FALE COM NOSSOS ESPECIALISTAS
FAÇA SUA SIMULAÇÃO

Política de Segurança Cibernética

Navegação Rápida

1. Objetivo 2. Público-Alvo 3. Definições e Terminologia 4. Governança de Segurança 5. Diretrizes de Segurança 6. Classificação e Proteção 7. Gestão de Riscos 8. Controles de Segurança 9. Política de Atualizações 10. Dispositivos Móveis 11. Gestão de Terceiros 12. Capacitação 13. Monitoramento 14. Continuidade 15. Compliance e LGPD 16. Penalidades 17. Revisão e Melhoria 18. Aprovação

1. OBJETIVO

Esta Política de Segurança Cibernética tem como finalidade estabelecer diretrizes e controles para garantir a integridade, confidencialidade e disponibilidade dos ativos de informação, bem como orientar a implementação de procedimentos e controles para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético das empresas:

MIGRATIO GESTÃO E COMERCIALIZAÇÃO DE ENERGIA ELÉTRICA LTDA., pessoa jurídica de direito privado, inscrita no CNPJ/MF sob o n° 15.458.171/0001-36, com sede à rua Senador Vergueiro, nº 995, 2º andar, conjuntos 24 e 25, Centro, Limeira/SP, CEP 13.480-001, e MIGRATIO CONSULTORIA LTDA., pessoa jurídica de direito privado, inscrita no CNPJ/MF sob o n° 16.829.607/0001-19, com sede à rua Senador Vergueiro, nº 995, 2º andar, conjunto 26, Centro, Limeira/SP, CEP 13.480-001.

2. PÚBLICO-ALVO

Esta política aplica-se a todos os sócios, administradores, diretores e demais colaboradores das empresas, clientes, parceiros e prestadores de serviços a terceiros que tenham acesso aos dados das empresas ou aos sistemas informatizados por elas utilizados.

3. DEFINIÇÕES E TERMINOLOGIA

Ativo de informação:

Qualquer recurso que contenha ou suporte informações que tenham valor estratégico, operacional, legal ou comercial para a organização. Isso inclui, mas não se limita a documentos físicos, arquivos digitais, sistemas, redes, bancos de dados, equipamentos e conhecimento humano.

Incidente de segurança:

Evento real ou potencial que comprometa, direta ou indiretamente, a confidencialidade, integridade ou disponibilidade das informações. Exemplos incluem acessos não autorizados, perda de dados, falhas em sistemas críticos, vazamentos de informações e ataques cibernéticos.

Dados sensíveis:

Categoria de dados pessoais definidos pela LGPD que, se expostos ou tratados de forma inadequada, podem causar danos significativos ao titular. Incluem dados sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos, biométricos e informações de crianças e adolescentes.

ISO/IEC 27000:

Conjunto de padrões internacionais para gestão da segurança da informação.

ISO/IEC 27001:

Padrão internacional para a gestão da segurança da informação (ISMS), fornecendo uma estrutura para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação em uma organização.

ISO/IEC 27005:

Norma internacional que fornece diretrizes para a gestão de riscos de segurança da informação.

LGPD:

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que estabelece diretrizes sobre o tratamento de dados pessoais no Brasil, com foco na proteção da privacidade, segurança e liberdade dos titulares.

NIST:

Agência americana não reguladora que promove a inovação por meio do avanço da ciência, padrões e tecnologia de medição.

Usuário:

Pessoa física autorizada a acessar, manusear ou operar ativos de informação da organização, incluindo colaboradores, prestadores de serviço e terceiros com acesso concedido de forma controlada e auditável.

4. GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO

A estrutura de governança em segurança da informação visa garantir o alinhamento entre as diretrizes da organização e a execução eficaz de práticas de segurança cibernética. O modelo adota uma abordagem descentralizada, com papéis e responsabilidades bem definidos.

Oficial de Segurança da Informação (OSI):

Gabriele Mometti é a profissional responsável por coordenar e supervisionar as ações de segurança da informação, garantindo a implementação das políticas, resposta a incidentes, conformidade legal e alinhamento estratégico com os objetivos da organização.

Comitês Internos TI e Jurídico:

São instâncias multidisciplinares encarregadas de revisar, aprimorar e validar esta política de segurança. Atuam também na identificação de ameaças emergentes, mudanças regulatórias e no alinhamento da segurança da informação com aspectos legais e técnicos.

4.1. Fluxo de Responsabilidade

Devido ao porte, o perfil de risco e o modelo de operação, as seguintes responsabilidades são estabelecidas:

  • Aprovação da Diretoria: Aprovar e revisar a política periodicamente, de acordo com o prazo indicado na Cláusula 16.
  • Aprovação de acessos: Cada gestor de departamento é responsável por validar e aprovar os acessos de seus colaboradores com base nas funções desempenhadas e na necessidade de acesso à informação.
  • Monitoramento e auditoria: Conduzidos pelo OSI e equipe técnica, incluindo revisão de logs, verificação de conformidade e análise de atividades suspeitas.
  • Resposta a incidentes: Equipes multidisciplinares são mobilizadas com base na criticidade do incidente, envolvendo TI, jurídico, compliance e os gestores das áreas impactadas.

5. DIRETRIZES DE SEGURANÇA CIBERNÉTICA

Esta política define as diretrizes gerais a seguir:

  • Atender às leis e normas que regulamentam as atividades da empresa;
  • Assegurar a proteção das informações contra acessos, modificações, destruições ou divulgações não autorizadas;
  • Assegurar que as informações sejam acessadas e utilizadas somente para as finalidades para as quais foram coletadas;
  • Assegurar a adequada classificação dos dados e das informações relevante para a operação da empresa;
  • Estabelecer procedimentos e controles de segurança da informação para a prevenção, detecção e redução de riscos cibernéticos;
  • Disseminar a cultura de segurança cibernética por meio de comunicados, conscientização e Uso Responsável de Recursos dos colaboradores.

6. CLASSIFICAÇÃO E PROTEÇÃO DE DADOS

Todas as informações da organização devem ser classificadas conforme seu nível de criticidade e sensibilidade, o que orientará as medidas de segurança apropriadas para seu armazenamento, manipulação e descarte.

Públicos

Informações destinadas à divulgação externa, que não oferecem risco à organização se tornadas públicas.

Internos

Dados de uso restrito aos colaboradores da organização e que não devem ser compartilhados com terceiros sem autorização.

Confidenciais

Informações estratégicas ou operacionais que podem causar impacto financeiro ou de imagem se expostas

Restritos

Informações altamente sensíveis, com acesso exclusivo a grupos autorizados mediante autenticação forte e monitoramento contínuo.

Medidas de proteção incluem:

  • Criptografia de dados sensíveis em repouso e em trânsito;
  • Controle de acesso baseado em privilégios mínimos;
  • Logs de acesso com auditoria periódica;
  • Eliminação segura com ferramentas apropriadas de sobrescrita ou destruição física de mídias.

6.1. Cenários de incidentes

A empresa atua na definição de cenários relacionados à continuidade dos negócios, contemplando possíveis incidentes que possam comprometer a confiabilidade, integridade, disponibilidade, segurança ou sigilo dos dados e sistemas de informação, considerando diferentes situações de indisponibilidade de recursos.

7. GESTÃO DE RISCOS

A organização adota uma abordagem proativa e contínua na identificação, avaliação e mitigação de riscos cibernéticos, utilizando metodologias reconhecidas no mercado, como ISO 27005 e NIST.

  • Avaliações periódicas de risco: Serão realizadas ao menos anualmente ou após mudanças significativas na infraestrutura ou nos processos de negócio.
  • Planos de mitigação: Desenvolvidos para reduzir riscos inaceitáveis com base em sua probabilidade de ocorrência e impacto potencial.

7.1. Cenários de incidentes

  • Senhas armazenadas de forma segura em uma pasta restrita no OneDrive, acessível apenas pelo Grupo de Segurança da Comissão de TI.
  • Proteção adicional aplicada ao arquivo contendo as senhas.
  • Permissões restritas à Comissão de TI, com acesso em modo somente leitura.
  • Política de exclusão imediata de contas inativas.
  • Backup dos dados e das informações: Mantido em nuvem com a devida segurança.

8. CONTROLES DE SEGURANÇA

A organização adota uma arquitetura de defesa em camadas para proteger seus ativos.

  • Firewall corporativo (BluePex): Inspeção de tráfego, prevenção contra intrusões e bloqueio de conexões maliciosas.
  • VPN Segura: Acesso remoto à rede corporativa exclusivamente via VPN com autenticação multifator.

    • Outros controles incluem segmentação de rede, sistemas de detecção de intrusão (IDS), e antivírus gerenciados centralmente.

9. POLÍTICA DE ATUALIZAÇÕES

Todos os sistemas operacionais, softwares e aplicações utilizadas devem ser mantidos atualizados.

  • Correções de segurança devem ser aplicadas em até 5 dias úteis após sua disponibilização, ou imediatamente em casos críticos;
  • Atualizações devem ser testadas previamente em ambientes controlados, quando possível;
  • Equipamentos fora do padrão não serão conectados à rede corporativa.

10. USO DE DISPOSITIVOS MÓVEIS E MÍDIAS REMOVÍVEIS

  • Dispositivos como pen drives, HDs externos e notebooks corporativos devem ter criptografia ativada;
  • A utilização de dispositivos pessoais para fins corporativos requer autorização formal da TI;
  • Todos os dispositivos móveis devem possuir senha de bloqueio, software antivírus atualizado e função de rastreamento remoto.

11. GESTÃO DE TERCEIROS E FORNECEDORES

Caso existam terceiros que tratem dados ou tenham acesso a sistemas da organização devem ser gerenciados de acordo com critérios rígidos de segurança.

  • Contratos devem conter cláusulas específicas sobre confidencialidade, proteção de dados e responsabilidade por incidentes;
  • Auditorias técnicas e avaliações de conformidade serão realizadas periodicamente;
  • O acesso será concedido apenas pelo tempo necessário e monitorado ativamente.

12. CAPACITAÇÃO E CONSCIENTIZAÇÃO

O fator humano é um dos principais vetores de risco cibernético. Por isso, a empresa implementará as seguintes estratégias para promover a cultura de segurança cibernética:

Comunicados obrigatórios e periódicos: Para todos os colaboradores, abordando temas como phishing, senhas seguras, uso de dispositivos e privacidade;

Simulações de phishing: Serão realizadas a cada três meses, com avaliação de respostas e feedback personalizado;

Materiais de comunicação interna reforçarão boas práticas de segurança.

12.1 Comunicados, Conscientização e Uso Responsável de Recursos

A organização entende que a segurança da informação é responsabilidade de todos e valoriza a confiança em seus colaboradores. Por isso, promove regularmente ações de conscientização sobre boas práticas de segurança cibernética, incluindo o uso seguro de senhas, prevenção a golpes virtuais e cuidados com dispositivos.

Os recursos tecnológicos disponibilizados pela empresa (como internet, sistemas, e-mail corporativo e rede Wi-Fi) destinam-se exclusivamente a atividades profissionais e são monitorados de forma ética, com foco na proteção dos dados, na continuidade dos negócios e na prevenção de riscos cibernéticos.

Esse monitoramento é realizado de forma transparente, com respeito à privacidade individual, e visa garantir a integridade do ambiente corporativo — nunca para fiscalizar ou restringir a liberdade dos colaboradores.

13. MONITORAMENTO E RESPOSTA A INCIDENTES

Monitoramento contínuo via NOC/SOC: Detecta e responde a comportamentos anômalos em tempo real, com geração de alertas automáticos;

Plano de Resposta a Incidentes: Define responsabilidades, prazos e fluxos de comunicação para contenção, erradicação, recuperação e lições aprendidas;

Testes regulares:Simulações de incidentes (tabletop exercises) serão conduzidas para validar e aprimorar o plano.

13.1 Relatório Anual de Incidentes e Avaliação da Eficácia das Medidas

A organização emitirá, anualmente, um relatório de avaliação da Política de Segurança Cibernética e da eficácia das ações adotadas para prevenção, detecção e resposta a incidentes. Este relatório deverá conter, no mínimo:

  • Resumo das ações implementadas durante o período;
  • Ocorrências de incidentes relevantes e medidas tomadas;
  • Avaliação da eficácia dos controles de segurança aplicados;
  • Resultados dos testes de continuidade de negócios, quando realizados;
  • Propostas de melhoria para o ciclo seguinte.

14. GESTÃO DE CONTINUIDADE

Plano de Continuidade de Negócios (PCN) e Recuperação de Desastres (DRP): Formalizados, atualizados e testados ao menos uma vez por ano;

Backups diários automáticos: Armazenados em ambiente seguro na nuvem e localmente em firewall redundante, com testes regulares de restauração.

15. ANTICORRUPÇÃO, COMPLIANCE E LGPD

A empresa declara que cumpre e se compromete a cumprir integralmente todas as leis anticorrupção aplicáveis, incluindo, mas não se limitando, à Lei nº 12.846/2013 (Lei Anticorrupção Brasileira), comprometendo-se a não oferecer, prometer, autorizar, solicitar ou receber, direta ou indiretamente, qualquer vantagem indevida, pagamento, presente ou benefício com o objetivo de influenciar atos ou decisões de agentes públicos ou privados, em benefício próprio ou de terceiros.

Além disso, a empresa se compromete a cumprir todas as leis, regulamentos e normativas aplicáveis à segurança da informação, incluindo, mas não se limitando a:

  • Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018);
  • Marco Civil da Internet (Lei nº 12.965/2014);
  • Normas ISO/IEC 27001, ISO/IEC 27701 e ISO/IEC 27005, quando aplicáveis;
  • Normas internas e códigos de conduta corporativa.

15.1 Proteção de Dados Pessoais e LGPD

A empresa reconhece a importância da privacidade e da proteção de dados pessoais e se compromete a:

  • Realizar o tratamento de dados pessoais com base nos princípios da LGPD, como finalidade, adequação, necessidade, segurança, prevenção e responsabilização;
  • Implementar controles técnicos e administrativos para proteger os dados contra acesso não autorizado, vazamentos, perda ou destruição;
  • Manter registros das operações de tratamento de dados pessoais (ROPAs);
  • Atender aos direitos dos titulares, como acesso, correção, anonimização, portabilidade e exclusão de dados;
  • Designar um Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme o Art. 41 da LGPD;
  • Apresentar comunicados periódicos sobre segurança da informação e proteção de dados pessoais.

15.2 Gestão de Incidentes com Dados Pessoais

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a empresa se compromete a:

  • Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, conforme o Art. 48 da LGPD;
  • Documentar e registrar todos os incidentes relacionados a dados pessoais;
  • Implementar planos de resposta a incidentes, com medidas corretivas e ações preventivas para mitigar futuros riscos;
  • Garantir que todos os envolvidos sejam informados sobre seus papéis e responsabilidades na contenção e notificação de incidentes.

A conformidade com a LGPD é mandatória, e todo tratamento de dados pessoais deve seguir os princípios de finalidade, necessidade, transparência, segurança e responsabilização;

Auditorias internas e externas serão realizadas para verificar a eficácia dos controles, conformidade com a legislação e aderência à política;

16. PENALIDADE E SANÇÕES

O descumprimento das diretrizes estabelecidas nesta Política de Segurança da Informação estará sujeito à aplicação das devidas medidas legais e administrativas cabíveis.

É responsabilidade de cada colaborador conhecer, compreender e cumprir as disposições desta política, sendo vedado alegar desconhecimento como justificativa para condutas inadequadas. Todos os casos de descumprimento serão analisados pelo Comitê de Segurança da Informação, com participação das áreas Jurídica e de Recursos Humanos, assegurando o contraditório e a ampla defesa.

17. PENALIDADE E SANÇÕES

A presente Política de Segurança da Informação está sujeita a um processo contínuo de revisão e aprimoramento, com o objetivo de garantir sua efetividade frente à evolução das tecnologias, ameaças cibernéticas emergentes, requisitos legais e boas práticas de mercado, como as orientações da norma ISO/IEC 27001.

A revisão será realizada, no mínimo, uma vez a cada 12 (doze) meses, ou sempre que houver eventos relevantes que justifiquem sua atualização, tais como mudanças no ambiente regulatório, novos riscos identificados, alterações na estrutura organizacional, incidentes de segurança ou recomendações oriundas de auditorias internas e externas.

Indicadores de desempenho serão estabelecidos e utilizados para mensurar a eficiência das ações de segurança implementadas, fornecendo subsídios para decisões estratégicas e operacionais. As melhorias sugeridas a partir da análise desses indicadores serão discutidas pelo Comitê de Segurança da Informação e incorporadas de maneira estruturada, com foco na evolução contínua dos processos.

Vigência: Esta política entra em vigor na data de sua publicação oficial e é de cumprimento obrigatório por todos os colaboradores, fornecedores, parceiros e terceiros que, de qualquer forma, interajam com os ativos de informação da organização.

18. APROVAÇÃO DA POLÍTICA

Esta Política de Segurança Cibernética foi aprovada pela Diretoria em 14/05/2025.

Compartilhe em suas redes sociais:

Facebook
Twitter
LinkedIn
WhatsApp

Fale com nossos especialistas

Solicite uma simulação sem custo

  • Rua Senador Vergueiro, 995 I 2° andar Centro - Limeira - SP CEP: 13480-001
  • Atendimento Segunda à Sexta das 8h às 18h
  • +55 19 3701 3476

Política de Privacidade

Siga-nos

Instagram Facebook Youtube Linkedin
Migratio Energia @2024 • Todos os Direitos Reservados