Última Atualização: 28/02/2023

Classificação: Público.

Definição

Este documento estabelece a PSI - Política de Segurança da Informação da Nova Gestões, caracterizada pela preservação da Confidencialidade, Integridade, Disponibilidade.

A segurança da informação é alcançada a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais, instalações, softwares e ferramentas de controle automatizadas, visando proteger a organização de um grande campo de ameaças, de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e oportunidades.

Público-alvo

Aplica-se a todos usuários da organização, terceiros e partes interessadas.

Objetivo

• Estabelecer diretrizes que permitam aos colaboradores e clientes do grupo Nova Gestões seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

• Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.

• Preservar as informações da Nova Gestões quanto à:

o    Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

o    Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

o    Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Responsabilidades

A Política de Segurança da Informação da Nova Gestões trata sobre responsabilidades gerais da instituição, seus colaboradores, terceiros e alta Direção.

Gestão de Riscos de Segurança da Informação

A gestão de riscos cibernéticos é de responsabilidade da área de Segurança da Informação. Este processo identifica os requisitos de segurança relacionado às necessidades da instituição. A gestão de riscos cibernéticos é contínua e define contextos internos e externos para avaliação, além de tratar riscos identificados de modo que sejam reduzidos à níveis aceitáveis.

Comitê de Segurança da Informação (CSI)

            Grupo de gestão multidisciplinar que agrega várias visões corporativas às soluções de segurança. É composto por representantes de diversos departamentos da empresa, com visões isoladas - sob orientação e coordenação direta do Gestor de Tecnologia da Informação.

Grupo de resposta a incidentes (GRISI).

            Grupo de pessoas que responderão pelos incidentes de segurança da informação nos ativos da Nova Gestões, visando documentar e conduzir as ações de resposta a estes incidentes, de forma organizada e controlada.

Treinamento e Conscientização

Todas as políticas de seleção e treinamento estão definidas nos procedimentos internos da área de Recursos Humanos da organização.

Gestão de Senhas

A Nova Gestões realiza a gestão de senhas através das melhores práticas de uso de senhas, exigindo uma complexidade determinada para criação, assim como evita a reutilização de senhas anteriores.

As senhas são geradas com a exigência de caracteres mínimos definidos, bloqueio por tentativa sem sucesso e contém uma periodicidade exigida para alteração.

Os Fornecedores devem utilizar senhas qualificadas de acordo com os critérios de boas práticas de segurança da informação, utilizar meios de autenticação seguro para acesso ao ambiente de tecnologia.

Gestão dos Ativos

A Nova Gestões possui seus ativos de informação identificados, atualizados, classificados, com respectivos proprietários, responsabilizados pelo uso aceitável dos ativos, conforme política interna.

Os Fornecedores devem contar com um registro de ativos atualizado, no qual seja possível conferir os ativos empregados para a prestação do serviço. No findar da prestação dos serviços o fornecedor deve dar baixa nas informações consideradas sigilosas,  garantindo que essas informações foram eliminadas de maneira segura aplicando medidas de eliminação segura.

Proteção e Classificação da Informação

A Nova Gestões estabelece diretrizes para a classificação, manuseio e rotulagem dos ativos de informação através de documento interno, com determinação das diretrizes utilizadas para a classificação da informação, suas categorias, manuseio da informação e descarte seguro da informação.

Uso Aceitável de Recursos Tecnológicos

Os recursos de tecnologia da Nova Gestões devem ser utilizados de forma profissional, ética e legal, conforme definido no termo de responsabilidade aplicável.

• Termo de Responsabilidade de Uso de Equipamentos;

• Termo Compromisso de Confidencialidade.

Trânsito de Informações

            A Nova Gestões gerencia o trânsito de informações através dos procedimentos internos estabelecido, bem como monitora via ferramenta de dados.

Para os fornecedores a transferência de dados devem incluir os devidos meios de proteção de transmissão e armazenamento de dados, com a garantia da confidencialidade, integridade, disponibilidade e responsabilidade com base nos níveis de classificação das informações.

Gestão de Identidade e Acessos

            A gestão de acessos é realizada pela área de Tecnologia da Informação e baseada no princípio da necessidade de acesso à informação de acordo com a atribuição do grupo laboral.

  Os procedimentos definem diretrizes, tais como:

• Perfis de Acessos das Áreas;

• Processo de Admissão, Transferência de área, afastamento ou desligamento de Colaboradores;

• Acesso de Terceiros ou Visitantes;

• Acesso a Banco de Dados;

• Acesso Remoto;

• Acesso Físico;

• Parametrização de Senhas.

Criptografia

Os ativos de informação possuem criptografia adequada, a fim de garantir a proteção em todo o ciclo de vida da informação, em conformidade com padrões de segurança dos órgãos reguladores.

Desenvolvimento e Manutenção de Sistemas

            O desenvolvimento de sistema realizado da Nova Gestões utiliza a metodologia padrão do ambiente vigente com segregação de ambientes para esse fim, seguindo práticas de desenvolvimento seguro e alinhado com a Política de Segurança interna.

Prevenção, Detecção e Correção de Softwares Maliciosos

            Medidas para prevenção, detecção e correção de Softwares Maliciosos deverão estar implementadas por toda a organização, para garantir a proteção dos ativos de informação contra softwares maliciosos. O controle dessas medidas deve estar de acordo com a “Matriz de Riscos da Nova Gestões SOA-Declaração de Aplicabilidade (Statement of Applicability)”.

Gerenciamento e controle de mudanças.

Toda e qualquer mudança no ambiente de produção, seja ela de infraestrutura, hardware, comunicações, softwares básicos, softwares de apoio, sistemas aplicativos, procedimentos entre outros, deve ser executada conforme de procedimento interno.

Mudanças no provisionamento de serviços pelo fornecedor como manutenções e melhorias no sistema de segurança da informação, devem ser informadas antecipadamente.

Segurança Física

            A Nova Gestões gerencia o controle de entrada e saída de pessoas as suas instalações operacionais.

Monitoramento de Segurança

Testes periódicos de vulnerabilidade do ambiente de T.I.C deverão ser realizados com a finalidade de garantir que a implementação de segurança de TI está vigiada e monitorada de forma proativa;

Trabalho Remoto

O Acesso ao recurso de trabalho remoto possui exigências de acesso como o uso de Virtual Private Network (VPN).

Gestão de Vulnerabilidade e Patches;

A Gestão de vulnerabilidades e aplicação de Patches internamente são realizados periodicamente pela organização.

A organização realiza testes de segurança periódicos para garantir a integridade das informações, averiguar a eficácia dos processos e estabelecer melhorias.

Política de backup

            A organização gerencia a Política de Backup e realiza testes periódicos de restore.

Registros de Operações

           O Registro de Operações é realizada com auxílio de ferramentas e procedimentos internos.

Incidentes de Segurança da Informação.

            Qualquer evento em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause danos aos ativos da organização, devem ser reportados pelos usuários ao setor de tecnologia assim que identificados, para ativação do Plano de Resposta a Incidentes e resolução interna.

Ameaças ou incidentes de segurança da informação que sejam de conhecimento do fornecedor e que podem comprometer a segurança da informação, devem ser imediatamente relatados para que a Nova Gestões possa mitigar possíveis ataques.

Continuidade do Negócio

            Conjunto de planos que contemplam as atividades necessárias para a continuidade dos negócios da Organização, quando houver algum tipo de interrupção nos processos, serviços e/ou equipamentos considerados críticos.

Para os fornecedores é recomendado que tenham um plano de continuidade e/ou um plano de recuperação de TI que permitam prestar o serviço em casos de incidentes ou desastres.

Gestão de Terceiros

A organização realiza o gerenciamento dos seus fornecedores/terceiros para contratação de serviço. Com regras de diligência adicionais para terceiros considerados relevantes, que são aqueles que são considerados críticos a operação.

São realizadas avaliações e homologação dos fornecedores críticos através de formulário com critérios de avaliação para classificar o nível de aderência em Segurança da Informação.

Segurança em Redes

Conjunto de medidas destinadas à proteção das Informações que trafegam por meios eletrônicos ou convencionais e dos recursos utilizados para esse tráfego, regras sobre a rede Sem Fio, corporativa e pública.

A organização possui ferramentas de segurança capazes de detectar e responder tentativas de intrusão e seu ambiente.

Trilhas de Auditoria

            As auditorias internas seguirão as definições do procedimento interno da área de auditoria da Nova Gestões.

Privacidade de Dados Pessoais

            A Nova Gestões estabelece o tratamento de dados através da “Política de Privacidade LGPD”, disponível nos canais internos da companhia e no site para colaboradores, fornecedores, prestadores de serviços, clientes e comunidade.

Sanções

            O Colaborador e/ou administrador que deixar de cumprir as normas estabelecidas neste documento é passível de medidas disciplinares. Qualquer violação que você tenha conhecimento, deve ser relatada imediatamente pelo sistema de chamados da Nova Gestões.

Caso haja violação pelo Fornecedor das normas estabelecidas neste documento, mesmo que por omissão ou tentativa não consumada, tal violação pode ser classificada como incidente de Segurança da Informação, os quais são passíveis de penalidades.