Política de Incidente de Segurança
Esta Política tem como objetivo preparar a Instituição para lidar com a gestão de um incidente de segurança, garantindo que responda de forma mais rápida, organizada e eficiente ao evento, minimizando suas consequências para todos os envolvidos. O nível da resposta dependerá do tipo de dados e da complexidade do tratamento aplicado.
Antes de mais nada, é necessário definir o que é um incidente. De maneira geral, um incidente é uma situação inesperada, capaz de alterar a ordem normal das coisas e, no caso da proteção de dados, colocar em risco dados pessoais dos indivíduos que se relacionam com a Instituição. O National Institute of Standards and Technology (NIT) define um incidente de segurança como uma violação ou ameaça de violação da política de segurança computacional, política de uso aceitável ou padrões de prática de segurança.
De acordo com o Art. 46 da Lei Geral de Proteção de Dados (LGPD), os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.
Seguindo o disposto no Art. 48 da referida Lei, é obrigação do controlador comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Devendo esta comunicação ser feita em prazo razoável, conforme definição da autoridade nacional, tendo em seu conteúdo, no mínimo:
A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de a comunicação não ter sido imediata;
As medidas que foram ou que estão sendo tomadas para reverter ou mitigar os efeitos do prejuízo.
Com base no exposto, a Política de Resposta a Incidentes da M.R.S Serviços Técnicos de Seguros LTDA | Mega Reguladora de Sinistros seguirá as etapas ilustradas na figura abaixo e descritas na sequência:
Consiste em identificar, prever e descrever possíveis situações de violação de dados, bem como as respectivas ações que deverão ser tomadas, os prazos e as formas de registro, garantindo que em situações reais se tenha um plano de ação previamente traçado.
Definir critérios para detectar, identificar e registrar as situações de incidentes e descrever os recursos utilizados para a identificação de alertas de segurança. Algumas situações suspeitas incluem:
E-mails suspeitos;
Comportamento inadequado de dispositivos;
Problemas de acesso a arquivos ou serviços;
Roubo de dispositivos com informações sensíveis;
Alertas de software antivírus;
Consumo excessivo e repentino de memória;
Tráfego de rede incomum.
Após a identificação de um incidente de segurança, medidas de contenção devem ser adotadas para evitar a propagação do problema.
Após conter o incidente, é necessário proceder com a remoção definitiva da ameaça e restaurar os sistemas afetados.
Os sistemas afetados devem ser restabelecidos para garantir que voltem a operar normalmente.
Para evitar recorrências, todos os incidentes devem ser documentados, especificando os procedimentos de resposta adotados.
Dessa forma, a M.R.S Serviços Técnicos de Seguros LTDA | Mega Reguladora de Sinistros garante a segurança e a integridade dos dados sob sua gestão.
Atualização:26/03/2005
Contate-nos
Lei e normas
ENCONTRE-nos
Mega Reguladora de Sinistros
matriz: Endereço: R. Oswaldo Cruz, 1260 – Sobreloja – Centro, Campo Largo – PR, 83601-150
Rua Jaime Rodrigues da Rocha, 103 – Sala 12 – Capão Raso – Curitiba – PR
Copyright © Mega Reguladora de Sinistros – CNPJ: 27.015.698/0001-75
Desenvolvido por Alex Vieira web
