Política de
Segurança da Informação
O objetivo desta Política de alto nível é definir a finalidade, a direção, os princípios e as regras básicas de gestão da segurança da informação (SGSI).
Esta política aplica-se a todo o Sistema de gestão da segurança da informação (SGSI), como definido no documento de escopo do SGSI.
Esta política tem como objetivo atender a todas as partes interessadas relevantes a AFAMAIS ASSESSORIA FINANCEIRA, buscando o pleno atendimento de todos os requisitos aplicáveis, legais e melhoria contínua do SGSI.
- Norma ISO/IEC 27001, requisito 5.2 e controle 5.1
- Documento sobre o escopo do SGSI
- Metodologia de avaliação e tratamento de riscos
- Declaração de aplicabilidade
- Lista de obrigações Legais, Regulamentares e Contratuais
Confidencialidade – características das informações que estão disponíveis somente para pessoas autorizadas ou sistemas.
Integridade – características das informações que somente são alteradas por pessoas da forma permitida.
Disponibilidade – características das informações que somente pode ser acessada por pessoas autorizadas quando for necessário.
Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação.
Sistema de gestão da segurança da informação (SGSI) – a parte do sistema de gestão que cuida do planejamento, implementação, manutenção, revisão e aprimoramento da segurança da informação.
A segurança é um dos assuntos mais importantes dentre as preocupações de qualquer empresa.
Confidencialidade, integridade e disponibilidade da informação estão diretamente ligadas à segurança.
Temos nesse documento um conjunto de instruções e procedimentos para normatizar e melhorar nossa visão, estrutura para estabelecer os objetivos da segurança da informação, satisfazer os requisitos aplicáveis e o comprometimento com a melhoria contínua do sistema de gestão da segurança da informação.
4.1 O que é informação?
A Informação é um ativo que, como qualquer outro importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida.
A informação pode existir de diversas formas, podendo ela ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for à forma pela qual a mesma é apresentada, transmitida, armazenada ou compartilhada, é recomendado que seja protegida adequadamente.
4.2 O que é segurança da informação?
A Segurança da Informação protege a Informação de diversas ameaças para garantir a continuidade dos negócios, a integridade e a disponibilidade da mesma.
4.3 O que é uma Política de Segurança?
Política de Segurança é uma série de normas internas padronizadas pela empresa que devem ser seguidas à risca para que todas as possíveis ameaças sejam minimizadas e combatidas eficientemente por todos e pela equipe de segurança.
4.4 A empresa e a política de segurança
Todas as normas aqui estabelecidas serão seguidas à risca por todos os colaboradores, parceiros e prestadores de serviços. Ao receber essa cópia da Política de Segurança, o/a Sr/Sra. compromete-se a respeitar todos os tópicos aqui abordados e está ciente de que seus e-mails e navegação na internet/intranet podem estar sendo monitorados. A equipe de segurança encontra-se a total disposição para saneamento de dúvidas e auxílio técnico.
4.5 O não cumprimento dessa políticas
O descumprimento desta política ensejará em sanções administrativas, trabalhistas e judiciais.
4.6 Educação e segurança
Todo colaborador deve ser treinado adequadamente para as questões de segurança. Nenhum pré-requisito técnico é necessário, visto que o treinamento abordará o contexto comportamental do usuário, e não os aspectos técnicos, os quais serão delegados a equipe especializada.
No primeiro acesso de todos os usuários, o mesmo deve entrar com o nome de seu usuário e senha, sendo obrigado pelo sistema automaticamente a mudar para uma senha nova contendo alguns parâmetros obrigatórios descritos abaixo.
A senha terá um tempo de vida útil pré-determinado pela equipe de segurança, devendo o mesmo ser respeitado, caso contrário o usuário ficará sem acesso.
O tamanho mínimo da senha deverá ser de 10 caracteres;
A senha deve ser composta de uma combinação de caracteres maiúsculos e minúsculos, sinais e números obrigatoriamente;
Os mesmos critérios de senha descritos acima devem ser adotados obrigatoriamente para todos os sistemas internos da empresa, incluindo E-mail, CRM, Proxy e demais que possam ser adquiridos posteriormente.
5.1 Boas Práticas para Criação de Senhas
Para criação de uma senha forte e segura, elas devem considerar alguns requisitos para diminuir a chance para que haja qualquer acesso indevido e possivelmente um sequestro ou vazamento de dados.
Senhas como nome do usuário, combinações simples (abc123), substantivos (casa, meia, cadeira, Brasil), datas (11092001) e outros são extremamente fáceis de descobrir. As senhas citadas acima, por exemplo, podem ser quebradas em menos de 30 segundos por um potencial invasor. Os seguintes critérios devem avaliados na criação das senhas:
- Evitar a utilização de Nomes, Sobrenomes, nome de conta de usuário, dados de membros familiares, números de documentos, telefone e datas comemorativas;
- Sequências do teclado (ex:asdfg123)
- Time de futebol, personagens de filmes, nome de músicas, de produtos, etc…
Os critérios aceitos para uma criação de senha forte e mais segura, devemos considerar que os colaboradores utilizem:
- Números aleatórios;
- Diferentes tipos de caracteres (ex:Tb4lR);
- Caracteres especiais;
- Ter no mínimo 10 caracteres.
- Tempo de vida das senhas de 60 dias.
5.2 Segurança de Senhas
Além de ter uma senha criada com os pontos citados anteriormente ainda se faz necessário que o colaborador tenha ciência de algumas atitudes que devem ser tomadas:
- Manter o sigilo e confidencialidade da senha, garantindo a não divulgação para quaisquer outras partes, incluindo autoridades e lideranças.
- Não manter a senha anotada seja em papel, arquivos ou dispositivos móveis.
- Alterar sempre que existir qualquer indicação de comprometimento.
- Não utilizar a mesma senha para finalidades profissionais e pessoais. E/ou a mesma senha em sistemas diferentes.
LEMBRE-SE:
– Sua senha não deve ser jamais passada a ninguém (EM NENHUMA HIPOTESE), nem mesmo para equipe de segurança. Caso desconfie que sua senha não está mais segura, sinta-se à vontade para mudá-la, mesmo antes do prazo determinado de validade.
– Tudo que for executado com a sua senha será de sua inteira responsabilidade, por isso tome todas as precauções possíveis para mantê-la secreta.
Grande parte de nossa comunicação do dia-a-dia passa através de e-mails. Mas é importante também lembrar que grande parte das pragas eletrônicas atuais chegam por esse meio.
6.1 Política de e-mail
Nossos servidores de e-mail encontram-se protegidos contra vírus e códigos maliciosos, mas algumas atitudes do usuário final são requeridas:
– Não abra anexos com as extensões .bat, .exe, .src, .lnk e .com
– Desconfie de todos os e-mails com assuntos estranhos e/ou em inglês. Normalmente eles vêm com assuntos de receita federal, contas de banco, ou algum tipo de coisa, que tenta enganar as pessoas, se passando por um conteúdo legitimo.
– Não reenvie e-mails do tipo corrente, criança desaparecida, criança doente, pague menos em alguma coisa, não pague alguma coisa, pandemias, fake News, informações políticas etc.
– Caso não seja necessário, não mande e-mails para mais de 08 pessoas de uma única vez (to, cc, bcc), todas as pessoas que receberem, vão utilizar espaço em disco no servidor, aumentando o tráfego de rede e de armazenamento nos servidores.
– Evite anexos muito grandes.
– Bancos, Receita Federal, Serasa, Solicitação de recadastramento etc., não deve ser aberto ou clicado. Não envie nenhum tipo de informação pessoal ou profissional para e-mails que você não conheça. Em todo caso, sempre duvide e solicite ajuda da equipe de segurança.
“Não utilize o e-mail da empresa para assuntos pessoais. Todos os e-mails de domínio AFAMAIS ASSESSORIA FINANCEIRA são armazenados”.
“É expressamente proibido o uso de e-mail profissional, para fins particulares”
A internet é indiscutivelmente nossa mais poderosa ferramenta de trabalho. Devemos encará-la dessa forma.
7.1 Política de internet
O uso e acesso a internet será restrito aos seguintes tópicos:
– Somente navegação de sites dentro do escopo de trabalho é permitida. Casos específicos que exijam outros protocolos deverão ser solicitados diretamente a equipe de segurança com prévia autorização do supervisor ou da diretoria do departamento local.
– Acesso a sites com conteúdo pornográfico, jogos, bate-papo, apostas e assemelhados estará bloqueado e monitorado.
– É proibido o uso de ferramentas P2P (bittorrent, Morpheus, Whatsapp web, etc).
– É proibido o uso de IM (Instant Messenger, Skype, WhatsApp) não homologados/autorizados pela equipe de segurança. Exceto com autorização expressa da diretoria.
– É proibido o uso da internet para recreação. Não sendo permitido uso para assistir vídeos, ouvir músicas, baixar musicas e vídeos e ou qualquer outra tarefa no âmbito pessoal e/ou recreativo.
“Lembrando novamente que o uso da internet estará sendo auditado constantemente e o usuário pode sofrer sansões como aplicações de advertências, conforme “Política de Procedimentos Disciplinares”.
Cada estação de trabalho tem códigos internos (número de ativo, mac address, IP de rede, etc.) que permitem que ela seja identificada na rede. Isso significa que tudo que venha a ser executado de sua estação acarretará sua responsabilidade. Por isso sempre que sair da frente de sua estação, tenha certeza que efetuou logoff ou bloqueio da tela.
Todas as estações são gerenciadas por ferramentas de monitoração, sendo a qualquer momento bloqueado em caso de incidentes de segurança.
Tudo o que for digitado e clicado, é armazenado em um servidor de logs, podendo passar por auditorias futuras.
Devido a esses motivos, e-mails particulares e arquivos pessoais não devem ser acessados, sendo os mesmos bloqueados no servidor.
Em caso de rescisão contratual se houver arquivos ou e-mails particulares, os mesmos serão excluídos junto com a conta do usuário sendo impossível ser recuperado.
Por isso tudo o que for realizado com sua senha, será de sua responsabilidade.
8.1 Política de uso de estação de trabalho
Lembramos que sua estação é sua ferramenta de trabalho, mas também é um importante componente de segurança. Por isso observe as seguintes orientações:
– Não instale nenhum tipo de software / hardware sem autorização da equipe técnica ou de segurança.
– Não tenha e/ou armazene MP3, filmes, fotos e softwares com direitos autorais ou qualquer outro tipo de softwares.
– Não mantenha na sua estação arquivos supérfluos ou pessoal. Todos os dados relativos à empresa devem ser mantidos no servidor, onde existe um sistema de backup diário e confiável local e na nuvem.
O uso de celular, smartphone, tablet, netbook, notebook particular é proibido para os colaboradores operacionais dentro dos locais de trabalhos, com exceção da gestão operacional como supervisores, coordenadores, gerentes e áreas de apoio. (Anexo política de BYOD)
Informamos que a restrição do uso do telefone celular particular dentro das dependências da empresa, em virtude de estar interferindo no andamento normal das atividades, encontra fundamento no poder diretivo do empregador, inserto no artigo 2º da CLT, que consiste na faculdade conferida ao empregador de dirigir a prestação pessoal de serviço dos seus empregados, de elaborar regulamento interno e de aplicar penalidades, se necessárias, à manutenção da ordem interna da empresa.
8.2 Interação Social
Como seres humanos, temos a grande vantagem de sermos sociáveis, mas muitas vezes quando descoremos sobre segurança, isso é uma desvantagem. Por isso observe os seguintes tópicos:
– Não fale sobre questões sigilosas e de segurança da empresa com terceiros ou em locais públicos.
– Não diga sua senha para ninguém. Nossa equipe técnica jamais irá pedir sua senha.
– Não digite suas senhas ou usuários em outras máquinas fora da empresa.
– Somente aceite ajuda técnica de um membro de nossa equipe técnica previamente apresentado e identificado.
– Nunca execute procedimentos técnicos cujas instruções tenham chego por e-mail. A não ser que seja do departamento de TI.
– Relate a equipe de segurança pedidos externos ou internos que venham a discordar dos tópicos anteriores.
São os maiores geradores de problemas de segurança. Somente no ano de 2019, geraram prejuízos da ordem de 53 bilhões de dólares. Alguns procedimentos simples podem evitar grandes transtornos:
– Mantenha seu antivírus atualizado. Provavelmente nossa equipe técnica irá se encarregar disso, mas caso não tenha sido feito ou você perceba que a atualização não está funcional, entre em contato com a mesma para que a situação possa ser corrigida.
– Reporte atitudes suspeitas em seu sistema a equipe técnica, para que possíveis vírus possam ser identificados no menor espaço de tempo possível.
– Suspeite de softwares que “você clica e não acontece nada”.
De nada adianta uma informação segura se a mesma estiver indisponível para quem necessita dela. Por isso nossas equipes técnicas e de segurança contam com a sua colaboração para manter nossa empresa como líder de mercado. Entre em contato conosco sempre que julgar necessário.
Membros da equipe de segurança
NOME | TELEFONE | |
Djulia Aranha | +55 11 3881-2121 | |
Danilo Arouca | +55 11 9 9958-4045 | |
Emerson Duarte | +55 11 93374-6494 |
Nome do registro | Local de armazena-mento | Responsável pelo armazena-mento | Controles para a proteção do registro | Tempo de retenção |
Política de Segurança da Informação | Pasta compartilhada na intranet | Governança | Rotina de back up | Indeter-minado |
Data | Versão | Criado por | Aprovado Por | Descrição da alteração |
25/07/2023 | 1.0 | Danilo Arouca | Djulia Aranha | Documentação inicial |
09/08/2023 | 1.1 | Danilo Arouca | Djulia Aranha | Modificações do item 5.1 |
04/03/2024 | 1.2 | Danilo Arouca | Djulia Aranha | Revisão geral |