233 lines
14 KiB
Markdown
233 lines
14 KiB
Markdown
|
---
|
||
|
|
title: 8. Segurança da Informação
|
||
|
|
sidebar_label: 8. Segurança da Informação
|
||
|
|
sidebar_position: 8
|
||
|
|
---
|
||
|
|
|
||
|
|
# 8. Políticas de Segurança da Informação
|
||
|
|
|
||
|
|
## 8.1 Política Geral de Segurança da Informação
|
||
|
|
|
||
|
|
### 8.1.1 Propósito
|
||
|
|
|
||
|
|
Esta política estabelece as diretrizes fundamentais para a proteção das informações da Pragmatismo, definindo as responsabilidades e os requisitos básicos para garantir a confidencialidade, integridade e disponibilidade de todos os ativos de informação da empresa, em conformidade com as normas ISO 27001, HIPAA e LGPD.
|
||
|
|
|
||
|
|
### 8.1.2 Escopo
|
||
|
|
|
||
|
|
Esta política se aplica a todos os colaboradores, contratados, consultores, temporários e outros trabalhadores da Pragmatismo, incluindo todo o pessoal afiliado a terceiros que acessam a rede e sistemas da empresa. Aplica-se a todos os equipamentos, recursos de rede e sistemas de propriedade ou operados pela Pragmatismo.
|
||
|
|
|
||
|
|
### 8.1.3 Declaração da Política
|
||
|
|
|
||
|
|
A Pragmatismo está comprometida em proteger seus ativos de informação contra ameaças internas e externas, intencionais ou acidentais, para garantir a continuidade dos negócios, minimizar os riscos e maximizar o retorno sobre investimentos e oportunidades de negócios.
|
||
|
|
|
||
|
|
A Direção Executiva da Pragmatismo endossa esta política e está comprometida com a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) alinhado com a ISO 27001 e as melhores práticas da indústria.
|
||
|
|
|
||
|
|
### 8.1.4 Princípios de Segurança da Informação
|
||
|
|
|
||
|
|
1. **Confidencialidade**: Garantir que as informações sejam acessíveis apenas àqueles que possuem autorização para acessá-las.
|
||
|
|
2. **Integridade**: Proteger a precisão e a completude das informações e dos métodos de processamento.
|
||
|
|
3. **Disponibilidade**: Assegurar que usuários autorizados tenham acesso às informações quando necessário.
|
||
|
|
4. **Privacidade**: Proteger dados pessoais de acordo com os requisitos legais e regulamentares (LGPD e HIPAA).
|
||
|
|
5. **Resiliência**: Manter a capacidade de resistir e se recuperar de incidentes de segurança.
|
||
|
|
|
||
|
|
### 8.1.5 Organização da Segurança da Informação
|
||
|
|
|
||
|
|
#### 8.1.5.1 Estrutura Organizacional
|
||
|
|
|
||
|
|
1. **Comitê de Segurança da Informação**: Responsável pelo direcionamento estratégico e pela supervisão das iniciativas de segurança da informação.
|
||
|
|
2. **Oficial de Segurança da Informação (CISO)**: Responsável pelo desenvolvimento, implementação e monitoramento do SGSI.
|
||
|
|
3. **Encarregado de Proteção de Dados (DPO)**: Responsável por garantir a conformidade com a LGPD e outras regulamentações de privacidade de dados.
|
||
|
|
4. **Equipe de Resposta a Incidentes**: Responsável por coordenar respostas a incidentes de segurança da informação.
|
||
|
|
|
||
|
|
#### 8.1.5.2 Responsabilidades
|
||
|
|
|
||
|
|
1. **Alta Direção**:
|
||
|
|
- Aprovar a Política de Segurança da Informação.
|
||
|
|
- Garantir recursos adequados para implementação do SGSI.
|
||
|
|
- Estabelecer autoridade e responsabilidade para funções relevantes à segurança da informação.
|
||
|
|
|
||
|
|
2. **Comitê de Segurança da Informação**:
|
||
|
|
- Revisar e aprovar políticas, procedimentos e normas de segurança da informação.
|
||
|
|
- Monitorar indicadores de desempenho de segurança da informação.
|
||
|
|
- Avaliar a eficácia do SGSI.
|
||
|
|
|
||
|
|
3. **CISO**:
|
||
|
|
- Desenvolver, implementar e manter o SGSI.
|
||
|
|
- Coordenar auditorias de segurança da informação.
|
||
|
|
- Reportar o desempenho do SGSI para a Alta Direção.
|
||
|
|
|
||
|
|
4. **DPO**:
|
||
|
|
- Monitorar a conformidade com a LGPD e outras regulamentações de privacidade.
|
||
|
|
- Cooperar com a autoridade supervisora.
|
||
|
|
- Conscientizar e treinar funcionários sobre proteção de dados.
|
||
|
|
|
||
|
|
5. **Colaboradores**:
|
||
|
|
- Aderir às políticas e procedimentos de segurança da informação.
|
||
|
|
- Reportar suspeitas de violações de segurança.
|
||
|
|
- Participar de treinamentos de conscientização em segurança.
|
||
|
|
|
||
|
|
## 8.2 Política de Controle de Acesso
|
||
|
|
|
||
|
|
### 8.2.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer regras para garantir o acesso adequado aos ativos de informação da Pragmatismo, prevenindo acessos não autorizados aos sistemas, aplicações e dados.
|
||
|
|
|
||
|
|
### 8.2.2 Diretrizes
|
||
|
|
|
||
|
|
1. **Princípio do privilégio mínimo**: Os usuários devem ter apenas os privilégios necessários para realizar suas funções.
|
||
|
|
2. **Necessidade de conhecer**: O acesso às informações deve ser concedido apenas àqueles que precisam da informação para realizar seu trabalho.
|
||
|
|
3. **Segregação de funções**: Funções críticas devem ser divididas entre diferentes usuários para reduzir o risco de abuso.
|
||
|
|
4. **Revisão periódica**: Os direitos de acesso devem ser revisados regularmente para garantir que permaneçam apropriados.
|
||
|
|
|
||
|
|
### 8.2.3 Requisitos de Controle de Acesso
|
||
|
|
|
||
|
|
1. **Autenticação multifator (MFA)**: MFA deve ser implementado para todos os acessos administrativos e para acessos remotos à rede corporativa.
|
||
|
|
2. **Gerenciamento de identidades**: Um sistema centralizado de gerenciamento de identidades deve ser usado para controlar o ciclo de vida dos acessos.
|
||
|
|
3. **Gestão de senhas**: Senhas fortes são obrigatórias, com um mínimo de 12 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais.
|
||
|
|
4. **Bloqueio de conta**: Contas devem ser bloqueadas após 5 tentativas malsucedidas de login.
|
||
|
|
5. **Término de acesso**: O acesso deve ser revogado imediatamente após a saída de um colaborador ou mudança de função.
|
||
|
|
|
||
|
|
## 8.3 Política de Proteção de Dados
|
||
|
|
|
||
|
|
### 8.3.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer diretrizes para a proteção de dados pessoais e sensíveis, em conformidade com a LGPD e HIPAA, garantindo que os dados sejam coletados, processados, armazenados e descartados de maneira segura e legal.
|
||
|
|
|
||
|
|
### 8.3.2 Princípios de Proteção de Dados
|
||
|
|
|
||
|
|
1. **Finalidade específica**: Dados pessoais devem ser coletados para finalidades legítimas, específicas e explícitas.
|
||
|
|
2. **Minimização de dados**: Apenas dados necessários para a finalidade específica devem ser coletados e processados.
|
||
|
|
3. **Precisão**: Dados pessoais devem ser precisos e mantidos atualizados.
|
||
|
|
4. **Limitação de armazenamento**: Dados pessoais devem ser armazenados apenas pelo tempo necessário.
|
||
|
|
5. **Integridade e confidencialidade**: Medidas técnicas e organizacionais adequadas devem ser implementadas para proteger os dados.
|
||
|
|
6. **Responsabilidade**: A Pragmatismo é responsável pela conformidade com estes princípios e deve demonstrá-la.
|
||
|
|
|
||
|
|
### 8.3.3 Requisitos de Proteção de Dados
|
||
|
|
|
||
|
|
1. **Consentimento**: Obter consentimento adequado para o processamento de dados pessoais.
|
||
|
|
2. **Base legal**: Garantir que todo processamento de dados tenha uma base legal adequada.
|
||
|
|
3. **Direitos dos titulares**: Implementar procedimentos para atender aos direitos dos titulares dos dados (acesso, retificação, exclusão, portabilidade).
|
||
|
|
4. **Notificação de violação**: Notificar violações de dados às autoridades competentes dentro do prazo legal.
|
||
|
|
5. **Avaliações de impacto**: Realizar avaliações de impacto na proteção de dados para processamentos de alto risco.
|
||
|
|
6. **Proteção por design e por padrão**: Implementar medidas técnicas e organizacionais para integrar a proteção de dados em todas as atividades de processamento.
|
||
|
|
|
||
|
|
## 8.4 Política de Segurança de Comunicações
|
||
|
|
|
||
|
|
### 8.4.1 Propósito
|
||
|
|
|
||
|
|
Garantir a proteção adequada das informações em redes e instalações de processamento de informações de suporte.
|
||
|
|
|
||
|
|
### 8.4.2 Requisitos
|
||
|
|
|
||
|
|
1. **Criptografia de comunicações**: Todas as comunicações externas e internas sensíveis devem ser criptografadas.
|
||
|
|
2. **Segurança de e-mail**: Implementar DKIM, SPF e DMARC para autenticação de e-mail.
|
||
|
|
3. **Transferência segura de arquivos**: Utilizar apenas protocolos seguros para transferência de arquivos (SFTP, FTPS).
|
||
|
|
4. **Segmentação de rede**: Implementar controles adequados para segregar redes e serviços.
|
||
|
|
5. **Monitoramento de rede**: Monitorar continuamente o tráfego de rede para detectar atividades não autorizadas.
|
||
|
|
|
||
|
|
## 8.5 Política de Desenvolvimento Seguro
|
||
|
|
|
||
|
|
### 8.5.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer requisitos de segurança para o desenvolvimento de software, garantindo que a segurança seja considerada em todas as fases do ciclo de vida de desenvolvimento.
|
||
|
|
|
||
|
|
### 8.5.2 Requisitos
|
||
|
|
|
||
|
|
1. **Modelagem de ameaças**: Realizar modelagem de ameaças nas fases iniciais do desenvolvimento.
|
||
|
|
2. **Revisão de código**: Implementar revisões de código com foco em segurança.
|
||
|
|
3. **Testes de segurança**: Realizar testes de segurança automatizados e manuais antes da implantação.
|
||
|
|
4. **Gerenciamento de dependências**: Verificar regularmente dependências quanto a vulnerabilidades conhecidas.
|
||
|
|
5. **Princípios de codificação segura**: Seguir princípios de codificação segura estabelecidos por padrões como OWASP.
|
||
|
|
6. **DevSecOps**: Integrar segurança em processos de desenvolvimento e operações.
|
||
|
|
|
||
|
|
## 8.6 Política de Gestão de Vulnerabilidades
|
||
|
|
|
||
|
|
### 8.6.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer um processo sistemático e eficaz para identificar, avaliar, tratar e reportar vulnerabilidades de segurança nos sistemas e aplicações da Pragmatismo.
|
||
|
|
|
||
|
|
### 8.6.2 Requisitos
|
||
|
|
|
||
|
|
1. **Varreduras regulares**: Realizar varreduras de vulnerabilidades em todos os sistemas pelo menos mensalmente.
|
||
|
|
2. **Priorização**: Priorizar a correção de vulnerabilidades com base em sua criticidade e impacto potencial.
|
||
|
|
3. **Prazos de remediação**: Definir prazos para correção de vulnerabilidades baseados em sua severidade.
|
||
|
|
4. **Testes de penetração**: Realizar testes de penetração anuais em sistemas críticos.
|
||
|
|
5. **Monitoramento de vulnerabilidades**: Manter-se informado sobre novas vulnerabilidades que podem afetar os sistemas da empresa.
|
||
|
|
|
||
|
|
## 8.7 Política de Uso Aceitável de Recursos de TI
|
||
|
|
|
||
|
|
### 8.7.1 Propósito
|
||
|
|
|
||
|
|
Definir as regras para o uso aceitável dos recursos de tecnologia da informação da Pragmatismo, incluindo equipamentos, sistemas, redes e dados.
|
||
|
|
|
||
|
|
### 8.7.2 Diretrizes
|
||
|
|
|
||
|
|
1. **Uso profissional**: Os recursos de TI devem ser utilizados primariamente para fins profissionais.
|
||
|
|
2. **Propriedade intelectual**: Respeitar direitos autorais e licenças de software.
|
||
|
|
3. **Privacidade**: Respeitar a privacidade de outros usuários.
|
||
|
|
4. **Proibições**: É proibido o uso de recursos de TI para atividades ilegais, ofensivas, ou que violem políticas da empresa.
|
||
|
|
5. **Monitoramento**: A empresa se reserva o direito de monitorar o uso dos recursos de TI para garantir a conformidade com esta política.
|
||
|
|
|
||
|
|
## 8.8 Procedimentos de Monitoramento e Auditoria
|
||
|
|
|
||
|
|
### 8.8.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer procedimentos para monitorar sistemas e redes, e auditar atividades dos usuários para detectar violações de segurança e garantir a conformidade com políticas e regulamentações.
|
||
|
|
|
||
|
|
### 8.8.2 Requisitos
|
||
|
|
|
||
|
|
1. **Logs centralizados**: Implementar um sistema centralizado de gerenciamento de logs.
|
||
|
|
2. **Retenção de logs**: Manter logs de auditoria por pelo menos 12 meses.
|
||
|
|
3. **Monitoramento em tempo real**: Implementar monitoramento em tempo real para detectar incidentes de segurança.
|
||
|
|
4. **Revisão de logs**: Revisar regularmente logs de eventos de segurança.
|
||
|
|
5. **Proteção de logs**: Proteger logs contra modificação ou exclusão não autorizada.
|
||
|
|
|
||
|
|
## 8.9 Política de Gerenciamento de Ativos de Informação
|
||
|
|
|
||
|
|
### 8.9.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer diretrizes para a identificação, classificação e proteção dos ativos de informação da Pragmatismo.
|
||
|
|
|
||
|
|
### 8.9.2 Requisitos
|
||
|
|
|
||
|
|
1. **Inventário de ativos**: Manter um inventário atualizado de todos os ativos de informação.
|
||
|
|
2. **Classificação da informação**: Classificar informações com base em sua sensibilidade e criticidade.
|
||
|
|
3. **Proprietários de ativos**: Designar proprietários responsáveis por cada ativo de informação.
|
||
|
|
4. **Manuseio de ativos**: Implementar procedimentos para o manuseio seguro de ativos de acordo com sua classificação.
|
||
|
|
5. **Descarte seguro**: Garantir o descarte seguro de ativos quando não mais necessários.
|
||
|
|
|
||
|
|
## 8.10 Política de Segurança Física e Ambiental
|
||
|
|
|
||
|
|
### 8.10.1 Propósito
|
||
|
|
|
||
|
|
Estabelecer diretrizes para proteger as instalações físicas e o ambiente onde os ativos de informação estão localizados.
|
||
|
|
|
||
|
|
### 8.10.2 Requisitos
|
||
|
|
|
||
|
|
1. **Perímetros de segurança**: Implementar perímetros de segurança física para proteger áreas que contêm informações sensíveis.
|
||
|
|
2. **Controles de acesso físico**: Implementar controles para garantir que apenas pessoal autorizado tenha acesso a áreas seguras.
|
||
|
|
3. **Proteção contra ameaças ambientais**: Implementar controles para proteger contra incêndios, inundações e outras ameaças ambientais.
|
||
|
|
4. **Segurança de equipamentos**: Proteger equipamentos contra falhas de energia, interrupções de serviços e outras ameaças.
|
||
|
|
5. **Política de mesa limpa e tela limpa**: Implementar política de mesa limpa e tela limpa para proteger informações confidenciais.
|
||
|
|
|
||
|
|
## 8.11 Conformidade com Requisitos Regulatórios
|
||
|
|
|
||
|
|
### 8.11.1 ISO 27001
|
||
|
|
|
||
|
|
1. **Sistema de Gestão**: Implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI).
|
||
|
|
2. **Avaliação de riscos**: Realizar avaliações de riscos regularmente.
|
||
|
|
3. **Controles**: Implementar controles de segurança baseados nos resultados da avaliação de riscos.
|
||
|
|
4. **Auditoria interna**: Conduzir auditorias internas para verificar a conformidade com a ISO 27001.
|
||
|
|
5. **Revisão pela direção**: Realizar revisões periódicas do SGSI pela alta direção.
|
||
|
|
|
||
|
|
### 8.11.2 HIPAA (quando aplicável)
|
||
|
|
|
||
|
|
1. **Salvaguardas administrativas**: Implementar políticas e procedimentos para proteger informações de saúde eletrônicas (ePHI).
|
||
|
|
2. **Salvaguardas físicas**: Implementar controles para proteger instalações físicas onde ePHI é armazenada.
|
||
|
|
3. **Salvaguardas técnicas**: Implementar controles técnicos para proteger ePHI.
|
||
|
|
4. **Políticas e procedimentos**: Documentar políticas e procedimentos relacionados à proteção de ePHI.
|
||
|
|
5. **Análise de riscos**: Conduzir análises de riscos regulares para identificar riscos à confidencialidade, integridade e disponibilidade de ePHI.
|
||
|
|
|
||
|
|
### 8.11.3 LGPD
|
||
|
|
|
||
|
|
1. **Base legal**: Garantir base legal para o processamento de dados pessoais
|