Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANÇA DA
INFORMAÇÃO
Infraestrutura & Operações
Maio-2022
2
APRESENTAÇÃO
Desde o projeto até a entrega final, a Líder BPO & Contact Center incorpora a segurança da informação como
um requisito fundamental em sua infraestrutura de tecnologia. Dessa forma, a empresa assegura uma base
sólida para a expansão das operações e mantém serviços de alta qualidade. A Líder BPO & Contact Center
atua estrategicamente na mitigação de ameaças e na redução dos riscos inerentes ao ambiente tecnológico,
visando a proteção dos dados de seus clientes, parceiros e colaboradores. Os processos e as ações do dia a
dia na empresa também estão alinhados com as melhores práticas de segurança da informação, reforçados
em grande medida pela importância da conformidade com as leis de privacidade de dados, com destaque
para a Lei Geral de Proteção de Dados (LGPD) vigente no Brasil.
Esse relatório tem por objetivo demonstrar evidências que atendem os requisitos de segurança para
infraestrutura e operações exigidos pela TIM, antes do início das operações em contrato da Líder BPO &
Contact Center.
Neste documento foram apresentadas evidências para os seguintes requisitos de infraestrutura e processos:
contato@liderbpo.com.br
3
→ File Server Windows™ 2016: uso do protocolo SMB3 (file sharing) com criptografia nativa
SMB v3.1.1
contato@liderbpo.com.br
4
contato@liderbpo.com.br
5
→ Gerenciamento das políticas de firewall no nível do diretório corporativo (Active Directory Domain)
contato@liderbpo.com.br
6
contato@liderbpo.com.br
7
contato@liderbpo.com.br
8
contato@liderbpo.com.br
9
Dashboard
contato@liderbpo.com.br
10
contato@liderbpo.com.br
11
→ Enforcement do sincronismo de tempo através de política (GPO) - Fonte do relógio: Domain Server
contato@liderbpo.com.br
12
contato@liderbpo.com.br
13
contato@liderbpo.com.br
14
contato@liderbpo.com.br
15
contato@liderbpo.com.br
16
OBJETIVO
Esse documento tem como objetivo apresentar o plano de resposta, os canais de comunicação e as
informações necessárias para que os incidentes envolvendo dados e informações sejam reportados
corretamente pelos colaboradores, estagiários, prestadores de serviços, parceiros, clientes ou quaisquer
usuários com acesso às informações da Líder BPO.
Um incidente de segurança da informação pode ser identificado através de alertas, notificações, evidências
ou circunstâncias suspeitas provocadas por falhas de segurança em sistemas de informação, processos ou
controles operacionais, causando a perda de confidencialidade, integridade e disponibilidade das
informações sob custódia da Líder BPO.
Um incidente pode ter origem em falhas humanas, falhas de tecnologia ou fatores do ambiente interno ou
externo. Para orientação dos usuários, seguem abaixo exemplos de incidentes que podem afetar a segurança
das informações:
• Utilizar as credenciais de acesso de outro usuário para obter acesso aos sistemas da Líder BPO;
• Acesso não autorizado às informações sob custódia da Líder BPO, seja através de documentos físicos,
comunicação verbal, imagem, áudio, vídeo, dados armazenados em computadores, e-mail, aplicativos
de mensagens, entre outros;
• Cópia, distribuição ou eliminação não autorizada de informações sob custódia da Líder BPO;
• Alertas ou evidências sobre a existência de código malicioso (vírus, malware etc.) em qualquer ativo
de informação utilizado na atividade profissional desenvolvida para a Líder BPO;
• Uso de técnicas maliciosas, tais como: varredura de portas (port scan), monitoração de tráfego de rede
(sniffing) etc.;
• Abandono de mídias removíveis de qualquer natureza (pen drives, cartões de memória, HDs portáteis,
CDs, DVDs) na empresa em salas de reunião, locais de uso compartilhado ou com livre circulação de
pessoas;
• E-mails com conteúdo duvidoso ou que geram suspeita sobre a intenção de disseminar golpes ou
roubar informações corporativas;
• Qualquer técnica ou meio utilizado para obter informações sigilosas partindo de pessoas não
identificadas ou falsamente identificadas (engenharia social).
Ações negligentes do usuário podem não provocar, de imediato, um incidente, mas favorecem a sua
ocorrência, transformando uma situação aparentemente comum em algo potencialmente grave. Os usuários
contato@liderbpo.com.br
17
devem reforçar a atenção para a segurança das informações no seu dia a dia. Caso contrário, incidentes
podem ser gerados. Seguem abaixo exemplos de comportamentos que podem resultar em incidentes e
fragilizam a segurança das informações:
Visando à redução de risco às informações, seguem abaixo os canais de atendimento na Líder BPO para o
reporte de qualquer comportamento que traga risco à segurança das informações ou incidentes já
deflagrados. Em ambos os casos, o usuário deve notificar imediatamente a situação observada para a equipe
de tecnologia da informação (TI).
Após a notificação do usuário, caso a equipe de TI não confirme a abertura do chamado em até 15 minutos,
o usuário deve acionar o Gestor de TI. Na falta de confirmação do Gestor de TI, também em até 15 minutos,
o Diretor Geral da Líder BPO deve ser notificado, conforme instruções da tabela abaixo:
Canais de contato
Áreas acionadas
E-mail Telefone
Equipe de tecnologia da informação (TI)
(canal principal do usuário para o reporte de
suporteti@liderbpo.com.br (21) 98558-6998
incidentes)
A Equipe de TI tratará os incidentes de segurança da informação de acordo com uma escala de severidade
dividida em quatro níveis, sendo o nível 1 aquele que representa os incidentes mais graves e o nível 4 os
tipos de incidentes que geram menor impacto ao negócio. Os incidentes devem ser reportados pelo usuário,
prioritariamente, para a Equipe de TI, que fará a classificação do evento de acordo com o nível de severidade.
A Equipe de TI está encarregada de acionar esferas superiores de gestão na Líder BPO conforme a
classificação do incidente. O usuário deve atentar para os procedimentos de notificação / confirmação de
abertura de chamado descritos neste documento na seção Canais de Contato – Incidentes de Segurança da
Informação.
contato@liderbpo.com.br
18
O Comitê de Crise da Líder BPO é formado pelo Diretor Geral da Líder BPO (Eduardo Braga), Gestor de TI
(Marcos Dias) e um representante da área de Recursos Humanos. Opcionalmente, o Gestor ou ponto focal
da área de negócio envolvida ou afetada pelo incidente pode ser trazido para o Comitê de Crise caso tenha
contribuição no processo de resposta.
Caso ocorram vazamentos de dados pessoais sob a custódia da Líder BPO, a empresa notificará os clientes,
parceiros, prestadores de serviços ou quaisquer titulares de dados envolvidos após a confirmação do evento,
em prazo razoável, desde que o evento tenha sido provocado por uma falha de segurança da informação na
Líder BPO.
A Líder BPO tem independência para contratar no mercado serviços de consultoria especializada para apoiar
a empresa em situações envolvendo incidentes de segurança e classificará como informação confidencial os
resultados de análises, testes de segurança, relatórios ou quaisquer outros artefatos derivados desses
serviços, restringindo o acesso à essas informações à Alta Direção da empresa. Apenas o Diretor Geral da
Líder BPO tem autonomia para conceder o acesso à essas informações à outras pessoas, sempre respeitando
o cumprimento da legislação vigente.
Responsável Técnico Marcos Dias
Diretor Líder BPO Eduardo Braga
Última atualização do documento MAIO/2022
contato@liderbpo.com.br
19
contato@liderbpo.com.br