Segurança da Informação para novos funcionários

A SEGURANÇA DA INFORMAÇÃO NA EMPRESA Informação no Portal Corporativo no seguinte

Informações, os objetos que as suportam
(tecnológicos ou não) e as pessoas que as conhecem
chamamos de ativos de informação.
Proteger os ativos de informação da empresa é
responsabilidade de todos.
Proteger estes ativos também significa mantê-los
seguros contra ameaças que possam afetar sua
funcionalidade: os mesmos podem ser corrompidos,
acessados indevidamente ou até eliminados ou
furtados.
endereço:
http://portal.hypermarcas.com.br/ti/si
Em seu primeiro login na rede você
participará de um E-Learning com os
primeiros passos de segurança da
informação.
Regularmente serão feitos outros treinamentos de
forma a manter todos sempre atualizados sobre o
assunto.

Assim, a Segurança da Informação visa proteger estes

ativos com base na preservação de três princípios CONTATOS
básicos:

• Confidencialidade: Ter confidencialidade é

garantir que o que foi dito a alguém ou
escrito em algum lugar somente será
escutado ou lido por quem tiver direito.

• Integridade: Uma informação íntegra é uma

informação original que não tenha sido
alterada indevidamente (sem autorização) ou
danificada.

• Disponibilidade: Para que uma informação E-Mail:

possa ser utilizada ela precisa estar
disponível. Garantir a disponibilidade é
permitir que quem necessite da informação e
esteja autorizado a tenha no momento de
fazer uso dela.
Como você pode proteger estes ativos?
segurança.informacao@hypermarcas.com.br
Portal:
http://portal.hypermarcas.com.br/ti/si
Telefone:
(62) 3878-8352 / (62) 3878-8518

Participando de todos os treinamentos e ações da

Gerência de Segurança da Informação e conhecendo a
Em ______/______/______, tomei ciência
Política de Segurança da Informação (http://portal.
hypermarcas.com.br/institucional/Paginas/ sobre a Política de Segurança da Informação
pol_seg_hyper.aspx) e seus procedimentos. e recebi cópia do formulário de Segurança da
Informação para novos funcionários (este
Além disso, se você tiver conhecimento ou suspeitar documento).
de uma violação de segurança, você deve comunicar o
fato a seu gestor e/ou a Gerência de Segurança da Nome: _______________________________
Informação para que sejam tomadas a ações
necessárias.
_____________________________________
ONDE VOCÊ PODE ENCONTRAR AS POLÍTICAS E Assinatura
PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO?

Você também encontrará a Política, os Procedimentos

e muitas outras informações e dicas de Segurança da

Via RH
 Segurança da Informação para novos funcionários
A SEGURANÇA DA INFORMAÇÃO NA EMPRESA Informação no Portal Corporativo no seguinte
endereço:
Informações, os objetos que as suportam
(tecnológicos ou não) e as pessoas que as conhecem http://portal.hypermarcas.com.br/ti/si
chamamos de ativos de informação.
Em seu primeiro login na rede você
Proteger os ativos de informação da empresa é participará de um E-Learning com os
responsabilidade de todos. primeiros passos de segurança da
informação.
Proteger estes ativos também significa mantê-los
seguros contra ameaças que possam afetar sua
Regularmente serão feitos outros treinamentos de
funcionalidade: os mesmos podem ser corrompidos,
forma a manter todos sempre atualizados sobre o
acessados indevidamente ou até eliminados ou
furtados. assunto.

Assim, a Segurança da Informação visa proteger estes

ativos com base na preservação de três princípios CONTATOS
básicos:

• Confidencialidade: Ter confidencialidade é

garantir que o que foi dito a alguém ou
escrito em algum lugar somente será
escutado ou lido por quem tiver direito.

• Integridade: Uma informação íntegra é uma

informação original que não tenha sido
alterada indevidamente (sem autorização) ou
danificada.

• Disponibilidade: Para que uma informação E-Mail:

possa ser utilizada ela precisa estar
disponível. Garantir a disponibilidade é
permitir que quem necessite da informação e
esteja autorizado a tenha no momento de
fazer uso dela.
Como você pode proteger estes ativos?
segurança.informacao@hypermarcas.com.br
Portal:
http://portal.hypermarcas.com.br/ti/si
Telefone:
(62) 3878-8352 / (62) 3878-8518

Participando de todos os treinamentos e ações da

Gerência de Segurança da Informação e conhecendo a
Política de Segurança da Informação (http://portal.
hypermarcas.com.br/institucional/Paginas/
pol_seg_hyper.aspx) e seus procedimentos.

Além disso, se você tiver conhecimento ou suspeitar

de uma violação de segurança, você deve comunicar o
fato a seu gestor e/ou a Gerência de Segurança da
Informação para que sejam tomadas a ações
necessárias.

ONDE VOCÊ PODE ENCONTRAR AS POLÍTICAS E

PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO?

Você também encontrará a Política, os Procedimentos

e muitas outras informações e dicas de Segurança da

Via Funcionário
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 1 / 10

1. Introdução / Objetivo

Atender as regras de Segurança da Informação da empresa constitui uma das mais importantes
contribuições dos colaboradores para proteger os ativos da empresa.

Os ativos de informação englobam todas as informações da empresa, os objetos que as suportam e as

pessoas que as utilizam. Desta forma, as informações da empresa devem ser protegidas em todos os meios,
sejam eles tecnológicos, impressos e tácitos. As informações devem ser classificadas e disponibilizadas
somente a quem tenha a necessidade e autorização em virtude de sua função ou cargo e de acordo com
suas responsabilidades na companhia.

Proteger estes ativos de informação significa, também, mantê-los seguros contra ameaças que possam
afetar sua funcionalidade.

Assim, a Segurança da Informação visa proteger estes ativos com base na preservação de três princípios
básicos:

• Confidencialidade: Ter confidencialidade é garantir que o que foi dito a alguém ou escrito em
algum lugar somente será escutado ou lido por quem tiver direito.

• Integridade: Uma informação íntegra é uma informação original que não tenha sido alterada
indevidamente (sem autorização) ou danificada.

• Disponibilidade: Para que uma informação possa ser utilizada ela precisa estar disponível. Garantir
a disponibilidade é permitir que quem necessite da informação e esteja autorizado a tenha no
momento de fazer uso dela.

A fim de gerenciar estes ativos de informação da empresa, serão utilizados todos os meios tecnológicos ou
não para monitorar e controlar seu uso por todos os colaboradores, não devendo haver expectativa de
privacidade por parte dos mesmos.

Lembre-se: Todas as informações produzidas, geradas, criadas e armazenadas na empresa

e por seus colaboradores são de propriedade da companhia que as poderá usar para
qualquer propósito e em qualquer momento.

2. Escopo

Esta política abrange todos os colaboradores (funcionários, estagiários e prestadores de serviço) que
tenham qualquer tipo de acesso, tecnológico ou não, às informações da empresa.

3. Revisão

É de responsabilidade da Gerência de Governança de TI manter, disseminar e atualizar esta política

anualmente e os documentos a ela relacionados, a contar de sua data de vigência ou sempre que houver

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 2 / 10

uma mudança de qualquer natureza que se julgue necessária a revisão para refletir eventuais alterações
nos objetivos de negócios ou no ambiente de risco (ameaças de segurança e medidas de proteção para
mitigar estas ameaças).

4. Referências

• PR_17 – Procedimento de Classificação das Informações

• PR_25 – Procedimento de Controle de Acesso Lógico
• PR_16 – Procedimento de Disponibilização de Informações de Colaboradores
• PR_36 – Procedimento de Uso de Internet e E-Mail
• PR_5 – Procedimento de Gestão dos Riscos de TI
• ABNT NBR ISO/IEC 27002:2013 – Código de prática para a gestão da segurança da informação

5. Glossário

• SPAM - Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são
enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial,
esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail).
• Wi-Fi - Wi-Fi é uma marca registrada da Wi-Fi Alliance, que é utilizada por produtos certificados que
pertencem à classe de dispositivos de rede local sem fios (WLAN) baseados no padrão IEEE 802.11.
Sinônimo de Rede Local sem Fio.
• 3G - 3G é um padrão que define a terceira geração de padrões e tecnologias de telefonia móvel
(celular), substituindo o 2G. É baseado na família de normas da União Internacional de
Telecomunicações (UIT), no âmbito do Programa Internacional de Telecomunicações Móveis (IMT-
2000). No âmbito deste documento define rede de dados sem fio via celular.
• PenDrive - PenDrive ou Memória USB Flash Drive é um dispositivo de memória externa constituído
por memória flash e uma ligação USB permitindo a sua conexão a um computador ou outro
equipamento com uma entrada USB.
• HD – Hard Disk — também conhecido como disco rígido — é o item responsável pelo
armazenamento de dados permanentes (ou a longo prazo).
• Smartphone - telefone inteligente, numa tradução livre do inglês é um telefone celular com
funcionalidades avançadas que podem ser estendidas por meio de programas executados por seu
sistema operacional.
• Tablet - Também conhecido como tablet PC, é um dispositivo pessoal em formato de prancheta
que pode ser usado para acesso à Internet, organização pessoal, visualização de fotos, vídeos,
leitura de livros, jornais e revistas e para entretenimento com jogos. Apresenta uma tela sensível
ao toque (touchscreen) que é o dispositivo de entrada principal. A ponta dos dedos ou uma caneta
aciona suas funcionalidades. É um novo conceito: não deve ser igualado a um computador
completo ou um smartphone, embora possua funcionalidades de ambos.
• Trojans – (Cavalo de Tróia), é um programa que se oculta dentro de outro, legítimo, com a
finalidade de abrir uma porta para que o hacker mal intencionado tenha acesso ao computador
infectado. Ele normalmente é levado às suas vítimas através de uma mensagem de e-mail, na qual
é mascarado como uma imagem ou piada, ou por um site malicioso, que instala o Cavalo de Tróia
em um computador através de vulnerabilidades de navegadores da Web. Após sua instalação, o

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 3 / 10

Cavalo de Tróia espreita silenciosamente o computador infectado, executando ações de forma

invisível, enquanto a vítima continua com suas atividades normais.
• Phishing – termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude
eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados
financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em um
fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação
eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea,
SMS, dentre outros. Como o nome propõe (Phishing), é uma tentativa de um fraudador tentar
"pescar" informações pessoais de usuários desavisados ou inexperientes.
• Vírus – Um vírus de computador é um programa que, quando executado, se auto-replica inserindo
cópias de si mesmo em outros programas, arquivos de dados ou no setor de boot do disco rígido.
Quando a replicação é bem sucedida diz-se que estas áreas estão infectadas. Estas viroses
frequentemente trazem algum tipo de dano para as atividades dos sistemas infectados tais como:
diminuição do espaço de armazenamento dos discos rígidos, aumento da carga de processamento
dos processadores, acesso à informação privada, corrupção de dados, exibição de mensagens
políticas ou humorísticas na tela do usuário, roubo dos contatos do usuários ou captura do
conteúdo digitado.
• WEB – A World Wide Web (termo inglês que, em português, se traduz literalmente por "Teia
mundial"), também conhecida como Web ou WWW, é um sistema de documentos em hipermídia
(hipermedia) que são interligados e executados na Internet.
• OWA – (Outlook Web Access) é o serviço de webmail parte do Microsoft Exchange Server. É
utilizado para o acesso externo ao e-mail da empresa via Web.

6. Considerações Gerais

• Não há considerações gerais.

7. Diretrizes

7.1 Classificação da Informação

7.1.1. As informações devem ser classificadas para indicar a necessidade, prioridade e o nível esperado de
proteção quando do tratamento da informação.

7.1.2. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um
nível adicional de proteção ou tratamento especial. Assim, um sistema de classificação deve ser usado para
definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de
tratamento.

7.1.3. Todas as informações da empresa devem ser classificadas em termos do seu valor, requisitos legais,
sensibilidade e criticidade.

7.1.4. Na empresa as informações devem ser classificadas de acordo com os três níveis abaixo:
• Informação Pública: São aquelas que não necessitam nenhum sigilo, de livre acesso a todos os
colaboradores e público externo.

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 4 / 10

• Informação Interna: São aquelas que devem ser utilizadas somente no âmbito da empresa por seus
colaboradores. Este tipo de informação deve ser protegida do público externo.

• Informação Confidencial: São aquelas que devem ser utilizadas somente por colaboradores
autorizados e protegidas do público externo. Se divulgadas a pessoas não autorizadas podem
causar danos financeiros, à imagem, à reputação, jurídicos e de competitividade a empresa.

Para instruções de como classificar, identificar, armazenar, monitorar e descartar as informações, consulte
o procedimento PR_17 – Procedimento de Classificação das Informações.

7.2 Controle de Acesso Lógico

7.2.1. O acesso à informação, recursos de processamento das informações e processos de negócios devem
ser controlados com base nos requisitos de negócio e segurança da informação.

a. Todos os recursos de informação (Sistemas, aplicações, servidores de arquivos, etc) deverão

possuir um proprietário responsável pela concessão e revisão dos acessos às informações ali
contidas.

7.2.2. As regras de controle de acessos e direitos para cada usuário ou grupos de usuários devem
considerar os seguintes pontos:

a. Disseminação e autorização de acesso a informação, atendendo aos princípios need to know (dar
acesso somente a informação necessária) e least privilege (dar acessos e poderes absolutamente
essenciais a realização do trabalho).

b. Consistência entre controle de acesso e a classificação da informação em diferentes sistemas e

redes.

c. Legislação pertinente e qualquer obrigação contratual relativa à proteção para dados ou serviços.

d. Perfis de acesso padrões para trabalhos comuns da empresa.

e. Requisitos para autorização formal do superior imediato (alçada mínima de gerente) em pedidos de
acesso.

f. Requisitos para revisão periódica de acessos.

g. Utilização de identificador de usuário (ID de usuário) único para assegurar a responsabilidade de

cada usuário por suas ações. Não devem ser utilizados, em nenhum dos sistemas, usuários
compartilhados – inclusive contas de administrador.

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 5 / 10

É terminantemente proibido o compartilhamento de usuários e senhas de quaisquer

sistemas e aplicações de qualquer espécie sob qualquer pretexto.

h. Proibição do uso de senhas locais de administração por usuários que não exerçam funções de
suporte de Tecnologia da Informação.

i. Requisitos para que o nível de acesso concedido é apropriado ao propósito do negócio e é

consistente com esta política não comprometendo a segregação de funções.

j. Bloqueio imediato e temporário dos acessos de colaboradores em férias ou afastados.

k. Remoção imediata dos direitos de acesso de colaboradores que mudaram de cargos ou funções, ou
que deixaram a empresa.

7.2.3. Deve, ainda, ser utilizada a premissa “Tudo é proibido, a menos que expressamente permitido” na
concessão de acessos.

7.2.4. Além da atribuição de ID único aos colaboradores para acesso aos sistemas da empresa devem ser
adotadas regras de senhas conforme o procedimento PR_25 – Procedimento de Controle de Acesso Lógico.

7.3 Uso do Correio Eletrônico

7.3.1. O correio eletrônico da empresa é uma ferramenta de trabalho e deve ser utilizada somente para
este fim.

7.3.2. Poderão ser bloqueados o envio e o recebimento de mensagens que possam conter conteúdo
malicioso (vírus, trojans, phishing, etc.), de remetentes não confiáveis ou não apropriado aos negócios da
empresa.

7.3.3. Mensagens de Correio Eletrônico com informações confidenciais enviadas via internet (para
endereços externos), devem ser protegidas contra leitura ou adulteração. Desta forma, não envie
informações confidenciais por e-mail sem criptografá-las. Consulte o Anexo I (Manual de Criptografia de
Arquivos) do PR_17 – Procedimento de Classificação das Informações, para maiores informações sobre
como proteger as informações.

7.3.4. Maiores instruções sobre o uso aceitável do Correio Eletrônico e suas exceções consulte a PR_36 -
Procedimento de Uso de Internet e E-Mail.

O uso do correio eletrônico é monitorado e não deve ser esperada privacidade do

conteúdo das mensagens enviadas ou recebidas.

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 6 / 10

7.4 Uso da Internet

7.4.1. Da mesma forma que o correio eletrônico, a Internet é uma ferramenta de trabalho e tem por
finalidade a obtenção de informações relativas às atividades da empresa.

7.4.2. É proibido o uso da Internet para acessar sites ou serviços que coloquem em risco as informações da
empresa.

7.4.3. Maiores instruções sobre o uso aceitável da internet e suas exceções consulte a PR_36 -
Procedimento de Uso de Internet e E-Mail.

O uso da internet é monitorado e não deve ser esperada privacidade do histórico de

navegação ou de outros serviços utilizados.

7.5 Recursos de TI

7.5.1. Todos os equipamentos, programas e sistemas fornecidos aos colaboradores são de propriedade da
empresa e para atividades exclusivas de trabalho. É terminantemente proibido o seu uso para quaisquer
atividades não relacionadas as da empresa.

7.5.2. Os colaboradores deverão zelar pela integridade e uso adequado de todo material que lhe for
confiado, especialmente no caso de equipamentos portáteis (celulares, smartphones, tablets, notebooks,
etc.) que por suas características estão mais sujeitos a riscos de subtração ou quebras por mau uso. Em
caso de desligamento da empresa todos os equipamentos devem ser devolvidos imediatamente para a
área de TI.

7.5.3. Todas as informações da empresa devem ser gravadas nos servidores da rede. É responsabilidade
dos colaboradores realizarem cópia dos arquivos que estiverem nos equipamentos para a rede corporativa.

a. Informações de colaboradores e ex-colaboradores armazenadas em estações de trabalho ou

servidores somente poderão ser disponibilizadas a outros colaboradores mediante aprovação formal
do Diretor Estatutário hierarquicamente superior aos mesmos. Consulte o procedimento PR_16 –
Procedimento de Disponibilização de Informações de Colaboradores, para maiores informações
sobre o processo de obtenção destas informações.

Dados particulares não devem ser armazenados nos equipamentos (notebooks e

desktops), dispositivos móveis (smartphones e tablets) e na rede corporativa da empresa.
A empresa não se responsabiliza por estas informações e não irá disponibilizá-las em caso
de desligamento do colaborador.

7.5.4. As conexões às redes de dados da empresa devem seguir as seguintes regras:

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 7 / 10

a. Redes sem fio (Wi-Fi): Os equipamentos e dispositivos móveis só podem ser conectados às redes
sem fio da empresa conforme a tabela abaixo:

Corporativos Pessoais Visitantes e Fornecedores

Dispositivos Dispositivos Equipamentos e
Rede Wi-Fi Equipamentos Coletores Equipamentos
Móveis Móveis Dispositivos Móveis
Jupiter-S

Marte-S

Lua

- Permitido Equipamentos: Notebooks, Desktops e Impressoras

- Não Permitido Dispositivos Móveis: Smartphones e Tablets

b. Rede cabeada: A rede cabeada, presente em todos as unidades da empresa, é uma rede
administrativa e a ela somente podem ser conectados equipamentos corporativos (notebooks,
desktops e impressoras).

7.5.5. Dispositivos móveis (smartphones e tablets) que não sejam de propriedade da empresa não devem
ser conectados aos equipamentos corporativos para fins de sincronismo ou qualquer outro fim. O acesso
destes dispositivos s sistemas da empresa deve se limitar somente ao uso do correio eletrônico da empresa
através do acesso WEB (OWA).

7.5.6. Será permitida apenas uma conexão de rede ativa nos equipamentos (p. ex. somente rede cabeada,
somente wi-fi, somente 3G, etc.).

7.5.7. Não é autorizada a gravação de informações confidenciais em mídias removíveis de armazenamento

(USB Pendrives, CDs e DVDs graváveis e regraváveis, HDs externos, cartões de memória, etc.). A gravação
somente será autorizada para necessidades comprovadas de negócio, com aprovação do gestor e,
obrigatoriamente, criptografada ou em dispositivos criptografados.

7.5.8. Somente as equipes de TI poderão instalar programas e aplicações, desde que devidamente
homologados e licenciados pela empresa (para obter informações sobre programas homologados, entre
em contato com a equipe de TI). É proibida a instalação de quaisquer softwares particulares nos
equipamentos da empresa, mesmo que licenciados.

7.5.9. Quaisquer manutenções dos equipamentos, programas e sistemas somente poderão ser realizadas
pelo pessoal de suporte da empresa.

7.6 Monitoração de Uso e Acesso aos Sistemas

7.6.1. Serão utilizados todos os meios, tecnológicos ou não, para monitorar as atividades nos sistemas e aos
ambientes físicos da empresa.

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 8 / 10

7.6.2. Este monitoramento visa o controle e a detecção de atividades não autorizadas com as informações
da empresa e o cumprimento do disposto nesta Política e demais procedimentos relacionados à Segurança
da Informação.

7.6.3. As trilhas de auditoria (logs) de todos os sistemas e controles de acesso deverão ser mantidas por, no
mínimo, três meses on-line (consulta imediata) e cinco anos off-line (backup).

7.6.4. Estas trilhas de auditoria serão analisadas de maneira crítica diariamente a fim de detectar e alertar
as equipes de Segurança da Informação e Tecnologia da Informação sobre desvios importantes que possam
indicar a exploração de ameaças a eventuais vulnerabilidades da empresa.

7.7 Uso da Impressora

7.7.1. Papéis deixados em impressoras, lixeiras ou mídias eletrônicas desprotegidas podem conter
informações confidenciais de interesse imediato para uma pessoa mal intencionada.

7.7.2. Todos os funcionários devem compreender plenamente que descartar papéis ou mídia eletrônica em
uma lixeira, ou de abandoná-las nas impressoras podem trazer implicações tais como: - perda de
informações sensíveis (internas ou confidenciais) da empresa, ou; - que informações confidenciais sejam
vistas por pessoal não autorizado.

7.7.3. Cuidados especiais devem ser adotados durante o manuseio e divulgação das informações. Estes
cuidados são proporcionais à classificação atribuída à informação e são de inteira responsabilidade de
quem a está distribuindo, assim como, de quem a está recebendo.

7.7.4. Utilize o procedimento PR_17 – Procedimento de Classificação das Informações para obter instruções
de como armazenar, manusear, transportar e descartar as informações.

7.8 Treinamento e Conscientização

7.8.1. Todos os funcionários da empresa e, onde pertinente, fornecedores e prestadores de serviços devem
receber treinamentos apropriados em conscientização e atualizações regulares nas políticas e
procedimentos organizacionais, relevantes para as suas funções, antes de ser dado o acesso às informações
da empresa.

7.8.2. A Gerência de Governança de TI deve prover contínuo treinamento e ações de conscientização sobre
os diversos aspectos e novas ameaças a Segurança da Informação.

7.9 Aceitação das Políticas de Segurança da Informação

7.9.1. Todos os colaboradores (funcionários e estagiários) e prestadores de serviços envolvidos com

informações da empresa deverão aceitar formalmente o conhecimento e seu compromisso em cumprir
esta política e demais documentos relacionados à Segurança da Informação e suas alterações e revisões
quando publicadas e divulgadas.

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 9 / 10

7.9.2. Sem esta aceitação formal não devem ser concedidos novos acessos às informações da empresa e
bloqueados todos os acessos já concedidos.

7.10 Violações à Política de Segurança da Informação

7.10.1. Violações à Política de Segurança da Informação serão analisadas pelo Comitê de Segurança da
Informação e Riscos e as medidas disciplinares apropriadas serão indicadas para cada caso, de acordo com
a legislação vigente e a gravidade da violação.

7.10.2. Todos os colaboradores têm o dever de relatar imediatamente qualquer violação desta Política que
tiverem conhecimento, sendo que a omissão também será considerada uma violação passível de sanções
cabíveis.

7.11 Responsabilidades

7.11.1. A responsabilidade pela preservação da segurança das informações e dos recursos que as produzem
ou suportam é de todos na empresa.

7.11.2. Mesmo assim, são atribuídas regras e responsabilidades às áreas que incluem, mas não estão
limitadas ao seguinte:

a. Colaboradores (Funcionários e Prestadores de Serviços):

Entender e seguir a política e demais documentos relacionados à Segurança da Informação,

assegurando que estes preceitos sejam respeitados e cumpridos;
Identificar e classificar as informações conforme os critérios definidos por esta Política de
Segurança da Informação Corporativa;
Utilizar as informações apenas para os propósitos do negócio;
Informar imediatamente à Gerência de Governança de TI quaisquer violações / incidentes
de segurança que tiver suspeita ou conhecimento.
Consultar as áreas de Segurança da Informação e Controles Internos antes da
implementação de novos projetos e sistemas.

b. Gestores:

Solicitar e cancelar todos os acessos de funcionários sob sua gestão nas transferências
entre áreas da empresa;
Solicitar e cancelar todos os acessos de terceiros sob sua gestão na contratação,
transferências entre áreas e desligamento da empresa;
Zelar para que os colaboradores sob sua gestão cumpram todas as políticas e regras da
empresa.

c. Área de Recursos Humanos:

Aplicar sanções e penalidades a serem aplicadas nas situações em que esta política for
desrespeitada;

Visto Funcionário:________________
 Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 10 / 10

d. Gerência de Governança de TI:

Garantir que todos os colaboradores entendam e cumpram esta política e demais

documentos relacionados a Segurança da Informação;
Definir, implementar e revisar controles;
Identificar riscos inerentes e residuais de segurança;
Em conjunto com a área de Controles Internos, definir perfis e recursos para a realização
das trilhas de auditoria;
Definir os critérios e procedimentos para a realização da classificação das informações,
protegendo as mais críticas;
Avaliar os procedimentos de segurança reportando seus resultados e discutindo com os
envolvidos as melhorias necessárias;
Definir as soluções de segurança da informação antes da implementação de projetos,
sistemas e durante sua manutenção;
Elaborar programas de treinamento e conscientização visando a capacitação de todos os
colaboradores em Segurança da Informação;
Monitorar o uso da Internet e do tráfego de mensagens de correio eletrônico.
Notificar e escalar as inconformidades a esta Política e aos documentos a ela relacionados.

e. Presidentes e Diretores:

Aprovar as políticas, procedimentos e desvios às políticas de segurança da informação;

Designar, definir ou alterar as responsabilidades da área de segurança da informação;
Apoiar a implantação de soluções para minimizar os riscos;
Suportar as iniciativas da área de Segurança da Informação;
Deliberar sobre temas ou ações não definidos / incluídos em normas já publicadas.

f. Comitê de Segurança da Informação e Riscos:

Formada pelos integrantes das área de Segurança da Informação, Riscos Corporativos e

Jurídico deverão avaliar os casos de violação desta Política e indicar as medidas
disciplinares apropriadas.

8. Exceções

8.1. Exceções às regras desta Política e demais documentos relacionados a Segurança da Informação
deverão ser documentados através de Análise de Riscos, com racional detalhado do desvio, sua
necessidade para o negócio e medidas para evitar, mitigar ou aceitar o risco conforme processo descrito no
procedimento PR_5 Procedimento de Gestão dos Riscos de TI. Nos casos onde seja necessário aceitar o
risco e envolva responsabilidade civil ou riscos de processos legais, o formulário deverá ser aprovado pelo
Diretor Estatutário.

9. Anexos

• Não há anexos.

Visto Funcionário:________________