Política de Segurança da Informação

Código:
POL-031

Família:
Corporativo

Classificação:
Interno

Revisão:
01

1. OBJETIVO

Esta política tem como objetivo estabelecer diretrizes e normas de Segurança da
Informação que permitam aos colaboradores da Mutant adotar padrões de comportamento
seguro, adequados às metas e necessidades da empresa, aos padrões de melhores práticas
de mercado e à legislação vigente aplicável.

2. ABRANGÊNCIAS

Esta política se aplica à toda informação produzida e/ou processada pela Mutant, e à todos
os usuários de informações da Mutant, incluindo qualquer indivíduo ou organização que
possuiu, ou venha a possuir vínculo formal ou informal com a Mutant, tais como
empregados, prestadores de serviço, parceiros, colaboradores e clientes; que possuíram,
possuem ou venham a possuir acesso às informações da Mutant e/ou fizeram, fazem ou
farão uso de recursos computacionais na Mutant.

3. DIRETRIZES

3.1. A Mutant estabelece sua PSI – Política de Segurança da Informação, como parte
integrante do seu SGSI – Sistema de Gestão de Segurança da Informação e sistema de
gestão corporativa, alinhada às boas práticas de mercado e normas internacionalmente
aceitas, com adoção de medidas para proteger a propriedade, confidencialidade,
disponibilidade e integridade da informação, em qualquer forma e suporte que se
apresente – física ou digital – das diversas ameaças existentes, a fim de evitar seu uso
indevido, inadequado, ilegal ou em desconformidade com as políticas e procedimentos
internos.

3.2. A Presidência, a Diretoria Executiva e o CGSI – Comitê Gestor de Segurança da
Informação estão comprometidos com uma gestão efetiva de Segurança da Informação
na Mutant. Desta forma, adotam todas as medidas cabíveis para garantir que esta
política seja adequadamente comunicada, entendida e seguida em todos os níveis da
organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência
e adequação às necessidades da Mutant.

3.3. Todas as informações são classificadas adequadamente para definir seu tratamento
durante o seu ciclo de vida, de sua criação, transporte, transformação e eliminação. As
informações devem ser devidamente identificadas de forma clara, de acordo com sua
classificação, que são:

– Informação Confidencial / Interna: toda informação criada e/ou processada pela
Mutant e seus colaboradores deve ser considerada como Confidencial / Interna:
– A transmissão e o compartilhamento dessas pode ser realizada com partes com as
quais a Mutant tenha um “Acordo de Confidencialidade – NDA” válido ou o envio de
Políticas da Mutant desde que autorizado pela Governança Corporativa;

– A transmissão e/ou transporte dessas informações deve ser realizado utilizando-se
meios seguros e criptografados protegidos por senha, sempre que possível. Seja no
transporte por mídias removíveis, transmissão por protocolos de rede ou qualquer
outro meio. O ferramental e as chaves de criptografia devem ser geridas pela área
de TI;

– O descarte dessas informações deve ser realizado de forma segura, seja
eletronicamente ou em meios físicos, tais como: HDD, SDD, Pendrive etc.

– Informação Pública: toda informação que pode ser divulgada livremente, sem causar
impacto negativo à Mutant, tais como: campanhas publicitárias aprovadas e liberadas
pelo Marketing para divulgação. Toda informação pública deve ser devidamente
identificada como tal.

– Qualquer forma de transmissão, divulgação, transferência ou qualquer outro tratamento
/processamento de informações sem seguir as diretrizes estabelecidas por essa política e
normas acessórias é expressamente proibido sob pena de processo civil e/ou criminal,
além da aplicação das leis trabalhistas, podendo resultar na rescisão do contrato de
trabalho.

3.4. Gestão de Incidentes de Segurança
– A área de SI – Segurança da Informação deve manter um processo de gestão de
incidentes de segurança que defina pelo menos os seguintes pontos:
– Responsabilidades por cada etapa do processo;
– Forma de reportar os incidentes de maneira fácil e ágil;

– Orientação e treinamento aos usuários sobre a forma de identificar vulnerabilidades
e relatar incidentes;
– Forma de classificar um evento de segurança para se certificar que se trata de um
incidente;
– Procedimentos para tratar os incidentes de segurança;
– Uma base de conhecimento para estabelecer um processo de melhoria contínua na
resolução de incidentes de segurança;
– A coleta de evidências sempre que for possível.

3.5. Segurança de Fornecedores
Os fornecedores da Mutant devem tomar ciência e aceitar a PSI – Política de Segurança da
Informação e documentação acessória que seja pertinente. A Mutant por sua vez deve
realizar as verificações necessárias para garantir que os fornecedores estão seguindo suas
políticas de forma efetiva, sempre que necessário.

3.6. Continuidade dos Negócios
Visando evitar interrupção na condução dos negócios da empresa caso apresentem falhas ou
indisponibilidades, cada área de negócio deve criar seu plano de continuidade dos negócios
que engloba, entre outros aspectos, questões relacionadas à segurança da informação. A
segurança da informação deve participar da definição do processo de continuidade dos
negócios e de seus testes regulares.
A área de Segurança da Informação deve se certificar que o plano de continuidade de
negócios não reduz o nível de segurança ou expõem informações de forma indevida.

3.7. Desenvolvimentos de Sistemas
Para garantir a segurança do desenvolvimentos de sistemas, a Mutant possui os seguintes
controles:
– Restrição de acesso ao código fonte das aplicações baseado na necessidade de acesso;
– Definir regras de desenvolvimento seguro, visando evitar a entrega de aplicações que
apresentam vulnerabilidades;

– Segregação dos ambientes de desenvolvimento, testes/homologação e produção;
– Utilização de dados fictícios no processo de desenvolvimento e testes/homologação,
sempre que possível;
– Proteção dos dados de teste/homologação;
– Política de desenvolvimento seguro;
– Política de atualização de sistemas em produção visando minimizar interrupções não
planejadas;
– Homologação de novos sistemas operacionais visando garantir compatibilidade;
– Ambiente de desenvolvimento seguro, visando garantir a segurança de todo o ciclo de
desenvolvimento;
– Realização de testes de segurança nas aplicações desenvolvidas antes de sua entrega;
– Realização de testes de funcionalidades nas aplicações antes de sua entrega;
– Monitorar as atividades de desenvolvimento que sejam realizados por terceiros.

4. RESPONSABILIDADES:

4.1. Responsabilidades da Segurança da Informação:
– Definir de padrões de segurança que atendam às demandas legais e do negócio, em
alinhamento com as diretrizes de Governança Corporativa, assim como orientar todas
as áreas da empresa sobre tais padrões e exigir seu cumprimento;
– Escrever políticas que atendam aos padrões de segurança estabelecidos, e definir
controles que auxiliem nos seus cumprimentos, assim como garantir que a política
esteja revisada, conforme periodicidade definida pela Governança Corporativa;
– Auxiliar no processo de avaliação e homologação de ferramental para atender
controles;
– Com base na legislação em vigor (LGPD – Lei Geral de Proteção de Dados), definir as
diretrizes e atribuições que garantam a preservação da identidade e da privacidade
dos titulares das informações armazenadas e processadas pela Mutant;
– Definir os requisitos mínimos de segurança da informação para qualquer sistema ou
serviço a ser adquirido pela empresa:
– Requisitos de autenticação;

– Requisitos de segurança na transmissão de dados;
– Requisitos de proteção do dado armazenado;
– Requisitos de controle de acesso;
– Requisitos de auditoria e conformidade com a legislação e regulamentação
pertinente.

– Auxiliar no processo de definição de configuração de ferramental para atender aos
controles;
– Definir indicadores de InfoSec visando obter informações que garantam a melhoria
contínua no ambiente corporativo;
– Receber e avaliar indicadores das BUs (Unidades de Negócios);
– Apoiar as BUs na definição de políticas de mesa e tela limpa nos ambientes onde
essa regra se faz necessária por quesitos da Mutant ou de clientes;
– Fazer a gestão das vulnerabilidades do ambiente com a utilização de ferramental
adequado e do apoio de TI para a correção das mesmas:

– Coordenar junto à TI a realização das varreduras, visando reduzir possíveis
impactos indesejáveis no ambiente;
– Contratar, conforme necessário, serviços terceirizados para a realização de
análises de vulnerabilidades e testes de intrusão independentes;

– Gerir o CGSI – Comitê Gestor de Segurança da Informação;
– Definir e difundir uma diretriz para o uso de BYOD (dispositivos pessoais com acesso
à recursos tecnológicos e informações da Mutant).

4.2. Responsabilidade do CGSI – Comitê Gestor de Segurança da Informação;
– O CGSI é responsável por auxiliar no processo de alinhamento das necessidades
legais, estratégicas e de negócios aos controles de SI – Segurança da Informação, e
de disseminar a cultura de InfoSec pela Mutant;
– Revisar e aprovar a PSI – Política de Segurança da Informação;
– Dentre as atribuições de seus membros, encontram-se:
– Revisar e aprovar a PSI;
– Comparecer a todas as sessões do comitê;

– Disseminar dentro de suas respectivas áreas de atuação a cultura de segurança
da informação;
– Apresentar demandas relacionadas à InfoSec de suas respectivas áreas.
– Reportar ao conselho da empresa e seus representantes legais temas de
segurança da informação considerados relevantes;
– O Comitê deverá se reunir ordinariamente em intervalos de 30 dias para
realização das atividades descritas acima. Caso ocorram incidentes ou fatos
relevantes uma reunião extraordinária poderá ser convocada pela coordenação
do CGSI;
– O CGSI é composto por representantes das seguintes áreas internas da Mutant:
TI, Jurídico, Marketing, comercial, Financeiro, RH, Inovação e Governança
Corporativa. A organização do CGSI é de responsabilidade da área de InfoSec.

4.3. Responsabilidades da Governança Corporativa:
– Determinar as responsabilidades gerais na gestão de segurança da informação, bem
como estabelecer diretrizes e oferecer suporte às iniciativas de segurança da
informação;
– Revisar e garantir a aprovação das políticas relacionadas à segurança da
informação;
– Participar do CGSI – Comitê Gestor de Segurança da Informação;
– Identificar e mapear toda a legislação e regulação relevante sob as quais a Mutant
precisa estar em conformidade;
– Estabelecer regras para a segregação de funções conflitantes, com o objetivo de
evitar mal uso intencional ou não de ativos e informações da empresa.

4.4. Responsabilidades de TI – Tecnologia de Informação:
– Administrar a infraestrutura de tecnologia da informação de forma a garantir a
disponibilidade do ambiente de rede e demais dispositivos, de acordo com às
melhores práticas de mercado, e às demandas internas e de clientes;
– Manter atualizado um inventário dos ativos e sistemas utilizados pela empresa,
garantindo que somente equipamentos autorizadas tenham acesso às informações da Mutant, e que não sejam instaladas aplicações não aprovadas ou cujas quais não
temos o devido direito de uso e/ou licenciamento. Esse inventário deve conter, entre
outras informações, quem é o responsável pelo ativo registrado;

– Garantir que logs sejam gerados, armazenados e tratados de acordo com as
demandas do negócio, legais e de clientes;
– Esses logs devem ser protegidos contra acesso/alteração indevido;
– Atividades realizadas por usuários com credenciais de “administrador” ou
similares devem ser registradas em logs e revisadas regularmente.
– Receber os ativos devolvidos por funcionários que forem desligados ou que
receberem alguma atualização de equipamento, e realizar os procedimentos
adequados;
– Identificar e garantir junto aos provedores de conectividade o nível de serviço
adequado à manutenção do bom funcionamento da rede Mutant;
– Garantir que os equipamentos utilizados para armazenamento e processamento de
informação tem capacidade para desempenhar seu papel, evitando assim
interrupções indesejadas;
– Implantar e gerir um processo de controle de acesso à rede, aplicações e informação
baseado nos conceitos de “menor privilégio” e “necessidade de acesso”, que definem
a concessão de acesso à menor quantidade de informação e com o menor privilégio
possível para a realização de suas funções e atender as demandas do negócio;
– Garantir que os sistemas operacionais instalados nos equipamentos da Mutant
seguem os padrões de segurança definidos por SI – Segurança da Informação;
– Garantir a correção das vulnerabilidades identificadas por SI em tempo adequado;
– Seguir os procedimentos de trabalho em áreas seguras definidos por SI;
– Garantir que o relógio de todos os equipamentos da Mutant estão sincronizados de
acordo com o padrão estabelecido pela empresa;
– Elaborar e manter um processo de backup, garantindo que as informações da Mutant
são protegidas. Esse processo deve seguir pelo menos as seguintes regras:
– Conter o inventário dos dados dos quais serão geradas cópias de segurança;
– Descrever o esquema com a periodicidade da realização das cópias de segurança;
– Basear o período de armazenamento dessas cópias em parâmetros de negócio,
necessidades legais, regulatórias ou de clientes;
– Realizar testes frequentes e atualização de tecnologia, visando garantir a
capacidade de recuperação desses dados caso seja necessário;
– Manter ao menos uma cópia de segurança off-line, evitando assim uma possível
infecção por ransomware, com o período determinado com base na necessidade
do negócio.

– Implantar e gerir um processo de gestão de acessos que englobe toda a vida do usuário
dentro da empresa, contemplando questões de segregação de acesso, desde o
provisionamento de sua credencial baseada em perfil de função (e não em espelhamento
de usuário), adequação de acesso baseado em mudança de função, revisão de acesso
regular, remoção do usuário em todos os sistemas em ocasião de seu desligamento;
– Acessos privilegiados devem ser tratados de forma a garantir sua necessidade
efetiva e sua revisão regular;
– As credenciais geradas durante a criação de um novo usuário deve seguir os
mesmos requisitos de segurança dos demais usuários e deve ser individual,
evitando o uso de “senhas padrão” ou o uso de informações pessoais de fácil
acesso;
– A transmissão das credenciais aos novos usuários deve ser realizada de forma
segura;
– Toda senha gerada durante a criação do usuário deve ser alterada pelo mesmo
em seu primeiro acesso;
– Toda senha deve ser alterada em períodos não maiores que 90 dias;
– Toda senha deve expirar, salvo em situações onde seja tecnicamente impossível
ou por questões de necessidade do negócio;
– Todo sistema que permita tal configuração deve exigir uma senha segura, com no
mínimo 8 caracteres e demais exigências a serem definidas de acordo com a
aplicação e a criticidade das informações ali armazenadas e processadas;
– Toda senha deve ser pessoal, identificada e intransferível.
– Senhas de sistema poderão ser utilizadas quando não houver alternativa técnica
disponível;

– Garantir que toda informação seja removida de forma segura dos equipamentos que
forem descartados;
– Manter em seus quadros profissionais de ITSec, visando apoiar a implantação e gestão
do ferramental necessário para atender aos controles definidos pela PSI – Política de
Segurança da Informação. Esses profissionais têm as seguintes atribuições:
– Garantir a aderência do ambiente de TI aos padrões de segurança definidos pela PSI;
– Implantar os controles definidos pela PSI;
– Definir ferramental para atender controles;
– Definir configurações de ferramental de controle;
– Gerar indicadores de SI para InfoSec;
– Proteger o ambiente contra qualquer tipo de malware;
– Responder a incidentes de segurança da informação;
– Manter base de conhecimento sobre incidentes de segurança da informação;
– Atender demandas de ITSec das BUs via CSC.

4.5. Responsabilidade do Jurídico:
– Orientar os demais membros do CGSI – Comitê Gestor de Segurança da Informação
quanto a aspectos legais, requisitos regulamentares e contratuais que possam ser
relevantes às questões de segurança da informação;
– Inserir cláusulas contratuais que contemplem a responsabilidade dos fornecedores no
cumprimento da PSI, além das normas e procedimentos internos vigentes;
– Auxiliar na avaliação dos incidentes de InfoSec causados por funcionários,
prestadores de serviços e terceiros recomendando e/ou aplicando as sanções
disciplinares cabíveis, leis trabalhistas, bem como a reavaliação de contratos de
prestação de serviços;
– Elaborar e aplicar, quando necessário, “acordo de não divulgação” entre a Mutant e
partes terceiras envolvidas (clientes e fornecedores).

4.6. Responsabilidade de Facilities:

– Garantir a segurança com controle de acesso físico a todo ambiente que armazene
e/ou processe informações críticas ou sensíveis, certificando-se que somente o
pessoal autorizado terá acesso;
– Garantir a segurança de salas, prédios e escritórios onde a informação é armazenada
e processada;
– Proteger as áreas de armazenamento e processamento de informação contra ações
climáticas e ambientais;
– Garantir a segurança de áreas de carga e descarga, mantendo-as isoladas dos
ambientes de armazenamento e processamento;
– Garantir que os equipamentos estão instalados de forma adequada, visando reduzir o
risco de danos e interrupção de serviço;
– Os equipamentos devem ser alimentados com fontes de energia redundante baseado
em sua criticidade para a operação;
– Os cabos de dados e fiação elétrica devem ser protegidos em todo seu trajeto,
evitando vazamento de dados e interrupção de serviços;
– Os equipamentos devem ser revisados regularmente para garantir seu
funcionamento sem falhas;
– Garantir que a entrada e saída de equipamentos seja realizada com a devida
autorização.

4.7. Responsabilidade de Recursos Humanos:
– Garantir que os funcionários recém contratados tomem ciência dos regulamentos
exigidos pela empresa, tais como: PSI – Política de Segurança da Informação, código
de conduta, termo de confidencialidade, uso aceitável de recursos tecnológicos,
proteção de propriedade intelectual etc.;
– Informar imediatamente à área de TI toda contratação, mudança de função/cargo,
assim como o desligamento de todo funcionário da empresa, para que seus acessos
possam ser devidamente criados e adequados à nova situação ou
desativados/removidos

4.8. Responsabilidade do Gestão de Fornecedores:
– Manter uma relação atualizada dos prestadores de serviço;
– Em conjunto com a área contratante, realizar a avaliação do prestador de serviço
quanto ao atendimento aos requisitos e diretrizes de segurança da informação da
Mutant.

4.9. Responsabilidade da Liderança:
– Gerenciar o cumprimento da PSI – Política de Segurança da Informação, por parte de
seus diretos e prestadores de serviços;
– Garantir que o pessoal sob sua gestão compreenda e desempenhe o seu papel
dentro do CGSI;
– Garantir a gerência adequada das mudanças que possam gerar impactos à
segurança da informação;
– Documentar, publicar e manter atualizados os procedimentos operacionais realizados
por sua equipe;
– Comunicar imediatamente a área de InfoSec, em caso de incidente de segurança da
informação identificados em suas respectivas áreas.

4.10. Responsabilidade de Todos os Colaboradores:
– Observar e fazer cumprir todas as diretrizes gerais de Segurança da Informação da
Mutant;
– Participar dos treinamentos de InfoSec aos quais for convocado;
– Tomar ciência e assinar os documentos que regulamentam o SGSI;
– Comunicar imediatamente a área de InfoSec, na ocorrência de um incidente de
segurança da informação;

Os colaboradores que não cumprirem as regras estabelecidas na PSI – Política de Segurança
da Informação e no Código de Conduta da Mutant estão sujeitos à sanções disciplinares que
podem resultar em seu desligamento.