PRJ-SI-004 — Gestão de Incidentes de Segurança
Status: Não iniciado Prioridade: Alta Responsável: Diretoria (constituição do CSI) · SI Normativa: PSI - Política de Segurança da Informação Art. 52–57
Objetivo
Estruturar a capacidade de resposta a incidentes de segurança da informação na Fortes Sertão Central, incluindo a constituição do CSI local, o canal de comunicação de eventos e o Plano de Resposta a Incidentes.
Etapa 1 — Constituição do CSI Local
O Comitê de Segurança da Informação (CSI) é exigido pela PSI (Art. 52) e deve:
| Critério | Definição |
|---|---|
| Composição | Número ímpar de membros (mínimo 3) |
| Perfil | Colaboradores de confiança com qualificação técnica em SI |
| Membro externo | Permitido — ex: Ismael Freitas |
| Substituto | Se CSI não constituído, a Diretoria assume as funções |
Ação: Assis Freitas nomeia os membros formalmente por ato interno.
Etapa 2 — Canal de Comunicação de Incidentes
Definir e divulgar o canal oficial para reporte de eventos e vulnerabilidades:
| Canal sugerido | Descrição |
|---|---|
| E-mail dedicado (ex: si@fortesquixada.com.br) | Registro formal e rastreável |
| WhatsApp corporativo do SI | Para emergências / situações urgentes |
| Chamado no sistema (NeoAssist) | Para eventos não urgentes |
A escolha do canal deve ser comunicada ostensivamente a todos — Art. 54 PSI.
Etapa 3 — Plano de Resposta a Incidentes (PRI)
Classificação de Severidade
| Nível | Descrição | Exemplos |
|---|---|---|
| Crítico | Impacto imediato em confidencialidade/disponibilidade de dados sensíveis | Vazamento de dados de clientes, ransomware |
| Alto | Comprometimento de sistema ou credencial com potencial de escalada | Senha comprometida de admin, acesso não autorizado |
| Médio | Incidente contido sem propagação confirmada | Phishing recebido, USB não autorizado conectado |
| Baixo | Evento suspeito sem dano confirmado | Tentativa de acesso bloqueada, e-mail suspeito |
Fluxo de Resposta
Identificação (qualquer usuário)
↓
Comunicação ao SI via canal oficial (IMEDIATO)
↓
SI avalia e classifica severidade
↓
│ Crítico/Alto → Acionar CSI imediatamente
│ Médio/Baixo → SI trata e documenta; reporta ao CSI
↓
Contenção — isolar sistema/conta comprometida
↓
Investigação — coleta de evidências (logs, prints, relatos)
↓
Erradicação — remover causa raiz
↓
Recuperação — restaurar operação normal
↓
Lições aprendidas → base de conhecimento
↓
Relatório mensal à Diretoria (Art. 55)
Obrigação de Notificação à Matriz
Incidentes envolvendo dados pessoais devem ser notificados à Fortes Tecnologia (matriz) — verificar protocolo no portal FanFortes On.
Incidentes relevantes envolvendo dados pessoais podem exigir notificação à ANPD (Lei 13.709/18, Art. 48) em até 72 horas.
Checklist de Aderência
| Item | Obrigação | Status |
|---|---|---|
| CSI constituído formalmente | PSI Art. 52 | ⬜ Pendente |
| Canal de comunicação de incidentes divulgado | PSI Art. 54 | ⬜ Pendente |
| Plano de Resposta a Incidentes documentado | PSI Art. 56 | ⬜ Pendente |
| Procedimento de coleta de evidências definido | PSI Art. 55 | ⬜ Pendente |
| Relatório mensal de incidentes para Diretoria | PSI Art. 55 | ⬜ Pendente |
| Relatório anual do PRI elaborado | PSI Art. 56 | ⬜ Pendente |
| Todos sabem como reportar incidentes | PSI Art. 54 | ⬜ Pendente |