EGEROBOT | Software Industrial e Soluções de Automação

Objetivo

A EGEROBOT considera as informações corporativas como um ativo extremamente valioso. As informações são de importância crítica para a sustentabilidade de nossas atividades comerciais e devem ser protegidas adequadamente.

A EGEROBOT visa minimizar os riscos que podem surgir em termos de Confidencialidade, Integridade e Disponibilidade das informações corporativas e os efeitos desses riscos implementando o padrão ISO 27001:2022 no âmbito do Sistema de Gestão de Segurança da Informação (SGSI).

Nosso objetivo primário é garantir a confiança das organizações e instituições que servimos e assegurar a segurança dos ativos de informação que utilizamos. Neste contexto, nossos relacionamentos com clientes, partes interessadas, instituições oficiais e fornecedores com quem cooperamos são extremamente valiosos.

Escopo

O Sistema de Gestão de Segurança da Informação da EGEROBOT abrange toda a organização, parceiros comerciais, fornecedores e relacionamentos com clientes. Esta política se aplica a todas as atividades de processamento de informações, incluindo ambientes físicos, sistemas digitais, infraestruturas em nuvem e ambientes de trabalho remoto.

Compromissos

Como EGEROBOT e nossos funcionários, a fim de eliminar e gerenciar todos os tipos de riscos para nossa continuidade de negócios, ativos de informação e dados pessoais;

1Documentar, certificar e melhorar continuamente nosso sistema de gestão de segurança da informação para atender aos requisitos do padrão ISO 27001:2022
2Garantir a confidencialidade, integridade e acessibilidade das informações pertencentes a clientes, parceiros comerciais, partes interessadas, fornecedores ou outras terceiras partes
3Garantir a conformidade com todas as regulamentações legais e contratos relacionados à segurança da informação
4Conduzir treinamentos para desenvolver competências técnicas e comportamentais a fim de aumentar a conscientização sobre segurança da informação
5Proteger a confidencialidade de dados críticos como objetivos estratégicos, fontes de suprimento, informações de clientes, partes interessadas, parceiros comerciais e funcionários e dados pessoais relacionados aos nossos serviços
6Criar ambientes físicos e eletrônicos apropriados para a segurança dos ativos de informação, garantir a continuidade e o controle da confidencialidade, integridade e acessibilidade dos ativos de informação
7Fornecer os planos necessários e a infraestrutura técnica para a garantia de continuidade de nossos serviços de tecnologia da informação
8Detectar situações contrárias à segurança da informação em tempo hábil e responder imediatamente
9Tomar as medidas especificadas na Lei de Proteção de Dados Pessoais nº 6698 e trabalhar em total conformidade com a Política de Proteção de Dados Pessoais
10Proteger todos os dados pessoais e ativos de informação de propriedade da EGEROBOT, garantir as condições de segurança da informação no âmbito de padrões nacionais-internacionais, leis e regulamentos, melhorar, desenvolver e revisar continuamente a segurança da informação gerenciando riscos existentes e potenciais

nos comprometemos.

Marco Legal e Normas

Esta política foi preparada em conformidade com as seguintes regulamentações nacionais e internacionais:

Normas Internacionais

ISO/IEC 27001:2022– Sistema de Gestão de Segurança da Informação

ISO/IEC 27002:2022– Controles de Segurança da Informação

ISO/IEC 27701:2019– Gestão de Informações de Privacidade

ISO 22301:2019– Sistema de Gestão de Continuidade de Negócios

Regulamentos da União Europeia

GDPR– Regulamento Geral de Proteção de Dados – UE 2016/679

Diretiva NIS2– Segurança de Redes e Sistemas de Informação

Legislação Turca

Lei nº 6698 KVKK– Lei de Proteção de Dados Pessoais

Lei nº 5651– Regulamentação de Publicações na Internet

Lei nº 5237 CPT– Crimes Cibernéticos (Artigos 243-246)

Lei nº 6102 CCT– Livros Comerciais e Obrigações de Retenção de Documentos

Princípios Fundamentais

A política de segurança da informação da EGEROBOT baseia-se nos seguintes princípios:

Confidencialidade

As informações são protegidas contra acesso não autorizado
Não podem ser divulgadas a pessoas não autorizadas intencionalmente ou por negligência
A classificação de dados e o controle de acesso são aplicados

Integridade

A precisão e consistência das informações são garantidas
Mecanismos de proteção contra alterações não autorizadas são aplicados
Registros de log e trilhas de auditoria são mantidos

Disponibilidade

O acesso oportuno às informações por usuários autorizados é garantido
Precauções são tomadas contra interrupções do sistema
Planos de continuidade de negócios são implementados

Segurança por Design

Os sistemas são desenvolvidos com foco em segurança desde a fase de design
O princípio de Privacidade por Design é adotado

Categorias de Ameaças Modernas e Medidas

Ransomware

Estratégias de backup regulares e isoladas
Criptografia de dados contra ataques de dupla extorsão
Sistemas de Detecção e Resposta de Endpoint (EDR)

Engenharia Social e Phishing

Treinamento de conscientização de funcionários
Protocolos de verificação contra ameaças de deepfake suportadas por IA
Filtros de segurança de e-mail e configuração SPF/DKIM/DMARC

Ameaças Persistentes Avançadas (APT)

Detecção de ameaças baseada em comportamento
Segmentação de rede
Arquitetura Zero Trust

Ataques à Cadeia de Suprimentos

Avaliação de risco de terceiros
Análise de componentes de software (SBOM)
Auditorias de segurança de fornecedores

Segurança IoT e OT

Isolamento de sistemas de controle industrial
Inventário de dispositivos IoT e atualizações de segurança
Monitoramento de tráfego de rede

Política de Segurança em Nuvem

Princípios Gerais

As certificações de segurança dos provedores de serviços em nuvem são verificadas
A arquitetura Zero Trust é aplicada
Os dados são criptografados em trânsito e em repouso

Controle de Acesso

A autenticação multifator (MFA) é obrigatória
O princípio do menor privilégio é aplicado
O controle de acesso baseado em funções (RBAC) é utilizado

Segurança de Configuração

Ferramentas de Gerenciamento de Postura de Segurança em Nuvem (CSPM) são utilizadas
Auditorias de configuração regulares são realizadas
A segurança da API é garantida

Política de Segurança para Trabalho Remoto

Segurança de Rede

O uso de VPN é obrigatório
Configuração segura de rede doméstica é recomendada
Dados sensíveis não são processados em redes Wi-Fi públicas

Segurança de Dispositivos

Dispositivos que acessam dados da empresa são criptografados
Antivírus atualizado e patches de segurança são obrigatórios
Gerenciamento de Dispositivos Móveis (MDM) é aplicado

Proteção de Dados

Dados sensíveis não são armazenados em dispositivos locais
Compartilhamento de arquivos baseado em nuvem é utilizado
Regras de compartilhamento e visualização de tela são aplicadas

Segurança de Terceiros e Fornecedores

Avaliação

Avaliações de segurança de fornecedores são conduzidas
Certificação ISO 27001 ou equivalente é exigida
Auditorias de segurança regulares são realizadas

Requisitos Contratuais

Acordos de não divulgação (NDA) são assinados
Acordos de processamento de dados (DPA) são celebrados
Obrigações de notificação de violação de segurança são definidas

Resposta a Incidentes e Gestão de Violações

Plano de Resposta a Incidentes

Procedimentos de detecção, classificação e escalonamento de incidentes
Monitoramento de segurança 24/7
Equipe de resposta a incidentes (CSIRT) definida

Notificação de Violação de Dados

• KVKK: Notificação à Autoridade de Proteção de Dados Pessoais 'o mais rápido possível'
• GDPR: Notificação à autoridade supervisora relevante dentro de 72 horas
• As pessoas afetadas são informadas

Pós-Incidente

Análise de causa raiz é realizada
Medidas de melhoria são implementadas
Lições aprendidas são documentadas

Continuidade de Negócios e Recuperação de Desastres

Plano de Continuidade de Negócios (BCP)

Processos de negócios críticos são identificados
Objetivos de Tempo de Recuperação (RTO) e Objetivos de Ponto de Recuperação (RPO) são definidos
Locais de trabalho alternativos são planejados

Recuperação de Desastres (DR)

Procedimentos regulares de backup e teste
Backup geograficamente distribuído
Exercícios anuais de recuperação de desastres

Ativos Protegidos

Informações de identidade e dados pessoais

Informações de clientes e parceiros comerciais

Pacotes de software e códigos-fonte

Servidores e infraestrutura de rede

Recursos em nuvem e bancos de dados

Direitos de propriedade intelectual

Segredos comerciais e informações comerciais

Políticas de Suporte

Política de Mesa Limpa e Tela Limpa

Política de Uso de E-mail

Política de Controle de Acesso

Política de Controles Criptográficos

Política de Gerenciamento de Senhas

Política de Uso de Dispositivos Móveis (BYOD)

Política de Uso de Mídias Sociais

Política de Classificação de Dados

Política de Backup e Recuperação

Política de Gerenciamento de Mudanças

Objetivos

1Identificar o valor dos ativos de informação através de avaliação de risco apropriada
2Compreender vulnerabilidades e ameaças potenciais
3Reduzir riscos a níveis aceitáveis
4Cumprir a legislação nacional (KVKK, 5651, CCT)
5Garantir conformidade com regulamentações internacionais (GDPR, ISO 27001:2022)
6Cumprir os termos contratuais dos clientes
7Cumprir procedimentos e instruções de controle
8Aumentar continuamente o nível de maturidade de segurança cibernética

Treinamento e Conscientização

Treinamento anual de segurança da informação é fornecido a todos os funcionários
Treinamento de orientação é obrigatório para novos contratados
Simulações de phishing e testes de conscientização são conduzidos
Treinamento especializado de segurança baseado em funções é organizado
Registros de treinamento são documentados

Responsabilidades

Alta Administração

Aprova e apoia esta política
Fornece os recursos necessários
Participa das reuniões de revisão anuais

Diretor de Segurança da Informação (CISO)

Coordena a implementação da política
Gerencia incidentes de segurança
Conduz avaliações de risco
Reporta à administração

Gerentes de Unidade

Garante a implementação da política em suas unidades
Reporta vulnerabilidades de segurança
Apoia a conscientização dos funcionários

Todos os Funcionários

Cumpre a política de segurança da informação
Reporta incidentes de segurança
Participa de treinamentos
Reporta situações suspeitas

Sanções

Qualquer ato intencional ou negligente que coloque em risco a segurança das informações pertencentes à EGEROBOT, seus clientes ou fornecedores:

Ação disciplinar
Rescisão do contrato de trabalho
Procedimentos legais (Lei nº 5237 CPT - Crimes Cibernéticos)
Pedidos de indenização

está sujeito a.

Melhoria Contínua (Ciclo PDCA)

A EGEROBOT aplica o ciclo Plan-Do-Check-Act (PDCA) para melhorar continuamente o sistema de gestão de segurança da informação:

Plan (Planejar)

Avaliação de riscos e determinação de objetivos de segurança
Criação de políticas e procedimentos
Planejamento de recursos

Do (Fazer)

Implementação de controles
Entrega de treinamentos
Documentação

Check (Verificar)

Auditorias internas
Medição de desempenho
Análise de incidentes e avaliação de tendências

Act (Agir)

Ações corretivas
Medidas preventivas
Recomendações de melhoria contínua

Revisão

Esta política:

É revisada pelo menos uma vez por ano
É revisada para mudanças significativas, incidentes de segurança ou atualizações regulatórias
É avaliada nas reuniões de Revisão de Gestão (RG)

Contato

Entre em contato conosco para dúvidas sobre segurança da informação ou para reportar incidentes.

Página de Contato

Este documento faz parte do Sistema de Gestão de Segurança da Informação da EGEROBOT.

Segurança da Informação Política