Política de Segurança da Informação

1. OBJETIVO

Esta Política tem como objetivo estabelecer as regras e diretivas para assegurar que todos os colaboradores e terceiros que eventualmente venham a ter acesso a informações da SUZANLOG, cumpram os princípios e disposições estabelecidas na Política de Segurança da informação e demais Políticas, Normas e Procedimentos que compõem o Sistema de Gestão de Segurança da Informação (SGSI).

2. ABRANGÊNCIA

Esta Política é um documento interno, com valor jurídico e aplicabilidade imediata e indistinta a partir da sua publicação. É destinado a todos os colaboradores e terceiros.

3. REFERÊNCIAS

ABNT ISO/IEC 27001:2022 – Sistemas de gestão da segurança da informação — Requisitos

ABNT ISO/IEC 27002:2022 – Controles de segurança da informação

4. RESPONSÁVEL

O Comitê de Gestão de Segurança da Informação da SUZANLOG é responsável pela validação e aprovação das diretrizes e a área de Segurança da Informação pela atualização desta política.

5. DEFINIÇÕES

  • Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano à SUZANLOG.
  • Ativo: É qualquer coisa que tenha valor material ou imaterial, sendo tangível ou intangível, à SUZANLOG e precisa ser adequadamente protegida.
  • Ativo Tangível: caracteriza-se por possuírem um corpo físico.
  • Ativo Intangível: Todo elemento que possui valor à SUZANLOG e que esteja em suporte digital ou se constitua de forma abstrata, mas registrável ou perceptível, a exemplo, mas não se limitando a dados, reputação, imagem, marca e know-how.
  • Autenticidade: Garantia de que a informação foi criada, editada e emitida por quem de fato se credita como responsável.
  • Autoridade competente: Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei de Proteção de Dados Pessoais aplicável.
  • Colaborador: Empregado, estagiário, menor aprendiz, prestador de serviço, terceirizado, franqueado, fornecedor, ou qualquer outro indivíduo ou organização que venham a ter relacionamento profissional, direta ou indiretamente com a SUZANLOG.
  • Confidencialidade: Garantia de que as informações sejam acessadas somente por aqueles expressamente autorizados e que sejam devidamente protegidas do conhecimento dos não autorizados.
  • Disponibilidade: Garantia de que as informações e os Recursos de Tecnologia da Informação e Comunicação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.
  • Dispositivos Móveis: Equipamentos de pequena dimensão que têm como características a capacidade de registro, armazenamento ou processamento de informações, possibilidade de estabelecer conexões e interagir com outros sistemas ou redes, além de serem facilmente transportados devido a sua portabilidade, como por exemplo, pen drive, celular, smartphone, computadores portáteis, tablet, equipamento reprodutor de MP3, câmera de fotografia ou filmagem, ou qualquer dispositivo que permita conexão à Internet ou armazenagem de dados.
  • Gestor da informação: Colaborador ou departamento responsável pela criação/recebimento, classificação, divulgação, compartilhamento, eliminação e destruição da informação. Também é incumbido da gestão de validação, liberação e cancelamento dos acessos à informação destes. Vale ressaltar que tais atividades podem ser delegadas para outro colaborador, desde que concedidas pelo Gestor da informação.
  • Incidente de Segurança da Informação e Comunicação: Ocorrência identificada em sistema, dados, informações, serviço ou rede, que indica possível violação à Política de Segurança da Informação ou Normas Complementares, falha de controles ou situação previamente desconhecida, que possa ser relevante à segurança da informação.
  • Informação: É o conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato.
  • Integridade: Garantia de que as informações estejam fiéis e que toda tratativa e ou edição sejam controladas e rastreáveis durante o seu ciclo de vida.
  • Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico em vigor.
  • Recursos de Tecnologia da Informação e Comunicação (Recursos de TIC): Recursos físicos e lógicos utilizados para criar, armazenar, manusear, transportar, compartilhar e descartar a informação. Entre os tipos de recursos podemos destacar: computares de mesa ou portáteis, smartphones, tablets, pen drives, discos externos, mídias, impressoras, scanner e outros. Sempre que mencionados de forma a não identificar seu possuidor ou proprietário, os Recursos de TIC compreenderão, tanto os pertencentes a SUZANLOG bem como os particulares, em proveito corporativo. Caso contrário, haverá declinação de posse ou propriedade no próprio texto.
  • Risco: Combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos.
  • Segurança da Informação e Comunicação: É a preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios, maximizar o retorno dos investimentos e de novas oportunidades de transação.

6. DIRETRIZES GERAIS

A segurança da informação referenciada nesta política é caracterizada pela preservação dos seguintes princípios:

  • Confidencialidade – é a garantia de que a informação é acessível somente por pessoas com acesso autorizado.
  • Integridade – é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
  • Disponibilidade – é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.
  • Autenticidade – é a garantia de que a informação tem rastreável o originador da mesma.

A SUZANLOG se compromete em satisfazer os requisitos aplicáveis, relacionados com a segurança da informação, assim como buscar continuamente a melhoria dos seus processos e serviços. O Espaço Cibernético está sujeito a diversos riscos incluindo, porém não se limitando, a ataques de Engenharia Social, Hacking, proliferação de Malwares, Spywares e Compartilhamento indevido de Informações Confidenciais. A Área de Tecnologia da Informação, em conjunto com o Comitê de Gestão da Segurança da Informação, deve zelar pela segurança do espaço cibernético da SUZANLOG, a partir de (a):

  • Prevenção, detecção, resposta e investigação de incidentes.
  • Hardening dos Recursos Tecnológicos.
  • Ambientes Contingenciados.
  • Treinamento e Conscientização dos colaboradores.

6.1 Objetivos da Segurança da Informação

Toda essa política e demais normas e procedimentos de controles, serão aplicados a fim de alcançar os seguintes objetivos da segurança da informação, definidos pela Alta Direção como:

  • Garantir a disponibilidade dos sistemas comercializados.
  • Planos de contingência para tecnologia, Pessoas e Processos.
  • Segurança de Informação.

Incluindo o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a segurança da informação da SUZANLOG e o comprometimento com a melhoria contínua do seu sistema de gestão da segurança da Informação.

7. RELAÇÃO COM FORNECEDORES / CLIENTES

Os gestores de contratos com fornecedores e ou clientes, tais como serviços de TI, utilidades, serviços financeiros/contábeis, serviços de consultoria e auditoria, serviços voltados aos recursos humanos, componentes de infraestrutura de TI, manutenção de equipamentos e rede, dentre outros, que terão acesso a informações confidenciais e dados empresariais, deverão garantir a assinatura do TERMO DE CONFIDENCIALIDADE durante o processo de fornecimento de dados para emissão de contratos e/ou propostas de serviços.

No entanto, apesar do TERMO DE CONFIDENCIALIDADE assinado, os responsáveis pela gestão do contrato firmado com a SUZANLOG, deverão, antes do compartilhamento e a liberação do acesso à informação, sempre identificar os riscos do compartilhamento do conteúdo da informação e dados a terceiros e, seguindo as diretrizes internas sobre classificação de informação.

8. CONTROLES DE CIBERSEGURANÇA

As documentações relacionadas à Segurança da Informação tais como suas Políticas e Procedimentos devem ser seguidas por todos os colaboradores da SUZANLOG. As informações devem ser classificadas corretamente de acordo com o procedimento de classificação da informação, para que sejam devidamente manuseadas em todo seu ciclo de vida e protegidas com controle de acesso devidamente configurado. Os sistemas operacionais devem estar atualizados sempre que possível de acordo com as últimas atualizações de segurança disponíveis pelo fabricante.

As portas não utilizadas em servidores nos serviços consumidos da SUZANLOG devem permanecer fechadas. Os servidores de e-mail devem contar com ferramentas de filtro de phishing, de modo a efetuar bloqueio destes e-mails e inserir o registro em blacklist para futuras verificações. Ativos de propriedade da SUZANLOG que tenham acesso à rede devem possuir software antivírus/antispyware atualizados de acordo com as últimas atualizações disponíveis pelo fabricante. A Suzanlog, conta ainda, com o serviço da Cisco Umbrella e Firewall Fortgate que faz controle de segurança em cima dos domínios acessados.

As aplicações necessárias à operação do negócio de cada área devem estar atualizadas sempre que possível com os padrões de segurança mais recentes disponibilizados pelo fabricante. Procedimentos de monitoração, identificação, análise e resposta a incidentes de segurança devem existir de modo a facilitar o gerenciamento dos mesmos. Hoje a Suzanlog, monitora o ambiente de TI através da ferramenta Zabbix, com painel de controle disponibilizado através do Grafana “e sistema SIEN – Wazuh”.

Quando não for possível a correção definitiva de incidentes nos Recursos de TI, ações para mitigação do mesmo devem ser implementadas a fim de contorná-los. As informações confidenciais e sistemas relevantes devem ser assegurados de erros ou perdas por cópias de segurança e planos de contingência. O Plano de Recuperação de Incidente da Informação deve ser criado com escopo definido, documentado e testado anualmente.

9. COMPUTADORES E RECURSOS TECNOLÓGICOS

Os equipamentos disponibilizados aos colaboradores são de propriedade da SUZANLOG, cabendo a cada colaborador utilizá-los e manuseá-los corretamente para as atividades de interesse da empresa, bem como cumprir as recomendações de segurança da informação. Toda vez que um desktop ou laptop é disponibilizado a um colaborador, este deve assinar o Comprovante de Entrega de Equipamentos, passando a partir deste momento a exercer o papel de custodiante do bem e, portanto, devendo zelar pelo mesmo.

Quando do desligamento do colaborador ou ainda em qualquer momento, quando solicitado pelo Departamento de TI, o colaborador deverá devolver o bem, este deve assinar o no Termo de Devolução. Os servidores e estações de trabalho, desktops/laptops, devem ter software antivírus. Em caso de vírus ou qualquer outro problema na funcionalidade, o colaborador deverá acionar o departamento técnico responsável mediante registro de chamado no servicedesk.

O departamento de TI é responsável por manter inventário de todo o parque de servidores e estações de trabalho de propriedade da SUZANLOG. Estes dados devem estar cadastrados na ferramenta GLPI. O departamento de TI é responsável por entregar os equipamentos com os devidos bloqueios e software de segurança aos colaboradores.

A transferência e/ou a divulgação de qualquer software, programa ou informações relacionadas a SUZANLOG, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada em conformidade com a norma de Classificação da Informação, zelando por garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade da informação. Os colaboradores da SUZANLOG e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização do Departamento de TI.

No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:

  • Os colaboradores devem informar ao Departamento de TI qualquer identificação de dispositivo estranho conectado ao seu computador.
  • As máquinas por padrão ficam com bloqueio das portas USB.
  • É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado pelo Departamento de TI ou por terceiros devidamente contratados para o serviço.
  • É recomendado evitar o consumo de alimentos, bebidas e proibido o fumo na mesa de trabalho e próximo aos equipamentos.
  • O colaborador deverá manter a configuração do equipamento disponibilizado pela SUZANLOG, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da CIA, assumindo a responsabilidade como custodiante de informações.
  • Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador quando não estiverem sendo utilizados.
  • Todos os recursos tecnológicos adquiridos pela SUZANLOG devem ter imediatamente suas senhas padrões (default) alteradas.
  • É proibido tentar ou obter acesso não autorizado a outro computador, servidor ou rede bem como burlar qualquer sistema de segurança.
  • É vedado acessar informações confidenciais sem explícita autorização do proprietário.
  • Não é permitido interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.
  • Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação, ou ainda, hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública serão consideradas falta grave e o colaborador que incorrer nesta prática, deverá responder pela mesma sem prejuízo à Suzanlog.
  • A supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular, infringe a lei de propriedade intelectual, o colaborador que incorrer nesta prática, deverá responder pela mesma sem prejuízo à Suzanlog.
  • Utilizar software pirata, é um delito de acordo com a legislação nacional, todo software necessário para execução das atividades deve unicamente ser instalado pelo departamento de TI, este é o único departamento que tem credencial de administrador, com permissão de instalação de softwares, das máquinas.

10. CORREIO ELETRÔNICO

O objetivo desta norma é informar aos colaboradores da SUZANLOG quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo. O uso do correio eletrônico da SUZANLOG é para fins corporativos e relacionados às atividades do colaborador usuário dentro da CIA. A utilização desse serviço não é permitida para fins pessoais, somente profissional.

Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico da SUZANLOG para:

  • Enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da CIA.
  • Enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a SUZANLOG ou suas unidades vulneráveis a ações cíveis ou criminais.
  • Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação.
  • Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários.

Produzir, transmitir ou divulgar mensagem que:

  • Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da SUZANLOG.
  • Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador.
  • Por padrão o correio eletrônico adotado pela SUZANLOG bloqueia arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança.
  • Vise obter acesso não autorizado a outro computador, servidor ou rede.
  • Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.
  • Vise burlar qualquer sistema de segurança.
  • Vise vigiar secretamente ou assediar outro usuário.
  • Vise acessar informações confidenciais sem explícita autorização do proprietário.
  • Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa.
  • Inclua imagens criptografadas ou de qualquer forma mascaradas.
  • Tenha conteúdo considerado impróprio, obsceno ou ilegal.
  • Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros.
  • Contenha perseguição preconceituosa baseada em sexo, raça, religiosa, incapacidade física ou mental ou outras situações protegidas.
  • Tenha fins políticos locais ou do país (propaganda política).
  • Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
  • Contenha anexo(s) superior(es) a 35 MB para envio (interno e internet) e 35 MB para recebimento (internet).

11. INTERNET

Todas as regras atuais da SUZANLOG visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da CIA com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação. Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria.

Portanto, a SUZANLOG, em total conformidade legal, reserva-se ao direito de monitorar e registrar todos os acessos a internet. Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da CIA, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

A SUZANLOG ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos cível e criminal, sendo que nesses casos a CIA cooperará ativamente com as autoridades competentes.

A internet disponibilizada pela CIA aos seus colaboradores, independentemente de sua relação contratual, não pode ser utilizada para fins pessoais e deve obedecer às diretrizes:

  • É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.
  • Os colaboradores não poderão em hipótese alguma utilizar os recursos da SUZANLOG para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.
  • O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer formato) não poderão ser realizados por usuários que não tenham atividades profissionais relacionadas a essas categorias.
  • Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados em qualquer recurso físico ou lógico.
  • Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer software.
  • Os colaboradores não poderão utilizar os recursos da SUZANLOG para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.
  • O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Não é permitido acesso a sites de proxy.

12. DISPOSITIVOS MÓVEIS

Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da CIA, ou aprovado e permitido, como: Notebooks, Celulares e Coletores de Dados. Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.

A SUZANLOG na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança. O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na SUZANLOG, mesmo depois de terminado o vínculo contratual mantido com a CIA

O Departamento de TI é a área responsável por disponibilizar e fiscalizar o uso dos dispositivos móveis de propriedade da SUZANLOG. O colaborador/usuário no papel de custodiante do bem deverá seguir estritamente o fluxo de suporte contratado pela instituição. Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença do Departamento de TI. O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados.

A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela CIA constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante. É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela SUZANLOG, notificar imediatamente seu gestor direto. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).

O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a SUZANLOG.

Todo colaborador que tiver algum dispositivo móvel dedicado ao seu uso, deverá assinar o termo de concessão e uso de equipamentos.

13. DATA CENTER

O ambiente principal da SUZANLOG fica nos Data Centers das operadoras de serviço de nuvem, Azure e Oracle. Estes serviços contam com Data Centers certificados Tier III, com todos requerimentos de facilites e security garantidos. Na sede da companhia tem uma sala separada para Switches, Servidor de Firewall, Servidor de comunicação com dispositivos de segurança física (catracas) e Servidor de Monitoramento da Rede (Zabbix – Grafana). A esta sala, o acesso, somente deverá ser feito por sistema forte de autenticação e a devida autorização concedida, com registro de usuário que fez o acesso, data e hora. O usuário “Administrador” do sistema de autenticação forte ficará de posse do coordenador de TI.

O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador autorizado, que deverá preencher a solicitação de acesso prevista. A liberação de acesso é realizada por biometria ou através de senha fornecida pelo responsável. O acesso a sala de computadores, por meio de chave, apenas poderá ocorrer em situações de emergência, quando a segurança física for comprometida, como por incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver funcionando.

Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar autorização com antecedência a qualquer colaborador responsável pela administração. A sala de computadores deverá ser mantida limpa e organizada. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais. Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável. No caso de desligamento de colaboradores que possuam acesso a sala de computadores, deverá ser providenciada a imediata exclusão do sistema de autenticação.

14. BACKUP

O departamento de TI é responsável por garantir cópias de segurança dos serviços principais da Suzanlog com a finalidade de assegurar a recuperação dos serviços em caso de perda de informação do ambiente de produção. A Suzanlog dispõe de serviços contratados junto a Microsoft, Office 365, para gerenciamento de contas e arquivos dos colaboradores. Este serviço conta nativamente com cópias de segurança em 3 zonas distintas. Por conta deste serviço, o Departamento de TI, não tem rotina de back-up das estações de trabalho.

Quanto aos serviços de collocation que a SUZANLOG mantém em nuvem a política de back-up tem por regra as seguintes diretrizes:

  • Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.
  • As mídias de backup devem ser acondicionadas em local seco, climatizado e seguro.
  • As fitas de backup e HD Externos e Storage, devem ser devidamente identificadas, inclusive quando for necessário efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma conotação mais organizada e profissional.
  • O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restaurações decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.
  • Mídias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro persista, deverão ser inutilizadas. É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de backup.
  • As mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras. Os backups imprescindíveis, críticos, para o bom funcionamento dos negócios da SUZANLOG, exigem uma regra de retenção especial, conforme previsto nos procedimentos específicos e de acordo com a Norma de Classificação da Informação, seguindo assim as determinações fiscais e legais existentes no país.
  • Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema. Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade.
  • Quaisquer atrasos na execução de backup ou restore deverão ser justificados formalmente pelos responsáveis.
  • Testes de restauração (restore) de backup devem ser executados por seus responsáveis, aproximadamente a cada 90 dias, de acordo com a criticidade do backup. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos.

15. PENALIDADES

A violação a qualquer termo ou condição desta Política, sujeitará o (a) infrator(a) a medidas corretivas previstas na legislação aplicável, incluindo a possibilidade de advertência, suspensão não remunerada e até mesmo a rescisão do contrato de trabalho, sem prejuízo de eventual(ais) medida(s) cabível(eis) na(s) esfera(s) administrativa e/ou cível e/ou criminal.

16. RESPONSABILIDADES

16.1 Comitê de Gestão de Segurança da Informação – CGSI

  • Aprovar esta PSI e demais normas relacionadas à segurança da informação da SUZANLOG
  • Promover e realizar a gestão do SGSI, garantindo a implementação de controles, modelos, padrões e recursos necessários para a proteção da informação

OBS: O CGSI poderá realizar aprovações sem a participação de todos os membros, desde que metade mais um dos membros estejam presentes.

16.2 Departamento de Tecnologia da Informação

  • Fornecer apoio para a Assessoria Jurídica na análise de eventuais contratos, que possam ser sensíveis para o SGSI do SUZANLOG.
  • Ser guardião do ambiente de Tecnologia da Informação atendendo as práticas requeridas na PSI, bem como em normas complementares.
  • O Departamento de Segurança da Informação está contido dentro do Departamento de TI, sob responsabilidade direta do gestor da área.

16.3 Área Jurídica

  • Participar, apoiar e orientar, de acordo com os aspectos jurídicos, os processos de contratação e as exigências legislativas relacionadas à segurança da informação.
  • Validar as minutas que devem atender aos controles de segurança da informação aplicáveis aos contratos.

16.4 Gestores dos Contratos

  • Garantir a assinatura do Termo de Confidencialidade.
  • Garantir que haja Cláusula que preservem a Segurança da Informação da SUZANLOG.
  • Garantir a observância da contratada sobre as diretrizes presentes na Política de Segurança da Informação e demais, Normas e Procedimentos que compõe o SGSI da SUZANLOG.

16.5 Colaboradores, Prestadores de Serviço, Parceiros e Franqueados

  • Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da SUZANLOG.
  • Estar ciente e manter-se atualizado com esta PSI e demais documentos complementares
  • Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar ao SUZANLOG e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas

17. DISPOSIÇÕES FINAIS

O presente documento deve ser lido e interpretado sob a observância das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela SUZANLOG. Qualquer dúvida relativa a esta Política deve ser encaminhada a área de segurança da informação da SUZANLOG.