Escolar Documentos
Profissional Documentos
Cultura Documentos
Política
Classificação da
Página
Informação
Gestão de Incidentes
Interno 1 de 10
Índice
1. OBJETIVO......................................................................................................................................................... 2
3. DEFINIÇÕES E PREMISSAS................................................................................................................................ 2
4. RESPONSABILIDADES....................................................................................................................................... 3
5. DESCRIÇÃO DA POLÍTICA.................................................................................................................................. 5
5.1. INCIDENTES..........................................................................................................................................................5
5.1.1. Incidentes de tecnologia............................................................................................................................5
5.1.2. Incidentes de segurança com dados pessoais............................................................................................5
5.1.3. Incidentes de segurança da informação....................................................................................................5
5.2. DETECÇÃO E ANÁLISE............................................................................................................................................5
5.2.1. Priorização dos incidentes..........................................................................................................................6
5.2.2. Notificação dos incidentes.........................................................................................................................6
5.3. CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO.............................................................................................................7
5.4. LIÇÕES APRENDIDAS.............................................................................................................................................. 7
7. CONTROLE DE ALTERAÇÕES............................................................................................................................. 8
8. CONTROLE DE REGISTROS................................................................................................................................ 8
9. APROVAÇÕES................................................................................................................................................... 8
Classificação da
Página
Informação
Gestão de Incidentes
Interno 2 de 10
1. Objetivo
Estabelecer diretrizes para a processo de gestão de incidentes relacionados à segurança e proteção de
sistemas, processos, recursos tecnológicos, informações de negócio e dados pessoais tratados pela
empresa XPTO e todas as empresas do grupo.
3. Definições e Premissas
Ameaça: causa potencial de um incidente indesejado, o qual pode resultar em danos em um sistema,
indivíduo ou organização.
Ataque cibernético: qualquer tentativa de expor, alterar, desativar, destruir, roubar ou obter acesso não
autorizado ou fazer uso não autorizado de um dispositivo ou informação.
Ativo: tudo o que tem valor para um indivíduo, uma organização ou um governo.
Ativo de informação: conhecimento ou dados que tem valor para o indivíduo ou organização.
Dados pessoais: qualquer informação que (a) possa ser usada para identificar a pessoa natural à qual tal
informação se relaciona ou (b) pode estar direta ou indiretamente vinculada a uma pessoa natural.
Encarregado pelo tratamento de dados pessoais: pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados – ANPD.
Gestão de incidentes: processo que tem como principal objetivo restaurar a operação normal do serviço o
mais rápido possível, minimizando os prejuízos à operação do negócio e garantindo assim o melhor nível de
serviço e disponibilidade.
Classificação da
Página
Informação
Gestão de Incidentes
Interno 3 de 10
Incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado
a confidencialidade, integridade e disponibilidade do sistema gestão de segurança da informação.
Incidente de segurança com dados pessoais: qualquer evento adverso, confirmado ou sob suspeita,
relacionado à violação de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte
em destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados ilícita ou
inadequada, que possa ocasionar risco para os direitos e liberdades do titular de dados pessoais.
Malware: software criado com más intenções contendo características ou capacidades que podem
potencialmente causar danos diretos ou indiretos para o usuário e/ou para o sistema de computador do
usuário.
Ransomware: tipo de malware que impede o usuário de acessar seu sistema ou arquivos e exige
pagamento de resgate para recuperar seu acesso.
Titular de dados pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento.
Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Vírus: tipo de programa ou código malicioso criado para alterar a forma como um computador funciona e
desenvolvido para se propagar de um computador para outro.
Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.
4. Responsabilidades
Alta Direção
É responsável por apoiar a aderência e divulgação desta política, contribuindo para a melhoria contínua da
segurança e proteção dos ativos, informações e ambiente tecnológico da organização.
Gestores
Classificação da
Página
Informação
Gestão de Incidentes
Interno 4 de 10
Governança de TI
São responsabilidades da área de governança de TI:
avaliar o uso atual e futuro de tecnologia da informação na empresa XPTO para prevenção de
incidentes de tecnologia;
dirigir, preparar e implementar estratégias e políticas para garantir que o uso de tecnologia da
informação atenda aos objetivos do negócio;
monitorar a conformidade com as políticas e o desempenho em relação às estratégias
implementadas.
Comissão de Cybersecurity
É responsável por identificar, avaliar e monitorar as atividades de gerenciamento de riscos cibernéticos, e
fomentando a adoção de planos de ação, promovendo conscientização no uso de ferramentas e controles
mitigatórios, a fim de que se alinhem ao perfil geral de risco corporativo da empresa XPTO.
Classificação da
Página
Informação
Gestão de Incidentes
Interno 5 de 10
5. Descrição da Política
5.1. Incidentes
Para a empresa XPTO, de forma não taxativa e não exaustiva, incidentes são caracterizados pela ocorrência
das seguintes situações:
Classificação da
Página
Informação
Gestão de Incidentes
Interno 6 de 10
Uso indevido de dados pessoais para finalidades que não estejam em conformidade com a Política
de Privacidade da organização;
Divulgação indevida de dados pessoais;
Eliminação e modificação acidental ou ilícita de dados pessoais;
Vazamento de dados pessoais.
Demais exemplos do plano de resposta de incidente de vazamento de dados.
Incidentes são detectados através de ferramentas e controles que a empresa XPTO possui implementados
(dispositivos de proteção da rede, antivírus, sistemas de monitoramento, sistemas de detecção de intrusão,
detectores de fumaça, etc.), pelo monitoramento ativo do ambiente tecnológico realizado pelas equipes de
tecnologia e segurança da informação, ou por qualquer pessoa que possua acesso aos ativos e informações
organizacionais ou que seja titular de dados pessoais tratados pela organização.
A notificação de incidentes deve ser realizada através dos canais de comunicação disponíveis informados
no Procedimento para Resposta a Incidente de Segurança da Informação (SIN-PRO-004) da empresa XPTO.
Classificação da
Página
Informação
Gestão de Incidentes
Interno 7 de 10
A priorização é essencial para direcionar os recursos e esforços necessários para o tratamento adequado
dos incidentes, minimizando potenciais impactos nos negócios. A empresa XPTO prioriza o tratamento de
incidentes de acordo com a criticidade, e atendendo a classificação estabelecida no Plano de Resposta a
Incidentes:
Alto: incidentes que afetam a capacidade de fornecimento de alguns ou de todos os serviços críticos da
empresa XPTO, ou que causem indisponibilidade, modificação ou divulgação indevida, ou a perda de ativos
críticos e informações confidenciais organizacionais e/ou dados pessoais de clientes e partes externas.
Médio: incidentes que afetem a capacidade de fornecimento de um serviço crítico da empresa XPTO, ou
que dados pessoais de funcionários.
Baixo: incidentes que causem intermitência no fornecimento de serviços da empresa XPTO, ou no acesso
aos ativos e informações organizacionais não confidenciais e/ou dados pessoais de funcionários.
Classificação da
Página
Informação
Gestão de Incidentes
Interno 8 de 10
As equipes de tecnologia e segurança da informação devem comunicar as partes afetadas pelo incidente,
tais como clientes, fornecedores e funcionários, e se for necessário, escalonar outras equipes e
responsáveis para solucionar o incidente dentro do prazo previamente determinado, conforme descrito no
Plano de Resposta a Incidentes e equipe de CSIRT.
Em caso de incidentes com dados pessoais, o encarregado pelo tratamento de dados pessoais da empresa
XPTO também deve ser informado de forma prévia, antes de quaisquer comunicações externas com
clientes ou demais funcionários.
A empresa XPTO possui estratégias para identificação de incidentes, avaliação e qualificação, coleta de
inteligência de ameaças, , chegando a contenção, erradicação e recuperação de incidentes, análise de
incidentes, até chegar a elaboração do relatórios de incidentes, conforme estabelecido no Plano de
Resposta a Incidentes, de acordo com o tipo e criticidade do incidente.
Para incidentes de criticidade alta, os procedimentos a serem executados nas fases de contenção,
erradicação e recuperação, incluindo a coleta e a preservação de evidências, são descritos no Procedimento
Operacional de Resposta a Incidentes.
Após a ocorrência de um incidente de criticidade alta, deve ser realizada uma reunião com todas as partes
envolvidas, para analisar criticamente as informações sobre o tratamento do incidente, verificar quais
foram as lições aprendidas e quais são as melhorias que podem ser implementadas para a prevenção de
futuros incidentes.
O relatório obtido como resultado dessa reunião, deve ser utilizado para:
Classificação da
Página
Informação
Gestão de Incidentes
Interno 9 de 10
7. Controle de alterações
Versão Data Finalidade Autor
8. Controle de registros
Classificação da
Página
Informação
Gestão de Incidentes
Interno 10 de 10
9. Aprovações