Política de Segurança da Informação
CONTEÚDO
Esta política aplica-se a todos os utilizadores de ativos de informação na Towit, conforme definido no âmbito do SGSI. A responsabilidade de proteger os recursos da empresa é da responsabilidade de todos os colaboradores.
Esta política abrange todos os sistemas de informação operados pela Towit ou contratados a terceiros pela Towit. O termo Sistemas de Informação define o ambiente total e inclui, mas não se limita a, toda a documentação, controles físicos e lógicos, pessoal, hardware (por exemplo, computadores de secretária, dispositivos de rede e dispositivos sem fios), software e informações.
Embora esta política abranja explicitamente as responsabilidades dos utilizadores, não abrange exclusivamente esta questão. Outras políticas, normas e procedimentos de segurança da informação da Towit definem responsabilidades adicionais. Todos os utilizadores são obrigados a ler, compreender e cumprir outras políticas, normas e procedimentos de Segurança da Informação. Se algum utilizador não compreender totalmente algum tópico nestes documentos, deve contactar a equipe do SGSI e/ou equipe de RH. A Segurança da Informação (SI) e os departamentos/divisões em causa devem resolver em conjunto quaisquer conflitos decorrentes da presente política.
Os riscos para a informação e a infraestrutura provêm de muitas fontes - utilizadores, fornecedores, hackers e ex-empregados. Os riscos de vírus e worms continuam a estar sempre presentes. Além disso, os planos de continuidade da atividade e de recuperação de desastres (BCP/DRP) são requisitos essenciais, que têm de ser implementados em caso de desastre, para que as funções críticas da atividade continuem a funcionar e todas as operações sejam recuperadas do desastre num período de tempo aceitável.
Neste cenário, é da responsabilidade de cada um dos colaboradores proteger as informações da empresa e dos seus clientes. Todos os processos e procedimentos seguidos na empresa são também muito críticos e têm de estar em conformidade com os princípios de segurança da informação adotados
DECLARAÇÃO DE POLÍTICA
A Towit adopta uma abordagem baseada no risco para proteger os seus ativos de informação críticos e as informações confidenciais dos clientes contra ameaças prováveis e de grande impacto, e integra os princípios de segurança da informação na cultura organizacional, tornando da responsabilidade de todos os funcionários garantir a manutenção de uma estrutura sólida de segurança da informação.
OBJETIVOS
Esta política estabelece a intenção da Towit de identificar e proteger os seus ativos de informação críticos. Os princípios de segurança adotados pela empresa são:
-
Confidencialidade: A informação deve ser acessível apenas ao pessoal autorizado;
-
Integridade: A informação só deve poder ser modificada por pessoal autorizado;
-
Disponibilidade: A informação deve ser disponibilizada ao pessoal que dela necessita;
-
Rastreabilidade: os colaboradores da Towit e de suas controladas devem sempre manter registros das transações e alterações realizadas em seus sistemas e aplicações, a fim de possibilitar futuras auditorias;
São objetivos desta Política:
-
Proteger a informação da Towit, de forma a garantir sua confiabilidade, autenticidade e integridade;
-
Estabelecer diretrizes para a utilização dos recursos de informação, serviços de redes de dados, estações de trabalho, Internet, telecomunicações, correio eletrônico e outros;
-
Designar papéis e responsabilidades relativas à segurança da informação na Companhia;
-
Ser transparente e inclusiva, de forma a conscientizar todos os colaboradores da Towit sobre a importância das informações e de suas vulnerabilidades;
-
Promover e desenvolver a cultura de segurança da informação em todos os níveis da Companhia;
-
Ser parte integrante dos processos organizacionais;
-
Possibilitar a criação de controles e promover a otimização dos recursos de tecnologia da informação.
CONCEITOS E DEFINIÇÕES
Abaixo seguem, em ordem alfabética, os principais conceitos referidos neste documento, de forma a evitar dificuldades de interpretação ou ambiguidades:
-
Algoritmo: conjunto das regras e procedimentos lógicos perfeitamente definidos que levam à solução de um problema em um número finito de etapas;
-
Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ABNT, 2005);
-
Antispyware: software de segurança que tem o objetivo de detectar e remover softwares maliciosos;
-
Assinatura Digital: mecanismo criptográfico que tem por objetivo assinar documentos digitalmente;
-
Ativo de Informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que têm acesso a eles;
-
Autenticidade: propriedade que determina que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
-
Backup: é o processo de cópia de dados de um dispositivo de armazenamento para outro com o objetivo de proporcionar a proteção contra a perda dos originais;
-
Certificação Digital: é um arquivo eletrônico que serve como identidade virtual para uma pessoa física ou jurídica, e por ele podem ser feitas transações online com garantia de autenticidade e proteção das informações trocadas;
-
Classificação da informação: processo que tem como objetivo identificar e definir níveis e critérios adequados para a proteção das informações, de acordo sua importância para as organizações;
-
Código Malicioso: tipo de código de computador ou script da Web nocivo que tem como objetivo criar vulnerabilidades no sistema, violações de segurança, roubo de dados e informações, além de outros danos possíveis;
-
Confidencialidade: somente pessoas devidamente autorizadas pelo órgão devem ter acesso à informação;
-
Continuidade de Negócios: Capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação de atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definida);
-
Controle de Acesso: processo por meio do qual os acessos aos sistemas e a seus respectivos dados são autorizados ou negados; os acessos autorizados e, em alguns casos, também os negados ficam registrados para posterior auditoria;
-
Criptografia: mecanismo de segurança e privacidade que torna determinada comunicação (textos, imagens, vídeos, entre outros) ininteligível para quem não tem acesso aos códigos de “tradução” da mensagem;
-
Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
-
Dispositivos Móveis: equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para armazenamento;
-
Engenharia Social: habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição por meio de habilidades de persuasão;
-
FTP (File Transfer Protocol): protocolo que permite a transferência de arquivos entre computadores conectados à Internet; Gestão de Risco: avalia os riscos relativos a segurança, disponibilidade de dados e desempenho dos ativos de informação e também a conformidade com exigências regulatórias e legais;
-
Gestão de Segurança de Informação e Comunicação: processo que visa a proteção dos ativos de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação desautorizada de dados armazenados ou em trânsito, inclusive a segurança dos recursos humanos, da documentação, das áreas e das instalações computacionais e de comunicações;
-
Informação: dados estruturados, organizados e processados, apresentados dentro do contexto, o que o torna relevante e útil para a pessoa que o deseja.
-
Integridade: alterações, supressões e adições nas informações devem ser realizadas apenas sob processos legalmente válidos, por pessoas devidamente autorizadas para tal (autênticas). Garante que as ações que modifiquem as informações não ocorram de forma acidental ou não autorizada;
-
Incidente: qualquer evento adverso, confirmado ou sob suspeita, relacionado a segurança dos sistemas, das informações ou das redes de computadores; x) Impacto: mudança adversa no nível obtido dos objetivos do negócio (ABNT, 2008); y) Login: processo para acessar um sistema informático restrito feita por meio de autenticação ou identificação do utilizador;
-
Mídia Removível: tipo de memória que pode ser removida do seu aparelho de leitura, conferindo portabilidade para os dados que carrega;
-
Plano de Continuidade de Negócio (PCN): documento que estabelece mecanismos para restabelecer a atividade de uma organização, em caso de interrupção;
-
Programas Antivírus: programas usados para proteger e prevenir computadores e outros aparelhos de códigos ou vírus, a fim de dar mais segurança ao usuário;
-
Risco: efeito da incerteza nos objetivos (ABNT ISO GUIA 73,2009);
-
Segurança da Informação e das Comunicações: ações que visam viabilizar e assegurar disponibilidade, integridade e confidencialidade das informações;
-
Servidor: software ou hardware que fornece um ou mais serviços a uma rede de computadores;
-
Software: programa, rotina ou conjunto de instruções que controlam o funcionamento de um computador;
-
Termo de Responsabilidade e Sigilo: documento pelo qual o empregado ou colaborador se compromete a não revelar as informações de caráter secreto, sigiloso e confidencial da Companhia;
-
Torrent: extensão de arquivos utilizados por um protocolo de transferência do tipo P2P (Peer to Peer);
-
Vírus de Computador: software malicioso capaz de infectar um sistema, fazer cópias de si e se espalhar para outros computadores e dispositivos;
-
Wireless: tecnologia que significa “sem fio” (em livre tradução), e possibilita a transmissão da conexão entre pontos distantes sem precisar usar fios (como ocorrem em telefones sem fio, rádios ou celular).
Para ter acesso ao documento na íntegra, clique no botão abaixo e faça o download.