Política de Segurança da Informação

1. Introdução

A Legitimuz, comprometida com a proteção da informação e a segurança de seus ativos, estabelece esta Política de Segurança da Informação (PSI) para garantir a confidencialidade, integridade, disponibilidade e privacidade das informações. Esta política está alinhada com as normas ISO 27001 e 27002, bem como outras práticas recomendadas do setor. Reconhecendo o valor inestimável da informação como um ativo estratégico, esta política visa criar um ambiente seguro e resiliente, onde os riscos de segurança sejam gerenciados de forma proativa e eficaz.

2. Objetivo

O objetivo desta política é estabelecer diretrizes e procedimentos para a gestão da segurança da informação na Legitimuz, protegendo os ativos de informação contra ameaças internas e externas, deliberadas ou acidentais. A PSI busca garantir que todos os colaboradores e parceiros entendam suas responsabilidades e adotem práticas de segurança adequadas para proteger a integridade, disponibilidade, confidencialidade e privacidade da informação.

Esta política foi definida com a intenção de atender aos seguintes requisitos:

• Estabelecer uma abordagem geral de segurança da informação;
• Detectar e prevenir o comprometimento da segurança da informação, como uso indevido de dados, redes, sistemas e aplicativos informáticos;
• Proteger a reputação da empresa em relação às suas responsabilidades éticas e legais;
• Assegurar uma evolução sustentável dos controles de segurança, seguindo padrões atualizados de mercado e lições aprendidas em toda a organização. Também garantir que as rotinas estejam em vigor para revisar e discutir tudo acima dentro da Legitimuz. Como escolhemos projetar, operar, controlar, manter e descartar nossos sistemas de informação e infraestrutura tem um impacto direto nos aspectos citados acima.

3. Escopo

Esta política se aplica a todos os colaboradores, contratados, fornecedores e quaisquer terceiros que tenham acesso aos sistemas de informação da Legitimuz. Abrange todos os ativos de informação, incluindo dados, sistemas, redes e dispositivos. O escopo da política se estende a todos os processos organizacionais que envolvem o uso, armazenamento, transmissão e descarte de informações, independentemente do formato ou meio em que essas informações se encontrem.

A Legitimuz determina os controles internos mínimos (MICS) que devem ser considerados em todas as situações. Estes controles são necessários segundo a política de segurança da informação pelos seguintes motivos:

• Garantir que os controles estabelecidos conforme os requisitos de segurança da informação sejam aplicados condizentes e proporcionais às necessidades de capacidades da companhia;
• Garantir que existam controles claros e bem definidos quanto a gestão de segurança da informação;
• Garantir a confidencialidade, integridade, disponibilidade e privacidade das informações criadas, usadas, transmitidas e armazenadas na companhia, conforme devidamente classificadas segundo os interesses de negócio;
• Garantir a privacidade e proteção de dados pessoais dos dados armazenados para o cumprimento das Leis e Normas aplicáveis;
• Garantir que que os controles de segurança da informação estejam aderentes às regulamentações e legislações locais;
• Evitar perdas financeiras e/ou de reputação por impactos decorrentes de incidentes de segurança da informação;
• Para garantir que controles e ações apropriados sejam aplicados por todos os funcionários e terceiros à infraestrutura, sistemas e processos envolvidos no processamento de informações, incluindo, entre outros, sua coleta, uso, transmissão, armazenamento, exclusão e monitoramento.

4. Objetivos de Segurança da Informação

A Legitimuz estabelece os seguintes objetivos estratégicos para o seu Sistema de Gestão da Segurança da Informação (SGSI), os quais estão em total alinhamento com os requisitos normativos, as expectativas das partes interessadas e as melhores práticas do setor:

• Obter a Certificação NBR ISO/IEC 27001:2022: Buscar e manter a certificação reconhecida internacionalmente para o SGSI, assegurando que todos os processos e controles estejam em conformidade com os rigorosos critérios da norma.
• Buscar a melhoria contínua nos processos do SGSI: Promover o aprimoramento sistemático dos controles e processos internos, por meio da implementação de ações corretivas, inovações tecnológicas e reavaliações periódicas, de forma a fortalecer a resiliência e a eficiência do sistema.
• Assegurar a confidencialidade, integridade, disponibilidade e privacidade da informação: Implementar e manter práticas robustas de segurança que protejam os ativos de informação da Legitimuz, atendendo rigorosamente aos requisitos e expectativas das partes interessadas, bem como às exigências legais e contratuais.
• Promover a conscientização periódica dos colaboradores em Segurança da Informação: Desenvolver e executar programas contínuos de treinamento e campanhas de conscientização, garantindo que todos os colaboradores estejam informados e preparados para identificar e mitigar riscos, reforçando uma cultura organizacional de segurança.

Estes objetivos estão alinhados com as metas estratégicas da organização, a fim de adaptar o SGSI às mudanças do ambiente interno e externo, para obtenção de novos negócios através de melhorias constantes, tais como a obtenção da ISO 27001.

5. Responsabilidades

5.1. Departamento de Compliance e Segurança da Informação

• Desenvolver e manter a PSI, assegurando que esteja sempre alinhada com as normas ISO 27001 e 27002 e com as melhores práticas do setor;
• Monitorar a conformidade com a PSI, realizando auditorias de segurança periódicas e implementando melhorias contínuas;
• Promover a conscientização sobre segurança da informação, oferecendo treinamentos regulares e campanhas educativas para todos os colaboradores e parceiros;
• Gerenciar incidentes de segurança, coordenando a resposta a incidentes e realizando investigações detalhadas.

5.2. Gestores de Departamentos

• Garantir a implementação da PSI em suas respectivas áreas, assegurando que todos os colaboradores estejam cientes e cumpram as diretrizes estabelecidas.
• Identificar e reportar riscos e incidentes de segurança ao Diretor de Compliance e SI ou diretamente ao Comitê de Compliance, Privacidade e Segurança da Informação de forma oportuna e precisa.
• Auxiliar na realização de auditorias de segurança e na implementação de medidas corretivas e preventivas conforme necessário.

5.3. Colaboradores e Terceiros

• Seguir as diretrizes e procedimentos estabelecidos na PSI, garantindo a proteção adequada das informações e dos ativos da Legitimuz.
• Reportar qualquer atividade suspeita ou incidente de segurança imediatamente ao gestor de departamento ou ao Diretor de Compliance e SI.
• Participar ativamente dos programas de treinamento e conscientização em segurança da informação oferecidos pela Legitimuz.

6. Diretrizes de Segurança da Informação

6.1. Confidencialidade

Para garantir a confidencialidade das informações, a Legitimuz adota as seguintes medidas:

• Classificação das informações de acordo com sua sensibilidade, aplicando controles adequados para cada nível de classificação;
• Restrição do acesso às informações apenas a indivíduos autorizados, baseando-se no princípio do menor privilégio;
• Utilização de criptografia para proteger informações sensíveis durante o armazenamento e a transmissão;
• Implementação de políticas de controle de acesso rigorosas, incluindo a autenticação multifator e a revisão periódica de permissões de acesso.

6.2. Integridade

A Legitimuz toma as seguintes medidas para garantir a integridade das informações:

• Utilização de controles de alteração para monitorar e registrar modificações em informações críticas, garantindo que somente indivíduos autorizados possam realizar alterações.
• Realização de verificações de integridade regularmente, utilizando mecanismos de hash e outras técnicas para detectar alterações não autorizadas.
• Implementação de políticas de controle de versão, garantindo que as alterações sejam documentadas e que versões anteriores possam ser restauradas se necessário.

6.3. Disponibilidade

Para garantir a disponibilidade das informações, a Legitimuz adota as seguintes estratégias:

• Implementação de plano de continuidade de negócios ou recuperação de desastres, assegurando que as operações possam ser mantidas ou rapidamente restabelecidas em caso de interrupção.
• Realização de backups regulares e testes de restauração, garantindo que os dados possam ser recuperados em caso de perda ou corrupção.
• Monitoramento contínuo dos sistemas e redes, utilizando ferramentas de detecção de intrusão e outras técnicas para identificar e responder rapidamente a ameaças.

7. Controles de Acesso Lógico

Para garantir a proteção dos ativos de informação da Legitimuz, todos os acessos a sistemas, aplicativos e dados serão concedidos com base no princípio do menor privilégio. Isso significa que:

• Os usuários terão permissões compatíveis apenas com suas funções e responsabilidades;
• O acesso será revisado periodicamente para garantir que privilégios excessivos não sejam concedidos ou mantidos indevidamente;
• Qualquer solicitação de acesso adicional deverá ser formalmente justificada e aprovada pelo setor responsável pela segurança da informação;
• Controles de segregação de funções serão aplicados para evitar conflitos de interesse e minimizar riscos de fraude ou erros operacionais;
• Além disso, é essencial implementar mecanismos de autenticação forte, monitoramento de acessos e respectiva Política de Controle de Acesso Lógico.

8. Política de Senhas

Para fortalecer a segurança das senhas, a Legitimuz adota as seguintes práticas:

• Exigir senhas fortes e únicas para todos os sistemas críticos, utilizando critérios mínimos de complexidade como comprimento, mistura de caracteres e proibição de senhas comuns;
• Implementar a troca regular de senhas, com base em um cronograma estabelecido, e o bloqueio de contas após um número excessivo de tentativas de login falhadas;
• Utilizar autenticação multifator (MFA) para acesso a sistemas e informações sensíveis, aumentando a proteção contra acessos não autorizados;

9. Gerenciamento de Riscos

O gerenciamento de riscos é uma parte essencial da abordagem de segurança da informação da Legitimuz. Para identificar, avaliar e mitigar riscos, adotamos as seguintes práticas:

• Realização de avaliações de riscos periódicas, utilizando metodologias estabelecidas para identificar vulnerabilidades e ameaças potenciais aos ativos de informação;
• Implementação de controles de segurança apropriados para reduzir os riscos a níveis aceitáveis, baseando-se em uma análise custo-benefício e nas melhores práticas do setor;
• Monitoramento contínuo do ambiente de segurança, adaptando-se proativamente a novas ameaças e vulnerabilidades emergentes;
• Criação da respectiva Política de Gerenciamento de Riscos.

10. Gestão de Incidentes de Segurança

Para garantir uma resposta eficaz a incidentes de segurança, a Legitimuz adota os seguintes procedimentos:

• Estabelecimento de um plano de resposta a incidentes, detalhando os procedimentos a serem seguidos na identificação, notificação, contenção, erradicação e recuperação de incidentes de segurança;
• Formação de uma equipe de resposta a incidentes (ERI), composta por profissionais qualificados e treinados para lidar com diferentes tipos de incidentes;
• Realização de exercícios e simulações regulares para testar e aprimorar a capacidade de resposta a incidentes, identificando pontos fracos e implementando melhorias;
• Documentação e análise de todos os incidentes de segurança, utilizando as lições aprendidas para aprimorar os controles de segurança e prevenir a reincidência de incidentes.

11. Conscientização e Treinamento

A conscientização e o treinamento contínuo são fundamentais para o sucesso da política de segurança da informação da Legitimuz. Para garantir que todos os colaboradores estejam cientes de suas responsabilidades e capacitados a seguir as diretrizes de segurança, adotamos as seguintes medidas:

• Oferecer programas de treinamento regulares em segurança da informação para todos os colaboradores, cobrindo tópicos como políticas de segurança, proteção de dados, gerenciamento de senhas, identificação e resposta a incidentes, e melhores práticas de segurança;
• Promover a cultura de segurança da informação através de campanhas de conscientização, utilizando diversos canais de comunicação como e-mails, newsletters, workshops, seminários e materiais educativos;
• Avaliar regularmente a eficácia dos programas de treinamento e conscientização, utilizando questionários, avaliações de desempenho e outras métricas para identificar áreas de melhoria.

12. Conformidade Legal e Regulamentar

Para garantir a conformidade com todas as leis e regulamentos aplicáveis à segurança da informação, a Legitimuz adota as seguintes práticas:

• Realizar auditorias periódicas de conformidade, verificando se as políticas e procedimentos de segurança estão alinhados com as exigências legais e regulamentares;
• Manter-se atualizado em relação às mudanças nas leis e regulamentações, adaptando a política de segurança da informação conforme necessário para garantir a conformidade contínua;
• Cooperar com autoridades reguladoras e outros órgãos competentes, fornecendo informações e relatórios conforme exigido.

13. Revisão e Melhoria Contínua

A revisão e a melhoria contínua são componentes essenciais da política de segurança da informação da Legitimuz. Para garantir que a PSI permaneça relevante e eficaz, adotamos as seguintes práticas:

• Revisar esta política anualmente ou sempre que houver mudanças significativas no ambiente de segurança, na estrutura organizacional ou nas exigências legais e regulamentares;
• Implementar melhorias contínuas com base nos resultados de auditorias, avaliações de desempenho e feedback dos colaboradores e parceiros;
• Utilizar métricas e indicadores de desempenho para monitorar a eficácia dos controles de segurança e identificar oportunidades de aprimoramento.

14. Penalidades

A violação do que está determinado nesta política pode levar a sanções de acordo com os critérios da Direção e Comitê de Compliance, Privacidade e SI.

15. Comprometimento da Alta Direção com os Requisitos de Segurança da Informação

A Alta Direção da Legitimuz formaliza seu compromisso de:

• Garantir o atendimento aos requisitos de segurança da informação aplicáveis à organização, assegurando que todos os controles definidos no SGSI sejam implementados, monitorados e continuamente avaliados;
• Disponibilizar e alocar os recursos necessários, tais como: financeiros, tecnológicos e humanos, para o desenvolvimento, manutenção e aprimoramento dos processos e controles de segurança;
• Promover uma cultura organizacional que valorize e incentive a segurança da informação em todos os níveis, integrando-a nas tomadas de decisão estratégicas e operacionais.

Comprometida com o aprimoramento constante, a Alta Direção da Legitimuz declara que:

• Será implementado um ciclo de evolução do SGSI, que permite a identificação de oportunidades de melhoria, a implementação de ações corretivas e o acompanhamento de resultados;
• Serão realizadas auditorias, avaliações de risco e revisões periódicas dos controles e processos de segurança, garantindo a adaptação às novas ameaças e vulnerabilidades;
• A organização incentiva o "feedback" dos colaboradores e a busca por inovações tecnológicas e de processos que contribuam para o fortalecimento contínuo da segurança da informação.

16. Considerações Finais

A Legitimuz está comprometida com a proteção de seus ativos de informação e a implementação de práticas de segurança da informação de acordo com as normas ISO 27001 e 27002. Esta política estabelece as diretrizes e responsabilidades para garantir a segurança da informação e proteger a organização contra ameaças e riscos. Todos os colaboradores e parceiros são incentivados a contribuir ativamente para a segurança da informação, adotando práticas seguras e reportando qualquer atividade suspeita ou incidente de segurança.