Introdução

A Política de Segurança da Informação da Softventure- Consultoria e Tecnologia, S.A é uma base para todos os Departamentos que permite a aplicação de segurança organizacional e práticas eficazes na Gestão de Segurança da Informação. Assim, fornece confiança nas entre-trocas que envolvam a Softventure- Consultoria e Tecnologia, S.A.

A Política de Segurança da Informação aplica ao Sistema de Gestão Integrado a norma internacional ISO/IEC 27001, as normas comunitárias e a legislação e recomendações nacionais em matéria de Segurança da Informação.

A Gestão da Softventure- Consultoria e Tecnologia, S.A. assume os compromissos:

• De Incorporar e de manter todos os requisitos legais no contexto da Segurança da Informação;

• De Assegurar as condições para a melhoria contínua, através da monitorização e revisões periódicas dos componentes relacionados com a Segurança de Informação.

Todos os departamentos da Softventure- Consultoria e Tecnologia, S. A. devem aplicar os princípios gerais encontrados neste documento aos activos de informação sob sua tutela. O documento estrutura-se assim:
• Audiência;
• Importância da informação e da Segurança da Informação;
• Política de Segurança da Informação;
• Responsabilidade na Segurança da Informação;
• Manutenção e comunicação das Políticas de Segurança.

Siglas e Definições

Sigla Definição

Ativo Entende-se como Activo qualquer recurso quantificável ou não, com valor humano ou tecnológico, que seja indispensável ao funcionamento da Softventure SA e que permita garantir os objetivos presentes

CISO Chief Information Security Officer

Dados Os Dados são a representação formal de material não trabalhado a partir do qual é gerada informação através do seu processamento e/ou interpretação

Informação Interpreta-se como “Informação” todos os dados passíveis de serem processados com o intuito de gerar conhecimento ao recetor

Segurança de É um conjunto de princípios que levam à proteção dos ativos de informação quanto à sua divulgação, alteração e acesso não autorizado
informação

SGI Sistema de Gestão Integrado

SGSI Sistema de Gestão de Segurança da Informação

Sistemas de É a expressão utilizada para descrever um sistema automatizado, ou mesmo manual, que considere pessoas, máquinas, e/ou métodos organizados para recolha, processamento, transmissão e disseminação de dados que representam informação para o seu utilizador


Audiência

Todos os colaboradores, estagiários, consultores temporários, prestadores de serviços e outros stakeholders que participem no tratamento de Informação devem seguir a Política de Segurança da Informação da Softventure- Consultoria e Tecnologia, S.A. Qualquer actor neste processo deve agir em conformidade com a Política de Segurança da Informação e todos os documentos produzidos sobre Segurança da Informação.

Alerta-se ainda que o uso indevido de equipamento da empresa, equipamento alheio à empresa, mas ligado aos recursos da Softventure- Consultoria e Tecnologia, S.A., rede da empresa, email interno e externo ou quaisquer outras aplicações de tratamento de informação ou recursos empresariais – bem como o uso destes para fins ilícitos – tem a possibilidade de colocar a empresa como receptora de consequências sérias.

Entende-se ainda que comportamentos como o acesso não autorizado aos sistemas de computador, a introdução de vírus, o acesso a dados ou ativos, o roubo/divulgação de segredos da empresa e também outras informações confidenciais e/ou roubo ou tratamento ilícito de dados pessoais são, no todo ou em parte, comportamento ilícito, não sancionado pela Softventure- Consultoria e Tecnologia, S.A. e potencialmente, ainda, ilegal.

Os trabalhadores, colaboradores, prestadores de serviços ou qualquer pessoa que, de forma deliberada, viole esta e outras políticas da empresa ficarão sujeitas a acções disciplinares e, porventura, de natureza criminal. As medidas a tomar podem ir até à cessação do seu vínculo contratual bem como a participação às autoridades judiciais dos actos que sejam, alegadamente, prática de crime.

Importância da Informação

A Informação é um activo fundamental, que pode existir sob o formato eletrónico, em pape, em diversos suportes com o fim de veiculá-la, bem como se pode entender aquela como conhecimento. A informação pode ser transmitida por diversos meios, desde o clássico correio, como através dos meios eletrónicos de comunicação ou da natural verbalização. Toda a informação (obtida a partir de Dados ou colhida já como tal) tem de ser protegida adequadamente, independentemente do seu formato, utilização ou transmissão.

A confidencialidade, integridade e disponibilidade da Informação dependerá da avaliação sistemática do risco por forma a minimizar incidentes que coloquem em causa a sua segurança, tendo em conta os princípios enunciados.

A eficiência do serviço prestado pela pela Softventure- Consultoria e Tecnologia, S.A. aos seus parceiros e clientes depende da disponibilidade dos Sistemas e infraestruturas de informação, porquanto o acesso à informação é um aspeto central do funcionamento da empresa. A segurança na transmissão e no tratamento de Informação ilustra-se como vital para manter a sua eficiência.

A interrupção do serviço, a fuga desta para entidades não reconhecidas e não autorizadas ou a alteração não sancionada de dados levará a uma perda de confiança bem como ao violar das obrigações para com Clientes e parceiros – ou outras obrigações legais e regulamentares vigentes.

As formas contemporâneas de processamento de dados distribuído em ambientes abertos e heterogéneos entre cliente/servidor implica riscos. Estes têm de ser geridos com exigência e rigoroso controlo, uma vez que a Informação relevante e as aplicações que a tratam aumentam exponencialmente. Também os “lugares” onde a Informação é processada se tornaram vastos, incertos e menos controláveis.

Para atingir os seus objetivos quanto à segurança da informação, os departamentos da Softventure- Consultoria e Tecnologia, S.A dependem do bom funcionamento dos seus sistemas de informação e comunicações. Tal só se tornará viável com a compreensão em contínuo dos riscos a que os ativos da Softventure- Consultoria e Tecnologia, S.A se encontram expostos. Devem ser, então, implementados controlos e mecanismos de segurança que tenham por objectivo a utilização correta e controlada dos mesmos.

Todos os trabalhadores, colaboradores e outros intervenientes em contacto com a Informação na Softventure- Consultoria e Tecnologia, S.A ou seus relacionados devem ter um comportamento de extrema protecção da Informação. É da responsabilidade de todos os colaboradores da Softventure- Consultoria e Tecnologia, S.A a proteção da informação, inclusive aquando da partilha de informação sensível, mesmo da forma verbal. Cabe-lhes ainda reportar qualquer ameaça, concretizada ou por concretizar, que possa ter qualquer impacto na disponibilidade, integridade ou confidencialidade da informação. Qualquer dúvida deve ser esclarecida junto deste documento ou com o CISO.

Importância da Segurança da Informação

A informação, os seus sistemas, aplicações e redes, processos de suporte, são ativos valiosos para a Softventure- Consultoria e Tecnologia, S.A. Qualquer perda de integridade, confidencialidade e/ou disponibilidade levam à quebra de credibilidade dos serviços da Softventure- Consultoria e Tecnologia, S.A.

A Segurança da Informação é aplicada a todas as fases do seu ciclo de vida. O controlo das operações de inserção/recolha, processamento, armazenamento, transferência, relacionamento, pesquisa e destruição da informação são tão importantes como a funcionalidade de qualquer aplicação.
De forma permanente e equilibrada deve ser assegurada a manutenção – de um nível de qualidade e segurança elevado –, prevenindo riscos inerentes e ainda com vista a mitigar e limitar os potenciais danos provocados por exploração de vulnerabilidades ou incidentes de segurança.

A Segurança da Informação é um princípio fundacional para o êxito dos serviços da Softventure- Consultoria e Tecnologia, S.A. É, assim, responsabilidade de todos os trabalhadores, colaboradores, parceiros, fornecedores ou outras entidades que, em cada momento, tenham acesso à informação, o seu bom tratamento e respeito pelos pilares desta Política.

A adaptação contínua de medidas de segurança perante um mutável ambiente onde a Informação existe deve ser permanente, por forma a ser paralela às alterações tecnológicas, legislativas ou sociais. Todos os meios e medidas de segurança tenderão a ser económica e tecnicamente viáveis.
As medidas não devem limitar, ainda assim, a produtividade e eficácia da Softventure- Consultoria e Tecnologia, S.A. . Os riscos residuais devem ser do conhecimento da Administração e dos Diretores que possuam responsabilidades operacionais sobre os ativos associados.

Política de Segurança da Informação

Assenta nos seguintes três pilares a política da segurança de informação da Softventure- Consultoria e Tecnologia, S.A.

• Confidencialidade: garantia de que a informação está acessível apenas por pessoas e processos devidamente autorizadas para o efeito;

• Integridade: salvaguarda da exatidão da informação e dos métodos de processamento;

• Disponibilidade: garantia de que utilizadores e processos autorizados têm acesso à informação sempre que necessário.

Estes três pilares têm em conta as seguintes premissas:

• Gestão de pessoas: a Segurança da Informação atinge de forma transversal todos os trabalhadores e colaboradores da Softventure- Consultoria e Tecnologia, S.A. bem como os departamentos formais, chefias intermédias e administradores, devendo ser atribuídas responsabilidades específicas a determinadas funções;

• Gestão do risco: para todos os sistemas (actuais ou em projecto) deve corresponder um nível de segurança correctamente determinado perante o risco que a Softventure- Consultoria e Tecnologia, S.A. esteja disposta a assumir. Para a análise desse risco contribuem as preocupações técnicas, derramadas em análises claras e expostas de forma percetível;

• Definição de responsabilidades: a responsabilidade pela qualidade, acessos, utilização e salvaguarda da informação contida nos sistemas é dos seus Responsáveis. Cabe à Softventure- Consultoria e Tecnologia, S.A. definir as normas e procedimentos que implementem os níveis de segurança da informação definidos pelas entidades proprietárias da informação e vigiar a sua efetividade;

• Regras de segurança: independentemente do seu ambiente, devem existir políticas de segurança que definam os objetivos a atingir por todos os sistemas de informação;

• Procedimentos de segurança: Serão detalhados e definirão como atingir o nível de segurança pretendido. Explicam ainda qual o envolvimento humano na manutenção dos sistemas de Informação;

• Operação adequada dos sistemas de informação: assegurando que a qualquer momento é possível aferir “quem” e “quando” faz “o quê”, as operações dos sistemas de informação devem ser devidamente documentadas;

• Fazer o que está correto: a segurança da informação é da responsabilidade da Gestão. A Administração da Softventure- Consultoria e Tecnologia, S.A. tem a responsabilidade de agir de forma prudente, fazendo uma adequada gestão da segurança de informação com base no conhecimento da situação; e

• Saber o que está a acontecer: aqui se definem os controlos e implementam adequadas monitorizações destes, de modo a avaliar se se encontram ajustados face aos objetivos definidos e definindo ações de resposta/mitigação atempadas quando se verifique a não operacionalidade dos controlos.

Esta política visa criar meios para verificar se os recursos humanos ou pessoais se encontram a ser corretamente utilizados para necessidades organizativas e produtivas, para a segurança do local de trabalho, para a proteção dos ativos da Empresa e ainda para a segurança desta.
A Softventure- Consultoria e Tecnologia, S.A. assegura que não pretende implementar, autorizar ou estabelecer qualquer monitorização remota dos sistemas ou instrumentos relativamente a opiniões, hábitos ou atividades dos colaboradores.

Responsabilidades na Segurança da Informação

A Política de Segurança da Informação é da responsabilidade do CISO – Chief Information Security Officer, a quem cabe o controlo e a avaliação da implementação do Sistema de Gestão de Segurança da Informação (SGSI) – integrado no Sistema de Gestão Integrado (SGI), a comunicação à gestão de topo do seu desempenho e a garantia da conformidade do sistema com os requisitos da Norma supracitada.

Manutenção e Comunicação das Políticas de Segurança

A Política de Segurança da Informação deve ser periodicamente revista, de forma a garantir que continua a ser adequada à Softventure- Consultoria e Tecnologia, S.A. e deve ser comunicada a todos os colaboradores e stakeholders envolvidos no tratamento da informação.

Novembro 2019