Regras para o Tratamento de Incidentes de Segurança da Informação

Este documento apresenta as regras gerais a serem seguidas pelos usuários e equipes do Instituto Mauá de Tecnologia (IMT) em situações de ocorrência de incidentes de segurança da informação.

Um incidente de segurança da informação é uma violação da política de segurança da informação do IMT ou uma ocorrência anormal em seu ambiente de tecnologia da informação que possa causar danos aos usuários, aos recursos de tecnologia ou a outras partes envolvidas.

Os usuários devem informar imediatamente para a GTI qualquer ocorrência anormal ou violação da política de segurança da informação do IMT.  Para isso podem usar os canais disponibilizados de suporte técnico ou o e-mail xxxxxxxxxxxxxxxx.

O uso dos recursos de tecnologia da informação do IMT é monitorado e analisado pela GTI com a finalidade de identificar incidentes de segurança da informação.

A área de GTI pode conduzir periodicamente auditorias internas e contratar auditorias externas para fins de certificação ou validação da efetividade das medidas de segurança da informação do IMT. Estas auditorias podem também identificar incidentes de segurança da informação.

A GTI é a responsável pela comunicação das medidas de tratamento de incidentes de segurança da informação. Todas as informações para as demais áreas do IMT serão centralizadas e distribuídas nos momentos apropriados por seu gestor ou pela pessoa indicada por ele para esta atividade.

Toda comunicação externa sobre o tratamento do incidente deverá ser feita apenas pela área responsável pela assessoria de imprensa e pelo DPO. A GTI manterá estas áreas informadas para que possam prestar as informações de forma precisa e correta quando apropriado.

O tratamento de incidentes de segurança da informação é conduzido pela equipe técnica da GTI. Caso haja necessidade, para a análise apropriada da ocorrência e de suas consequências, GTI pode requisitar o apoio de outras áreas administrativas e acadêmicas do instituto, bem como levantar informações adicionais junto aos usuários afetados e retirar equipamentos e outros recursos para verificação técnica.

O tratamento de incidentes de segurança é priorizado pela GTI de acordo com a sua criticidade, tendo por objetivos principais conter os possíveis danos, identificar as causas e providenciar as medidas para diminuir o risco de que o incidente se repita. O tempo de tratamento varia de acordo com o incidente e se estende até o seu encerramento pela GTI.

Um tratamento é encerrado pela GTI apenas quando há razoável certeza, em sua equipe técnica e nas demais pessoas envolvidas no tratamento, de que a ocorrência anormal foi controlada, não há mais possibilidade de danos adicionais ao ambiente de tecnologia da informação do IMT por seu agente causador (malware, pessoa ou outro tipo qualquer de agente causador), as possíveis causas foram identificadas (vulnerabilidades, falhas operacionais, falhas humanas, etc.) e a normalidade na operação dos recursos afetados foi recuperada.

A GTI informará imediatamente ao DPO IMT sempre que um incidente de segurança da informará envolver, ou tiver a possibilidade de envolver, o comprometimento da confidencialidade, integridade ou disponibilidade de dados pessoais.

Nesta circunstância, o DPO IMT participará das decisões sobre o tratamento do incidente e tratará das instâncias relativas à comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados pessoais.

A GTI requisitará a participação da área jurídica do IMT nos processos de tratamento de incidentes de segurança da informação sempre que houver possibilidade de que o incidente tenha consequências legais:

• Envolva a violação de leis e regulamentações;
• Envolva a violação de cláusulas contratuais;
• Potencial de perdas e danos para pessoas físicas ou jurídicas;
• Possibilidade de intenção criminosa entre suas causas;
• Necessidade do acionamento dos agentes públicos e autoridades policiais e/ou;
• Outras situações similares.

Em todas estas situações, a área jurídica participará das decisões sobre o tratamento do incidente de segurança da informação

Dependendo do tipo do incidente, o processo de tratamento conduzido por GTI poderá envolver o bloqueio temporário ou permanente do acesso de usuários aos recursos de tecnologia da informação do IMT.

Nesta situação, os superiores hierárquicos dos usuários afetados serão informados pela GTI das medidas tomadas e, dependendo da gravidade da situação, serão informados também a Superintendência, a Reitoria e a Gerência de Recursos Humanos.

Sempre que houver a possibilidade de desdobramentos jurídicos serão preservadas as evidências do incidente de segurança da informação e do seu tratamento. O tempo de retenção das evidências e a responsabilidade por sua custódia será determinada em conjunto com o jurídico do IMT de acordo com as características do incidente.

São possíveis evidências:

• Registros mostrando a Data/Hora do incidente, de sua identificação e tratamento;

• Registros de quem identificou o incidente e de que forma;

• Informações passadas pelos usuários afetados;

• Dados de acesso dos usuários afetados;

• Cópias físicas e lógicas dos arquivos e mídias afetados;

• Logs e trilhas de auditoria usados para a identificação e análise do incidente;

• Registros de acesso aos recursos de tecnologia da informação afetados;

• Equipamentos retidos para análise;

• Relatórios emitidos por ferramentas de análise e perícia digital;

• Comunicações internas e externas emitidas durante o processo de tratamento;

• Nome das pessoas que participaram do tratamento do incidente;

• Relatório sobre o incidente emitido pela GTI;

• Outras informações requisitadas pelo jurídico ou pelo DPO.

De acordo com as eventuais responsabilidades pela ocorrência do incidente de segurança da informação, identificadas em sua análise, principalmente com relação as violações da política de segurança da informação do IMT, sua direção poderá tomar ações complementares no âmbito jurídico, acadêmico e administrativo, bem como aplicar as sanções apropriadas.

GTI manterá uma lista de contato internos para serem acionados em situações de incidentes de segurança da informação. A lista terá o nome do contato, a área a qual está ligado, sua função dentro da área e um telefone de emergência onde possa ser contatado.

Todas as áreas do IMT deverão indicar pelo menos dois nomes de sua equipe para constarem da lista.

Os acionamentos serem feitos pela GTI preferencialmente por meio da plataforma TEAMS e o telefone de emergência só será usado excepcionalmente quando não for possível o contato por este canal.

Caso as pessoas indicadas não possam no momento do acionamento, por qualquer razão, participar do tratamento do incidente de segurança da informação conduzido pela GTI, deverão indicar outras pessoas de sua área que possam atuar em seu lugar.

O tratamento de um incidente de segurança da informação pode levar a identificação de situações que precisam ser corrigidas ou melhoradas no ambiente de tecnologia da informação do IMT, nos processos de trabalho administrativos ou acadêmicos que se utilizam deste ambiente, nos direitos de acesso concedidos ou em outros aspectos de como os usuários fazem uso dele.

Nestes casos, além da aplicação de correções e melhorias por GTI, poderão ser feitas também recomendações para outras áreas administrativas e acadêmicas do IMT, que deverão ser analisadas e aplicadas da melhor forma.