Segurança
Segurança
Segurança da Informação, o elo mais forte da segurança
Padrões de segurança previamente identificados
Os dados dos clientes são, por definição, confidenciais e são regidos por regras de proteção que restringem o processamento e a transmissão ao único propósito para o qual os dados foram fornecidos de acordo com o contrato.
Um programa de consciencialização promove a segurança da informação entre os membros da equipa, estabelecendo uma cultura de segurança que os torna responsáveis. O programa reforça a segurança da informação, lembrando as pessoas da importância da aplicação de valores éticos e princípios de conduta, e das regras a serem seguidas e das sanções que podem ser incorridas. Um programa de formação em segurança oferece cursos para os colaboradores: Managers, Sales e Pre-Sales Officers, Developers, Administrators, CIOs, entre outros.
Os perímetros de segurança definem níveis de segurança que podem ser específicos e, dependendo dos riscos identificados, são particionados com medidas de segurança físicas e lógicas que ajudam a restringir o acesso, de acordo com as regras de liberação.
O acesso aos sistemas de informação é administrado de acordo com zonas físicas e lógicas. A gestão de acessos é baseado no princípio de “least privilege” e limitado ao estritamente necessário. As liberações são regularmente revistas, levando em consideração quem entrou, quem foi transferido e quem saiu da organização.
As necessidades de segurança e compliance são estudadas a partir do momento em que uma nova atividade é internamente implementada, ou em benefício dos clientes. A organização necessária pode então ser estabelecida para garantir a segurança na construção e execução da atividade.
As medidas de segurança são aplicadas de forma abrangente - para instalações, pessoas, redes e equipamentos de TI. As estações de trabalho são protegidas com uma ferramenta que mostra o nível de segurança de cada dispositivo e restringe o seu acesso às redes (solução NAC). Equipamentos e conexões utilizados para teletrabalho e trabalho móvel são protegidos através da Gestão de Dispositivos Móveis (MDM) e comunicações seguras através de virtual private networks (VPN). Todos os fluxos da rede são filtrados e monitorizados.
Esses serviços e produtos são protegidos pela integração de medidas nas aplicações, para garantir um nível de segurança de última geração. O principal objetivo dessas medidas é garantir a resiliência dos serviços, a integridade do processamento e a proteção dos dados. Os desenvolvimentos são feitos para proteger o software contra incidentes de segurança listados nos principais padrões, como OWASP.
A segurança operacional é garantida pela distribuição geográfica das instalações do Grupo, onde inúmeras atividades semelhantes permitem operar à distância. A redundância do sistema do cliente é baseada em requisitos contratuais definidos. Todas as medidas de continuidade são descritas em planos de continuidade de negócio (BCP) para cada local e projeto.
Para manter o nível de confiança esperado, as partes interessadas da Inetum mantêm-se informadas sobre as novas tecnologias e regulamentações. Publicações e alertas de CERTs e grupos de especialistas permitem que eles assim o façam.
Uma estrutura organizacional e procedimentos específicos garantem agilidade na identificação e resolução de incidentes. Estes são analisados a fim de definir ações para garantir a segurança. Os clientes são informados sobre os incidentes de segurança que os possam impactar, de acordo com as condições definidas no plano de garantia de segurança (SAP). Uma unidade de crise é ativada para lidar com incidentes de segurança críticos.
A governance de segurança da Inetum está em conformidade com o padrão ISO 27001, com base num processo de melhoria contínua em 3 níveis:
- Operações: em resposta a incidentes de segurança
- Processos de segurança: com um programa anual de auditoria interna
- Estratégia de segurança, com análises de gestão