¶ Introdução
A informação é um dos principais ativos da organização, dessa forma as informações tramitadas através da SETIC, sejam fornecidas ou compartilhadas, obedecem aos requisitos legais, a fim melhorar a proteção das informações através do Programa de Governança em Privacidade (PGP), como prática para ajudar na adequação da Lei Geral de Proteção de Dados Pessoais (LGPD), com intuito de elevar o grau de maturidade, em termos de proteção de dados pessoais e ações de segurança da informação.
As vulnerabilidades, de acordo com a ISO 27000 (ISO da Segurança da Informação) são uma fraqueza de um ativo que poderia ser potencialmente explorada por uma ou mais ameaças. A SETIC as trata mediante um ciclo de detecção através de tarefas que suportam testes de vulnerabilidades essenciais. As principais ações são focadas em definir e refinar o escopo após cada análise, preparar as ferramentas e verificar sua integridade, realizando testes e verificando os resultados.
¶ Objetivo
O crescente índice de incidentes de segurança e os danos causados por estes incidentes evidenciam uma necessidade por ações proativas à proteção de segurança das informações.
De acordo com a norma ABNT NBR ISO/IEC 27002, um dos controles que permite apoiar nesse sentido é o Processo de Gestão de Vulnerabilidades Técnicas.
Através da gestão preventiva das vulnerabilidades é possível ter um cenário mais previsível possível e realizar o planejamento das mudanças necessárias. A construção desse processo de gestão é revisada periodicamente, tornando-o flexível, e seguindo a estrutura desta superintendência, refletindo suas necessidades, objetivos e garantindo a melhoria contínua.
A gestão de vulnerabilidades requer um processo de conhecer fraquezas dos ativos, avaliando os riscos aplicados ao negócio, para então definir o tratamento, seja corrigindo e eliminando o risco ou aceitando
momentaneamente ou definitivamente.
¶ Gestão de Vulnerabilidades
O processo de gestão das vulnerabilidades será realizado em todos os ativos relacionados no Anexo I, através da identificação de alguma vulnerabilidade, validação das informações, devidas medidas de correção e/ou comunicação às partes envolvidas.
Os ciclos consistem em análise diária, semanal e mensal realizando um escaneamento em um grupo de ativos definidos e concomitantemente também é feito o monitoramento de alertas relacionados à segurança da informação gerados por sistemas de segurança da SETIC. A partir disso são abertos tickets via GLPI, Email e SEI de acordo com a necessidade da demanda para que as devidas vulnerabilidades ou notificações de alertas sejam corrigidas e ou verificadas pelo responsável do ativo.
A natureza cíclica do gerenciamento de vulnerabilidades provoca a melhoria contínua do processo realizado.