Política de Segurança da Informação | Visabeira I&D

Última atualização 12-07-2024

1.  Enquadramento

A Política de Segurança da Informação (PSI) é um documento que se enquadra ao nível estratégico da estrutura documental da Visabeira I&D, adiante designada por Organização, suportando assim a tomada de decisão através da determinação de prioridades no âmbito da Segurança da Informação. A Gestão de Topo, consciente da importância da Segurança da Informação e ciente do seu comprometimento, assume como compromisso e orienta todas as atividades da organização no âmbito do SGSI, atuando no sentido de envolver e motivar todos os colaboradores para:  A informação e os seus processos de apoio, sistemas e redes, são bens essenciais ao negócio de uma organização. Confidencialidade, integridade e disponibilidade da informação, são elementos essenciais para preservar a competitividade, faturação, rentabilidade e a imagem da Organização no mercado.  A Organização consciente da importância de preservar a confidencialidade, integridade e disponibilidade da informação para o cumprimento de suas funções e objetivos, compromete-se a gerir e a melhorar continuamente um SGSI, para cumprir com todos os requisitos regulamentares, legais e outros relativos à SI.  A Organização mantém implementadas as melhores práticas, normas, procedimentos e controlos, estabelecendo um processo de melhoria contínua, sustentável ao longo do tempo, e que permita através da gestão de Topo criar uma cultura de prevenção que apoia a continuidade dos processos de negócios, garantindo a integridade, confidencialidade e disponibilidade adequada de todos os seus ativos de informações relevantes para a empresa.    Neste sentido, todos os documentos enquadrados nos níveis tático e operacional da estrutura documental (e.g. políticas específicas, normas, regulamentos, processos, procedimentos, modelos, evidências), devem respeitar os princípios desta PSI e emanar as preocupações e considerações estabelecidas.

1.1  Âmbito  A Segurança da Informação é relevante para todos os tipos de informação e para todos os sistemas e aplicações que a armazenam, processam ou transferem, seja no contexto de simples sistemas de indexação e arquivo em papel ou em sistemas especializados e tecnologicamente avançados. Nesse sentido, o presente documento aplica-se a todos os colaboradores da Organização, independentemente da sua função, posição hierárquica e vínculo contratual, a todos os fornecedores, parceiros e outros utilizadores que tenham acesso a um posto de trabalho ou sistema de informação da Organização.

1.2  Finalidade O presente documento tem a finalidade de explanar a estrutura da Segurança da Informação da Organização, de modo a obter os seguintes objetivos: a)    Definir a estratégia de Segurança da Informação, alinhada com o Modelo Organizacional da mesma. b)    Fomentar uma cultura de segurança na comunidade da Organização. c)    Sensibilizar os utilizadores para a importância da Segurança da Informação e para a literacia neste âmbito.  d)    Promover a Segurança da Informação como um propósito indispensável a alcançar. e)    Avaliar os riscos de segurança da informação de modo a implementar os controlos necessários que permitem mitigar os riscos até ao nível de aceitação estabelecido. f)      Salvaguardar e reforçar a credibilidade e boa reputação junto dos seus colaboradores, parceiros de negócio e público em geral. g)    Proteger as informações de danos resultantes de atos intencionais, negligência, falhas técnicas ou de força maior. 1.3  Revisão e Comunicação A Política de Segurança da Informação é revista sempre que se verifique alguma alteração no âmbito da Segurança da Informação, na organização interna, no enquadramento legal ou anualmente, de forma a garantir que continua a ser adequada à Organização, devendo ser comunicada a todos os colaboradores e disponibilizada a todas as partes interessadas sempre que solicitada.

2.  Segurança da Informação

2.1  Definição de Segurança da Informação A informação e respetivos repositórios são ativos relevantes e críticos para a Visabeira I&D. Qualquer que seja a forma e o meio de transmissão, recolha e armazenamento de informação deve ser adequadamente protegida. A Segurança da Informação pretende proteger a informação de um amplo conjunto de ameaças através de um processo de gestão de riscos, garantindo a continuidade das atividades organizacionais e maximizando o retorno em investimentos efetuados, garantindo a conformidade com a norma internacional ISO/IEC 27001. Tendo como base a norma internacional ISO/IEC 27000, a Segurança da Informação é formalmente definida na Visabeira I&D como a preservação da confidencialidade, integridade, disponibilidade e privacidade da informação.

Para melhor entendimento, importa esclarecer que os quatro pilares basilares da Segurança da Informação para a Organização, são propriedades da informação e dos ativos de informação nas seguintes medidas: Confidencialidade: Garantia de que a informação é acedida apenas por pessoas que têm autorização para tal. Integridade: Salvaguarda da exatidão da informação e dos métodos de processamento. Disponibilidade: Garantia de que os utilizadores autorizados têm acesso à informação e ativos correspondentes sempre que necessário. Privacidade: Salvaguarda do direito fundamental de cada indivíduo decidir quem deve ter acesso aos seus dados pessoais. Estes conceitos são complementares e devem ser entendidos como um todo. Assim, apenas quando é garantindo que a informação é acessível apenas por aqueles que têm autorização para o fazer, que a sua integridade e completude é rigorosa e que, quando necessário, todos os utilizadores autorizados têm-lhe acesso com a devida privacidade, é que é possível afirmar que a segurança da informação é eficaz. Esta matéria diz respeito a todos os níveis da Organização, estando a respetiva eficácia dependente da interiorização e consciencialização por toda a Comunidade nos seguintes pontos: Sensibilização: A comunidade da Organização deve ser conhecedora da necessidade da existência de infraestruturas e sistemas de informação seguros e de qual poderá ser o seu papel na manutenção e incremento dessa segurança. Responsabilidade: Toda a comunidade da Organização é responsável pela segurança da infraestrutura, sistemas e da informação. Atuação: A comunidade da Organização deve agir de maneira célere e cooperativa para prevenir, detectar e responder a incidentes de Segurança da Informação. Ética: A comunidade da Organização deverá respeitar os legítimos interesses dos outros. Democracia: A segurança da infraestrutura, sistemas e informação devem ser compatíveis com os valores essenciais de uma sociedade democrática. Análise de risco: Devem ser conduzidas análises de risco, de forma a identificar ameaças e vulnerabilidades e, consequentemente, ser definido um nível aceitável de risco. Desenho, desenvolvimento e implementação segura: A segurança deve ser incorporada como um elemento imprescindível da infraestrutura, sistemas e informação. Gestão da segurança: Deve ser adotada uma abordagem global e detalhada à gestão da Segurança da Informação, envolvendo toda a comunidade da Organização de forma coordenada e integrada. Gestão de Privacidade: Deve ser adotada uma abordagem de proteção de Dados Pessoais por forma a garantir a salvaguarda dos mesmos ao longo do seu ciclo de vida. Reavaliação: Periodicamente, deve ser revista e reavaliada a segurança da infraestrutura, sistemas e informação modificando-se, sempre que necessário, a política, normas, regulamentos, processos e procedimentos de Segurança da Informação.

2.2  Compromisso para com a Segurança da Informação A visão estratégica da Segurança da Informação na Organização vai para além da implementação de controlos pontuais. Neste sentido, as ações são alinhadas com os princípios e objetivos vertidos no Sistema de Gestão de Segurança da Informação e geridas de forma integrada. Para assegurar o cumprimento dos objetivos estratégicos da Organização, a Gestão de Topo, assume o compromisso de: Assegurar o cumprimento dos requisitos legais e normativos no âmbito da Segurança da Informação. Garantir o alinhamento das ações de governança, gestão e operação do sistema de informação da Organização com o modelo organizacional de Segurança da Informação. Estabelecer, implementar e continuamente melhorar a Segurança da Informação como um todo e, em particular, o Sistema de Gestão de Segurança da Informação. Os benefícios do estabelecimento da Segurança da Informação traduzem-se na redução dos riscos para a atividade, bem como no aumento da conformidade com a legislação e regulamentação aplicável, na proteção da reputação, na maior confiança das partes interessadas e na gestão eficaz dos recursos da Organização. A Segurança da Informação na Organização é obtida através da implementação de um conjunto de controlos que podem ser: políticas, normas, procedimentos, estruturas organizacionais, funções de software ou outras.  Os controlos são necessários para assegurar que os objetivos específicos de segurança da Organização sejam atingidos e são baseados na norma internacional ISO/IEC 27001, composta pelas seguintes áreas de controlo: Controlos Organizacionais. Controlos de Pessoas. Controlos Físicos. Controlos Tecnológicos. 2.3   Objetivos de Segurança da Informação A Organização, com o objetivo de melhorar continuamente o seu desempenho e a eficácia do seu SGSI, definiu Objetivos específicos fixando metas a alcançar, alinhadas com os seus objetivos estratégicos e com as Políticas e Procedimentos de Segurança da Informação. Os Objetivos de Segurança da Informação da Organização são:  Avaliação precisa dos riscos de segurança da informação de modo a obter e implementar os controlos necessários que permitam mitigar os riscos até ao nível de aceitação estabelecido pela Organização. Criar uma cultura de segurança através da formação e sensibilização, a todos os colaboradores que tenham acesso à informação confidencial, considerada no âmbito do SGSI, mas também aos colaboradores de forma geral. Gerir todos os perfis, regras de acesso, competências e funções de todos os colaboradores inerentes ao âmbito do SGSI. Definir e implementar os controlos técnicos e organizacionais necessários para garantir a confidencialidade, integridade, disponibilidade, auditabilidade e rastreabilidade da informação. Considerar a segurança da informação como um processo de melhoria contínua, que permite alcançar níveis de segurança cada vez mais avançados.

3.  Implementação da Política de Segurança da Informação

3.1  Contexto A informação e todos os seus processos de apoio, sistemas e redes, são bens essenciais ao negócio de uma organização. Confidencialidade, integridade, disponibilidade e privacidade da informação, são alguns dos elementos fundamentais para preservar a competitividade, faturação, rentabilidade e a imagem de uma organização. Atualmente, a segurança dos sistemas de informação, é cada vez mais colocada à prova por diversos tipos de ameaças de diversas origens, onde se incluem: as fraudes eletrónicas, a espionagem, fuga de informação, sabotagem, hackers e ataques DoS (Denial of Service), que se tornam cada vez mais sofisticados e ambiciosos.  A dependência dos sistemas e serviços de informação, demonstra que as organizações estão cada vez mais vulneráveis às ameaças de segurança. O uso de redes públicas e privadas, e a partilha de recursos de informação, são fatores que contribuem para o acréscimo da dificuldade em gerir os acessos, e a respetiva segurança dos mesmos. Os requisitos de segurança da informação são identificados através de uma avaliação de riscos no âmbito da segurança da informação. A realização da análise de risco ajuda a determinar qual a sua exposição, e consequentemente efetuar uma priorização dos riscos mais relevantes, permitindo identificar as ações de mitigação adequadas e os controlos apropriados. A PSI afigura-se assim como o pilar orientador para o desenvolvimento de qualquer documento ou tomada de decisão ao nível tático ou operacional e está suportada em Políticas, Procedimentos e Regras, Normas, Instruções de Trabalho para a Segurança da Informação.

3.2  Incumprimento As ações que violem a PSI, bem como as restantes políticas relacionadas com o SGSI, procedimentos e regras, normas ou instruções de trabalho, que quebrem os controlos de Segurança da Informação, são passíveis de sanções civis, penais e administrativas, conforme a legislação em vigor, que podem ser aplicadas de forma isolada ou cumulativamente. As penalidades são aplicadas proporcionalmente à ação praticada em conformidade com os procedimentos para processos disciplinares. Dependendo do tipo de contraordenação, as ações disciplinares podem incluir, por exemplo, a suspensão ou a interrupção da relação entre a Organização e as partes envolvidas.  Em todos os casos, aplica-se o previsto no Código Penal e no Código Civil, bem como as normas, regulamentos, processos e procedimentos internos da Organização.

3.3  Tratamento de Exceções Os objetivos de Segurança da Informação são facilmente alcançados se os requisitos e os respetivos processos e procedimentos forem idênticos para todas as unidades orgânicas, unidades funcionais e serviços da Organização. Entretanto, há noção que as normas, processos e procedimentos nem poderão ser viáveis para uma unidade específica, projeto a decorrer, novo equipamento ou aplicação instalados. É previsível que, no âmbito de atividades da Organização, surjam situações ou cenários que não podem ser tratados de forma eficaz dentro dos requisitos estabelecidos na PSI ou na restante documentação de Segurança da Informação. Embora o desvio de processos e procedimentos estabelecidos centralmente seja desencorajado, em alguns momentos os processos e procedimentos estabelecidos na Organização, podem e devem ser alterados, desde que a alternativa apresentada seja suportada por uma justificação forte e provida de recursos suficientes para implementar adequadamente e manter os requisitos alternativos. Para tratar atempadamente este tipo de situações e paralelamente garantir a segurança da infraestrutura, sistemas e informação da Organização, é obrigatório cumprir com o Procedimento de Gestão de Alterações do SGSI da Organização.

4.  Organização da Segurança da Informação

4.1  Informação Documentada A Organização, com o objetivo de satisfazer os requisitos do referencial normativo ISO/IEC 27001, elaborou um conjunto de políticas e procedimentos específicos e os seus principais controlos. A criação, manutenção, análise crítica, melhoria e distribuição de todos os documentos do SGSI são da responsabilidade da Comissão de Segurança e Privacidade consultadas outras áreas relevantes sempre que necessário.   4.1.1  Estrutura Documental Para assegurar a gestão efetiva de Segurança da Informação existe, é mantida uma estrutura documental responsável pela orientação, planeamento, implementação, manutenção e melhoria das práticas de Segurança da Informação. Esta estrutura abrange vários níveis para descentralizar as responsabilidades da gestão da Segurança da Informação pelas várias áreas da Organização. Os níveis em relação aos quais o SGSI estabelecido pela Organização está documentado e mantido são: Nível 1 Orientações gerais e compromissos da Organização no seu contexto interno e a sua relação com o contexto externo. Nível 2 Documentos base que constituem e explicam o funcionamento do SGSI, dando assim suporte para todos os outros documentos provenientes da segurança da informação, tendo em conta as exigências das normas de referência, requisitos legais aplicáveis e metodologias de trabalho aplicáveis. Nível 3.1 Políticas que divulgam as diretrizes, os controlos, os deveres e especificações para as várias áreas de segurança da informação. Nível 3.2 Os procedimentos constituem um meio de clarificar pormenores e aspetos específicos de atividades ou tarefas de uma determinada política. As instruções de trabalho são documentos com descrições detalhadas de “como se faz”, documentos para consulta quando é necessário realizar uma determinada tarefa, atividade ou serviço.  Nível 3.3 Os registos são resultado do preenchimento de algum modelo de impresso. Através dos registos é possível dispor de elementos de avaliação do desempenho do SGSI, sendo que estes suportam ou criam evidências da conformidade das ações efetuadas A estrutura documental da Segurança da Informação está definida na Framework de Documentação de Segurança da Informação da Organização. 4.2  Responsabilidades A Organização define as funções, responsabilidades e autoridades de todos os colaboradores nos seguintes documentos:  Manual de Funções. Processos. Políticas e Procedimentos de Segurança de Informação. Documentos Operacionais (Exemplo: Instruções de Trabalho, Registos, entre outros).  As responsabilidades e autoridades específicas no âmbito da Segurança da Informação devem ser consultadas nos respetivos documentos que suportam o SGSI. No entanto, todos os utilizadores, incluindo a Gestão de Topo e todos aqueles que fazem parte da estrutura organizacional de Segurança da Informação, têm a responsabilidade de manter um comportamento responsável e consistente com os princípios e objetivos de Segurança da Informação. Para tal, os colaboradores devem conhecer as instruções, regras e penalidades de funcionamento do serviço que utilizam, devendo ainda: Respeitar e aceitar plenamente as regras e responsabilidades definidas neste documento e nas normas e procedimentos internos na Organização sobre a utilização dos recursos de tratamento da informação, incluindo, em especial os recursos de Tecnologias de Informação e Comunicação. Cumprir o código de conduta profissional, bem como os requisitos da legislação em vigor relacionados com as atividades no setor do desenvolvimento, com especial atenção à legislação de proteção de dados. Responder por atos que violem as regras de utilização dos recursos computacionais, estando, portanto, sujeito às penalidades definidas na documentação referente ao uso desses recursos e também, se for o caso, às penalidades impostas pela legislação em vigor. Comunicar imediatamente qualquer falha ou não conformidade identificada na Segurança da Informação de acordo com o procedimento de notificação de incidentes. Não se fazer passar por outra pessoa ou dissimular a sua identidade enquanto utilizar os recursos computacionais. Responsabilizar-se pela sua identidade eletrónica, palavras-passe, credenciais de autenticação, autorização ou outro dispositivo de segurança, não partilhando com ninguém esta informação. Responder pela utilização indevida da sua conta e dos recursos computacionais em qualquer circunstância.  Divulgar informação confidencial e interna apenas nas situações previstas na lei, devendo, para tal efeito, recorrer a aconselhamento deontológico e jurídico. Zelar e aplicar boas práticas na gestão e manutenção de equipamentos e no processamento da informação.

4.3  Avaliação de Desempenho 4.3.1  Indicadores de Desempenho (KPI) Os KPI permitem avaliar o desempenho da segurança da informação e a eficácia dos controlos implementados no SGSI. Os KPI seguem uma metodologia SMART, “Specific, Measurable, Achievable, Relevant & Timebound” e seguir os seguintes princípios:  Alinhados com a PSI e os objetivos de segurança da informação.  Alcançável: produzir resultados comparáveis e reproduzíveis durante a avaliação. Precisos: ser confiáveis e mensuráveis.  Os KPI são monitorizados, medidos e revistos anualmente, aquando da Revisão pela Gestão, para verificar se se mantêm ou não relevantes e necessários para monitorização do SGSI e controlos de segurança da informação.  4.3.2  Auditoria Interna As auditorias internas ao SGSI são planeadas anualmente pela Comissão de Segurança de Informação e Privacidade de forma a monitorizar a eficácia e eficiência das políticas e controlos aplicados, bem como contribuir para a melhoria contínua do SGSI.  Anualmente é marcada uma auditoria na área de Proteção de Dados e outra na área de Cibersegurança, seguindo os referenciais do RGPD e ISO/IEC 27001, respetivamente, mas também as boas práticas de mercado em segurança da informação e Cibersegurança. Os resultados da auditoria interna são reportados à Gestão de Topo, Gestão de Negócio, Gestor de Segurança da Informação, Equipa de Segurança da Informação, através de relatório de auditoria.  4.3.3  Revisão pela Gestão O SGSI implementado pela Organização é revisto, pelo menos uma vez por ano, pela Comissão de Segurança de Informação e Privacidade de modo a garantir a sua contínua aplicabilidade, adequabilidade e eficácia. Esta revisão é baseada nos requisitos da norma ISO/IEC 27001. 5.  Segurança da Informação para Fornecedores De modo assegurar a proteção dos ativos da Organização, foi também implementado um processo adequado e controlado na contratação a manutenção de fornecedores, baseado em documentos próprios do SGSI, estabelecendo os princípios e as melhores práticas de segurança a aplicar na relação com fornecedores. 5.1  Generalidades Os princípios contidos nos processos implementados, incluem: As entidades externas, enquanto prestadoras de serviços, compreendem as suas responsabilidades e as suas funções, sendo estas adequadas e minimizado o risco de roubo, fraude ou utilização abusiva da informação ou das infraestruturas de processamento de informação.  Os contratos a celebrar com fornecedores incluem cláusulas de confidencialidade, mediante a qual os mesmos se obrigam a manter sob estrita confidencialidade as condições do acordo, bem como quaisquer outras informações que, na execução dele, obtenham acerca da empresa e da sua atividade, incluindo ainda toda a informação de natureza organizativa, técnica ou financeira;  As entidades externas que sejam utilizadores de infraestruturas de processamento de informação devem assinar um acordo que defina as suas funções e responsabilidades relativamente à Segurança da Informação, sempre que esta definição não conste dos contratos e acordos celebrados.  5.2  Revisão e Monitorização dos Serviços Os serviços, relatórios e registos fornecidos por terceiros são monitorizados e revistos anualmente, para analisar eventos de segurança da informação, falhas e problemas operacionais. Os dados obtidos, posteriormente revistos, serão uma entrada para a avaliação de terceiras partes.  5.3  Alteração nos Serviços As alterações à provisão dos serviços, incluindo manter e melhorar as políticas de segurança da informação, os procedimentos e os controlos existentes, devem ser geridas tendo em atenção a criticidade dos sistemas e baseada na reavaliação dos riscos. A Organização irá controlar como são desenvolvidas e implementadas as alterações dos serviços prestados pelos fornecedores. 6. Ciclo PDCA do Sistema de Gestão de Segurança da Informação O ciclo PDCA é uma metodologia que auxilia no diagnóstico, análise e avaliação dos problemas para os quais as organizações possam ter soluções e permite assim garantir que os seus processos são adotados utilizando os recursos adequados. É assim desta forma utilizado no SGSI esta metodologia como pode ser observado na Figura seguinte. 6.1  Melhoria Contínua O SGSI é alvo de revisões periódicas previamente agendadas ou justificadas por alterações significativas, no sentido de providenciar uma melhoria da aplicabilidade, adequabilidade e eficácia.

7.  Referências

Este documento foi criado com base nas melhores práticas e standards do mercado, nomeadamente: Norma ISO/IEC 27001.

8.  Anexos

Não incluí nenhum anexo.