1 – INTRODUÇÃO

A Política de Segurança da Informação (PSI) do CER Leblon tem como objetivo estabelecer diretrizes para a proteção das informações da organização, de seus colaboradores, pacientes e parceiros. Esta política visa garantir a integridade, confidencialidade e disponibilidade das informações, bem como a continuidade das atividades do CER Leblon em caso de incidentes de segurança da informação.

2 – ESCOPO

Esta política se aplica a todas as informações e recursos tecnológicos do CER Leblon, incluindo sistemas, equipamentos, dispositivos móveis, redes, dados e demais ativos de informação. Além disso, esta política se estende a todos os colaboradores, fornecedores e prestadores de serviços que possam acessar, utilizar ou manipular informações do CER Leblon.

3 – PRINCÍPIOS

A PSI do CER Leblon baseia-se nos seguintes princípios:

3.1 Confidencialidade:

as informações do CER Leblon devem ser acessíveis somente a pessoas autorizadas e em situações específicas, conforme definido pela equipe de gestão de segurança da informação.

3.2 Integridade:

as informações do CER Leblon devem ser mantidas íntegras, precisas e completas, garantindo sua validade e consistência.

3.3 Disponibilidade:

as informações do CER Leblon devem estar disponíveis aos colaboradores, pacientes e parceiros sempre que necessário, conforme acordado com a equipe de gestão de segurança da informação.

3.4 Responsabilidade:

todos os colaboradores, fornecedores e prestadores de serviços do CER Leblon têm a responsabilidade de proteger as informações da organização e utilizar os recursos de informática de maneira adequada.

4 – DIRETRIZES

4.1 Controle de acesso

os colaboradores, pacientes e parceiros somente terão acesso às informações necessárias para o desempenho de suas funções. O controle de acesso será feito por meio de sistemas de autenticação, autorização e controle de privilégios.

4.2 Gerenciamento de riscos

serão realizadas avaliações periódicas de riscos de segurança da informação, com a implementação de controles apropriados para mitigar esses riscos.

4.3 Monitoramento

serão adotados mecanismos de monitoramento para detectar e prevenir incidentes de segurança da informação.

4.4 Proteção de dados pessoais

os dados pessoais dos pacientes, colaboradores e demais pessoas envolvidas com o CER Leblon serão tratados em conformidade com a Lei Geral de Proteção de Dados (LGPD) e outras regulamentações aplicáveis.

4.5 Segurança física

 serão adotadas medidas para proteger os ativos de informação físicos do CER Leblon, incluindo sistemas, equipamentos e documentos, contra ameaças como roubo, furto, incêndio, inundação e outros eventos.

4.6 Segurança lógica

 serão adotadas medidas para proteger os ativos de informação lógicos do CER Leblon, incluindo sistemas, redes e dados, contra ameaças como acesso não autorizado, invasão, vírus, malware e outros eventos.

4.6.1. O CER Leblon deve ter procedimentos adequados para proteger suas informações em sistemas, redes e dispositivos, incluindo controles de acesso, segurança de software e hardware, antivírus, firewall e atualizações regulares de software.

4.6.2. A autenticação dos usuários deve ser realizada através de identificação única e senha, que devem ser protegidas e trocadas periodicamente.

4.6.3. As informações devem ser protegidas por meio de criptografia em transmissão e armazenamento, conforme a necessidade de proteção das informações.

4.6.4. O CER Leblon deve realizar backups regulares de dados para prevenir a perda de informações.

4.6.5. O CER Leblon deve garantir a segurança lógica dos sistemas e informações por meio de políticas e procedimentos de segurança da informação.

4.7. Monitoramento e detecção de incidentes

4.7.1. O CER Leblon deve ter uma política e procedimentos para monitorar e detectar incidentes de segurança da informação.

4.7.2. Os incidentes devem ser registrados e reportados imediatamente para o encarregado de Proteção de Dados do FAS, que deve avaliar e responder ao incidente de acordo com a gravidade.

4.7.3. A equipe técnica de TI do CER Leblon deve ter um plano de resposta a incidentes para minimizar os danos causados pelo incidente e restaurar a operação normal do sistema.

5 – POLÍTICA DE USO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO

5.1. Recursos

Os recursos de tecnologia da informação, como computadores, dispositivos móveis, redes, software e outros, devem ser utilizados para fins de trabalho relacionados ao CER Leblon.

5.2. Cumprimento das Políticas

Os usuários devem seguir as políticas e procedimentos do CER Leblon para garantir a segurança e integridade das informações.

5.3. Monitoramento

O CER Leblon deve ter uma política e procedimentos para monitorar e auditar o uso dos recursos de tecnologia da informação para garantir o cumprimento das políticas e procedimentos.

5.4. Segurança de acesso

Os usuários devem proteger suas senhas e informações de autenticação para evitar o uso indevido ou não autorizado dos recursos de tecnologia da informação.

6 – CONFORMIDADE E REVISÃO

6.1. Da revisão

A política de segurança da informação do CER Leblon deve ser revisada periodicamente e atualizada conforme necessário para garantir a conformidade com as leis e regulamentos aplicáveis.

6.2. Da avaliação de Riscos

O Encarregado de Proteção de Dados deve produzir relatórios de Análise de Riscos sempre que avaliar necessário,  para avaliar a eficácia das políticas e procedimentos de segurança da informação e identificar áreas de melhoria.

6.3. Da divulgação

O CER Leblon deve garantir que todos os funcionários, terceiros e parceiros envolvidos em atividades relacionadas ao CER Leblon estejam cientes da política de segurança da informação e cumpram suas disposições.

6.4. Treinamento

Compete ao Encarregado de Proteção de Dados fornecer treinamento e conscientização sobre segurança da informação para todos os usuários de recursos de tecnologia da informação.

6.5 Auditoria e Monitoramento:

Será realizado o monitoramento contínuo do ambiente de Tecnologia da Informação, a fim de identificar possíveis ataques ou acessos indevidos aos sistemas.

Será registrado em log todas as atividades que envolvem o acesso, manipulação ou transmissão de informações no ambiente de TI.

Será realizada uma análise periódica dos logs, a fim de identificar e corrigir possíveis falhas de segurança.

6.6 Classificação da Informação:

Toda a informação armazenada, processada ou transmitida pelo CER Leblon deverá ser classificada de acordo com a sua criticidade e grau de sigilo.

A classificação será realizada pelos proprietários da informação, com base nas diretrizes estabelecidas pelo CER Leblon.

As informações serão classificadas em:

• Informações públicas
• Informações internas
• Informações confidenciais
• Informações críticas

6.7 Backup e Recuperação de Dados:

Será realizado o backup diário de todas as informações críticas e confidenciais armazenadas no ambiente de TI.

Será realizado o teste de restauração dos backups mensalmente.

Será armazenado o backup em um local seguro e fora das dependências do CER Leblon.

6.8 Contingência:

Será elaborado e mantido atualizado um plano de contingência, visando garantir a continuidade dos serviços do CER Leblon em caso de incidentes ou desastres.

O plano de contingência será testado anualmente para garantir a sua eficácia.

O plano de contingência será aprovado pela diretoria do CER Leblon antes de ser implementado.

6.9 Conformidade:

Será realizada uma auditoria interna anual para avaliar a conformidade desta Política de Segurança da Informação.

Será realizada uma avaliação periódica das políticas de segurança da informação para garantir que estejam atualizadas e adequadas às necessidades do CER Leblon.

Serão tomadas as medidas corretivas necessárias em caso de não conformidade.

7 – RESPONSABILIDADES:

7.1 Diretoria:

A diretoria do CER Leblon é responsável por garantir que as políticas e procedimentos de segurança da informação sejam implementados e mantidos em toda a organização.

A diretoria deverá designar um responsável pela segurança da informação, que será responsável pela implementação e monitoramento das políticas e procedimentos de segurança da informação.

7.2 Responsável pela Segurança da Informação:

O responsável pela segurança da informação é o Encarregado de Proteção de Dados do Centro de Excelência em Políticas Públicas, Mauro Luiz Mallet Ribeiro, responsável pela implementação e monitoramento das políticas e procedimentos de segurança da informação.

O responsável pela segurança da informação deverá realizar avaliações periódicas da segurança da informação para identificar e corrigir possíveis falhas de segurança.

7.3 Funcionários:

Todos os funcionários do CER Leblon são responsáveis por garantir a segurança da informação e o cumprimento das políticas e procedimentos de segurança da informação.

Os funcionários deverão ser treinados periodicamente em relação às políticas e procedimentos de segurança da informação e deverão relatar imediatamente qualquer situação de risco ou violação de segurança da informação que observarem ou suspeitarem.

7.4 Auditoria e Revisão:

O CER Leblon deverá realizar periodicamente auditorias e revisões de segurança da informação para garantir que as políticas e procedimentos de segurança da informação estejam sendo seguidos e atualizados de acordo com as mudanças do ambiente de ameaças. As auditorias e revisões podem ser realizadas tanto internamente quanto externamente, por auditores independentes.

7.5 Incidentes de Segurança da Informação:

Em caso de incidentes de segurança da informação, o CER Leblon deverá possuir um processo de resposta a incidentes que inclua a notificação imediata dos envolvidos, a contenção e análise do incidente, a correção das vulnerabilidades e a implementação de medidas para evitar a recorrência do incidente. O processo de resposta a incidentes deverá ser testado periodicamente para garantir a efetividade e eficiência na resposta aos incidentes.

7.6 Acesso remoto

7.6.1 Requisitos para acesso remoto

Para garantir a segurança das informações durante o acesso remoto, os seguintes requisitos devem ser atendidos:

1. a) Os acessos remotos devem ser autenticados e autorizados pela equipe de segurança da informação.
2. b) Deve ser utilizado um protocolo seguro de acesso, como o SSH (Secure Shell) ou VPN (Virtual Private Network).
3. c) Deve ser exigido o uso de senhas fortes e atualizadas regularmente.
4. d) O acesso remoto deve ser restrito somente aos funcionários que necessitam do acesso para desempenhar suas funções.

7.6.2 Procedimentos para acesso remoto

Os procedimentos para acesso remoto devem ser documentados e incluir informações como:

1. a) Os dispositivos e softwares permitidos para acesso remoto.
2. b) Os tipos de conexão permitidos, como Wi-Fi, Ethernet ou 3G/4G.
3. c) As políticas de segurança que devem ser seguidas durante o acesso remoto.
4. d) As ações que devem ser tomadas em caso de problemas de segurança ou violações.

7.6.3 Dispositivos de acesso remoto

Os dispositivos de acesso remoto, como laptops e smartphones, devem atender aos requisitos de segurança da informação da organização e terem softwares atualizados. A equipe de segurança da informação deve ter a capacidade de controlar e monitorar o acesso remoto por meio desses dispositivos.

8 – AUDITORIA E MONITORAMENTO

8.1 Objetivo

O objetivo desta seção é estabelecer as diretrizes para monitorar e auditar os sistemas de informação da organização, a fim de identificar e prevenir possíveis problemas de segurança.

8.2 Escopo

Esta seção se aplica a todos os sistemas de informação da organização.

8.3 Monitoramento de eventos

Os eventos de segurança, como logins, tentativas de login falhadas, mudanças de senha e tentativas de acesso a recursos restritos, devem ser monitorados e registrados em logs de eventos. Os logs devem ser armazenados em um local seguro e acessíveis somente à equipe de segurança da informação.

8.4 Análise de logs

A equipe de segurança da informação deve realizar análises periódicas dos logs de eventos para identificar possíveis problemas de segurança, como tentativas de invasão ou acesso não autorizado.

8.5 Auditoria de sistemas

Os sistemas de informação da organização devem ser auditados periodicamente para garantir que estejam em conformidade com as políticas de segurança da informação. As auditorias devem incluir avaliações de vulnerabilidades e testes de penetração para identificar possíveis falhas de segurança e garantir que as medidas de segurança sejam eficazes. As auditorias devem ser realizadas por um auditor interno ou externo independente e especializado em segurança da informação.

9 – GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

9.1 Objetivo

O objetivo desta seção é estabelecer as diretrizes para gerenciar e responder a incidentes de segurança da informação, minimizando o impacto na organização.

9.2 Escopo

A gestão de incidentes de segurança da informação aplica-se a todos os colaboradores, fornecedores e terceirizados que manuseiam, processam, armazenam ou têm acesso a informações sensíveis da organização. A política também se aplica a todos os ativos de informação da organização, independentemente da sua localização.

9.3 Definições e classificação de incidentes

Para fins desta política, um incidente de segurança da informação é definido como qualquer evento ou circunstância que comprometa a confidencialidade, integridade ou disponibilidade de informações sensíveis da organização, incluindo:

1. a) Acesso não autorizado a sistemas, redes ou informações da organização;
2. b) Perda, furto ou roubo de dispositivos de armazenamento de dados, laptops ou outros dispositivos de informática;
3. c) Ataques cibernéticos, incluindo malware, phishing, engenharia social, entre outros;
4. d) Uso inadequado ou não autorizado de informações da organização;
5. e) Interrupção ou falha de sistemas críticos da organização;
6. f) Destruição ou corrupção de informações críticas da organização.

Os incidentes são classificados em quatro categorias, com base no impacto na confidencialidade, integridade ou disponibilidade de informações críticas da organização:

1. a) Categoria 1 – Incidentes críticos que afetam a disponibilidade, integridade ou confidencialidade de informações críticas da organização;
2. b) Categoria 2 – Incidentes significativos que afetam a disponibilidade, integridade ou confidencialidade de informações críticas da organização;
3. c) Categoria 3 – Incidentes menores que afetam a disponibilidade, integridade ou confidencialidade de informações críticas da organização;
4. d) Categoria 4 – Incidentes menores que têm um impacto mínimo na disponibilidade, integridade ou confidencialidade de informações críticas da organização.

9.4 Procedimentos de notificação de incidentes

Todos os incidentes devem ser notificados imediatamente à equipe de segurança da informação da organização. As notificações podem ser feitas através de um formulário de incidente de segurança da informação ou diretamente ao ponto focal de segurança da informação designado.

Os seguintes detalhes devem ser fornecidos no formulário de incidente de segurança da informação:

1. a) Data e hora do incidente;
2. b) Localização do incidente;
3. c) Tipo e categoria do incidente;
4. d) Descrição do incidente;
5. e) Impacto do incidente na organização;
6. f) Ações tomadas até o momento para mitigar o incidente.

Os detalhes adicionais podem ser solicitados pela equipe de segurança da informação, conforme necessário.

9.5 Responsabilidades e papéis

A política de segurança da informação deve definir claramente os papéis e responsabilidades de cada membro da organização em relação à segurança da informação e gestão de incidentes de segurança. Alguns papéis e responsabilidades incluem:

1. a) Encarregado de Proteção de Dados – responsável por desenvolver e implementar a política de segurança da informação e garantir que todas as medidas de segurança sejam adequadamente aplicadas.

1. b) Controlador – Centro de Excelência em Políticas Públicas

1. c) Operador – Empresa Vitai

1. d) Usuários – Funcionários do FAS na unidade e terceirizados responsáveis por seguir as políticas de segurança da informação e tomar medidas para proteger informações sensíveis.

1. e) Equipe de suporte técnico – Equipe de TI da unidade, responsável por garantir que as medidas de segurança definidas pelo Encarregado de Proteção de Dados estejam adequadamente implementadas e pelos procedimentos de backup e recuperação de desastres.

9.6 Análise e tratamento de incidentes

Os incidentes de segurança da informação devem ser tratados rapidamente para minimizar danos e reduzir o tempo de inatividade. A política de segurança da informação deve definir claramente os procedimentos para lidar com incidentes de segurança e a equipe responsável pelo gerenciamento de incidentes.

As etapas do processo de tratamento de incidentes podem incluir:

1. a) Notificação: o incidente deve ser relatado imediatamente ao Encarregado de Proteção de Dados (DPO) responsável pelo gerenciamento de incidentes de segurança.

1. b) Avaliação: O encarregado de Proteção de Dados deve avaliar a gravidade do incidente e determinar o escopo do problema.

1. c) Isolamento: se o incidente for grave o suficiente, a equipe de suporte técnico deve isolar o sistema ou dispositivo afetado para evitar que o incidente se espalhe.

1. d) Investigação: O encarregado de Proteção de Dados deve investigar a causa do incidente e identificar as medidas corretivas a serem tomadas.

1. e) Contenção: A Equipe de suporte técnico deve implementar medidas de contenção para evitar que o incidente se espalhe.

1. f) Recuperação: A Equipe de suporte técnico deve restaurar o sistema ou dispositivo afetado para a condição operacional normal.

1. g) Análise pós-incidente: O encarregado de Proteção de Dados e a equipe de gerenciamento de incidentes devem realizar uma análise pós-incidente para determinar as causas raiz do incidente e identificar medidas preventivas para evitar que o incidente ocorra novamente.

9.7 Ações corretivas e preventivas

Após a análise pós-incidente, o encarregado de Proteção de Dados e a equipe de gerenciamento de incidentes devem identificar as ações corretivas e preventivas necessárias para garantir que o incidente não se repita. As ações corretivas e preventivas podem incluir:

1. a) Melhoria dos processos e procedimentos existentes de segurança da informação.

1. b) Implementação de novas medidas de segurança da informação.

1. c) Revisão das políticas de segurança da informação para garantir que elas estejam atualizadas e reflitam as mudanças na estrutura de informação e na coleta e tratamento de dados.

10 – CONFORMIDADE COM A POLÍTICA DE PROTEÇÃO DE DADOS

10.1 Objetivo

O objetivo desta seção é garantir que a organização esteja em conformidade com a política de proteção de dados, implementando medidas para monitorar, avaliar e melhorar continuamente o cumprimento das diretrizes estabelecidas.

10.2 Escopo

Esta seção se aplica a todos os funcionários, fornecedores, prestadores de serviços e terceiros que tenham acesso ou manipulem dados pessoais ou confidenciais da organização.

10.3 Monitoramento da conformidade

A organização deve implementar medidas para monitorar continuamente a conformidade com a política de proteção de dados, incluindo auditorias regulares, avaliações de riscos e testes de vulnerabilidades. Os resultados dessas atividades devem ser documentados e utilizados para identificar áreas que precisam de melhorias.

10.4 Não conformidade com a política de proteção de dados

A organização deve estabelecer procedimentos para lidar com violações da política de proteção de dados. Isso inclui a investigação de incidentes de segurança, ações corretivas e preventivas e relatórios para as autoridades regulatórias, se necessário.

11 – REVISÃO DA POLÍTICA DE PROTEÇÃO DE DADOS

11.1 Objetivo

O objetivo desta seção é estabelecer um processo para revisar e atualizar a política de proteção de dados, garantindo que ela permaneça relevante e eficaz.

11.2 Escopo

Esta seção se aplica a todos os funcionários e partes interessadas que contribuem para o desenvolvimento, implementação e revisão da política de proteção de dados.

11.3 Frequência de revisão

A política de proteção de dados deve ser revisada pelo Encarregado de Proteção de Dados Pessoais periodicamente para garantir sua eficácia e relevância. A frequência das revisões deve ser determinada com base nas mudanças nas leis e regulamentos de proteção de dados, na evolução da tecnologia e nos riscos associados ao processamento de dados pessoais.

11.4 Divulgação da revisão

A revisão da política de proteção de dados deve ser comunicada a todos os funcionários através de comunicado corporativo do FAS.

11.5 Processo de revisão

O processo de revisão da política de proteção de dados deve incluir a análise de feedback dos usuários, revisão das melhores práticas e orientações regulatórias, e a identificação de áreas para atualização e melhoria.

11.6 Ciência da revisão

Após a revisão e atualização da política de proteção de dados, ela deve ser acessada por todos os funcionários, que devem lê-la e assinar o termo de que tiveram ciência das alterações.

CONSIDERAÇÕES FINAIS

A política de proteção de dados é um elemento crítico para garantir a privacidade e segurança dos dados pessoais de uma organização. É importante que a política seja clara, concisa e atualizada regularmente para garantir sua eficácia contínua. Além disso, é fundamental que todos os funcionários e partes interessadas estejam cientes da política e cumpram suas diretrizes para minimizar os riscos associados ao tratamento de dados pessoais.