DECLARAÇÃO DE INTENÇÕES
“As informações relacionadas com os nossos clientes, por princípio e essência, o objetivo de negócio de intermediação entre empresas e diferentes setores oferecendo soluções que cobrem todo o espetro na gestão de fornecedores, os processos de compra, a contratação e a tomada de decisões.
A consolidação e suporte da confiança que em nós depositaram os nossos clientes se baseia na adesão dos princípios fundamentais de segurança das informações e cumprimento estrito das políticas, normas e procedimentos que garantam uma segurança sistemática, adequada, eficaz e contínua.”
José Luis Ramiro Oter
Diretor da CONSTRURED, Construcciones y transacciones informáticas en la red, S.L.
PRINCÍPIOS DA ORGANIZAÇÃO RELATIVAMENTE À SEGURANÇA
Conciencialização: Os colaboradores e contratados devem estar conscientes da necessidade de contar com sistemas de informação e redes seguras, e que é o que podem fazer para promover e fortalecer a segurança.
Responsabilidade: Todos os colaboradores são responsáveis pela segurança dos sistemas de informação e redes.
Resposta: Os colaboradores agirão de forma oportuna e cooperativa para prevenir, detetar e responder a incidentes que afetem a segurança.
Ética: Os colaboradores respeitarão os interesses legítimos dos outros e seguirão o Código Ético da Construred.
Democracia: A segurança dos sistemas de informação e redes deve ser compatível com os valores essenciais de uma sociedade democrática
Avaliação do risco: Os colaboradores devem levar a cabo avaliações de risco nas suas áreas funcionais.
Design e implementação da segurança: A segurança das informações será gerida como um elemento essencial dos sistemas de informação e redes.
Administração: Os colaboradores devem adotar uma visão integral da administração de segurança.
Avaliação: Rever-se-á e reavaliar-se-á a segurança dos sistemas de informação e redes, implementando-se as modificações pertinentes nas políticas, práticas, medidas e procedimentos de segurança.
DIRETRIZES DE SEGURANÇA
- Assegurar o cumprimento da legislação, regulamentação e normativas aplicáveis, bem como todos os requisitos do SGSI.
- Cumprir com as necessidades e expetativas das partes interessadas envolvidas dentro do alcance do SGSI.
- Demonstrar liderança por parte da direção assegurando que a política de segurança das informações e seus objetivos são compatíveis com a direção estratégica da Construred.
- Avaliar, de forma contínua, o SGSI, a fim de o adequar às suas exigências, através de revisões contínuas, estabelecimento de indicadores de segurança, formação do pessoal, estabelecendo níveis de risco adequados e realizando auditorias.
- Analisar os riscos que podem afetar a segurança das informações para as atividades da Construred, de acordo com o apetite de risco e com as opções de tratamento aprovadas pela Direção.
- Definir metodologias de desenvolvimento seguro de aplicações informáticas de gestão, ou de plataformas tendo em conta os objetivos de segurança definidos pela organização, bem como as contramedidas que as análises de risco possam recomendar.
- Manter um plano de continuidade dos processos internos e da plataforma tecnológica de gestão do negócio para suportar qualquer desastre, sem prejuízos graves e duradouros para os nossos colaboradores, para os nossos clientes, para os nossos ativos de negócio e, definitivamente, para a nossa empresa apoiado num plano de testes que, com a periodicidade que se considere adequada verifique a operatividade dos procedimentos de recuperação e continuidade do negócio perante desastres.
OBJETIVOS GERAIS DE SEGURANÇA
Assim, com base na tipologia dos ativos de informação considerados mais críticos para o processo de negócio, dever-se-ão ter em conta estes critérios para enfrentar a gestão de contramedidas e ações de segurança relacionadas:
- DISPONIBILIDADE DAS INFORMAÇÕES: todas as informações relativas a clientes (tanto de construtoras, como de fornecedores associados) tratadas através da página web da empresa, deverão estar sempre, e na medida do possível, disponíveis, o que pressupõe a implementação de todas as medidas técnicas, tecnológicas e procedimentais que se considerem necessárias para garantir este objetivo e necessidades de negócio.
- INTEGRIDADE DAS INFORMAÇÕES: colocar-se-ão à disposição todos os meios possíveis para evitar perdas parciais e/ou totais dos ativos de informação, tanto os disponíveis na página web, como os suportados pela aplicação SICONDOC.
- CONFIDENCIALIDADE DAS INFORMAÇÕES: utilizar-se-ão todos os meios ao nosso alcance para impedir que se vulnerabilize a confidencialidade dos ativos de informações alojados no nosso sistema.
