Segurança da Informação do Grupo LATAM Airlines

Politica
Segurança da Informação do Grupo
LATAM Airlines

Versão
3.1

Código
PO.03.07.0001-V3.0

Data de criação
Julho/2014

Data de modificação
4/Outubro/2018

Tipo de documento
Política
 Índice Objetivo 4
2. Alcance 4
1. 3. Referencias 4
4. Responsabilidades 4
5. Detalhe 5
6. Exceções 8
7. Gestão de Consequência8
8. Definiciones 8
9. Histórico 9
10. Registros 9
11. Anexos 9
12. Vigência 9
13. Ciclo de Aprovação 9
1. Objetivo
O objetivo da política de segurança da informação (a “Política”) é estabelecer as diretrizes para a proteção
da informação da companhia, assegurando o controle efetivo da mesma, através da gestão do risco e da
segurança.

2. Escopo
Este documento aplica a todos os empregados e colaboradores do Grupo LATAM Airlines e filiais no mundo
(doravante, “Grupo LATAM”); bem como pessoas da companhia tais como parceiros externos e/ou
fornecedores que atuam, direta ou indiretamente, habitualmente ou ocasionalmente, usam ou dão
suporte aos sistemas de informação e/ou negócios, infraestrutura ou informação.

Essa política estabelece os princípios básicos para assegurar a confidencialidade, integridade e

disponibilidade da informação através do uso de melhores práticas e tecnologia disponível. As diretrizes
dessa política constituem nos pilares da gestão de Segurança da Informação do grupo LATAM.

3. Referências
● PO.03.07.0006-v1.0 Norma de Gestão de Incidentes de Segurança da Informação do Grupo LATAM

● PO.03.07.0002-V1.0 Classificação da Informação do Grupo LATAM

● Normas de Segurança PCI-DSS

4. Responsabilidades

4.1. Diretoria e Comitê Executivo

É responsabilidade dos comitês executivos e da alta administração apoiar esta Política e as normas
internas, assegurando sua implementação e facilitando a estrutura organizacional apropriada para seu
cumprimento e aplicação.

4.2. Vice-presidência de Tecnologia da Informação LATAM (TI)

A vice-presidência de tecnologia tem a responsabilidade de gerenciar de modo permanente esta Política
para o Grupo LATAM e desenvolver as diretrizes de segurança da informação do Grupo LATAM e suas filiais,
sempre que necessário, para posterior aprovação do Comitê de TI, Legal e Compliance do Grupo LATAM.
As responsabilidades incluem:

● Desenvolver, implementar e revisar as políticas, normas, procedimentos e manuais para

os projetos e operação da Segurança da Informação, prover as diretrizes para
desenvolvimento de uma infraestrutura de TI segura (informação e sistema) do grupo
LATAM.
● Resolver perguntas de interpretação e exceções a esta política, sujeitas - quando
corresponda – à aprovação do Comitê de Segurança da Informação e do Comitê Executivo.
● Planejar, desenvolver, delegar e monitorar os planos de ação para aderência às diretrizes
desta política do Grupo LATAM.
● Desenvolver um planejamento estratégico para a Segurança da Informação.
● Analisar e atuar em casos de Incidente de Segurança.
● Assegurar que todas as políticas de Segurança da Informação estejam adequadamente
revisadas e aprovadas pelos executivos e Gerentes de cada empresa, para garantir sua
completa aplicabilidade. (Anexo 2 – Fluxo).

4.3. Funcionários e Colaboradores

Todos os funcionários e colaboradores se comprometem a cumprir com a política de segurança da
informação da LATAM.

Se contarem com acesso aos recursos e informação da companhia, deverão:

● Aderir e cumprir com os princípios estabelecidos nessa Política.

● Destinar tempo para ler e compreender esta Política e qualquer outra política ou diretriz
emitida pela companhia.
 ● Informar imediatamente à Gerencia de Segurança da Informação correspondente, ou
através dos canais internos existentes para esse fim, sobre a existência de qualquer
lacuna, incidente ou violação desta Política, como também de ações que ponham em
risco a segurança da informação do domínio da companhia.
● Participar dos treinamentos proporcionados pelo Grupo LATAM em relação à Segurança
da Informação e seu cumprimento.

4.4. Gerentes e chefia: Todos os gerentes e chefes têm uma responsabilidade extra, ao operar dentro
dos limites desta Política, incluindo:
● Ter um comportamento exemplar em relação à segurança da informação.
● Garantir, na fase de contratação de pessoas, e no momento de formalizar as relações de
trabalho individuais, a prestação de serviço ou qualquer associação, a responsabilidade
de cumprimento dessa política.
● Monitorar, reportar e responder os incidentes de segurança, desvios de conduta e
ameaças ao negócio.
● Avaliar, analisar e tratar os riscos e respectivas vulnerabilidades da infraestrutura e
processos da companhia.

4.5. Comitê de Risco de TI, Legal e Compliance LATAM

Este Comitê, com reuniões periódicas, está constituído pelos membros dos departamentos informados
abaixo e tem a responsabilidade geral de coordenação interna para a implementação e efetividade desta
política. As responsabilidades incluem:

● Analisar, propor ajustes de qualquer regra, diretrizes ou guia relativo à segurança da

informação, como também aprovar as políticas e diretrizes sobre a matéria que for ditada
pela administração para o cumprimento da mesma.
● Aprovar e supervisionar o planejamento estratégica da Segurança da Informação e a
efetividade desta política.
● Analisar os planos de ação e apoiar a Gerência de Segurança da Informação
correspondente para estabelecer as diretrizes e guias para implementar esta Política.

Este comitê normalmente está constituído pelas seguintes equipes:

 Segurança da Informação LATAM

 Compliance LATAM
 Legal LATAM
 Riscos y Fraude LATAM
 Controles Internos LATAM
 Controladoria LATAM
 Meio de pagamento LATAM

Quando for necessário, o Comitê receberá o apoio das áreas de Recursos Humanos, Marketing, Auditoria,
entre outras, como também dos membros das filiais/ORs quando tiverem algum pedido específico.

5. Detalhe
O objetivo do Departamento de Segurança da Informação é proteger os ativos da companhia, tais como,
sistemas, tecnologia, informação e serviços contra ameaças internas e/ou externas de ações
internacionais, tais como fraude, que pudessem danificar a confidencialidade, integridade e
disponibilidade da informação proprietária.

O cumprimento dos princípios descritos a seguir, permite o alinhamento com as melhores práticas
internacionais e normas aprovadas para a indústria, como o PCI-DSS Payment Card Industry Data
SecurityStandard, ISSO/IEC 27001 Information Security Management, e GDPR (General Data Protection
Regulation).

Portanto:

 A Informação das companhias pode ser entregue e distribuída internamente apenas para fins
apropriados, respeitando sua confidencialidade e protegendo a segurança da mesma, conforme as
 medidas, condições e proteções definidas para esse efeito, pelo Departamento de Segurança da
Informação correspondente.
 Toda informação deve ser armazenada e acessada a fim de proteger sua integridade e
confidencialidade, especialmente quando tratar-se de informação sensível, dados de clientes,
fornecedores, funcionários e qualquer outra informação reservada ou privilegiada da companhia.
 Toda alteração, manipulação ou acesso à informação deve ser realizado de maneira que proteja
sua integridade, confidencialidade, disponibilidade, precisão e exatidão.
 A identificação de qualquer usuário deve ser única, pessoal e intransferível, qualificando-o como
responsável pelas ações realizadas.
 A menos que seja proibido por lei, os acessos devem ser rastreados para garantir que todas as
ações passiveis de auditoria possam identificar individualmente o usuário para responsabilizá-lo
de suas ações.
 A menos que seja proibido por lei (ex., na Alemanha e Chile, entre outros países), o Grupo LATAM
reserva-se o direito de monitorar todos os recursos disponíveis para a execução das atividades
profissionais dos empregados, incluindo, porém não limitando a e-mails, pastas de arquivos,
registros e operações realizadas a partir do acesso à internet da companhia.
 Todos os recursos fornecidos para os usuários são propriedade do grupo LATAM e são destinados
principalmente para atividades profissionais e podem ser usados para fins pessoais (exceto
equipamentos sob o escopo do ambiente PCI DSS), sempre que for de forma responsável,
conhecendo as condições definidas no item anterior (monitoramento) e respeitando as políticas
internas do Grupo LATAM, incluindo entre outras, as regras estabelecidas no Código de Conduta
do Grupo LATAM.
 Todos os recursos informáticos do Grupo LATAM Airlines devem ter instalada e atualizada, de forma
automática, uma ferramenta de software anti-malware e suas definições (por exemplo: lista de
vírus, e monitores de busca), independente do sistema operacional instalado e sempre que for
possível tecnicamente.

Esta política estabelece as bases conceituais do Governo da Segurança por meio dos princípios listados
abaixo. Os conceitos e princípios devem ser comunicados para todos os empregados e fornecedores de
serviço do Grupo LATAM.

Todos os funcionários que interagem, direta ou indiretamente, habitualmente ou ocasionalmente,

utilizam ou dão suporte aos sistemas de informação e/ou negócios, infraestrutura ou informação, devem
receber treinamento sobre segurança da informação quando contratados e periodicamente quando
houverem mudanças nessa política.

Os princípios descritos abaixo são aplicáveis a todos os sistemas, processos e atividades que utilizam os
recursos de informação de propriedade ou sob a custódia do Grupo LATAM, sob a premissa básica de
compromisso e cumprimento desses princípios por parte de todos que possuem acesso a esses recursos.

● Classificação da Informação: “Toda a informação deve ser classificada de acordo com sua
criticidade, e/ou dependendo de seu tratamento nos processos, sistemas,
armazenamento, divulgação e transporte, para garantir que a informação tenha um nível
adequado para o projeto”.

● Valorização de ativos: “Cada ativo tem um valor para a companhia e a informação

representa um ativo importante e valioso que deve ser protegido, portanto a companhia
deve estar consciente do valor e classifique cada ativo de acordo com uma escala de
valores”.

● Propriedade: “Cada ativo deve ter um proprietário para definir os níveis de

disponibilidade, integridade e confidencialidade. O proprietário do ativo deve definir e
autorizar seu acesso”.

● Mínimo privilégio: “Um usuário deve possuir os mínimos privilégios necessários para
realizar sua função. Toda a informação é fornecida e distribuída somente se respeita-se
apropriadamente a confidencialidade da mesma e são implementados os controles
suficientes para manter o nível mínimo de acesso necessário para a realização de suas
tarefas.

● Rastreabilidade: “Todos os ativos críticos devem ser capazes de armazenar dados

referentes às ações de manipulação das informações, garantindo que qualquer alteração
 esteja devidamente autorizada e com controles que aseegurem a integridade das
informações”.

● Senhas e Autenticação: “A composição e o gerenciamento das senhas disponibilizadas para

os processos que devem ser cumpridos para autenticação no uso de recursos e sistemas da
organização devem prevenir o acesso não autorizado à informação”. Para garantir a
integridade e a confidencialidade no momento da autenticação, os usuários e senhas não
podem ser compartilhados ou escritos em qualquer recurso que facilite a divulgação para
terceiros.

● Continuidade: “A informação deverá estar disponível quando for requerida. Deve ser
garantido que o ambiente possa ser recuperado dentro dos prazos requeridos, através dos
planos de continuidade para reduzir os impactos das falhas na infraestrutura de tecnologia
(TI) e redução dos riscos de negócio e as respectivas vulnerabilidades”.

● Gestão de Risco TI: “Todos os ativos críticos da companhia devem ser protegidos de acordo
com a criticidade apresentada para o negócio. Devemos implementar os controles
apropriados para minimizar sua exposição”.

● Segregação Funcional ou Segregação de Função (SOD): “Os erros e irregularidades devem

ser prevenidos ou detectados, atribuindo de forma separada, a responsabilidade dos
usuários para iniciar e registrar transações e a custódia de ativos”.

● Privacidade de Dados Pessoais: “As informações pessoais devem ser administradas de

forma segura. A companhia deve respeitar a regulamentação aplicável de cada país ou
jurisdição no referente à privacidade dos dados, e ser responsável da implementação das
medidas apropriadas para proteger a informação”.

● Recursos Humanos: “Qualquer modificação de processos, procedimentos internos ou

contratos de trabalho, deve levar em conta as regras de Segurança da Informação, com o
objetivo de que os colaboradores entendam suas responsabilidades relativas à proteção da
informação”. 6.1 Exceções; os casos específicos de cada país devem ser analisados com o
departamento Legal local. Por exemplo, na Alemanha não está autorizado o
monitoramento de e-mails, arquivos ou computadores de funcionários devido à legislação
local.

● Segurança Física: “Todos os recursos informáticos devem ser fisicamente assegurados. O

acesso físico aos sistemas, incluindo a infraestrutura da rede, deve estar limitado aos
usuários autorizados. Todos os servidores devem ser mantidos em uma área de acesso
restrito e controlado”.

Esta Política e a documentação associada, deve estar sujeita a revisão no mínimo anualmente, ou com
maior frequência segundo o que for definido no comitê de Riscos de TI, Legal e Compliance LATAM para
responder qualquer alteração dentro do plano de gestão de riscos ou dos resultados do processo de
avaliação de risco.

O marco normativo deve estar acessível para as pessoas e terceiros envolvidos. Define os seguintes níveis
de documentos:

1. Política de Segurança;
2. Normas;
3. Procedimentos;
4. Padrões;
5. Manuais, guias;
6. Registros de documentos.

O departamento de segurança da informação é o responsável de liderar a definição, implementação e

manutenção do marco normativo de Segurança da Informação, de acordo com a norma de Gestão de
Políticas e Normas do Grupo LATAM.
6. Exceções
Os casos específicos de cada país devem ser analisados com o departamento Legal local. Por exemplo,
na Alemanha não está autorizado o monitoramento de e-mails, arquivos ou computadores dos funcionários,
devido à legislação local.

7. Gestão de Consequências
O não cumprimento dos controles de Segurança da Informação, exigências e princípios desta Política,
pode significar ações disciplinares ou sanções sob as normas internas e legislação de cada país, conforme
aplicável.

8. Definições
“Informação” significa informação de qualquer forma, seja impressa, escrita em papel ou oral,
independentemente de sua forma de armazenamento ou transmissão, seja física ou eletrônica.

"Logs de auditoria" é um conjunto de eventos cronológicos e registros (logs) utilizados para mostrar o
funcionamento do sistema ou as atividades realizadas por um usuário ou sistema. Podem ser utilizados
para reconstruir eventos passados, rastrear atividades realizadas e possivelmente identificar intrusos.

“Usuário” Inclui qualquer pessoa com autorização para acessar a rede do Grupo LATAM ou os serviços de
sistemas TI.

“Funcionário” do Grupo LATAM será considerado todo funcionário com relação de trabalho com uma das
empresas coligadas ou filiais do Grupo LATAM de qualquer cargo ou ocupação.

“Colaborador” se refere aos alunos estagiários, temporários ou aprendizes do Grupo LATAM, conforme
a lei local que corresponda em cada país.

“Confidencialidade” é o princípio que assegura que as informações serão acessadas apenas por pessoas
previamente autorizadas („need-to-know-basis”).

“Integridade” é o princípio de que a informação deve ser precisa e adequada para sua finalidade e deve
ser protegida contra alterações intencionais, sem autorização ou acidentais, em suas diferentes formas
de processamento.

“Disponibilidade” é o princípio que estabelece que a informação deve ser acessível e utilizável quando
necessário.

“Fornecedor de Serviço” é toda organização ou pessoa que proporciona qualquer tipo de serviço para
uma empresa do Grupo LATAM, portanto, está envolvido direta ou indiretamente com o Grupo LATAM.

“Dono da informação” é o autor da informação, responsável por classificar e identificar controles

necessários para manter a segurança da informação.

“Vulnerabilidade” é uma fragilidade de um ativo ou grupo de ativos, que pode ser explorado por uma ou
mais ameaças.

"Risco" é uma combinação da probabilidade de ocorrência de incidentes versus o nível de fragilidade e

o cenário de ameaças existente.

“Ativo” é formado pelo conjunto de bens e direitos necessários à manutenção das atividades da empresa.

“Incidente de Segurança da Informação” é uma série de eventos indesejados que pode comprometer
enormemente as operações do negócio e ameaçar a segurança da informação (ABNT ISO/IEC 27001:2013).
9. Histórico
Objetivo da
Versão Item Modificado Data
modificação
Revisão de todo o
Todos os itens do
2.0 conteúdo do 08/04/2015
documento
documento.

“5 Detalhe” Revisão de todo o

3.0 conteúdo do 13/09/2018
“7 Definições” documento

“2 Escopo” Revisão de todo o

3.1 conteúdo do 08-10-2018
“5 Detalhe” documento

10. Registros
Me Tempo
Nome do Armazenamen Recuperar Elimin Responsá
Código dio de
registro to acesso ar vel
F/E retenção
Termo de PO.03.07.000 F Arquivado pelo Departame Permane Não RRHH de
Responsabili 1_1 Funcionário e nto de nte Aplicá cada país
dade da Recursos Recursos vel
Segurança da Humanos Humanos
Informação de cada
país

11. Anexos
PO.03.07.0001_1 - Termo de Responsabilidade com a Política de Segurança da Informação LATAM
PO.03.07.0001_2 - Fluxograma de Políticas de Segurança da Informação LATAM

12. Vigência
Este documento tem validade por período indeterminado a partir da data em que for publicado na
Intranet do Grupo LATAM Airlines (“Portal”) e poderá ser modificado em qualquer momento, quando
necessário.

13. Ciclo de Aprovação

Elaborador Priscila Baraldi Ribeiro da Silva
Departamento Analista de Segurança da Informação Data

Revisor Emilo Cuevas

Departamento Subgerente de Segurança IT LATAM Data

Revisor André Pires

Departamento Gerencia de Segurança da Informação LATAM Data

Aprovador Rogeria Gieremek

Departamento Compliance LATAM Data

Aprovador Francisco Garcia

Departamento Diretor de Tecnologia Data

Aprovador Dirk John

Departamento VP Digital y IT LATAM Data