Política Cibernética

Estas informações consistem em resumo da política de segurança cibernética do Grupo Lerosa Investimentos que deve ser divulgado ao público, em linhas gerais, conforme exigência regulatória. A referida política estabelece diretrizes que são adotadas pelo Grupo Lerosa para:

• Assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados, por meio de mecanismos e controles de segurança da informação e segurança cibernética.
  
• Garantir a proteção adequada das informações e dos sistemas de informação contra acessos indevidos e não autorizados.
  
• Garantir a gestão de incidentes de segurança para proteção, detecção, resposta e recuperação contra ataques cibernéticos.
  
• Garantir a adoção de controles para continuidade dos negócios.
  
• Garantir programas de conscientização, educação e capacitação pessoal.

Nesse sentido, destaca-se que o Grupo Lerosa dispõe de um conjunto de Políticas que estabelecem diretrizes relacionadas a governança, processos, procedimentos, controles, avaliações, testes, treinamentos e segurança cibernética.

• Segurança Cibernética: constitui-se da preservação das propriedades da informação, notadamente sua confidencialidade, integridade e disponibilidade, e do controle da informação, do monitoramento e do tratamento de incidentes provenientes de ataques cibernéticos.
  
• Risco Cibernético: refere-se aos potenciais resultados negativos associados a ataques cibernéticos, oriundos de malwares, técnicas de engenharia social, invasões, ataques de rede, fraudes, dentre outros, utilizados com o propósito de comprometer a confidencialidade, a integridade, a disponibilidade de dados ou de sistemas computacionais.
  
• Incidente: refere-se a qualquer evento que não faz parte da operação normal e que pode causar ou causa interrupção do serviço ou redução de sua qualidade.
  

O Grupo Lerosa estabeleceu um conjunto de medidas que visam reduzir a vulnerabilidade da Instituição a incidentes e atender aos demais objetivos de segurança cibernética, quais sejam:

• Adoção de procedimentos de autenticação e identificação de usuários, de modo a prevenir e/ou obstruir ações de qualquer natureza que possam comprometer recursos computacionais, redes corporativas, aplicações e sistemas de informação.
• Utilização de firewalls para proteção dos servidores de programas, dados e serviços contra softwares maliciosos.
• Utilização de criptografia e certificados digitais em sistemas de informação com dados sensíveis.
• Utilização da solução de antivírus Kaspersky para prevenção e combate a vírus nas estações de trabalho e servidores.
• Adoção de controles de acesso físico e lógico implementados em linha com a Política de Segurança da Informação.
• Aplicação de acordo formal de confidencialidade às empresas que têm acesso a informações confidenciais.
• Realização de cópias de segurança dos dados e das informações.

• Monitoramento diário do status de atualização da ferramenta e dos níveis de detecção e infecção de vírus.
• Realização periódica de testes e varreduras para detecção de vulnerabilidades.
• Adoção de trilhas de auditoria com identificação do usuário, data e horário de ocorrência do evento e o evento (inclusão, alteração, exclusão).
• Realização de testes para medir o nível de conscientização dos Colaboradores.

Em conformidade com a Política de Continuidade de Negócios e Recuperação de Desastres, após a identificação de ameaça ou ataque via internet, a Instituição deve executar os seguintes procedimentos:

• Agir imediatamente para interromper ou minimizar o incidente.
• Investigar o Incidente.
• Restaurar os recursos afetados.
• Reportar o incidente à alta Administração e aos órgãos competentes.
• Aprimorar os controles que visem eliminar a recorrência da falha cibernética.