Objetivo
Proporcionar orientación y apoyo para la seguridad de la información de acuerdo con los requisitos del negocio y las leyes y regulaciones relevantes, contribuyendo así a la sostenibilidad financiera de la organización.
Documentos de referencia
– Código de Conducta de Algar Tech;
– Política de control de acceso lógico de Algar Tech;
– Procedimiento de gestión de activos físicos de Algar Tech;
– NBR ISO 20000-1:2018;
– NBR ISO 27001:2013;
– Ley 13.709/18 – Ley General de Protección de Datos Personales (LGPD)
Definición
3.1 ÁMBITO DE APLICACIÓN
Esta «Política de Seguridad» mantiene la integridad en la prestación del servicio en todas las unidades de Algar Tech según las estrategias de la compañía, la legislación vigente y los requisitos contractuales.
Las pautas establecidas en este documento deben ser seguidas por todos los asociados, proveedores de servicios, proveedores, pasantes, contratistas, socios y clientes que utilizan la información de Algar Tech.
Nota 01: Excepciones sólo cuando lo apruebe el órgano directivo.
3.2 – Seguridad de la información
Son esfuerzos continuos para proteger los activos de información contra varios tipos de amenazas.
para garantizar la continuidad del negocio, minimizar el riesgo para la organización, ayudando a Algar Tech a cumplir su misión;
Se obtiene de la implementación de objetivos de control y controles apropiados para garantizar que
se cumplen los objetivos empresariales y de seguridad de la organización.
3.3 – SGSI
Sistema de Gestión de Seguridad de la Información.
Descripción
4.1 – RESPONSABILIDADES
Algar Tech, a través de su presidencia y dirección afirma su compromiso con la seguridad de la información, las leyes y regulaciones aplicables al negocio, a partir de esta»Política de Seguridad de la Información».
4.2 – PRINCIPALES ÁREAS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
– Presidencia;
– Tecnología de la Información;
– Infraestructura;
– Talentos Humanos;
– Operaciones.
4.3 – OBJETIVO DE SEGURIDAD
Asegurar la aplicabilidad de reglas, políticas, procedimientos de seguridad de la información, reflejados en el negocio de la organización.
4.4 – PERSONAS
4.1.1 – Algar Tech Asociados
a) Todos los asociados, jóvenes aprendices, pasantes, proveedores de servicios, proveedores, contratistas, visitantes, socios, startups y clientes en el entorno de Algar Tech, deben conocer el Código de Conducta del Grupo Algar y la capacitación de Conciencia de Seguridad de la Información y ser consistentes con ellos.
b) Todo socio deberá firmar el «Término de Confidencialidad» en el momento de su admisión o siempre que lo solicite la empresa.
c) Está prohibido a cualquier asociado el mal uso de la información de la empresa y / o de sus clientes, transmitirlos a la competencia, utilizarlos para su propio beneficio y/o almacenar correos electrónicos de manera inapropiada.
d) Algar Tech puede recibir y almacenar automáticamente información sobre las actividades de cualquier persona que utilice sus recursos, incluida la dirección IP, el usuario, las aplicaciones, pantalla/página y conversación efectuada dentro o a través de la empresa.
e) Cualquier ID de autenticación (usuario y contraseña) en la red corporativa o en las aplicaciones proporcionado por Algar Tech es personal e intransferible y cada usuario será responsable de la almacenamiento y uso de la misma.
f) al final de la relación laboral y/o contractual de asociados y/o proveedores de servicios, Algar Tech desactivará todos los documentos de autenticación utilizados durante la provisión de servicio.
4.5 – Proveedor y Terceros
a) Toda creación, invención y desarrollo de ideas, procesos, sistemas, productos y servicios durante la prestación del servicio en Algar Tech debe ser transferido a Algar Tech.
(b) Está prohibido a cualquier persona el mal uso de la información de la empresa y sus clientes, transmitirlos a la competencia, utilizarlos para su propio beneficio y/ o almacenar correos electrónicos de manera inapropiada.
c) Al recibir acceso a cualquier recurso de Algar Tech, el proveedor del servicio estará sujeto a la políticas y directrices de la organización y a todos los criterios establecidos en el confidencialidad disponible en el contrato de servicios firmado en el momento de la contratación.
d) al final de la relación contractual, la persona responsable del contrato del Algar Tech se asegurará de que los documentos de autenticación utilizados durante el trabajo sean correctamente deshabilitados.
4.6 – Activos
a) Todo miembro es responsable de velar por el buen funcionamiento y la integridad de cualquier recurso proporcionado por la empresa para llevar a cabo sus actividades y, cuando debe firmar un término de compromiso de uso de recursos.
(b) Cualquier producto o equipo de Algar Tech que sea necesario para el transporte debe ser acomodado de forma segura, asegurando así su integridad física y lógica cuando aplicable.
c) En la red corporativa no se permite el uso de ordenadores personales. Salvo excepciones
previamente autorizado por el área de seguridad de la información.
d) El acceso a través de dispositivos móviles (teléfonos inteligentes, teléfonos móviles, tabletas, ipad, etc.) será permitido a través de AlgarTec_Mobile SSID, en el que solo permite el uso de aplicaciones necesario para este tipo de dispositivo. Para estos casos, la única persona responsable de garantizar el la operación de estos activos es el propietario del equipo.
e) Toda entrada, movimiento y salida de activos de las unidades de Algar Tech deberá cumplir con el los procedimientos internos de la empresa.
4.7 – Procesos
a) La empresa deberá mapear todos los procesos críticos para el negocio y llevar a cabo una evaluación de riesgos con controles y tratamientos. Deben ser conocidos, aprobados y aceptados por el órgano directivo.
b) El mapeo de los procesos críticos debe revisarse cada vez que el cambios de impacto ocurran en el ambiente.
4.8 – Riesgo
a) La empresa definirá y aplicará un proceso de evaluación de los riesgos para la seguridad de la la información sobre los procesos y tecnologías existentes y sus resultados deben ser comparables y reproducibles, conformando el Mapa de Riesgos Corporativos.
b) La evaluación del riesgo deberá ser capaz de identificar vulnerabilidades, amenazas, repercusiones y niveles de riesgo aceptables para activos, personas, información, sistemas, aplicaciones y mapeo de los principales procesos de negocio de acuerdo con las estrategias de la empresa, legislación vigente y requisitos contractuales;
c) La evaluación del riesgo se revisará al menos una vez al año, o cuando se producen cambios en el entorno.
4.9 – Información
a) El acceso a la información de Algar Tech o de sus clientes en su entorno empresarial está restringido y estará disponible solo para el perfil de personas formalmente Autorizado.
(b) todas las cláusulas de confidencialidad acordadas con los clientes en relación con su la información debe ser respetada por los miembros de Algar Tech o terceros a los servicios que tienen acceso a esta información.
c) Queda expresamente prohibido para cualquier usuario que no disponga de autorización formal para utilizar, el acceso a cualquier sistema y aplicación o incluso el simple intento de acceso.
d) Cualquier y toda la información generada dentro de Algar Tech o en su nombre que sea el resultado del trabajo de los asociados, proveedores o prestadores de servicios son derecho de Algar Tech y solo él puede determinar su destino y propósito.
e) Toda creación, invención y desarrollo de ideas, procesos, sistemas, productos y servicios, creados en el contexto del trabajo o las responsabilidades y la misión de la función o miembro de la empresa, debe ser transferido a AlgarTech.
f) Está prohibido revelar cualquier información de la empresa o de sus clientes a terceros. que no pertenecen al mismo grupo de trabajo, en medios públicos (incluyendo fotos / publicaciones en redes sociales) o internas, sin autorización previa o que sea vinculado al Término de Responsabilidad y Confidencialidad, excepto cuando se disponga en contrato.
h) La información generada en la organización se almacenará en un proceso de copia de seguridad con restauración de garantía en una ubicación segura validada por el equipo competente.
i) No se permite el uso de memorias USB, HD externo o cualquier otro tipo de dispositivo extraíble para el transporte o almacenamiento de datos. Las excepciones deben ser formales autorizadas por el área de seguridad de lainformación.
j) al final de la relación contractual con el cliente o proveedor de servicios, toda la información Los equipos almacenados en Algar Tech deben ser borrados o transmitidos al mismo cuando esté previsto en el contrato;
(k) Al final de la relación laboral y/o contractual, asociados y/o proveedores de servicios a quién se le puede permitir el acceso a equipos o medios de almacenamiento eliminará cualquier rastro físico y/o lógico de la información generada o adquirida dentro de Algar Tech.
4º. 10 – Sistemas y Aplicaciones
a) Todo el software instalado en máquinas propiedad o al servicio de Algar Tech debe tener una licencia de uso previamente adquirida, y el área de usuario debe registrar con mesa de servicio para la instalación, autorización y uso.
b) No se permitirá instalar shareware, freeware o software equivalente que no se proporciona en la lista de soluciones aprobadas.
c) Todas las actualizaciones y correcciones de seguridad deben implementarse de acuerdo con la regla de cada aplicación y aprobado por el equipo de seguridad y tecnología de la información.
d) Todos los equipos (servidores, equipos de sobremesa, portátiles, entre otros) que permitan la instalación antivirus, deben tenerlos instalados y actualizados en línea, no pudiendo usuario deshabilitar o desinstalar
e) Todo el software antivirus debe garantizar el bloqueo de virus, gusanos, spyware u otra nueva tecnología de ataque existente.
f) Todo el correo electrónico y el acceso a Internet deben ser monitoreados y protegidos con antivirus y cortafuegos.
g) El correo electrónico corporativo de Algar Tech solo debe utilizarse para abordar asuntos relacionados con la empresa, y la información almacenada o transmitida propiedad de la organización, y depende del usuario asegurar su correcta clasificación y tratamiento como Procedimiento – Clasificación y Etiquetado de la Información.
h) El uso del correo electrónico corporativo para fines personales, el registro en sitios web de compras y otros no está permite.
i) Ningún acceso a los sistemas y aplicaciones de Algar Tech o de sus clientes puede ser compartido, siendo el propietario asociado del usuario el único responsable de mantener el confidencialidad de las contraseñas de acceso, usuario de la red, Internet, archivos de trabajo y otros aplicativos de Algar Tech.
j) Está prohibido el uso de herramientas de mensajería instantánea no aprobadas por el área de seguridad y tecnología, salvo excepciones, cuando se demuestre su uso efectivo en actividades realizado por el asociado o cliente.
k)Está prohibida la transferencia de archivos por cualquier herramienta de mensajería instantánea y el uso compartido de archivos, excepto excepciones autorizadas y/o herramientas aprobadas y Autorizadas.
4.11 – Violación de las políticas y directrices del SGSI
Las brechas de seguridad deben ser reportadas al área de Seguridad de la Información, por ejemplo. a través del Service Desk. Cualquier violación o desviación debe ser investigada para la determinación de medidas necesarias, destinadas a corregir el fallo o la reestructuración de los procesos.
Se consideran brechas de seguridad:
– Uso ilegal de software;
– Introducción (intencional o no) de virus informáticos;
– Intercambio de información comercial sensible;
– Intercambio de datos personales;
– Exposición inadecuada de datos relacionados con contratos y clientes;
– Violación de la confidencialidad de la información confidencial y/o datos sensibles;
Otras infracciones previstas en el Código de Conducta del Grupo Algar, la Política de Seguridad de la Información del Grupo Algar y la legislación vigente.
Divulgación de información del cliente y operaciones contratadas.
Los principios de seguridad establecidos en esta política tienen plena adhesión a la Presidencia y dirección de Algar Tech y debe ser observado por todos en la ejecución de su Funciones.
El Incumplimiento de las directrices de esta política o de las demás políticas y directrices de la las organizaciones están sujetas a los Planes de Acción y a la Aplicación de la Gestión Disciplinaria.
4.12 – Auditoría
Todos los miembros, así como los terceros que utilizan el entorno tecnológico de Algar están sujetos a auditoría de red, telefonía y uso de aplicaciones.
Los procedimientos de auditoría y seguimiento se llevarán a cabo periódicamente por el equipo de seguridad de la información o empresa contratada, con el objetivo de observar el cumplimiento de la directrices establecidas en esta política por los usuarios y con vistas a gestionar el rendimiento de la red.
Si hay evidencia de actividades que podrían comprometer la seguridad de la red, será permitido que el área de seguridad de la información audite y supervise las actividades de un usuario, inspeccionar sus archivos y registros de acceso, en interés de Algar Tech, y el hecho se comunica inmediatamente a la Alta Dirección.