POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, CONTINUIDADE DE NEGÓCIOS E SEGURANÇA CIBERNÉTICA

Transcrição

1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, CONTINUIDADE DE NEGÓCIOS E SEGURANÇA CIBERNÉTICA I. INTRODUÇÃO: Esta Política de Segurança da Informação, Plano de Continuidade de Negócios e Segurança Cibernética ( Política de Segurança ) tem por objetivo formalizar as regras e procedimentos, que devem ser adotados pelos Colaboradores da JPP, para preservar as informações meios para manter a segurança das informações, a continuidade dos negócios e a segurança cibernética; e estabelece os princípios, conceitos, valores e práticas que devem ser adotados pelos administradores, funcionários e colaboradores da JPP Capital Gestão de Recursos Ltda. ( JPP ou Gestora ), na sua atuação interna e com o mercado. A publicação desta Política representa o compromisso de todos os Colaboradores da JPP com os valores e as práticas fundamentadas na integridade, confiança e lealdade. Portanto, a constante busca do desenvolvimento da JPP e a defesa dos interesses dos clientes estarão sempre pautadas nas diretrizes aqui expostas. II. SEGURANÇA DA INFORMAÇÃO: 1. Aspectos Gerais Os pilares da segurança da informação nos dão subsídios para proteger as informações da JPP, sendo assim, quando mencionamos segurança da informação estamos falando de proteções voltadas às informações impressas, verbais e sistêmicas, bem como nos controles de acesso, vigilância, contingência de desastres e demais questões que juntas formam uma proteção adequada para a empresa. Os Colaboradores, enquanto estiverem no exercício de suas funções ou prestando serviços à JPP, e mesmo após ter deixado a empresa, não devem transmitir informações não-públicas, as quais tenham acesso privilegiado, à terceiros, informações estas que foram obtidas durante o exercício de suas funções como Colaboradores da Gestora. 2. Políticas Gerais A. Controle de Acesso a Arquivos Eletrônicos: O acesso controlado aos recursos físicos e lógicos da JPP passa por controles de identificação, autenticação e autorização dos usuários ou sistemas aos ativos da empresa. O acesso e o uso de qualquer informação, pelo usuário, deve se restringir ao necessário para o desempenho de suas atividades profissionais na Gestora. 1

2 Para acessos a sistemas sensíveis, a JPP exige ainda autenticação de dois fatores. Ademais, todos os telefones da mesa de operações são monitorados e tem suas ligações gravadas para quaisquer questionamentos posteriores. A empresa que presta este serviço para a JPP é a Inovax. Na hipótese de desligamento do Colaborador os acessos acima referidos são imediatamente cancelados. Além disso, não será permitida a permanência de antigos Colaboradores nas dependências da JPP, com exceção dos casos em que tenha sido chamado pelos Recursos Humanos ou demais casos previstos nas políticas internas da JPP. B. Controle de acesso pessoal O Diretor de Compliance é responsável por controlar e acompanhar a devida segregação dos acessos às respectivas informações conforme a atividade de cada Colaborador, inclusive nos casos de mudança de atividade dentro da mesma instituição ou desligamento do profissional. C. Controle de acesso remoto Os Colaboradores da JPP apenas poderão acessar o sistema, redes ou servidores da Gestora de maneira remota mediante autorização concedida pela área de Compliance. A Gestora apenas autoriza o acesso remoto quando necessário e todas as precauções para a correta autenticação do usuário são tomadas. Ademais, é de responsabilidade do Colaborador configurar as suas aplicações para utilizar o VPN para acesso à rede da JPP, assim como possuir anti-vírus e anti-malware instalados e atualizados. 3. Termo de confidencialidade Em relação aos seus Colaboradores ou na contratação de terceiros que terão acesso a sistemas, dados e informações confidenciais, reservadas ou privilegiadas, a JPP deverá assegurar-se da existência de cláusula ou termo de confidencialidade em que a Parte se comprometa com a não divulgação e manutenção da informação, inclusive destruindo-a caso solicitado pela Gestora ou após o final do contrato. 4. Tratamento de casos de vazamento de informações O Colaborador que detectar possível vazamento de informações confidenciais deve comunicar imediatamente à Diretora de Compliance, para que esta, no menor prazo possível diligencie para: 2

3 a) Averiguar se o vazamento de informações teve origem interna, na qual os Colaboradores divulgam dados da Gestora, ou externa, na hipótese de invasão por hackers); b) Identificar a natureza das informações vazadas; c) Verificar as medidas protetivas que devem ser tomadas; d) No caso de vazamento de informações relativas aos fundos de investimento geridos, publicar, imediatamente após verificar o vazamento das informações, fato relevante, nos termos da regulamentação vigente; e e) Iniciar procedimento de emergência para reparar os danos e recuperar os dados, inclusive contratação de empresa de TI. 5. Testes Periódicos Periodicamente, a Gestora realiza testes de segurança em todo o seu sistema de informação. Dentre as medidas, incluem-se, mas não se limitam: a) Verificação do Login dos colaboradores; b) Anualmente, altera-se a senha de acesso dos colaboradores; Testes no firewall; c) Manutenção trimestral de todo o hardware por empresa especializada em consultoria de tecnologia de informação; d) Testes no back up (salvamento de informações) diário em disco e mensalmente em fita magnética DAT. Diariamente e em horário programado é iniciada uma rotina de verificação de vulnerabilidades em todos os computadores da empresa. O log desta rotina é analisado pela área de TI para que haja conhecimento do tipo de vulnerabilidade encontrada e a atitude que foi tomada automaticamente para eliminar quaisquer vírus. III. POLÍTICA DE SEGURANÇA CIBERNÉTICA 1. Apresentação A presente Política de Segurança Cibernética tem como objetivo principal a proteção das informações detidas pela JPP. Para tanto a Gestora se baseia em cinco principais pilares, quais sejam: a) Risk Assessment; b) Ações de prevenção e proteção; c) Monitoramento e testes; d) Planos de resposta; e e) Reciclagem, treinamentos e revisão periódica. 3

4 Dentre os riscos aos quais as instituições estão expostas, se destacam: a) Malware; b) Engenharia social; c) Pharming; d) Phishing; e) Cishing; f) Smishing; g) Acesso Pessoal; h) Ataques de DDoS e botnets; e i) Invasões. Os responsáveis por tratar e resolver questões relacionadas à segurança cibernética da JPP são, a Diretora de Compliance em conjunto com a empresa técnica especializada. 2. Avaliação dos Riscos A Gestora mapeou os seus ativos sujeitos a risco cibernético, e ainda, a localização do armazenamento de informações digitais relevantes e os respectivos graus de exposição ao risco ( Inventário ): O Inventário foi realizado pela Diretora de Compliance e deverá ser periodicamente atualizado. 3. Ações de Proteção e prevenção A JPP adota por princípio o fato de que um ataque cibernético pode acontecer a qualquer momento. Sendo assim, A Gestora adota, dentre outros, os seguintes princípios organizacionais para prevenir ataques cibernéticos: A. Controle de Acesso O acesso controlado aos recursos físicos e lógicos da JPP passa por controles de identificação, autenticação e autorização dos usuários ou sistemas aos ativos da empresa. Os eventos de login e alteração de senha devem permanecer rastreáveis e auditáveis. O Colaborador terá acesso apenas aos ativos necessários para realização de suas atividades. Para proteção dos dados a JPP possui software de controle de acesso lógico, ou seja, ao utilizar senhas. Diariamente e em horário programado é iniciada uma rotina de verificação de vulnerabilidades em todos os computadores da empresa. O log desta rotina é analisado pela área de TI para que haja conhecimento do tipo de vulnerabilidade encontrada e a atitude que foi tomada automaticamente para eliminar quaisquer vírus. 4

5 B. Backup A JPP se utiliza de serviço de backup e restore de arquivos, que tem o intuito de garantir a segurança das informações, a recuperação em casos de desastres e garantir a integridade, a confiabilidade e a disponibilidade dos dados armazenados. A fim de assegurar a integridade das informações e mensagens eletrônicas que fazem parte da comunicação e rotinas internas, é feito diariamente backup em disco e mensalmente em fita magnética DAT de todas as informações transitadas pela rede de computadores JPP, os backup mensais são enviados à empresa Iron Mountain, que presta serviço de gerenciamento de arquivos para a JPP, sendo os arquivos guardados por 5 anos. C. Proteção contra vírus e malware Para proteção contra vírus e malwares existem softwares de prevenção nos servidores de rede da JPP e dos desktops, como antivírus e firewalls pessoais. Além disso, periodicamente, são verificados automaticamente os hard-disks de todos os computadores. O uso de pendrives será permitido apenas mediante a autorização do Diretor responsável. D. Segregação de acesso Conforme mencionado anteriormente, inclusive na Política de Segurança e Sigilo de Informações, os arquivos digitais da Gestora são restritos a cada Colaborador, mediante autorização do gestor da área e a responsável pelo Compliance. 4. Monitoramento e testes A JPP deve assegurar o funcionamento correto e contínuo de controle descritos acima. A Gestora mantém inventários de hardware e software, verificando-os com frequência para identificar elementos estranhos à instituição. Área de Tecnologia da Informação deve diligenciar para manter os sistemas operacionais e softwares de aplicação atualizados. A JPP é responsável ainda por monitorar diariamente as rotinas de backup, executando testes regulares de restauração dos dados. Ademais, sempre que possível a Gestora deverá realizar pentests (testes de invasão), assim como análises de vulnerabilidades no parque tecnológico da Gestora, que deverão ser realizados por empresa técnica especializada. 5. Plano de resposta a incidentes 5

6 A JPP conta com um plano de resposta aos incidentes considerando os cenários de ameaças detectados durante a realização do risk assessment. O plano deve ser de conhecimento apenas dos responsáveis pela segurança cibernética, além dos diretores e dos sócios, e deverá levar em consideração os cenários de ameaças previstos no risk assessment. Em caso de ataque cibernético, a Gestora, por meio de sua área responsável, deve diligenciar para tratar o ataque e permitir a continuidade dos negócios. Ao verificar eventual vazamento de informações deve ser averiguado a fonte do vazamento. Caso qualquer Colaborador detecte uma suspeita de ataque cibernético, deverá prontamente comunicar aos responsáveis por esta Política, para que estes entrem em contato com o Assessor Especializado e tomem as medidas cabíveis. As documentações relacionadas ao gerenciamento dos incidentes deverão ser arquivadas com a Área Responsável da Gestora. IV. PLANO DE CONTIGÊNCIA E CONTINUIDADE DE NEGÓCIOS Este Plano de Contingência e Continuidade de Negócios ( PCN ) tem por objetivo estabelecer as medidas a serem tomadas para identificar e prevenir contingências que possam causar prejuízo para a condução das atividades principais da JPP. Adotou-se visão pragmática dos eventos com maior possibilidade de ocorrência, dada a localização e características das instalações da edificação em que se encontra a sede da Gestora. Assim, buscou-se conhecer e reparar os principais pontos de vulnerabilidade de suas instalações e equipamentos. Dessa forma, é possível conhecer e minimizar os danos no período pós-contingência, minimizar os prejuízos para a Gestora, seus Clientes e seus Colaboradores que possam decorrer da interrupção não programada de suas atividades, e reduzir o tempo para a sua normalização. De modo a tornar efetivo o presente Plano, todos os Colaboradores da Gestora deverão conhecer os planos de evacuação das instalações físicas e melhores práticas de saúde e segurança no ambiente de trabalho. Caso a Gestora entenda ser necessário ou algum Colaborador manifestar interesse sobre qualquer um dos temas pertinentes, treinamento específico poderá ser fornecido. 1. Principais Contingências Mapeadas A análise de impacto do negócio foi sumarizada para refletir os riscos potenciais que respondem pela maior parte dos desastres, incidentes e consequentes possíveis perdas ao negócio. São eles: 6

7 a) Falta de energia elétrica; b) Falha de hardware ou software na estação de trabalho; c) Queda no serviço de internet ou falha no equipamento de rede; d) Indisponibilidade da rede de arquivos; e) Impossibilidade de acessar o escritório. 2. Plano de Contingência Os riscos potenciais dos itens (a), (c) e (e), têm como solução a utilização de outro computador fora do escritório, com acesso à internet. O site de contingência possui mecanismos de segurança, que permitem que este acesso emergencial seja feito de qualquer estação de trabalho, sem risco de vírus ou invasão. Para o risco do item (b) o mais recomendado é a utilização de outra estação de trabalho do próprio escritório para acessar o ambiente em nuvem e seguir com o trabalho até que a equipe de TI resolva o problema na estação. Na hipótese de indisponibilidade da rede de arquivos é recomendado utilizar a estação em nuvem, que possui acesso direto aos arquivos de rede em sincronia. Porém, essa solução pode não ser necessária, tendo em vista que a rede tem mecanismo de direcionar o usuário automaticamente para a nuvem em caso de indisponibilidade de rede local. A implementação dos planos de contingência deverá ser realizada até o primeiro semestre de 2019, podendo ser revisto essa data, e será de responsabilidade da Diretora de Compliance. Além disso, para a retomada das atividades após a ocorrência de um evento de contingência, a JPP utilizará soluções para: 3. Testes Periódicos a) Substituir equipamentos danificados; b) Efetuar despesas contingenciais, incluindo a compra de equipamentos ou contratação de serviços que se fizerem necessários; c) Manter suas atividades durante a contingência através de acesso remoto pelos Colaboradores; d) Acesso a dados e informações armazenadas em locais e instalações diferentes do local de processamento principal; e) Retornar à utilização das instalações de sua sede após a ocorrência do evento de contingência; e f) Avaliar os prejuízos decorrentes da interrupção das atividades regulares. As contingências descritas no PCN deverão ser testadas com periodicidade mínima anual, sob responsabilidade da Diretora de Compliance. Os testes deverão verificar as condições para: a) Acesso aos sistemas; b) Acesso ao corporativo; e c) Acesso aos dados armazenados em procedimento de backup. 7

8 O resultado de cada teste será registrado em relatório próprio obedecendo o disposto na regulamentação aplicável e as orientações das entidades responsáveis pela supervisão das atividades, que servirá como indicador para regularização das possíveis falhas identificadas, servindo como apoio ao constante aprimoramento do presente PCN. O PCN foi elaborado tendo em vista a possibilidade de realização de todos os trabalhos prestados pela JPP sem dependência do acesso à sua localidade física, sendo que as atividades indispensáveis são as operacionais, controle de risco e trading. 4. Regras de Ativação do Plano Em caso de suspeita de materialização de risco, a Diretora de Compliance deverá ser imediatamente comunicado, e na sua ausência, qualquer outro membro de Diretoria ( Responsável ). O Responsável terá a incumbência de tomar as medidas cabíveis a fim de sanar os efeitos. 5. Revisão e Vigência A presente Política será revisada com periodicidade mínima de um ano. A Política de Segurança revoga todas as versões anteriores e passa a vigorar na data de sua aprovação pela Diretoria. Eventual incompatibilidade entre as versões anteriores e a versão atual, se existirem, serão tratadas pelo Diretor responsável. V. POLÍTICA DE SEGURANÇA CIBERNÉTICA A segurança cibernética pode ser definida como a proteção das informações da Gestora, do investidor, e dos stakeholders através do uso de tecnologias da informação. A fim de garantir a proteção das informações em seu poder, a Gestora adota a presente política de segurança cibernética ( Política ), com base em cinco principais pilares, quais sejam: (i) Risk assessment; (ii) ações de prevenção e proteção; (iii) monitoramento e testes; (iv) planos de resposta; (v) reciclagem, treinamentos e revisão periódica. A responsável por tratar e resolver questões relacionadas à segurança cibernética da JPP é a Diretora de Compliance e Controles Internos ( Área Responsável ). Além dos responsáveis internos, a Gestora conta com assessoria externa especializada que presta serviços de TI que realiza, quando demandada, serviços de consultoria em assuntos de segurança cibernética ( Assessoria Especializada ). I. Mapeamento dos Riscos De acordo com o disposto no Guia Anbima de Segurança Cibernética, os principais riscos aos quais as instituições estão expostas são os seguintes: 8

9 (a) Malware; (b) Engenharia social; (c) Pharming; (d) Phishing; (e) Cishing; (f) Smishing; (g) Acesso pessoal; (h) Ataques de DDoS e botnets; e (i) Invasões. Para resguardar as informações armazenadas digitalmente contra esses e outros riscos, a Gestora definiu todos os ativos relevantes à instituição (e.g. estratégias de trading, documentos confidenciais, dados pessoais dos clientes). O mapeamento dos potenciais riscos e o plano de ação são feitos anualmente, coordenados pela Diretora de Controles Internos e Compliance, ou quando existem mudanças nos procedimentos ou politicas que possam trazer novos riscos. II. Ações de prevenção e proteção A Gestora adota por princípio o fato de que um ataque cibernético pode acontecer a qualquer momento. Sendo assim, a Gestora adota, dentre outros, os seguintes princípios organizacionais para prevenir ataques do gênero. 1. Instalação de novos equipamentos A Gestora deverá garantir que a configuração de novos equipamentos e sistemas seja realizada de forma segura. Devem ser realizados testes de homologação e de prova de conceito antes do envio à produção. 2. Contratação de terceiros Na contratação de terceiros que terão acesso à base de dados ou a informações sensíveis da Gestora ou stakeholders, a Gestora deverá solicitar comprovações de que o terceiro possui política específica sobre a matéria, devendo a Gestora se certificar de que (i) os dados sejam anonimizados antes do envio sempre que viável; e (ii) os dados serão prontamente deletados após a prestação do serviço ou quando assim for requisitado pela Gestora. No contrato a ser celebrado com terceiros, a Gestora deverá se guiar pelos princípios estabelecidos nesta Política, dentro os quais se incluem as seguintes recomendações: (i) cláusulas de proibição de compartilhamento de senha entre os funcionários do terceiro contratado; (ii) cláusulas de proibição de compartilhamento de códigos fonte na internet; (iii) 9

10 cláusulas de confidencialidade quando houver acesso a informações relevantes da Gestora e/ou dos cotistas. 3. Antivírus A Gestora adota antivírus corporativo com gerenciamento centralizado com aplicação do cliente nas estações, Monitoramento real time das informações acessadas através das estações. 4. Uso do correio eletrônico ( ) O usuário de endereço de deve adotar precauções e ser diligente em relação aos usuários destinatários da mensagem, assim como atentar-se para o nível de sigilo atribuído às informações contidas na mensagem, e os links e arquivos recebidos de terceiros estranhos à Gestora. 5. Backup das informações Além do histórico de versões dos arquivos de rede que permite recuperar arquivos das últimas semanas, temos um esquema de backup na nuvem através de serviço Dropbox. Desta forma os protegemos as máquinas virtuais, modelos, planilhas e documentos da JPP. Diariamente é feito a gravação de todos os arquivos de rede em FITA, NAS e Cloud com as respectivas retenções: - Um a cada ano. - Um a cada mês por até 12 meses. - Diária por até duas semanas. a. Monitoramento e testes A Gestora deve assegurar o funcionamento correto e contínuo dos mecanismos de controle descritos acima. A Gestora mantém inventários de hardware e software, verificando-os com frequência para identificar elementos estranhos à instituição. A Assessoria Especializada e a Área Responsável da Gestora devem diligenciar para manter os sistemas operacionais e softwares de aplicação atualizados. A Assessoria Especializada é responsável ainda por monitorar diariamente as rotinas de backup, executando testes regulares de restauração dos dados. 10

11 Ademais, sempre que possível a Gestora deverá realizar pentests (testes de invasão), assim como análises de vulnerabilidades no parque tecnológico da Gestora, que deverão ser realizados por empresa técnica distinta da Assessoria Especializada. b. Plano de resposta a incidentes A Gestora conta com plano de resposta aos incidentes considerando os cenários de ameaças previstos durante a realização do risk assessment. O plano deve ser de conhecimento apenas dos responsáveis pela segurança cibernética, do Assessor Especializado, além dos diretores e dos sócios, e deverá levar em consideração os cenários de ameaças previstos no risk assessment. Em caso de ataque cibernético, a Gestora, por meio de sua Área Responsável, em conjunto com o Assessor Especializado (o qual deverá ser imediatamente comunicado) devem diligenciar para tratar o ataque e permitir a continuidade dos negócios. O eventual vazamento de informações para fins maliciosos é tratado pela imediata troca de criptografia dos arquivos e estudo para análise se o vazamento foi de causa interna (colaborador tirando dados da empresa) ou externa (arquivos obtidos através de invasão de hacker). Caso qualquer funcionário detecte uma suspeita de ataque cibernético, deverá prontamente comunicar aos responsáveis por esta Política, para que estes entrem em contato com o Assessor Especializado e tomem as medidas cabíveis. As documentações relacionadas ao gerenciamento dos incidentes deverão ser arquivadas com a Área Responsável da Gestora. c. Reciclagem e revisão A Política será revisada com periodicidade mínima de um ano. Sem prejuízo, a Gestora deverá, juntamente ao Assessor Especializado, garantir que o risk assessment, as implementações de proteção, os planos de resposta a incidente e o monitoramento de incidentes estejam sempre atualizados. A Área Responsável da JPP deve promover e diligenciar para que seja disseminada a cultura de segurança dentro da instituição. É fundamental, por exemplo, que os colaboradores tenham especial atenção ao clicar em links recebidos, mesmo que vindos de pessoas conhecidas. 11

12 Para atingir tal nível de cultura e comprometimento com a segurança cibernética, a Gestora poderá promover cursos, arcar com custos de eventos sobre o tema, além de investir na formação de seus profissionais-chave, a seu exclusivo critério. 12