OBJETIVO
Estabelecer diretrizes do Programa de Segurança da Informação, a fim de garantir a confidencialidade, integridade e disponibilidade das informações de propriedade ou responsabilidade da AR FACIL. Visa também prevenir, detectar e reduzir as vulnerabilidades inerentes ao ambiente computacional da AR FACIL, através de processos, procedimentos e pessoas.
ESCOPO
As diretrizes da Política de Segurança da Informação devem ser cumpridas por todos os colaboradores, parceiros e prestadores de serviço, abrangendo todas as informações e o ambiente computacional da AR FACIL.
RESPONSABILIDADES E ATRIBUIÇÕES
As áreas de Riscos, Compliance e Segurança da Informação, sob gestão do Diretor de Tecnologia, são responsáveis por zelar pela aplicação das diretrizes desta Política.
Áreas
A área de Segurança da Informação é responsável pela adoção e implementação de processos, procedimentos e controles que possam garantir à AR FACIL a salvaguarda de seus recursos de informação. Além disso, deve orientar e informar os colaboradores, parceiros, fornecedores e prestadores de serviços sobre a comunicação de possíveis incidentes e/ou violações das diretrizes desta política. Também é responsável por estabelecer e manter um modelo de gestão do Programa de Segurança da Informação, adotando um framework para apoiar a gestão e garantir conformidade com as diretrizes de segurança e regulamentações necessárias.
A área de Recursos Humanos é responsável pela divulgação desta Política aos colaboradores e deve ser envolvida sempre que houver descumprimento das diretrizes expostas, avaliando e direcionando as medidas cabíveis. Também deve cumprir os controles de Segurança da Informação relacionados aos processos de contratação, encerramento e modificação das atividades dos colaboradores e atuar em análises sempre que houver qualquer descumprimento destas diretrizes.
A área de Assuntos Legais é responsável por estabelecer regras de tratamento de dados com base na legislação vigente, bem como envolver a área de Segurança da Informação em questões de compartilhamento, processamento e armazenamento de dados pessoais e sensíveis. Também presta apoio jurídico e atua em análises sempre que necessário.
Diretores
Os Diretores devem zelar pelo cumprimento das diretrizes estabelecidas nesta política dentro de suas respectivas alçadas.
Comitê Gestor da Segurança da Informação
Os diretores, bem como representantes apontados por cada uma das áreas acima descritas, devem constituir o Comitê Gestor da Segurança da Informação e comprometer-se na dedicação de recursos que permitam a adequada gestão e evolução do Programa de Segurança da Informação.
Alta Direção
A Alta Direção deve revisar anualmente o Programa de Segurança da Informação para garantir que ele permaneça eficaz, mantendo registros dos resultados dessas revisões.
Esta revisão deve considerar:
- O Mapeamento e Tratamento de Riscos de Segurança da Informação;
- O Relatório Anual de Auditoria do Programa de Segurança da Informação.
DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO
As diretrizes adotadas para mitigar riscos e atingir os objetivos da Segurança da Informação baseiam-se nos seguintes pilares:
- Confidencialidade: Garantia de que toda informação estará acessível apenas para pessoas autorizadas;
- Integridade: Garantia de que a informação, armazenada ou em trânsito, seja completa, exata e não sofrerá modificação ou exclusão não autorizada;
- Disponibilidade: Garantia de que a informação sempre estará disponível quando necessário.
CONTROLES DE SEGURANÇA DA INFORMAÇÃO
Os controles adotados pela AR FACIL para garantir que as diretrizes e objetivos sejam cumpridos incluem:
- Mapeamento e Tratamento de Riscos;
- Plano de Continuidade de Negócios;
- Inventário e Controle de Ativos Corporativos e de Software;
- Proteção de Dados e Configuração Segura de Ativos;
- Gestão de Contas e Controle de Acesso;
- Gestão de Registros de Auditoria;
- Proteções de e-mail, navegador web e defesa contra malware;
- Recuperação de Dados;
- Gestão da Infraestrutura e Monitoramento de Rede;
- Conscientização e Treinamento de Segurança da Informação;
- Gestão de Prestadores de Serviços;
- Segurança de Aplicações;
- Gestão de Resposta a Incidentes de Segurança da Informação;
- Testes de Invasão.
MELHORIA CONTÍNUA DAS POLÍTICAS, PROCESSOS E PROCEDIMENTOS
Auditoria Interna
Anualmente, a área de Segurança da Informação deve realizar uma Auditoria Interna do Programa de Segurança da Informação, avaliando sua eficácia e desempenho geral.
Os detalhes da auditoria interna, bem como os resultados de quaisquer problemas ou oportunidades de melhorias, devem ser registrados no Relatório Anual do Programa de Segurança da Informação.
Não Conformidades e Ações Corretivas
A AR FACIL documentará quaisquer não conformidades em seus processos e operações de Segurança da Informação e as ações corretivas adotadas. Evidências claras de como a organização garantiu que qualquer ação corretiva tenha alcançado a conformidade devem ser incluídas no Relatório Anual do Programa de Segurança da Informação.
DISPOSIÇÕES GERAIS
Sanções e Penalidades
O não cumprimento desta política e demais processos e procedimentos de Segurança da Informação poderá incorrer em sanções administrativas e/ou legais, conforme determinado pela AR FACIL.