GeneralBots/botbook
2
2
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
botbook/docs/chapter-08-Information Security Policies.md

14 KiB
Raw Blame History

title sidebar_label sidebar_position
8. Segurança da Informação 8. Segurança da Informação 8

8. Políticas de Segurança da Informação

8.1 Política Geral de Segurança da Informação

8.1.1 Propósito

Esta política estabelece as diretrizes fundamentais para a proteção das informações da Pragmatismo, definindo as responsabilidades e os requisitos básicos para garantir a confidencialidade, integridade e disponibilidade de todos os ativos de informação da empresa, em conformidade com as normas ISO 27001, HIPAA e LGPD.

8.1.2 Escopo

Esta política se aplica a todos os colaboradores, contratados, consultores, temporários e outros trabalhadores da Pragmatismo, incluindo todo o pessoal afiliado a terceiros que acessam a rede e sistemas da empresa. Aplica-se a todos os equipamentos, recursos de rede e sistemas de propriedade ou operados pela Pragmatismo.

8.1.3 Declaração da Política

A Pragmatismo está comprometida em proteger seus ativos de informação contra ameaças internas e externas, intencionais ou acidentais, para garantir a continuidade dos negócios, minimizar os riscos e maximizar o retorno sobre investimentos e oportunidades de negócios.

A Direção Executiva da Pragmatismo endossa esta política e está comprometida com a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) alinhado com a ISO 27001 e as melhores práticas da indústria.

8.1.4 Princípios de Segurança da Informação

  1. Confidencialidade: Garantir que as informações sejam acessíveis apenas àqueles que possuem autorização para acessá-las.
  2. Integridade: Proteger a precisão e a completude das informações e dos métodos de processamento.
  3. Disponibilidade: Assegurar que usuários autorizados tenham acesso às informações quando necessário.
  4. Privacidade: Proteger dados pessoais de acordo com os requisitos legais e regulamentares (LGPD e HIPAA).
  5. Resiliência: Manter a capacidade de resistir e se recuperar de incidentes de segurança.

8.1.5 Organização da Segurança da Informação

8.1.5.1 Estrutura Organizacional

  1. Comitê de Segurança da Informação: Responsável pelo direcionamento estratégico e pela supervisão das iniciativas de segurança da informação.
  2. Oficial de Segurança da Informação (CISO): Responsável pelo desenvolvimento, implementação e monitoramento do SGSI.
  3. Encarregado de Proteção de Dados (DPO): Responsável por garantir a conformidade com a LGPD e outras regulamentações de privacidade de dados.
  4. Equipe de Resposta a Incidentes: Responsável por coordenar respostas a incidentes de segurança da informação.

8.1.5.2 Responsabilidades

  1. Alta Direção:

    • Aprovar a Política de Segurança da Informação.
    • Garantir recursos adequados para implementação do SGSI.
    • Estabelecer autoridade e responsabilidade para funções relevantes à segurança da informação.

  2. Comitê de Segurança da Informação:

    • Revisar e aprovar políticas, procedimentos e normas de segurança da informação.
    • Monitorar indicadores de desempenho de segurança da informação.
    • Avaliar a eficácia do SGSI.

  3. CISO:

    • Desenvolver, implementar e manter o SGSI.
    • Coordenar auditorias de segurança da informação.
    • Reportar o desempenho do SGSI para a Alta Direção.

  4. DPO:

    • Monitorar a conformidade com a LGPD e outras regulamentações de privacidade.
    • Cooperar com a autoridade supervisora.
    • Conscientizar e treinar funcionários sobre proteção de dados.

  5. Colaboradores:

    • Aderir às políticas e procedimentos de segurança da informação.
    • Reportar suspeitas de violações de segurança.
    • Participar de treinamentos de conscientização em segurança.

8.2 Política de Controle de Acesso

8.2.1 Propósito

Estabelecer regras para garantir o acesso adequado aos ativos de informação da Pragmatismo, prevenindo acessos não autorizados aos sistemas, aplicações e dados.

8.2.2 Diretrizes

  1. Princípio do privilégio mínimo: Os usuários devem ter apenas os privilégios necessários para realizar suas funções.
  2. Necessidade de conhecer: O acesso às informações deve ser concedido apenas àqueles que precisam da informação para realizar seu trabalho.
  3. Segregação de funções: Funções críticas devem ser divididas entre diferentes usuários para reduzir o risco de abuso.
  4. Revisão periódica: Os direitos de acesso devem ser revisados regularmente para garantir que permaneçam apropriados.

8.2.3 Requisitos de Controle de Acesso

  1. Autenticação multifator (MFA): MFA deve ser implementado para todos os acessos administrativos e para acessos remotos à rede corporativa.
  2. Gerenciamento de identidades: Um sistema centralizado de gerenciamento de identidades deve ser usado para controlar o ciclo de vida dos acessos.
  3. Gestão de senhas: Senhas fortes são obrigatórias, com um mínimo de 12 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais.
  4. Bloqueio de conta: Contas devem ser bloqueadas após 5 tentativas malsucedidas de login.
  5. Término de acesso: O acesso deve ser revogado imediatamente após a saída de um colaborador ou mudança de função.

8.3 Política de Proteção de Dados

8.3.1 Propósito

Estabelecer diretrizes para a proteção de dados pessoais e sensíveis, em conformidade com a LGPD e HIPAA, garantindo que os dados sejam coletados, processados, armazenados e descartados de maneira segura e legal.

8.3.2 Princípios de Proteção de Dados

  1. Finalidade específica: Dados pessoais devem ser coletados para finalidades legítimas, específicas e explícitas.
  2. Minimização de dados: Apenas dados necessários para a finalidade específica devem ser coletados e processados.
  3. Precisão: Dados pessoais devem ser precisos e mantidos atualizados.
  4. Limitação de armazenamento: Dados pessoais devem ser armazenados apenas pelo tempo necessário.
  5. Integridade e confidencialidade: Medidas técnicas e organizacionais adequadas devem ser implementadas para proteger os dados.
  6. Responsabilidade: A Pragmatismo é responsável pela conformidade com estes princípios e deve demonstrá-la.

8.3.3 Requisitos de Proteção de Dados

  1. Consentimento: Obter consentimento adequado para o processamento de dados pessoais.
  2. Base legal: Garantir que todo processamento de dados tenha uma base legal adequada.
  3. Direitos dos titulares: Implementar procedimentos para atender aos direitos dos titulares dos dados (acesso, retificação, exclusão, portabilidade).
  4. Notificação de violação: Notificar violações de dados às autoridades competentes dentro do prazo legal.
  5. Avaliações de impacto: Realizar avaliações de impacto na proteção de dados para processamentos de alto risco.
  6. Proteção por design e por padrão: Implementar medidas técnicas e organizacionais para integrar a proteção de dados em todas as atividades de processamento.

8.4 Política de Segurança de Comunicações

8.4.1 Propósito

Garantir a proteção adequada das informações em redes e instalações de processamento de informações de suporte.

8.4.2 Requisitos

  1. Criptografia de comunicações: Todas as comunicações externas e internas sensíveis devem ser criptografadas.
  2. Segurança de e-mail: Implementar DKIM, SPF e DMARC para autenticação de e-mail.
  3. Transferência segura de arquivos: Utilizar apenas protocolos seguros para transferência de arquivos (SFTP, FTPS).
  4. Segmentação de rede: Implementar controles adequados para segregar redes e serviços.
  5. Monitoramento de rede: Monitorar continuamente o tráfego de rede para detectar atividades não autorizadas.

8.5 Política de Desenvolvimento Seguro

8.5.1 Propósito

Estabelecer requisitos de segurança para o desenvolvimento de software, garantindo que a segurança seja considerada em todas as fases do ciclo de vida de desenvolvimento.

8.5.2 Requisitos

  1. Modelagem de ameaças: Realizar modelagem de ameaças nas fases iniciais do desenvolvimento.
  2. Revisão de código: Implementar revisões de código com foco em segurança.
  3. Testes de segurança: Realizar testes de segurança automatizados e manuais antes da implantação.
  4. Gerenciamento de dependências: Verificar regularmente dependências quanto a vulnerabilidades conhecidas.
  5. Princípios de codificação segura: Seguir princípios de codificação segura estabelecidos por padrões como OWASP.
  6. DevSecOps: Integrar segurança em processos de desenvolvimento e operações.

8.6 Política de Gestão de Vulnerabilidades

8.6.1 Propósito

Estabelecer um processo sistemático e eficaz para identificar, avaliar, tratar e reportar vulnerabilidades de segurança nos sistemas e aplicações da Pragmatismo.

8.6.2 Requisitos

  1. Varreduras regulares: Realizar varreduras de vulnerabilidades em todos os sistemas pelo menos mensalmente.
  2. Priorização: Priorizar a correção de vulnerabilidades com base em sua criticidade e impacto potencial.
  3. Prazos de remediação: Definir prazos para correção de vulnerabilidades baseados em sua severidade.
  4. Testes de penetração: Realizar testes de penetração anuais em sistemas críticos.
  5. Monitoramento de vulnerabilidades: Manter-se informado sobre novas vulnerabilidades que podem afetar os sistemas da empresa.

8.7 Política de Uso Aceitável de Recursos de TI

8.7.1 Propósito

Definir as regras para o uso aceitável dos recursos de tecnologia da informação da Pragmatismo, incluindo equipamentos, sistemas, redes e dados.

8.7.2 Diretrizes

  1. Uso profissional: Os recursos de TI devem ser utilizados primariamente para fins profissionais.
  2. Propriedade intelectual: Respeitar direitos autorais e licenças de software.
  3. Privacidade: Respeitar a privacidade de outros usuários.
  4. Proibições: É proibido o uso de recursos de TI para atividades ilegais, ofensivas, ou que violem políticas da empresa.
  5. Monitoramento: A empresa se reserva o direito de monitorar o uso dos recursos de TI para garantir a conformidade com esta política.

8.8 Procedimentos de Monitoramento e Auditoria

8.8.1 Propósito

Estabelecer procedimentos para monitorar sistemas e redes, e auditar atividades dos usuários para detectar violações de segurança e garantir a conformidade com políticas e regulamentações.

8.8.2 Requisitos

  1. Logs centralizados: Implementar um sistema centralizado de gerenciamento de logs.
  2. Retenção de logs: Manter logs de auditoria por pelo menos 12 meses.
  3. Monitoramento em tempo real: Implementar monitoramento em tempo real para detectar incidentes de segurança.
  4. Revisão de logs: Revisar regularmente logs de eventos de segurança.
  5. Proteção de logs: Proteger logs contra modificação ou exclusão não autorizada.

8.9 Política de Gerenciamento de Ativos de Informação

8.9.1 Propósito

Estabelecer diretrizes para a identificação, classificação e proteção dos ativos de informação da Pragmatismo.

8.9.2 Requisitos

  1. Inventário de ativos: Manter um inventário atualizado de todos os ativos de informação.
  2. Classificação da informação: Classificar informações com base em sua sensibilidade e criticidade.
  3. Proprietários de ativos: Designar proprietários responsáveis por cada ativo de informação.
  4. Manuseio de ativos: Implementar procedimentos para o manuseio seguro de ativos de acordo com sua classificação.
  5. Descarte seguro: Garantir o descarte seguro de ativos quando não mais necessários.

8.10 Política de Segurança Física e Ambiental

8.10.1 Propósito

Estabelecer diretrizes para proteger as instalações físicas e o ambiente onde os ativos de informação estão localizados.

8.10.2 Requisitos

  1. Perímetros de segurança: Implementar perímetros de segurança física para proteger áreas que contêm informações sensíveis.
  2. Controles de acesso físico: Implementar controles para garantir que apenas pessoal autorizado tenha acesso a áreas seguras.
  3. Proteção contra ameaças ambientais: Implementar controles para proteger contra incêndios, inundações e outras ameaças ambientais.
  4. Segurança de equipamentos: Proteger equipamentos contra falhas de energia, interrupções de serviços e outras ameaças.
  5. Política de mesa limpa e tela limpa: Implementar política de mesa limpa e tela limpa para proteger informações confidenciais.

8.11 Conformidade com Requisitos Regulatórios

8.11.1 ISO 27001

  1. Sistema de Gestão: Implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI).
  2. Avaliação de riscos: Realizar avaliações de riscos regularmente.
  3. Controles: Implementar controles de segurança baseados nos resultados da avaliação de riscos.
  4. Auditoria interna: Conduzir auditorias internas para verificar a conformidade com a ISO 27001.
  5. Revisão pela direção: Realizar revisões periódicas do SGSI pela alta direção.

8.11.2 HIPAA (quando aplicável)

  1. Salvaguardas administrativas: Implementar políticas e procedimentos para proteger informações de saúde eletrônicas (ePHI).
  2. Salvaguardas físicas: Implementar controles para proteger instalações físicas onde ePHI é armazenada.
  3. Salvaguardas técnicas: Implementar controles técnicos para proteger ePHI.
  4. Políticas e procedimentos: Documentar políticas e procedimentos relacionados à proteção de ePHI.
  5. Análise de riscos: Conduzir análises de riscos regulares para identificar riscos à confidencialidade, integridade e disponibilidade de ePHI.

8.11.3 LGPD

  1. Base legal: Garantir base legal para o processamento de dados pessoais