Page 86 - Políticas da Província Marista Brasil Centro-Norte
P. 86
Política de seGURanÇa da inFoRmaÇÃo
8.3. Gestão de Riscos | Medidas adotadas em realizadas análises, objetivando a de-
caso de Incidente de segurança da infor- finição dos atributos de impacto e vul-
mação nerabilidade utilizados na priorização
dos riscos que deverão ser tratados. A
a. Comunicação interna de inciden- análise também objetiva levantar todas
tes: a PMBCN deve divulgar aos seus as informações relevantes, verificando
colaboradores o dever de reportar fatos e descartando boatos que possam
imediatamente ao responsável pela afetar o ambiente corporativo.
GTI os casos de incidentes de seguran-
ça da informação, podendo fazer de e. Adoção de medidas mitigadoras de
modo formal ou com uso do recurso riscos: o plano de continuidade de negó-
de denúncia anônima. Caso o inciden- cios, o qual se encarrega primeiramente
te envolva dados pessoais, o encarre- de solucionar o desastre (por exemplo,
gado de proteção de dados deverá ser restaurando uma cópia de segurança,
comunicado, conforme definido na repondo um equipamento ou disponi-
Política de Privacidade Interna, poden- bilizando outro local para a operação
do atuar na investigação e contenção da atividade) e, posteriormente, de res-
de danos conjuntamente com a GTI. tabelecer a operação normal da ativida-
de, nas mesmas condições iniciais, deve
Incidentes devem ser registrados em ser efetivado imediatamente, visando
um Relatório de incidente de segurança à continuidade dos serviços prestados.
da informação (Anexo I) à medida que
as informações forem sendo apuradas. Medidas a serem consideradas:
b. Definição de responsável: a PMBCN • levantar soluções alternativas para a
definirá o responsável pela realização crise, apreciando sua viabilidade e suas
de diagnóstico do incidente, adoção de consequências;
medidas de preservação de evidências,
identificação da causa raiz e descoberta • priorizar solução para ocorrências con-
de soluções para remediação. sideradas de maior risco;
c. Identificação de riscos: a identificação • avaliar a necessidade de suspender ser-
de riscos de segurança da informação viços e/ou sistemas informatizados;
objetiva reconhecer e descrever os ris-
cos aos quais a empresa está exposta. • avaliar necessidade de trocar o ativo
Recomenda-se definir, nesta etapa, tecnológico eventualmente afetado;
eventos, fontes, impactos e responsá-
veis por cada risco analisado. O respon- • avaliar necessidade de acionar eventual
sável poderá solicitar a participação de seguro contratado;
todos os colaboradores envolvidos nos
negócios da empresa em seus diferen- • centralizar a comunicação na figura de
tes níveis. um porta-voz para evitar informações
equivocadas ou imprecisas.
d. Avaliação de riscos: após o processo
de identificação dos riscos, devem ser f. Monitoramento de riscos: com o ob-
86
