Skip to main content

Política de Gestão de Incidentes e Crises de Segurança da Informação

Versão Data Autor Alterações realizadas Aprovado por Data aprovação
1.0 10/01/2024 Vanderson Andrade Criação Direção Geral 16/01/2024
2.0 15/07/2024 Vanderson Andrade Nenhuma alteração necessária Direção Geral 23/07/2024
3.0 30/06/2025 Vanderson Andrade Adição de gerenciamento de crise Direção Geral 30/06/2025

Todas as revisões são documentadas e aprovadas pelos responsáveis, garantindo que as práticas estejam sempre atualizadas e em conformidade com as normas vigentes.

1. Introdução
A Política de Gestão de Incidentes e Crises de Segurança da Informação visa garantir que a empresa, especializada na construção de agentes virtuais e chatbots, esteja preparada para responder de maneira rápida e eficaz a qualquer evento que possa comprometer a segurança das informações e a continuidade dos serviços prestados. Esta política define os procedimentos para identificar, gerenciar, responder e se recuperar de incidentes de segurança, minimizando o impacto sobre os sistemas, dados e operações.

2. Objetivos

  • Detecção Rápida: Identificar rapidamente qualquer incidente de segurança da informação que possa comprometer a integridade, confidencialidade ou disponibilidade dos dados e sistemas.

  • Resposta Eficaz: Garantir uma resposta imediata e eficaz para mitigar os impactos dos incidentes.

  • Gestão de Crises: Ativar um plano de resposta coordenado e de alto nível para incidentes críticos que ameacem a reputação, as finanças ou a continuidade dos negócios.

  • Recuperação: Restaurar as operações normais o mais rápido possível após um incidente.

  • Prevenção: Identificar e corrigir as causas raiz dos incidentes para prevenir recorrências.

3. Escopo
Esta política aplica-se a todos os sistemas, redes e dados da empresa, incluindo informações confidenciais de clientes, infraestrutura de TI, APIs de chatbot e qualquer outro ativo de informação. Todos os funcionários, contratados e terceiros que tenham acesso aos sistemas da empresa devem cumprir esta política.

4. Definições

  • Incidente de Segurança da Informação: É qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade dos dados e sistemas da empresa. Exemplos incluem: ataques cibernéticos, acessos não autorizados, falhas de segurança, perda de dados e erros humanos.

  • Crise de Segurança da Informação: Um incidente de segurança classificado como "Crítico", que possui o potencial de causar impacto severo e generalizado nas operações, finanças ou reputação da empresa, exigindo uma resposta coordenada em nível executivo.

5. Responsabilidades

  • Equipe de Segurança da Informação (ESI): Responsável pela coordenação da resposta a incidentes, investigação, comunicação e documentação. Para incidentes críticos, atua como a linha de frente técnica sob a coordenação estratégica do Comitê de Gestão de Crises.

  • Comitê de Gestão de Crises (CGC): Composto por membros da alta gestão, este comitê é ativado para incidentes críticos. É responsável por tomar decisões estratégicas, alocar recursos e gerenciar a comunicação durante uma crise.

  • Todos os Funcionários: Devem estar atentos e reportar qualquer suspeita de incidente de segurança imediatamente à ESI.

  • Gestores de Departamento: Garantir que suas equipes estejam cientes e cumpram os procedimentos de segurança da informação.

5.1. Comitê de Gestão de Crises (CGC) – Composição e Funções
O CGC é composto pelos seguintes papéis e responsáveis, que devem ser acionados imediatamente em caso de um incidente Crítico:

  • Função: Coordenador da Crise (Líder do CGC)

    • Responsável: Diretor de Operações (COO) ou Diretor Executivo (CEO).

    • Responsabilidades:

      • Liderar e coordenar todas as atividades do CGC.

      • Tomar a decisão final em questões estratégicas.

      • Servir como o principal ponto de contato para o conselho de administração (se aplicável).

      • Declarar oficialmente o início e o fim da crise.

  • Função: Líder Técnico da Resposta

    • Responsável: Chefe de Segurança da Informação (CISO).

    • Responsabilidades:

      • Coordenar a Equipe de Segurança da Informação (ESI) e as equipes técnicas.

      • Supervisionar as atividades de contenção, erradicação e recuperação técnica.

      • Fornecer atualizações técnicas claras e concisas para o CGC.

      • Liderar a investigação da causa raiz.

  • Função: Líder de Tecnologia e Infraestrutura

    • Responsável: Diretor de Tecnologia (CTO).

    • Responsabilidades:

      • Garantir a disponibilidade de recursos de infraestrutura para a recuperação.

      • Avaliar o impacto técnico em toda a arquitetura de sistemas.

      • Autorizar e supervisionar alterações críticas na infraestrutura.

  • Função: Líder de Comunicação

    • Responsável: Diretor de Comunicação ou Marketing.

    • Responsabilidades:

      • Desenvolver e executar a estratégia de comunicação da crise (interna e externa).

      • Preparar e aprovar todos os comunicados para clientes, imprensa e público.

      • Monitorar a mídia e as redes sociais para gerenciar a reputação da empresa.

  • Função: Líder Jurídico e de Conformidade

    • Responsável: Diretor Jurídico ou Consultor Jurídico Externo.

    • Responsabilidades:

      • Avaliar as obrigações legais e regulatórias (ex: notificação à ANPD sob a LGPD).

      • Gerenciar os riscos legais e de responsabilidade civil.

      • Coordenar a comunicação com as autoridades regulatórias e legais.

  • Função: Líder de Relacionamento com o Cliente

    • Responsável: Diretor de Customer Success ou Vendas.

    • Responsabilidades:

      • Coordenar a comunicação direta com os clientes afetados.

      • Coletar o feedback dos clientes e reportar ao CGC.

      • Gerenciar as expectativas e o impacto contratual com os clientes.

6. Procedimentos de Gestão de Incidentes e Crises

  • 6.1. Detecção e Notificação: Monitoramento contínuo e notificação imediata à ESI.

  • 6.2. Avaliação e Classificação: A ESI avalia e classifica o incidente. Incidentes "Críticos" ativam o CGC.

  • 6.3. Resposta ao Incidente e Gestão de Crises:

    • Incidentes Baixo, Médio e Alto: A ESI lidera a mitigação e comunicação.

    • Incidentes Críticos: A ESI notifica e ativa o CGC. O comitê assume a liderança estratégica, executa o plano de comunicação e aloca recursos.

  • 6.4. Recuperação: A restauração é supervisionada pelo CGC em casos de crise.

  • 6.5. Documentação e Análise Pós-Incidente: Análise técnica pela ESI e revisão estratégica pós-crise pelo CGC.

  • 6.6. Comunicação com Autoridades: Coordenada pelo Líder Jurídico sob a direção do CGC.

7. Prevenção e Melhoria Contínua

  • Análise de Riscos: Realizar análises periódicas de riscos.

  • Treinamento e Conscientização: Treinamentos regulares para todos os funcionários sobre segurança, gestão de incidentes e seus papéis durante uma crise.

  • Simulações de Crise: Realizar exercícios periódicos para testar a eficácia do plano de gestão de crises e a prontidão do CGC.

  • Testes de Vulnerabilidade: Realizar testes de penetração e auditorias de segurança.

8. Revisão e Atualização da Política

  • Revisões Regulares: A política deve ser revisada anualmente ou após qualquer incidente crítico.

  • Responsabilidade pela Revisão: A ESI, em conjunto com o CGC, é responsável por revisar e propor atualizações.

9. Consequências de Não Conformidade
Medidas Disciplinares: Funcionários que não cumprirem esta política podem estar sujeitos a ações disciplinares, incluindo advertências, suspensão ou demissão.

Conclusão
A Política de Gestão de Incidentes e Crises de Segurança da Informação garante que a empresa esteja pronta para responder de maneira eficaz a qualquer ameaça, protegendo os dados dos clientes e mantendo a continuidade dos serviços. A implementação rigorosa desta política é fundamental para mitigar riscos, gerenciar crises de forma eficaz e manter a confiança dos clientes e parceiros comerciais.


Back to top