Política de Segurança da Informação
1. Objetivo
2. Escopo
3. Princípios Basilares
Para garantir a eficácia desta Política, a COPASTUR adota os seguintes princípios:
– Políticas e Procedimentos: Desenvolver, implementar e cumprir integralmente políticas, diretrizes normativas e manuais de procedimentos de segurança da informação. Assegurar que os requisitos essenciais de confidencialidade, integridade e disponibilidade das informações sejam atendidos através de controles contra ameaças internas e externas;
– Educação e Conscientização: Promover a educação e conscientização dos funcionários sobre as práticas de segurança da informação implementadas pela COPASTUR.
– Conformidade: Cumprir os requisitos de segurança da informação estabelecidos por regulamentações, leis e cláusulas contratuais;
– Gestão de Incidentes: Gerenciar integralmente incidentes de segurança da informação, garantindo que todos sejam devidamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicados às autoridades competentes. As áreas da empresa devem fornecer as informações necessárias para a resposta a incidentes;
– Continuidade dos Negócios: Assegurar a continuidade dos negócios através da implementação, teste e melhoria contínua dos planos de continuidade e recuperação de desastres;
– Melhoria Contínua: Promover a melhoria contínua da gestão de segurança da informação, estabelecendo e revisando sistematicamente os objetivos de segurança em todos os níveis da organização.
4. Diretrizes
Para garantir uma proteção adequada, implementamos um Sistema de Governança de Segurança da Informação (SGSI) robusto e alinhado com os requisitos das normas ISO/IEC 27.001:2022. Adotamos um Sistema de Gestão de Continuidade do Negócio (SGCN), identificamos ameaças e possíveis impactos nas operações, proporcionando uma estrutura resiliente capaz de responder eficazmente e proteger os interesses das partes envolvidas.
Nossa gestão diária de eventos e incidentes de Segurança da Informação visa prevenir, monitorar, responder e recuperar nosso ambiente contra-ataques cibernéticos. Mantemos uma Política Interna de Segurança da Informação com diretrizes atualizadas periodicamente para proteger as informações de clientes e funcionários. A correta atribuição do grau de sensibilidade das informações é garantida por uma Política de Classificação da Informação bem estabelecida e implementada.
Asseguramos a proteção das informações através de controles de acesso lógico, prevenindo acessos não autorizados que possam comprometer a confidencialidade, integridade e disponibilidade das informações. Utilizamos técnicas de criptografia em repouso e em transferência, além de métodos seguros de comunicação com parceiros. Adotamos medidas físicas para assegurar que todas as instalações com recursos de informação disponham de controle de acesso adequado e monitorado, protegendo contra acessos não autorizados e riscos ambientais.
Mantemos cópias de segurança (“backups”) com testes de restauração periódicos para garantir a continuidade e integridade das informações em casos de desastres. As máquinas e estações de trabalho são protegidas com limitações para alterações de configurações administrativas, exportação de dados, instalação de softwares não homologados e uso de mídias removíveis.
Utilizamos ferramentas robustas para varredura de vulnerabilidades, detecção de ameaças e exfiltração de informações. Celebramos Acordos de Confidencialidade (NDAs) com funcionários, prestadores de serviços e parceiros para evitar a divulgação não autorizada de dados. Realizamos o mapeamento, monitoramento e reporte de riscos relacionados à privacidade e à segurança da informação com a participação da alta administração, assegurando a proteção de dados pessoais e confidenciais em conformidade com a legislação vigente e políticas internas, garantindo que os direitos dos titulares sejam respeitados conforme a LGPD.