Mensagem do Presidente

2 O Sistema Integrado Martins apresenta, atravs deste documento, as nossas Polticas e Normas de Segurana da Informao. Elas contm orientaes para nos ajudar a proteger as informaes com critrio e responsabilidade, porque sabemos que o mau uso dessas informaes pode gerar prejuzos e comprometer nosso futuro. Para que essas Polticas sejam uma realidade dentro da organizao, ser necessrio que cada um assuma um verdadeiro comprometimento com elas, sua correta e disciplinada aplicao e o seu fiel cumprimento. Sei que posso confiar em vocs. Sei que posso contar com vocs. Um abrao,

Alair Martins

Sua Atitude a Chave

Este manual foi elaborado para ajud-lo a proteger um dos ativos mais valiosos do Sistema Integrado Martins (SIM): a informao. A utilizao de forma correta e adequada das informaes muito importante para o bom andamento dos negcios da organizao, voc poder colaborar com este objetivo fazendo a sua parte. Consulte sempre esta cartilha, pois ela o resumo de tpicos importantes da nossa Poltica de Segurana da Informao.

Referncias
Este Manual de Segurana baseia-se nas Polticas e Normas de Segurana da Informao do Martins e Tribanco que foram elaboradas tendo como referncia a norma NBR ISO/ IEC 27002:2005.

Sistema Integrado Martins

O SIM composto pelas empresas Almart Administrao e Participaes S/A, Banco Tringulo S/A, Instituto Alair Martins, Martins Agropecuria S/A, Martins Comrcio e Servios de Distribuio S/A, Martins Construo Comrcio e Servios Ltda, Martins Integrao Logstica Ltda, Martins Veculos Uberlndia Ltda, Smart Varejos Ltda, Tribanco Corretora de Seguros S/A, Tricard Administradora de Cartes Ltda.

Segurana da Informao
A informao um dos ativos mais importantes para os negcios de uma organizao e, consequentemente, necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectados. A informao pode existir em diversas formas: impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Segurana da informao a proteo da informao contra vrios tipos de ameaas, para garantir a continuidade dos negcios, minimizando os seus riscos e maximizando o retorno sobre os investimentos e as oportunidades. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de sistemas e equipamentos.

Responsabilidades do usurio
As Polticas e Normas de Segurana da Informao do Martins e Tribanco so aplicveis aos: Conselheiros e Diretores; Colaboradores e Estagirios; Prestadores de Servios.

A organizao sem segurana da informao

A falta da Segurana da Informao pode trazer muitos problemas para a organizao como um todo, como por exemplo: Perda de clientes para a concorrncia; Perda de faturamento; Perda de posio no mercado; Queda na qualidade dos servios; Ocorrncia de fraudes; Exposio de informaes estratgicas.

Voc sem segurana da informao

A falta de cuidados com a Segurana da Informao pode trazer problemas no s para a organizao, mas tambm para voc, conforme exemplos abaixo: Acesso indevido a dados que estejam sob sua responsabilidade; Indisponibilidade dos recursos de trabalho (computadores danificados, sistemas lentos ou sem acesso, etc.); Registro, em seu nome, de aes que no foram executadas por voc; Desaparecimento de objetos ou acesso a dados pessoais.

Confi den cial

Uso dos Computadores

Voc responsvel pelo computador em que trabalha. Portanto, cabe a voc certificar que seu equipamento se encontra em conformidade com as normas e procedimentos de uso e manuteno. Qualquer constatao de problemas ou suspeita de acesso indevido, comunique imediatamente rea de segurana da informao. No deixe equipamentos portteis, como notebooks, handhelds e coletores de dados desprotegidos quando estiver ausente.

Confi den cial

Sigilo das Informaes

Todas as informaes geradas ou mantidas atravs dos recursos das empresas so consideradas de propriedade das mesmas, reservando-lhes o direito de auditar seus recursos, quando necessrio. Estas informaes somente podem ser utilizadas para propsitos de negcios da organizao. O acesso a estas informaes depender da atividade exercida e da autorizao do proprietrio da informao. A publicao de informaes referentes aos negcios das empresas em sites de relacionamento, como orkut, facebook, myspace e atravs de blogs pessoais proibida. Caso as empresas reconheam a necessidade de utilizao destes canais de comunicao, a autorizao dever ser emitida conforme as respectivas Diretrizes de Comunicao. Informaes referentes aos negcios das empresas do SIM no devem ser divulgadas para concorrentes ou mercado em geral. Informaes sobre clientes, prticas comerciais ou estratgias de negcio devem ser tratadas com o sigilo adequado, pois podem representar nossa vantagem competitiva. 7

Impressoras, Fax e Copiadoras

Devemos ter cuidado ao imprimir documentos, receber/enviar fax ou tirar cpias. Informaes confidenciais no podem ficar expostas em aparelhos de fax, impressoras ou copiadoras, pois outras pessoas podem recolher o documento por engano, ou at mesmo com inteno de prejudicar voc ou as empresas do SIM.

Veja as dicas:
Sempre que receber um fax, tirar uma cpia ou enviar uma impresso, retire o documento o mais rpido possvel do equipamento; Ao enviar um fax contendo informaes confidenciais, certifique-se de que o destinatrio est correto e recebeu o documento, para evitar que pessoas no autorizadas tenham acesso s informaes da organizao; No imprima um documento a menos que seja realmente necessrio.

Telefones e Conversas
importante lembrar que assuntos sigilosos no devem ser discutidos em locais abertos (elevadores, corredores, aeroportos, restaurantes, entre outros) ou em locais inseguros (txi, nibus, entre outros). Devemos ter cuidado, tambm, ao utilizarmos o viva-voz nos telefones ou aparelhos celulares, pois outras pessoas podem ouvir informaes importantes. Evite fazer reunies de trabalho nos locais pblicos da empresa. Escolha o local mais adequado para discutir os assuntos estratgicos da empresa. 9

Mesa e Tela Limpas

Voc Sabia...
Que sua mesa uma fonte de informaes?

Como devemos prevenir?

10 Ao se ausentar de seu local de trabalho, lembre-se de limpar sua mesa, guardando todo material confidencial em gavetas, armrios, salas ou cofres com tranca, evitando que as informaes caiam em mos erradas, prejudicando os negcios da organizao; No esquea, tambm, de bloquear seu computador, atravs das teclas CTRL+ALT+DEL e tecle ENTER. Assim, voc previne que outras pessoas utilizem-no de forma mal intencionada, prejudicando voc e a organizao; Vale lembrar que informaes confidenciais tambm no podem permanecer expostas em mesas de salas de reunio ou anotadas em quadros brancos/flipchart. Portanto, lembre-se sempre de levar consigo todos os documentos ao sair da sala e apagar as anotaes do quadro.

Descarte de Informaes
Voc j prestou ateno no seu lixo?
Ele tambm pode ser uma fonte de informaes para pessoas que queiram prejudicar voc ou a organizao. Ento, temos que tomar muito cuidado: Ao descartar informaes, tanto em papel quanto em outros tipos de mdia (CD, DVD, disquete, fitas, etc.), lembre-se sempre de destru-los completamente para evitar que pessoas mal intencionadas tenham acesso a estas informaes; Utilize trituradores de papel ou, na falta deste recurso, rasgue os documentos de forma que no possam ser lidos; No utilize papis que contenham informaes confidenciais como rascunho.

11

Contas de Acesso
Sua identidade de acesso, ou UserID, nos sistemas das empresas integrantes do SIM pessoal e intransfervel. Deste modo, as contas de acesso no podem ser compartilhadas com outras pessoas. O uso de sua conta de acesso, por outra pessoa, poder responsabiliz-lo por aes que no foram executadas por voc. 12 O acesso aos sistemas da empresa somente ser concedido aps ter sido devidamente autorizado por seu superior imediato e pelo responsvel pelo sistema. As justificativas devero refletir a aplicabilidade deste recurso em suas atividades na empresa.

Uso de Senha
O que uma senha?
Ela o principal recurso de segurana de acesso s informaes da empresa e escolhida por voc. A senha previne que outras pessoas utilizem sua identidade dentro da organizao, a fim de obter acesso s informaes de sua responsabilidade. 13

Mantenha o sigilo
Nunca compartilhe suas senhas, pois assim voc evita que outras pessoas utilizem informaes das empresas de forma indevida, evitando danos aos negcios. Para sua segurana, siga as orientaes abaixo: As senhas devem conter letras, nmeros e caracteres especiais (#@%) para dificultar que outras pessoas as identifiquem; Crie senhas de modo que sejam difceis de serem decifradas, mas fceis de serem memorizadas, para que no seja necessrio anot-las; Mude sua senha regularmente; O tamanho mnimo de 8 caracteres.

Vrus
Voc sabia que...
Um cdigo malicioso (ex: vrus) pode prejudicar o funcionamento do seu computador, roubar informaes e at mesmo destruir arquivos ou sistemas inteiros? 14

De onde podem vir os cdigos maliciosos?

E-mails; Dispositivos USB (Ex: Pendrive, mquinas fotogrficas digitais, celulares, entre outros); CDs, DVDs e disquetes (principalmente aqueles que vm de fora da empresa); Internet.

A preveno o melhor remdio:

Sempre verifique as informaes que voc recebe; Tome cuidado ao abrir arquivos de origem desconhecida, pois podem conter vrus e, consequentemente, contaminar seu computador, prejudicando seu trabalho e os negcios da empresa; O sistema de antivrus instalado em seu computador no pode ser desativado, bloqueado ou ter suas configuraes alteradas sem autorizao da rea responsvel, pois ele a principal garantia de que seu computador est protegido.

Uso do E-mail
O propsito principal das contas de e-mail das empresas tratar de assuntos relacionados aos negcios corporativos.

Ento vamos colaborar...

No utilize-o para o envio de mensagens do tipo corrente, ou qualquer atividade imprpria; Ao receber mensagens de origem duvidosa ou que contenham arquivos anexados, no abra ou repasse para outras pessoas. Estas mensagens devem ser apagadas imediatamente, evitando a infeco por vrus; Antes de clicar em links dentro de e-mails, verifique se so confiveis, pois podem direcion-lo a sites ou arquivos com contedo malicioso; Sempre certifique-se de que o destinatrio do e-mail est correto, para no enviar informaes confidenciais para pessoas erradas; Somente use o recurso responder a todos quando for realmente necessrio. Assim, voc diminui as chances de informaes confidenciais vazarem; Em caso de dvida sempre recorra rea responsvel pela Segurana da Informao. 15

Acesso Internet
Qualquer um, em qualquer lugar do mundo, pode acessar informaes pela Internet. Portanto, precisamos ter cuidado com o contedo acessado.

Como se proteger:
16 O acesso Internet destina-se atender exclusivamente aos interesses profissionais relacionados aos negcios das empresas; Todo acesso Internet monitorado e no pode ser utilizado para outras finalidades, exceto com prvia autorizao das reas responsveis das empresas; No permitido o acesso sites na internet que publiquem contedos imprprios (ex: pornografia, pedofilia, armas, ataques racistas e religiosos); Somente baixe arquivos da internet de fontes seguras e que sejam necessrios ao seu trabalho; O acesso aos sites de relacionamento, como orkut, facebook, myspace ou blogs pessoais, somente ser permitido quando houver justificativa de negcio associada conforme as diretrizes de comunicao vigentes.

Acesso Fsico
Seu crach sua identidade funcional e atravs dele que voc tem acesso s dependncias da empresa. Alm de distingui-lo de pessoas externas, tambm permite que o registro de sua movimentao seja gravado para eventuais consultas.

Por isso siga as dicas:

Use seu crach em local sempre visvel; No utilize seu crach para liberar o acesso de outras pessoas nas dependncias da empresa; Nunca empreste seu crach para outra pessoa; Ao receber visitantes, voc ser responsvel por acompanh-los dentro da empresa; Caso voc perca seu crach, comunique imediatamente a Portaria, Segurana Patrimonial ou Departamento Pessoal, para que seja providenciado o seu bloqueio, evitando o uso indevido de sua identificao.

17

Recursos Mveis
Laptops, Notebooks, Smartphones e Handhelds so recursos utilizados para quem viaja com frequncia ou trabalha fora do escritrio. Equipamentos portteis so muito prticos, porm vulnerveis. Estes equipamentos podem ser facilmente roubados e as informaes contidas neles podem ser utilizadas por pessoas mal intencionadas, prejudicando voc e a organizao.

18

Precaues:
Nunca deixe estes recursos em locais inseguros, evitando o roubo; Sempre mantenha estes recursos protegidos por senha, evitando o acesso de outras pessoas s informaes contidas no equipamento; Se voc carrega informaes confidenciais ou de uso interno em seu equipamento mvel, solicite a instalao de um software de criptografia em seu computador. Este recurso ajudar a manter a confidencialidade dos seus dados.

Desenvolvimento de Sistemas
Qualquer desenvolvimento ou implantao de sistemas nas empresas deve considerar aspectos de segurana, definidos pela rea responsvel pela Segurana da Informao. As Gerncias de Sistemas Aplicativos devem ser consultadas sempre que houver a necessidade de desenvolvimento ou aquisio de sistemas. Os sistemas devem possuir recursos para resguardar a confidencialidade e integridade das informaes.

19

Software
PIRATARIA ILEGAL. Portanto, no instale programas que no foram legalmente adquiridos. No permitida a aquisio, instalao ou o uso de softwares em seu computador que no estejam nos padres homologados pelas empresas ou no disponham de licena autorizada. Os gerentes e demais responsveis pelas reas das empresas so responsveis diretos pelo cumprimento das normas de segurana em suas reas de atuao.

Hardware
Dispositivos que possibilitam a cpia de informaes (Pendrives, Gravadores de CD ou DVD, etc.) somente podero ser utilizados mediante aprovao prvia da rea responsvel pela Segurana da Informao. O uso de dispositivos que possibilitem a transferncia remota de informaes, como adaptadores de FAX / MODEM, somente ser possvel aps avaliao da rea responsvel pela Segurana da Informao. No permitido o uso de hardware que no tenha sido devidamente homologado pela Diretoria de Tecnologia das empresas.

20

Incidentes de segurana
Qualquer incidente de segurana que afete os negcios das empresas devem ser reportados s reas responsveis pela Segurana da Informao, conforme a natureza do problema. Os incidentes devem ser mantidos em sigilo por aqueles que identificaram o problema e pelo responsvel da rea afetada.

Perda ou divulgao da informao

No caso de ocorrer uma perda ou divulgao indevida de informao confidencial ou de uso interno, ou mesmo existindo uma simples suspeita de que isto possa ter ocorrido, comunique-se imediatamente com a rea responsvel pela Segurana da Informao, para que medidas cabveis sejam tomadas em tempo hbil, minimizando ou evitando impactos aos negcios da organizao.

Comunicao
Todos os contatos com a mdia devem ser iniciados e gerenciados pela assessoria de imprensa da rea de Comunicao. Se necessrio, esta poder indicar um colaborador para acompanhar as entrevistas. A rea de Comunicao deve analisar as iniciativas de contato com clientes ou fornecedores atravs de meios impressos (revistas, folders, material de divulgao, etc.) ou digitais (sites, blogs, etc.). Os registros de fotos e filmagens relacionados ou coordenados pelas empresas devem ter uma cpia encaminhada ao CDMM (Centro de Documentao e Memria Martins). A rea de Comunicao responsvel pelo atendimento de visitantes nas ocasies em que houver a necessidade de apresentao institucional do SIM. A utilizao de espaos da empresa (paredes, murais, balces, outdoors, etc.) para divulgao comercial externa ou particular permitida desde que aprovada, com antecedncia, junto a rea de Comunicao e alinhada s polticas de RH. A rea de Comunicao far o monitoramento das mdias eletrnicas (sites de relacionamento, blogs, etc.) para avaliar a qualidade dos assuntos publicados relacionados empresa e seus acionistas. 21

Poltica da Segurana da Informao - Resumo

A Poltica de Segurana da Informao est estruturada para atender as principais normas de segurana da informao do mercado. Na relao abaixo veja os captulos e uma breve descrio sobre sua funo dentro dessa estrutura. A informao um dos ativos mais valiosos de uma empresa. Us-la corretamente est em suas mos. I - Segurana Organizacional: Definir os parmetros para gesto da segurana da informao nas empresas do SIM e estabelecer responsabilidades. II - Classificao e Controle dos Ativos de Informao: Assegurar que os ativos de informao sejam protegidos adequadamente. III - Segurana em Pessoas: Reduzir os riscos de erro humano, roubo, fraude, ou uso indevido dos recursos de informaes e instalaes da empresa. IV - Segurana Fsica e do Ambiente: Prevenir o acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da empresa. V - Gerenciamento das Operaes e Comunicaes: Assegurar a operao segura e correta dos recursos de processamento da informao.

22

VI - Controle de Acesso: Controlar o acesso s informaes e aos sistemas das empresas do SIM. VII - Desenvolvimento e Manuteno de Sistemas: Assegurar que os controles de segurana da informao sejam parte integrante dos sistemas operacionais e aplicativos. VIII - Gesto da Continuidade do Negcio: Assegurar a continuidade do negcio, contendo a interrupo das atividades e protegendo os processos crticos de segurana contra efeitos de falhas ou desastres significativos. IX - Conformidade: Evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. X - Excees s Polticas e Normas de Segurana da Informao: Assegurar que as excees s Polticas e Normas de Segurana da Informao sejam adequadamente tratadas, evitando que incorram em violaes de segurana.

23

Glossrio
Informao Pblica: Informao adequada com uso aberto para qualquer pessoa a qualquer instante. Sem riscos de negcio para este tipo de informao, estas podem ser publicadas abertamente, como, por exemplo, em panfletos, acesso por meio da Internet ou outros meios de disseminao no autenticveis. Informao Privada ou de Uso interno: Informaes apropriadas para acesso e uso interno da empresa, devendo ser concedida com base em uma necessidade de negcio. Informao Confidencial: Informaes com requisitos de disseminao mais restritos do que as informaes privadas. Informaes que, se reveladas, podem causar danos graves, comprometendo os negcios ou a imagem da empresa. Incidente de Segurana: qualquer evento de segurana da informao, indesejado ou inesperado, que tenha uma grande probabilidade de comprometer as operaes do negcio. UserID: Identificador de usurio para obteno de acesso a recursos de sistemas. ISO 27001:2005 e 27002:2005: So normas internacionais que possibilitam s organizaes a implementao de um Sistema de Gesto da Segurana da Informao (SGSI), atravs do estabelecimento de uma poltica de segurana, controles e gerenciamento de riscos.

24

Termo de Declarao e de Compromisso

Nome: ____________________________________________________________________________________________________ Departamento: ___________________________________________________________________________________ Empresa: ___________________________________________________________________________________________ Cargo: ____________________________________________________________________________________________________ Matrcula: __________________________________________________________________________________________ Declaro que recebi e tomei conhecimento do contedo do MANUAL DE SEGURANA DA INFORMAO e comprometo-me a cumpri-lo integralmente, sob pena de sujeitar-me s penalidades disciplinares previstas no meu contrato de trabalho e na legislao vigente. Declaro que tenho acesso s Polticas e Normas de Segurana da informao da empresa, as quais se encontram disponveis na rede interna de computadores (intranet). Tambm esto disponveis cpias impressas para consulta na Biblioteca do Sistema Integrado Martins, no Departamento de Segurana da Informao e com os Diretores, Gerentes e Supervisores de Filiais. Concordo em cumprir as regras definidas na Poltica de Segurana da informao. Entendo que o no cumprimento da mesma motivo para ao disciplinar, incluindo revogao de privilgio de sistema, podendo chegar resciso contratual bem como aes ou penalidades civis e / ou criminais. Ao trmino do contrato de trabalho, concordo em devolver empresa todo material que contenha informaes a que eu tive acesso durante e em razo da execuo de minhas tarefas profissionais. Entendo que no estou autorizado a utilizar estas informaes para propsitos particulares. Da mesma forma, declaro estar ciente de que no tenho autorizao para repassar tais informaes a terceiros sem o consentimento expresso e por escrito da empresa e seus representantes responsveis pela informao. Concordo em informar prontamente todas as violaes ou suspeitas de violao da Poltica de Segurana rea responsvel pela Segurana da Informao.

25

Data _____ /_____ /_____ Local: ___________________________________________________________

Assinatura: __________________________________________________________________________________ 1 via empresa

Termo de Declarao e de Compromisso

Declaro que recebi e tomei conhecimento do contedo do MANUAL DE SEGURANA DA INFORMAO e comprometo-me a cumpri-lo integralmente, sob pena de sujeitar-me s penalidades disciplinares previstas no meu contrato de trabalho e na legislao vigente. Declaro que tenho acesso s Polticas e Normas de Segurana da informao da empresa, as quais se encontram disponveis na rede interna de computadores (intranet). Tambm esto disponveis cpias impressas para consulta na Biblioteca do Sistema Integrado Martins, no Departamento de Segurana da Informao e com os Diretores, Gerentes e Supervisores de Filiais. Concordo em cumprir as regras definidas na Poltica de Segurana da informao. Entendo que o no cumprimento da mesma motivo para ao disciplinar, incluindo revogao de privilgio de sistema, podendo chegar resciso contratual bem como aes ou penalidades civis e / ou criminais. Ao trmino do contrato de trabalho, concordo em devolver empresa todo material que contenha informaes a que eu tive acesso durante e em razo da execuo de minhas tarefas profissionais. Entendo que no estou autorizado a utilizar estas informaes para propsitos particulares. Da mesma forma, declaro estar ciente de que no tenho autorizao para repassar tais informaes a terceiros sem o consentimento expresso e por escrito da empresa e seus representantes responsveis pela informao. Concordo em informar prontamente todas as violaes ou suspeitas de violao da Poltica de Segurana rea responsvel pela Segurana da Informao.

27

2 via colaborador