Política de Segurança da Informação
1 – Descrição
A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes institucionais da Fundação Hemocentro de Ribeirão Preto – FUNDHERP e de todas as suas Unidades, para a proteção dos ativos de informação e prevenção de responsabilidade legal dos usuários. A PSI deve, portanto, ser cumprida e aplicada em todas as áreas das instituições.
A presente Política de Segurança da Informação está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, estando de acordo com a legislação vigente no país.
2 – Objetivo
2.1 – Estabelecer diretrizes que permitam aos empregados, fornecedores, pesquisadores, aprendizes, estagiários, bolsistas e alunos, doravante “usuários” da FUNDHERP seguirem padrões de comportamento relacionados à segurança da informação, tendo em vista as atividades institucionais (atenção à saúde, ensino, pesquisa e atividades administrativas) e a necessidade de proteção legal da Instituição e dos indivíduos;
2.2 – Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento;
2.3 – Preservar as informações da FUNDHERP quanto à:
2.3.1 – Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
2.3.2 – Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
2.3.3 – Disponibilidade: garantia de que os usuários autorizados obtenham acesso às informações e aos ativos correspondentes sempre que necessário.
- Escopo
Esta Política de Segurança da Informação se aplica aos usuários que fazem uso dos sistemas de informação (manuais ou informatizados) e demais tecnologias da informação e comunicação próprias ou licenciadas pela FUNDHERP. A PSI será apoiada em três planos:
3.1 – Pessoas: um dos elementos mais importantes na gestão da segurança, pois, em essência, são elas que executam e suportam os processos da FUNDHERP; considera e trata dos assuntos relacionados às pessoas, seus papéis e responsabilidades, abrangendo desde a capacitação dos profissionais responsáveis pela Segurança da Informação até a conscientização da organização como um todo;
3.2 – Processos: constituem a linha mestra da gestão da segurança no dia-a-dia. Compreendem desde a visão da corporação, sua estratégia de segurança, a definição das políticas, até os processos que colocam em prática as políticas, os procedimentos, a documentação de controle e os padrões de conformidade. Através de processos bem definidos, uma corporação torna a segurança da informação uma responsabilidade de todos e não apenas da equipe de segurança, uma vez que determinam diretrizes gerais do que é ou não permitido;
3.3 – Ferramentas: são soluções de segurança rede virtual privada (VPN), firewall, antivírus, Active Directory, empregadas para suportar os processos delineados. São elas que facilitam a devida aplicação das políticas de segurança e seu monitoramento. Incluem diversas funcionalidades, como, por exemplo, a identificação dos usuários, defesa contra ameaças e gestão da segurança. As ferramentas atuais serão gradativamente aprimoradas, a fim de cumprir a PSI integralmente.
4 – Abrangência
4.1 – Fundação Hemocentro de Ribeirão Preto;
4.2 – Núcleo de Hemoterapia de Franca;
4.3 – Núcleo de Hemoterapia de Fernandópolis;
4.4 – Núcleo de Hemoterapia de Araçatuba;
4.5 – Núcleo de Hemoterapia de Presidente Prudente;
4.6 – Núcleo de Hemoterapia de Taubaté;
4.7 – Unidade de Hemoterapia de Batatais;
4.8 – Unidade de Hemoterapia de Olímpia;
4.9 – Unidade de Hemoterapia de Bebedouro;
4.10 – Agência Transfusional de Jales;
4.11 – Agência Transfusional do HCFMRP/USP Campus;
4.12 Agência Transfusional do HCFMRP/USP – Unidade de Emergência;
4.13 Agência Transfusional MATER,
4.14 – Posto de Coleta da Quintino
5 – Aplicações
5.1 – As diretrizes aqui estabelecidas deverão ser seguidas por todos os usuários no campo de abrangência das entidades e serviços descritos no item 4, acima, bem como pelos respectivos prestadores de serviço, e se aplicam à informação em qualquer meio, seja físico ou digital;
5.2 – Esta política dá ciência a cada usuário de que os ambientes, sistemas, computadores e redes das Instituições poderão ser monitorados e gravados, com prévia informação, conforme previsto na legislação pátria;
5.3 – É também obrigação de cada usuário manter-se atualizado em relação a esta PSI e aos procedimentos e normas a ela relacionados, buscando orientação de sua chefia ou da equipe de Segurança da Informação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
6 – Princípios
6.1 – A alta direção da FUNDHERP deve apoiar ativamente a segurança da informação em seu âmbito interno e nas Unidades, a fim de que a política seja cumprida rigorosamente.
6.2 – A PSI, as suas subpolíticas e normas deverão ser revistas e atualizadas periodicamente, podendo a revisão ser adiantada em caso de fato relevante ou evento motivador, conforme análise e decisão do GAO;
6.3 – Todos os contratos nos quais a FUNDHERP figure como contratante devem ser analisados para incluir, nos casos em que houver tratamento de dados pessoais sensíveis ou não, Acordo de Confidencialidade ou Cláusula de Confidencialidade, especificamente quanto a estes dados.
6.4 – A responsabilidade em relação à segurança da informação deve ser comunicada a todos os usuários no momento do seu ingresso nas instituições, ocasião em que serão orientados sobre os procedimentos de segurança e o uso correto dos ativos, a fim de reduzir possíveis riscos, e darão ciência/aceite no Termo de Ciência sobre a Segurança da Informação, por meio físico ou digital;
6.5 – Todo incidente que afete a segurança da informação deverá ser comunicado à equipe de Segurança da Informação e ela, se julgar necessário, encaminhará à Alta Direção para análise;
6.6 – Deverão ser implantados planos de contingência e continuidade dos principais sistemas e serviços visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação. Os planos deverão ser testados, no mínimo, anualmente;
6.7 – Deverão ser criados e instituídos controles apropriados, trilhas de auditoria e/ou registros de atividades, em todos os pontos e sistemas que a Instituição julgar necessários para reduzir os riscos dos seus ativos de informação, como, por exemplo, nas estações de trabalho, notebooks, acessos à internet, correio eletrônico e nos sistemas desenvolvidos pela FUNDHERP ou por terceiros.
7 – Estrutura Normativa da Segurança da Informação
A estrutura normativa da Segurança da Informação da FUNDHERP, constituída neste documento, define a estrutura, as diretrizes e as obrigações referentes à segurança da informação; sendo composta por um conjunto de documentos com três níveis hierárquicos distintos, relacionados a seguir:
7.1 – – Subpolíticas de Segurança da Informação: estabelecem diretrizes e obrigações sobre temas específicos referentes à segurança da informação;
7.2 – Normas de Segurança da Informação: estabelecem obrigações e procedimentos específicos de acordo com o serviço (acesso aos sistemas de informação, e-mail institucional (uso obrigatório), acesso à rede sem fio etc.) disponibilizado ao usuário, definidas de acordo com as diretrizes da Política ou subpolíticas a serem seguidas em diversas situações em que a informação é tratada;
7.3 – Procedimentos Operacionais de Segurança da Informação: instrumentalizam o disposto nas Normas, nas subpolíticas e na Política, permitindo a direta aplicação nas atividades da FUNDHERP.
8 – Diretrizes
A FUNDHERP tem seus processos de segurança da informação disciplinados pelas seguintes diretrizes:
8.1 – Organização da Segurança da Informação
Definir e manter uma estrutura para gerenciar a Segurança da Informação na FUNDHERP.
8.2 – Segurança dos Recursos Humanos
Assegurar que os funcionários e terceiros entendam seus papéis e responsabilidades, antes, durante e no encerramento ou mudança da contratação, visando reduzir o risco de roubo, fraude e mau uso de recursos.
8.3 – Gestão de Ativos
Identificar e definir os controles adequados para a proteção e segurança dos ativos das Instituições.
8.4 – Controle de Acessos
Controlar os acessos à informação, recursos de informação e processos, com base nos requisitos de negócio e segurança da informação.
8.5 – Segurança Física e do Ambiente
Fornecer mecanismos físicos de proteção, que abrangem desde perímetro externo até o espaço interno de trabalho, prevenindo o acesso físico não autorizado, danos, furtos e interferências com as instalações e informações críticas da FUNDHERP.
8.6 – Gestão das Operações e Comunicações
Garantir a operação segura e correta dos recursos de informação da FUNDHERP, incluindo as atividades de rede, bem como o controle e detecção de atividades não autorizadas.
8.7 – Aquisição, Desenvolvimento e Manutenção de Sistemas
Garantir que a segurança da informação seja parte integrante de todo o ciclo de vida dos sistemas de informação.
8.8 – Gestão de Fornecedores
Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores, garantindo a proteção dos ativos da FUNDHERP acessados pelos fornecedores.
8.9 – Gestão de Incidentes e Continuidade de Negócios
Assegurar a continuidade das linhas críticas de negócio por intermédio de planos de contingência e da gestão consistente e efetiva dos incidentes de segurança da informação.
9 – Responsabilidades
As principais responsabilidades dos usuários da FUNDHERP, no que se refere aos processos e à Política de Segurança da Informação (PSI), são:
9.1 – Dos colaboradores em geral (incluindo os temporários)
9.1.1 – Entende-se por colaborador toda e qualquer pessoa física, contratada, voluntária ou prestadora de serviço, por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da FUNDHERP
9.1.2 – Será de inteira responsabilidade do colaborador, todo prejuízo ou dano que vier a sofrer ou causar à FUNDHERP e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
9.1.3 – Os colaboradores devem entender os riscos associados à sua condição e cumprir rigorosamente o que está previsto nesta e nas outras políticas aprovadas pela Diretoria.
9.1.4 – A concessão de acesso a informações e sistemas poderá ser revista a qualquer tempo se for verificada a utilização indevida ou usurpação da finalidade, indicativa de que o funcionário não esteja cumprindo com os preceitos definidos nesta política e nos documentos correlatos.
9.2 – Dos Gestores das Áreas
9.2.1 – Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os funcionários sob a sua gestão;
9.2.2 – Promover entre os funcionários sob sua responsabilidade o cumprimento desta Política e dos procedimentos de segurança que forem emitidos com este objetivo;
9.2.3 – Manter as normas e os procedimentos internos da área alinhados com esta Política;
9.2.4 – Divulgar a importância do sigilo de senhas, bem como do cuidado com seu uso, evitando caracteres de muito fácil memorização por terceiros ou o seu compartilhamento e a utilização de uma mesma senha por um grupo de funcionários;
9.2.5 – Adotar cautelas quando da admissão, transferência ou desligamento de colaboradores, a fim de evitar que documentos ou informações da FUNDHERP e de seus usuários sejam usados ou divulgados indevidamente;
9.2.6 – Analisar periodicamente a necessidade de acessos às bases de dados e a aplicativos por parte dos funcionários sob sua responsabilidade;
9.2.7 – Orientar os colaboradores que, por necessidade e natureza do trabalho, tenham de manusear ou tomar conhecimento de documentos com informações críticas, quanto ao zelo que devem ter com tais informações;
9.2.8 – Reportar à equipe de Segurança da Informação as falhas e os riscos que podem levar à exposição indevida de informações críticas.
9.3 – Da Área de Infraestrutura e Suporte
9.3.1 – Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais existentes;
9.3.2 – Configurar os equipamentos, ferramentas e sistemas concedidos aos usuários com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI, pelas Subpolíticas e Normas de Segurança da Informação complementares;
9.3.3 – Pela característica de seus privilégios como usuários, estes podem acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente. Todo acesso a arquivos e dados de outros usuários deve ser motivado e registrado;
9.3.4 – Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações;
9.3.5 – Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação;
9.3.6 – Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências;
9.3.7 – Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a FUNDHERP;
9.3.8 – Cabe à área de Suporte quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não sejam removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário;
9.3.9 – Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio;
9.3.10 – Proteger continuamente todos os ativos de informação das Instituições contra códigos maliciosos e garantir que todos os novos ativos tecnológicos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado;
9.3.11 – Garantir que não sejam introduzidas vulnerabilidades e/ou fragilidades no ambiente de produção das Instituições em processos de mudança;
9.3.12 – Definir as regras formais para instalação de software e hardware em ambiente de produção, exigindo o seu cumprimento dentro das Instituições;
9.3.13 – Realizar auditorias periódicas de configurações técnicas e análise de riscos;
9.3.14 – Monitorar o ambiente de TI, gerando indicadores e históricos de:
- Uso da capacidade instalada da rede e dos equipamentos;
- Tempo de resposta no acesso à internet e aos sistemas críticos da FUNDHERP;
- Períodos de indisponibilidade no acesso à internet e aos sistemas críticos da FUNDHERP.
9.4 – Da Assessoria Jurídica
9.4.1 – Garantir, dentro de suas respectivas competências, que os contratos celebrados com outras entidades e pessoas externas à FUNDHERP (parceiros, terceiros, prestadores de serviços, fornecedores, temporários e contratados) contenham cláusulas que preservem a segurança das informações da FUNDHERP, de seus pacientes, parceiros e funcionários.
9.5 – Dos Recursos Humanos
9.5.1 – Exigir dos funcionários o aceite do Termo de Ciência sobre a Segurança da Informação da FUNDHERP, por meio físico ou digital, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligados, sobre todos os ativos de informações da FUNDHERP;
9.5.2 – Informar as áreas pertinentes sobre o desligamento, mudança de setor ou alteração de responsabilidades de funcionários, terceiros ou prestadores de serviço.
9.6 – Responsabilidades Gerais
9.6.1 –Todas as informações trocadas e/ou armazenadas nos ativos de informação da FUNDHERP, independentemente de conteúdo, são de propriedade única e exclusiva desta instituição, devendo os usuários utilizar os recursos por ela disponibilizados para a condução dos serviços realizados em suas instalações;
9.6.2 – Compete a todos os usuários o cumprimento das diretrizes constantes desta Política e das demais políticas de Segurança da Informação;
10 – Conformidade
A utilização das informações delegadas aos usuários se destina exclusivamente a atingir os objetivos da FUNDHERP, sendo vedado qualquer tipo de divulgação fora dos conceitos desta PSI;
10.1 – Ao usuário não é dado o direito de alegar desconhecimento aos atos normativos referentes à segurança da informação da FUNDHERP, devendo cumprir rigorosamente o disposto nos documentos expedidos;
10.2 – A inobservância das Diretrizes, Políticas, Subpolíticas e Normas de Segurança da Informação sujeitam o infrator às sanções administrativas, legais e judiciais cabíveis;
10.3 – Os mecanismos de proteção aqui adotados devem estar em conformidade com a legislação vigente, com o Código de Conduta de Ética da FUNDHERP, as Normas que Regulam as Relações de Trabalho, e com a versão vigente da família de normas NBR ISO/IEC 27000. Devem evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
11 – Riscos
11.1 – A não observância dos princípios e diretrizes constantes nesta Política pode impactar seriamente os interesses da FUNDHERP, uma vez que pode implicar na violação de leis e regulamentos, afetando negativamente a reputação e a estabilidade da Instituição. Desvios e exceções devem ser tratados pela Alta Direção;
11.2 – A FUNDHERP cobrará por qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus usuários, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e judiciais, bem como adotar as medidas legais cabíveis;
11.3 – Não é cabível aos usuários o descumprimento da Política de Segurança da Informação, bem como das subpolíticas dela decorrentes, alegando desconhecimento, devendo observar integralmente suas disposições. A inobservância destas regras acarretará a apuração das responsabilidades funcionais, podendo haver responsabilização penal, civil e administrativa.
12 – Glossário
12.1 – Ativo: É qualquer coisa que tenha valor para a organização que precisa ser protegida, ou seja, patrimônio, informação, dados pessoais etc.
12.2 – Segurança da Informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações.
13 – Revisões
Esta política é revisada com periodicidade anual ou conforme o entendimento da Alta Direção.
14 – Gestão da Política
14.1 – A Política de Segurança da Informação é aprovada pela Diretoria, em conjunto com as Coordenadorias e Assessoria Jurídica da FUNDHERP.
Ribeirão Preto, 26 de agosto de 2021 (versão 01)
Prof. Dr. Rodrigo Do Tocantins Calado De Saloma Rodrigues
Diretor Técnico Científico
Dra. Eugênia Maria Amorim Ubiali
Coordenadora Médica
Elaine Teresinha Faria de Sousa
Coordenadora Técnico-Administrativa e de Gestão