Panorama
As principais cotações no Brasil e no Mundo.

#ExploreSeusHorizontes

Top

Política Cibernética

Introdução

Estas informações consistem em resumo da política de segurança cibernética do Grupo Lerosa Investimentos que deve ser divulgado ao público, em linhas gerais, conforme exigência regulatória. A referida política estabelece diretrizes que são adotadas pelo Grupo Lerosa para:

  • Assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados, por meio de mecanismos e controles de segurança da informação e segurança cibernética.
  • Garantir a proteção adequada das informações e dos sistemas de informação contra acessos indevidos e não autorizados.
  • Garantir a gestão de incidentes de segurança para proteção, detecção, resposta e recuperação contra ataques cibernéticos.
  • Garantir a adoção de controles para continuidade dos negócios.
  • Garantir programas de conscientização, educação e capacitação pessoal.

Nesse sentido, destaca-se que o Grupo Lerosa dispõe de um conjunto de Políticas que estabelecem diretrizes relacionadas a governança, processos, procedimentos, controles, avaliações, testes, treinamentos e segurança cibernética.

Terminologia
  • Segurança Cibernética: constitui-se da preservação das propriedades da informação, notadamente sua confidencialidade, integridade e disponibilidade, e do controle da informação, do monitoramento e do tratamento de incidentes provenientes de ataques cibernéticos.
  • Risco Cibernético: refere-se aos potenciais resultados negativos associados a ataques cibernéticos, oriundos de malwares, técnicas de engenharia social, invasões, ataques de rede, fraudes, dentre outros, utilizados com o propósito de comprometer a confidencialidade, a integridade, a disponibilidade de dados ou de sistemas computacionais.
  • Incidente: refere-se a qualquer evento que não faz parte da operação normal e que pode causar ou causa interrupção do serviço ou redução de sua qualidade.
Controles de Prevenção e Proteção

O Grupo Lerosa estabeleceu um conjunto de medidas que visam reduzir a vulnerabilidade da Instituição a incidentes e atender aos demais objetivos de segurança cibernética, quais sejam:

  • Adoção de procedimentos de autenticação e identificação de usuários, de modo a prevenir e/ou obstruir ações de qualquer natureza que possam comprometer recursos computacionais, redes corporativas, aplicações e sistemas de informação.
  • Utilização de firewalls para proteção dos servidores de programas, dados e serviços contra softwares maliciosos.
  • Utilização de criptografia e certificados digitais em sistemas de informação com dados sensíveis.
  • Utilização da solução de antivírus Kaspersky para prevenção e combate a vírus nas estações de trabalho e servidores.
  • Adoção de controles de acesso físico e lógico implementados em linha com a Política de Segurança da Informação.
  • Aplicação de acordo formal de confidencialidade às empresas que têm acesso a informações confidenciais.
  • Realização de cópias de segurança dos dados e das informações.
Monitoramento e Testes de Segurança da Informação
  • Monitoramento diário do status de atualização da ferramenta e dos níveis de detecção e infecção de vírus.
  • Realização periódica de testes e varreduras para detecção de vulnerabilidades.
  • Adoção de trilhas de auditoria com identificação do usuário, data e horário de ocorrência do evento e o evento (inclusão, alteração, exclusão).
  • Realização de testes para medir o nível de conscientização dos Colaboradores.
Plano de Respostas a Incidentes Cibernéticos

Em conformidade com a Política de Continuidade de Negócios e Recuperação de Desastres, após a identificação de ameaça ou ataque via internet, a Instituição deve executar os seguintes procedimentos:

  • Agir imediatamente para interromper ou minimizar o incidente.
  • Investigar o Incidente.
  • Restaurar os recursos afetados.
  • Reportar o incidente à alta Administração e aos órgãos competentes.
  • Aprimorar os controles que visem eliminar a recorrência da falha cibernética.