Introdução
O usuário dos recursos de tecnologia da
informação do Instituto Mauá de Tecnologia
(IMT) é informado, por meio da política de
segurança da informação, de que a utilização
feita por ele dos acessos concedidos para
possa desempenhar suas atividades
administrativas ou acadêmicas é monitorada e
auditada.
A monitoração dos usos dos recursos de
tecnologia da informação é uma medida de
controle para minimizar os riscos de que
malwares, ataques, invasões, ações
mal-intencionadas, erros operacionais, erros
humanos e outros tipos de ameaças
cibernéticas afetem o Instituto Mauá de
Tecnologia (IMT) e as pessoas que participam
de suas atividades.
A auditoria de segurança da informação, por
outro, é uma verificação periódica,
executada por equipes internas ou externas,
da robustez das medidas de controle de
riscos implementadas.
Bases Legais da Monitoração e da Auditoria
As bases legais para a monitoração e para a
auditoria de segurança da informação são as
leis brasileiras que tratam da obrigação das
organizações de proverem ambiente seguro de
trabalho para os seus colaboradores e prover
serviços que não coloquem em risco os
clientes de seus serviços.
Entre estas leis se destaca a Lei Geral de
Proteção de Dados (LGPD), que traz para as
organizações que são agentes de tratamento
de dados a exigência de aplicarem medidas de
segurança da informação aptas a protegerem
os titulares contra os riscos de vazamento
ou uso inadequado dos seus dados pessoais.
Aplicação da Monitoração e da Auditoria
A monitoração de segurança da informação e a
auditoria são executadas de forma impessoal
e tem por base, além dos registros (logs) e
trilhas de auditorias de sistemas, os
alertas gerados por ferramentas de segurança
como AntiSpam, antivírus, firewall, sistema
de prevenção de intrusão (IPS), sistema de
prevenção ao vazamento de dados (DLP) e
outras similares.
Grupos com Acessos Privilegiados ou Maior
Exposição ao Risco
Para grupos de usuários que tenham acessos
administrativos aos sistemas do Instituto
Mauá de Tecnologia ou, por motivo de sua
função, exerçam atividades mais expostas aos
ataques cibernéticos, o acompanhamento do
uso dos recursos de tecnologia é mais
abrangente e a efetividade dos controles
aplicados sobre eles é um dos focos
principais das auditorias externas e
internas de segurança da informação.
Confidencialidade da Monitoração e das
Auditorias
A monitoração de segurança da informação e
as auditorias de segurança da informação são
conduzidas pela Gerência de Tecnologia da
Informação (GTI) e as informações que trata
são classificadas como confidenciais.
O propósito da monitoração é identificar
incidentes de segurança da informação e
permitir a resposta efetiva aos incidentes
de segurança da informação. Para este
propósito, os dados pessoais coletados e
analisados são o userid e os registos,
trilhas de auditoria e alertas de
ferramentas de segurança sobre o uso
efetuado pelo usuário dos recursos
disponibilizados pelo IMT.
Em casos de incidentes de segurança da
informação estes dados podem ser retidos
como evidências do incidente e utilizados
pelo jurídico do IMT na condução de
eventuais medidas legais.
O tratamento de dados pessoais para fins de
monitoração é conduzido em conformidade com
as políticas de segurança da informação e de
privacidade do IMT, em caso de dúvidas sobre
este tratamento, o usuário pode consultar o
DPO IMT.
|
