Introdução
Este documento apresenta as regras gerais a
serem seguidas pelos usuários e equipes do
Instituto Mauá de Tecnologia (IMT) em
situações de ocorrência de incidentes de
segurança da informação.
Um incidente de segurança da informação é
uma violação da política de segurança da
informação do IMT ou uma ocorrência anormal
em seu ambiente de tecnologia da informação
que possa causar danos aos usuários, aos
recursos de tecnologia ou a outras partes
envolvidas.
Identificação de Incidentes pelos Usuários
Os usuários devem informar imediatamente
para a GTI qualquer ocorrência anormal ou
violação da política de segurança da
informação do IMT. Para isso podem usar os
canais disponibilizados de suporte técnico
ou o e-mail xxxxxxxxxxxxxxxx.
Identificação de Incidentes pela Monitoração
da GTI
O uso dos recursos de tecnologia da
informação do IMT é monitorado e analisado
pela GTI com a finalidade de identificar
incidentes de segurança da informação.
Identificação de Incidentes por meio de
auditoria
A área de GTI pode conduzir periodicamente
auditorias internas e contratar auditorias
externas para fins de certificação ou
validação da efetividade das medidas de
segurança da informação do IMT. Estas
auditorias podem também identificar
incidentes de segurança da informação.
Comunicação Interna Sobre o Tratamento do
Incidente
A GTI é a responsável pela comunicação das
medidas de tratamento de incidentes de
segurança da informação. Todas as
informações para as demais áreas do IMT
serão centralizadas e distribuídas nos
momentos apropriados por seu gestor ou pela
pessoa indicada por ele para esta atividade.
Comunicação Externa Sobre o Tratamento do
Incidente
Toda comunicação externa sobre o tratamento
do incidente deverá ser feita apenas pela
área responsável pela assessoria de imprensa
e pelo DPO. A GTI manterá estas áreas
informadas para que possam prestar as
informações de forma precisa e correta
quando apropriado.
Tratamento de incidentes de Segurança da
Informação
O tratamento de incidentes de segurança da
informação é conduzido pela equipe técnica
da GTI. Caso haja necessidade, para a
análise apropriada da ocorrência e de suas
consequências, GTI pode requisitar o apoio
de outras áreas administrativas e acadêmicas
do instituto, bem como levantar informações
adicionais junto aos usuários afetados e
retirar equipamentos e outros recursos para
verificação técnica.
O tratamento de incidentes de segurança é
priorizado pela GTI de acordo com a sua
criticidade, tendo por objetivos principais
conter os possíveis danos, identificar as
causas e providenciar as medidas para
diminuir o risco de que o incidente se
repita. O tempo de tratamento varia de
acordo com o incidente e se estende até o
seu encerramento pela GTI.
Um tratamento é encerrado pela GTI apenas
quando há razoável certeza, em sua equipe
técnica e nas demais pessoas envolvidas no
tratamento, de que a ocorrência anormal foi
controlada, não há mais possibilidade de
danos adicionais ao ambiente de tecnologia
da informação do IMT por seu agente causador
(malware, pessoa ou outro tipo qualquer de
agente causador), as possíveis causas foram
identificadas (vulnerabilidades, falhas
operacionais, falhas humanas, etc.) e a
normalidade na operação dos recursos
afetados foi recuperada.
Violações de Privacidade
A GTI informará imediatamente ao DPO IMT
sempre que um incidente de segurança da
informará envolver, ou tiver a possibilidade
de envolver, o comprometimento da
confidencialidade, integridade ou
disponibilidade de dados pessoais.
Nesta circunstância, o DPO IMT participará
das decisões sobre o tratamento do incidente
e tratará das instâncias relativas à
comunicação com a Autoridade Nacional de
Proteção de Dados (ANPD) e aos titulares de
dados pessoais.
Desdobramentos Jurídicos
A GTI requisitará a participação da área
jurídica do IMT nos processos de tratamento
de incidentes de segurança da informação
sempre que houver possibilidade de que o
incidente tenha consequências legais:
-
Envolva a violação de leis e
regulamentações;
-
Envolva a violação de cláusulas
contratuais;
-
Potencial de perdas e danos para pessoas
físicas ou jurídicas;
-
Possibilidade de intenção criminosa
entre suas causas;
-
Necessidade do acionamento dos agentes
públicos e autoridades policiais e/ou;
- Outras situações similares.
Em todas estas situações, a área jurídica
participará das decisões sobre o tratamento
do incidente de segurança da informação
Bloqueio ou Suspensão de Direitos de Acesso
Dependendo do tipo do incidente, o processo
de tratamento conduzido por GTI poderá
envolver o bloqueio temporário ou permanente
do acesso de usuários aos recursos de
tecnologia da informação do IMT.
Nesta situação, os superiores hierárquicos
dos usuários afetados serão informados pela
GTI das medidas tomadas e, dependendo da
gravidade da situação, serão informados
também a Superintendência, a Reitoria e a
Gerência de Recursos Humanos.
Guarda de Evidências
Sempre que houver a possibilidade de
desdobramentos jurídicos serão preservadas
as evidências do incidente de segurança da
informação e do seu tratamento. O tempo de
retenção das evidências e a responsabilidade
por sua custódia será determinada em
conjunto com o jurídico do IMT de acordo com
as características do incidente.
São possíveis evidências:
-
Registros mostrando a Data/Hora do
incidente, de sua identificação e
tratamento;
-
Registros de quem identificou o
incidente e de que forma;
-
Informações passadas pelos usuários
afetados;
-
Dados de acesso dos usuários
afetados;
-
Cópias físicas e lógicas dos
arquivos e mídias afetados;
-
Logs e trilhas de auditoria usados
para a identificação e análise do
incidente;
-
Registros de acesso aos recursos de
tecnologia da informação afetados;
-
Equipamentos retidos para análise;
-
Relatórios emitidos por ferramentas
de análise e perícia digital;
-
Comunicações internas e externas
emitidas durante o processo de
tratamento;
-
Nome das pessoas que participaram do
tratamento do incidente;
-
Relatório sobre o incidente emitido
pela GTI;
-
Outras informações requisitadas pelo
jurídico ou pelo DPO.
Sanções Jurídicas, Acadêmicas e
Administrativas
De acordo com as eventuais responsabilidades
pela ocorrência do incidente de segurança da
informação, identificadas em sua análise,
principalmente com relação as violações da
política de segurança da informação do IMT,
sua direção poderá tomar ações
complementares no âmbito jurídico, acadêmico
e administrativo, bem como aplicar as
sanções apropriadas.
Contatos Internos para o Tratamento de
Incidentes
GTI manterá uma lista de contato internos
para serem acionados em situações de
incidentes de segurança da informação. A
lista terá o nome do contato, a área a qual
está ligado, sua função dentro da área e um
telefone de emergência onde possa ser
contatado.
Todas as áreas do IMT deverão indicar pelo
menos dois nomes de sua equipe para
constarem da lista.
Os acionamentos serem feitos pela GTI
preferencialmente por meio da plataforma
TEAMS e o telefone de emergência só será
usado excepcionalmente quando não for
possível o contato por este canal.
Caso as pessoas indicadas não possam no
momento do acionamento, por qualquer razão,
participar do tratamento do incidente de
segurança da informação conduzido pela GTI,
deverão indicar outras pessoas de sua área
que possam atuar em seu lugar.
Recomendações de Ações Corretivas
O tratamento de um incidente de segurança da
informação pode levar a identificação de
situações que precisam ser corrigidas ou
melhoradas no ambiente de tecnologia da
informação do IMT, nos processos de trabalho
administrativos ou acadêmicos que se
utilizam deste ambiente, nos direitos de
acesso concedidos ou em outros aspectos de
como os usuários fazem uso dele.
Nestes casos, além da aplicação de correções
e melhorias por GTI, poderão ser feitas
também recomendações para outras áreas
administrativas e acadêmicas do IMT, que
deverão ser analisadas e aplicadas da melhor
forma.
|
