1. Introdução
A NeuronUP depende dos sistemas TIC (Tecnologias da Informação e Comunicação) para alcançar seus objetivos. Esses sistemas devem ser gerenciados com diligência, adotando as medidas adequadas para protegê-los contra danos acidentais ou deliberados que possam afetar a disponibilidade, integridade ou confidencialidade das informações tratadas ou dos serviços prestados.
O time da NeuronUP deve garantir que a segurança seja parte integrante de cada etapa do ciclo de vida do sistema, desde sua concepção até sua retirada de serviço, passando pelas decisões de desenvolvimento ou aquisição e pelas atividades de operação.
Os departamentos da NeuronUP, de acordo com o desempenho das funções atribuídas, devem estar preparados para prevenir, detectar, reagir e se recuperar de incidentes, conforme a regulamentação vigente.
Para garantir o cumprimento desta política, o Comitê de Segurança da Informação desenvolve e avalia regularmente os sistemas e se encarrega de que todo o pessoal da NeuronUP conheça e cumpra suas funções de acordo com a segurança da informação.
2. Âmbito de aplicação
Esta política se aplica a todos os sistemas TIC da NeuronUP e a todos os membros da organização, sem exceções.
3. Objetivo desta política
Esta política tem como objetivo definir o quadro de atuação para garantir a segurança da informação e a continuidade dos serviços.
Esta Política é desenvolvida por meio de documentação e normas de segurança disponibilizadas a todos os membros da organização que precisem conhecê-las, em particular àqueles que utilizam, operam ou administram os sistemas de informação e comunicação, através de procedimentos, processos, instruções técnicas, etc.
A regulamentação de segurança está disponível para todos os funcionários da organização em seu espaço de documentação geral, dentro do Google Workspace.
4. Estrutura normativa
A NeuronUP se compromete a cumprir todas as leis, regulamentos e normas aplicáveis em matéria de Segurança da Informação.
5. Organização da segurança
A Direção da empresa assume a responsabilidade de promover e apoiar o estabelecimento de medidas técnicas, organizacionais e de controle que garantam os níveis de qualidade e segurança necessários para as operações da empresa, comprometendo-se com a melhoria contínua do Sistema de Gestão da Segurança da Informação.
A responsabilidade por esta tarefa é delegada ao Comitê de Gestão da Segurança da Informação, CGSI ou Comitê de Segurança.
A direção da NeuronUP cria o Comitê de Segurança como órgão colegiado transversal, composto por:
- Responsável pela Segurança da Informação da empresa e presidente do Comitê
- Administrador de Sistemas como secretário do Comitê de Segurança
- Chief Technology Officer
As nomeações serão revisadas a cada 2 anos ou quando uma posição ficar vaga, por proposta do próprio Comitê de Segurança.
As atribuições desses papéis estão incluídas nas fichas de cargo de seus respectivos responsáveis, e o procedimento para sua nomeação e/ou renovação é aprovado pela direção.
5.1. Funções do Comitê de Segurança
A principal função do Comitê de Segurança da Informação é definir a Política de Segurança da Informação e os objetivos do Sistema de Gestão da Segurança da Informação.
O Comitê de Segurança estabelecerá os níveis de risco considerados aceitáveis, determinando as ações oportunas para reduzir aqueles riscos que ultrapassem esses limites.
Será missão do Comitê de Segurança a revisão anual desta Política de Segurança da Informação e a proposta de revisão ou manutenção da mesma, sendo complementada por meio de normas e recomendações de segurança (políticas, protocolos, procedimentos, instruções técnicas, etc.).
Pontos de segurança a serem revisados ao menos anualmente:
- O estado das ações a serem desenvolvidas desde o último controle
- Mudanças relevantes para o SGSI
- Gestão de riscos, Vulnerabilidades e ameaças
- Tecnologias, produtos e serviços para a melhoria contínua
6. Gestão de riscos
Para a harmonização das análises de riscos, o Comitê de Segurança estabelecerá uma avaliação de referência para os diferentes tipos de informações manipuladas e os diferentes serviços prestados.
O Comitê de Segurança estudará a disponibilidade de recursos para atender às necessidades de segurança dos diferentes sistemas.
Todos os sistemas sujeitos a esta Política deverão realizar uma análise de riscos, avaliando as ameaças e os riscos a que estão expostos. Esta análise será repetida:
- Regularmente, ao menos uma vez ao ano
- Quando ocorrer um incidente grave de segurança
- Quando forem relatadas vulnerabilidades graves
- Para garantir a disponibilidade dos serviços críticos diante de possíveis incidentes, a empresa dispõe de um procedimento de Plano de recuperação de desastres que coordena todas as atividades de recuperação dos processos de negócios que possam ser afetados.
7. Obrigações do pessoal
Todos os membros da NeuronUP têm a obrigação de conhecer e cumprir esta Política de Segurança da Informação e a regulamentação de segurança, sendo responsabilidade do Comitê de Segurança dispor dos meios necessários para que a informação chegue aos afetados.
O não cumprimento desta Política de Segurança e das normas que a desenvolvem poderá resultar em sanções disciplinares conforme estabelecido no Estatuto dos Trabalhadores e na Convenção Coletiva aplicável.
As diretrizes específicas para os trabalhadores são desenvolvidas na Política de Privacidade e Segurança dos trabalhadores.
7.1. Conscientização e treinamento
Todos os membros da NeuronUP participarão de uma sessão de conscientização em segurança TIC ao menos uma vez ao ano. Será estabelecido um programa de conscientização contínua para atender a todos os membros da NeuronUP, em particular aos recém-chegados.
As pessoas responsáveis pelo uso, operação ou administração de sistemas receberão treinamento para o manejo seguro dos sistemas na medida em que precisarem para realizar seu trabalho. O treinamento será obrigatório antes de assumir uma responsabilidade, seja em sua primeira designação ou em caso de mudança de função ou responsabilidades dentro dela.
7.2. Diretrizes básicas do SGSI
As diretrizes básicas para o tratamento seguro da informação e a estruturação da documentação de segurança do sistema, sua gestão e acesso, são desenvolvidas nos manuais, políticas, normas e procedimentos do SGSI.
As diretrizes básicas para o tratamento seguro da informação são as seguintes:
- As informações devem ser classificadas nas seguintes categorias: Pública, Uso Interno, Confidencial ou Reservada.
- Os suportes que armazenam informações confidenciais ou reservadas devem ser armazenados em local seguro.
- O acesso aos sistemas de informação será permitido com base na necessidade de saber.
- Os controles de acesso físico ao edifício restringem o acesso apenas ao pessoal autorizado.
- Todos os funcionários devem registrar suas entradas e saídas dos edifícios da empresa, através do sistema de controle de horário/ponto.
- As pessoas externas à empresa devem se registrar nos casos estabelecidos pela NeuronUP.
- Será seguida a Política de gestão de senhas indicada pela NeuronUP.
- Os computadores estão configurados para, após um período de inatividade, se bloquearem automaticamente com um protetor de tela protegido por senha. No entanto, fica a cargo do usuário bloqueá-lo manualmente cada vez que se ausentar do posto de trabalho.
- Sempre que um funcionário deixar a empresa, seus direitos de acesso serão desativados.
- Os usuários terão e-mail corporativo para o desenvolvimento de seu trabalho.
- Nos contratos com terceiros, serão incluídas as cláusulas de segurança adequadas.
- Os usuários nunca devem desativar os programas de antivírus ou qualquer outra ferramenta ou controle instalado com o objetivo de melhorar a segurança.
- Os usuários não devem ter expectativas de privacidade ao acessar os sistemas de informação da empresa, pois esta (dentro do marco legal estabelecido e com o objetivo de gerenciar os sistemas e fazer cumprir a segurança) pode revisar qualquer informação armazenada em seus sistemas.
- Qualquer consulta sobre segurança pode ser dirigida para seguranç[email protected].
- Ao detectar uma situação que afete a segurança da informação da NeuronUP, qualquer usuário (funcionário ou externo) deve comunicá-la ao responsável do departamento e/ou responsável pela segurança.
8. Dados pessoais
A NeuronUP trata dados pessoais e, por isso, dispõe de uma Política de proteção de dados pessoais, que se ajusta aos níveis de segurança exigidos pela regulamentação vigente.
O Documento de Segurança é revisado e atualizado periodicamente, evidenciando assim a Proatividade requerida e garantindo a segurança dos dados pessoais tratados.
9. Terceiros
Quando a NeuronUP prestar serviços a outras organizações ou gerenciar informações de outras, elas serão informadas desta Política de Segurança da Informação, serão estabelecidos canais para reporte e coordenação dos respectivos Comitês de Segurança e serão estabelecidos procedimentos de ação para a reação a incidentes de segurança.
Quando a NeuronUP utilizar serviços de terceiros ou ceder informações a terceiros, eles serão informados desta Política de Segurança e das Normas de Segurança aplicáveis a esses serviços ou informações. Essa terceira parte ficará sujeita às obrigações estabelecidas nessa regulamentação, podendo desenvolver seus próprios procedimentos operacionais para atendê-las. Serão estabelecidos procedimentos específicos de reporte e resolução de incidentes. Será garantido que o pessoal de terceiros esteja adequadamente conscientizado em matéria de segurança, ao menos no mesmo nível estabelecido nesta Política.
Quando algum aspecto da Política não puder ser atendido por uma terceira parte, conforme exigido nos parágrafos anteriores, será necessário um relatório do Responsável pela Segurança que detalhe os riscos incorridos e a forma de tratá-los. Será necessária a aprovação deste relatório pelos responsáveis pelas informações e serviços afetados antes de prosseguir.
