Prezado(a) Leitor(a),
É com grande satisfação que compartilhamos nossa Política de Segurança da Informação!
Estamos certos de que poderemos contar com seu empenho, dedicação e profissionalismo. Este documento tem como objetivo essencial garantir a preservação da segurança da informação, protegendo a integridade da nossa organização, dos nossos colaboradores e dos nossos parceiros.
A Política de Segurança da Informação que apresentamos não é um retrato exaustivo das nossas práticas, mas sim um conjunto de diretrizes que orienta o caminho que desejamos trilhar. À medida que o ambiente e as expectativas da sociedade evoluem, precisamos inovar e adaptar nossos processos para garantir a proteção adequada das informações.
A Política de Segurança da Informação é revista e atualizada continuamente para assegurar que permaneça relevante e eficaz. Valorizamos e incentivamos a contribuição de todos os colaboradores por meio de comentários e sugestões, que são sempre bem-vindos.
Este documento serve como um Guia de Conduta em relação à segurança da informação e deve ser utilizado por todos os colaboradores da Alias Tecnologia em suas interações e decisões diárias.
Reconhecemos a importância de manter rigorosos princípios de segurança na condução dos nossos negócios em todos os mercados onde atuamos. Nosso compromisso é orientar essas ações e estabelecer um padrão elevado de segurança da informação, baseado nas seguintes premissas:
− Valorização das pessoas e da informação.
− Visão integrada das atividades com foco na melhoria contínua dos resultados e na qualidade dos serviços, sustentada por três pilares: Comprometimento, Proatividade e Atendimento de Excelência.
− Fomento a relacionamentos construtivos e à confiança nas relações internas e externas.
Estamos confiantes de que, com sua colaboração, continuaremos a fortalecer nossa segurança da informação e a garantir a integridade e a confidencialidade que são cruciais para o sucesso de nossa organização.
O presente documento constitui uma declaração formal da ALIAS TECNOLOGIA acerca de seu compromisso com a proteção das informações de sua propriedade ou sob sua custódia, devendo ser cumprido por todos os seus diretores, gestores, empregados, estagiários, aprendizes e prestadores de serviços.
Esta política se aplica à Empresa, Diretoria, colaboradores e prestadores de serviços.
– Política de Segurança da Informação: é o documento que orienta e estabelece as diretrizes corporativas da ALIAS TECNOLOGIA para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.
– Informação: A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. A informação pode existir em diversas formas, podendo ser impressa, escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
– Segurança da Informação: É a proteção da informação de vários tipos de ameaças, a fim de garantir a continuidade do negócio, minimizar os riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
Os princípios da segurança da informação abrangem, basicamente, os seguintes aspectos:
− Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações;
− Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;
− Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.
– Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para o sistema ou organização.
– Áreas críticas: Dependências da ALIAS TECNOLOGIA ou de seus clientes, onde esteja situado um ativo de informação relacionado às informações críticas para os negócios da empresa ou de seus clientes.
– Ativo: Qualquer coisa que tenha valor para a organização.
– Ativo de Informação: Qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos do negócio de uma unidade ou área do negócio.
– Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.
– Evento de segurança da informação: Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
– Gestão de riscos: Atividades coordenadas para direcionar e controlar a organização no que se refere a riscos.
– Incidente de segurança da informação: Qualquer fato que afete um dos pilares do CID, Confidencialidade, Integridade e Disponibilidade.
– Informação: agrupamento de dados que contenham algum significado.
– Informações críticas para os negócios da ALIAS TECNOLOGIA: Toda informação que, se for alvo de acesso, modificação, destruição ou divulgação não autorizada, resultará em perdas operacionais ou financeiras à ALIAS TECNOLOGIA ou seus clientes. Cita-se, como exemplo, uma informação que exponha ou indique diretrizes estratégicas, contribua potencialmente ao sucesso técnico e/ou financeiro de um produto ou serviço, refira-se a dados pessoais de clientes, fornecedores, empregados ou terceirizados, ou ainda que ofereça uma vantagem competitiva em relação à concorrência.
– Risco: Combinação da probabilidade de um evento e de suas consequências.
– Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
– ABNT NBR ISO 27001:2022 – Sistemas de gestão de segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos.
É dever de todos os seus diretores, gestores, empregados, estagiários, aprendizes e prestadores de serviços, conhecer, ter acesso e cumprir a presente Política.
Esta política contém 4 seções de controles de segurança da informação, que juntas trazem para conhecimento das principais categorias de segurança uma seção introdutória das normas internas da ALIAS TECNOLOGIA.
Política de Segurança da Informação
“Promover a cultura da segurança da informação em toda a organização através da implementação de processos adequados para prevenção e mitigação de incidentes de segurança, protegendo a confidencialidade, integridade, disponibilidade e privacidade dos dados, cumprindo os requisitos regulamentares e buscando a melhoria contínua de nossos processos”.
A Política de Segurança da Informação, é o documento que orienta e estabelece as diretrizes corporativas da ALIAS TECNOLOGIA para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.
Referenciado no MA-02 Manual de Recurso Humanos item 6.1.9.
A política de privacidade pode ser encontrada no PO-37 Política Empresarial de Privacidade e Proteção de Dados.
– Sistemas Alias: Os sistemas devem garantir a rastreabilidade de ações através de registros que permitam determinar a origem das ações efetuadas.
– Rede dos colaboradores: Todos os computadores na rede dos colaboradores devem ser monitorados quanto ao acesso à internet por meio de proxy, e logs do servidor Windows Server que deverá garantir a rastreabilidade destas informações.
– Política de Controle e Gestão de incidentes: A comunicação de incidentes pelos utilizadores deverá ser realizada a partir da PR-121 Procedimento de comunicação de incidentes e problemas no ambiente de tecnologia.
A gestão dos incidentes bem como o plano de recomendações de respostas a incidentes é realizada conforme PR-116 Procedimento para gestão de incidentes.
– Se estiver criando senha não-numérica, crie senhas combinando letras maiúsculas e minúsculas (Aa), números (58) e símbolos (#@), com no mínimo 11 caracteres conforme definido pela GPO e nos servidores Linux conforme política do PAM, evitando seguir uma lógica que possa ser adivinhada como números sequenciais, datas, telefones entre outros. Observe que para arquivos comprimidos com senha a mesma deve ter as mesmas características, porém 12 caracteres.
– Os sistemas da Alias utilizam senhas alfanuméricas, neste caso crie a senha dentro das políticas do sistema, digite sempre números seguros que somente você conheça, evite alterar a senha dos sistemas em computadores ou aparelhos fora das nossas dependências.
– Não utilize em nenhuma hipótese: CPF, data de nascimento, número de telefones ou outros números que sejam conhecidos por outras pessoas além de você.
– Como regra a senha devem ter pelo menos 8 caracteres, não pode conter sequências de três ou mais caracteres repetidos, deve conter pelo menos uma letra maiúscula, um número e um caractere especial.
– Toda senha deve ser pessoal e intransferível.
– Altere todas as suas senhas a cada 45 dias, isso pode ser parametrizado de maneira diferente no caso dos sistemas web em que há restrições diferenciadas para um determinado convênio.
Todos os documentos emitidos pelos colaboradores da Alias Tecnologia devem ser classificados conforme abaixo:
– Pessoal – Somente podem ser conhecidos e acessados pela própria pessoa como por exemplo sua própria senha pessoal (Classificação 1);
– Seletiva – Somente podem ser conhecidos e acessados pelo superior imediato da pessoa que emitiu o documento e pela pessoa para quem foi compartilhada a informação. (Classificação 2);
– Setorial – Podem ser conhecidos e acessados pelas pessoas do próprio setor, pela direção ou pelas pessoas dos setores a quem é emitido o documento. (Classificação 3);
– Interna – Podem ser conhecidos e acessados por todos da empresa (Classificação 4);
– Pública – Podem ser conhecidos e acessados publicamente. (Classificação 5)
Para tal classificação, deve-se acrescentar ao cabeçalho uma nota, Ex.: Classificação: 5 – Pública ou Confidencialidade 5 – Pública.
Para mais informações sobre como utilizar a classificação ou confidencialidade em documentos utilize o documento PR-01 Procedimento para Elaboração, Revisão e Controle de Documentos e Registros.
Para classificar informações transmitidas por e-mails, a classificação deverá constar acima da assinatura do e-mail.
Cada classificação da informação deve possuir uma especificação para troca de informações baseada nas descrições que se seguem:
Sem permissão para troca, exceto com aval assinado pelo administrador de segurança ou na ausência desse, pelo próprio gestor, com obrigação de comunicação futura ao administrador de segurança. Este estabelecerá um método para a troca da informação, que já esteja cadastrado para a classificação seguinte (classificação 2).
Troca da informação falada: Estabelecer quais pessoas devem ter o conhecimento da informação. Fazer a troca da informação em sala de reunião adequada e devidamente fechada. Se fizer anotações, devem ser depois digitadas em computador em arquivo protegido por senha pessoal de 12 caracteres de letras e números e símbolos, e depois o papel descartado corretamente. Troca da informação em documento físico: Estabelecer quais pessoas devem ter o conhecimento da informação. Troca de informação em documento eletrônico: Criptografar a informação com chave ou senha que impeça sua abertura (sugestão arquivo RAR com senha). Utilizar Senha de 12 caracteres combinando letras, números e símbolos à ser transferida por meio diferente do que foi usado para transferir o arquivo. Enviar o arquivo por e-mail, mas transmitir a senha por outro meio para evitar interceptação da mesma no mesmo arquivo, tal qual telefone fixo ou a rede Microsoft Teams, outro modo permitido é o uso do par de chave pública/privada utilizando GPG. Exceções: Somente se autorizado pelo administrador de segurança da informação por outro meio comprovadamente criptografado ou na falta deste pelo superintendente da área de tecnologia
Através do sistema de e-mail (Office 365) da empresa. Se o gestor necessitar de mais segurança através das mesmas políticas da classificação 2.
Através do sistema de e-mail da empresa ou através de reunião com todos da empresa sem pessoa de fora da empresa.
Livre.
Empregados, Estagiários, Aprendizes e Prestadores de Serviços:
– Zelar continuamente pela proteção das informações da Organização ou de seus clientes contra acesso, modificação, destruição ou divulgação não autorizada;
– Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejam utilizados apenas para as finalidades estatutárias da Organização;
– Garantir que os sistemas e informações sob sua responsabilidade estejam adequadamente protegidos;
– Garantir a continuidade do processamento das informações críticas para os negócios da Organização;
– Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;
– Atender às leis que regulamentam as atividades da Organização e seu mercado de atuação;
– Selecionar de maneira coerente os mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
– Comunicar imediatamente ao Administrador de Segurança da Informação qualquer descumprimento da Política de Segurança da Informação.
Departamento de Tecnologia da Informação:
– Propor ajustes, aprimoramentos e modificações na estrutura normativa da segurança submetendo à aprovação da Diretoria;
– Redigir o texto das normas e procedimentos de segurança da informação, submetendo à aprovação da Diretoria;
– Requisitar informações das demais áreas da Organização, através das diretorias, gerências e supervisões, com o intuito de verificar o cumprimento da política, das normas e procedimentos de segurança da informação;
– Receber, documentar e analisar casos de violação da política e das normas e procedimentos de segurança da informação;
– Estabelecer mecanismos de registro e controle de eventos e incidentes de segurança da informação, bem como, de não conformidades com a política, as normas ou os procedimentos de segurança da informação;
– Notificar as diretorias quanto a casos de violação da política e das normas e procedimentos de segurança da informação;
– Receber sugestões dos gestores da informação para implantação de normas e procedimentos de segurança da informação;
– Propor projetos e iniciativas relacionadas à melhoria da segurança da informação;
– Acompanhar o andamento dos projetos e iniciativas relacionados à segurança da informação;
– Realizar, sistematicamente, a gestão dos ativos da informação;
– Gerir a continuidade dos negócios, demandando junto às diversas áreas da empresa, planos de continuidade dos negócios, validando-os periodicamente;
– Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação.
Administrador de Segurança da Informação:
– O Administrador de Segurança da Informação será designado pela alta direção como responsável pela qualidade da segurança da informação.
– É dado a ele, portanto, a liberdade para cobrar, auditar e avaliar ou até mesmo criar exceções dentro da política da informação com o auxílio e aprovação ou repulsa da alta direção.
– É proibido ocultar do administrador de segurança da informação, informações relevantes do incidente, pois ele é único que pode responder adequadamente a tais tentativas e tomar as corretas providências.
Gerências e Superintendências:
– Cumprir e fazer cumprir a política, as normas e procedimentos de segurança da informação;
– Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação;
– Redigir e detalhar, técnica e operacionalmente, as normas e procedimentos de segurança das informações relacionadas às suas áreas, quando solicitado pelo departamento técnico.
– Comunicar imediatamente ao departamento técnico, eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação.
Área Jurídica:
– Manter as áreas da Organização informadas sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e ações envolvendo estas políticas.
– Propor projetos e iniciativas relacionadas à melhoria da segurança da informação;
– Acompanhar o andamento dos projetos e iniciativas relacionados à segurança da informação;
– Realizar, sistematicamente, a gestão dos ativos da informação;
– Gerir a continuidade dos negócios, demandando junto às diversas áreas da empresa, planos de continuidade dos negócios, validando-os periodicamente;
– Realizar, sistematicamente, a gestão de riscos relacionados à segurança da informação.
Administrador de Segurança da Informação:
– O Administrador de Segurança da Informação será designado pela alta direção como responsável pela qualidade da segurança da informação.
– É dado a ele, portanto, a liberdade para cobrar, auditar e avaliar ou até mesmo criar exceções dentro da política da informação com o auxílio e aprovação ou repulsa da alta direção.
– É proibido ocultar do administrador de segurança da informação, informações relevantes do incidente, pois ele é único que pode responder adequadamente a tais tentativas e tomar as corretas providências.
Gerências e Superintendências:
– Cumprir e fazer cumprir a política, as normas e procedimentos de segurança da informação;
– Assegurar que suas equipes possuam acesso e entendimento da política, das normas e dos procedimentos de Segurança da Informação;
– Redigir e detalhar, técnica e operacionalmente, as normas e procedimentos de segurança das informações relacionadas às suas áreas, quando solicitado pelo departamento técnico.
– Comunicar imediatamente ao departamento técnico, eventuais casos de violação da política, de normas ou de procedimentos de segurança da informação.
Área Jurídica:
– Manter as áreas da Organização informadas sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e ações envolvendo estas políticas.
– Aprovar a política e as normas de segurança da informação e suas revisões;
– Aprovar a composição do departamento técnico quanto à segurança.
– Nomear os analistas de segurança ou administradores de segurança quando em acordo, conforme as indicações da área de tecnologia de informação.
– Para o bem da organização, seguir as políticas de segurança fielmente.
Esse comitê deverá ser constituído pelos Diretores e gestores de áreas com a atribuição de aprovar as diretrizes da Política de Segurança da Informação, assim como modificá-las conforme as necessidades da ALIAS TECNOLOGIA.
Ainda, a revisão e a manutenção desta política são de responsabilidade do comitê. A periodicidade da revisão será anual ou realizada sempre que for conveniente para a ALIAS TECNOLOGIA.
São atribuições do Comitê de Segurança da Informação:
− Propor ajustes, aprimoramentos e modificações desta Política;
− Propor melhorias e aprovar as Normas de Segurança da Informação;
− Definir a classificação das informações pertencentes e/ou custodiadas pela Organização com base na política de classificação da informação;
− Analisar os casos de violação desta Política e das Normas de Segurança da Informação;
− Realizar reuniões quando solicitadas, aprovar e propor adequações relacionados à melhoria da segurança da informação da ALIAS TECNOLOGIA.
− Educar os usuários sobre os princípios e procedimentos de Segurança da Informação.
− As reuniões do CSI devem ser realizadas mensalmente podendo haver convocação em frequência maior ou extraordinariamente, sempre que necessário e devem ser registradas em ata. De acordo com a necessidade, outros representantes de outras áreas da ALIAS TECNOLOGIA e convidados externos poderão participar das reuniões do CSI.
É obrigatório que sejam seguidos os procedimentos abaixo:
6.12.1 Criar arquivo: os arquivos devem ser criados na área de trabalho e após concluído serem copiados para a rede. Os nomes dos arquivos devem ser “breves” e não podem conter símbolos e/ou acentos, pois deixa a indexação dos arquivos lenta, torna os arquivos inacessíveis, pode travar o servidor ou até dificultar a restauração do backup.
6.12.2 Acessar arquivo: O acesso simultâneo de um mesmo arquivo salvo na rede causa impacto quando coincidir com a execução do backup, podendo corromper o arquivo, além de acarretar perda parcial do backup, bem como o travamento total do servidor.
6.12.3 Edição e Exclusão de arquivos: Somente edite ou exclua um arquivo que seja de sua autoria. Redobre sua atenção quando for editar ou excluir qualquer arquivo. Na dúvida consulte seu superior imediato.
6.12.4 O uso dos diretórios é destinado somente a arquivos pertinentes a empresa e ao negócio, portanto, fica proibido salvar quaisquer tipos de arquivos pessoais (sem relação com a empresa) na rede, evitando lentidão na recuperação dos backups e/ou outros possíveis problemas no servidor.
6.13.1 Criar arquivos: crie arquivos nas pastas ou bibliotecas corretas, seguindo a estrutura de diretórios definida, use nomes claros e descritivos para facilitar a identificação.
6.13.2 Acessar arquivos: Acesse apenas os arquivos e pastas para os quais você tem permissão. utilize links compartilhados ou navegue pelas bibliotecas do SharePoint.
6.13.3 Edição e Exclusão de arquivos: Ao editar, salve as alterações e respeite o trabalho colaborativo (evite sobrescrever arquivos sem necessidade).
6.13.4 Uso dos Diretórios: Mantenha os arquivos organizados nas pastas e subpastas corretas. Siga a hierarquia de diretórios estabelecida para facilitar a localização e o compartilhamento de documentos.
É compromisso de todos gerenciar os ativos físicos e suas informações de forma a promover o bem-estar e o desenvolvimento de uma gestão de informação segura, sustentável e confiável, através do atendimento aos requisitos regulatórios, legais e os subscritos pela Organização, atendendo às necessidades dos públicos de relacionamento, sem comprometer a saúde e a segurança dos colaboradores e do ambiente em que está inserida e promover a melhoria contínua do seu sistema de Gestão de Ativos.
A equipe de TI deverá utilizar o sistema OCS Inventory para apoiá-los na gestão de ativos de tecnologia que estejam em rede e permitam a instalação do agente do OCS Inventory, os ativos de hardware que não permitem a instalação do agente OCS Inventory serão gerenciados na planilha FO-76 Formulário Ativos de Hardware Não Gerenciaveis pelo OCS Inventory.
Os ativos em estoque deverão ser armazenados de forma a garantir sua conservação na sala de estoque que é protegida por chave, e serão gerenciados pela aba estoque da FO-76 Formulário Ativos de Hardware Não Gerenciáveis pelo OCS Inventory.
Os ativos relacionados a informação deverão receber um código ou tarja de identificação.
Os ativos tais como teclado, mouse, headsets, fontes, pentes de memória, processadores, cabos ou ainda hardwares de baixo custo de aquisição são considerados bens de consumo e não possuem código de identificação na gestão de ativo, o mesmo pode ser aplicado à ativos que não estão relacionados a informação.
No MA-02 Manual de Recursos Humanos também são descritas questões referentes a gestão de ativos, como por exemplo os termos TU-21 Termo de Responsabilidade -Equipamentos.
Em caso de extravio de um ativo, a equipe de infraestrutura e segurança deverá ser informada imediatamente bem como a diretoria de TI para as devidas providências.
Os novos ativos deverão ser adquiridos com suas características funcionais em linha com a estratégia da empresa, a matriz de riscos e a criticidade da função que será exercida, mensuradas através de indicadores específicos que garantam:
– Uma maior facilidade na atuação da manutenção;
– Um atendimento adequado às funções requeridas em um tempo definido e sob um determinado contexto operacional (Confiabilidade);
– Uma estratégia de manutenção e operação baseada em confiabilidade, alinhando as atividades com um adequado suporte logístico;
Os ativos deverão ser operados e mantidos focando na otimização da disponibilidade, eficiência de custo e atendimento aos requisitos regulatórios, através:
– Do cumprimento adequado dos planos e estratégias de manutenção e operação;
– Da melhoria contínua dos processos com inovações, novas tecnologias e boas práticas;
– Da consolidação de uma visão integrada dos ativos de gestão no compartilhamento de recursos;
– Do gerenciamento adequado das informações sobre os ativos para suportar as análises e garantir decisões fundamentadas em critérios técnicos;
– Do gerenciamento proativo dos custos, no qual as decisões de gastos sejam baseadas em um modelo multicritério e em linha com a estratégia da empresa;
– De uma força de trabalho interna e/ou externa capacitada, motivada e responsável pelos resultados.
Em relação ao backup e armazenagem de informações considera-se o seguinte para cumprir as determinações de segurança da empresa:
| Categoria | Incluído no Backup | Notas |
|---|---|---|
| Sistema de registro e notificação | Sim | Dados sensíveis armazenados aqui são incluídos no backup. |
| Arquivos Armazenados no AD | Sim | Incluídos no backup. |
| Arquivos Armazenados em Computador Local | Não | Vetado armazenar dados sensíveis em computadores locais. Não há backup desses arquivos. |
| SharePoint (Revisão e Versionamento de Documentos) | Sim | Utiliza revisão de documentos que permite o versionamento, garantindo controle sobre diferentes versões e possibilitando a recuperação de versões anteriores. |
A política de backup da empresa é meticulosamente projetada para garantir a segurança dos dados sensíveis. Os backups incluem o sistema de registro de contratos, arquivos armazenados no AD (Active Directory), e os documentos no SharePoint. O SharePoint utiliza uma funcionalidade de revisão de documentos que permite o versionamento deles, garantindo controle sobre diferentes versões e possibilitando a recuperação de versões anteriores.
É estritamente proibido armazenar arquivos com dados sensíveis em computadores locais, uma vez que esses arquivos não são incluídos nos backups regulares. Essa medida visa garantir que os dados sensíveis não sejam comprometidos.
O uso das redes dos colaboradores é restrito exclusivamente às atividades relacionadas aos objetivos da empresa. Dessa forma, é fundamental ressaltar que o acesso à Internet para fins pessoais não é autorizado. Da mesma maneira, o acesso a redes sociais deve ser feito somente pelos departamentos que as utilizam para suas funções corporativas, sendo proibido o uso de redes sociais pessoais em equipamentos da organização.
Também estão proibidos os acessos à sites de pornografia, fakenews, malware e outros.
O uso das impressoras é restrito as necessidades profissionais e atividades diretamente relacionadas às operações. A utilização de impressoras para fins pessoais não é permitida, visando preservar os recursos e manter o foco na eficiência e eficácia.
É esperado que cada funcionário use as impressoras de maneira responsável, garantindo que todos os documentos impressos estejam em conformidade com as necessidades e objetivos da empresa.
O uso e coleta de informações deve-se restringir ao estritamente necessário para o desempenho das atividades da empresa.
Todas as informações à disposição da Organização possuem como único fim permitir desempenhar com segurança suas atividades (registro de contratos e atividades relacionadas), não tendo o colaborador ou quem quer que seja permissão para fazer qualquer outro uso desta informação.
É responsabilidade dos colaboradores manter a mesa e tela limpa em relação a informações dos colaboradores e clientes mantendo a confidencialidade das informações (evitando ícones na área de trabalho), bem como manter a tela bloqueada ao se ausentar de sua mesa, o documento PR-05 Procedimento de Mesa e Tela Limpa descreve em detalhes como funciona o processo de mesa e tela e limpa.
Toda a instalação de softwares deverá ser solicitada via sistema de chamados para o Núcleo de Infraestrutura e Segurança da Informação e somente este, poderá realizar as instalações de softwares conforme o documento PR-113 Instalação de Softwares Licenciados.
Para o controle do inventário de Softwares, é utilizado a ferramenta de agente OCS Inventory.
São consideradas violações à política, às normas ou aos procedimentos de segurança da informação as seguintes situações, não se limitando às mesmas:
– Qualquer ação ou situação que possa expor a ALIAS TECNOLOGIA, direta ou indiretamente, a perdas financeiras ou danos à imagem, tanto reais quanto potenciais, comprometendo seus ativos de informação.
– Utilização indevida de dados corporativos, divulgação não autorizada de informações, segredos comerciais ou outras informações sem a permissão expressa do Administrador de Segurança da Informação;
– Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tecnológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regulamentos internos e externos, da ética ou de exigências de organismos reguladores da área de atuação da ALIAS TECNOLOGIA ou de seus clientes;
– A não comunicação imediata ao Administrador de Segurança da Informação de quaisquer descumprimentos da política, de normas ou de procedimentos de Segurança da Informação, que porventura um gestor, empregado, estagiário, aprendiz ou prestador de serviços venha a tomar conhecimento ou chegue a presenciar.
Sanções
A violação à política, às normas ou aos procedimentos de segurança da informação ou a não aderência à política de segurança da informação da ALIAS TECNOLOGIA são consideradas faltas graves, podendo ser aplicadas penalidades previstas em lei ou conforme a política da empresa descrita em MA-02 Manual de Recursos Humanos.
Os dispositivos móveis da Alias são para uso exclusivo para fins de trabalho, conforme TU-21 Termo de Responsabilidade do Equipamento e armazenados conforme o item 6.3.4 da PO-02 Politica Gestão de Acessos.
A continuidade de negócios é declarada conforme os procedimentos em PR-119 Procedimento para Continuidade de Negócio, o objetivo da continuidade de negócios é garantir que os sistemas continuem em funcionamento mesmo no caso de queda dos sistemas principais.
| Área | Nome | Contato |
|---|---|---|
| Bombeiros | Corpo de Bombeiros | 193 |
| Distribuidora de Energia | Copel | 0800 51 00 116 |
| Distribuidora de Água | Sanepar | (41) 3330 3000 – 0800 200 0115 |
| Polícia Civil | Polícia Civil | 41 3235-6400 |
| Polícia Militar | Polícia Militar | 41 3304-4700 / 190 |
| Polícia Federal | Polícia Federal | (41) 3251-7500 |
| Provedor de Serviços de Telecomunicações | Vivo | 10315 |
| Provedor de Serviços de Telecomunicações | Algar | 10312 |
| Provedor de Serviços de Telecomunicações | Copel | 0800 414 1810 |
| Provedor de Serviços de Telecomunicações | Claro/Embratel | 10621 / 0800 721 1021 |
| Provedor de Serviços de Telecomunicações | Weon | (41) 3075-1375 |
| Provedor de Serviços de Telecomunicações | ITFlex | (47) 3033-9293 |
| Provedor de Serviços de Telecomunicações | Baldussi | 0800 591 2386 |
| Fornecedores de TI | Dell Brasil | 0800 970 3355 |
| Fornecedores de TI | Lenovo | 0800-536-6861 |
| Fornecedores de TI | Dereco Tecnologia | (11) 95770-9450 |
| Fornecedores de TI | Odata | (11) 4871.2851 |
| Fornecedores de TI | Skymail | 4020-2469 |
| Fornecedores de TI | IBM | 0800 701 4262 |
| Fornecedores de TI | ITFlex | (47) 3033-9293 |
| Fornecedores de TI | Securitybox | (41) 2170-0770 |
| Fornecedores de TI | LOCAWEB | (11) 3544-0500 |
| Fornecedores de TI | AKNA | (11) 3284-8474 |
| Defesa Civil | Defesa Civil | 41 3281-2512 |
| Ouvidora Governo | Ouvidora Governo Federal | 0800 616 161 |
| ANPD | Autoridade Nacional de Proteção de Dados | ouvidoria@anpd.gov.br |
| SAMU | SAMU | 192 |
| Diretores | Fernando Weigert | fernando.weigert@aliasnet.com.br |
| Diretores | Marcelo Ciscato | marcelo.ciscato@aliasnet.com.br |
| Diretores | Juliana Selenko | juliana.selenko@aliasnet.com.br |
− Information Security Stack Exchange
https://security.stackexchange.com/contact
− Unix e Linux Stack Exchange
https://unix.stackexchange.com/contact
− Database Administrator Exchange
https://dba.stackexchange.com/contact
− ISC Sans Edu – Internet Storm Center
https://isc.sans.edu/contact.html
Todas as alterações relevantes neste documento serão informadas aos clientes externos e fornecedores através de um informativo no site da Alias, que ficará disponível durante, pelo menos, 15 dias.
| Revisão | Data | Histórico das Alterações |
|---|---|---|
| 00 | 31/10/2024 | Emissão inicial. |
| 01 | 10/02/2025 | Alteração item 6.1 alteração de periodicidade do comitê, 6.27 adições dos contatos das autoridades |
