1. INTRODUÇÃO
Simetrik INC. e todas as suas filiais e/ou subsidiárias, presentes e/ou futuras (doravante referidas como "A Empresa"), reconhecendo a importância de uma adequada gestão da informação, comprometeu-se com a implementação de um Sistema de Gestão de Segurança da Informação e Cibersegurança, buscando estabelecer um quadro de confiança no exercício de seus deveres com seus colaboradores e terceiros, tudo enquadrado no estrito cumprimento das leis, seguindo padrões internacionais e em conformidade com a missão e visão da empresa. A Política de Segurança, Cibersegurança e Privacidade da Informação é a declaração geral que representa a posição da administração da Empresa em relação à proteção de todos os ativos, Colaboradores (funcionários-contratados) e terceiros que sustentam os processos da empresa e apoiam a implementação do Sistema de Gestão de Segurança da Informação e Cibersegurança, por meio da geração e publicação das suas políticas, procedimentos e demais documentos, bem como pela atribuição de responsabilidades gerais e específicas para a gestão da segurança da informação e cibersegurança. Os papéis são necessários dentro da organização para fornecer responsabilidades claras e definidas, bem como para entender como a informação pode ser protegida, e estão detalhadamente descritos em seu respectivo documento de perfil de cargo.
2. OBJETIVO
Com esta política, a Empresa tem como objetivo principal reduzir o impacto gerado sobre seus ativos pelos riscos identificados de forma sistemática, a fim de manter um nível de exposição que permita garantir a integridade, confidencialidade e disponibilidade da informação, de acordo com as necessidades dos diferentes grupos de interesse identificados. Os objetivos específicos desta política são:
- Estabelecer as diretrizes gerais relacionadas à segurança da informação e cibersegurança.
- Minimizar o risco nas funções mais importantes da Empresa.
- Manter a confiança da Empresa em relação aos seus clientes, investidores e colaboradores (funcionários – contratistas).
- Apoiar a inovação tecnológica de forma segura e como um valor agregado ao produto.
- Proteger os ativos tecnológicos.
- Fortalecer a cultura de segurança da informação e cibersegurança nos colaboradores (funcionários-contratados), terceiros e clientes da Empresa.
3. ESCOPO
Esta política se aplica a toda a Empresa, seus colaboradores (funcionários - contratados) e terceiros.
4. OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO
A Empresa define os seguintes objetivos:
- Gerenciar os riscos de segurança da informação e cibersegurança para mantê-los em níveis aceitáveis, garantindo que a estratégia, políticas, normas, soluções e recursos estejam alinhados com os objetivos comerciais e sejam congruentes com a regulamentação, legal e/ou contratual.
- Minimizar os riscos extremos e elevados de Segurança da Informação e Cibersegurança.
- Gerenciar as vulnerabilidades que surjam na plataforma tecnológica.
- Controlar e prevenir os incidentes de Segurança da Informação e Cibersegurança.
- Construir uma cultura de segurança da informação e cibersegurança dentro da Empresa.
- Manter a melhoria contínua do SGSI através da gestão e/ou atenção oportuna e eficaz na execução e definição do controle interno e na gestão dos planos de ação.
5. FUNÇÕES E RESPONSABILIDADES
As responsabilidades associadas a cada função identificada no Sistema de Gestão de Segurança da Informação e Cibersegurança estão definidas na SI-PLT-002 - Política de Funções e Responsabilidades em Segurança, Cibersegurança e Privacidade da Informação.
6. POLÍTICA
Através desta política geral, assim como do SI-MA-003 - Manual de Políticas de Segurança e Privacidade da Informação ou qualquer outra política, a Empresa se compromete a cumprir as seguintes diretrizes:
- Definir, implementar, operar, manter e melhorar de forma contínua o Sistema de Gestão de Segurança da Informação e Cibersegurança, baseado em diretrizes claras, adaptadas às necessidades do negócio e aos requisitos regulatórios que se aplicam à sua natureza.
- Medir o cumprimento dos Objetivos de Segurança e Cibersegurança definidos.
- Garantir o cumprimento das obrigações legais, regulatórias e contratuais estabelecidas.
- Verificar que as responsabilidades em relação à Segurança da Informação e Cibersegurança sejam definidas, compartilhadas, publicadas e aceitas por cada um dos colaboradores (funcionários - contratistas) ou terceiros.
- Proteger a informação criada, processada, transmitida ou guardada pelos seus processos de negócio, com o objetivo de minimizar impactos financeiros, operacionais ou legais devido a um uso incorreto dela. Para isso, é fundamental aplicar controles de acordo com a classificação da informação da sua propriedade ou sob custódia.
- Proteger a informação da Empresa contra ameaças originadas por parte dos colaboradores (funcionários - contratistas) e terceiros.
- Controlar a operação dos seus processos de negócio garantindo a segurança dos recursos tecnológicos e das redes de dados.
- Implementar controle de acesso à informação, sistemas e recursos de rede.
- Garantir que a segurança seja parte integral do ciclo de vida dos sistemas de informação.
- Garantir uma gestão adequada dos eventos de segurança, cibersegurança e das vulnerabilidades associadas aos sistemas de informação, para melhorar a efetividade do modelo de segurança e cibersegurança.
- Garantir a disponibilidade dos seus processos de negócio e a continuidade da sua operação com base no impacto que os eventos podem gerar.
Esta política, assim como as demais políticas definidas para o SGSI, deverão ser sujeitas a revisão e atualização anualmente ou quando considerado necessário em resposta a uma requisição interna, externa ou regulatória.
7. GESTÃO DE ALTERAÇÕES
Quando o SGSI receber qualquer modificação relevante, seja em algum dos seus processos, políticas, manuais, matrizes ou guias, deverá ser cumprido o seguinte:
- O líder do SGSI informará a toda a Empresa sobre a mudança (e a razão dela), através dos canais de comunicação internos.
- Cada documento relacionado ao SGSI deve conter uma tabela que permita ter controle e acompanhamento das alterações realizadas, incluindo a data da alteração, a pessoa que a autorizou e uma breve descrição dos pontos modificados. Ao fazer uma alteração no conteúdo de cada documento, deve-se deixar um registro no controle de alterações.
- Se aplicável, deve-se modificar as responsabilidades que afetem uma função específica no respectivo perfil da vaga, de modo que as responsabilidades estejam atualizadas dentro do SGSI.
- Em caso de que a alteração tenha um grande impacto em um processo dentro da Empresa, será necessário realizar um treinamento ou reintrodução a esse processo para garantir sua compreensão e conformidade. Esse treinamento ou reintrodução será feito de forma esporádica, em um período não superior a 2 semanas após a publicação da alteração, e será feita como uma sessão de treinamento esporádica e adicional às estabelecidas no Cronograma de Capacitação do SGSI, a qual não terá impacto ou afetará o cumprimento das sessões ali estabelecidas.
- Como último passo, cada mudança que seja suficientemente significativa ou que modifique algo referenciado no SI-MA-003 - Manual de Políticas de Segurança e Privacidade da Informação, deverá ser atualizada também neste documento, com o objetivo de mantê-lo completamente atualizado.
8. SEGURANÇA EM PROJETOS
Todos os projetos desenvolvidos no âmbito do cumprimento dos objetivos dos Processos da Empresa devem incluir um componente de segurança da informação, que será acompanhado e assessorado pelo Líder de Segurança da Informação ou por quem ele delegar. Os riscos e os objetivos de segurança da informação serão considerados nesses projetos.
