1. Introdução

Um ambiente altamente confiável e seguro depende da conscientização de todos: membros da diretoria, colaboradores e parceiros. O acesso à informação precisa ser criterioso e condizente com cada função desempenhada atendendo diferentes setores e demandas.

É primordial que se saiba onde está cada informação, como (e se) ela é transmitida, qual a forma de armazenamento, se há a possibilidade de ser reproduzida e finalidade. Com isso é possível discernir sobre seu nível de segurança.

Toda informação gerada é um ativo tecnológico da organização e, portanto, precisa ser zelado e protegido em nome dos colaboradores, clientes e parceiros. A informação precisa estar ao alcance de pessoas autorizadas sempre que necessário, porém garantindo-se sua confiabilidade e autenticidade e não vazamento.

2. Objetivo

O objetivo deste documento é formalizar as diretrizes da Segurança da Informação da Accelerare que visam à proteção dos ativos de informação, de modo garantir a confidencialidade, integridade e disponibilidade das informações de forma criteriosa.

3. Definições Siglas e Abreviaturas

Serão adotadas as seguintes definições neste documento:

• Informação: conjunto de dados, informação ou conhecimentos resultantes do processamento, manipulação e/ou organização de dados, de tal forma modifique o conhecimento (humano ou sistêmico) de quem a recebe; 
• Segurança da Informação: conjunto de ações e controles com objetivo de garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações, contribuindo para o cumprimento dos objetivos estratégicos da Accelerare; 
• Confidencialidade: as informações somente devem ser divulgadas a indivíduos, entidades ou sistemas autorizados;
• Integridade: Garantia da exatidão da informação coletada / processada e que a mesma não sofre alterações indevidas; 
• Disponibilidade: sempre que necessário, as pessoas autorizadas devem obter acesso à informação; 
• Conformidade: cumprimento de um requisito legal ou regulatório relacionado à administração das empresas, dentro de princípios éticos e de conduta estabelecidos pela Accelerare; 
• Incidente de Segurança da Informação: evento decorrente da ação maliciosa que explora uma ou mais vulnerabilidades e que afete a confidencialidade, integridade ou disponibilidade de alguma informação; 
• Risco de Segurança da Informação: riscos associados à violação da confidencialidade, integridade e disponibilidade das informações dos meios físicos e digitais sob guarda da Accelerare.

4. Diretrizes Gerais

Esta política visa estabelecer princípios e diretrizes para assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação utilizados. A proteção e envolvimento do coletivo deve ser garantida por todos os envolvidos para que seja adequada. Tais medidas visam garantir ainda a identificação, proteção, detecção, resposta e recuperação em casos de eventuais incidentes de segurança.

Todos devem zelar pela segurança da informação cotidianamente, em cada interação com pares, superiores, fornecedores, clientes, sabendo que estas informações só devem ser compartilhadas com quem é de direito. Ainda respeitando nossa política de ética, a informação não deve ser compartilhada no ciclo pessoal ou utilizada para benefício próprio ou de terceiros.

Cada e-mail enviado, cada impressão realizada, cada conversa ao telefone precisa ser pautada pela ética e sigilo de informações. Pequenos hábitos cotidianos como não deslogar do computador pode comprometer de alguma forma o sigilo da informação e a maior transformação deve ser comportamental.

Os dados gerados por clientes são protegidos em contrato, que preveem clausulas específicas para transferência e/ou expurgo (WIPE) de dados.

5. Ciclo de Vida
Toda informação possui um ciclo de vida e em cada momento exige cuidados específicos:

• Manuseio: Quando a informação passa a existir ou é utilizada/manipulada;
• Armazenamento: Quando a informação está armazenada em banco de dados, papel, em mídia
  eletrônica externa, entre outros;
• Transporte: ocorre quando a informação é transportada para algum local ou de um sistema para outro, não importando o meio no qual ela está armazenada;
• Descarte: Refere-se à eliminação de documento impresso, eliminação de arquivo eletrônico ou destruição de mídias de armazenamento (CDs, DVDs, disquetes, pen-drives).

6. Classificação

Toda informação precisa ser avaliada conforme o teor do conteúdo, relevância do conhecimento que revela ou ainda se é uma informação pessoal de alguém ou alguma instituição.

O acesso, divulgação e tratamento do documento (físico ou digitalizado), dado ou informação, são restritos aos que tenham necessidade de conhecê-los em razão de suas atividades profissionais, pautados pela regulamentação existente e pelos princípios de pertinência, utilidade, relevância e temporalidade considerando os níveis a seguir:

• Confidencial: É o mais alto grau de sigilo, aplicadas às informações de caráter estratégico e que devem ser manuseadas por um grupo restrito de usuários. O acesso não autorizado a essas informações pode ter consequências críticas para o negócio, causando danos estratégicos.
• Restrito: São informações específicas para uso interno, com circulação exclusiva dentro da empresa. Estas informações podem estar disponíveis a prestadores de serviços, devendo ser utilizadas somente para a execução de suas atribuições. Essas informações não devem ser divulgadas para entidades externas sem os devidos cuidados, incluindo, quando necessário, a assinatura de acordos de confidencialidade ou de autorização formal previamente avaliada pela alçada responsável pela informação ou documento em questão.
• Público: São informações de circulação livre e domínio público e, portanto, não exige controles ou restrições de segurança para seu acesso ou armazenamento.

7. Controles internos
É parte da rotina Accelerare – e de forma consistente ao longo do tempo – atuar nas seguintes frentes:

• Rastrear, Identificar e avaliar ameaças e vulnerabilidades
• Reciclar conhecimento interno em técnicas de segurança
• Monitoramento constante de sistemas com mecanismos de alarme
• Divulgar apropriadamente tentativas / incidentes
• Promover conscientização interna sobre o tema

7.1 Eventos / Incidentes

Todo incidente deve ser comunicado com máxima prioridade para atuação imediata.
Os incidentes deverão ser avaliados e investigados de forma a construir uma análise consistente de
causas-consequências, riscos envolvidos, partes envolvidas e planos de respostas. A avaliação
deverá ser direcionada ao Diretor de Tecnologia da Informação para decisão das ações iniciais a
serem tomadas. Classificada a relevância do incidente, A Accelerare emitirá comunicado às partes
envolvidas informando a situação ocorrida e ações definidas, ainda que preliminares, informando/
notificando as atividades posteriores pertinentes.

A natureza de cada incidente demanda ações específicas e cada qual com seu plano de ação adequado. No entanto, algumas regras gerais sempre devem ser adotadas como:

• Bloqueio de IPs de origem ou em casos mais graves deve ser feito o desacoplamento do acesso dos
  sistemas à internet temporariamente;
• Inativação temporária de módulos ou contas sob ataque;
• Troca de senhas de sistemas vulnerabilizados;
• Atuar para eliminar a vulnerabilidade de forma paliativa em primeiro momento e depois definitiva;
• Rastrear origem e repassar conclusões/evidências às autoridades competentes;
• Comunicar todos os envolvidos de forma clara sobre o incidente;
• Evoluir procedimentos e planos de ação.

8. Canal de Denúncias

Toda suspeita deve ser encaminhada com máxima prioridade para o responsável pela Segurança da
Informação em Exercício ou à sua equipe.

Henrique Meira Costa: henrique.meira@doctorid.com.br

9. Documentos Relacionados

• Política de LGPD

Data da última revisão: 31/01/2020
Elaborado por: Henrique Meira Costa – Sócio Cofundado