POLITICA DE SEGURANÇA DA INFORMAÇÃO (POLSI01)crc.net.br/pdf/Politica de Segurança da...

POLSI01 POLITICA DE SEGURANÇA DA INFORMAÇÃO

Data Publicação 08/05/2018 Área Responsável Seg. Informação Revisão: 4.7

1 CLASSIFICAÇÃO: PUBLICO

POLITICA DE SEGURANÇA DA INFORMAÇÃO

(POLSI01)

30/09/2019




RESUMO:

Política de Segurança da Informação corporativa, onde se estabelece os atributos,

responsabilidades, diretrizes e condutas com o tratamento das informações da empresa.

HISTORICO DE VERSÕES:

HISTÓRICO DE REVISÃO DO DOCUMENTO

VERSÃO DATA AUTOR REVISOR DESCRIÇÃO DE ALTERAÇÃO

3.6 03/03/2018 Luiz Le-Fort Ismael Torres Remodelação da politica antiga para um novo modelo e com maior abrangência.

3.7 06/03/2018 Luiz Le-Fort Ismael Torres Correção e inclusão de Matriz de Acesso

3.8 26/03/2018 Luiz Le-Fort Ismael Torres Inclusão de Termo de Confidencialidade

e Termo BYOD

3.9 16/04/2018 Luiz Le-Fort Ismael Torres Alterado o termo de confidencialidade

de acordo com o código penal.

4.0 17/04/2018 Luiz Le-Fort Ismael Torres Alteração dos termos de requisição de

Acesso.

4.1 04/05/2018 Luiz Le-Fort Ismael Torres Inclusão de Cibercrimes

4.2 04/05/2018 Luiz Le-Fort Ismael Torres Alterado item 12, desanexado da psi

4.3 08/05/2018 Luiz Le-Fort Ismael Torres Correções gramaticais e revisão final

4.4 28/05/2018 Luiz Le-Fort Ismael Torres Alteração de Confidencialidade, inclusão

de glossário, inclusão vigência, inclusão valores da empresa e alterado o formato

do documento.

4.5 06/08/2018 Luiz Le-Fort Ismael Torres Alterações solicitadas pelo Jurídico da CRC.

4.6 22/02/2019 Luiz Le-Fort Ismael Torres Inclusão Normativa de uso de E-mail

Corporativo item 6.1.12.1, Inclusão Normativa de uso de Internet

Corporativa item 6.1.12.2, alteração

cabeçalho, alteração do glossário do inicio para depois do sumário. Alteração

de referencia de documento do capitulo

5. Inclusão de tabela de classificação de confidencialidade no capitulo 9.

Remoção do paragrafo da

disponibilidade do documento via Intranet no Capitulo 12. Inclusão do

capitulo 13 (documentos adicionais).

Alteração do Superintendente de TI da CRC.

4.7 30/09/2019 Luiz Le-Fort Lorena Queiroz Inclusão do item 7.4 – Politica de mesa e

tela limpa; incluído o item 9.5 –

Manuseio de informação; Alterado o titulo do item 4.3 de “Ameaças e

Vulnerabilidades” para “Gestão de

Vulnerabilidade”; inclusão dos parágrafos 6.1.5.1 e 6.1.5.2 que

especifica o licenciamento dos softwares

utilizados pela empresa; Redução de linhas em branco; Inclusão de Resposta a

Incidentes; Reformatado a concessão de

acesso remoto; Inclusão de termos no Glossário; destacado a classificação da

informação referente ao mailing enviado pelos contratantes; Alteração da

concessão de acessos; alteração dos itens

3.7.1 e 3.7.2; Inclusão do ultimo paragrafo em objetivo; Alteração do item

13 de “documentos adicionais” para

“procedimentos adicionais” e incluso sistema de gestão de documentação.




SUMÁRIO GLOSSÁRIO........................................................................................................................................................................................... 4

1. INTRODUÇÃO ............................................................................................................................................................................ 5

2. OBJETIVO .................................................................................................................................................................................. 5

3. ATRIBUIÇÕES E RESPONSABILIDADES. ...................................................................................................................................... 6

3.2 Diretoria ......................................................................................................................................................................... 6

3.3 Gerência e Coordenação de Tecnologia da Informação ................................................................................................. 6

3.4 Segurança da Informação ............................................................................................................................................... 6

3.5 Gestores de outras áreas................................................................................................................................................ 7

3.6 Recursos Humanos ......................................................................................................................................................... 7

3.7 Departamento Pessoal ................................................................................................................................................... 8

3.8 Tecnologia da Informação & Comunicações .................................................................................................................. 8

4. ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO ........................................................................................................................ 8

4.1 Ameaças ......................................................................................................................................................................... 9

4.2 Vulnerabilidades........................................................................................................................................................... 10

4.3 Controle a Ameaças e Vulnerabilidades .............................................................................Erro! Indicador não definido.

5. ACESSO REMOTO .................................................................................................................................................................... 10

6. DIRETRIZES .............................................................................................................................................................................. 11

7. DIRETRIZES DE NÍVEL DE SEGURANÇA..................................................................................................................................... 15

7.1 Garantia de Elementares de Segurança da Informação ............................................................................................... 15

7.2 Política de senhas ......................................................................................................................................................... 15

7.3 Política de Backup ........................................................................................................................................................ 16

8. GESTÃO DE ACESSOS ............................................................................................................................................................... 17

8.2 Procedimento de concessão ........................................................................................................................................ 17

8.3 Procedimento de alteração de acessos ........................................................................................................................ 17

8.4 Menor privilégio ........................................................................................................................................................... 17

8.5 Requerimento de concessão de acesso ........................................................................................................................ 17

8.6 Procedimento de bloqueio e cancelamento de acessos ............................................................................................... 17

8.7 Matriz de acesso .......................................................................................................................................................... 17

9. CONFIDENCIALIDADE .............................................................................................................................................................. 18

9.1 Definição dos termos de confidencialidade ................................................................................................................. 18

9.2 Diretrizes do Termo de confidencialidade .................................................................................................................... 19

9.3 Responsabilidades de confidencialidade ...................................................................................................................... 19

9.4 Guarda das informações de confidencialidade............................................................................................................. 19

10. BYOD – BRING YOUR OWN DEVICE .................................................................................................................................... 19

11. MONITORAMENTO E EVENTUAIS ADVERTÊNCIAS ............................................................................................................. 20

12. TERMO DE CONFIDENCIALIDADE E COMPROMISSO. ......................................................................................................... 20

13. VIGÊNCIA ........................................................................................................................................................................... 21




GLOSSÁRIO

AD Catalogo global de endereços;

ATIVOS Tudo que representa informações (pessoas, servidores, informações, etc.);

BACKUPS Solução corporativa de copia de segurança;

CAPTIVE PORTAL Programa de computador gerenciar acessos a internet;

CIBERESPAÇO É um espaço existente de comunicação entre maquinas; CLOUD COMPUTING É um serviço disponibilizado apenas pela internet;

DDoS Ataque de Negação de Serviços; Ataque distribuído;

ENDOMARKETING Estratégia de marketing institucional;

EXPLOITS São códigos maliciosos desenvolvidos para explorar vulnerabilidades;

FILE-SERVER Servidor de armazenamento de arquivos, documentos, etc.;

FIREWALL Serviço de proteção contra ataques externa-internos;

HACKERS São criminosos de computadores;

HARDWARE É a parte física de um computador;

LINKS São atalhos contidos em um e-mail que redireciona para uma pagina web;

MALWARE Programa malicioso de computador com intuito de causar danos;

DR Disaster Recovery ou Recuperação de desastre

CID Confidencialidade, Integridade, Disponibilidade.

PA Ponto de Atendimento;

PHISHING Método de roubar dados sigilosos como cartão de créditos, senhas, contas, etc.;

PROXY É um servidor que recebe as requisições de um usuário e passa para frente;

SOFTWARE É um programa de computador;

SPAM É o envio em massa de mensagens eletrônicas com fins publicitários;

TROJAN Vírus de computador, que entra no sistema disfarçado de outro programa;

VPN Rede virtual Privada;

WIFI Abreviação de rede sem fio;

WORMS É um programa de computador que se auto replica;

WSUS Programa de computador que permite atualizar estações de trabalho.




1. INTRODUÇÃO A Central de Recuperação de Créditos neste instrumento denominada como CRC

empresa que tem por missão recuperar créditos e clientes através de ações eficientes e éticas,

gerando satisfação dos contratantes, acionistas e colaboradores. A CRC entende que a

informação é um dos principais ativos da empresa e/ou sob sua guarda, portanto preza pela

adequada utilização e proteção contra qualquer tipo de risco ou ameaça.

Segurança da Informação está relacionada com proteção de um conjunto de dados, no

sentido de preservar o valor que possuem para um indivíduo ou organização. São

características básicas da segurança da informação os atributos de confidencialidade,

integridade e disponibilidade, não estando esta segurança restrita somente a informações

eletrônicas, sistemas de armazenamento ou documentação impressa disponível. O conceito se

aplica a todos os aspectos de proteção de informações e dados.

A segurança de uma determinada informação pode ser afetada por fatores

comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a

cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal

informação.

À adoção de políticas e procedimentos que visem garantir a segurança da informação é

prioridade constante da CRC.

2. OBJETIVO Este documento tem como objetivo apresentar a todos os integrantes dentro ou fora

das dependências da CRC a Política de Segurança da Informação em seus diversos níveis, bem

como conscientizar os colaboradores e demais partes interessadas que possam ter acesso às

informações da empresa quanto à importância no tratamento das informações e a forma com

que a CRC conduz essa questão.

A Política de Segurança da Informação ora apresentada visa instituir um nível de

segurança adequado às características da empresa e foi desenvolvida com base nos resultados

de análises dos riscos associados ao negócio e valores da empresa (ética, resultados, imagem,

inovação e meritocracia)

Também se define o objetivo estabelecer as orientações, deveres, responsabilidades,

disponibilidade, integridade e confidencialidade inerentes ao negócio da CRC. A composição

de segurança de informação adotada pela empresa é constituída de procedimentos

documentados, capacitação de colaboradores, controles de acessos físicos e lógicos.

Esta PSI poderá ser consultada sempre que necessário pela INTRANET ou pelo diretório

de POLITICAS no servidor de arquivos da empresa.




3. ATRIBUIÇÕES E RESPONSABILIDADES. É dever de todos os colaboradores (Acionistas, sócios, diretores, colaboradores,

prestadores de serviços, estagiários, menor aprendiz e trainees):

3.1.1 Cumprir fielmente esta Política e demais regulamentos internos e externos

relacionados à Segurança da Informação;

3.1.2 Buscar orientação do superior ou ao Departamento de Tecnologia da

Informação em caso de dúvidas relacionadas à segurança da informação;

3.1.3 Assinar Termo de Confidencialidade e Compromisso, formalizando a

ciência e o aceite da Política de Segurança da Informação, bem como

assumindo responsabilidade por seu cumprimento;

3.1.4 Proteger as informações contra acesso, modificação, destruição ou

divulgação não autorizados pela empresa;

3.1.5 Assegurar que os recursos tecnológicos à sua disposição sejam utilizados

apenas para as finalidades inerentes a função desempenhada.

Adicionalmente, são definidas as seguintes responsabilidades e atribuições específicas

relacionadas à segurança da informação nas áreas:

3.2 Diretoria

3.2.1 Aprovar a Política de Segurança da Informação e suas revisões;

3.2.2 Incentivar a cultura de controles e a disciplina na utilização das

informações.

3.3 Gerência e Coordenação de Tecnologia da Informação

3.3.1 Propor ajustes, aprimoramentos e modificações desta Política;

3.3.2 Atuar na comunicação entre gestores, coordenadores, supervisores e/ou

colaboradores em caso de infração desta politica reportado pela

segurança da informação;

3.3.3 Incentivar trabalhos rotineiros de testes de vulnerabilidades;

3.3.4 Atuar na supervisão e/ou coordenação junto a outras áreas que tenham a

segurança da informação avaliado/identificado suas vulnerabilidade.

3.4 Segurança da Informação

3.4.1 Desenvolver a Política de Segurança da Informação e suas revisões;

3.4.2 Comunicar os casos de descumprimento da Política de Segurança da

Informação a Gerência e Coordenação de Tecnologia da Informação;

3.4.3 Prover ampla divulgação da Política e demais controles de Segurança da

Informação para todos os colaboradores da empresa;

3.4.4 Realizar treinamentos e reciclagem de colaboradores no âmbito de


3.4.5 Analisar os riscos relacionados à segurança da informação e propor ações

se necessário;

3.4.6 Registro e solução de incidentes pertinentes a Segurança da Informação;




3.4.7 Acompanhar e/ou validar gestão de mudanças;

3.4.8 Realizar trabalhos de análise de vulnerabilidade em todos os ativos, com o

intuito de aferir o nível de segurança dos sistemas de informação e dos

demais ambientes em que circulam as informações;

3.4.9 Realizar auditorias periódicas para remover usuários inativos na rede;

3.4.10 Realizar testes e averiguações em sistemas e equipamentos, com o intuito

de verificar o cumprimento da Política e demais procedimentos

relacionados à Segurança da Informação;

3.4.11 Estabelecer procedimentos e definir diretrizes dos controles de acessos;

3.4.12 Elaborar em conjunto com outras áreas Matriz de Acesso;

3.4.13 Auditar os backups dos sistemas da CRC;

3.4.14 Validar, documentar e manter atualizado a politica de backup geral e

individual de cada servidor/ativo/recurso;

3.4.15 Realizar eventuais auditorias em concessão e/ou revogação de acessos,

atualização de antivírus e de sistemas operacionais, alteração nas regras

de firewall e quaisquer outros sistemas/ativos que a segurança da

informação encontrar prudente analisar;

3.4.16 Analisar os riscos relacionados à segurança da informação e propor ações

se necessário;

3.4.17 Realizar Provas de Conceitos para validação de soluções corporativas com

a finalidade de melhorar a segurança do negócio.

3.5 Gestores de outras áreas

3.5.1 Os gestores como Proprietários da Informação devem auxiliar a

Departamento de Segurança da Informação no estabelecimento de matriz

de acessos à informação;

3.5.2 Fomentar junto à equipe sob sua gestão a cultura de controles e a

adequada utilização das informações;

3.5.3 Cumprir e fazer cumprir esta Política e demais procedimentos de

Segurança da Informação;

3.5.4 Assegurar que suas equipes possuam acesso e conhecimento desta

Política, bem como os conceitos que a cercam;

3.5.5 Comunicar imediatamente eventuais casos de violação de segurança da

informação à Departamento de Segurança da Informação.

3.6 Recursos Humanos

3.6.1 Colher a assinatura do Termo de Confidencialidade e Compromisso de

todos os colaboradores digitalizando e arquivando-o nos respectivos

prontuários;

3.6.2 Solicitar os primeiros acessos lógicos para a Infraestrutura e Suporte

Operacional via sistema de registro de incidentes;




3.6.3 Comunicar a Segurança da Informação prontamente todas as

“ambientações” de novos colaboradores para os devidos treinamentos de


3.6.4 Atuar na comunicação endomarketing da empresa como ferramenta de

auxilio para comunicação educacional referente à segurança da

informação.

3.7 Departamento Pessoal

3.7.1 O desligamento de pessoal deverá ser realizado pelo workflow próprio,

onde todas ás áreas é comunicado do desligamento do colaborador, para

inativação de acessos;

3.7.2 Quando solicitado a Segurança da Informação o DP enviará a relação de

colaboradores desligados para conferencia interna no ambiente.

3.8 Tecnologia da Informação & Comunicações

3.8.1 Operacionalizar os acessos definidos pelo Departamento de Segurança da

Informação em conjunto com Recursos Humanos e a própria Tecnologia

da Informação;

3.8.2 Manter-se atualizada em relação às melhores práticas existentes no

mercado em relação às tecnologias disponíveis;

3.8.3 Estabelecer procedimentos e realizar a gestão dos sistemas de controle de

acesso da empresa, incluindo os processos de concessão, manutenção,

revisão e suspensão de acessos aos usuários;

3.8.4 Participar da investigação de incidentes de segurança relacionados à

proteção de informações;

3.8.5 Instalar e/ou aplicar atualização de antivírus.

3.8.6 Aplicar patches de segurança em maquinas vulneráveis manualmente ou

via wsus.

3.8.7 Os administradores e operadores dos sistemas computacionais podem,

pela característica de seus privilégios como usuários, acessar os arquivos e

dados de outros usuários. No entanto, isso só será permitido quando for

necessário para a execução de atividades operacionais sob sua

responsabilidade como, por exemplo, a manutenção de computadores, a

realização de cópias de segurança, auditorias ou testes no ambiente.

4. ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO O trio Confidencialidade, Integridade e Disponibilidade representa os principais

atributos que orientam a análise, o planejamento e a implementação da segurança das

informações contidas ou disponíveis na empresa, para tanto descrevemos a seguir os

conceitos desses atributos para melhor entendimento:




1. Confidencialidade é a propriedade que limita o acesso à informação tão somente às

entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;

2. Integridade é a propriedade que garante que a informação manipulada mantenha

todas as características originais estabelecidas pelo proprietário da informação,

incluindo controle de mudanças (registros) e garantia do seu ciclo de vida (criação,

manutenção e destruição);

3. Disponibilidade é a propriedade que garante que a informação esteja sempre

disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo

proprietário da informação.

4.1 Ameaças

A ameaça à segurança da Tecnologia da Informação pode ser definida como: “Qualquer circunstância ou evento passível de explorar, intencionalmente ou não, uma vulnerabilidade específica num sistema de Tecnologia da Informação, resultando numa perda de confidencialidade, integridade e disponibilidade da informação manipulada ou da integridade ou disponibilidade do Sistema”. Tomando como base esta definição, existem diferentes tipologias de ameaças que, por afetarem os sistemas, podem ser agrupadas em:

i. Desastres naturais; ii. Ameaças de origem industrial; iii. Erros ou falhas não intencionais; iv. Ataques deliberados.

Ainda que as ameaças associadas às catástrofes naturais, a origem industrial e a erros ou falhas não intencionais, estejam sempre presentes, é necessário analisar com maior profundidade os ataques deliberados, já que a sua sofisticação, precisão e potencial impacto estão em constante evolução, elevando o nível de risco a que os sistemas estão submetidos. A sua identificação e catalogação correta é a chave para se puderem estabelecer estratégias adequadas de proteção do ciberespaço. Dependendo da motivação associada aos ataques deliberados, podemos agrupar as ameaças em:

i. Cibercrime, centradas essencialmente na obtenção de benefícios económicos através de ações ilegais. As ações relacionadas com a fraude bancária, com cartões de crédito ou a realização de transações em diferentes páginas web, constituem exemplos de ações comuns relacionadas com este tipo de ameaças.

ii. Ciberespionagem, com foco na obtenção de informações, seja para benefício próprio ou para deter um benefício monetário posterior com a sua venda. A informação mais suscetível de identificar-se neste campo pode pertencer, nomeadamente, a um governo ou até a organizações privadas, e ser classificada, sendo esta uma mais valia para os atacantes.

iii. Ciberterrorismo, onde se procura um impacto social e político significativo pela destruição física. Neste contexto, as infraestruturas críticas constituem os alvos de ataque mais prováveis.

iv. Ciberguerra, pode ser definida como uma luta ou conflito entre duas ou mais nações ou entre diferentes facções dentro de uma nação onde o ciberespaço é o campo de batalha.

v. Hacktivismo ou Ciberactivismo, podemos definir que é a ideologia ou filosofia que sustenta a prática do hacking, engajado no desejo de liberdade de




informação ou negação de serviços através de ataques DDoS. Pelo seu impacto crescente também tem vindo a assumir-se como um campo de ação da ciberameaça.

4.2 Vulnerabilidades

Do ponto de vista da segurança da informação, uma vulnerabilidade pode ser definida como qualquer fraqueza/debilidade de um equipamento/recurso que podem ser exploradas por uma ou mais ameaças. As vulnerabilidades não são só consideradas características inerentes à natureza dos ativos, uma vez que também se considera uma vulnerabilidade a presença de erros de projeto, implementação, operação ou gestão de um sistema de informação que pode ser explorado e a partir da qual resulta um efeito não desejado ou não esperado que comprometa a política de segurança da informação.

4.3 Gestão de Vulnerabilidades

A segurança da Informação executa de forma rotineira e sem aviso prévio testes

aleatórios em todos os seus ativos, hardware e software em ambiente produtivo com a

intenção de identificar possíveis falhas de segurança ou vulnerabilidades expostas a fim de

identificar, documentar e procurar soluções entre os envolvidos a fim de solucionar eventuais

falhas.

A partir de empresas e profissionais certificados “C|EH” a CRC realiza testes de invasão

uma vez ao ano ou quando houver mudanças de grande impacto na infraestrutura da

empresa.

4.4 Resposta a incidentes

Em caso de incidentes de segurança da Informação a CRC acionará procedimento

interno denominado “POLSI10 – RESPOSTA A INCIDENTES” onde descreve de forma estrutural

todos os procedimentos que a empresa adota. Este documento também contem as boas

práticas para deter uma possível intrusão.

Incidentes de Segurança da Informação devem ser reportado diretamente via e-mail:

[email protected] para o devido tratamento e análise.

5. ACESSO REMOTO A concessão de acesso a rede virtual privada (VPN) deverá ser formalizado pelo

sistema de gestão de chamados de acordo com o seguinte fluxo:

I. Solicitar aprovação via e-mail ao Superintendente de Tecnologia da

Informação a concessão do acesso a VPN;

II. Abrir a demanda via sistema de chamados anexando a aprovação do

superintendente de TI;

III. Segurança da Informação avaliará a necessidade, se de acordo com a matriz de

acessos, encaminhará termo “TERSI04 – CONCESSÃO DE VPN PARA

mailto:[email protected]




COLABORADORES”, após a devolução preenchida, será anexado ao dossiê do

colaborador no departamento pessoal;

IV. Segurança da Informação, via sistemas de chamados, aprovará a demanda e

encaminhará a demanda para setor correspondente para conceder o acesso e

instalar cliente de VPN na estação do solicitante.

Conforme descrito no item 3.4.9 desta PSI a Segurança da Informação poderá revogar

o acesso caso seja constatado irregularidades ou inutilização do recurso solicitado.

Na hipótese de concessão de acesso a VPN de forma emergencial deverá formalizar via

e-mail respeitando a hierarquia: Superintendência de TI, e/ou Coordenação de Infraestrutura

e/ou Segurança da Informação. Em caso de indisponibilidade ou em um procedimento de DR

as concessões deverão ser formalizadas após a conclusão do desastre a fim de garantir o CID.

6. DIRETRIZES Apresentamos a seguir as diretrizes da Política de Segurança de Informação da CRC

subdivididas em três partes. Essas diretrizes devem ser de conhecimento de todos os

colaboradores da empresa e deverão ser seguidas em sua íntegra, sendo esperado um

comportamento responsável e diligente em todos os níveis hierárquicos da empresa

6.1 Diretrizes e condutas PERMITIDOS INDISTINTAMENTE:

6.1.1 Acionistas, investidores, diretores, gerentes, coordenadores,

colaboradores, estagiários, menores aprendiz, trainee e prestadores de

serviços devem assumir atitude proativa e engajada no que diz respeito à

proteção da informação;

6.1.2 Documentos impressos e arquivos contendo informações confidenciais

devem ser adequadamente armazenados e protegidos;

6.1.3 Os colaboradores da CRC devem compreender as ameaças externas que

podem afetar a segurança das informações da empresa, tais como vírus de

computador (trojans, malwares, worms);

6.1.4 Assuntos confidenciais de trabalho devem ser evitados de discutir em

ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros

sociais, mídias sociais, etc.);

6.1.5 Somente os softwares homologados pelo Departamento de Tecnologia da

Informação podem ser instalados nas estações de trabalho e devem ser

por ela executadas;

6.1.5.1 Os softwares fornecidos pela CRC para execução das atividades das

diversas áreas é um “mix” de soluções, sendo genuínas e previamente

autorizado para uso pela CRC, incluindo sistemas operacionais,

manipuladores de texto, CRM’s, Mineradores de dados entre outras

soluções corporativas.

6.1.5.2 O registro ou product-key destes produtos são de propriedade da CRC.




6.1.6 O uso de internet e correio eletrônico devem ser feitos de forma

cuidadosa e com bom senso. Arquivos e links de internet de origem

desconhecida nunca devem ser abertos e/ou executados;

6.1.7 Manter a estação de trabalho bloqueado em quanto não estiver em seu

computador com a intenção de evitar acessos não autorizados;

6.1.8 Desligar os computadores após o turno de trabalho;

6.1.9 Cumprir as leis e as normas que regulamentam os aspectos de

propriedade intelectual;

6.1.10 A utilização de recurso da Internet deverá ser feita somente pela conexão

corporativa da CRC;

6.1.11 O uso da Internet ou correio eletrônico é restrito às atividades inerentes a

função desempenhada do colaborador sendo vedada a utilização para fins

pessoais, inclusive no âmbito civil e criminal;

6.1.12 A CRC monitora as chamadas telefônicas dos ramais e celulares

corporativos, estações de trabalho (PA e Demais setores), tráfego de

internet, e-mails e qualquer comunicação realizada através dos

equipamentos da empresa ou através de sua rede de dados corporativa;

6.1.12.1 Os colaboradores deverão ter ciência da forma correta da

utilização do e-mail corporativo, que poderá ser consultado

através da NORMA DE USO DE E-MAIL – DOCSI35.

6.1.12.2 Os registros de acesso a Internet são arquivados e monitorados

com o objetivo de resguardar a informação da empresa. O uso

correto poderá ser consultado em NORMA DE USO DE INTERNET –

DOCSI37.

6.1.13 Todos os colaboradores, visitantes, terceiros deverão utilizar o crachá da

empresa de forma visível em todas as dependências da empresa;

6.1.14 O usuário deve zelar pelos equipamentos e qualquer material de trabalho

de propriedade da empresa;

6.1.15 Comunicar imediatamente ao Departamento de Segurança da Informação

qualquer descumprimento ou violação desta Política ou suspeita de

manipulação inadequada de informações;

6.1.16 Qualquer tipo de dúvida sobre a Política de Segurança da Informação deve

ser imediatamente esclarecido com o Departamento de Segurança da

Informação, pelos canais oficiais de comunicação ou via e-mail

disponibilizado: [email protected].

6.2 Diretrizes e Condutas PERMITIDAS INERENTES AO NEGÓCIO

6.2.1 Os acessos à rede informatizada de forma remota (VPN) devem ser

utilizados somente para exercício do trabalho em horários especiais, e

deve ser autorizado formalmente pela Diretoria de Infraestrutura;

6.2.2 Em relação a mídias sociais particulares, a CRC se reserva o direito de:

mailto:[email protected]




6.2.2.1 A publicação de opiniões deve ser baseada no princípio da boa fé, e

em conformidade legal apenas em nome próprio, evitando associar

qualquer tipo de opinião pessoal à marca da CRC;

6.2.2.2 Deve-se utilizar linguagem e vocabulários adequados, de modo a

evitar qualquer tipo de opinião que possa ser considerada ambígua,

subjetiva, agressiva, hostil, discriminatória, vexatória, ridicularizante

ou que de algum modo possa ferir a imagem da CRC ou de seus

clientes;

6.2.3 O descarte de informações impressas deve ser adequadamente picotado

e/ou trituradas;

6.2.4 A rede WiFi Corporativa é para fins corporativos, sujeitos a esta politica de

segurança;

6.2.5 Os controladores remotos de uso interno, como ferramenta de suporte

operacional, haverá desde que não haja restrições de utilização por parte

do contratante da operação;

6.2.6 Caso o colaborador utilize de alguma forma um equipamento pessoal fora

do conhecimento da empresa, a empresa não se responsabiliza por danos

ou depreciação deste equipamento, sendo assim o colaborador assume

qualquer risco ou custo com o mesmo.

6.3 Diretrizes e Condutas PROIBIDOS EM DEFINITIVO

6.3.1 Todo tipo de acesso à informação da empresa que não for explicitamente

autorizado é proibido;

6.3.2 As senhas de usuário são pessoais e intransferíveis, não podendo ser

compartilhadas, divulgadas a terceiros ou a próprio colabores da empresa,

anotadas em papel ou em sistema visível ou de acesso não protegido;

6.3.3 É expressamente proibida a utilização de aparelhos celulares/smartphones

nos ambientes de operações de Call Center / Contact Center;

6.3.4 Se tratado de acessos a Internet fica proibido à utilização dos seguintes

recursos da:

6.3.4.1 Burlar as restrições de Internet via Proxy, VPN e Similares;

6.3.4.2 Uso de controladores remoto tipo TeamViewer®, Anydesk® e

similares;

6.3.4.3 Uso de Internet para acesso a sites de redes sociais, facebook®,

instagram®, youtube® e etc. como também a mensageiros

instantâneos como WhatsApp®, Telegram®, Skype® e similares;

6.3.4.4 Uso de e-mails públicos como o gmail®, Hotmail®, yahoo®, entre

outros para execução de quaisquer atividade da CRC;

6.3.4.5 É restrito o uso de plataformas de armazenamento em nuvem

como o Google Drive®, AmazonDrive®, Etc.

6.3.4.6 E vedado o uso de soluções corporativas na nuvem não

homologadas pelo Departamento de Segurança da Informação;




6.3.4.7 É proibido o acesso a sites de conteúdo ideológico ou pragmático

que possam vincular a CRC a quaisquer correntes políticas

ideológicas;

6.3.4.8 É expressamente proibido o acesso a sites de conteúdo

pornográfico, conteúdo racista, apologia ao uso de drogas e

armas, relacionamento e qualquer categoria que seja fora dos

interesses da empresa;

6.3.5 A rede WiFi Visitante é exclusiva para Visitantes e Clientes da CRC, sem

acesso a rede da CRC, sendo vetado o uso para colaboradores;

6.3.6 É proibida a distribuição proposital de vírus (malwares, trojans, phishing,

exploits, etc.) e atividades SPAM por meio das contas de correio eletrônico

da empresa;

6.3.7 É proibida a conexão de dispositivos portáteis (pen drives, mp3, mp4 e

celulares, dentre outros) nos computadores da empresa;

6.3.8 Informações confidenciais da empresa não podem ser transportadas em

qualquer meio (CD, DVD, disquete, pen-drive, e-mail, papel etc.) sem as

devidas autorizações e proteções;

6.3.9 Será considerado fraude a tentativa de burlar de qualquer forma os

controles de acesso a recursos tecnológicos ou acessos a Internet, para

fins particulares ou corporativos;

6.3.10 É proibido o envio de informações ou documentos que tiveram origem na

empresa para contas de e-mail ou qualquer outro meio de

armazenamento pessoal, considerando que qualquer documento criado

ou alterado mesmo que parcialmente nos computadores ou dependências

da empresa passam a ser de propriedade intelectual da companhia;

6.3.11 É proibida a utilização de quaisquer equipamentos informatizados que não

seja de propriedade da empresa para exercer as atividades do

colaborador;

6.3.12 É proibida a troca e a tentativa de reparação de equipamentos

informatizados da empresa, cabendo estes trabalhos ao Departamento de

Tecnologia da Informação;

6.3.13 É proibido permitir o acesso de pessoas estranhas em qualquer

dependência da empresa, sem autorização prévia;

6.3.14 O acesso às dependências da empresa com quaisquer equipamentos de

gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só

pode ser feito a partir de autorização da área de Segurança Patrimonial e

mediante supervisão. Exceto para eventos e treinamentos organizados

pela própria empresa;

6.3.15 Em relação a mídias sociais particulares, a CRC se reserva o direito de:

6.3.15.1 Não é permitida a publicação de informações confidenciais da

CRC, salvo as publicações de informações corporativas

classificadas como públicas;




6.3.15.2 Evitar o uso de fotografias / selfies no interior da empresa que

possa comprometer informações sigilosas da empresa.

7. DIRETRIZES DE NÍVEL DE SEGURANÇA Com base na análise dos riscos e ameaças inerentes à Segurança da Informação, a CRC

definiu o nível de segurança necessário para a proteção das informações e a condução de seu

negócio de acordo, não só com a regulamentação vigente, como também com as melhores

práticas do mercado, para tanto foram consideradas:

7.1 Garantia de Elementares de Segurança da Informação

1. A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário

necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente (salvo

em manutenções programadas);

2. A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos do

desempenho da função;

3. A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.

4. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos

dados e aos colaboradores na operação especifica.

7.2 Política de senhas

Para a definição da política de senhas da CRC a Departamento de Segurança da

Informação em conjunto com a Departamento de Tecnologia da Informação ponderou as

principais ameaças e eventuais desconfortos que a empresa e seus colaboradores estariam

suscetíveis.

Portanto foram adotadas as seguintes regras:

7.2.1 Período de expiração

7.2.2 Fica definido o prazo de validade de no máximo 35 dias, sendo o usuário

obrigado a renovar a senha durante esse período.

7.2.3 Composição da senha deverá ser conforme estabelecido abaixo,

atendendo no mínimo três condições a seguir:

TIPO DE USUÁRIO Comprimento Minúsculas Maiúsculas Números Caracteres especiais

COLABORADOR 8 caracteres abcdef... ABCDEF... 01233456... !@#$%....

ADMINISTRADORES 15 caracteres abcdef... ABCDEF... 01233456... !@#$%....

7.2.4 Senhas que não podem ser utilizadas:

7.2.4.1 As doze últimas senhas definidas;

7.2.4.2 Senhas com vínculo ao login ou nome.

7.2.5 Bloqueio de senha




7.2.5.1 Caso uma senha seja digitada de forma errada mais de quatro vezes

em um intervalo de 30 minutos a senha do usuário será BLOQUEADA.

Automaticamente será desbloqueada dentro de quinze minutos ou em

solicitação ao departamento de TI.

Cabe ressaltar que, tão importante quanto às regras definidas para o uso das senhas, é

a conscientização de todos os colaboradores quanto à correta utilização e as responsabilidades

implícitas no conhecimento das mesmas.

7.3 Política de Backup

O Departamento de Segurança da Informação da CRC é responsável por auditar as

rotinas de backup. De forma resumida para os seguintes cenários:

I. Servidor de Arquivos (file-server, configurações, sistema operacional, ad, etc.);

II. Banco de Dados de Sistemas;

III. Arquivos de configurações de servidores e equipamentos de redes;

IV. Gravações de todas as ligações telefônicas da empresa;

Todas as diretrizes pertinentes a Política de Backup estão estabelecido no documento

oficial “Política de Backup”.

7.4 Política de tela e mesa limpa

Para reduzir os riscos de acesso não autorizado, perda de informações ou danos às

informações durante e fora do horário de expediente em papéis ou mídias de armazenamento

removível, como também computadores logados e ausentes, devemos considerar os seguintes

controles:

I. Onde apropriado, os papéis (relatórios) e mídia eletrônica devem ser

armazenados em armários trancados adequados e/ou em outras formas de

mobiliário de segurança, quando não estiverem em uso, especialmente fora do

horário do expediente.

II. Informações sensíveis ou críticas para o negócio devem ser trancadas em local

separado (idealmente em um armário ou cofre à prova de fogo) quando não

necessárias, especialmente quando o escritório fica vazio.

III. Computadores pessoais e terminais de computador e impressoras não devem

ser deixados “logados” quando não houver um operador (usuário) junto e

devem ser protegidos por key locks, senhas e outros controles quando não

estiverem em uso.

IV. Informações sensíveis ou confidenciais, quando impressas, devem ser retiradas

da impressora imediatamente;

V. Mantenha uma política de “mesa limpa” retirando papeis, anotações e

lembretes da sua mesa de trabalho;

VI. Ao final do dia, ou no caso de ausência prolongada, limpar a mesa de trabalho;

VII. Descarte os itens referente a informações do cliente interno ou de

propriedade em picotadoras de papeis.




8. GESTÃO DE ACESSOS Todo controle de acessos aos ambientes lógicos da CRC é definido pelo Departamento

de Segurança da Informação, com referencia a matriz de acessos em conjunto com as áreas de

Gestão Operacional, Recursos Humanos e Tecnologia da Informação, sendo esta última a

responsável pela viabilização dos acessos.

Os controles definidos para a gestão dos acessos contemplam os seguintes itens:

8.1.1 Requerimento para Concessão de Acessos;

8.1.2 Preenchimento da Matriz de Acesso, caso seja uma área ou cargo não

previamente definido;

8.1.3 Termo de compromisso para com a Política de Segurança da Informação;

8.1.4 Processo de revisão periódica dos acessos concedidos.

8.2 Procedimento de concessão

Para novos colaboradores a área de Recursos Humanos, anexa o formulário de

requisição de acessos via sistema interno de registro de incidentes. De posse da informação o

Departamento de Segurança da Informação verifica as solicitações junto com o gestor do

colaborador e aciona o Departamento de Tecnologia da Informação para criação dos acessos

solicitados, conforme matriz de acesso.

8.3 Procedimento de alteração de acessos

As alterações de perfis de acessos devem ser solicitadas pelos gestores do respectivo

colaborador por meio chamado anexando o formulário de concessão de acessos para

Segurança da Informação, que a mesma acionará a Tecnologia da Informação para alteração

dos acessos, conforme matriz de acesso.

8.4 Menor privilégio

Na concessão de quaisquer acessos aos recursos, físicos ou lógicos, deve ser observado o princípio do menor privilégio, que consiste em conceder somente os acessos e recursos estritamente necessários ao desempenho das atividades autorizadas.

8.5 Requerimento de concessão de acesso

A concessão de acessos deverá seguir o fluxo de atendimento, utilizando o “triare”.

Esta demanda é realizada diretamente pela equipe de gestão de pessoas.

8.6 Procedimento de bloqueio e cancelamento de acessos

Bloqueios e cancelamentos de acessos são efetuados a pedido do Departamento

Pessoal, em caso de desligamento, afastamento e/ou promoção de profissionais. A efetivação

do bloqueio é feito pelo Departamento de Tecnologia da Informação e Produtividade.

8.7 Matriz de acesso

A matriz de acesso é uma tabela elencando todos os sistemas da empresa, para

atribuir os acessos para exercício da função. Caso seja uma área nova ou sistema novo será

feito uma nova matriz de acesso com o proprietário da informação.




9. CONFIDENCIALIDADE Considerando que para bom e fiel desempenho das atividades da CRC faz-se

necessária, a disponibilização de informações confidenciais, para execução das atividades operacionais ou de área técnicas, tais informações são classificadas como confidencial, restrita, uso interno e público.

9.1 Definição dos termos de confidencialidade

São consideradas informações CONFIDENCIAIS, para os fins desta Política, quaisquer informações das partes consideradas não disponíveis ao público ou reservadas, dados, especificações técnicas, desenhos, manuais, esboços, modelos, dados de contratantes, dados cadastrais, amostras, materiais promocionais, projetos, estudos, documentos e outros papéis de qualquer natureza, tangíveis ou em formato eletrônico, arquivos em quaisquer meio, programas e documentação de computador, comunicações por escrito, verbalmente ou de outra forma reveladas à CRC e/ou obtidas pelo Correspondente em decorrência da execução do contrato de prestação de serviços de correspondentes no país. Todas as informações a fim de cobrança enviadas por nossos contratantes (mailing) são classificadas como CONFIDENCIAIS, desta forma, estando autorizados a utilizar exclusivamente para fins laborais.

As informações Restritas são informações disponíveis para um ou um grupo de colaboradores, determinados por ACLs. Estas informações não devem ser repassadas de forma aberta ou sem critérios de restrições. Exemplos: projetos, projeção de crescimento, propostas, contratos, informações pessoais de colaboradores, como CPF, salario, informações financeiras, endereços, etc.

As informações de Uso interno são as que circulam dentro da empresa de forma livre

com intenção de comunicação, informações, entre outros. Como por exemplo: e-mails (desde que não contenha informações confidenciais), jornais internos, comunicação de endomarketing, etc.

Já as informações Públicas são aquelas que não se categorizam como confidencial restrita ou de uso interno. Pois já foram publicadas oficialmente de forma livre nos meios oficiais de comunicação. Como por exemplo: informações disponíveis na internet, jornais, impressos, redes sociais em nome da CRC, aquelas que já eram de conhecimento público sem culpa do funcionário; aquelas informações que já não são tratadas como confidencial.




9.2 Diretrizes do Termo de confidencialidade

Todas as informações técnicas ou operacionais obtidas através da relação de emprego com a CRC e relacionadas a projeto, especificação, funcionamento, organização ou desempenho da referida empresa serão tidas como CONFIDENCIAIS E SIGILOSAS. PARÁGRAFO ÚNICO: Serão consideradas para efeito deste termo toda e qualquer informação, patenteada ou não, de natureza técnica, operacional, comercial, jurídica, Know-how, invenções, processos, fórmulas e designs, patenteáveis ou não, sistemas de produção, logística e layouts, planos de negócios, métodos de contabilidade, técnicas e experiências acumuladas, documentos, códigos fonte, contratos, papéis, estudos, pareceres e pesquisas a que o funcionário tenha acesso:

9.2.1 Por qualquer meio físico (documentos, memorandos, manuscritos, fac-símile, fotografias, etc);

9.2.2 Por qualquer forma eletrônica (e-mail, cd, dvd, sistemas, servidores de arquivos, intranet, extranet, etc);

9.2.3 Oralmente.

9.3 Responsabilidades de confidencialidade

O empregado compromete-se a manter sigilo não utilizando tais informações confidenciais em proveito próprio ou alheio.

As informações confidenciais confiadas aos empregados somente poderão ser abertas a terceiro mediante consentimento prévio e por escrito da empresa, ou em caso de determinação judicial, nesta hipótese o empregado deverá informar de imediato, por escrito, à empresa para que esta procure obstar e afastar a obrigação de revelar as informações.

Em hipótese alguma a ausência de manifestação expressa da CRC poderá ser interpretada como liberação de informações a domínio público.

9.4 Guarda das informações de confidencialidade

Todas as informações de confidencialidade e sigilo previstas neste termo terão validade durante toda a vigência deste instrumento, enquanto perdurar a relação de trabalho e, ainda, por um período mínimo de 02 (dois) anos do rompimento do vínculo do funcionário com a empresa.

9.5 Manuseio da informação

A segurança da informação pode auxiliar as demais áreas quanto a classificação e o manuseio da informação, seguindo as normativas da ISO 27001 como modelo.

10. BYOD – BRING YOUR OWN DEVICE A sigla para BYOD, Bring Your Own Device (traga o seu próprio aparelho, em

português), consiste na mudança das estratégias digitais da empresa para uma abordagem em

que os funcionários passam a utilizar os próprios aparelhos eletrônicos no seu dia a dia.

Para áreas de operação de cobrança via WHATSAPP®, TELEGRAM®, INSTAGRAM®,

FACEBOOK®, e quaisquer outros mensageiros instantâneos que a empresa venha a utilizar em




hipótese nenhuma devem ser realizados através de dispositivos móveis próprios ou de

terceiros, caso isso venha a ocorrer a CRC se isenta de quaisquer responsabilidades.

Para todos os fins, o Departamento de Tecnologia da Informação se reserva o direito

de gerenciar, monitorar e controlar os dispositivos móveis dentro da empresa. Todos os

dispositivos móveis BYOD estão sujeito ao monitoramento da área do Departamento de

Tecnologia da Informação que consiste em:

Informações técnicas do dispositivo e versões;

Configurações de segurança;

Localização geográfica;

Controle de trafego de dados gerado pelo dispositivo móvel BYOD.

Os dispositivos móveis BYOD autorizados dentro da empresa consente que as

informações trafegadas possam ser de propriedade da CRC, e estão sujeitos a todos os termos

desta politica incluindo os termos de confidencialidade.

Qualquer uso indevido do dispositivo móvel BYOD será desativado da rede

imediatamente sem aviso prévio.

11. MONITORAMENTO E EVENTUAIS ADVERTÊNCIAS Os sistemas, as informações e os serviços utilizados pelos usuários são de exclusiva

propriedade da CRC, não podendo ser considerados ou interpretados como de uso pessoal.

Todos os profissionais e colaboradores da empresa devem ter ciência de que o uso das

informações e dos sistemas de informação da CRC é monitorado, e que os registros assim

obtidos poderão ser utilizados para detecção de violações da Política de Segurança da

Informação de demais controles relacionados e, conforme o caso poderá servir como

evidência em processos administrativos e/ou legais.

Nos casos em que houver violação desta Política seguira o regimento interno de

Manual de Conduta na aplicação de qualquer penalidade.

12. TERMO DE CONFIDENCIALIDADE E COMPROMISSO. O termo de confidencialidade e compromisso é um documento formal, aprovado pelo

Jurídico da CRC onde estabelecem de forma legal todas as diretrizes mencionadas, como

também o efeito legal perante as leis brasileiras. O termo deverá ser assinado por todos os

colaboradores da CRC que utilizam quaisquer recursos tecnológicos da empresa.

13. PROCEDIMENTOS ADICIONAIS A CRC utiliza para gerenciar suas documentações solução interna, chamada de

“GEDOC”, onde todos os procedimentos internos, politicas, termos, formulários, entre outros




ficam documentados seguindo um processo de revisão, controle e aprovação. O Acesso ao

mesmo poderá ser feito via atalho pela Intranet da empresa.

Esta PSI é referenciada em vários documentos, procedimentos e normas internas,

segue uma listagem analítica destes documentos caso seja necessário para consulta.

CODIGO DOCUMENTO

POLSI01 Este documento – Politica de Segurança da Informação;

TERSI01 Termo de Confidencialidade e Compromisso da PSI;

REQSI01 Formulário de Requisição de Acessos;

TERSI04 Concessão de VPN para Colaboradores;

DOCSI35 Norma interna de uso de e-mail corporativo;

DOCSI37 Norma interna de uso de Internet corporativa.

POLSI10 Resposta a incidentes

14. VIGÊNCIA Esta Política de Segurança da Informação passa a vigorar a partir da data de assinatura

dos Diretores da CRC.

Após a implantação desta política, para que ela continue sendo satisfatória para a CRC,

ou melhor, para que com o tempo ela não se torne desatualizada, serão implantados controles

de melhoraria continua, ou seja, deverão ser realizadas revisões periódicas ou sempre que

acontecer uma falha de segurança de nível médio ou grave.

Rodrigo Carvalho CEO – CENTRAL DE RECUPERAÇÃO DE CRÉDITOS. Ricardo Mendes Diretor Executivo – CENTRAL DE RECUPERAÇÃO DE CRÉDITOS. Bruno Miranda Superintendente de Tecnologia da Informação – CENTRAL DE RECUPERAÇÃO DE CRÉDITOS.

POLITICA DE SEGURANÇA DA INFORMAÇÃO (POLSI01)crc.net.br/pdf/Politica de Segurança da...

Documents

Transcript of POLITICA DE SEGURANÇA DA INFORMAÇÃO (POLSI01)crc.net.br/pdf/Politica de Segurança da...