Política de Segurança da Informação
Introdução
A GSW, visando estabelecer uma aliança duradoura e de confiança, com seus stakeholders na geração de soluções para o gerenciamento e controle de processos e negócios, está comprometida com a proteção das informações de sua propriedade, utilizadas no fornecimento de seus produtos e serviços.
O estabelecimento de um Sistema de Gestão de Segurança da Informação é um compromisso da alta direção da GSW, com foco em:
- Garantir a confidencialidade, integridade e disponibilidade das informações de propriedade da GSW ou sendo utilizadas por ela, com o objetivo de assegurar a continuidade dos processos e qualidade no fornecimento de seus produtos e serviços
- Garantir o atendimento à legislação vigente e requisitos contratuais
- Promover a capacitação de seus colaboradores
- Praticar a melhoria contínua do Sistema de Gestão da Segurança da Informação
2. Abrangência
Esta Política aplica-se a todos os colaboradores e terceiros que sejam usuários dos recursos e das informações da empresa.
3. Estratégia de Segurança da Informação
A política da segurança da informação da GSW é suportada por ações que visam viabilizar e assegurar:
- Confidencialidade: que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizados nem credenciados
- Integridade: que a informação não foi modificada ou destruída de maneira não autorizada ou acidental
- Disponibilidade: que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados
Além disso, a política segue os seguintes princípios:
a) A informação é um ativo essencial para a execução dos processos da GSW
b) A segurança da informação é aplicável a todos os colaboradores da GSW em todos os departamentos/áreas/setores, sendo atribuídas responsabilidades específicas a determinadas funções
A GSW avalia continuamente seu sistema de gestão da segurança da informação, e implementa ações de melhoria sempre que aplicável.
Para garantir o SGSI (sistema de gestão da segurança da informação), a GSW estabeleceu os seguintes objetivos para a segurança da informação :
- Garantir a confidencialidade, integridade e disponibilidade das informações, necessárias para o fornecimento de seus produtos e serviços
- Garantir o atendimento aos requisitos legais referentes ao tratamento dos dados pessoais LGPD
- Estimular o desenvolvimento e compromisso de seus colaboradores com questões relacionadas à segurança da informação
- Manter os processos e controles em conformidade as normas da ISO27001
Todas as políticas e processos são aprovadas pela direção da GSW, e revisadas periodicamente durante a análise crítica pela direção do SGSI.
4. Legislação Aplicável
Correlacionam-se com a política, com as diretrizes e com as normas de Segurança da Informação as Leis abaixo relacionadas, mas não se limitando às mesmas:
a) Lei Federal 8159, de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados)
b) Lei Federal 9610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral)
c) Lei Federal 9279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes)
d) Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial)
e) Lei Federal 10406, de 10 de janeiro de 2002 (Institui o Código Civil)
f) Decreto-Lei 2848, de 7 de dezembro de 1940 (Institui o Código Penal)
g) Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 – Código Penal e dá outras providencias)
h) Lei Federal 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)
5. Informação Documentada – Estrutura Normativa
Os documentos que compõem a estrutura normativa são divididos em 5 categorias:
- Políticas (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a GSW decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Disponibilizado no Portal de Governança.
- Processos / Diretrizes: instrumentalizam o disposto na política, permitindo a direta aplicação nas atividades da GSW. Disponibilizado no Portal de Governança.
- Procedimentos (nível operacional): Disponibilizados na Intranet.
- Guias ou Roteiros: Disponibilizados na Intranet e no Portal de Governança
- Templates: Disponibilizados no Portal de Governança.
Novos documentos ou revisões devem ser aprovadas pela diretoria antes de serem publicados. O fluxo da criação, revisão dos documentos são descritos no processo de Informação Documentada que está publicado no portal de Governança da GSW onde também se encontra o controle de versão de todos os documentos.
As Políticas, Processos e Diretrizes devem ser divulgadas a todos os colaboradores, estagiários e prestadores de serviços da GSW quando de sua admissão.
Todas as Políticas do Sistema de Gestão de Segurança da Informação, incluindo este documento, devem ser revisadas pelo menos uma vez a cada 12 meses. Os demais documentos devem ser revisados de acordo com as modificações estabelecidas nas políticas ou por mudanças nos processos.
6. Classificação das Informações
É necessária a classificação de toda a informação de propriedade da GSW ou sob sua custódia, de maneira proporcional ao seu valor, impactos na estratégia e negócios para a empresa
e que compõem o SGSI deverão ser classificadas em:
- Restritas – São informações que necessitam de proteção específica e que devem estar disponíveis para grupos restritos de colaboradores, por exemplo: informações confidenciais, documentos exclusivos de área, documentos de projetos ou grupos afins.
- Internas – São informações internas que podem estar divulgadas para todos os colaboradores da empresa, por exemplo: PORTAL DE GOVERNANÇA – Política da segurança da informação, informativos, campanhas internas.
- Públicas – São informações que não necessitam de proteção específica, pois podem ser de conhecimento público, por exemplo: Site da GSW na internet, publicação de vagas, publicações de materiais promocionais.
Para envio de e-mails corporativos, está habilitado para todos os usuários da GSW um recurso automático de aviso de confidencialidade que é incluído no rodapé dos e-mails em português e inglês. Ele tem a função de informar os destinatários sobre a natureza sensível das informações contidas na mensagem e seus anexos, além de alertar sobre o compartilhamento das mesmas e sobre possíveis penalidades. Vide abaixo:
“Atenção: Essa mensagem e seus anexos podem conter informações confidenciais e/ou legalmente protegidas, inclusive por sigilo bancário, sigilo profissional ou lei de proteção de dados pessoais. O seu uso é exclusivo para seu(s) destinatário(s) ou pessoas expressamente autorizadas a recebê-la. Se você recebeu esta mensagem por engano, por favor avise imediatamente ao remetente respondendo o e-mail e, em seguida, apague a mensagem e seus anexos. É proibido o uso, a divulgação ou a disponibilização de tais informações a terceiros. O descumprimento das orientações expostas sujeitará o responsável às penalidades civis e criminais cabíveis.”
Restrita | Informações de clientes Documentações de Projeto Procedimentos Operacionais do time de Infraestrutura Informações pessoais |
Interna | Procedimentos operacionais Portal de Governanças Campanhas internas |
Pública | Portfólio de soluções Site GSW.com.br Publicações de campanhas de marketing em redes sociais (ex: Linkedin, Instagram) Política da segurança da informação |
Os ativos de informação que estejam armazenados em aplicações proprietárias tais como Sistemas de Gestão empresariais ERP (Entreprise Resource Planning), aplicações SaaS (Software as a Service),Bancos de Dados, ou baseados em aplicações proprietárias dispensam a rotulagem devido a sua natureza e a impossibilidade de modificação da aplicação ou a rotulagem, e assim sua proteção deverá ser realizada através da concessão de acessos com senha e controlados por privilégios específicos, impedindo que informações restritas sejam vazadas.
Documentos que não constem dessa classificação serão considerados internos.
7. Competências Necessárias para Segurança da Informação
Os responsáveis diretos pela gestão do SGSI devem possuir competências necessárias para desempenhar suas funções de forma adequada na organização e garantindo assim o sucesso do SGSI. A competência exigida deve:
a) Deve possibilitar que as pessoas sejam competentes com base na educação, treinamento ou experiência apropriados;
b) Reter informações documentadas adequadas, como prova de competência.
Nota: As competências devem ser determinadas pela organização, devendo ser revisadas periodicamente quanto sua eficácia no contexto organizacional.
8. Diretrizes de Segurança da Informação
A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da GSW que constituem os principais pilares da gestão de segurança da informação da empresa, norteando a elaboração das normas e procedimentos.
Define-se como necessária a proteção das informações da empresa ou sob sua custódia como fator primordial nas atividades profissionais de cada colaborador, estagiário, aprendiz ou prestador de serviços da GSW:
a) Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações da GSW e devem estar atentos a ameaças externas, bem como fraudes, roubo de informações, e acesso indevido a sistemas de informação sob responsabilidade da GSW
b) Assuntos confidenciais não devem ser expostos publicamente
c) Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis e não podem ser compartilhados e divulgados
d) Somente softwares homologados, podem ser utilizados no ambiente computacional da GSW
e) Documentos impressos e arquivos contendo informações confidenciais devem ser armazenados e protegidos. O descarte deve ser feito de acordo com a legislação pertinente e respeitando o procedimento de descarte
f) Todos os dados considerados como imprescindíveis aos objetivos da GSW devem ser protegidos através de rotinas sistemáticas e documentadas de cópia de segurança, devendo ser submetidos a testes periódicos de recuperação
g) O acesso às dependências da GSW deve ser controlado de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado
h) O acesso lógico à sistemas computacionais disponibilizados pela GSW devem ser controlados de maneira que sejam aplicados os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado
i) São de propriedade da GSW todas as criações, códigos ou procedimentos desenvolvidos por qualquer colaborador, estagiário, aprendiz ou prestador de serviço durante o curso de seu vínculo com a empresa
9. Avaliar Riscos de Segurança da Informação
A gestão do SGSI da GSW deve conduzir ações para identificar e classificar os riscos de Segurança da Informação da organização através do mapeamento das vulnerabilidades, ameaças, impacto e probabilidade de ocorrência bem como a adoção dos controles que mitigam estes riscos junto dos donos de riscos responsáveis.
AMBIENTE FÍSICO
O acesso aos ambientes físicos da GSW deve ser controlado e monitorado. Acesso a ambientes críticos (Ex.: Data Center, TI) deve ter o acesso restrito. Todas as definições de controle de acesso ao ambiente físico devem estar documentadas na Política de Controle de Acesso.
PROJETOS
Os projetos que estejam sendo executados sob a responsabilidade da GSW devem ser avaliados com relação a riscos de segurança da informação os riscos levantados quando necessário devem ser monitorados e ações específicas devem ser tomados conforme Diretriz de Gestão de Riscos em Projetos
FORNECEDORES
Fornecedores, que podem ter acesso a informações confidenciais e dados pessoais devem possuir cláusulas de segurança e sigilo de informação em seus contratos. Os fornecedores devem ser avaliados quanto ao nível de segurança, conforme os requisitos estabelecidos nesta política, quanto à gestão de acesso, análise de vulnerabilidades e continuidade de negócios e em alguns casos devem possuir em seus contratos SLA estabelecido.
10. Compartilhamento de Dados
Não é permitido o compartilhamento de pastas nas estações de trabalho ou uso de dispositivos moveis de armazenamento de dados. Todos os dados deverão ser armazenados nos servidores da rede ou mantidos pela organização em serviços de nuvem.
Todos na GSW devem considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio.
11. Privacidade da Informação sob custódia da empresa
Define-se como necessária a proteção da privacidade das informações que estão sob custódia da GSW, ou seja, aquelas que pertencem aos seus clientes e que são manipuladas ou armazenadas nos meios às quais a GSW detém total controle administrativo, físico, lógico e legal.
As diretivas abaixo refletem os valores institucionais da GSW e reafirmam o seu compromisso com a melhoria contínua desse processo:
a) As informações são coletadas de forma ética e legal, com o conhecimento do cliente, para propósitos específicos e devidamente informados
b) As informações são recebidas pela GSW, tratadas e armazenadas de forma segura e íntegra, com métodos de criptografia ou certificação digital, quando aplicável
c) As informações são acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado
d) As informações podem ser disponibilizadas a empresas contratadas para prestação de serviços, sendo exigido de tais organizações o cumprimento de nossa política e diretivas de segurança e privacidade de dados
e) As informações somente são fornecidas a terceiros, mediante autorização prévia do cliente ou para o atendimento de exigência legal ou regulamentar
f) As informações e dados constantes de nossos cadastros, bem como outras solicitações que venham garantir direitos legais ou contratuais só são fornecidos aos próprios interessados, mediante solicitação formal, seguindo os requisitos legais vigentes
12. Criação de Acessos e Conta de E-Mail
Será permitida a criação de acessos e conta de e-mail para colaboradores previamente cadastrados pelo time de Recursos Humanos. Toda solicitação de novas contas deve seguir o processo de contratação disparado pelos Gestores ao RH seguindo as definições da Política de Controle de Acesso.
12.1. Gestão de Acessos
Todos os tipos de sistemas que necessitam de acesso lógico deverão possuir um controle formal desde a liberação de acesso até a revogação do acesso. Todos os controles, critérios e regras para a gestão de acesso estão definidas na Política de Controle de Acessos.
13. Prevenção de Incidentes de Segurança da Informação
A prevenção de incidentes de segurança da informação é essencial para proteger dados sensíveis e garantir a continuidade dos negócios.
13.1 Prevenção de ataques e invasão
A GSW realiza avaliações de segurança para identificar, explorar e corrigir vulnerabilidades em seus sistemas de TI, através de simulações a fim de fortalecerem suas defesas contra ameaças.
Todos equipamentos da GSW devem ter instalado ferramentas de segurança, antivírus, firewall.
A plataforma de segurança contratada pela GSW, deve ser fornecida por um líder de mercado e contemplar detecção de vírus, malware, ransomware, phishing e acesso a sites restritos e controlados pela GSW.
13.2 Análise de Vulnerabilidades Técnicas
A análise de vulnerabilidades técnicas é um processo para identificar, avaliar e remediar fraquezas em sistemas e redes que podem ser exploradas por atacantes.
a. Scans Automáticos utilizando a ferramentas de varredura de vulnerabilidades do Antivírus para identificar possíveis fraquezas são realizados constantemente.
b. Problema detectados são mitigados constantemente.
13.3 REGISTRO DE LOGS E MONITORAMENTO
Os logs são ferramentas uteis para auditoria de incidentes, invasões ou para detecção de desvios em privilégios de acesso, portanto:
- Aplicações críticas devem gerar logs que permitam o monitoramento das atividades realizadas com data e hora.
- Os logs devem ser mantidos em locais restritos.
- Logs demostram entrada (log-on) e saída (log-off).
- Registros das tentativas de acesso ao sistema, aceitas e rejeitadas.
- Registros de eventos (log) são restritos usuários com privilégio administrador e não podem ser adulterados.
A análise crítica de monitoramento de logs é essencial para a segurança e integridade de sistemas de informação. A análise crítica segue as regras de recorrência do monitoramento dos registros periodicamente.
13.4 PATCHES
Os recursos, aplicativos corporativos seguem um procedimento formal de atualização de patches de segurança. Os procedimentos estão definidos na Política de Gestão de Patches.
13.5 SINCRONIZAÇÃO DE RELÓGIOS
Aplicativos, servidores, acesso físico e recursos possuem seus relógios sincronizados para que seja possível realizar a análise criteriosa de incidentes ou de operações de usuários.
13.6 NAVEGAÇÃO NA INTERNET
Considera-se a internet meio essencial para busca de informações e produtividade do trabalho, portanto, o uso da mesma, em estações de trabalho e servidores está liberado com restrições. As regras para uso de internet para colaboradores e prestadores está definida no Código de Ética e Conduta.
Toda estação de trabalho e servidor da GSW possui o endpoint do antivírus que aplica os filtros de conteúdo previamente criados no portal de Administração. Os endpoints instalados recebem atualizações diariamente com isso as máquinas estão protegidas e seguindo as regras de acesso definidas em ambiente corporativo.
13.7 CONEXÃO A REDE DE TERCEIROS
A conexão a rede de terceiros deverá ser analisada previamente quanto a sua segurança e necessidade. E quando necessária deverá seguir todos os critérios de segurança, assim como testes de vulnerabilidade, a fim de mitigar riscos quanto à segurança da informação e continuidade do negócio.
13.8 ESTAÇÕES E SERVIDORES
Estação de trabalho e servidores deverão ter controle de sessão inativa.
Deverá ser feito o bloqueio automaticamente após um período de inatividade, sendo no máximo 1 minuto para servidores e 5 minutos para colaboradores que trabalham com informações confidenciais e 20 minutos para demais colaboradores
Estações de trabalho e servidores deverão possuir antivírus instalados e atualizados, e não podem ser desabilitados por usuários comuns
Estações de usuários deverão ter suas partições de armazenamento criptografadas. Notebooks obrigatoriamente deverão ter seu HD criptografado
Não é permitido o compartilhamento de pastas nos computadores de colaboradores da empresa.
Os dados que necessitam de compartilhamento devem ser alocados nos serviços de repositório em nuvem apropriados, atentando às permissões de acesso aplicáveis aos referidos dados.
13.9 DESENVOLVIMENTO DE SOFTWARE
As regras, critérios e procedimentos para a segurança no desenvolvimento de software estão definidos na Política para Desenvolvimento de Software.
13.10 RESTRIÇÕES DE HORÁRIOS E LOCAL DE ACESSO
Em aplicativos que podem ser acessados via internet, é aconselhável sua parametrização para que possa ser acessado somente de IP da empresa, a não ser que o mesmo possa ser acessado fora da rede GSW.
Aplicativos que permitam a configuração de horário de acesso devem ser configurados para serem acessados em horários de trabalho quando aplicável.
13.11 TROCA DE INFORMAÇÕES COM CLIENTES E FORNECEDORES
A troca de informações com clientes ou fornecedores deve ser realizada por canais seguro.
Não deve ser transportado informações confidenciais por canais não seguros.
14. Gestão de Backups
Para garantia da integridade dos sistemas e dados, o Service Desk é responsável pela realização de cópias de segurança, tantos dos ambientes hospedados localmente quanto os contratados em Nuvem conforme a Política de Backup e Restore.
15. Uso do correio eletrônico (e-mail)
O correio eletrônico fornecido pela GSW é um instrumento de comunicação interna e externa de conteúdo profissional relativa às atividades exercidas pelos colaboradores. As mensagens não devem comprometer a imagem da GSW, não podem ser contrárias à legislação vigente e nem aos princípios éticos.
O usuário é responsável por toda mensagem enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que:
- Contenham declarações difamatórias e linguagem ofensiva
- Possam trazer prejuízos a outras pessoas
- Sejam hostis e inúteis
- Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes
- Possam prejudicar a imagem da organização
- Possam prejudicar a imagem de outras empresas
- Sejam incoerentes com as políticas da GSW
Estas condições são complementares às definições do Código de Ética e Conduta.
16. Aplicações de mensagem instantânea
A GSW coloca à disposição de todos os colaboradores o uso de mensageiro instantâneo corporativo para uso estritamente organizacional.
16.1. Softwares ilegais
A GSW respeita os direitos autorais dos programas que, não permitindo o uso de programas não licenciados. É terminantemente proibido o uso de programas ilegais (Sem licenciamento).
Os usuários não possuem permissão para instalações de aplicativos ou softwares, sendo necessário, deverá haver uma solicitação formal para o time de Service Desk para qualquer necessidade.
17. Inventário de Ativos
Todos sistemas e ativos, são inventariados por uma solução especialista e são monitorados. Através de um processo periódico as estações de usuários são auditadas para análise do uso dos ativos.
18. Descarte, destruição e reutilização de equipamentos e mídias
Todas as mídias utilizadas na operação quando retornam para o Estoque são formatadas, a fim de assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos.
Mídias removeis como pendrives e hds externos são bloqueados por padrão nas portas USB das estações de trabalho. A leitura e cópia de dados a partir desse tipo de mídia removível fica impossibilitado em qualquer estação de trabalho das GSW.
19. Papéis e Responsabilidades
É dever de todos colaboradores da GSW que cumpram com as seguintes obrigações:
Colaboradores, estagiários e prestadores de serviços
Define-se como necessária a classificação de toda a informação de propriedade da GSW ou sob sua custódia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado da mesma:
a) Zelar continuamente pela proteção das informações da GSW ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada
b) Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Organização
c) Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos
d) Garantir a continuidade do processamento das informações críticas para os negócios da GSW
e) Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual
f) Atender às leis que regulamentam as atividades da Organização e seu mercado de atuação
g) Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo
h) Comunicar imediatamente ao Service Desk ou ao Recursos Humanos qualquer descumprimento da Política de Segurança da Informação
i) e/ou dos procedimentos de Segurança da Informação
j) Manter total sigilo sobre informações obtidas em decorrência da relação empregatícia, sendo vedada qualquer forma de transmissão e uso destas informações em relação a terceiros ou para uso pessoal
Service Desk
O Service Desk é a área responsável pela infraestrutura da GSW que possui dentre suas responsabilidades definir e apoiar estratégias necessárias à implantação e manutenção do Sistema de segurança da informação.
Compete ao Service Desk:
a) Propor ajustes, aprimoramentos e modificações na estrutura normativa do S.G.S.I., submetendo à aprovação da Diretoria
b) Redigir o texto das normas e procedimentos de segurança da informação, submetendo à aprovação da Diretoria
c) Requisitar informações das demais áreas da GSW, através das diretorias, gerências, com o intuito de verificar o cumprimento da política, das normas e procedimentos de segurança da informação
d) Receber, documentar e analisar casos de violação da política e das normas e procedimentos de segurança da informação
e) Estabelecer mecanismos de registro e controle de eventos e incidentes de segurança da informação, bem como, de não conformidades com a política, as normas ou os procedimentos de segurança da informação
f) Notificar as gerências e diretorias quanto a casos de violação da política e das normas e procedimentos de segurança da informação
g) Receber sugestões dos gestores da informação para implantação de normas e procedimentos de segurança da informação
h) Consolidar e coordenar a implantação, execução, monitoramento e melhoria do S.G.S.I.
i) Realizar, sistematicamente, a gestão dos ativos da informação
j) Gerir a continuidade dos negócios, demandando junto às diversas áreas da empresa, Planos de Continuidade dos Negócios, validando-os periodicamente. O Plano de Continuidade de Negócios deve ser definido, implementado e testado a fim de garantir a disponibilidade dos sistemas de informações
k) Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação
l) Adotar mecanismos automatizados, sempre que possível, para gerenciamento, prevenção e detecção de eventos de segurança
m) Implementar mecanismos para proteção da segurança física e ambiental a fim de prevenir danos e acessos não autorizados à informação
n) Adotar processos de autenticação e controle de acesso seguro para os sistemas de informações
o) Deliberar sobre o uso de ferramentas de proteção contra softwares maliciosos, vírus, spam, phishing scan e outros dispositivos que possam ameaçar os sistemas de informação da organização
p) Coordenar as reuniões de análise crítica do SGSI bem como acompanhar os planos de ação resultantes deste fórum
q) Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normas e os procedimentos de segurança da informação
r) Efetuar auditorias e inspeções de compliance periódicas, bem como avaliar a eficácia, acompanhar o atendimento dos respectivos planos de ação e promover a melhoria contínua
s) Desenvolver, junto ao RH, um programa de treinamento para os colaboradores e contratados de forma a conscientizar sobre as responsabilidades de cada um em relação à segurança da informação
t) Gerenciar mudanças organizacionais a fim de garantir os aspectos de disponibilidade, integridade e confidencialidade da informação
u) Informar todos os colaboradores e contratados sobre a importância da Segurança da Informação, e a necessidade de seguir a Política, Normas, Procedimentos e Instruções referentes ao Sistema de Gestão de Segurança da Informação (SGSI)
v) Estabelecer normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento deste objetivo
Gerentes e Diretores
Cabe a cada gerente e diretor dominar todas as regras de negócio necessárias à criação, manutenção e atualização de medidas de segurança relacionadas ao ativo de informação sob sua responsabilidade (equipe ou unidade de negócio), seja este de propriedade da GSW ou de um cliente.
Os mesmos podem delegar sua autoridade sobre o ativo de informação, porém, continua sendo dele a responsabilidade final pela sua proteção.
Compete a este papel:
a) Classificar a informação sob sua responsabilidade, inclusive aquela gerada por clientes, fornecedores ou outras entidades externas, que devem participar do processo de definição do nível de sigilo da informação
b) Utilizar o Sistema de Gestão de Riscos como instrumento gerencial estratégico para assegurar os requisitos de negócio da organização
c) Inventariar todos os ativos de informação sob sua responsabilidade
d) Enviar ao Service Desk, quando solicitado, relatórios sobre as informações e ativos de informação sob sua responsabilidade
e) Sugerir procedimentos ao Service Desk para proteger os ativos de informação, conforme a classificação realizada, além da estabelecida pela Política de Segurança da Informação e pelas Normas de Segurança da Informação
f) Manter um controle efetivo do acesso à informação, estabelecendo, documentando e fiscalizando a política de acesso à mesma. Tal política deve definir quais usuários ou grupos de usuários têm real necessidade de acesso à informação, identificando os perfis de acesso
g) Reavaliar, periodicamente, as autorizações dos usuários que acessam as informações sob sua responsabilidade, solicitando o cancelamento do acesso dos usuários que não tenham mais necessidade de acessar a informação
h) Participar da investigação dos incidentes de segurança e privacidade relacionados às informações sob sua responsabilidade
i) Cumprir e fazer cumprir a política, as normas e procedimentos de segurança da informação e privacidade
j) Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação e privacidade
k) Sugerir ao Service Desk, de maneira proativa, procedimentos de segurança da informação e privacidade relacionados às suas áreas
l) Redigir e detalhar, técnica e operacionalmente, as normas e procedimentos de segurança da informação e privacidade relacionados às suas áreas, quando solicitado pelo Service Desk
m) Comunicar imediatamente ao Service Desk eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação e privacidade
Alta Direção
A Alta Direção representada pela Diretoria da GSW está comprometida com o sistema de gestão de segurança da informação devendo:
a) Estabelecer as responsabilidades e atribuições do Comitê de Gestão Segurança da Informação
b) Assegurar que a política e os objetivos de segurança da informação sejam estabelecidos, de forma compatível com a orientação estratégica da organização
c) Promover a integração dos requisitos do sistema de gestão de segurança da informação aos processos da organização
d) Prover os recursos necessários para o sistema de gestão de segurança da informação estão disponíveis
e) Comunicar a importância da gestão eficaz da segurança da informação, e do cumprimento dos requisitos do sistema de gestão da segurança da informação
f) Certificar que o sistema de gestão de segurança da informação alcança seus resultados pretendidos
g) Coordenar e incentivar as pessoas a contribuir com a eficácia do sistema de gestão da segurança da informação
h) Promover a melhoria contínua deste SGSI; e
i) Apoiar outras funções relevantes de gerenciamento quando demonstrem sua liderança e como ela se aplica às suas áreas de responsabilidade
j) Aprovar a política e as normas de segurança da informação e suas revisões
k) Receber, por intermédio do Service Desk, relatórios de violações da política e das normas de segurança da informação, quando aplicável
l) Tomar decisões referentes aos casos de descumprimento da política e das normas de segurança da informação, mediante a apresentação de propostas do Service Desk
Área Jurídica
Cabe, adicionalmente, à Área Jurídica:
a) Manter o Service Desk informado sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e ações envolvendo a gestão de segurança da informação
b) Incluir na análise e elaboração de contratos, sempre que necessárias cláusulas específicas relacionadas à segurança da informação
c) Avaliar, quando solicitado, a política, as normas e procedimentos de segurança da informação
Área de Recursos Humanos
Cabe, adicionalmente, à Área de Recursos Humanos:
a) Assegurar-se de que os colaboradores, estagiários e prestadores de serviços comprovem, por escrito, estar cientes da estrutura normativa do S.G.S.I. e dos documentos que a compõem
b) Para os novos colaboradores, prestadores de serviços e estagiários deve ser aplicado o treinamento em segurança da informação em até 15 dias após o início de suas atividades, sendo de responsabilidade de seu gestor a supervisão durante este período
c) Elaborar e executar planos de treinamento para reciclagem do conhecimento e consciência das normas internas e de segurança da GSW para todos os colaboradores com periodicidade mínima de 12 meses
d) Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento técnico mais adequado, alterações no quadro funcional da GSW
e) Estabelecer normas e procedimentos referentes à obrigatoriedade de divulgação dos eventos e incidentes de segurança por todos os colaboradores, bem como as respectivas penalidades pelo não cumprimento deste objetivo
f) Executar projetos e iniciativas visando aprimorar a segurança da informação na GSW
Desenvolvimento
Profissionais do ciclo produtivo de software (Desenvolvedores, analistas, testadores, suporte) deverão ser treinados quanto às boas práticas de segurança da informação no desenvolvimento de software.
Boas práticas utilizadas no desenvolvimento seguro de software deverão ser comunicadas a toda a equipe.
20. Melhoria contínua
- Treinamentos focados em segurança da informação deverão ocorrer com frequência, a fim de conscientizar a importância para os colaboradores e aprimorar os controles existentes
- Deve ser considerado a contratação ou benchmark com outras empresas considerando a melhoria do processo de segurança da informação
21. Auditorias de Segurança da Informação
A realização de auditorias de segurança interna e externa são obrigatórias, autorizadas e aprovadas pela Diretoria.
Durante a sua execução, deverão ser resguardados os direitos quanto à privacidade de informações pessoais, desde que estas não estejam dispostas em ambiente físico ou lógico de propriedade da GSW ou de seus clientes de forma que se misture ou impeça o acesso às informações de propriedade ou sob responsabilidade da GSW.
Com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, a GSW poderá realizar monitoramento e controle proativos, manuais ou automatizados, mantendo a confidencialidade do processo e das informações obtidas.
Existem dois tipos de auditorias de segurança a informação aplicadas, em todos os casos deve haver independência, garantindo que auditores não auditem os processos em que estejam envolvidos:
Auditorias do Sistema de Gestão de Segurança da Informação
As auditorias do SGSI são planejadas com foco na análise do atendimento de todos os processos relacionados ao SGSI e nos resultados de auditorias anteriores.
As auditorias do SGSI devem ser realizadas em intervalos máximos de 12 meses, por auditores internos ou externos, capacitados e treinados, preferencialmente com conhecimento nas normas ISO 27001 ou outro tipo de certificação de Segurança da Informação e conhecimento dos processos da GSW.
Auditorias dos Controles de Segurança da Informação
As auditorias dos Controles de Sistema de informação são planejadas com foco na análise dos controles implementados para segurança de rede, computadores, servidores, serviços, sistemas e instalações em um escopo definido pelo Service Desk.
As auditorias dos Controle de Sistema de informação não possuem prazo para realização pois existem vários controles recorrentes que são disparados via chamado para o Service Desk, alguns diários, semanais, mensais, trimestrais ou anuais. A auditoria de controle de Sistema de informação será realizada pelo corpo técnico da GSW.
Os resultados de auditorias de SI devem ser utilizados como insumos para a identificação de vulnerabilidades e ameaças alimentado o Mapa de Riscos conforme a diretriz de Gestão de Risco.
Para esta auditoria deve ser utilizado o “Checklist de Auditoria dos Controles de Segurança da Informação“.
Ação Corretiva e oportunidades de melhoria
Quando identificadas não conformidades ou melhorias na execução dos processos ou durante as auditorias internas ou externas, estas devem ser registradas para análise e tratamento no contexto do procedimento de Gestão de Incidentes de SI.
Toda a não conformidade ou melhoria registrada deve ter a sua causa identificada. Devem ser tomadas ações para eliminação dessas causas e verificada a eficácias das ações.
22. Contato com Autoridades
O responsável por contatos com autoridades é a pessoa qualificada para avaliar se deve proceder com o acionamento. É o ponto focal que deve ser conhecido por todos na organização para avaliar os eventos identificados e proceder com o adequado acionamento.
Cabe ao responsável manter contato regular com as autoridades com o assegurar a eficácia no acionamento numa situação de crise.
Cada acionador deve possuir um par designado para atuar na ausência deste. Este contato deve figurar como alternativa na tabela de contato com autoridades.
CONTATO COM AUTORIDADES | |||
ENTIDADE / ÓRGÃO | RESPONSÁVEL | TIPO DE OCORRÊNCIA | RESPONSÁVEL |
Bombeiro / Defesa Civil | Gerência Administrativa | Emergência: Incêndios, terremotos, enchentes, catástrofes, etc. | 193 |
Fornecedores de água / eletricidade | Gerência Administrativa | Interrupção ou desabastecimento do fornecimento de energia, água, etc. | Sabesp: 0800 055 0195 Edp: 0800 721 5044 |
Provedores de links / Internet | Service Desk | Para relatar incidentes de ataques de vírus e de hackers sofridos. | NIPBR: (12) 20120000 Horizon Telecom: 0800 604 3939 |
Service Desk | Interrupção / lentidão do Serviço. | ||
Polícia Militar / Polícia Civil | Gerência Administrativa | Situações de conflito, agressões, crimes, sequestro, ações terroristas e assemelhados. | 190 |
Autoridade Certificadora | Gerencia Contábil e Financeira | Revogação / Renovação de certificados digitais. | (11) 3004-3454 |
Polícia Federal | Gerência Administrativa | Crimes informáticos, fraudes eletrônicas e assemelhados | (61) 2024-8000 |
ANPD | Service Desk | Autoridade nacional de Proteção de Dados – incidentes, registros e RIPD relativos ao tratamento de Dados Pessoais | (61) 2025-8101 |
23. Análise Crítica do SGSI
A organização deve realizar a análise crítica do SGSI minimamente uma vez ao ano. Esta análise deve ter a participação direta da Alta Direção e deve considerar:
a) O resultado das ações de análises críticas anteriores do SGSI
b) Mudanças em questões externas e internas que são relevantes para o sistema de gestão da segurança da informação
c) Retroalimentação sobre o desempenho da segurança de informação, incluindo as tendências de:
1) Não-conformidades e ações corretivas
2) Resultados de monitoramento e medição
3) Resultados de auditoria internas ou externas do SGSI; e
4) Cumprimento dos objetivos da segurança da informação
d) Comentários das partes interessadas
e) Os resultados da avaliação de risco e a situação do plano de tratamento do risco
f) Oportunidades para a melhoria contínua
g) Impactos de mudanças ocorridas ou que possam ocorrer (mudanças organizacionais, mudanças em procedimentos de tratamento de dados pessoais, mudanças decorrentes de decisões governamentais, entre outros) e
As saídas das análises críticas devem incluir decisões relacionadas com oportunidades de melhoria contínua e qualquer necessidade de mudança no sistema de gestão da segurança da informação.
A organização deve manter informações documentadas como evidência dos resultados das análises críticas pela Alta Direção.
24. Denúncias
Qualquer descumprimento desta Política, ou ainda suspeitas ou evidências devem ser reportadas para o e-mail [email protected].
25. Violações e Sanções
Violações
São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não se limitando às mesmas:
a) Quaisquer ações ou situações que possam expor a GSW ou seus clientes à perda financeira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informação
b) Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa do Gerente ou Diretoria
c) Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da GSW ou de seus clientes
d) Descumprir alguns dos itens estabelecidos nesta política de segurança
e) A não comunicação imediata de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação, que porventura um colaborador, estagiário, aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar
Sanções
A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à Política de Segurança da Informação da GSW são consideradas faltas graves, podendo ser aplicadas as seguintes sanções: advertência formal, suspensão, rescisão do contrato de trabalho outra ação disciplinar e/ou processo civil ou criminal. Podem ser ainda ocorrer sanções definidas pela Direção sempre respeitando a legislação vigente.
Também serão observadas e aplicadas as penalidades previstas na Consolidação das Leis de Trabalho – CLT.