Politica de Segurança das Informações

1. Objetivo

Estabelecer diretrizes, princípios e responsabilidades, além de orientar na execução das ações relacionadas ao tratamento das informações e ao uso adequado de ativos e/ou informações pelos colaboradores, estagiários, terceiros, fornecedores, parceiros e outras partes interessadas nos negócios da Up Gestão e Pessoas.

 

2. Definições

Informação: É a reunião ou conjunto de dados e conhecimentos resultante do processamento, manipulação e/ou organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (humano ou máquina) que a recebe;

 

Segurança da Informação: É o conjunto de ações e controles que tem como objetivo garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações, contribuindo para o cumprimento dos objetivos estratégicos da companhia;

 

Confidencialidade: A informação deve estar disponível e somente ser divulgada a indivíduos, entidades ou processos autorizados;

Integridade: Salvaguarda da exatidão da informação e dos métodos de processamento;

 

Disponibilidade: As pessoas autorizadas devem obter acesso à informação e aos ativos correspondentes sempre que necessário;

Conformidade: Processo de garantia do cumprimento de um requisito, podendo ser obrigações empresariais com as partes interessadas (investidores, empregados, credores, etc.) e com aspectos legais e regulatórios relacionados à administração das empresas, dentro de princípios éticos e de conduta estabelecidos pela Alta Administração da Up Gestão e Pessoas;

 

Incidente de Segurança da Informação: Evento decorrente da ação de uma ameaça, que explora uma ou mais vulnerabilidades e que afete algum dos aspectos da segurança da informação: confidencialidade, integridade ou disponibilidade;

Risco de Segurança da Informação: Riscos associados à violação da confidencialidade e integridade, bem como da disponibilidade das informações da companhia nos meios físicos e digitais.

 

3. Conteúdo

3.1. Diretrizes

 

Informação é Patrimônio: Toda informação elaborada, adquirida, manuseada, armazenada, transportada e/ou descartada nas dependências e/ou em ativos das empresas da Up Gestão e Pessoas é considerada patrimônio da empresa e deve ser utilizada exclusivamente para os interesses corporativos.

A Responsabilidade e o comprometimento deve ser de todos: Todos os colaboradores, estagiários, terceiros, fornecedores e parceiros, em qualquer vínculo, função ou nível hierárquico, são responsáveis pela proteção e salvaguarda dos ativos e informações de que sejam usuários ou com os quais tenham contato, assim como dos ambientes físicos e computacionais a que tenham acesso, independentemente das medidas de segurança implantadas.

 

O acesso à informação deve ser gerenciado: O acesso lógico, o controle de acesso físico e o uso da informação da Up Gestão e Pessoas devem ser aprovados, controlados, registrados, armazenados e monitorados, de forma a permitir a adequada execução das tarefas inerentes ao seu cargo ou função.

 

Incidentes de Segurança precisam ser tratados: Os incidentes de segurança devem ser identificados, monitorados, comunicados e devidamente tratados de forma a reduzir riscos no ambiente, evitando interrupção das atividades e não afetar o alcance dos objetivos estratégicos da Up Gestão e Pessoas.

 

Os ativos da Up Gestão e Pessoas e sua utilização podem ser monitorados: A Up Gestão e Pessoas pode monitorar o acesso e a utilização de seus ativos tecnológicos, como dos ambientes, equipamentos e sistemas da informação, de forma que ações indesejáveis ou não autorizadas sejam detectadas.

 

A Up Gestão e Pessoas pode auditar a conformidade com as práticas de SI: A Up Gestão e Pessoas pode auditar periodicamente as práticas de Segurança da Informação, de forma a avaliar a conformidade das ações de seus colaboradores, estagiários, terceiros, fornecedores e parceiros em relação ao estabelecido nesta Política e na legislação aplicável.

 

3.2. Princípios de Segurança da Informação

 

São as bases para as ações ou linhas de conduta de segurança que atuam como guia para a sua implementação e a gestão da Segurança da Informação:

Estabelecer a Segurança da Informação em toda Up Gestão  e Pessoas: A Segurança da Informação é tratada em nível organizacional, de acordo com a tomada de decisões que levem em consideração todos os processos críticos de negócio da Up Gestão e Pessoas.

Adotar uma abordagem baseada em riscos: A Segurança da Informação é fundamentada em decisões baseadas em riscos como perda da vantagem competitiva, conformidade, de responsabilidade civil, interrupções operacionais, danos à reputação e perdas financeiras.

Promover um ambiente positivo de segurança: A Segurança da Informação é estruturada com base na análise do comportamento humano, observando as crescentes necessidades de todas as partes interessadas, através da conscientização e maturidade dos colaboradores fortalecendo um dos elementos fundamentais para manter o nível apropriado de Segurança.

3.3. Atribuições e Responsabilidades

 

3.3.1. Área de Segurança da Informação

  • Gerenciar, coordenar, orientar, avaliar e promover a implantação das ações, atividades e projetos relativos à Segurança da Informação na Up Gestão e Pessoas, promovendo ações de interesse da empresa, programas educacionais e de conscientização do capital humano.

3.3.2. Colaboradores, estagiários, terceiros, fornecedores, parceiros e partes interessadas da UUp Gestão e Pessoas.

  • Conhecer e cumprir as normas e orientações estabelecidas nesta Política e demais Regulamentos que compõem a Política de Segurança da Informação da Up Gestão e Pessoas;

  • Informar as situações que comprometam a segurança das informações nas unidades organizacionais das empresas da Up Gestão e Pessoas, através do Canal de Denúncias e Relatos, presente no Código de Ética da Up Gestão e Pessoas;

  • Toda informação criada, modificada no exercício das funções e qualquer informação contida em mensagens do correio eletrônico corporativo deve ser tratada como referente ao negócio da Up Gestão e Pessoas, não devendo ser considerada como pessoal, particular ou confidencial, mesmo que arquivadas na sua pasta pessoal;

  • Garantir que seja conhecida e cumprida a proibição de compartilhamento ou negociação de credencias (ID, senhas, crachás, tokens e similares);

  • Garantir que os requisitos de Segurança da Informação constem nas aquisições e/ou implementações tecnológicas.

 

3.4. Compromisso e Penalidades

Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os colaboradores da Up Gestão e Pessoas.

 

O descumprimento da Política é considerado uma falta grave e poderá acarretar na aplicação de sanções previstas em lei, assim como advertências conforme regulamentos internos e nas disposições contratuais.

Todas as disposições legais e demais normas da Up Gestão e Pessoas, como o Código de Ética, devem ser rigorosamente observadas.

 

3.5. Treinamento, Atualização e Divulgação

Um programa de conscientização, educação e treinamento em Segurança da Informação é disponibilizado para garantia dos objetivos, princípios e diretrizes definidas nesta Política. O programa deve ser seguido adequando-se às necessidades e responsabilidades específicas de cada colaborador, estagiário, terceiro, fornecedor e parceiro da Up Gestão e Pessoas.

Da mesma forma, o conteúdo da Política é amplo e constantemente atualizado e divulgado. A releitura desta Política, mesmo que não seja diretamente solicitada, deve ser feita periodicamente para melhor entendimento.

 

3.6. Referências

ABNT NBR ISO/IEC 27001:2013 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos.

ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação.