Política de Segurança da Informação

1. Introdução

A presente Política de Segurança da Informação (PSI) está baseada nas recomendações da norma ABNT NBR ISO/IEC 27002:2013, reconhecida como um código de prática para a gestão da segurança da informação.

A MTM disponibiliza para clientes corporativos públicos e privados soluções que permitem que esses clientes armazenem dados sigilosos, tornando essencial para o negócio que as informações sejam confiáveis e estejam devidamente protegidas.

2. Objetivo

A política de segurança da informação da MTM Tecnologia tem como objetivo proteger os ativos de informação contra ameaças internas e externas, minimizar os riscos, prevenir incidentes de segurança, cumprir as leis, regulamentações, padrões de segurança relevantes aplicáveis à empresa.

Além disso, também promover uma cultura de conscientização e responsabilidade em relação à segurança da informação em toda a organização, estabelecer diretrizes e procedimentos para a gestão eficaz da segurança da informação, manter a confiança e a reputação da empresa perante clientes, parceiros e partes interessadas garantindo a confidencialidade, integridade e disponibilidade (CID) das informações.

· Confidencialidade: Propriedade que estabelece que a informação deva estar acessível apenas para pessoas autorizadas;

· Integridade: Propriedade que estabelece que a informação esteja correta, confiável, sem a ocorrência de mudanças não autorizadas;

· Disponibilidade: Propriedade que estabelece que a informação esteja sempre acessível para uso legítimo de pessoas autorizadas.

3. Escopo

Aplica-se a todos colaboradores, estagiários e parceiros da empresa MTM com acesso aos seus ativos.

4. Responsabilidades

Colaboradores

Será de inteira responsabilidade dos funcionários, terceirizados e demais colaboradores da MTM:

· Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da MTM;

· Buscar o Setor de Segurança da Informação para esclarecimentos de dúvidas referentes à Política de Segurança da Informação;

· Proteger as informações contra acesso, divulgação, modificação ou destruição não autorizados pela MTM;

· Comunicar prontamente à chefia imediata qualquer violação a esta política, suas normas e procedimentos.

Gestores de Operações, Produto e/ou Processos

Em relação à segurança da Informação, cabe aos gestores de pessoas e/ou processos:

· Aprovar a Política de Segurança da Informação e suas atualizações;

· Dar ciência, na fase de contratação e formalização dos contratos individuais de trabalho, à responsabilidade do cumprimento da PSI da MTM;

· Quando aplicável, exigir de parceiros, prestadores de serviços e outras entidades externas, a assinatura do termo de confidencialidade referente às informações às quais terão acesso;

· Informar, sempre que necessário, atualizações referentes a processos e/ou cadastros de colaboradores para que as permissões possam ser concedidas ou revogadas de acordo com a necessidade;

Equipe de Segurança da Informação

Cabe a Equipe de Segurança da Informação:

· Propor melhorias, alterações e ajustes da PSI;

· Propor investimentos relacionados à segurança da informação com o intuito de minimizar os riscos;

· Avaliar incidentes de segurança e propor ações corretivas;

· Monitorar os acessos às informações e aos ativos de tecnologia (sistemas, bancos de dados, recursos de rede), tendo como referência a Política e as Normas de Segurança da Informação;

· Promover palestras de conscientização aos colaboradores em relação à importância da segurança da informação para o negócio da MTM;

5. Classificação da Informação

Os ativos de informação serão classificados em níveis adequados de sensibilidade e confidencialidade, para garantir a aplicação de medidas proporcionais de segurança, considerando os seguintes níveis:

Pública

São informações explicitamente aprovadas por seu responsável para consulta irrestrita e cuja divulgação externa não compromete o negócio.

Interna

São informações disponíveis aos colaboradores do MTM para a execução de suas tarefas rotineiras, não se destinando, portanto, ao uso do público externo.

Confidencial

São informações de acesso restrito a um colaborador ou grupo de colaboradores. Sua revelação pode violar a privacidade de indivíduos, violar acordos de confidencialidade, dentre outros.

Restrita

São informações de acesso restrito a um colaborador ou grupo de colaboradores que obrigatoriamente contam como destinatários da mesma, em geral, associadas ao interesse estratégico da empresa e restritas ao superintendente, gerentes e colaboradores cujas funções requerem conhecê-las.

6. Controle de Acesso

Serão implementados controles de acesso adequados, incluindo autenticação forte, autorizações baseadas em funções e revisões periódicas de privilégios de acesso.

O ingresso aos recursos da nuvem da MTM deve ser devidamente controlado para que os riscos de acessos não autorizados e/ou indisponibilidade das informações sejam minimizados. Assim, é preciso que sejam instauradas algumas regras, listadas a seguir:

1. Os Gestores de Operações, Produto e/ou Processos ficarão responsáveis por notificar formalmente a equipe de segurança da informação sobre desligamentos de colaboradores, para que os acessos dos mesmos sejam revogados através de ferramenta de gerenciamento de chamados;

2. A MTM reserva-se o direito de monitorar e registrar o acesso à Internet como forma de inibir a proliferação de programas maliciosos, garantindo a integridade da rede, sistemas e dados internos;

3. Os equipamentos, tecnologias e serviços fornecidos para o acesso à nuvem são de propriedade da MTM, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação, visando assegurar o cumprimento de sua Política de Segurança da Informação.

4. Os colaboradores só poderão fazer o download de programas necessários às suas atividades na MTM e deverão providenciar a licença e o registro necessário desses programas, desde que homologados pela equipe de segurança da informação;

5. O uso, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente são expressamente proibidos. Qualquer software não autorizado será excluído pela equipe de segurança da informação;

6. Os equipamentos fornecidos pela MTM serão hardenizados, com restrições de instalações de softwares para evitar instalação de software malicioso e perda de informação;

7. Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso;

8. Não serão permitidos os acessos a softwares peer-to-peer (BitTorrent, utorrent, eMule e afins), nos computadores que tiverem acesso a rede da MTM;

7. Política de senhas

A senha é a forma mais convencional de identificação e acesso do usuário, é um recurso pessoal e intransferível que protege a identidade do colaborador, evitando que uma pessoa se faça passar por outra.

O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).

Assim, com o objetivo de orientar a criação de senhas seguras, estabelecem-se as seguintes regras:

1. A senha é de total responsabilidade do colaborador, sendo expressamente proibida sua divulgação ou empréstimo, devendo a mesma ser imediatamente alterada no caso de suspeita de sua divulgação;

2. A senha inicial só será fornecida ao próprio colaborador, pessoalmente. Não poderão ser fornecidas por comunicador instantâneo ou qualquer outra forma que não assegure a identidade do colaborador. É permitida a disponibilização da senha por telefone desde que a aplicação obrigue o cadastro de uma nova senha e o colaborador possa realizar o acesso para troca da senha imediatamente;

3. As senhas deverão seguir os seguintes pré-requisitos:

· Tamanho mínimo de 8 caracteres para usuário padrão;

· Tamanho mínimo de 16 caracteres e dupla custódia para usuário de serviço;

· Existência de uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais, como !@#$%^&*().;

8. Gerenciamento de dispositivos

Todos os dispositivos da empresa devem ser protegidos por senhas, e controle de acesso lógico. Os dispositivos perdidos ou roubados devem ser relatados imediatamente.

As estações de trabalho devem permanecer operáveis durante o maior tempo possível para que os colaboradores não tenham suas atividades prejudicadas. Assim, algumas medidas de segurança devem ser tomadas, são elas:

1. É de responsabilidade do colaborador do equipamento zelar pelo mesmo, mantendo-o em boas condições;

2. Não é permitido personalizar o equipamento por adesivos, fotos, riscos, raspar e retirar a etiqueta de patrimônio;

3. É vedada a abertura de computadores para qualquer tipo de reparo pelos colaboradores. Caso seja necessário, o reparo deverá ser feito pela equipe da equipe de TI ou pelo fornecedor autorizado;

4. As estações de trabalho serão bloqueadas (logoff) automaticamente nos períodos de ausência do colaborador;

5. É proibido o uso de estações de trabalho para:

· Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;

· Burlar quaisquer sistemas de segurança;

· Cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;

· Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.

O objetivo da MTM é maximizar a agilidade e eficiência da realização das tarefas dos colaboradores, contando com todos os recursos de equipamentos disponíveis, mas não pode deixar de considerar os requisitos de segurança da informação, por isso estabelece algumas regras para o uso de equipamentos de propriedade particular e de dispositivos móveis.

Caracteriza-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, seja de propriedade da MTM ou particular com prévia aprovação e permissão.

· Notebooks

· Smartphones

· Pendrives

Todas as regras do tópico “Estações de Trabalho” se enquadram nesta seção, adicionalmente a:

1. A equipe de segurança da informação deverá verificar as configurações de rede, do aplicativo de antivírus e demais aplicativos instalados para que o acesso aos recursos de nuvem seja concedido. Caso o equipamento não obedeça aos requisitos mínimos de segurança, o acesso não será concedido;

2. A equipe de segurança da informação tem o direito de, periodicamente, auditar os equipamentos utilizados na MTM, visando proteger suas informações bem como garantir que aplicativos ilegais não estejam sendo usados na MTM;

3. É de responsabilidade do proprietário usar somente aplicativos legalizados em seu notebook.

9. E-mail corporativo

O e-mail é uma das principais formas de comunicação. No entanto, é, também, uma das principais vias de disseminação de malwares, por isso, surge a necessidade de normatização da utilização deste recurso.

1. O e-mail corporativo é destinado a fins profissionais, relacionados às atividades dos colaboradores;

2. Todas as contas de e-mail possuem política de senha segura que expira após 180 dias;

3. No caso de e-mails corporativos acessíveis via dispositivo móvel do colaborador (BYOD), não é permitido trafegar conteúdo sensível da MTM, de clientes ou de outros colaboradores que não seja o colaborador proprietário da conta de e-mail. Para troca de arquivos, os mesmos devem ser compartilhados via plataforma de compartilhamento de arquivo oficial da empresa (Google Drive) com as devidas permissões de acesso e com os arquivos compactados com senha. Após a utilização do arquivo o mesmo deve ser excluído da plataforma de compartilhamento;

4. É terminantemente proibido o envio de certificados e chaves utilizados na geração das aplicações mobileX via e-mail ou outro meio eletrônico. Quando necessário, esse tipo de arquivo deve ser enviado pela aplicação de suporte;

5. É proibido enviar, com endereço eletrônico corporativo, mensagens com anúncios particulares, propagandas, vídeos, fotografias, músicas, mensagens do tipo “corrente”, campanhas ou promoções;

6. É proibido cadastrar o e-mail corporativo em sites ou aplicativos mobile para fins de uso pessoal;

7. É proibido abrir arquivos com origens desconhecidas, anexados a mensagens eletrônicas;

8. É proibido enviar qualquer mensagem por meios eletrônicos que torne a MTM vulnerável a ações civis ou criminais;

9. É proibido falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários;

10. É proibido reproduzir, transmitir ou divulgar mensagem que:

· Contenha ameaças eletrônicas, como: spam, phishing, mail bombing, malwares;

· Vise obter acesso não autorizado a outro computador, servidor ou rede;

· Vise burlar qualquer sistema de segurança;

· Vise vigiar secretamente ou assediar outro usuário;

· Vise acessar informações confidenciais sem explícita autorização do proprietário;

· Tenha conteúdo considerado impróprio, obsceno ou ilegal

10. Aplicativos de Mensagem Instantânea

Está autorizada a utilização de aplicativos de mensagem instantânea para apoiar na comunicação entre membros da equipe da MTM e entre a equipe MTM e o cliente, desde que sejam atendidas as regras estabelecidas na política de uso definida para o Slack, que é o aplicativo oficial homologado para isso interno da MTM. Alguns pontos a ressaltar:

1. A utilização dos aplicativos associados ao número de telefone dos colaboradores da MTM é uma decisão do colaborador, não sendo a sua utilização uma ferramenta oficial de comunicação da empresa;

2. É indicado que a comunicação ocorra em horário comercial considerando o horário local no qual o colaborador se encontra;

3. É indicado que os aplicativos utilizados implementem criptografia de ponta a ponta entre os usuários;

4. É proibido enviar informação confidencial da MTM, de seus colaboradores ou de seus clientes;

5. Os aplicativos de mensagem instantânea não são o canal oficial de comunicação com os clientes, mas sim a ferramenta de ITSM da MTM.

6. Quando trafegado por ferramentas de comunicação, arquivos de trabalho devem também ser armazenados nos repositórios devidos;

11. Backup e recuperação de dados

Serão implementados procedimentos de backup regulares e testes de recuperação para garantir a disponibilidade e integridade dos dados em caso de falhas ou incidentes. Assim, estabelecem-se as regras:

1. Todo sistema ou informação relevante para a operação dos negócios da MTM deve possuir cópia dos seus dados de produção para que, em eventual incidente de indisponibilidade de dados, seja possível recuperar ou minimizar os impactos nas operações da instituição;

2. Todos os backups devem ser automatizados por sistemas de agendamento para que sejam, preferencialmente, executados fora do horário comercial, períodos de pouco ou nenhum acesso de usuários ou processos aos sistemas de informática;

3. Os backups deverão ser armazenados criptografados em ambiente de nuvem pública e com acesso disponível apenas a equipe de INFRA, TECH e SEC;

4. Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema. Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser executados apenas mediante justificativa de necessidade;

5. O backup das soluções deve ser realizado diariamente com retenção de pelo menos 30 dias.

A política de backup e retenção poderá ser alinhada diretamente com os clientes em situações especiais e de acordo com as condições comerciais definidas.

12. Segurança em nuvem

1. Os servidores que armazenam sistemas da MTM estão em ambientes de nuvem pública que implementam medidas para prevenir a entrada de intrusos, a indisponibilidade da estrutura de rede e a falta de energia;

2. Todas as infraestruturas de nuvem utilizadas são certificadas ISO/IEC 27001:2013 e passam por auditoria SAS 70 anualmente;

3. As seguintes estruturas de nuvem pública estão homologadas para implantação de soluções MTM e contratação de serviços de apoio à operação da empresa:

· Microsoft Azure

· Google Cloud

· Amazon AWS

· Oracle Cloud

· IBM Cloud

Qualquer contratação de serviço de nuvem e implantação de soluções deve ser realizada pela equipe de INFRA, TECH e SEC com aprovação da diretoria;

1. O acesso aos componentes das aplicações hospedadas em nuvem pública deverá ser liberado via IP;

2. Cada componente deve possuir acesso individualizado sendo configurado por usuário, os atributos necessários (privilégios de acesso, autenticação, direitos, autorizações temporárias com data de expiração) evitando acessos não autorizados;

3. Dados nas estruturas de nuvem pública devem ser armazenados e trafegados sempre de forma criptografada;

4. Os logs dos ativos de rede devem ser monitorados constantemente utilizando ferramentas de segurança a fim de evitar acessos indevidos;

5. Administrador de Sistemas:

· Deverá ser mantida uma lista de componentes/sistemas atualizados a todo momento e a lista de administradores de cada sistema.

· As contas de administradores devem ser individuais e nunca compartilhadas.

· Log de acesso de administrador aos componentes do sistema (ex. máquinas virtuais e bancos de dados) e ao manager devem ser mantidos por no mínimo 3 meses.

· A infraestrutura deve possuir um sistema de monitoramento em tempo real dos ativos, monitoramento de e tratativa de logs e ferramentas para análise de vulnerabilidades.

13. Conscientização e treinamento

Serão fornecidas iniciativas de divulgação e conscientização regulares em segurança da informação para todos os funcionários, abordando práticas seguras, detecção de ameaças, senhas fortes e conformidade com as políticas.

A importância da conscientização sobre segurança da informação em toda a organização é responsabilidade de todos os funcionários.

1. Todos os funcionários devem participam da reunião de Kick-off mensal quando são trazidos assuntos relacionados com segurança da informação, incluindo as políticas, diretrizes e melhores práticas de segurança da informação da empresa;

2. Promover a realização de campanhas de conscientização em segurança da informação, tanto internamente quanto em parceria com fornecedores externos, bem como a participação e engajamento esperados dos funcionários;

3. Todos os funcionários têm a responsabilidade em relatar incidentes de segurança da informação imediatamente, bem como o processo para fazê-lo. O departamento de segurança da informação incentiva uma cultura de transparência e colaboração, em que todos se sintam à vontade para relatar qualquer problema de segurança que identifiquem;

4. Deverão ser incluídas avaliações periódicas de competências em segurança da informação para garantir que os funcionários estejam adquirindo e mantendo as habilidades necessárias para lidar com ameaças de segurança.

14. Gestão de incidentes de segurança

A MTM possui um processo de gestão de incidentes de segurança da informação, incluindo a notificação adequada, investigação, resposta e recuperação de incidentes, a fim de minimizar os impactos e evitar recorrências.

1. Quando ocorrer um incidente a equipe de segurança de informação deve ser acionada através dos meios de comunicação oficial da empresa, como o Slack ou abertura de chamado o mais rápido possível sendo ele suspeito ou confirmado;

2. Os incidentes devem ser classificados com base na gravidade, impacto e urgência. Isso ajudará na priorização e alocação adequada de recursos para lidar com cada tipo de incidente;

3. Caso ocorra um incidente de segurança que possa acarretar risco ou dano aos titulares de dados, o DPO da MTM deve avaliar a necessidade de notificação da Autoridade Nacional de Proteção de Dados (ANPD) e demais partes interessadas.

4. Processo de avaliação pós-incidente será executado para analisar as causas raiz, as lições aprendidas e as ações corretivas para evitar a recorrência de incidentes semelhantes no futuro;

5. É de extrema importância a divulgação e conscientização regulares para os funcionários sobre a gestão de incidentes de segurança da informação, incluindo como relatar incidentes suspeitos e como tomar medidas imediatas para mitigar os riscos.

15. Revisão e atualização da política

A política de segurança da informação será revisada periodicamente e atualizada conforme necessário para garantir que reflitam as melhores práticas e para se adequar às mudanças tecnológicas, regulamentações, ameaças emergentes de segurança e requisitos.

16. Violação da política e penalidades

No caso de descumprimento das normas estabelecidas nesta Política de Segurança, o colaborador poderá sofrer as seguintes penalidades:

· Advertência verbal: O colaborador será comunicado verbalmente que está infringindo as normas da Política de Segurança da Informação da MTM e será solicitada uma nova leitura desta Política;

· Advertência formal: A primeira notificação será enviada ao colaborador informando o descumprimento da norma, com a indicação precisa da violação cometida. A segunda notificação será encaminhada para a chefia imediata do infrator para as medidas cabíveis, podendo resultar no desligamento do colaborador dependendo da gravidade do incidente.

17. Considerações Finais

As dúvidas decorrentes de fatos não descritos nesta Política de Segurança da Informação deverão ser encaminhadas ao departamento de INFRA, TECH e SEC para avaliação e decisão.

Esta PSI entra em vigor a partir da data de publicação e pode ser alterada a qualquer tempo, por decisão da diretoria e do departamento de INFRA, TECH e SEC, mediante o surgimento de fatos relevantes que apareçam ou não tenham sido contemplados neste documento.