¶ Introdução
ㅤA SETIC utiliza a tecnologia para melhorar e expandir a oferta de serviços públicos em parceria com demais secretarias e melhorando a disponibilidade e integridade das informações e serviços para o cidadão através de sistemas informatizados para apoiar a entrega de produtos e serviços essenciais.
ㅤA informação é um dos principais ativos da organização, dessa forma as informações tramitadas através da SETIC, sejam fornecidas ou compartilhadas, obedecem aos requisitos legais, a fim melhorar a proteção das informações através do Programa de Governança em Privacidade (PGP), como prática para ajudar na adequação da Lei Geral de Proteção de Dados Pessoais (LGPD), com intuito de elevar o grau de maturidade, em termos de proteção de dados pessoais e ações de segurança da informação.
ㅤAs vulnerabilidades, de acordo com a ISO 27000 (ISO da Segurança da Informação) são uma fraqueza de um ativo que poderia ser potencialmente explorada por uma ou mais ameaças. A SETIC as trata mediante um ciclo de detecção através de tarefas que suportam testes de vulnerabilidades essenciais. As principais ações são focadas em definir e refinar o escopo após cada análise, preparar as ferramentas e verificar sua integridade, realizando testes e verificando os resultados.
¶ Objetivo
ㅤO objetivo deste documento é apresentar as atividades do processo de gerenciamento de vulnerabilidades da SETIC.
ㅤO crescente índice de incidentes de segurança e os danos causados por estes incidentes evidenciam uma necessidade por ações proativas à proteção de segurança das informações.
ㅤDe acordo com a norma ABNT NBR ISO/IEC 27002, um dos controles que permite apoiar nesse sentido é o Processo de Gestão de Vulnerabilidades Técnicas.
ㅤAtravés da gestão preventiva das vulnerabilidades é possível ter um cenário mais previsível possível e realizar o planejamento das mudanças necessárias. A construção desse processo de gestão é revisada periodicamente, tornando-o flexível, e seguindo a estrutura desta superintendência, refletindo suas necessidades, objetivos e garantindo a melhoria contínua.
ㅤA gestão de vulnerabilidades requer um processo de conhecer fraquezas dos ativos, avaliando os riscos aplicados ao negócio, para então definir o tratamento, seja corrigindo e eliminando o risco ou aceitando
momentaneamente ou definitivamente.
¶ Gestão de Vulnerabilidades
ㅤA abrangência deste plano compreende a SETIC e seus ativos, bem como os ativos de sua responsabilidade. As vulnerabilidades identificadas serão registradas no sistema GLPI.
ㅤO processo de gestão das vulnerabilidades será realizado em todos os ativos relacionados no Anexo I, através da identificação de alguma vulnerabilidade, validação das informações, devidas medidas de correção e/ou comunicação às partes envolvidas.
ㅤOs ciclos consistem em análise diária, semanal e mensal realizando um escaneamento em um grupo de ativos definidos e concomitantemente também é feito o monitoramento de alertas relacionados à segurança da informação gerados por sistemas de segurança da SETIC. A partir disso são abertos tickets via GLPI, Email e SEI de acordo com a necessidade da demanda para que as devidas vulnerabilidades ou notificações de alertas sejam corrigidas e ou verificadas pelo responsável do ativo.
ㅤA natureza cíclica do gerenciamento de vulnerabilidades provoca a melhoria contínua do processo realizado.
| Descrição | Publicação | ||
|---|---|---|---|
¶ Plano de Gestão de Vulnerabilidades |
Papéis e Responsabilidades. Gerência de Prevenção de Incidentes - GPREV. Comitê de Privacidade e Segurança da Informação - CPSI. | 14/03/2023 | |