Missão e Objetivos da SATEC em matéria de Segurança da Informação
A Direção da Grupo SATEC e Teresa Taubmann Urquijo, Diretora-Geral da Grupo SATEC, em seu nome, está ciente da importância para a Entidade de um tratamento adequado da informação para alcançar um nível ótimo de qualidade, segurança, disponibilidade e continuidade nos serviços prestados aos seus clientes. A Grupo SATEC suporta, em grande medida, a sua linha de mercado para os clientes, na implementação e desenvolvimento de infraestruturas e serviços para os sistemas de informação e telecomunicações.
Para a Grupo SATEC, um incidente de segurança implica claramente danos materiais, tais como, uma perda de informação, de disponibilidade do serviço, ou implicações legais, bem como um dano considerável à imagem da empresa. Tal faz da segurança um fator imprescindível para o bom desempenho da organização.
Objetivos da política de Segurança da Informação
A Grupo SATEC tem os seguintes objetivos em matéria de segurança da informação:
- Assegurar a confidencialidade da informação tratada pela Grupo SATEC.
- Proteger a integridade da informação em todos os campos do seu tratamento no âmbito dos serviços prestados.
- Assegurar a disponibilidade dos sistemas de informação que suportam os serviços prestados aos seus clientes.
- Verificar e assegurar a autenticidade dos emissores e recetores da informação.
- Garantir a rastreabilidade e o acompanhamento das atividades e a informação no âmbito da prestação dos serviços.
- Gerir a segurança da informação durante todo o ciclo de vida do serviço.
- Assegurar a realização de análises de riscos para avaliar os riscos existentes e selecionar as medidas de segurança necessárias mantendo um equilíbrio adequado entre custo e benefício.
- Aplicar medidas de segurança com foco na prevenção de possíveis incidentes, erros ou ataques deliberados.
- Estabelecer uma gestão eficaz de eventos e incidentes de segurança para minimizar o impacto ou qualquer consequência derivada dos mesmos e reagir atempada e adequadamente aos requisitos contratuais e legais, assegurando a disponibilidade e continuidade do serviço prestado. Serão estabelecidos os procedimentos relativos à adequada prevenção, detenção, resposta e recuperação perante qualquer incidente de segurança.
- Proteger a informação perante acessos não autorizados, bem como implementar as medidas técnicas necessárias para assegurar as linhas de defensa exigíveis.
- Promover a sensibilização e formação dos trabalhadores em matéria de segurança da informação.
- Assegurar a melhoria contínua através das revisões periódicas estabelecidas, que consistem na monitorização, auditoria e acompanhamento dos planos de melhoria.
Legislação aplicável
- Lei 34/2002, de 11 de julho, sobre os Serviços da Sociedade da Informação e Comércio Eletrónico (LSSI-CE). (BOE 166 de 12-07-2002).
- Lei Orgânica 3/2018, de 5 de dezembro, sobre a Proteção de Dados Pessoais e garantia dos direitos digitais (BOE 294 de 06-12-2018).
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, RGPD.
- Decreto Real 951/2015, de 23 de outubro, de alteração do Decreto Real 3/2010, de 8 de janeiro, que regulamenta a Estratégia Nacional de Segurança no âmbito da Administração Eletrónica.
- Decreto Legislativo Real 1/1996, de 12 de abril, que aprova o texto consolidado da Lei da Propriedade Intelectual (LPI), regularizando, esclarecendo e harmonizando as disposições em vigor sobre a matéria (BOE 97 de 22-04-1996).
- Decreto Real 281/2003 de 7 de março, que aprova o Regulamento do Registo Central da Propriedade Intelectual (BOE 75 28-03-03). De aplicação geral para o registo da propriedade intelectual (faz parte do Decreto Legislativo Real 1/1996, de 12 de abril).
- Lei Orgânica 10/1995, de 23 de novembro, Código Penal, na redação datada de 19/10/2015. Artigo 31 bis e seguintes.
- Lei 23/2006, de 7 de julho, que altera o texto consolidado da Lei da Propriedade Intelectual, aprovado pelo Decreto Legislativo Real 1/1996, de 12 de abril (LPI) (BOE 162 de 08-07-2006).
- Lei 25/2013, de promoção da Fatura eletrónica e criação do registo contabilístico de faturas no Setor Público, e seu desenvolvimento (BOE 311 de 28-12-2013). É aplicável aos serviços prestados à Administração Pública.
- Lei 17/2001, de 7 de dezembro, sobre Marcas (BOE 294 de 08-12-2001). É aplicável a toda a proteção dos sinais distintivos, marcas, nomes comerciais da SATEC.
- Lei 24/2015, de 24 de julho, sobre Patentes (BOE 177 de 25-07-2015). É aplicável à proteção das invenções industriais.
Organização da Segurança
Coordenação da segurança da informação:
Responsável pela informação
O Responsável pela informação é o responsável, dentro da sua área de atuação, por:
- Determinar as necessidades e requisitos de segurança da informação tratada.
- Zelar pelo uso adequado da informação e a proteção da mesma.
Este não poderá delegar a aprovação dos níveis de segurança da informação.
Serão designados pela Direção-Geral em função da natureza da informação.
Responsável pelo serviço
O Responsável pelo serviço é o responsável, dentro da sua área de atuação, por:
- Determinar os requisitos de segurança do serviço prestado.
- Incluir as especificações de segurança no ciclo de vida dos serviços e sistemas, juntamente com os mecanismos de controlo correspondentes.
- Assegurar que os processos e as políticas são aplicados.
Este não poderá delegar a aprovação dos níveis de segurança do serviço.
Serão designados pela Direção-Geral em função da natureza dos serviços.
Responsável pelo sistema de gestão da segurança
Na Grupo SATEC temos um responsável pelo sistema de gestão da segurança (Responsável pelo SGSI) sendo responsável pelo controlo e coordenação em matéria de segurança, por vigiar o cumprimento e a adequação das medidas de segurança existentes, além de propor e estabelecer melhorias sobre a adequação à política de segurança, normas e procedimentos existentes, tendo por base as melhorias, políticas, normas e procedimentos estabelecidos no Sistema de Gestão geral.
No desempenho da sua atividade, o mesmo apoia-se:
- Num responsável técnico de segurança em cada delegação, o qual identificará, analisará e solucionará qualquer questão técnica relacionada com a Segurança.
- Num responsável pela segurança física, dependente dos Serviços Gerais.
- Nos Responsáveis pelo serviço.
- Nos Responsáveis pela informação.
- Nos Responsáveis pelo sistema.
- Num Comité de Gestão da Segurança, o qual terá a autoridade suficiente para tomar decisões a nível organizativo e que permitam garantir a segurança. Este Comité está integrado no Comité do SGSIT. O comité é constituído, nomeadamente, pelo menos por:
- Responsável pela Segurança
- Responsável Técnico de Segurança
- Responsável pelos Serviços (o qual representa também os responsáveis pela informação)
As principais funções do Responsável pela Segurança consistem em:
- Recomendar ações de melhoria, preventivas e/ou corretivas para solucionar os problemas detetados e informar o Responsável pelo SG para a sua gestão.
- Assegurar a implementação das ações decididas relativamente a melhorias, objetivos, ações corretivas e preventivas, vulnerabilidades detetadas e vigiar a boa conclusão das ações.
- Estabelecer a gestão dos incidentes de segurança.
- Estabelecer e manter contactos com os recursos ou fontes externas no tema da segurança.
- Avaliar as alterações dos ativos e estruturas base, analisando as suas implicações na segurança, com a ajuda do Responsável Técnico de Segurança.
- Criar a estrutura documental do SGSI da Área de serviços da Grupo SATEC.
- Assegurar a implementação do SGSI na Grupo SATEC e a sua manutenção ao longo do tempo, em colaboração com o Responsável pelo SG.
- Dispor da informação sobre o nível de desempenho do SGCI na Área de serviços da Grupo SATEC e fazer propostas de melhoria a partir de:
- Não conformidades
- Ações Corretivas
- Resultados da análise de risco
- Auditorias Internas
- Incidentes de segurança
- Sugestões
- Indicadores
- Registar as necessidades de melhoria do SGSI, designar o responsável pela solução e fazer o acompanhamento.
- Fechar ações Corretivas e Preventivas do SGSI, em coordenação com o Responsável pelo SG.
- Registar o estado das ações Corretivas e Preventivas do SGSI.
- Rever e controlar a análise de riscos e a sua gestão.
- Assegurar a correta gestão de recursos, em coordenação com a Direção, no que se refere ao SGSI da Área de serviços da Grupo SATEC.
- Assegurar a segurança da infraestrutura necessária ao funcionamento dos serviços de TI da Área de serviços da Grupo SATEC e os acessos físicos.
- Dispor de informação sobre a gestão de comunicações e operação de equipamentos e sistemas necessários para o funcionamento dos serviços TI da Área de serviços da Grupo SATEC.
- Estar informado sobre tudo o que estiver relacionado com a gestão de acessos a sistemas da Área de serviços da Grupo SATEC.
- Dispor de informação e participar na compra, no desenvolvimento e na manutenção dos sistemas da Área de serviços da Grupo SATEC.
- Estabelecer os mecanismos adequados para a gestão de incidentes de segurança na Área de serviços da Grupo SATEC.
- Definir procedimentos e planos para assegurar a continuidade dos negócios da Área de serviços da Grupo SATEC.
- Assegurar a conformidade técnica e legal do SGSI da Área de serviços da Grupo SATEC.
- Convocar as reuniões do Comité Operacional de segurança sempre que seja necessária a sua análise e conhecimentos para qualquer tarefa relacionada com a segurança.
Responsável pelo sistema
O responsável pelo sistema é o responsável pela operação do sistema de informação, tendo em consideração as medidas de segurança determinadas pelo Responsável pela segurança juntamente com o Responsável Técnico de Segurança.
As funções principais do Responsável pelo Sistema consistem em:
- Desenvolver, operar e manter o sistema de informação durante todo o seu ciclo de vida; desde a definição das especificações até à implementação e à verificação do seu correto funcionamento.
- Definir a topologia e a gestão do sistema; para tal, definirá os critérios de utilização e os serviços no sistema de informação.
- Assegurar-se, juntamente com o Responsável pela segurança e o Responsável Técnico de Segurança, que as medidas de segurança se integram adequadamente no quadro corporativo de segurança.
Comité de Gestão da Segurança
As suas funções principais são:
- Reportar ao Comité de Gestão, à Direção e ao Comité de Direção sempre que for oportuno.
- Elaborar a Política de Segurança da Grupo SATEC e normas de segurança.
- Elaborar Procedimentos de segurança.
- Informar a Direção sobre a gestão da segurança da informação.
- Estabelecer os critérios de aceitação de riscos e aprovar previamente as estratégias de mitigação de riscos, a ser aprovadas pela Direção de Serviços.
- Coordenar análises de riscos, planos de contingência e prevenção de desastres.
- Desenvolver objetivos e estratégias de segurança de médio e longo prazo.
- Elaborar anualmente um plano de gestão em segurança, indicando os recursos correspondentes para submete-lo à aprovação da Direção.
- Acompanhamento das decisões da última reunião de Revisão pela Direção do SGSI da Área de serviços da Grupo SATEC.
- Análise das Auditorias Internas realizadas.
- Análise do estado das Ações Preventivas e Ações Corretivas, verificando se estas são tomadas atempadamente.
- Análise da evolução e cumprimento dos objetivos de segurança.
- Assegurar a comunicação, a todo o pessoal, da importância de conhecer os objetivos de segurança em conformidade com as normas de segurança e as suas responsabilidades.
- Análise do cumprimento das normas e procedimentos de segurança do SGSI e da sua vigência. É analisada a necessidade de modificações ou a prossecução dos objetivos pretendidos.
- Rever as conclusões da revisão do SGSI e as ações corretivas e/ou preventivas que sejam necessárias para solucionar as necessidades de melhoria encontradas, determinando os responsáveis pela execução e as datas para a sua realização.
Procedimento de designação de responsabilidades
Será responsabilidade da Direção de Serviços atribuir as responsabilidades em matéria de segurança dentro da Área de Serviços e elaborar a lista das pessoas proprietárias da informação, bem como das pessoas autorizadas a designar recursos e permissões.
Formação e Sensibilização
A Direção da Grupo SATEC compromete-se a facultar os recursos necessários, para a adequada formação e sensibilização em matéria de segurança a todos os trabalhadores da Grupo SATEC, em conformidade com as funções e responsabilidades que tenham relativamente a esta matéria.
Também zelará pela atualização dos conhecimentos necessários dos responsáveis pela segurança, pela informação e pelos sistemas de segurança.
Gestão de Riscos
Todos os sistemas de informação e elementos necessários para a prestação dos serviços sujeitos a esta Política devem ser objeto de uma análise de riscos, avaliando as ameaças e os riscos a que estão expostos.
Esta análise de risco deve ser realizada com a seguinte frequência:
- pelo menos uma vez por ano
em caso de alterações na informação tratada
- em caso de alterações nos serviços prestados ou no âmbito de aplicação do Sistema de Segurança da Informação
- sempre que ocorra um incidente de segurança grave
- sempre que forem reportadas vulnerabilidades graves
Para a rastreabilidade das análises de riscos, o Comité de Segurança estabelecerá uma avaliação de referência para os diferentes tipos de informação tratada e os diferentes serviços prestados. A Direção de Serviços assegurará a disponibilidade de recursos para responder às necessidades de segurança dos diferentes sistemas, em função do custo/benefício.
Dados Pessoais
A Direção da Grupo SATEC está consciente da atual importância de um adequado tratamento da informação para atingir um nível ótimo de serviço ao cliente. Nomeadamente, existem dados necessários para o desenvolvimento do negócio da Grupo SATEC que cabem na definição legal de dados pessoais, pelo que, deve empregar-se especial cuidado na recolha, tratamento, retificação e apagamento desses dados.
O registo das atividades de tratamento ao qual apenas terão acesso as pessoas autorizadas, recolhe os ficheiros afetados e os respetivos responsáveis. Todos os sistemas de informação da Grupo SATEC serão ajustados aos níveis de segurança em função da classificação da informação e exigências das normas aplicáveis à natureza e finalidade dos dados pessoais recolhidos no mencionado registo de tratamento de dados pessoais.
Terceiros
Caso a Grupo SATEC preste serviços a outras entidades ou trate dados e informação de outras organizações, comunicar-lhes-á e envolvê-los-á nesta Política de Segurança, estabelecendo os canais de comunicação necessários, bem como a definição dos processos de atuação perante desastres ou incidentes de segurança.
Igualmente, nos casos em que a Grupo SATEC precise de serviços de terceiros ou faculte informação, comunicar-lhes-á os requisitos aplicáveis e contemplados nesta Política e nos procedimentos e políticas que se desenvolvam, ficando os terceiros sujeitos às obrigações estabelecidas nesta norma. Em qualquer caso, deve ser assegurado o conhecimento e a sensibilização do pessoal que possa estar envolvido na prestação de serviço.
Obrigações do pessoal
A Direção da Grupo SATEC quer deixar menção expressa do seu conhecimento e da sua aprovação da política, bem como de tudo o relacionado com a mesma, para que o pessoal a conheça e assuma como uma parte das suas funções laborais.
Desenvolvimento e Revisão da política
Esta política é desenvolvida no Manual de Políticas do SGSI, bem como nos diferentes procedimentos de segurança estabelecidos pela Grupo SATEC.
A adequabilidade desta política será revista, pelo menos, uma vez por ano, como parte da Revisão pela Direção.