boas-vindas ao #helpdesk da wide 💙

wide #helpdesk ❱ Políticas e Segurança

Política de Resposta à Incidentes de Segurança

  1. Informações Gerais

    

Esta política estabelece o processo de tratamento de incidentes de segurança da informação no âmbito da empresa. 


O processo de tratamento de incidentes de segurança e privacidade consiste na implementação de procedimentos e etapas definidas que conduzirão a equipe para a resolução do incidente.


Dessa forma, este plano descreve o processo para responder às situações de evento de risco que venham ocasionar impacto aos ativos da Wide Educação. 


1.2    Objetivo

O processo de tratamento de incidentes de segurança da informação tem como objetivos principais:


  1. A diminuição por danos causados por incidentes que não puderem ser evitados, bem como, a sua reincidência.

  2. A diminuição do número total de incidentes de segurança, por meio da prevenção dos eventos e eliminação de situações que permitam a sua ocorrência.

  3. Estabelecimento de diretrizes para identificação de incidentes que possam comprometer a confidencialidade, integridade e disponibilidade dos dados que estejam em tratamento.

  1. Abrangência


Esta política se aplica a todos (colaboradores, clientes, parceiros e fornecedores), abrangendo os recursos computacionais pertencentes, operados, mantidos e controlados pela Wide Educação.


  1. Incidentes de segurança


O processo de tratamento de incidentes de segurança da informação abrange todos os incidentes, confirmados ou sob suspeita, que envolvam o nome ou a propriedade da Wide Educação.


São considerados incidentes de segurança:


  1. Violação das políticas de privacidade de segurança da informação (PSI);

  2. Dispositivos que estejam conectados à rede da Wide Educação que estejam contaminados com vírus de computador;

  3. Utilização de credenciais de autenticação por indivíduo não proprietário;

  4. Atividade maliciosa por detecção padrão ou manual, envolvendo dispositivos identificados por grupos como fonte de atividades maliciosas;

  5. Ausência de comunicação de fragilidade de segurança conhecida em processo ou sistema de TI;

  6. Tentativa de fraude, independente do dano causado;

  7. Quaisquer situações que possam colocar em risco dados pessoais de indivíduos que se relacionam com a Wide Educação, sejam realizados por fatores internos ou externos à empresa.

  1. Procedimentos


Em caso de incidentes de segurança, a pessoa que identificar, deverá seguir os passos abaixo:


4.1 Notificação do incidente:  A pessoa que identificar qualquer incidente, seja interno ou externo, deverá no prazo de 24 (vinte e quatro) horas, por meio do link https://help.wideedu.com.br/kb/lgpd e deverá relatar de forma detalhada, as informações a seguir:


  1. Origem do incidente: unidade, setor, ou organização a qual o dispositivo ou o processo que originou o incidente;

  2. Contato da origem: e-mail, telefone, ou outro contato disponível do informante do incidente;

  3. Registro do tempo da ocorrência do incidente: data e hora na qual o incidente foi identificado;

  4. Endereço de IP do dispositivo;

  5. Protocolos e portas alvos do incidente: especificação do tipo de protocolo (IP, TCP, UDP) e portas utilizadas;

  6. Serviços envolvidos: especificação do serviço que foi alvo do incidente;

  7. Descrição do incidente: qual tipo de ataque, se houve a motivação aparente etc.;

  8. Evidências: anexar imagens, códigos de erros ou outros registros que possam evidenciar a ocorrência do incidente.


4.2 Identificação do incidente: O DPO (Data Protection Officer), em até 24 horas, analisará a notificação e fará a análise do incidente e concluirá se envolve dados pessoais e/ou dados pessoais sensíveis.


4.3 Obtenção de informações complementares: O DPO, quando necessário, solicitará detalhes complementares ao notificante, dessa forma, é de suma importância na notificação conter todas as informações do item 2.


4.4 Investigações: Em até 12 (doze) horas, o DPO em conjunto com o Comitê de Proteção de Dados, conduzirá as investigações e classificará conforme os itens 6 e 7, classificando o incidente e criticidade. 


4.5 Classificação do incidente: A classificação será de extrema valia para ajudar a definir a criticidade:


  1. Conteúdo abusivo: spam, assédio, etc;

  2. Código malicioso: bot, worm, trojan, spyware, scripts;

  3. Tentativa de intrusão: tentativa de exploração de vulnerabilidades, tentativa de acessos e etc;

  4. Intrusão: Acesso indesejado, comprometimento de conta de usuário, comprometimento de aplicação;

  5. Indisponibilidade de serviço ou informação: sabotagem;

  6. Segurança da informação: acesso e alterações das informações de forma não autorizada.

  7. Fraude: violação de direitos autorais, falsificação, usos de recursos não autorizados;

  8. Outros: abrange situações que não estão escalonadas.


4.6 Criticidade do incidente: Determinar a classificação de criticidade de acordo com as seguintes classificações:


  1. Alto (impacto grave): Incidente que afeta sistemas relevantes ou informações críticas, dados sensíveis, com potencial de gerar impacto negativo sobre a empresa;

  2. Médio (Impacto significativo): Incidente que afeta sistemas ou informações não críticas, sem impacto negativo à empresa;

  3. Baixo (Impacto mínimo): Possível incidente de sistemas não críticos; 


4.7 Resposta à incidentes: A cada incidente será elaborado plano de ação, em até 24 (horas), contados a partir da ciência sobre o incidente, devendo conter:


  1. Notificação de terceiros: Conforme previsto no art. 48 da LGPD – Lei Geral de Proteção de Dados, avaliará a necessidade de notificar terceiros sobre o incidente (ANPD – Autoridade Nacional de Proteção de Dados, titulares, parte Controladora ou Operadora), sempre que seja passível de causar riscos ou dano aos Titulares dos Dados, sendo obrigatório a elaboração do RIPD (Relatório de Impacto à Proteção de Dados).


  1. RIPD: O relatório de impacto de proteção de dados deverá conter: 


Identificação e dados de contato de:

  • Entidade ou pessoa responsável pelo tratamento.

  • Encarregado de dados ou outra pessoa de contato.

  • Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.

Informações sobre o incidente de segurança com dados pessoais:

  • Data e hora da detecção.

  • Data e hora do incidente e sua duração.

  • Circunstâncias em que ocorreram a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.

  • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados.

  • Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.

  • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.

  • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.

  • Resumo das medidas implementadas até o momento para controlar os possíveis danos.

  • Possíveis problemas de natureza transfronteiriça.

  • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

A recomendação é que seja realizada a comunicação à ANPD no prazo de até 2 (dias) úteis, contados da data de conhecimento do incidente. 


Ressalta-se que a comunicação à ANPD será necessária, tão somente, se houver risco ou dano aos direitos e liberdades individuais dos titulares afetados pelo incidente de segurança. 


Ademais, além de todas as medidas de segurança aqui mencionadas, a Wide Educação seguirá as orientações descritas no site da ANPD: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca.


Por fim, todos os documentos e relatórios relacionados aos incidentes de segurança deverão ser arquivados pelo período de 5 (cinco) anos para que, em caso de fiscalização das autoridades competentes, seja possível demonstrar o que foi realizado e para eventuais defesas.


  1. Notificação aos Titulares de Dados afetados: Caso ainda não tenha sido realizada a notificação da alínea “a”, considerando que houve risco ou dano relevante aos titulares afetados, o DPO, deverá entrar em contato com o indivíduo e o informar: a) sobre o ocorrido; b) indicar as medidas de mitigação; b) orientação de como se prevenir; c) coloca-se à disposição para quaisquer dúvidas;  


4.8 Preservação de evidências: Ressalta-se a importância da preservação de provas para a identificação correta da causa do incidente e, posteriormente, para a recuperação dos sistemas afetados.


  1. Processos de mitigação do incidente de segurança:


As etapas de resposta à incidentes de segurança consistem:





5.1 PLANEJAMENTO

Consiste em identificar, prever e descrever possíveis situações de violação de dados, bem como, as respectivas ações que deverão ser realizadas, tais como: prazos e formas de registro.


  1. Implementar mecanismos de defesa e controle de ameaças.

  2. Desenvolver procedimentos para lidar com incidentes de forma eficiente;

  3. Definição da área que deverá ser informada em situação de ocorrência do sinistro e como reportar;

  4. Detalhamento e ações necessárias que devem escalonar a criticidade do evento.

Exemplo de detalhamento:

Incidente

Criticidade

Categoria Dado Digital ou Físico

Como é monitorado

A quem reportar

Ações para contenção

Ações para erradicação

Ações de Recuperação

 

 

 

 

 

 

 

 


5.2 IDENTIFICAÇÃO

Detectar o incidente, determinar o escopo e as partes envolvidas:

  1. Identificar todos os sistemas e serviços afetados;

  2. Avaliar o impacto do incidente e os potenciais riscos (dados vazados, impacto na organização e na reputação);

  3. Identificar a existência de outros eventos;

  4. Identificar que modalidade de informação e processos foram afetados;

  5. Identificação dos responsáveis.


Deve-se avaliar todas as possíveis fontes capazes de representar ameaça, como por exemplo:


    Recebimento de e-mails com caracteres e/ou arquivos anexos suspeitos;

    Comportamento inadequado de dispositivos;

    Problema no acesso a determinados arquivos ou serviços;

    Roubo de dispositivos de armazenamento ou computadores com informações;

    Alerta de software antivírus;

    Consumo excessivo e repentino de memória em servidores ou computadores; 

    Tráfego de rede incomum;

    Conexões bloqueadas por firewall;


5.2.1. Fatores de criticidade: 


  1. Risco Baixo: classificação utilizada quando o incidente de segurança de dados afetar apenas dados pessoais, não incluído o número do CPF;

  2. Risco Moderado: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF, e/ou pelo menos um dado sensível, não incluído raça, religião, nome social e dados de saúde;

  3. Risco Alto: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF e/ou mais que um dado sensível, incluindo raça, religião, nome social e dados de saúde.

  4. Dados legíveis/ilegíveis: dados protegidos por algum sistema de anonimização (criptografia, por exemplo).

  5. Volume de dados pessoais: expresso em quantidade de registros, arquivos, documentos e/ou em períodos de uma semana, um ano, etc.

  6. Facilidade de identificação de indivíduos: facilidade com que se pode deduzir a identidade das pessoas a partir dos dados envolvidos no incidente.

  7. Indivíduos com características especiais: se o incidente afeta pessoas com características ou necessidades especiais.

  8. Número de indivíduos afetados: dentro de uma determinada escala, por exemplo, mais de 100 indivíduos.


5.3 CONTENÇÃO

Realizar a contenção do incidente de forma a atenuar os danos e evitar que demais dados sejam comprometidos:

 

  1. Desconectar o sistema comprometido ou isolá-lo;

  2. Desativação do sistema para evitar quaisquer perdas;

  3. Bloquear padrões de tráfego, interrompendo os fluxos maliciosos;

  4. Desabilitar quaisquer serviços vulneráveis, inibindo comprometimento de outros sistemas;


5.4 ERRADICAÇÃO

Eliminação das causas do incidente, removendo os eventos relacionados, de forma a operarem em sua normalidade.


  1. Garantir que as causas do incidente foram removidas, assim como todas as atividades e arquivos associados ao incidente;

  2. Assegurar a remoção de todos os métodos de acesso utilizados.


5.5 RECUPERAÇÃO

Restauração do sistema ao estado normal:


  1. Restauração da integridade do sistema;

  2. Garantir que o sistema foi recuperado de forma correta e que as funcionalidades estejam 100% integradas;

  3. Implementar medidas de segurança para evitar novos comprometimentos;

  4. Restaurar o backup completo e armazenado.


5.6 AVALIAÇÃO:

Avaliação das ações resolvidas e realizadas e discutir lições aprendidas.


  1. Caracterizar o conjunto de lições aprendidas de forma a aprimorar os procedimentos existentes;

  2. Identificar características de incidentes para treinamento dos novos membros da equipe;


5.7 LIÇÕES APRENDIDAS:

Será avaliado o processo e verificará a eficácia das soluções realizadas. Deverá ser analisado as falhas da detecção e os recursos inexistentes ou insuficientes, para que sejam sanados. 


Será discutido com todas as equipes envolvidas os erros e dificuldades enfrentados na mitigação do ocorrido, propondo melhorias técnicas e nos processos. 


  1. Canal de report e dúvidas:


Todas as dúvidas ou denúncias acerca de qualquer incidente de segurança deverão ser encaminhadas via Central de Helpdesk: https://help.wideedu.com.br/kb/lgpd/dpo e diretamento ao endereço de e-mail: dpo@widedu.com.br.


As informações relatadas poderão ser reportadas por meio de anonimato, bem como, a não retaliação dos denunciantes que estiverem agindo de boa fé.


  1. Vigência, validade e atualizações:


A presente política passa a vigorar a partir da data de sua aprovação no Comitê de Proteção de Dados, sendo válida por tempo indeterminado.


Após a implantação desta política, com o objetivo de mantê-la atualizada e condizente com as necessidades da organização, deverão ser realizadas, anualmente, ou sempre que houver incidentes, revisões com a implantação de novas ações e controles para sua melhoria contínua.



Download em formato PDF

Para outras informações entre em contato com o DPO: dpo@wideedu.com.br


Updated on 21/10/2021

Was this article helpful?
We appreciate your review.