PRJ-SI-004 — Gestão de Incidentes de Segurança

Status: Não iniciado Prioridade: Alta Responsável: Diretoria (constituição do CSI) · SI Normativa: PSI - Política de Segurança da Informação Art. 52–57

← Índice - Projetos SIPD

Objetivo

Estruturar a capacidade de resposta a incidentes de segurança da informação na Fortes Belém, incluindo a constituição do CSI local, o canal de comunicação de eventos e o Plano de Resposta a Incidentes.

Etapa 1 — Constituição do CSI Local

O Comitê de Segurança da Informação (CSI) é exigido pela PSI (Art. 52) e deve:

Critério	Definição
Composição	Número ímpar de membros (mínimo 3)
Perfil	Colaboradores de confiança com qualificação técnica em SI
Membro externo	Permitido — ex: Ismael Freitas
Substituto	Se CSI não constituído, a Diretoria assume as funções

Ação: Assis Freitas nomeia os membros formalmente por ato interno.

Etapa 2 — Canal de Comunicação de Incidentes

Definir e divulgar o canal oficial para reporte de eventos e vulnerabilidades:

Canal sugerido	Descrição
E-mail dedicado (ex: si@fortesquixada.com.br)	Registro formal e rastreável
WhatsApp corporativo do SI	Para emergências / situações urgentes
Chamado no sistema (NeoAssist)	Para eventos não urgentes

A escolha do canal deve ser comunicada ostensivamente a todos — Art. 54 PSI.

Etapa 3 — Plano de Resposta a Incidentes (PRI)

Classificação de Severidade

Nível	Descrição	Exemplos
Crítico	Impacto imediato em confidencialidade/disponibilidade de dados sensíveis	Vazamento de dados de clientes, ransomware
Alto	Comprometimento de sistema ou credencial com potencial de escalada	Senha comprometida de admin, acesso não autorizado
Médio	Incidente contido sem propagação confirmada	Phishing recebido, USB não autorizado conectado
Baixo	Evento suspeito sem dano confirmado	Tentativa de acesso bloqueada, e-mail suspeito

Fluxo de Resposta

Identificação (qualquer usuário)
       ↓
Comunicação ao SI via canal oficial (IMEDIATO)
       ↓
SI avalia e classifica severidade
       ↓
│ Crítico/Alto → Acionar CSI imediatamente
│ Médio/Baixo  → SI trata e documenta; reporta ao CSI
       ↓
Contenção — isolar sistema/conta comprometida
       ↓
Investigação — coleta de evidências (logs, prints, relatos)
       ↓
Erradicação — remover causa raiz
       ↓
Recuperação — restaurar operação normal
       ↓
Lições aprendidas → base de conhecimento
       ↓
Relatório mensal à Diretoria (Art. 55)

Obrigação de Notificação à Matriz

Incidentes envolvendo dados pessoais devem ser notificados à Fortes Tecnologia (matriz) — verificar protocolo no portal FanFortes On.

Incidentes relevantes envolvendo dados pessoais podem exigir notificação à ANPD (Lei 13.709/18, Art. 48) em até 72 horas.

Checklist de Aderência

Item	Obrigação	Status
CSI constituído formalmente	PSI Art. 52	⬜ Pendente
Canal de comunicação de incidentes divulgado	PSI Art. 54	⬜ Pendente
Plano de Resposta a Incidentes documentado	PSI Art. 56	⬜ Pendente
Procedimento de coleta de evidências definido	PSI Art. 55	⬜ Pendente
Relatório mensal de incidentes para Diretoria	PSI Art. 55	⬜ Pendente
Relatório anual do PRI elaborado	PSI Art. 56	⬜ Pendente
Todos sabem como reportar incidentes	PSI Art. 54	⬜ Pendente

Ver também

07 - Gestão de Incidentes
08 - Infrações e Responsabilidades
09 - Apuração de Incidentes de Segurança
PRJ-SI-005 - Adequação LGPD e Proteção de Dados — notificação ANPD

Objetivo​

Etapa 1 — Constituição do CSI Local​

Etapa 2 — Canal de Comunicação de Incidentes​

Etapa 3 — Plano de Resposta a Incidentes (PRI)​

Classificação de Severidade​

Fluxo de Resposta​

Obrigação de Notificação à Matriz​

Checklist de Aderência​

Ver também​