Escolar Documentos
Profissional Documentos
Cultura Documentos
OBJETIVO 3
ABRANGÊNCIA 3
CONCEITOS BÁSICOS 3
POSICIONAMENTO 6
ATRIBUIÇÕES E RESPONSABILIDADE 15
REGRAS DE CONSEQUÊNCIA 17
CONFIDENCIALIDADE 18
HISTÓRICO DE VERSÕES 19
1. OBJETIVO
A Política Corporativa de Segurança da Informação (PSI) é a incorporação lógica dos re-
quisitos de negócio da Unimed Uberlândia para segurança e controle. Objetiva estabelecer
instruções e diretrizes para assegurar a integridade, confidencialidade e disponibilidade das
informações e sistemas. Também esclarece as responsabilidades de todos os envolvidos
direta ou indiretamente com as informações da cooperativa, bem como as diretrizes a se-
rem consideradas para preservar e proteger as informações e recursos que processam e/ou
transportam estas informações.
2. ABRANGÊNCIA
Esta política abrange todas as informações, os sistemas e recursos de Tecnologia da
Informação da Unimed Uberlândia incluindo também os cooperados, conselheiros, mem-
bros dos comitês, diretores, colaboradores, estagiários, jovens aprendizes, terceiros, parcei-
ros, prestadores e fornecedores em quaisquer das dependências da Unimed ou locais onde
estes se façam presentes através da utilização, manuseio ou processamento das informa-
ções.
3. CONCEITOS BÁSICOS
I. TI – A Tecnologia da Informação (ou, em inglês, Information Technology — IT) pode ser
definida como o conjunto de todas as atividades e soluções providas por recursos compu-
tacionais que visam permitir a obtenção, o armazenamento, a proteção, o processamento, o
acesso, o gerenciamento e o uso das informações.
II. Backup – é uma cópia de segurança. O termo em inglês é muito utilizado por empre-
sas e pessoas que guardam documentos, imagens, vídeos e outros arquivos no computador
ou na nuvem.
III. Acordo de Confidencialidade NDA’S (Do inglês “Non Disclosure Agreement” (acordo
de não divulgação, em tradução livre)): é o documento formal, juridicamente respaldado,
contendo a descrição de uso permitido da informação, tempo de duração, responsabilidades
e consequências por violação do acordo.
V. COBIT: é a sigla para “Control Objectives for Information and related Technology” e
que, na prática, significa uma estrutura capaz de fornecer governança de TI. Essa estrutura
foi criada pela ISACA (Information Systems Audit and Control Association) e tem como prin-
cipal objetivo gerar valor para a empresa e para os seus processos.
VI. ISACA (Information Systems Audit and Control Association) : ISACA é uma orga-
nização sem fins lucrativos, fundada em 1969, que possui como objetivo liderar, adaptar e
garantir a confiança em ambientes digitais. Para isso oferece conhecimentos como padrões,
certificações, networking e desenvolvimento na carreira de profissionais. Oferece, também
frameworks para a gestão em tecnologia de informação e auditoria de sistemas.
VII. Networking: é um termo que vem do inglês (“net” é rede e “work” é trabalho) e sig-
nifica rede de relacionamentos ou rede de contatos. O que é networking, então: trata-se de
uma rede de pessoas que trocam informações e conhecimentos entre si.
X. User Id’s e/ou usuário: são pessoas ou organizações que utilizam um determinado
tipo de serviço e podem ser classificados segundo a área de interesse.
XVII. VPN (Virtual Private Network): é uma sigla, em inglês, para “Rede Virtual Privada”
e que, como o nome diz, funciona criando uma rede de comunicações entre computadores e
outros dispositivos que têm acesso restrito a quem tem as credenciais necessárias.
XIX. Web e-mail pessoal: é um serviço de e-mail baseado em cloud, ou seja, o servidor
disponibiliza as informações em nuvem para que o usuário acesse o conteúdo de qualquer
hardware, lugar do mundo e horário (Ex. Hotmail, Gmail ou Yahoo).
XXI. Ransomware: é um software malicioso que infecta seu computador e exibe men-
sagens exigindo o pagamento de uma taxa para fazer o sistema voltar a funcionar. Essa clas-
se de malware é um esquema de lucro criminoso, que pode ser instalado por meio de links
enganosos em uma mensagem de e-mail, mensagens instantâneas ou sites.
XXII. Autenticidade: garantia de que a informação provém de fontes seguras e que não
foi alvo de alterações e/ou modificações durante seu processo de transmissão.
4.0. POSICIONAMENTO
Considera-se como Segurança da Informação a preservação de sua autenticidade, con-
fidencialidade, integridade, disponibilidade e legalidade da Unimed Uberlândia.
A área de TI deve garantir que recursos de hardware e software, para suportar serviços
críticos, tenham características básicas de contingência e redundância, tais como:
Ficará também a cargo dos líderes imediatos da área a definição de acessos físicos às
áreas consideradas sensíveis ou limitadas da Unimed Uberlândia, devendo as liberações se-
rem autorizadas mediante a justificativa, conforme procedimento interno próprio de aces-
sos físicos (PRS GP 021 Acesso a Empresa e Segurança da Informação).
Deve-se, ao fim de sua jornada desligar a sua estação de trabalho.As áreas de acesso
físico serão classificadas e adequadas conforme procedimento próprio, ficando a cargo do
líder imediato a sua fiscalização diária, podendo a área de Segurança da Informação realizar
auditorias sempre que julgar necessário. Todos os vinculados a Unimed, conforme item 2
– abrangência desta Política, que identificarem o acesso indevido às áreas sensíveis ou de
risco deverão imediatamente tratar a situação como um incidente de segurança reportando
ao líder imediato da área o qual deverá comunicar a área de Segurança da Informação.
4.4. CRIPTOGRAFIA
As comunicações e transferências de informações entre a Unimed Uberlândia, clientes,
instituições financeiras, parceiros e fornecedores estratégicos devem ser realizadas através
de redes privadas (VPN) utilizando-se de esquemas criptográficos previamente avaliados e
aprovados pela área de Tecnologia da Informação.
Sem acordo, ou direitos autorais previamente expressos de outra forma, qualquer pro-
grama, sistema e/ou documentação gerada ou provida por colaboradores, consultores ou
contratados, em benefício da Unimed, será de propriedade dela. Os líderes imediatos são
responsáveis por assegurar esta propriedade através de assinatura de Acordo de Confiden-
cialidade (NDAs), cláusulas contratuais e outros instrumentos que tratem desta garantia.
A Política de Segurança da Informação deve fazer parte como anexo de qualquer con-
trato envolvendo a aquisição e uso de novos sistemas. O fornecedor proponente deverá
atender as condições estabelecidas neste documento para garantir a integridade, disponi-
bilidade e confidencialidade das informações.
Os riscos identificados com impacto alto ou extremo devem ser apresentados ao En-
carregado de Dados e ao Conselho de Administração da Unimed Uberlândia assim que iden-
tificados. A realização de análise de vulnerabilidades e testes de invasão periódicos deve ser
prática de responsabilidade da área de Tecnologia da Informação, informada e acompanhada
pela área de Auditoria Interna e o Encarregado de Dados e/ou área de Privacidade de Dados.
4.8. CONFORMIDADE
A conformidade com requisitos legais e contratuais é responsabilidade de todos os
colaboradores da Unimed Uberlândia. Os líderes imediatos devem identificar e observar a
legislação aplicável à Unimed Uberlândia, garantindo a adequação contratual e observância
das diretrizes de Segurança da Informação desta Política.
A produção desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil (CERT.br), que é um dos serviços prestados para a comu-
nidade Internet do Brasil pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), o
braço executivo do Comitê Gestor da Internet no Brasil (CGI.br).
O uso de dispositivos do tipo “mídia removível” (pen drives, discos externos e smar-
tphones) é expressamente proibido e as exceções devem ser autorizadas formalmente.
Auditorias internas e investigações podem ser executadas sem aviso prévio, para a ve-
rificação do atendimento das considerações que compõe e suportam esta política.
Dúvidas, sugestões e relatos de incidentes devem ser enviados para o endereço segu-
ranca@unimeduberlandia.coop.br.
5. ATRIBUIÇÕES E RESPONSABILIDADE
ATRIBUIÇÃO RESPONSÁVEL
• Aprovar esta Política;
• Cumprir as diretrizes constantes desta Política e das de- ros, parceiros, prestadores e fornecedores.
mais diretrizes de Segurança da Informação;
6.0 REGRAS DE CONSEQUÊNCIA
As consequências em caso de descumprimento destas diretrizes serão tratadas em
conformidade com o Estatuto Social, Regimento Interno, Código de Conduta e Política de
Medidas Disciplinares. Em caso de infração às políticas corporativas, o caso deverá ser re-
portado ao Canal de Conduta, o qual será apurado.
• ABNT NBR ISO /IEC 31001 –gestão de riscos –técnicas para o processo de avaliação
de riscos.
• ABNT NBR ISO /IEC 27005 –tecnologia da informação –técnicas de segurança –ges-
tão de riscos de segurança da informação.