A ALPHA CONSULTORES, no exercício de suas atribuições legais,
Considerando a Lei n.º 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados Pessoais (LGPD);
Considerando que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
Considerando que os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta política em relação aos dados pessoais, mesmo após o seu término,
R E S O L V E:
CAPÍTULO I
DA POLÍTICA E DEFINIÇÕES
Art. 1º Fica instituída a Política de Incidentes de Segurança da Informação da Alpha Consultores.
Art. 2º Para os efeitos desta Resolução, entende-se por:
I – Atividade: ação ou conjunto de ações executadas por um órgão ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou serviços.
II – Atividade Crítica: atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade de tal forma que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo.
III – Atividade Maliciosa: qualquer atividade que infrinja a política de segurança de uma instituição ou que atente contra a segurança de um sistema, serviço ou rede.
IV – Auditoria: processo de exame cuidadoso e sistemático das atividades desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas (em conformidade) à consecução dos objetivos.
V – Evento de Segurança: qualquer ocorrência identificada em um sistema, serviço ou rede que indique uma possível falha da política de segurança, falha das salvaguardas, ou mesmo uma situação até então desconhecida que possa se tornar relevante em termos de segurança.
VI – Fluxo de Trabalho de Incidentes: predefinição de etapas que devem ser tomadas para lidar com um tipo particular de Incidente.
VII – Gerenciamento de Incidentes: processo responsável por gerenciar o ciclo de vida de todos os incidentes. O gerenciamento de incidente garante que a operação normal de um sistema, serviço ou rede seja restaurada tão rapidamente quando possível e que o impacto no negócio seja minimizado.
VIII – Incidente: evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.
IX – Considera-se omissão a não observância das políticas de segurança definidas pela Alpha.
CAPÍTULO II
DO OBJETIVO
Art. 3º A Política de Incidentes de Segurança da Informação da Alpha tem por objetivos:
I – Diminuir os danos totais causados por incidentes que não puderam ser evitados, bem como a sua reincidência;
II – Promover a efetiva e eficaz Política da Segurança da Informação na Alpha; e
III – diminuir o número total de incidentes de segurança da informação envolvendo a Alpha, por meio de prevenção sistemática dos eventos e eliminação de situações que permitem a ocorrência desses incidentes.
Art. 4º A Política de Incidentes de Segurança da Informação é o documento que estabelece princípios, conceitos, diretrizes e responsabilidades sobre a gestão de incidentes de segurança da informação da Alpha e visa orientar o funcionamento do processo de gestão de incidentes de segurança digital e não digital da informação, de forma que estes sejam tratados adequadamente, reduzindo ao máximo os impactos para o negócio.
CAPÍTULO III
DA ABRANGÊNCIA
Art. 5º A Política de Incidentes de Segurança da Informação abrange todos os incidentes, confirmados ou sob suspeita, que envolvam o nome ou a propriedade da Alpha Consultores, bem como qualquer conselheiro, funcionário ou colaborador, no exercício da sua função ou relação com a Alpha.
Art. 6º A lista a seguir exemplifica, mas não esgota os possíveis incidentes de segurança da informação tratados nesta política:
I – Violar da Política de Controle de Ativos de Tecnologia da Informação da Alpha;
II – Violar uma política de segurança, explícita ou implícita;
III – realizar acesso indevido ou não autorizado às instalações, equipamentos, sistemas e serviços de informação e armazenamento de dados, informações e documentos mantidos, tratados e controlados pela Alpha que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização;
IV – Realizar acesso indevido ou não autorizado aos dados, informações e documentos mantidos, tratados e controlados pela Alpha que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização;
V – Conectar dispositivo de tecnologia à rede da Alpha que esteja contaminado com vírus de computador detectado por mecanismo automatizado ou pessoal qualificado;
VI – Violar norma de utilização ou configuração de dispositivo de tecnologia da informação, conectado ou não à rede da Alpha, detectada automática ou manualmente;
VII – vazar dados pessoais;
VIII – utilizar credenciais de autenticação (senhas) por indivíduo não proprietário delas ou de outrem;
IX – Facilitar fluxo de comunicação de rede caracterizado como atividade maliciosa por detecção de padrão ou análise manual, ou envolvendo dispositivos identificados por grupos de segurança como fonte de atividades maliciosas;
X – Omitir a comunicação de fragilidade de segurança conhecida em processo, instalações, equipamentos, sistemas e serviços de informação e armazenamento de dados, informações e documentos mantidos, tratados e controlados pela Alpha;
XI – violar direito autoral ou propriedade intelectual de qualquer natureza;
XII – realizar tentativa de fraude, bem ou malsucedida, independentemente do dano causado; e
XIII – quaisquer outros eventos que constituam violação de requisito de segurança estabelecido pela Política de Segurança da Informação da Alpha, tenham eles origem no própria Alpha ou em grupos externos.
CAPÍTULO IV
DAS COMPETÊNCIAS E RESPONSABILIDADES
Seção I
DAS COMPETÊNCIAS
Art. 7º Ao Comitê Gestor de Privacidade e Proteção de Dados compete:
I – Conduzir o processo de Gestão de Incidentes de Segurança da Informação;
II – Investigar incidentes, levantamento, cadeia de custódia e segurança das evidências;
III – acompanhar os planos de tratamento junto aos responsáveis pelos incidentes e criação de indicadores e relatórios;
IV – Comunicar aos líderes responsáveis; e
V – Realizar as análises dos pós-incidentes (post mortem) para identificação e tratamento de causas raiz e aprimoramento de processos da Alpha e do próprio processo de gestão de incidentes de segurança da informação.
Art. 8º À Coordenadoria de Gestão de TI e ao Departamento de Informática compete:
I – Executar os procedimentos de tratamento de incidentes de segurança da informação das informações digitais definidos nesta política, observado o que dispõe o Plano de Continuidade de TI da Alpha, no surgimento de qualquer denúncia e ou detecção automatizada e de registrar os incidentes tratados, conforme o modelo apresentado no Anexo I – Relatório de Incidentes;
II – Definir, divulgar e promover medidas, controles e sugestões de modificações em processos de trabalho que diminuam a probabilidade da ocorrência de incidentes de segurança da informação envolvendo a Alpha;
III – avaliar periodicamente e analisar criticamente os registros de incidentes que resultem do processo de tratamento de incidentes de segurança e a promoção de ações que evitem a reincidência de incidentes já ocorridos;
IV – Dar suporte às investigações por meio do fornecimento de informações e esclarecimentos sobre o ambiente tecnológico e os processos da área; e
V – Elaborar, anualmente, relatório estatístico do número de incidentes para fins de acompanhamento pela Alpha.
Art. 9º À Coordenadoria de Logística e ao Setor de Gestão Documental compete:
I – Executar os procedimentos de tratamento de incidentes de segurança da informação das informações não digitais definidos nesta política no surgimento de qualquer denúncia e/ou detecção automatizada e de registrar os incidentes tratados;
II – Definir, divulgar e promover medidas, controles e sugestões de modificações em processos de trabalho que diminuam a probabilidade da ocorrência de incidentes de segurança da informação envolvendo a Alpha;
III – avaliar periodicamente e analisar criticamente os registros de incidentes que resultem do processo de tratamento de incidentes de segurança e a promoção de ações que evitem a reincidência de incidentes já ocorridos; e
IV – Dar suporte às investigações por meio do fornecimento de informações e esclarecimentos sobre o ambiente tecnológico e os processos da área.
Seção II
DAS RESPONSABILIDADES
Art. 10 As responsabilidades dos líderes ao serem notificados sobre incidentes que envolvam recursos ou informações sob sua responsabilidade, devem colaborar com eventuais investigações e tratar os incidentes com a devida urgência e pré-definidos pelo Comitê Gestor de Privacidade e Proteção de Dados.
Art. 11 As responsabilidades dos conselheiros, empregados e colaboradores são:
I – Todos os conselheiros, empregados e colaboradores devem estar em capacidade de identificar incidentes de segurança da informação quando for testemunhado;
II – Todos os conselheiros, empregados e colaboradores devem notificar qualquer evento de segurança ou fragilidade observada que possa causar: prejuízos, interrupções, maus funcionamentos, imprecisão ou vazamento de informação nos sistemas, serviços ou redes da Alpha; e
III – todos os empregados e colaboradores devem informar imediatamente à área de Coordenadoria de Gestão de TI e à Coordenadoria de Logística todas as violações às políticas de segurança da informação, incidentes, violações de acessos ou anomalias que possam indicar a possibilidade de incidentes, sobre os quais venham a tomar conhecimento;
§ 1º Na apuração dos incidentes de segurança da informação será considerada a vontade orientada à realização do incidente de segurança, ou seja, o elemento subjetivo que concretiza os requisitos de vulnerabilidade dos dados pessoais; e
§ 2º Vulnerabilidades ou fragilidades suspeitas não deverão ser objeto de teste ou prova pelos conselheiros, empregados e colaboradores, sob o risco de violar a política de segurança digital e não digital e da informação, bem como provocar danos aos sistemas, serviços ou recursos tecnológicos digitais ou não digitais.
CAPÍTULO V
DAS VIOLAÇÕES E SANÇÕES
Art. 12 Os conselheiros, empregados e colaboradores que presenciarem o descumprimento de alguma das regras acima têm o dever de denunciar tal infração.
Art. 13 O descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.
CAPÍTULO VI
DA REVISÃO E ATUALIZAÇÃO
Art. 14 A Política de Incidentes de Segurança da Informação deverá ser revista e atualizada, sempre que necessário, com vistas a se manter em sintonia com as regras de negócios, com as melhores práticas do mercado, leis, regulamentos e demais aspectos.
Art. 15 Esta Resolução entra em vigor em 01/01/2022.
Marisa Valvezon
Sócia CEO
ANEXO I
RELATÓRIO DE INCIDENTES
DETALHES DO FUNCIONÁRIO
Nome:
Unidade Organizacional:
Contato: (nome e e-mail)
DESCRIÇÃO DO INCIDENTE
Localização:
Data: DD/MM/AAA Hora: 0X:XX Polícia notificada Sim ( ) Não ( )
Detalhes do Incidente:
Causas do Incidente:
Recomendações:
Acompanhamento de ações:
Atribuído a: Data: DD/MM/AAAA
REPORTADO POR
Nome: Departamento: