Julho 2024 - Versão 2.0 Classificação do Documento: PÚBLICO
Última atualização desta Política de Segurança da Informação disponibilizada no site https://www.sossego.com.br/politica-de-seguranca em 10 de setembro de 2024.
1. Objetivo
O objetivo desta política é estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores da Sossego adotar padrões de comportamento seguros, adequados às metas e necessidades. Garantir a confidencialidade, integridade e disponibilidade das informações. Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus empregados, clientes e parceiros. A Sossego sempre manterá esta política disponível a todos, atualizada e quando necessário divulgará seu conteúdo e/ou atualizações.
2. Referências
● Norma ABNT NBR ISO/IEC ISO 27001:2022 - Segurança da informação, segurança cibernética e proteção à privacidade - Sistemas de gestão da segurança da informação - Requisitos.
● Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018.
● Marco Civil da Internet, Lei nº 12.965/2014
3. Abrangência
Esta Política se aplica a todos os colaboradores, ex-colaboradores, prestadores de serviço, ex. prestadores de serviço, qualquer pessoa com poderes de representação da organização e suas controladas direta ou indiretamente respeitando os acordos operacionais estabelecidos, que possuíram, possuem ou virão a possuir acesso às informações da Sossego e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura.
4. Responsabilidades
As responsabilidades relativas à segurança da informação na Sossego são distribuídas entre diferentes grupos e indivíduos para garantir uma abordagem ampla e eficaz na proteção das informações. A atribuição clara de responsabilidades é essencial para a efetiva implementação e manutenção das práticas de segurança.
Direção Executiva
● Definir e endossar a política de segurança da informação.
● Assegurar a alocação de recursos adequados para a segurança da informação.
● Promover a cultura de segurança em toda a organização.
Gestores de Departamento
● Implementar e cumprir a política de segurança da informação em seus respectivos departamentos.
● Assegurar que todos os funcionários em seus departamentos estejam cientes de suas responsabilidades de segurança.
● Identificar informações sensíveis e garantir que elas sejam adequadamente protegidas.
Equipe de TI e Segurança da Informação
● Desenvolver, implementar e manter medidas de segurança técnicas.
● Realizar auditorias de segurança e avaliações de riscos regularmente.
● Gerenciar acessos e controles, incluindo a administração de privilégios de usuários.
● Responder a incidentes de segurança e recuperar sistemas e dados conforme necessário.
Colaboradores
● Cumprir todas as políticas e procedimentos de segurança da informação.
● Relatar imediatamente quaisquer suspeitas de violações de segurança ou incidentes ao departamento de TI.
● Participar de treinamentos e programas de conscientização sobre segurança da informação.
Parceiros e Fornecedores
● Aderir às exigências de segurança da informação da Sossego conforme estipulado em contratos e acordos.
● Garantir que suas práticas de segurança estão em conformidade com as expectativas e requisitos da Sossego.
Área Jurídica
● Requerer a inserção de cláusulas que obriguem o cumprimento desta Política de Segurança da Informação e demais leis, regulamentos e normas aplicáveis aos prestadores de serviços, cujos contratos tenham sua análise requerida ao departamento, assegurando que as informações sejam utilizadas apenas para sua finalidade dentro da organização e preservando sua confidencialidade.
Recursos Humanos
● Disponibilizar a política e as normas de Segurança da Informação para todos os colaboradores e assegurar que estejam cientes das diretrizes, normas e procedimentos internos;
● Notificar o desligamento dos colaboradores a equipe de DTI para tomar medidas relativas à segurança da informação, com relação bloqueios, exclusão ou transferência de direitos relativos a sessões/contas;
● Garantir que os ex-colaboradores devolvam todos os ativos de Tecnologia e Segurança da Informação à Empresa.
Oficial de Proteção de Dados (“DPO”)
● Monitorar a conformidade com as leis de proteção de dados, como a LGPD.
● Ser o ponto de contato entre a Sossego e as autoridades reguladoras.
● Garantir que os direitos dos titulares dos dados sejam respeitados e cumpridos.
Cada nível da organização têm papeis essenciais a desempenhar, e a colaboração contínua entre esses grupos é vital para manter a segurança das informações e a integridade operacional da Sossego. A conscientização e o treinamento regular são imperativos para garantir que todos os envolvidos compreendam suas responsabilidades e como suas ações impactam a segurança global das informações.
Princípios de Segurança da Informação
Segurança da Informação pode ser definida como uma série de atividades designadas para garantir a continuidade dos negócios em sistemas de informação, utilizando computadores e redes de computador visando manter a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações garantindo assim um ambiente seguro de sistemas de informação.
Segurança da Informação também significa todas as medidas preventivas, tangíveis e intangíveis, tomadas para que informações sigilosas da empresa, dados pessoais e ativos relativos à segurança da informação não sejam divulgadas a pessoas não autorizadas ou empresas concorrentes, e proteger informações valiosas da Empresa e de clientes de todos os possíveis vazamentos de informações e ameaças diversas.
Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Estrutura
A estrutura de documentos de Segurança da Informação da organização é composta por diretrizes contempladas nas rotinas de Segurança da Informação e outras áreas, as quais são complementares à presente Política. Existem documentos, processos e ferramentas que detalham as diretrizes corporativas a serem cumpridas por todos os colaboradores e terceiros associados à Organização para atingir o objetivo proposto.
Arquitetura de Segurança da Informação: Estabelece e orienta os modelos de referência e componentes tecnológicos de Segurança da Informação a serem utilizados em sistemas de informação, com base em sua criticidade para a Organização.
Gestão de ativos tecnológicos: Estabelece a gestão de ativos físicos e lógicos, considerando além dos ativos internos, também aqueles que podem ser transitados fora do ambiente tecnológico da Organização.
Classificação da Informação: Estabelece as diretrizes para a adequada classificação e proteção da informação de acordo com o nível de confidencialidade e importância que possui para os negócios da Organização.
Conscientização em Segurança da Informação: Elaborar e disseminar o programa de conscientização de Segurança da Informação.
Plano de Continuidade e Recuperação de Negócio: Estabelece e mantém a capacidade de preservação e continuidade dos negócios, considerando o mínimo necessário, ou seja, processos, pessoas, tecnologias e negócios críticos que devem ser mantidos em caso de8 cenário de crise.
Proteção de dados: Estabelece os padrões de proteção de dados de forma a manter a confidencialidade, integridade e disponibilidade dos dados da Organização.
Trabalho remoto: Estabelece ao colaborador uma modalidade de trabalho para exercer suas atividades profissionais, obedecendo sua jornada de trabalho em sua própria residência, ou em outro ambiente físico fora da empresa.
Gestão de Identidades e acessos: Controla e segrega o acesso a dados e transações, mitigando o excesso de privilégios que possam levar a vazamento de informações, acesso indevido, fraudes ou mesmo ações que impactem a imagem da Organização.
Gestão de Riscos: Estabelece diretrizes adequadas para identificação, avaliação, comunicação, tratamento e aceitação dos riscos que possam definir o nível de aceitação de riscos ocasionar impacto negativo ou positivo.
Resposta a incidentes: Atua sobre incidentes de Segurança da Informação e a resposta a estes visando a redução de impacto provocado por ações indevidas ou em não conformidade com as políticas da Organização.
Métricas e relatórios: Mantém a Organização informada quanto à exposição dos negócios a riscos de Segurança da Informação que possam comprometer a imagem, operações, saúde financeira, compliance ou sua reputação.
Segurança de redes: Mantém a proteção do ambiente de rede da Organização em relação às informações trafegadas, por meio de um conjunto de controles de Segurança da Informação.
Operações de Segurança da Informação: Realiza a sustentação das ferramentas de Segurança da Informação, processos de autorização e atendimento a dúvidas e problemas relacionados à Segurança da Informação.
Privacidade: Preserva a privacidade de dados pessoais, entendidos como aqueles que identificam ou tornam identificáveis pessoas físicas, nos processos de negócio e em canais da Organização, mediante a sua confidencialidade, integridade, finalidade, autenticidade e disponibilidade.
Monitoramento de Segurança da Informação: Monitora, correlaciona, analisa e realiza9 medições quanto à proteção, desvios de conduta, ações indevidas e/ou não autorizadas, internas e externas, de forma a preservar a segurança dos usuários, clientes, colaboradores, parceiros de negócio e das estratégias da Organização.
Seguro: Preserva a proteção dos sistemas, aplicativos e aplicações web da organização, desde suas etapas de desenvolvimento até a manutenção em ambientes de produção.
Estratégia de Segurança da Informação: Define e dá ciência à Diretoria e áreas influenciadas sobre o alinhamento de Segurança da Informação à estratégia de negócio.
Gestão de Segurança da Informação para terceiros: Estabelece as diretrizes de Segurança da Informação e avalia o cumprimento dos requisitos pelos terceiros no momento da contratação, durante as renovações e o monitoramento contínuo.
Inteligência de Ameaças: Mapeia e identifica ameaças de Segurança da Informação que possam comprometer a Organização, possibilitando ações preventivas através de soluções de segurança integradas de tecnologia, processos, procedimentos e pessoas, minimizando possíveis impactos na Organização antes que possam ocorrer, prejudicando a estratégia da organização.
Gestão de Vulnerabilidades: Minimiza o risco de Segurança da Informação da Organização mediante a identificação e direcionamento sobre as vulnerabilidades tecnológicas.
Segurança em Nuvem: Estabelece as diretrizes de Segurança da Informação e avalia o cumprimento dos requisitos em ambientes e provedores de nuvem, além de realizar o monitoramento contínuo.
Segurança Física: Estabelece diretrizes para a proteção física e de perímetro que protege os dados e informações da Organização.
Criptografia: Assegura o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.
Disposições Gerais
Os casos não previstos ou as dúvidas porventura existentes, poderão ser tratados pelo interessado junto à Gerência de Segurança da Informação via e-mail seg.info@sossego.com.br.
Penalidades
O descumprimento da política pode ocasionar medidas disciplinares.