Bizneo depende dos sistemas de informação. Esses sistemas são administrados com diligência, tomando as medidas adequadas para protegê-los contra danos acidentais ou deliberados que possam afetar a disponibilidade, integridade, confidencialidade, autenticidade ou rastreabilidade da informação tratada e dos serviços prestados.
Conscientes da importância da segurança da informação, e em consonância com o caminho que marca nossa própria identidade, desde Bizneo tem se impulsionado o estabelecimento de um sistema de gestão de segurança da informação (doravante, SGSI) sob a norma ISO 27001 e de acordo com os requisitos do Decreto Real 311/2022, de 3 de maio, que regula o Esquema Nacional de Segurança no âmbito da Administração Eletrônica (doravante, ENS) com o objetivo de identificar, avaliar e minimizar os riscos a que está exposta a informação e a dos seus clientes, bem como garantir o cumprimento dos objetivos estabelecidos.
O objetivo da presente Política de Segurança é garantir a qualidade da informação e a prestação contínua dos serviços, atuando preventivamente e supervisionando a atividade diária, bem como proporcionar um referencial para o estabelecimento dos objetivos de segurança que permitam à Bizneo desenvolver uma cultura de empresa, uma forma de trabalhar e de tomar decisões, alinhada com a segurança da informação e que o respeito aos dados pessoais seja uma constante.
Os sistemas de informação estão protegidos contra ameaças de rápida evolução, cujo dano potencial incide na confidencialidade, integridade, disponibilidade, uso previsto (rastreabilidade) e valor da informação (autenticidade) dos serviços. Para se defender dessas ameaças, foi definida uma estratégia que se adapta às mudanças nas condições do ambiente para garantir a prestação contínua dos nossos serviços.
Desde os diferentes departamentos da Bizneo assegura-se que a segurança é uma parte integral de cada etapa do ciclo de vida do sistema, desde sua concepção até sua retirada de serviço, passando pelas decisões de desenvolvimento ou aquisição e as atividades de operação.
Bizneo está preparada para prevenir, detectar, reagir e se recuperar de incidentes, de acordo com o Artigo 12 do ENS, por isso tem agido no sentido de potenciar diferentes aspectos da segurança da informação:
Marco Legal e Regulatória
Bizneo realizará suas atividades de acordo com o marco legal e regulatório vigente. Compromete-se a cumprir todas as leis e regulamentos pertinentes relacionados à segurança da informação, incluindo, mas não se limitando, às indicadas no documento “Legislação Aplicável SGSI”.
Bizneo integra o ENS e a ISO 27001 na política de segurança da organização para fornecer uma estrutura mais completa e robusta para abordar os aspectos específicos da segurança da informação, tanto a nível nacional quanto internacional. Além disso, a adoção desses padrões melhora a credibilidade da empresa, demonstrando seu compromisso com as melhores práticas de segurança.
Marco Organizacional da Segurança
A presente política de segurança foi estabelecida de acordo com os princípios básicos assinalados no capítulo II do Decreto Real 311/2022 e foi desenvolvida aplicando os seguintes requisitos mínimos:
Organização em matéria de segurança
Bizneo identificou e definiu os papéis e funções de segurança necessários para garantir a proteção da informação. Cada papel tem responsabilidades claramente definidas (Responsabilidades Autoridade e Competência ENS).
Bizneo nomeou um Comitê de Segurança que supervisionará o acompanhamento e cumprimento do SGSI. O Comitê de Segurança é composto por cargos corporativos e de responsabilidade dentro da organização. A relação dos membros constituintes do Comitê de Segurança está definida no procedimento criado para este fim (PS00 - Manual do SGSI). Esse comitê de Segurança terá as seguintes funções e responsabilidades:
• Coordenar todas as atividades relacionadas com a segurança das TIC.
• É responsável pela redação da Política de Segurança.
• É responsável pela criação e aprovação das normas que enquadram o uso dos serviços TIC
• Aprovará os procedimentos de atuação no que se refere ao uso dos serviços TIC
• Aprovará os requisitos de formação e qualificação de administradores, operadores e usuários do ponto de vista de segurança das TIC.
Além disso, foram definidas as funções e responsabilidades do responsável de Segurança, do responsável pela Informação e do responsável pelos Serviços, bem como a relação destes com o Comitê de Segurança.
Com o objetivo de descrever o processo e a hierarquia para resolver conflitos de autoridade que possam ocorrer durante a gestão do ENS entre os perfis críticos com responsabilidades em matéria de segurança, na Bizneo foram definidas as funções para a resolução de conflitos perante os responsáveis e que se aplicam a todos os perfis específicos de gestão do ENS (Responsabilidades Autoridade e Competência ENS).
O responsável pela Segurança da Informação, o responsável pelo Serviço, bem como o responsável pela informação serão nomeados pela Direção a proposta do Comitê de Segurança. Essas nomeações serão revisadas a cada 2 anos ou quando o cargo ficar vago.
No seguinte organograma estão marcados os cargos com funções ou responsabilidades relacionadas com a segurança da informação. A escalada na ausência de algum desses responsáveis será realizada segundo as linhas hierárquicas marcadas neste diagrama.
Análise e gestão de riscos
Todos os sistemas sujeitos a esta Política foram avaliados mediante uma análise de riscos, avaliando as ameaças e os riscos a que estão expostos. Esta análise será repetida:
Regularmente, pelo menos uma vez por ano
Quando a informação manejada mudar
Quando os serviços prestados mudarem
Quando ocorrer um incidente grave de segurança
Quando vulnerabilidades graves forem relatadas
Categorização dos sistemas
Bizneo, mediante a redação do procedimento correspondente (PS00 - Manual do SGSI), definiu os critérios para determinar o nível de segurança requerido em cada dimensão. Para isso, analisam-se os elementos essenciais, informação e serviços, pivotando ao redor deles os critérios que o responsável por cada tipo de informação e cada serviço poderá utilizar, considerando que a faculdade de determinar a categoria do sistema corresponde ao responsável por este.
O Esquema Nacional de Segurança estabelece em seu Anexo II medidas de segurança condicionadas à avaliação do nível de segurança em cada dimensão e à categoria de segurança (artigo 40) do sistema de informação respectivo. Por sua vez, a categoria de segurança do sistema é calculada em função do nível de segurança mais alto das dimensões avaliadas.
Gestão de pessoal e profissionalismo
Todos os membros da Bizneo têm a obrigação de conhecer e cumprir esta Política de Segurança da Informação e a Normativa de Segurança, sendo responsabilidade do Comitê de Segurança aplicar as medidas necessárias para que a informação chegue aos afetados.
Todos os empregados receberão uma sessão de conscientização em matéria de segurança pelo menos uma vez ao ano. Além disso, será estabelecido um programa de conscientização contínua para sensibilizar todos os membros da Bizneo, em particular os de nova incorporação, o qual está alinhado com outros padrões implementados.
O pessoal que esteja dedicado às tarefas de segurança está qualificado de maneira apropriada, dada a sensibilidade e complexidade de algumas dessas tarefas. Isso é aplicável a todas as fases do ciclo de vida do processo de segurança (instalação, manutenção, gestão de incidentes e desmantelamento). Para isso, o pessoal recebe a formação específica necessária para garantir a segurança das tecnologias da informação aplicáveis aos sistemas e serviços sujeitos ao ENS.
Logicamente, os mesmos requisitos exigidos internamente devem ser exigidos a qualquer fornecedor que preste serviços relacionados com segurança. Para isso, desde Bizneo foi impulsionado um procedimento para a avaliação dos fornecedores de forma que se assegure o nível de segurança similar ao requerido pela entidade.
Autorização e controle de acessos
O primeiro passo para assegurar que a informação e os sistemas estão protegidos é limitar o acesso aos mesmos. Por isso, foi definido quem, e em que medida, terá acesso aos recursos, de maneira que cada um tenha o acesso necessário para realizar suas tarefas, mas não a equipamentos ou dados que não devem estar ao seu alcance.
Além disso, os sistemas de informação da Bizneo contam com mecanismos de autorização para permitir o acesso, negá-lo e revogá-lo quando necessário.
Proteção das instalações
As instalações estão protegidas contra danos que possam afetar os sistemas que abrigam e contra acessos de pessoas não autorizadas. O acesso às nossas instalações está securizado e está regulado no procedimento habilitado para esse fim.
Aquisição de produtos de segurança e contratação de serviços de segurança
Bizneo estabelece os requisitos do negócio e de segurança da informação para seus sistemas de informação, sejam novos ou já existentes que sejam ampliados ou melhorados.
Assim, toda nova aquisição de produto e serviços de segurança que possa afetar o SGSI deverá ser avaliada previamente, do ponto de vista funcional e de requisitos de segurança necessários. Após a validação, proceder-se-á com o teste formal do produto indicando se cumpre com os requisitos.
Todo serviço contratado deverá ser avaliado antes de sua entrada em produção com o objetivo de assegurar que cumpre com os requisitos mínimos de segurança definidos na presente Política de Segurança da Informação e na Normativa de Segurança vigente.
Privilégio mínimo
O Sistema de Segurança da Informação implementado na Bizneo segue o Princípio do Privilégio Mínimo, segundo o qual se concede aos usuários do sistema os níveis (ou permissões) de acesso mínimos necessários para desempenhar suas funções, com o objetivo de restringir o acesso à informação e recursos unicamente ao que é estritamente necessário para cumprir uma tarefa específica.
Este princípio de privilégio mínimo garante que cada parte (seja um processo, um usuário ou um programa) só possa acessar o que é essencial para seu propósito legítimo, não concedendo privilégios desnecessários. No entanto, este princípio não se limita apenas ao acesso dos usuários humanos, também se aplica a aplicações, sistemas ou dispositivos conectados que requerem privilégios para realizar tarefas necessárias.
Ao limitar os privilégios, reduz-se a exposição a ciberataques e evita-se a “acumulação de privilégios”.
Integridade e atualização do sistema
Para garantir a integridade dos sistemas de informação, qualquer mudança física e lógica, é realizada apenas após sua aprovação formal e mediante um procedimento formal.
Para isso, os sistemas são atualizados de maneira controlada e conforme o estado de segurança requerido em cada momento. As mudanças nas especificações dos fabricantes, a aparição de novas vulnerabilidades, a emissão de atualizações e patches que afetam os sistemas são analisadas para tomar as medidas necessárias para que não se degradem os sistemas nem seu nível de segurança, gerenciando também os riscos que introduzem as mudanças que serão realizadas.
Uma parte significativa do ciclo de vida da informação corresponde ao seu armazenamento e transporte. A informação deve estar protegida em todos os momentos. Para isso, foram desenvolvidos procedimentos adequados, que cobrem tanto a informação em suporte eletrônico quanto em papel, bem como a política para o manuseio e o tratamento da informação.
A prevenção perante outros sistemas de informação interconectados é um aspecto crucial para a Bizneo. Para isso, foram estabelecidas medidas para garantir a segurança quando os sistemas de informação se conectam entre si, levando em conta aspectos como a proteção do perímetro, o controle de acessos ou o devido registro de atividade com o qual se pode detectar possíveis anomalias ou comportamentos incomuns na interconexão.
Qualquer conexão para ou desde serviço interconectado será realizada seguindo as diretrizes definidas nos guias CCN-STIC publicados para esse fim.
Registro da atividade e detecção de código malicioso
A empresa realiza a supervisão de seus sistemas de informação e processamento, registrando-os como incidentes de segurança, revisando o registro de operação e falhas de seus sistemas para identificar o problema. Assim, as atividades de supervisão do uso dos sistemas da Bizneo respeitam os requisitos legais de privacidade e são utilizadas para verificar a efetividade dos controles de segurança implantados e o cumprimento da política de controle de acessos.
Além disso, os equipamentos corporativos, mediante o uso de antivírus de última geração com gestão centralizada, contam com ferramentas para a proteção, detecção, recuperação e eliminação de código malicioso.
Incidentes de segurança
Desde a direção da Bizneo foi estabelecido um procedimento de notificação formal pelo qual todo o pessoal deve notificar incidentes relacionados com a segurança através do canal estabelecido de forma imediata e sem demoras. Isso permite garantir uma resposta rápida e efetiva diante de incidentes e fraquezas na segurança.
Continuidade da atividade
A empresa estabeleceu um procedimento para atuar contra interrupções na atividade empresarial e proteger os processos críticos dos efeitos de falhas importantes nos sistemas de informação e assegurar sua restauração imediata. Para isso, foi implementado um plano de continuidade de negócios (ver PROSI-11 Plano de Continuidade de Negócios) para reduzir o impacto sobre a infraestrutura da Bizneo, e consequentemente sobre a empresa, e a recuperação de ativos de informação (seja por acidentes, falha em equipamentos, atos deliberados, etc.) de forma que os processos do departamento alcancem um nível aceitável de continuidade mediante medidas de recuperação corretivas e preventivas.
Melhoria contínua do processo de segurança
A Direção, por sua vez, valoriza especialmente e estabelece como critério principal para a estimativa de seus riscos, a avaliação da confidencialidade, integridade e disponibilidade da informação crítica da empresa e de seus clientes, bem como garantir a rastreabilidade e autenticidade desses dados.
Assim, compromete-se a desenvolver, implantar, manter e melhorar continuamente a presente política de Segurança e seu Sistema de Gestão com o objetivo de melhoria contínua na forma como prestam seus serviços e tratam a informação.
Dados de caráter pessoal
Bizneo trata dados de caráter pessoal. Nesse sentido, e em cumprimento com a legislação vigente em matéria de proteção de dados, levando em conta o estado da técnica, os custos de aplicação, e a natureza, o alcance, o contexto e os fins do tratamento, bem como riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, Bizneo aplicou medidas técnicas e organizativas apropriadas para garantir um nível de segurança adequado ao risco, que em seu caso inclua, entre outros:
A pseudonimização e o ciframento de dados pessoais;
A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;
A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida em caso de incidente físico ou técnico;
Um processo de verificação, avaliação e valorização regulares da eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
Documentação e Comunicação
Esta Política de segurança da Informação estará disponível como informação documentada e será comunicada dentro da organização. Além disso, será compartilhada com as partes interessadas relevantes, como autoridades, operadores e usuários de transporte público, conforme apropriado.
Revisão e Atualização
Esta política será revisada anualmente ou antes, se houver mudanças significativas no ambiente operacional ou tecnológico da Bizneo. A alta direção compromete-se a manter esta política alinhada com os objetivos da empresa e os requisitos de segurança da informação aplicáveis.
A presente Política de Segurança da informação estará sempre alinhada com as políticas gerais da companhia e com as que sirvam de marco a outros sistemas de gestão interna, como são as políticas de qualidade.
Em Madrid, a 30 de abril de 2024
Santiago Salas
CEO Bizneo