Post on 12-Nov-2018
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
2
SUMÁRIO
1. OBJETIVO .............................................................................................................. 4
2. DEFINIÇÕES.......................................................................................................... 4
3. ABRANGÊNCIA ..................................................................................................... 4
4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE .................................. 4
5. PRINCIPIOS DA POLITICA DE SEGURANÇA ....................................................... 5
6. OBJETIVOS DA POLITICA DE SEGURANÇA ......................................................... 5
7. DIRETRIZES ........................................................................................................... 5
7.1 GERAL .................................................................................................................... 5
7.2 ACESSO LÓGICO ................................................................................................... 6
7.2.1 DIREITO DE ACESSO ..................................................................................... 6
A. NORMA DE UTILIZAÇÃO DA REDE DE DADOS .................................................. 6
B. NORMA DE UTILIZAÇÃO DA REDE SEM FIO ...................................................... 6
C. NORMA DE UTILIZAÇÃO DOS SISTEMAS ........................................................... 6
D. NORMA DE UTILIZAÇÃO DE ACESSO REMOTO ................................................. 6
E. NORMA DE UTILIZAÇÃO DE CORREIO ELETRÔNICO ........................................ 6
F. NORMA DE UTILIZAÇÃO DE INTERNET ............................................................. 6
7.3 AUTENTICAÇÃO E SENHAS ................................................................................. 7
7.4 GESTÃO DE RISCOS DE SEGURANÇA .................................................................. 7
7.5 DISPOSITIVOS MOVEIS ........................................................................................ 7
7.6 TELA PROTEGIDA ................................................................................................. 7
7.7 MESA LIMPA ........................................................................................................ 7
7.8 IMPRESSÃO .......................................................................................................... 7
7.9 CLASSIFICAÇÃO DA INFORMAÇÃO .................................................................... 7
7.10ATIVOS DA INFORMAÇÃO .................................................................................. 8
7.11SEGURANÇA FÍSICA ............................................................................................. 8
7.12SEGURANÇA NAS OPERAÇÕES ........................................................................... 8
7.13SEGURANÇA NAS COMUNICAÇÕES ................................................................... 9
7.14SEGURANÇA COM FORNECEDORES ................................................................... 9
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
3
7.15GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO .......................... 9
7.16GESTÃO DA CONTINUIDADE DE NEGÓCIO ....................................................... 9
7.17CONFORMIDADES ............................................................................................... 9
8. PÁPEIS E RESPONSABILIDADES ........................................................................ 10
8.1 COLABORADORES .............................................................................................. 10
8.2 GESTORES ............................................................................................................ 10
8.3 SEGURANÇA DA INFORMAÇÃO ......................................................................... 10
8.4 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO ...................................... 11
8.5 ÁREA DE RECURSOS HUMANOS ........................................................................ 11
9. DOCUMENTOS RELACIONADOS ...................................................................... 11
10. ANEXOS .............................................................................................................. 11
11. CONTROLE DO DOCUMENTO ........................................................................... 12
11.1 HISTÓRICO DE VERSÕES .................................................................................. 12
11.2 REVISÃO DO DOCUMENTO .............................................................................. 12
11.3 APROVAÇÃO DO DOCUMENTO ....................................................................... 12
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
4
1. OBJETIVO
A Política de Segurança da Informação tem como objetivo estabelecer as
diretrizes a serem seguidas pela Informática Corporativa do Grupo Ultra
relativas à adoção de normas e procedimentos relacionados à Segurança da
Informação, permitindo aos colaboradores e demais partes interessadas
seguirem padrões de comportamento relacionados à proteção da informação,
além de declarar formalmente o seu compromisso com a proteção das
informações, considerando os três pilares da segurança: confidencialidade,
integridade e disponibilidade, o cumprimento dos requisitos legais e
regulamentares e a busca constante pela melhoria contínua.
2. DEFINIÇÕES
Vide ISO/IEC 27000:2016
3. ABRANGÊNCIA
Esta Política aplica-se a todos seus colaboradores, terceiros, parceiros e
fornecedores do Ultra.
4. DIVULGAÇÃO E DECLARAÇÃO DE RESPONSABILIDADE
A Política deve ser de conhecimento de todos. Sua divulgação e educação são de
suma importância para o Ultra, e poderá ser divulgada ou publicada das
seguintes formas:
a) impressa;
b) digital; e
c) Sonora ou Áudio visual.
Cabe a Informática Corporativa juntamente com a equipe de segurança da
informação, além das equipes de comunicação e recursos humanos, divulgar e
definir a melhor forma de divulgação, considerando e respeitando a cultura e
costumes, leis e regulamentos vigentes e evitando qualquer tipo de
discriminação.
Todos os funcionários, estagiários e prestadores de serviço devem aderir
formalmente ao “Termo de Adesão à Política de Segurança da Informação”,
comprometendo-se a respeitar esta PSI e as normas de forma integral.
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
5
5. PRINCIPIOS DA POLITICA DE SEGURANÇA
A informação do Ultra trata-se de um ativo essencial para os negócios, portanto
ela deverá ser devidamente protegida e utilizada de modo ético e seguro,
garantindo confiabilidade através da proteção da:
a) Confidencialidade: Garantir que a informação não seja revelada ou esteja
disponível para indivíduos, entidades e processos não autorizados;
b) Integridade: Garantir a salvaguarda da exatidão e totalidade da informação
e dos métodos de processamento.
c) Disponibilidade: Garantir que a informação esteja sempre acessível e
disponível quando necessário. Considerando a Prontidão: Ser acessível sempre
que necessária, a Continuidade: Manter-se disponível mesmo quando
houverem falhas nos sistemas, e a Robustez: Atender a todos os usuários do
sistema sem que haja uma degradação que comprometa o resultado.
6. OBJETIVOS DA POLITICA DE SEGURANÇA
Para endereçar todo o esforço e manutenção necessária para a Segurança da
Informação, o Ultra estabelece os seguintes objetivos:
a) Uma estrutura de Gestão da Segurança da Informação será estabelecida e
mantida com apoio da Direção, através de um Sistema de Gestão de Segurança
da Informação (SGSI);
b) A conscientização dos colaboradores deve ser realizada com objetivo de
manter e melhorar o nível de segurança da informação no Ultra;
c) A identificação de cada colaborador do Ultra deve ser única, pessoal e
intransferível, qualificando-o como responsável pelas ações realizadas;
d) Os riscos deverão ser analisados, classificados e apresentados ao Comitê de
Segurança da Informação que deliberará sobre o tratamento adequado para
tais; e
e) Os incidentes de segurança devem ser reportados para a área de Segurança
da Informação para que sejam analisados, avaliados e tratados.
7. DIRETRIZES
7.1 GERAL
A informação é conhecimento ou dados que têm valor para o negócio das
empresas do Ultra. Esta informação pode ser armazenada em qualquer formato
e para tanto deve ser adequadamente protegida. A informação está presente em
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
6
diversas formas e independente da forma apresentada ou do meio pela qual é
compartilhada ou armazenada deve ser utilizada unicamente para a finalidade
para a qual foi autorizada.
A Política de Segurança da Informação tem como principal diretriz proteger a
informação de diversos tipos de ameaças, acesso, destruição, divulgação ou
modificação não autorizada, para possibilitar a continuidade dos negócios
minimizando os danos e maximizando o retorno dos investimentos e a
oportunidade de negócios.
7.2 ACESSO LÓGICO
7.2.1 Direito de acesso
A gestão de acesso para os colaboradores, terceiros, parceiros e fornecedores
do Ultra é realizada pela área de Suporte seguindo as normas estabelecidas:
a. Norma de Utilização da Rede de Dados
Descreve as diretrizes para o processo de autenticação para as solicitações
de acesso à rede de dados, a conexão de equipamentos e etc.
b. Norma de Utilização da Rede sem Fio
Descreve sobre as diretrizes relacionadas à utilização da rede sem fio do
Ultra.
c. Norma de Utilização dos Sistemas
Estabelece as diretrizes relacionadas à utilização adequada aos Sistemas
do Ultra permitindo acesso apenas após a autenticação do usuário, que
será formalmente solicitada pelo gestor, incluindo também neste processo
as alterações, bloqueios de acesso aos sistemas, garantindo que as
credenciais de acesso à rede são de uso pessoal, intransferível e de
responsabilidade exclusiva do usuário.
d. Norma de Utilização de Acesso Remoto
Descreve as diretrizes de liberação de acesso à rede de dados do Ultra
tanto para pessoas físicas, quanto jurídicas.
e. Norma de Utilização de Correio Eletrônico
Descreve as diretrizes de utilização adequada do correio eletrônico no
Ultra.
f. Norma de Utilização de Internet
Descreve sobre as diretrizes relacionadas à utilização adequada da
internet para o desenvolvimento das atividades profissionais no Ultra.
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
7
7.3 AUTENTICAÇÃO E SENHAS
Utilizar senhas de usuários de maneira pessoal e intransferível, sem
compartilhamento, divulgação a terceiros ou anotações em papel. É
responsabilidade do usuário autorizado qualquer ação executada com o seu
login/senha. A senha deverá estar em conformidade com o documento de
Definições Relacionadas a Política de Segurança adotada pelo Ultra. Não se
deve utilizar senhas fracas, como baseada em nomes próprios, dados
pessoais tais como nome, data de nascimento, número de documentos e etc.
7.4 GESTÃO DE RISCOS DE SEGURANÇA
Orientar sobre os métodos de gestão e análise de riscos que contribuem
para a identificação, registro, classificação e monitoramento dos riscos
inerentes às atividades de negócio, bem como desenvolver e aplicar as
respectivas medidas de tratamento dos atuais ou novos riscos que impactem
direta ou indiretamente os Serviços Essenciais de Tecnologia da Informação
do Ultra.
7.5 DISPOSITIVOS MOVEIS
Define as diretrizes relacionadas à utilização dos dispositivos móveis no
Ultra.
7.6 TELA PROTEGIDA
Orientar colaboradores e partes interessadas, quando aplicável a bloquear
todos os equipamentos, estações de trabalho e servidores em qualquer
ausência temporária evitando o uso indevido do equipamento.
7.7 MESA LIMPA
Adotar a prática de que nenhuma informação confidencial deve ser deixada
à vista, seja ela em papel ou em quaisquer dispositivos, eletrônicos ou não.
Especial atenção também deve ser dada quando da utilização de
impressoras coletivas, recolhendo o documento impresso imediatamente.
7.8 IMPRESSÃO
Descreve sobre as diretrizes relacionadas à utilização adequada dos recursos
de impressão no Ultra.
7.9 CLASSIFICAÇÃO DA INFORMAÇÃO
As informações de propriedade ou sob custódia do Ultra são rotuladas,
utilizadas, armazenadas, transmitidas e descartadas conforme o nível de
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
8
classificação atribuído formalmente pela área de segurança da informação.
Como diretriz o Ultra adota que todo documento não rotulado deve ser
considerado de uso interno, o que significa que, fora de suas dependências
deve ser tratado como confidencial. Mais detalhes sobre as regras, estão
descritos na Norma de Classificação da Informação.
7.10 ATIVOS DA INFORMAÇÃO
Os ativos associados à informação e aos recursos de processamento da
informação do Ultra estão identificados, inventariados e o ciclo de vida da
informação.
Para cada ativo da informação está definido um proprietário que é
responsável por assegurar que o mesmo seja inventariado, seja
adequadamente classificado e protegido e analise criticamente as
classificações e restrições de acesso, além do tratamento quando o mesmo
é excluído ou destruído.
As diretrizes para utilização adequada dos ativos estão definidas na Norma
de Utilização dos Ativos de Informática.
7.11 SEGURANÇA FÍSICA
O Ultra, através de sua área de Facilities, responsável pelos controles de
segurança física, estabelece diretrizes a seus colaboradores, terceiros,
parceiros e fornecedores acerca de acesso físico as suas instalações.
Os controles implementados de entrada e saída limitam e monitoram o
acesso físico a todos os ambientes com equipamentos, datacenter e outras
áreas físicas que contenham sistemas e/ou informações do Ultra.
Os controles de segurança física incluem, além do monitoramento de
entradas e saídas, a proteção do ambiente e contra ameaças externas e do
meio ambiente, garantindo que as pessoas envolvidas desenvolvam suas
atividades em áreas seguras.
7.12 SEGURANÇA NAS OPERAÇÕES
Estabelece as diretrizes que contribuem para maior controle dos serviços de
rede internas e externas, através da geração e tratamento de logs utilizados
no controle e monitoração dos acessos dos componentes, recursos de redes
e informações confidenciais do Ultra, contribuindo com a disponibilidade
desses serviços.
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
9
7.13 SEGURANÇA NAS COMUNICAÇÕES
O Ultra estabelece as diretrizes de acesso e utilização segura dos Recursos
de Tecnologia da Informação e Comunicação, baseado nas melhores práticas
de segurança da informação e padrões de mercado, estabelecendo
recomendações para a gestão. Desta forma, fica proibida a utilização dos
Sistemas de Informação de propriedade do Ultra com o fim de realizar ações
que sejam contra a legislação e normas nacionais e internacionais que
podem provocar danos intencionais na rede ou outros sistemas,
prejudicando de forma intencional o tráfego da rede ou o acesso a recursos.
7.14 SEGURANÇA COM FORNECEDORES
O Ultra, através de sua Norma de Gestão de Terceiros, Parceiros e
Fornecedores, define as regras de segurança para tratar o acesso seguro às
informações, garantindo as mesmas não sejam colocadas em risco por
terceiros, parceiros e fornecedores quando da gestão da segurança da
informação inadequada.
A definição de acordos com terceiros, parceiros e fornecedores são
estabelecidos e documentados garantindo que não existam
desentendimentos entre as partes, com relação à obrigação de ambos com
os requisitos de segurança aplicáveis.
7.15 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Estabelece as diretrizes para a gestão de incidentes de Segurança da
Informação do Ultra, garantindo um enfoque consistente e efetivo de
gerenciamento de incidentes, assegurando que fragilidades e eventos de
segurança da informação sejam detectados, registrados, investigados e
sempre que possível, prevenidos. As diretrizes podem ser verificadas na
Norma de Gestão de Incidentes de Segurança da Informação.
7.16 GESTÃO DA CONTINUIDADE DE NEGÓCIO
Estabelece as diretrizes para a recuperação de seus serviços e processos
críticos de forma a assegurar que suas atividades consideradas essenciais
continuem a ser executadas e que os serviços críticos fiquem disponíveis para
o cidadão, em situação de desastre, crises ou indisponibilidades não
programadas.
7.17 CONFORMIDADES
O Ultra, através de sua área Governança Financeiro e Jurídica identifica e
segue toda a sua legislação aplicável que regulamenta o seu tipo de negócio,
bem como os aspectos de propriedade intelectual.
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
10
O Ultra também garante que utiliza somente softwares e licenças oficiais,
homologadas e autorizadas pela equipe de TI para não infringir direitos de
propriedade intelectual e autoral de fabricantes e seus representantes.
A informação deverá ser utilizada com senso de responsabilidade e de modo
ético e seguro por todos, em benefício exclusivo dos negócios;
O Ultra reserva-se o direito de monitorar e registrar todo o uso das
informações geradas, armazenadas ou veiculadas na empresa. Para tanto
serão criados e implantados controles apropriados e trilhas de auditoria ou
registros de atividades em todos os pontos e sistemas que a empresa julgar
necessário para reduzir os riscos;
8. PÁPEIS E RESPONSABILIDADES
8.1 COLABORADORES
Conhecer e cumprir a Política de Segurança da Informação na íntegra;
Relatar ocorrências ou suspeitas de incidentes de segurança ao comitê de
segurança.
8.2 GESTORES
Ser agente multiplicador, informando, incentivando e conscientizando
cada usuário a cumprir a Política de Segurança da Informação;
Informar ao prestador de serviço no momento da contratação, sobre o
conhecimento e aceite da Política de Segurança da Informação.
8.3 SEGURANÇA DA INFORMAÇÃO
Conduzir as atividades do Sistema de Gestão de Segurança da Informação
na Informática Corporativa;
Disponibilizar o acesso e monitorar as informações;
Revisar e atualizar os documentos que compõem a Política de Segurança
da Informação;
Conscientizar e orientar os usuários em relação à Política de Segurança da
Informação;
Coordenar ações corretivas ou de melhoria que visam atender requisitos
de segurança provenientes de auditorias, análises de vulnerabilidades e
incidentes de segurança;
Encaminhar os incidentes de segurança ao comitê de segurança;
Zelar pela segurança da informação.
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
11
8.4 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO
Coordenar as atividades do Comitê Gestor de Segurança da Informação
conforme previsto em norma;
8.5 ÁREA DE RECURSOS HUMANOS
Informar aos funcionários e estagiários no momento da contratação,
sobre o conhecimento e aceite da Política de Segurança da Informação.
9. DOCUMENTOS RELACIONADOS
Norma de Gestão de Riscos de Segurança;
Comitê Gestor de Segurança da Informação;
Política de Segurança da Informação;
Norma ISO/IEC 27001:2013
Norma ISO/IEC 27000:2016
10. ANEXOS
N/A;
Política de Segurança da Informação - InfoCorp | Versão 1.0 | Interno | Vigência: 05/09/2018
12
11. CONTROLE DO DOCUMENTO
Versão Original http://intranet.ultra.corp/si
Emissão 06/09/2017
Área Responsável Segurança da Informação
Classificação Interna
Alterações Se você tem sugestões para alterações ou melhorias sobre
este documento. Por favor, entre em contato com o
responsável pelo documento.
11.1 HISTÓRICO DE VERSÕES
Versão Data Autor Comentários
1 01/08/2017 Eduardo Duclos Criação do documento
11.2 REVISÃO DO DOCUMENTO
Revisão Data Revisor Comentários
11.3 APROVAÇÃO DO DOCUMENTO
Versão /
Revisão Data Aprovador Assinatura
1 06/09/2017 Juliano A. Tedaldi De acordo com e-mail de (06/09/17)
1 06/09/2017 Alexander J. A. Bergami De acordo com e-mail de (06/09/17)