5.1. Apresentação
Este documento estabelece a PSI – Política de Segurança da Informação do Grupo Under Protection, que é um conjunto das diretrizes, normas elou procedimentos necessários à preservação e segurança das informações.
A Informação é um ativo, como qualquer outro ativo importante do negócio, que tem um valor para a organização e consequentemente necessita ser protegida. A Segurança da Informação visa protegê-la de um grande campo de ameaças, de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e oportunidades.
A Informação pode existir em muitas formas: pode ser impressa ou escrita em papel; guardada eletronicamente; transmitida pelo correio ou usando meios eletrônicos; mostrada em filmes, ou falada em conversação. Seja qual for a forma tomada pela Informação, ou meio através do qual ela é compartilhada ou armazenada, ela deve ser protegida adequadamente.
A Segurança da Informação é caracterizada pela preservação da Confidencialidade, Integridade, Disponibilidade.
A Segurança da Informação é alcançada a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais, instalações, softwares e ferramentas de controle automatizadas. Estes controles devem ser estabelecidos para garantir que os objetivos de segurança da organização sejam alcançados.
Abaixo alguns riscos típicos que a PSI pretende eliminar ou reduzir:
• Revelação de Informações sensíveis;
• Modificações indevidas de dados e programas;
• Perda de dados e programas;
• Destruição ou perda de recursos computacionais e instalações;
• Interdições ou interrupções de serviços essenciais;
• Roubo de propriedades, seja qual for.

As ameaças a serem tratadas pela Under Protection são:
• Integridade: Prever ameaças de ambiente, externas ou internas, oriundas de catástrofes, fenômenos da natureza elou qualquer evento provocado intencionalmente ou não. Cita-se aqui, como exemplo, fogo, enchentes, tempestades, inundações entre outros.
• Indisponibilidade: Prever falhas em sistemas e /ou diversos ambientes computacionais da organização.
• Divulgação da Informação: Prever a divulgação de Informações sensíveis aos Processos de Negócio da organização, premeditada elou acidental.
• Alterações não autorizadas: Prever alterações não autorizadas, premeditadas elou acidentais em Sistemas elou equipamentos de Tecnologia da Informação ou que suportem os Processos de Negócio.

5.2. As diretrizes que abrangem a PSI do Grupo Under Protection são:
I. O Grupo Under Protection formaliza seus Procedimentos Gerenciais de Segurança da Informação, parte integrante da PSI, em conjunto com os Procedimentos Operacionais, compondo um conjunto de documentos eletrônicos, a serem mantidos e atualizados para consultas;
II. O Grupo Under Protection deve divulgar a todos os seus colaboradores, prestadores de serviços, fornecedores, terceiros, parceiros e clientes, sua PSI e responsabilidades pelo seu acesso a este Patrimônio, evidenciando estas ações, no que lhe concerne;
III. Todos os colaboradores do Grupo Under Protection assim como seus prestadores de serviços, fornecedores, terceiros, parceiros e clientes que de alguma forma possuírem acesso ao patrimônio de Informações do Grupo Under Protection, são responsáveis pelo cumprimento da PSI.
Assim, temos que a Política de Segurança da Informação visa preservar a Confiabilidade, Integridade e Disponibilidade das Informações, recomendando e descrevendo as condutas adequadas para o seu manuseio, controle, proteção e descarte.
Todas as recomendações aqui descritas podem ser suplantadas mediante apresentação de documento formal, devidamente assinado e aceito pela Under Protection, informando os motivos que levam a não seguir uma, ou várias, recomendações específicas e contendo o Procedimento adotado, para apresentação em auditorias e certificações.

5.3. Declaração de comprometimento da Direção
A Direção da Under Protection, bem como seus Gestores e colaboradores, declaram-se comprometidos em proteger todos os ativos ligados à Tecnologia da Informação, garantindo a confidencialidade, a integridade e a disponibilidade de todos os ativos de Informação do Grupo Under Protection. Para tanto, e enviada a todos os colaboradores uma carta de comprometimento do Conselho Diretor do Grupo Under Protection, apoiando e dando credibilidade na elaboração e implantação, em sua totalidade, da Política de Segurança da Informação. A Carta possui um contexto explicativo dos motivos alusivos à elaboração e implantação da Política de Segurança da Informação do Grupo Under Protection (ANEXO l).

5.4. Monitoramento
Para assegurar que o Sistema de Gestão de Segurança da Informação alcance seus resultados pretendidos são realizados monitoramentos conforme descrição a seguir:

5.4.1. Objetivo 1:
Assegurar ao Grupo Under Protection a conformidade da Política de Segurança da Informação com a Norma ISO 27001 e legislação vigente;

5.4.1.1. Indicadores
a) Não conformidades em Auditoria Interna – Registrar e tratar todas as não conformidades encontradas nas auditorias internas;
b) Não conformidades em Auditoria Externa – Registrar e tratar todas as não conformidades encontradas nas auditorias externas;
c) Não conformidade por falha de cumprimento de Legislação – Registrar e tratar todas as não conformidades encontradas por falha de cumprimento de requisito legal;

5.4.2. Objetivo 2:
Proteger os dados, garantindo que as informações integrantes de seu patrimônio e aquelas sob sua guarda, assim como as ferramentas utilizadas para obtenção, geração, modificação, armazenagem e disponibilização estejam em conformidade com as leis vigentes no País;

5.4.2.1. Indicadores
d) Incidentes de Segurança da Informação – Registrar e tratar todos os incidentes de segurança da informação e privacidade;

5.4.3. Objetivo 3:
Assegurar a manutenção dos processos apoiados pelos sistemas informatizados do Grupo Under Protection, através da prevenção e solução de eventos de quebra de Segurança da Informação;

5.4.3.1. Indicadores
e) Incidentes de Segurança da Informação – Registrar e tratar todos os incidentes de segurança da informação;
f) Não conformidade internas – Registrar e tratar todas as não conformidades encontradas nos processos internos;
g) Não conformidades de reclamação de clientes – Registrar e tratar todas as não conformidades de reclamações de clientes;
h) Determinar e tratar todos os riscos – via metodologia LISA, determinar matriz de riscos e tratar os riscos apontados na matriz;
i) Manter documentação atualizada – revisar procedimentos, instruções de trabalho, formulários e toda documentação de apoio ao SIG pelo menos anualmente;

5.4.4. Objetivo 4:
Atender às premissas de segurança da informação observando os pilares: disponibilidade, confidencialidade e integridade dos nossos processos, em conformidade com os objetivos do negócio;

5.4.4.1. Indicadores
j) Incidentes de Segurança da Informação – Registrar e tratar todos os incidentes de segurança da informação;
k) Disponibilidade das ferramentas utilizadas – Monitorar a disponibilidade das ferramentas internas;
l) Não conformidades internas – Registrar e tratar todas as não conformidades encontradas nos processos internos;

5.4.5. Objetivo 5:
Criar cultura organizacional de Segurança da Informação;

5.4.5.1. Indicadores
m) Treinamento de Integração e Reciclagem – Garantir que todos os colaboradores e terceiros passem por treinamento de integração e reciclagem anual;
n) Campanhas de Segurança da Informação – Realizar campanhas de Phishing, Mesa e Tela Limpa, simulação de incidentes de segurança da informação e privacidade;

5.4.6. Objetivo 6:
Incentivar o comportamento seguro de todos os colaboradores;

5.4.6.1. Indicadores
o) Treinamento de Integração e Reciclagem – Garantir que todos os colaboradores e terceiros passem por treinamento de integração e reciclagem anual;
p) Campanhas de Segurança da Informação – Realizar campanhas de Phishing, Mesa e Tela Limpa, simulação de incidentes de segurança da informação e privacidade;
q) Reuniões com as Equipes – Realizar reuniões periódicas com as equipes para tratar de assuntos do SIG;

5.4.7. Objetivo 7:
Incentivar os nossos clientes a adotarem as melhores práticas de segurança da informação;

5.4.7.1. Método
r) Via material entregável de LISA, recomendar a implantação da ISO 27001;

5.4.8. Objetivo 8:
Promover a melhoria contínua dos processos de SIG.

5.4.8.1. Indicadores
s) Solicitações e Melhoria – Registrar e tratar todas as solicitações de melhoria;

5.5. Controles mínimos
Os controles mínimos necessários e providos pela PSI estão listados abaixo (devem estar devidamente identificados e documentados):
• Softwares de detecção de vírus, trojans, spywares, entre outros;
• Software de controle de acesso físico e lógico;
• Mecanismos de controle de acesso físico;
• Serviços críticos relativos a fenômenos da natureza (incêndio, inundações e entre outros);
• Serviços críticos relativos a concessionárias Estaduais elou federais (energia, água, telefonia entre outros).

5.6. Áreas da Segurança a serem tratadas5.6.1. SEGURANCA FÍSICA

5.6.1.1. Conceituação
Conjunto de medidas destinadas à proteção e integridade dos ativos da Organização e à continuidade dos seus serviços.

5.6.1.2. Vulnerabilidades
Devem ser previstos riscos naturais (inundações, tempestades entre outros.), riscos acidentais (incêndios, interrupções de abastecimentos diversos entre outros.), entradas não autorizadas, roubos de patrimônio, entre outros.

5.6.1.3. Áreas sensíveis
Devem ser mapeadas, levantadas e definida a criticidade de todos os ambientes físicos da organização, principalmente os de alta criticidade, equipamentos, patrimônio físico, recursos humanos, entre outros. Devem ser contemplados acessos físicos a todos os ambientes e o monitoramento principalmente os considerados de alta criticidade.

5.6.2. SEGURANCA LÓGICA
5.6.2.1. Conceituação
Conjunto de medidas destinadas à proteção de recursos computacionais contra utilização indevida ou desautorizada, intencional ou não.

5.6.2.2. Ambiente Lógico
O ambiente operacional, integrado pelos ativos de informação e de processamento será constantemente monitorado pela área Operacional. Sendo constatada qualquer irregularidade, o superior responsável será formalmente notificado, devendo tomar as providências cabíveis. A falta de providencias por parte do superior imediato atribui-lhe a responsabilidade solidária advinda do fato.
A administração de rede tem a prerrogativa para desabilitar temporariamente o login e o acesso à Internet de qualquer colaborador, desde que possua indícios de que está violando as Normas de Segurança. Neste caso, será gerado um relatório contendo o motivo para o bloqueio da conta. Este relatório será encaminhado a chefia imediata juntamente com os registros comprobatórios.

5.6.2.3. Vulnerabilidades
Devem estar previstos acidentes por falhas elou sabotagem de hardware, software, aplicativos e procedimentos.

5.6.2.4. Áreas sensíveis
Sistemas Operacionais, Sistemas Gerenciais de Banco de Dados, Sistemas Gerenciais de Rede, Sistemas Aplicativos e ferramentas de apoio. Devem estar contempladas política de usuários e senhas com definição de perfis de acesso aos ambientes e aplicativos.

5.6.3. SEGURANCA DE TELECOMUNICACÃO
5.6.3.1. Conceituação
Conjunto de medidas destinadas à proteção das Informações que trafegam por meios eletrônicos ou convencionais e dos recursos utilizados para esse tráfego.

5.6.3.2. Vulnerabilidades
Devem estar previstos acessos não autorizados às redes de comunicação de dados, adulteração de dados em tráfego, utilização não autorizada de Informações e extravio de formulários ou documentos classificados para não disponibilização pública.

5.6.3.3. Áreas sensíveis
Redes de comunicação de dados, redes locais, conexões com redes externas, ligações de usuários externos aos servidores da organização, telefonia.

5.6.4. CONTINUIDADE DO NEGÓCIO
5.6.4.1. Conceituação
Conjunto de Planos que contemplam as atividades necessárias para a continuidade dos negócios da Organização, quando houver algum tipo de interrupção nos processos, serviços elou equipamentos considerados críticos.

5.6.4.2. Vulnerabilidades
Devem estar previstas interrupções significativas das operações essenciais do negócio, causadas pelas vulnerabilidades nas áreas de segurança da informação a serem tratadas.

5.6.4.3. Áreas sensíveis
Todas as áreas de segurança da informação a serem tratadas.

5.7. Diretrizes
Para o perfeito funcionamento da PSI do Grupo Under Protection, as seguintes diretrizes devem ser implantadas e seguidas.

5.7.1. Aspectos organizacionais e administrativos
Devem ser estabelecidos contratos elou convênios para intercâmbio, contatos apropriados e consultoria permanente com autoridades legais, sindicatos, organismos reguladores da área de Segurança, organizações parceiras, fornecedores de serviços de uma forma geral, fornecedores de equipamentos e da Infraestrutura, fornecedores de software, fornecedores de serviços de telecomunicações, tendo como objetivo garantir ações eficazes e eficientes, quando da ocorrência de não conformidade de Segurança.

5.7.1.1. Atribuições e responsabilidades
Do ponto de vista da Segurança da Informação, o conhecimento dos Procedimentos de Segurança da Informação bem como de todos os demais Procedimentos em vigência na Under Protection é de obrigatoriedade nata de todos os colaboradores, prestadores de serviço, terceirizados, parceiros, estagiários elou fornecedores, que tenha acesso aos bens de Informação da Under Protection.
Em geral, as responsabilidades por executar os procedimentos, normas e outros documentos relacionados à PSI estão indicados nos próprios documentos citados, na própria PSI e conforme definição abaixo:

a) Comitê de Segurança da Informação (CSI)
Grupo de gestão multidisciplinar que agrega várias visões corporativas às soluções de segurança. É composto por representantes de diversos departamentos da empresa, com visões isoladas – sob orientação e coordenação direta do Gestor de Tecnologia da Informação.
Recomenda-se que o CSI seja assim constituído:
• Conselho Diretor;
• 01 (um) representante da Qualidade;

As principais atribuições do Comitê de Segurança da Informação:
• Revisar as Normas, Procedimentos elou Instruções de trabalho da PSI;
• Avaliar direcionamento tecnológico para garantir segurança;
• Definir as atribuições do Setor responsável pela Segurança da Informação e do Grupo de Respostas a Incidentes de Segurança da Informação;
• Aprovar as iniciativas para melhoria contínua das medidas de proteção dos bens de Informação do Grupo Under Protection e de seus clientes;
• Suportar perante a organização as iniciativas da área de Segurança da Informação;
• Manter a PSI atualizada.
Este Comitê deve se reunir quando convocado pelo seu representante, ordinariamente semestralmente e, extraordinariamente, quando houver necessidade. As reuniões devem possuir como objetivo a avaliação e o aprimoramento da Política de Segurança da Informação, a análise das não-conformidades de Segurança e as ações adotadas para a correção.

b) Grupo de resposta a incidentes (GRlSl).
Grupo de pessoas que responderão pelos incidentes de segurança da informação nos ativos do Grupo Under Protection, visando documentar e conduzir as ações de resposta a estes incidentes, de forma organizada e controlada.
O GRISI deverá ser constituído da seguinte forma:

• 1 (um) representante da área de SOC;
• 1 (um) representante da área de Risk Assessment (LISA);
• 1 (um) representante da área de MSSP;

O GRISI deve atuar junto a todo o parque tecnológico, inclusive pontos remotos.

O processo a ser seguido deve se basear na instrução: “ITSOC 007 – Processo de Resposta a Incidentes”.

5.7.1.2.  Termo de Confidencialidade e Uso de Mídias

Documento oficial do Grupo Under Protection que compromete colaboradores, terceirizados, prestadores de serviços e parceiros com a utilização de funcionalidades e/ou qualquer outra utilização que esteja fora dos padrões adotados pela organização e estabelecidos em Normas e Procedimentos Gerenciais Operacionais da Política de Segurança da Informação da organização.

Para cada utilização fora dos padrões pré-estabelecidos em Normas e Procedimentos da Política de Segurança da Informação, recomenda-se possuir 1 (um) termo específico a ser assinado por quem for dispor da mesma.

A validade legal destes Termos somente é reconhecida pela Under Protection e por qualquer outro órgão e/ou empresa, quando devidamente assinados pelos responsáveis legais.

5.7.1.3. Classificação e controle dos ativos.
Os ativos do Grupo Under Protection são gerenciados pelo procedimento “PSI010 – Procedimento de Gestão de Ativos”.

5.7.1.4. Classificação de Incidentes de Segurança da Informação.
Entende-se como incidente de Segurança, qualquer evento em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause danos aos ativos da organização.
Esse aspecto é gerenciado pelo procedimento “PSI005 – Procedimento de Incidentes de Segurança da Informação e Privacidade”.

5.7.1.5. Recursos Humanos
Todas as políticas de seleção e treinamento estão definidas nos procedimentos “RH001 – Seleção, Contratação e Desligamento de Pessoal” e “RH002 – Treinamento”.

5.7.1.6. Propriedade dos softwares aplicativos.
Os sistemas aplicativos e/ou qualquer outro tipo de software, desenvolvidos ou adquiridos pelo Grupo Under Protection e dessa forma de sua propriedade e utilização devem ficar restritos ao apoio dos negócios, não sendo permitida sua utilização para fins particulares e/ou cópias.
Esse aspecto é gerenciado pelo procedimento “PSI003 – Procedimento de Acesso a Recursos”.

5.7.2. Segurança Física
5.7.2.1. Área de Segurança

O Grupo Under Protection deve possuir estabelecido seu perímetro físico, identificando todos os pontos de acesso. As entradas de cada prédio devem ser dotadas de infraestrutura de registro necessária e suficiente que permita o controle adequado de entrada.

5.7.2.2. Controles de Entrada
O Grupo Under Protection gerencia o controle de entrada de pessoas através do procedimento “PSI009 – Procedimento de Controle de Acesso”.

5.7.3. Segurança Lógica
5.7.3.1. Gerenciamento das Operações e Comunicações
a) Documentação dos Procedimentos de Operação
Todos os sistemas, sejam eles executados em batch, on-line elou misto, estando em Produção, devem possuir documentação atualizada, conforme padrões da metodologia de desenvolvimento seguro de sistemas normatizada e em vigência na Under Protection.

b) Ambiente Operacional
Todos os equipamentos de infraestrutura, interligações das redes, interligações de hardware de grande porte e softwares básicos e de apoio, devem possuir documentação necessária e suficiente, bem como atualizada, que possibilite entendimento a qualquer técnico capacitado e habilitado, visando manutenções preventivas, corretivas e evolutivas, no ambiente operacional.

c) Gerenciamento e controle de mudanças
Toda e qualquer mudança no ambiente de produção, seja ela de infraestrutura, hardware, comunicações, softwares básicos, softwares de apoio, sistemas aplicativos, procedimentos entre outros, deve ser executada conforme procedimento “PSI011 – Procedimento de Gestão da Mudança”.

d) Gerenciamento e controle de problemas
Quaisquer problemas que ocorram no ambiente operacional, sejam eles de infraestrutura, hardware, equipamentos de comunicação de dados, softwares e sistemas aplicativos, devem ser registrados com no mínimo, as seguintes Informações:
• descrição do problema;
• data e hora da ocorrência;
• identificação de quem o registrou e quem foi acionado para solucioná-lo;
• consequências do problema;
• data e hora da solução;
• identificação de quem solucionou;
• descrição da solução adotada.

e) Monitoramento da Segurança
Testes periódicos de vulnerabilidade do ambiente de TI deverão ser realizados com a finalidade de garantir que a implementação de segurança de TI está vigiada e monitorada de forma proativa.

f) Incidentes de Segurança da Informação
Ocorrendo qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança lógica dos ativos da organização os mesmos deverão ser tratados conforme PSI.

g) Prevenção, Detecção e Correção de Softwares Maliciosos
Medidas para prevenção, detecção e correção de Softwares Maliciosos deverão estar implementadas por toda a organização, para garantir a proteção dos ativos de informação contra softwares maliciosos. O controle dessas medidas deve estar de acordo com a “Matriz de Riscos do Grupo Under Protection e SOA-Declaração de Aplicabilidade (Statement of Applicability)”.

h) Segurança de Redes
Assegurar que técnicas e procedimentos de segurança sejam usados para autorizar acessos e controlar as informações que circulam de e para as redes da organização.

i) Segregação de ambientes
O Grupo Under Protection possui desenvolvimento de softwares e segregação de ambientes seguindo as boas práticas do “DEV 001 – Política de Desenvolvimento Seguro”.
Conta ainda com o ambiente de LAB para testes de ferramentas e POC (Prova de Conceito).

5.7.3.2. Planejamento dos Recursos Computacionais e Aceitação de Sistemas pela Produção
a) Planejamento de capacidade
As atividades de planejamento de capacidade dos recursos computacionais sejam contínuas, tanto no ambiente de rede quanto no ambiente de grande porte. Devem ser apuradas, conforme processo de gerenciamento de performance e capacidade.

b) Aceitação sistemas
Para serem aceitos no ambiente de produção, os sistemas aplicativos devem estar previamente homologados pela área Operacional e áreas demandantes e documentados operacionalmente, através do “PSI011 – Procedimento de
Gestão da Mudança” e preenchimento da RFC – Request for Change.

5.7.3.3. Procedimentos Operacionais
a) Política de backup:
O Grupo Under Protection gerencia a Política de Backup através do procedimento “PSI004 – Procedimento de Backup Coorporativo”.

b) Registros de Operações:
O Grupo Under Protection gerencia o Registros de Operações através dos procedimentos “PSI006 – Procedimento de Registro de Operações” e “OPE001 Operacional de Implantação”, OPE002 Operacional de VAM”, “OPE003 Operacional Suporte”, “OPE004 Operacional Risk Assessment”, “OPE005 Operacional Processos” e “OPE 006 Operacional de SOC”.

5.7.3.4. Segurança e Tratamento de Mídias
Para todas as mídias do Grupo Under Protection que contenham bens de Informação, sejam elas em meio magnético, ótico ou papel, devem ser observados os seguintes cuidados mínimos:
a) Devem ser guardadas em lugar seguro, diferente do local onde os dados originais estão armazenados, e adequado, de acordo com as especificações do fabricante da mídia.
b) As mídias que forem transitar para fora das instalações de sua origem devem ter a sua saída registrada e a garantia de sua chegada ao destino, também registrada. Além disso, devem ser embaladas, acondicionadas e transportadas de forma adequada, para garantir sua integridade.
c) As mídias em meio magnético ou ótico devem ser identificadas externamente, quanto ao seu conteúdo, indicando, quando necessário, o prazo de retenção e observações sobre ela;
d) Quando forem descartadas, devem ser apagadas elou destruídas de forma completa e total, através de trituração ou incineração.

5.7.3.5. Controle de Acesso aos Recursos Computacionais
O Grupo Under Protection gerencia o Acesso a Recursos através dos procedimentos “PSI001 – Procedimento de Classificação da Informação” “PSI002 – Procedimento de Senhas” , “PSI003 – Procedimento de Acesso a Recursos”.

a) Identificação e autenticação de usuários
• O usuário somente deve possuir acesso ao ambiente computacional através de uma identificação de acesso e uma senha;
• A identificação de acesso do usuário deve ser única, pessoal e intransferível;
• A senha associada à identificação de acesso deve ser secreta e de conhecimento exclusivo do usuário para o qual foi custodiada;
• A senha não pode ser divulgada a terceiros, devendo-se evitar o uso de combinação simples ou óbvia na sua criação;

b) Uso das Estações de Trabalho
Os computadores e sistemas de comunicações não devem ser utilizados para fins pessoais. Os recursos computacionais, colocados à disposição do colaborador deverão estar inventariados corretamente no centro de custo de atividade do colaborador e o respectivo Termo de Responsabilidade assinado por este. Na ausência deste registro, o superior imediato assume esta responsabilidade. Todo usuário responde pelo mau uso ou dano causado nos equipamentos.

c) Compartilhamento de Recursos
O compartilhamento de diretórios elou arquivos nas estações de trabalho deve ser atribuído única e exclusivamente para facilitar elou agilizar o trabalho das atividades laborais, não devendo ocorrer em qualquer outra situação.

d) Arquivos Multimídias
De maneira geral o uso de mídias e portas USB é proibido no ambiente do Grupo Under Protection. Liberações podem existir de acordo com a necessidade e avaliação dos Gestores.
Os colaboradores que são autorizados a utilizar mídias e portas USB assumem a responsabilidade de utilizar os acessos de forma ética e apenas para o exercício da função. Assim como assinam um termo de responsabilidade (Anexo III).

5.7.3.6. Regras para criação de logins e senhas
• Para serem criados logins e senhas, deve-se ter uma solicitação da área de custódia do novo usuário, contendo, pelo menos, o nome completo do usuário, o local de trabalho e a data de início de utilização do login;
• Periodicamente, a cada 6 meses, deve ser enviada para os Gestores, uma relação dos usuários que tiveram seu login, senha e perfil de acesso autorizado por eles. Os Gestores devem confirmar a Informação, alterá-la caso seja necessário ou revogar o login;
• Os colaboradores são responsáveis por toda atividade realizada com sua conta. As contas de colaboradores não podem ser utilizadas por outras pessoas que não sejam os colaboradores para os quais elas foram geradas. Os colaboradores não devem permitir que outras pessoas realizem qualquer atividade com suas contas e senhas.
As senhas de acesso são de uso individual e restrito. O compartilhamento das senhas e terminantemente proibido, pois expõe o colaborador à responsabilidade pelas ações que outras pessoas realizarão com sua senha de acesso. Caso ocorra tal compartilhamento, seja de natureza autorizada ou não, o colaborador possuidor da senha compromissada assumira todas as responsabilidades e consequências das ações realizadas.

5.7.3.7. Perfil de acesso dos usuários
• Cada usuário deve possuir um perfil de acesso à rede de dados que deve indicar os diretórios, grupos, aplicativos, funcionalidades e suas permissões de direito;
• Aos sistemas, cada usuário deve possuir os perfis necessários para o desempenho de suas funções;
• Sempre que necessário, deve ser estabelecido o mesmo perfil de acesso para um grupo de usuários;
• Estes perfis devem estar normatizados;
• A permissão de acesso aos ativos de informação da organização deve ser solicitada formalmente conforme procedimento para liberação de acesso lógico.

5.7.3.8. Responsabilidades
As responsabilidades referentes ao controle de acesso aos recursos computacionais são classificadas conforme descrição abaixo:

I. Proprietário das Informações
Pessoa que utiliza os recursos de Tecnologia da Informação de propriedade ou sobre custódia da Under Protection para a geração de informação de qualquer natureza.

Autoridade e a responsabilidade do proprietário das Informações:
• Delegar responsabilidade e atribuições ao depositário das Informações;
• Classificar os bens de Informação, de acordo com sua natureza crítica e sigilosa;
• Estabelecer as regras de proteção dos bens de Informação, quanto aos acessos, backups entre outros.;
• Monitorar o cumprimento das regras estabelecidas;
• Responder pelas violações registradas e participar da decisão a ser tomada, quando da ocorrência de não-conformidade;
• Notificar não-conformidades de Segurança.

II. Custodiante
A Gestão de Tecnologia da Informação é a responsável pelo processamento, armazenamento e custódia das Informações.
Autoridade e responsabilidade do(a) Custodiante:
• Administrar os controles estabelecidos pelo proprietário da aplicação e de seus dados;
• Administrar o acesso aos recursos do sistema de processamento e prover procedimentos de Segurança;
• Controlar o acesso à Informação;
• Providenciar a proteção física;
• Simular e executar os planos de continuidade;
• Resolver as não-conformidades de Segurança.

III. Usuário da Informação
E todo colaborador, prestador de serviço, terceirizado, parceiro, estagiário ou fornecedor, que tenha acesso aos bens de Informação do Grupo Under Protection.
É vedado a utilização pelo funcionário dos recursos tecnológicos da organização para fins pessoais. Ocorrendo eventual extravio de informações elou dados, a Under Protection não poderá ser responsabilizada.

Autoridade e responsabilidade do usuário da Informação:
• Zelar por todo acesso ao ambiente computadorizado executado e registrado com a sua identificação pessoal de acesso;
• Respeitar e preservar o grau de confidencialidade da Informação, divulgando-a exclusivamente para as pessoas autorizadas a terem esse conhecimento;
• Utilizar os recursos tecnológicos (equipamento, programas e sistemas) e as Informações somente para desempenho das suas atividades profissionais e dentro dos padrões de utilização descritos na Política de Segurança da Informação, sendo assim vedado o seu uso para fins pessoais;
• Assinar o Termo de Responsabilidade e Sigilo onde são estabelecidas as regras sobre o uso dos bens de Informação;
• Assinar o Termo de Responsabilidade e Compromisso, quando necessário, para utilização de funcionalidades que estejam fora dos padrões pré-determinados na Política de Segurança da Informação;
• Notificar de imediato as não-conformidades de Segurança.

IV. Gestor de área (Coordenador e Gestor)
• Gerenciar o cumprimento da Política de Segurança, por parte dos colaboradores sob sua gestão;
• Identificar e comunicar a quem de direito os desvios praticados e adotar as medidas corretivas apropriadas;
• Impedir o acesso dos colaboradores demitidos ou demissionários aos ativos de informações sob sua responsabilidade;
• Proteger, em nível físico e lógico, os ativos de informação sob sua responsabilidade;
• Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger a informação da empresa;
• Comunicar formalmente à Gerência de Tecnologia da Informação, qual o perfil de acesso dos colaboradores a ele subordinados;
• Comunicar formalmente à Gerência de Tecnologia da Informação, quais os colaboradores demitidos ou transferidos, para exclusão no cadastro dos usuários;
• Comunicar formalmente à Gerência de Tecnologia da Informação, aqueles que estejam respondendo a processos, sindicâncias ou que estejam licenciados, para inabilitação no cadastro dos usuários;
• Dar conhecimento aos responsáveis pela segurança da ocorrência de qualquer irregularidade ou desvio das Políticas de segurança, estando a ele correlacionada ou não.

V. Colaboradores:
• Cumprir integralmente a Política de Segurança, sob pena de incorrer nas sanções disciplinares e legais cabíveis;
• Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações;
• Utilizar os Sistemas de Informações e os recursos a ela relacionados somente para a execução das atividades correlacionadas com o desempenho de seu trabalho;
• Cumprir as regras específicas de proteção estabelecidas aos ativos de informação;
• Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da empresa;
• Não compartilhar, sob qualquer forma, informações sigilosas com outros que não tenham a devida autorização de acesso;
• Responder, por todo e qualquer acesso, aos recursos da empresa bem como pelos efeitos desses acessos efetivados através do seu código de identificação, ou outro atributo para esse fim utilizado;
• Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente;
• Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio da Política de Segurança da empresa;

5.7.3.9. Camadas De Segurança
Para a devida proteção do ambiente, devem ser projetadas 4 (quatro) camadas de acesso:
• Acesso ao ambiente;
• Acesso aos sistemas aplicativos;
• Acesso às funções dos sistemas aplicativos;
• Acesso aos dados.
Sempre que possível o login e a senha de acesso devem ser únicos para todas as camadas de Segurança.
Devem ser exibidos para os usuários apenas os arquivos, os softwares e as funcionalidades a que eles têm direito de acesso, ficando sob responsabilidade informar ao seu superior sobre acessos disponibilizados em demasia.

5.7.3.10. Trilhas de Auditoria
Recomenda-se a existência de softwares de Segurança, e que estes mantenham registros sobre os acessos dos usuários, indicando, sempre que possível, o arquivo, o software, a data e hora que foram acessados.
As auditorias internas seguirão as definições do “GES004 – Auditorias do SIG”.

5.7.3.11. Computação Móvel e Trabalho Remoto.
Sempre que necessário e viável, a Under Protection deve disponibilizar sistemas na Internet, através de sua Gestão de Tecnologia da Informação. Para que os acessos realizados a estes sistemas sejam feitos com segurança, devem ser previstos e adotados mecanismos visando a proteção dos bens de Informação, tais como Certificação digital, Softwares de Segurança, Antivírus, Firewalls corporativos e individuais, Criptografia e entre outros.
É vedado ao colaborador, prestador de serviços, terceiros ou fornecedores, acesso ao ambiente da Companhia com equipamentos de computação pessoal, salvo com autorização formal do Gestor de TI.

5.7.3.12. Trabalho Remoto de Forma Segura

5.7.3.12.1. Respeitar as Regras da Empresa.

• Não tentar burlar mecanismos de segurança para facilitar acessos:
• É proibido o compartilhamento de credenciais de acesso, utilizar o cofre de senhas

5.7.3.12.2. Guardar as senhas de forma segura.

• Adotar um método de gerenciamento.

Você pode:

• • Usar aplicativos gerenciadores de senhas;
  • Gravá-las em um arquivo criptografado.

• Não salvar senhas no navegador.

5.7.3.12.3. Tratar dados sensíveis com cuidados extras.

Copiar e transportar dados de sistemas internos para trabalhar remotamente, em especial aqueles relacionados a dados pessoais, pode levar a vazamentos e ter implicações legais, inclusive com multa, conforme a Lei Geral de Proteção de Dados (LGPD).

• Usar apenas mecanismos aprovados pela empresa para transferência de informações;
  • Não usar, sem autorização, serviços de compartilhamento em nuvem, dispositivos ou e-mails pessoais.
• Ativar criptografia em mídias externas, para evitar acesso indevido em caso de perda ou furto;
• Copiar apenas os dados estritamente necessários;
  • Apagar assim que terminar o uso.

5.7.3.12.4. Deixar sua rede doméstica mais segura.

Redes domésticas não tem os mesmos recursos de segurança que uma rede corporativa e precisam de cuidados. Além disso, vulnerabilidades no roteador podem levar à instalação de malware e à alteração de configuração para desvio de tráfego.

5.7.3.12.5. Ficar atento ao ambiente ao seu redor.

Seja ao digitar credenciais de acesso ou fazer videoconferências, alguém pode estar observando. Para não expor informações sensíveis é preciso analisar o entorno e ficar atento a curiosos, câmeras de vídeo e dispositivos ativados por voz, como assistentes pessoais.

• Evitar fazer chamadas de áudio/vídeo em locais públicos, como cafés;
• Antes de digitar credenciais de acesso, certificar-se que não está sendo observado ou filmado;
• Desligar dispositivos ativados por voz antes de fazer reuniões;
• Sempre utilizar a tela de fundo padrão da Under.

5.7.3.12.6. Cuidados com o Ativo.

• Os computadores devem ser desligados ao final de cada dia de trabalho para que ele possa passar pelo processo de atualização;
• É proibido o colaborador realizar impedimento das atualizações de patches dos ativos da organização;
• Manter o ativo em condições de uso;

5.7.3.13. Trânsito de Informações
O Grupo Under Protection gerencia o trânsito de informações através dos procedimentos “PSI001 – Procedimento de Classificação da Informação”, “PSI003 – Procedimento de Acesso a Recursos”, PSI006 – Procedimento de Registro de Operações.
O trânsito de Informações deve ser feito por um caminho ou meio confiável com controles que ofereçam autenticidade do conteúdo, proteção de submissão e recebimento e não repúdio da origem. Os procedimentos acima citados contemplam e padronizam a geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, entrada, uso e arquivamento de chaves criptográficas para garantir a proteção das chaves contra modificação e acessos não autorizados.

5.7.3.14. Acesso a Utilitários Poderosos
No Grupo Under Protection, pela natureza dos serviços prestados e dos produtos comercializados relacionados à Segurança da Informação, existe uso de programas considerados poderosos, ou seja, programas que podem sobrepor os controles de Segurança estabelecidos e implementados.
Estes utilitários possuem critérios de proteção de acesso que os tornam de uso restrito aos colaboradores da área Operacional (Farol MSSP, Risk Assessment, SOC, Processos) para usufruto de afazeres relacionados a seu trabalho.
As outras áreas da organização estão sob gerenciamento da Política de Segurança da Informação e seus procedimentos correlatos.

5.7.3.15. Administração de Acessos
O Grupo Under Protection gerencia o acesso através dos procedimentos “PSI001 – Procedimento de Classificação da Informação”, “PSI003 – Procedimento de Acesso a Recursos”, PSI006 – Procedimento de Registro de Operações e PSI009 – Procedimento de Controle de Acesso.
Foram criados mecanismos que permitem registros de acessos aos ambientes, indicando, minimamente e sempre que possível, os recursos acessados, quem efetuou o acesso, data e hora, tentativas de acesso com senhas erradas, tentativas de acesso de estações de trabalho não permitidas, tentativas de acesso em horários não permitidos entre outros.
É realizado o monitoramento e gerenciamento dos acessos, pela Gestão e por auditores que porventura sejam requisitados.

5.7.3.16. Desenvolvimento e Manutenção de Sistemas
O desenvolvimento de sistema, seja ele feito na Under Protection ou por empresas terceirizadas parceiros elou fornecedores, deve utilizar boas práticas de desenvolvimento seguro padrão do ambiente vigente na Under Protection.

5.7.4. Segurança de Telecom
O Grupo Under Protection gerencia a Segurança de Telecom através do procedimento “PSI003 – Procedimento de Acesso a Recursos”.

5.7.4.1. Acesso à Internet, Canais de Comunicação, correio eletrônico, telefone e mensagens instantâneas.

a) Internet
O acesso à Internet corporativa deve ser restrito às atividades profissionais.
São utilizados mecanismos de monitoramento que permitem o gerenciamento do uso desse recurso e que são regidos conforme Leis vigentes no País.

I. Bloqueio e controle de Sites na Internet
Os sistemas da empresa são configurados rotineiramente para evitar que os colaboradores se conectem em sites não relacionados as atividades da empresa. Os colaboradores que usam os sistemas de informações não têm permissão para acessar um site cujo conteúdo seja de explicitação sexual, racista ou outro material potencialmente ofensivo. A capacidade para conectar-se a um site específico não implica em permissão para acessar o mesmo.
O acesso de qualquer computador da rede da empresa à Internet deverá ser feito exclusivamente através de equipamentos de controle (Firewall e Proxy) corporativos. Outras formas de acessar à Internet, como conexões dial-up através de um provedor externo ou cascateamento de proxies, visando burlar as barreiras corporativas, são terminantemente proibidas de serem empregadas. O uso dessas ferramentas são autorizadas apenas para realização do trabalho, conforme procedimentos operacionais.

II. Grupos de discussão, salas de conversação e redes sociais
A não ser que seja expressamente autorizado pela gerência responsável, os colaboradores são proibidos de participarem em grupos de discussão na Internet, salas de conversação e redes sociais, bem como outros fóruns públicos eletrônicos, quando utilizando os sistemas da empresa. O uso dessas ferramentas são autorizadas apenas para realização do trabalho.

b) Canais de Comunicação
O acesso aos Canais de Comunicação (wiki, Sharepoint, Teams) corporativos deve ser restrito às atividades profissionais.
Requerimentos de segurança deverão são adotados na rede interna da Under Protection a fim de assegurar que informações confidenciais não sejam comprometidas e que os serviços disponibilizados estejam protegidos.
O gerenciamento do uso dos Canais de Comunicação, deveram ser regidos conforme Leis vigentes no País.

c) Correio eletrônico
O endereço de correio eletrônico fornecido pela Under Protection para cada colaborador, prestador de serviço ou terceiro (@underprotection.com.br) será utilizado única e exclusivamente para atividades relacionadas ao trabalho na organização.

I. Correio eletrônico como comunicação pública
Os colaboradores devem evitar enviar números de cartões de crédito, senhas, informações de pesquisas e desenvolvimento, informações de clientes e outros dados sensíveis via correio eletrônico. A empresa não se responsabiliza pelas informações pessoais, fornecidas pelos seus colaboradores através da Internet ou qualquer outra rede pública, que de alguma maneira venha a ser manipulada elou utilizada por terceiros.

II. Uso pessoal do sistema de correio eletrônico
O sistema de correio eletrônico é disponibilizado para ser usado nas atividades da empresa, e somente seu uso profissional está autorizado. E proibido o uso de correio eletrônico externo através da utilização da infraestrutura de comunicações da empresa. Tal proibição leva em consideração principalmente a grande quantidade de códigos maliciosos, vírus, cavalos de Tróia, Worms e exploits oriundos dos provedores externos.

III. Restrições do conteúdo das mensagens
Os colaboradores estão proibidos de enviarem ou encaminharem quaisquer mensagens via os sistemas de informações da empresa, que possa ser considerada como difamatória, inoportuna ou de natureza explicitamente sexual.
Os colaboradores também são proibidos de enviarem ou encaminharem mensagens ou imagens que possam ter conotação ofensiva de raça, sexo, nacionalidade, religião, filiação política, deficiência física, entre outros.
IV. Filtros de Conteúdo
Com a finalidade de minimizar a contaminação por vírus, otimizar o tráfego de rede e o espaço de armazenamento em disco no servidor de correio eletrônico, são filtradas de forma automática as mensagens que possuam arquivos anexados com as seguintes extensões: JPG, JPEG, MP3, BAT, EXE, COM, INI, PIF, AVI, MPEG, BMP, GIF, PPT e PPS. Podem e devem ser adicionadas a esta lista, sem aviso prévio, qualquer outra extensão que a Gestão de Tecnologia da Informação julgue conveniente.

d) Telefones
A utilização dos telefones da organização é restrita ao desempenho das atividades laborais dos colaboradores.

e) Mensagens Instantâneas
A utilização de software relativo à mensagem instantânea é restrita ao desempenho das atividades profissionais.

5.7.5. Continuidade dos Negócios
Visando garantir a continuidade dos negócios do Grupo Under Protection, estabeleceu o procedimento “PSI007 – Procedimento de Plano de Continuidade de Negócio”.
Os Planos de Continuidade de Negócio são elaborados pela área de Segurança da Informação, com a colaboração das áreas que compõem a Gestão de Tecnologia da Informação, bem como quaisquer outras áreas da Under Protection que seja necessária.
Estes Planos de Continuidade de Negócio devem ser elaborados somente para os ativos considerados críticos e que sejam aprovados pelo CSI – Comitê de Segurança da Informação. Para os fornecedores é realizada a análise de continuidade na homologação.

5.7.6. Condutas Gerais
As Políticas de conduta gerais abordadas abaixo, são implantadas no Grupo Under Protection, através dessa Política de Segurança da Informação, conforme descritos abaixo.

5.7.6.1. Política de mesa e tela limpas
a) Mesa Limpa
• Os documentos em papéis e mídias eletrônicas não devem permanecer sobre a mesa desnecessariamente, devem ser armazenados em armários ou gavetas trancados, quando não estiverem em uso, especialmente fora do horário do expediente;
• Não anotar informações sensíveis em quadros brancos ou Post-it;
• Guardar agendas e cadernos de anotações numa gaveta trancada;
• Manter os pertences pessoais em gavetas ou armários trancados;
• Manter as gavetas e armários fechados e trancados, não deixar as chaves na fechadura, não deixar chaves em qualquer lugar as mantenha junto a você;
• Nunca escrever senhas em lembretes e nem tente escondê-las no local de trabalho;
• Não deixe mídias nos drives;
• Ao final do expediente, ou no caso de ausência prolongada do local de trabalho, limpar a mesa de trabalho, guardar os documentos, trancar as gavetas e armários, e desligar computador;
• Não colocar ou comer refeições e lanches sobre a mesa;
• Trancar o local de trabalho ao deixá-la, não deixar o local de trabalho aberto sem que haja um colaborador que trabalhe no local presente.

b) Tela Limpa
• Computadores pessoais e terminais de computador e impressoras não devem ser deixados “logados”, caso o usuário responsável não esteja presente;
• Nos computadores, utilizar um protetor de tela que solicite uma senha para acesso;

5.7.6.2. Documentação física
e) Armazenamento seguro
As informações críticas do negócio devem ser guardadas em lugar seguro quando não em uso, principalmente quando o escritório está desocupado.

f) Cuidados com impressão
A Under orienta que dentro das possibilidades não sejam impressos nenhum documento. Caso seja necessários impressão, documentos com informações sensíveis devem ser recolhidos imediatamente, a fim de impedir que uma pessoa não autorizada tenha acesso à informação.
Pontos de entrada e saída de correspondência devem ser protegidos e monitorados.

g) Cuidados com o Lixo
Todo lixo que contenha informação reservada ou secreta deve ser eliminado através de “Máquina picotadora” ou similar, ou destruição manual. Sempre se certifique que o descarte ocorreu de maneira correta e que impossibilita qualquer tentativa de reconstrução.

5.7.6.3. Conduta em ambiente externo:
• É fundamental que o profissional seja reservado e cuidadoso nas suas opiniões, conversas, participações em eventos, principalmente quando em contato com o cliente e/ou a com terceiros;
• Cuidado com as informações sensíveis e com as conversas em locais públicos, aplicativos e meios de transporte.

5.7.7.  Gestão de Fornecedores

A organização realiza o gerenciamento dos seus fornecedores/terceiros para contratação de serviço. Com regras de diligência adicionais para terceiros considerados relevantes, que são aqueles que são considerados críticos a operação.

São realizadas avaliações e homologação dos fornecedores críticos através de formulário com critérios de avaliação para classificar o nível de aderência em Segurança da Informação e Privacidade de Dados.

5.7.8. Privacidade de Dados
O Grupo Under Protection, estabelece o tratamento de dados através da “Política de Privacidade LGPD”, disponível nos canais internos da companhia e no site para colaboradores, fornecedores, prestadores de serviços, clientes e comunidade.

5.7.9. Sanções
Aos colaboradores e terceiros que, de forma intencional ou não, desrespeitarem as normas estabelecidas neste documento, serão aplicadas as seguintes sanções:
• Advertência escrita;
• Suspensão do direito de uso de serviços oferecidos pela rede da empresa por tempo indeterminado;
• Demissão;
• No caso de terceiros, rompimento de contrato sem nenhum ônus para o Grupo Under Protection;
De acordo com a gravidade analisada e de posse dos registros comprobatórios, o assunto será encaminhado aos gestores e conselho diretor, através de normas já estabelecidas pelo formulário de ocorrência, para tomar as medidas cabíveis para o caso em questão
Obs: A aplicação destas sanções não isenta o colaborador ou terceiro, de sofrer outras penalidades previstas em Regulamentos Internos, ou mesmo de sofrer processos penais por crimes de peculato, de extravio, sonegação e inutilização de livro ou documento, de condescendência criminosa, de violação de sigilo funcional entre outros, estabelecidos no código penal.

https://www.underprotection.com.br/politica-de-seguranca-da-informacao