A Política de Resposta a Incidentes é um documento que estabelece as práticas e responsabilidades para a gestão de incidentes de segurança da informação e violação de dados pessoais da evtit. Seu objetivo principal é orientar o funcionamento do processo de gestão de incidentes de segurança cibernética e informação, de forma a assegurar o tratamento adequado e célere desses incidentes, visando minimizar os impactos nas atividades da organização, bem como para seus clientes e titulares de dados. Além disso, a política busca atender aos princípios de transparência, segurança e prevenção no tratamento de dados pessoais, conforme disposto no artigo 48 da Lei 13.709/18, também conhecida como Lei Geral de Proteção de Dados (LGPD).

A Política de Resposta a Incidentes de Segurança da Informação possui uma abrangência corporativa, ou seja, abarca todas as atividades, filiais e operações da evtit no que diz respeito à ocorrência de incidentes que possam comprometer a Confidencialidade, Integridade e/ou Disponibilidade de informações críticas para a operação da organização, assim como de dados pessoais tratados por ela.

Encarregado de Proteção de Dados (DPO): O Encarregado de Proteção de Dados (DPO – Data Protection Officer) é o profissional responsável por garantir a conformidade com as leis e regulamentações de proteção de dados dentro de uma organização. Ele atua como um ponto de contato para questões relacionadas à privacidade e proteção de dados, oferece orientação sobre as práticas adequadas de tratamento de dados e monitora a conformidade com as leis de proteção de dados, como a LGPD.

Ransomware: O ransomware é um tipo de código malicioso que bloqueia o acesso aos dados armazenados em um dispositivo ou sistema, normalmente por meio de criptografia, e exige o pagamento de um resgate (ransom) para restaurar o acesso ao usuário. É uma forma de ataque cibernético que pode causar grandes danos às organizações, resultando na perda ou inacessibilidade de dados sensíveis.

Incidente: Um incidente ocorre quando há a exposição não autorizada de dados pessoais e/ou informações privadas e confidenciais, seja tornando-os públicos ou compartilhando-os com terceiros sem a devida autorização. Essa exposição pode resultar em violações de privacidade e causar danos aos indivíduos afetados. É fundamental que as organizações tenham medidas adequadas de segurança
e respostas eficazes para lidar com incidentes e minimizar seus impactos.

ANPD: Autoridade Nacional de Proteção de Dados: A Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade governamental responsável pela fiscalização, regulamentação e aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil. A ANPD tem como objetivo promover a proteção dos direitos fundamentais de privacidade e garantir a adequada aplicação das normas de proteção de dados em todo o país.

As responsabilidades do Encarregado de Proteção de Dados são as seguintes:

1. Conduzir o processo de Gestão de Incidentes de Segurança da Informação, assegurando que todos os incidentes sejam tratados de forma adequada e eficiente.

2. Realizar investigações de incidentes, coletar informações relevantes, estabelecer a cronologia dos eventos e preservar a segurança das evidências coletadas.

3. Acompanhar e supervisionar a implementação dos planos de tratamento dos incidentes junto aos responsáveis, além de criar indicadores e relatórios para monitorar a eficácia das ações tomadas.

4. Comunicar os gestores responsáveis sobre a ocorrência e o status dos incidentes, mantendo-os informados de forma adequada e oportuna.

5. Realizar análises pós-incidentes (post mortem) para identificar as causas raiz dos incidentes, promover melhorias nos processos da instituição e no próprio processo de gestão de incidentes de segurança da informação.

As responsabilidades dos colaboradores são:

1. Informar imediatamente o setor de TI ao identificar possíveis incidentes relacionados a dados virtuais, bem como qualquer violação das políticas de segurança da informação, incidentes reais ou suspeitos, violações de acesso ou quaisquer anomalias que possam indicar a possibilidade de incidentes.

As responsabilidades do setor de TI são:

1. Analisar os incidentes informados pelos colaboradores e, caso representem um risco real de vazamento de dados, reportá-los ao Encarregado de Proteção de Dados e/ou ao Comitê de Privacidade e Proteção de Dados.

2. Prover os acessos necessários para que o Encarregado de Proteção de Dados e o Comitê de Privacidade e Proteção de Dados possam realizar a identificação e investigação dos incidentes de segurança.

3. Ser responsável pelo fornecimento das trilhas de auditoria e evidências necessárias para a investigação dos incidentes.

4. Oferecer suporte às investigações, fornecendo informações e esclarecimentos sobre o ambiente tecnológico e os processos da área.

Essas são as principais responsabilidades dos diferentes envolvidos no processo de gestão de incidentes de segurança da informação.

São considerados Incidentes de Segurança da Informação quaisquer fragilidades ou eventos adversos de segurança, sejam eles de natureza física ou lógica, confirmados ou suspeitos, que possam comprometer um ou mais dos princípios básicos de segurança da informação, a saber:

confidencialidade, integridade e disponibilidade, colocando em risco as atividades e os objetivos da organização.

Além disso, um Incidente de Segurança pode ser considerado também uma Violação de Dados quando ocorrem situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito envolvendo dados pessoais. É importante que todos os colaboradores sejam capazes de identificar incidentes de segurança da informação sempre que
presenciarem algo suspeito.

Todos os colaboradores têm a responsabilidade de notificar qualquer evento de segurança ou fragilidade observada que possa resultar em prejuízos, interrupções, mau funcionamento, imprecisão ou vazamento de informações nos sistemas da Associação. As comunicações devem ser feitas por meio dos canais disponibilizados pela Associação, como o e-mail institucional (incidents@evtit.com).
Ressalta-se que vulnerabilidades ou fragilidades suspeitas não devem ser testadas ou provadas pelos colaboradores, pois isso poderia violar a política de segurança cibernética e da informação, bem como causar danos aos serviços ou recursos tecnológicos.

A lista a seguir exemplifica, mas não esgota, os possíveis incidentes de segurança da informação abordados nesta política:

1. Quaisquer eventos adversos confirmados ou suspeitos relacionados à segurança dos sistemas de computação, redes de computadores e estruturas físicas e lógicas associadas que comprometam a confidencialidade, integridade e disponibilidade do ambiente institucional.

2. Indisponibilidade do ambiente tecnológico devido a ataques maliciosos internos e externos.

3. Vazamento de informações confidenciais, como dados de clientes, associados e informações estratégicas.

4. Tentativas internas ou externas de acesso não autorizado a sistemas, dados ou comprometimento do ambiente de TI.

5. Violação de políticas de segurança, sejam elas explícitas ou implícitas.

6. Uso ou acesso não autorizado a um sistema.

7. Utilização de dispositivos e sistemas não homologados pela área de TI da instituição.

8. Modificações em um sistema sem conhecimento, instruções ou consentimento prévio do proprietário do sistema.

9. Compartilhamento de credenciais de acesso físico ou lógico.

A notificação de incidentes deve ser clara, em formato simples e conter as informações necessárias para identificação rápida e ação correta.

Os eventos de incidente de segurança da informação devem ser categorizados e classificados por meio de uma matriz de severidade, a fim de obter melhor visibilidade, tratamento e priorização na gestão.

Todo incidente que seja considerado uma CRISE (extrema severidade) deve acionar o Comitê de Privacidade e Proteção de Dados da evtit para análise e tratamento adequado.

Independentemente da criticidade e do nível de impacto, todos os eventos de incidente de segurança da informação devem ser formalmente registrados em controles escritos e/ou ferramentas para triagem, tratamento e supervisão adequados.

A Gestão de Incidentes de Segurança da Informação, sob responsabilidade do Encarregado de Dados, deve contemplar processos que atendam aos seguintes objetivos:

1. Detecção: identificação de incidentes por meio de monitoramento, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos.

2. Registro e análise: registro dos incidentes, análise, classificação quanto ao tipo, severidade e priorização.

3. Comunicação: comunicação do incidente às partes envolvidas e, se necessário, a entidades externas.

4. Resposta: contenção do incidente, análise jurídica, custódia de evidências, tratamento do incidente e investigação da causa raiz.

5. Finalização: encerramento formal do incidente e análise para identificação de possíveis melhorias em processos e controles, com emissão de relatório para arquivamento interno.

Violações ou tentativas de violação da Política de Segurança da Informação, normas ou controles de segurança da informação, sejam intencionais ou não, também são consideradas incidentes de segurança.

Todos os incidentes de segurança da informação devem ser documentados, classificados, priorizados com base na criticidade, avaliação da causa raiz, métricas e oportunidades de melhoria.

Deve-se manter um plano de comunicação de incidentes de segurança da informação, levando em consideração a classificação e o nível de criticidade do incidente. Incidentes de baixa criticidade podem ser tratados pelo Encarregado de Dados (DPO) ou responsável pelo processo, recurso ou informação comprometida. Em casos mais graves, o Encarregado de Dados (DPO) deve acionar o Comitê de Privacidade e Proteção de Dados ou a Presidência da evtit para análise e deliberação de ações adicionais, incluindo a comunicação a outras partes interessadas.

A investigação de incidentes de segurança da informação deve ser realizada exclusivamente pelo conselho gestor, área de TI e Comitê de Privacidade e Proteção de Dados, garantindo a privacidade e o sigilo das informações obtidas.

No caso em que análises jurídicas forem necessárias, profissionais competentes e/ou empresas terceirizadas devem ser envolvidos para garantir a coleta adequada de evidências e a cadeia de custódia para validação de provas.

É dever do colaborador relatar qualquer infração presenciada relacionada ao descumprimento das regras mencionadas anteriormente. Além disso, o não cumprimento das diretrizes estabelecidas neste documento e em outros documentos emitidos pela Associação pode ser considerado uma falta grave, sujeita à aplicação de sanções disciplinares.

A Política de Resposta a Incidentes de Segurança da Informação deverá passar por revisão e atualização anual, com o objetivo de manter-se alinhada às normas da atividade, às melhores práticas de mercado, às leis, regulamentos e demais requisitos aplicáveis. Essa revisão periódica garantirá que a política esteja atualizada e em conformidade com as evoluções e demandas do cenário de segurança
da informação.

Em caso de dúvida solicitar esclarecimento ao Encarregado de Dados (DPO).
E-mail: incidents@evtit.com
Nome do Encarregado de Dados: Nicholas Guirro

Este Plano de Resposta à Incidentes de Segurança da Informação foi elaborado e validado em 26 de maio de 2023