Política de segurança

Bizneo depende de sistemas de informação. Esses sistemas são gerenciados com diligência, tomando-se as medidas adequadas para protegê-los contra danos acidentais ou deliberados que possam afetar a disponibilidade, a integridade, a confidencialidade, a autenticidade ou a rastreabilidade das informações processadas e dos serviços prestados.

Conscientes da importância da segurança da informação e em consonância com o caminho que marca nossa própria identidade, a partir do Bizneo promovemos o estabelecimento de um sistema de gerenciamento de segurança da informação (doravante ISMS) sob a norma ISO 27001 e de acordo com os requisitos do Real Decreto 311/2022, de 3 de maio, que regulamenta o Regime Nacional de Segurança no campo da Administração Eletrônica (doravante, ENS), a fim de identificar, avaliar e minimizar os riscos aos quais suas informações e as de seus clientes estão expostas, bem como garantir o cumprimento dos objetivos estabelecidos.

O objetivo da presente Política de Segurança é garantir a qualidade da informação e a prestação contínua de serviços, atuando de forma preventiva e supervisionando a atividade diária, bem como fornecer um quadro de referência para o estabelecimento de objetivos de segurança que permitam à Bizneo desenvolver uma cultura empresarial, uma forma de trabalhar e de tomar decisões, alinhada com a segurança da informação e que o respeito aos dados pessoais seja uma constante.

Os sistemas de informação são protegidos contra ameaças em rápida evolução, cujos danos potenciais afetam a confidencialidade, a integridade, a disponibilidade, o uso pretendido (rastreabilidade) e o valor das informações (autenticidade) dos serviços. Para se defender contra essas ameaças, foi definida uma estratégia que se adapta às mudanças nas condições ambientais para garantir a prestação contínua de nossos serviços.

Os diferentes departamentos da Bizneo garantem que a segurança seja parte integrante de cada estágio do ciclo de vida do sistema, desde sua concepção até sua desativação, incluindo decisões de desenvolvimento ou aquisição e atividades de operação.

Bizneo está preparada para prevenir, detectar, reagir e se recuperar de incidentes, de acordo com o artigo 12 da ENS, razão pela qual tem atuado no sentido de aprimorar diferentes aspectos da segurança da informação:

Marco Legal e Regulatória

Bizneo conduzirá suas atividades de acordo com a estrutura legal e regulatória em vigor. Compromete-se a cumprir todas as leis e regulamentos relevantes relacionados à segurança da informação, incluindo, mas não se limitando àqueles indicados no documento “Legislação aplicável ao SGSI”.

Bizneo integra a ENS e a ISO 27001 à política de segurança da organização para oferecer uma estrutura mais completa e robusta para tratar de aspectos específicos da segurança da informação, tanto em nível nacional quanto internacional. Além disso, a adoção desses padrões aumenta a credibilidade da empresa, demonstrando seu compromisso com as melhores práticas de segurança.

Marco Organizacional da Segurança

Esta política de segurança foi estabelecida de acordo com os princípios básicos descritos no Capítulo II do Decreto Real 311/2022 e foi desenvolvida aplicando-se os seguintes requisitos mínimos:

Organização em matéria de segurança

De acordo com o Esquema de Segurança Nacional (ENS), nossa organização adota os seguintes princípios básicos para garantir a segurança das informações:

  1. segurança abrangente

  2. gerenciamento de riscos

  3. Prevenção, detecção e resposta

  4. Linhas de defesa

  5. Reavaliação contínua

  6. Funções e responsabilidades

  7. Segurança proporcional

  8. Documentação e manutenção de registros

Bizneo identificou e definiu as funções e os papéis de segurança necessários para garantir a proteção das informações. Cada função tem responsabilidades claramente definidas (Responsabilidades, Autoridade e Competência ENS).

Bizneo nomeou um Comitê de Segurança que supervisionará o monitoramento e a conformidade do ISMS. O Comitê de Segurança é composto por cargos corporativos e cargos de responsabilidade dentro da organização. A lista de membros constituintes do Comitê de Segurança está definida no procedimento criado para esse fim (PS00 - Manual do SGSI). Esse Comitê de Segurança terá as seguintes funções e responsabilidades:

  • Coordenar todas as atividades relacionadas com a segurança das TIC.

  • É responsável pela redação da Política de Segurança.

  • É responsável pela criação e aprovação de normas que enquadram o uso de serviços de TIC.

  • Aprovará os procedimentos de ação relativos à utilização dos serviços TIC.

  • Aprovará os requisitos de treinamento e qualificação de administradores, operadores e usuários do do ponto de vista da segurança das TIC.

As funções e responsabilidades do Security Officer, do Information Officer e do Services Officer também foram definidas, bem como seu relacionamento com o Comitê de Segurança.

A fim de descrever o processo e a hierarquia para a resolução de conflitos de autoridade que possam ocorrer durante o gerenciamento do ENS entre os perfis críticos com responsabilidades em questões de segurança, a Bizneo definiu as funções para a resolução de conflitos de autoridade que se aplicam a todos os perfis específicos do gerenciamento do ENS (consulte Responsabilidades, Autoridade e Competência do ENS).

O Gerente de Segurança da Informação, o Gerente de Serviços, bem como o Gerente de Informações, serão nomeados pela Gerência sob proposta do Comitê de Segurança. Essas nomeações serão revisadas a cada dois anos ou quando o cargo ficar vago.

O organograma a seguir descreve os cargos com funções ou responsabilidades relacionadas à segurança das informações. Na ausência de qualquer um desses gerentes, o escalonamento será feito de acordo com as linhas hierárquicas marcadas nesse diagrama.

Análise e gestão de riscos

Todos os sistemas sujeitos a esta Política foram avaliados por meio de uma análise de risco, avaliando as ameaças e os riscos aos quais estão expostos. Essa análise será repetida:

  • Regularmente, pelo menos uma vez por ano

  • Quando a informação manejada mudar

  • Quando os serviços prestados mudarem

  • Quando ocorrer um incidente grave de segurança

  • Quando vulnerabilidades graves forem relatadas

Categorização dos sistemas

A Bizneo definiu os critérios para determinar o nível de segurança exigido em cada dimensão, elaborando o procedimento correspondente (PS00 - Manual do SGSI). Para isso, são analisados os elementos essenciais, informações e serviços, girando em torno deles os critérios que o responsável por cada tipo de informação e cada serviço pode utilizar, considerando que o poder de determinar a categoria do sistema corresponde ao responsável por ele.

O Anexo II do Esquema Nacional de Segurança estabelece medidas de segurança condicionadas à avaliação do nível de segurança em cada dimensão e à categoria de segurança (artigo 40) do respectivo sistema de informação. Por sua vez, a categoria de segurança do sistema é calculada com base no nível de segurança mais alto das dimensões avaliadas.

Gestão de pessoal e profissionalismo

Todos os membros da Bizneo têm a obrigação de conhecer e cumprir esta Política de Segurança da Informação e os Regulamentos de Segurança, sendo responsabilidade do Comitê de Segurança implementar as medidas necessárias para garantir que as informações cheguem às pessoas afetadas.

Todos os funcionários receberão uma sessão de conscientização sobre segurança pelo menos uma vez por ano. Da mesma forma, será estabelecido um programa de conscientização contínua para sensibilizar todos os membros da Bizneo, especialmente os recém-contratados, que esteja alinhado com outros padrões implementados.

A equipe dedicada às tarefas de segurança é adequadamente qualificada, dada a sensibilidade e a complexidade de algumas dessas tarefas. Isso se aplica a todas as fases do ciclo de vida do processo de segurança (instalação, manutenção, gerenciamento de incidentes e desativação). Para isso, o pessoal recebe o treinamento específico necessário para garantir a segurança das tecnologias de informação aplicáveis aos sistemas e serviços sujeitos à ENS.

Logicamente, os mesmos requisitos exigidos internamente devem ser exigidos de qualquer fornecedor que forneça serviços relacionados à segurança. Para isso, a Bizneo promoveu um procedimento de avaliação de fornecedores com o objetivo de garantir um nível de segurança similar ao exigido pela entidade.

Autorização e controle de acessos

A primeira etapa para garantir que as informações e os sistemas sejam protegidos é limitar o acesso a eles. Portanto, foi definido quem, e em que medida, terá acesso aos recursos, de modo que todos tenham o acesso necessário para realizar suas tarefas, mas não a equipamentos ou dados que não devam estar ao seu alcance.

Da mesma forma, os sistemas de informação da Bizneo contam com mecanismos de autorização para permitir o acesso e para negá-lo e revogá-lo quando necessário.

Proteção das instalações

As instalações são protegidas contra danos aos sistemas que abrigam e contra o acesso de pessoas não autorizadas. O acesso às nossas instalações é seguro e está regulamentado no procedimento estabelecido para esse fim.

Aquisição de produtos de segurança e contratação de serviços de segurança

Bizneo estabelece os requisitos de segurança do negócio e da informação para seus sistemas de informação, sejam eles novos ou já existentes e que sejam ampliados ou melhorados.

Assim, qualquer nova aquisição de produtos e serviços de segurança que possa afetar o ISMS deve ser previamente avaliada, do ponto de vista dos requisitos funcionais e de segurança. Após a validação, o produto será testado formalmente para determinar se está em conformidade com os requisitos.

Todos os serviços contratados devem ser avaliados antes de serem colocados em produção, a fim de garantir que estejam em conformidade com os requisitos mínimos de segurança definidos nesta Política de Segurança da Informação e nas Normas de Segurança em vigor.

Privilégio mínimo

O Sistema de Segurança da Informação implementado na Bizneo segue o Princípio do Privilégio Mínimo, segundo o qual os usuários do sistema recebem os níveis mínimos (ou permissões) de acesso necessários para desempenhar suas funções, com o objetivo de restringir o acesso a informações e recursos apenas ao estritamente necessário para cumprir uma tarefa específica. Os usuários recebem os níveis mínimos (ou permissões) de acesso necessários para desempenhar suas funções, com o objetivo de restringir o acesso a informações e recursos apenas ao estritamente necessário para realizar uma tarefa específica.

Esse princípio de privilégio mínimo garante que cada parte (seja um processo, um usuário ou um programa) só possa acessar o que for essencial para seu objetivo legítimo, não concedendo privilégios desnecessários. No entanto, esse princípio não se limita apenas ao acesso de usuários humanos, mas também se aplica a aplicativos, sistemas ou dispositivos conectados que exigem privilégios para executar as tarefas necessárias.

Limitar os privilégios reduz a exposição a ataques cibernéticos e evita o “aumento de privilégios”.

Integridade e atualização do sistema

Para garantir a integridade dos sistemas de informação em todos os momentos, todas as alterações físicas e lógicas são feitas somente após aprovação formal e por meio de um procedimento formal.

Para esse fim, os sistemas são atualizados de forma controlada e de acordo com o status de segurança exigido em um determinado momento. As alterações nas especificações dos fabricantes, o surgimento de novas vulnerabilidades, a emissão de atualizações e patches que afetam os sistemas são analisados para que sejam tomadas as medidas necessárias para garantir que os sistemas e seu nível de segurança não sejam degradados, além de gerenciar os riscos introduzidos pelas alterações a serem feitas.

Proteção da informação armazenada e em trânsito

Uma parte significativa do ciclo de vida das informações é seu armazenamento e transporte. As informações devem ser protegidas em todos os momentos. Foram desenvolvidos procedimentos adequados para esse fim, abrangendo informações eletrônicas e em papel, bem como uma política para o manuseio e o processamento de informações.

Prevenção perante outros sistemas de informação interconectados

A prevenção contra outros sistemas de informação interconectados é um aspecto crucial para a Bizneo. Para isso, foram estabelecidas medidas para garantir a segurança quando os sistemas de informação estão conectados entre si, levando em consideração aspectos como a proteção do perímetro, o controle de acesso ou o registro adequado da atividade para detectar possíveis anomalias ou comportamentos incomuns na interconexão.

Qualquer conexão de ou para serviços interconectados será realizada de acordo com as diretrizes definidas nos guias CCN-STIC publicados para esse fim.

Registro da atividade e detecção de código malicioso

A empresa realiza o monitoramento de seus sistemas de informação e processamento registrando-os como incidentes de segurança, revisando o registro de operações e falhas de seus sistemas para identificar o problema. Assim, as atividades de monitoramento do uso dos sistemas da Bizneo respeitam os requisitos legais de privacidade e são utilizadas para verificar a eficácia dos controles de segurança implementados e o cumprimento da política de controle de acesso.

Da mesma forma, os equipamentos corporativos, por meio da utilização de antivírus de última geração com gerenciamento centralizado, são dotados de ferramentas de proteção, detecção, recuperação e eliminação de códigos maliciosos.

Incidentes de segurança

A gerência da Bizneo estabeleceu um procedimento de notificação formal pelo qual toda a equipe deve notificar incidentes relacionados à segurança por meio do canal estabelecido, imediatamente e sem demora. Isso garante uma resposta rápida e eficaz a incidentes e pontos fracos de segurança.

Continuidade da atividade

A empresa estabeleceu um procedimento para agir contra interrupções de negócios e proteger processos críticos dos efeitos de falhas graves nos sistemas de informação e garantir sua restauração imediata. Para isso, foi implementado um plano de continuidade de negócios (ver PROSI-11 Plano de Continuidade de Negócios) para reduzir o impacto na infraestrutura da Bizneo e, consequentemente, na empresa, e a recuperação dos ativos de informação (seja por acidentes, falha de equipamentos, atos deliberados etc.) de forma que os processos do departamento atinjam um nível aceitável de continuidade por meio de medidas de recuperação corretivas e preventivas.

Melhoria contínua do processo de segurança

A Direção, por sua vez, valoriza especialmente e estabelece como critério principal para a estimativa de seus riscos, a avaliação da confidencialidade, integridade e disponibilidade da informação crítica da empresa e de seus clientes, bem como garantir a rastreabilidade e autenticidade desses dados.

Assim, compromete-se a desenvolver, implantar, manter e melhorar continuamente a presente política de Segurança e seu Sistema de Gestão com o objetivo de melhoria contínua na forma como prestam seus serviços e tratam a informação.

Dados de caráter pessoal

A Bizneo processa dados pessoais. Nesse sentido, e em conformidade com a legislação vigente sobre proteção de dados, levando em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a Bizneo implementou medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo, quando apropriado, entre outros:

  • A pseudonimização e o ciframento de dados pessoais;

  • A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;

  • A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida em caso de incidente físico ou técnico;

  • Um processo de verificação, avaliação e valorização regulares da eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

Documentação e Comunicação

Esta Política de Segurança da Informação deve ser disponibilizada como informação documentada e comunicada dentro da organização. Além disso, ela deve ser compartilhada com as partes interessadas relevantes, como autoridades, operadores e usuários de transporte público, conforme apropriado.

Revisão e Atualização

Esta política será revisada anualmente ou antes, se houver mudanças significativas no ambiente operacional ou tecnológico da Bizneo. A gerência sênior está comprometida em manter esta política alinhada com os objetivos da empresa e com os requisitos de segurança da informação aplicáveis.

Esta Política de Segurança da Informação estará sempre alinhada com as políticas gerais da empresa e com aquelas que servem de estrutura para outros sistemas de gerenciamento interno, como as políticas de qualidade.

Em Madri, 16 de julho de 2024

Santiago Salas

CEO Bizneo

Logo Bizneo HR

Software de Recursos Humanos mais recomendado

    • Informação

    • Contato

      Linkedin icon LinkedinYoutube icon Youtube

    • Como começar

      • Fale conosco

      • Você prefere nos ligar?

      • Software de Recursos Humanos Brasil +55 (11) 5116-0082

    Nosso site usa cookies

    Aquí puedes configurar tus cookies:

    Estes cookies são necessários para o funcionamento do sítio Web e não podem ser desactivados nos nossos sistemas. Normalmente, são definidos para responder a acções efectuadas pelo utilizador para receber serviços, tais como ajustar as suas preferências de privacidade, iniciar sessão no sítio ou preencher formulários. Pode configurar o seu browser para bloquear ou alertá-lo para a presença destes cookies, mas algumas partes do sítio Web não funcionarão. Estes cookies não armazenam quaisquer informações de identificação pessoal.

    Off
    On

    Estes cookies permitem-nos contar as visitas e as fontes de tráfego para podermos medir e melhorar o desempenho do nosso sítio. Ajudam-nos a saber quais são as páginas mais ou menos populares e a ver quantas pessoas visitam o sítio. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não autorizar estes cookies, não saberemos quando visitou o nosso sítio e, por conseguinte, não poderemos saber quando o fez.

    Off
    On

    Estes cookies podem ser de todo o sítio, colocados pelos nossos parceiros publicitários. Estas empresas podem utilizá-los para criar um perfil dos seus interesses e mostrar-lhe anúncios relevantes noutros sítios. Não armazenam diretamente informações pessoais, mas baseiam-se na identificação única do seu navegador e dispositivo de acesso à Internet. Se não permitir estes cookies, terá menos publicidade direccionada.