Segurança da Informação e Conformidade

Conquistas

Nosso processo e roteiro.

• ISO27001:2022

• TISAX

• Princípios básicos de segurança cibernética do Reino Unido

• Relatório de Nível 2 do ProcessUnity

• Controles de segurança

• ISO27001:2022

  • ISO27001:2022

    Nosso Sistema de Gerenciamento de Segurança da Informação global foi certificado de acordo com a norma ISO27001. Essa certificação significa que a Monks implementou e mantém um rigoroso programa de segurança de acordo com a norma ISO27001:2022, tem uma abordagem sistemática para gerenciar informações confidenciais e implementou controles para protegê-las contra acesso não autorizado, uso indevido, divulgação ou destruição. Essa certificação garante aos nossos clientes, partes interessadas e parceiros que implementamos medidas adequadas para proteger suas informações.

    A ISO 27001 abrange controles em 14 seções: políticas de segurança de informações, organização da segurança de informações, segurança de recursos humanos, gerenciamento de ativos, controle de acesso, criptografia, segurança física e ambiental, segurança de operações, segurança de comunicações, aquisição, desenvolvimento e manutenção de sistemas, relacionamentos com fornecedores, gerenciamento de incidentes de segurança de informações e aspectos de segurança de informações do gerenciamento de continuidade de negócios.

• TISAX

  • TISAX

    Estamos comprometidos com os padrões de segurança de informações do setor automotivo, com a certificação TISAX (Trusted Information Security Assessment Exchange), que nos permite processar informações confidenciais de seus clientes da forma como segue.

    A avaliação TISAX abrange uma ampla gama de tópicos de segurança da informação, incluindo controle de acesso, proteção de dados, gerenciamento de incidentes, continuidade dos negócios e segurança física. A certificação TISAX oferece uma abordagem padronizada e reconhecida para a avaliação da segurança da informação no setor automotivo, o que ajuda a melhorar a postura geral de segurança das empresas que trabalham nesse setor. Ela também facilita a troca de informações confidenciais entre empresas, fornecendo uma plataforma confiável para o compartilhamento de dados.

• Princípios básicos de segurança cibernética do Reino Unido

  • Princípios básicos de segurança cibernética do Reino Unido

    Os escritórios da Monks no Reino Unido são certificados pelo esquema UK Cyber Essentials, um conjunto de diretrizes desenvolvidas pelo governo do Reino Unido para ajudar empresas e organizações a se protegerem de ameaças cibernéticas comuns. As diretrizes são baseadas em cinco princípios fundamentais: proteger sua conexão com a Internet, proteger seus dispositivos e software, controlar o acesso aos seus dados e serviços, proteger-se contra vírus e outros malwares e manter seus dispositivos e software atualizados.

• Relatório de Nível 2 do ProcessUnity

  • Relatório de Nível 2 do ProcessUnity (antigo CyberGRX)

    A Monks concluiu com êxito a avaliação de Nível 2 do ProcessUnity, comprovando uma postura de segurança adequada dentro dessa estrutura de Gerenciamento de Riscos de Terceiros.

• Controles de segurança

  • Controles de segurança

    Estabelecemos proteções para evitar e minimizar quaisquer riscos de segurança. Essas proteções abrangem quatro áreas principais: segurança organizacional, segurança interna, segurança de infraestrutura e proteção de dados. Saiba mais sobre esses controles em detalhes.

  • Segurança organizacional

    Políticas de segurança estabelecidas e revisadas

    Nossa estrutura de segurança da informação está alinhada com a norma ISO27001 e é formada por mais de 20 políticas e normas e procedimentos adicionais que são revisados pelo menos anualmente.

    Sistema de gerenciamento de segurança da informação

    Mantemos um ISMS global em conformidade com a norma ISO27001, que garante auditorias e melhorias contínuas.

    Gerenciamento de riscos de segurança cibernética

    Gerenciamos o risco de segurança cibernética de forma contínua, identificando, avaliando e tratando os riscos que podem afetar a proteção de dados.

    Equipe de segurança da informação

    Uma equipe global é totalmente dedicada à segurança cibernética, à conformidade com a segurança da informação, à governança e ao gerenciamento de riscos.

    Verificações de antecedentes de funcionários realizadas

    As verificações de antecedentes são implementadas de acordo com a legislação local e a criticidade das funções, considerando o acesso e o manuseio de dados dos funcionários.

    Treinamento de conscientização sobre segurança implementado

    A empresa exige que os funcionários concluam o treinamento obrigatório de conscientização sobre segurança, que é mantido e atualizado continuamente. Os novos funcionários recebem treinamento de segurança e práticas recomendadas durante a integração.

    Acordo de confidencialidade reconhecido

    No momento da contratação ou da integração, a empresa exige que os contratados e os funcionários assinem um acordo de confidencialidade, afirmando seu compromisso de manter a confidencialidade das informações confidenciais. Os NDAs também são assinados com terceiros.

  • Procedimentos de segurança interna

    Gerenciamento de vulnerabilidades

    Na Monks, gerenciamos as vulnerabilidades técnicas implementando um processo de upgrade e atualizações contínuas em nossa infraestrutura e endpoints. São realizadas análises periódicas (e as correções necessárias) em nossas redes e equipamentos.

    Políticas de resposta a incidentes estabelecidas

    A empresa tem uma política de resposta a incidentes e um procedimento em vigor para orientar o gerenciamento de incidentes de segurança. Os processos definidos incluem etapas para registrar, rastrear, resolver e comunicar incidentes de segurança e privacidade às partes relevantes. As lições aprendidas são identificadas para evitar futuros incidentes.

    As oportunidades de melhoria para o gerenciamento de incidentes são identificadas, registradas e posteriormente acompanhadas.

    Controle de acesso

    As permissões são concedidas aos usuários com base na necessidade de conhecimento. Os direitos de privilégio são concedidos somente aos funcionários designados para funções administrativas e acompanhados de perto ao longo do ciclo de vida do usuário. São realizadas revisões periódicas de acesso para garantir que os usuários tenham os privilégios de acesso corretos.

    Aplicação da política de senhas

    A empresa exige a adesão à sua política de configuração de senhas nos componentes do sistema dentro do escopo. Além disso, a política estabelece requisitos específicos com relação à complexidade e ao comprimento das senhas e atualizações regulares para garantir a implementação de medidas de segurança robustas.

    Metodologia de backup

    Os esquemas de backup são implementados para proteger as informações valiosas contra perda, com base no risco, no impacto e nos requisitos comerciais.

    Gerenciamento de fornecedores

    A empresa mantém acordos formais com fornecedores e terceiros, abrangendo compromissos de confidencialidade e privacidade específicos para cada entidade.

    O risco de terceiros é gerenciado para garantir que esses fornecedores cuidem bem das informações da Monks durante nosso relacionamento.

    Procedimento de gerenciamento de mudanças

    O gerenciamento de mudanças adequadamente controlado é realizado em ambientes produtivos para garantir que as mudanças críticas sejam apropriadas, eficazes, devidamente autorizadas e realizadas de forma a minimizar o impacto inesperado.

    Funções e responsabilidades de gerenciamento definidas

    A Monks identificou e atribuiu corretamente as funções e responsabilidades relacionadas à segurança da informação para uma correta segregação de funções e responsabilidade.

    Controles de acesso físico

    Os perímetros de segurança são definidos nas instalações e os controles são implementados para autorizar o acesso com base na necessidade de conhecimento. Diferentes perímetros são designados para a entrada geral, áreas sensíveis e salas de servidores. Um processo de gerenciamento de acesso está em vigor para conceder e revogar privilégios de acordo com a necessidade.

    Ciclo de vida de desenvolvimento seguro

    Implementamos um ciclo de vida de desenvolvimento de software seguro (SSDLC) no qual definimos as práticas recomendadas de segurança com base no OWASP Top 10 e em outros padrões amplamente reconhecidos, além de controles de segurança, como análise de código. Também treinamos nossos desenvolvedores e especialistas técnicos em práticas recomendadas de segurança de forma contínua.

    Seguro de segurança cibernética mantido

    A empresa possui seguro de segurança cibernética para mitigar o impacto de incidentes.

  • Proteção de dados

    Classificação de dados

    A empresa tem uma política de sensibilidade das informações em vigor para ajudar a garantir que os dados sejam classificados adequadamente, protegidos e restritos ao pessoal autorizado.

    Criptografia de dados

    Os dados confidenciais são criptografados em trânsito e em repouso quando processados em nossos sistemas, seguindo nosso padrão de criptografia e hashing. Os discos de endpoints são criptografados por meio de políticas de MDMs e os discos externos usados para fins comerciais são criptografados.

    Política de retenção de dados estabelecida

    A empresa tem uma política formal de retenção de dados baseada em regulamentos e padrões internos.

    Dados de clientes

    Protegemos os dados dos clientes de acordo com nossas políticas, que incluem segregação, classificação, criptografia, retenção e controle de acesso.

  • Segurança da infraestrutura

    Sistema de detecção de intrusão e monitoramento

    Os recursos de prevenção de IDS e DDoS são implementados na infraestrutura local e na nuvem. Os firewalls de endpoint estão sendo aplicados por meio do MDM. Além disso, um SOC monitora o equipamento principal no local, a solução EDR e os ambientes de nuvem.

    Acesso restrito à infraestrutura de produção

    A empresa restringe o acesso privilegiado a sistemas operacionais, bancos de dados, redes de produção e chaves de criptografia a usuários autorizados com uma necessidade comercial.

    Trabalho remoto

    O trabalho remoto é implementado na Monks em conformidade com nossa Política de Segurança de Trabalho Remoto para garantir um ambiente seguro para nossos dados e processos. Medidas técnicas e conscientização do usuário são implementadas para atingir esse objetivo.

    Acesso revogado após a rescisão

    A empresa executa diligentemente procedimentos de rescisão para garantir a revogação oportuna do acesso de funcionários demitidos, de acordo com os acordos de nível de serviço (SLAs).

    Procedimentos de controle de acesso estabelecidos

    Implementamos o controle de acesso a todos os nossos ambientes - físicos e lógicos - aplicando medidas de acordo com o estado atual da arte em termos de ameaças que poderiam levar ao acesso não autorizado. As medidas de controle são revisadas periodicamente a fim de atualizá-las para manter sua precisão.

    Gerenciamento de registros utilizado

    A empresa registra e correlaciona os logs para detectar eventos que possam afetar a capacidade da organização de atingir seus objetivos de segurança.

    Segmentação de rede implementada

    A rede da empresa é segmentada logicamente para separar serviços e dados críticos e proteger os dados dos clientes.

    Tecnologia antimalware utilizada

    Implementamos uma solução antimalware (antivírus de última geração [NGAV], detecção e resposta de endpoint [EDR], inteligência de ameaças cibernéticas, recursos gerenciados de caça a ameaças e higiene de segurança) em todos os nossos equipamentos e ela é configurada para ser atualizada automaticamente.