Código Revisão

Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 1 de 10

Índice
1. OBJETIVO......................................................................................................................................................... 2

2. APLICAÇÃO E ÁREAS ENVOLVIDAS.................................................................................................................... 2

3. DEFINIÇÕES E PREMISSAS................................................................................................................................ 2

4. RESPONSABILIDADES....................................................................................................................................... 3

5. DESCRIÇÃO DA POLÍTICA.................................................................................................................................. 5

5.1. INCIDENTES..........................................................................................................................................................5
5.1.1. Incidentes de tecnologia............................................................................................................................5
5.1.2. Incidentes de segurança com dados pessoais............................................................................................5
5.1.3. Incidentes de segurança da informação....................................................................................................5
5.2. DETECÇÃO E ANÁLISE............................................................................................................................................5
5.2.1. Priorização dos incidentes..........................................................................................................................6
5.2.2. Notificação dos incidentes.........................................................................................................................6
5.3. CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO.............................................................................................................7
5.4. LIÇÕES APRENDIDAS.............................................................................................................................................. 7

6. REFERÊNCIA A OUTROS DOCUMENTOS............................................................................................................ 7

7. CONTROLE DE ALTERAÇÕES............................................................................................................................. 8

8. CONTROLE DE REGISTROS................................................................................................................................ 8

9. APROVAÇÕES................................................................................................................................................... 8

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 2 de 10

1. Objetivo
Estabelecer diretrizes para a processo de gestão de incidentes relacionados à segurança e proteção de
sistemas, processos, recursos tecnológicos, informações de negócio e dados pessoais tratados pela
empresa XPTO e todas as empresas do grupo.

2. Aplicação e Áreas Envolvidas

Este documento é aplicável a todos os funcionários, fornecedores, parceiros e partes externas que possuam
acesso aos ativos, informações e ambiente tecnológico de propriedade ou gerenciados pela empresa XPTO,
bem como aos titulares de dados pessoais tratados pela organização.

3. Definições e Premissas
Ameaça: causa potencial de um incidente indesejado, o qual pode resultar em danos em um sistema,
indivíduo ou organização.

Ataque cibernético: qualquer tentativa de expor, alterar, desativar, destruir, roubar ou obter acesso não
autorizado ou fazer uso não autorizado de um dispositivo ou informação.

Ativo: tudo o que tem valor para um indivíduo, uma organização ou um governo.

Ativo de informação: conhecimento ou dados que tem valor para o indivíduo ou organização.

Dados pessoais: qualquer informação que (a) possa ser usada para identificar a pessoa natural à qual tal
informação se relaciona ou (b) pode estar direta ou indiretamente vinculada a uma pessoa natural.

Encarregado pelo tratamento de dados pessoais: pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados – ANPD.

Gestão de incidentes: processo que tem como principal objetivo restaurar a operação normal do serviço o
mais rápido possível, minimizando os prejuízos à operação do negócio e garantindo assim o melhor nível de
serviço e disponibilidade.

Incidente: interrupção não planejada de um serviço, uma redução na qualidade de um serviço ou um

evento que ainda não tenha impactado o serviço para o cliente ou usuários.

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 3 de 10

Incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado
a confidencialidade, integridade e disponibilidade do sistema gestão de segurança da informação.

Incidente de segurança com dados pessoais: qualquer evento adverso, confirmado ou sob suspeita,
relacionado à violação de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte
em destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados ilícita ou
inadequada, que possa ocasionar risco para os direitos e liberdades do titular de dados pessoais.

Malware: software criado com más intenções contendo características ou capacidades que podem
potencialmente causar danos diretos ou indiretos para o usuário e/ou para o sistema de computador do
usuário.

Ransomware: tipo de malware que impede o usuário de acessar seu sistema ou arquivos e exige
pagamento de resgate para recuperar seu acesso.

Titular de dados pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento.

Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

Vírus: tipo de programa ou código malicioso criado para alterar a forma como um computador funciona e
desenvolvido para se propagar de um computador para outro.

Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

4. Responsabilidades
Alta Direção
É responsável por apoiar a aderência e divulgação desta política, contribuindo para a melhoria contínua da
segurança e proteção dos ativos, informações e ambiente tecnológico da organização.

Gestores

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 4 de 10

São responsabilidades dos gestores:

 garantir a aderência e divulgação desta política e procedimentos associados em suas respectivas
áreas de responsabilidade;
 fomentar e prover recursos para o correto registro de incidentes por seus liderados;
 analisar continuamente a conformidade dos processos e procedimentos executados em sua área
de responsabilidade, com as normas, políticas, diretrizes e outros requisitos de proteção e
segurança das informações estabelecidos pela organização.

Governança de TI
São responsabilidades da área de governança de TI:
 avaliar o uso atual e futuro de tecnologia da informação na empresa XPTO para prevenção de
incidentes de tecnologia;
 dirigir, preparar e implementar estratégias e políticas para garantir que o uso de tecnologia da
informação atenda aos objetivos do negócio;
 monitorar a conformidade com as políticas e o desempenho em relação às estratégias
implementadas.

Comissão de Cybersecurity
É responsável por identificar, avaliar e monitorar as atividades de gerenciamento de riscos cibernéticos, e
fomentando a adoção de planos de ação, promovendo conscientização no uso de ferramentas e controles
mitigatórios, a fim de que se alinhem ao perfil geral de risco corporativo da empresa XPTO.

Infraestrutura e Segurança da Informação

São responsabilidades das equipes de tecnologia e segurança da informação:
 orientar, apoiar e monitorar o atendimento à esta política e aos procedimentos associados;
 identificar, controlar, monitorar e responder a incidentes;
 comunicar ao encarregado pelo tratamento de dados pessoais incidentes de segurança quando
houver o envolvimento de dados pessoais ou dados pessoais sensíveis;
 comunicar as partes afetadas pelo incidente;
 implementar e monitorar controles, processos, e ferramentas para prevenção e/ou correção de
incidentes;

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 5 de 10

 revisar e atualizar esta política anualmente ou quando ocorrerem mudanças organizacionais

significativas, para garantir sua contínua pertinência, adequação e eficácia.

Encarregado pelo tratamento de dados pessoais

São responsabilidades do encarregado:
Ser comunicado, receber as documentações e evidencias internas, para que possa entender, avaliar
a extensão interna e/ou externa do incidente de segurança com dados pessoais;
 Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) preenchendo o devido formulário
no site da autoridade, e criando a comunicação pelo meio e linguagem adequado ao titular de
dados pessoais, em caso de risco ou dano relevante aos titulares;
 Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco,
para fins de cumprimento do princípio de responsabilização e prestação de contas.

Funcionários / Partes externas / Titulares de dados pessoais

São responsabilidades dos funcionários, partes externas e titulares de dados pessoais:
 relatar incidentes através dos canais disponibilizados pela organização;
 atender as diretrizes estabelecidas nesta política e em todas as outras normas, procedimentos e
políticas estabelecidos pela organização, zelando pelos ativos e informações organizacionais.

5. Descrição da Política
5.1. Incidentes

Para a empresa XPTO, de forma não taxativa e não exaustiva, incidentes são caracterizados pela ocorrência
das seguintes situações:

5.1.1. Incidentes de tecnologia

 Interrupção do suprimento de energia;

 Interrupção de serviços de telecomunicações (links de internet, telefonia, etc.);
 Indisponibilidade de ativos e recursos tecnológicos essenciais para as operações do negócio.

5.1.2. Incidentes de segurança com dados pessoais

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 6 de 10

 Uso indevido de dados pessoais para finalidades que não estejam em conformidade com a Política
de Privacidade da organização;
 Divulgação indevida de dados pessoais;
 Eliminação e modificação acidental ou ilícita de dados pessoais;
 Vazamento de dados pessoais.
 Demais exemplos do plano de resposta de incidente de vazamento de dados.

5.1.3. Incidentes de segurança da informação

 Não atendimento às diretrizes estabelecidas em políticas, procedimentos, normas e regulamentos

relacionados à segurança e proteção dos ativos, informações e ambiente tecnológico da
organização;
 Uso indevido de informações organizacionais e recursos tecnológicos (equipamentos, sistemas,
internet, etc.) gerenciados pela organização;
 Tentativa de acesso físico ou lógico em locais restritos sem a devida autorização;
 Cópia, download e/ou distribuição não autorizada de conteúdo protegido por direitos autorais;
 Modificação em sistemas, equipamentos e informações sem autorização do proprietário;
 Comprometimento de ativos ou informações devido a infecção por vírus, ransomware, malware, ou
qualquer outro tipo de ataque cibernético.
 Demais exemplos no procedimento para resposta de Incidente de Segurança da Informação (SIN-
PRO-004).

5.2. Detecção e Análise

Incidentes são detectados através de ferramentas e controles que a empresa XPTO possui implementados
(dispositivos de proteção da rede, antivírus, sistemas de monitoramento, sistemas de detecção de intrusão,
detectores de fumaça, etc.), pelo monitoramento ativo do ambiente tecnológico realizado pelas equipes de
tecnologia e segurança da informação, ou por qualquer pessoa que possua acesso aos ativos e informações
organizacionais ou que seja titular de dados pessoais tratados pela organização.

A notificação de incidentes deve ser realizada através dos canais de comunicação disponíveis informados
no Procedimento para Resposta a Incidente de Segurança da Informação (SIN-PRO-004) da empresa XPTO.

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 7 de 10

Para realizar a análise inicial de um incidente, as equipes de tecnologia e segurança da informação

identificam e registram todas as informações relevantes, tais como, natureza e origem do incidente, ativos
e informações afetados, no Controle de Registro de Incidentes conforme descrito no Plano de Resposta a
Incidentes da empresa XPTO.

5.2.1. Priorização dos incidentes

A priorização é essencial para direcionar os recursos e esforços necessários para o tratamento adequado
dos incidentes, minimizando potenciais impactos nos negócios. A empresa XPTO prioriza o tratamento de
incidentes de acordo com a criticidade, e atendendo a classificação estabelecida no Plano de Resposta a
Incidentes:

Alto: incidentes que afetam a capacidade de fornecimento de alguns ou de todos os serviços críticos da
empresa XPTO, ou que causem indisponibilidade, modificação ou divulgação indevida, ou a perda de ativos
críticos e informações confidenciais organizacionais e/ou dados pessoais de clientes e partes externas.

 Exemplos: Sequestro de Dados (Ransomware), Atentados, Desastres naturais, DNS Poison

(inundação, ciclone, terremoto, etc.)........

Médio: incidentes que afetem a capacidade de fornecimento de um serviço crítico da empresa XPTO, ou
que dados pessoais de funcionários.

 Exemplos: DDOS, Perda de link ou capacidade de conexão com a Internet, Indisponibilidade do

provedor de Cloud envolvido nas soluções core e críticas da empresas, falha de autenticação ou de
software as a service

Baixo: incidentes que causem intermitência no fornecimento de serviços da empresa XPTO, ou no acesso
aos ativos e informações organizacionais não confidenciais e/ou dados pessoais de funcionários.

 Exemplos: Interrupção programada de Energia ou Água no site físico, indisponibilidade programada

ou não programada no cold site, mas com tempo de resolução inferior a 24 horas, falhas de
hardware em estações de trabalho, em mídias externas de backup ou de servidores pequenos on
premisses.

5.2.2. Notificação dos incidentes

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 8 de 10

As equipes de tecnologia e segurança da informação devem comunicar as partes afetadas pelo incidente,
tais como clientes, fornecedores e funcionários, e se for necessário, escalonar outras equipes e
responsáveis para solucionar o incidente dentro do prazo previamente determinado, conforme descrito no
Plano de Resposta a Incidentes e equipe de CSIRT.

Em caso de incidentes com dados pessoais, o encarregado pelo tratamento de dados pessoais da empresa
XPTO também deve ser informado de forma prévia, antes de quaisquer comunicações externas com
clientes ou demais funcionários.

5.3. Contenção, Erradicação e Recuperação

A empresa XPTO possui estratégias para identificação de incidentes, avaliação e qualificação, coleta de
inteligência de ameaças, , chegando a contenção, erradicação e recuperação de incidentes, análise de
incidentes, até chegar a elaboração do relatórios de incidentes, conforme estabelecido no Plano de
Resposta a Incidentes, de acordo com o tipo e criticidade do incidente.

Para incidentes de criticidade alta, os procedimentos a serem executados nas fases de contenção,
erradicação e recuperação, incluindo a coleta e a preservação de evidências, são descritos no Procedimento
Operacional de Resposta a Incidentes.

5.4. Lições aprendidas

Após a ocorrência de um incidente de criticidade alta, deve ser realizada uma reunião com todas as partes
envolvidas, para analisar criticamente as informações sobre o tratamento do incidente, verificar quais
foram as lições aprendidas e quais são as melhorias que podem ser implementadas para a prevenção de
futuros incidentes.

O relatório obtido como resultado dessa reunião, deve ser utilizado para:

 Atualizar esta política, o Plano de Resposta a Incidentes e os Procedimentos Operacionais de

Resposta a Incidentes;
 Melhorar procedimentos e controles implementados para elevar o nível de maturidade da
empresa XPTO para responder a incidentes;
 Agregar a base de conhecimento de incidentes disponível para todos os membros das equipes de
tecnologia e segurança da informação;
 Identificar ameaças e vulnerabilidades que não foram tratadas anteriormente;

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 9 de 10

 Justificar necessidades de financiamento adicional para a implementação de novas ferramentas e

recursos, e treinamento especializado para membros das equipes de tecnologia e segurança da
informação.

6. Referência a outros documentos

Código Título

SIN-POL-002 Política Geral de Segurança da Informação

ISO/IEC 27002 Tecnologia da informação — Técnicas de segurança — Código de prática

para controles de segurança da informação

ISO/IEC 27032 Tecnologia da Informação — Técnicas de segurança — Diretrizes para

segurança cibernética

ISO/IEC 27035 Information technology — Security techniques — Information security

incident management

Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (LGPD)

NIST SP 800-61 R2 Computer Security Incident Handling Guide

7. Controle de alterações
Versão Data Finalidade Autor

8. Controle de registros

Identificação Armazenament Proteção Recuperação Retenção Disposição

Elaborado por: Aprovado por: Data

 Código Revisão
Política

Classificação da
Página
Informação
Gestão de Incidentes
Interno 10 de 10

9. Aprovações

Data Aprovadores Assinaturas

Elaborado por: Aprovado por: Data