GeneralBots/botbook
2
2
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
botbook/docs/chapter-08-Information Security Policies.md

233 lines
No EOL
14 KiB
Markdown
Raw Permalink Blame History

---
title: 8. Segurança da Informação
sidebar_label: 8. Segurança da Informação
sidebar_position: 8
---
# 8. Políticas de Segurança da Informação
## 8.1 Política Geral de Segurança da Informação
### 8.1.1 Propósito
Esta política estabelece as diretrizes fundamentais para a proteção das informações da Pragmatismo, definindo as responsabilidades e os requisitos básicos para garantir a confidencialidade, integridade e disponibilidade de todos os ativos de informação da empresa, em conformidade com as normas ISO 27001, HIPAA e LGPD.
### 8.1.2 Escopo
Esta política se aplica a todos os colaboradores, contratados, consultores, temporários e outros trabalhadores da Pragmatismo, incluindo todo o pessoal afiliado a terceiros que acessam a rede e sistemas da empresa. Aplica-se a todos os equipamentos, recursos de rede e sistemas de propriedade ou operados pela Pragmatismo.
### 8.1.3 Declaração da Política
A Pragmatismo está comprometida em proteger seus ativos de informação contra ameaças internas e externas, intencionais ou acidentais, para garantir a continuidade dos negócios, minimizar os riscos e maximizar o retorno sobre investimentos e oportunidades de negócios.
A Direção Executiva da Pragmatismo endossa esta política e está comprometida com a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) alinhado com a ISO 27001 e as melhores práticas da indústria.
### 8.1.4 Princípios de Segurança da Informação
1. **Confidencialidade**: Garantir que as informações sejam acessíveis apenas àqueles que possuem autorização para acessá-las.
2. **Integridade**: Proteger a precisão e a completude das informações e dos métodos de processamento.
3. **Disponibilidade**: Assegurar que usuários autorizados tenham acesso às informações quando necessário.
4. **Privacidade**: Proteger dados pessoais de acordo com os requisitos legais e regulamentares (LGPD e HIPAA).
5. **Resiliência**: Manter a capacidade de resistir e se recuperar de incidentes de segurança.
### 8.1.5 Organização da Segurança da Informação
#### 8.1.5.1 Estrutura Organizacional
1. **Comitê de Segurança da Informação**: Responsável pelo direcionamento estratégico e pela supervisão das iniciativas de segurança da informação.
2. **Oficial de Segurança da Informação (CISO)**: Responsável pelo desenvolvimento, implementação e monitoramento do SGSI.
3. **Encarregado de Proteção de Dados (DPO)**: Responsável por garantir a conformidade com a LGPD e outras regulamentações de privacidade de dados.
4. **Equipe de Resposta a Incidentes**: Responsável por coordenar respostas a incidentes de segurança da informação.
#### 8.1.5.2 Responsabilidades
1. **Alta Direção**:
- Aprovar a Política de Segurança da Informação.
- Garantir recursos adequados para implementação do SGSI.
- Estabelecer autoridade e responsabilidade para funções relevantes à segurança da informação.
2. **Comitê de Segurança da Informação**:
- Revisar e aprovar políticas, procedimentos e normas de segurança da informação.
- Monitorar indicadores de desempenho de segurança da informação.
- Avaliar a eficácia do SGSI.
3. **CISO**:
- Desenvolver, implementar e manter o SGSI.
- Coordenar auditorias de segurança da informação.
- Reportar o desempenho do SGSI para a Alta Direção.
4. **DPO**:
- Monitorar a conformidade com a LGPD e outras regulamentações de privacidade.
- Cooperar com a autoridade supervisora.
- Conscientizar e treinar funcionários sobre proteção de dados.
5. **Colaboradores**:
- Aderir às políticas e procedimentos de segurança da informação.
- Reportar suspeitas de violações de segurança.
- Participar de treinamentos de conscientização em segurança.
## 8.2 Política de Controle de Acesso
### 8.2.1 Propósito
Estabelecer regras para garantir o acesso adequado aos ativos de informação da Pragmatismo, prevenindo acessos não autorizados aos sistemas, aplicações e dados.
### 8.2.2 Diretrizes
1. **Princípio do privilégio mínimo**: Os usuários devem ter apenas os privilégios necessários para realizar suas funções.
2. **Necessidade de conhecer**: O acesso às informações deve ser concedido apenas àqueles que precisam da informação para realizar seu trabalho.
3. **Segregação de funções**: Funções críticas devem ser divididas entre diferentes usuários para reduzir o risco de abuso.
4. **Revisão periódica**: Os direitos de acesso devem ser revisados regularmente para garantir que permaneçam apropriados.
### 8.2.3 Requisitos de Controle de Acesso
1. **Autenticação multifator (MFA)**: MFA deve ser implementado para todos os acessos administrativos e para acessos remotos à rede corporativa.
2. **Gerenciamento de identidades**: Um sistema centralizado de gerenciamento de identidades deve ser usado para controlar o ciclo de vida dos acessos.
3. **Gestão de senhas**: Senhas fortes são obrigatórias, com um mínimo de 12 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais.
4. **Bloqueio de conta**: Contas devem ser bloqueadas após 5 tentativas malsucedidas de login.
5. **Término de acesso**: O acesso deve ser revogado imediatamente após a saída de um colaborador ou mudança de função.
## 8.3 Política de Proteção de Dados
### 8.3.1 Propósito
Estabelecer diretrizes para a proteção de dados pessoais e sensíveis, em conformidade com a LGPD e HIPAA, garantindo que os dados sejam coletados, processados, armazenados e descartados de maneira segura e legal.
### 8.3.2 Princípios de Proteção de Dados
1. **Finalidade específica**: Dados pessoais devem ser coletados para finalidades legítimas, específicas e explícitas.
2. **Minimização de dados**: Apenas dados necessários para a finalidade específica devem ser coletados e processados.
3. **Precisão**: Dados pessoais devem ser precisos e mantidos atualizados.
4. **Limitação de armazenamento**: Dados pessoais devem ser armazenados apenas pelo tempo necessário.
5. **Integridade e confidencialidade**: Medidas técnicas e organizacionais adequadas devem ser implementadas para proteger os dados.
6. **Responsabilidade**: A Pragmatismo é responsável pela conformidade com estes princípios e deve demonstrá-la.
### 8.3.3 Requisitos de Proteção de Dados
1. **Consentimento**: Obter consentimento adequado para o processamento de dados pessoais.
2. **Base legal**: Garantir que todo processamento de dados tenha uma base legal adequada.
3. **Direitos dos titulares**: Implementar procedimentos para atender aos direitos dos titulares dos dados (acesso, retificação, exclusão, portabilidade).
4. **Notificação de violação**: Notificar violações de dados às autoridades competentes dentro do prazo legal.
5. **Avaliações de impacto**: Realizar avaliações de impacto na proteção de dados para processamentos de alto risco.
6. **Proteção por design e por padrão**: Implementar medidas técnicas e organizacionais para integrar a proteção de dados em todas as atividades de processamento.
## 8.4 Política de Segurança de Comunicações
### 8.4.1 Propósito
Garantir a proteção adequada das informações em redes e instalações de processamento de informações de suporte.
### 8.4.2 Requisitos
1. **Criptografia de comunicações**: Todas as comunicações externas e internas sensíveis devem ser criptografadas.
2. **Segurança de e-mail**: Implementar DKIM, SPF e DMARC para autenticação de e-mail.
3. **Transferência segura de arquivos**: Utilizar apenas protocolos seguros para transferência de arquivos (SFTP, FTPS).
4. **Segmentação de rede**: Implementar controles adequados para segregar redes e serviços.
5. **Monitoramento de rede**: Monitorar continuamente o tráfego de rede para detectar atividades não autorizadas.
## 8.5 Política de Desenvolvimento Seguro
### 8.5.1 Propósito
Estabelecer requisitos de segurança para o desenvolvimento de software, garantindo que a segurança seja considerada em todas as fases do ciclo de vida de desenvolvimento.
### 8.5.2 Requisitos
1. **Modelagem de ameaças**: Realizar modelagem de ameaças nas fases iniciais do desenvolvimento.
2. **Revisão de código**: Implementar revisões de código com foco em segurança.
3. **Testes de segurança**: Realizar testes de segurança automatizados e manuais antes da implantação.
4. **Gerenciamento de dependências**: Verificar regularmente dependências quanto a vulnerabilidades conhecidas.
5. **Princípios de codificação segura**: Seguir princípios de codificação segura estabelecidos por padrões como OWASP.
6. **DevSecOps**: Integrar segurança em processos de desenvolvimento e operações.
## 8.6 Política de Gestão de Vulnerabilidades
### 8.6.1 Propósito
Estabelecer um processo sistemático e eficaz para identificar, avaliar, tratar e reportar vulnerabilidades de segurança nos sistemas e aplicações da Pragmatismo.
### 8.6.2 Requisitos
1. **Varreduras regulares**: Realizar varreduras de vulnerabilidades em todos os sistemas pelo menos mensalmente.
2. **Priorização**: Priorizar a correção de vulnerabilidades com base em sua criticidade e impacto potencial.
3. **Prazos de remediação**: Definir prazos para correção de vulnerabilidades baseados em sua severidade.
4. **Testes de penetração**: Realizar testes de penetração anuais em sistemas críticos.
5. **Monitoramento de vulnerabilidades**: Manter-se informado sobre novas vulnerabilidades que podem afetar os sistemas da empresa.
## 8.7 Política de Uso Aceitável de Recursos de TI
### 8.7.1 Propósito
Definir as regras para o uso aceitável dos recursos de tecnologia da informação da Pragmatismo, incluindo equipamentos, sistemas, redes e dados.
### 8.7.2 Diretrizes
1. **Uso profissional**: Os recursos de TI devem ser utilizados primariamente para fins profissionais.
2. **Propriedade intelectual**: Respeitar direitos autorais e licenças de software.
3. **Privacidade**: Respeitar a privacidade de outros usuários.
4. **Proibições**: É proibido o uso de recursos de TI para atividades ilegais, ofensivas, ou que violem políticas da empresa.
5. **Monitoramento**: A empresa se reserva o direito de monitorar o uso dos recursos de TI para garantir a conformidade com esta política.
## 8.8 Procedimentos de Monitoramento e Auditoria
### 8.8.1 Propósito
Estabelecer procedimentos para monitorar sistemas e redes, e auditar atividades dos usuários para detectar violações de segurança e garantir a conformidade com políticas e regulamentações.
### 8.8.2 Requisitos
1. **Logs centralizados**: Implementar um sistema centralizado de gerenciamento de logs.
2. **Retenção de logs**: Manter logs de auditoria por pelo menos 12 meses.
3. **Monitoramento em tempo real**: Implementar monitoramento em tempo real para detectar incidentes de segurança.
4. **Revisão de logs**: Revisar regularmente logs de eventos de segurança.
5. **Proteção de logs**: Proteger logs contra modificação ou exclusão não autorizada.
## 8.9 Política de Gerenciamento de Ativos de Informação
### 8.9.1 Propósito
Estabelecer diretrizes para a identificação, classificação e proteção dos ativos de informação da Pragmatismo.
### 8.9.2 Requisitos
1. **Inventário de ativos**: Manter um inventário atualizado de todos os ativos de informação.
2. **Classificação da informação**: Classificar informações com base em sua sensibilidade e criticidade.
3. **Proprietários de ativos**: Designar proprietários responsáveis por cada ativo de informação.
4. **Manuseio de ativos**: Implementar procedimentos para o manuseio seguro de ativos de acordo com sua classificação.
5. **Descarte seguro**: Garantir o descarte seguro de ativos quando não mais necessários.
## 8.10 Política de Segurança Física e Ambiental
### 8.10.1 Propósito
Estabelecer diretrizes para proteger as instalações físicas e o ambiente onde os ativos de informação estão localizados.
### 8.10.2 Requisitos
1. **Perímetros de segurança**: Implementar perímetros de segurança física para proteger áreas que contêm informações sensíveis.
2. **Controles de acesso físico**: Implementar controles para garantir que apenas pessoal autorizado tenha acesso a áreas seguras.
3. **Proteção contra ameaças ambientais**: Implementar controles para proteger contra incêndios, inundações e outras ameaças ambientais.
4. **Segurança de equipamentos**: Proteger equipamentos contra falhas de energia, interrupções de serviços e outras ameaças.
5. **Política de mesa limpa e tela limpa**: Implementar política de mesa limpa e tela limpa para proteger informações confidenciais.
## 8.11 Conformidade com Requisitos Regulatórios
### 8.11.1 ISO 27001
1. **Sistema de Gestão**: Implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI).
2. **Avaliação de riscos**: Realizar avaliações de riscos regularmente.
3. **Controles**: Implementar controles de segurança baseados nos resultados da avaliação de riscos.
4. **Auditoria interna**: Conduzir auditorias internas para verificar a conformidade com a ISO 27001.
5. **Revisão pela direção**: Realizar revisões periódicas do SGSI pela alta direção.
### 8.11.2 HIPAA (quando aplicável)
1. **Salvaguardas administrativas**: Implementar políticas e procedimentos para proteger informações de saúde eletrônicas (ePHI).
2. **Salvaguardas físicas**: Implementar controles para proteger instalações físicas onde ePHI é armazenada.
3. **Salvaguardas técnicas**: Implementar controles técnicos para proteger ePHI.
4. **Políticas e procedimentos**: Documentar políticas e procedimentos relacionados à proteção de ePHI.
5. **Análise de riscos**: Conduzir análises de riscos regulares para identificar riscos à confidencialidade, integridade e disponibilidade de ePHI.
### 8.11.3 LGPD
1. **Base legal**: Garantir base legal para o processamento de dados pessoais
Reference in a new issue View git blame Copy permalink