PSI - Política da Segurança da Informação - Simplificada. 1.0
1. Objetivo da Política de Segurança da Informação – PSI
Este documento tem por objetivo assegurar que todos os ativos de informação, sejam eles físicos ou
lógicos, estejam identificados, classificados, controlados e protegidos contra ameaças e riscos da
informação da Neurotech. A informação, por sua vez, é um ativo que deve ser adequadamente utilizado e protegido. A adoção das políticas e procedimentos visam garantir a segurança da informação e deve ser de prioridade da empresa, reduzindo os riscos de falhas, danos ou prejuízos que possam comprometer a imagem e os objetivos da companhia.
A adoção das políticas e procedimentos visam garantir a segurança da informação e deve ser
prioridade da empresa, reduzindo os riscos de falhas, danos ou prejuízos que possam comprometer a
imagem e os objetivos da companhia.
2. Escopo da PSI
Este documento é uma declaração formal da empresa sobre seu compromisso com a proteção das
informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus
colaboradores, estagiários, bolsistas e demais parceiros. Seus objetivo é estabelecer as diretrizes a
serem seguidas no que diz respeito à adoção de procedimentos e mecanismos relacionados à
segurança da informação.
3. Glossário da Política
● Ativos de Informação: Conjunto de informações, armazenado de modo que possa ser
identificado, inventariado e reconhecido como valioso para a empresa.
● Ativos lógicos de informação: Bases de dados, arquivos, documentação de sistemas,
manuais de usuário, material de treinamento, procedimentos de suporte ou operação,
aplicativos, sistemas de informação.
● Ativos fixos: Equipamentos computacionais (processadores, computadores, computadores
portáteis, modems, servidores, etc), equipamentos de comunicação (roteadores, PABX, fax,
secretárias eletrônicas, etc), mídias de armazenamento ópticos e magnéticos (fitas, CDs,
discos rígidos, etc.).
● Colaborador: Prestadores de serviços da NEUROTECH, bem como qualquer prestador de
serviço, estagiário ou terceiro que trabalham alocados dentro de qualquer localidade da
empresa.
● Confidencialidade: Somente pessoas devidamente autorizadas pela empresa devem ter
acesso à informação.
● Disponibilidade: A informação deve estar disponível para as pessoas autorizadas sempre que
necessário.
● Informação: Resultado do processamento, formatação e organização de dados ou registros de
um sistema. Também são considerados os dados enviados pelo cliente para tratamento interno.
Como regra geral, uma informação é sempre composta por dados, mas um conjunto de dados
nem sempre é considerado informação.
● Integridade: Somente alterações, supressões e adições autorizadas pela empresa devem ser
realizadas nas informações.
● Autenticidade: É a garantia que os usuários em um processo de comunicação, são quem
dizem ser.
● Continuidade: É o objetivo da segurança da informação de que o Recurso de TI continuará
disponível e operante ao longo do tempo, mesmo que ocorram situações que impactem este
recurso.
● Desastre: É uma situação que causa indisponibilidade ou alteração indevida dos Recursos de
TI, causada por elementos da natureza ou equipamentos e ambientes construídos pelo homem
ou uma ação no ambiente computacional, através de programas ou ações que alteram
indevidamente as informações, porém não modificando as características do meio físico onde
essas informações estão armazenadas.
● Informação: Resultado do processamento, formatação e organização de dados ou registros de
um sistema. Também são considerados os dados enviados pelo cliente para tratamento interno.
Como regra geral, uma informação é sempre composta por dados, mas um conjunto de dados
nem sempre é considerado informação.
● Integridade: Somente alterações, supressões e adições autorizadas pela empresa devem ser
realizadas nas informações.
● Sistemas de informação: Todos os sistemas computacionais que são utilizados pela empresa
para suportar suas operações.
● Acesso remoto: É a forma de acesso à distância ao ambiente NEUROTECH através de um
recurso de telecomunicações (infraestrutura de rede pública). Normalmente esse acesso se faz
quando o usuário está fora das instalações, como, por exemplo, em casa ou em viagem.
● Ambiente de Produção: É o ambiente computacional onde são executados os programas que
possibilitam a realização operacional dos negócios da NEUROTECH ou de seus clientes. As
informações deste ambiente são reais, válidas, verdadeiras e possuem valor legal quando
disponibilizadas para usuários, clientes e órgãos governamentais.
● Antivírus ou Endpoints: Software que identifica, previne, detecta e elimina malwares como
vírus, worms e cavalos de tróia, tratando-os conforme o nível da infecção digital. Esse software
normalmente é configurado para remover os malwares, mantendo a integridade do sistema e
dos acessos.
● Cópia de segurança ou Backup: É a cópia das informações de um determinado Recurso de
TI ou informação, que tem por finalidade a possibilidade de recuperação desses dados quando
da ocorrência de situações que gerem indisponibilidade das informações originais.
● Criptografia: Técnicas utilizadas para transformar a informação da sua forma original para
outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da
“chave secreta”), o que a torna difícil de ser lida por alguém não autorizado.
● Mídia Removível: É uma forma de armazenamento e transporte de informação que pode ser
retirada do seu aparelho de leitura, conferindo portabilidade para os dados que carrega, como
exemplo: pen-drive, fita, HD externo, players, CD, DVD, Blu-Ray, cartão de memória, bluetooth
e infravermelho.
● Estação de trabalho: Computador/Recurso utilizado na realização de tarefas relativas ao
trabalho.
● Incidente de Segurança: Qualquer evento que resulte em perda ou dano aos ativos da
Organização, ou qualquer ação que desrespeite as regras de segurança.
4. Diretrizes da PSI
Este documento é uma declaração formal da empresa sobre seu compromisso com a proteção das
informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus
colaboradores, estagiários e bolsistas. Seu objetivo é estabelecer as diretrizes a serem seguidas no
que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da
informação. Seguem abaixo como serão apresentadas as diretrizes da Política da Segurança da
Informação da NEUROTECH.
4.1. Informações gerais
● Todos os sistemas e ambientes de tecnologia bem como documentos físicos utilizados pelos
usuários são de propriedade exclusiva da NEUROTECH não devendo ser interpretado como de
uso pessoal.
● Todos os colaboradores, estagiários, bolsistas e demais parceiros da NEUROTECH devem ter
ciência que o uso das informações da NEUROTECH e de clientes e parceiros devem ser
mantidos sob total sigilo e apenas utilizados no dever de seu exercício profissional na
NEUROTECH.
4.2. Comportamento seguro
A informação está presente no trabalho de todos, independente de qual maneira, meio ou
forma. Sendo assim, se faz fundamental a proteção e segurança destas informações através
de comportamento seguro e consistente com o objetivo de proteção das informações.
5. Abrangência da Política
A divulgação desta política deve ser para todos colaboradores, estagiários, bolsistas e demais
parceiros da NEUROTECH e de maneira que seu conteúdo possa ser acessado a qualquer
momento.
6. Papéis e Responsabilidades
Cabe a todos colaboradores, estagiários, bolsistas e demais parceiros da NEUROTECH :
● Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação
da NEUROTECH;
● Manter completo sigilo sobre as informações da NEUROTECH que tomar conhecimento,
que acessar e também as por mim geradas em razão da minha atividade profissional,
sendo vedada:
a) Sua divulgação não autorizada para terceiros, independente se no ambiente físico ou
eletrônico, inclusive na Internet e nas Mídias Sociais;
b) A realização de cópias ou alterações não autorizadas, em decorrência direta ou indireta
da execução das minhas atividades.
● Buscar orientação do Comitê de Segurança da Informação em caso de dúvidas
relacionadas à segurança da informação;
● Cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual;
● Comunicar imediatamente aos membros do Comitê de Segurança da Informação qualquer
descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos.
7. Controle de Acesso Físico
As dependências da NEUROTECH são protegidas por controles físicos de forma a garantir o
acesso somente de pessoas autorizadas ou funcionários da empresa.
8. Classificação da Informação
Para assegurar a proteção adequada às informações, são definidos métodos de classificação da
informação de acordo com o grau de confidencialidade e criticidade para o negócio da
NEUROTECH;
As informações devem ser classificadas em um dos seguintes níveis:
● Confidencial;
● Uso Interno;
● Pública.
As informações são de propriedade da NEUROTECH, independentemente do formato em que
se encontrem: escritas em papel, impressas, armazenadas eletronicamente nos computadores
e dispositivos tecnológicos, pertencentes a NEUROTECH, expostas em conversas, extraídas
de sistemas diversos e devem ser protegidas por todos os colaboradores, bolsistas, estagiários
e terceiros de modo proporcional à sua criticidade, conforme determinado pela classificação
realizada.
9. Política de Senha
Os acessos aos recursos de Tecnologia da Informação da NEUROTECH devem ser controlados e
monitorados, sendo que todos os colaboradores e prestadores de serviço devem possuir
obrigatoriamente identificação única para todo o tipo de acesso, desde conexões remotas ou locais.
Os colaboradores, bolsistas, estagiários e terceiros devem estar cientes dos impactos que ações
contra esta Política de Segurança da Informação podem causar às informações à NEUROTECH.
As senhas são utilizadas por todos os sistemas, estações de trabalho e servidores e são
consideradas necessárias como meio de autenticação. A eficiência das senhas depende do
usuário, pois este pode escolher senhas óbvias e fáceis de serem descobertas, ou ainda
compartilhá-las com outros colaboradores, não mantendo o sigilo necessário.
10. Trabalho Remoto
Está autorizada a realização do trabalho remoto pelos funcionários e colaboradores da
NEUROTECH, desde que sejam obedecidas as regras de segurança para garantir que não irão
ocorrer incidentes de trabalho decorrentes desta modalidade.
11. Utilização de recursos computacionais
11.1. Estações de trabalho
● Todos os computadores portáteis devem possuir:
– Software antivírus atualizado;
– Correções de segurança (hotfix, service pack) fornecidas pelo fabricante aplicadas.
– Criptografia de disco gerenciada pela infraestrutura de TI.
● Os dispositivos não homologados só poderão ter acesso à rede de visitantes;
● Deve ser observado o procedimento para concessão e controle de acesso a visitantes que,
durante a permanência em instalações da Neurotech, necessitem conectar seus
dispositivos móveis à internet;
● A concessão de acesso à rede de visitantes deve estar associada à conscientização das
regras internas de uso da rede.
11.2. Dispositivos de armazenamento externo
Entende-se por dispositivo externo de armazenamento todo dispositivo capaz de
armazenar informações (dados) para posterior consulta ou uso. Um dispositivo de
armazenamento pode guardar informação, processar informação ou ambos. (exemplo: HD
externo, pen-drives, celulares com função de disco usb, CDs, DVDs, HDs Virtuais, etc).
É proibida a gravação de informações relacionadas às atividades da NEUROTECH em
dispositivos externos de armazenamento de dados. Pen-Drives e HD’s Externos, assim
como gravação de CD’s são proibidos.
11.3.Instalação de Softwares
Qualquer software que, por necessidade do serviço, necessitar ser instalado deverá ser
solicitado via chamado à Infraestrutura TI, para que o mesmo possa ser homologado e só
assim ser disponibilizado para a área requerente.
11.4.Acesso à VPN (Virtual Private Network)
Todos os colaboradores (exceto bolsistas, terceiros ou estagiários), que necessitam acesso
à rede NEUROTECH para utilizar dados confidenciais ou internos fora de um dos
endereços da empresa devem fazê-lo utilizando uma conexão VPN (Virtual Private
Network).
O acesso através de um túnel VPN faz com que seja fornecida uma conexão segura e
estabelece a proteção da comunicação através da Internet pública.
12. Incidentes da Segurança da Informação
O processo de tratamento de incidentes é tratado por um processo à parte dentro do sistema de
gestão de segurança da informação. Nesta política iremos contemplar a questão da identificação e
comunicação dos incidentes.
12.1.Identificação e comunicação
A identificação dos incidentes ocorre por monitoração da Infraestrutura de TI dos
dispositivos de segurança tecnológica, ou por notificação dos diretores, funcionários ou
demais colaboradores da NEUROETCH ao time de segurança da informação. Comitê de
Segurança da Informação.
13. Aspectos Legais
Todos os colaboradores, estagiários e bolsistas da NEUROTECH devem assinar um termo de
compromisso, no qual se comprometem a seguir as determinações da Política de Segurança da
Informação da NEUROTECH.
A alta direção da NEUROTECH está comprometida com todos os requisitos e determinações legais
de forma a garantir a segurança e privacidade de toda a empresa e dos seus dados.