PSI - POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO
Documento de Diretrizes
Sumário
1 Objetivos ................................................................................................................... 3
2 Princípios................................................................................................................... 3
3 Requisitos do documento .......................................................................................... 3
4 Das Responsabilidades .............................................................................................. 4
4.1 Do Comitê de Gestão de Segurança da Informação .......................................... 4
4.2 Da Área de Tecnologia da Informação .............................................................. 4
4.3 Dos Gestores ...................................................................................................... 5
4.4 Dos Colaboradores ............................................................................................. 5
5 Informações ligadas à logística da implementação da TI na organização ................ 5
6 Tecnologias de defesa contra ciberataques ................................................................ 5
1 Objetivos
A adoção desta política de segurança da informação visa conscientizar os
colaboradores e todos os usuários dos sistemas e equipamentos desta organização da
importância de manter ações relacionadas à segurança da informação de forma a manter
a continuidade dos negócios e proteger todos os ativos, desde os recursos humanos aos
equipamentos de TI.
Tem-se como objetivo também a adoção de normas e procedimentos de segurança
da informação como a definição e implantação de controle e processos que solidifiquem
a segurança da organização.
Este documento deve servir de guia e referência na adoção de todos os meios de
segurança da informação desta organização e deve ser seguido por todos os integrantes,
desde os funcionários, os colaboradores e os usuários de forma que a segurança possa
garantir a confidencialidade, a integridade e a disponibilidade das informações.

2 Princípios
Todas as informações produzidas nesta organização devem seguir os parâmetros
desta política de segurança da informação e serão consideradas ativos importantes para a
continuidade do negócio, obedecendo todos os passos necessários para produção, uso,
distribuição e armazenamento.
Os hardwares e softwares devem ser usados de forma responsável sempre levando
em consideração os objetivos da organização, evitando uso ilegal e ações que possam
comprometer a segurança das informações.
A equipe de TI deve avaliar e monitorar todos os acessos aos recursos tecnológicos
da organização de forma a manter a disponibilidade e a integridade das informações.

3 Requisitos do documento
Este documento deverá ser informado a todos os funcionários, colaboradores e
usuários dos equipamentos e sistemas de forma a manter uma uniformidade dos métodos
adotados para a segurança da informação desta organização.
Nesta organização deverá existir um comitê responsável pela gestão da segurança
da informação.
Todos os normativos usados para garantir a segurança da informação deverão ser
avaliados periodicamente pelo comitê da gestão de segurança da informação com o
objetivo de manter esta organização sempre atualizada quanto às ações adotadas para a
continuidade dos negócios.
Os colaboradores que usam os equipamentos e sistema desta organização deverão
assinar um termo de ciência das políticas de segurança da informação adotadas por esta
organização.
Qualquer incidente que aconteça, deve ser registrado e encaminhado para o setor
responsável de TI para análise e busca de solução.
O comitê de gestão de segurança da informação deve implementar um plano de
contingência e continuidade que minimize os danos causados por incidentes de forma a
não afetar a confidencialidade, a integridade e a disponibilidade das informações.
Os ambientes de TI devem ser divididos por função e responsabilidades de forma
a tornar mais fácil a busca por soluções em caso de incidentes.
O comitê de gestão da segurança da informação deve estabelecer punição a quem
descumprir as normas estabelecidas por este documento.

4 Das Responsabilidades

4.1 Do Comitê de Gestão de Segurança da Informação

 O Comitê de Gestão de Segurança da Informação deverá se reunir duas vezes

a cada trimestres, sem objeção de reuniões extraordinárias.
 Deverá ser constituído de especialista para tratar de todos os assuntos de TI da
organização e poderá ter ajuda de especialista externo conforme assunto a ser
tratado e a demanda.
 Elaborar uma gestão de risco de forma a avaliar, especificar e tratar os riscos
que possam afetar a organização.
 Manter todos os incidentes registrados e as soluções adotadas para cada um
deles.
 Manter sempre este documento atualizado assim como definir punições a quem
descumprir esta política de segurança da informação.

4.2 Da Área de Tecnologia da Informação

 Manter ação coordenado com o Comitê de Gestão de Segurança da Informação.

 Implementar ações que colaborem a segurança da informação, envolvendo a
avaliação de risco e a classificação das informações.
 Registrar todos os ativos da organização bem como manter registro dos
responsáveis por cada um deles.
 Manter registro de log de cada ativo (hardware e software) para facilitar
trabalho de auditoria de segurança da informação.
 Divulgar esta politica de segurança a todos os integrantes desta organização,
tanto os colaboradores internos quanto os externos.
 Pesquisar as normas que tratem de segurança da informação de forma a
colaborar com o Comitê de Gestão de Segurança da Informação para a
atualização de todos os meios que visam proteger esta organização.
 Manter pesquisa sobre atualização e lançamento de ativos tecnológicos que
possam acrescentar segurança a esta organização.
 Manter política de backup e política de acesso aos ativos desta organização.
4.3 Dos Gestores

 Seguir todos as ações mencionadas na política de segurança da informação,

assim como incentivar os subordinados a segui-la de forma a manter as
informações desta organização seguras.
 Providenciar a cada subordinado a assinatura do Termo de Compromisso do
uso de ativos da organização.
 Solicitar à Área de Tecnologia da Informação a resolução de incidentes de
forma que não afete a continuidade dos negócios da organização.

4.4 Dos Colaboradores

 Assinar o Termo de Compromisso de uso de ativos da organização, cumprir

cada norma e conscientizar-se que a violação do Termo pode resultar em
punição.
 Fazer uso adequado dos ativos da organização e manter informada a chefia
superior de cada incidentes que ocorrer com os ativos.

5 Informações ligadas à logística da implementação da TI na

organização
O Comitê Gestor da Segurança da Informação deve realizar os estudos necessários
para implantação de todos ativos de TI que vise aumentar a segurança desta organização.
Deve-se realizar avaliação de custos e implementação, assim como os passos necessários
para que todo ativo possa trazer valor as informações produzidas e garantir a continuidade
dos negócios da organização.
Todo ativo de TI a ser adquirido deverá ser suas especificações pela área de TI
assim como os custos envolvidos, os benefícios que a organização e onde será alocado.
Cada contrato desta organização com os fornecedores deverá prever as obrigações
de cada parte, como entregar os ativos dentro do prazo, com todas as funcionalidades e
com as devidas garantias que resguardem a organização de prejuízos.

6 Tecnologias de defesa contra ciberataques

A área de tecnologia da informação deverá auxiliar o Comitê de Gestão de

Segurança da Informação na adoção de medidas que visem proteger a organização de
ciberataques.
A criptografia deverá ser adotada em cada fluxo de informação da organização
com o exterior.
O uso de firewall deve ser obrigatório para protegera organização de ameaças
advindas do exterior e também de iniciativas de colaboradores interno.
Deverá haver um servidor proxy que autorize ou desautorize os acessos à internet
de acordo com o perfil do usuário.
A organização fará uso de IDS/IPS para bloquear qualquer ataque aos ativos e
tomar as ações devidas de bloqueio assim como alertar o setor de tecnologia da
informação quanto aos incidentes.
Nos casos de gestores necessitarem realizar trabalho remoto ou colaboradores
externos autorizados precisarem acessar sistemas da organização, deverá a área de
tecnologia da informação fazer uso de VPN para evitar acessos indevidos e garantir a
privacidade das informações.