Segurança

Segurança da Informação, o elo mais forte da segurança

Na Inetum, a Segurança da Informação é um eixo central para aumentar e perpetuar a confiança dos nossos clientes. É por isso que nos comprometemos a garantir a segurança dos dados, serviços e aplicações dos nossos clientes, ao mesmo tempo que zelamos pelo cumprimento e níveis de compliance dos sistemas de informação, o nosso e o dos nossos clientes. A concretização dos nossos compromissos assenta num sistema ágil e eficiente de gestão da segurança que, com os nossos colaboradores devidamente formados e conscientes, permite-nos uma grande capacidade de resposta aos incidentes de segurança. 

Sob a responsabilidade do departamento de segurança, o Grupo garante a implementação consistente das medidas de segurança a todos os níveis. A segurança é assim implementada nas entidades de produção, com gestores de segurança para as principais linhas de negócio e correspondentes locais. Um correspondente de segurança é nomeado sistematicamente para cada projeto. A aplicação dos níveis de segurança também envolve a integridade dos nossos subcontratados, que estão contratualmente vinculados a cláusulas de confidencialidade e segurança. Os seus serviços são rigorosamente controlados de acordo com as necessidades do cliente. 

Padrões de segurança previamente identificados

Os dados dos clientes são, por definição, confidenciais e são regidos por regras de proteção que restringem o processamento e a transmissão ao único propósito para o qual os dados foram fornecidos de acordo com o contrato. 

Um programa de consciencialização promove a segurança da informação entre os membros da equipa, estabelecendo uma cultura de segurança que os torna responsáveis. O programa reforça a segurança da informação, lembrando as pessoas da importância da aplicação de valores éticos e princípios de conduta, e das regras a serem seguidas e das sanções que podem ser incorridas. Um programa de formação em segurança oferece cursos para os colaboradores: Managers, Sales Pre-Sales Officers, Developers, Administrators, CIOs, entre outros. 

Os perímetros de segurança definem níveis de segurança que podem ser específicos e, dependendo dos riscos identificados, são particionados com medidas de segurança físicas e lógicas que ajudam a restringir o acesso, de acordo com as regras de liberação.

O acesso aos sistemas de informação é administrado de acordo com zonas físicas e lógicas. A gestão de acessos é baseado no princípio de “least privilege” e limitado ao estritamente necessário. As liberações são regularmente revistas, levando em consideração quem entrou, quem foi transferido e quem saiu da organização.  

As necessidades de segurança e compliance são estudadas a partir do momento em que uma nova atividade é internamente implementada, ou em benefício dos clientes. A organização necessária pode então ser estabelecida para garantir a segurança na construção e execução da atividade. 

As medidas de segurança são aplicadas de forma abrangente - para instalações, pessoas, redes e equipamentos de TI. As estações de trabalho são protegidas com uma ferramenta que mostra o nível de segurança de cada dispositivo e restringe o seu acesso às redes (solução NAC). Equipamentos e conexões utilizados para teletrabalho e trabalho móvel são protegidos através da Gestão de Dispositivos Móveis (MDM) e comunicações seguras através de virtual private networks (VPN). Todos os fluxos da rede são filtrados e monitorizados. 

Esses serviços e produtos são protegidos pela integração de medidas nas aplicações, para garantir um nível de segurança de última geração. O principal objetivo dessas medidas é garantir a resiliência dos serviços, a integridade do processamento e a proteção dos dados. Os desenvolvimentos são feitos para proteger o software contra incidentes de segurança listados nos principais padrões, como OWASP. 

A segurança operacional é garantida pela distribuição geográfica das instalações do Grupo, onde inúmeras atividades semelhantes permitem operar à distância. A redundância do sistema do cliente é baseada em requisitos contratuais definidos. Todas as medidas de continuidade são descritas em planos de continuidade de negócio (BCP) para cada local e projeto. 

Para manter o nível de confiança esperado, as partes interessadas da Inetum mantêm-se informadas sobre as novas tecnologias e regulamentações. Publicações e alertas de CERTs e grupos de especialistas permitem que eles assim o façam.  

Uma estrutura organizacional e procedimentos específicos garantem agilidade na identificação e resolução de incidentes. Estes são analisados a fim de definir ações para garantir a segurança. Os clientes são informados sobre os incidentes de segurança que os possam impactar, de acordo com as condições definidas no plano de garantia de segurança (SAP). Uma unidade de crise é ativada para lidar com incidentes de segurança críticos. 

A governance de segurança da Inetum está em conformidade com o padrão ISO 27001, com base num processo de melhoria contínua em 3 níveis:

  • Operações: em resposta a incidentes de segurança
  • Processos de segurança: com um programa anual de auditoria interna
  • Estratégia de segurança, com análises de gestão

Zonas de confiança personalizadas para os clientes

Para cumprir as obrigações de segurança exigidas por organizações específicas na prestação dos serviços, a Inetum estabelece um perímetro de compliance. De acordo com o cliente, esta zona de confiança é composta pelas seguintes garantias:  

  • Estabelecer uma estrutura de requisitos de segurança que se aplicam ao perímetro
  • Qualquer derrogação deve ser aprovada pelo cliente
  • Nomear um responsável pelo perímetro de compliance do Inetum
  • Manter o registo para garantir a rastreabilidade
  • Reforçar as regras de segurança física e lógica, de acordo com os requisitos definidos. Por exemplo: instalações dedicadas, estações de trabalho codificadas, autenticação forte, portas USB bloqueadas, vigilância dos servidores, etc.
  • Sensibilizar gestores e colaboradores, nomeadamente no que diz respeito aos requisitos de segurança do perímetro
  • Inscrever regularmente os colaboradores em programas de formação de segurança que lhes dizem respeito
  • Produzir indicadores de compliance dos requisitos e, especificamente, da gestão da segurança para prestadores de serviços externos