1. Conceito

A Política de Gestão da Segurança da Informação da A4QUALITY define e padroniza o tratamento das informações que agregam valor à sua competitividade e asseguram o fluxo de caixa, a lucratividade e o atendimento aos requisitos legais, de modo a minimizar impactos negativos no seu desempenho financeiro e a maximizar sua participação no mercado, sua imagem institucional e seu relacionamento com as diversas partes interessadas.

Por meio da orientação e das diretrizes organizacionais da A4QUALITY para proteger seus ativos de informação, a Política de Gestão da Segurança da Informação visa determinar os padrões de comportamentos relacionados à segurança da informação adequados às necessidades do negócio e os de proteção legal da entidade e de seus indivíduos. Esta Política considera a Gestão da Segurança da Informação nos aspectos físico, lógico e comportamental, preservando sua confidencialidade, integridade e disponibilidade.

A alta gestão da A4QUALITY tem o comprometimento com a melhoria contínua dos procedimentos relacionados com a segurança da informação, bem como a transparência relacionada aos processos de avaliações, acreditações/certificações.

Essa política se aplica a todos os colaboradores, fornecedores e prestadores de serviços que utilizem ou forneçam serviços tecnológicos e de informação relevantes.

Os riscos típicos que a aplicação desta política pretende evitar são:

• Revelação de informações sensíveis;
• Revelação de informações pessoais;
• Modificações indevidas de dados e programas;
• Perda de dados e programas;
• Destruição ou perda de recursos e instalações;
• Interdições ou interrupções de serviços essenciais;
• Roubo/furto de propriedades;
• Utilização indevida de dados;
• Acesso não autorizado.

2. Objetivos

Definir as diretrizes que nortearão as normas e padrões que tratam da proteção da informação, abrangendo sua geração, utilização, armazenamento, distribuição, confidencialidade, disponibilidade e integridade, independentemente do meio e local em que ela esteja contida, com base na legislação vigente, órgãos reguladores, autorreguladores e nas boas práticas de segurança da informação.

3. Definições

Para os fins desta Política, define-se abaixo os seguintes termos:

Ativo
Qualquer coisa que tenha valor para a organização.

Confidencialidade
Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.

Custodiante (Colaborador/Avaliador)
É o empregado pessoa física ou jurídica que presta serviços de natureza eventual/não eventual à empresa mediante contrato de trabalho regido pela CLT (Consolidação das Leis de Trabalho) ou contrato de prestação de serviços, sendo responsável pelo armazenamento, processamento, manutenção, recuperação, disponibilização, guarda, transporte e eventual descarte da informação.

Disponibilidade
Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.

Evento de Segurança da Informação
Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da Política de Segurança da Informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a Segurança da Informação.

Grau de Sigilo
Classificação que condiciona os procedimentos de segurança a serem adotados na disseminação, recepção, criação, no manuseio, arquivamento e na distribuição.

Liderança
Colaborador da A4QUALITY com atribuição gerencial responsável por uma unidade organizacional ou avaliação, que origina ou adquire a informação, tornando-se responsável pela sua segurança.

Informação
Conjunto de dados, imagens, textos e quaisquer outras formas de representação dotadas de significado dentro de um contexto.

Integridade
Propriedade de salvaguarda da exatidão e completeza de ativos.

Incidente de Segurança da Informação
Um simples ou uma série de eventos de Segurança da Informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a Segurança da Informação.

Proprietário da Informação
É um colaborador da A4QUALITY que ocupa cargo da Diretoria ou Gerência, formalmente indicado por comitê interno, responsável pela concessão, manutenção, revisão e cancelamento de autorizações de acesso a determinado conjunto de informações pertencentes à A4QUALITY ou sob sua guarda.

Prestador de Serviço
Pessoa envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderá receber credencial especial de acesso.

Recursos da Informação
Todo e qualquer meio utilizado para aquisição, geração, armazenamento e transporte de informação, incluindo recursos do ambiente tecnológico e meios convencionais como telefone, papel, microfilme, vídeo, etc.

Segurança da Informação
Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

Sistema de Gestão da Segurança da Informação
A parte do Sistema de Gestão Global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a Segurança da Informação.

Nota: o Sistema de Gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

Usuário
Colaboradores, Prestadores de Serviço, Consultores, Avaliadores e Estagiários que obtiverem autorização da liderança da área interessada para acesso aos Ativos de Informação, formalizada por meio da assinatura do Termo de Responsabilidade (Termo de Confidencialidade e Sigilo).

4. Competências e Responsabilidades

Todos os usuários são responsáveis pelo cumprimento das determinações desta política.

Responsabilidades gerais de todos os colaboradores/avaliadores e prestadores de serviço:

• Cumprir as normas estabelecidas por esta política, bem como manter-se informado sobre suas atualizações e das normas dela derivadas;
• Comunicar aos superiores imediatos (liderança local ou avaliador líder) com cópia às diretorias da A4QUALITY, quaisquer atos ou situações que, segundo sua percepção ou avaliação, coloquem em risco a segurança da informação;
• Ter comportamento idôneo com relação à utilização de informações;
• Ser ético na aquisição, tratamento e utilização da informação corporativa;
• Praticar atos pautados nas regras e orientações contidas nesta política.

Responsabilidades específicas dos diretores:

• Adequar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender à Política de Segurança da Informação;
• Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os membros de suas respectivas equipes;
• Apresentar e informar aos futuros usuários, em fase de contratação e formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a exigibilidade de cumprimento desta política;
• Verificar se todos os membros de suas respectivas equipes tomaram conhecimento deste código e assinaram o Termo de Responsabilidade (Confidencialidade e Sigilo) das Informações, assumindo o dever de cumprirem as normas estabelecidas, bem como se comprometendo a manterem sigilo e confidencialidade sobre todos os ativos de informações da A4QUALITY, mesmo quando desligados ou após términos de contrato de prestação de serviços;
• Comunicar às suas equipes as atualizações desta política.

5. Estrutura Normativa

A Estrutura Normativa da Segurança da Informação da A4QUALITY é composta por um conjunto de documentos com três níveis hierárquicos distintos, relacionados a seguir:

I. Política de Gestão da Segurança da Informação
Constituída por este documento, define os princípios, a estrutura, as diretrizes e as obrigações referentes à Segurança da Informação.

II. Normas/Manuais
Estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da Política, a serem seguidos em diversas situações em que a informação é tratada.

III. Procedimentos e demais documentos
Instrumentalizam o disposto nas Normas e na Política, permitindo a direta aplicação nas atividades da A4QUALITY.

6. Princípios

As informações da A4QUALITY ou sob sua guarda devem ser utilizadas de modo ético e seguro, em benefício exclusivo dos negócios corporativos.

A Segurança da Informação é responsabilidade de todo e qualquer colaborador/avaliador, sendo norteada pelos seguintes princípios:

• A A4QUALITY é proprietária exclusiva das informações geradas ou adquiridas por ela;
• Informações são Ativos, que devem ser manuseados, preservados e gerenciados de maneira adequada permanentemente;
• Toda informação possui uma liderança e ao menos um custodiante;
• Toda informação deve ser classificada pela liderança segundo seu grau de sigilo. Todo usuário deve ser instruído sobre este princípio;
• Toda informação deve ser transportada, preservada e descartada com segurança física e lógica compatível com sua classificação;
• Os usuários devem fazer uso das informações da A4QUALITY apenas para o desempenho das atividades de interesse corporativo;
• As credenciais de identificação fornecidas aos usuários para acesso e uso das instalações, informações e recursos da informação são pessoais e intransferíveis, mesmo que sejam transitórias;
• O descumprimento da Política de Segurança da Informação da A4QUALITY implicará em ações disciplinares, bem como em medidas judiciais cabíveis nas esferas cível e criminal;
• O custodiante não pode acessar nem conceder às informações sob sua guarda sem autorização da liderança;
• Os colaboradores/avaliadores se reservam o direito de monitorar o uso e a custódia de suas respectivas informações, bem como o uso dos seus recursos de informação.

7. Diretrizes

As diretrizes da Política de Gestão da Segurança da Informação da A4QUALITY descritas abaixo constituem os principais pilares da Gestão de Segurança da Informação da empresa, norteando a elaboração das Normas e dos Procedimentos:

7.1. Adoção de Comportamento Seguro

Independentemente do meio ou da forma em que exista, a informação está presente no trabalho de todos os colaboradores/avaliadores e prestadores de serviço. Portanto, é fundamental para a proteção e salvaguarda das informações que os profissionais adotem comportamento seguro, consistente e transparente, com o objetivo de proteção das informações da A4QUALITY.

Por comportamento seguro, entenda-se o cuidado constante quanto à observância dos princípios de Confiabilidade, Integridade e Disponibilidade em toda ação relacionada ao exercício profissional, no âmbito da A4QUALITY ou fora da mesma.

7.2. Adoção de Inventário e de Sistema de Classificação da Informação

As diretorias devem manter um inventário atualizado que identifique e documente a existência e as principais características de todos os ativos de informação da empresa (base de dados, arquivos, diretórios de rede, documentação de sistemas, manuais, entre outros).

As informações inventariadas devem ser classificadas de acordo com o grau de sigilo e criticidade para o negócio da A4QUALITY e com base na seguinte classificação:

• Pública – pode ser disponibilizada e acessível a qualquer pessoa;
• Interna – acessada apenas por colaboradores da empresa;
• Confidencial – acessível para um grupo de pessoas;
• Restrita – acessível apenas para pessoas selecionadas.

As informações inventariadas devem ser associadas a um “proprietário”, o qual é um diretor ou um gerente da A4QUALITY, que será o responsável pela autorização de acesso às informações sob a sua responsabilidade.

7.3. Avaliação Contínua dos Riscos de Segurança da Informação

As diretorias devem realizar, de forma sistemática, a avaliação dos riscos relacionados à Segurança da Informação da A4QUALITY.

A análise dos riscos deve atuar como ferramenta de orientação às diretorias, principalmente no que diz respeito à:

• Identificação dos principais riscos aos quais as informações da empresa estão expostas;
• Priorização das ações voltadas à mitigação dos riscos apontados, tais como implantação de novos controles, criação de novas regras e procedimentos, reformulação de sistemas, etc.

O escopo da análise/avaliação de riscos de segurança da informação pode ser toda a organização, partes da organização, um sistema de informação específico ou componentes de um sistema específico.

7.4. Gestão de Acesso a Sistemas de Informação e a Outros Ambientes Lógicos

Todo acesso às informações da A4QUALITY deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas pelo respectivo proprietário da informação, de forma a assegurar:

• Concessão e cancelamento de autorização de acesso ao usuário aos sistemas de informações;
• Comprovação de autorização do proprietário da informação;
• Utilização de identificadores de usuário (ID de usuário) individualizados, de forma a assegurar a responsabilidade de cada usuário por suas ações;
• Verificação se o nível de acesso concedido é apropriado ao propósito do negócio e se é consistente com a Política de Segurança da Informação e suas Normas;
• Remoção imediata de autorizações dadas a usuários afastados ou desligados da empresa, ou que tenham mudado de função;
• Processo de revisão periódica das autorizações concedidas;
• Diretrizes de atribuição, manutenção e uso de senhas.

7.5. Monitoração e Controle

Os sistemas, as informações e os serviços utilizados pelos usuários são de exclusiva propriedade da A4QUALITY, não podendo ser interpretados como de uso pessoal.

Todos os profissionais (colaboradores, avaliadores e prestadores de serviço) da A4QUALITY devem ter ciência de que o uso das informações e dos sistemas de informação da empresa pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações e/ou investigações de incidentes e eventos da Política e das Normas de Segurança da Informação e, conforme o caso, servir como evidência em processos administrativos e/ou legais.

7.6. Diretivas de Privacidade

O cuidado constante com a proteção e privacidade das informações dos nossos clientes deve refletir os valores da A4QUALITY e reafirmar o seu compromisso com a melhoria contínua da eficiência do processo de proteção de dados.

As informações de nossos clientes estão asseguradas através da adoção das seguintes diretivas:

• As informações são adquiridas de forma ética e legal, com o consentimento do cliente, somente para fins específicos e previamente comunicados;
• As informações recebidas pela A4QUALITY são tratadas e armazenadas de forma segura e íntegra;
• As informações, de que trata o item anterior, somente serão acessadas por colaboradores/avaliadores autorizados e capacitados para seu uso adequado;
• As informações dos clientes somente serão fornecidas/acessadas por terceiros, mediante autorização prévia do cliente ou para o atendimento de exigência legal ou regulamentar;
• Nos casos em que se faça necessária a disponibilização de informações dos nossos clientes a empresas contratadas para prestação de serviços, será exigida de tais organizações o cumprimento de nossas diretrizes de segurança e privacidade de dados, bem como, de maneira incondicional, o atendimento irrestrito à nossa Política de Gestão da Segurança da Informação.

8. Referências Bibliográficas

• ABNT NBR ISO IEC 27001 – Código de práticas para a gestão da segurança da informação.
• ABNT NBR ISO IEC 27002 – Código de práticas para controles de segurança da informação.
• Consumerization of IT: Risk Mitigation Strategies – 2012 – European Network and Information Security Agency.
• Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018 v.1.0 – 2015 – Presidência da República.