Sumário
- Introdução
- Segurança e Privacidade das Informações
- Gestão de Ativos
- Gestão de Acesso
- Segurança Física e do Ambiente
- Segurança nas Operações
- Gestão de Riscos
- Tela Limpa
- Gestão de Eventos e Incidentes
- Segurança da informação no gerenciamento de projetos
- Gestão de Mudanças
- Gestão de Continuidade do Negócio
1. Introdução
O objetivo desta Política de alto nível é definir a finalidade, a direção, os princípios e as regras básicas de gestão da segurança da informação e para garantir que as informações sejam protegidas adequadamente.
Definir as regras para o uso de controles criptográficos, bem como as regras para uso de chaves criptográficas, a fim de proteger a confidencialidade, a integridade, a autenticidade e o não repúdio das informações.
Definir as regras para impedir o acesso não autorizado às informações nos locais de trabalho, bem como as instalações e os equipamentos compartilhados.
Esta política aplica-se a todo o Sistema de gestão da segurança da informação (SGSPI), como definido no documento de escopo do SGSPI.
2. Segurança e Privacidade das Informações
A TM Tecnologia assume o compromisso com a implementação do Sistema de Gestão da Segurança e Privacidade da Informação, atendendo todos os requisitos aplicáveis das normas ISO27001 e ISO27701, compatíveis com o com o contexto da organização.
Esse comprometimento é aplicado por todos os colaboradores, lideranças e diretoria, tendo como foco não apenas a implementação do sistema, mas também a melhoria contínua, que visa manter e promover ações preventivas e corretivas constantes, baseadas em análises de dados, indicadores, não conformidades e auditorias internas.
A TM Tecnologia garante a segurança e a privacidade das informações que estão sob sua custódia, que são manipuladas ou armazenadas nos meios às quais a TM Tecnologia detém total controle administrativo, físico, lógico e legal.
A manipulação de dados é realizada conforme normas internas específicas ou conforme definido nesta política.
3. Gestão de Ativos
Os ativos da TM Tecnologia devem ser utilizados prioritariamente para os interesses e negócios da empresa.
Ativos que contém informações confidenciais devem ser registrados, armazenados, protegidos e dependendo da necessidade serão descartados, conforme legislações aplicáveis, de forma controlada.
4. Gestão de Acesso
O acesso lógico a sistemas computacionais disponibilizados pela TM Tecnologia deve ser feito de maneira identificada e controlada, observando os princípios da integridade, confidencialidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividade do acesso autorizado.
As senhas para acesso a ativos/serviços de informação ou recursos computacionais da TM Tecnologia são de uso pessoal e intransferíveis, sendo dever do usuário zelar por sua guarda e sigilo.
5. Segurança Física e do Ambiente
O acesso às dependências da TM Tecnologia deve ser feito de maneira controlada. As senhas e crachás são pessoais e intransferíveis, não podendo ser compartilhados.
Todos os colaboradores, parceiros e fornecedores são responsáveis pelas informações e dados armazenados em seus postos de trabalho (mesa e computador) e devem garantir a segurança dos mesmos.
O trabalho remoto é autorizado pela alta direção da empresa. A liberação dos acessos deve ser autorizada pelo Gestor da área, conforme definido no procedimento “Segurança física e de ambiente”.
Todos os notebooks e celulares disponibilizados pela TM Tecnologia devem ser cadastrados e configurados com identificação única, padrões de segurança e usuário responsável pelo uso, conforme definido no procedimento “Segurança física e de ambiente”.
A utilização de dispositivos móveis do próprio colaborador ou parceiros (BYOD) é autorizado pela alta direção da empresa. A liberação dos acessos deve ser autorizada pelo Gestor da área, informando quais recursos ou dados corporativos serão acessados pelo dispositivo, conforme definido no procedimento “
6. Segurança nas Operações
Comunicações:
- O correio eletrônico (e-mail) e celular disponibilizados aos colaboradores e prestadores de serviços devem ser utilizados somente para realização de atividades profissionais de interesse estritamente da TM Tecnologia. Alertas são gerados quando ocorre o recebimento de algum e-mail com vírus (MALWARE) e os colaboradores recebem alarmes de orientação
- São realizadas auditorias nas caixas de correio eletrônico e outros recursos disponibilizados pela TM Tecnologia de qualquer empregado sem prévio aviso quando forem identificadas possíveis quebras de segurança da informação
Operações:
- Os colaboradores devem assumir uma postura proativa no que diz respeito à proteção das informações e devem estar atentos a ameaças externas, bem como fraudes, roubo de informações, e acesso indevido a sistemas de informação sob responsabilidade da TM Tecnologia
- Dados considerados confidenciais ou restritos devem ser armazenados em pastas de rede, não sendo permitido o compartilhamento de pastas nos equipamentos pessoais
- Todos os dados considerados como imprescindíveis aos objetivos da TM Tecnologia devem ser protegidos através de rotinas sistemáticas e documentadas de cópia de segurança (backup), devendo ser submetidos a testes periódicos de recuperação
- O acesso à Internet concedido aos colaboradores e parceiros que utilizam a rede interna deve ser utilizado prioritariamente para os interesses e negócios da TM Tecnologia
- A utilização da Internet para interesses particulares deve ser realizada de maneira cuidadosa, não excedendo os limites da razoabilidade e dos princípios estabelecidos pela TM Tecnologia
- A TM Tecnologia poderá realizar monitoramento e controle proativos, com o objetivo de detectar atividades anômalas de processamento da informação e violações da política, das normas ou dos procedimentos de segurança da informação, mantendo a confidencialidade do processo e das informações obtidas
Aquisição, Desenvolvimento e Manutenção de Sistemas:
- Somente produtos e softwares homologados podem ser utilizados no ambiente da TM Tecnologia
- Softwares desenvolvidos pela TM Tecnologia, deverão contemplar medidas de segurança, exemplo: Testes de vulnerabilidade, testes de autenticação, controle de sessão e injeção de código
Vulnerabilidades Técnicas e Malware:
- A TM Tecnologia realiza monitoramentos periódicos para mapear as vulnerabilidades técnicas e possíveis malwares
- A TM Tecnologia utiliza software antivírus em todos os servidores corporativos, estações de trabalho e gateways
Criptografia:
- A TM Tecnologia utiliza soluções de criptografia dependendo de obrigações legais e contratuais
7. Gestão de Riscos
A TM Tecnologia conduz ações para identificar e classificar os riscos de Segurança da Informação da organização através do mapeamento das vulnerabilidades, ameaças, impacto e probabilidade de ocorrência bem como a adoção dos controles para mitigação e contingência.
8. Tela Limpa
Todos os profissionais, colaboradores e parceiros, são responsáveis pelas informações armazenados em seus postos de trabalho (mesa, computador e dispositivos móveis) e devem garantir a sua segurança, não deixando as informações confidenciais acessíveis para outras pessoas.
9. Gestão de Eventos e Incidentes
Qualquer profissional da TM Tecnologia pode identificar fragilidade de segurança da informação, observada ou suspeita, nos sistemas ou serviços em que esteja atuando.
10. Segurança da informação no gerenciamento de projetos
A TM Tecnologia garante os controles eficazes e eficientes nos projetos e nas operações.
11. Gestão de Mudanças
A TM Tecnologia controla as mudanças planejadas, analisando suas consequências e tomando ações para mitigar quaisquer efeitos adversos.
12. Gestão de Continuidade do Negócio
A TM Tecnologia possui o planejamento de continuidade de negócios, com ações e responsáveis para minimizar os impactos resultantes dos incidentes, incluindo a execução de medidas de mitigação e contingência de riscos.
