REQUISITOS DE

SEGURANÇA DA
INFORMAÇÃO
Infraestrutura & Operações

Maio-2022
 2

APRESENTAÇÃO

Desde o projeto até a entrega final, a Líder BPO & Contact Center incorpora a segurança da informação como
um requisito fundamental em sua infraestrutura de tecnologia. Dessa forma, a empresa assegura uma base
sólida para a expansão das operações e mantém serviços de alta qualidade. A Líder BPO & Contact Center
atua estrategicamente na mitigação de ameaças e na redução dos riscos inerentes ao ambiente tecnológico,
visando a proteção dos dados de seus clientes, parceiros e colaboradores. Os processos e as ações do dia a
dia na empresa também estão alinhados com as melhores práticas de segurança da informação, reforçados
em grande medida pela importância da conformidade com as leis de privacidade de dados, com destaque
para a Lei Geral de Proteção de Dados (LGPD) vigente no Brasil.

Esse relatório tem por objetivo demonstrar evidências que atendem os requisitos de segurança para
infraestrutura e operações exigidos pela TIM, antes do início das operações em contrato da Líder BPO &
Contact Center.

Neste documento foram apresentadas evidências para os seguintes requisitos de infraestrutura e processos:

§ ID(7) – Criptografe dados confidenciais em trânsito

§ ID(8) – Criptografe dados confidenciais em repouso
§ ID(11) – Implemente e gerencie um firewall em servidores físicos ou em cloud
§ ID(16) – Estabeleça um processo de concessão e revogação de acesso
§ ID(18) – Centralize o controle de acesso
§ ID(19) – Estabeleça e mantenha um processo de gerenciamento de vulnerabilidade
§ ID(21) – Corrija vulnerabilidades detectadas
§ ID(24) – Padronize a sincronização de tempo
§ ID(26) – Implante e mantenha um software anti-malware atualizado
§ ID(27) – Estabeleça e mantenha um processo de recuperação de dados
§ ID(40) – Designe pessoal para gerenciar o tratamento de incidentes
§ ID(43) – Estabeleça e mantenha um processo de resposta a incidentes
§ ID(45) – Estabeleça controle de acesso físico as dependências da organização ou, no mínimo, as
dependências consideradas críticas ou com ativos que armazenam dados confidenciais, críticos ou
sensíveis

contato@liderbpo.com.br
 3

ID(7) – CRIPTOGRAFE DADOS CONFIDENCIAIS EM TRÂNSITO

→ File Server Windows™ 2016: uso do protocolo SMB3 (file sharing) com criptografia nativa

SMB v3.1.1

contato@liderbpo.com.br
 4

ID(8) – CRIPTOGRAFE DADOS CONFIDENCIAIS EM REPOUSO

→ Gerenciamento da criptografia de disco (Bitlocker) habilitada nos endpoints (workstations e servidores)

(Kaspersky™ Security Cloud)

contato@liderbpo.com.br
 5

ID(11) – IMPLEMENTE E GERENCIE UM FIREWALL EM SERVIDORES FÍSICOS OU EM

CLOUD

→ Gerenciamento das políticas de firewall no nível do diretório corporativo (Active Directory Domain)

contato@liderbpo.com.br
 6

ID(16) – ESTABELEÇA UM PROCESSO DE CONCESSÃO E REVOGAÇÃO DE ACESSO

→ Fluxos de concessão e revogação de acesso

Processo de criação da identidade digital (conta no domínio) – admissão de novo colaborador

Processo de revogação de acessos – desligamento colaborador

contato@liderbpo.com.br
 7

Processo geral de concessão de acessos

contato@liderbpo.com.br
 8

ID(18) – CENTRALIZE O CONTROLE DE ACESSO

LÓGICO

→ Diretório corporativo (lider.bpo) e contas de usuário – Microsoft Active Directory

contato@liderbpo.com.br
 9

ID(19) – ESTABELEÇA E MANTENHA UM PROCESSO DE GERENCIAMENTO DE

VULNERABILIDADE

→ Gerenciamento de vulnerabilidades do ambiente – ManageEngine Vulnerability Manager Plus

Rotinas: Scan mensal em todo o ambiente para correção de novas vulnerabilidades ou a
qualquer tempo, sempre que forem divulgados 0-days ou falhas críticas em sistemas operacionais

Dashboard

Lista de vulnerabilidades e score de severidade

contato@liderbpo.com.br
 10

ID(21) – CORRIJA VULNERABILIDADES DETECTADAS

→ Gerenciamento de vulnerabilidades do ambiente – ManageEngine Vulnerability Manager Plus

contato@liderbpo.com.br
 11

ID(24) – PADRONIZE A SINCRONIZAÇÃO DE TEMPO

→ Enforcement do sincronismo de tempo através de política (GPO) - Fonte do relógio: Domain Server

Implante e mantenha um software anti-malware atualizado

contato@liderbpo.com.br
 12

ID(26) – IMPLANTE E MANTENHA UM SOFTWARE ANTI-MALWARE ATUALIZADO

→ Status de proteção dos dispositivos – Kaspersky Endpoint Security Cloud

contato@liderbpo.com.br
 13

ID(27) – ESTABELEÇA E MANTENHA UM PROCESSO DE RECUPERAÇÃO DE DADOS

→ Gerenciamento de cópias de segurança - Windows Server Backup

Rotina: Backup incremental diário
Processo de recuperação: Entrar em modo de recovery e restaurar o último backup ou a data desejada

Shadow Copy – Volume do File Server

contato@liderbpo.com.br
 14

ID(40) – DESIGNE PESSOAL PARA GERENCIAR O TRATAMENTO DE INCIDENTES

→ Workflow de escalação de incidentes

contato@liderbpo.com.br
 15

ID(43) – ESTABELEÇA E MANTENHA UM PROCESSO DE RESPOSTA A INCIDENTES

→ Documentação do processo de Resposta a Incidentes

contato@liderbpo.com.br
 16

OBJETIVO

Esse documento tem como objetivo apresentar o plano de resposta, os canais de comunicação e as
informações necessárias para que os incidentes envolvendo dados e informações sejam reportados
corretamente pelos colaboradores, estagiários, prestadores de serviços, parceiros, clientes ou quaisquer
usuários com acesso às informações da Líder BPO.

INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Um incidente de segurança da informação pode ser identificado através de alertas, notificações, evidências
ou circunstâncias suspeitas provocadas por falhas de segurança em sistemas de informação, processos ou
controles operacionais, causando a perda de confidencialidade, integridade e disponibilidade das
informações sob custódia da Líder BPO.

Um incidente pode ter origem em falhas humanas, falhas de tecnologia ou fatores do ambiente interno ou
externo. Para orientação dos usuários, seguem abaixo exemplos de incidentes que podem afetar a segurança
das informações:

• Compartilhar senhas, PINs ou tokens de qualquer identidade digital corporativa;

• Utilizar as credenciais de acesso de outro usuário para obter acesso aos sistemas da Líder BPO;

• Armazenamento de senhas em cadernos, agendas, arquivos de texto, planilhas eletrônicas etc.;

• Uso ou instalação de software sem licença de uso em dispositivos da Líder BPO;

• Acesso não autorizado às informações sob custódia da Líder BPO, seja através de documentos físicos,
comunicação verbal, imagem, áudio, vídeo, dados armazenados em computadores, e-mail, aplicativos
de mensagens, entre outros;

• Cópia, distribuição ou eliminação não autorizada de informações sob custódia da Líder BPO;

• Alertas ou evidências sobre a existência de código malicioso (vírus, malware etc.) em qualquer ativo
de informação utilizado na atividade profissional desenvolvida para a Líder BPO;

• Uso de técnicas maliciosas, tais como: varredura de portas (port scan), monitoração de tráfego de rede
(sniffing) etc.;

• Perda, roubo, furto ou extravio de computadores, dispositivos móveis, mídias de armazenamento

removíveis ou documentos com informações corporativas;

• Abandono de mídias removíveis de qualquer natureza (pen drives, cartões de memória, HDs portáteis,
CDs, DVDs) na empresa em salas de reunião, locais de uso compartilhado ou com livre circulação de
pessoas;

• E-mails com conteúdo duvidoso ou que geram suspeita sobre a intenção de disseminar golpes ou
roubar informações corporativas;

• Qualquer técnica ou meio utilizado para obter informações sigilosas partindo de pessoas não
identificadas ou falsamente identificadas (engenharia social).

Ações negligentes do usuário podem não provocar, de imediato, um incidente, mas favorecem a sua
ocorrência, transformando uma situação aparentemente comum em algo potencialmente grave. Os usuários

contato@liderbpo.com.br
 17

devem reforçar a atenção para a segurança das informações no seu dia a dia. Caso contrário, incidentes
podem ser gerados. Seguem abaixo exemplos de comportamentos que podem resultar em incidentes e
fragilizam a segurança das informações:

• Não realizar o bloqueio da tela do dispositivo ao se ausentar da mesa de trabalho;

• Cadastrar o e-mail corporativo ou utilizar a mesma senha da conta corporativa em portais de e-

commerce, webmail, redes sociais ou qualquer serviço na Internet com finalidade particular;

• Navegar em sites suspeitos.

CANAIS DE CONTATO - INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Visando à redução de risco às informações, seguem abaixo os canais de atendimento na Líder BPO para o
reporte de qualquer comportamento que traga risco à segurança das informações ou incidentes já
deflagrados. Em ambos os casos, o usuário deve notificar imediatamente a situação observada para a equipe
de tecnologia da informação (TI).

Após a notificação do usuário, caso a equipe de TI não confirme a abertura do chamado em até 15 minutos,
o usuário deve acionar o Gestor de TI. Na falta de confirmação do Gestor de TI, também em até 15 minutos,
o Diretor Geral da Líder BPO deve ser notificado, conforme instruções da tabela abaixo:

Canais de contato
Áreas acionadas
E-mail Telefone
Equipe de tecnologia da informação (TI)
(canal principal do usuário para o reporte de
suporteti@liderbpo.com.br (21) 98558-6998
incidentes)

Gestor de TI - Marcos Dias

(acionar o Gestor de TI quando não houver
marcos.dias@liderbpo.com.br (21) 97238-8726
confirmação de abertura do chamado pela
Equipe de TI)
Diretor Geral Líder BPO – Eduardo Braga
(acionar o Dir. Geral quando não houver
eduardobraga@rjlider.com.br (21) 98496-3990
confirmação de abertura do chamado tanto
pela Equipe de TI quanto pelo Gestor de TI)

ESCALAÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

A Equipe de TI tratará os incidentes de segurança da informação de acordo com uma escala de severidade
dividida em quatro níveis, sendo o nível 1 aquele que representa os incidentes mais graves e o nível 4 os
tipos de incidentes que geram menor impacto ao negócio. Os incidentes devem ser reportados pelo usuário,
prioritariamente, para a Equipe de TI, que fará a classificação do evento de acordo com o nível de severidade.
A Equipe de TI está encarregada de acionar esferas superiores de gestão na Líder BPO conforme a
classificação do incidente. O usuário deve atentar para os procedimentos de notificação / confirmação de
abertura de chamado descritos neste documento na seção Canais de Contato – Incidentes de Segurança da
Informação.

contato@liderbpo.com.br
 18

O Comitê de Crise da Líder BPO é formado pelo Diretor Geral da Líder BPO (Eduardo Braga), Gestor de TI
(Marcos Dias) e um representante da área de Recursos Humanos. Opcionalmente, o Gestor ou ponto focal
da área de negócio envolvida ou afetada pelo incidente pode ser trazido para o Comitê de Crise caso tenha
contribuição no processo de resposta.

Caso ocorram vazamentos de dados pessoais sob a custódia da Líder BPO, a empresa notificará os clientes,
parceiros, prestadores de serviços ou quaisquer titulares de dados envolvidos após a confirmação do evento,
em prazo razoável, desde que o evento tenha sido provocado por uma falha de segurança da informação na
Líder BPO.

A Líder BPO tem independência para contratar no mercado serviços de consultoria especializada para apoiar
a empresa em situações envolvendo incidentes de segurança e classificará como informação confidencial os
resultados de análises, testes de segurança, relatórios ou quaisquer outros artefatos derivados desses
serviços, restringindo o acesso à essas informações à Alta Direção da empresa. Apenas o Diretor Geral da
Líder BPO tem autonomia para conceder o acesso à essas informações à outras pessoas, sempre respeitando
o cumprimento da legislação vigente.
Responsável Técnico Marcos Dias
Diretor Líder BPO Eduardo Braga
Última atualização do documento MAIO/2022

contato@liderbpo.com.br
 19

ID(45) – ESTABELEÇA CONTROLE DE ACESSO FÍSICO AS DEPENDÊNCIAS DA

ORGANIZAÇÃO OU, NO MÍNIMO, AS DEPENDÊNCIAS CONSIDERADAS CRÍTICAS OU
COM ATIVOS QUE ARMAZENAM DADOS CONFIDENCIAIS, CRÍTICOS OU SENSÍVEIS

→ Sistema eletrônico de controle de acesso físico na sede da Líder BPO

contato@liderbpo.com.br