Política de Segurança de Informação

Última atualização: 20.10.2017

1. Âmbito e Objetivos

A utilização eficiente da informação deve ser parte indissociável da doutrina e prática quotidiana de uma organização, sendo considerada como componente vital ao êxito do trabalho dentro de qualquer organismo. As políticas corporativas de segurança da informação, como estrutura crítica e fundamental de uma organização, abrangem bases de dados, qualquer ambiente informático, documentos, arquivos e restantes ferramentas tecnológicas e/ou aplicacionais que envolvam a estrutura de negócio ou corporativa do seu meio envolvente.

As informações restritas e de interesse exclusivo dos colaboradores devem ser tratadas internamente com sigilo absoluto, onde devem receber total proteção por parte da camada de gestão da organização. Deverá ser adotado um plano de segurança estratégico global internamente na Tonic App.

Na maioria das organizações, a segurança da informação é encarada exclusivamente através da aquisição de tecnologia, quando a perspetiva correta deveria passar por uma abordagem inicial ao próprio negócio, caracterizando as vulnerabilidades e avaliando as potenciais ameaças (que variam de organização para organização). Em função destes dois fatores obtém-se uma avaliação do risco ao qual a entidade está exposta. Da mesma forma, e em função do risco caracterizado, deverão ser dimensionados os investimentos a realizar, com o objetivo de o reduzir, através da definição de:

  • Política/procedimentos de segurança: alinhados com o negócio e os processos que o sustentam;
  • Tecnologia: meios e modelos técnicos auxiliares de suporte dos procedimentos de segurança.

Uma vez identificados os requisitos de segurança, convém que sejam selecionados e implementados controlos para garantir que os riscos sejam mitigados a um nível considerado aceitável para o negócio da Tonic App. Os controlos podem ser selecionados a partir de normas existentes, ou de outro conjunto de controlos que sejam desenvolvidos para atender as necessidades específicas em análise. É conveniente que os controlos sejam selecionados com base no custo da sua implementação, face ao grau de risco identificado, e ao impacto na ocorrência de perda de informação. Nesse sentido, é da responsabilidade dos órgãos máximos da Tonic App definir objetivos claros na implementação de uma doutrina de segurança, e demonstrar não só apoio, mas total empenho e dedicação na implementação e manutenção de uma política de segurança de informação em toda a organização.

2. Responsabilidades

A política de segurança de informação destina-se a todos os colaboradores da Tonic App, independentemente do seu vínculo (colaboradores, fornecedores, consultores, voluntários, entre outros). É responsabilidade de todos assegurar um elevado nível de segurança, no sentido de apoiar e proteger os interesses da Tonic App e permitir o funcionamento adequado de todos os setores de atividade, assegurando assim a realização de serviços e negócios de maneira segura e eficaz.

Os colaboradores que deliberadamente violem esta ou outras políticas devem ser sujeitos a sanções disciplinares ou outras previstas na lei.

3. Política de Segurança de Informação

A segurança da informação define-se como a preservação de:

Confidencialidade: assegurar que a informação apenas é disponibilizada a quem tem a devida autorização.

Integridade: assegurar a consistência e a veracidade da informação e respetivos métodos de processamento.

Disponibilidade: assegurar que a informação está disponível a utilizadores com a devida autorização, sempre que este acesso for necessário.

Auditabilidade: os dados e informações corporativas e/ou de negócio devem ser registados, compilados, analisados, e revelados de modo a permitir que auditores internos ou provedores de garantia externos possam atestar a sua veracidade.

Rastreabilidade: assegurar a capacidade de recuperação do histórico das ações concretizadas, através de um registo que deverá estar atualizado e disponível em qualquer momento.

A informação é um bem tão importante como qualquer outro bem da organização, pelo que tem de ser protegida da forma mais apropriada. A segurança da informação protege a informação contra uma multiplicidade de ameaças, entre as quais: assegurar a continuidade do serviço (negócio), minimizar os efeitos negativos no negócio, maximizar a rentabilização dos investimentos e melhorar a qualidade do serviço.

A segurança da informação é obtida através da implementação de um conjunto de controlos que podem ser: políticas, normas, procedimentos, estruturas organizacionais e funções de software.

  • Nível 1 – Política de Segurança de Informação e Privacidade
  • Nível 2 – Normas de Segurança de Informação
  • Nível 3 – Controlos, Processos, Procedimentos Não Tecnológicos
  • Nível 4 – Controlos Tecnológicos e Instruções Operativas

Os controlos são necessários em toda a segurança de informação, que é baseada na norma internacional ISO/IEC 27002 e composta pelos seguintes domínios:

  • Política de Segurança de Informação
  • Organização da Segurança de Informação
  • Gestão de Recursos Humanos
  • Gestão de Ativos
  • Controlo de Acessos
  • Criptografia
  • Segurança Física e Ambiental
  • Gestão das Operações
  • Gestão de Comunicações
  • Aquisição, Desenvolvimento e Manutenção de Sistemas
  • Contratos com Fornecedores
  • Gestão de Incidentes de Segurança
  • Plano de Continuidade de Negócio
  • Cumprimento Legal

Estes controlos necessitam de ser estabelecidos para assegurar que os objetivos específicos de segurança da Tonic App sejam atingidos.

A. Necessidade da Implementação de Políticas de Segurança

A informação e os seus processos de apoio, sistemas e redes, são bens essenciais ao negócio de uma organização. Confidencialidade, integridade e disponibilidade da informação são elementos essenciais para preservar a competitividade, faturação, rentabilidade e a imagem de uma organização no mercado.

Atualmente, a segurança dos sistemas da informação das organizações é cada vez mais colocada à prova por diversos tipos de ameaças de diversificadas origens, onde se incluem as tão frequentes fraudes eletrónicas, nomeadamente a espionagem, fuga de informação, sabotagem, vandalismo, hackers e ataques denial of service, que se tornam cada vez mais sofisticados e ambiciosos. A dependência dos sistemas e serviços de informação, leva a crer que as organizações estão cada vez mais vulneráveis às ameaças de segurança. O uso simultâneo de redes públicas e privadas e a partilha de recursos de informação são fatores que contribuem para o acréscimo da dificuldade em se controlar os acessos, e a respetiva segurança dos mesmos.

B. Avaliação de Risco

Os requisitos de segurança de informação são identificados através de uma avaliação precisa de riscos de segurança de informação. A realização de uma análise de risco ajuda a determinar qual a exposição ao risco e, consequentemente, efetuar uma priorização dos riscos mais relevantes, permitindo identificar as ações de mitigação adequadas e os controlos apropriados.

C. Controlos de Segurança de Informação

Após a avaliação de risco, e assim que as medidas mitigadoras tenham sido identificadas, devem ser selecionados e implementados os controlos apropriados para garantir que o risco é reduzido para um nível aceitável. Os controlos de segurança de informação podem ser selecionados a partir de um standard ou de outros conjuntos de controlos, podendo ser adicionados novos controlos para responder a necessidades específicas.

A seleção dos controlos depende das decisões da Tonic App que são baseadas em critérios de aceitação de risco, tratamento de risco e na gestão do risco de um modo geral. Estes critérios resultam da análise de risco efetuada e devem ter em conta a regulamentação e a legislação, quer nacional quer internacional, aplicável.

Os mecanismos de segurança de informação implementados devem ser alvo de revisões periódicas para garantir os níveis de segurança esperados, com particular enfoque para a salvaguarda da continuidade do negócio e processos críticos.

D. Revisão da Política de Segurança

A política de segurança da organização deverá ser revista anualmente ou sempre que existam alterações significativas.

Referências

Este documento foi criado com base nas melhores práticas e standards do mercado, nomeadamente:

  • Norma ISO/IEC 27001, cláusula 5.2 e 6.2;
  • Norma ISO/IEC 27002, A.5.1.