Política de Seguridad de la Información
1. OBJETIVO
I. El objetivo de esta Política es objetivo establecer las directrices de Seguridad de la Información ("SI") para Empleados, Proveedores y Proveedores de Servicios con el fin de preservar la integridad, confidencialidad y disponibilidad de información bajo la gestión de ATLAS GOVERNANCE ("ATLAS").
2. ALCANCE
I. Esta Política cubre a todos los directores, miembros del comité, socios, inversores, directores, gerentes, empleados, aprendices o jóvenes aprendices (en conjunto, "Empleados"), miembros de cooperativas y personas físicas o jurídicas que representen o se relacionan directamente con ATLAS ("Terceros").
3. REFERENCIAS
Internas- MA GSI 001 - Manual del Sistema de Gestión de Privacidad y Seguridad de la Información
- PL CCE 001 - Política de privacidad y Protección de Datos Personales para Empleados
- PL CCE 002 - Política de Privacidad y Protección de Datos Personales para Clientes, Usuarios y Candidatos
- Norma ISO/IEC 27000
- ABNT NBR ISO/ IEC 27001:2013
- ABNT NBR ISO/ IEC 27701:2019
4. GLOSARIO
ACTIVOS DE INFORMACIÓN: Se aplica a sistemas o equipos de información, bases de datos, incluyendo documentos en papel, teléfonos móviles, computadoras portátiles y medios de almacenamiento de datos
CONFIDENCIALIDAD: Garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados.
DATOS PERSONALES ("DP"): Toda la información relacionada con la persona física (física) identificada o identificable. Es decir, el concepto abarca información directa, como nombre, RG, CPF y dirección, así como indirecta, como datos de ubicación y otros identificadores electrónicos.
DISPONIBILIDAD: Garantía de que la información sea accesible y utilizable bajo demanda por una entidad o persona autorizada siempre que sea necesario.
EVENTO DE SEGURIDAD DE LA INFORMACIÓN: Ocurrencia identificada de un estado del sistema, servicio o red que indica una posible violación de la política de seguridad de la información o fallo de control, o una situación previamente desconocida que puede ser relevante para la seguridad.
INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: Eventos de seguridad de la información únicos o inesperados que pueden comprometer las operaciones comerciales y amenazar la seguridad de la información.
INTEGRIDAD: Garantía de totalidad y exactitud de la información.
NO DIVULGACIÓN, CONFIDENCIALIDAD Y OTROS PACTOS ("NDA"): Es un término que garantiza la protección de cierta información, evitando que sea revelada a terceros.
PRIVACIDAD: Garantía del manejo adecuado de los datos personales relativos al acceso, consentimiento, aviso, sensibilidad y en cumplimiento de la Ley brasileña General de Protección de Datos 13.709/2018 ("LGPD") y demás leyes aplicables.
PROPIEDAD INTELECTUAL: El área del derecho que garantiza a los inventores o responsables de cualquier producción del intelecto, ya sea en los campos industrial, científico, literario o artístico, el uso exclusivo de esta creación. Por lo tanto, el concepto se aplica a la protección jurídica y al reconocimiento de la autoría de obras de producción intelectual, tales como invenciones, patentes, marcas, diseños industriales, indicaciones geográficas y creaciones artísticas y garantiza al autor el derecho, durante un cierto período, a explotar económicamente su creación.
RECURSOS DE TECNOLOGÍA DE LA INFORMACIÓN: Un conjunto de recursos tecnológicos que forman parte del proceso de procesamiento de la información. Estas características pueden involucrar sistemas, software, hardware, bases de datos, Internet de las cosas, inteligencia de mercado e incluso usuarios y profesionales de TI.
SISTEMA DE GESTIÓN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN (SGSIP): Un SGSIP es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información y los datos personales de una organización para lograr los objetivos comerciales. Se basa en una evaluación de riesgos y los niveles de aceptación de riesgos de la organización diseñados para abordar y gestionar eficazmente el riesgo.
SEGURIDAD DE LA INFORMACIÓN ("SI"): Es la protección de los datos propiedad de las organizaciones contra diversas amenazas, con el objetivo de garantizar la confidencialidad, disponibilidad e integridad de la información. Este es un esfuerzo basado en acciones dirigidas a mitigar los riesgos y garantizar la continuidad de las operaciones.
5. DESCRIPCIÓN GENERAL DE LA POLÍTICA
- I. Esta Política describe la conducta apropiada y segura para el manejo, control y protección de la información contra la destrucción, modificación, divulgación indebida y acceso no autorizado, ya sea accidental o intencional, respetando al mismo tiempo los derechos de autor y los derechos de propiedad intelectual.
- II. ATLAS reconoce la importancia de identificar y proteger toda la información que pertenece a la organización en su totalidad, desde la elección del formato hasta la forma en que se almacena, comparte y divulga.
- III. Esta Política tiene como objetivo garantizar la aplicación de normas y directrices, evitando el uso indebido, la destrucción o la divulgación no autorizada de la información de propiedad de ATLAS, con el propósito de asegurar la continuidad del negocio y maximizar el retorno de las actividades.
- IV. La información administrativa, comercial, tecnológica o empresarial es un activo que, como cualquier otro activo importante, debe estar adecuadamente protegido y ser esencial para el negocio de ATLAS.
- V. La definición de políticas, normas y procedimientos específicos de SI guía las condiciones de uso de los Recursos de Información, así como la implementación de controles y procesos para su servicio y protección de la Información de ATLAS en cuanto a:
- Integridad: garantizar que la Información se mantenga en su estado original, con el fin de protegerla, en custodia o transmisión, de cambios indebidos, intencionales o accidentales.
- Confidencialidad: garantizar que solo personas autorizadas obtengan acceso a la información.
- Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y a los activos correspondientes siempre que sea necesario.
- Privacidad: garantizar el manejo adecuado de los datos personales relacionados con el acceso, consentimiento, aviso, sensibilidad y en cumplimiento de la Ley General de Protección de Datos 13.709/2018 de Brasil ("LGPD") y otras leyes aplicables.
5.1. Criterios y Directrices
- I. Todos los empleados, proveedores de servicios y otros terceros que necesiten acceder y/o utilizar cualquier información de ATLAS deben asegurarse de que la información comercial esté protegida contra violaciones de la confidencialidad, integridad y disponibilidad. Al firmar un contrato de trabajo y /o prestación de servicios y formalizar la relación laboral o comercial con ATLAS, entran en el término de no divulgación, confidencialidad y otros acuerdos (NDA).
Además, están obligados a cumplir con las disposiciones de las políticas corporativas de la organización, que formalizan el compromiso contra la lucha contra la corrupción y el fraude, la no discriminación, la protección de activos e información, y todas las demás regulaciones de integridad y respeto a las leyes y buenas prácticas de cumplimiento y seguridad. - II. La organización controla sus activos de información, sin embargo, en caso de un incidente relacionado con SI, se debe seguir el proceso descrito en "PR CYS 001 - Gestión y Respuesta a Incidentes", a través del cual los casos serán tratados por el Área de SI de manera ética, oportuna y adecuada.
- III. Todas las políticas y procedimientos deberán cumplir con las directrices establecidas en "PR GSI 001 - Control de Documentos y Registros". Estos deberán ser: i. revisados periódicamente, ii. comunicados a todos los involucrados, iii. disponible en un lugar de fácil acceso y consulta, y iv. protegido de cambios indebidos.
- IV. Las excepciones a esta Política serán formalmente evaluadas y aprobadas por la dirección competente cuando corresponda.
- V. Toda la información será clasificada según las pautas y necesidades comerciales definidas en el punto 5.1.4 de esta Política. Toda la información producida y/o almacenada por ATLAS, así como la información obtenida a través de un acuerdo de confidencialidad o documento equivalente (por ejemplo, NDA), independientemente de su clasificación, es propiedad de ATLAS y, por lo tanto, un valioso activo corporativo que debe ser gestionado con el debido cuidado.
- VI. Las violaciones de la Política están sujetas a sanciones disciplinarias que deben ser discutidas y alineadas entre el gerente de área, Cultura y Personas y el Área de Riesgo y Compliance.
- VII. Se debe establecer un Comité de SI, formado por un grupo multidisciplinario con la responsabilidad de deliberar sobre cuestiones estratégicas de SI, así como dirigir la toma de decisiones.
- VIII. Se deben cumplir los requisitos legales inherentes a la protección, uso, captura, procesamiento, almacenamiento y eliminación de información de todas y cada una de las audiencias de relación, utilizados por empleados, terceros y/o proveedores de servicios, y deben ser particularmente controlados a través de los medios apropiados.
- IX.No se permite la copia y/o envío de información confidencial, datos personales o internos de ATLAS y sus clientes sin autorización expresa del titular o propietario de la información.
- X.Es deber de todos los empleados de ATLAS y terceros:
- a. Proteger y salvaguardar los activos de ATLAS contra pérdida, robo, mal uso y desperdicio;
- b. Proteger la confidencialidad de la información confidencial y no pública propiedad de ATLAS y sus clientes;
- c. Tomar todas las medidas necesarias para garantizar la seguridad de las copias impresas de información confidencial; y
- d. Ser discreto al hablar de asuntos que involucren a ATLAS y sus clientes en lugares públicos, como restaurantes, aviones o cuando use cualquier dispositivo móvil fuera de la oficina.
- XI. El Gerente tiene la responsabilidad de garantizar e instruir a sus Empleados para que tengan todo el cuidado para garantizar que la información, los datos personales o internos se procesen de acuerdo con el Políticas y normas de ATLAS.
- XII. Los usuarios no deben almacenar información confidencial, personal o interna y del cliente en sus discos locales y deben usar los repositorios de colaboración definidos y aprobados por ATLAS (por ejemplo, intranet, SharePoint, portal Atlas u otra ubicación con acceso controlado).
- XIII. Las necesidades apropiadas de cambios o mejoras en los procesos y rutinas de ATLAS deben cumplir con las directrices establecidas por ATLAS.
- XIV. No se toleran situaciones que puedan poner a la organización en una posición de violación de la ley o los reglamentos.
5.1.1. Gestión de Riesgos de Seguridad de la Información
- I. El análisis y tratamiento de riesgos debe ser realizado a través de un proceso estructurado y periódico, que garantice la identificación, clasificación, cuantificación y recomendaciones de acciones y respuestas a todos los riesgos identificados.
- II. Todos los riesgos identificados deben registrarse y monitoreados en un control específico que almacene toda la información relevante para el análisis y tratamiento de riesgos (por ejemplo, informes, matriz de riesgos, etc.).
- III. El análisis de seguridad debe ser realizado en proyectos, cambios complejos y adquisiciones de tecnología con el fin de recomendar los controles de seguridad necesarios.
- V. Deben llevarse a cabo análisis periódicos de la vulnerabilidad de los activos de información para identificar y abordar los riesgos de seguridad.
5.1.2. Gestión de Acceso e Identidad
- I. Cada Colaborador y tercero debe tener una sola cuenta (nombre de usuario/login) personales e intransferibles, según el perfil de acceso definido, y los usuarios deberán identificarse y registrarse en acceso a los recursos informáticos.
- II. Para elevar el nivel de seguridad de los accesos, los usuarios deben definir contraseñas seguras para sí mismos como medio de validar su identidad al acceder a estaciones de trabajo, sistemas, etc. según lo recomendado por las buenas prácticas de SI, quedando prohibidas su compartición. En su caso, los accesos deben realizarse con un segundo factor de autenticación (factor 2), de acuerdo con las pautas establecidas por la organización.
- III. La duración de la concesión de acceso debe ser relevante para la función del usuario y de acuerdo con las directrices del Gerente Responsable, y debe cancelarse al final del contrato con terceros o la terminación del empleado.
- IV. De vez en cuando, las cuentas de los usuarios y sus privilegios en las aplicaciones deben ser verificadas o certificadas para promover el mantenimiento y la actualización de la base de registro y eliminación de usuarios desconectados, cuentas en desuso o duplicadas.
- V. El usuario es responsable de garantizar la confidencialidad y seguridad de sus contraseñas e inicios de sesión.
- VI. Las acciones realizadas con identificación y contraseña del usuario, como el manejo de datos en archivos, hojas de cálculo y/o sistemas, son responsabilidad total y exclusiva del usuario.
- VII. Para evitar que otros accedan indebidamente a los recursos de Tecnología de la Información ("TI"), el usuario debe apagar la computadora o bloquearla cada vez que se aleje del equipo.
- VIII. El Área de SI controla los mecanismos de bloqueo automático de las cuentas de usuario después de los intentos fallidos de inicio de sesión. El desbloqueo debe ser realizado solo por el Área de SI según lo establecido.
- IX. El Área de SI también controla mecanismos automáticos para asegurar el cambio periódico de las contraseñas de los usuarios, asegurándose de que puedan cambiar su propia contraseña en cualquier momento.
5.1.3. Recursos de Tecnología de la Información
- I. Las directrices, responsabilidades y procedimientos que deben observarse con respecto al acceso y uso de los recursos de TI se definen en "PL INF 001 – Política de Uso Aceptable de Activo”.
- II. Todos los recursos informáticos deben estar protegidos por mecanismos de autenticación, locales o en la nube, y con el uso de un factor de autenticación dual integrado con las directrices reglamentarias ATLAS, cuando corresponda.
- III. El acceso de ATLAS a los recursos informáticos debe basarse en las necesidades del negocio, considerando el perfil funcional de los usuarios, tal como se define en "PL CYS 001 – Política de Gestión de Accesos.
- IV. Toda solicitud de acceso a los recursos informáticos debe documentarse formalmente y justificarse en cuanto a su necesidad real.
- V. Cada solución tecnológica debe ser evaluada y aprobada por el Área de SI.
- VI. El usuario es responsable de la conservación e integridad de los recursos informáticos que utiliza.
- VII. El usuario para el que se ponga a disposición un portátil y/o teléfono móvil corporativo deberá firmar el "Termino de Responsabilidad por la Guardia y Uso de Equipos de Trabajo", que se le presenta al mismo tiempo que la formalización del contrato de trabajo o más tarde.
5.1.4. Clasificación y Transferencia de Información
- I. El activo de información se clasificará en base a la confidencialidad que la información requiera, en cualquiera de los siguientes niveles:
- Información pública: información que se puede compartir con personas ajenas a ATLAS, como: clientes, proveedores, competidores, sin que este reparto genere riesgo para el negocio.
- Información interna: información que se puede compartir con cualquier Empleado y Terceros contratados por ATLAS que requieran acceso a esta información, siempre que se firme un acuerdo de confidencialidad para dicho acceso.
- Información confidencial: Toda la información crítica que puede impactar en el negocio de ATLAS y cuyo acceso debe ser otorgado de acuerdo con las directrices y la criticidad. Estos datos deben recibir un mayor grado de protección debido a su importancia, como información y datos personales (capaces de identificarlos individualmente) de clientes, empleados y terceros.
- II. El activo de información clasificad debe tener un propietario, y este rol debe ser asignado al gerente responsable del área que produce la información.
- III. El activo de información clasificada debe ser etiquetado de tal manera que muestre la clasificación de la información que contiene.
- IV. Los activos de información no clasificados deben tratarse como información interna.
- V. El propietario de la información debe asegurarse de que la información reciba una protección adecuada durante todo su ciclo de vida, que es: generación, manejo, procesamiento, almacenamiento, transporte y eliminación.
- VI. La información debe ser tramitada de forma segura, y todos los que la manejan deben utilizar los recursos tecnológicos puestos a disposición y supervisados por ATLAS.
- VII. ATLAS utiliza varios controles y procedimientos para garantizar que la información se transfiera de forma segura como se describe en el documento "PL INF 001 – Política de Uso Aceptable de Activo."
5.1.5. Seguridad Física y Ambiental
- I. Todos los empleados de ATLAS realizan sus actividades de forma remota, pero si quieren ir a la oficina, deben solicitar el alta de digital a la infraestructura, el Área de SI, por correo electrónico [email protected].
- II. Todo acceso físico a la oficina ATLAS debe ser restringido, controlado y monitoreado por el equipo de Infraestructura.
- III. Debe adoptarse la práctica de la mesa y la pantalla limpias para promover la seguridad de los activos de información, clasificados como confidenciales. El procesamiento y almacenamiento de datos críticos debe llevarse a cabo en áreas con la seguridad adecuada.
5.1.6. Seguridad de los Recursos Humanos
- I. Cualquier nuevo empleado o tercero que tenga acceso a los sistemas y/o documentos firma en sus contratos de trabajo y/o servicios el término de responsabilidad y confidencialidad y otros acuerdos (NDA), como se describe en el ITEM 5.1 párrafo 1 de esta Política.
- II. Se debe promover la difusión de las normas de SI a todos los empleados, a través de planes de sensibilización y capacitación, continuamente, con el objetivo de fortalecer la cultura de SI.
- III. Al finalizar el contrato de trabajo, los responsables de Infraestructura deben recoger todos los activos informáticos, tales como notebook, teléfono móvil, auriculares, etc., que ATLAS haya puesto a disposición de los Empleados y terceros y revocar todo acceso asignado a los mismos.
5.1.7. Relación con Proveedores y Clientes
- I. Debe haber un acuerdo de confidencialidad firmado o cláusulas de confidencialidad en el acuerdo con cada proveedor o cliente que pueda acceder, procesar, almacenar o transmitir información de ATLAS y sus clientes, obligándolo a seguir estrictamente las reglas de SI.
- II. En caso de distracción o finalización de la validez de un contrato con un cliente o proveedor, el administrador del contrato tomará todas las medidas de rescisión.
5.1.8. Manejo de Incidentes de Seguridad de la Información
- I. Un incidente de seguridad de la información es uno o una serie de eventos no deseados o imprevistos con una alta probabilidad de comprometer las operaciones comerciales y amenazar la seguridad de la información.
- II. Todos los incidentes de seguridad serán evaluados e identificados, y deben ser notificados como se establece en "PR CYS 001 – Política de Gestión y Respuesta a Incidentes".
- III. El área de SI es responsable de evaluar y escalar el incidente en función de su criticidad, así como de realizar los procedimientos necesarios para resolver el incidente y / o reducir el daño.
- IV. Todo Empleado y Tercero debe notificar al Área de SI cada vez que identifique un incidente de seguridad de la información, por correo electrónico: [email protected].
5.1.9. Cumplimiento y Supervisión
- I. Las tecnologías, metodologías, marcas registradas y cualquier información perteneciente a ATLAS constituyen la propiedad intelectual de la empresa y no deben ser utilizadas para fines privados ni transmitidas a terceros, incluso si fueron obtenidas o desarrolladas por el propio empleado en su ambiente de trabajo.
- II. Cada sistema, siempre que sea posible, debe generar pistas de auditoría que deben mantenerse para un mayor análisis y cálculo de responsabilidades.
- III. Todas las pistas de auditoría deben almacenarse y protegerse de acuerdo con el período requerido por los requisitos reglamentarios o contractuales, ya sean públicos o privados.
- IV. Todos los sistemas o recursos informáticos están sujetos a monitoreo y auditoría con el fin de verificar el cumplimiento de las normas de SI, las políticas de la empresa y la legislación vigente.
- V. Deben llevarse a cabo auditorías internas y externas, así como pruebas de seguridad independientes, sobre la estructura de los controles de seguridad de TI y del sistema.
5.1.10. Protección y Privacidad de los Datos Personales
I. La información de identificación personal de los clientes, Empleados y socios debe protegerse contra el acceso no autorizado, ser utilizada de forma transparente y solo para el propósito para el que fue recolectada, tal como se establecido en las políticas de privacidad formalizadas en ATLAS.
5.1.11. Continuidad del Negocio
- I. Los recursos de TI que soportan procesos mapeados como críticos deben implementarse con suficiente redundancia para garantizar la disponibilidad en caso de un incidente importante.
- II. Los planes de contingencia operacionales deben incluir criterios de activación y retorno, plan de comunicación, plan de escalamiento y procedimientos operativos de contingencia.
5.1.12. Conciencia de Seguridad de la Información
- I. El programa de concientización sobre SI debe garantizar que todos alcancen al menos un nivel mínimo de comprensión de los temas de SI, problemas que les conciernen, como obligaciones generales bajo políticas, estándares, procedimientos, directrices, leyes, regulaciones, términos contractuales, para que mantengan los estándares éticos y comportamiento aceptable hacia ATLAS y la sociedad.
- II. El plan de sensibilización debe llevarse a cabo al menos una vez en el abordar cuestiones relevantes para el SI.
5.2. Gestión y Soporte Tecnológico
5.2.1. Seguridad de Red e Interconexiones
- I. Debe haber segregación entre entornos de desarrollo, pruebas y producción para evitar accesos no autorizados y/o cambios accidentales en un entorno productivo siempre que sea posible.
- II. Los relojes de las computadoras, servidores, equipos de red y sistemas deben sincronizarse con un estándar de tiempo confiable para garantizar la precisión en los registros de auditoría.
- III. Las conexiones de red deben controlarse para permitir solo servicios autorizados.
5.2.2. Adquisición y Mantenimiento de Sistemas
- I. Cada sistema que se adquiera debe seguir las mejores prácticas de desarrollo de software seguro.
- II. Los sistemas deben contar con documentación, como la de instalación, gestión y uso, así como planes de mantenimiento.
5.2.3. Gestión del Cambio
- I. Cada cambio en un entorno productivo debe seguir controles que se registren, hayan evaluado su impacto potencial, y cuenten con procedimientos de prueba y reversión.
5.2.4. Actualizaciones de Seguridad
- I. Todas las actualizaciones de seguridad esenciales proporcionadas por los fabricantes de sistemas y elementos de infraestructura se aplicarán de acuerdo con la información de cada fabricante, siguiendo los criterios de aprobación.
5.2.5. Copia de seguridad de datos (Backup)
I. Las copias de seguridad de los datos que maneja ATLAS, almacenados en un entorno en la nube, deben generarse periódicamente.
5.2.6. Protección Contra Código Malicioso
I. Todos los sistemas críticos de ATLAS deben tener actualizado y operativo un software antivirus y mecanismos de protección contra amenazas cibernéticas.
5.2.7. Lugar de Trabajo
I. Cuando abandone su puesto de trabajo, el usuario debe bloquear su dispositivo. Para aquellos que trabajan en espacios abiertos, puede ser necesario almacenar el dispositivo de trabajo cada vez que se abandone el puesto de trabajo.
II.Al usuario final no se le debe conceder permiso de administrador local en su estación de trabajo, excepto en casos previamente acordados y formalizados.
III.Solo se puede instalar software debidamente licenciado y aprobado por el Área de SI en el equipo.
IV.Es obligatorio utilizar antivirus homologado por ATLAS, que ya viene con el equipo. No está permitido que el colaborador instale otro antivirus o desactive el que está instalado.
5.2.8. Dispositivos Móviles
- I. Es responsabilidad de todos velar por la protección del dispositivo móvil proporcionado para el trabajo y de la información contenida en él.
- II. En lugares públicos, el dispositivo siempre debe estar cerca y la vista, para evitar robos.
- III. Sobre la marcha, el dispositivo no debe dejarse a la vista en el transporte en automóvil ni facturarse junto con el equipaje.
- IV. En los hoteles, el dispositivo debe guardarse en la caja fuerte de la habitación, cuando esté disponible.
- V. En caso de pérdida, robo o hurto, se debe abrir un Informe Policial en la estación de policía y notificar rápidamente a la Infraestructura y al Área SI para tomar las medidas apropiadas.
5.2.9. Correo Electrónico
- I. El correo electrónico debe ser utilizado como un recurso corporativo para el desarrollo de las actividades profesionales de los empleados.
- II. Toda la información creada, modificada en el ejercicio de funciones y cualquier información contenida en los mensajes de correo electrónico corporativos es propiedad de ATLAS y no debe utilizarse para fines personales.
5.2.10. Navegación por Internet
- I. La navegación por Internet debe utilizarse como un recurso corporativo para el desarrollo de actividades profesionales.
- II. Los empleados son responsables de su navegación, estando sujetos a sanciones disciplinarias y legales, en caso de incumplimiento de las leyes y reglamentos internos de ATLAS.