Política de Segurança Cibernética

A Política de Segurança Cibernética estabelece os princípios e diretrizes que orientam a aplicação de procedimentos de segurança cibernética com a finalidade de assegurar a confidencialidade, a integridade e a disponibilidade dos dados e das informações, em consonância com as boas práticas de mercado e as regulamentações vigentes, e visando o atendimento das necessidades do negócio da Fomento Paraná.

Abaixo segue um resumo da Política de Segurança Cibernética da Fomento Paraná.

 

 

 
Política de Segurança Cibernética

Diretrizes

1. Gestão de Segurança Cibernética

A gestão de segurança cibernética inclui atividades de monitoramento, testes periódicos e a implementação de ações preventivas e corretivas, e será aplicada na Fomento Paraná conforme os tópicos a seguir:

 

2. Gestão de Acessos de Usuários (IC)

Os direitos de acesso de usuários aos sistemas e ambientes informatizados (rede corporativa) da Fomento Paraná devem estar adequados ao perfil das atividades próprias do seu cargo e área de atuação.

A criação de contas para novos usuários, alteração de área de atuação ou exclusão definitiva de contas de usuários devem ser solicitados pela Gerência de Administração e Pessoas através de ordem de serviços específica para a Gerência de TI.

A concessão de acessos a sistemas ou módulos devem ser solicitados, aprovados e revisados periodicamente pelo responsável da área a qual o colaborador estiver vinculado, também através de ordem de serviço à Gerência de TI.

Os acessos dos usuários poderão ser restringidos ou bloqueados a qualquer tempo, a critério da Fomento Paraná, considerando por exemplo, aspectos que envolvam horário de contrato de trabalho e status funcional do colaborador.

 

3. Revisão periódica de perfis de acesso (IC)

Os perfis de acesso de usuários aos sistemas deverão ser revisados pelos responsáveis de cada área. O responsável deverá realizar a análise de conflitos entre os perfis, identificando e corrigindo as irregularidades de atribuição de acessos. Esta revisão deverá ser realizada periodicamente em intervalos de no máximo 180 dias, ou na entrada de novo colaborador sob sua responsabilidade.

Os perfis de acessos de usuários a sistemas que contemplam o módulo de gestão de acessos automatizado deverão ser atualizados pelos próprios responsáveis dessas áreas. Sistemas que ainda não possuem tal módulo, deverão ser revisados através de relatórios fornecidos pela Gerência de TI. Os responsáveis das áreas deverão analisar o relatório e solicitar as alterações necessárias a Gerência de TI através de ordem de serviço específica.

 

4. Contas de acesso privilegiado (IC)

A equipe de suporte técnico de informática necessita de acessos privilegiados para atuar nas tarefas de manutenção de contas de usuários, configuração e instalação de aplicativos, controle de acesso a aplicativos, configuração de ambiente de rede, análise e manutenção de sistemas entre outras atividades inerentes a área de TI. Para este perfil de usuário, serão criadas contas administrativas com acessos privilegiados.

Com o intuito de evitar a exposição da organização a riscos de segurança, essas contas de suporte deverão ser monitoradas e controladas por regras mais rígidas de segurança. O perfil dessas contas e os procedimentos de controle estão descritas no “DIAFI-5 PO 03 - Gestão da Tecnologia da Informação”.

 

5. Contas de usuários genéricos (IC)

Alguns serviços e rotinas dos sistemas da Fomento Paraná são disparados automaticamente em dias e horários específicos ou na ocorrência de outros eventos como, por exemplo, a chegada ou envio de um arquivo. Como o serviço não é executado por um usuário convencional, existe a necessidade de se criar uma conta genérica com acessos para executar esses serviços.

Com o intuito de evitar a exposição da organização a riscos de segurança, a criação deste perfil de conta deverá ser justificada e suas atividades monitoradas e controladas por procedimentos mais rígidos de segurança. O perfil dessas contas, as motivações de uso e os procedimentos de controle estão descritas no “DIAFI-5 PO 03 - Gestão da Tecnologia da Informação”.

 

6. Contas de correio eletrônico – E-mail corporativo (IC)

As contas de e-mail corporativo são de uso individual do colaborador no exercício de suas atribuições e terão cotas de espaço de armazenamento compatível com a sua área de atuação e cargo que ocupa.

As informações ou arquivos enviados via e-mail são de responsabilidade dos remetentes. As caixas de e-mail disponibilizadas pela Fomento Paraná são de sua propriedade, portanto a empresa se reserva o direito de acessá-las e monitorá-las quando julgar necessário e a qualquer tempo.

 

7. Contas de e-mail institucionais

Poderão ser criadas contas de e-mail para atendimentos a setores internos e programas institucionais, nesse caso a conta ficará sob responsabilidade da gerência que solicitou a criação da conta. A avaliação quanto a pertinência da conta e a melhor nomenclatura a ser utilizada é responsabilidade da PRESI-3.

A criação dessas contas institucionais deve ser solicitada exclusivamente pela PRESI-3 através de ordem de serviço específica para a Gerência de TI.

A relação das contas, com suas respectivas gerências responsáveis estão descritas no “DIAFI-5 PO 03 - Gestão da Tecnologia da Informação”.

Para fins de otimização da comunicação eletrônica entre os colaboradores de uma mesma área, comitê ou programa institucional, podem ser criadas listas de e-mail que concentram e distribuem as mensagens para um grupo de usuários pré-definidos. Estas listas, criadas e mantidas mediante ordem de serviço e seguirão o padrão estabelecido no “DIAFI-5 PO 03 - Gestão da Tecnologia da Informação”.

 

8. Monitoração de acessos à internet

O acesso à Internet na Fomento Paraná se dá pela rede corporativa do Governo do Estado do Paraná, é destinado a todos os colaboradores para execução de suas atividades de trabalho e ocorre por meio de conta de acesso individual de usuário. A Gerência de Tecnologia da Informação deverá monitorar e solicitar bloqueio de sites que contenham informações alheias ao interesse da instituição

A Fomento Paraná dispõe de aplicativos de monitoração e controle de acessos de colaboradores a sites de Internet. Informações como o endereço do site, a quantidade de dados trafegados e o tempo de acesso, são gravados e podem ser disponibilizados para consulta e geração de relatórios com os dados de acesso dos últimos 10 dias, a pedido da Gerência da Área. O uso indevido ou acesso excessivo à Internet será comunicado à gerência ou diretoria responsável pelo colaborador para as devidas justificativas e providências, e também à Gerência de Administração e Pessoas para ciência e acompanhamento da situação.

 

9. Dispositivos de armazenamento de dados

A Fomento Paraná não se responsabiliza por dados particulares armazenados em computadores, periféricos e servidores de arquivos de sua responsabilidade. Os espaços de armazenamento destes equipamentos são destinados exclusivamente para uso nas atividades relativas ao negócio da instituição. A empresa se reserva o direito de acessá-los e monitorá-los quando julgar necessário e a qualquer tempo.

É proibido o uso de dispositivos que permitam armazenamento de dados como pen-drives, hd (hard disk) externos, CD, DVD, cartões de memória, aparelhos celulares e “tablets”. Apenas os computadores dos diretores e das salas de reunião da presidência e da diretoria estarão habilitados a utilizar tais dispositivos. Arquivos externos, desde que relacionados ao negócio da instituição, poderão ser copiados para a rede pela DIAFI-5, através de solicitação via Ordem de Serviço.

O acesso a endereços web de armazenamento remoto serão monitorados e poderão ser restringidos a qualquer momento pela Gerência de TI.

 

10. Dispositivos particulares de acesso à internet

É vedado a utilização de equipamentos particulares de provimento de acesso à internet, como modems 3G e 4G em computadores da Fomento Paraná sem a autorização da Gerência de TI.

 

11. Criptografia e Autenticação (IC)

Os sistemas e os ambientes de rede possuem mecanismo de autenticação criptografados. As senhas de acesso são definidas segundo padrões de formato e tamanho, para garantir que sejam fortes o bastante para evitar a geração de vulnerabilidades nos sistemas. As senhas possuem prazo de expiração que obriga o usuário a trocá-las periodicamente. As regras de manutenção das senhas de acesso segregadas por sistemas e ambientes estarão descritas no “DIAFI-5 PO 03 - Gestão da Tecnologia da Informação”.

 

12. Segurança de Rede

A Fomento Paraná Possui solução de proteção contra softwares maliciosos. Os servidores nos quais os serviços de processamento e armazenamento de dados são executados possuem ferramenta de detecção por padrões de intrusão que atuam na inspeção de pacotes de redes e funciona em conjunto com a solução de Firewall.

 

13. Testes para detecção de vulnerabilidades

Periodicamente a Fomento Paraná realiza testes de verificação de vulnerabilidades. O detalhamento dos testes está descrito no Anexo V – Plano de Ação e de Resposta a Incidentes.

 

14. Incidentes relevantes

A elaboração de cenários de incidentes considerados nos testes de continuidade de negócios deve levar em conta eventos que podem causar interrupções aos processos de negócio, assim como a probabilidade de ocorrência e impacto de tais interrupções e as conseqüências para a segurança de informação. Nos testes de continuidade de negócio serão considerados os incidentes relacionados a RISCOS CIBERNÉTICOS nos dados e sistemas responsáveis pelos processos considerados como críticos no Plano de Continuidade de Negócios (PCN) da instituição.

A classificação da relevância dos dados e das informações deve levar em conta requisitos legais e os impactos para a instituição caso sejam divulgados, alterados ou eliminados sem autorização.

Nesse sentido, são critérios que se levam em consideração:

Dados protegidos por sigilo bancário (Lei Complementar 105/2001);

Protegidos pela Lei Geral de Proteção de Dados (Lei Federal 13.709/2018);

Necessários para realização dos processos críticos de negócio tais como definidos no PCN;

Dados referentes da operações em ser, saldos ativo e passivo das operações e seus respectivos mutuários. 

 

15. Contingência e continuidade operacional (IC)

Os dados armazenados em gerenciadores de banco de dados que suportam os aplicativos de negócio da Fomento Paraná bem como os dados armazenados em pastas de rede, possuem rotinas diárias de backup (cópias de segurança), que permitem a retenção e a restauração das informações em situações contingenciais. Dados armazenados em locais diferentes das pastas de rede, como por exemplo no disco local dos computadores, não possuem cobertura das rotinas de backup.  

 

16. Pastas e unidades de rede

Todos os colaboradores possuirão uma pasta de armazenamento individual na rede, que é disponibilizada no momento da criação de sua conta inicial.

Para fins de compartilhamento e armazenamento de arquivos entre os colaboradores de uma mesma área, comitê ou programa institucional, podem ser criadas pastas de rede que concentrem o acesso de um grupo de usuários pré-definido. A criação e a manutenção destas pastas de rede também ocorrerá através de ordem de serviço específica para a Gerência de TI e seguirão o padrão estabelecido no “DIAFI-5 PO 03 - Gestão de Tecnologia da Informação”.

Também estarão disponíveis na rede corporativa unidades de rede para acesso comum a todos os colaboradores, sendo a unidade denominada “TEMPORÁRIO” destinada ao armazenamento e compartilhamento eventual e temporário de arquivos por qualquer usuário, todos os arquivos desta unidade serão apagados a cada 7 (sete) dias. Outra unidade de rede de uso comum é a denominada “INSTITUCIONAL”, que armazenará arquivos de uso comum a toda a instituição, porém a inclusão de arquivos nessa unidade só ocorrerá através de ordem de serviço específica à Gerência de TI e seguirão o padrão estabelecido no “DIAFI-5 PO 03 - Gestão de Tecnologia da Informação”.

Os espaços de armazenamento de rede são destinados exclusivamente para uso nas atividades relativas ao negócio da instituição. A empresa se reserva o direito de acessá-los e monitorá-los quando julgar necessário e a qualquer tempo.

 

17. Restauração de cópias de segurança (IC)

A solicitação de restauração ou cópias de arquivos armazenados nos servidores da Fomento Paraná devem acontecer através de ordem de serviço pela área proprietária do processo de negócio e deverão ser aprovadas pelos respectivos responsáveis dessas áreas.

O conteúdo armazenado, prazo de descarte e de retenção nas cópias de segurança deve ser definido entre as áreas proprietárias dos processos de negócio e a Gerência de TI.

O gerenciamento e monitoração das instalações de armazenamento remotas deve atentar para a política de classificação de dados e as práticas de armazenamento de mídias da empresa. A Gerência de TI deve assegurar que as condições dos locais de armazenamento remotos sejam periodicamente avaliadas nos quesitos conteúdo, proteção ambiental e segurança.

Os procedimentos de cópia de segurança (backup) e restauração de sistemas, aplicativos, os prazos de retenção e descarte de dados estarão previstos no “DIAFI-5 PO 03 - Gestão de Tecnologia da Informação”.

 

18. Testes periódicos de restauração das mídias de backup (IC)

Para garantir que os backups gerados funcionem quando necessário, a equipe de suporte ao datacenter deve executar testes de restauração (restore) de backup, estes testes deverão ser realizados periodicamente em intervalos de no máximo 90 dias. Os procedimentos estão descritos no “DIAFI-5 PO 03 - Gestão de Tecnologia da Informação”.

Quaisquer atrasos na execução de backup ou restauração de dados deverão ser justificados formalmente pelos responsáveis.

 

19. Inspeção física das condições de armazenamento das mídias de backup (IC)

As condições físicas de armazenamento de mídias de backup deverão ser verificadas através de inspeções periódicas em intervalos de no máximo 360 dias. Os procedimentos estão descritos no procedimento operacional “DIAFI-5 PO 03 - Gestão de Tecnologia da Informação”.

 

20. Trilhas Auditoria (IC)

Os aplicativos de negócio da Fomento Paraná devem disponibilizar trilhas de auditoria que proporcionem rastreabilidade de ações realizadas pelos usuários a fim de identificar em tempo hábil eventuais desvios de parâmetros de segurança ou operações executadas indevidamente. Cabe às áreas de negócio, com o apoio da PRESI-3, Auditoria Interna e Gerência de TI, definir quais os eventos deverão gerar trilhas (log de dados) de auditoria. As definições das trilhas de auditoria estarão descritas no “DIAFI-5 PO 03 - Gestão de Tecnologia da Informação”.

 

21. Disseminação da cultura de segurança cibernética

A Fomento Paraná adota procedimentos para garantir que esta política e suas normas complementares (assim como as respectivas atualizações) sejam amplamente divulgadas aos seus colaboradores. Os procedimentos de divulgação e consulta dos documentos são detalhados no “DIAFI-5 PO 03 – Gestão de Tecnologia da Informação”.

A Fomento Paraná disponibilizará, para as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, acesso, sob demanda, às informações sobre incidentes relevantes de segurança ocorridos.