OBJETIVO

Garantir a disponibilidade, integridade, confidencialidade, legalidade e autenticidade das informações necessárias para a realização dos negócios do Grupo B2.

 

ABRANGÊNCIA

Aplica-se a todos os administradores, funcionários, estagiários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou com acesso a informações que pertençam ao Grupo B2 ou a SEUS CLIENTES.

Todo e qualquer usuário de recursos computacionais da empresa tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática.

 

CONCEITOS

A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos:

  • Confidencialidade: Garante que a informação seja acessível somente pelas pessoas autorizadas, pelo período necessário;
  • Disponibilidade: Garante que a informação esteja disponível para as pessoas autorizadas sempre que se faça necessário;
  • Integridade: Garante que a informação esteja completa e íntegra e que não tenha sido modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida.

 

DEFINIÇÕES

Informação: resultado do processamento e organização de dados (eletrônicos ou físicos) ou registros de um sistema.

Ativos de Informação: conjunto de informações, armazenado de modo que possa ser identificado e reconhecido como valioso para a empresa.

Sistemas de informação: de maneira geral, são sistemas computacionais utilizados pela empresa para suportar suas operações.

Segregação de funções: consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário, estagiário ou prestador de serviço detenha poderes e atribuições em desacordo com este princípio.

Grupo Gestor da Segurança da Informação: grupo composto por administradores do Grupo B2 com o objetivo de avaliar a estratégia e diretrizes de segurança da informação seguidas pela empresa.

 

CLASSIFICAÇÃO DA INFORMAÇÃO

Toda informação produzida no desenvolvimento das atividades da empresa deve ser classificada de acordo com os níveis de confidencialidade abaixo:

 

  • Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral. Por exemplo: informações disponíveis na página da Internet de empresas do Grupo B2.
  • Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização. Exemplo: boletim semanal.
  • Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização especificamente autorizados. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro. Exemplo: propostas comerciais.
  • Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Exemplo: dados da folha de pagamento são de acesso restrito apenas ao setor de RH.

 

RESPONSABILIDADES

De forma geral, cabe a todos os administradores, funcionários, estagiários e prestadores de serviços:

  • Cumprir fielmente a Política de Segurança da Informação do Grupo B2;
  • Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pelo Grupo B2;
  • Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pelo Grupo B2;
  • Cumprir as leis e as normas que regulamentam a propriedade intelectual;
  • Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.), incluindo a emissão de comentários e opiniões em blogs e redes sociais;
  • Não compartilhar informações confidenciais de qualquer tipo;
  • Comunicar imediatamente à área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos.

 

É dever de todos dentro do Grupo B2:

  • Considerar a informação como sendo um ativo da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para o Grupo B2 e deve sempre ser tratada profissionalmente.
  • É de responsabilidade do Gerente/Supervisor de cada área classificar a informação (relatórios, documentos, modelos, procedimentos, planilhas) gerada por sua área de acordo com o nível de confidencialidade estabelecido neste documento.

 

São boas práticas:

  • Bloquear o acesso ao computador sempre que sair da sua mesa de trabalho, mesmo que por alguns minutos;
  • Manter mesas organizadas e documentos com informações confidenciais trancados, quando não os estiver utilizando.

 

DIRETRIZES GERAIS


DADOS PESSOAIS DE FUNCIONÁRIOS

O Grupo B2 se compromete em não acumular ou manter intencionalmente dados pessoais de funcionários além daqueles relevantes na condução do seu negócio. Todos os dados pessoais de funcionários serão considerados confidenciais.

Os dados pessoais de funcionários sob a responsabilidade do Grupo B2 não serão usados para fins diferentes daqueles para os quais foram coletados.

Dados pessoais de funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados.

 

PROGRAMAS ILEGAIS

É terminantemente proibido o uso de programas ilegais (software pirata) no Grupo B2. Os usuários não podem, em hipótese alguma, instalar este tipo de programa nos equipamentos da empresa.

Periodicamente, o Grupo Gestor da Segurança da Informação do Grupo B2 fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando garantir a correta aplicação desta diretriz.

 

ADMISSÃO/DEMISSÃO DE COLABORADORES

Os setores de RH das empresas do Grupo B2 deverão informar ao Grupo Gestor da Segurança da Informação do Grupo B2 toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou descadastrados nos sistemas da empresa. O RH deverá questionar ao setor responsável pela contratação quais sistemas e repositórios de arquivos de trabalho o novo colaborador deverá ter direito de acesso.

O Grupo Gestor da Segurança da Informação do Grupo B2 fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, que deverá ser trocada pelo usuário no seu primeiro acesso.

No caso de desligamento, o setor de RH deverá comunicar o fato na mesma data ao Grupo Gestor da Segurança da Informação, para que todos os acessos concedidos sejam revogados.

Cabe ao setor de RH dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação do Grupo B2.

 

CONCESSÃO E REVOGAÇÃO DE ACESSOS

Quando houver necessidade de concessão ou revogação de acesso aos sistemas, repositórios de arquivos de trabalho e/ou equipamentos de informática do Grupo B2, o setor solicitante comunicará esta necessidade ao Grupo Gestor da Segurança da Informação do Grupo B2, copiando o RH.


POLÍTICA DE SENHAS

Recomendamos que as senhas tenham sempre no mínimo de 8 (oito) caracteres alfanuméricos, contendo pelo menos uma letra maiúscula e um caractere especial.

Recomendamos que as senhas também sejam ser trocadas pelos usuários a cada 3 meses, não devendo se repetir as senhas definidas nos últimos 12 meses.

Sempre que um usuário é desligado da organização, todas as suas senhas e acessos são revogados no mesmo dia.

 

ARQUIVOS DE TRABALHO

Os arquivos de trabalho, considerados dados essenciais ao desenvolvimento do negócio, são mantidos nos servidores de arquivos do Grupo B2.


São exemplos de arquivos de trabalho:

  • Planilha de faturamento;
  • Notas fiscais;
  • Propostas comerciais;
  • Relatórios de análise técnica;
  • Planilhas de medição;
  • Documentação de sistema utilizada como insumo para o trabalho de análise e medição.


O acesso aos arquivos fora das dependências do Grupo B2 é bloqueado e proibido, salvo se realizado através de VPN, com a devida permissão do Grupo Gestor da Segurança da Informação.

 

ARQUIVOS INDIVIDUAIS

São considerados arquivos individuais aqueles criados, copiados ou desenvolvidos pelos usuários, que não sejam parte integrante do produto entregável pelo seu trabalho, seja ele interno ou para clientes. Alguns exemplos são: rascunhos ou lembretes, memórias de cálculo, mensagens, diagramas ou instruções técnicas. A cópia de segurança destes arquivos é de responsabilidade dos próprios usuários. 


Não é permitido aos usuários o uso ou armazenamento dos tipos de arquivos abaixo relacionados em suas estações de trabalho:

  • Programas não licenciados ou não homologados para uso pelo Grupo B2;
  • Músicas, filmes, séries, programas de TV;
  • Vídeos não relacionados à atividade profissional;
  • Conteúdo pornográfico ou relacionado a sexo.

 

CÓPIAS DE SEGURANÇA, RECUPERAÇÃO E INTEGRIDADE DOS SISTEMAS E DE SEUS BANCOS DE DADOS

Cópias de segurança dos sistemas, repositórios de arquivos de trabalho, bancos de dados e configurações dos equipamentos e servidores de rede são de responsabilidade exclusiva do Grupo Gestor da Segurança da Informação.

 

USO DA INTERNET

O uso da Internet será monitorado pelo Grupo Gestor da Segurança da Informação, através do uso de sistema de registro de navegação que informa qual usuário está conectado, o tempo que usou a Internet e qual página acessou.

Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licença de uso ou patentes de terceiros.

Quando navegando na Internet, é proibido a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sites:

  • De jogos on-line;
  • De conteúdo pornográfico ou relacionados a sexo;
  • Que defendam atividades ilegais;
  • Que menosprezem, depreciem ou incitem o preconceito a determinadas classes;
  • Que promovam a participação em salas de discussão de assuntos relacionados aos negócios do Grupo B2, que não contenham informações que agreguem conhecimento profissional e/ou para o negócio não devem ser acessados.


USO DO CORREIO ELETRÔNICO – (“e-mail”)

O correio eletrônico fornecido pelo Grupo B2 é um instrumento de comunicação interna e externa para a realização dos negócios da empresa.

As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem do Grupo B2, não podem ser contrárias à legislação vigente e nem aos princípios éticos estabelecidos no “Código de Ética e Conduta”.

O uso do correio eletrônico é e o usuário é responsável por toda mensagem enviada pelo seu endereço.

Não é permitido o cadastro de contatos pessoais nos sistemas de mensagens instantâneas (ao utilizar a conta profissional) e nem a utilização de contas pessoais.

É terminantemente proibido o envio de mensagens que:

  • Contenham declarações difamatórias e linguagem ofensiva;
  • Possam trazer prejuízos a outras pessoas;
  • Sejam hostis;
  • Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
  • Possam prejudicar a imagem do Grupo B2 e/ou de outras empresas;
  • Sejam incoerentes com as políticas estabelecidas no “Código de Ética e Conduta” do Grupo B2.

 

Não será permitido o uso de e-mail gratuitos (Yahoo!, Hotmail, etc.), nos computadores do Grupo B2.

O Grupo Gestor da Segurança da Informação poderá, visando evitar a entrada de vírus nos computadores do Grupo B2, bloquear o recebimento de e-mails provenientes de e-mails gratuitos.

 

NECESSIDADES DE NOVOS SISTEMAS, APLICATIVOS E/OU EQUIPAMENTOS

O Grupo Gestor da Segurança da Informação é responsável pela definição de compra, substituição e instalação de todo e qualquer “software” e “hardware”.

Qualquer necessidade de novo “software” ou “hardware” deverá ser discutida com os responsáveis pelo Grupo Gestor da Segurança da Informação. Não é permitida a compra ou o desenvolvimento de “softwares” diretamente pelos usuários.

 

USO DE EQUIPAMENTOS DE PROPRIEDADE DA EMPRESA

Os usuários que estiverem de posse de qualquer equipamento (desktop, notebook, celular ou tablet) de propriedade do Grupo B2 devem estar cientes de que:

  • Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais;
  • A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário;
  • É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo;
  • O usuário não deve alterar a configuração do equipamento recebido;
  • O usuário não deve instalar ou remover nenhum programa do equipamento recebido. Também não deve alterar a configuração de nenhum programa previamente instalado.

 

Fora do trabalho:

  • Mantenha o equipamento sempre com você;
  • Atenção em hall de hotéis, aeroportos, aviões, táxi e etc.
  • Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível;
  • Atenção ao transportar o equipamento na rua.

 

Em caso de furto

  • Registre a ocorrência em uma delegacia de polícia;
  • Comunique o fato o mais rápido possível ao seu superior imediato e ao Grupo Gestor da Segurança da Informação;
  • Envie uma cópia do boletim de ocorrência para o RH.

 

 

RESPONSABILIDADES DOS GERENTES/SUPERVISORES

Os gerentes e supervisores são responsáveis pelas definições dos direitos de acesso de seus subordinados aos sistemas e informações da empresa, cabendo a eles verificarem se os mesmos estão acessando exatamente os sistemas e as áreas de dados compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.

 

O Grupo Gestor da Segurança da Informação fará auditorias periódicas do acesso dos usuários às informações, verificando:

  • Que tipo de informação o usuário pode acessar;
  • Quem está autorizado a acessar determinado sistema e/ou informação;
  • Quem acessou determinada sistema e informação;
  • Quem autorizou o usuário a ter permissão de acesso à determinado sistema ou informação;
  • Que informação ou sistema determinado usuário acessou;
  • Quem tentou acessar qualquer sistema ou informação sem estar autorizado.

 

SISTEMA DE TELECOMUNICAÇÕES

O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos do Grupo B2, assim como, o uso de eventuais ramais virtuais instalados nos computadores, é responsabilidade do Grupo Gestor da Segurança da Informação, de acordo com as definições da administração da empresa.

 

USO DE ANTIVÍRUS

Todo arquivo obtido através da Internet ou recebido de entidade externa ao Grupo B2 deve ser verificado por programa antivírus.

Todas as estações de trabalho possuem software antivírus instalado. A sua atualização será automática, agendada pelo Grupo Gestor da Segurança da Informação, via rede.

O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.

Em nossos dispositivos utilizamos Antivírus voltado para ambiente corporativo.

 

 

Suas ações estão configuradas da seguinte forma: 

 

  

_____________________________________________________________________________

Ação                                                                                                      Periodicidade

_____________________________________________________________________________

Scan completo automático dos arquivos                                              Semanalmente

Scan rápido na inicialização                                                                 Diariamente

Busca por atualizações automáticas                                                    Diariamente

Gerenciamento de atualizações dos softwares instalados                   Diariamente                                                                  

Escaneamento de dispositivos de armazenamento portátil.                Tempo Real

 

 



  • Em caso de alguma ameaça ser detectada, é realizada verificação manual imediata.

  • Software antivírus: Norton Small Business.

 

 

O software antivírus gerencia e atualiza os demais softwares instalados de forma tempestiva, em casos onde seja necessário intervenção manual é gerado um alerta e a intervenção é feita de forma imediata.


VIOLAÇÃO DA POLÍTICA DE SEGURANÇA

É qualquer ato que:

  • Exponha a empresa a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados ou de informações ou ainda da perda de equipamento;
  • Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos;
  • Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.

 

PENALIDADES

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.