PRC-SI-004 — Gestão de Incidentes de Segurança
Gatilho: Identificação de evento suspeito ou incidente confirmado de SI
Prazo de comunicação ao SI: Imediato (mesmo canal onde o evento foi detectado)
Frequência: Por evento
← Índice - Processos SIPD
Objetivo
Garantir resposta rápida, ordenada e documentada a incidentes de segurança da informação, minimizando o impacto, preservando evidências e convertendo o aprendizado em base de conhecimento.
Classificação de Severidade
| Nível | Descrição | Exemplos |
|---|
| 🔴 Crítico | Impacto imediato em dados sensíveis ou disponibilidade | Ransomware, vazamento de dados de clientes, comprometimento de servidor |
| 🟠 Alto | Comprometimento de credencial ou sistema com potencial de escalada | Senha de admin comprometida, acesso não autorizado a sistema |
| 🟡 Médio | Incidente contido sem propagação confirmada | Phishing clicado, USB não autorizado conectado |
| 🟢 Baixo | Evento suspeito sem dano confirmado | Tentativa de acesso bloqueada, e-mail suspeito recebido |
Fluxo Completo
Canais de Comunicação de Incidentes
A definir na implementação do PRJ-SI-004 - Gestão de Incidentes de Segurança.
| Canal | Uso |
|---|
| E-mail dedicado SI (a criar) | Registro formal de eventos |
| WhatsApp corporativo do SI | Urgências / incidentes críticos |
| Chamado NeoAssist | Eventos não urgentes ligados a atendimento |
Obrigações de Reporte Externo
| Situação | Destino | Prazo |
|---|
| Incidente com dados pessoais de impacto relevante | ANPD (Lei 13.709/18 Art. 48) | Razoável — referência: 72h |
| Qualquer incidente relevante | Fortes Tecnologia (matriz) via FanFortes On | Sem prazo definido — imediato |
| Incidente que afete dados de clientes | Titulares afetados | Sem prazo definido — o quanto antes |
Sanções Aplicáveis (PSI Art. 63 + RI Cap. 10)
| Perfil do infrator | Sanção |
|---|
| Colaborador (1ª infração leve) | Advertência |
| Colaborador (reincidência / gravidade) | Suspensão ou demissão por justa causa |
| Fornecedor / parceiro / franqueado | Rescisão de contrato por culpa |
Referências Normativas
| Obrigação | Fonte |
|---|
| Comunicação imediata ao SI | PSI - Política de Segurança da Informação Art. 54 |
| CSI — composição e atribuições | PSI Art. 52 |
| Procedimentos gerenciais documentados | PSI Art. 53 |
| Análise mensal e relatório à Diretoria | PSI Art. 55 |
| Plano de Resposta a Incidentes | PSI Art. 56 |
| Comissão de apuração — 3 membros | PSI Art. 63 |
| Dever de denunciar — omissão = coautoria | PSI Art. 64 |
| Penalidades por divulgação de informações sigilosas | Regulamento Interno Cap. 8.4 + Cap. 10 |
| Monitoramento de ambientes | RI Cap. 9 |
Ver também