POLÍTICA DE SEGURANÇA DIGITAL NIMBUS NETWORK
Versão 1.3
Revisado : 02/03/2021
Autor: Klaos Emboaba Lacerda
José Ricardo Maran (última revisão 30/07/2021)
Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade das informações necessárias para a realização dos negócios da NIMBUS NETWORK.
ABRANGÊNCIA
Aplica-se a todos os administradores, funcionários, estagiários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou com acesso a informações que pertençam a NIMBUS NETWORK ou a SEUS CLIENTES.
Todo e qualquer usuário de recursos computacionais da empresa tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática.
CONCEITOS
A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos:
DEFINIÇÕES
Informação: resultado do processamento e organização de dados (eletrônicos ou físicos) ou registros de um sistema.
Ativos de Informação: conjunto de informações, armazenado de modo que possa ser identificado e reconhecido como valioso para a empresa.
Sistemas de informação: de maneira geral, são sistemas computacionais utilizados pela empresa para suportar suas operações.
Segregação de funções: consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário, estagiário ou prestador de serviço detenha poderes e atribuições em desacordo com este princípio.
Grupo Gestor da Segurança da Informação: grupo composto por administradores da NIMBUS NETWORK com o objetivo de avaliar a estratégia e diretrizes de segurança da informação seguidas pela empresa.
Toda informação produzida no desenvolvimento das atividades da empresa deve ser classificada de acordo com os níveis de confidencialidade abaixo:
Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral. Por exemplo: informações disponíveis na página da Internet da NIMBUS NETWORK ou publicadas nas redes sociais.
RESPONSABILIDADES
De forma geral, cabe a todos os administradores, funcionários, estagiários e prestadores de serviços:
É dever de todos dentro da NIMBUS NETWORK:
Considerar a informação como sendo um ativo da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a NIMBUS NETWORK e deve sempre ser tratada profissionalmente.
É de responsabilidade do Gerente/Supervisor de cada área classificar a informação (relatórios, documentos, modelos, procedimentos, planilhas) gerada por sua área de acordo com o nível de confidencialidade estabelecido neste documento.
São boas práticas:
Bloquear o acesso ao computador sempre que sair da sua mesa de trabalho, mesmo que por alguns minutos;
Grupo Gestor da Segurança da Informação da NIMBUS NETWORK
Missão
Ser o gestor do processo de segurança e proteger as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade.
Equipe
Klaos Emboaba Lacerda e José Ricardo Maran
SEPARAÇÃO DOS RECURSOS DE DESENVOLVIMENTO, TESTE E DE PRODUÇÃO
Deverá ser avaliada a segregação de ambientes para a redução de riscos de acesso não autorizados, prevenção de falhas e implementação de controles.
Deverão ter em conta o seguinte:
O planejamento e preparação avançada são necessários para assegurar a disponibilidade através de uma capacidade e recursos adequados para proporcionar um comportamento que o sistema requer.
Deverão estabelecer previsões dos requisitos de capacidade futuros, para reduzir o risco de sobrecarga do sistema, devendo estar estabelecido os procedimentos de documentação, homologação, aceite e uso, requisitos operacionais de novas funcionalidades.
Deverá haver o monitoramento do uso da rede de comunicação com o objetivo de ajustar e planejar a capacidade e desempenho dos elementos de rede (routers, firewall, switches, etc.) de acordo com o desempenho esperado e redução de riscos das possíveis falhas.
DIRETRIZES GERAIS
DADOS PESSOAIS DE FUNCIONÁRIOS
A NIMBUS NETWORK se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários além daqueles relevantes na condução do seu negócio. Todos os dados pessoais dos funcionários serão considerados confidenciais.
Os dados pessoais de funcionários sob a responsabilidade da NIMBUS NETWORK não serão usados para fins diferentes daqueles para os quais foram coletados.
Dados pessoais de funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados.
PROGRAMAS ILEGAIS
É terminantemente proibido o uso de programas ilegais (software pirata) na NIMBUS NETWORK. Os usuários não podem, em hipótese alguma, instalar este tipo de programa nos equipamentos da empresa.
Periodicamente, o Grupo Gestor da Segurança da Informação da NIMBUS NETWORK fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta diretriz.
ADMISSÃO/DEMISSÃO DE COLABORADORES
O setor de RH da NIMBUS NETWORK deverá informar ao Grupo Gestor da Segurança da Informação da NIMBUS NETWORK toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou descadastrados nos sistemas da empresa. O RH deverá questionar ao setor responsável pela contratação quais sistemas e repositórios de arquivos de trabalho o novo colaborador deverá ter direito de acesso.
Essas informações deverão ser registradas e encaminhadas para o Grupo Gestor da Segurança da Informação através do “Formulário para concessão e revogação de acessos aos recursos computacionais da NIMBUS NETWORK”,
O Grupo Gestor da Segurança da Informação da NIMBUS NETWORK fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, que deverá ser trocada pelo usuário no seu primeiro acesso.
No caso de desligamento, o setor de RH deverá comunicar o fato na mesma data ao Grupo Gestor da Segurança da Informação, por meio do “Formulário para concessão e revogação de acessos aos recursos computacionais da NIMBUS NETWORK” para que todos os acessos concedidos sejam revogados.
Cabe ao setor de RH dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação da NIMBUS NETWORK.
CONCESSÃO E REVOGAÇÃO DE ACESSOS
Quando houver necessidade de concessão ou revogação de acesso aos sistemas, repositórios de arquivos de trabalho e/ou equipamentos de informática da NIMBUS NETWORK, o setor solicitante comunicará esta necessidade ao Grupo Gestor da Segurança da Informação da NIMBUS NETWORK, copiando o RH, por meio do “Formulário para concessão e revogação de acessos aos recursos computacionais da NIMBUS NETWORK”.
POLÍTICA DE SENHAS
Recomendamos que as senhas tenham sempre no mínimo de 8 (oito) caracteres alfanuméricos, contendo pelo menos uma letra maiúscula e um caractere especial.
Recomendamos que as senhas também sejam trocadas pelos usuários a cada 3 meses, não devendo se repetir as senhas definidas nos últimos 12 meses.
Sempre que um usuário é desligado da organização, todas as suas senhas e acessos são revogados no mesmo dia.
Sempre que possível terá habilitado autenticação de 2 Fatores ou Token Físico
POLÍTICA DE ACESSO AO SERVIDORES
Todo e qualquer tipo de acesso a servidor será realizado através de conexão segura através de VPN ou limitado por IP
Os administradores de servidor utilizaram Sistema Operacional Fedora Workstation e os acessos a Linux serão sempre efetuados por troca de Chave SSH RSA 2048
Todos servidores nos cuidados da NIMBUS NETWORK terão software de auditoria de acesso
ARQUIVOS DE TRABALHO
Os arquivos de trabalho, considerados dados essenciais ao desenvolvimento do negócio, são mantidos nos servidores de arquivos da NIMBUS NETWORK em sistema que permite o controle, comparação e gestão de diferentes versões, denominado Google Drive G-suite Business com Vault
São exemplos de arquivos de trabalho:
O acesso ao Drive fora das dependências da NIMBUS NETWORK é bloqueado e proibido, salvo se realizado através de autenticação de dois fatores, com a devida permissão do Grupo Gestor da Segurança da Informação.
ARQUIVOS INDIVIDUAIS
São considerados arquivos individuais aqueles criados, copiados ou desenvolvidos pelos usuários, que não sejam parte integrante do produto entregável pelo seu trabalho, seja ele interno ou para clientes. Alguns exemplos são: rascunhos ou lembretes, memórias de cálculo, mensagens, diagramas ou instruções técnicas. A cópia de segurança destes arquivos é de responsabilidade dos próprios usuários.
Não é permitido aos usuários o uso ou armazenamento dos tipos de arquivos abaixo relacionados em suas estações de trabalho:
COMPARTILHAMENTO DE PASTAS E DADOS
O compartilhamento de pastas e arquivos de trabalho cujo conteúdo seja classificado como sendo de informação CONFIDENCIAL ou RESTRITA é proibido através os seguintes :
Havendo necessidade de se realizar o compartilhamento de dados entre usuários (internos e/ou externos), deve-se utilizar o sistema Next Cloud ou Google Drive interno..
CÓPIAS DE SEGURANÇA, RECUPERAÇÃO E INTEGRIDADE DOS SISTEMAS E DE SEUS BANCOS DE DADOS
Cópias de segurança dos sistemas, repositórios de arquivos de trabalho, bancos de dados e configurações dos equipamentos e servidores de rede são de responsabilidade exclusiva do Grupo Gestor da Segurança da Informação.
USO DO CORREIO ELETRÔNICO – (“e-mail”)
O correio eletrônico fornecido pela NIMBUS NETWORK é um instrumento de comunicação interna e externa para a realização dos negócios da empresa.
As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da NIMBUS NETWORK, não podem ser contrárias à legislação vigente e nem aos princípios éticos estabelecidos no “Código de Ética e Conduta”.
O uso do correio eletrônico é e o usuário é responsável por toda mensagem enviada pelo seu endereço.
Não é permitido o cadastro de contatos pessoais nos sistemas de mensagens instantâneas (ao utilizar a conta profissional @NIMBUSNETWORK.com.br ou @NIMBUSNETWORK.com); e nem a utilização de contas pessoais.
É terminantemente proibido o envio de mensagens que:
Não será permitido o uso de e-mail gratuitos (Yahoo!, Hotmail, etc.), nos computadores da NIMBUS NETWORK.
O Grupo Gestor da Segurança da Informação poderá, visando evitar a entrada de vírus nos computadores da NIMBUS NETWORK, bloquear o recebimento de e-mails provenientes de e-mails gratuitos.
NECESSIDADES DE NOVOS SISTEMAS, APLICATIVOS E/OU EQUIPAMENTOS
O Grupo Gestor da Segurança da Informação é responsável pela definição de compra, substituição e instalação de todo e qualquer “software” e “hardware”.
Qualquer necessidade de novo “software” ou “hardware” deverá ser discutida com os responsáveis pelo Grupo Gestor da Segurança da Informação. Não é permitida a compra ou o desenvolvimento de “softwares” diretamente pelos usuários.
USO DE EQUIPAMENTOS DE PROPRIEDADE DA EMPRESA
Os usuários que estiverem de posse de qualquer equipamento (desktop, notebook, celular ou tablet) de propriedade da NIMBUS NETWORK devem estar cientes de que:
Fora do trabalho:
Em caso de furto
RESPONSABILIDADES DOS GERENTES/SUPERVISORES
Os gerentes e supervisores são responsáveis pelas definições dos direitos de acesso de seus subordinados aos sistemas e informações da empresa, cabendo a eles verificarem se os mesmos estão acessando exatamente os sistemas e as áreas de dados compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.
O Grupo Gestor da Segurança da Informação fará auditorias periódicas do acesso dos usuários às informações, verificando:
USO DE ANTIVÍRUS
Todo arquivo obtido através da Internet ou recebido de entidade externa a NIMBUS NETWORK deve ser verificado por programa antivírus.
Todas as estações de trabalho possuem software antivírus instalado. A sua atualização será automática, agendada pelo Grupo Gestor da Segurança da Informação, via rede.
O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.
REGISTROS DE AUDITORIA
Serão efetuados registros de auditoria das atividades dos usuários, exceções e incidentes de informação deverão ser mantidos durante um período acordado para auxiliar em investigações futuras e em andamento e monitoração do controle de acesso. Serão incluídos nos registros quanto seja possível e o mínimo exigível
pelas leis aplicáveis:
A frequência com que são revisados os resultados das atividades do
monitoramento dependerá da informação e da criticidade dos sistemas.
Os dispositivos de registro e o diário com as informações estarão
protegidos contra a manipulação e o acesso não autorizado.
As atividades do administrador do sistema e do operador do sistema serão
registradas.
SEGURANÇA DE ACESSO A TERCEIROS
Deverá ser mantida a segurança das informações de tratamento da informação e dos recursos de informação da referente aos acessos de terceiros:
Deverá ser realizada uma avaliação do risco inicial para identificar o risco pelo acesso de pessoas externas às informações e instalações da NIMBUS NETWORK.
Devendo ser levado em consideração:
Os dispositivos e informações que os terceiros terão acesso.
Tipos de acesso e dispositivos de tratamento de informação o qual terão acesso (base de dados, sistemas, edifícios…).
Conectividade entre redes das organizações (acesso remoto, conexão constante…).
Os controles necessários para proteger a informação podem ser acessados por terceiros.
Os diferentes meios e controles que terceiros armazenam, processam, transmitem, compartilham e trocam informações.
O impacto de que o acesso não está disponível para terceiros seja necessário.
Práticas e procedimentos para tratar dos incidentes de segurança da informação e perigos potenciais, assim como os termos e condições para manutenção às continuidade caso ocorra um incidente de segurança.
Medidas de controle para administrar o acesso de terceiros aos recursos de Sistemas de Informação (vpn, conexões remotas, etc…).
Contemplar nos contratos de serviços e suporte com terceiros as cláusulas necessárias em questão de segurança.
Não deverão autorizar o acesso à informação da organização a terceiros, até que sejam implantados controles adequados e, quanto possível, deverá ser assinado um contrato que defina os termos e condições para a conexão e acessos necessários para seu trabalho.
VIOLAÇÃO DA POLÍTICA DE SEGURANÇA
É qualquer ato que:
PENALIDADES
O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.
Vigência
O disposto no presente documento entrará em vigor na data de publicação do comunicado que o anunciar.
R. Pasteur, 463 – Batel, Curitiba – PR, 80250-104
Ver no Google Maps