Política de Segurança
A Política de Segurança da Informação da Ubiquity constitui uma base comum a todos os Departamentos, permitindo a adoção de padrões de segurança organizacional, de práticas eficazes na Gestão de Segurança da Informação e fornecendo confiança nas relações com terceiros e a Ubiquity.
A Política de Segurança da Informação pretende aplicar ao Sistema de Gestão a norma internacional ISO/IEC 27001, as normas comunitárias e a legislação e recomendações nacionais específicas em matéria de Segurança da Informação.
A equipa de Gestão da Ubiquity assume o compromisso de:
- Adotar e manter todos os requisitos legais aplicáveis no contexto da Segurança da Informação;
- Assegurar as condições para a melhoria contínua do sistema, através da monitorização e revisões periódicas das componentes relacionadas com a Segurança de Informação.
Este documento descreve os princípios gerais que devem ser aplicados por cada Departamento da Ubiquity aos ativos de informação por si geridos e encontra-se estruturado do seguinte modo:
- Âmbito
- Valor da Informação
- Importância da Segurança da Informação
- Linhas orientadoras para a Gestão da Segurança da Informação
- Modelo do Sistema de Gestão de Segurança da Informação
- Políticas detalhadas de Segurança da Informação
- Organização e Responsabilidades na Segurança de Informação
- Manutenção e Comunicação das Políticas e Procedimentos de Segurança
- Âmbito
A Política de Segurança da Informação destina-se a todos os colaboradores, consultores externos, estagiários, consultores temporários, prestadores de serviços e outras partes interessadas que, com esta, participem no tratamento de Informação.
Faz-se notar que qualquer utilização imprópria de: equipamentos da empresa, equipamento pessoal ligado a recursos da empresa, rede da empresa, Sistema de email ou quaisquer outras aplicações de tratamento de informação ou recursos da empresa – bem como a utilização destes para fins ilícitos – tem o potencial de expor a e empresa a consequências sérias. Tal inclui ações como o acesso não autorizado aos sistemas de computador, dados ou ativos, a introdução de vírus, roubo/divulgação de segredos da empresa/outras informações confidenciais e o roubo ou tratamento ilícito de dados pessoais.
Os colaboradores e outros prestadores que deliberadamente violem esta ou outras políticas ficam sujeitos a ações disciplinares/legais, que podem ir até à cessação do seu vínculo contratual e participação às autoridades judiciais das situações que indiciem a prática de crime.
2. Valor da Informação
A informação pode adotar diversas formas (estar impressa ou escrita em papel, armazenada eletronicamente, transmitida por correio ou meios eletrónicos, entre outras), devendo ser adequadamente protegida, independentemente do seu meio, utilização ou suporte. A segurança da informação deverá estar ajustada face à sua importância e valor.
A preservação da confidencialidade, integridade e disponibilidade da informação depende de uma abordagem sistemática do risco de forma a minimizar os incidentes que ponham em causa a sua segurança.
O acesso à informação é um aspeto central do funcionamento da Ubiquity, dependendo da disponibilidade dos Sistemas e infraestruturas de informação a eficiência do serviço prestado aos seus Clientes. A segurança no tratamento e transmissão da informação é, assim, um fator vital para manter a sua eficiência.
Qualquer interrupção do serviço, fuga de informação para entidades não autorizadas ou modificação não autorizada de dados pode levar a uma perda de confiança e/ou violar as obrigações para com os Clientes, parceiros ou outras obrigações legais e regulamentares vigentes.
A mudança de sistemas de processamento clássicos – baseados em centros informáticos fechados – para as mais variadas formas de processamento distribuído de dados em ambientes abertos e heterogéneos cliente/servidor, traz riscos adicionais que necessitam de ser geridos, uma vez que a informação relevante e as aplicações que a tratam aumentam continuamente, a par com a sua utilização em locais de difícil controlo.
Para atingir os seus objetivos na vertente de segurança da informação, os Departamentos da Ubiquity estão dependentes do funcionamento correto dos seus sistemas de informação e comunicações. No entanto, tal apenas se torna possível com a identificação contínua dos riscos aos quais os ativos da Ubiquity se encontram expostos, bem como, pela implementação de controlos e mecanismos de segurança que visem a utilização correta e controlada dos mesmos.
É da responsabilidade de todos os colaboradores da Ubiquity (bem como dos outros intervenientes identificados no âmbito desta política) contribuir proactivamente para a proteção da informação, inclusive aquando da partilha de informação sensível, mesmo na forma verbal. Da mesma forma cabe-lhes a responsabilidade de reportar qualquer ameaça, concretizada ou por concretizar, que possa ter qualquer impacto na disponibilidade, integridade ou confidencialidade da informação.
3. Importância da Segurança da Informação
A informação gerida pela Ubiquity, os seus processos de suporte, sistemas, aplicações e redes são ativos valiosos para a organização. Qualquer perda de confidencialidade, integridade e/ou disponibilidade podem levar à perda de credibilidade dos serviços prestados pela Ubiquity.
A Segurança da Informação deverá, portanto, ser aplicada em todas as fases do ciclo de vida da mesma. O controlo das operações de inserção/recolha, processamento, armazenamento, transferência, relacionamento, pesquisa e destruição da informação são tão importantes como a funcionalidade de uma aplicação. Deve assim ser assegurada a manutenção – de forma permanente e equilibrada – de um nível de qualidade e segurança elevado, prevenindo a materialização de riscos inerentes, com vista a mitigar / limitar os potenciais danos provocados pela exploração de vulnerabilidades e incidentes de segurança, garantindo que o negócio opera conforme esperado ao longo do tempo.
A Segurança da Informação deve ser um pressuposto fundamental para o sucesso dos serviços prestados pela Ubiquity, sendo, portanto, da responsabilidade de todos os colaboradores, fornecedores, parceiros ou outras entidades que, em cada momento, tenham acesso à informação.
As ameaças à Segurança da Informação estão em constante evolução, o que implica a adaptação contínua de medidas de segurança de modo a acompanhar as alterações tecnológicas, legislativas e/ou sociais. As medidas de segurança devem ser técnica e economicamente viáveis e não devem limitar de forma inadequada a produtividade e eficiência da Ubiquity. Os riscos residuais devem ser do conhecimento da Administração e dos Gestores que possuam responsabilidades operacionais sobre os ativos associados.
4. Linhas orientadoras para a Gestão da Segurança da Informação
E tem em conta as seguintes vertentes:
- Gestão de pessoas: a Segurança da Informação é aplicável a todos os colaboradores da Ubiquity em todos os Departamentos, de forma transversal, devendo ser atribuídas responsabilidades específicas a determinadas funções;
- Gestão do risco: todos os sistemas (existentes ou planeados) devem ter um nível de segurança adequado face ao risco que a Ubiquity está disposta a assumir. A análise de risco deve traduzir as preocupações de índole técnica de forma percetível;
- Definição de responsabilidades: a responsabilidade pela qualidade, acessos, utilização e salvaguarda da informação contida nos sistemas é dos seus responsáveis. Cabe à Ubiquity definir as normas e procedimentos que implementem os níveis de segurança da informação definidos pelas entidades proprietárias da informação e monitorizar a sua efetividade;
- Regras de segurança: devem existir políticas de segurança que definam os objetivos a atingir por todos os sistemas de informação, independentemente do seu ambiente;
- Procedimentos de segurança: devem ser o mais detalhados possível e definir claramente como atingir o nível de segurança pretendido e qual o envolvimento humano na manutenção dos sistemas de informação, não devendo ser deixado nada ao acaso;
A Ubiquity assegura que não se pretende implementar, autorizar ou estabelecer qualquer monitorização remota dos sistemas ou instrumentos (abertos ou escondidos) relativamente a opiniões, hábitos ou atividades dos colaboradores – que aliás é estritamente proibida.
Esta política visa apenas criar meios para verificar se os recursos profissionais e/ou pessoais se encontram a ser corretamente utilizados, para necessidades organizativas e produtivas, segurança do local de trabalho, proteção dos ativos da Empresa e para a segurança desta (e, em particular, da sua rede, sistemas de informação).
5. Modelo do Sistema de Gestão de Segurança da Informação
O modelo do SGSI da Ubiquity assenta nos seguintes três pilares:
- Confidencialidade: garantia de que a informação está acessível apenas por pessoas e processos devidamente autorizadas para o efeito;
- Integridade: salvaguarda da exatidão da informação e dos métodos de processamento;
- Disponibilidade: garantia de que utilizadores e processos autorizados têm acesso à informação sempre que necessário.
Todos os mecanismos de segurança da informação existentes na Ubiquity visam a confidencialidade, integridade e/ou disponibilidade da informação, e devem ser regulados por um corpo normativo constituído por políticas detalhadas, processos e procedimentos de segurança da informação, encontrando-se estruturado da seguinte forma:
Última atualização: 29 de Julho de 2024