Wednesday, October 23, 2024

Gestão de Segurança da Informação

 

1. Objetivo

Este POP tem como objetivo padronizar o processo de gestão de segurança da informação, protegendo os dados institucionais, garantindo a confidencialidade, integridade e disponibilidade das informações, e assegurando a segurança dos sistemas de TI da instituição contra ameaças e acessos não autorizados.

2. Âmbito de Aplicação

Este POP aplica-se a todos os funcionários, prestadores de serviço e colaboradores que utilizam ou têm acesso aos sistemas de TI e dados da instituição, abrangendo políticas de proteção de dados, controle de acesso e medidas de segurança digital.

3. Procedimentos

3.1. Política de Segurança da Informação

  • 3.1.1. Definição de Políticas e Normas:

    • A instituição deve possuir uma Política de Segurança da Informação (PSI) clara e formalizada, que defina diretrizes para a proteção de dados e sistemas de TI.
    • A PSI deve abranger os seguintes princípios:
      • Confidencialidade: Garantir que as informações sensíveis sejam acessadas apenas por pessoas autorizadas.
      • Integridade: Assegurar que as informações não sejam alteradas ou manipuladas indevidamente.
      • Disponibilidade: Garantir que os sistemas e dados estejam disponíveis para os usuários autorizados sempre que necessário.
    • A política deve ser revisada periodicamente para garantir que esteja atualizada com as melhores práticas e exigências regulatórias.

  • 3.1.2. Treinamento e Conscientização:

    • Todos os funcionários devem ser periodicamente treinados sobre as políticas de segurança da informação, sendo informados sobre boas práticas de proteção de dados, riscos cibernéticos e responsabilidades individuais.
    • Realizar campanhas de conscientização sobre segurança digital, com foco em phishing, senhas seguras e proteção de dispositivos.
3.2. Controle de Acesso

  • 3.2.1. Gestão de Acessos:

    • O acesso aos sistemas de TI e dados institucionais deve ser restrito a usuários autorizados, com base no princípio de mínimo privilégio (cada usuário deve ter o menor nível de acesso necessário para realizar suas funções).
    • Implementar um sistema de controle de acesso baseado em funções (RBAC), garantindo que os usuários só possam acessar as informações e sistemas relevantes para suas funções.

  • 3.2.2. Autenticação e Senhas:

    • Todos os sistemas e aplicativos institucionais devem exigir autenticação por meio de nome de usuário e senha.
    • As senhas devem seguir critérios de complexidade (mínimo de 8 caracteres, contendo letras, números e símbolos) e devem ser trocadas periodicamente (pelo menos a cada 90 dias).
    • Implementar, quando possível, autenticação de dois fatores (2FA) para sistemas críticos ou que envolvem dados sensíveis.

  • 3.2.3. Gerenciamento de Contas de Usuários:

    • O acesso de novos usuários deve ser aprovado por gestores responsáveis, e as permissões devem ser definidas de acordo com suas funções.
    • Quando um funcionário ou prestador de serviços se desligar da instituição, suas credenciais de acesso devem ser revogadas imediatamente, e todos os acessos devem ser cancelados para garantir a segurança.
3.3. Proteção de Dados

  • 3.3.1. Classificação da Informação:

    • Implementar um sistema de classificação de informações, dividindo os dados em categorias como:
      • Públicos: Informações acessíveis ao público geral.
      • Confidenciais: Informações sensíveis acessíveis apenas a determinados níveis de usuários.
      • Críticos: Dados cuja exposição pode causar danos significativos à instituição ou a terceiros.
    • As informações confidenciais e críticas devem ser tratadas com níveis mais elevados de segurança, incluindo criptografia e controle de acesso restrito.

  • 3.3.2. Criptografia de Dados:

    • Todos os dados sensíveis (confidenciais e críticos) devem ser armazenados e transmitidos de forma criptografada.
    • Implementar criptografia de ponta a ponta para o armazenamento e transmissão de dados sensíveis, como dados financeiros, pessoais, e-mails e documentos confidenciais.

  • 3.3.3. Backup e Recuperação de Dados:

    • Realizar backups regulares de todos os dados institucionais críticos, garantindo que esses backups sejam armazenados em local seguro e fora da rede principal (preferencialmente em ambientes externos ou na nuvem).
    • Implementar um plano de recuperação de desastres que contemple a restauração rápida dos sistemas e dados críticos em caso de falhas ou ataques cibernéticos.
3.4. Segurança dos Sistemas de TI

  • 3.4.1. Atualizações e Patches de Segurança:

    • Manter todos os sistemas, aplicativos e softwares de TI atualizados com os patches de segurança mais recentes, minimizando as vulnerabilidades que possam ser exploradas por invasores.
    • Definir uma política de atualização regular e automatizada para os sistemas operacionais e softwares utilizados pela instituição.

  • 3.4.2. Antivírus e Firewall:

    • Implementar antivírus e firewalls atualizados em todos os dispositivos conectados à rede da instituição, garantindo que sejam realizados varreduras periódicas e monitoramento contínuo contra ameaças.
    • Configurar firewalls para bloquear acessos não autorizados à rede e monitorar tentativas de intrusão.

  • 3.4.3. Monitoramento e Logs de Atividades:

    • Implementar um sistema de monitoramento contínuo dos sistemas de TI, registrando todos os acessos, tentativas de login e ações críticas em logs de atividade.
    • Esses logs devem ser revisados regularmente pela equipe de TI para identificar e investigar atividades suspeitas ou incomuns.
3.5. Gerenciamento de Incidentes de Segurança

  • 3.5.1. Plano de Resposta a Incidentes:

    • Desenvolver e implementar um Plano de Resposta a Incidentes de Segurança, que deve incluir:
      • Procedimentos para detecção e identificação de incidentes.
      • Protocolos para contenção, mitigação e recuperação de incidentes.
      • Comunicação imediata à equipe de TI e à alta administração em caso de violação de segurança.
    • A equipe de TI deve estar preparada para responder rapidamente a ameaças, como ataques de malware, ransomware, acessos não autorizados e vazamentos de dados.

  • 3.5.2. Registro e Análise de Incidentes:

    • Todos os incidentes de segurança devem ser registrados, documentados e investigados pela equipe de segurança da informação.
    • Realizar uma análise detalhada dos incidentes para identificar a causa raiz e evitar que incidentes semelhantes ocorram no futuro.
3.6. Conformidade e Auditoria

  • 3.6.1. Conformidade com Regulamentos e Legislações:

    • Garantir que a gestão de segurança da informação esteja em conformidade com as legislações vigentes, como a Lei Geral de Proteção de Dados (LGPD), bem como com regulamentos específicos de setores da indústria.
    • Revisar periodicamente as políticas e procedimentos para garantir a adequação às normas de proteção de dados e privacidade.

  • 3.6.2. Auditoria de Segurança da Informação:

    • Realizar auditorias internas e externas periódicas para verificar a conformidade dos sistemas de segurança da informação com as políticas institucionais e regulamentos.
    • Identificar áreas de melhoria e implementar as recomendações das auditorias de segurança.
3.7. Continuidade de Negócios e Recuperação de Desastres

  • 3.7.1. Plano de Continuidade de Negócios (PCN):

    • Elaborar um Plano de Continuidade de Negócios que assegure a operação dos sistemas críticos em caso de falhas, ataques cibernéticos ou desastres naturais.
    • O PCN deve incluir estratégias de redundância e recuperação de dados para garantir que a instituição continue a funcionar, mesmo em situações de crise.

  • 3.7.2. Testes de Continuidade e Recuperação:

    • Realizar testes periódicos do plano de recuperação de desastres e continuidade de negócios, simulando cenários de falhas e ataques para garantir que a instituição esteja preparada para responder de maneira eficaz.

4. Responsabilidades

  • Equipe de TI e Segurança da Informação: Implementar, monitorar e manter as políticas de segurança da informação, garantindo a proteção de dados e sistemas.
  • Gestores de Área: Garantir que os colaboradores sob sua supervisão cumpram as políticas de segurança e participem dos treinamentos necessários.
  • Todos os Funcionários: Seguir as diretrizes de segurança da informação, proteger senhas, evitar compartilhamento não autorizado de dados e relatar incidentes suspeitos.
  • Alta Administração: Apoiar a implementação das políticas de segurança e garantir que os recursos necessários estejam disponíveis para manter a integridade dos sistemas.

5. Notas Adicionais

  • Este POP deve ser revisado e atualizado regularmente para acompanhar a evolução das ameaças cibernéticas e as mudanças nas legislações e regulamentos de segurança da informação.
  • Qualquer violação ou desvio das políticas de segurança deve ser investigado e corrigido com urgência para proteger os dados e os sistemas da instituição.
at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Publicação de Conteúdos no Website

  1. Objetivo Este POP tem como objetivo padronizar o processo de criação, revisão, aprovação e publicação de conteúdos no website oficial d...

  • Organização de Cursos no IDN
      1. Objetivo O objetivo deste POP é garantir que a organização de cursos no IDN seja conduzida de maneira eficiente e eficaz, proporcionand...
  • Lista Procedimentos Operacionais Padrão
     Uma instituição estatal, especialmente em um contexto de governança e administração pública, deve ter um conjunto abrangente de POPs (Proce...
  • Gerenciamento de Relações com a Mídia
      1. Objetivo Este POP tem como objetivo padronizar o processo de gerenciamento de relações com a mídia, garantindo a preparação eficaz de c...