Apresentação

A Política de Segurança da Informação da MAUPI estabelece as diretrizes, conceitos e responsabilidades essenciais para assegurar a segurança cibernética e a proteção das informações da empresa. O objetivo é garantir a confidencialidade, integridade e disponibilidade dos dados sob gestão da MAUPI, em conformidade com as normas regulatórias e melhores práticas do setor.

Este documento define os princípios fundamentais que orientam a criação de normas, processos, padrões e procedimentos relacionados à segurança da informação. Além disso, visa proteger a empresa, seus colaboradores e parceiros contra o uso inadequado de dados, que poderia comprometer a MAUPI em suas operações e impactar sua reputação.

Escopo

A Política de Segurança da Informação da MAUPI possui abrangência corporativa, aplicando-se a todas as áreas de negócio, escritórios e operações da empresa. Ela cobre todos os aspectos relacionados à segurança da informação, incluindo a prevenção e a gestão de incidentes, garantindo que todos os colaboradores, parceiros e sistemas estejam alinhados com as diretrizes estabelecidas para proteger os dados e a infraestrutura da empresa.

Princípios, Conceitos e Definições

Recursos: Qualquer ativo, seja tangível ou intangível, pertencente à MAUPI, que tenha valor para a empresa. Inclui recursos como pessoas, ambientes físicos, tecnologias, serviços contratados, soluções em nuvem, sistemas e processos.

Ameaça: Qualquer causa potencial que possa resultar em um incidente indesejado, impactando os objetivos da empresa. As ameaças podem ser internas ou externas, e podem ocorrer intencionalmente ou não intencionalmente.

Controle: Qualquer recurso ou medida destinada ao tratamento de riscos, como redução, eliminação ou transferência. Controles podem incluir políticas, processos, estruturas organizacionais, padrões técnicos, software, hardware e outros mecanismos que asseguram a segurança das informações.

Gestor: Colaborador que ocupa um cargo de liderança, como Diretor Presidente, Coordenador, ou Supervisores de seção.

Informação: Qualquer conjunto de dados organizados que possuam propósito e valor para a MAUPI, seus clientes, parceiros e colaboradores. A informação pode ser de propriedade da empresa, estar sob sua custódia ou de terceiros, como informações armazenadas em soluções em nuvem.

Princípios de “Least Privilege” e “Need to Know”: Esses princípios devem guiar a autorização de acesso a sistemas e informações. O princípio de “Least Privilege” determina que o acesso concedido deve ser o mínimo necessário, e o princípio de “Need to Know” estabelece que o acesso deve ser concedido apenas a quem realmente necessite.

Política de Segurança Cibernética e da Informação: Conjunto de documentos que inclui a política, normas e padrões para a segurança cibernética e da informação, estabelecendo as diretrizes para proteger os ativos da empresa.

Segurança da Informação (SI): Proteção das informações caracterizada pela preservação dos seguintes aspectos:

1. Confidencialidade: Garantia de que a informação seja acessível apenas por pessoas autorizadas. 

2. Integridade: Garantia de que a informação não seja alterada ou violada indevidamente, assegurando sua exatidão e validade.

3. Disponibilidade: Garantia de que colaboradores autorizados tenham acesso à informação e sistemas correspondentes quando necessário. 

4. Conformidade: Garantia de que os controles de segurança da informação estejam sendo executados conforme esperado, produzindo resultados efetivos.

Recursos Críticos: Recursos essenciais para a operação do sistema da MAUPI, que contêm informações críticas ou sensíveis.

Dados Pessoais: Classificação dos dados com base em sua sensibilidade e importância, conforme as seguintes categorias:

1. Dados Pessoais: Informações que identificam ou tornam identificável uma pessoa natural, como nome, endereço e e-mail.

2. Dados Sensíveis: Informações sobre características mais íntimas de uma pessoa, como origem racial, crenças religiosas, saúde e vida sexual. Seu tratamento é restrito e requer consentimento explícito. 

3. Dados Anonimizados: Dados que não permitem a identificação de uma pessoa específica, mesmo combinados com outras informações, e, portanto, não são sujeitos às mesmas restrições da LGPD. 

4. Dados Pseudonimizados: Dados pessoais que, após processamento, não podem ser atribuídos a um indivíduo sem informações adicionais, proporcionando um nível extra de segurança.

Diretrizes

A informação é um ativo fundamental para a MAUPI e deve ser devidamente protegida.

A segurança cibernética e da informação tem como objetivo proteger as informações contra diversas ameaças, minimizando os riscos para a empresa e assegurando que as características essenciais da informação sejam mantidas: confidencialidade, integridade, disponibilidade e conformidade.

Alinhada com os objetivos e requisitos do negócio, a MAUPI estabelece nesta Política de Segurança da Informação e Cibernética regras e orientações para serem seguidas por pessoas, processos e tecnologias. Essas diretrizes visam proteger as informações da MAUPI, bem como as de seus clientes, fornecedores e parceiros.

Cumprir com as diretrizes desta política significa:

• Proteger a empresa contra vazamentos de informações e fraudes.

• Garantir a privacidade das informações.

• Assegurar que sistemas e informações estejam disponíveis quando necessário.

• Proteger a imagem e a reputação da MAUPI e suas marcas.

Diretrizes para Tratamento das Informações:

• Proteção das Informações: Toda informação deve ser protegida contra perda, alteração e acesso não autorizado, independentemente de estar em meio eletrônico (como servidores, computadores ou dispositivos de armazenamento) ou físico (como documentos em papel).

• Definição de Usuários e Acessos: Os usuários que terão acesso a cada informação devem ser claramente definidos, assim como os tipos de direitos de acesso a serem concedidos.

• Procedimentos de Segurança: Devem ser estabelecidos procedimentos para garantir que informações sejam protegidas contra acesso não autorizado.

• Backup e Recuperação: Informações essenciais para a continuidade das atividades devem ter cópias de segurança armazenadas em locais físicos distintos e protegidos ou em meios eficientes para recuperação rápida em caso de perda ou dano.

• Descarte Seguro: Informações em materiais destinados ao descarte (como documentos em papel ou dispositivos de armazenamento) devem ser destruídas ou mantidas em locais seguros para evitar acesso não autorizado.

• Responsabilidade do Colaborador: Todo colaborador da MAUPI é responsável pela segurança das informações a que tem acesso.

• Devolução de Informações Extraviadas: Qualquer informação encontrada extraviada deve ser imediatamente devolvida à sua origem.

Os colaboradores não devem tentar acessar informações para as quais não têm permissão. Em vez disso, devem solicitar acesso ao proprietário da informação, pasta ou arquivo correspondente.

Ao elaborar normas e procedimentos de acesso, deve-se considerar os riscos associados ao acesso e à alteração não autorizados, bem como à divulgação indevida e à indisponibilidade dos dados. Tais riscos podem resultar em fraudes, problemas legais, perdas de negócios, danos à reputação e dificuldades na recuperação das informações

Papéis e Responsabilidades

Todos os colaboradores da MAUPI, independentemente de cargo, função ou local de trabalho, têm a responsabilidade de garantir a segurança das informações da empresa. É essencial que cada um cumpra com as diretrizes estabelecidas nesta política, bem como com as normas e padrões de segurança da informação aplicáveis.

O descumprimento desta Política poderá resultar em sanções administrativas, incluindo a possibilidade de desligamento do colaborador, rescisão do contrato vigente e reparação de danos, conforme a gravidade da infração.

Classificação da Informação

A classificação da informação visa ajudar os usuários a analisar e definir o nível de acesso e as condições de armazenamento, com base na confidencialidade, integridade e disponibilidade da informação.

Todas as informações devem ser classificadas conforme seu valor, sensibilidade e criticidade. Até que se estabeleça sua classificação específica, toda informação deve ser considerada sigilosa e de alto risco.

A proteção da informação, tanto no acesso quanto na conservação, deve refletir sua classificação. Quando informações com diferentes classificações estiverem no mesmo meio físico, deve-se adotar a classificação mais restritiva para garantir a segurança.

Alterações significativas em sistemas informatizados ou nas características da informação devem ser comunicadas aos usuários com antecedência e acompanhadas por uma revisão da classificação.

Os tipos de informações são classificados da seguinte forma:

I. Informações Sigilosas: Informações de alta restrição quanto à divulgação devido ao seu valor estratégico ou ao potencial de causar prejuízos. Devem receber o mais alto nível de proteção.

II. Informações Confidenciais: Informações de caráter setorial, destinadas a um grupo restrito de pessoas dentro de uma área ou setor específico.

III. Informações Internas: Informações usadas exclusivamente dentro da organização, relevantes para os colaboradores.

5. Informações Públicas: Informações que circulam livremente, tanto internamente quanto externamente, sem restrições de acesso ou controle de divulgação.

Em níveis de risco:

I. De Alto Risco: Informações cuja falta de disponibilidade ou imprecisão pode causar prejuízos significativos à continuidade dos negócios. A proteção e o gerenciamento devem ser rigorosos para garantir a integridade e a disponibilidade contínua dessas informações.

II. De Médio Risco: Informações que podem resultar em problemas de disponibilidade e dificultar a recuperação, mas cujo impacto é gerenciável. O proprietário da informação e os usuários aceitam limitações na disponibilidade e prazos definidos para recuperação.

III. De Baixo Risco: Informações cuja falta de precisão ou acessibilidade representa pouco ou nenhum risco para os negócios. Os usuários aceitam possíveis indisponibilidades e prazos mais longos para recuperação sem impacto significativo.

Administração de Acesso de Usuários

A área de controle de acesso deve gerenciar o acesso aos sistemas da empresa, incluindo a criação de contas, gestão de privilégios e senhas, e encerramento de acessos. O acesso deve ser concedido com base na necessidade de conhecimento e alinhado com as responsabilidades do usuário.

Cada usuário deve armazenar seus arquivos em pastas específicas e é responsável pelo conteúdo. A segurança da rede deve ser mantida com servidores de controle de domínio e antivírus atualizado em todas as estações de trabalho.

A inserção de dados via dispositivos removíveis requer autorização do gerente e deve ser realizada somente em estações com antivírus atualizado.

O acesso aos sistemas deve ser seguro, com autenticação por usuário e senha, e o acesso remoto só é permitido com autorização do usuário da estação

Aspectos Gerais de Segurança Física de Computadores e de Servidores

Para garantir a segurança física de computadores e servidores, é essencial seguir os padrões e especificações a seguir:

Espaço Adequado: O local destinado à instalação dos equipamentos de rede e computadores deve ter dimensões suficientes para acomodar os equipamentos de forma segura e eficiente. As entradas de ar dos equipamentos devem estar sempre desobstruídas para garantir a ventilação adequada.

Instalação dos Cabos: Os cabos lógicos e de energia devem ser organizados em canaletas apropriadas. Isso evita interferências na rede e permite um trânsito livre e seguro para as pessoas no ambiente.

A implementação desses aspectos contribui para a proteção dos equipamentos contra danos físicos e garante a continuidade e eficiência das operações de TI.

Plano de Retenção de Dados

A MAUPI manterá políticas de Retenção de Dados que respeitem as normas aplicáveis, especialmente no que tange aos dados pessoais. Estas políticas garantirão a conformidade com os requisitos legais e regulatórios, definindo os períodos de retenção para diferentes categorias de dados e procedimentos para a sua eliminação segura quando não forem mais necessários.

Incidentes de Segurança da Informação

Incidentes de segurança da informação são eventos adversos, confirmados ou suspeitos, que podem comprometer a confidencialidade, integridade, disponibilidade ou conformidade das informações da MAUPI, colocando a empresa em risco.

A MAUPI possui procedimentos estabelecidos para o gerenciamento de tais incidentes. Todos os incidentes devem ser reportados imediatamente ao Comitê de Segurança da Informação, que tomará as ações necessárias para minimizar os impactos.

Qualquer violação ou tentativa de violação das políticas, normas ou controles de segurança da informação, seja intencional ou não, será considerada um incidente de segurança e será tratada conforme os procedimentos estabelecidos.

Plano de Resposta a Incidentes: A MAUPI deverá desenvolver cenários de incidentes durante os testes de continuidade de negócios para identificar eventos que possam impactar a operação, afetar o desempenho, causar obstruções ou erros nos processos organizacionais, comprometendo a operação regular dos serviços.

Em caso de incidentes, é responsabilidade de qualquer terceiro ou colaborador notificar imediatamente o Comitê de Segurança da Informação da MAUPI para que sejam adotadas as medidas de segurança apropriadas.

PREVENÇÃO E DETECÇÃO DE INTRUSÃO

Todos os recursos do sistema de informação expostos à Internet são monitorados e protegidos por sistemas de Detecção e Prevenção de Intrusão (IDS/IPS).

Quando o IDS/IPS identificar ou responder a uma tentativa externa mal-intencionada que represente uma ameaça significativa aos recursos protegidos, deve ser imediatamente realizada uma análise estruturada e ativado um procedimento de resposta apropriado.

São implementados controles tecnológicos nos equipamentos de processamento de informações, tanto em software de usuário final quanto em servidores, para prevenir, detectar, corrigir e erradicar códigos maliciosos.

Auditoria

A MAUPI reserva-se o direito de auditar dispositivos e sistemas utilizados por seus colaboradores no âmbito das atividades comerciais. As auditorias podem incluir:

• Acesso a níveis de usuário e sistema em dispositivos e comunicações.

• Verificação de informações eletrônicas, impressas ou armazenadas.

• Inspeção de áreas físicas de trabalho e infraestrutura, como escritórios e data centers.

• Monitoramento e registro do tráfego nas redes da MAUPI.

Todas as auditorias serão conduzidas em conformidade com a Lei Geral de Proteção de Dados e as diretrizes de privacidade estabelecidas pela empresa.

CONSCIENTIZAÇÃO E DIVULGAÇÃO DA SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO

Os recursos e informações da MAUPI devem ser utilizados exclusivamente para os fins organizacionais e de acordo com as normas e diretrizes estabelecidas pela empresa.

A política de segurança cibernética e da informação, junto com normas e padrões de segurança, deve ser amplamente divulgada durante o processo de admissão e integração de novos colaboradores, com o suporte das equipes de recursos humanos e gestores.

Programas de conscientização e reciclagem contínua sobre a política de segurança cibernética e da informação devem ser implementados regularmente para garantir que todos os colaboradores e parceiros estejam cientes das diretrizes e responsabilidades relacionadas à segurança das informações.

Atualização da Política

A Política será atualizada sempre que houver mudanças legislativas ou regulatórias relevantes, alterações no cenário do negócio da empresa ou necessidade identificada na revisão da análise de risco. A responsabilidade pela atualização e aprovação da Política será da Alta Administração.

Aprovação e Vigência

Esta Política foi aprovada pela Alta Administração da MAUPI e entrará em vigor na data de sua aprovação. A vigência é indeterminada, sendo substituída apenas por uma versão atualizada.

Goiânia/GO, 17 de outubro de 2024.