1 – OBJETIVO
Esta política estabelece as diretrizes e critérios para orientar os colaboradores, clientes, parceiros de negócios e fornecedores, sobre a preservação das propriedades da informação, notadamente sua confidencialidade, integridade e disponibilidade, permitindo o uso e o compartilhamento da informação de forma controlada e segura, bem como do monitoramento e tratamento de incidentes provenientes de ataques cibernéticos.
Essa política tem como princípios norteadores:
⮚ A confiabilidade das informações através da preservação da confidencialidade, integridade e disponibilidade dos dados tratados pela empresa;
⮚ O compromisso da empresa no processo com a proteção das informações de sua propriedade e/ou sob sua guarda;
⮚ A participação e cumprimento por todos os colaboradores, parceiros e fornecedores da proteção da informação em todo o processo, conforme definido na política.
2 – ABRANGÊNCIA
Esta política se aplica a todos aqueles que exerçam, ainda que transitoriamente, acesso às informações e processos de negócios do METROCOR.
3 – DEFINIÇÕES
Para fins da presente política, consideram-se:
3.1. Informação: conteúdo de valor para uma organização ou profissional que deverá ser protegida para mantê-la;
3.2. Classificação da Informação – Processo que compreende a identificação e definição de níveis e critérios de proteção para as informações, de forma a garantir sua confidencialidade, integridade e disponibilidade.
3.3. Confidencialidade: garantia de que a informação é acessível somente às pessoas autorizadas.
3.4. Integridade: salvaguarda da exatidão e dos métodos de processamento da informação.
3.5. Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.
3.6. Segurança: medidas de proteção contra perigos, ameaças e incertezas;
3.7. Risco: estabelece a relação entre probabilidade e impacto, ajudando a determinar onde concentrar investimentos em segurança da informação;
3.8. Ameaça: elemento externo capaz de explorar vulnerabilidades existentes para que pode ocasionar prejuízo em um sistema ou à uma organização;
3.9. Vulnerabilidade: fragilidade de um ativo ou de um controle que pode ser explorado por uma ou mais ameaças;
3.10. Riscos Cibernéticos: riscos de ataques cibernéticos, internos ou externos, oriundos de malware, técnicas de engenharia social, invasões, ataques de rede (DDos e Botnets), sabotagem, bem como violação de acessos e privacidade, que podem desproteger dados, redes e sistemas da empresa causando danos financeiros e de reputação ou imagem.
3.11. Gestão de Risco: Atividades coordenadas para dirigir e controlar uma Organização em relação ao risco, aplicabilidade de suas políticas de segurança bem como monitoramento e revisão dos riscos;
3.12. Incidente de Segurança da Informação – Indicação de eventos indesejados ou inesperados que possam colocar em risco as informações armazenadas em meio físico ou eletrônico sob a guarda desta Empresa ou que tenham grande probabilidade de comprometer as operações do seu negócio e ameaçar a segurança da informação.
3.13. Plano de Continuidade do Negócio: fornece estratégias para garantir que serviços essenciais sejam identificados, para garantir sua preservação após a ocorrência de um desastre e até o retorno da situação normal de funcionamento da instituição. Também prevê quais planos de ação devem ser realizados em cada momento.
4 – COMPETÊNCIAS
4.1. A Direção compete:
4.1.1. Deliberar sobre as diretrizes e normas de caráter geral, políticas e estratégias em Segurança da Informação.
4.1.2. Aprovar a Política de Segurança da Informação do METROCOR.
4.1.3. Acompanhar a implementação da Política de Segurança da Informação.
4.2. Responsável pela Tecnologia da Informação
4.2.1. Participar permanentemente do Comitê de Segurança da Informação e Proteção de Dados.
4.2.2. Propor medidas técnicas e administrativas para garantir a segurança da informação nas dependências do METROCOR ou onde as informações para uso na empresa estiverem sendo coletadas, processadas, em trânsito ou armazenadas.
4.2.3. Orientar sobre questões de segurança da informação de forma que todos os profissionais do METROCOR tomem ciência das melhores práticas para este objetivo.
4.2.4. Convocar, além dos membros permanentes, e quando julgar necessário, outros profissionais para participarem das reuniões do Comitê de Segurança da Informação e Proteção de Dados.
4.2.5. Homologar os sistemas de informação e operação de TI.
4.2.6. Validar as Normas e Procedimentos de Segurança da Informação.
4.3. O Comitê de Segurança da Informação e Proteção de Dados compete:
4.3.1. Propor diretrizes e normas de caráter geral, políticas e estratégias em segurança da informação.
4.3.2. Elaborar o planejamento e gestão da Segurança da Informação.
4.3.3. Elaborar documentos necessários à Segurança da Informação.
4.3.4. Elaborar, divulgar para as partes interessadas, manter e aperfeiçoar os indicadores de Segurança da Informação.
4.3.5. Elaborar, implementar, manter e melhorar o Plano de Continuidade de Negócios.
4.3.6. Coordenar programas de treinamento e de conscientização em Segurança da Informação.
4.3.7. Analisar os incidentes de Segurança da Informação e recomendar as ações corretivas.
4.3.8. Assegurar que o sistema de gestão da segurança da informação esteja em conformidade com os requisitos da norma ISO vigente.
4.3.9. Relatar o desempenho do sistema de Gestão da Segurança da Informação para a Alta Direção.
4.4. Responsável do RH / Gerente de Recursos Humanos
4.4.1. Apoiar a os projetos de disseminação da Cultura de Segurança da Informação junto aos recursos humanos do METROCOR.
4.4.2. Usuário da informação
4.4.3. Desenvolver suas atividades profissionais segundo as determinações e orientações definidas na Política de Segurança da Informação, suas normas, procedimentos e no Código de Conduta da empresa.
4.4.4. Sugerir ao responsável pela segurança da informação sobre as melhorias e mudanças necessárias, visando manter a Política de Segurança da Informação atualizada e aderente às necessidades do METROCOR.
4.4.5. Não fazer uso indevido das informações da empresa que possui e manter a confidencialidade delas.
4.5. Comunicação interna, compete:
4.5.1. Elaborar, em parceria com o Comitê de Segurança da Informação, um plano de comunicação da Política de Segurança da Informação.
5 – DIRETRIZES
O METROCOR possui políticas e procedimentos para assegurar que as informações estejam adequadamente protegidas, baseadas nos requerimentos mínimos exigidos pelos Órgãos Reguladores, nas melhores práticas reconhecidas pelo mercado. As diretrizes e normas referentes à Política de Segurança da Informação serão estabelecidas:
5.1. Gestão de Ativos da Informação:
Os ativos da informação devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos, de eventuais adulterações de dados e ter documentação e planos de manutenção atualizados;
5.2. Proteção da Informação
5.2.1. As informações geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas pelas unidades do METROCOR devem ter mecanismos de proteção adequados, de forma a resguardar sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
5.2.2. Os mecanismos de proteção devem estar em conformidade com a legislação vigente e com a versão vigente das normas de Segurança da Informação da ISO 27001.
5.3. Classificação da Informação
As informações devem ser classificadas de forma a serem protegidas adequadamente, conforme legislação prevista para cada tipo de informação no METROCOR.
5.4. Controle de Acesso às Informações
Toda informação utilizada pelas unidades do METROCOR deve ter seu acesso controlado e o uso permitido apenas aos usuários devidamente autorizados.
5.5. Educação em Segurança da Informação
Os usuários devem ser instruídos para a correta utilização das informações, dos recursos computacionais e dos sistemas e serviços disponibilizados pelo METROCOR.
5.6. Gestão de Continuidade do Negócio
O METROCOR é responsável por elaborar e manter um plano de continuidade de negócios, de acordo com a sua necessidade, de forma a reduzir os impactos decorrentes da interrupção de serviços causada por desastres ou falhas da segurança. Deve existir, para cada situação, um plano de continuidade, contendo informações mínimas para recuperação do serviço.
5.7. Gestão de Riscos
5.7.1. O METROCOR é responsável por implementar e manter um processo de gestão de riscos com vistas a minimizar possíveis impactos à confidencialidade, à integridade e à disponibilidade das suas informações.
5.7.2. O processo de gestão de riscos deve possibilitar a seleção e priorização dos ativos a serem protegidos, bem como a definição e implantação de controles para a identificação e tratamento de problemas de segurança.
5.7.3. As medidas de proteção devem ser planejadas e os custos na aplicação de controles devem ser balanceados de acordo com os possíveis danos que venham a ser provocados por falhas de segurança.
5.8. Tratamento de Incidentes
Devem ser estabelecidos procedimentos formais para notificação de incidentes de segurança da informação, bem como procedimentos de resposta a incidentes, sendo obrigatória a notificação desses incidentes pelos usuários.
5.9. Comunicação
5.9.1. A segurança das informações é de responsabilidade de todos os colaboradores e prestadores de serviços, com a abrangência sobre as atividades que envolvam dados e informações no ambiente do METROCOR.
5.9.2. Quaisquer indícios de incidentes ou irregularidades citadas nesta Política, devem ser comunicadas imediatamente para o departamento de TI, pelo e-mail disponibilizado abaixo: dpo@metrocor.com.br
6 – PENALIDADES
6.1. Violações: Os incidentes de segurança da informação identificados como violações devem ser avaliados pelo Comitê de Segurança da Informação e Proteção de Dados correspondente à origem do incidente e deve elaborar um relatório após análise; caso seja identificado responsabilidade de gestores, colaboradores ou prestadores poderá ser enviado à área gestora da relação à aplicação de sanções administrativas cabíveis previstas em cláusulas contratuais, normas e políticas incidentes sobre o regime de pessoal e outros documentos normativos da empresa.
6.2. Tentativa de transgressão a normas: A tentativa de transgredir as diretrizes e controles estabelecidos, quando constatada, deve ser tratada como uma violação.
7 – DISPOSIÇÕES GERAIS
7.1. Esta Política deverá ser revista no prazo máximo de 24 (vinte e quatro) meses.
7.2. Situações não previstas, dúvidas, informações adicionais e sugestões referentes a esta Política de Segurança da Informação devem ser encaminhadas ao Gestor de Segurança do ambiente.
7.3. O não cumprimento da Política de Segurança da Informação sujeitará o usuário à suspensão temporária ou permanente do acesso aos recursos informacionais do ambiente corporativo.
