou quando houver mudança no ambiente, em equipamentos de rede ou aplicações críticas a fim de detectar possíveis falhas
Softwares desenvolvidos, principalmente WEB, podem ter em seu plano de projeto os testes de vulnerabilidade sobre autenticação, controle de sessão e injeção de código assim que for necessário.

b. REGISTRO DE LOGS E MONITORAMENTO

Os logs são ferramentas uteis para auditoria de incidentes, invasões ou para detecção de desvios em privilégios de acesso, portanto:

Aplicações críticas devem gerar logs que permitam o monitoramento das atividades realizadas
Os logs devem possuir a operação realizada, data e hora.
Auditoria dos logs deve ser realizada periodicamente a fim de verificar acessos indevidos de usuários
Os registros de log devem ser mantidos por no mínimo 6 meses, devendo ser definido em conjunto com o responsável do recurso o prazo a ser mantido
Os logs devem ser mantidos em locais seguros.

c. PATCHES

Os recursos, aplicativos corporativos devem possuir um procedimento formal de atualização de patches de segurança. Os procedimentos estão definidos na Política de Gestão de Patches.

d. SINCRONIZAÇÃO DE RELÓGIOS

Aplicativos, servidores, acesso físico e recursos deverão ter seu relógio sincronizado para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários.

e. NAVEGAÇÃO NA INTERNET

Considera-se a internet meio essencial para busca de informações e produtividade do trabalho, portanto, o uso da mesma, em estações de trabalho e servidores está liberado com restrições. As regras para uso de internet para colaboradores e prestadores está definida no Código de Ética e Conduta.

Toda estação de trabalho e servidor da GSW possui o endpoint do antivírus Bitdefender que aplica os filtros de conteúdo previamente criados no portal de Administração do Bitdefender. Os endpoints instalados recebem atualizações diariamente com isso as máquinas estão protegidas e seguindo as regras de acesso definidas em ambiente corporativo.

f. CONEXÃO A REDE DE TERCEIROS

A conexão à rede de terceiros deverá ser analisada previamente quanto a sua segurança e necessidade. E quando necessária deverá seguir todos os critérios de segurança, assim como testes de vulnerabilidade, a fim de mitigar riscos quanto à segurança da informação e continuidade do negócio.

g. ESTAÇÕES E SERVIDORES

Estação de trabalho e servidores deverão ter controle de sessão inativa. Deverá ser feito o bloqueio automaticamente após um período de inatividade, sendo no máximo 1 minuto para servidores e 5 minutos para colaboradores que trabalham com informações confidenciais e 20 minutos para demais colaboradores.
Estações de trabalho e servidores deverão possuir antivírus instalados e atualizados, e não podem ser desabilitados por usuários comuns.
Estações de trabalho deverão possuir acesso através do usuário do Active Directory, exceto os as estações de trabalho que não necessidade previa de pertencer ao dominio da GSW.
Estações de usuários que utilizam de informações confidenciais deverão ter suas partições de armazenamento criptografadas. Notebooks obrigatoriamente deverão ter seu HD criptografado.
Não é permitido o compartilhamento de pastas nos computadores de colaboradores da empresa. Os dados que necessitam de compartilhamento devem ser alocados nos no serviço de repositório em nuvem do Sharepoint apropriados, atentando às permissões de acesso aplicáveis aos referidos dados

h. DESENVOLVIMENTO DE SOFTWARE

As regras, critérios e procedimentos para a segurança no desenvolvimento de software estão definidos na Política para Desenvolvimento de Software

i. RESTRIÇÕES DE HORÁRIOS E LOCAL DE ACESSO

Em aplicativos que podem ser acessados via internet, é aconselhável sua parametrização para que possa ser acessado somente de IP da empresa, a não ser que o mesmo possa ser acessado fora da rede GSW
Aplicativos que permitam a configuração de horário de acesso devem ser configurados para serem acessados em horários de trabalho quando aplicável

j. TROCA DE INFORMAÇÕES COM CLIENTES E FORNECEDORES

A troca de informações com clientes ou fornecedores deve ser realizada por canais seguro.

Utilizar nos canais de comunicação : E-mail MS Office 365, Voip, Microsoft Onedrive e Sharepoint.
Não deve ser transportado informações confidenciais por canais não seguros.

GESTÃO DOS BACKUPS

Para garantia da integridade dos sistemas e dados, o Service Desk é responsável pela realização de cópias de segurança (Backup), tantos dos ambientes hospedados localmente quanto os contratados em Nuvem conforme Política de Backup e Restore.

Uso do correio eletrônico (e-mail)

O correio eletrônico fornecido pela GSW é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem da GSW, não podem ser contrárias à legislação vigente e nem aos princípios éticos.

O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que:

Contenham declarações difamatórias e linguagem ofensiva
Possam trazer prejuízos a outras pessoas
Sejam hostis e inúteis
Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes
Possam prejudicar a imagem da organização
Possam prejudicar a imagem de outras empresas
Sejam incoerentes com as políticas da GSW

Estas condições são complementares às definições do Código de Ética e Conduta.

O serviço de e-mail deve observar:

A ferramenta de e-mail deverá ter recurso habilitado e controlado de AntiSpam e controle de conteúdo

Aplicações de mensagem instantânea

Está liberado o uso do Microsoft Teams como mensageiro instantâneo para uso estritamente organizacional.

Caso haja a necessidade de utilização de outro tipo de aplicativo de mensagem o Service Desk deve ser informado. O Whatsapp é utilizado como segunda opção em caso de problemas com o teams ou necessidade de comunicação com clientes e fornecedores que não possuem a ferramenta Teams.

Softwares ilegais

A GSW respeita os direitos autorais dos programas que, não permitindo o uso de programas não licenciados. É terminantemente proibido o uso de programas ilegais (Sem licenciamento) e os usuários não têm permissão para instalações, sendo necessário abertura de chamado para o Service Desk para qualquer tipo de instalação.

Caso em algum atendimento do Service Desk sejam encontrados programas não autorizados, ou esse programa venha a causar algum dano na rede ou sistemas estes deverão ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados, se responsabilizam perante a companhia por quaisquer problemas ou prejuízos causados oriundos desta ação.

Inventário de Ativos

Todos os ativos, sistemas ou ativos físicos, como servidores e estações de trabalhos são inventariados e monitorados. Recursos devem ser monitorados quanto a sua capacidade e atender o crescimento da empresa ou informações. Deve ter um procedimento de monitoramento com pontos críticos a serem monitorados, por exemplo, espaço para armazenamento do log, espaço para crescimento do banco de dados, espaço para recuperação e testes de banco de dados ou aplicativos, capacidade de rede, energia, internet para acesso dos usuários ou colaboradores.

Todos os softwares e recursos da empresa devem ser inventariados e controlados pelo Service Desk
Não é possivel realizar a instalação de nenhum software sem o consentimento do Service Desk exceto por usuários contidos na lista de Exceção que possuem perfil Administrador.
Não é permitido contratar e utilizar nenhum software para uso organizacional, nas nuvens, sem o consentimento do Service Desk
Não é permitido comprar ou instalar algum equipamento ou recurso sem o consentimento do Service Desk
O Service Desk deverá ter processos para detecção de softwares instalados nas estações de trabalho
Ativos em posse de colaboradores e fornecedores deve ser controlado, em caso de desligamento ou encerramento de contrato o ativo deverá ser devolvido ao Service Desk
Softwares devem possuir gestão de suas licenças e uso controlado pelo Service Desk.
Não é permitido a instalação de software não licenciado

Descarte, destruição e reutilização de equipamentos e mídias

Todas as mídias utilizadas na operação quando retornam para o Estoque são formatadas.

Assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos.

A formatação de dispositivos de armazenamento, para reutilização, deve ser realizada através de formatação com processo Zero Fill com o acompanhamento de um profissional do Service Desk. Dispositivos defeituosos ou não mais utilizados deverão ser destruídos.

Mídias removeis como pendrives e hds externos são bloqueados por padrão nas portas UBS das estações de trabalho. A leitura e cópia de dados a partir desse tipo de mídia removível fica impossibilitado em qualquer estação de trabalho das GSW.

Papéis e Responsabilidades

É dever de todos – colaboradores, estagiários, aprendizes e prestadores de serviços da GSW – cumprir com as seguintes obrigações:

Colaboradores, estagiários e prestadores de serviços

Define-se como necessária a classificação de toda a informação de propriedade da GSW ou sob sua custódia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado da mesma:

a) Zelar continuamente pela proteção das informações da GSW ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada

b) Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Organização

c) Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos

d) Garantir a continuidade do processamento das informações críticas para os negócios da GSW

e) Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual

f) Atender às leis que regulamentam as atividades da Organização e seu mercado de atuação

g) Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo

h) Comunicar imediatamente ao Service Desk ou ao Recursos Humanos qualquer descumprimento da Política de Segurança da Informação

i) e/ou dos procedimentos de Segurança da Informação

j) Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso destas informações em relação a terceiros ou para uso pessoal

Service Desk

O Service Desk é a área responsável pela infraestrutura da GSW que possui dentre suas responsabilidades definir e apoiar estratégias necessárias à implantação e manutenção do S.G.S.I.

Compete ao Service Desk:

a) Propor ajustes, aprimoramentos e modificações na estrutura normativa do S.G.S.I., submetendo à aprovação da Diretoria

b) Redigir o texto das normas e procedimentos de segurança da informação, submetendo à aprovação da Diretoria

c) Requisitar informações das demais áreas da GSW, através das diretorias, gerências, com o intuito de verificar o cumprimento da política, das normas e procedimentos de segurança da informação

d) Receber, documentar e analisar casos de violação da política e das normas e procedimentos de segurança da informação

e) Estabelecer mecanismos de registro e controle de eventos e incidentes de segurança da informação, bem como, de não conformidades com a política, as normas ou os procedimentos de segurança da informação

f) Notificar as gerências e diretorias quanto a casos de violação da política e das normas e procedimentos de segurança da informação

g) Receber sugestões dos gestores da informação para implantação de normas e procedimentos de segurança da informação

h) Consolidar e coordenar a implantação, execução, monitoramento e melhoria do S.G.S.I.

i) Realizar, sistematicamente, a gestão dos ativos da informação

j) Gerir a continuidade dos negócios, demandando junto às diversas áreas da empresa, Planos de Continuidade dos Negócios, validando-os periodicamente. O Plano de Continuidade de Negócios deve ser definido, implementado e testado a fim de garantir a disponibilidade dos sistemas de informações

k) Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação

l) Adotar mecanismos automatizados, sempre que possível, para gerenciamento, prevenção e detecção de eventos de segurança

m) Implementar mecanismos para proteção da segurança física e ambiental a fim de prevenir danos e acessos não autorizados à informação

n) Adotar processos de autenticação e controle de acesso seguro para os sistemas de informações

o) Deliberar sobre o uso de ferramentas de proteção contra softwares maliciosos, vírus, spam, phishing scan e outros dispositivos que possam ameaçar os sistemas de informação da organização

p) Coordenar as reuniões de análise crítica do SGSI bem como acompanhar os planos de ação resultantes deste fórum

q) Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação

r) Efetuar auditorias e inspeções de compliance periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua

s) Desenvolver, junto ao RH, um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação

t) Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação

u) Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação, e a necessidade de seguir a Política, Normas, Procedimentos e Instruções referentes ao Sistema de Gestão de Segurança da Informação (SGSI)

v) Estabelecer normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento deste objetivo

Gerentes e Diretores

Cabe a cada gerente e diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade (equipe ou unidade de negócio), seja este de propriedade da GSW ou de um cliente.

Os mesmos podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo dele a responsabilidade final pela sua proteção.

Compete a este papel:

a) Classificar a informação sob sua responsabilidade, inclusive aquela gerada por clientes, fornecedores ou outras entidades externas, que devem participar do processo de definição do nível de sigilo da informação

b) Utilizar o Sistema de Gestão de Riscos como instrumento gerencial estratégico para assegurar os requisitos de negócio da organização

c) Inventariar todos os ativos de informação sob sua responsabilidade

d) Enviar ao Service Desk, quando solicitado, relatórios sobre as informações e ativos de informação sob sua responsabilidade

e) Sugerir procedimentos ao Service Desk para proteger os ativos de informação, conforme a classificação realizada, além da estabelecida pela Política de Segurança da Informação e pelas Normas de Segurança da Informação

f) Manter um controle efetivo do acesso à informação, estabelecendo, documentando e fiscalizando a política de acesso à mesma. Tal política deve definir quais usuários ou grupos de usuários têm real necessidade de acesso à informação, identificando os perfis de acesso

g) Reavaliar, periodicamente, as autorizações dos usuários que acessam as informações sob sua responsabilidade, solicitando o cancelamento do acesso dos usuários que não tenham mais necessidade de acessar a informação

h) Participar da investigação dos incidentes de segurança e privacidade relacionados às informações sob sua responsabilidade

i) Cumprir e fazer cumprir a política, as normas e procedimentos de segurança da informação e privacidade

j) Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade

k) Sugerir ao Service Desk, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas

l) Redigir e detalhar, técnica e operacionalmente, as normas e procedimentos de segurança da informação e privacidade relacionados às suas áreas, quando solicitado pelo Service Desk

m) Comunicar imediatamente ao Service Desk eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade

Alta Direção

A Alta Direção representada pela Diretoria da GSW está comprometida com o sistema de gestão de segurança da informação devendo:

a) Estabelecer as responsabilidades e atribuições do Comitê de Gestão Segurança da Informação

b) Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos, de forma compatível com a orientação estratégica da organização

c) Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos da organização

d) Prover os recursos necessários para o sistema de gestão de segurança da informação estão disponíveis

e) Comunicar a importância da gestão eficaz da segurança da informação, e do cumprimento dos requisitos do sistema de gestão da segurança da informação

f) Certificar que o sistema de gestão de segurança da informação alcança seus resultados pretendidos

g) Coordenar e incentivar as pessoas a contribuir com a eficácia do sistema de gestão da segurança da informação

h) Promover a melhoria contínua deste SGSI; e

i) Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade

j) Aprovar a política e as normas de segurança da informação e suas revisões

k) Receber, por intermédio do Service Desk, relatórios de violações da política e das normas de segurança da informação, quando aplicável

l) Tomar decisões referentes aos casos de descumprimento da política e das normas de segurança da informação, mediante a apresentação de propostas do Service Desk

Área Jurídica

Cabe, adicionalmente, à Área Jurídica:

a) Manter o Service Desk informado sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e ações envolvendo a gestão de segurança da informação

b) Incluir na análise e elaboração de contratos, sempre que necessárias cláusulas específicas relacionadas à segurança da informação

c) Avaliar, quando solicitado, a política, as normas e procedimentos de segurança da informação

Área de Recursos Humanos

Cabe, adicionalmente, à Área de Recursos Humanos:

a) Assegurar-se de que os colaboradores, estagiários, aprendizes e prestadores de serviços comprovem, por escrito, estar cientes da estrutura normativa do S.G.S.I. e dos documentos que a compõem

b) Para os novos colaboradores, prestadores de serviços e estagiários deve ser aplicado o treinamento em segurança da informação em até 15 dias após o início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante este período

c) Elaborar e executar planos de treinamento para reciclagem do conhecimento e consciência das normas internas e de segurança da GSW para todos os colaboradores com periodicidade mínima de 12 meses

d) Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional da GSW

e) Estabelecer normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento deste objetivo

f) Executar projetos e iniciativas visando aprimorar a segurança da informação na GSW

Desenvolvimento

Profissionais do ciclo produtivo de software (Desenvolvedores, analistas, testadores, suporte) deverão ser treinados quanto às boas práticas de segurança da informação no desenvolvimento de software
Boas práticas utilizadas no desenvolvimento seguro de software deverão ser comunicadas a toda a equipe

Melhoria contínua

Treinamentos focados em segurança da informação deverão ocorrer com frequência, a fim de conscientizar a importância para os colaboradores e aprimorar os controles existentes.
Deve ser considerado a contratação ou benchmark com outras empresas considerando a melhoria do processo de segurança da informação.

Auditorias de Segurança da Informação

Todo ativo de informação sob responsabilidade da GSW é passível de auditoria em data e horários determinados pelo Service Desk. Contudo, se observadas práticas que não respeitam as diretrizes desta Política, podem ser realizados registros dos problemas encontrados e ações corretivas serão exigidas.

A realização de uma auditoria deverá ser obrigatoriamente aprovada pela Diretoria e, durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informações pessoais, desde que estas não estejam dispostas em ambiente físico ou lógico de propriedade da GSW ou de seus clientes de forma que se misture ou impeça o acesso às informações de propriedade ou sob responsabilidade da GSW.

Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, o Service Desk poderá realizar monitoramento e controle proativos, manuais ou automatizados, mantendo a confidencialidade do processo e das informações obtidas.

Em ambos os casos, as informações obtidas poderão servir como indício ou evidência em processo administrativo e/ou legal.

Existem dois tipos de auditorias de segurança a informação aplicadas, em todos os casos deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos:

Auditorias do Sistema de Gestão de Segurança da Informação

As auditorias do SGSI são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores.

As auditorias do SGSI devem ser realizadas em intervalos máximos de 12 meses, por auditores internos ou externos, capacitados e treinados, preferencialmente com conhecimento nas normas ISO 27001 ou outro tipo de certificação de Segurança da Informação e conhecimento dos processos da GSW.

Auditorias dos Controles de Segurança da Informação

As auditorias dos Controles de SI são planejadas com foco na análise dos controles implementados para segurança de rede, computadores, servidores, serviços, sistemas e instalações em um escopo definido pelo Service Desk.

As auditorias dos Controle de SI não possuem prazo para realização pois existem vários controles recorrentes que são disparados via chamado para o Service Desk, alguns diários, semanais, mensais, trimestrais ou anuais. A auditoria de controle de SI será realizada pelo corpo técnico da GSW.

Os resultados de auditorias de SI devem ser utilizados como insumos para a identificação de vulnerabilidades e ameaças alimentado o Mapa de Riscos conforme a diretriz de Gestão de Risco.

Para esta auditoria deve ser utilizado o “Checklist de Auditoria Interna dos Controles de Segurança da Informação“.

Ação Corretiva

Quando identificadas não conformidades na execução dos processos ou durante as auditorias internas ou externas, estas devem ser registradas para análise e tratamento no contexto do procedimento de Gestão de Incidentes de SI.

Toda a não conformidade registrada deve ter a causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácias das ações.

Contato com Autoridades

O responsável por contatos com autoridades é a pessoa qualificada para avaliar se deve proceder com o acionamento. É o ponto focal que deve ser conhecido por todos na organização para avaliar os eventos identificados e proceder com o adequado acionamento.

Cabe ao responsável manter contato regular com as autoridades com o assegurar a eficácia no acionamento numa situação de crise.

Cada acionador deve possuir um par designado para atuar na ausência deste. Este contato deve figurar como alternativa na tabela de contato com autoridades.

CONTATO COM AUTORIDADES
ENTIDADE / ÓRGÃO	TIPO DE OCORRÊNCIA	RESPONSÁVEL
Bombeiro / Defesa Civil	Emergência: Incêndios, terremotos, enchentes, catástrofes, etc.	Gerência Administrativa
Fornecedores de água / eletricidade	Interrupção ou desabastecimento do fornecimento de energia, água, etc.	Gerência Administrativa
Provedores de links / Internet	Para relatar incidentes de ataques de vírus e de hackers sofridos.	Service Desk
Provedores de links / Internet	Interrupção / lentidão do Serviço.	Service Desk
Polícia Militar / Polícia Civil	Situações de conflito, agressões, crimes, sequestro, ações terroristas e assemelhados.	Gerência Administrativa
Autoridade Certificadora	Revogação / Renovação de certificados digitais.	Gerencia Contábil e Financeira
Polícia Federal	Crimes informáticos, fraudes eletrônicas e assemelhados	Gerência Administrativa
ANPD	Autoridade nacional de Proteção de Dados – incidentes, registros e RIPD relativos ao tratamento de Dados Pessoais	Service Desk

Análise Crítica do SGSI

A organização deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Esta análise deve ter a participação direta da Alta Direção e deve considerar:

a) O resultado das ações de análises críticas anteriores do SGSI

b) Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação

c) Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:

1) Não-conformidades e ações corretivas

2) Resultados de monitoramento e medição

3) Resultados de auditoria internas ou externas do SGSI; e

4) Cumprimento dos objetivos da segurança da informação

d) Comentários das partes interessadas

e) Os resultados da avaliação de risco e a situação do plano de tratamento do risco

f) Oportunidades para a melhoria contínua

g) Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros) e

As saídas das análises críticas devem incluir decisões relacionadas com oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.

A organização deve manter informações documentadas como evidência dos resultados das análises críticas pela Alta Direção.

Denúncias

Qualquer descumprimento desta Política, ou ainda suspeitas ou evidências devem ser reportadas ao Service Desk ou ao Recursos Humanos através de e-mail [email protected] ou [email protected].

Violações e Sanções

Violações

São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não se limitando às mesmas:

a) Quaisquer ações ou situações que possam expor a GSW ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação

b) Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa do Gerente ou Diretoria

c) Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da GSW ou de seus clientes

d) Descumprir alguns dos itens estabelecidos nesta política de segurança

e) A não comunicação imediata de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação, que porventura um colaborador, estagiário, aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar

Sanções

A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à Política de Segurança da Informação da GSW são consideradas faltas graves, podendo ser aplicadas as seguintes sanções: advertência formal, suspensão, rescisão do contrato de trabalho outra ação disciplinar e/ou processo civil ou criminal. Podem ser ainda ocorrer sanções definidas pela Direção sempre respeitando a legislação vigente.

Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.

Data da Última Atualização: 13 de Setembro de 2023