Política de Segurança da Informação

1. Introdução

O modelo de negócios da OLIMPUS é fundamentalmente baseado na informação. Seu valor é estratégico e determinante para a competitividade e continuidade do seu negócio. Com o objetivo de proteger suas informações, de seus colaboradores e clientes, a OLIMPUS promulga esta política de segurança da informação, devidamente aprovada pelo seu conselho administrativo.

1.1 Abrangência

Todos os departamentos da OLIMPUS, seus respectivos colaboradores, estendendo-se a fornecedores e visitantes, devem conhecer e respeitar essa política, sendo que seu descumprimento poderá implicar em medidas disciplinares, administrativas e legais.

1.2 Termos e Definições

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Autenticação de dois fatores: é um recurso oferecido por vários prestadores de serviços online que acrescentam uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação. A primeira forma – em geral – é a sua senha. O segundo fator pode ser qualquer coisa, dependendo do serviço. O mais comum dos casos, é um SMS ou um código que é enviado para um e-mail.

Avaliação e Tratamento de Riscos: aplicação sistemática de políticas de gestão , procedimentos e práticas para as atividades para comunicar, consultar, estabelecer o contexto e identificar, analisar, avaliar, tratar,monitoramento e análise de risco;

Ativos de informações: No contexto desta Política, este termo aplica-se a sistemas de informações e a outras informações/outros equipamentos, incluindo documentos em papel, celulares, computadores portáteis, mídia de armazenamento de dados, etc.

Arquivo de registro de mensagens (logs): registro de eventos relevantes, utilizados para restaurar um sistema, diagnosticar problemas ou realizar auditorias.

Comitê SGSI: Comitê multidisciplinar formado por colaboradores, gerentes e diretores, equipe responsável por atuar no processo de Gestão do Sistema de Segurança da Informação, de forma direta e operacional.

Confidencialidade: Propriedade de que a informação não será disponibilizada ou divulgada sem autorização do proprietário.

Código malicioso: termo comumente utilizado para genericamente se referir a programas desenvolvidos para executar ações danosas e atividades maliciosas em um computador ou dispositivo móvel. Tipos específicos de códigos maliciosos são: vírus, worm, bot, spyware, backdoor, cavalo de troia e rootkit.

Disponibilidade: Propriedade de ser acessível e utilizável por uma entidade.

Gestão do SGSI: atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao SGSI.

Incidente de Segurança da Informação: Evento não planejado que pode acarretar prejuízos à empresa ou mesmo violar as regras de segurança.

Integridade: Propriedade de proteção à precisão e precisão dos recursos (ativos).

Políticas: intenções e orientações globais expressas formalmente pela diretoria.

Procedimento: Documento especificado para realizar uma atividade ou um processo.

Proxy: também conhecido por filtro de conteúdo, é o servidor responsável por intermediar o acesso à internet, aplicando regras de controle de acesso e mecanismos de proteção contra códigos maliciosos, previamente configurados, e por controlar a alocação de recursos de rede.

Proxy externo: são servidores não administrados pela OLIMPUS, responsáveis por intermediar o acesso à internet, que não aplicam as regras de controle de acesso e mecanismos de proteção da mesma forma que o Proxy administrado pela OLIMPUS.

Sistema de Gestão da Segurança da Informação (SGSI): Estrutura de políticas, procedimentos, guias e recursos associados com foco nos riscos do negócio, cuja finalidade é estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.

2. Diretrizes Gerais

A fim de alcançar seu objetivo, esta Política de Segurança da Informação estabelece os seguintes princípios fundamentais:

2.1. A responsabilidade pela segurança da informação é de todos os colaboradores da organização;

2.2. Os ativos de informação da organização devem-se ser utilizados de maneira ética e profissional por todos;

2.3. Acesso aos ativos de informação somente por pessoas autorizadas, respeitando a sua confidencialidade;

2.4. Deve-se manter a Integridade das informações durante todo o seu ciclo de vida, ou seja, desde sua criação até seu descarte;

2.5. Estar em conformidade com regulamentações, legislações, políticas e normas organizacionais;

2.6. Constituem Incidente de Segurança da Informação:

a. O descumprimento desta política e de outras políticas, normas, guias e procedimentos que compõem o SGSI;

b. Qualquer ação que coloque em risco a Confidencialidade, Integridade, Disponibilidade e Privacidade Das informações da OLIMPUS ou sob sua tutela.

2.7. Toda pessoa que identificar um Incidente de Segurança da Informação Deve reportá-lo imediatamente, para isso deve-se utilizar os canais abaixo identificados:

a. Colaboradores devem Registrar Ocorrência de Segurança via comunicação interna;

b. Fornecedores, Clientes, Parceiros, Terceirizados, entre outros que não possuem acesso, devem utilizar o e-mail supervisao@olimpustecnologia.com.br.

2.8. Todos os incidentes de Segurança da Informação devem ser devidamente analisados e acompanhados até sua resolução, podendo os responsáveis serem submetidos a medidas disciplinares previstas no regulamento interno, à aplicação de sanções previstas em contrato ou na legislação vigente.

3. Política de Classificação e Tratamento da Informação

3.1.O proprietário da informação é responsável por classificá-la adequadamente aplicando nível de proteção proporcional a sua importância.

3.2.Cabe ao proprietário da informação rotular as informações com o nível de segurança adequado e a todos os colaboradores que vierem a manusear a informação replicá-la.

3.3.As informações só podem ser divulgadas para terceiros quando por força de lei, ordem judicial ou com autorização do proprietário.

3.4.As informações, em especial dados pessoais e dados pessoais sensíveis, devem ser tratadas de forma ética, profissional e transparente, devendo ser utilizadas unicamente para a finalidade para a qual foram coletadas.

3.5.Todas as informações da OLIMPUS, ou de sua responsabilidade, devem ser classificadas de acordo com seu valor para o negócio e sensibilidade utilizando os níveis de segurança apresentados abaixo:

Nível de Segurança

Rótulo

Critérios de Classificação

Quem pode Acessar

Público

Não se aplica

Tornar a informação pública não pode prejudicar a empresa.

O documento NÃO contém dados pessoais ou dados pessoais sensíveis.

Qualquer pessoa.

Interno

Informação Interna

O acesso não autorizado às informações pode causar pequenos danos e/ou inconvenientes à OLIMPUS. O documento contém dados pessoais.

Apenas colaboradores e prestadores de serviço autorizados

Confidencial

Informação Confidencial

O acesso não autorizado às informações pode causar danos consideráveis aos negócios e/ou à reputação da OLIMPUS. O Documento contém dados pessoais sensíveis.

Apenas o dono do documento e pessoas autorizadas por ele.

 

4. Política de Senhas

4.1. As senhas e outras formas de autenticação são individuais, secretas, intransferíveis e seu proprietário é responsável pelo seu uso e por todas as ações realizadas por meio desta;

4.2.Altere as senhas frequentemente ou quando houver indicações de que possam ter sido comprometidas;

4.3.Defina senhas fortes, preferencialmente não utilizar informações pessoais ou similares a senhas pessoais;

4.4.Evite armazenar suas senhas em sistema de entrada automatizada, como de navegadores ou similares;

4.5.Recomenda-se a utilização de autenticação de dois fatores sempre que o sistema possuir esta funcionalidade;

 

5. Politica Mesa Limpa e Tela Limpa

5.1.Informações confidenciais, em especial dados pessoais sensíveis, não devem ser deixadas visíveis ou expostas às pessoas não autorizadas.

5.2.Documentos enviados para impressão que contenham informações confidenciais e/ou dados pessoais sensíveis, devem ser recolhidos imediatamente, a fim de impedir acesso não autorizado.

5.3.Dispositivos OLIMPUS devem ser “bloqueados” por senha sempre que estiverem desacompanhados do seu proprietário.

5.4.Todos os computadores da organização devem ser configurados para serem “bloqueados automaticamente” após 10 minutos de inatividade. Cabe a cada colaborador garantir que seu computador esteja adequadamente configurado.

 

6. Política de Acesso

6.1.A instalação da organização é dividida em níveis de segurança os quais devem ser protegidos proporcionalmente ao valor dos ativos.

6.2.O acesso privilegiado a ativos de alto valor só deve ser disponibilizado mediante aprovação formal do proprietário do ativo.

6.3.Os direitos de acesso devem ser definidos por papel e identificados na sua respectiva descrição. Cada papel deve possuir apenas os direitos de acesso necessários para suas atividades.

6.4.O acesso a dados pessoais e principalmente a dados pessoais sensíveis devem ser restritos ao menor conjunto de pessoas possível.

6.5.No ato do desligamento de um colaborador os acessos do mesmo devem ser revogados o mais rápido possível.

6.6.No ato da mudança de função de um colaborador os acessos do mesmo devem ser revisados a fim de garantir que permaneçam coerentes com a função atual.

6.7.Compete aos gestores comunicarem ao TH as mudanças de função ou remanejamento para que os acessos do colaborador sejam devidamente adequados.

6.8.Durante o período de férias do colaborador, seus acessos físicos e lógicos devem ser revogados.

6.9.Os colaboradores não devem acessar qualquer informação ou sistema da organização fora de seu expediente horário de trabalho, em especial durante seu período de férias.

6.10.Os direitos de acessos devem ser periodicamente revisados a fim de se identificar e remover acessos inadequados ou desnecessários.

6.12.Recomenda-se que nas dependências da organização todos portem crachá de identificação em local visível. Em caso de atividades para as quais o crachá não possa ser utilizado, deve-se utilizar colete de identificação.

6.13.O acesso às áreas restritas deve ser realizado somente pelos colaboradores e/ou pessoas autorizadas.

6.14.A entrada e saída da organização devem ocorrer pelos locais adequados. Saídas de emergências só devem ser utilizadas em situações de emergência ou simulações.

 

7. Política de Redes

7.1.As redes da organização devem ser segregadas de acordo com seu propósito de modo a proteger os ativos de alto valor de acessos indevidos.

7.2.Apenas dispositivos OLIMPUS ou de terceiros autorizados podem acessar as redes da empresa.

7.3.O acesso à rede corporativa deve estar em conformidade com o procedimento para acesso a redes.

7.4.É proibido o compartilhamento (“roteamento”) de qualquer rede disponibilizada pela OLIMPUS.

7.5.É proibida a conexão de qualquer dispositivo não fornecido pela OLIMPUS na rede cabeada da OLIMPUS, sem a prévia anuência do departamento de TI.

7.6.Todos os dispositivos que saírem do perímetro da OLIMPUS devem obrigatoriamente efetuar o procedimento de verificação antes de serem conectados na rede interna.

7.7.O Acesso remoto a redes e serviços de redes da OLIMPUS só deverá ser feito por usuários autorizados e em conformidade com a política de trabalho externo.

 

8. Política de Uso Aceitável de Dispositivos

8.1.Todos os computadores e notebooks da organização devem possuir os discos criptografados.

8.2.Todos os computadores e máquinas virtuais compatíveis com o antivírus devem possuir o mesmo instalado e gerenciado de forma central pelo departamento de TI, sendo expressamente proibido aos colaboradores desinstalar ou ‘pausar’ esse serviço.

8.3.Todo e qualquer software licenciado para OLIMPUS pode ser instalado e utilizado apenas em dispositivos da empresa e para fins profissionais.

8.4.Os dispositivos da organização devem possuir o acesso bloqueado às entradas de transferências de dados (USB ou Similar), exceto quando formalmente autorizado pelo gerente ou diretor da área e aprovado na avaliação de riscos do TI.

8.5.A fim de propiciar aos colaboradores a autonomia necessária para o desempenho de suas atividades, todos os colaboradores possuem permissão para instalar softwares em seus respectivos dispositivos, contudo, ao instalar ou utilizar softwares fica expressamente proibido:

8.5.1.Instalar e/ou utilizar softwares irregulares ou com licenciamento inadequado para a organização, como por exemplo, licenciamento para uso acadêmico ou para fins não comerciais;

8.5.2.Instalar e/ou utilizar softwares que não condizem com as suas funções na organização. Como por exemplo, jogos, torrents, mineração de criptomoedas, entre outros;

8.5.3.Instalar softwares usados para fins pessoais ou a possibilidade de ser potencialmente malicioso é desconhecida ou suspeita;

8.5.4.Instalar softwares de fontes não confiáveis. Em especial para celular, deve-se apenas instalar aplicativos através da marketplace oficial do dispositivo (Google Play ou Apple Store).

8.6.Quanto ao uso de celulares durante o exercício das atividades profissionais é proibido:

8.6.1.Usar o celular para registrar, por texto, áudio, vídeo ou foto, quaisquer informações empresariais ou confidenciais;

8.6.2.Usar o celular para gravar conversas sem que todos os envolvidos na conversa tenha autorizado previamente a gravação;

8.6.3.Usar o celular para atividades que infrinjam quaisquer leis ou normativas aplicáveis à pessoa física ou à empresa;

8.6.4.Usar o celular para disseminar informações pessoais relacionadas a empresa, ou dados referentes ao setor ao qual o remetente do conteúdo esteja incluído;

8.6.5.Usar de linguagem imprópria, ou ter comportamentos considerados nocivos à imagem da empresa enquanto estiver em ligação ou envio de áudio no horário de trabalho, principalmente com a presença de clientes, vendedores e representantes.

8.7.No ato do desligamento de um colaborador deve- se recolher os ativos em sua posse e realizar os bloqueios de acessos necessários.

8.8.No ato de mudança de papel de um colaborador devem-se revisar os ativos em sua posse e realizado os ajustes necessários.

8.9.Ativos de alto valor não devem ser retirados das dependências da organização sem permissão do proprietário do ativo.

 

9. Política de Uso da Internet

9.1.O acesso à internet deve ser utilizado estritamente para as atividades relacionadas ao trabalho, será controlado e monitorado.

9.2.A empresa se reserva o direito de bloquear o acesso a qualquer site que no seu entendimento representa ameaça à segurança da informação.

9.3.O histórico de navegação deve ser registrado e armazenado apropriadamente para fins de auditoria.

9.4.É expressamente proibido o uso de proxy ou similar com a finalidade de omitir a sua identidade durante a navegação.

9.5.É proibida a utilização de qualquer tipo de mecanismo ou recurso para burlar os controles de acesso à Internet.

9.6.Deve-se evitar ao máximo a utilização de serviços e ferramentas que realizem a transferência (upload) de informações para repositórios (nuvem) fora do controle da OLIMPUS.

 

10. Política de Uso do E-mail

10.1.O e-mail corporativo é disponibilizado aos colaboradores como ferramenta de trabalho e, portanto, seu uso deve ser feito exclusivamente para fins profissionais. Alguns exemplos de uso não profissional do e-mail são:

10.1.1.Utilizar o e-mail corporativo para cadastro em sites de compras, em listas tipo FEEDS e NEWS;

10.1.2.Praticar crimes e infrações de qualquer natureza;

10.1.3.Distribuir material obsceno, pornográfico, ofensivo, preconceituoso, discriminatório, ou de qualquer forma contrário à lei e aos bons costumes;

10.1.4.Executar ações nocivas contra outros recursos computacionais da OLIMPUS ou de redes externas;

10.1.5.Disseminar anúncios publicitários, mensagens de entretenimento e mensagens do tipo “corrente”, vírus ou qualquer outro tipo de programa de computador que não seja destinado ao desempenho de suas funções ou que possam ser considerados nocivos ao ambiente de rede da OLIMPUS;

10.1.6.Emitir comunicados gerais com caráter eminentemente associativo, sindical ou político-partidário;

10.1.7.Divulgar, no todo ou em parte, os endereços eletrônicos corporativos constantes do catálogo de endereços do serviço;

10.1.8.Executar outras atividades lesivas, tendentes a comprometer a intimidade de usuários, a segurança e a disponibilidade do sistema ou a imagem da OLIMPUS;

10.1.9.Reproduzir qualquer material recebido pelo e-mail corporativo ou outro meio que possa infringir direitos autorais, marcas, licença de software ou patentes existentes, sem que haja permissão comprovada do criador do trabalho.

10.2.É mandatório a utilização de autenticação de dois fatores em todas as contas de e-mail da organização, cabendo ao proprietário da conta garantir que ela esteja devidamente configurada.

10.3.A OLIMPUS se reserva o direito de, a qualquer tempo e sem aviso prévio, monitorar e auditar o uso do sistema e inclusive o conteúdo das mensagens quando julgar necessário. Sendo assim, o colaborador não deve manter qualquer expectativa de privacidade e propriedade intelectual sobre o conteúdo das mensagens criadas, armazenadas, enviadas ou recebidas através do sistema de e-mail corporativo.

10.4.O usuário é responsável por verificar se a origem da mensagem recebida é de fonte confiável e de interesse da empresa, a fim de evitar algum dano aos recursos tecnológicos.

O usuário deve tomar os devidos cuidados para não enviar mensagem eletrônica contendo informações confidenciais e/ou de propriedade da OLIMPUS para destinatários não autorizados.

10.5.Não é permitido utilizar contas de e-mails particulares para fins profissionais.

10.6.O usuário é responsável pelo conteúdo de mensagens enviadas via e-mail corporativo sob sua identificação.

10.7.A agenda corporativa de todo colaborador deve estar configurada por padrão como ‘ocupado’ para manter a confidencialidade dos eventos. É responsabilidade do colaborador monitorar e garantir essa configuração.

 

11. Política de Criptografia

11.1.Cabe ao proprietário da informação avaliar a aplicabilidade de controles criptográficos bem como selecionar métodos de criptografia com segurança proporcional ao valor da informação. Contudo, para o tratamento de dados pessoais ou dados pessoais sensíveis é expressamente recomendável o uso de controles criptográficos.

11.2.Certificados e chaves criptográficas devem ser gerados e armazenados de forma segura, bem como destruídos ou revogados quando não forem mais necessários.

11.3.A validade das chaves e certificados deve ser monitorada pelos responsáveis para garantir sua disponibilidade.

 

12. Política de Backup

12.1.O backup das estações de trabalho é de responsabilidade do próprio usuário e para isso deve-se usar as ferramentas fornecidas pela empresa.

12.2.A organização deve estabelecer um site backup em local alternativo a fim de evitar danos em caso de desastres ocorridos na sede da empresa, e estas cópias de segurança devem ser testadas regularmente.

12.3.As cópias de segurança devem ser eliminadas após o tempo de retenção definido.

 

13. Política de Trabalho Externo

13.1. O trabalho externo é permitido para:

13.1.1.Colaboradores em cargos de Liderança: Diretores, Gerentes, Coordenadores, Supervisores/Líder Técnico e Confiança: Contador e Controller;

13.1.2.Colaboradores cujo cargo contemple atividades externas, como executivo de vendas, pós-vendas, suporte externo, consultoria e analista de implantação;

13.1.3.Colaboradores que executam atividades de plantão através do sobreaviso e/ou prontidão com autorização do líder imediato;

13.1.4. Colaboradores com autorização formal do seu líder imediato. A autorização deve seguir os procedimentos definidos pelo TH.

13.2. Fora do período de trabalho, mesmo colaboradores pré-autorizados, os dispositivos OLIMPUS só podem ser retirados da empresa com autorização do líder imediato.

13.3. Ao executar o trabalho externo o colaborador deve continuar obedecendo todos os procedimentos e políticas de segurança da organização.

13.4.O trabalho externo deve ser realizado preferencialmente em dispositivo OLIMPUS. Para isso, é permitido aos colaboradores autorizados a trabalhar externamente, utilizar fora da empresa o dispositivo que lhe foi fornecido pela empresa.

13.5. O colaborador deve tomar os devidos cuidados durante o transporte, uso e armazenamento do dispositivo OLIMPUS a fim de evitar danos ao equipamento. Danos causados por negligência do colaborador deverão ser ressarcidos pelo mesmo, conforme manual de conduta.

13.6.A conexão em redes e/ou servidores da empresa deve ser feita conforme procedimento para acesso a redes OLIMPUS.

13.7.O colaborador deve garantir que o seu notebook esteja com o disco devidamente criptografado.

13.8.O colaborador deve garantir que o seu notebook esteja com o antivírus devidamente atualizado.

13.9. O colaborador deve estar ciente que o trabalho externo representa sérios riscos à segurança da informação e sendo assim é de sua responsabilidade conhecer e aplicar as políticas e procedimentos de segurança de informação definidos pela organização. Neste sentido deve-se conhecer e aplicar as boas práticas de segurança da informação em ambientes externos.

13.10. Deve-se evitar ao máximo o uso de dispositivos que não seja de propriedade da OLIMPUS, caso isso seja extremamente necessário, então se deve tomar cuidados, mas não limitado a:

13.10.1.Garantir que o mesmo possua antivírus e sistema operacional atualizado;

13.10.2.Não grave dados da empresa em computadores pessoais ou armazenamentos pessoais em cloud;

13.10.3.Preferencialmente utilizar apenas os softwares/sistemas da OLIMPUS disponíveis via navegador (SaaS);

13.10.4.Não usar softwares pessoais, ilegais ou de uso acadêmico para fins comerciais;

13.10.5.Evitar ao máximo a instalação de softwares licenciados para a OLIMPUS;

13.10.6.Ao utilizar um dispositivo pessoal o colaborador deve utilizar apenas a conexão de VPN indicada pelo TI.

 

14. Política de Relacionamento com Fornecedores

14.1.Na seleção de fornecedores, deve-se considerar os aspectos relacionados à segurança da informação, em especial, na aquisição de produtos e serviços que terão acesso às informações de alto valor para a organização.

14.2.Aquisições de produtos ou serviços que irão tratar dados pessoais, dados pessoais sensíveis ou outro tipo de informação confidencial devem ser analisados e aprovados pela equipe de governança e segurança de informação antes de qualquer compromisso ser firmado.

14.3. O proprietário do ativo deve monitorar e analisar criticamente a qualidade de produtos e serviços sensíveis para o negócio a fim de identificar a necessidade de mudanças.

14.4. A OLIMPUS se reserva o direito de aplicar e alterar políticas para resguardar seus ativos quando julgar pertinente.

 

15. Política de Desenvolvimento Seguro de Software

15.1.A preocupação com a segurança deve estar presente em todas as fases do processo de desenvolvimento.

15.2.Os ambientes de desenvolvimento e teste devem ser isolados do ambiente de produção.

15.3.Deve ser avaliada a presença de vulnerabilidades de segurança antes da aquisição ou adoção de componentes e/ou frameworks de terceiros.

15.4.Deve-se utilizar técnicas de programação defensiva e padrões de codificação que reduzam a vulnerabilidade do sistema, assim como as melhores práticas e recomendações de segurança do mercado.

15.5.Deve ser oferecido para todo colaborador cujo papel exija conhecimento nas melhores práticas de desenvolvimento seguro, formas de capacitação no assunto.

15.6.Periodicamente realizar testes de invasão nas aplicações que tratam dados pessoais ou outras informações confidenciais.

15.7.Vulnerabilidades críticas e altas devem ter sua correção priorizada a fim de serem eliminadas o mais rápido possível.

 

16. Política de Gestão de Ativos e Riscos

16.1.Deve-se manter atualizado o inventário dos ativos da informação da organização com proprietário, nível de segurança e valor devidamente designado.

16.2.Competindo ao proprietário do ativo comunicar a equipe OLIMPUS toda mudança significativa no ativo.

16.3.Cabe aos gestores das áreas informar a OLIMPUS do surgimento de novos ativos da informação.

16.4.O proprietário do ativo é responsável pela confidencialidade, integridade e disponibilidade das informações do ativo em questão.

16.5.Os riscos à segurança da informação e privacidade devem ser periodicamente identificados, avaliados e tratados por meio de um processo estabelecido alinhado às melhores práticas do mercado para o tema.

16.6.Riscos residuais acima do apetite a riscos da organização devem ter seu tratamento formalmente aprovado pela direção da respectiva área.

FAÇA PARTE DESSA HISTÓRIA

Junte-se a um time que lidera uma empresa que há mais de 20 anos oferece soluções inteligentes a seus clientes.

maos digitando techado
Grupo 4268