Política Geral de

Segurança da Informação

 

 

 

 

1. INTRODUÇÃO

 

A informação é um dos principais ativos da Organização. E, para garantir as características básicas de confidencialidade, integridade e disponibilidade desta, define a estratégia de segurança da Informação.

 

Como estratégia serão observadas as melhores técnicas de detecção, prevenção, monitoramento e resposta à incidentes de maneira a fortalecer a gestão do risco de segurança.

​

2. ABRANGÊNCIA

 

Esta política se aplica a toda a informação da organização, a todos os usuários da informação da organização, incluindo qualquer indivíduo que mantenha ou manteve vínculos, tais como colaboradores, prestadores de serviços, bem como aqueles que possuam ou possuíram acesso às informações pelo uso de recursos computacionais ou não.

​

3. OBJETIVO

 

Esta política tem como objetivo estabelecer as diretrizes referentes à Segurança da Informação, estabelecendo procedimentos e recomendações, visando prevenir e responder aos incidentes de segurança.

 

Ainda, esta política tem como propósitos complementares:

​

a) Estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores adotar padrões de comportamento seguro, adequados às metas e necessidades da organização;

​

b) Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;

​

c) Resguardar as informações da empresa, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;

​

d) Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus colaboradores, clientes e parceiros;

​

e) Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da organização como resultado de falhas de segurança.

​

4. DIRETRIZES

 

A informação é um ativo pertencente à Organização, considerado de valor e utilizada pelos usuários nas suas atividades profissionais, devendo ser protegida para permitir o uso adequado na realização dos objetivos da Organização por meio de suas atividades operacionais e de negócio.

​

A Organização representada pela Presidência, Diretoria Executiva e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação e, para isto adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida, revisada periodicamente e seguida em todos os níveis da Organização.

​

Para garantir a segurança da Informação a Organização deverá:

​

a) Manter um processo contínuo de proteção à informação visando os requisitos básicos de confidencialidade, integridade e disponibilidade;

​

b) Definir e manter controles nos sistemas de tecnologia e procedimentos manuais evitando que a informação não seja criada, alterada, acessada, transmitida ou destruída de forma indevida;

​

c) Disponibilizar políticas, normas e procedimentos complementares à esta política de segurança a todas as partes interessadas e autorizadas a acessar ou usar a informação;

​

d) Manter um programa contínuo de conscientização sobre as práticas de segurança da informação para os usuários;

​

e) Atender integralmente as regulamentações, leis e/ou cláusulas contratuais que se referem a segurança da informação quando aplicáveis;

​

f) Tratar integralmente incidentes de segurança da informação, garantindo que sejam adequadamente investigados, corrigidos, registrados, classificados, documentados e, quando necessário, comunicados as autoridades apropriadas;

​

g) Implementar plano para a continuidade do negócio com objetivo de suportar situações de contingência quando houver destruição parcial ou total de recursos de informação utilizados nas atividades da Organização, considerando limites técnicos e financeiros previamente definidos;

​

h) Classificar a informação em relação ao seu nível de sigilo para permitir melhor controle;

​

i) Melhorar continuamente a Gestão de Segurança da Informação por meio da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

​

5. RESPONSABILIDADES

 

5.1. COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO - CGSI

​

O Comitê Gestor de Segurança da Informação (CGSI) fica instituído e terá a participação de, pelo menos, um representante da diretoria e um membro sênior das áreas de (i) Tecnologia da Informação, (ii) Jurídico, (iii) Administrativo e (v) Comunicação.

​

É responsabilidade do CGSI:

 

a) Analisar, revisar e propor a aprovação de políticas e normas complementares à esta política de segurança da informação;

 

b) Fomentar junto a alta direção a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;

 

c) Garantir que as atividades de segurança da informação sejam executadas em conformidade com esta política;

 

d) Promover a divulgação aos usuários da informação, bem como a conscientização sobre esta política, tomando as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Organização.

​

5.2. GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO

 

É responsabilidade da Gerência de Segurança da Informação:

​

a) Conduzir a Gestão e operacionalizar a segurança da informação na Organização, tendo como base esta política e as resoluções do CGSI;

 

b) Apoiar o CGSI em suas deliberações;

​

c) Elaborar e propor ao CGSI as normas e procedimentos de segurança da informação, necessários para se fazer cumprir esta política;

 

d) Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;

 

e) Tomar as ações cabíveis para se fazer cumprir os termos desta política;

 

f) Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.

​

5.3. GESTORES DA INFORMAÇÃO

​

É responsabilidade do gestor de cada área de negócio:

 

a) Gerenciar a informação gerada ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas definidas pelo CGSI;

 

b) Identificar, classificar e rotular a informação gerada ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos definidos na Política de Classificação da Informação;

 

c) Revisar a informação gerada ou sob a responsabilidade da sua área de negócio periodicamente, ajustando a classificação e rotulagem conforme necessário;

 

d) Autorizar o acesso à informação e sistemas de informação sob sua responsabilidade, realizando a revisão periódica deste acesso, concedendo ou revogando o acesso à informação ou sistemas de informação de acordo com os procedimentos previstos nesta política e demais normas e deliberações do CGSI.

​

5.4. USUÁRIOS DA INFORMAÇÃO

​

É responsabilidade do Usuário da Informação:

 

a) Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;

 

b) Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos a Gerência de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação;

 

c) Comunicar à Gerência de Segurança da Informação qualquer evento que viole esta Política ou possa vir a colocar em risco a segurança das informações da Organização;

 

d) Assinar o Termo de Uso de Sistemas de Informação da Organização, formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

 

e) Responder pela inobservância da Política de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.

​

6. SANÇÕES E PUNIÇÕES

 

O não cumprimento das diretrizes estabelecidas neste documento e/ou das regras definidas nas normas e procedimentos de segurança da informação serão consideradas violações e acarretará sanções administrativas e/ou contratuais, incluindo advertência verbal, advertência por escrito, suspensão não remunerada, podendo chegar à rescisão contratual por justa causa de colaboradores e estagiários, ou mesmo o cancelamento de contrato de prestação de serviços.

​

A aplicação de sanções e punições será realizada após a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado e a recorrência, sendo especificamente:

​

a) No caso de sanções e punições de colaboradores serão ainda observadas as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave e;

 

b) No caso de terceiros contratados ou prestadores de serviços, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.

​

Para o caso de violações que sejam constatadas atividades ilegais, ou que possam resultar em dano a Organização, o infrator será responsabilizado pelos prejuízos causados, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos acima desta política.

​

7. CASOS OMISSOS

 

As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol exaustivo, sendo obrigação do usuário da informação adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção da informação, sendo em última instância os novos casos e omissões avaliados pelo Comitê Gestor de Segurança da Informação.

​

8. GLOSSÁRIO

 

Ameaça: conjunto de fatores ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

 

Ativo: entidade física ou digital que tem valor para a Organização.

 

Ativo de informação: Patrimônio intangível da Organização, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a Organização por parceiros, clientes, colaboradores e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional interna ou externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.

 

Comitê Gestor de Segurança da Informação (CGSI): grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações.

​

Confidencialidade: propriedade da informação de se tornar acessível apenas a indivíduo autorizado, vedada a disponibilização ou divulgação sem tal autorização.

​

Controle: Medida de segurança adotada pela Organização para o tratamento de um risco específico.

 

Disponibilidade: Propriedade da informação de serem acessíveis e utilizáveis sob demanda, por indivíduo previamente autorizadas.

 

Gestor da Informação: Usuário da informação que ocupe cargo atribuído e específico com a responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

 

Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação, confirmado ou sob suspeita, que tem possibilidade significativa de afetar as operações ou ameaçar as informações da Organização.

 

Integridade: Propriedade da informação de serem exatos, atualizados e completos.

 

Risco de segurança da informação: Potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.

 

Segurança da informação: Ações que objetivam viabilizar e assegurar a preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da Organização.

 

Usuário da informação: Qualquer pessoa, física ou jurídica, com vínculo empregatício ou terceiros alocados na prestação de serviços da Organização, devidamente autorizados a utilizar manipular qualquer ativo de informação da Organização para o desempenho de suas atividades profissionais.

 

Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da Organização.

​

9. REVISÕES

 

Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.

​

​

Caso queira solicitar a lista de quais dados pessoais seus estão em nossa base de dados, solicitar correções/alterações ou solicitar exclusão de suas informações pessoais de nossos bancos de dados, clique aqui, você será redirecionado para o nosso canal de solicitações.

​

 

​