Política de Segurança da Informação

Compromisso do Grupo GRECA com a Segurança da Informação:

 

1. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

A informação é um ativo de grande valor para o Grupo GRECA, por isso necessita ser adequadamente protegida.

Por princípio, a Segurança da Informação deve abranger três propriedades básicas:
• confidencialidade: informações devem estar acessíveis apenas para pessoas autorizadas;
• integridade: informações não devem sofrer alterações durante o seu processamento;
• disponibilidade: informações devem estar sempre acessíveis, a qualquer momento, para uso legítimo de pessoas autorizadas.

 

De nada adianta a área de Tecnologia da Informação impor controles e medidas técnicas se não existir a participação dos colaboradores. A TI pode implementar barreiras e portas de controle de acesso eletrônico, mas se um funcionário que tem acesso legítimo a determinada área restrita resolve divulgar informações confidenciais que estavam devidamente protegidas nesta área, todo esforço é em vão.

A área de Tecnologia da Informação é a responsável pela salvaguarda dos dados da organização, mas o processo de segurança da informação deve envolver todos os colaboradores, independentemente do nível hierárquico, posto que, de posse de uma informação específica, qualquer pessoa pode, por descuido ou com má intenção, se tornar um agente de divulgação não autorizada.

Diante do exposto, o Grupo GRECA possui um forte compromisso com a Segurança da Informação, formalizado através da Política de Segurança da Informação, amplamente divulgado e de ciência de seus colaboradores. A política propõe uma Gestão de Segurança da Informação baseada em controles e procedimentos técnicos, considerando e promovendo o comportamento dos colaboradores de forma que possa aplicar a tecnologia adequada em todo o processo e atingir efetivamente seu objetivo: entender o negócio e aplicar segurança a ele.

 

2. EDUCAÇÃO E CONSCIENTIZAÇÃO

Os colaboradores do Grupo GRECA recebem treinamentos periódicos de conscientização como medidas de prevenção e redução de riscos, de forma a nivelar o conhecimento entre os usuários e manter um comportamento seguro com relação à informação.

 

3. COMPROMISSO DA ALTA DIREÇÃO

Sabendo que a efetividade da Política de Segurança da Informação depende estritamente do comprometimento da alta direção, esse é um dos pilares que garantem com que a política seja seguida e cumprida em todos os níveis hierárquicos no Grupo GRECA, demonstrando seu comprometimento para que os colaboradores se sintam motivados a cumpri-la.

 

4. PROCESSO DE SEGURANÇA DA INFORMAÇÃO

Para assegurar que as informações tratadas estejam adequadamente protegidas, o Grupo GRECA adota os seguintes processos:

4.1 CLASSIFICAÇÃO DA INFORMAÇÃO

O manuseio das informações pertencentes ao Grupo GRECA leva em consideração as regras de sigilo conforme as informações são classificadas e tratadas, obedecendo os critérios de confidencialidade como: público, interno, confidencial ou confidencial restrito.

4.2 UTILIZAÇÃO DE RECURSOS DE TI

A utilização de recursos de TI como internet, rede, telefonia, e-mail e computadores deve ser utilizado obedecendo direitos e deveres definidos e amplamente divulgados entre os colaboradores do Grupo GRECA. Essas regras visam assegurar que os pilares da segurança da informação sejam atendidos em sua totalidade.

4.3 GESTÃO DE ACESSOS

As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos do Grupo GRECA. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador, parceiro ou consultor, para que seja responsabilizado por suas ações.

4.4 GESTÃO DE RISCOS

O gerenciamento de riscos é uma das bases da governança e visa garantir que, caso ocorra alguma falha em quaisquer das operações, esta não coloque em risco os objetivos estratégicos da empresa, uma vez que os riscos relacionados às operações podem ter impactos no sucesso da corporação.
O processo de inclusão e revisão é contínuo, e tão logo novos riscos são identificados, a diretoria é envolvida a fim de decidir a estratégia e ações a serem adotadas para a tratativa dos riscos.

4.5 CONTINUIDAE DO NEGÓCIO

Um conjunto de medidas estão definidas em caso de paralisações de ativos críticos de tecnologia da informação, incluindo a ativação de processos manuais e automáticos, para fazer com que os sistemas críticos voltem a funcionar plenamente, ou em um estado minimamente aceitável o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar prejuízos ao Grupo.

4.6 CONTRATAÇÃO DE SERVIÇO EM NUVEM

Em caso de necessidade de contratação de serviços em nuvem, um processo deve ser seguido em cumprimento da legislação e da regulamentação em vigor, incluindo a Resolução no 4.658 de 26 de Abril de 2018 do Banco Central do Brasil, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de processamento e armazenamento de dados e de computação e nuvem.

4.7 TRATAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Os incidentes de Segurança da Informação do Grupo GRECA são comunicados e tratados pelo Comitê de Segurança da Informação.

 

5. CIÊNCIA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Os colaboradores, consultores, fornecedores e demais contratados pelo Grupo GRECA devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as políticas de Segurança da Informação.

 

6. MEDIDAS DISCIPLINARES

Quaisquer violações à Política sujeitará os infratores às sanções disciplinares previstas nas normas internas do Grupo GRECA, bem como demais sanções no âmbito criminal, trabalhista e cível, conforme aplicável.

 

7. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA TERCEIROS

A Política de Segurança da Informação para Terceiros tem como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação do Grupo GRECA, sendo a base para o estabelecimento de todos os padrões e procedimentos de segurança.

A Política pode ser acessada através deste link.