Segurança da Informação
Segurança cibernética
KODS 2030
100% dos colaboradores diretos e indiretos incluídos na linguagem digital necessária para acompanhar a cultura da cibersegurança, garantindo a proteção de dados pessoais e da Companhia.
| Categoria | 2021 | 2022 | 2023 | 2024 | Meta 2030 |
|---|---|---|---|---|---|
| Total de colaboradores diretos | 17.436 | 18.394 | 17.739 | 18.495 | - |
| Total de colaboradores indiretos | 2.723 | 2.200 | 2.400 | 4.686 | - |
| Colaboradores diretos treinados | 8.659 | 10.739 | 15.864 | 14.687 | - |
| Colaboradores indiretos treinados | 962 | 726 | 960 | 3.165 | - |
| % de colaboradores diretos treinados | 50% | 58% | 89% | 79% | 100% |
| % de colaboradores indiretos treinados | 35% | 33% | 40% | 67% | 100% |
Em 2024, a Klabin deu continuidade às campanhas de simulação de phishing e aperfeiçoou os treinamentos em cibersegurança, com a adoção de plataforma mais robusta e com casos mais desafiadores. Reforçou também o conhecimento do time de automação, que contou com conteúdos específicos, desenvolvidos para suas demandas. O tema ainda integrou a programação da Convenção de Gerentes, Coordenadores e Especialistas e tem divulgação contínua na intranet Minha Klabin, ampliando a conscientização dos diferentes níveis da organização.
Observa-se em 2024 um aumento expressivo no número de colaboradores indiretos treinados, em comparação com os anos anteriores. Essa variação ocorreu principalmente em função da Parada Geral na Unidade Monte Alegre, realizada no mesmo período do treinamento.
| Categoria | 2024 | 2023 | 2022 | 2021 |
|---|---|---|---|---|
| Número de queixas recebidas de partes externas e comprovadas pela organização | 0 | 0 | 0 | 0 |
| Número de queixas de agências reguladoras | 0 | 0 | 0 | 0 |
| Número total de vazamentos, furtos ou perdas de dados de clientes que foram identificados | 0 | 0 | 0 | 0 |
Em 2024, acompanhando os resultados dos anos anteriores, a Klabin não registrou nenhuma ocorrência referente à violação da privacidade e perda de dados de clientes.
O ano de 2024 evidenciou uma escalada nos ataques cibernéticos, cada vez mais sofisticados e inéditos. O uso de inteligência artificial por agentes maliciosos elevou a complexidade dos ataques, tornando os processos de detecção e remediação ainda mais desafiadores. Esse cenário exigiu atenção redobrada por parte da liderança, impulsionando a implementação de estratégias ainda mais robustas de gestão de riscos cibernéticos.
A governança da segurança cibernética na Klabin foi estruturada para apoiar iniciativas de controle e redução dos riscos e para preservar a confidencialidade, a integridade, a disponibilidade e a autenticidade das informações, com uma visão integrada do ambiente administrativo e industrial.
A gestão da segurança cibernética é liderada por um diretor de segurança da informação (CISO), que se reporta ao Conselho de Tecnologia da Informação, que, por sua vez, se reporta ao Conselho Executivo e ao Conselho de Administração. O tema está incluído na avaliação de riscos da empresa e todas as iniciativas são orientadas por normas, estruturas e legislação aplicáveis ao segmento, tais como: IEC:62446, ISO27001, NIST, CIS, LGPD, Estrutura Brasileira de Direitos Civis para a Internet. Toda essa governança foi projetada para apoiar iniciativas de controle na busca pela redução dos riscos de segurança cibernética e garantir a confidencialidade, integridade, disponibilidade e autenticidade das informações com uma visão integrada do ambiente administrativo e industrial.
- Missão: garantir a confidencialidade, disponibilidade e integridade das informações da Klabin, aplicando processos e soluções inovadoras com resultado real para o negócio e para o fortalecimento da confiança dos clientes, colaboradores, sociedade e acionistas.
- Visão: agregar valor à imagem da Klabin, aumentando a segurança da informação com uma gestão de riscos eficiente, focada na confidencialidade, disponibilidade e integridade das informações no ambiente administrativo e fabril.
Na construção da jornada de Segurança Cibernética da Klabin, alinhada aos direcionadores estratégicos da Companhia e às melhores práticas de mercado, foi desenvolvido um framework interno que endereça os principais desafios e apoia a evolução da transformação digital.
Gestão de planos/programas de Segurança da Informação
| Planos de continuidade de negócios relacionados à segurança da informação. | A Companhia possui um plano de recuperação de sistemas críticos, avaliado pela área de auditoria interna, simulando os tempos de recuperação, disponibilidade e integridade dos dados. |
| Análise de vulnerabilidades de segurança da informação (auditorias internas e externas) | A Companhia realiza o monitoramento de seus sistemas disponíveis na Internet e atua na correção das vulnerabilidades. Em 2025, a Klabin obteve nota A pela SecurityScorecard que é uma plataforma de mercado que monitora as publicações disponíveis na Internet. O direcionamento estratégico da Klabin foi implementar a norma ISO27001, Marco Civil da Internet, LGPD, GDPR, CISP, NIST e IEC-62443 como norteadores e referências de boas práticas, com intuito de garantir a confidencialidade, integridade, disponibilidade, autenticidade das informações e uma visão integrada do ambiente administrativo e industrial. |
| Processo de escalonamento para que os colaboradores relatem incidentes, vulnerabilidades ou atividades suspeitas. |
Os incidentes e suspeitas podem ser encaminhados pelos botões de "tentativa de phishing" no email ou encaminhando diretamente ao time de Segurança Cibernética. Preventivamente os demais incidentes são gerenciados pelo processo de Gerenciamento de Informações e Eventos de Segurança. Os casos significativos são levados para Comissão de Diretoria e podem chegar até a instância de Conselho, por meio dos Comitês de Assessoramento. |
| Treinamento de conscientização em segurança da informação. | A Klabin promove a disseminação dos princípios e diretrizes de Segurança Cibernética por meio de programas de conscientização e capacitação. Além do treinamento obrigatório para todos os funcionários, a Klabin possui uma meta 2030 de ter 100% dos colaboradores diretos e indiretos incluídos na linguagem digital necessária para acompanhar a cultura da cibersegurança, garantindo a proteção de dados pessoais e da Companhia. Em 2024, a Companhia manteve as campanhas de simulação de Phishing. Treinamentos direcionados foram desenvolvidos para o time de automação. A publicação de conteúdos na Intranet Klabin foi mantida. O tema Cibersegurança foi discutido nas Convenções de Gerentes, Coordenadores e Especialistas. |
Compromissos Internos de Segurança Cibernética
A segurança cibernética é um pilar essencial da estratégia da Klabin. Nosso compromisso é garantir a proteção das operações e informações da Companhia, promovendo um ambiente digital seguro e resiliente para colaboradores, parceiros, clientes e acionistas. Para sustentar esse compromisso, a Klabin tem as normas ISO27001, Marco Civil da Internet, LGPD, GDPR, CISP, NIST e IEC-62443 como norteadores e referências de boas práticas. Essa escolha assegura a confidencialidade, integridade, disponibilidade e autenticidade das informações, além de proporcionar uma visão integrada dos ambientes administrativo e industrial.
A atuação da Klabin em segurança cibernética é guiada por quatro pilares:
- Confidencialidade: apenas pessoas autorizadas têm acesso às informações;
- Disponibilidade: informações acessíveis sempre que necessário, por usuários devidamente autorizados;
- Integridade: dados alterados apenas por meios autorizados;
- Autenticidade: confirmação da origem das informações, assegurando sua veracidade.
A governança deste tema é conduzida por um comitê multidisciplinar que envolve as áreas de Riscos, Controles Internos, Auditoria Interna, Tecnologia da Informação, Automação Industrial e áreas de negócio. Essa estrutura garante uma visão integrada e estratégica dos riscos cibernéticos, promovendo ações preventivas, corretivas e educativas.
A Klabin também adota uma abordagem para a gestão de terceiros no contexto de segurança cibernética e privacidade, garantindo que todos os fornecedores e parceiros estejam alinhados com suas políticas internas e conformidade regulatória. Além disso, a área de Segurança da Informação atua de forma proativa para proteger os sistemas da companhia e assegurar a integridade e proteção de dados, por meio de compromissos internos para ações e melhoria contínua dos sistemas, tais como:
- Uso de tecnologias em camadas para mitigação de riscos;
- Monitoramento contínuo de ameaças de segurança e resposta a incidentes;
- Conformidade de sistemas industriais com recomendações de fabricantes;
- Execução e testes de planos de continuidade de negócios;
- Avaliação de requisitos de segurança junto a fornecedores e parceiros;
- Conscientização de colaboradores e terceiros, estabelecendo responsabilidades individuais para a segurança da informação de todos os colaboradores;
- Apoio ao desenvolvimento seguro de softwares e projetos tecnológicos;
- Adoção responsável de novas tecnologias, incluindo inteligência artificial;
- Conformidade com políticas e controles internos.
Atualizado e verificado em: 29/08/2025