Política de Gestão de Incidentes de Segurança da Informação

1.      OBJETIVO

A Política de Gestão de Incidentes de Segurança da Informação é o documento que estabelece princípios, conceitos, diretrizes e responsabilidades sobre a gestão de incidentes de segurança da informação e visa orientar o funcionamento do processo de gestão de incidentes de segurança cibernética e da informação, de forma que estes sejam tratados adequadamente reduzindo ao máximo os impactos para o negócio.

2.    ABRANGÊNCIA

A Política de Gestão de Incidentes de Segurança da Informação tem abrangência corporativa na WisePay, ou seja, afeta todas as suas áreas de negócio e demais operações no que se refere a ocorrência de incidentes de segurança da informação.

3.    CONCEITOS

Informação: Qualquer conjunto de dados que resulte em algum significado compreensível. A informação pode possuir algum valor para a WisePay, seus clientes, parceiros e colaboradores, bem como pode ser de propriedade da empresa ou estar sob sua custódia;

Colaborador: Entende-se como colaborador qualquer pessoa que trabalhe para a WisePay quer seja: funcionário com registro em carteira de trabalho, terceiro, estagiário, aprendiz ou trainee;

Gestor: Colaborador que exerce cargo de liderança, como: presidente, vice-presidente, diretor, gerente, coordenador, líder ou chefe de seção;

Recurso: Qualquer ativo, tangível ou intangível, pertencente a serviço ou sob responsabilidade da WisePay, que possua valor para a empresa. Podem ser considerados recursos: pessoas, ambientes físicos, tecnologias, serviços contratados, em nuvem, sistemas e processos.

4.    PAPÉIS E RESPONSABILIDADES

Gestor de TI e DPO - Data Protection Officer, são responsáveis por: 

●    Condução do processo de Gestão de Incidentes de Segurança da Informação; 

●    Investigação de incidentes, levantamento, cadeia de custódia e segurança das evidências;

●    Acompanhamentos dos planos de tratamento junto aos responsáveis pelos incidentes e criação de indicadores e relatórios;

●    Comunicação aos Gestores responsáveis; 

●    Realização de análises pós-incidentes (post mortem) para identificação e tratamento de causas raiz e aprimoramento de processos da empresa e do próprio processo de gestão de incidentes de segurança da informação.

Os Colaboradores devem informar imediatamente à área de Gestão de TI e ao DPO todas as violações às políticas de segurança da informação, incidentes, violações de acessos ou anomalias que possam indicar a possibilidade de incidentes, sobre os quais venham a tomar conhecimento. 

As responsabilidades da área de TI são por disponibilizar: 

●    Os acessos necessários para que o DPO que possa realizar a identificação e investigação de incidentes de segurança; 

●    As trilhas de auditoria e evidencias para esta Política; 

●    Suporte às investigações através do fornecimento de informações e esclarecimentos sobre o ambiente tecnológico e os processos da área. 

Os Gestores, ao serem notificados sobre incidentes que envolvam recursos ou informações sob sua responsabilidade, devem colaborar com eventuais investigações e tratar os incidentes com a devida urgência e SLA’s pré-definidos pela área de Gestão de TI e DPO.

A Área Jurídica deve dar suporte às questões legais relacionados a incidentes de segurança da informação. 

5.    CRITÉRIOS GERAIS SOBRE OS INCIDENTES DE SEGURANÇA DA INFORMAÇÃO 

São considerados Incidentes de Segurança da Informação quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de segurança da informação: confidencialidade, integridade, disponibilidade e conformidade, colocando o negócio e seus objetivos em risco. 

Todos os colaboradores devem estar em capacidade de identificar incidentes de segurança da informação, bem como devem notificar qualquer evento ou fragilidade observada que possa causar: prejuízos, interrupções, mau funcionamento, imprecisão ou vazamento de informação nos sistemas da empresa. 

A lista a seguir exemplifica, mas não esgota os possíveis incidentes de segurança da informação tratados nesta política:

●    Qualquer evento adverso confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, bem como estruturas físicas e lógicas associadas, que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização;

●    Indisponibilidade do ambiente tecnológico em virtude de ataque maliciosos interno e externo; 

●    Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros); 

●    Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente de TI; 

●    Ato de violar uma política de segurança, explícita ou implícita; 

●    Uso ou acesso não autorizado a um sistema; 

●    Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; 

●    Compartilhamento de senhas. 

O conteúdo da notificação precisa ser claro, em formato simples e deve incluir as informações:

●    Informações do incidente;

●    Classe do incidente (acesso não autorizado, vírus, uso não autorizado de dispositivo, malware, instalação de software não autorizado, entre outros);

●    Ativo onde ocorreu o incidente (servidor web, banco de dados, dispositivo de colaborador, entre outros);

●    Localização geográfica do incidente;

●    Momento;

●    Titulares de dados pessoais afetados, se houver;

●    Dados relacionados ao incidente; 

●    Ações tomadas pela WisePay para resolução do incidente;

●    Evidências coletadas e local onde as evidências do incidente estão armazenadas; e,

●    Conclusões.

Os eventos de incidente de segurança da informação devem ser categorizados e classificados através de uma matriz de severidade com intuito de se ter uma melhor visibilidade, tratamento e prioridade quanto a sua gestão:

Os eventos abaixo não são considerados eventos de segurança da informação: 

●    Eventos acidentais (falhas de hardware ou sistêmicas) não intencionais; 

●    Eventos não maliciosos (erro humano ou descuido que não infrinja as regras de segurança da informação). 

Todos os eventos de incidente de segurança da informação devem ser registrados nos controles e/ou ferramentas para a devida triagem e tratamento. Portanto, a Gestão de Incidentes de Segurança da Informação deve contemplar processos que atendam aos seguintes objetivos:

●  Detecção: identificação de incidentes por meio de monitoração, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos; 

●    Registro e Análise: registro dos incidentes, análise, classificação quanto ao tipo, severidade e priorização; 

●    Comunicação: comunicação do incidente às partes envolvidas e caso necessário entidades externas; 

●    Resposta: contenção do incidente, análises forenses, custódia de evidências, tratamento do incidente e da causa raiz; 

●  Finalização: encerramento formal e análise pós mortem para identificação de possíveis melhorias em processos, controles e na própria Gestão de Incidentes.

É de extrema importância que o horário de servidores e equipamentos de redes estejam sincronizados com uma fonte confiável de tempo (ex: via protocolo NTP) para que não haja disparidades na correlação de eventos, logs e outros dados. 

Violações ou tentativas de violação da Diretriz de Segurança da Informação, de normas ou de controles de segurança da informação, intencionais ou não, são considerados incidentes de segurança. 

Deve ser definido um plano de comunicação de incidentes de segurança da informação que esteja de acordo com a classificação e o nível de criticidade do incidente. Em casos mais simples e de baixa criticidade apenas o gestor responsável pelo recurso ou informação deve ser comunicado. Em casos mais graves a Diretoria Executiva, a área Jurídica ou outros departamentos pertinentes devem ser comunicados. 

Quando o incidente envolver dados pessoais, e empresa deverá ainda comunicá-lo à Autoridade Nacional de Proteção de Dados (ANPD) e ao Banco Central do Brasil, respeitando os critérios definidos por esses de identificação do incidente. Tal comunicação conterá, no mínimo:

●    Descrição da natureza dos dados afetados;

●    Informações sobre os titulares envolvidos;

●    Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;

●    Riscos relacionados ao incidente;

●    Motivos da demora, no caso de a comunicação não ter sido imediata; e

●    Medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A investigação de incidentes de Segurança da Informação deve ser realizada exclusivamente pelas áreas de Gestão de TI e DPO, de forma a garantir a privacidade e o sigilo das informações obtidas. Sendo necessárias informações ou levantamentos, para os quais devam ser analisadas trilhas de auditoria (logs), acessos à Internet, fluxo de mensagens ou conteúdo de caixas de correio, ou outras informações que coloquem em risco a privacidade de colaboradores e o sigilo das informações da WisePay, deve ser aberto um incidente junto a área de Gestão de TI e DPO para que estes realizem as investigações. 

6.    PENALIDADES

O Colaborador que presenciar o descumprimento de alguma das regras acima tem o dever de denunciar tal infração. Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.

7.    VIGÊNCIA

Esta política entra em vigor na data de sua publicação, sendo objeto de revisão anual. Em caso de dúvida solicitar esclarecimento a área de Gestão de TI e/ou DPO.

Histórico de Revisões: