1. Finalidade, escopo e usuários

O objetivo desta Política de alto nível é definir a finalidade, a direção, os princípios e as regras básicas de gestão da segurança da informação.

Esta política aplica-se a todo o Sistema de Gestão da Segurança da Informação e Privacidade (SGSIP), como definido no documento de escopo do SGSIP.

Os usuários deste documento são colaboradores da Ayko Technology, assim como as partes externas relevantes.

2. Documentos de referência

  • Norma ISO/IEC 27001:2022, cláusulas 5.1, 5.2, 5.3 e A.5.1, A.5.2
  • DO-SGSIP-001 – Documento sobre o escopo do SGSIP
  • ME-SGSIP-001 – Metodologia de avaliação e tratamento de riscos
  • DE-SGSIP-001 – Declaração de aplicabilidade
  • Controle de obrigações Legais, Regulamentares e Contratuais

 

3. Terminologia básica de segurança da informação

Confidencialidade – características das informações que estão disponíveis somente para pessoas autorizadas ou sistemas.

Integridade – características das informações que somente são alteradas somente por pessoas da forma permitida.

Disponibilidade – características das informações que somente pode ser acessada por pessoas autorizadas quando for necessário.

Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação

Sistema de Gestão da Segurança da Informação e Privacidade – é um conjunto de políticas, procedimentos e tecnologias utilizadas para gerenciar e proteger os ativos associados com informação e dados pessoais de uma organização.

4. Gerenciando a segurança da informação

4.1 Objetivos e medição

Os objetivos gerais para a gestão de segurança da informação são os seguintes:

  • Atender as exigências da Alta Direção relacionadas às demandas de mercado para a área de segurança da informação;
  • Conscientizar os colaboradores sobre a importância da segurança da informação;
  • Garantir a eficácia dos controles de segurança aplicáveis para assegurar a confidencialidade, integridade e disponibilidade das informações.

Para alcançar os objetivos definidos para o SGSIP, é determinado o Planejamento Anual Objetivos SGSIP e este é acompanhado periodicamente nas reuniões de análises críticas do SGSIP,, onde são verificados os índices de atendimento conforme indicadores definidos.

A Presidência, Diretoria Executiva e o Comitê Gestor de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação na Ayko Technology. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da Ayko Technology.

4.2 Requisitos de segurança da informação

Esta Política e todo o SGSIP deve estar em conformidade com os requisitos legais e regulamentares levantes à organização na área de segurança da informação, bem como com as obrigações contratuais.

Os requisitos contratuais e legais serão registrados e controlados através do Portal ISO.

4.3 Controles da segurança da informação

Os processos para selecionar os controles (salvaguardas) estão definidos na Metodologia de Avaliação de Riscos e de Tratamento do Risco.

Os controles selecionados e seu status de implementação estão listados na Declaração de Aplicabilidade.

4.4 Responsabilidades

As responsabilidades básicas para o SGSIP são:

  • O Chief Security Officer – CSO deve:
    • Garantir que o SGSIP seja implementado de acordo com esta Política e para garantir todos os recursos necessários.
    • Pela coordenação operacional do SGSIP, bem como reportar sobre o desempenho do SGSIP.
    • Implementar em conjunto com o RH um programa de Treinamento e Ações de Conscientização sobre segurança da informação para os colaboradores e todas as pessoas que têm uma função na gestão da segurança da informação.
  • O DPO deve:
    • Garantir que a gestão da privacidade seja realizada em conformidade com esta Política e possua todos os recursos necessários.
    • Gerenciar e reportar sobre o desempenho de privacidade.
    • Reportar ao CSO sobre quaisquer preocupações relacionadas à Segurança da Informação.
    • Implementar em conjunto com o RH um programa de Treinamento e Ações de Conscientização sobre privacidade para os colaboradores e todas as pessoas que possam impactar a privacidade.
  • O Comitê Gestor De Segurança Da Informação (CGSI) deve:
    • Analisar o SGSIP pelo menos uma vez por ano ou sempre que ocorrer uma mudança importante e elaborar minutas sobre a reunião. A finalidade da revisão da gestão é definir a adequabilidade e a eficácia do SGSIP.
    • Garantir que as atividades de segurança da informação sejam executadas em conformidade com o SGSIP.
    • Tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da Ayko Technology.
  • A equipe de Segurança da Informação deve:
    • Propor metodologias, processos e iniciativas que visem à segurança da informação.
    • Promover a conscientização dos funcionários em relação à relevância da segurança da informação para a Ayko Technology, através de ações conjuntas com o RH.
    • Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
    • Segregar as funções administrativas, operacionais e educacionais a fim de restringir ao mínio necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
    • Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.
    • Habilitar trilha de auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes em transações críticas. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.
  • A equipe de Suporte de TI deve:
    • Configurar os equipamentos, ferramentas e sistemas concedidos aos funcionários com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos nesta política e pelas normas de segurança da informação complementares.
    • Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a Ayko Technology.
  • Gestores de Pessoas e/ou Processos devem:
    • Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os funcionários sob a sua gestão.
    • Verificar se os funcionários sob sua gestão, na fase de contratação e de formalização dos contratos individuais de trabalho e de prestação de serviços foram informados desta política e se foi coletado o aceite.
    • Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta política de segurança da informação.
  • O Escritório da Qualidade deve:
    • Acompanhar a conformidade e a qualidade dos controles.
    • Apoiar o Diretor de Segurança nos registros de controles.
  • Os usuários da Informação devem:
    • Ler, compreender e cumprir integralmente os termos da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança do SGSIP.
    • Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política de Segurança da Informação, e das normas e procedimentos de Segurança da Informação ou, quando pertinente, ao Comitê Gestor de Segurança da Informação.
    • Comunicar ao Chief Security Officer (CSO) qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da Ayko Technology.
    • Assinar o Termo de Aceite formalizando a ciência e o aceite integral das disposições da Política de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento.
    • Responder pela inobservância da Política de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições.
  • A proteção da integridade, disponibilidade e confidencialidade é responsabilidade do proprietário de cada ativo.
  • Todos os incidentes e as fragilidades de segurança devem ser reportados ao Chief Security Officer – CSO e ele irá definir quais informações relativas à segurança da informação serão comunicadas para qual parte interessada internamente e externamente, por quem e quando.

 

4.5 Comunicação da política

O Chief Security Officer – CSO deve garantir que todos os funcionários da Ayko Technology, bem como todos as partes externas apropriadas conheçam esta Política.

4.6 Sanções e Punições

As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de segurança, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.

A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CGSI, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.

No caso de terceiros contratados ou prestadores de serviço, o CGSI deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato.

Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a Ayko Technology, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos no item 4.6 desta política

5. Suporte para a implementação do SGSIP

Deste modo, a alta direção da Ayko Technology e declara que a implementação do SGSIP e seu contínuo aprimoramento serão suportadas pelos recursos apropriados para alcançar todos os objetivos definidos nesta Política, assim como atender todos os requisitos identificados.

 

6.Validade e gestão de documentos

Este documento é válido a partir de sua aprovação no GED dentro do Portal ISO.

O proprietário do documento é o Chief Security Officer – CSO, que deve verificar e, se necessário, atualizar o documento pelo menos uma vez por ano.

Ao avaliar a eficácia e a adequação deste documento, os seguintes critérios devem ser considerados:

  • Quantidade de funcionários e terceiros que têm um papel no SGSIP, mas não conhecem este documento
  • Não conformidade do SGSIP com as leis e as regulamentações, as obrigações contratuais e outros documentos internos da organização
  • Ineficácia da manutenção e da implementação do SGSIP
  • Responsabilidades confusas na implementação do SGSIP

29/05/2024 – Versão 4