Política de segurança da informação para colaboradores do Grupo Diário da Região
Introdução
O documento aborda a segurança da informação conforme vista pelo Grupo Diário da REGIÃO (GDR) em seus diversos aspectos, apresentando recomendações e ações que devem ser seguidas de forma a preservar o patrimônio e a informação, no que se refere aos ambientes computacionais e de comunicação, e a reputação do GDR.
GDR oferece recursos computacionais e de redes para acesso à sistemas de informação como também permite a transmissão de um grande volume de comunicação, tanto interno quanto externo.
Para isto, utiliza muitos ativos, essenciais para os negócios. Assim, os recursos computacionais e de rede do GDR e a informação através desses recursos precisam ser protegidas, como qualquer outro ativo importante. Com relação à segurança da informação, esta Política se caracterizará pela tentativa de manter a confidencialidade, a integridade e a disponibilidade da mesma, independentemente de onde ela esteja, residente em memória de máquinas e dispositivos, armazenada em disco ou em trânsito, salvaguardando a exatidão e completeza da mesma, dos métodos de processamento e garantindo que usuários obtenham acesso à informação e aos ativos correspondentes sempre que necessário e de acordo com a permissão atribuída a cada um.
A Segurança da Informação não está confinada a sistemas informatizados, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio dela.
O uso de recursos de Tecnologia da Informação pelos colaboradores autorizados do GDR é permitido e encorajado, desde que seu uso seja aderente aos objetivos e atividades fins do negócio da empresa e em conformidade com o cargo exercido.
A Política de Segurança da Informação é uma declaração formal da GDR acerca de seu compromisso com a proteção das informações de sua propriedade ou sob sua guarda, contra o uso ou acesso não autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas, devendo ser cumprida por todos os seus colaboradores independentemente do nível hierárquico, é obrigação de todos os colaboradores zelarem pela segurança da informação dentro da organização.
A Segurança da Informação não está confinada a sistemas computacionais, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma.
Objetivos
Este documento tem como objetivo específico definir uma Política de Segurança para o GDR, estabelecendo procedimentos e recomendações que permitam aos colaboradores seguirem padrões de comportamento relacionados à segurança para utilização dos recursos de tecnologia da informação adequados às necessidades de negócio e de proteção legal, visando prevenir e responder a incidentes de segurança estabelecendo diretrizes que permitam aos colaboradores seguirem padrões de comportamento relacionados à segurança para utilização dos recursos de tecnologia da informação adequados às necessidades de negócio e de proteção legal do GDR.
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implantação de controles e processos para seu atendimento.
Considera-se recursos de tecnologia da informação:
- Computadores e terminais de qualquer espécie, incluindo acessórios e periféricos;
- Impressoras e scanners de qualquer espécie;
- Servidores de arquivos, de impressão, de correio eletrônico, Web e Banco de Dados;
- Storages;
- Modems, roteadores, hubs/switches, access points e afins;
- Sistemas operacionais e aplicativos homologados pelo Departamento de TI;
- Sistemas da intranet, internet e correio eletrônico;
- Softwares adquiridos ou desenvolvidos pelo Departamento de TI;
- Banco de dados ou documentos residentes em discos, fitas e outros meios;
- Manuais técnicos, Procedimentos Operacionais de recursos sob responsabilidade do Departamento de TI;
- Redes Lan/Man/Wan, wireless e afins próprios ou com contratos administrados pelo Departamento de TI;
- Recursos de Telecom como: Centrais Telefônicas, recursos de telefonia fixa e móvel de propriedade do GDR;
- Sistemas de aplicativos tais como WhatsAapp, Cadena, Talkall, ou qualquer outros que tenha informações do GDR;
- Mídias Removíveis: Dispositivos que permitem a leitura e gravação de dados tais como: CD, DVD, Disquete, Pen Drive, cartão de memória, HD externos entre outros.
O acesso a um sistema de informação ou base de dados só pode ser liberado pelo Departamento de TI com autorização da área gestora do processo de negócio suportado pelo sistema.
É vedado o uso de recursos de tecnologia da informação que não tenham sido oficialmente liberados pelo Departamento de TI, o que inclui computadores e outros equipamentos pessoais, programas, sistemas, jogos e outros “softwares” que não pertençam ao patrimônio administrados pelo Departamento de TI.
As informações produzidas e controladas pelos sistemas oficialmente administrados pela GDR ou arquivadas nos equipamentos existentes, são de propriedade dela, sendo proibido o seu repasse para terceiros sem a autorização da Diretoria responsável pela informação.
É responsabilidade de cada gestor o controle do uso e dos recursos de tecnologia da informação. O Controle e nível de acesso dos usuários serão definidos previamente e autorizados pelo gestor responsável da área juntamente com departamento de TI.
Abrangência da segurança
A abrangência da segurança é definida pela superintendência do GDR embasada pelo comitê gestor LGPD ou o DPO, em conjunto, ou separadamente, e departamento de TIC, no tocante às responsabilidades dos departamentos da empresa.
No escopo definido, os quesitos da Política de Segurança devem ser aplicados de maneira mandatória. Fora desse escopo, eles devem servir de recomendações.
Assim cobre todos os colaboradores do GDR ou suas subsidiárias ou coligadas que necessitem utilizar recursos de TIC para suas atividades e cobre toda a infraestrutura que permite o seu uso da informação, como processos, sistemas, serviços, tecnologias e outros.
Responsáveis pela Política de Segurança e suas atribuições
Departamento de Tecnologia, Informação e Comunicação
- Colaborar com departamento de TIC na promoção da Política de Segurança;
- Validar solicitações pertinentes à segurança.
Assessoria Jurídica
- Auxiliar o departamento de TIC e comitê gestor da LGPD quanto aos aspectos legais;
- Avaliar os incidentes de segurança causados por colaboradores do GDR, recomendando as penalidades cabíveis em conjunto com o grupo de Segurança;
Grupo de Segurança de Informação /HSEQ/COMPLIANCE/GOVERNANÇA
- Formular as políticas do GDC na área de informática;
- Coordenar a execução dessas políticas pelos departamentos;
- Auxiliar o comitê da Lei Geral de Proteção dos Dados (LGPD) a formular as diretrizes gerais de informática;
- Executar as políticas de informática formuladas;
Administrador de Sistemas Computacionais e de Comunicação
- Pessoa indicada pela diretoria com a responsabilidade de zelar pelo cumprimento das Normas de segurança;
Empregados, estagiários e demais pessoas que usam os recursos computacionais e de comunicação do GDR
- Cumprir com as determinações da Política de Segurança.
Segurança da Informação
Considera-se como segurança da informação a preservação da autenticidade, confidencialidade, integridade e disponibilidade da informação.
Aspectos da segurança
Considera-se dois: físico e lógico.
Entende-se como segurança física o relacionado à proteção de edificações, infraestrutura e equipamentos, reduzindo as ameaças que possam colocar em risco o bom funcionamento dos sistemas.
Como segurança lógica, entende-se a segurança dos dados armazenados nos servidores, tais como: servidores de arquivos, e-mail, DNS, Web, servidores de aplicação. Ainda dados armazenados nas estações de trabalho, mídias de backup, clouding e em trânsito pelos meios de comunicação.
Penalidades
O comitê LGPD ou designado deve avaliar as infrações ocorridas no âmbito de sua responsabilidade através de uma Comissão instituída. Cabe ainda a essa comissão aplicar ou recomendar as penalidades para cada caso.
Diretrizes Específicas
Os aplicativos utilizados pelo GDR devem possuir controle de acesso, de modo a assegurar o uso apenas por usuários autorizados.
A autorização deverá ser claramente definida e ter aprovação documentada por meios definidos pela gestão deste sistema e, quando não for a mesma pessoa, deverá também ter aprovação do gestor da área do usuário solicitante.
Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser previamente analisada e aprovada pela área de Infraestrutura TI, se aprovado deverão ser informados aos responsáveis pelo sistema (owners) para que o mesmo possa ser homologado, somente após esta análise e inclusão dos aprovadores ele poderá ser disponibilizado para a área de negócio ou produção.
O GDR respeita os direitos autorais dos softwares que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores do GDR. É terminantemente proibido o uso de softwares ilegais (sem licenciamento). O Departamento de TI poderá valer-se deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à Lei 9.609/98 (Lei do Software).
Documentos da Política de Segurança
Esta política tem validade de um ano, sendo que em cada atualização, o colaborador/prestador de serviço será cientificado, mediante comunicação interna, através de acesso com login e senha pessoal.
Todas as atualizações pontuais ou periódicas deverão ser apontadas no controle de versão disponível no final deste documento, devidamente aprovado pela diretoria executiva, todas as informações deverão ser informadas a todos os colaboradores por meio de mensagens e outras formas oficiais de comunicação interna.
É indispensável estabelecer as diretrizes gerais que o GDR deverá seguir no uso dos recursos da Tecnologia de Informação. As diretrizes estabelecidas neste documento estão detalhadas nos seguintes documentos:
Identificação - Título do Documento - Data Criação
NSI-001 - Norma de uso do correio e mensagens eletrônicas - 13.09.2022
NSI-002 - Norma de acesso e uso da rede de dados - 18.09.2022
NSI-003 - Acordo de confidencialidade - 18.09.2022
NSI-004 - Norma de acesso à Internet - 18.09.2022
NSI-005 - Norma de acesso remoto - 18.09.2022
NSI-006 - Norma de utilização de contas e senhas - 21.09.2022
NSI-007 - Norma de descarte de documentos e dispositivos de armazenamento - 21.09.2022
NSI-008 - Norma de cópias de segurança - 21.09.2022
NSI-009 - Norma de Instalação e Remoção de Softwares - 22.09.2022