Política de Segurança da Informação

1. Introdução

A Legitimuz, comprometida com a proteção da informação e a segurança de seus ativos, estabelece esta Política de Segurança da Informação (PSI) para garantir a confidencialidade, integridade, disponibilidade e privacidade das informações. Esta política está alinhada com as normas ISO 27001 e 27002, bem como outras práticas recomendadas do setor. Reconhecendo o valor inestimável da informação como um ativo estratégico, esta política visa criar um ambiente seguro e resiliente, onde os riscos de segurança sejam gerenciados de forma proativa e eficaz.

2. Objetivo

O objetivo desta política é estabelecer diretrizes e procedimentos para a gestão da segurança da informação na Legitimuz, protegendo os ativos de informação contra ameaças internas e externas, deliberadas ou acidentais. A PSI busca garantir que todos os colaboradores e parceiros entendam suas responsabilidades e adotem práticas de segurança adequadas para proteger a integridade, disponibilidade, confidencialidade e privacidade da informação.

Esta política foi definida com a intenção de atender aos seguintes requisitos:

1. Estabelecer uma abordagem geral de segurança da informação;
2. Detectar e prevenir o comprometimento da segurança da informação, como uso indevido de dados, redes, sistemas e aplicativos informáticos;
3. Proteger a reputação da empresa em relação às suas responsabilidades éticas e legais;
4. Assegurar uma evolução sustentável dos controles de segurança, seguindo padrões atualizados de mercado e lições aprendidas em toda a organização. Também garantir que as rotinas estejam em vigor para revisar e discutir tudo acima dentro da Legitimuz. Como escolhemos projetar, operar, controlar, manter e descartar nossos sistemas de informação e infraestrutura tem um impacto direto nos aspectos citados acima.

3. Escopo

Esta política se aplica a todos os colaboradores, contratados, fornecedores e quaisquer terceiros que tenham acesso aos sistemas de informação da Legitimuz. Abrange todos os ativos de informação, incluindo dados, sistemas, redes e dispositivos. O escopo da política se estende a todos os processos organizacionais que envolvem o uso, armazenamento, transmissão e descarte de informações, independentemente do formato ou meio em que essas informações se encontrem. A Legitimuz determina os controles internos mínimos (MICS) que devem ser considerados em todas as situações. Estes controles são necessários segundo a política de segurança da informação pelos seguintes motivos:

1. Garantir que os controles estabelecidos conforme os requisitos de segurança da informação sejam aplicados condizentes e proporcionais às necessidades de capacidades da companhia;
2. Garantir que existam controles claros e bem definidos quanto a gestão de segurança da informação;
3. Garantir a confidencialidade, integridade, disponibilidade e privacidade das informações criadas, usadas, transmitidas e armazenadas na companhia, conforme devidamente classificadas segundo os interesses de negócio;
4. Garantir a privacidade e proteção de dados pessoais dos dados armazenados para o cumprimento das Leis e Normas aplicáveis;
5. Garantir que os controles de segurança da informação estejam aderentes às regulamentações e legislações locais;
6. Evitar perdas financeiras e/ou de reputação por impactos decorrentes de incidentes de segurança da informação;
7. Para garantir que controles e ações apropriados sejam aplicados por todos os funcionários e terceiros à infraestrutura, sistemas e processos envolvidos no processamento de informações, incluindo, entre outros, sua coleta, uso, transmissão, armazenamento, exclusão e monitoramento.

4. Objetivos de Segurança da Informação

A Legitimuz estabelece os seguintes objetivos estratégicos para o seu Sistema de Gestão da Segurança da Informação (SGSI), os quais estão em total alinhamento com os requisitos normativos, as expectativas das partes interessadas e as melhores práticas do setor:

1. Obter a Certificação NBR ISO/IEC 27001:2022: Buscar e manter a certificação reconhecida internacionalmente para o SGSI, assegurando que todos os processos e controles estejam em conformidade com os rigorosos critérios da norma.
2. Buscar a melhoria contínua nos processos do SGSI: Promover o aprimoramento sistemático dos controles e processos internos, por meio da implementação de ações corretivas, inovações tecnológicas e reavaliações periódicas, de forma a fortalecer a resiliência e a eficiência do sistema.
3. Assegurar a confidencialidade, integridade, disponibilidade e privacidade da informação: Implementar e manter práticas robustas de segurança que protejam os ativos de informação da Legitimuz, atendendo rigorosamente aos requisitos e expectativas das partes interessadas, bem como às exigências legais e contratuais.
4. Promover a conscientização periódica dos colaboradores em Segurança da Informação: Desenvolver e executar programas contínuos de treinamento e campanhas de conscientização, garantindo que todos os colaboradores estejam informados e preparados para identificar e mitigar riscos, reforçando uma cultura organizacional de segurança.

Estes objetivos estão alinhados com as metas estratégicas da organização, a fim de adaptar o SGSI às mudanças do ambiente interno e externo, para obtenção de novos negócios através de melhorias constantes, tais como a obtenção da ISO 27001.

5. Responsabilidades

Departamento de Compliance e Segurança da Informação:

1. Desenvolver e manter a PSI, assegurando que esteja sempre alinhada com as normas ISO 27001 e 27002 e com as melhores práticas do setor;
2. Monitorar a conformidade com a PSI, realizando auditorias de segurança periódicas e implementando melhorias contínuas;
3. Promover a conscientização sobre segurança da informação, oferecendo treinamentos regulares e campanhas educativas para todos os colaboradores e parceiros;
4. Gerenciar incidentes de segurança, coordenando a resposta a incidentes e realizando investigações detalhadas.

Gestores de Departamentos:

1. Garantir a implementação da PSI em suas respectivas áreas, assegurando que todos os colaboradores estejam cientes e cumpram as diretrizes estabelecidas;
2. Identificar e reportar riscos e incidentes de segurança para a área de Compliance e Segurança da informação ou diretamente ao Comitê de Privacidade e Segurança da Informação de forma oportuna e precisa;
3. Auxiliar na realização de auditorias de segurança e na implementação de medidas corretivas e preventivas conforme necessário.

Colaboradores e Terceiros:

1. Seguir as diretrizes e procedimentos estabelecidos na PSI, garantindo a proteção adequada das informações e dos ativos da Legitimuz;
2. Reportar qualquer atividade suspeita ou incidente de segurança imediatamente ao gestor de departamento Privacidade e Segurança da Informação.
3. Participar ativamente dos programas de treinamento e conscientização em segurança da informação oferecidos pela Legitimuz.

6. Diretrizes de Segurança da Informação

Confidencialidade

Para garantir a confidencialidade das informações, a Legitimuz adota as seguintes medidas:

1. Classificação das informações de acordo com sua sensibilidade, aplicando controles adequados para cada nível de classificação;
2. Restrição do acesso às informações apenas a indivíduos autorizados, baseando-se no princípio do menor privilégio;
3. Utilização de criptografia para proteger informações sensíveis durante o armazenamento e a transmissão;
4. Implementação de políticas de controle de acesso rigorosas, incluindo a autenticação multifator e a revisão periódica de permissões de acesso.

Integridade

A Legitimuz toma as seguintes medidas para garantir a integridade das informações:

1. Utilização de controles de alteração para monitorar e registrar modificações em informações críticas, garantindo que somente indivíduos autorizados possam realizar alterações.
2. Realização de verificações de integridade regularmente, utilizando mecanismos de hash e outras técnicas para detectar alterações não autorizadas.
3. Implementação de políticas de controle de versão, garantindo que as alterações sejam documentadas e que versões anteriores possam ser restauradas se necessário.

Disponibilidade

Para garantir a disponibilidade das informações, a Legitimuz adota as seguintes estratégias:

1. Implementação de plano de continuidade de negócios ou recuperação de desastres, assegurando que as operações possam ser mantidas ou rapidamente restabelecidas em caso de interrupção.
2. Realização de backups regulares e testes de restauração, garantindo que os dados possam ser recuperados em caso de perda ou corrupção.
3. Monitoramento contínuo dos sistemas e redes, utilizando ferramentas de detecção de intrusão e outras técnicas para identificar e responder rapidamente a ameaças.

7. Controles de Acesso Lógico

Para garantir a proteção dos ativos de informação da Legitimuz, todos os acessos a sistemas, aplicativos e dados serão concedidos com base no princípio do menor privilégio. Isso significa que:

1. Os usuários terão permissões compatíveis apenas com suas funções e responsabilidades;
2. O acesso será revisado periodicamente para garantir que privilégios excessivos não sejam concedidos ou mantidos indevidamente;
3. Qualquer solicitação de acesso adicional deverá ser formalmente justificada e aprovada pelo setor responsável pela segurança da informação;
4. Controles de segregação de funções serão aplicados para evitar conflitos de interesse e minimizar riscos de fraude ou erros operacionais;
5. Além disso, é essencial implementar mecanismos de autenticação forte, monitoramento de acessos e respectiva Política de Controle de Acesso Lógico.

8. Política de Senhas

Para fortalecer a segurança das senhas, a Legitimuz adota as seguintes práticas:

1. Exigir senhas fortes e únicas para todos os sistemas críticos, utilizando critérios mínimos de complexidade como comprimento, mistura de caracteres e proibição de senhas comuns;
2. Implementar a troca regular de senhas, com base em um cronograma estabelecido, e o bloqueio de contas após um número excessivo de tentativas de login falhadas;
3. Utilizar autenticação multifator (MFA) para acesso a sistemas e informações sensíveis, aumentando a proteção contra acessos não autorizados;

9. Gerenciamento de Riscos

O gerenciamento de riscos é uma parte essencial da abordagem de segurança da informação da Legitimuz. Para identificar, avaliar e mitigar riscos, adotamos as seguintes práticas:

1. Realização de avaliações de riscos periódicas, utilizando metodologias estabelecidas para identificar vulnerabilidades e ameaças potenciais aos ativos de informação;
2. Implementação de controles de segurança apropriados para reduzir os riscos a níveis aceitáveis, baseando-se em uma análise custo-benefício e nas melhores práticas do setor;
3. Monitoramento contínuo do ambiente de segurança, adaptando-se proativamente a novas ameaças e vulnerabilidades emergentes;
4. Criação da respectiva Política de Gerenciamento de Riscos.

10. Gestão de Incidentes de Segurança

Para garantir uma resposta eficaz a incidentes de segurança, a Legitimuz adota os seguintes procedimentos:

1. Estabelecimento de um plano de resposta a incidentes, detalhando os procedimentos a serem seguidos na identificação, notificação, contenção, erradicação e recuperação de incidentes de segurança;
2. Formação de uma equipe de resposta a incidentes (ERI), composta por profissionais qualificados e treinados para lidar com diferentes tipos de incidentes;
3. Realização de exercícios e simulações regulares para testar e aprimorar a capacidade de resposta a incidentes, identificando pontos fracos e implementando melhorias;
4. Documentação e análise de todos os incidentes de segurança, utilizando as lições aprendidas para aprimorar os controles de segurança e prevenir a reincidência de incidentes.

11. Conscientização e Treinamento

A conscientização e o treinamento contínuo são fundamentais para o sucesso da política de segurança da informação da Legitimuz. Para garantir que todos os colaboradores estejam cientes de suas responsabilidades e capacitados a seguir as diretrizes de segurança, adotamos as seguintes medidas:

1. Oferecer programas de treinamento regulares em segurança da informação para todos os colaboradores, cobrindo tópicos como políticas de segurança, proteção de dados, gerenciamento de senhas, identificação e resposta a incidentes, e melhores práticas de segurança;
2. Promover a cultura de segurança da informação através de campanhas de conscientização, utilizando diversos canais de comunicação como e-mails, newsletters, workshops, seminários e materiais educativos;
3. Avaliar regularmente a eficácia dos programas de treinamento e conscientização, utilizando questionários, avaliações de desempenho e outras métricas para identificar áreas de melhoria.

12. Conformidade Legal e Regulamentar

Para garantir a conformidade com todas as leis e regulamentos aplicáveis à segurança da informação, a Legitimuz adota as seguintes práticas:

1. Realizar auditorias periódicas de conformidade, verificando se as políticas e procedimentos de segurança estão alinhados com as exigências legais e regulamentares;
2. Manter-se atualizado em relação às mudanças nas leis e regulamentações, adaptando a política de segurança da informação conforme necessário para garantir a conformidade contínua;
3. Cooperar com autoridades reguladoras e outros órgãos competentes, fornecendo informações e relatórios conforme exigido.

13. Revisão e Melhoria Contínua

A revisão e a melhoria contínua são componentes essenciais da política de segurança da informação da Legitimuz. Para garantir que a PSI permaneça relevante e eficaz, adotamos as seguintes práticas:

1. Revisar esta política anualmente ou sempre que houver mudanças significativas no ambiente de segurança, na estrutura organizacional ou nas exigências legais e regulamentares;
2. Implementar melhorias contínuas com base nos resultados de auditorias, avaliações de desempenho e feedback dos colaboradores e parceiros;
3. Utilizar métricas e indicadores de desempenho para monitorar a eficácia dos controles de segurança e identificar oportunidades de aprimoramento.

14. Penalidades

A violação do que está determinado nesta política pode levar a sanções de acordo das medidas previstas no Procedimento de Medidas Disciplinares, sujeita a análise do Comitê de Privacidade e Segurança da Informação.

15. Comprometimento da Alta Direção com os Requisitos de Segurança da Informação

A Alta Direção da Legitimuz formaliza seu compromisso de:

1. Garantir o atendimento aos requisitos de segurança da informação aplicáveis à organização, assegurando que todos os controles definidos no SGSI sejam implementados, monitorados e continuamente avaliados;
2. Disponibilizar e alocar os recursos necessários, tais como: financeiros, tecnológicos e humanos, para o desenvolvimento, manutenção e aprimoramento dos processos e controles de segurança;
3. Promover uma cultura organizacional que valorize e incentive a segurança da informação em todos os níveis, integrando-a nas tomadas de decisão estratégicas e operacionais.

Comprometida com o aprimoramento constante, a Alta Direção da Legitimuz declara que:

1. Será implementado um ciclo de evolução do SGSI, que permite a identificação de oportunidades de melhoria, a implementação de ações corretivas e o acompanhamento de resultados;
2. Serão realizadas auditorias, avaliações de risco e revisões periódicas dos controles e processos de segurança, garantindo a adaptação às novas ameaças e vulnerabilidades;
3. A organização incentiva o "feedback" dos colaboradores e a busca por inovações tecnológicas e de processos que contribuam para o fortalecimento contínuo da segurança da informação.

16. Considerações Finais

A Legitimuz está comprometida com a proteção de seus ativos de informação e a implementação de práticas de segurança da informação de acordo com as normas ISO 27001 e 27002. Esta política estabelece as diretrizes e responsabilidades para garantir a segurança da informação e proteger a organização contra ameaças e riscos. Todos os colaboradores e parceiros são incentivados a contribuir ativamente para a segurança da informação, adotando práticas seguras e reportando qualquer atividade suspeita ou incidente de segurança.

Histórico de Modificações

Histórico de Aprovações