top of page

Última atualização: 01 de agosto de 2023

Política de Gestão de Vulnerabilidades

1. Objetivo.


A Política de Gestão de Vulnerabilidades tem como objetivo estabelecer diretrizes e práticas para identificar, avaliar, tratar e mitigar vulnerabilidades nos sistemas e na infraestrutura da GSS CARBON ("GSS"). O foco é garantir a segurança proativa, minimizando os riscos associados a possíveis explorações de vulnerabilidades. 

  

2. Abrangência.
 

Esta política é aplicável a todos os colaboradores, equipes de segurança, desenvolvimento, operações e demais partes envolvidas nos processos de gestão de vulnerabilidades na GSS. Abrange sistemas, redes, aplicativos e outros ativos críticos à segurança da informação. 

  

3. Conceitos e definições.
 

  • Vulnerabilidade: Fraqueza ou falha em um sistema que pode ser explorada por uma ameaça para comprometer a segurança.

  • Gestão de Vulnerabilidades: Processo de identificação, classificação, avaliação e tratamento de vulnerabilidades em um ambiente de tecnologia.

  • Varredura de Vulnerabilidades: Processo automatizado para identificar vulnerabilidades em sistemas, redes ou aplicativos.

  • Teste de Penetração: Avaliação de segurança que simula um ataque real para identificar e explorar vulnerabilidades.

  • Remediação: Ação corretiva para eliminar ou reduzir o impacto de uma vulnerabilidade identificada.

  • Equipe de segurança: Refere-se a todos os desenvolvedores e administradores que desempenham um papel crucial na garantia da segurança da informação e na proteção dos ativos da empresa contra ameaças cibernéticas.

  

4. Práticas de gestão de vulnerabilidade.
 

1. Identificação:

  • Utilizar ferramentas automáticas e processos manuais para identificar vulnerabilidades em sistemas e redes.

  • Manter inventários atualizados de ativos para facilitar a identificação eficaz.


​2. Avaliação de Riscos:

  • Classificar e avaliar a criticidade das vulnerabilidades identificadas.

  • Considerar o contexto operacional e as possíveis consequências de uma exploração.
     

3. Comunicação e Documentação:

  • Comunicar de forma clara e transparente as vulnerabilidades identificadas aos responsáveis pela segurança e desenvolvimento.

  • Documentar todas as etapas do processo de gestão de vulnerabilidades, incluindo ações tomadas e respostas.
     

4. Tratamento e Priorização:

  • Estabelecer uma ordem de prioridade para tratamento com base na criticidade, risco e impacto.

  • Implementar soluções de curto prazo enquanto planeja correções definitivas.
     

5. Varreduras e Testes de Penetração:

  • Realizar varreduras regulares em sistemas e redes para identificar novas vulnerabilidades.

  • Periodicamente, realizar testes de penetração para avaliar a eficácia das medidas de segurança.
     

6. Remediação:

  • Implementar correções e soluções para as vulnerabilidades identificadas conforme a prioridade estabelecida.

  • Realizar verificações pós-remediação para garantir a eficácia das correções.
     

7. Monitoramento Contínuo:

  • Implementar monitoramento contínuo para identificar atividades suspeitas relacionadas a vulnerabilidades.

  • Atualizar as práticas de gestão de vulnerabilidades com base em lições aprendidas e mudanças no cenário de ameaças.
     

5. Responsabilidades.
 

  • A equipe de segurança é responsável pela coordenação e execução da gestão de vulnerabilidades.
  • As equipes de desenvolvimento e operações são responsáveis pela implementação das correções e soluções.
     

6. Tabela de classificação de riscos.

O prazo para correção estabelecido na tabela indica o tempo máximo permitido para implementar as medidas de mitigação após a identificação de uma vulnerabilidade. Esse prazo é crucial para garantir uma resposta eficaz diante de potenciais ameaças, alinhando-se à abordagem proativa da política de gestão de vulnerabilidades da GSS.

 

 

7. Das penalidades.

O não cumprimento ou violação desta Política de Segurança da Informação e da Política de Hardening pela equipe, colaboradores, parceiros externos, ou prestadores de serviços poderá resultar em medidas disciplinares e legais, conforme a gravidade da infração. As penalidades podem incluir, mas não se limitam a:

  1. Advertência Formal: Em casos de infrações consideradas leves, a parte infratora pode receber uma advertência formal, destacando a violação específica e alertando sobre as consequências futuras em caso de reincidência.

  2. Suspensão de Acesso: Em situações mais sérias, a equipe, colaborador, parceiro externo ou prestador de serviços pode ter seu acesso aos sistemas e informações da GSS suspenso temporariamente.

  3. Rescisão de Contrato: No caso de parceiros externos ou prestadores de serviços, a GSS se reserva o direito de rescindir contratos em vigor em decorrência de violações graves das políticas de segurança.

  4. Responsabilidade Legal: Violações graves e repetidas podem resultar em ações legais, incluindo processos judiciais e reparações financeiras.

 

A aplicação das penalidades será realizada conforme a avaliação da gravidade da infração, considerando o impacto na segurança da informação da GSS. A equipe de Segurança da Informação e a Diretoria serão responsáveis por tomar as decisões apropriadas em casos de violações, buscando sempre garantir a proteção efetiva dos ativos de informação da organização.



 
Última atualização: 01 de agosto de 2023

bottom of page