Política de Segurança da Informação

 

1. Finalidade, escopo e usuários

O objetivo desta Política de alto nível é definir a finalidade, a direção, os princípios e as regras básicas de gestão da segurança da informação.

Esta política aplica-se a todo o Sistema de Gestão da Segurança da Informação (SGSI), como definido abaixo.

Os usuários deste documento são funcionários da Ahgora Sistemas, assim como as partes externas relevantes.

1.1. Escopo do Sistema de Gestão da Segurança da Informação (SGSI) 

1.1.1. Processos e serviços

Levando em conta os requisitos legais, regulamentares e contratuais , o escopo do SGSI é definido conforme especificado nos itens a seguir: 

Desenvolvimento de Sistemas em Cloud Computing e Equipamentos de Tecnologia da Informação e Processos de apoio de infraestrutura de TI.

O fato de algumas informações estarem disponíveis fora do escopo não significa que as medidas de segurança não serão aplicadas às mesmas – isso somente significa que as responsabilidades por aplicar as medidas de segurança serão transferidas para uma terceira pessoa que gerencia tal informação.

Detalhamento dos processos ver documento SIG P001 – Manual do Sistema Integrado de Gestão no item 4.4.

1.1.2. Unidades organizacionais

Matriz:

1.1.3. Locais

Matriz

1.1.4. Redes e infraestrutura de TI

Toda infraestrutura lógica da Matriz e de desenvolvimento está coberta pela política. 

 

2. Terminologia básica de segurança da informação

Confidencialidade: características das informações que estão disponíveis somente para pessoas autorizadas ou sistemas. 

Integridade: características das informações que somente são alteradas por pessoas da forma permitida. 

Disponibilidade: características das informações que somente pode ser acessada por pessoas autorizadas quando for necessário. 

Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação

Sistema de Gestão da Segurança da Informação: a parte do sistema de gestão que cuida do planejamento, implementação, manutenção, revisão e aprimoramento da segurança da informação

CISO: Chief Information Security Officer – Responsável pelo Comitê de Segurança, Privacidade e Proteção de Dados. 

 

3. Gerenciando a segurança da informação

3.1 Objetivos

Os objetivos gerais para a gestão de segurança da informação são os seguintes:

  • criar uma melhor imagem no mercado e reduzir os danos causados por possíveis incidentes;
  • atender a legislação vigente no que se refere a segurança da informação, privacidade e proteção de dados;
  • garantir a integridade, confidencialidade, disponibilidade, legalidade e autenticidade da informação necessária para a realização dos negócios da Ahgora. 

O Comitê de Segurança, Privacidade e Proteção de Dados é responsável por rever estes objetivos SGSI gerais e por definir novos objetivos, além dos objetivos dos controles de segurança ou grupos de controles definidos na Declaração de aplicabilidade. Todos os objetivos devem ser revisados pelo menos uma vez por ano.

A Ahgora irá mensurar o atendimento de todos os objetivos. O Comitê de Segurança, Privacidade e Proteção de Dados é responsável por definir o método para a medição da realização dos objetivos – a medição será executada ao menos uma vez por ano e o CISO irá analisar a avaliar os resultados da medição e reportá-los para a direção como materiais de entrada para a revisão Gerencial. 

3.2 Requisitos de segurança da informação

Esta Política e todo o SGSI deve estar em conformidade com os requisitos legais e regulamentares relevantes à organização na área de segurança da informação, bem como com as obrigações contratuais.

Uma lista detalhada de todos os requisitos contratuais e legais na Lista de obrigações estatutárias, regulamentares e contratuais.

3.3 Controles da segurança da informação

Os processos para selecionar os controles (salvaguardas) estão definidos na Metodologia de Avaliação de Riscos e de Tratamento do Risco.

Os controles selecionados e seu status de implementação estão listados na Declaração de Aplicabilidade.

3.4 Continuidade de negócios

A gestão de continuidade de negócios é descrita na Política de gestão de continuidade de negócios.

3.5 Responsabilidades

As responsabilidades básicas para o SGSI são:

  • O CISO é responsável por garantir que o SGSI seja implementado de acordo com esta Política e para garantir todos os recursos necessários;
  • O CISO é responsável pela coordenação operacional do SGSI, bem como reportar sobre o desempenho do SGSI;
  • A direção deve analisar o SGSI pelo menos uma vez por ano ou sempre que ocorrer uma mudança importante e elaborar minutas sobre a reunião. A finalidade da revisão da gestão é definir a adequabilidade e a eficácia do SGSI;
  • O Comitê de Segurança, Privacidade e Proteção de Dados implementará programas de conscientização e treinamento sobre segurança da informação para os funcionários;
  • A proteção da integridade, disponibilidade e confidencialidade é responsabilidade do proprietário de cada ativo;
  • Todos os incidentes e as fragilidades de segurança devem ser reportados ao Comitê de Segurança, Privacidade e Proteção de Dados;
  • O Comitê de Segurança, Privacidade e Proteção de Dados irá definir quais informações relativas à segurança da informação serão comunicadas para qual parte interessada, por quem e quando; 
  • O RH é responsável por adotar e implementar o Plano de Treinamento e Conscientização que se aplica à todas as pessoas que têm uma função na gestão da segurança da informação. 

 

3.6. Comunicação da política

O Comitê de Segurança, Privacidade e Proteção de Dados deve garantir que todos os funcionários da Ahgora, bem como todos as partes externas apropriadas conheçam esta Política.

4. Suporte para implementação do SGSI

Deste modo, o CISO declara que a implementação do SGSI e seu contínuo aprimoramento serão suportadas pelos recursos apropriados para alcançar todos os objetivos definidos nesta Política, assim como atender todos os requisitos identificados.

 

Rev. Data Escopo Criado Por Aprovado – GD Aprovado – GQL
1 05/06/2020 Alteração do organograma – retirado o setor de Facilities  Bárbara Montanheiro Bruna Degani Bárbara Montanheiro
0 17/04/2020 Implantação Bruna Degani, Fernando Dettoni
Luciano Takeda
Vinicius da Silva
Lázaro Malta Suzan M. dos Santos