BLUMENAU/SC
Rua Frederico Guilherme Busch, n.º 87
Jardim Blumenau
CEP 89010-360
SÃO PAULO/SP
Avenida Paulista, n.º 1636
Conj. 1507, Bela Vista
CEP 01310-200
CURITIBA/PR
Avenida Cândido de Abreu, n.º 526
Conj. 611-A, Centro Cívico
CEP 80530-905
PORTO ALEGRE/PR
Avenida Ipiranga, n.º 40
Conj. 603-604, Praia de Belas
CEP 90160-090
Estabelecer critérios claros e objetivos na gestão, manipulação, uso e descarte das informações disponíveis, bem como do uso dos equipamentos, softwares e demais recursos disponibilizados pela organização.
Esta política se aplica a todos na organização, desde diretoria e gestores a colaboradores, terceirizados e fornecedores.
As políticas, estratégias e processos de Segurança da Informação são supervisionados por uma comissão criada para este fim, definida pela diretoria da organização.
As políticas de segurança da informação precisam estar disponíveis em local de acesso dos colaboradores e protegida contra alterações. A nomenclatura e o código das políticas de segurança da informação precisam ser mantidos com a mesma identificação da matriz. As políticas de segurança da informação são revisadas anualmente pela matriz, encaminhadas para as unidades onde forem aplicáveis e sua revisão e publicação é de responsabilidade da unidade local após aprovação da matriz.
A presente PSI está fundamentada nos seguintes princípios:
Confidencialidade: Garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for, de fato, necessário;
Disponibilidade: Garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;
Integridade: Garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.
A Segurança da Informação na Instituição estabelece os principais controles, denominados diretrizes:
As informações da Instituição, dos clientes e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida; A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada;
O acesso às informações e recursos só deve ser feito se devidamente autorizado;
A identificação de qualquer colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades;
A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento;
Os riscos às informações da Instituição devem ser reportados à área de Segurança da Informação;
As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos colaboradores, que devem entender e assegurar estas diretrizes.
A informação deve receber proteção adequada em observância aos princípios e diretrizes de Segurança da Informação em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.
Para assegurar que as informações tratadas estejam adequadamente protegidas, a Instituição adota os seguintes processos:
• Gestão de Ativos da Informação
Os ativos da informação devem ser identificados de forma individual, inventariados, protegidos de acessos indevidos e ter documentação e planos de manutenção atualizados.
• Classificação da Informação
As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Restrita, Confidencial, Interna e Pública. Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
• Gestão de Acessos
As concessões, revisões e exclusões de acesso devem seguir o procedimento aprovado pela comissão de segurança da Informação. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador, para que seja responsabilizado por suas ações.
• Gestão de Riscos
Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Instituição, para que sejam recomendadas as proteções adequadas. Os cenários de riscos de segurança da informação são escalonados nos fóruns apropriados, para decisão.
• Tratamento de Incidentes de Segurança da Informação
Os incidentes de Segurança da Informação da Instituição devem ser reportados à Gestão de TI.
• Conscientização em Segurança da Informação
A Instituição promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação.
• Avaliação Independente da Auditoria
A efetividade das políticas de Segurança da Informação é verificada por meio de avaliações periódicas de auditoria.
• Propriedade Intelectual
Tecnologias, marcas, metodologias e quaisquer informações que pertençam à Instituição não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho.
• Declaração de Responsabilidade
Os colaboradores e prestadores de serviços diretamente contratados pela Instituição devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação. Os contratos da Instituição devem possuir cláusula que assegure a confidencialidade das informações.
• Medidas Disciplinares
As violações a esta política estão sujeitas às sanções disciplinares previstas nas normas internas das empresas da Instituição e na legislação vigente no Brasil e nos países onde as empresas estiverem localizadas.
Esta Política Corporativa de Segurança da Informação é complementada por normas específicas de Segurança da Informação em conformidade com os aspectos legais e regulamentares e aprovadas pela diretoria.
© Oliveira & Antunes
BLUMENAU/SC
Rua Frederico Guilherme Busch, n.º 87
Jardim Blumenau
CEP 89010-360
SÃO PAULO/SP
Avenida Paulista, n.º 1636
Conj. 1507, Bela Vista
CEP 01310-200
CURITIBA/PR
Avenida Cândido de Abreu, n.º 526
Conj. 611-A, Centro Cívico
CEP 80530-905
PORTO ALEGRE/RS
Avenida Ipiranga, n.º 40
Conj. 603-604, Praia de Belas
CEP 90160-090
BLUMENAU/SC
Rua Frederico Guilherme Busch, n.º 87
Jardim Blumenau
CEP 89010-360
SÃO PAULO/SP
Avenida Paulista, n.º 1636
Conj. 1507, Bela Vista
CEP 01310-200
CURITIBA/PR
Avenida Cândido de Abreu, n.º 526
Conj. 611-A, Centro Cívico
CEP 80530-905
PORTO ALEGRE/RS
Avenida Ipiranga, n.º 40
Conj. 603-604, Praia de Belas
CEP 90160-090
Política de segurança da informação – © Oliveira & Antunes