Skip to main content

Política de Gestão de Incidentes e Crises de Segurança da Informação

Versão Data Autor Alterações realizadas Aprovado por Data aprovação
1.0 10/01/2024 Vanderson Andrade Criação Direção Geral 16/01/2024
2.0 15/07/2024 Vanderson Andrade Nenhuma alteração necessária Direção Geral 23/07/2024
3.030/06/2025Vanderson AndradeAdição de gerenciamento de criseDireção Geral30/06/2025

Todas as revisões são documentadas e aprovadas pelos responsáveis, garantindo que as práticas estejam sempre atualizadas e em conformidade com as normas vigentes.


1. Introdução


A Política de Gestão de Incidentes e Crises de Segurança da Informação visa garantir que a empresa, especializada na construção de agentes virtuais e chatbots, esteja preparada para responder de maneira rápida e eficaz a qualquer incidenteevento que possa comprometer a segurança das informações e a continuidade dos serviços prestados. Esta política define os procedimentos para identificar, gerenciar, responder e responderse arecuperar de incidentes de segurança, minimizando o impacto sobre os sistemas, dados,dados e operações.

2. Objetivos

  • Detecção RápidaRápida:: Identificar rapidamente qualquer incidente de segurança da informação que possa comprometer a integridade, confidencialidade,confidencialidade ou disponibilidade dos dados e sistemas.

  • Resposta EficazEficaz:: Garantir uma resposta imediata e eficaz para mitigar os impactos dos incidentes.

  • RecuperaçãoGestão de Crises:: Ativar um plano de resposta coordenado e de alto nível para incidentes críticos que ameacem a reputação, as finanças ou a continuidade dos negócios.

  • Recuperação: Restaurar as operações normais o mais rápido possível após um incidente.

  • PrevençãoPrevenção:: Identificar e corrigir as causas raiz dos incidentes para prevenir recorrências.

3. Escopo


Esta política aplica-se a todos os sistemas, redes,redes e dados da empresa, incluindo informações confidenciais de clientes, infraestrutura de TI, APIs de chatbot,chatbot e qualquer outro ativo de informação. Todos os funcionários, contratados,contratados e terceiros que tenham acesso aos sistemas da empresa devem cumprir esta política.

4. Definições

  • Definição de Incidente de Segurança

Um incidente de segurança da informaçãoInformação: éÉ qualquer evento que comprometa a confidencialidade, integridade,integridade ou disponibilidade dos dados e sistemas da empresa. Exemplos incluem,incluem: masataques cibernéticos, acessos não seautorizados, limitamfalhas a:de segurança, perda de dados e erros humanos.

  • Crise de Segurança da Informação: Um incidente de segurança classificado como "Crítico", que possui o potencial de causar impacto severo e generalizado nas operações, finanças ou reputação da empresa, exigindo uma resposta coordenada em nível executivo.

    • 5. Responsabilidades

    • Ataques Cibernéticos: Malware, ransomware, ataques de phishing, DDoS, e outros.

    • Acessos Não Autorizados: Qualquer acesso não autorizado a sistemas ou dados sensíveis.
    • Falhas de Segurança: Vulnerabilidades exploradas em software ou hardware.
    • Perda ou Roubo de Dados: Perda de dispositivos ou mídias contendo informações confidenciais.
    • Erros Humanos: Configurações incorretas que exponham dados ou sistemas.

    5. Responsabilidades

    • Equipe de Segurança da Informação (ESI):: Responsável pela coordenação da resposta a incidentes, investigação, comunicação internae documentação. Para incidentes críticos, atua como a linha de frente técnica sob a coordenação estratégica do Comitê de Gestão de Crises.

    • Comitê de Gestão de Crises (CGC): Composto por membros da alta gestão, este comitê é ativado para incidentes críticos. É responsável por tomar decisões estratégicas, alocar recursos e externa,gerenciar ea documentaçãocomunicação dosdurante incidentes.uma crise.

    • Todos os FuncionáriosFuncionários:: Devem estar atentos e reportar qualquer suspeita de incidente de segurança imediatamente à ESI.

    • Gestores de DepartamentoDepartamento:: Garantir que suas equipes estejam cientes e cumpram os procedimentos de segurança da informação.

    6.

    Procedimentos5.1. Comitê de Gestão de IncidentesCrises (CGC) – Composição e Funções
    O CGC é composto pelos seguintes papéis e responsáveis, que devem ser acionados imediatamente em caso de um incidente Crítico:

      • DetecçãoFunção: eCoordenador Notificaçãoda Crise (Líder do CGC):

        • MonitoramentoResponsável: Contínuo: UsoDiretor de ferramentasOperações (COO) ou Diretor Executivo (CEO).

        • Responsabilidades:

          • Liderar e coordenar todas as atividades do CGC.

          • Tomar a decisão final em questões estratégicas.

          • Servir como o principal ponto de monitoramentocontato para detectaro anomaliasconselho de administração (se aplicável).

          • Declarar oficialmente o início e atividadeso suspeitas.fim da crise.

          • Notificação
          Imediata: Todos os funcionários devem reportar incidentes suspeitos ou confirmados imediatamente à ESI através de canais estabelecidos (e.g., e-mail, telefone de emergência).

      • AvaliaçãoFunção: eLíder ClassificaçãoTécnico da Resposta:

        • AvaliaçãoResponsável: InicialChefe de Segurança da Informação (CISO).

        • Responsabilidades::

          A
            ESI
          • deve avaliar

            Coordenar a naturezaEquipe de Segurança da Informação (ESI) e aas gravidadeequipes dotécnicas.

            incidente,
            • classificando-o

          • Supervisionar as atividades de acordocontenção, comerradicação seue impactorecuperação potencial.técnica.

          • Classificação de

            Fornecer Impacto:atualizações Incidentestécnicas são classificados como Baixo, Médio, Alto, ou Crítico, baseados no impacto sobre os sistemas, dados,claras e operações.concisas para o CGC.

          • Liderar a investigação da causa raiz.

      • RespostaFunção: aoLíder Incidentede Tecnologia e Infraestrutura:

        • MitigaçãoResponsável: ImediataDiretor de Tecnologia (CTO).

        • Responsabilidades::

          Ações

          • Garantir a disponibilidade de recursos de infraestrutura para contera recuperação.

          • Avaliar o incidenteimpacto técnico em toda a arquitetura de sistemas.

          • Autorizar e minimizarsupervisionar danosalterações (e.g.,críticas desconectarna sistemasinfraestrutura.

            comprometidos, bloquear acessos).
          • Comunicação:
          Notificar as partes interessadas internas e, se necessário, clientes afetados sobre o incidente e as medidas tomadas.
        • Investigação: Conduzir uma investigação detalhada para identificar a causa raiz e o escopo do incidente.

      • RecuperaçãoFunção: Líder de Comunicação:

        • RestaurarResponsável: SistemasDiretor de Comunicação ou Marketing.

        • Responsabilidades::

          Implementar
            ações

          • Desenvolver e executar a estratégia de comunicação da crise (interna e externa).

          • Preparar e aprovar todos os comunicados para restaurarclientes, os sistemasimprensa e dadospúblico.

            afetados à sua operação normal.
          • Validação de

            Monitorar Segurança:a Garantirmídia que todase as vulnerabilidadesredes foramsociais corrigidaspara antesgerenciar dea voltarreputação àda operaçãoempresa.

            normal.

      • DocumentaçãoFunção: Líder Jurídico e Análisede Pós-IncidenteConformidade:

        • RegistroResponsável: CompletoDiretor Jurídico ou Consultor Jurídico Externo.

        • Responsabilidades::

          Documentar
            detalhadamente
          • o

            Avaliar incidente,as obrigações legais e regulatórias (ex: notificação à ANPD sob a resposta,LGPD).

          • Gerenciar os riscos legais e as ações de recuperação.responsabilidade civil.

          • Revisão

            Coordenar a comunicação com as autoridades regulatórias e Aprendizado:legais.

            Analisar
            • o
          incidente para identificar lições aprendidas e ajustar políticas e procedimentos conforme necessário.

      • ComunicaçãoFunção: Líder de Relacionamento com Autoridadeso Cliente:

        • ConformidadeResponsável: LegalDiretor de Customer Success ou Vendas.

        • Responsabilidades::

          Se

          • Coordenar a comunicação direta com os clientes afetados.

          • Coletar o incidentefeedback envolverdos aclientes violaçãoe dereportar dadosao pessoaisCGC.

            ou
            • outras
          • informações regulamentadas, a ESI deve notificar

            Gerenciar as autoridades competentes conforme as leisexpectativas e regulamentoso aplicáveis.impacto contratual com os clientes.

    6. Procedimentos de Gestão de Incidentes e Crises

    • 6.1. Detecção e Notificação: Monitoramento contínuo e notificação imediata à ESI.

    • 6.2. Avaliação e Classificação: A ESI avalia e classifica o incidente. Incidentes "Críticos" ativam o CGC.

    • 6.3. Resposta ao Incidente e Gestão de Crises:

      • Incidentes Baixo, Médio e Alto: A ESI lidera a mitigação e comunicação.

      • Incidentes Críticos: A ESI notifica e ativa o CGC. O comitê assume a liderança estratégica, executa o plano de comunicação e aloca recursos.

    • 6.4. Recuperação: A restauração é supervisionada pelo CGC em casos de crise.

    • 6.5. Documentação e Análise Pós-Incidente: Análise técnica pela ESI e revisão estratégica pós-crise pelo CGC.

    • 6.6. Comunicação com Autoridades: Coordenada pelo Líder Jurídico sob a direção do CGC.

    7. Prevenção e Melhoria Contínua

    • Análise de RiscosRiscos:: Realizar análises periódicas de riscosriscos.

      para identificar potenciais ameaças e vulnerabilidades.

    • Treinamento e ConscientizaçãoConscientização:: Treinamentos regulares para todos os funcionários sobre práticas de segurança esegurança, gestão de incidentes.incidentes e seus papéis durante uma crise.

    • Simulações de Crise: Realizar exercícios periódicos para testar a eficácia do plano de gestão de crises e a prontidão do CGC.

    • Testes de VulnerabilidadeVulnerabilidade:: Realizar testes de penetração e auditorias de segurançasegurança.

      para identificar e corrigir vulnerabilidades antes que possam ser exploradas.

    8. Revisão e Atualização da Política

    • Revisões RegularesRegulares:: A política deve ser revisada anualmente ou após qualquer incidente significativo,crítico.

      para assegurar que continue eficaz e relevante.

    • Responsabilidade pela RevisãoRevisão:: A ESIESI, em conjunto com o CGC, é responsável por revisar e propor atualizaçõesatualizações.

      à política conforme necessário.

    9. Consequências de Não Conformidade


    • Medidas Disciplinares      :Disciplinares: Funcionários que não cumprirem esta política podem estar sujeitos a ações disciplinares, que podem incluirincluindo advertências, suspensão,suspensão ou demissão, dependendo da gravidade da violação.

    10. Aprovação e Vigência

    • Data de Vigência: Esta política entra em vigor a partir de [data específica].
    • Aprovação: Assinaturas dos responsáveis pela aprovação da política, incluindo o diretor de operações e o chefe de segurança da informação.

    Conclusão

    demissão.

    Conclusão
    A Política de Gestão de Incidentes e Crises de Segurança da Informação garante que a empresa esteja pronta para responder de maneira eficaz a qualquer ameaça à segurança da informação,ameaça, protegendo os dados dos clientes e mantendo a continuidade dos serviços. A implementação rigorosa desta política é fundamental para mitigar riscosriscos, gerenciar crises de forma eficaz e manter a confiança dos clientes e parceiros comerciais.


    Back to top