Política de Segurança Da Informação
Política de Segurança Da Informação
Política de Segurança Da Informação
1. OBJETIVO E APLICAÇÃO
1.1. OBJETIVO DA POLÍTICA
Na Enauta entendemos que segurança é parte principal da cultura e DNA da empresa. Entendemos e
acreditamos em uma abordagem de “Segurança por Design”, onde toda a construção do negócio é
feita em uma base sólida em segurança.
A cultura da segurança por ‘design’ deve ser adotada internamente por todos os colaboradores e
parceiros. Para fornecedores, esta previsão deve estar explícita em cláusulas contratuais, assim
como suas cadeias de relacionamento em primeiro nível.
Todos esses esforços convergem para a proteção dos ativos de Informação do ecossistema “Enauta”,
principalmente seus clientes colaboradores, parceiros de negócios e acionistas.
1.4. APLICAÇÃO
A Segurança da Informação é crítica para o negócio da Enauta e, por isso, carregamos a “Segurança”
como mais que um requisito para o negócio, Segurança é o principal valor da nossa cultura.
Sendo assim, temos como principal objetivo deste documento estabelecer as diretrizes necessárias
para orientar a todos os membros de nossa equipe os cuidados a serem observados para a
manutenção de nossas Informações em um padrão de segurança superior.
2. NORMAS DE REFERÊNCIAS
Este documento está fundamentado nos Objetivos de Controle elencados pela norma ABNT NBR
ISO/IEC 27002, assim como as publicações NIST e seu Framework de Segurança da Informação.
Para a presente Política, deverão ser seguidos por todos os colaboradores da Enauta,
independentemente de sua relação contratual e nível hierárquico e são aplicáveis a toda
Informação da empresa, seus clientes e usuários, em qualquer fase de seu ciclo de vida e meio ou
suporte que os mesmos se encontrem, tais como, mas não se limitando a: mídias físicas, mídias
eletrônicas, transmissão de dados ou mesmo pela transmissão verbal.
Esta Política ficará disponível na sua íntegra e sempre em sua versão aprovada mais recente, em
nossas ferramentas de comunicação, quais sejam: Gestor, intranet e site institucional.
5. CLASSIFICAÇÕES
5.1. CLASSIFICAÇÃO DA INFORMAÇÃO E MINI GLOSSÁRIO
A Informação é tida como um ativo e possui valor diferente dependendo do seu conteúdo. Os
controles de proteção desses ativos podem aumentar de acordo com seu valor. A classificação das
Informações também pode definir quais controles de proteção precisam ser implementados.
INTERNAS: são Informações que estão disponíveis aos colaboradores por meio das
ferramentas aprovadas, com armazenamento interno, em servidores da Enauta ou terceiros
autorizados (na nuvem, por exemplo). Qualquer Informação classificada como “INTERNA”
não poderá ser encaminhada, divulgada ou publicada em quaisquer meios para terceiros não
autorizados, devendo a sua disponibilização ser restrita ao ambiente de trabalho da Enauta e
uso limitado aos Colaboradores ou terceiros (mediante assinatura de termo de “não
divulgação” - NDA), que realmente necessitem ter acesso a tais Informações.
Deverão ser classificadas como CONFIDENCIAIS as Informações que por sua origem, natureza
ou importância não devam ser compartilhadas ou colocadas à disposição de pessoas não
autorizadas. Consideram-se Informações confidenciais todas as que assim forem
classificadas, bem como – indistintamente – dados recebidos ou compilados de/sobre
clientes, senhas, Informações financeiras ou de salários, código fonte, Informações sensíveis
de usuários entre outras.
HASH: função criptográfica de via única em que uma sequência de dados gera uma saída
única de tamanho fixo que não pode ser revertida. Ou seja, conhecendo o HASH não é
possível conhecer a Informação que o gerou.
SALT: trata-se de uma técnica para aumentar a segurança do HASH e evitar ataques do tipo
dicionário, onde de posse de um banco de dados de palavras e seus respectivos HASH, se
possa chegar a sequência, neste caso a senha em formato aberto.
Secreta
Confidencial
Restrita
Interna
Pública
Quando um Documento contiver mais de um tipo de Informação com classificação original distintas,
por exemplo, dois documentos unidos em um único arquivo, a classificação mais restritiva passa a
valer para todo o documento.
6. DEVERES E RESPONSABILIDADES
Será considerado como AUTOR da Informação o colaborador que primeiro produzir ou manipular a
Informação dentro do ambiente da Enauta.
Caberá à área de Segurança da Informação de TI, prover o suporte técnico aos autores das
Informações geradas e realizar os devidos treinamentos sobre proteção e armazenamento seguro de
dados.
Somente os gestores da Enauta, com assessoria devida da área de comunicação, poderão classificar
Informações para divulgar externamente ou as definir como Informação Pública.
O descarte de Informações, armazenadas em meio físico ou eletrônico, deverá ser realizado segundo
o procedimento de descarte aplicável para garantir que a Informação descartada não possa ser
recuperada de qualquer forma.
A Enauta poderá fornecer ao colaborador conta de correio eletrônico, acesso à internet e outras
ferramentas de comunicação e produtividade para a dinamização do trabalho ou utensílios como
aparelho e linha cellular, gavetas, armários e quaisquer dispositivo, físico ou lógico, para a execução
do trabalho.
O uso destas ferramentas estará sujeito a esta Política e restrições de acesso, de acordo com o nível
de acesso outorgado ao usuário e deliberações do Comitê de Segurança da Informação.
Como política de nível de acesso à Informação, utilizamos a premissa de “menor privilégio possível”.
O colaborador somente terá acesso aos aplicativos e Informações que forem estritamente
necessários para a realização do seu trabalho.
O colaborador é responsável pelos ativos de TI da Enauta, bem como pelas Informações que inserir
em tais ativos.
A Enauta poderá permitir acesso à Internet e a navegação em sites de conteúdo, sempre de acordo
com a sua política de Segurança da Informação e bloqueios de sites classificados como inseguros ou
não confiáveis.
Isso evita a herança de vulnerabilidades por meio de ferramentas não seguras e não testadas, assim
como parcerias com fornecedores que possam não seguir as boas práticas de Segurança da
Informação.
Da mesma forma, não será permitido o download de materiais protegidos por direitos autorais ou a
instalação de softwares não homologados pela área de Segurança da Informação. O colaborador
deve consultar o departamento de TI antes de fazer o download de qualquer software de terceiro.
As Informações contidas nas mensagens eletrônicas são de propriedade da Enauta podendo ser
monitoradas a qualquer tempo sem aviso ou notificação prévia para fins de auditoria de
conformidade às normas internas, regulamentações ou boas práticas aplicadas ao negócio da
Enauta. (Veja o item MONITORAÇÃO nesta mesma Política)
As Informações classificadas, como “SECRETAS” não devem ser armazenadas ou transmitidas por e-
mail simples. Para isso, é obrigatório o uso de criptografia forte adicional para proteção do conteúdo
da mensagem e seus anexos, através de solicitação à área de Segurança de Informação e autorização
do superior imediato.
• O colaborador, independente de seu cargo, deverá ser informado de que seu e-mail
corporativo foi suspenso e que o colaborador poderá, desde que acompanhado por um
outro colaborador da Enauta designado para essa tarefa, retirar eventual e-mail pessoal e
informações pessoais constantes em sua caixa de e-mails corporativa e/ou arquivos digitais
e físicos;
Os usuários deverão utilizar senhas “fortes”, misturando letras e números, em todos os sistemas
corporativos e o tamanho mínimo recomendado para as senhas é de 9 (nove) caracteres.
Informações classificadas como SECRETAS deverão obrigatoriamente utilizar uma sequência longa de
pelo menos 16 caracteres, ou optar pela utilização de uma chave criptográfica de pelo menos 1024
bits (utilizando-se sempre uma senha adicional para a proteção da chave criptográfica).
Toda ação feita, dentro ou fora do ambiente computacional da Enauta, será de responsabilidade do
colaborador associado às credenciais de acesso associadas às ações.
Toda e qualquer credencial de acesso que não tiver atividade em até 30 dias serão bloqueadas em
TODOS os sistemas corporativos.
É obrigatório o uso de autenticação multi-fator (2FA ou MFA; Two factor Authentication ou Multi-
Factor Authentication) para TODOS os serviços onde a opção estiver disponível.
Colaboradores previamente cadastrados, mediante aprovação explícita dos seus gestores diretos,
poderão obter acesso remoto ao ambiente computacional da Enauta para trabalho for a de seu
ambiente normal. Para isso, é necessário a abertura de chamado com aprovação da gestão.
Esse processo deve utilizar apenas equipamentos corporativos fornecidos pela Enauta com a
aplicação dos controles de segurança vigentes. A conexão será estabelecida por meio de VPN
privada corporativa.
Toda Informação que permanecer nas mesas poderá e deverá ser destruída pelo colaborador
responsável ou por qualquer outro colaborador que assim o quiser fazê-lo exercitando as boas
práticas de proteção de Informações da Enauta.
Os documentos órfãos notoriamente importantes (que possuem assinaturas por exemplo) deverão
ser depositados em um armário especial do tipo boca de lobo para que possam ser revisados
posteriormente antes de sua destruição - cofre de documentos órfãos localizados ao lado das
impressoras.
Esta regra vale para o ambiente de trabalho, incluindo a estação de trabalho, mesa, gavetas,
arquivos e lixo.
Todo dispositivo corporativo de acesso aos sistemas corporativos deve sofrer bloqueio automático
depois de 10 minutos de inatividade (computadores, smartphones, tablets ou qualquer outro
dispositivo, móvel ou não).
É expressamente proibido a captura de tráfego de rede dentro da rede corporativa da Enauta salvo
eventos devidamente autorizados pelo Comitê de Segurança ou pelo gestor de segurança para fins
exclusivos de diagnóstico, auditoria e monitoração previamente autorizados.
Não é permitido a conexão de dispositivos não corporativos as redes internas, cabeadas ou sem fio.
As interações de resposta, réplica aos comentários feitos por terceiros sobre a empresa e afins, só
podem ser feitas pelas áreas específicas de comunicação e gestão de mídias sociais, mesmo sendo
postadas em redes pessoais.
A publicação de fotos em área internas também deve ser evitada, para evitar que Informações
restritas contidas nas áreas internas da empresa sejam publicadas inadvertidamente, a não ser que
seja previamente autorizada pela área de comunicação
Não é permitido a instalação de softwares não aprovados pela área de TI e Segurança de Informação
em quaisquer dispositivos que acessam os sistemas de Informação da Enauta que inclui:
computadores, notebooks e dispositivos portáteis como tablets e celulares. Inclusive software,
aplicativos, plugins pagos ou gratuitos.
Todos os acessos aos sistemas internos devem ter como justificativa um propósito real de negócio.
É expressamente proibido o acesso a dados de clientes por mera curiosidade, por exemplo:
6.19. MONITORAÇÃO
A Enauta se reserva ao direito de monitorar todas as atividades feitas pelos seus colaboradores
em seus sistemas de Informação para garantir o cumprimento desta e outras políticas da empresa.
Os ambientes internos da Enauta também podem sofrer gravação audiovisual com o propósito
principal de gerenciar a segurança do perímetro interno da empresa contra incidentes de
segurança de qualquer natureza.
Com o propósito de proteger os dados da Enauta e seus clientes, não é permitido acessar qualquer
ferramenta corporativa utilizando dispositivos que sofreram alterações nos sistemas nativos de
segurança.
Exemplos práticos:
O acesso aos nossos escritórios NÃO pode ser feito por pessoas DESACOMPANHADAS. O anfitrião do
visitante deverá acompanhá-lo, DESDE a chegada na recepção da Enauta, até a entrada no escritório.
Quem não possui biometria cadastrada ou crachá de acesso, sempre terá que ser acompanhado pelo
seu anfitrião ou por um colaborador da Enauta.
Para colaboradores ou consultores externos que trabalhem mais de dois dias por semana no
escritório, iremos cadastrar sua biometria ou crachá e liberar o acesso sem escolta.
• A recepção INTERNA não deve abrir a porta para dar acesso ao escritório;
Todos os visitantes devem ser acompanhados por um colaborador (normalmente o
anfitrião), DESDE a recepção da Enauta;
• Não atendemos fornecedores da Enauta fora do local reservado para a recepção de
fornecedores.
7. PENALIDADES
A violação desta Política poderá acarretar sanções administrativas e/ou legais, sem prejuízo da
rescisão do contrato de trabalho e/ou qualquer outro contrato de relacionamento de prestação de
serviço entre o colaborador, associado, consultor e/ou sócio, assim como qualquer entidade com
relação contratual direta ou indireta com a Enauta.
A observação do descumprimento desta política deve ser imediatamente reportada por meio do
email: [email protected]
8. VIGÊNCIA
Esta Política entrará em vigor a partir da data de sua aprovação pelo Conselho de Administração e
permanecerá em vigor por prazo indeterminado.
9. DOCUMENTOS DE REFERÊNCIA
• Contrato de Trabalho;
• Código de Conduta;
• Política de Tratamento de Dados Pessoais
• ISO 27000
• Lei Geral de Proteção de Dados (Lei nº 13.709)