Última atualização: 01 de agosto de 2023
Política de Gestão de Incidentes de Segurança da Informação
1. Objetivos.
A Política de Gestão de Incidentes de Segurança da Informação é o documento que estabelece princípios, conceitos, diretrizes e responsabilidades sobre a gestão de incidentes de segurança da informação da plataforma GSS CARBON ("GSS") e visa orientar o funcionamento do processo de gestão de incidentes de segurança cibernética e da informação, de forma que estes sejam tratados adequadamente reduzindo ao máximo os impactos para o negócio.
2. Conceitos e definições.
— Informação: Qualquer conjunto de dados que resulte em algum significado compreensível. A informação pode possuir algum valor para a empresa, seus clientes, parceiros e colaboradores, bem como pode ser de propriedade da empresa ou estar sob sua custódia;
— Colaborador: Entende-se como colaborador qualquer pessoa que trabalhe para GSS, quer seja: funcionário com registro em carteira de trabalho, terceiro, estagiário, aprendiz ou trainee;
— Gestor: Colaborador que exerce cargo de liderança;
— Recurso: Qualquer ativo, tangível ou intangível, pertencente a serviço ou sob responsabilidade da GSS, que possua valor para a empresa. Podem ser considerados recursos: pessoas, ambientes físicos, tecnologias, serviços contratados, em nuvem, sistemas e processos;
— Grupo de Segurança da Informação: grupo composto por membros da diretoria, membros equipe de tecnologia e departamento jurídico.
3. Diretrizes.
Esta Política não será extinta ou cancelada. Será revisada em períodos não superior a um ano, quando será publicada uma nova versão, caso haja necessidade de ajustes. Será, portanto, substituída por outra com mesmo objetivo e valor que a administração entender cabível ou necessário.
4. Papéis e responsabilidades.
As responsabilidades do grupo de Segurança da Informação são:
-
Condução do processo de Gestão de Incidentes de Segurança da Informação;
-
Investigação de incidentes, levantamento, cadeia de custódia e segurança das evidências;
-
Acompanhamentos dos planos de tratamento junto aos responsáveis pelos incidentes e criação de indicadores e relatórios;
-
Comunicação aos Gestores responsáveis;
-
Realização de análises pós-incidentes (post mortem) para identificação e tratamento de causas raiz e aprimoramento de processos da empresa e do próprio processo de gestão de incidentes de segurança da informação.
As responsabilidades dos Colaboradores são:
-
Devem informar imediatamente ao grupo de Segurança da Informação todas as violações às políticas de segurança da informação, incidentes, violações de acessos ou anomalias que possam indicar a possibilidade de incidentes, sobre os quais venham a tomar conhecimento.
As responsabilidades da área de Tecnologia:
-
Provimento dos acessos necessários para que os responsáveis possam realizar a identificação e investigação de incidentes de segurança;
-
Responsável pelo provimento de trilhas de auditoria e evidencias para a investigação de incidentes;
-
Suporte às investigações através do fornecimento de informações e esclarecimentos sobre o ambiente tecnológico e os processos da área.
As responsabilidades dos Gestores são:
-
Ao serem notificados sobre incidentes que envolvam recursos ou informações sob sua responsabilidade, devem colaborar com eventuais investigações e tratar os incidentes com a devida urgência e SLAs predefinidos pela área de Gestão de Risco.
As responsabilidades da área Jurídica são:
-
Suporte às questões legais relacionados a incidentes de segurança da informação.
5. Critérios gerais sobre os incidentes de segurança da informação.
São considerados Incidentes de Segurança da Informação quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de segurança da informação: confidencialidade, integridade, disponibilidade e conformidade, colocando o negócio e seus objetivos em risco;
Todos os colaboradores devem estar em capacidade de identificar incidentes de segurança da informação quando for testemunhado.
Todos os colaboradores devem notificar qualquer evento de segurança ou fragilidade observada que possam causar: prejuízos, interrupções, maus funcionamentos, imprecisão ou vazamento de informação nos sistemas da empresa.
Vulnerabilidades ou fragilidades suspeitas não deverão ser objeto de teste ou prova pelos colaboradores, sob o risco de violar a política de segurança da informação, bem como provocar danos aos serviços ou recursos tecnológicos.
A lista a seguir exemplifica, mas não esgota os possíveis incidentes de segurança da informação tratados nesta política:
— Qualquer evento adverso confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, bem como estruturas físicas e lógicas associadas, que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização;
— Indisponibilidade do ambiente tecnológico em virtude de ataque malicioso interno ou externo;
— Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros);
— Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente de TI;
— Ato de violar uma política de segurança, explícita ou implícita;
— Uso ou acesso não autorizado a um sistema;
— Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
— Compartilhamento de senhas.
O conteúdo da notificação precisa ser claro, em formato simples e deve incluir as informações necessárias para a rápida e correta identificação do problema e da ação requerida.
Os eventos de incidente de segurança da informação devem ser categorizados e classificados através de uma matriz de severidade com intuito de se ter uma melhor visibilidade, tratamento e prioridade quanto a sua gestão.
Os eventos abaixo não são considerados eventos de segurança da informação:
— Eventos acidentais (falhas de hardware ou sistêmicas) não intencionais;
— Eventos não maliciosos (erro humano ou descuido que não infrinja as regras de segurança da informação).
Todos os eventos de incidente de segurança da informação devem ser registrados nos controles e/ou ferramentas para a devida triagem e tratamento.
A gestão de incidentes de segurança da informação deve contemplar processos que atendam aos seguintes objetivos:
-
Detecção: identificação de incidentes por meio de monitoração, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos;
-
Registro e análise: registro dos incidentes, análise, classificação quanto ao tipo, severidade e priorização;
-
Comunicação: comunicação do incidente às partes envolvidas e caso necessário entidades externas;
-
Resposta: contenção do incidente, análises forenses, custódia de evidências, tratamento do incidente e da causa raiz;
-
Finalização: encerramento formal e análise post mortem para identificação de possíveis melhorias em processos, controles e na própria gestão de incidentes.
É de extrema importância que o horário de servidores e equipamentos de redes estejam sincronizados com uma fonte confiável de tempo (ex: via protocolo NTP) para que não haja disparidades na correlação de eventos, logs e outros dados.
Violações ou tentativas de violação da Diretriz de Segurança da Informação, de normas ou de controles de segurança da informação, intencionais ou não, são considerados incidentes de segurança.
Incidentes de segurança podem ser identificados por processos de monitoração da área de infraestrutura por Colaboradores que observem fragilidades, anomalias e violações que coloquem a segurança da empresa em risco.
Todos os incidentes de segurança da informação devem ser documentados, classificados, priorizados de acordo com a criticidade do evento e comunicados aos gestores responsáveis no momento apropriado.
Deve ser definido um plano de comunicação de incidentes de segurança da informação que esteja de acordo com a classificação e o nível de criticidade do incidente. Em casos mais simples e de baixa criticidade apenas o gestor responsável pelo recurso ou informação deve ser comunicado. Em casos mais graves a Diretoria Executiva, a área Jurídica ou outros departamentos pertinentes devem ser comunicados.
A investigação de incidentes de Segurança da Informação deve ser realizada exclusivamente pelo grupo de Segurança da Informação e de Tecnologia, de forma a garantir a privacidade e o sigilo das informações obtidas.
Sendo necessárias informações ou levantamentos, para os quais devam ser analisadas trilhas de auditoria (logs), acessos à Internet, fluxo de mensagens ou conteúdo de caixas de correio, ou outras informações que coloquem em risco a privacidade de colaboradores e o sigilo das informações da organização, deve ser aberto um incidente junto a o grupo de Segurança da Informação para que este realize as investigações.
As informações obtidas e arquivadas pelo processo de Gestão de Incidentes de Segurança da informação devem ser protegidas de forma a garantir a privacidade de colaboradores e o sigilo das informações do grupo, não podendo ser fornecidas a outros departamentos ou auditorias.
A identificação de incidentes de segurança pode ocasionar o corte imediato dos acessos de colaboradores envolvidos ou a desconexão de sistemas, até que sejam concluídas as investigações necessárias.
O acesso às evidências e relatório de incidentes de segurança da informação é permitido apenas a o grupo de Segurança da Informação e aos Gestores diretamente envolvidos nos incidentes.
A documentação de incidentes, resultados de investigações, evidências e suas soluções devem ser atualizadas logo após a conclusão do tratamento do incidente.
O contato para a notificação de incidentes de segurança da informação deve ser feito diretamente o grupo de Segurança da Informação através de canais previamente definidos.
6. Das penalidades.
O Colaborador que presenciar o descumprimento de alguma das regras acima tem o dever de denunciar tal infração. Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.
7. Da revisão e atualização.
O Colaborador que presenciar o descumprimento de alguma das regras acima tem o dever de denunciar tal infração. Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.
Última atualização: 01 de agosto de 2023