Política de Segurança da Informação – Construend
Objetivo
Estabelecer diretrizes claras para o Programa de Segurança da Informação da Construend, garantindo a confidencialidade, integridade e disponibilidade das informações sob nossa responsabilidade. Nosso objetivo é prevenir, detectar e mitigar riscos e vulnerabilidades que possam afetar o ambiente computacional da empresa, por meio de ações coordenadas envolvendo pessoas, processos e tecnologias.
Escopo
Esta política se aplica a todos os colaboradores, parceiros e prestadores de serviço da Construend, abrangendo todo o ciclo de vida das informações corporativas e a infraestrutura tecnológica utilizada.
Responsabilidades e Atribuições
Áreas de Riscos, Compliance e Segurança da Informação
Sob a liderança do Diretor de Tecnologia, são responsáveis pela governança, aplicação e monitoramento contínuo desta política.
Segurança da Informação
Implanta processos, controles e ferramentas para proteção dos ativos informacionais. Também orienta stakeholders sobre reporte de incidentes e garante conformidade com normas e regulamentações aplicáveis.
Recursos Humanos
Divulga esta política, garante seu cumprimento nos processos de admissão, desligamento e movimentações internas, além de avaliar violações em conjunto com áreas competentes.
Assuntos Legais
Garante alinhamento com a legislação vigente sobre proteção de dados, apoiando contratos, armazenamento e compartilhamento de dados sensíveis.
Diretores
Promovem a adesão às diretrizes em suas respectivas áreas.
Comitê Gestor de Segurança da Informação
Gerencia estrategicamente a segurança da informação, com apoio da alta direção.
Alta Direção
Revisa anualmente o Programa de Segurança da Informação, considerando mapeamento de riscos e relatórios de auditoria.
Diretrizes Fundamentais
- Confidencialidade – acesso apenas a pessoas autorizadas.
- Integridade – preservação do conteúdo original.
- Disponibilidade – acesso garantido sempre que necessário.
Controles de Segurança
- Mapeamento e Tratamento de Riscos – identificação e mitigação proativa de riscos, com relatórios anuais avaliados pelo Comitê.
- Plano de Continuidade de Negócios – garante operações essenciais em crises, com backups periódicos e testados.
- Inventário de Ativos – controle de ativos físicos e lógicos, seguindo a Política de Uso Aceitável.
- Proteção de Dados – classificação por sensibilidade, criptografia quando necessário e monitoramento contra uso indevido.
- Gestão de Vulnerabilidades – correções aplicadas em tempo hábil, com análises contínuas.
- Gestão de Acesso – aplicação do princípio do menor privilégio e política de senhas robusta.
- Registros de Auditoria – logs protegidos, armazenados e analisados periodicamente.
- Proteção contra Ameaças Digitais – antivírus, filtros, e mecanismos anti-exploração atualizados.
- Recuperação de Dados – backups automatizados, criptografados e testados regularmente.
- Segurança de Infraestrutura e Redes – monitoramento, segmentação e uso obrigatório de VPN para acessos remotos.
- Treinamento e Conscientização – capacitação anual sobre segurança da informação.
- Gestão de Terceiros – avaliação periódica de fornecedores com impacto em segurança, com cláusulas contratuais específicas.
- Segurança em Aplicações – desenvolvimento seguro, com detecção precoce de vulnerabilidades.
- Resposta a Incidentes – monitoramento, classificação e tratamento conforme plano específico; incidentes críticos reportados às autoridades.
- Testes de Invasão – testes internos e externos periódicos, com correção e validação de vulnerabilidades.
Melhoria Contínua
Auditoria Interna
Realizada anualmente, com resultados documentados e analisados.
Não Conformidades
Ações corretivas são registradas e acompanhadas até a resolução completa.
Disposições Gerais
Sanções
Descumprimentos podem resultar em sanções administrativas e responsabilização legal, incluindo desligamento.
Canal de Contato
Para dúvidas, incidentes ou reportes, entre em contato pelo e-mail: sac@construend.com