Política Geral de Segurança da Informação

1. Introdução

O escritório Medina e Guimarães Advogados oferece serviços advocatícios consultivo e contencioso, nas áreas de direito civil, direito empresarial, direito tributário, saúde, recuperação judicial, recuperação de crédito e bancário. Especializado, ainda, em atuação nos tribunais superiores.

Esta organização busca constantemente o aprimoramento jurídico, possibilitando resultados concretos para clientes e parceiros de maneira segura e moderna.

Entendemos que a informação corporativa é um bem essencial para suas atividades e para resguardar a qualidade e garantia dos serviços ofertados a seus clientes, bem como para a relação com seus prestadores de serviço, terceirizados, fornecedores, e todos aqueles que mantém uma relação comercial com o escritório.

Compreendendo todo o caminho da informação dentro da organização, o escritório Medina e Guimarães Advogados estabelece sua Política Geral de Segurança da Informação como parte integrante do processo de gestão corporativa, sempre preservando as boas práticas, no intuito de garantir níveis adequados de proteção de informações da organização ou sob sua responsabilidade.

2. Objetivo

Estabelecer procedimentos e regras de segurança em razão da manipulação de dados e informações, desde a sua coleta até o seu descarte, bem como definir as regras de uso de equipamentos de trabalho disponibilizados pela empresa para os funcionários, assegurando boas práticas e privacidade durante todo o ciclo de tratamento.
Tem como propósito final prevenir possíveis incidentes de segurança da informação, minimizando riscos e adotando controles e processos para atendimentos dos requisitos da Segurança da Informação.Medina & Guimarães Advogados.

3. Aplicação

Esta política se aplica a todo os colaboradores do escritório Medina e Guimarães, em todos os níveis hierárquicos, envolvendo terceirizados e fornecedores.
Aplica-se, também, a todos aqueles que já possuíram algum vínculo com esta organização e tinham acesso às informações e/ou fizeram uso de recursos computacionais dentro de sua infraestrutura, naquilo que lhe competir.

4. Princípios da PSI

Visando proteger os dados e informações tratados sob nossa guarda, pautamos nossa política em três princípios: confidencialidade, integridade e disponibilidade.
O princípio da confidencialidade garante que o acesso à informação seja feito apenas por pessoa autorizada e quando necessário. Já o segundo, integridade, garante que a informação não seja modificada durante o seu processamento. Por fim, o princípio da disponibilidade possibilita, aos colaboradores e membros desta organização, quando autorizado, o acesso aos dados sempre que necessário, de maneira acessível, segura e eficiente.

5. Das regras e diretrizes

Os Sócios Diretores e o Comitê Gestor de Segurança da Informação estão comprometidos com os processos necessários para que a gestão sistemática e efetiva de tudo que envolve a segurança da informação aconteça, provendo suporte para as operações a fim de minimizar os riscos identificados e seus eventuais impactos para esta instituição.
Todos os controles e mecanismos de segurança implantados são visando atender aos requisitos de confiabilidade, ou seja, confidencialidade, integridade e disponibilidade, medindo todos os riscos, ameaças e vulnerabilidades que possam existir na
organização.
As informações da organização, dos funcionários, clientes e terceirizados devem ser tratadas de forma ética e sigilosa, sempre pautada nas regras existentes, preservando a sua integridade e evitando o uso indevido.
Cada colaborador tem identificação única e intransferível, assim como acesso limitado às áreas necessárias para desempenhar suas atividades.
Periodicamente serão feitos treinamentos e conscientização relacionados à segurança da informação com todos os colaboradores.Medina & Guimarães Advogados

Além da gestão de risco, tem-se a gestão e resposta a incidentes de segurança, com planos de ação definidos para garantir a recuperação imediata do sistema de informações. Tem-se, ainda, a gestão de processos de continuidade de negócios para que, se necessário, em caso de incidentes, haja retomada rápida das atividades desta organização. Portanto, a intenção da gestão de segurança da informação dentro desta organização é garantir que seja feita de forma sistemática e efetiva, evitando que ocorram incidentes.

5.1 Políticas do Medina e Guimarães Advogados
5.1.2 Elaborar, implantar, acompanhar e seguir as normas e procedimentos de segurança da informação alinhados, garantindo que os princípios que regem está política sejam observados e atingidos por meio dos controles de eventuais ameaças internas e externas.
5.1.2 Disponibilizar as políticas, normas e todos os processos de segurança de informação para os interessados e autorizados, envolvendo empregados, terceiros, fornecedores, clientes, nas normas que lhe competirem.
5.1.3 Garantir treinamento e conscientização sobre as práticas de segurança da informação adotadas pela organização.
5.1.4 Atender e aplicar os requisitos da segurança da informação exigidos por lei, regulamentação ou cláusula contratual.
5.1.5 Tratar os incidentes de segurança da informação, garantido seu registro, investigação, classificação, correção e documentação e, quando necessário, comunicar a autoridade necessária e os titulares que puderem sofrer algum tipo de dano.
5.1.6 Ter um Plano de Continuidade de Negócio que garanta o retorno breve dos serviços em caso de incidente.
5.1.7 Buscar sempre a melhoria da gestão de segurança da informação, revisando seus objetivos e diretrizes periodicamente.

6. Responsabilidades

6.1 Comitê de Segurança da Informação

Fica constituído o Comitê de Segurança da Informação que deverá contar com a participação de pelo menos um representante da diretoria, um membro sênior das áreas de tecnologia e segurança da informação, recursos humanos, jurídico, comunicação e financeiro. É de responsabilidade do comitê:

  • Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação.
  • Garantir a disponibilidade dos recursos necessários para realização de efetiva gestão de segurança da informação.
  • Garantir que as atividades de segurança da informação sejam executadas pautadas nesta política geral.
  • Promover a divulgação e agir para que a cultura de segurança da informação seja espalhada dentro da organização.

6.2 Gerência de Segurança da Informação

A Gerência de Segurança da informação será composta por um representante do comitê que deverá:

  • Conduzir a gestão e operação da segurança da informação tendo sempre como base esta política e demais resoluções do Comitê.
  • Elaborar e propor ao Comitê as normas e procedimentos de segurança da informação necessárias para cumprimento da PGSI.
  • Identificar e avaliar as ameaças à segurança da informação existentes, bem como propor e, se aprovadas, implementar, medidas para inibir ou minimizar o risco.
  • Agir para que esta política seja cumprida por todos.
  • Realizar a gestão dos incidentes de segurança da informação de maneira adequada.

6.3 Dos gestores de pessoas e/ou processos

Os gestores deverão adotar postura exemplar no que pertine à segurança da informação, servindo de modelo e inspiração para seus liderados. Deverão, ainda:

  • Gerenciar a informação em seu setor durante todo o seu ciclo de vida incluindo a criação, captação, manuseio e descarte seguro conforme normas estabelecidas nesta política.
  • Identificar e classificar as informações geradas ou sob sua responsabilidade conforme normas, critérios, diretrizes e procedimentos adotados por esta PGSI.
  • Revisar periodicamente as informações tratadas, ajustando sua classificação se necessário.
  • Autorizar, proibir e revisar os acessos à informação e sistemas sob sua responsabilidade.
  • Solicitar a concessão ou revogação de acesso à informação  ou sistemas de informação de acordo com os procedimentos adotados por Medina e Guimarães Advogados.

6.4 Dos colaboradores e demais usuários da informação

São considerados colaboradores, toda e qualquer pessoa física, independente do regime de contratação, que exerça alguma atividade dentro ou fora desta instituição. São considerados usuários, toda e qualquer pessoa física ou jurídica que mantenha relação com esta organização, que não sejam nas modalidades de contrato de trabalho, associação ou estágio, mas que prestem algum tipo de serviço, forneça produtos ou tenham acesso a informações desta organização.

Compete às partes acima referidas:

  • Ler, compreender e cumprir integralmente as diretrizes da Política Geral de Segurança da Informação, bem como as demais normas que procedimentos de segurança que a integram.
  • Encaminhar dúvida ou pedidos de esclarecimentos sobre a política geral, suas normas e procedimentos ao responsável ou ao Comitê de Segurança da Informação.
  • Comunicar ao Comitê de Segurança da informação qualquer violação à Política ou que possa vir a gerar riscos à segurança das informações ou ameaçar a rede de computadores e/ou as tecnologias empregadas por esta organização.
  • Assinar o Termo de Uso de sistemas da informação da organização, formalizando a leitura, ciência e aceite integral da disposição da Política Geral de Segurança da Informação e as normas que a integram.
  • Será de inteira responsabilidade do colaborador/usuário os prejuízos que esta organização vier a sofrer em decorrência da não observação das diretrizes e regras definidas nesta política de segurança.

7. Sanções e punições

7.1 As violações, ainda que por omissão ou tentativa, desta política, bem como das normas e procedimentos de segurança da informação, estarão sujeitas a penalidades que incluem advertência oral, advertência escrita, suspensão não remunerada e demissão por justa causa.

7.2 A aplicação da sanção/punição será feita de acordo com a análise do CSI e levará em consideração a gravidade da infração, o efeito alcançado, eventual recorrência, observando, ainda, o disposto no art. 482, da CLT, para os contratos de trabalho regidos pela referida legislação.

7.3 Para os demais usuários, terceiros contratos ou prestadores de serviço, o CSI analisará a ocorrência e deliberará sobre aplicação de sanções/punições de acordo com previsto no contrato entre as partes.

7.4 Em caso de violação decorrente de atividade ilegal ou que gerem danos à organização, o infrator será responsável pelos prejuízos, podendo-se aplicar as medidas judiciais cabíveis, resguardado, ainda, o direito de regresso do Medina e Guimarães Advogados, além do descrito nos itens supra.

8. Casos omissos

Os casos omissos, que não tenham sido abrangidos expressamente por esta PGSI, serão avaliados e deliberados pelo CSI. As diretrizes estabilidades nesta PGSI, bem como nas demais normas e procedimentos que a integram, não se esgotam em razão da rápida e contínua evolução tecnológica e de novas ameaças. Portanto, colaboradores e usuários da informação desta organização devem, sempre que possível, adotar outras medidas de segurança além das aqui previstas, no intuito de garantir a devida proteção e manutenção das informações tratadas.

9. Glossário

9.1 Ameaça
Causa potencial de incidentes que podem resultar em danos à organização ou sistema.

9.2 Ativo
É tudo que possui valor para Medina e Guimarães Advogados, desde os tangíveis (documentos, sistemas, banco de dados, contratos, manuais, equipamentos em geral), até os não tangíveis como imagem e reputação da organização.

9.3 Ativo de Informação
Patrimônio do Medina e Guimarães Advogados constituído por suas informações de qualquer natureza, seja de caráter estratégico, técnico, administrativo, financeiro, RH, conhecimento e habilidades de sua equipe, assim como as informações
criadas ou adquiridas por meio de parceria, aquisição, compra, ou confiadas por parceiros, clientes, empregados, terceiros.

9.4 Comitê de Segurança da Informação (CSI)
Grupo de trabalho interno e multidisciplinar que tem por objetivo tratar questões ligadas à segurança da informação.

9.5 Confidencialidade
Propriedade dos ativos da informação não serem disponibilizados a pessoas, processos ou entidades não autorizadas.

9.6 Controle
Medida de segurança adotada para tratamento de um risco específico.

9.7 Disponibilidade
É o grau em que a informação está disponível para o usuário e para o sistema de informação no momento em que a organização exige.

9.8 Dispositivos móveis
Os dispositivos móveis são tecnologias digitais que permitem a mobilidade e o acesso à internet, como por exemplo os notebooks ou smartphones.

9.9 Estações de trabalho

9.10 Gestor da informação
Usuário da informação que tem cargo específico ao qual foi atribuída responsabilidade sob um ou mais ativos da informação processado pela organização.

9.11 Incidente de Segurança da Informação
Evento adverso, confirmado ou suspeito, relacionado à segurança da informação, que posa gerar a perda de um ou mais princípios básicos da segurança da informação (confidencialidade, integridade e disponibilidade).

9.12 Integridade
Manutenção das condições iniciais das informações de acordo com a forma que foram produzidas e armazenadas, sem alteração da forma original.

9.13 Risco de segurança da informação
É a probabilidade de que um agente de ameaça tire vantagem de uma vulnerabilidade e causa impacto aos ativos de negócios. Um risco vincula a vulnerabilidade, ameaça e a probabilidade de impactos ao negócio.

9.14 Segurança da informação
É a proteção da informação contra diversos tipos de ameaças, a fim de garantir a continuidade do negócio, preservando os princípios da confidencialidade, integridade e disponibilidade da informação.

9.15 Tecnologia da informação (TI)
É um conjunto de atividades e soluções providas por recursos de computação que visam a produção, o armazenamento, a transmissão, o acesso, a segurança e o uso das informações. O analista de TI é o responsável por implementar, manter e gerenciar essas atividades dentro da organização.

9.16 Vulnerabilidades
É o grau no qual um ativo, grupo de ativos ou controle(s) podem ser explorados por uma ameaça ou mais. É a ausência ou ponto fraco de uma medida preventiva que pode ser explorada. Causa potencial de incidente de segurança da informação.

10. Revisões

Esta política é revisada, no mínimo, anualmente, ou conforme entendimento do Comitê de Segurança da Informação.

11. Gestão da Política

A Política Geral de Segurança da Informação é aprovada pelo Comitê de Segurança da Informação, com conjunto com a diretoria do escritório Medina e Guimarães Advogados.

A presente política foi aprovada no dia 02.11.2020.

Medina e Guimarães Advogados
Sócio Diretor