Política de Resposta a Incidentes (P30)

A Política de Resposta a Incidentes (Documento P30) formaliza um quadro robusto que garante que a organização consegue gerir e responder eficazmente a um espectro diversificado de incidentes de segurança da informação. O objetivo principal da política é estabelecer processos repetíveis para identificar, notificar, analisar, conter e recuperar de incidentes, promovendo simultaneamente a melhoria contínua através de avaliações pós-incidente. Ao instituir um Quadro de Resposta a Incidentes central alinhado com normas internacionais como a ISO/IEC 27035, a política assegura uma abordagem estruturada em todas as fases do incidente: preparação, deteção e análise, contenção/erradicação/recuperação e revisão pós-incidente. Esta política abrange amplamente as funções organizacionais, estendendo os seus requisitos a todo o pessoal, incluindo contratados e prestadores de serviços terceiros, e cobrindo todos os sistemas de informação da organização, quer nas instalações, na nuvem ou em ambientes híbridos. Aplica-se a um conjunto abrangente de tipos de incidentes: acesso não autorizado, malware e ransomware, ataques de negação de serviço, fuga de dados ou exfiltração, ameaças internas e até violações físicas que afetem ativos digitais. A secção de governação determina que cada incidente é formalmente registado num Sistema de Gestão de Incidentes de Segurança (SIMS), com metadados detalhados incluindo hora de deteção, classificação, sistemas afetados, ações tomadas, evidência capturada e análise da causa raiz. Todos os incidentes são categorizados por um modelo de severidade em níveis, assegurando resposta e escalonamento proporcionais. Os papéis e responsabilidades principais são cuidadosamente definidos para garantir responsabilização e um fluxo de trabalho simplificado durante um incidente. O Diretor de Segurança da Informação (CISO) mantém a propriedade global do quadro de resposta e atua como ligação à alta direção e aos reguladores durante incidentes graves. O Coordenador de Resposta a Incidentes gere equipas interfuncionais, acompanhando cada etapa da resposta e garantindo que as ações corretivas são executadas. O Centro de Operações de Segurança (SOC) e os analistas de segurança de TI são responsáveis por monitorização e triagem de incidentes de ameaças, escalonando casos e tomando ações iniciais de contenção. Os papéis do Jurídico e do Encarregado de Proteção de Dados são responsáveis por rever o impacto regulamentar e assegurar os prazos de notificação, particularmente para violações ao abrigo do RGPD, NIS2 e DORA. A gestão executiva toma decisões estratégicas para incidentes de elevada severidade, incluindo comunicações públicas e aprovação de modificações ao SGSI. A política adota mecanismos rigorosos para notificação de violação, forense digital e tratamento de evidências, exigindo que a notificação às autoridades e às partes interessadas afetadas seja realizada de acordo com prazos legais e contratuais definidos. Os procedimentos de forense digital incluem criação de imagens de disco com bloqueadores de escrita, acompanhamento da cadeia de custódia e armazenamento de evidências cifrado, com coordenação com as autoridades policiais quando necessário. Quaisquer desvios à política, como tempo de resposta ou recolha de evidências, devem seguir um processo rigoroso de exceção baseado no risco, com documentação, aprovação do Diretor de Segurança da Informação (CISO) e revisões trimestrais de risco. Para garantir eficácia e conformidade regulamentar, a política impõe revisões anuais, exercícios regulares de resposta a incidentes e métricas claras como Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) e a percentagem de revisões pós-incidente concluídas. A Auditoria e Conformidade e a monitorização de conformidade validam a prontidão e aplicam a adesão, com consequências especificadas para o incumprimento, incluindo medidas disciplinares até à cessação do contrato ou reporte regulamentar. A política está profundamente integrada com políticas de suporte em classificação de dados, gestão de alterações, controlos criptográficos, cópia de segurança e restauro e registo e monitorização, assegurando uma postura de prontidão para incidentes abrangente e defensável.