Política de Resposta a Incidentes de Segurança

Objetivo

Esta Política busca estabelecer um conjunto de processos e procedimentos para detectar, relatar, avaliar, responder, lidar e aprender com incidentes de segurança da Torgansa, buscando satisfazer os requisitos de boas práticas e governança de segurança da informação contidos no art. 50, inciso I, alínea “g” da Lei Geral de Proteção de Dados Pessoais – LGPD. Também busca conferir clareza sobre o fluxo de procedimentos adequados e responsáveis no caso de incidentes, bem como assegura respostas rápidas e efetivas, possibilitando evolução contínua com o decorrente aprendizado.

Requisitos

Para que os objetivos comentados sejam alcançados é necessário o apoio da alta gestão da Torgansa, garantindo a definição clara dos atores envolvidos e dos Comitês.

1. Incidentes de Segurança da Informação

Um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais. Cumpre ressaltar que o art. 46 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

2. Identificação de Incidentes de Segurança

São exemplos de classificação de incidentes possíveis:
  • Conteúdo abusivo: spam, assédio, dentre outras condutas;
  • Código malicioso: worm, vírus, trojan, spyware, dentre outros scripts maliciosos;
  • Prospecção por informações: varredura, sniffing, engenharia social;
  • Tentativa de intrusão: tentativa de exploração de vulnerabilidades, tentativa de acesso lógico;
  • Intrusão: acesso lógico indesejável, comprometimento de conta de usuário, comprometimento de aplicação;
  • Indisponibilidade de serviço ou informação: negação de serviço, sabotagem;
  • Vazamento de Dados: acesso não-autorizado à informação ou quando qualquer informação se torna conhecida a terceiros não autorizados;
  • Adulteração da Informação: modificação não autorizada da informação, incluindo erros;
  • Fraude: violação de direitos autorais, fingir ou falsificar identidade pessoal ou institucional, uso de recursos de forma não-autorizada;
  • Outros: incidente não categorizado.
Para a identificação das causas do incidente de segurança da informação, devem existir mecanismos de detecção e reporte que incluem, mas não se limitam a:
  • Designação de uma equipe específica para atender a eventos e incidentes de segurança da informação;
  • Instalação e configuração adequada de softwares antivírus e de firewall, segundo o disposto na Política de Segurança da Informação da Torgansa;
  • Manutenção de canais de suporte nas plataformas e sistemas externos e internos da Torgansa;
Toda a notificação de eventos ou incidentes de Segurança da Informação deverá possuir categorização correspondente e ser formalmente registrada em um banco de dados específico da Torgansa. Após o registro de qualquer evento ou incidente de segurança da informação, a equipe responsável deverá concluir pela existência ou inexistência do evento ou incidente, seja ele externo ou interno.

3. Categorização e Triagem de Incidentes de Segurança

Concluindo-se pela existência do evento ou incidente de segurança da informação, a equipe responsável deve realizar a análise adequada para a classificação, categorização, e definição de prioridades acerca daquele evento ou incidente de segurança da informação. Desta forma, a equipe responsável deverá seguir as seguintes diretrizes na classificação, categorização e priorização de eventos e incidentes de segurança da informação:
  • Coleta e análise das provas e documentações pertinentes;
  • Confirmação da relevância do evento ou incidente nas atividades da Torgansa;
  • Classificação do evento ou incidente nas seguintes categorias:
  1. Evento: inclui situações cotidianas, tratadas com gestão de riscos e alternativas operacionais;
  2. Incidente: inclui situações que causem indisponibilidade relevante para as atividades da Torgansa, afetando ao menos um dos três pilares da segurança da informação, tratadas com procedimentos eficazes, aptos a garantir a continuidade do negócio;
  3. Emergência: inclui situações que causem um alto impacto econômico ou reputacional para a Torgansa, tratadas com procedimentos eficazes no sentido de conter a crise.
  • Apresentação de um plano de ação preliminar, contendo as medidas primordiais que deverão ser tomadas, bem como quais destas medidas serão priorizadas.

4. Mitigação de Incidentes de Segurança

Apresentado o plano de ação pela equipe responsável, deve-se proceder com a comunicação a todos os agentes relevantes e, também, aos responsáveis pelas áreas afetadas dentro da Torgansa. Nesta fase de mitigação, a equipe responsável deverá realizar todas as análises pertinentes acerca do incidente de segurança da informação, incluindo:
  • Análise das informações disponíveis;
  • Pesquisas de resolução;
  • Proposição de ações para contenção e mitigação de danos através da contenção e erradicação pelo desligamento dos sistemas inteiros ou de funcionalidades específicas;
  • Comunicação interna com colaboradores, diretoria, gerência, coordenação ou líderes;
  • Comunicação externas com as autoridades, parceiros, consumidores, clientes, fornecedores;
  • Elaboração de procedimentos de recuperação através da restauração de backups, clonagem de máquinas virtuais, reinstalação de sistemas, dentre outros.
Cabe destacar que a equipe deverá, necessariamente, buscar a erradicação da causa-raiz do incidente. Deverá, ainda, se assegurar de que o recurso atingido esteja seguro e confiável, a fim de que os procedimentos para a sua recuperação sejam iniciados. Ademais, a equipe deverá documentar e arquivar as conclusões da resposta ao incidente, incluindo:
  1. informações sobre o ocorrido;
  2. data da ocorrência.
  3. pessoa que o identificou;
  4. a forma de detecção;
  5. as medidas tomadas pela equipe para a correção e a mitigação de danos;
  6. o status do incidente;
  7. quaisquer outros dados coletados durante o processo de remediação;
  8. a categorização final do incidente;
  9. comentários e sugestões de melhoria.

5. Resposta a Incidentes de Segurança

Após a documentação da resposta ao incidente de segurança da informação, a equipe deverá proceder com a elaboração de um relatório final, contendo a classificação final e todas as evidências coletadas. As evidências deverão ser armazenadas em repositório – em um banco de dados da Torgansa para futuras auditorias –, conforme descrito na Política de Segurança da Informação da Torgansa. Após todas as providências descritas acima, a equipe deverá encerrar a ocorrência nos registros pertinentes e comunicar as suas conclusões para os agentes internos e externos da Torgansa, de acordo com a necessidade.

6. Período Posterior ao Incidente de Segurança da Informação

A equipe ou qualquer outra pessoa dentro da Torgansa poderá propor melhorias para evitar ou mitigar a recorrência do incidente de segurança da informação, com fito no fortalecimento da segurança dos ativos da Torgansa. Da mesma forma, deverão ser comunicadas todas as outras áreas da Torgansa acerca da ocorrência do incidente.    
  1. Reporte à Agência Nacional de Proteção de Dados e ao Titular de Dados
O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Neste diapasão, a Torgansa deverá adotar posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalta-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte da Torgansa poderá ser considerada descumprimento à legislação de proteção de dados pessoais. Importante observar a redação do art. 48, da LGPD, ao estabelecer que o controlador deverá comunicar. Neste diapasão, quando Torgansa figurar-se como Operadora, esta deverá comunicar a Empresa Controladora, com qual mantém um relacionamento comercial e for comprometida pelo incidente. Por fim, quanto ao prazo para a informação do incidente, este encontra-se pendente de regulamentação. Neste sentido, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo recomendado o prazo de 2 dias úteis, contados da data do conhecimento do incidente.