1. Introdução
Esta política é aplicável a todas as unidades de negócios dentro da ITW Delfast do Brasil Ltda.
A ITW Delfast reconhece que os sistemas e informações de TI são ativos valiosos que são essenciais para apoiar os objetivos estratégicos da divisão. A ITW Delfast aceita suas obrigações de proteger as informações contra ameaças internas e externas e entende que o gerenciamento eficaz da segurança da informação é fundamental para garantir a habilitação bem-sucedida da TI e a entrega de funções e serviços de negócios. A ITW Delfast está comprometida em preservar a confidencialidade, integridade e disponibilidade de todos os ativos físicos e eletrônicos.
O gerenciamento de segurança da informação é um ciclo contínuo de melhoria contínua em resposta a ameaças e vulnerabilidades emergentes e em mudança. Pode ser definido como o processo de proteção de informações contra acesso, divulgação, modificação ou destruição não autorizados e é vital para a proteção das informações e a reputação da ITW Delfast. A Equipe de Gerentes da Divisão está comprometida com a melhoria contínua do Sistema de Gestão de Segurança da Informação.
Esta política detalha a abordagem ITW Delfast para a gestão da segurança da informação e pode ser livremente divulgada às partes relevantes. Uma versão atual deste documento está disponível para todos os funcionários no SharePoint/Intranet e está disponível para partes externas mediante solicitação.
2. Âmbito
Esta Política de Segurança da Informação aplica-se a:
Todos os ativos de informação dentro da empresa incluem:
- Sistemas de TI pertencentes a, ou sob o controle de, ITW Delfast (incluindo sistemas de TI fornecidos por terceiros para apoiar a prestação do serviço aos nossos clientes);
- Informações armazenadas, ou em uso, nos sistemas da ITW Delfast ou em cópia física impressa;
- Informações em trânsito nas redes de voz ou dados da ITW Delfast;
- Controle das informações de saída da ITW Delfast;
- Recursos de acesso à informação;
- Todos os usuários que têm acesso ou uso de sistemas de TI e informações pertencentes a, ou sob o controle da ITW Delfast.
Os usuários da ITW DELFAST incluem:
- Empregados;
- Consultores e Empreiteiros (sob contrato com a ITW);
- Agentes temporários (empregados pela ITW Delfast);
- Organizações terceirizadas (sob contrato com a ITW Delfast);
- Voluntários;
- Qualquer outra parte que utilize recursos ou informações de TI da ITW Delfast.
Essa política se aplica a todo o ciclo de vida das informações, desde a coleta/criação até o uso, armazenamento e descarte.
2.1 Documentos de suporte
Esta política é apoiada por políticas, processos/procedimentos, cronogramas de diretrizes e documentos de apoio mais detalhados na Estrutura de Segurança da Informação.
3. Responsabilidades
Information Security Officer: responsável por garantir que políticas e procedimentos estejam em vigor para cobrir todos os aspectos dos sistemas de TI e segurança da informação. As políticas de segurança relevantes serão comunicadas em toda a ITW Delfast para garantir boas práticas de trabalho e minimizar o risco para a reputação. Atuar como um ponto central de contato dentro do segmento para aconselhamento especializado em relação a todos os assuntos relacionados à segurança da informação e proteção de dados/Lei Geral de Proteção de Dados (LGPD).
Equipe de Liderança: responsável pela comunicação de políticas de segurança de alto nível através de canais relevantes. Garantir que os sistemas e informações de TI dentro de suas áreas de serviço sejam gerenciados de acordo com a Política de Segurança da Informação da ITW Delfast. GM e Controller são responsáveis pela segurança dos sistemas de TI instalados dentro da divisão. A responsabilidade diária pela gestão dos sistemas e informações de TI pode ser delegada ao pessoal designado como proprietário de informações ou sistemas dentro dos departamentos.
Usuários de recursos: É responsabilidade de qualquer indivíduo que tenha acesso aos sistemas e informações de TI da ITW Delfast cumprir a Política de Segurança da Informação, políticas associadas, processos/procedimentos, cronogramas de diretrizes ou documentos de apoio e tomar as medidas adequadas para salvaguardar a segurança dos sistemas de TI e informações aos quais tem acesso. Qualquer fraqueza de segurança, ameaças, eventos ou incidentes suspeitos ou reais devem ser imediatamente relatados à equipe de TI por meio do Procedimento de Gerenciamento e Escalonamento de Incidentes.
Terceiros com acesso aos sistemas de Informação da ITW DELFAST devem receber políticas específicas para conformidade.
4. Uso aceitável
Todos os usuários de sistemas e informações de TI pelos quais a ITW Delfast é responsável devem concordar e cumprir os termos da Política de Uso Aceitável e as políticas de segurança associadas.
5. Conscientização de segurança
A ITW Delfast está comprometida em promover práticas de trabalho para proteger as informações, sistemas, instalações e pessoal. As políticas, procedimentos e diretrizes relevantes de segurança da informação serão acessíveis e divulgadas a todos os usuários. Continua sendo uma responsabilidade contratual do usuário garantir que ele seja adequadamente informado sobre as políticas e procedimentos de segurança da informação.
6. Formação
A ITW Delfast adota uma boa cultura de segurança e é diretamente impulsionada pela equipe de Segurança Cibernética Corporativa. Os novos funcionários são obrigados a realizar o treinamento de Segurança Cibernética ao ingressar na ITW Delfast. Posteriormente, todos os funcionários são obrigados a passar por treinamento anual obrigatório (incluindo testes de conhecimento) sobre uma variedade de tópicos gerais, incluindo Segurança da Informação, Proteção de Dados, Engenharia Social, Uso Aceitável, etc. Os utilizadores que trabalham em funções especializadas receberão formação adequada e pertinente à sua função.
7. Continuidade de Negócios
A ITW Delfast manterá uma Estratégia de Continuidade de Negócios com base em avaliações específicas de risco e impacto nos negócios para manter funções críticas de negócios no caso de qualquer interrupção significativa nos serviços ou instalações dos quais a ITW Delfast dependa.
8. Monitoramento e emissão de relatórios
A ITW Delfast reserva-se o direito de monitorar o uso de sistemas e informações de TI, incluindo e-mail e uso da internet, para proteger a confidencialidade, integridade e disponibilidade dos ativos de informações do ITW Delfast e garantir a conformidade com as políticas de segurança. As regulamentações de privacidade e proteção de dados específicas de cada país devem ser consideradas antes de implementar controles para monitoramento e relatórios.
A ITW Delfast pode, a seu critério, ou quando exigido por lei, relatar incidentes de segurança às autoridades relevantes para investigação adicional.
Como parte do processo de revisão de auditoria padrão, a Auditoria Interna avaliará rotineiramente a conformidade com a Política de Segurança da Informação da ITW DELFAST e os controles TISAX aplicáveis e reportará os assuntos à Equipe de Liderança quando apropriado.
9. Avaliação do risco
A ITW Delfast adota uma abordagem proativa para a Gestão de Riscos para alcançar o melhor valor e melhoria contínua e está comprometida com a gestão eficaz do risco para:
- Salvaguardar os seus funcionários e todas as outras pessoas a quem a ITW Delfast tenha o dever de cuidado;
- Assegurar o cumprimento das obrigações estatutárias;
- Preservar e aprimorar a entrega dos produtos;
- Proteger o orçamento;
- Proteger seus sistemas de informação, ativos físicos e recursos contra ameaças à segurança;
- Promover a imagem e reputação da ITW Delfast;
- Apoiar a qualidade do ambiente.
É responsabilidade de todos os colaboradores, contratados e distribuidores/fornecedores estarem cientes dos riscos no desempenho de suas funções, reconhecendo que tal risco, se não controlado, pode resultar em um dreno de recursos que poderiam ser melhor direcionados para a prestação de serviços e para o alcance dos objetivos da ITW Delfast. Uma gestão eficaz dos riscos incentiva a inovação, assegurando que os riscos são assumidos de forma estruturada e bem gerida.
A ITW Delfast reconhece que é desejável uma tomada de risco bem gerida quando apresenta oportunidades para prestar serviços de uma forma mais rentável.
10. Gestão de ativos
A ITW Delfast tem a responsabilidade de manter um inventário composto por todos os ativos de informação que serão gerenciados de acordo com as políticas e procedimentos de segurança da informação ITW Delfast.
11. Objetivos de Segurança da Informação
Os objetivos de Segurança da Informação são derivados dos objetivos estratégicos da ITW. Os objetivos de SI, são projetados para proteger as informações comerciais da ITW Delfast e qualquer informação do cliente sob sua custódia ou guarda, protegendo sua confidencialidade, integridade e disponibilidade. A liderança é responsável por definir os objetivos de SI para a unidade com o suporte do time de TI Corporativo. Consulte o documento Objetivos do SI para obter informações detalhadas.
12. Conformidade
A ITW Delfast cumprirá toda a legislação local relativa ao armazenamento e processamento de informações. Consulte a Política de Conformidade ou o Registro de Conformidade para obter detalhes específicos da legislação aplicável às nossas unidades de negócios.
A ITW Delfast também cumprirá quaisquer requisitos contratuais, padrões e princípios necessários para manter as funções de negócios da ITW Delfast, incluindo:
- Proteção dos direitos de propriedade intelectual;
- Proteção dos registros da ITW DELFAST;
- Verificação de conformidade e procedimentos de auditoria;
- Prevenção do mau uso das instalações;
- Códigos relevantes de conexão a redes e serviços de terceiros.
13. Desenvolvimento de políticas, procedimentos e diretrizes específicas de segurança da informação
A ITW Delfast está comprometida com o desenvolvimento e revisão contínuos de políticas, procedimentos e diretrizes de segurança da informação para gerenciar o risco de ameaças emergentes aos seus sistemas, serviços, informações e dados. Esse trabalho será coordenado, conforme necessário, por um Comitê de Segurança da Informação. Novas políticas, procedimentos e diretrizes são distribuídos a todas as partes interessadas no momento da emissão.
14. Relatar violações e incidentes de segurança
Violações desta política e / ou incidentes de segurança podem ser definidos como eventos que poderiam ter, ou ter resultado em, perda ou danos aos ativos da ITW Delfast, ou um evento que está em violação dos procedimentos e políticas de segurança da ITW Delfast.
Todos os funcionários da ITW Delfast, agências parceiras, contratados e fornecedores têm a responsabilidade de relatar incidentes de segurança, incluindo violações de dados sob a LGPD e não conformidade desta política o mais rápido possível por meio da Política de Gerenciamento de Incidentes de Segurança documentada. Esta obrigação também se estende a qualquer organização externa contratada para apoiar ou acessar os Sistemas de Informação da ITW Delfast.
A ITW Delfast tomará as medidas apropriadas para remediar qualquer violação da política e de seus procedimentos e diretrizes associados por meio das estruturas relevantes em vigor. Por favor, revise a Seção 16 desta política em relação às consequências de uma violação para indivíduos, parceiros e organizações de terceiros.
15. Processo de exceção
Uma exceção às políticas de segurança da informação da ITW Delfast é permitida, mas deve exigir um protocolo para validar a exceção.
O procedimento a seguir definirá o processo para a revisão e aprovação de exceções à política e aos padrões de segurança da informação da ITW.
- A ITW Delfast ou a Liderança Divisional devem avaliar os riscos que a não conformidade causa nos sistemas de informação internos e nos processos de negócios.
- Se um risco for razoável, ele deve ser documentado e identificar a declaração de política contra a qual a exceção está sendo solicitada.
- Todas as exceções devem ser aprovadas pelo proprietário do ativo de informações ou pela autoridade delegada antes de solicitar uma avaliação.
- Todas as exceções devem ser revisadas e aprovadas anualmente.
16. Consequências da violação desta política
A inobservância das normas estabelecidas nesta política pode ser considerada grave e qualquer violação será tratada de acordo com a Política Disciplinar da ITW Delfast.
O não cumprimento por parte de contratados, funcionários temporários, parceiros ou organizações terceiras da Política de Segurança da Informação da ITW Delfast pode resultar na rescisão de contratos e conexões, suspensão de serviços e/ou levar a processos judiciais.
Anexo A – Emissão, Revisão e Alteração
Esta Política será disponibilizada a todos os colaboradores da ITW Delfast do Brasil Ltda através da Intranet/SharePoint e sua emissão notificada através de memorando interno e/ou outra forma apropriada de comunicação.
Uma Pessoa Nomeada deve rever esta Política pelo menos uma vez por ano para garantir que ela permaneça adequada para o propósito ou imediatamente se seu conteúdo for considerado inválido à luz de mudanças no Cliente, legislação ou requisitos de negócios da ITW Delfast do Brasil Ltda, estrutura, políticas, tecnologia, riscos aumentados e novas vulnerabilidades ou em resposta a incidentes de segurança.