Política de Segurança da Informação. Ambiente ADM. Escola Superior de Propaganda e Marketing. Política de Segurança da Informação

Transcrição

1 Política de Segurança da Informação Ambiente ADM Escola Superior de Propaganda e Marketing Pág. 1/31

2 SUMÁRIO 1. INTRODUÇÃO OBJETIVO ABRANGÊNCIA DOCUMENTOS DE REFERÊNCIA DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO NO AMBIENTE ADMINISTRATIVO SEGURANÇA DA INFORMAÇÃO EM RECURSOS HUMANOS GESTÃO DE ATIVOS CONTROLE DE ACESSO SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA NAS OPERAÇÕES E COMUNICAÇÕES AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO GESTÃO DA CONTINUIDADE DO NEGÓCIO CONFORMIDADE ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO PAPÉIS E RESPONSABILIDADES DISPOSIÇÕES FINAIS TERMOS E DEFINIÇÕES REFERÊNCIAS ANEXO I MEDIDAS DISCIPLINARES ANEXO II TERMO DE CIÊNCIA E RESPONSABILIDADE Pág. 2/31

3 1. INTRODUÇÃO A ESPM busca utilizar a tecnologia de forma a garantir mais qualidade de ensino para sua comunidade escolar. Por ser uma instituição já inserida neste contexto atual de Sociedade Digital, se preocupa em proteger sua marca, seus bancos de dados, informações e seus bens de conhecimento que necessitem de proteção de propriedade intelectual ou de segredo de negócio, de modo a garantir seu valor de mercado e sua competitividade. Nesse contexto, a segurança da informação é uma atividade de proteção do patrimônio e da reputação. Desse modo, é fundamental que todos os integrantes da ESPM, seja na área administrativa ou nos núcleos de docentes ou de discentes, pratiquem segurança digital. A mobilidade e a ausência de perímetros físicos e fronteiras claras da sociedade atual, permitida pelos avanços tecnológicos, exige muito mais cuidado para evitar incidentes que possam colocar em risco a Instituição. Em resposta a essas novas necessidades, a ESPM está implementando um Sistema de Gestão de Segurança da Informação (SGSI) que possui como diretriz principal a Política de Segurança da Informação (PSI), que, para atender as peculiaridades do segmento de ensino, está dividida em dois documentos: um com foco no Ambiente Administrativo (PSI-ADM) e outro com foco no Ambiente Acadêmico (PSI-EDU). Para que a ESPM alcance o resultado de proteger seus ativos e de produzir e compartilhar conhecimento com a comunidade acadêmica, essas novas regras devem ser cumpridas por todos. Trata-se de um compromisso individual de praticar o hábito da segurança da informação no dia a dia para garantir a consolidação de uma cultura de segurança na Instituição. Pág. 3/31

4 2. OBJETIVO Esta Política estabelece os princípios e as diretrizes estratégicas de um modelo de Gestão da Segurança da Informação, visando à proteção da imagem da instituição, através da implantação de controles de uso seguro, ético e legal dos Recursos de Tecnologia da Informação e Comunicação da ESPM, de acordo com seus objetivos de negócio. 3. ABRANGÊNCIA 3.1. Esta PSI-ADM é um documento normativo interno, com valor jurídico e aplicabilidade imediata, plena e irrestrita. Aprovada, no momento da sua publicação, pela Presidência e pelo Conselho Deliberativo, deve ser cumprida por todos os colaboradores que venham a ter acesso e/ou utilizam as informações e/ou os Recursos de TIC da Instituição, particulares ou de terceiros, mas que, de algum modo, venham a ter acesso às informações da ESPM, independentemente da relação contratual estabelecida No caso do corpo Docente e Discente, aplicam-se as regras previstas na PSI-EDU. 4. DOCUMENTOS DE REFERÊNCIA 4.1. O presente documento será complementado pelas Normas de Segurança da Informação da ESPM e está em consonância com a norma ABNT NBR ISO/IEC 27002:2013 Código de prática para controles de segurança da informação ; Lei nº 9.394/1996 (Lei de Diretrizes e Bases da Educação Nacional), Lei nº /2013 (Lei Anticorrupção), Lei nº /2014 (Marco Civil da Internet) e com as demais legislações vigentes no Brasil. 5. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO NO AMBIENTE ADMINISTRATIVO 5.1. Proteção de Ativos: preservar e proteger a marca, a reputação, o conhecimento, a propriedade intelectual, os segredos de negócio e demais ativos da ESPM, principalmente de todas as suas informações e conteúdos, independentemente do suporte utilizado para geração, aquisição, processamento, transmissão e armazenamento de propriedade ou sob a custódia e a responsabilidade da ESPM, de todo e qualquer tipo de ameaça, como acesso, divulgação, compartilhamento ou modificação não autorizados Conformidade com a Lei: cumprir a legislação vigente no Brasil e os demais instrumentos regulamentares relacionados às atividades educacionais e aos objetivos institucionais, morais e éticos da ESPM Adequação da Conduta: zelar por relações transparentes e éticas e proibir toda forma de corrupção, fraude, suborno, favorecimento e extorsão praticados por seus colaboradores, docentes, alunos ou prestadores de serviço. Pág. 4/31

5 5.4. Prevenção de Riscos: prevenir e reduzir os impactos gerados por incidentes de segurança, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade das informações, da infraestrutura e dos Recursos de TIC da ESPM Interpretação: a interpretação desta PSI precisa ser realizada de forma restritiva, dentro do princípio de que o que não estiver expressamente permitido deve ser tratado como necessidade de se obter autorização prévia Propriedade dos Ativos: toda a infraestrutura tecnológica, os Recursos de TIC e os sistemas de informação baseados em computador, assim como a reputação, a marca, o conhecimento, a imagem e o know-how da ESPM, independentemente do meio de armazenamento, transmissão e suporte ou se constituída de forma abstrata, assim como as informações criadas, acessadas, compartilhadas, manuseadas, armazenadas ou disponibilizadas ao colaborador ou dos quais tiver acesso no exercício de suas atividades, são de propriedade e/ou de direito de uso exclusivos da ESPM Direito e Limitações de Uso dos Recursos: todos os ativos da ESPM só podem ser utilizados para o cumprimento das atividades profissionais, limitados à alçada e à função do colaborador, dentro do padrão de conduta ética e moral estabelecido pela Instituição, sempre atendendo à obrigação de sigilo profissional e preservando a classificação da informação indicada Proteção da Informação: a informação precisa ser protegida de acordo com sua confidencialidade, integridade, criticidade e valor, não havendo distinção de tratamento em virtude do meio no qual ela é armazenada, processada, adquirida ou distribuída Exceções: todo caso de exceção ocorre de forma pontual, aplicável apenas ao seu solicitante, dentro dos limites e motivos que a fundamentaram e de acordo com uma análise de risco, cuja aprovação se dará por mera liberalidade da ESPM e com duração limitada, podendo ser revogada a qualquer tempo e sem necessidade de aviso prévio Propriedade Intelectual: a utilização das marcas, identidade visual e quaisquer outros sinais distintivos da Instituição, atuais e futuros, em qualquer forma ou mídia, inclusive na internet e nas mídias sociais, só pode ser feita se houver justificativa em razão do cargo ou função do colaborador para atender uma atividade profissional, salvo se houver permissão prévia e expressa da ESPM, principal detentora dos direitos patrimoniais relativos às suas marcas, logotipos e nomes comerciais Proteção do Patrimônio: todo colaborador tem o compromisso de zelar pela proteção do patrimônio da ESPM, para tanto, deve evitar a exposição desnecessária das informações, projetos, trabalhos e dependências da Instituição, especialmente nas mídias sociais e na Pág. 5/31

6 internet, além de agir com responsabilidade no uso dos recursos e das informações, e aplicar, diariamente, as diretrizes desta PSI Controle de Acesso Físico: todos os colaboradores, terceiros e visitantes, enquanto presentes nas dependências físicas da Instituição, precisam estar devidamente identificados, portando o crachá individual de forma visível O crachá de identificação deve ser de uso individual e exclusivo, não sendo autorizado o compartilhamento com outro colega ou terceiro, tampouco o seu uso fora das dependências da ESPM Identidade Digital: o colaborador é responsável pelo uso e pela segurança de sua identidade digital, devendo tratá-la de forma confidencial, individual e exclusiva, não compartilhando, divulgando ou transferindo a terceiros, nem tampouco para viabilizar a realização de atividades delegadas ou para que possam agir em seu nome Mesmo alguém incumbido de substituir o colaborador, por qualquer motivo que seja, deve usar sua própria identidade digital para tanto, o contrário deve ser entendido como um incidente de segurança da informação Classificação da Informação: cabe ao colaborador realizar a classificação da informação no momento em que ela for obtida ou gerada, seja de forma física ou digital. Classificar uma informação significa deixar claro e facilmente identificável qual o nível de proteção que deve ser aplicado, quem pode ter acesso e qual deve ser o tratamento dado sobre confidencialidade e direitos relativos à propriedade intelectual Todas as informações devem ser classificadas considerando: a) Criticidade para a ESPM; b) Necessidade de proteção; c) Dever de sigilo; d) Sua origem e fonte; e) Uso adequado de acordo com os direitos de propriedade intelectual A informação deverá ser rotulada como: a) Confidencial: quando a informação é sigilosa e, por isso, necessita de acesso restrito e limitado somente de pessoas previamente autorizadas por estar sujeita a alguma lei que exija o seu sigilo, como ocorre com as normas relacionadas à Pág. 6/31

7 privacidade, à proteção de dados pessoais, aos dados financeiros e bancários, à proteção, à descoberta científica, patente ou propriedade intelectual. b) Interna: quando a informação pode ser revelada e compartilhada apenas entre os colaboradores e/ou integrantes da comunidade acadêmica da ESPM, considerando o ambiente administrativo e o seu corpo Docente, Discente, bem como os parceiros de desenvolvimento acadêmico por meio de convênios nacionais e/ou internacionais. c) Pública: quando a informação pode ser compartilhada com terceiros Todo colaborador precisa respeitar o nível de segurança requerido pela classificação indicada na informação que vier tomar contato ou manusear, conforme estabelecido na Norma para Classificação da Informação Em caso de dúvida, o colaborador deverá tratar a informação como de uso INTERNO, não passível de publicação, divulgação ou compartilhamento com terceiros ou em ambientes externos à Instituição, incluindo internet e mídias sociais, sem prévia e expressa autorização da ESPM Sigilo: todo colaborador deve cumprir com o sigilo profissional e contratual, por isso, somente pode revelar, transferir, publicar, compartilhar ou divulgar as informações classificadas como confidenciais e/ou internas, que sejam de propriedade ou estejam sob a responsabilidade da ESPM, o que inclui informações relacionadas às suas rotinas de trabalho, valores auferidos, datas e horários de trabalho, dados de outros colaboradores, docentes, alunos, fornecedores, prestadores de serviços ou demais detalhes institucionais críticos, se tiver sido previamente autorizado para tanto Softwares e Hardwares: o colaborador deve utilizar apenas softwares e hardwares previamente homologados e autorizados pelo Departamento de Tecnologia da Informação da ESPM, sejam eles onerosos, gratuitos, livres ou licenciados Somente o Departamento de Tecnologia da Informação pode instalar softwares nos Recursos de TIC institucionais, de propriedade da ESPM Legalidade e Legitimidade: os colaboradores somente podem utilizar imagens, conteúdos, desenhos, informações e softwares legítimos e/ou autorizados, estando vedado o uso dos Recursos de TIC da ESPM para acessar, baixar, utilizar, armazenar ou divulgar qualquer conteúdo, ilícito, impróprio, obsceno, pornográfico, difamatório, discriminatório, que atente à moral, à ética e aos bons costumes, que viole a boa-fé ou que não seja compatível com as diretrizes da ESPM. Pág. 7/31

8 5.18. Uso de Repositórios Digitais: recomendamos que o upload (transmissão de arquivos) de conteúdo ou informação de classificação confidencial ou interna, para serviços e aplicativos de armazenamento na nuvem, a exemplo, mas não se limitando a Google Drive, OneDrive, Dropbox, icloud, Box, SugarSync, SlideShare ou Scribd, seja previamente autorizado e realizado de acordo com a necessidade específica do negócio, cumprindo os requisitos de segurança descritos na Norma para Classificação da Informação e Demais Serviços Digitais de Comunicação: a utilização de serviços de mensagens particulares ou correio eletrônico público (como Gmail ou Hotmail) para a transmissão ou recebimento de conteúdo ou informações da Instituição, consideradas de trabalho ou institucionais, ou que contenham a devida classificação de confidencial ou interna, poderá ocorrer apenas com a prévia e expressa autorização do Departamento responsável, sempre em caráter excepcional e com o uso de recursos que possam aumentar o seu nível de segurança, como a aplicação de algum método de cifragem (criptografia) para evitar que seja acessado por pessoa não autorizada, mesmo que por acidente ou engano Engenharia Social: recomendamos que os colaboradores tenham cautela ao acessar softwares, informações e conteúdos disponibilizados gratuitamente na internet, a exemplo de aplicativos, músicas, vídeos, trabalhos completos, digitalizações de livros físicos e s com propostas suspeitas, pois podem ser vetores de ataques de criminosos por meio de recursos de engenharia social e podem ocasionar um grave incidente de segurança da informação Compartilhamento de Informações: o colaborador precisa agir com cautela ao repassar ou transmitir informações para outras pessoas, seja de forma presencial, via telefone, comunicadores instantâneos, mensagens eletrônicas, mídias sociais, dentre outros meios. Antes do envio de informações confidenciais ou internas, o colaborador deve sempre confirmar a identidade do solicitante ou destinatário e a real necessidade do compartilhamento da informação solicitada por terceiro, mesmo que de sua confiança Uso de Aplicativos de Comunicação: o uso de aplicativos de comunicação ou hospedados em ambiente de computação em nuvem, incluindo, mas não se limitando à WhatsApp, SnapChat, Viber, Voxer, Facebook Messenger, Telegram e Chaton, no ambiente de trabalho ou fora dele, pelos colaboradores da ESPM, a partir dos recursos institucionais ou particulares, para compartilhar informações institucionais, precisa ser feito atendendo à classificação da informação, aos requisitos de segurança e às leis em vigor para evitar riscos desnecessários relacionados ao vazamento da informação ou que comprometam a operação ou a Instituição. Pág. 8/31

9 O compartilhamento de conteúdo que envolva processos de trabalho ou informações confidenciais ou internas, tais como dados pessoais, financeiros ou estratégicos, que qualifiquem projetos, clientes, alunos, docentes ou prestadores de serviço, ou estejam protegidos por sigilo legal, seja ele bancário, fiscal, judicial ou de propriedade industrial ou intelectual, só pode ocorrer se realizado de acordo com os requisitos de segurança descritos na Norma de Classificação de Informação Ao compartilhar assuntos de trabalho, principalmente quando envolver alunos, em qualquer local, dentro ou fora do ambiente de trabalho, a partir de qualquer tipo de canal, mídia, ferramenta ou tecnologia, o colaborador deve sempre respeitar a ética, a legislação vigente no Brasil e cumprir com seu dever de sigilo profissional Armazenamento de Informações e Backup: os colaboradores devem manter todas as informações da ESPM armazenadas e/ou salvas na rede institucional, evitando o seu armazenamento no próprio dispositivo móvel institucional ou na nuvem por longos períodos de tempo. Quando necessário e/ou determinado, os colaboradores podem realizar o backup dos dados institucionais constantes em dispositivos e aplicativos móveis que estiverem fazendo uso profissional, seja ele de propriedade da Instituição ou particular, autorizado, especialmente em caso de impossibilidade do armazenamento direto das informações na rede institucional O backup realizado precisa ser mantido em local seguro e separado dos dispositivos e aplicativos móveis que o originaram, além disso, a informação deve ser posteriormente salva dentro da rede ou institucional, e o backup submetido ao descarte seguro Mesa Limpa: papéis, Recursos de TIC e outras formas de suporte de dados e informações da ESPM não podem ficar expostos em mesas de trabalho, flipcharts, impressoras, fax, scanner, salas de aula, pátios, telas de computadores, áreas comuns, locais de trânsito de pessoas, elevador, refeitório e nas salas de reunião, principalmente quando não estiverem sendo utilizados Armazenamento de Papéis e Recursos de TIC: os papéis, Recursos de TIC e outras formas de suporte de dados ou informações precisam ser guardados de maneira adequada, de preferência em gavetas ou armários trancados, quando não estiverem sendo utilizados, principalmente quando envolver documentação de identificação de aluno, provas ou trabalhos educacionais Dispositivos Móveis: recomendamos que os dispositivos móveis institucionais permaneçam sempre trancados com travas de segurança quando estiverem nas Pág. 9/31

10 dependências da ESPM, para evitar incidentes como furtos, roubos ou uso indevido do equipamento Tela Limpa: todo colaborador precisa realizar o bloqueio com senha, biometria ou código que tenha a mesma função, ao se distanciar do Recurso de TIC que estiver em posse, especialmente da sua estação de trabalho ou dispositivo móvel, mesmo quando estiver ou permanecer na sala de aula Acesso à Rede Institucional: a ESPM segrega sua rede institucional como meio de proteger as informações lá contidas e os Recursos de TIC institucionais nela conectados, oferecendo à comunidade acadêmica uma rede sem fio (Wi-Fi) pública própria. Somente os colaboradores e pessoas expressamente autorizados devem ter acesso à rede institucional, e com uso de equipamentos ou dispositivos previamente homologados para tanto No caso da comunidade acadêmica, a ESPM disponibiliza acesso à internet por meio de sua rede sem fio (Wi-Fi), que permite a conexão de dispositivos particulares do corpo Docente e Discente para atender ao propósito educacional Postura do Colaborador: durante a comunicação institucional, inclusive com alunos e visitantes, os colaboradores precisam utilizar linguagem adequada, condizente com o ambiente profissional e educacional, isso é, evitar o uso de termos que denotem excesso de intimidade ou abuso de poder, termos dúbios ou com dupla interpretação. No ambiente de trabalho, deve-se manter o tratamento profissional na comunicação com colaboradores, alunos, visitantes, fornecedores, prestadores de serviços ou demais profissionais Mídias Sociais: recomendamos que a participação institucional do colaborador em mídias sociais, em razão da sua atividade específica, seja diretamente relacionada à sua função profissional e aos objetivos da ESPM, sendo responsável por qualquer ação ou omissão resultante de sua postura e comportamento Cuidados com a Superexposição: a ESPM recomenda aos colaboradores que utilizam as mídias sociais, para proveito pessoal ou de relacionamento, que evitem qualquer tipo de excesso de exposição, como, por exemplo, expor rotinas e informações críticas do seu cotidiano, incluindo, mas não se limitando a trajetos, horários, fotos íntimas, fotos ou comentários sobre alunos, fotos internas de sua residência, citação dos locais mais frequentados, informações financeiras e demais detalhes privados e íntimos sobre si, família, colegas de trabalho, alunos e amigos próximos que possam coloca-los em risco. Pág. 10/31

11 A ESPM também sugere que utilizem em proveito pessoal somente conteúdos com licenças abertas, ou que sejam livres de licença (proteção de direito autoral), ou que já estejam em domínio público, ou sejam autorizados e/ou legítimos para tanto, sempre com a devida citação da fonte e autoria quando provenientes de terceiros ou da internet para evitar penalidades por infrações contra direitos autorais ou de imagem Coleta de Fotos e Imagens: os colaboradores da ESPM não devem tirar fotos, filmar, captar ou reproduzir quaisquer imagens, vídeos ou sons, dentro do perímetro físico da Instituição, que possam comprometer a segurança de seu ambiente ou o sigilo das informações administrativas ou que envolva diretamente a imagem de seus colaboradores, alunos, visitantes, prestadores de serviço e fornecedores, sem a prévia e expressa anuência destes e do gestor responsável ou desde que autorizado em razão da sua função ou de evento específico da Instituição Da mesma forma, precisa ser evitada a divulgação, publicação e/ou compartilhamento desses conteúdos em qualquer forma ou mídia, inclusive na internet e nas mídias sociais, a não ser que em razão de solicitação inequívoca de trabalho ou quando expressamente autorizado Recursos de TIC Particulares no Ambiente de Trabalho: os Recursos de TIC particulares, incluindo, mas não se limitando a celulares, tablets, smartphones, computadores portáteis, pen drives e discos externos, só devem ser conectados à rede institucional da ESPM ou serem utilizados para armazenar informação de classificação interna ou confidencial de propriedade da Instituição quando prévia e expressamente autorizado pelo Departamento de Tecnologia da Informação e pelo gestor imediato do colaborador, e desde que estejam diretamente relacionados a uma justificativa do negócio, com motivo estritamente profissional, no âmbito das atribuições do colaborador, sendo que este responde diretamente por qualquer dano que isso puder causar Segurança e Mobilidade: o colaborador em deslocamento que fizer uso de dispositivos móveis e/ou de acesso remoto de informações da Instituição, para o desenvolvimento das suas atividades profissionais, deve fazê-lo sempre com a máxima cautela, atenção e discrição para evitar ser vítima de eventual abordagem de pessoas mal-intencionadas Criptografia: o Departamento de Tecnologia da Informação da ESPM é responsável por homologar e orientar os colaboradores no uso de mecanismos de criptografia, cifragem ou codificação para o armazenamento e a transmissão de conteúdos confidenciais ou internos, quando necessário. Pág. 11/31

12 5.36. Uso de Redes Públicas ou de Terceiros: os colaboradores devem utilizar apenas ambientes seguros de conexão à internet ou à rede da Instituição, evitando utilizar redes públicas de terceiros que não tenham uma garantia sobre seu nível de segurança Da mesma forma, o colaborador deve portar sempre a menor quantidade possível de informações no dispositivo móvel que estiver autorizado a utilizar para manuseio de dados institucionais, ou seja, o estritamente necessário para a realização da atividade e por períodos curtos de tempo, com a aplicação de métodos de segurança adequados, como os relacionados à autenticação: controle de acesso, bloqueio automático por senha e softwares de apagamento remoto. Em não sabendo como habilitar esses recursos, poderá solicitar ajuda ao Service Desk Mobilidade e Teletrabalho: não implica em sobrejornada, sobreaviso ou plantão do colaborador a mera possibilidade de acesso remoto ou recebimento de informações relacionadas ao trabalho, fora do horário normal do expediente, em qualquer meio ou canal, incluindo, mas não se limitando a mensagens SMS, mídias sociais, correio eletrônico institucional, aplicativos e comunicadores instantâneos, visto que isso pode ocorrer por ato de liberalidade sem expressa e prévia requisição da Instituição Também não implica em sobrejornada, sobreaviso ou plantão do colaborador o eventual porte ou uso dos dispositivos móveis fornecidos pela ESPM ou mesmo os de propriedade particular, quando autorizados e utilizados para finalidades profissionais, pois estes permanecem ativos ou disponíveis independentemente da vontade do colaborador ou comando da Instituição Atividades desempenhadas fora do expediente normal dependerão de comprovação expressa e prévia da requisição de trabalho em registros adequados para serem remuneradas ou compensadas Uso Saudável da tecnologia: a ESPM incentiva o uso saudável da tecnologia, recomendando a todos os seus colaboradores que tenham cuidado com qualquer tipo de vício ou dependência tecnológica. O devido repouso ou descanso são atividades essenciais para manter a concentração e evitar erros ou acidentes de trabalho Dever de Vigilância: o colaborador está ciente de que a ESPM tem o dever de vigilância de seus ativos e, portanto, pode realizar, quando necessário, de forma proporcional e dentro dos limites da razoabilidade, o monitoramento de seus perímetros físicos e lógicos, bem como eventual revista em dispositivos próprios, particulares ou de terceiros, respeitando a privacidade do proprietário do aparelho e a proteção de seus dados pessoais, sempre em conjunto com o Departamento de Recursos Humanos. Pág. 12/31

13 5.40. Monitoramento: os colaboradores estão cientes de que a ESPM realiza o registro e armazenamento de atividades (logs) e monitora todo acesso e uso de seus ativos, bem como de suas informações, correio eletrônico, internet, marcas e Recursos de TIC, além de seus ambientes físicos e lógicos, com a captura de imagens, áudio ou vídeo, inclusive, com a finalidade de proteção de seu patrimônio e reputação e daqueles com os quais se relaciona de alguma forma A ESPM realiza o armazenamento dos dados monitorados para fins administrativos e legais, além de colaborar com as autoridades em caso de investigação A monitoração é essencial para a proteção do próprio colaborador, que, por seu livre consentimento expresso, autoriza desde já a ESPM a realizar vigilância física e digital com uso de todos os recursos disponíveis para garantir maior segurança Dever de Atualização: todo colaborador tem o dever de manter-se sempre atualizado sobre as regras vigentes na Instituição e as melhores práticas de segurança da informação. 6. SEGURANÇA DA INFORMAÇÃO EM RECURSOS HUMANOS 6.1. Contratação ou Seleção: os responsáveis pela contratação de terceiros ou seleção de colaboradores e docentes, especialmente para cargos com acesso à informação confidencial ou sensível para Instituição, devem sempre utilizar de todos os meios legais para análise e observação das questões de segurança da informação e de sua reputação, buscando sempre pessoas que compartilhem da mesma cultura, valores, ética e práticas de segurança que a ESPM Da mesma forma, as responsabilidades com segurança da informação e ética serão observadas durante todo o período em que durar o vínculo contratual O Departamento de Recursos Humanos pode realizar o levantamento de informações e referências por meio de pesquisas na internet e mídias sociais, inclusive, mas sempre se pautando pela ética e proporcionalidade Contratos de Trabalho e de Prestação de Serviços Terceirizados: todos os relacionamentos e contratações de prestadores de serviços e fornecedores em que haja o compartilhamento de informações da ESPM ou a concessão de qualquer tipo de acesso aos seus ambientes e Recursos de TIC devem ser precedidos por Termos de Confidencialidade e cláusulas contratuais que tratem especificamente da segurança e da confidencialidade da informação, inclusive nos Contratos de Trabalho. Pág. 13/31

14 Os gestores responsáveis pela contratação dos terceirizados precisam garantir a inclusão de cláusulas que assegurem a confidencialidade e proteção das informações, dos Recursos de TIC e dos demais ativos intangíveis da Instituição O Departamento de Recursos Humanos poderá ainda disponibilizar todas as informações dessa Política durante o processo de integração de novos colaboradores, além de garantir a leitura e assinatura dos Termos de Confidencialidade e de Responsabilidade Educação e Conscientização: a ESPM está comprometida com o dever de capacitar constantemente seus colaboradores no uso ético, seguro, saudável e legal das informações, das novas tecnologias e das ferramentas de trabalho Para atender a esse objetivo, realiza programas de educação continuada e capacitação em segurança da informação com envolvimento dos colaboradores e gestores para garantir o cumprimento desta PSI e aumentar o nível de cultura de segurança digital na Instituição Publicidade: a ESPM é responsável pela divulgação desta Política e de suas Normas complementares aos colaboradores, além de disponibilizar os documentos na rede da Instituição Medidas Disciplinares: quaisquer atitudes ou ações indevidas, antiéticas, ilícitas, imorais, não autorizadas ou contrárias ao recomendado por esta Política ou pelas demais Normas de Segurança da Informação da ESPM serão consideradas violações por si só e estarão sujeitas às medidas previstas no Anexo I Medidas Disciplinares Dentre as medidas cabíveis aplicadas estão mas não se limitando a advertência verbal ou escrita suspensão de uso do Recurso de TIC institucional, suspensão ou revogação da autorização de uso de dispositivo particular em proveito da Instituição em suas dependências, podendo resultar até em rescisão de contrato ou desligamento, conforme a natureza e gravidade da conduta A aplicação de medidas disciplinares deverá ser sempre realizada em conjunto com o Departamento de Recursos Humanos e não afasta eventual instauração de procedimentos judiciais ou administrativos, além da responsabilidade pelos prejuízos causados Tentativa de Burla: a tentativa de burlar às diretrizes e controles estabelecidos pela ESPM deve ser desestimulada e, quando constatada, será tratada como violação às Normas da Instituição, à moral, à ética, à boa-fé e aos bons costumes. Pág. 14/31

15 7. GESTÃO DE ATIVOS 7.1. Testes Periódicos: cabe aos gestores de áreas identificarem as vulnerabilidades relacionadas à segurança da informação nos processos sob sua responsabilidade e reportá-los imediatamente ao Responsável pela Segurança da Informação de modo a reduzir os possíveis impactos nas atividades profissionais e nos negócios da ESPM Cabe ao Departamento de Tecnologia da Informação, em conjunto com o Responsável pela Segurança da Informação, realizar testes periódicos nos controles estabelecidos para proteção da informação a fim de verificar a sua eficiência Mapeamento e Inventário: todos os processos da ESPM devem estar mapeados, e os Recursos de TIC institucionais, inclusive os softwares, devidamente inventariados, identificados conforme definido pelo gestor responsável O inventário deve permanecer sempre atualizado, além de registrar, no mínimo, a identificação do Recurso de TIC, a sua descrição, área em que está alocado e/ou disponibilizado e o gestor responsável. 8. CONTROLE DE ACESSO 8.1. Controle de Acesso Lógico: para fins de acesso às informações e aos Recursos de TIC da ESPM, é fornecida ao colaborador uma identidade digital de uso individual e intransferível, conforme o modelo de identificação e autenticação estabelecido pela Instituição, podendo abranger crachá, login, senha, token, certificado digital, uso de biometria e outros recursos que venham a ser implantados Permissões Diferenciadas: a ESPM poderá conceder permissões diferenciadas para o acesso e uso das informações e/ou dos Recursos de TIC institucionais, de acordo com a definição de alçadas, poderes, cargo ou função, a fim de atender aos objetivos de negócio, o que não configurará qualquer espécie de discriminação pejorativa ou degradante perante os demais colaboradores. 9. SEGURANÇA FÍSICA E DO AMBIENTE 9.1. Segurança Física: a ESPM deve estabelecer perímetros de segurança para proteger as áreas que criam, desenvolvem, processam ou armazenam informações e que contenham Recursos de TIC ou ativos críticos para o negócio ou que necessitam ser protegidos por armazenarem dados pessoais contra acesso indevido, danos, interferências e qualquer ameaça que possa afetar a confidencialidade, disponibilidade, integridade, autenticidade e legalidade ou comprometa a continuidade de suas atividades. Pág. 15/31

16 9.2. Registro de Entrada e Saída: a ESPM deve realizar o registro de entrada e saída de todos os colaboradores, terceiros, alunos e visitantes Proteção das Utilidades dos Ativos: os ativos críticos para a Instituição, principalmente aqueles necessários e utilizados para finalidade educacional, precisam ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades, além de ter uma correta manutenção para assegurar a sua contínua integridade e disponibilidade Remoção de Ativos: a retirada das instalações da Instituição, ou da sua infraestrutura tecnológica, de qualquer equipamento, informação ou software deve ser prévia e formalmente autorizada pelo Gestor da Informação ou pelo responsável pelo Recurso de TIC Descarte Seguro: as informações confidenciais, assim como os Recursos de TIC, mídias e outros suportes que as contenham, quando descartados, devem passar por procedimento de destruição que impossibilite sua recuperação e o acesso às informações armazenadas por meio de destruição física (como incineração ou trituração) ou sanitizadas de maneira segura quando descartados. 10. SEGURANÇA NAS OPERAÇÕES E COMUNICAÇÕES Ferramentas de Proteção: todo Recurso de TIC de propriedade da Instituição, incluindo os dispositivos móveis, deve possuir mecanismos de proteção contra acessos e software maliciosos, a exemplo: antivírus, antispyware e firewall Os métodos de proteção devem ainda permanecer sempre ativos e atualizados a fim de proteger as informações e os Recursos de TIC contra o acesso indevido e a instalação de programas maliciosos O colaborador não pode alterar, remover ou desativar quaisquer configurações estabelecidas pela ESPM Gestão de Mudança: todas as modificações em Recursos de TIC, a exemplos de sistemas de processamento de dados, bibliotecas de produção, hardware, software e aplicações da ESPM são controladas, conforme um processo de gestão de mudanças definido para identificar e prevenir os possíveis riscos e impactos para a Instituição, além de garantir a disponibilidade e a restauração do ambiente original em caso de incidentes não previstos Documentação: todas as decisões críticas e processos educacionais e do negócio da ESPM devem ser formalizados e divulgados aos colaboradores envolvidos. Pág. 16/31

17 11. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO Ambientes de Recursos de TIC: a ESPM envida seus melhores esforços, conforme o estado atual da técnica, para que os ambientes dos sistemas e processos que suportam os Recursos de TIC institucionais sejam confiáveis, íntegros e disponíveis a quem deles necessite para a execução de suas atividades profissionais A aquisição, desenvolvimento e manutenção de software e Recursos de TIC só poderão acontecer com a devida avaliação técnica dos requisitos de segurança pelo Responsável pela Segurança da Informação Desenvolvimento, Manutenção e Aquisição de Sistemas: o desenvolvimento interno, a manutenção e a aquisição de sistemas no mercado precisam atender aos requisitos de segurança em todas as etapas dos processos a fim de garantir a confidencialidade, integridade, legalidade, autenticidade e disponibilidade das informações É recomendável que o Responsável pela Segurança da Informação analise os requisitos de segurança antes da implantação ou aquisição de sistemas Ambientes Separados: os ambientes de desenvolvimento, teste e produção devem ser separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas Testes de Aceitação e Segurança: recomendamos que sejam realizados testes de aceitação e segurança dos sistemas para atender às necessidades da Instituição e os requisitos de proteção da informação Proteção dos Dados para Testes: todos os dados utilizados para testes precisam ser selecionados cuidadosamente, protegidos e controlados. Além disso, recomendamos que não sejam utilizados dados que contenham informações de identificação pessoal ou confidencial. 12. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO Comunicação de Incidentes de Segurança da Informação: todos os incidentes que possam impactar na segurança das informações da ESPM devem ser imediatamente reportados ao Responsável pela Segurança da Informação pelo seg.info@espm.br 13. GESTÃO DA CONTINUIDADE DO NEGÓCIO Plano de Contingência: o plano de contingência pode ser desenvolvido pelo Comitê de Segurança da Informação e visa garantir a continuidade dos negócios da ESPM por meio da redução para um nível considerado aceitável das interrupções dos processos pela Pág. 17/31

18 indisponibilidade dos sistemas de informação causados por eventuais falhas de segurança ou por desastres A revisão do plano de contingência pode ser realizada ao menos uma vez por ano Análise de Riscos: a análise de riscos será conduzida pelo Comitê de Segurança da Informação e tem por objetivo identificar as ameaças que poderão vir a agir sobre as instalações físicas, tecnológicas e sobre os recursos humanos da Instituição, comprometendo a segurança das informações ou a continuidade do negócio. 14. CONFORMIDADE Conformidade: a presente Política será revista e atualizada em intervalo não superior a um ano, ou sempre que a ESPM julgar necessário pela dinâmica de sua atividade, visando à manutenção de um nível elevado de governança e de garantia de aderência dos controles de segurança aos objetivos institucionais para que possa evoluir gradativamente Alterações: a ESPM deve assegurar que as alterações desta Política e de suas Normas complementares sejam devidamente comunicadas aos seus colaboradores. Todavia, é de responsabilidade de cada colaborador cumprir e se manter atualizado e ciente da Política e das Normas de Segurança da Informação da Instituição. 15. ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Comitê de Segurança da Informação: o Comitê de Segurança da Informação é um órgão interno específico de composição multidisciplinar, formado por diferentes Departamentos com integrantes que representam a área Administrativa e a área Educacional, neste último caso, com um membro do corpo Docente e um membro do corpo Discente, que têm como missão tratar das questões envolvendo a pauta de segurança da informação, com o objetivo de garantir a gestão da segurança da informação estabelecida a partir desta Política O Comitê de Segurança da Informação tem como função deliberar, recomendar, implantar, analisar, decidir casos, ações e medidas sobre o tema, além de promover a capacitação dos colaboradores e validar os normativos relacionados ao tema Funcionamento do Comitê e envio de solicitações: o Comitê deverá funcionar com reuniões ordinárias periódicas, em intervalos não superiores a 90 (noventa) dias, bem como em reuniões extraordinárias quando houver necessidade de tratar algum incidente urgente. Nessas reuniões, quando consultadas ou requeridas pelo Comitê de Segurança Pág. 18/31

19 da Informação, os Departamentos Acadêmicos da ESPM devem auxiliar, com sua expertise e know how, na realização de atividades, campanhas e resolução de incidentes Gestão da Segurança da Informação: a Gestão da Segurança da Informação dentro da ESPM envolve a cooperação e colaboração de gestores, especialistas em questões legais, recursos humanos, tecnologia da informação, docentes, pesquisadores e discentes. No entanto, compete: À Presidência e ao Conselho Deliberativo a apreciação e a aprovação deste documento; Ao Comitê de Segurança da Informação a revisão anual deste documento e a submissão das propostas de alteração para a Presidência; Ao Departamento de Tecnologia da Informação a implementação de controles que garantam a proteção das informações e dos Recursos de TIC da Instituição. 16. PAPÉIS E RESPONSABILIDADES Presidência e Conselho Deliberativo Aprovar e apoiar a Política de Segurança da Informação Orientar e acompanhar o estabelecimento do Sistema de Gestão de Segurança da Informação na ESPM, além de zelar pela observância dos processos, controles, modelos, padrões e ferramentas necessários à sua implantação Analisar questões específicas apresentadas pelo Comitê de Segurança da Informação Comitê de Segurança da Informação Analisar e avaliar casos de violações e demais eventos negativos relativos à segurança da informação na ESPM, inclusive quando envolver a internet e as mídias sociais, acionando o departamento ou outras áreas impactadas/responsáveis sempre que necessário Gerir os projetos estratégicos ou críticos relacionados à segurança da informação, juntamente com o Responsável pela Segurança da Informação na ESPM Promover de forma eficaz a divulgação e a capacitação sobre segurança de informação na ESPM. Pág. 19/31

20 Analisar criticamente e aprovar esta Política e os demais instrumentos regulamentares a ela relacionados, por período não superior a dois anos, revisando e avaliando se o Sistema de Gestão da Segurança da Informação continua alinhado aos objetivos da Instituição Responsável pela Segurança da Informação Convocar e coordenar as reuniões do Comitê de Segurança da Informação, além de registrar por escrito todas as suas deliberações Promover de forma eficaz a divulgação e a capacitação sobre segurança de informação na ESPM Elaborar, promover e gerir todo o Sistema de Gestão da Segurança da Informação na ESPM Realizar o gerenciamento da estrutura de segurança das informações e dos Recursos de TIC para que os objetivos estabelecidos por esta Política de Segurança da Informação sejam alcançados, definindo, analisando e priorizando as ações necessárias Analisar e identificar os riscos ligados aos ativos intangíveis, Recursos de TIC e informações, com o apoio dos gestores para avaliar a necessidade de melhorias nos controles existentes Permitir o acesso aos relatórios de monitoramento, especialmente quando envolver imagens de alunos e visitantes, somente aos colaboradores autorizados e de forma segura, evitando o envio de texto claro por e atendendo os requisitos da classificação da informação. Ainda, deverá orientar os colaboradores autorizados a manter a confidencialidade das informações acessadas Revisar e propor normativos complementares específicos para a proteção dos ativos intangíveis, das informações e dos Recursos de TIC que estejam em contato com a ESPM Apoiar as demais áreas da ESPM na definição de controles adequados de segurança da informação Atuar proativamente em relação às ameaças e aos incidentes, reportando-os imediatamente ao Comitê de Segurança da Informação, sempre que necessário. Pág. 20/31

21 Analisar os requisitos de segurança da informação e autorizar, ou não, a aquisição de Recursos de TIC institucionais para a execução das atividades profissionais Participar na contratação e definição de métricas de qualidade e performance de disponibilidade (SLAs) de quaisquer serviços relacionados à gestão e à segurança dos Recursos de TIC Avaliar, monitorar, documentar e agir perante os incidentes de segurança da informação ou possíveis ameaças com a formalização de procedimentos para assegurar respostas rápidas, efetivas e ordenadas, acionando a área impactada/responsável quando necessário Executar as solicitações técnicas e operacionais previstas nesta Norma, além de prestar todo o suporte necessário ao esclarecimento de dúvidas dos colaboradores Departamento de Tecnologia da Informação Definir com as demais áreas da ESPM os requisitos de segurança da informação e os controles adequados para a proteção das informações e dos Recursos de TIC da Instituição Realizar, juntamente com o Responsável pela Segurança da Informação, testes periódicos nos controles estabelecidos para proteção da informação Homologar e orientar os colaboradores quanto ao uso de mecanismos de criptografia para armazenamento e transmissão de conteúdos confidenciais e internos em dispositivos móveis Autorizar, homologar e instalar os softwares necessários para o desenvolvimento das atividades profissionais dos colaboradores Autorizar, ou não, o uso de dispositivos móveis particulares por colaboradores, após a solicitação e justificativa do seu gestor Executar as solicitações técnicas e operacionais previstas nesta Norma Departamento de Recursos Humanos Analisar questões de segurança da informação e reputação no processo de contratação de terceiros e seleção de colaboradores, inclusive de docentes. Pág. 21/31

22 Participar de todo o processo de aplicação das medidas disciplinares, conforme disposto do Anexo I Medidas Disciplinares Auxiliar o Responsável pela Segurança da Informação na promoção da divulgação e capacitação sobre segurança de informação na ESPM Gestores Orientar constantemente suas equipes quanto ao uso ético, seguro e legal dos Recursos de TIC, das informações e dos valores adotados pela ESPM, instruindo-os, inclusive, a disseminar a cultura para os demais colaboradores. Também, deve suportar todas as consequências pelas funções e atividades que delegar a outros colaboradores Assegurar o cumprimento desta Política e das demais regulações por parte dos colaboradores supervisionados Autorizar, ou não, o uso de dispositivos móveis particulares pelos colaboradores sob sua supervisão, de acordo com os interesses do negócio Identificar as vulnerabilidades relacionadas à segurança da informação nos processos sob sua responsabilidade e reportá-las imediatamente ao Responsável por Segurança da Informação Participar da investigação de incidentes de segurança relacionados às informações, aos Recursos de TIC e aos colaboradores sob sua responsabilidade Participar, sempre que convocado, das reuniões do Comitê de Segurança da Informação, prestando os esclarecimentos solicitados Colaboradores Cumprir e manter-se atualizado com relação a esta Política e às demais Normas relacionadas por meio do uso responsável, profissional, ético e legal dos Recursos de TIC institucionais, respeitando os direitos e as permissões de uso concedidas pela ESPM Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizados pela ESPM Reportar imediata e formalmente qualquer caso comprovado passível de comprovação, ou cuja suspeita seja fundamentada de descumprimento desta Política Pág. 22/31

23 ou de qualquer incidente de segurança da informação para o seu gestor imediato ou para o Responsável pela Segurança da Informação, sob pena de sua conduta ser considerada omissa, negligente ou conivente Atuar de forma transparente, evitando toda forma de corrupção, fraude, suborno, favorecimento, extorsão, benefícios e vantagens. 17. DISPOSIÇÕES FINAIS O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com outras Normas e Procedimentos aplicáveis e relevantes adotados pela ESPM. Além disso, esta Política será sucedida por outros documentos normativos específicos, mantendo a coesão com as diretrizes e princípios aqui estabelecidos A PSI-ADM, a PSI-EDU, bem como as demais Normas de Segurança da Informação da ESPM encontram-se disponíveis na intranet ou, em caso de indisponibilidade, podem ser solicitadas para o Departamento de Recursos Humanos ou para o Responsável pela Segurança da Informação Em caso de dúvidas quanto a esta Política ou aos demais procedimentos de Segurança da Informação da ESPM, o colaborador pode solicitar os esclarecimentos necessários pelo e- mail: seg.info@espm.br Em caso de incidente, infração ou de suspeita de qualquer dessas ocorrências, o Responsável pela Segurança da Informação deverá ser comunicado imediatamente. 18. TERMOS E DEFINIÇÕES Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano à Instituição. Aplicativos de comunicação: conjunto de códigos e instruções compiladas, executadas ou interpretadas por um Recurso de TIC, hospedadas em um dispositivo ou na nuvem, que são usadas para troca rápida de mensagens, conteúdos e informações multimídia. Ativo: é qualquer coisa que tenha valor para a Instituição e precisa ser adequadamente protegida. Ativo Intangível: todo elemento que possui valor para a ESPM e que esteja em suporte digital ou que se constitua de forma abstrata, mas registrável ou perceptível, a exemplo, mas não se limitando à reputação, imagem, marca e conhecimento. Pág. 23/31

24 Backup: salvaguarda de sistemas ou arquivos, realizada por meio de reprodução e/ou espelhamento de uma base de arquivos com a finalidade de plena capacidade de recuperação em caso de incidente ou necessidade de rollback, ou constituição de infraestrutura de acionamento imediato em caso de incidente ou necessidade justificada da ESPM. Colaborador: empregado, estagiário, prestador de serviço, terceirizado, representante, conveniado, credenciado, fornecedor, cliente, menor aprendiz, ou qualquer outro indivíduo ou organização que venha a ter relacionamento, direta ou indiretamente, com a ESPM. Dados: parte elementar da estrutura do conhecimento, incapaz de, por si só, gerar conclusões inteligíveis ao destinatário, mas computáveis. Representa uma ação não descrita, uma quantidade sem especificar o objeto, por exemplo. Dispositivos móveis ou de mobilidade: equipamentos de pequena dimensão que têm como características a capacidade de registro, armazenamento ou processamento de informações, possibilidade de estabelecer conexões e interagir com outros sistemas ou redes, além de serem facilmente transportados devido a sua portabilidade, como, por exemplo, pen drive, celular, smartphone, computadores portáteis, tablet, equipamento reprodutor de MP3, câmeras de fotografia ou filmagem, ou qualquer dispositivo que permita conexão à internet (tais como dispositivos 3G e wi-fi), portabilidade ou armazenagem de dados. Homologação: processo de avaliação e aprovação técnica de recursos tecnológicos e de aplicativo que antecede sua aquisição ou utilização. Identidade Digital: é a identificação do colaborador em ambientes lógicos, sendo composta por seu nome de usuário (login) e senha ou por outros mecanismos de identificação e autenticação, como crachá magnético, certificado digital, token e biometria. Incidente de Segurança da Informação: ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à Política ou às Normas de Segurança da Informação, falha de controles, ou situação previamente desconhecida, que possa ser relevante à segurança da informação. Informação: a informação é o conjunto de dados que, processados ou não, pode ser utilizado para produção e transmissão de conhecimento, contido em qualquer meio, suporte ou formato. Internet: rede mundial de computadores que o usuário pode, a partir de um dispositivo, caso tenha acesso e autorização, obter informação de qualquer outro dispositivo que também esteja conectado à rede. O protocolo padrão utilizado na internet é o TCP/IP. Pág. 24/31