A Tecnologia da Informação (TI) está cada vez mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação. Portanto, é de vital importância a definição de normas de segurança que disciplinem o uso da tecnologia da informação. A IPNET Growth Partner, tendo como base a família ISO/IEC 27000, define sua Política de Segurança da Informação (PSI) conforme segue abaixo.
2. ESCOPO
Definir responsabilidades e orientar a conduta dos usuários de TI, visando a continuidade dos negócios por meio da confidencialidade, integridade e disponibilidade das informações da IPNET Growth Partner. Estabelecer uma estrutura para a proteção dos ativos de informação da IPNET Growth Partner:
- Proteger as informações da IPNET Growth Partner de todas as ameaças, sejam internas ou externas, deliberadas ou acidentais.
- Permitir o compartilhamento seguro de informações.
- Encorajar o uso consistente e profissional da informação.
- Garantir que todos tenham clareza sobre suas funções no uso e proteção das informações.
- Garantir a continuidade dos negócios e minimizar os danos.
- Proteger a IPNET Growth Partner de responsabilidades legais e do uso inadequado de informações.
As instalações de tratamento de informações críticas ou confidenciais serão localizadas em áreas seguras, protegidas por perímetros delimitados com barreiras de segurança e controles de entrada apropriados. As informações críticas e sensíveis serão fisicamente protegidas contra acesso não autorizado, danos e interferências.
A Política de Segurança da Informação (PSI) é um documento de alto nível que adota uma série de controles para proteger as informações. Esses controles são implementados por meio de políticas, normas, processos, procedimentos e são amparados por treinamentos e ferramentas.
3. APLICAÇÃO
Esta PSI aplica-se a todos os utilizadores de TI e a qualquer colaborador ou pessoa custodiante de informações da IPNET Growth Partner ou de seus clientes.
4. PRINCÍPIOS
A informação produzida como resultado de atividade profissional pertence à IPNET Growth Partner. Dados recebidos de clientes para implantação ou manipulação de um projeto são de responsabilidade da IPNET durante a vigência da prestação dos serviços. Divulgar informações confidenciais ou estratégicas é crime previsto nas leis de propriedade intelectual, industrial (Lei nº 9279) e de direitos autorais (Lei nº 9610). A segurança da informação depende de pessoas comprometidas, processos gerenciais de controle e sistemas de segurança.
São reconhecidos como usuários da infraestrutura de TI todos os colaboradores, profissionais autônomos, temporários, estagiários, menores aprendizes ou de empresas prestadoras de serviço que obtiverem a aprovação formal por escrito ou por e-mail do responsável hierárquico e da gestão de liberações da área de TI, para acesso aos recursos computacionais da IPNET Growth Partner.
5. RESPONSABILIDADES
A IPNET Growth Partner entende que o sistema de segurança da informação somente será eficaz com o comprometimento de todos.
5.1 Do responsável pela Governança de TI
- O Responsável pela Governança de TI é o proprietário designado da Política de Segurança da Informação (PSI) e é responsável pela sua manutenção e revisão, além dos processos e procedimentos de Segurança da Informação.
- Os requisitos de segurança da IPNET Growth Partner serão revisados pelo menos anualmente pelo Responsável pela Governança de TI, previamente apresentados aos C-Levels, em reunião ordinária e aprovados pelo DPO (Data Protection Officer). Quaisquer alterações substanciais aos requisitos de segurança deverão ser submetidas à avaliação e aprovação pelo Conselho/Diretoria. Solicitações formais de mudanças serão feitas para incorporação na PSI, normas, processos e procedimentos.
- Para fins desta PSI, serão consideradas “alterações substanciais” aquelas que, a critério da Comissão de Privacidade, impliquem em alterações relevantes aos processos e tecnologias adotados e/ou que, de qualquer forma, possam alterar ou influenciar a tomada de decisão da administração da companhia em razão da alteração dos riscos previamente considerados.
5.2 Dos Usuários
- Respeitar esta PSI.
- Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho.
- Responder pelo uso exclusivo e intransferível de suas senhas de acesso.
- Ativar senhas de proteção para e-mail, acesso à sua estação de trabalho, sistema operacional e demais plataformas, sob orientação da área de Suporte Técnico.
- Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software.
- Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra de segurança, fragilidade, mau funcionamento, presença de vírus ou quaisquer fatos que denotem vulnerabilidade aos dados e informações por ele manipulados.
- Assegurar que as informações e dados de propriedade da IPNET Growth Partner não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico.
- Relatar ao seu responsável hierárquico e ao Responsável pela Governança de TI o surgimento da necessidade de um novo software para suas atividades.
- Responder pelo prejuízo ou dano que vier a provocar à IPNET Growth Partner ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
- Estando os equipamentos em minha posse, eles estão sujeitos a inspeções sem prévio aviso.
5.3 Dos Responsáveis Hierárquicos
- Apoiar e zelar pelo cumprimento desta PSI, servindo como modelo de conduta para os colaboradores sob a sua gestão.
- Atribuir, na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI.
- Autorizar o acesso e definir o perfil do usuário junto à área de Suporte Técnico.
- Autorizar as mudanças no perfil do usuário junto à área de Suporte Técnico.
- Educar os usuários sobre os princípios e procedimentos de Segurança da Informação.
- Notificar imediatamente à área de Suporte Técnico quaisquer vulnerabilidades e ameaças à quebra de segurança.
- Assegurar treinamento para o uso correto dos recursos computacionais e sistemas de informação.
- Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato à área de Suporte Técnico.
- Obter aprovação técnica da área de Suporte Técnico antes de solicitar a compra de hardware, software ou serviços de informática.
- Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
5.4 Da Área de TI
- Configurar os equipamentos e sistemas para cumprir os requerimentos desta PSI.
- Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
- Restringir a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
- Garantir segurança do acesso público e manter evidências que permitam a rastreabilidade para auditoria ou investigação.
- Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes.
- Administrar, proteger e testar as cópias de segurança dos programas e dados ao negócio da IPNET Growth Partner.
- Gerenciar o descarte de informações a pedido dos custodiantes.
- Garantir que as informações de um usuário sejam removidas antes do descarte ou mudança de usuário.
- Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
- Criar a identidade lógica dos colaboradores na empresa.
- Atribuir contas e senhas identificáveis à pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação.
- Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção.
- Definir as regras formais para instalação de software e hardware, exigindo o seu cumprimento dentro da IPNET Growth Partner.
- Realizar inspeções periódicas de configurações técnicas e análise de riscos.
- Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais.
- Garantir, assim que solicitado, o bloqueio de acesso de usuários por motivo de desligamento da empresa.
- Propor as metodologias, sistemas e processos específicos que visem aumentar a segurança da informação.
- Promover a conscientização dos colaboradores em relação à relevância da segurança da informação.
- Apoiar a avaliação e a adequação de controles de segurança da informação para novos sistemas ou serviços.
- Buscar alinhamento com as diretrizes corporativas da empresa.
- Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.
- Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, todo e qualquer ativo computacional e outros componentes da rede — a informação gerada por esses sistemas pode ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado.
- Monitorar o ambiente de TI, a capacidade instalada da rede e dos equipamentos, tempo de resposta no acesso à internet e aos sistemas críticos da IPNET Growth Partner, indisponibilidade aos sistemas críticos, incidentes de segurança como vírus, trojans, furtos, acessos indevidos, e assim por diante.
- Monitorar a atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet, por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros.
- Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente ou superior.
- Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade.
- “Estabelecer políticas para o uso de dispositivos móveis na empresa.”
6. GESTÃO DE ACESSOS
6.1 Objetivo
Proteger a identidade dos usuários e garantir a integridade e segurança dos sistemas de informação da organização, de acordo com as melhores práticas e padrões da família ISO 27000.
6.2 Autenticação de Usuários
- Os usuários devem autenticar-se utilizando login e senha, em conformidade com a legislação vigente, como o Código Penal Brasileiro (art. 307 – falsa identidade).
- É estritamente proibido o uso de logins compartilhados. Caso um gestor solicite ou autorize o uso compartilhado, ele será responsabilizado conforme as políticas internas de conduta.
- Implementar a rotação periódica de senhas e, se possível, utilizar senhas dinâmicas ou temporárias para acessos específicos.
6.3 Inventário e Gestão de Contas
A. O controle de acesso baseado em função (RBAC) é um método para controlar o que os usuários podem fazer nos sistemas de TI de uma empresa. O RBAC faz isso atribuindo uma ou mais “funções” a cada usuário e concedendo permissões diferentes a cada função. O RBAC pode ser aplicado em um único aplicativo de software ou em vários aplicativos.
7. GESTÃO DE ATIVOS E SOFTWARES
7.1 Uso Exclusivo para Atividades Relacionadas ao Trabalho
- Os recursos de TI alocados pela IPNET Growth Partner aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho.
7.2 Uso de Dispositivos Pessoais
- Quando o colaborador utilizar dispositivos de sua propriedade como ferramenta de trabalho na IPNET Growth Partner, seu uso será disciplinado por esta Política de Segurança da Informação (PSI) e suas Normas publicadas. Nestes casos, a instalação de softwares de controle e monitoramento pode ser necessária.
7.3 Proibições de Intervenção
- É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação de sistemas. Também é proibida a transferência e/ou divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria).
7.4 Descarte e Reutilização de Ativos Computacionais
- Todo ativo computacional em desuso deverá ser encaminhado à área de TI para a remoção segura das informações, descarte adequado ou reuso, em conformidade com as normas de segurança.
7.5 Proteção de Informações Sensíveis
- O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostos ao acesso não autorizado.
7.6 Bloqueio de Dispositivos
- Computadores, celulares e tablets deverão ser bloqueados por senha quando não estiverem sendo utilizados para prevenir acesso não autorizado.
7.7 Inventário de Ativos
- Todos os ativos computacionais pertencentes à IPNET Growth Partner deverão constar em inventário, incluindo a identificação de todos os softwares que dependem de licença.
7.8 Suporte e Licenciamento de Softwares
- Garantir que os softwares utilizados nos ativos computacionais contem com suporte ativo por parte dos seus fornecedores e estejam devidamente licenciados.
7.9 Atualização de Sistemas
- Gerenciar e manter atualizados o sistema operacional e os softwares instalados nos ativos computacionais, garantindo que todas as atualizações de segurança e patches sejam aplicadas em tempo hábil.
8. RETENÇÃO E
DESCARTE DE DADOS E MÍDIAS
8.1 Retenção de Dados
- Os dados coletados pela IPNET Growth Partner devem ser utilizados e armazenados apenas durante o tempo necessário para a prestação do serviço ou para que suas devidas finalidades sejam atingidas, considerando os direitos dos titulares dos dados e dos controladores.
8.2 Prazo de Armazenamento
- De modo geral, os dados serão mantidos enquanto a relação contratual com a IPNET Growth Partner perdurar. Findado o período de armazenamento dos dados, estes serão excluídos de nossas bases de dados ou anonimizados, ressalvadas as hipóteses legalmente previstas no artigo 16° da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados.
8.3 Descarte Seguro de Dados
- Os dados devem ser descartados de maneira que proteja os direitos e liberdades dos Titulares dos Dados, por exemplo, picotamento, descarte como lixo confidencial, exclusão eletrônica segura, e em consonância com as orientações para a eliminação segura de mídia de armazenamento.
8.4 Destruição de Mídias Contendo Informações Sensíveis
- Mídias contendo informações referentes à IPNET Growth Partner deverão ser destruídas antes de seu descarte para garantir que as informações não sejam recuperáveis.
8.5 Descarte de CDs, DVDs e Documentos em Papel
- CDs, DVDs e documentos em papel deverão passar pelo triturador antes de serem descartados como lixo. HDs, pendrives e cartões de memória deverão ser encaminhados ao setor de TI para a destruição segura da informação antes do descarte ou reutilização.
8.6 Gerenciamento de Arquivos em Drives Virtuais
- Arquivos mantidos em drives virtuais devem ser rastreáveis, com logs de manipulação devidamente mantidos para garantir a transparência e a segurança das operações.
9. CLASSIFICAÇÃO DA INFORMAÇÃO
O gestor de cada área deve estabelecer os critérios relativos ao nível de confidencialidade da informação gerada por sua área, classificando-as em: Pública, Confidencial ou Interna.
9.1 Informação Pública
- Informações que podem ser divulgadas sem restrições e que não causam danos à IPNET Growth Partner se tornarem públicas.
9.2 Informação Confidencial
- Informações sensíveis que devem ser protegidas e acessíveis apenas a indivíduos autorizados. A divulgação não autorizada dessas informações pode causar danos significativos à IPNET Growth Partner.
9.3 Informação Interna
- Informações destinadas ao uso interno da organização, cujo acesso é restrito aos colaboradores da IPNET Growth Partner, mas que não requer o mesmo nível de proteção das informações confidenciais.
10. ANTIVÍRUS
A IPNET Growth Partner, através do Gestor de Liberação da área de TI, disponibiliza software corporativo de antivírus para todos os usuários. As seguintes diretrizes devem ser seguidas para garantir a segurança da informação conforme as melhores práticas da família ISO 27000.
10.1 Instalação e Atualização
- O software de antivírus deve ser instalado em todas as estações de trabalho dos usuários.
- As atualizações do antivírus serão realizadas automaticamente sempre que uma nova versão for disponibilizada pelo fabricante, por meio do aplicativo servidor.
10. 2 Configurações do Antivírus
- Os usuários estão proibidos de remover ou alterar as configurações do antivírus. Qualquer modificação pode comprometer a segurança proporcionada pelo fabricante do software.
10.3 Verificações Periódicas
- As verificações periódicas do disco rígido (HD) das estações de trabalho estão programadas para execução automática conforme definições da área de TI, incluindo a verificação de mídias removíveis.
10.4 Gerenciamento Centralizado
- O gerenciamento do software antivírus/antimalware deve ser centralizado, garantindo uma administração eficiente e segura.
10.5 Configuração de Firewall
- O firewall do sistema operacional deve ser ativado quando a ferramenta de antivírus e monitoramento não fornecer esse tipo de proteção. Isso assegura uma camada adicional de defesa contra ameaças.
11. ARMAZENAMENTO DE ARQUIVOS
11.1 Finalidade e Aplicação
- Todos os arquivos armazenados nos servidores de rede, nas estações de trabalho, em drives compartilhados ou pastas compartilhadas dos usuários, devem ser exclusivamente relacionados aos interesses e atividades da IPNET Growth Partner.
11.2 Proibições e Restrições
11.2.1 Pastas Pessoais
- É estritamente proibida a criação de pastas pessoais nos servidores de rede, nas estações de trabalho, em drives compartilhados ou pastas compartilhadas.
11.2.2 Pastas Departamentais
- A criação de pastas departamentais nos servidores de rede, nas estações de trabalho, em drives compartilhados ou pastas compartilhadas deve refletir a estrutura organizacional da IPNET Growth Partner e deve ser solicitada pelo responsável hierárquico à área de Suporte Técnico.
11.3 Controle de Acesso
13. JOGOS E SOFTWARES PIRATAS
13.1 Proibição de Jogos
- É terminantemente proibido o uso de jogos nos computadores e servidores da IPNET Growth Partner. Esta medida visa garantir a produtividade e segurança dos ativos da empresa.
13.2 Uso de Softwares Homologados
- Todos os softwares instalados nos computadores e servidores de rede devem ser homologados e de propriedade exclusiva da IPNET Growth Partner. A cópia integral ou parcial desses softwares, bem como a instalação de softwares piratas, é estritamente proibida.
13.3 Crime de Pirataria
- A instalação de softwares não autorizados ou piratas constitui crime contra a propriedade intelectual, conforme a Lei 9.609 de 19/02/98. Os infratores estão sujeitos a penas de detenção e multa, além de prejudicar a imagem da instituição. Qualquer violação será tratada com rigor e levada às autoridades competentes.
13.4 Procedimentos de Verificação e Remoção de Softwares Não Autorizados
- A área de TI deve realizar auditorias periódicas para identificar e remover softwares não autorizados ou desnecessários.
- Procedimento:
A. Identificação: Utilização de ferramentas de gerenciamento de ativos de software (SAM) para detectar softwares não autorizados.
B. Notificação: Comunicação ao usuário sobre a detecção de software não autorizado.
C. Remoção: Remoção ou desativação do software não autorizado, registrando o incidente.
D. Relatório: Geração de relatórios periódicos sobre a conformidade de software.
13.5 Limpeza Remota de Ativos
- Em caso de extravio de ativos, a área de TI é responsável por realizar a limpeza remota desses dispositivos, sempre que possível, utilizando ferramentas de gerenciamento remoto e medidas de segurança apropriadas.
13.6 Responsabilidades:
Usuários: Devem utilizar apenas softwares autorizados e homologados. Qualquer necessidade de novos softwares deve ser comunicada à área de TI.
Área de TI: Responsável pela homologação, instalação, auditoria e remoção de softwares. Também deve proporcionar treinamentos periódicos sobre a política de uso de software.
Gestores: Devem garantir que suas equipes estejam cientes e cumpram esta política, reportando qualquer violação à área de TI.
13.7 Ações Corretivas e Preventivas:
- Corretivas: Em caso de detecção de software não autorizado, remover imediatamente o software e aplicar medidas disciplinares conforme o regulamento interno.
- Preventivas: Realizar treinamentos periódicos sobre os riscos e penalidades associados ao uso de software não autorizado. Implementar soluções de Endpoint Protection para monitoramento contínuo.
13.8 Conformidade com a Família ISO 27000:
- Gestão de Ativos (ISO/IEC 27001): Garantir que todos os softwares utilizados sejam licenciados e devidamente homologados, protegendo a propriedade intelectual da empresa.
- Gestão de Incidentes de Segurança da Informação (ISO/IEC 27035): Estabelecer procedimentos para a detecção e resposta a incidentes relacionados à instalação de softwares não autorizados.
- Controles de Acesso (ISO/IEC 27002): Implementar políticas de controle de acesso que previnam a instalação de software não autorizado e a execução de jogos nos sistemas da empresa.
- Conformidade (ISO/IEC 27014): Assegurar a conformidade com leis e regulamentações relacionadas à propriedade intelectual e ao uso de software.
14. E-MAIL E MENSAGENS INSTANTÂNEAS
14.1 Conformidade Legal e Ética
- É estritamente proibido utilizar e-mails, mensagens instantâneas ou quaisquer outros meios de comunicação para fins que violem a lei, moral, bons costumes, ordem pública, ou que infrinjam direitos de propriedade intelectual ou industrial de terceiros.
14.2 Uso Profissional
- O conteúdo e a utilização de e-mails e mensagens instantâneas devem ser exclusivamente para fins profissionais, alinhados com os objetivos e responsabilidades do trabalho.
14.3 Autorização para Uso de Serviços de Mensagens Instantâneas
- Apenas usuários autorizados pela administração da IPNET Growth Partner podem utilizar serviços de mensagens instantâneas. A autorização deve seguir critérios claros e ser documentada.
14.4 Responsabilidade pela Proteção de Dados
- A segurança e a salvaguarda dos e-mails e anexos são responsabilidades dos usuários, que devem seguir as políticas de segurança da empresa. A IPNET Growth Partner fornece orientações e ferramentas, mas não assume a responsabilidade exclusiva pela proteção de dados armazenados ou transmitidos.
14.5 Uso de Software Aprovado
- É obrigatório o uso de navegadores e clientes de e-mail homologados pela IPNET Growth Partner, que incluem medidas de segurança, como bloqueio de arquivos maliciosos e proteção contra malware. O uso de software não autorizado é proibido, pois pode comprometer a segurança da informação e dificultar o suporte técnico.
14.6 Controle de Comunicações em Massa
- Qualquer comunicação em massa, incluindo propagandas, informativos e imagens, deve ser previamente aprovada pelo gestor responsável da área de TI, para evitar a categorização como spam e garantir o bom funcionamento dos sistemas de e-mail.
14.7 Tratamento de Mensagens de Origem Desconhecida
- Mensagens recebidas de remetentes desconhecidos devem ser tratadas com cautela. Sempre que possível, pré-visualize e exclua essas mensagens sem abrir seus anexos ou links, para evitar a introdução de vírus ou outras ameaças.
14.8 Responsabilidade pelo Uso Indevido
- Os usuários são totalmente responsáveis pelo uso indevido de e-mails e outras formas de comunicação. A responsabilidade inclui potenciais danos causados à organização ou a terceiros.
14.9 Monitoramento e Auditoria
- As comunicações sob o domínio da IPNET Growth Partner podem ser auditadas, conforme regulamentação legal e procedimentos internos. A utilização para fins pessoais é proibida.
15. AQUISIÇÃO, MANUTENÇÃO E DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO
15.1 Integração de Segurança no Ciclo de Vida de Desenvolvimento de Software (SDLC)
- Definição de Requisitos de Segurança: Os itens de segurança da informação devem ser identificados durante o desenvolvimento dos requisitos de negócios para novos sistemas de informação ou mudanças nos sistemas de informação existentes. Isso inclui considerações de confidencialidade, integridade e disponibilidade.
- Segurança por Design: Integrar aspectos de segurança desde o início do ciclo de vida do desenvolvimento de software (SDLC), garantindo que o design do sistema atenda aos requisitos de segurança.
- Revisões de Arquitetura de Segurança: Realizar revisões periódicas da arquitetura de segurança para assegurar que ela esteja protegida contra ameaças conhecidas.
15.2 Implementação de Controles e Padrões de Segurança
- Implementação de Controles: Controles de segurança apropriados devem ser implementados para mitigar riscos identificados, baseando-se em análises de risco e avaliações de impacto.
- Padrões de Design e Práticas de Codificação: Devem ser definidos padrões de design para aplicativos seguros e práticas de codificação seguras, utilizando guias de segurança de software e padrões reconhecidos.
- Automação de Testes de Segurança: Utilizar ferramentas de automação para testes de segurança, incluindo análise estática e dinâmica de código, garantindo a identificação rápida de vulnerabilidades.
15.3 Treinamento e Conscientização
- Treinamento Contínuo de Desenvolvedores: A equipe de desenvolvimento deve receber treinamento contínuo nas melhores práticas de desenvolvimento seguro de aplicativos, incluindo proteção contra injeções de SQL e segurança de autenticação.
- Programas de Conscientização: Implementar programas de conscientização para todos os funcionários, promovendo uma cultura de segurança em toda a organização.
15.4 Gestão de Vulnerabilidades e Patches
- Verificação de Códigos de Terceiros: Estabelecer uma rotina para verificação de códigos de terceiros, assegurando que esses componentes atendam a um nível mínimo aceitável de segurança.
- Aplicação de Patches e Atualizações: Implementar uma política rigorosa para a aplicação de patches e atualizações de segurança, baseada em avaliações de impacto de segurança.
- Relato de Vulnerabilidades: Definir um modelo para o relato seguro e confidencial de vulnerabilidades em aplicativos ou softwares.
15.5 Monitoramento e Resposta a Incidentes
- Monitoramento Contínuo: Implementar ferramentas de monitoramento contínuo para detectar atividades suspeitas e anômalas, permitindo respostas rápidas a incidentes de segurança.
- Plano de Resposta a Incidentes: Desenvolver e manter um plano abrangente de resposta a incidentes, incluindo procedimentos de comunicação, contenção, erradicação e recuperação.
15.6 Gestão de Componentes e Terceiros
- Inventário de Componentes de Terceiros: Estabelecer e manter um inventário de componentes de terceiros utilizados no desenvolvimento, incluindo uma avaliação dos riscos associados a cada componente.
- Avaliação de Segurança de Fornecedores: Estabelecer critérios claros para a avaliação de segurança de fornecedores e terceiros, garantindo que eles sigam práticas de segurança adequadas.
- Monitoramento Contínuo de Terceiros: Monitorar continuamente a segurança dos fornecedores e terceiros para assegurar a conformidade com os requisitos de segurança da organização.
15.7 Segregação de Ambientes e Proteção de Dados
- Ambientes Segregados: Manter ambientes separados para desenvolvimento, homologação e produção para minimizar riscos de segurança e controlar mudanças.
- Classificação e Proteção de Dados: Implementar políticas de classificação de dados e aplicar controles de proteção de acordo com a sensibilidade dos dados, garantindo a conformidade com regulamentações de privacidade como a LGPD e GDPR.
15.8 Análise de Riscos e Melhoria Contínua
- Avaliação Contínua de Riscos: Implementar um processo contínuo de avaliação de riscos para identificar novas ameaças e ajustar controles de segurança conforme necessário.
- Revisões e Auditorias Regulares: Realizar auditorias de segurança regulares para avaliar a eficácia dos controles implementados e identificar áreas de melhoria.
- Inovação e Melhoria Contínua: Manter-se atualizado com novas tecnologias e tendências em segurança da informação, promovendo inovações que fortaleçam a segurança dos sistemas.
15.9 Design Seguro e Princípio do Menor Privilégio
- Design Seguro: Aplicar o conceito de design seguro, incluindo o princípio do menor privilégio e a validação de entrada de dados para prevenir vulnerabilidades.
- Modelagem de Ameaças: Utilizar a modelagem de ameaças para identificar e tratar falhas de design de segurança desde as fases iniciais do desenvolvimento.
15.10 Logs de Auditoria e Ferramentas de Análise
- Logs de Auditoria: Criar e manter logs de auditoria para monitorar e rastrear atividades suspeitas, permitindo uma resposta eficaz a incidentes.
- Ferramentas de Análise Estática e Dinâmica: Utilizar ferramentas de análise estática e dinâmica no ciclo de vida do aplicativo para validar se as práticas de codificação segura estão sendo seguidas.
17. GESTÃO DE CONTINUIDADE DE NEGÓCIOS
- A IPNET Growth Partner estabeleceu arranjos para proteger os processos críticos de negócios dos efeitos de grandes falhas de sistemas de informação ou desastres e para garantir sua retomada oportuna.
- Um processo de Gestão de Continuidade de Negócios (GCN) será implementado de acordo com as melhores práticas estabelecidas pela família de normas ISO 27000, com o objetivo de minimizar o impacto na IPNET Growth Partner e agilizar a recuperação da perda de ativos de informação.
17.1 Identificação e Priorização de Processos CríticosIdentificação e Priorização de Processos Críticos
- Os processos de negócios críticos serão identificados e priorizados através de uma metodologia específica que avaliará a criticidade de cada processo com base no impacto potencial de sua interrupção.
17.2 Análise de Impacto nos Negócios (BIA)
- Realizar uma Análise de Impacto nos Negócios (BIA) para avaliar as consequências de desastres, falhas de segurança, perda de serviço e falta de disponibilidade de serviço. A BIA será conduzida regularmente para garantir que os dados reflitam o ambiente de negócios atual.
17.3 Plano de Continuidade de Negócios (PCN)
Um Plano de Continuidade de Negócios (PCN) será desenvolvido e mantido para garantir que a IPNET Growth Partner esteja preparada para responder eficazmente a interrupções. O PCN incluirá estratégias de recuperação, procedimentos detalhados e responsabilidades claras. Testes regulares do PCN serão conduzidos para assegurar sua eficácia e atualidade.
17.4 Treinamento e Conscientização
- Treinamentos periódicos e programas de conscientização serão realizados para garantir que todos os colaboradores entendam a importância da continuidade de negócios e estejam familiarizados com seus papéis e responsabilidades no PCN.
17.5 Melhoria Contínua
- O processo de Gestão de Continuidade de Negócios será continuamente revisado e melhorado com base em lições aprendidas, feedback dos testes e mudanças no ambiente de negócios. A IPNET Growth Partner está comprometida com a melhoria contínua para assegurar a resiliência de seus processos críticos de negócios.
18. TREINAMENTOS E COMUNICAÇÃO
18.1 Capacitação contínua em segurança da informação
- Realizar treinamentos periódicos para qualificar e manter atualizados os colaboradores sobre as melhores práticas de segurança da informação, com o objetivo de reduzir riscos e ameaças cibernéticas.
18.2 Uso seguro dos ativos computacionais
- Treinar os colaboradores sobre o uso seguro dos ativos computacionais da IPNET Growth Partner, garantindo que todos estejam cientes das políticas e procedimentos adequados.
18.3 Reconhecimento de ataques de engenharia social
- Capacitar os colaboradores para reconhecer e reagir adequadamente a ataques de engenharia social, como phishing, pretexting (pré-envio de mensagens de texto) e uso não autorizado de informações.
18.4 Manipulação de dados confidenciais
- Treinar os colaboradores sobre como identificar, armazenar, transferir, arquivar e destruir dados confidenciais de maneira segura e em conformidade com as políticas internas e regulamentos aplicáveis.
18.5 Prevenção de exposição não intencional de dados
1. Orientar os colaboradores sobre as causas da exposição não intencional de dados, tanto virtuais quanto físicos, além de cuidados com a exposição e bloqueio de tela.
18.6 Boas práticas de gestão de senhas e MFA
- Capacitar os colaboradores sobre as melhores práticas para a criação, gestão e utilização de senhas fortes, além de instruí-los sobre o uso de autenticação multifator (MFA).
16.7 Relato de incidentes de segurança
- Orientar os colaboradores sobre as maneiras corretas de relatar incidentes de segurança e comportamentos inadequados relacionados aos ativos computacionais, especificando claramente os canais oficiais de comunicação para esses relatos.
18.8 Canais oficiais de comunicação
- A IPNET deve fornecer e treinar os colaboradores sobre o uso correto dos canais oficiais de comunicação. Contudo, é responsabilidade dos colaboradores garantir que o conteúdo publicado nesses canais esteja em conformidade com as políticas da empresa.
18.9 Treinamentos específicos por função
- Realizar treinamentos de habilidades e conscientização de segurança específicos para cada função dentro da empresa, assegurando que cada colaborador receba a capacitação necessária para suas responsabilidades.
18.10 Administração de sistemas seguros para TI
- Qualificar os profissionais de TI para a administração de sistemas seguros, e proporcionar treinamento de conscientização e prevenção para desenvolvedores de aplicativos web, alinhado ao top 10 OWASP® (https://owasp.org/Top10/).
18.11 Engenharia social para funções de alto nível
- Prover treinamento avançado de conscientização sobre engenharia social para colaboradores em funções de alto nível, visando reforçar a segurança contra ataques direcionados.
18.12 Segurança no uso de redes públicas ou inseguras
- Treinar os colaboradores sobre as melhores práticas para o uso de redes públicas ou inseguras. Para colaboradores remotos, incluir orientações específicas para a configuração segura da infraestrutura de rede doméstica.
18.13 Treinamento de Novos Colaboradores
- Implementar um programa de integração que inclua treinamento em segurança da informação para novos colaboradores, garantindo que desde o início estejam cientes das práticas e políticas da empresa.
18.14 Treinamento de Fornecedores e Terceiros
- Estender os programas de treinamento a fornecedores e terceiros que tenham acesso aos sistemas e dados da empresa, assegurando que também sigam as melhores práticas de segurança.
18.15 Treinamentos Práticos e Simulações
- Implementar treinamentos práticos e simulações de incidentes de segurança, como exercícios de resposta a incidentes e testes de phishing, para preparar os colaboradores para situações reais.
18.16 Documentação e Recursos de Suporte
- Fornecer documentação completa e recursos de suporte, como FAQs e guias rápidos, para que os colaboradores possam consultar sempre que necessário.
19. AUDITORIAS
19.1 Planejamento das Auditorias
- Auditorias internas serão realizadas conforme um cronograma pré-definido, baseado em uma análise de riscos e prioridades organizacionais. O planejamento deve assegurar que todas as áreas críticas sejam auditadas em intervalos regulares.
19.2 Relatórios de Auditoria
- Relatórios de auditoria serão gerados periodicamente e encaminhados aos responsáveis pelas áreas auditadas, além da alta administração. Esses relatórios devem incluir achados, evidências, recomendações e um plano de ação para a correção de não conformidades.
19.3 Solicitações de Relatórios
- A Diretoria e a Presidência da IPNET Growth Partner poderão solicitar à Gerência de TI relatórios de auditoria detalhados, que podem incluir informações como nome de usuários, mensagens trafegadas, acessos à Internet e demais dados relevantes, sempre em conformidade com a legislação vigente e respeitando a privacidade dos usuários.
19.4 Gerenciamento de Logs de Auditoria
- Implementar e manter um processo robusto para o gerenciamento de logs de auditoria. Este processo deve incluir a coleta, armazenamento, proteção, revisão e descarte seguro dos logs, garantindo sua integridade e disponibilidade.
19.5 Centralização dos Logs
- Todos os logs de auditoria devem ser gerenciados de maneira centralizada, utilizando uma solução de gerenciamento de logs (SIEM – Security Information and Event Management) que permita a correlação de eventos e a detecção de incidentes de segurança de forma eficiente.
19.6 Conformidade com a ISO 27000
- As práticas de auditoria devem estar em conformidade com as diretrizes estabelecidas pela família ISO 27000, assegurando que o sistema de gestão de segurança da informação seja efetivo e continuamente melhorado.
19.7 Capacitação e Treinamento
- Garantir que todos os envolvidos no processo de auditoria recebam a capacitação e o treinamento necessários para realizar suas funções de maneira eficaz e conforme as melhores práticas de mercado.
20. INFRAESTRUTURA DE REDE
20.1 Gerenciamento e Atualização Contínua
- Garantir que a infraestrutura de rede seja gerenciada e mantida atualizada regularmente para prevenir a exploração de vulnerabilidades.
- Implementar um processo contínuo de patch management para assegurar que todos os dispositivos e softwares de rede estejam com as últimas atualizações e correções de segurança aplicadas.
- Assegurar que a rede seja segmentada para diferentes áreas da empresa e para visitantes, esta é uma boa prática e garante o isolamento às informações sensíveis.
20.2 Manutenção dos Ativos de Rede
- Inventariar e manter uma lista atualizada de todos os ativos de rede, incluindo hardware e software.
- Realizar avaliações regulares de riscos e vulnerabilidades nos ativos de rede para identificar e mitigar possíveis ameaças.
20.3 Gestão Centralizada de Autenticação, Autorização e Auditoria (AAA)
- Implementar um sistema centralizado de autenticação, autorização e auditoria para gerenciar o acesso à rede de maneira segura e eficiente.
- Utilizar mecanismos robustos de autenticação multifatorial (MFA) para garantir a verificação da identidade dos usuários.
20.4 Coleta e Análise de Logs para Auditoria de Segurança
- Estabelecer um sistema automatizado de coleta de logs de todas as atividades relevantes da rede.
- Realizar análises regulares dos logs coletados para identificar e investigar atividades suspeitas ou anômalas, garantindo a integridade e a segurança da rede.
20.5 Centralização de Alertas e Logs de Auditoria
- Implementar uma solução de gestão de eventos e informações de segurança (SIEM) para centralizar a coleta, análise e correlação de logs de auditoria e alertas de segurança.
- Configurar alertas em tempo real para notificar rapidamente a equipe de segurança sobre possíveis incidentes, permitindo uma resposta rápida e eficaz.
20.6 Revisões e Auditorias Regulares
- Realizar auditorias regulares da infraestrutura de rede e dos processos de segurança para assegurar conformidade com as políticas internas e as normas ISO 27000.
- Implementar um ciclo de melhoria contínua, revisando e atualizando processos e controles de segurança com base nos resultados das auditorias e nas mudanças no cenário de ameaças.
21. PRESTADORES DE SERVIÇO E FORNECEDORES
21.1 Criação e Gestão do Inventário de Prestadores de Serviço
- Manter um inventário atualizado de todos os prestadores de serviço, incluindo informações de classificação e contatos relevantes.
- Implementar um sistema de categorização para classificar os prestadores de acordo com o tipo de serviço prestado e nível de criticidade.
21.2 Controle e Gestão de Acessos
- Registrar e monitorar os níveis de permissões concedidas a cada prestador de serviço, garantindo o respeito ao princípio do menor privilégio.
- Realizar auditorias periódicas para assegurar que os acessos estejam alinhados com as necessidades operacionais e políticas de segurança.
21.3 Treinamento e Qualificação
- Oferecer treinamento e qualificação para os prestadores de serviços, aplicando as mesmas políticas de segurança e procedimentos de conformidade utilizados para os colaboradores da IPNET Growth Partner.
- Manter registros dos treinamentos realizados e das certificações obtidas pelos prestadores.
21.4 Gestão de Contratos
- Redigir e manter atualizados os contratos com os prestadores de serviços, incluindo cláusulas que reflitam as principais políticas de segurança adotadas pela IPNET Growth Partner.
- Garantir que os contratos contenham acordos de confidencialidade e requisitos de conformidade com as normas ISO 27000.
21.5 Avaliação e Monitoramento
- Implementar um processo de avaliação periódica das atividades dos prestadores de serviço para garantir a qualidade e a conformidade das entregas.
- Utilizar indicadores de desempenho e feedback regular para avaliar a satisfação com os serviços prestados.
22.6 Revogação de Acessos
- Gerir e monitorar a revogação de acessos dos prestadores de serviço quando necessário, assegurando que os direitos de acesso sejam removidos imediatamente após a conclusão do contrato ou em casos de mudança de função.
- Implementar um procedimento formal para a revogação de acessos e assegurar que todos os registros sejam atualizados de acordo.
22. DISPOSIÇÕES FINAIS
Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da IPNET Growth Partner. Portanto, é imperativo que todos os colaboradores compreendam a importância da segurança da informação e adotem práticas que protejam a integridade, confidencialidade e disponibilidade dos dados.
Qualquer prática que ameace a segurança da informação será tratada com rigor e poderá resultar em ações disciplinares, que variam de advertências verbais a rescisão contratual por justa causa. Ao determinar a ação disciplinar apropriada, serão considerados diversos fatores, incluindo, mas não se limitando a:
- Função exercida pelo colaborador: A posição e as responsabilidades do colaborador dentro da organização.
- Período de utilização: O tempo durante o qual a prática inadequada foi mantida.
- Local de utilização: O ambiente ou local onde ocorreu a prática inadequada.
- Horário de utilização: O momento específico em que a prática inadequada foi realizada.
- Prejuízo real ou potencial: O impacto efetivo ou possível sobre a IPNET Growth Partner.
22.1 Implementação de Melhorias ao Processo
Para alinhar-se às melhores práticas de mercado conforme a família ISO 27000, a IPNET Growth Partner compromete-se a implementar as seguintes melhorias ao processo de segurança da informação:
- Políticas de Segurança da Informação: Revisar e atualizar regularmente as políticas de segurança para assegurar conformidade com os padrões ISO 27000.
- Treinamento e Conscientização: Desenvolver programas contínuos de treinamento e conscientização para todos os colaboradores, garantindo que estejam atualizados sobre as melhores práticas e protocolos de segurança da informação.
- Gestão de Riscos: Realizar avaliações periódicas de riscos para identificar e mitigar ameaças potenciais à segurança da informação.
- Controles de Acesso: Implementar controles de acesso robustos para garantir que apenas indivíduos autorizados possam acessar informações sensíveis.
- Monitoramento e Auditoria: Estabelecer sistemas de monitoramento e auditoria para detectar e responder a incidentes de segurança de forma eficaz e oportuna.
- Resposta a Incidentes: Desenvolver e manter um plano de resposta a incidentes que permita uma reação rápida e eficiente a quaisquer violações de segurança.
- Melhoria Contínua: Promover uma cultura de melhoria contínua, utilizando feedback e lições aprendidas para aprimorar as práticas e processos de segurança da informação.