Politicas de Tecnologia da Informação

A Política de Tecnologia da Informação é o documento que orienta e estabelece as diretrizes corporativas do GRUPO AGIT para a proteção de ativos de informação e a prevenção de responsabilidade para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas do Grupo Agit.

O GRUPO AGIT  baseada na norma NBR ISO/IEC 27.001 definiu sua Politica de Segurança da Informação, conscientizando e definindo as normas e procedimentos necessários para proteger a confidencialidade das informações e a continuidade dos negócios.

Objetivo

Estabelecer diretrizes que permitam aos colaboradores seguirem padrões de comportamento relacionados à segurança da informação adequados as necessidades de negócio e de proteção legal da empresa e do indivíduo.

Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.

Preservar as informações do GRUPO AGIT quanto à:

• INTEGRIDADE: garantia de que a informação seja mantida em seu estado original, visando protege-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
• CONFIDENCIALIDADE: garantia de que o acesso â informação seja obtido apenas por pessoas autorizadas.
• DISPONIBILIDADE: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que seja necessário.

Abrangência:

As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.

DAS RESPONSABILIDADES

Dos colaboradores em Geral

Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora das instalações do GRUPO AGIT.

Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar o GRUPO AGIT e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

Dos Gestores de Pessoas e/ou Processos

Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob sua gestão.

Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da política.

Exigir dos colaboradores o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações do GRUPO AGIT. Antes de conceder acesso às informações do GRUPO AGIT, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviço que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento e apresentação de propostas comerciais.

Da Área de Tecnologia da Informação

• Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
• Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
• Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta política.
• Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários.  No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias e testes de ambiente.
• Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para o GRUPO AGIT.
• Implantar controles que gerem registros auditáveis para a retirada e transporte de mídias das informações custodiadas pelas TI, nos ambientes totalmente controlados por ela.
• O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que informação seja definitivamente descartada pelo custodiante.
• Quando ocorrer movimentação interna de ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
• Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoas física, sendo que:
• Os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.
• Os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.
• Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.
• Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de terceiros.
• Definir regras formais para a instalação de software e hardware em ambiente corporativo, bem como em ambiente exclusivo, exigindo o seu cumprimento dentro da empresa.
• Realizar auditorias periódicas de configurações técnicas e analise de riscos.
• Responsabilizar-se pelo uso, manuseio, guarda de assinaturas e certificados digitais.
• Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
• Monitorar o ambiente de TI, gerando indicadores e históricos de:
• Uso da capacidade instalada de rede e dos equipamentos;
• Tempo de resposta no acesso a internet e aos sistemas críticos;
• Períodos de indisponibilidade no acesso a internet e aos sistemas críticos;
• Incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);
• Atividade de todos os colaboradores durante os acessos à redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);

DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

Para garantir as regras mencionadas nesta politica o GRUPO AGIT poderá:

• Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes de rede – a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como o material manipulado;
• Tornar publicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação da diretoria;
• Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;
• Instalar sistemas de proteção preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

Correio eletrônico

É proibido aos colaboradores o uso do correio eletrônico do GRUPO AGIT para:

• Enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
• Enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou do GRUPO AGIT vulneráveis a ações civis ou criminais
• Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem a autorização expressa e formal concedida pelo proprietário desse ativo de informação;
• Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de rementes e/ou destinatários, com objetivo de evitar as punições previstas;
• Apagar mensagens pertinentes de correio eletrônico quando o GRUPO AGIT estiver sujeita a algum tipo de investigação.
• Produzir, transmitir ou divulgar mensagem que:
• Vise vigiar secretamente ou assediar outro usuário;
• Vise acessar informações confidenciais sem explicita autorização do proprietário;
• Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
• Inclua imagens criptografadas ou de qualquer forma mascaradas;
• Tenha conteúdo considerado impróprio, obsceno ou ilegal;

INTERNET

Todas as regras atuais do GRUPO AGIT visam basicamente o desenvolvimento de comportamento eminentemente ético e profissional do uso da internet.  Embora a conexão direta e permanente de rede corporativa do GRUPO AGIT com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.  Qualquer informação que é acessada, transmitida, recebida ou produzida na internet esta sujeita à divulgação e auditoria.

Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade do GRUPO AGIT, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede / internet, estejam eles em disco local, na estação ou em áreas privadas da rede.

Ao monitorar a rede interna, pretende garantir a integridade dos dados e programas.  Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor.  O uso de qualquer recurso para as atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos o GRUPO AGIT cooperará ativamente com as autoridades competentes.

IDENTIFICAÇÃO

Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra.

O uso dos dispositivos e / ou senhas de identificação de outras pessoas constitui crime tipificado no Código Penal Brasileiro (Art. 307 – falsa identidade).

Tal norma visa estabelecer critérios de responsabilidade sobre o uso de dispositivos de identificação e deverá ser aplicada a todos os colaboradores.

Todos os dispositivos de identificação utilizados pelo GRUPO AGIT, como o numero de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante o GRUPO AGIT e a legislação (cível e criminal).

Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.

Os usuários podem alterar sua própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login / senha.

As senhas periodicamente devem ser periodicamente trocadas pelos usuários, não podendo ser repetida pela ultima senha.

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.  Portanto, assim que algum usuário for demitido ou solicitar a demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada.  A mesma conduta se aplica aos usuários cujo contrato de prestação de serviços tenha se encerrado, bem como os usuários de testes e outras situações similares.

Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.

DISPOSIÇÕES GERAIS

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna do GRUPO AGIT. Ou seja, qualquer incidente de segurança, subtende-se como alguém agindo contra a ética e os bons costumes regidos pelo GRUPO AGIT.

.