Política de Segurança
da Informação -
Informática
Corporativa
SUMÁRIO
1. OBJETIVO ... 4
2. DEFINIÇÕES... 4
3. ABRANGÊNCIA ... 4
4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE ... 4
5. PRINCIPIOS DA POLITICA DE SEGURANÇA ... 5
6. OBJETIVOS DA POLITICA DE SEGURANÇA ... 5
7. DIRETRIZES ... 5
7.1 GERAL ... 5
7.2 ACESSO LÓGICO ... 6
7.2.1 DIREITO DE ACESSO ... 6
A. NORMA DE UTILIZAÇÃO DA REDE DE DADOS ... 6
B. NORMA DE UTILIZAÇÃO DA REDE SEM FIO ... 6
C. NORMA DE UTILIZAÇÃO DOS SISTEMAS ... 6
D. NORMA DE UTILIZAÇÃO DE ACESSO REMOTO ... 6
E. NORMA DE UTILIZAÇÃO DE CORREIO ELETRÔNICO ... 6
F. NORMA DE UTILIZAÇÃO DE INTERNET ... 6
7.3 AUTENTICAÇÃO E SENHAS ... 7
7.4 GESTÃO DE RISCOS DE SEGURANÇA ... 7
7.5 DISPOSITIVOS MOVEIS ... 7 7.6 TELA PROTEGIDA ... 7 7.7 MESA LIMPA ... 7 7.8 IMPRESSÃO ... 7 7.9 CLASSIFICAÇÃO DA INFORMAÇÃO ... 7 7.10ATIVOS DA INFORMAÇÃO ... 8 7.11SEGURANÇA FÍSICA ... 8
7.15GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO ... 9
7.16GESTÃO DA CONTINUIDADE DE NEGÓCIO ... 9
7.17CONFORMIDADES ... 9
8. PÁPEIS E RESPONSABILIDADES ... 10
8.1 COLABORADORES ... 10
8.2 GESTORES ... 10
8.3 SEGURANÇA DA INFORMAÇÃO ... 10
8.4 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO ... 11
8.5 ÁREA DE RECURSOS HUMANOS ... 11
9. DOCUMENTOS RELACIONADOS ... 11 10. ANEXOS ... 11 11. CONTROLE DO DOCUMENTO ... 12 11.1 HISTÓRICO DE VERSÕES ... 12 11.2 REVISÃO DO DOCUMENTO ... 12 11.3 APROVAÇÃO DO DOCUMENTO ... 12
1. OBJETIVO
A Política de Segurança da Informação tem como objetivo estabelecer as diretrizes a serem seguidas pela Informática Corporativa do Grupo Ultra relativas à adoção de normas e procedimentos relacionados à Segurança da Informação, permitindo aos colaboradores e demais partes interessadas seguirem padrões de comportamento relacionados à proteção da informação, além de declarar formalmente o seu compromisso com a proteção das informações, considerando os três pilares da segurança: confidencialidade, integridade e disponibilidade, o cumprimento dos requisitos legais e regulamentares e a busca constante pela melhoria contínua.
2. DEFINIÇÕES
Vide ISO/IEC 27000:2016
3. ABRANGÊNCIA
Esta Política aplica-se a todos seus colaboradores, terceiros, parceiros e fornecedores do Ultra.
4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE
A Política deve ser de conhecimento de todos. Sua divulgação e educação são de suma importância para o Ultra, e poderá ser divulgada ou publicada das seguintes formas:
a) impressa; b) digital; e
c) Sonora ou Áudio visual.
Cabe a Informática Corporativa juntamente com a equipe de segurança da informação, além das equipes de comunicação e recursos humanos, divulgar e definir a melhor forma de divulgação, considerando e respeitando a cultura e costumes, leis e regulamentos vigentes e evitando qualquer tipo de discriminação.
Todos os funcionários, estagiários e prestadores de serviço devem aderir formalmente ao “Termo de Adesão à Política de Segurança da Informação”, comprometendo-se a respeitar esta PSI e as normas de forma integral.
5. PRINCIPIOS DA POLITICA DE SEGURANÇA
A informação do Ultra trata-se de um ativo essencial para os negócios, portanto ela deverá ser devidamente protegida e utilizada de modo ético e seguro, garantindo confiabilidade através da proteção da:
a) Confidencialidade: Garantir que a informação não seja revelada ou esteja disponível para indivíduos, entidades e processos não autorizados;
b) Integridade: Garantir a salvaguarda da exatidão e totalidade da informação e dos métodos de processamento.
c) Disponibilidade: Garantir que a informação esteja sempre acessível e disponível quando necessário. Considerando a Prontidão: Ser acessível sempre que necessária, a Continuidade: Manter-se disponível mesmo quando houverem falhas nos sistemas, e a Robustez: Atender a todos os usuários do sistema sem que haja uma degradação que comprometa o resultado.
6. OBJETIVOS DA POLITICA DE SEGURANÇA
Para endereçar todo o esforço e manutenção necessária para a Segurança da Informação, o Ultra estabelece os seguintes objetivos:
a) Uma estrutura de Gestão da Segurança da Informação será estabelecida e mantida com apoio da Direção, através de um Sistema de Gestão de Segurança da Informação (SGSI);
b) A conscientização dos colaboradores deve ser realizada com objetivo de manter e melhorar o nível de segurança da informação no Ultra;
c) A identificação de cada colaborador do Ultra deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
d) Os riscos deverão ser analisados, classificados e apresentados ao Comitê de Segurança da Informação que deliberará sobre o tratamento adequado para tais; e
e) Os incidentes de segurança devem ser reportados para a área de Segurança da Informação para que sejam analisados, avaliados e tratados.
7. DIRETRIZES
7.1 GERAL
A informação é conhecimento ou dados que têm valor para o negócio das empresas do Ultra. Esta informação pode ser armazenada em qualquer formato e para tanto deve ser adequadamente protegida. A informação está presente em
diversas formas e independente da forma apresentada ou do meio pela qual é compartilhada ou armazenada deve ser utilizada unicamente para a finalidade para a qual foi autorizada.
A Política de Segurança da Informação tem como principal diretriz proteger a informação de diversos tipos de ameaças, acesso, destruição, divulgação ou modificação não autorizada, para possibilitar a continuidade dos negócios minimizando os danos e maximizando o retorno dos investimentos e a oportunidade de negócios.
7.2 ACESSO LÓGICO
7.2.1 Direito de acessoA gestão de acesso para os colaboradores, terceiros, parceiros e fornecedores do Ultra é realizada pela área de Suporte seguindo as normas estabelecidas: a. Norma de Utilização da Rede de Dados
Descreve as diretrizes para o processo de autenticação para as solicitações de acesso à rede de dados, a conexão de equipamentos e etc.
b. Norma de Utilização da Rede sem Fio
Descreve sobre as diretrizes relacionadas à utilização da rede sem fio do Ultra.
c. Norma de Utilização dos Sistemas
Estabelece as diretrizes relacionadas à utilização adequada aos Sistemas do Ultra permitindo acesso apenas após a autenticação do usuário, que será formalmente solicitada pelo gestor, incluindo também neste processo as alterações, bloqueios de acesso aos sistemas, garantindo que as credenciais de acesso à rede são de uso pessoal, intransferível e de responsabilidade exclusiva do usuário.
d. Norma de Utilização de Acesso Remoto
Descreve as diretrizes de liberação de acesso à rede de dados do Ultra tanto para pessoas físicas, quanto jurídicas.
e. Norma de Utilização de Correio Eletrônico
Descreve as diretrizes de utilização adequada do correio eletrônico no Ultra.
f. Norma de Utilização de Internet
Descreve sobre as diretrizes relacionadas à utilização adequada da internet para o desenvolvimento das atividades profissionais no Ultra.
7.3 AUTENTICAÇÃO E SENHAS
Utilizar senhas de usuários de maneira pessoal e intransferível, sem compartilhamento, divulgação a terceiros ou anotações em papel. É responsabilidade do usuário autorizado qualquer ação executada com o seu login/senha. A senha deverá estar em conformidade com o documento de Definições Relacionadas a Política de Segurança adotada pelo Ultra. Não se deve utilizar senhas fracas, como baseada em nomes próprios, dados pessoais tais como nome, data de nascimento, número de documentos e etc.
7.4 GESTÃO DE RISCOS DE SEGURANÇA
Orientar sobre os métodos de gestão e análise de riscos que contribuem para a identificação, registro, classificação e monitoramento dos riscos inerentes às atividades de negócio, bem como desenvolver e aplicar as respectivas medidas de tratamento dos atuais ou novos riscos que impactem direta ou indiretamente os Serviços Essenciais de Tecnologia da Informação do Ultra.
7.5 DISPOSITIVOS MOVEIS
Define as diretrizes relacionadas à utilização dos dispositivos móveis no Ultra.
7.6 TELA PROTEGIDA
Orientar colaboradores e partes interessadas, quando aplicável a bloquear todos os equipamentos, estações de trabalho e servidores em qualquer ausência temporária evitando o uso indevido do equipamento.
7.7 MESA LIMPA
Adotar a prática de que nenhuma informação confidencial deve ser deixada à vista, seja ela em papel ou em quaisquer dispositivos, eletrônicos ou não. Especial atenção também deve ser dada quando da utilização de impressoras coletivas, recolhendo o documento impresso imediatamente.
7.8 IMPRESSÃO
Descreve sobre as diretrizes relacionadas à utilização adequada dos recursos de impressão no Ultra.
7.9 CLASSIFICAÇÃO DA INFORMAÇÃO
As informações de propriedade ou sob custódia do Ultra são rotuladas, utilizadas, armazenadas, transmitidas e descartadas conforme o nível de
classificação atribuído formalmente pela área de segurança da informação. Como diretriz o Ultra adota que todo documento não rotulado deve ser considerado de uso interno, o que significa que, fora de suas dependências deve ser tratado como confidencial. Mais detalhes sobre as regras, estão descritos na Norma de Classificação da Informação.
7.10 ATIVOS DA INFORMAÇÃO
Os ativos associados à informação e aos recursos de processamento da informação do Ultra estão identificados, inventariados e o ciclo de vida da informação.
Para cada ativo da informação está definido um proprietário que é responsável por assegurar que o mesmo seja inventariado, seja adequadamente classificado e protegido e analise criticamente as classificações e restrições de acesso, além do tratamento quando o mesmo é excluído ou destruído.
As diretrizes para utilização adequada dos ativos estão definidas na Norma de Utilização dos Ativos de Informática.
7.11 SEGURANÇA FÍSICA
O Ultra, através de sua área de Facilities, responsável pelos controles de segurança física, estabelece diretrizes a seus colaboradores, terceiros, parceiros e fornecedores acerca de acesso físico as suas instalações.
Os controles implementados de entrada e saída limitam e monitoram o acesso físico a todos os ambientes com equipamentos, datacenter e outras áreas físicas que contenham sistemas e/ou informações do Ultra.
Os controles de segurança física incluem, além do monitoramento de entradas e saídas, a proteção do ambiente e contra ameaças externas e do meio ambiente, garantindo que as pessoas envolvidas desenvolvam suas atividades em áreas seguras.
7.12 SEGURANÇA NAS OPERAÇÕES
Estabelece as diretrizes que contribuem para maior controle dos serviços de rede internas e externas, através da geração e tratamento de logs utilizados no controle e monitoração dos acessos dos componentes, recursos de redes e informações confidenciais do Ultra, contribuindo com a disponibilidade desses serviços.
7.13 SEGURANÇA NAS COMUNICAÇÕES
O Ultra estabelece as diretrizes de acesso e utilização segura dos Recursos de Tecnologia da Informação e Comunicação, baseado nas melhores práticas de segurança da informação e padrões de mercado, estabelecendo recomendações para a gestão. Desta forma, fica proibida a utilização dos Sistemas de Informação de propriedade do Ultra com o fim de realizar ações que sejam contra a legislação e normas nacionais e internacionais que podem provocar danos intencionais na rede ou outros sistemas, prejudicando de forma intencional o tráfego da rede ou o acesso a recursos.
7.14 SEGURANÇA COM FORNECEDORES
O Ultra, através de sua Norma de Gestão de Terceiros, Parceiros e Fornecedores, define as regras de segurança para tratar o acesso seguro às informações, garantindo as mesmas não sejam colocadas em risco por terceiros, parceiros e fornecedores quando da gestão da segurança da informação inadequada.
A definição de acordos com terceiros, parceiros e fornecedores são estabelecidos e documentados garantindo que não existam desentendimentos entre as partes, com relação à obrigação de ambos com os requisitos de segurança aplicáveis.
7.15 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Estabelece as diretrizes para a gestão de incidentes de Segurança da Informação do Ultra, garantindo um enfoque consistente e efetivo de gerenciamento de incidentes, assegurando que fragilidades e eventos de segurança da informação sejam detectados, registrados, investigados e sempre que possível, prevenidos. As diretrizes podem ser verificadas na Norma de Gestão de Incidentes de Segurança da Informação.
7.16 GESTÃO DA CONTINUIDADE DE NEGÓCIO
Estabelece as diretrizes para a recuperação de seus serviços e processos críticos de forma a assegurar que suas atividades consideradas essenciais continuem a ser executadas e que os serviços críticos fiquem disponíveis para o cidadão, em situação de desastre, crises ou indisponibilidades não programadas.
7.17 CONFORMIDADES
O Ultra, através de sua área Governança Financeiro e Jurídica identifica e segue toda a sua legislação aplicável que regulamenta o seu tipo de negócio, bem como os aspectos de propriedade intelectual.
O Ultra também garante que utiliza somente softwares e licenças oficiais, homologadas e autorizadas pela equipe de TI para não infringir direitos de propriedade intelectual e autoral de fabricantes e seus representantes. A informação deverá ser utilizada com senso de responsabilidade e de modo ético e seguro por todos, em benefício exclusivo dos negócios;
O Ultra reserva-se o direito de monitorar e registrar todo o uso das informações geradas, armazenadas ou veiculadas na empresa. Para tanto serão criados e implantados controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos;
8. PÁPEIS E RESPONSABILIDADES
8.1 COLABORADORES
Conhecer e cumprir a Política de Segurança da Informação na íntegra; Relatar ocorrências ou suspeitas de incidentes de segurança ao comitê de
segurança.
8.2 GESTORES
Ser agente multiplicador, informando, incentivando e conscientizando cada usuário a cumprir a Política de Segurança da Informação;
Informar ao prestador de serviço no momento da contratação, sobre o conhecimento e aceite da Política de Segurança da Informação.
8.3 SEGURANÇA DA INFORMAÇÃO
Conduzir as atividades do Sistema de Gestão de Segurança da Informação na Informática Corporativa;
Disponibilizar o acesso e monitorar as informações;
Revisar e atualizar os documentos que compõem a Política de Segurança da Informação;
Conscientizar e orientar os usuários em relação à Política de Segurança da Informação;
Coordenar ações corretivas ou de melhoria que visam atender requisitos de segurança provenientes de auditorias, análises de vulnerabilidades e incidentes de segurança;
Encaminhar os incidentes de segurança ao comitê de segurança;
8.4 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO
Coordenar as atividades do Comitê Gestor de Segurança da Informação conforme previsto em norma;
8.5 ÁREA DE RECURSOS HUMANOS
Informar aos funcionários e estagiários no momento da contratação, sobre o conhecimento e aceite da Política de Segurança da Informação.
9. DOCUMENTOS RELACIONADOS
Norma de Gestão de Riscos de Segurança; Comitê Gestor de Segurança da Informação; Política de Segurança da Informação;
Norma ISO/IEC 27001:2013 Norma ISO/IEC 27000:2016
10. ANEXOS
11. CONTROLE DO DOCUMENTO
Versão Original http://intranet.ultra.corp/si
Emissão 06/09/2017
Área Responsável Segurança da Informação
Classificação Interna
Alterações Se você tem sugestões para alterações ou melhorias sobre este documento. Por favor, entre em contato com o responsável pelo documento.
11.1 HISTÓRICO DE VERSÕES
Versão Data Autor Comentários
1 01/08/2017 Eduardo Duclos Criação do documento
11.2 REVISÃO DO DOCUMENTO
Revisão Data Revisor Comentários
11.3 APROVAÇÃO DO DOCUMENTO
Versão /Revisão Data Aprovador Assinatura
1 06/09/2017 Juliano A. Tedaldi De acordo com e-mail de (06/09/17)
