Escolar Documentos
Profissional Documentos
Cultura Documentos
Via RH
Segurança da Informação para novos funcionários
A SEGURANÇA DA INFORMAÇÃO NA EMPRESA Informação no Portal Corporativo no seguinte
endereço:
Informações, os objetos que as suportam
(tecnológicos ou não) e as pessoas que as conhecem http://portal.hypermarcas.com.br/ti/si
chamamos de ativos de informação.
Em seu primeiro login na rede você
Proteger os ativos de informação da empresa é participará de um E-Learning com os
responsabilidade de todos. primeiros passos de segurança da
informação.
Proteger estes ativos também significa mantê-los
seguros contra ameaças que possam afetar sua
Regularmente serão feitos outros treinamentos de
funcionalidade: os mesmos podem ser corrompidos,
forma a manter todos sempre atualizados sobre o
acessados indevidamente ou até eliminados ou
furtados. assunto.
Via Funcionário
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 1 / 10
1. Introdução / Objetivo
Atender as regras de Segurança da Informação da empresa constitui uma das mais importantes
contribuições dos colaboradores para proteger os ativos da empresa.
Proteger estes ativos de informação significa, também, mantê-los seguros contra ameaças que possam
afetar sua funcionalidade.
Assim, a Segurança da Informação visa proteger estes ativos com base na preservação de três princípios
básicos:
• Confidencialidade: Ter confidencialidade é garantir que o que foi dito a alguém ou escrito em
algum lugar somente será escutado ou lido por quem tiver direito.
• Integridade: Uma informação íntegra é uma informação original que não tenha sido alterada
indevidamente (sem autorização) ou danificada.
• Disponibilidade: Para que uma informação possa ser utilizada ela precisa estar disponível. Garantir
a disponibilidade é permitir que quem necessite da informação e esteja autorizado a tenha no
momento de fazer uso dela.
A fim de gerenciar estes ativos de informação da empresa, serão utilizados todos os meios tecnológicos ou
não para monitorar e controlar seu uso por todos os colaboradores, não devendo haver expectativa de
privacidade por parte dos mesmos.
2. Escopo
Esta política abrange todos os colaboradores (funcionários, estagiários e prestadores de serviço) que
tenham qualquer tipo de acesso, tecnológico ou não, às informações da empresa.
3. Revisão
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 2 / 10
uma mudança de qualquer natureza que se julgue necessária a revisão para refletir eventuais alterações
nos objetivos de negócios ou no ambiente de risco (ameaças de segurança e medidas de proteção para
mitigar estas ameaças).
4. Referências
5. Glossário
• SPAM - Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são
enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial,
esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail).
• Wi-Fi - Wi-Fi é uma marca registrada da Wi-Fi Alliance, que é utilizada por produtos certificados que
pertencem à classe de dispositivos de rede local sem fios (WLAN) baseados no padrão IEEE 802.11.
Sinônimo de Rede Local sem Fio.
• 3G - 3G é um padrão que define a terceira geração de padrões e tecnologias de telefonia móvel
(celular), substituindo o 2G. É baseado na família de normas da União Internacional de
Telecomunicações (UIT), no âmbito do Programa Internacional de Telecomunicações Móveis (IMT-
2000). No âmbito deste documento define rede de dados sem fio via celular.
• PenDrive - PenDrive ou Memória USB Flash Drive é um dispositivo de memória externa constituído
por memória flash e uma ligação USB permitindo a sua conexão a um computador ou outro
equipamento com uma entrada USB.
• HD – Hard Disk — também conhecido como disco rígido — é o item responsável pelo
armazenamento de dados permanentes (ou a longo prazo).
• Smartphone - telefone inteligente, numa tradução livre do inglês é um telefone celular com
funcionalidades avançadas que podem ser estendidas por meio de programas executados por seu
sistema operacional.
• Tablet - Também conhecido como tablet PC, é um dispositivo pessoal em formato de prancheta
que pode ser usado para acesso à Internet, organização pessoal, visualização de fotos, vídeos,
leitura de livros, jornais e revistas e para entretenimento com jogos. Apresenta uma tela sensível
ao toque (touchscreen) que é o dispositivo de entrada principal. A ponta dos dedos ou uma caneta
aciona suas funcionalidades. É um novo conceito: não deve ser igualado a um computador
completo ou um smartphone, embora possua funcionalidades de ambos.
• Trojans – (Cavalo de Tróia), é um programa que se oculta dentro de outro, legítimo, com a
finalidade de abrir uma porta para que o hacker mal intencionado tenha acesso ao computador
infectado. Ele normalmente é levado às suas vítimas através de uma mensagem de e-mail, na qual
é mascarado como uma imagem ou piada, ou por um site malicioso, que instala o Cavalo de Tróia
em um computador através de vulnerabilidades de navegadores da Web. Após sua instalação, o
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 3 / 10
6. Considerações Gerais
7. Diretrizes
7.1.1. As informações devem ser classificadas para indicar a necessidade, prioridade e o nível esperado de
proteção quando do tratamento da informação.
7.1.2. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um
nível adicional de proteção ou tratamento especial. Assim, um sistema de classificação deve ser usado para
definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de
tratamento.
7.1.3. Todas as informações da empresa devem ser classificadas em termos do seu valor, requisitos legais,
sensibilidade e criticidade.
7.1.4. Na empresa as informações devem ser classificadas de acordo com os três níveis abaixo:
• Informação Pública: São aquelas que não necessitam nenhum sigilo, de livre acesso a todos os
colaboradores e público externo.
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 4 / 10
• Informação Interna: São aquelas que devem ser utilizadas somente no âmbito da empresa por seus
colaboradores. Este tipo de informação deve ser protegida do público externo.
• Informação Confidencial: São aquelas que devem ser utilizadas somente por colaboradores
autorizados e protegidas do público externo. Se divulgadas a pessoas não autorizadas podem
causar danos financeiros, à imagem, à reputação, jurídicos e de competitividade a empresa.
Para instruções de como classificar, identificar, armazenar, monitorar e descartar as informações, consulte
o procedimento PR_17 – Procedimento de Classificação das Informações.
7.2.1. O acesso à informação, recursos de processamento das informações e processos de negócios devem
ser controlados com base nos requisitos de negócio e segurança da informação.
7.2.2. As regras de controle de acessos e direitos para cada usuário ou grupos de usuários devem
considerar os seguintes pontos:
a. Disseminação e autorização de acesso a informação, atendendo aos princípios need to know (dar
acesso somente a informação necessária) e least privilege (dar acessos e poderes absolutamente
essenciais a realização do trabalho).
c. Legislação pertinente e qualquer obrigação contratual relativa à proteção para dados ou serviços.
e. Requisitos para autorização formal do superior imediato (alçada mínima de gerente) em pedidos de
acesso.
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 5 / 10
h. Proibição do uso de senhas locais de administração por usuários que não exerçam funções de
suporte de Tecnologia da Informação.
k. Remoção imediata dos direitos de acesso de colaboradores que mudaram de cargos ou funções, ou
que deixaram a empresa.
7.2.3. Deve, ainda, ser utilizada a premissa “Tudo é proibido, a menos que expressamente permitido” na
concessão de acessos.
7.2.4. Além da atribuição de ID único aos colaboradores para acesso aos sistemas da empresa devem ser
adotadas regras de senhas conforme o procedimento PR_25 – Procedimento de Controle de Acesso Lógico.
7.3.1. O correio eletrônico da empresa é uma ferramenta de trabalho e deve ser utilizada somente para
este fim.
7.3.2. Poderão ser bloqueados o envio e o recebimento de mensagens que possam conter conteúdo
malicioso (vírus, trojans, phishing, etc.), de remetentes não confiáveis ou não apropriado aos negócios da
empresa.
7.3.3. Mensagens de Correio Eletrônico com informações confidenciais enviadas via internet (para
endereços externos), devem ser protegidas contra leitura ou adulteração. Desta forma, não envie
informações confidenciais por e-mail sem criptografá-las. Consulte o Anexo I (Manual de Criptografia de
Arquivos) do PR_17 – Procedimento de Classificação das Informações, para maiores informações sobre
como proteger as informações.
7.3.4. Maiores instruções sobre o uso aceitável do Correio Eletrônico e suas exceções consulte a PR_36 -
Procedimento de Uso de Internet e E-Mail.
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 6 / 10
7.4.1. Da mesma forma que o correio eletrônico, a Internet é uma ferramenta de trabalho e tem por
finalidade a obtenção de informações relativas às atividades da empresa.
7.4.2. É proibido o uso da Internet para acessar sites ou serviços que coloquem em risco as informações da
empresa.
7.4.3. Maiores instruções sobre o uso aceitável da internet e suas exceções consulte a PR_36 -
Procedimento de Uso de Internet e E-Mail.
7.5 Recursos de TI
7.5.1. Todos os equipamentos, programas e sistemas fornecidos aos colaboradores são de propriedade da
empresa e para atividades exclusivas de trabalho. É terminantemente proibido o seu uso para quaisquer
atividades não relacionadas as da empresa.
7.5.2. Os colaboradores deverão zelar pela integridade e uso adequado de todo material que lhe for
confiado, especialmente no caso de equipamentos portáteis (celulares, smartphones, tablets, notebooks,
etc.) que por suas características estão mais sujeitos a riscos de subtração ou quebras por mau uso. Em
caso de desligamento da empresa todos os equipamentos devem ser devolvidos imediatamente para a
área de TI.
7.5.3. Todas as informações da empresa devem ser gravadas nos servidores da rede. É responsabilidade
dos colaboradores realizarem cópia dos arquivos que estiverem nos equipamentos para a rede corporativa.
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 7 / 10
a. Redes sem fio (Wi-Fi): Os equipamentos e dispositivos móveis só podem ser conectados às redes
sem fio da empresa conforme a tabela abaixo:
Marte-S
Lua
b. Rede cabeada: A rede cabeada, presente em todos as unidades da empresa, é uma rede
administrativa e a ela somente podem ser conectados equipamentos corporativos (notebooks,
desktops e impressoras).
7.5.5. Dispositivos móveis (smartphones e tablets) que não sejam de propriedade da empresa não devem
ser conectados aos equipamentos corporativos para fins de sincronismo ou qualquer outro fim. O acesso
destes dispositivos s sistemas da empresa deve se limitar somente ao uso do correio eletrônico da empresa
através do acesso WEB (OWA).
7.5.6. Será permitida apenas uma conexão de rede ativa nos equipamentos (p. ex. somente rede cabeada,
somente wi-fi, somente 3G, etc.).
7.5.8. Somente as equipes de TI poderão instalar programas e aplicações, desde que devidamente
homologados e licenciados pela empresa (para obter informações sobre programas homologados, entre
em contato com a equipe de TI). É proibida a instalação de quaisquer softwares particulares nos
equipamentos da empresa, mesmo que licenciados.
7.5.9. Quaisquer manutenções dos equipamentos, programas e sistemas somente poderão ser realizadas
pelo pessoal de suporte da empresa.
7.6.1. Serão utilizados todos os meios, tecnológicos ou não, para monitorar as atividades nos sistemas e aos
ambientes físicos da empresa.
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 8 / 10
7.6.2. Este monitoramento visa o controle e a detecção de atividades não autorizadas com as informações
da empresa e o cumprimento do disposto nesta Política e demais procedimentos relacionados à Segurança
da Informação.
7.6.3. As trilhas de auditoria (logs) de todos os sistemas e controles de acesso deverão ser mantidas por, no
mínimo, três meses on-line (consulta imediata) e cinco anos off-line (backup).
7.6.4. Estas trilhas de auditoria serão analisadas de maneira crítica diariamente a fim de detectar e alertar
as equipes de Segurança da Informação e Tecnologia da Informação sobre desvios importantes que possam
indicar a exploração de ameaças a eventuais vulnerabilidades da empresa.
7.7.1. Papéis deixados em impressoras, lixeiras ou mídias eletrônicas desprotegidas podem conter
informações confidenciais de interesse imediato para uma pessoa mal intencionada.
7.7.2. Todos os funcionários devem compreender plenamente que descartar papéis ou mídia eletrônica em
uma lixeira, ou de abandoná-las nas impressoras podem trazer implicações tais como: - perda de
informações sensíveis (internas ou confidenciais) da empresa, ou; - que informações confidenciais sejam
vistas por pessoal não autorizado.
7.7.3. Cuidados especiais devem ser adotados durante o manuseio e divulgação das informações. Estes
cuidados são proporcionais à classificação atribuída à informação e são de inteira responsabilidade de
quem a está distribuindo, assim como, de quem a está recebendo.
7.7.4. Utilize o procedimento PR_17 – Procedimento de Classificação das Informações para obter instruções
de como armazenar, manusear, transportar e descartar as informações.
7.8.1. Todos os funcionários da empresa e, onde pertinente, fornecedores e prestadores de serviços devem
receber treinamentos apropriados em conscientização e atualizações regulares nas políticas e
procedimentos organizacionais, relevantes para as suas funções, antes de ser dado o acesso às informações
da empresa.
7.8.2. A Gerência de Governança de TI deve prover contínuo treinamento e ações de conscientização sobre
os diversos aspectos e novas ameaças a Segurança da Informação.
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 9 / 10
7.9.2. Sem esta aceitação formal não devem ser concedidos novos acessos às informações da empresa e
bloqueados todos os acessos já concedidos.
7.10.1. Violações à Política de Segurança da Informação serão analisadas pelo Comitê de Segurança da
Informação e Riscos e as medidas disciplinares apropriadas serão indicadas para cada caso, de acordo com
a legislação vigente e a gravidade da violação.
7.10.2. Todos os colaboradores têm o dever de relatar imediatamente qualquer violação desta Política que
tiverem conhecimento, sendo que a omissão também será considerada uma violação passível de sanções
cabíveis.
7.11 Responsabilidades
7.11.1. A responsabilidade pela preservação da segurança das informações e dos recursos que as produzem
ou suportam é de todos na empresa.
7.11.2. Mesmo assim, são atribuídas regras e responsabilidades às áreas que incluem, mas não estão
limitadas ao seguinte:
b. Gestores:
Solicitar e cancelar todos os acessos de funcionários sob sua gestão nas transferências
entre áreas da empresa;
Solicitar e cancelar todos os acessos de terceiros sob sua gestão na contratação,
transferências entre áreas e desligamento da empresa;
Zelar para que os colaboradores sob sua gestão cumpram todas as políticas e regras da
empresa.
Aplicar sanções e penalidades a serem aplicadas nas situações em que esta política for
desrespeitada;
Visto Funcionário:________________
Política
Título:
Política de Segurança da Informação Corporativa
Data publicação: Diretoria: Gerência Executiva Responsável: Código da Política:
14/10/2015 TI&C Governança de TI PL_3
Versão: Fls.
3.0 10 / 10
e. Presidentes e Diretores:
8. Exceções
8.1. Exceções às regras desta Política e demais documentos relacionados a Segurança da Informação
deverão ser documentados através de Análise de Riscos, com racional detalhado do desvio, sua
necessidade para o negócio e medidas para evitar, mitigar ou aceitar o risco conforme processo descrito no
procedimento PR_5 Procedimento de Gestão dos Riscos de TI. Nos casos onde seja necessário aceitar o
risco e envolva responsabilidade civil ou riscos de processos legais, o formulário deverá ser aprovado pelo
Diretor Estatutário.
9. Anexos
• Não há anexos.
Visto Funcionário:________________