Última atualização: 01 de agosto de 2023
Política de Gestão de Vulnerabilidades
1. Objetivo.
A Política de Gestão de Vulnerabilidades tem como objetivo estabelecer diretrizes e práticas para identificar, avaliar, tratar e mitigar vulnerabilidades nos sistemas e na infraestrutura da GSS CARBON ("GSS"). O foco é garantir a segurança proativa, minimizando os riscos associados a possíveis explorações de vulnerabilidades.
2. Abrangência.
Esta política é aplicável a todos os colaboradores, equipes de segurança, desenvolvimento, operações e demais partes envolvidas nos processos de gestão de vulnerabilidades na GSS. Abrange sistemas, redes, aplicativos e outros ativos críticos à segurança da informação.
3. Conceitos e definições.
-
Vulnerabilidade: Fraqueza ou falha em um sistema que pode ser explorada por uma ameaça para comprometer a segurança.
-
Gestão de Vulnerabilidades: Processo de identificação, classificação, avaliação e tratamento de vulnerabilidades em um ambiente de tecnologia.
-
Varredura de Vulnerabilidades: Processo automatizado para identificar vulnerabilidades em sistemas, redes ou aplicativos.
-
Teste de Penetração: Avaliação de segurança que simula um ataque real para identificar e explorar vulnerabilidades.
-
Remediação: Ação corretiva para eliminar ou reduzir o impacto de uma vulnerabilidade identificada.
-
Equipe de segurança: Refere-se a todos os desenvolvedores e administradores que desempenham um papel crucial na garantia da segurança da informação e na proteção dos ativos da empresa contra ameaças cibernéticas.
4. Práticas de gestão de vulnerabilidade.
1. Identificação:
-
Utilizar ferramentas automáticas e processos manuais para identificar vulnerabilidades em sistemas e redes.
-
Manter inventários atualizados de ativos para facilitar a identificação eficaz.
2. Avaliação de Riscos:
-
Classificar e avaliar a criticidade das vulnerabilidades identificadas.
-
Considerar o contexto operacional e as possíveis consequências de uma exploração.
3. Comunicação e Documentação:
-
Comunicar de forma clara e transparente as vulnerabilidades identificadas aos responsáveis pela segurança e desenvolvimento.
-
Documentar todas as etapas do processo de gestão de vulnerabilidades, incluindo ações tomadas e respostas.
4. Tratamento e Priorização:
-
Estabelecer uma ordem de prioridade para tratamento com base na criticidade, risco e impacto.
-
Implementar soluções de curto prazo enquanto planeja correções definitivas.
5. Varreduras e Testes de Penetração:
-
Realizar varreduras regulares em sistemas e redes para identificar novas vulnerabilidades.
-
Periodicamente, realizar testes de penetração para avaliar a eficácia das medidas de segurança.
6. Remediação:
-
Implementar correções e soluções para as vulnerabilidades identificadas conforme a prioridade estabelecida.
-
Realizar verificações pós-remediação para garantir a eficácia das correções.
7. Monitoramento Contínuo:
-
Implementar monitoramento contínuo para identificar atividades suspeitas relacionadas a vulnerabilidades.
-
Atualizar as práticas de gestão de vulnerabilidades com base em lições aprendidas e mudanças no cenário de ameaças.
5. Responsabilidades.
- A equipe de segurança é responsável pela coordenação e execução da gestão de vulnerabilidades.
- As equipes de desenvolvimento e operações são responsáveis pela implementação das correções e soluções.
6. Tabela de classificação de riscos.
O prazo para correção estabelecido na tabela indica o tempo máximo permitido para implementar as medidas de mitigação após a identificação de uma vulnerabilidade. Esse prazo é crucial para garantir uma resposta eficaz diante de potenciais ameaças, alinhando-se à abordagem proativa da política de gestão de vulnerabilidades da GSS.
7. Das penalidades.
O não cumprimento ou violação desta Política de Segurança da Informação e da Política de Hardening pela equipe, colaboradores, parceiros externos, ou prestadores de serviços poderá resultar em medidas disciplinares e legais, conforme a gravidade da infração. As penalidades podem incluir, mas não se limitam a:
-
Advertência Formal: Em casos de infrações consideradas leves, a parte infratora pode receber uma advertência formal, destacando a violação específica e alertando sobre as consequências futuras em caso de reincidência.
-
Suspensão de Acesso: Em situações mais sérias, a equipe, colaborador, parceiro externo ou prestador de serviços pode ter seu acesso aos sistemas e informações da GSS suspenso temporariamente.
-
Rescisão de Contrato: No caso de parceiros externos ou prestadores de serviços, a GSS se reserva o direito de rescindir contratos em vigor em decorrência de violações graves das políticas de segurança.
-
Responsabilidade Legal: Violações graves e repetidas podem resultar em ações legais, incluindo processos judiciais e reparações financeiras.
A aplicação das penalidades será realizada conforme a avaliação da gravidade da infração, considerando o impacto na segurança da informação da GSS. A equipe de Segurança da Informação e a Diretoria serão responsáveis por tomar as decisões apropriadas em casos de violações, buscando sempre garantir a proteção efetiva dos ativos de informação da organização.
Última atualização: 01 de agosto de 2023