Política de Segurança Cibernética
1. Objetivo
Este documento visa reforçar as diretrizes que garantam a proteção das informações e das operações da Klabin, através dos 4 princípios de Segurança da Informação, confidencialidade, integridade, disponibilidade e autenticidade das informações.
1.1 Princípios da Segurança Cibernética
Confidencialidade - condição em que apenas usuários autorizados têm permissão para acessar a informação;
Disponibilidade - condição em que a informação deve ser disponível para usuários autorizados quando solicitado;
Integridade - condição em que apenas alterações autorizadas podem ser realizadas na informação;
Autenticidade – condição em que garantimos que a informação foi encaminhada pelo autor, ou seja, gera o não repúdio.
2. Público-alvo
Aplica-se a todas as unidades da Klabin S.A, suas subsidiárias, no Brasil e exterior, aos acionistas, administradores, colaboradores próprios e terceiros, quando representem os interesses ou atuem em nome da Klabin S.A.
3. Responsabilidades
As diretrizes, estratégias e processos corporativos de Segurança Cibernética são conduzidos internamente através do comitê de riscos e área de Segurança com a participação dos representantes da área de riscos, controles internos, auditoria interna, tecnologia da informação, tecnologia de automação e demais áreas de negócio.
4. Diretrizes
A área de Segurança é responsável pela defesa Cibernética da Klabin, protegendo seus ativos digitais com base na avaliação de riscos para prevenção, detecção e resposta a incidentes, com objetivo de minimizar as vulnerabilidades.
• Aplicar camadas de tecnologias de proteção com o objetivo de mitigar os possíveis riscos de segurança;
• Manter a capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético utilizando-se de logs;
• Garantir que todos os recursos do Sistema de Controle Industrial utilizados pela Klabin atendam as recomendações de seus fabricantes ou desenvolvedores;
• Assegurar que os procedimentos de plano de continuidade de negócios sejam executados no ambiente do Sistema de Controle Industrial em conformidade com os requisitos de Segurança Cibernética;
• Conduzir monitoramento e resposta de incidentes;
• Elaborar cenários de incidentes para realização periódica de testes de continuidade;
• Trabalhar na conscientização sobre segurança cibernética;
• Avaliar os requisitos de segurança dos fornecedores durante o ciclo prestação de serviços;
• Assegurar a implementação de controles de segurança no desenvolvimento de softwares e apoiar a arquitetura de tecnologia na validação e construção de novos projetos;
• Assegurar que a adoção de novas tecnologias, como inteligência artificial, seja implementada seguindo as boas práticas de segurança cibernética e com o mapeamento dos riscos;
• Assegurar a implantação de controles em conformidade com as políticas de Segurança Cibernética.