#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.1. Objetivo 1.1.1.
Estabelecer diretrizes e definir o tratamento que deve ser dado às informações geradas, armazenadas, processadas ou transmitidas no Economus, bem como orientar o comportamento dos empregados em relação à promoção da segurança da informação e proteção dos ativos da Entidade.
1.2. Fundamentação Legal 1.2.1.
Conforme disposto nos artigos 1º, 12º e 13º da CGPC nº 13, de 01 de outubro de 2004, O Economus entende que para a manutenção de um nível de risco adequado, uma gestão permanente e pervasiva da segurança da informação é imprescindível, com vias de promover o alcance dos seus objetivos como uma Entidade de Previdência Complementar, assim como, é parte fundamental do seu arcabouço de controles internos considerando seu porte e complexidade.
1.3. Abrangência 1.3.1.
Esta Política aplica-se a: a) Conselheiros: membros dos Conselhos Deliberativo e Fiscal do Economus; b) Dirigentes: membros da Diretoria Executiva do Economus; c) Empregados: empregados do quadro próprio do Patrocinador; d) Colaboradores: Terceirizados, Consultores e Jovens Aprendizes; e) Fornecedores e Prestadores de serviço e seus empregados: enquanto prestarem serviços ao Economus.
1.4. Responsável(is) 1.4.1.
A área de Riscos e Controles Internos é a gestora da Política de Segurança da Informação.
1.5. Diretrizes Gerais 1.5.1.
2020/066
Tratamos a informação, na gestão institucional, como ativo.
1 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.5.2.
Garantimos na gestão da informação a confidencialidade, a disponibilidade e a integridade em todos os processos em que há tratamento da informação, sejam eles informatizados ou não, por meio de mecanismos de proteção.
1.5.3.
Protegemos os ativos de informação de forma proporcional ao seu grau de importância para o Economus, a qual deve ser aferida por meio da classificação da informação.
1.5.4.
Responsabilizamos o custodiante das informações pelo zelo na preservação e confidencialidade das mesmas quando sob sua guarda.
1.5.5.
Protegemos as informações às quais temos acesso contra uso inadequado, perdas, divulgações ou modificações não desejadas.
1.5.6.
Concedemos acesso à informação por imposição das funções e atribuições dos conselheiros, dirigentes, empregados, cedidos, colaboradores, fornecedores e prestadores de serviços do Economus ou por determinação legal, a quem de direito, obedecendo aos princípios de segregação de função. Tal acesso deve ser limitado apenas ao necessário para a realização das tarefas designadas ao usuário.
1.5.7.
Responsabilizamos o gestor da informação na definição e autorização das permissões de acesso à mesma, incluindo ou excluindo pessoas da lista de acessos, ou mesmo, alterando o nível de acesso de uma pessoa à informação.
1.5.8.
Classificamos toda informação, quando criada no Economus ou recebida externamente, conforme seu grau de sigilo, tendo como base o eventual impacto negativo decorrente de acesso ou divulgação não autorizada, de acordo com os níveis descritos abaixo: a) CONFIDENCIAL (#CONFIDENCIAL): é uma informação crítica para os negócios do Economus. A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, de imagem, operacional ou, ainda, sanções administrativas, civis e criminais ao Instituto. É sempre restrita a um grupo específico de pessoas devidamente autorizadas. Deve ser acessada com restrições por colaboradores, fornecedores e prestadores de serviços do Economus, apenas sob um contrato vigente e assinatura de Termo de Responsabilidade, sigilo e/ou não divulgação. b) INTERNA (#INTERNA): é uma informação do Economus que o Instituto não tem interesse em divulgar publicamente, sendo consideradas, usualmente, informações internas para a realização de nossas atividades em prol dos negócios da Entidade. Caso esta informação seja
2020/066
2 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO acessada indevidamente, poderá causar danos à imagem do Instituto, porém, não com a mesma magnitude de uma informação confidencial. Tais dados podem ser acessados sem restrições por todos os colaboradores, fornecedores e prestadores de serviços do Economus, mediante a vigência de contrato e assinatura de Termo de Responsabilidade, sigilo e/ou não divulgação. c) PÚBLICA (#PÚBLICA): é uma informação do Economus que pode ser divulgada sem restrição, sendo seu caráter informativo, comercial ou promocional. É destinada ao público interno e externo ou ocorre devido ao cumprimento de legislação vigente. 1.5.9.
Requeremos de todo o público abrangido por essa política o respeito aos seus preceitos, independente do local de realização de suas atividades, inclusive quando em regime de teletrabalho.
1.5.10. Revisamos a Política de Segurança da Informação, a cada 2 (dois) anos, ou em prazo inferior, seja por compliance regulatório ou por decisão estratégica da governança da Entidade. 1.5.11. Tratamento de Incidentes de Segurança 1.5.11.1.
Definimos procedimentos formais para notificação de falhas e incidentes de segurança da informação e procedimentos de resposta a incidentes.
1.5.11.2.
Relatamos por meio dos canais apropriados, o mais rapidamente possível, os incidentes, as vulnerabilidades ou ameaças à segurança da informação.
1.5.12. Gestão de Ativos de Segurança da Informação 1.5.12.1.
Definimos ativos de segurança da informação como qualquer coisa que possua valor para o Instituto. Listamos na sequência, de forma não conclusiva, itens que se enquadram nessa definição: a) Hardware: computadores, servidores, impressoras, assim como dispositivos de comunicação e de armazenamento; b) Software: quaisquer programas, sistemas operacionais, aplicativos e similares, sejam eles comprados (licenciados) ou gratuitos; c) Informação: bases de dados, arquivos em diversos formatos eletrônicos (pdf, doc, xls, etc.), mas também documentos físicos e formulários;
2020/066
3 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO d) Infraestrutura: acomodações, eletricidade e condicionamento de ar (a interrupção no fornecimento de tais ativos pode causar a indisponibilidade da informação); e) Pessoas: pessoal, sejam eles empregados do Instituto, conselheiros, cedidos ou terceirizados, também são considerados ativos de segurança da informação, pois muitas vezes detêm conhecimento sobre aspectos diversos do Instituto, os quais nem sempre estão disponíveis em outros formatos; f) Serviços terceirizados: serviços jurídicos, de tecnologia, de limpeza, e outros. Também inclui serviços online, como armazenamento ou sistemas em nuvem. 1.5.12.2.
Inventariamos nossos ativos de segurança da informação, pois os mesmos são elementos-chave na identificação de riscos, ameaças e vulnerabilidades.
1.5.12.3.
Definimos propriedade aos ativos de segurança da informação. Todo item que compor o inventário de ativos de Segurança da Informação do Instituto deve obrigatoriamente conter a denominação de um responsável primário pelo mesmo na Entidade.
1.5.13. Gestão de Risco 1.5.13.1.
Identificamos os riscos inerentes à segurança da informação, às vulnerabilidades, às ameaças e os impactos nocivos que envolvam os processos de negócio e ativos de informação do Economus para que se busquem formas de minimizá-los ou tratá-los.
1.5.14. Gestão de Continuidade 1.5.14.1.
Identificamos e corrigimos as vulnerabilidades, as ameaças, os riscos e os impactos que envolvem os ativos de informação do Economus, por meio da gestão de riscos de segurança e continuidade dos negócios, procedimentos de teste e de avaliação periódicos, em intervalos regulares.
1.5.15. Auditoria e Conformidade 1.5.15.1.
Estruturamos controles que possibilitem a rastreabilidade dos acessos às informações do Economus e das atividades executadas pelos usuários.
1.5.15.2.
Reservamo-nos ao direito de acessar quaisquer documentos, arquivos e informações que estejam armazenadas em nosso ambiente e de monitorar o tráfego de informações efetuado em nossas redes de comunicação, incluindo o acesso à internet e o uso do correio eletrônico corporativo.
2020/066
4 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.5.15.3.
Desautorizamos nossos usuários, para sua própria proteção e sob qualquer argumentação, de realizarem testes com a finalidade de averiguar uma fragilidade suspeita relativa à Tecnologia da Informação do Economus. A investigação de uma fragilidade pode ser interpretada como potencial uso impróprio do sistema.
1.5.16. Controle de Acesso 1.5.16.1.
Exigimos o uso de crachá de identificação do Economus, o qual apresenta uso obrigatório, pessoal e intransferível e deve ser mantido visível durante a permanência nas dependências do Instituto.
1.5.16.2.
Responsabilizamos os usuários dos recursos de Comunicação e Tecnologia da Informação, os quais são identificados individualmente por uma chave e uma senha de acesso, pelo sigilo de sua senha e pelas atividades realizadas sob sua identificação.
1.5.17. Uso de e-mail e Acesso à Internet 1.5.17.1.
Exigimos responsabilidade e boa-fé de nossos usuários na utilização dos recursos de Comunicação e de Tecnologia da Informação do Economus no sentido de que os utilizem somente para atividades lícitas, éticas, administrativamente admitidas e que estejam relacionadas ao seu trabalho.
1.5.18. Lei Geral de Proteção de Dados 1.5.18.1.
Tratamos os dados dos titulares em linha com os requerimentos legais vigentes, sempre visando proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
1.5.18.2.
Exigimos de parceiros de negócios, quando na posição de controlador, que os mesmos atendam a todos os requerimentos legais e institucionais vigentes.
1.5.18.3.
Agimos com o devido cuidado e zelo, quando na posição de operador, mesmo que o controlador dos dados não tenha realizado requerimentos específicos sob a égide da LGPD.
1.5.18.4.
Desenvolvemos nossos sistemas, práticas e negócios sob um arcabouço institucional baseados em uma conduta ética, no atendimento aos requerimentos legais vigentes e em linha com os conceitos de privacidade e segurança desde a concepção.
2020/066
5 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.6. Tópicos Específicos de Segurança da Informação 1.6.1.
Como parte fundamental dessa política, listamos os processos, ferramentas e atividades nos quais os preceitos estabelecidos por essa política se materializam, com a definição inequívoca do seu escopo, assim como, delimitando o objetivo mínimo das normativos e documentos específicos que devem nortear esses temas.
1.6.1.1.
Backup: a) Visão Geral: são os requerimentos em relação à execução, armazenamento, restauração e testes dos arquivos de salvaguarda digital do Instituto. b) Propósito: definir os critérios mínimos aos quais nossas práticas de backup devem atender. Definições de frequência, armazenagem, critérios de restauração e metodologia de teste devem ser consideradas.
1.6.1.2.
Criptografia e assinaturas eletrônicas a) Visão Geral: são os requerimentos em relação aos algoritmos de criptografia aceitáveis para uso dentro do Instituto, de forma a garantir os princípios de segurança da informação nas comunicações por meio de rede pública. b) Propósito: prover instruções que limitem o uso de criptografia ao de algoritmos criptográficos que tenham passado por extensa avaliação pública e provaram ser eficazes. Adicionalmente, visa prover direcionamento para garantir que nosso uso de criptografia e, por consequência, o de assinaturas eletrônicas, estejam em linha com boas práticas vigentes.
1.6.1.3.
E-mail a) Visão Geral: são os requerimentos para o uso adequado do sistema de e-mail do Instituto, em linha com os interesses do Economus e em prol dos negócios do Instituto. b) Propósito: garantir o uso devido do sistema de e-mail do Economus e tornar os usuários cientes acerca de quais procedimentos o Economus entende como uso aceitável e inaceitável do seu sistema de e-mail. Tais práticas definem os requerimentos mínimos para o uso do e-mail dentro da rede do Economus.
2020/066
6 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.6.1.4.
Ética e conduta a) Visão Geral: visam reforçar o compromisso do Economus em conduzir seus negócios dentro dos parâmetros pré-estabelecidos. b) Propósito: direcionar a gestão dos nossos negócios, garantindo uma conduta ética. A existência de práticas éticas efetivas é um esforço que envolve todo empregado do Economus.
1.6.1.5.
Mesa limpa a) Visão Geral: define os requerimentos mínimos para a manutenção de uma mesa limpa, resguardando assim informações críticas e/ou sensíveis de acesso indevido. b) Propósito: estabelecer os requerimentos mínimos para a manutenção de uma mesa limpa, onde informações sensíveis e/ou confidenciais sobre nossa estratégia, nossos empregados, clientes e fornecedores é mantida em locais seguros com acesso restrito. Ajuda a definir também o que é aceitável em termos da manutenção de um ambiente de trabalho profissional e condizente com a imagem do Instituto.
1.6.1.6.
Senhas a) Visão Geral: define boas práticas para a criação de senhas fortes e sua manutenção. b) Propósito: elencar os requerimentos e prover as melhores práticas para a criação de senhas fortes, a proteção dessas senhas e a frequência de mudança.
1.6.1.7.
Uso Aceitável a) Visão Geral: trata do uso aceitável dos serviços e equipamentos do Instituto, assim como as medidas de segurança dirigidas aos empregados, reforçam por meio dessas práticas o compromisso de proteger os empregados, parceiros o próprio Economus e o seu Patrocinador de ações ilegais e/ou danosas de indivíduos, sejam estas intencionais ou não. b) Propósito: definir qual é o uso aceitável de equipamentos computacionais no Economus, assim como, o que é considerado aceitável no tocante a equipamento e materiais pessoais dentro do Instituto. O uso impróprio expõe o Economus a diversos riscos, incluindo, embora não limitado, a ataques de vírus, a exposição dos sistemas de rede e serviços.
2020/066
7 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.6.1.8.
Credenciais de bancos de dados a) Visão Geral: o uso, armazenamento e transmissões de credenciais para a autenticação em bancos de dados requer controles e cuidados específicos. b) Propósito: definir os requerimentos para o armazenamento e acesso seguro de usuários e senhas de bancos de dados (credencias de bancos de dados) para qualquer programa que acesse um banco de dados na rede do Economus, assim como para o acesso dos administradores de bancos de dados. Aplicações de software na rede do Economus podem requerer acesso a uma das muitas bases de dados internas, e, a fim de acessar essas bases de dados, um programa precisa autenticar-se no banco de dados com credenciais válidas, o que deve ser feito de forma apropriada e segura.
1.6.1.9.
Padrões de armazenamento de registros sistêmicos (logs) a) Visão Geral: o armazenamento e a revisão periódica de registros de sistemas, aplicações e serviços críticos podem prover informações chave e potenciais indicadores de algum tipo de fragilidade na segurança da Informação no Instituto. b) Propósito: estabelecer os requerimentos específicos aos quais os sistemas de informação precisam atender a fim de gerar logs apropriados. A intenção é que o linguajar utilizado no registro seja claro e atenda aos requisitos de segurança da informação, permitindo, assim, a devida rastreabilidade das informações sistêmicas na Entidade.
1.6.1.10.
Segurança física dos servidores a) Visão Geral: equipamentos computacionais devem ser salvaguardados de roubo, alteração, sabotagem ou qualquer outro tipo de manipulação indevida e não autorizada. b) Propósito: estabelecer os requerimentos de segurança na gestão e salvaguarda física dos recursos tecnológicos do Instituto, minimizando a exposição às ameaças às quais podem resultar em um ambiente desprotegido e acesso não autorizado.
1.6.1.11.
Segurança lógica de servidores a) Visão Geral: servidores não seguros possuem vulnerabilidades que podem vir a se tornar a principal porta de entrada para agentes maliciosos em uma organização. Práticas normatizadas para uma instalação consistente de servidores, definição de responsabilidades e gestão de configurações são práticas fundamentais para a adequada segurança lógica.
2020/066
8 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO b) Propósito: estabelecer padrões para as configurações base de equipamentos de servidores, os quais pertencem ou são utilizados pelo Economus. Sua efetiva implementação irá minimizar os riscos de acessos não autorizados a informações confidenciais. 1.6.1.12.
Instalação de software a) Visão Geral: permissões para que empregados do Economus instalem softwares e/ou aplicativos em dispositivos computacionais da organização expõe o Instituto a riscos. Versões conflitantes de arquivos podem fazer com que programas parem de funcionar, introduzir arquivos maliciosos na rede, a ausência de licenças pode sujeitar o Economus a multas, e, alguns programas podem até mesmo facilitar acessos não autorizados. b) Propósito: desenhar os requerimentos para a instalação de software nos dispositivos computacionais do Economus, visando minimizar o risco de disponibilidade devido à parada, exposição de informações sensíveis, risco de introdução de arquivos maliciosos e de exposição legal devido à instalação de software e/ou aplicativo não licenciados, e definir os tipos de software que constam no enxoval do Economus e os critérios para aprovação das solicitações.
1.6.1.13.
Padrões para o descarte de equipamento tecnológico a) Visão Geral: o descarte apropriado de equipamento tecnológico além de ser uma atitude responsável para com o meio ambiente, faz-se necessário para o atendimento aos requerimentos de segurança da informação. Discos rígidos, pen drives, CD-ROMS e diversos outros tipos de dispositivos de armazenagem contêm diversas informações do Economus, sendo muitas delas confidenciais ou restritas. b) Propósito: definir os requisitos para garantir o descarte apropriado de equipamentos tecnológicos do Economus.
1.6.1.14.
Segurança de estações de trabalho a) Visão Geral: estações de trabalho desprotegidas podem resultar em perda de confidencialidade, integridade e disponibilidade de informações vitais para o Instituto, e, portanto, controles lógicos e físicos devem ser colocados em prática a fim de garantir que somente pessoal autorizado possui acesso às mesmas.
2020/066
9 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO b) Propósito: definir boas práticas de segurança e de controles lógicos para estações de trabalho. 1.6.1.15.
Acesso remoto a) Visão Geral: acesso remoto é uma ferramenta essencial para a produtividade e continuidade do Instituto. No entanto, pela natureza do mesmo, controles adicionais e com o uso de ferramentas autorizadas que tenham passado por uma avaliação criteriosa são imprescindíveis para que a rede interna do Economus não sofra com fragilidades que possam resultar no roubo de informações, acesso indevido ou, ainda, que dados sejam apagados indevidamente. b) Propósito: determinar as regras e os requerimentos para a conexão com a rede do Economus externamente. Tais regras e requerimentos são designados para minimizar o potencial da exposição do Economus a qualquer dano que possa ser resultado de uso não autorizado de seus recursos.
1.6.1.16.
Segurança de roteadores e switches a) Visão Geral: quando se trata de segurança, qualquer sistema é tão seguro quanto seu elo mais fraco. É comum que exista um grande foco na segurança de servidores, aplicações e bancos de dados e, normalmente, outros equipamentos de rede como roteadores e switches acabam não recebendo a devida atenção. No entanto, um roteador, por exemplo, não é muito diferente de um computador com um sistema especializado na gestão do tráfego de dados e, portanto, está sujeito aos mesmos riscos que um computador: software desatualizado, má gestão, acesso de usuários não autorizados, dentre outros. b) Propósito: descrever os requerimentos mínimos de segurança de configurações e manutenção de todos os roteadores e switches conectados à rede de produção do Economus.
1.6.1.17.
Comunicações sem fio (wireless) a) Visão Geral: com a massificação de dispositivos com conectividade wireless, sua aplicação é cada vez mais difundida nas organizações e conexões inseguras podem prover uma entrada fácil para atividades nocivas em nossa rede.
2020/066
10 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO b) Propósito: tornar seguro e proteger os ativos de informação do Economus, definindo requisitos mínimos para a autorização da conexão de dispositivos wireless para se conectar à rede do Economus 1.6.1.18.
Aplicações e serviços de processamento remotos (nuvem ou cloud computing) a) Visão Geral: devido à popularização dos serviços de nuvem, faz-se necessário que requerimentos mínimos para a contratação e gestão de serviços e aplicações dessa natureza sejam realizados pelo Economus. b) Propósito: garantir que os dados da Entidade que trafegam por serviços de nuvem estejam resguardados de acesso indevido, sejam salvaguardados com frequência (backup) e estejam sob uma estrutura de controles minimamente equivalente a que o Economus possui, seja por meio de certificações específicas, contratos com os dispositivos legais aplicáveis, diligência ou qualquer outro meio aplicável.
1.6.1.19.
Manuseio e armazenamento de documentação a) Visão Geral: devido ao volume de informações manuseadas em forma de documentos diariamente, se faz necessário definir critérios para o seu manuseio adequado, assim como parâmetros mínimos para um armazenamento seguro. b) Propósito: proteger nossa informação se faz necessário em todas as etapas de um processo operacional, e, portanto, documentos físicos são tão críticos para o Instituto quanto uma base de dados eletrônica. Critérios para o devido manuseio de documentos de acordo com sua classificação incluem a conscientização dos empregados, assim como a definição de medidas de segurança específicas. Incluí também os requerimentos para a gestão do armazenamento “in” e “off” site (interno e externo).
1.6.1.20.
Acesso físico e segurança patrimonial a) Visão Geral: controles de acesso físico em todas as dependências do Instituto são complementares e reforçam os controles sistêmicos, garantindo não só sua efetividade, mas, também, protegendo o Instituto de perdas financeiras. b) Propósito: controles de acesso físico e de segurança patrimonial visam complementar os controles lógicos de segurança, assim como proteger o Economus, seus ativos e seus empregados de qualquer ação danosa de origem externa. Adicionalmente, definem os
2020/066
11 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO critérios para a devida identificação de empregados e visitantes, os horários de circulação nas dependências do Instituto, o esquema de comunicação referente ao quadro de empregados, assim como a gestão dos equipamentos de segurança patrimonial e as informações geradas em sua aplicação. 1.6.1.21.
Resposta a pandemias e crises a) Visão Geral: desastres naturais podem causar danos massivos em determinada área limitada, mas uma pandemia pode estender-se por todo o globo, não sendo, portanto, suficientes os procedimentos e controles regulares para a gestão de recuperação de desastres. A partir dessa perspectiva, a Entidade deve prever procedimentos, práticas e controles adicionais para a gestão de uma crise com escala maior que um desastre limitado. b) Propósito: definir planos para a continuidade dos negócios em situações que excedam uma crise localizada, incluindo pandemias globais e outras crises com potencial de atingir todo o globo.
1.7. Glossário a) Acesso à informação - É o ato de estabelecer contato com a informação. b) Ameaça - Causa potencial de um incidente indesejado, que pode resultar em dano para um ativo organizacional ou para a Entidade. c) Armazenamento de informações - É a guarda ou custódia da informação em um meio eletrônico (mídia) e/ou ambiente físico. d) Ativo - Qualquer coisa que tenha valor para Economus. e) Ciclo de vida da Informação - Período de existência da informação que compreende os processos de geração (criação e aquisição), armazenamento, acesso e manuseio, distribuição e transporte, divulgação e descarte da informação. f) Classificação da Informação - Grau de sigilo atribuído à informação com base na sua importância para o Economus. g) Confidencialidade - Propriedade que objetiva restringir o acesso à informação apenas às pessoas autorizadas.
2020/066
12 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO h) Controle de acesso - Prática que visa a gerenciar o acesso aos ambientes físicos (ex.: prédios, salas, etc.) e lógicos (ex.: sistemas, aplicações, etc.) de uma organização, tomando por base processos de identificação, autenticação, autorização e auditoria. Esses processos são validados por pessoas (guardas, recepcionistas, etc.), dispositivos biológicos, mecânicos ou tecnológicos, muitas vezes utilizados de forma integrada. i)
Criptografia - Conjunto de técnicas que visa à codificação de uma informação de forma a tornar difícil sua decodificação sem a chave adequada.
j)
Custodiante da Informação – Aquele que tem a guarda da informação.
k) Dado - Qualquer elemento identificado em sua forma bruta que, em determinado contexto não conduz, por si só, à compreensão de determinado fato ou situação. l)
Descarte da informação - É o ato de se desfazer da informação em virtude da perda de sua importância/utilidade ou do fim do prazo de duração de seu armazenamento (temporalidade).
m) Disponibilidade - Propriedade que objetiva manter a informação acessível a quem dela precisa de forma tempestiva, relevante e suficiente. n) Distribuição da informação - É o transporte ou transmissão da informação por múltiplos canais de comunicação. o) Divulgação da informação - É a comunicação da informação almejando atingir o maior número possível de pessoas dentro de um público alvo preestabelecido. p) Gestor da informação - É o dono da informação, responsável por classificá-la e rotulá-la, bem como controlar o acesso a essa informação. q) Gestão da Segurança de Informação - abrange a criação de processos voltados ao monitoramento contínuo da integridade das informações, à prevenção de ataques, ao furto de dados e acesso inadequado às informações, assegurando em casos emergenciais, o pronto restabelecimento dos sistemas e o acesso seguro às informações. r) Incidente de Segurança da Informação - Evento com impacto negativo que possa comprometer a confidencialidade, integridade ou disponibilidade da informação. s) Informação - conjunto de dados devidamente ordenados de forma a promover significado a algo e ser útil. Sem informação não há conhecimento, compartilhamento de conhecimento e crescimento corporativo. Por esse motivo, a cada dia, a informação torna-se um recurso crítico 2020/066
13 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO para a definição da estratégia de uma organização, devendo, assim, ser tratada como um ativo do Instituto. t) Informações não públicas - São as informações classificadas como confidenciais ou internas. u) Integridade - Propriedade relativa à manutenção da informação protegida de possíveis modificações não autorizadas, imprevistas ou não intencionais, bem como protegidos os seus métodos de processamento. v) Responsabilidade - Obrigações e deveres da pessoa que ocupa determinada função em relação ao acervo de informações. w) Rotulagem - Registro do nível de classificação atribuído a uma informação. x) Segurança da Informação - “garante que somente usuários autorizados (confidencialidade) possuem acesso à informação completa e precisa (integridade), quando esta for necessária (disponibilidade)” (ISACA, 2008). y) Sistemas Informatizados - Incluem a rede de computadores, as bases de dados, os programas de computador ou qualquer outro sistema capaz de armazenar ou transmitir dados eletronicamente, tais como correio eletrônico, e-mail, redes de automação de escritório, intranet, internet, etc. z) Usuário - Aquele que utiliza os Recursos de Comunicação e de Tecnologia da Informação para realizar as suas atividades de trabalho no Economus. aa) Vulnerabilidade - Fragilidade decorrente da insuficiência de tratamento ou controle, que pode ser explorada por uma ou mais ameaças. bb) Titular - Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. cc) Controlador - Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É um agente de tratamento. dd) Operador - Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Também é um agente de tratamento.
1.8. Referências Legais e Normativas 1.8.1.
ABNT NBR ISO/IEC 27001:2013 – Sistemas de Gestão da Segurança da Informação requisitos;
1.8.2.
ABNT NBR ISO/IEC 27002:2013 – Código de prática para controles de Segurança da Informação;
2020/066
14 de 15
#PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 1.8.3.
ISO/IEC 27000:2018 - Information technology - Security techniques - Information security management systems - Overview and vocabulary.
2020/066
15 de 15