Política de Segurança da Informação

Objetivos

Esta Política busca estabelecer os conceitos e diretrizes de Segurança da Informação, visando proteger as informações da Torgansa e de seus clientes, em atenção aos objetivos estampadas a seguir:
  • Posiciona-se como um documento estratégico, com vistas a promover o uso seguro dos seus ativos de informação, bem como asseverar o seu compromisso com a proteção das informações sob a sua custódia.
  • Estabelecer medidas de proteção ao tráfego de rede interno e externo, com a finalidade de garantir quais tipos de pacotes de dados poderão trafegar no âmbito da Torgansa.
  • Estabelecer as diretrizes e procedimentos para a abordagem e prevenção de vírus de computador, worm, spyware, malware e outros tipos de softwares
  • Estabelecer e definir o gerenciamento de controles criptográficos, ao enviar ou receber informações em meios eletrônicos, visando proteger a confidencialidade, a integridade e a rastreabilidade das informações da Torgansa.
  • Estabelecer regras para acessar e usar a infraestrutura de rede em ambientes internos e externos da Torgansa. Estas regras são necessárias para preservar a integridade, a disponibilidade e a confidencialidade das informações confidenciais armazenadas e tratadas pela Torgansa.
  • Estabelecer os requisitos, procedimentos e protocolos para o controle de acesso aos dados, visando a garantia da confidencialidade de todas as informações da Torgansa e de seus clientes.
  • Estabelecer procedimentos de manutenção de informações e registros em todos os sistemas utilizados, nos termos do art. 37 da LGPD, além de medidas para o controle e monitoramento das Políticas, normas e regulamentos da Torgansa.
  • Estabelecer as diretrizes e procedimentos de gerenciamento de cópias de segurança (“backups“) dos dados armazenados nos ambientes tecnológicos da Torgansa, além de procedimentos de teste de integridade das informações.
  • Estabelecer regras para a gestão, controle e monitoramento do acesso físico às instalações da Torgansa, especialmente nos locais em que há armazenamento ou fluxo de informações confidenciais ou sensíveis.
  • Estabelecer as medidas de segurança necessárias para evitar que as informações confidenciais da Torgansa sejam comprometidas em sua confidencialidade, através da regulação da visibilidade dos seus documentos.
  • Estabelecer as medidas de segurança necessárias para evitar que as informações confidenciais da Torgansa sejam comprometidas em sua integridade e confidencialidade quando armazenadas em seus dispositivos que não sejam diretamente gerenciados.
  • Estabelecer os procedimentos e protocolos que permitam uma gestão eficaz de todos os ativos, especificamente no tocante aos dispositivos que tratam dados pessoais ou outras informações da Torgansa.
Segurança da Informação
  1. Pilares da Segurança da Informação
Os pilares abaixo elencados devem ser observados pela Torgansa para atender aos padrões de Segurança da Informação no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis.
  1. a) Confidencialidade
 A Torgansa visa garantir que o acesso as suas informações internas, relativas à própria Torgansa, seus parceiros ou seus clientes, seja obtido somente por pessoas autorizadas e nas ocasiões em que este acesso for de fato necessário. Procedimentos e medidas de segurança da Torgansa, que visam garantir a confidencialidade das informações, podem ser consultados na Política de Privacidade e Proteção de Dados Pessoais, na diretriz de Anonimização e Pseudonimização.
  1. b) Integridade
A Torgansa visa garantir a exatidão e a completude das informações através de seus métodos de processamento, bem como a integridade dos Dados Pessoais de titulares que estejam sob sua responsabilidade. Procedimentos e medidas de segurança da Torgansa, que visam garantir a integridade das informações, podem ser consultados nesta Política, nas diretrizes de Criptografia, Antivírus e Malware, além do Plano de Respostas a Incidentes, sempre que necessário.
  1. c) Disponibilidade
A Torgansa visa garantir que a informação esteja sempre disponível aos Colaboradores que de fato possuam as permissões de acesso necessárias, assegurando-se de que os dados estejam sempre disponíveis quando for preciso. Procedimentos e medidas de segurança da Torgansa, que visam garantir a confidencialidade das informações, podem ser consultados nas diretrizes de Backup, Gestão de Ativos, Acesso às Instalações Físicas, Acesso Remoto e Presencial à Rede e na Política de Privacidade e Proteção de Dados Pessoais.
  1. d) Rastreabilidade
A Torgansa visa garantir a disponibilidade de trilhas de auditoria de informações e meios de processamento, através de registros das transações e alterações realizadas em seus sistemas e aplicações. Procedimentos e medidas de segurança da Torgansa, que visam garantir a rastreabilidade das informações, podem ser consultadas nas diretrizes de Registro de LOGs, Bring Your Own Device, Acesso Remoto e Presencial à Rede, Acesso a Instalações Físicas e na Política de Privacidade e Proteção de Dados Pessoais.    
  1. Diretrizes de Segurança da Informação
As informações de titulares de Dados Pessoais devem ser tratadas de forma ética e sigilosa, de acordo com as diretrizes estabelecidas pela Política de Privacidade e Proteção de Dados Pessoais da Torgansa e pelas demais políticas, legislações e regulamentações aplicáveis. Todos os Colaboradores da Torgansa devem ter ciência de que o acesso e uso aos sistemas de informação fornecidos pela Torgansa são monitorados, e que os registros assim obtidos podem servir de evidência para a investigação de ocorrências e aplicação de medidas disciplinares, observando-se o disposto nas diretrizes de Acesso Remoto e Presencial à Rede. Os Colaboradores da Torgansa devem possuir uma identificação única, pessoal e intransferível, que seja capaz de qualificá-los como responsáveis por suas ações, observando-se o disposto nas diretrizes de Senhas. Informações confidenciais como senhas ou qualquer outra informação a qual o profissional possua em seu poder, durante exercício do seu cargo, devem sempre ser mantidas de forma secreta, sendo terminantemente proibido o seu compartilhamento, observando-se o disposto nas diretrizes de Senhas. Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades. Todo procedimento relacionado à segurança da informação deve garantir, durante toda a sua execução, a segregação de funções e atribuições, por meio da participação de mais de uma pessoa ou equipe. As diretrizes e procedimentos contidos nesta Política de Segurança da Informação devem ser amplamente divulgadas entre as empresas pertencentes ao grupo econômico da Torgansa e, quando necessário, às empresas terceirizadas.
  1. Gestão de Níveis de Acesso
Para assegurar a proteção adequada às informações, somente profissionais autorizados devem possuir acesso às informações armazenadas pela Torgansa, através da caracterização de documentos por nível de acesso e pela utilização de credenciais de acesso devidamente conferidas pelo Responsável pela Segurança da Informação. Estes níveis de acesso à informação são classificados da seguinte maneira:
  • Informações Públicas: são informações de domínio público, que não contém quaisquer informações confidenciais ou sensíveis e podem ser acessados por qualquer pessoa, dentro ou fora da Torgansa;
  • Informações Internas: são informações internas da Instituição, que contém informações relevantes e potencialmente confidenciais à Instituição, podendo ser acessados apenas pelos Colaboradores da Torgansa, sob dever de confidencialidade;
  • Informações Confidenciais: são documentos sigilosos aqueles que contêm informações sensíveis e restritas da Torgansa ou de seus clientes, podendo ser acessados apenas por seus colaboradores instituídos com as devidas credenciais de acesso.
Os acessos lógicos dos Colaboradores da Torgansa devem ser controlados de forma que somente as informações necessárias ao desempenho de suas atividades estejam disponíveis, de acordo com as suas credenciais de acesso, conforme disposto nas diretrizes de Senhas. O acesso físico dos Colaboradores e visitantes aos locais que possuírem recursos tecnológicos da Torgansa deve ser controlado mediante utilização de credenciais de acesso, conforme disposto nas diretrizes de Acesso a Instalações Físicas e Acesso Remoto e Presencial à Rede. As informações devem ser utilizadas pelos Colaboradores de forma transparente e apenas para as finalidades para as quais foram coletadas, sem expor os indivíduos a que dizem respeito.
  1. Gestão de Riscos, Objetivos e Incidentes de Segurança da Informação
Os riscos devem ser identificados por meio de um procedimento estabelecido para a avaliação dos riscos e ameaças à segurança da informação que possam afetar as atividades ou suas estratégias da Torgansa, alinhados com o contexto do negócio, de forma a preservar e proteger adequadamente os seus ativos, conforme previsto na Política e Plano de Respostas a Incidentes e nas diretrizes sobre Antivírus e Malware. Os incidentes e eventos de segurança da informação devem ser analisados, tratados, registrados, monitorados e reportados ao Responsável pela Segurança da Informação, conforme previsto na Política e Plano de Respostas a Incidentes.
  1. Treinamentos de Conscientização
A Torgansa deve realizar treinamentos de forma regular e periódica, conforme estabelecido pelo Responsável pela Segurança da Informação, a fim de conscientizar todos os seus Colaboradores acerca do tema da Segurança da Informação. As ações de conscientização devem ser realizadas em diferentes formatos e abranger diferentes públicos, envolvendo treinamentos de modo presencial ou treinamentos através de educação à distância (EAD) e campanhas informativas. Diretrizes de Firewall
  1. Diretrizes dos Sistemas de Firewall
A Torgansa protege os seus recursos e ativos de informática utilizando-se de uma abordagem em camadas físicas e/ou lógicas, estabelecendo-se um perímetro de segurança em sua rede interna. Deste modo, o design de segurança da rede inclui a funcionalidade de firewall em todos os pontos da rede em que possam existir eventuais vulnerabilidades. Há também a inclusão de outras áreas além do perímetro de segurança da rede, com o fito de fornecer uma camada adicional de segurança e proteger os dispositivos que são colocados diretamente em redes externas a Torgansa, também conhecida como “zona desmilitarizada”.
  1. Implementação dos Sistemas de Firewall
A implantação de firewall consiste no levantamento de toda infraestrutura de rede da Torgansa, significando que deve ser mapeado todos os departamentos e usuários, além dos dispositivos (celular, tablet, computador, laptop, servidores, câmeras etc.) conectados, pois o firewall consiste na filtragem de pacote, de modo que se houver permissão então o acesso é permitido e caso contrário o pacote é descartado. Cada Organização deve determinar e criar suas diretrizes de firewall baseado no seu funcionamento, diminuindo as permissões de acesso a servidores, os acessos à internet e os acessos externos (da internet para rede local, se houver), de maneira que não afete a performance e desempenho de todas as partes, sempre visando a melhoria na implantação de segurança. O responsável pela Segurança da Informação deve sempre aprovar, testar e revisar todas as Políticas implementadas no firewall e as demais configurações como VPN (Site-to-Site e Client-to-Site), acessos de gerência, LOGs de registro (Gerência, acesso à internet, acesso local e acesso remoto externo para interno) bem como monitorar as conexões de rede. Quando atualizado novos aplicativos ou servidores forem implementados dentro da rede ou houver mudanças, é de suma importância o responsável da segurança da informação avaliar, revisar e aprovar a mudança antes da implementação visando diminuir o possível impacto ao ambiente produtivo da corporação. 2.1.  Gerenciamento de Firewall É comum os acessos no firewall serem feitos por mais de uma pessoa e equipe, entretanto, para possuir controle de acesso e permissões se faz necessário o gerenciamento desses acessos e, com isso, recomenda-se que somente seja acessado através dos usuários de rede pessoal e não genérico. Neste sentido, para a aplicação prática de permissionamento e o respectivo gerenciamento, abaixo são descritos os tipos de permissões, para o controle do firewall:          2.1.1. Usuários de gerenciamento São usuários que devem ter permissão no firewall de escrita/leitura. Esses são de comum acesso ao equipamento para realizarem alteração, adição e remoção de configuração.          2.1.2. Usuários de leitura São usuários que devem ter somente permissão apenas de leitura no firewall. Esses são de comum acesso para verificação, validação e auditoria de configuração no firewall. 2.1.3. Usuários de Suporte (Terceiro) São usuários que podem ter permissão de leitura, escrita ou leitura/escrita. Esses são de comum acesso para eventual incidente e necessidade de acesso para correção de problemas no firewall. 2.2. Gerenciamento de políticas (Regras de firewalls) É de suma importância implantar as regras de firewalls, de maneira a preservar possíveis incidentes de segurança com acesso à internet ou de intrusão a rede da Torgansa. Com isso, é necessário segmentar acessos por departamentos, ou seja, cada departamento acessa os sites, servidores e máquinas no qual são pertinentes a sua área.
  1. Configuração Geral dos Sistemas de Firewall
O Responsável pela Segurança da Informação deve configurar como os sistemas de firewall realizarão o controle do tráfego de entrada e saída de rede, observando as seguintes diretrizes:
  • Revisão e desenvolvimento regular de uma lista dos tipos de tráfego da Torgansa e em quais circunstâncias eles devem ser protegidos;
  • Bloqueio de todo o tráfego de entrada e saída não autorizado, diminuindo o risco de ataques cibernéticos e o volume de tráfego transportado pela rede interna;
  • Restrição do tráfego de entrada e saída ao que é estritamente necessário para as informações e dados confidenciais, negando-se de forma específica todos os outros tipos de tráfego;
  • Implementação de medidas antifraude, a fim de detectar e bloquear o ingresso de endereços IP de origem fraudulenta à rede interna da Torgansa;
  • Implementação de uma zona desmilitarizada (DMZ) e a instalação de sistemas de firewall de perímetro desta rede que forneça serviços, protocolos e portas/serviços autorizados ao público externo a Torgansa.
  • Utilização de tecnologias de inspeção de pacotes, como por exemplo, a filtragem dinâmica de pacotes, visando que apenas as conexões estabelecidas sejam permitidas na rede.
Os métodos autorizados pela Torgansa para mascarar o endereçamento IP devem incluir configurações NAT (Network Address Translation), remoção ou filtragem de anúncios de rota para redes privadas e uso interno do espaço de endereço.
  1. Licenciamento, Manutenção e Suporte
As ações de manutenção, tais como (i) atualizações de software, (ii) atualizações de configuração de firewall, e (iii) LOGs de segurança, devem ser devidamente registradas e retidas por um período a ser definido pelo Responsável pela Segurança da Informação, a fim de permitir investigações adequadas sobre incidentes relacionados a eventuais ameaças de segurança da informação. O Responsável pela Segurança da Informação deve garantir o licenciamento de softwares, bem como o rastreamento e a documentação relacionadas, incluindo processos e procedimentos que suportem:
  • Monitoramento proativo e implementação de medidas, visando apoiar estas diretrizes;
  • Existência de medidas que impeçam o usuário de desabilitar ou modificar as configurações de firewall utilizadas pela Torgansa;
  • Definição de exceções a estas diretrizes, que será realizada pelo Responsável pela Segurança da Informação a partir de uma avaliação específica;
  • Medidas de segurança adicionais para assegurar a continuidade dos sistemas de firewall caso os softwares utilizados pela Torgansa sejam desabilitados ou desativados.
Diretrizes de Antivírus e Malware
  1. Diretrizes de Utilização de Antivírus
O Responsável pela Segurança da Informação ou seus designados devem garantir que:
  • Existam procedimentos e ferramentas para proteger, detectar e relatar softwares maliciosos, incluindo (i) implantação de programas, sistemas e metodologias de antivírus; (ii) bloqueio do acesso não-autorizado a redes e computadores; (iii) melhora da conscientização geral dentro da Torgansa acerca do uso seguro de sistemas e programas computacionais; e (iv) tomada de boas práticas que visem a detecção precoce e a mitigação de incidentes de segurança da informação;
  • O pessoal de Tecnologia da Informação seja treinado e proficiente no uso das soluções de segurança usadas para proteger contra softwares maliciosos;
  • Os usuários finais estejam cientes das políticas de segurança aplicadas em suas estações de trabalho.
  1. Gestão de Vulnerabilidades em Ativos Informáticos
Todos os ativos baseados em estações de trabalho ou servidores utilizados pela Torgansa devem estar conectados à rede. As unidades autônomas, também conhecidas como computadores externos, devem utilizar softwares de proteção antivírus, devidamente aprovados e configurados de acordo com as diretrizes estabelecidas por esta Política. Ademais, na gestão de vulnerabilidades em ativos informáticos, os seguintes procedimentos devem ser observados:
  • O software de proteção antivírus não deve, em qualquer hipótese, ser desativado ou ignorado, salvo por autorização expressa do Responsável pela Segurança da Informação;
  • As configurações do software antivírus não devem, em qualquer hipótese, ser alteradas, salvo por autorização expressa do Responsável pela Segurança da Informação;
  • A frequência de atualizações automáticas do sistema operacional, de aplicativos ou programas não pode ser reduzida em qualquer hipótese, salvo por autorização expressa do Responsável pela Segurança da Informação;
  • Todos os servidores conectados à rede devem utilizar o software antivírus aprovado e configurado pelo Responsável pela Segurança da Informação;
  • Todos os gateways de correio eletrônico, dispositivos e servidores devem usar software antivírus, antimalwares e antispam aprovados e configurados pelo Responsável pela Segurança da Informação, devendo seguir os ditames desta Política de Segurança da Informação;
  • Qualquer ameaça que não seja automaticamente limpa, colocada em quarentena e posteriormente excluída pelo software de antivírus constitui um incidente de segurança e deve ser reportada ao Responsável pela Segurança da Informação;
  • As atualizações de assinatura de antivírus devem ocorrer em uma frequência definida pelo responsável pela segurança da informação, devendo ocorrer no mínimo uma vez ao mês.
  1. Instalação e Gerenciamento de Aplicativos
Todos os softwares autorizados devem ser instalados pela equipe responsável dentro da Torgansa, sendo vedada a execução de softwares não autorizados.
  1. Licenciamento, Manutenção e Suporte
As ações de manutenção, tais como (i) atualizações de software; (ii) atualizações de definição de antivírus; e (iii) log de infecções, devem ser devidamente registradas e retidas por um período a ser definido pelo Responsável pela Segurança da Informação, a fim de permitir investigações adequadas sobre incidentes relacionados a eventuais ameaças de segurança da informação. O Responsável pela Segurança da Informação deve garantir o licenciamento de softwares, bem como o rastreamento e a documentação relacionadas, incluindo processos e procedimentos que suportem:
  • Instalação de software antivírus em todos os sistemas;
  • Varredura regular de ameaças, capaz de detectar, remover e proteger contra tipos próprios de software malicioso;
  • Monitoramento proativo e implementação de medidas, visando apoiar esta Política;
  • Existência de medidas que impeçam o usuário de desabilitar ou modificar as ferramentas de antivírus utilizadas pela Torgansa;
  • Definição de exceções a esta Política, que será realizada pelo Responsável pela Segurança da Informação a partir de uma avaliação específica;
  • Medidas de segurança adicionais para assegurar a continuidade da proteção antivírus caso os softwares de proteção utilizados pela Torgansa sejam desabilitados ou desativados.

Diretrizes de Criptografia

  1. Diretrizes da Utilização de Criptografia
Todas as informações confidenciais devem ser devidamente criptografadas através dos procedimentos previstos nesta Política, especialmente no que diz respeito aos dispositivos móveis utilizados pela Torgansa, tais como laptops, mídias de armazenamento removível e mídias de backup. As senhas para criptografia de informações devem ser protegidas e gerenciadas, seguindo os controles de segurança definidos nesta Política de Segurança da Informação e nas diretrizes de Senhas. Ao utilizar sistemas de troca de informações, como e-mails ou outros sistemas de transferência de dados, deve-se empregar os mecanismos de criptografia adequados e autorizados pelo Responsável pela Segurança da Informação. Ao criptografar informações, uma cópia das chaves de criptografia deve ser mantida em um local seguro, para que a recuperação de informações criptografadas seja viável em caso de ausência temporária ou permanente do responsável das informações criptografadas. A criptografia de informações com mecanismos não autorizados pelo Responsável pela Segurança da Informação ou a divulgação não-autorizada de chaves de criptografia são condutas expressamente proibidas. O Responsável pela Segurança da Informação deve documentar, divulgar e atualizar os procedimentos para criptografar informações, incluindo as atividades de geração, gerenciamento e proteção das chaves utilizadas para a criptografia de informações. Os Colaboradores responsáveis pelas informações, processos, procedimentos ou atividades que envolvam o processamento, transmissão ou armazenamento de informações por meio eletrônico devem solicitar, por meio eletrônico, através dos procedimentos definidos pelo Responsável pela Segurança da Informação, a criptografia de informações classificadas como restritas ou confidenciais que estiverem sob sua responsabilidade. O Responsável pela Segurança da Informação da Torgansa determinará os mecanismos de criptografia de dados que melhor se adequam às necessidades específicas de cada tipo de informação, incluindo metodologias de criptografia assimétrica para a maioria das aplicações. No processo de criptografia utiliza-se uma chave (também chamada de senha), que faz parte da segurança do processo. Existem dois tipos de procedimentos de criptografia baseados em chaves: os procedimentos de criptografia simétrica ou de chave privada e os procedimentos de criptografia assimétrica ou de chave pública.
  1. Criptografia Simétrica
A encriptação de uma determinada mensagem, ou seja, o processo em que um conteúdo é criptografado, é baseado em 02 componentes: um algoritmo e uma chave de segurança. O algoritmo trabalha junto com a chave, de forma que eles tornam um conteúdo sigiloso com um conjunto único de regras. A criptografia simétrica faz uso de uma única chave, que é compartilhada entre o emissor e o destinatário de um conteúdo. Essa chave é uma cadeia própria de bits, que vai definir a forma como o algoritmo vai cifrar um conteúdo. Como vantagem, a criptografia tem uma boa performance e a possibilidade de manter uma comunicação contínua entre várias pessoas simultaneamente. Caso a chave seja comprometida, basta efetuar a troca por uma nova, mantendo o algoritmo inicial. A segurança de um sistema de criptografia vai variar conforme o tamanho da chave utilizada. A Torgansa deve possuir sistemas de criptografia baseados em RC2, que utiliza o protocolo S/MIME, que possui uma chave variável entre 8 e 1.024 bits. Assim, as chances de alguém conseguir decifrar um conteúdo criptografado por meio de algoritmos de força bruta diminui consideravelmente. Entretanto, deve-se observar que a criptografia simétrica possui falhas graves de segurança. A gestão de chaves, por exemplo, torna-se mais complexa na medida que o número de pessoas com que se comunica aumenta. Para cada N usuários, são necessárias N2 chaves. A criptografia simétrica também não possui meios que permitem a verificação da identidade de quem envia ou recebe um conteúdo. Além disso, não há como garantir o armazenamento em ambientes confiáveis das chaves de segurança.
  1. Criptografia Assimétrica
A criptografia assimétrica, também conhecida como criptografia de chave pública, é baseada em 2 tipos de chaves de segurança — uma privada e a outra pública. Elas são usadas para cifrar mensagens e verificar a identidade de um usuário. Desta forma, a chave privada é usada para decifrar mensagens, enquanto a pública é utilizada para cifrar um conteúdo. Assim, qualquer pessoa que precisar enviar um conteúdo para alguém precisa apenas da chave pública do seu destinatário, que usa a chave privada para decifrar a mensagem. Esse sistema simples garante a privacidade dos usuários e aumenta a confiabilidade de uma troca de dados e deve ser privilegiado pela Torgansa. Afinal, como o número de pessoas com acesso à chave privada é restrito, a chance de comprometimento das comunicações da Torgansa é reduzida de forma considerável. Para a criptografia assimétrica, a Torgansa utilizará o sistema RSA, que é baseado na multiplicação de números primos de grande escala para a geração de uma chave pública, impossibilitando a quebra do algoritmo por meio de força bruta.  

Diretrizes de Acesso Remoto e Presencial à Rede.

  1. Diretrizes de Acesso à Rede
Os Colaboradores da Torgansa autorizados têm acesso permitido apenas aos recursos e sistemas aprovados pelo Responsável pela Segurança da Informação, devendo agir em conformidade com esta Política de Segurança da Informação. Já os Colaboradores não envolvidos diretamente no gerenciamento de sistemas de segurança da informação não estão autorizados a:
  • Ampliar ou retransmitir os serviços de rede utilizados pela Torgansa sem autorização expressa do Responsável pela Segurança da Informação;
  • Instalar ou modificar qualquer hardware ou software de rede sem a expressa autorização do Responsável pela Segurança da Informação;
  • Executar programas de quebra de senhas, farejadores de pacotes, ferramentas de mapeamento de rede ou scanners de porta.
O Responsável pela Segurança da Informação da Torgansa deve garantir que existam procedimentos e controles que gerenciem:
  • A autorização ou supervisão de funcionários que trabalham com informações confidenciais;
  • As descrições de trabalho que determinam o nível apropriado de acesso às informações confidenciais mantidas pela Torgansa;
  • As salvaguardas técnicas que permitem o gerenciamento do acesso às informações confidenciais;
  • Os atributos de classificação dos dispositivos de acesso às informações confidenciais mantidas pela Torgansa;
  • O logoff automático em todos os dispositivos.
  1. Diretrizes de Acesso Remoto à Rede
As seguintes diretrizes se aplicam ao gerenciamento de pessoal e ao uso de acesso remoto:
  • Os Colaboradores deverão entrar em contato com o Responsável pela Segurança da Informação para obter métodos e softwares aprovados e adequados para se conectar remotamente aos sistemas internos da Torgansa;
  • Todos os dispositivos utilizados para o acesso remoto devem ser inspecionados antes de sua utilização, a fim de garantir que o dispositivo esteja devidamente atualizado com todos os pacotes de segurança aplicáveis e com os softwares de proteção contra vírus e malware instalados, conforme especificadas nas diretrizes de Antivírus e Malware;
  • O Responsável pela Segurança da Informação determinará a metodologia de acesso remoto adequada, incluindo medidas de autenticação de senha em dois fatores, cartão inteligente ou token, em conjunto com senhas consideradas fortes, conforme especificações nas diretrizes de Senhas;
  • Os usuários devem garantir que os dispositivos usados para fins de trabalho remoto não sejam compartilhados ou utilizados em atividades inadequadas ou fora do escopo de trabalho;
  • Os usuários com credenciais de acesso às informações confidenciais da Torgansa devem garantir que seu dispositivo de trabalho remotamente conectada não compartilhe conexão com outra rede privada ou pública de internet;
  • Os usuários com credenciais de acesso às informações confidenciais da Torgansa devem garantir que sua conexão de acesso remoto seja utilizada apenas para as atribuições do seu trabalho;
  • Os dispositivos pessoais só devem ser conectados remotamente seguindo as diretrizes de BYOD e com a autorização expressa do Responsável pela Segurança da Informação.

Diretrizes de Senhas

  1. Gerenciamento de Contas de Usuário
Todo o Colaborador da Torgansa, incluindo, mas não se limitando ao, Responsável pela Segurança da Informação, deve possuir uma conta de usuário única e que seja pessoal, intransferível e rastreável. Contas genéricas, compartilhadas, de serviço ou de grupo são de uso proibido nos sistemas e plataformas da Torgansa, a não ser nas exceções definidas pelo Responsável pela Segurança da Informação. Caberá a Diretoria da Torgansa manter em local seguro as senhas de administradores – de todos os sistemas e servidores –, de modo que o Responsável pela Segurança da Informação deverá usar os direitos de acessos e privilégios de administradores, mas em hipótese alguma a senha master. Na criação de novas contas de usuários nos sistemas e plataformas da Torgansa, o Responsável pela Segurança da Informação deve definir as credenciais de acesso adequadas, conforme as classificações da informação contidas neste documento. As solicitações de inclusão, exclusão ou alteração de credenciais de acesso serão endereçadas ao Responsável pela Segurança da Informação. Ao se conceder credenciais de acesso a uma determinada conta de usuário, deve-se criar um ID e senha únicos e separados da conta de usuário regular do Colaborador. Nos casos em que um Colaborador da Torgansa for demitido, o seu acesso a todos os sistemas e plataformas será encerrado de forma imediata pelo Responsável pela Segurança da Informação. As credenciais de acesso serão revisadas periodicamente de acordo com cronograma estabelecido pelo Responsável pela Segurança da Informação, e as contas inativas serão devidamente removidas dos bancos de dados e servidores da Torgansa.    
  1. Gerenciamento de Senhas
As senhas dos Colaboradores devem ser estabelecidas com o fim de garantir a confidencialidade das informações. Assim, devem ser realizados treinamentos periódicos para a conscientização de todos os Colaboradores da Torgansa, sobre a necessidade de memorização das senhas, para evitar que elas sejam anotadas em meios físicos ou eletrônicos. O Responsável pela Segurança da Informação deve determinar as situações em que as senhas serão complementadas com controles de acesso adicionais, tais como smart cards, tokens ou outros procedimentos de autenticação suplementar de dois ou três fatores. Todas as senhas de usuário-padrão serão alteradas no primeiro login do usuário. Já as contas de usuário-padrão devem ser desativadas ou alteradas após a instalação de um novo software ou aplicativo. Todos os usuários devem selecionar as senhas que atendam aos requisitos abaixo elencados, a fim de garantir complexidade e resiliência as suas senhas. Deste modo, as senhas dos usuários devem conter:
  • Caracteres entre “a” e “z”, tanto em letras maiúsculas quanto em letras minúsculas;
  • Números (0-9) e caracteres especiais (por exemplo, @, #, $, *);
  • Um mínimo de pelo menos 08 caracteres.
Também devem ser utilizadas diferentes senhas para diferentes tipos de atividades, como por exemplo, acesso a e-mail ou acesso a arquivos, especialmente em sistemas que armazenam informações confidenciais da Torgansa. Deve-se evitar a utilização de senhas vulneráveis, consideradas aquelas que contenham os seguintes atributos:
  • Palavras comuns encontradas no dicionário;
  • Seja a mesma senha daquelas utilizada em alguma conta de uso pessoal, como por exemplo, e-mail pessoal, internet banking ou mídias sociais;
  • Contenha informações pessoais, como nome de um cônjuge ou animal de estimação, cadastro de pessoas físicas, número da carteira de motorista, endereço de rua, número de telefone etc.;
  • Contenha sequências ou caracteres repetidos (1234, 3333, etc.).
Os treinamentos de segurança da informação devem incluir as seguintes disposições:
  • Os riscos na utilização de senhas consideradas fracas;
  • Os requisitos para a escolha de senhas;
  • A proibição da seleção de recursos como o “lembre-se de mim” ou o “lembrar-se de senha” em aplicativos e navegadores da Web;
  • Os cuidados na utilização de mídias sociais para que as senhas utilizadas não sejam comprometidas.
As senhas utilizadas pelos usuários não poderão, sob quaisquer circunstâncias:
  • Ser reveladas ou compartilhadas com qualquer outro indivíduo, dentro ou fora da Torgansa;
  • Ser armazenadas por escrito ou transmitidas em texto claro e não criptografado;
  • Ser inseridas em mensagens de e-mail não criptografadas ou outras formas de comunicação eletrônica.
Caso um membro da equipe suspeite de que sua senha foi comprometida ou disponibilizada a outras pessoas, este deve imediatamente redefini-la ou alterá-la e notificar o Responsável pela Segurança da Informação.
  1. Procedimentos para Redefinição de Senha
As senhas devem ser alteradas regularmente de acordo com o seguinte cronograma:
  • As senhas de usuário com credenciais devem ser alteradas pelo menos a cada 60 dias.
  • As senhas do usuário regulares devem ser alteradas pelo menos a cada 90 dias.
  • Ao realizar o procedimento, o usuário não poderá repetir nenhuma de suas cinco senhas anteriores.
  1. Procedimentos de Senha nas Aplicações de Software
Os desenvolvedores de softwares e aplicativos devem garantir que os programas contenham as seguintes precauções de segurança:
  • Os softwares e aplicativos devem exigir que cada usuário final tenha seu próprio ID de usuário exclusivo;
  • Contas genéricas, compartilhadas, de serviço ou de grupo são terminantemente proibidas;
  • Poderão ser utilizados grupos de segurança para listas de controle de acesso a certos recursos e funções de um aplicativo;
  • Senhas de proteção que protegem informações sensíveis devem ser protegidas utilizando criptografia em repouso e em trânsito, sendo terminantemente proibida a sua transcrição em texto claro e explícito;
  • Deve ser exigido que um usuário reinsira uma senha após um período de inatividade para recuperar o acesso ao seu aplicativo.

Diretrizes de Registro de LOGs

  1. Diretrizes de Manutenção de Registros
Todos os sistemas de controle e tratamento de informações confidenciais, controle de conexões de rede, controle de acessos e controle de procedimentos de autenticação e autorização devem registrar as informações de:
  • Quais atividade foram realizadas;
  • Quem realizou a atividade, incluindo em que sistema foi realizada a atividade;
  • Quando a atividade foi realizada;
  • Determinar se a atividade realizada foi bem-sucedida ou não;
  • Sistemas e ativos tecnológicos envolvidos.
Para fins de controle e auditoria, seguindo as diretrizes da Política de Auditoria Interna, o Responsável pela Segurança da Informação deve implementar uma infraestrutura de registro adequada a abranger todos os dispositivos, sistemas e aplicativos utilizados pela Torgansa. Deste modo, o software de análise de integridade e detecção de alterações da Torgansa, ou eventualmente manualmente, deve revisar periodicamente os registros e emitir alertas se os dados de registro forem alterados.
  1. Procedimentos de Registro
Os registros devem necessariamente monitorar as seguintes atividades:
  • Criação, leitura, modificação ou exclusão de Informações Confidenciais;
  • Iniciação ou criação de uma nova conexão de rede;
  • Autenticação do acesso ao usuário e posterior autorização de segurança;
  • Concessão, modificação ou revogação dos direitos de acesso para usuários ou grupos;
  • Modificação de privilégios de usuário;
  • Modificação de permissões de sistemas, ativos tecnológicos e serviços;
  • Alteração de senhas de usuário;
  • Configurações de sistemas, redes ou serviços para alterações de manutenção e segurança, incluindo as atualizações dos softwares instalados;
  • Alterações do status de inicialização, de desligamento ou de reinicialização de sistemas;
  • Falhas de sistema e aplicações, causadas pela utilização limite de recursos informáticos (CPU, memória, largura de banda de rede, espaço em disco, dentre outros);
  • Falha nos serviços de rede;
  • Falha de sistemas de hardware;
  • Detecção de atividades suspeitas e maliciosas por sistemas antivírus ou de firewall.
  1. Procedimentos de Revisão de Registro
Cada Colaborador ou equipe da Torgansa é responsável por revisar e monitorar os registros de sistemas sob seu controle. Os registros devem ser revisados periodicamente pelo Responsável pela Segurança da Informação. A frequência de revisão também deve ser determinada pelo Responsável pela Segurança da Informação, de acordo com a sensibilidade das informações armazenadas. Os procedimentos de revisão devem verificar se:
  • Os eventos estão sendo devidamente classificados;
  • Não estão havendo atrasos de desempenho;
  • O registro relacionado à conformidade não possa ser ignorado pelo usuário;
  • O acesso aos arquivos de registro está sendo devidamente restrito a quem não possui as credenciais necessárias;
  • Há possibilidade de auxiliar nas investigações internas da Torgansa.
  1. Elementos de Registro
As entradas de registro podem conter uma série de informações, dentre as quais:
  • Identificação do ativo informático;
  • Data e hora do registro;
  • Identificação do aplicativo (incluindo o nome e a versão);
  • Identificação do evento de origem do registro (por exemplo, URL de ponto de entrada, página, formulário);
  • Localização do código (por exemplo: módulo, sub-rotina);
  • Ação de início do usuário (por exemplo: ID do usuário);
  • Tipo de evento;
  • Status do resultado (por exemplo: sucesso, falha, adiamento);
  • Recurso (por exemplo: identidade ou nome dos dados afetados, componentes);
  • Localização (por exemplo: endereço IP ou localização geográfica);
  • Gravidade do evento (por exemplo: emergência, alerta, erro fatal, aviso, somente informações);
  • Outros (por exemplo: parâmetros, informações de depuração, mensagem de erro do sistema);
  1. Formatação e Armazenamento de Registros
O sistema deve garantir a formatação e o armazenamento dos registros para garantir a integridade e a legibilidade dos relatórios gerados para fins de auditoria.  Assim, para a adequação dos registros, deve-se centralizar as entradas de registro dos bancos de dados da Torgansa em um único servidor, respeitando-se as diretrizes de Backup, com a respectiva padronização dos registros e dos protocolos de envio a um servidor centralizado.
  1. Gerenciamento de Ameaças de Segurança da Informação
O sistema de registros é a principal ferramenta utilizada pela Torgansa para detectar e investigar atividades não autorizadas e para solucionar eventuais problemas em seus sistemas.  Portanto, devem ser desenvolvidos procedimentos para proteger e mitigar ameaças de segurança aos registros, tais como:
  • Limitação dos usuários aptos a desativar, danificar ou contornar mecanismos de acesso aos registros e trilhas de auditoria;
  • Proteção do conteúdo dos registros do sistema contra acessos, modificações ou exclusões não autorizados;
  • Limitação do acesso remoto aos sistemas de registro àquelas circunstâncias extremas ou emergenciais. Deste modo, qualquer acesso a estes sistemas deve ser autorizado pelo Responsável pela Segurança da Informação e o uso de ferramentas que contornem os controles de segurança deve ser devidamente documentado;
  • Limitação das alterações em todas as Políticas, mas especialmente na Política de Auditoria Interna, a fim de impedir alterações indevidas e não autorizadas.
  1. Responsabilidades no Gerenciamento de Registros
O Responsável pela Segurança da Informação deve:
  • Separar os deveres entre as funções de operação e as funções de monitoramento incluídas nesta Política;
  • Aprovar os tipos de registros e relatórios a serem gerados, revisando atividades e procedimentos a serem realizados;
  • Observar os procedimentos específicos de auditoria contidos nas diretrizes da Política de Auditoria Interna;
  • Estabelecer procedimentos específicos para tentativas de login malsucedidas, discrepâncias em relatórios e procedimentos utilizados para monitorar tentativas de login;
  • Revisar periodicamente os registros de auditoria, relatórios de acesso e incidentes de segurança;
  • Estabelecer procedimentos para garantir que os controles de auditoria atendam aos requisitos de segurança, especialmente no tocante àquelas atividades envolvendo Informações Confidenciais da Torgansa;
  • Garantir que os arquivos, para fins de auditoria, estejam prontamente disponíveis, de acordo com as diretrizes de Backup.

Diretrizes de Backup

  1. Frequência de Execução de Rotinas de Backup
Os backups serão realizados diariamente e semanalmente. Os backups diários deverão ser realizados em período de janela disponível a partir das 16:00 até o limite das 09:00 do dia seguinte. Os backups semanais deverão ser realizados no final de semana, em janela disponível a partir das 16:00 de sexta-feira até o limite das 09:00 de segunda-feira.
  1. Tipos de Rotinas de Backup
Os backups poderão ser do tipo “completo”, quando a cópia completa dos dados é salva, ou do tipo “incremental”, quando somente são copiadas as alterações desde o último backup. De segunda-feira a quinta-feira de cada semana, preferencialmente, deverão ser realizados backups incrementais. Na sexta-feira de cada semana, preferencialmente, deverá ser realizado um backup de maneira completa.    
  1. Retenção de Arquivos de Backup
Os backups deverão ser classificados de acordo com o tempo de retenção necessário. A retenção temporária preservará os backups por, no mínimo, 06 meses, período após o qual poderão ser excluídos de acordo com as diretrizes de Retenção de Dados, constantes na Política de Privacidade e Proteção de Dados. Na retenção permanente, deverá ser criada uma cópia do backup completo realizado na primeira segunda-feira de cada mês.
  1. Teste de Integridade
Após a realização do procedimento de backup, preferencialmente 1 (um) dia após, deverá ser realizado um teste de integridade dos dados ali salvos, daquele procedimento realizado. Além do teste de integridade que será realizado logo após o procedimento de backup rotineiro, um outro teste de integridade de dados de todos os backups mantidos em sistema deverá ser realizado a cada 90 (noventa) dias.

Diretrizes de Acesso às Instalações Físicas

  1. Gerenciamento do Acesso Físico
Todas as instalações da Torgansa devem ser fisicamente protegidas, observando-se à criticidade ou importância da função ou finalidade da área gerenciada. O acesso físico a todas as instalações da Torgansa deve ser registrado com câmeras de vigilância e através de controles físicos de acesso (biometria, interfone, porteiro). O sistema de controle de acesso também deve abranger o acesso de visitantes externos, através da identificação por crachás ou qualquer outro tipo de identificação que os segreguem dos Colaboradores da Torgansa. O Responsável pela Segurança da Informação deve conceder credenciais de acesso aos Colaboradores da Torgansa para que estes Colaboradores possam adentrar nas áreas restritas. As credenciais de acesso serão periodicamente revisadas pelo Responsável pela Segurança da Informação. Também será realizado periodicamente um inventário completo dos ativos críticos da Torgansa, incluindo características de onde estes ativos são mantidos e as medidas de controle de acesso aplicadas.
  1. Gerenciamento de Credenciais de Acesso
A utilização de credenciais de acesso, tais como cartões ou chaves fornecidos pela Torgansa, deve observar as seguintes diretrizes:
  • As credenciais de acesso utilizadas pelos colaboradores não devem, em hipótese alguma, ser compartilhadas com outras pessoas;
  • As credenciais de acesso não devem ter informações de identificação, salvo endereço de e-mail para retorno em caso de perda;
  • As credenciais de acesso não mais necessárias devem ser revogadas pelo Responsável pela Segurança da Informação;
  • O roubo ou extravio de credenciais de acesso será considerado um incidente de segurança da informação que deve ser informado de maneira imediata ao Responsável da Segurança da Informação.
  1. Gerenciamento de Acesso de Visitantes
O acesso de visitantes às instalações da Torgansa deve observar as seguintes diretrizes:
  • Os visitantes devem ser devidamente autorizados antes de adentrar nas dependências da Torgansa, devendo ser escoltados em todos os momentos dentro de áreas de processamento e armazenamento de informações confidenciais.
  • O acesso de visitantes deve ser rastreado através de registros de entrada e saída;
  • O registro de atividades do visitante deve ser mantido para fins de auditoria, incluindo o seu acesso a quaisquer ativos informáticos onde eventuais informações confidenciais estejam sendo armazenadas ou transmitidas;
  • O registro de visitantes deve documentar, no mínimo, o nome do visitante, seu registro de identidade, a empresa em que trabalha e o local, data e hora do acesso físico;
  • O registro de visitantes deve ser mantido pelo tempo definido em Cronograma de Retenção elaborado pelo Responsável pela Segurança da Informação;
  • Os visitantes devem ser identificados de maneira visível e distinta dos demais colaboradores da Torgansa;
  • Os visitantes devem entregar o crachá ou identificação ao deixar a Torgansa.
  1. Gerenciamento de Acesso a Áreas Restritas
O acesso a áreas confidenciais nas dependências da Torgansa deve observar as seguintes diretrizes:
  • As áreas restritas da Torgansa serão identificadas através da realização de inventário de ativos;
  • Todas as áreas restritas devem possuir controle de acesso e todos os indivíduos presentes nessas áreas devem usar um crachá de identificação, de modo que tanto a imagem quanto as informações, no crachá, sejam claramente visíveis;
  • Áreas restritas de armazenamento e processamento de informações, tais como datacenters, CPD, salas de computador, armários, roteadores de rede, salas de hub, salas do sistema de correio de voz e áreas similares que contenham recursos de tecnologia da informação serão restritas com base na necessidade funcional dos negócios realizados pela Torgansa;
  • Os ativos localizados em áreas não seguras devem ser protegidos através de medidas adicionais para preservar a integridade e a confidencialidade das informações confidenciais;
  • Os dados armazenados pelas câmeras de circuito interno (CFTV), bem como dos demais mecanismos de controle de acesso devem ser mantidos pelo tempo definido em Cronograma de Retenção elaborado pelo Responsável pela Segurança da Informação.
  1. Gerenciamento de Acesso de Serviços Terceirizados
Os parceiros e prestadores de serviços terceirizados devem cumprir as leis e regulamentos aplicáveis sobre segurança, contidos na Política de Terceirização e nesta Política de Segurança da Informação da Torgansa. O Responsável pela Segurança da Informação, quando não tiver disponibilidade de acompanhamento, designará um Colaborador da Torgansa que seja confiável e tecnicamente experiente para acompanhar os funcionários de empresas terceirizadas que tenham que realizar atividades em áreas confidenciais. No que tange ao acesso de funcionários terceirizados às áreas restritas da Torgansa, devem ser observadas as seguintes diretrizes:
  • Qualquer instalação ou desinstalação de software ou hardware será realizada pelo Colaborador de confiança designado;
  • O funcionário terceirizado não deverá ter acesso visual ou eletrônico a quaisquer informações confidenciais ou restritas contidas no sistema por ele acessado;
  • Dispositivos que exibem informações confidenciais em formulários de leitura humana devem ser posicionados de forma a evitar que o funcionário terceirizado leia essas informações de forma não autorizada;
  • O funcionário terceirizado ao qual for concedido acesso desacompanhado à área física contendo informações confidenciais deve portar as credenciais de acesso adequadas.

Diretrizes de Mesa Limpa

  1. Diretrizes de Mesa e Tela Limpas
Todos os Colaboradores da Torgansa devem aplicar os controles recomendados pelo Responsável pela Segurança da Informação para impedir o acesso não autorizado por terceiros às informações da Torgansa. Os locais de trabalho dos Colaboradores da Torgansa que não demandem o atendimento direto aos clientes devem, preferencialmente, estar localizados em locais físicos que não estejam expostos ao público, a fim de minimizar as ameaças associadas ao acesso não autorizado a informações ou equipamentos de informática. Naqueles locais em que ocorrem atendimentos aos clientes da Torgansa, o acesso a informações confidenciais deve ser restrito ao máximo possível. Documentos impressos e arquivos eletrônicos classificados, reservados, devem permanecer sempre guardados ou protegidos, em áreas seguras, para evitar divulgação não autorizada, conforme classificação de documentos previsto nesta Política de Segurança da Informação. Todos os computadores e equipamentos de impressão ou reprodução devem ter uma conta privilegiada pelo administrador, devidamente configurada para permitir a instalação, suporte e manutenção. O acesso a qualquer computador, impressora ou outro instrumento de reprodução da Torgansa será feito a partir de uma conta de usuário e senha únicos, exclusivos, pessoais e intransferíveis para cada usuário, segundo disposto nas diretrizes de Senhas desta Política.
  1. Proteção de Ativos Informáticos
Durante ausências temporárias ou definitivas da estação de trabalho, o Colaborador da Torgansa deve bloquear a tela dos computadores sob seus cuidados com o protetor de tela designado pelo Responsável pela Segurança da Informação. Deve haver também rotinas de bloqueio de tela após 5 (cinco) minutos de inatividade, para evitar que terceiros não autorizados acessem as informações armazenadas no dispositivo.
  1. Proteção de Ativos Físicos
Durante as ausências temporárias ou definitivas da estação de trabalho, o Colaborador da Torgansa deve manter quaisquer documentos físicos ou mídias de armazenamento em um local seguro para evitar danos, extravios ou acessos por pessoa não autorizada. Na impressão ou reprodução de quaisquer documentos confidenciais, estes devem ser removidos do dispositivo e armazenados em local seguro imediatamente após a atividade de impressão ou reprodução. Em caso de haver impressora em local público, corredores e/ou salas onde várias pessoas têm acesso, esse dispositivo de impressão deverá possuir senha para que apenas o proprietário do documento possa retirá-lo, garantindo assim a confidencialidade do documento impresso.  

Diretrizes de Bring Your Own Device – BYOD

  1. Diretrizes de Utilização de Dispositivos Pessoais
O Responsável pela Segurança da Informação deve determinar quais processos e em que circunstâncias o uso de dispositivos pessoais será autorizado com o fim de armazenar ou processar informações institucionais confidenciais, O Responsável pela Segurança da Informação deve determinar as aplicações para garantir a segurança da informação necessárias nos dispositivos pessoais dos Colaboradores da Torgansa. Cada um dos Colaboradores da Torgansa deve se assegurar de que as informações confidenciais serão armazenadas separadamente das suas informações pessoais. As informações restritas e confidenciais devem estar criptografadas de acordo com as diretrizes de Criptografia, para evitar a divulgação de informações reservadas da Torgansa em caso de roubo ou extravio do dispositivo. O Colaborador autorizado por estas diretrizes deve cumprir as normas vigentes quanto ao uso de software licenciado e seguro, inclusive quanto à utilização de sistemas de proteção antivírus e firewall de rede, de acordo com as diretrizes de Antivírus e Malware e de Firewall da Torgansa. O acesso às informações da Torgansa a partir dos dispositivos autorizados por esta Política devem estar sujeitos a controles que garantam a rastreabilidade das ações nele realizadas, de acordo com as diretrizes de Registros de LOGs. Os gerentes de área e de processos podem realizar, periodicamente, revisões nos equipamentos utilizados pelos funcionários para se certificar da conformidade com as Políticas da Torgansa.
  1. Usos não autorizados
Os Colaboradores ou quaisquer visitantes da Torgansa não devem conectar dispositivos pessoais que não sejam formalmente autorizados pelo Responsável pela Segurança da Informação. Os Colaboradores da Torgansa não devem instalar quaisquer programas não autorizados nos dispositivos utilizados nos termos desta Política.

Diretrizes de Gestão de Ativos

  1. Classificação dos Ativos Informáticos
Para fins de rastreamento e marcação de ativos, serão utilizadas as seguintes classes de dispositivos informáticos:
  • Desktop – Estações de trabalho;
  • Laptop – Computadores portáteis;
  • Dispositivos móveis – Tablets e celulares corporativos;
  • Impressoras e dispositivos de impressão multifuncionais;
  • Dispositivos portáteis – Mídias removíveis, CD’s, pendrives;
  • Scanners;
  • Servidores;
  • Equipamentos de rede – Firewalls, roteadores e switches;
  • Sistemas de Telefonia (PBX) e Voice Over Internet Protocol (VOIP);
  • Dispositivos de memória.
Ativos que custam menos de R$250,00 (duzentos e cinquenta reais) não necessitam ser rastreados, incluindo componentes de computador, como dispositivos periféricos de baixo valor (teclados ou mouses). No entanto, os seguintes ativos que armazenam dados devem ser rastreados, independentemente do custo:
  • Equipamentos de armazenamento integrados à rede interna, tais como DAS (Direct Attached Storage), NAS (Network Attached Storage) e SAN (Storage Area Network);
  • Discos rígidos dos computadores;
  • Unidades de armazenamento temporárias;
  • Mídia em fita ou mídia óptica com dados armazenados, incluindo dados de backups dos sistemas utilizados pela Torgansa.
   
  1. Diretrizes de Identificação de Ativos
Os seguintes procedimentos e protocolos se aplicam às atividades de gestão de ativos:
  • Todos os ativos devem possuir identificação numérica interna, com correspondência ao número de série do dispositivo;
  • Um banco de dados de rastreamento de ativos deve ser criado para fins de controle e rastreio, devendo conter todas as informações de compra do dispositivo, incluindo as seguintes informações: (i) data da compra; (ii) modelo e descrição; (iii) número de série; (iv) localização; (v) tipo de ativo; (vi) proprietário; (vii) departamento; (viii) número do pedido de compra; e (ix) disponibilidade do ativo.
  1. Diretrizes de Eliminação e Descarte de Ativos
Serão estabelecidos procedimentos que regem o descarte ou a reposição segura de equipamentos e recursos, a serem realizados antes de qualquer cessão, transferência ou transporte de ativos informáticos. Ao descartar qualquer ativo, os dados confidenciais devem ser devidamente removidos antes da eliminação. O Responsável pela Segurança da Informação determinará qual tipo de protocolo de destruição de dados deve ser utilizado para a eliminação e descarte do ativo. Os dados devem ser removidos utilizando técnicas de formatação e limpeza de baixo nível. No que diz respeito aos ativos que contêm informações confidenciais e que não estão sendo reaproveitados, deve-se destruir fisicamente os discos de armazenamento antes da realização do descarte.