Política de Segurança da Informação

1. Finalidade, escopo e usuários

O objetivo desta Política de alto nível é definir a finalidade, a direção, os princípios e as regras básicas de gestão da segurança da informação.

Esta política aplica-se a todo o Sistema de gestão da segurança da informação (SGSI), como definido no documento de escopo do SGSI.

Os usuários deste documento são colaboradores da VipRede, assim como as partes externas relevantes.

2. Documentos de referência

Norma ISO/IEC 27001, cláusulas 2 e 5.3

DO-SGSI-001 – Documento sobre o escopo do SGSI

ME-SGSI-001 – Metodologia de avaliação e tratamento de riscos

DE-SGSI-001 – Declaração de aplicabilidade

Controle de obrigações Legais, Regulamentares e Contratuais

3. Terminologia básica de segurança da informação

Confidencialidade – características das informações que estão disponíveis somente para pessoas autorizadas ou sistemas.

Integridade – características das informações que somente são alteradas somente por pessoas da forma permitida.

Disponibilidade – características das informações que somente pode ser acessada por pessoas autorizadas quando for necessário.

Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação

Sistema de gestão da segurança da informação – a parte do sistema de gestão que cuida do planejamento, implementação, manutenção, revisão e aprimoramento da segurança da informação

4. Gerenciando a segurança da informação
4.1 Objetivos e medição

Os objetivos gerais para a gestão de segurança da informação são os seguintes:

Atender as exigências da Alta Direção relacionadas às demandas de mercado para para a área de segurança da informação;

Conscientizar os colaboradores sobre a importância da segurança da informação;

Garantir a eficácia dos controles de segurança aplicáveis para assegurar a confidencialidade, integridade e disponibilidade das informações.

Para alcançar os objetivos definidos para o SGSI, é determinado o Planejamento Anual Objetivos SGSI e este é acompanhado periodicamente nas reuniões de análises críticas do SGSI,, onde são verificados os índices de atendimento conforme indicadores definidos.

A Presidência, Diretoria Executiva e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação na VipRede. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da VipRede.

4.2 Requisitos de segurança da informação

Esta Política e todo o SGSI deve estar em conformidade com os requisitos legais e regulamentares levantes à organização na área de segurança da informação, bem como com as obrigações contratuais.

Os requisitos contratuais e legais serão registrados e controlados através do Portal ISO.

4.3 Controles da segurança da informação

Os processos para selecionar os controles (salvaguardas) estão definidos na Metodologia de Avaliação de Riscos e de Tratamento do Risco.

Os controles selecionados e seu status de implementação estão listados na Declaração de Aplicabilidade.

4.4 Responsabilidades

As responsabilidades básicas para o SGSI são:

O Chief Security Officer – CSO deve:

Garantir que o SGSI seja implementado de acordo com esta Política e para garantir todos os recursos necessários.

Pela coordenação operacional do SGSI, bem como reportar sobre o desempenho do SGSI.

Implementar em conjunto com o RH um programa de Treinamento e Ações de Conscientização sobre segurança da informação para os colaboradores e todas as pessoas que têm uma função na gestão da segurança da informação.

O Comitê Gestor De Segurança Da Informação (CGSI) deve:

Analisar o SGSI pelo menos uma vez por ano ou sempre que ocorrer uma mudança importante e elaborar minutas sobre a reunião. A finalidade da revisão da gestão é definir a adequabilidade e a eficácia do SGSI.

Garantir que as atividades de segurança da informação sejam executadas em conformidade com o SGSI.

Tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da VipRede.

A equipe de Segurança da Informação deve:

Propor metodologias, processos e iniciativas que visem à segurança da informação.

Promover a conscientização dos funcionários em relação à relevância da segurança da informação para a VipRede, através de ações conjuntas com o RH.

Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.

Segregar as funções administrativas, operacionais e educacionais a fim de restringir ao mínio necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.

Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.

Habilitar trilha de auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes em transações críticas. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.

A equipe de Suporte de TI deve:

Configurar os equipamentos, ferramentas e sistemas concedidos aos funcionários com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos nesta política e pelas normas de segurança da informação complementares.

Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a VipRede.

Gestores de Pessoas e/ou Processos devem:

Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os funcionários sob a sua gestão.

Verificar se os funcionários sob sua gestão, na fase de contratação e de formalização dos contratos individuais de trabalho e de prestação de serviços foram informados desta política e se foi coletado o aceite.

Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta política de segurança da informação.

O Escritório da Qualidade deve:

Acompanhar a conformidade e a qualidade dos controles.

Apoiar o Diretor de Operações nos registros de controles.

Os usuários da Informação devem:

Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança do SGSI.

Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação, e das normas e procedimentos de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação.

Comunicar ao Chief Security Officer (CSO) qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da VipRede.

Assinar o Termo de Aceite formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento.

Responder pela inobservância da Política de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.

A proteção da integridade, disponibilidade e confidencialidade é responsabilidade do proprietário de cada ativo.

Todos os incidentes e as fragilidades de segurança devem ser reportados ao Chief Security Officer – CSO e ele irá definir quais informações relativas à segurança da informação serão comunicadas para qual parte interessada internamente e externamente, por quem e quando.

4.5 Comunicação da política

O Chief Security Officer – CSO deve garantir que todos os funcionários da VipRede, bem como todos as partes externas apropriadas conheçam esta Política.

4.6 Sanções e Punições

As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.

A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.

No caso de terceiros contratados ou prestadores de serviço, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.

Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a VipRede, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos no item 4.6 desta política

5. Suporte para a implementação do SGSI

Deste modo, a alta direção da VipRede declara que a implementação do SGSI e seu contínuo aprimoramento serão suportadas pelos recursos apropriados para alcançar todos os objetivos definidos nesta Política, assim como atender todos os requisitos identificados.

6. Validade e gestão de documentos

Este documento é válido a partir de sua aprovação no GED dentro do Portal ISO.

O proprietário do documento é o Chief Security Officer – CSO, que deve verificar e, se necessário, atualizar o documento pelo menos uma vez por ano.

Ao avaliar a eficácia e a adequação deste documento, os seguintes critérios devem ser considerados:

Quantidade de funcionários e terceiros que têm um papel no SGSI, mas não conhecem este documento

Não conformidade do SGSI com as leis e as regulamentações, as obrigações contratuais e outros documentos internos da organização

Ineficácia da manutenção e da implementação do SGSI

Responsabilidades confusas na implementação do SGSI

Versão 1