Política de segurança da informação

Objetivo

Com o propósito de reforçar a segurança e confiabilidade ao nosso trabalho, apresentamos a nossa Política de Segurança da Informação (“PSI”), concedendo o amplo conhecimento sobre nossas diretrizes relacionadas à segurança e proteção da informação.

Diante disso, a presente política visa orientar, estabelecer diretrizes, critérios, regras e procedimentos relacionados a utilização dos recursos disponibilizados pela Prefeitura aos seus servidores, fornecedores e parceiros, bem como ao uso de senha dos sistemas, rede, telefonias e internet.

Aplicação

A aplicação desta Política de Segurança da Informação ocorre de maneira imediata, uma vez que o documento é dotado de imenso valor jurídico. Todos os servidores, prestadores de serviços e parceiros da Prefeitura devem observar as disposições previstas, sendo necessário que todas as condutas estejam pautadas em boas práticas do mercado nacional e internacional, seguindo os padrões indicados abaixo:

• ISO 27001 – Gestão da Segurança da Informação;
• ISO 27002 – Políticas para segurança da Informação;
• ISO 27701 – Gestão da Privacidade da Informação;
• ISO 31000 – Gestão de Risco.

As mencionadas práticas tiveram suas implementações realizadas nos ambientes computacionais da Prefeitura, estendendo-se, mas não se limitando a todos os servidores, bases de dados, sistemas operacionais, hardware, software, dispositivos de redes, telefonia, dispositivos móveis, além de ambientes de terceiros que de forma física ou lógica estejam integrados ou conectados nos ambientes da Prefeitura.

Privacidade

A Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/18) institui normas sobre o tratamento de dados pessoais, inclusive em meios digitais. Visando garantir o cumprimento da Constituição Federal, da LGPD e outras normas citadas nesta política, deve-se assegurar a privacidade e a proteção dos dados pessoais, aplicando medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão em todas as etapas de processos ou sistemas, que envolvam tratamento de dados pessoais cuja a responsabilidade de salvaguardar é da Prefeitura. Para mais informações sobre o tratamento de dados pessoais da Prefeitura, acesse nossa Política de Privacidade.

Princípios de Segurança da Informação

Visando manter uma estrutura sólida que sirva como base para a preservação da segurança da informação, são estabelecidos os princípios a serem aplicados em todas as condutas praticadas pela Prefeitura, sendo através da figura dos seus servidores, prestadores de serviços, e quem mais possa representar a organização:

• Confidencialidade: garantia de que as informações sejam acessadas apenas por usuários autorizados;
• Integridade: condição em que as informações sejam autênticas em relação à última alteração durante o seu ciclo de vida, sendo as modificações apenas as que forem autorizadas;
• Disponibilidade: garantia de que as informações e os recursos de Tecnologia da Informação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

Responsabilidades

Todos os servidores e envolvidos com a Prefeitura, de forma direta ou indireta, devem proteger as informações e ativos tecnológicos aos quais possuem acesso. Ainda, é de responsabilidade de todos expor os riscos e incidentes de segurança de informação, quando suspeitar ou flagrar a sua ocorrência.

Ainda, a área de Tecnologia da Informação, compete:

• Estabelecer e executar as regras de proteção dos ativos da Prefeitura;
• Revisar no mínimo, anualmente, as regras de proteção estabelecidas;
• Restringir e controlar o acesso e os privilégios de usuários remotos e externos;
• Detectar, identificar, registrar e comunicar à alta administração as violações ou tentativas relevantes e significativas de acesso não autorizadas;
• Estabelecer e acompanhar controles para a exclusão das contas inativas;
• Manter registros de atividades de usuários de TI (logs), devendo conter informações e diagnóstico necessárias para identificação do usuário e dos comandos utilizados, incluindo a hora e a data das atividades, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos, endereço IP e condições de erro observadas (tentativas rejeitadas, erros de consistência etc.).

Diretrizes

Compete a esta Política abordar as diversas instruções aos servidores e prestadores de serviços da Prefeitura Municipal de São Bento do Sapucaí, no que tange a segurança da informação, como as seguintes:

1. Tratar de maneira sigilosa e ética toda informação oriunda da relação estabelecida com a Prefeitura, em todas as etapas de seu ciclo de vida.
2. Garantir a segregação de funções visando evitar a criação de cenários de autos sabotagem e interesses próprios entre os servidores, em todo processo da prefeitura.
3. Conduzir o monitoramento e resposta de incidentes de todos os ativos, serviços e rede da empresa visando a mitigação dos riscos.
4. Realizar de forma periódica testes de continuidade.
5. Aplicar estratégias de defesa, entre elas utilizar técnicas de IPS (Sistema de Prevenção de Intrusão) e IDS (Sistema de Detecção de Intrusos), DMZ (Zona Desmilitarizada) entre outras boas práticas recomendadas do mercado.
6. Desenvolver maneiras de prevenir, detectar e reduzir a vulnerabilidade em todo ciclo de incidentes.
7. Garantir a conscientização da equipe através de treinamentos e seminários.
8. Realizar planos de contingências em ambiente físico e lógico.
9. Garantir as boas práticas de segurança em todo o processo de desenvolvimento de aplicação.
10. Classificar a informação trafegadas de acordo com sua sensibilidade e criticidade para continuação das atividades da Prefeitura.

Classificação das informações e controle de acesso

A informações que estão sob a responsabilidade da Prefeitura devem ser classificadas e protegidas com controles compatíveis em todo o seu ciclo de vida, mediante a execução de ferramentas e formalização de processos em instrumento específico. Em vista disso, as categorias de informação são as seguintes:

• Pública: são informações que podem ser acessadas e utilizadas por qualquer colaborador, uma vez que estão expostas ao público em geral, ainda que estejam fora dos limites institucionais, pois não representam grandes ameaças caso sejam divulgadas publicamente.
• Interna: são informações relativas a normativas internas, de funcionamento, essas a priori, não devem ser reveladas a qualquer pessoa. Devem, portanto, ser acessadas apenas por servidores e terceiros autorizados. Contudo, caso se tornem públicas, não deverá haver consequências graves.
• Confidencial: são informações que demonstram dados de nível estratégico ou até mesmo dados pessoais identificáveis, as quais não podem ser disponibilizadas ao público em geral, ou, ainda, só devem ser divulgadas a grupos específicos e expressamente autorizados de servidores e terceiros. Caso haja divulgação indevida, a Prefeitura poderá ser prejudicada tanto financeiramente quanto estrategicamente.

Em relação últimas duas hipóteses, o gestor da área responsável terá a designação e controle do acesso às informações conforme a função e necessidade, conforme o perfil de acesso próprio no qual define o controle a cada sistema e plataforma utilizados.

Em observância ao princípio de liberação de “acesso mínimo” os acessos serão disponibilizados considerando a necessidade para a finalidade específica ao atendimento da prestação de serviço de cada função. Dessa forma, o gestor da área possui acesso a todas as informações de cunho interno e confidencial, enquanto os demais servidores somente terão acesso a essas informações necessárias para o desempenho da sua função.

Todos os processos que envolvem armazenamento, transferência, utilização e descarte das informações confidenciais serão tratados com controles e mecanismos que visam proporcionar o máximo de integridade e proteção contra acesso não autorizado, observando as demais políticas e procedimentos da Prefeitura.

Senhas de Acesso

A disponibilização dos acessos aos sistemas utilizados pela Prefeitura ocorrerá em um prazo máximo de 72 horas após a contratação do servidor ou prestador de serviços, quando aplicável. Este processo é de responsabilidade do setor de Recursos Humanos ou responsáveis pela contratação, que deverá solicitar o acesso junto a área de Segurança da Informação, mediante requerimento formal a área.

O acesso a rede de computadores, sistemas e outros recursos de tecnologia da Prefeitura é concedido mediante apresentação de identificação. Esse método é utilizado para controlar os direitos de acesso as informações, como também identificar cada colaborador e uso dos recursos.

Salienta-se que as senhas dos sistemas são de uso pessoal e intransferível, sendo de inteira responsabilidade do usuário as ações realizadas sob suas credenciais, como também, todo e qualquer prejuízo causado pelo fornecimento de sua senha a terceiros, independente do motivo.

Poderá ocorrer o bloqueio do usuário e senha do colaborador ou prestador de serviços, em três situações: quando do desligamento, situação na qual o departamento de Recursos Humanos informará, via e-mail/sistema de chamado, a relação de servidores desligados; diante da extinção de contrato do prestador de serviço, hipótese em que o setor responsável pelos contratos sinalizará pelo bloqueio das credenciais; e em situações de folga e férias, nas quais a área de Segurança da Informação providenciará os bloqueios temporários.

Sempre que um gestor ou coordenador achar prudente e necessário, poderá solicitar a área de Tecnologia da Informação a reavaliação do perfil de seus colaboradores, visando reconsiderar o acesso concedido.

De forma regular e frequente, a área responsável pelo gerenciamento e controle dos equipamentos deverá realizar as checagens aleatórias com o objetivo de auditar a situação geral e identificar possíveis irregularidades.

Controles internos

Em relação aos controles internos de Segurança da Informação da Prefeitura, destaca-se que estes são atribuídos nas seguintes dimensões:

1. Configurações seguras para hardware e software (hardening);
2. Proteções de e-mail e navegador da web;
3. Utilização de VPN;
4. Aplicação de testes de vulnerabilidade;
5. Anonimização e criptografia;
6. Limitação e controle de portas de rede, protocolos e serviços;
7. Recursos de Recuperação de Dados;
8. Configuração segura para dispositivos de rede, como firewalls, roteadores e switches e controle de acesso sem fio;
9. Proteção de dados;
10. Gerenciamento e Resposta a Incidentes;
11. Descarte de informações;

Sanções em caso de violação

Todos os incidentes de Segurança da Informação apontados como violações precisam ser avaliados pelo Encarregado de Dados e, também pela área de Tecnologia da Informação. Logo após a análise, as responsabilidades dos envolvidos deverão ser apuradas em procedimento próprio, instaurado pelo departamento indicado na estrutura organizacional, o qual deverá sugerir penalidades e sanções à Alta Administração para que essa se manifeste quanto a aplicação aos infratores.

Toda violação à Política de Segurança da Informação representa ofensa séria que pode resultar em advertência verbal ou escrita, ação disciplinar, repreensão, suspensão, demissão ou ação civil, por parte da Prefeitura, garantido ao Servidor/Prestador de Serviço o direito de defesa, sem prejuízo de eventual responsabilização penal.

Além disso, as violações desta Política que representem, concomitantemente, violações às leis nacionais, podem resultar em multas, penalidade, processos criminais ou outras medidas legais, resguardado à Prefeitura de São Bento do Sapucaí, pleitear indenização pelos eventuais prejuízos suportados, perdas e danos e/ou lucros cessantes, por meio de medidas legais cabíveis.

Disposições Finais

A presente Política de Segurança da Informação visa informar e orientar sobre as normas e medidas relacionadas à segurança e proteção da informação da Prefeitura de São Bento do Sapucaí, a qual é revisada, no mínimo anualmente ou quando ocorrer mudanças significativas.

Referências

ABNT NBR ISO/IEC 27001:2022 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos.

ABNT NBR ISO/IEC 27002:2022 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação.

ABNT NBR ISO/IEC 27701:2019 – Tecnologia da Informação – Técnicas de segurança – gestão da privacidade da informação — Requisitos e diretrizes.

Voltar