Regra para a Monitoração e Auditoria de Segurança da Informação

O usuário dos recursos de tecnologia da informação do Instituto Mauá de Tecnologia (IMT) é informado, por meio da política de segurança da informação, de que a utilização feita por ele dos acessos concedidos para possa desempenhar suas atividades administrativas ou acadêmicas é monitorada e auditada.

A monitoração dos usos dos recursos de tecnologia da informação é uma medida de controle para minimizar os riscos de que malwares, ataques, invasões, ações mal-intencionadas, erros operacionais, erros humanos e outros tipos de ameaças cibernéticas afetem o Instituto Mauá de Tecnologia (IMT) e as pessoas que participam de suas atividades.

A auditoria de segurança da informação, por outro, é uma verificação periódica, executada por equipes internas ou externas, da robustez das medidas de controle de riscos implementadas.

As bases legais para a monitoração e para a auditoria de segurança da informação são as leis brasileiras que tratam da obrigação das organizações de proverem ambiente seguro de trabalho para os seus colaboradores e prover serviços que não coloquem em risco os clientes de seus serviços.

Entre estas leis se destaca a Lei Geral de Proteção de Dados (LGPD), que traz para as organizações que são agentes de tratamento de dados a exigência de aplicarem medidas de segurança da informação aptas a protegerem os titulares contra os riscos de vazamento ou uso inadequado dos seus dados pessoais.

A monitoração de segurança da informação e a auditoria são executadas de forma impessoal e tem por base, além dos registros (logs) e trilhas de auditorias de sistemas, os alertas gerados por ferramentas de segurança como AntiSpam, antivírus, firewall, sistema de prevenção de intrusão (IPS), sistema de prevenção ao vazamento de dados (DLP) e outras similares.

Para grupos de usuários que tenham acessos administrativos aos sistemas do Instituto Mauá de Tecnologia ou, por motivo de sua função, exerçam atividades mais expostas aos ataques cibernéticos, o acompanhamento do uso dos recursos de tecnologia é mais abrangente e a efetividade dos controles aplicados sobre eles é um dos focos principais das auditorias externas e internas de segurança da informação.

A monitoração de segurança da informação e as auditorias de segurança da informação são conduzidas pela Gerência de Tecnologia da Informação (GTI) e as informações que trata são classificadas como confidenciais.

O propósito da monitoração é identificar incidentes de segurança da informação e permitir a resposta efetiva aos incidentes de segurança da informação. Para este propósito, os dados pessoais coletados e analisados são o userid e os registos, trilhas de auditoria e alertas de ferramentas de segurança sobre o uso efetuado pelo usuário dos recursos disponibilizados pelo IMT.

Em casos de incidentes de segurança da informação estes dados podem ser retidos como evidências do incidente e utilizados pelo jurídico do IMT na condução de eventuais medidas legais.

O tratamento de dados pessoais para fins de monitoração é conduzido em conformidade com as políticas de segurança da informação e de privacidade do IMT, em caso de dúvidas sobre este tratamento, o usuário pode consultar o DPO IMT.