O Departamento de Segurança da Informação é responsável por garantir a confidencialidade, integridade e disponibilidade dos ativos de informação do CFC.
Atribuições
- Propor políticas e procedimentos que definam padrões de segurança para o CFC;
- Garantir que os requisitos de segurança da informação sejam incluídos nos contratos, em contato com as organizações de gerenciamento e aquisição de fornecedores;
- Implementar sistemas de detecção de intrusões, monitorar atividades suspeitas e responder rapidamente a incidentes de segurança;
- Realizar testes de intrusão, avaliações de vulnerabilidades e análises de riscos para identificar e corrigir fraquezas na segurança;
- Garantir que o CFC esteja em conformidade com regulamentações e padrões de segurança;
- Direcionar a criação de um programa de treinamento de conscientização de segurança da informação para todos os empregados, colaboradores e demais usuários de sistemas e estabelecer métricas para medir a eficácia desse programa de treinamento de segurança para os diferentes públicos-alvo;
- Implementar medidas para proteger a integridade e confidencialidade dos dados, rede e infraestrutura;
- Aplicar técnicas de criptografia para proteger dados sensíveis durante a transmissão e armazenamento;
- Desenvolver e testar planos de resposta a incidentes cibernéticos para lidar eficientemente com ameaças em tempo real;
- Garantir que as aplicações desenvolvidas ou utilizadas pelo CFC sejam seguras;
- Facilitar e auxiliar no desenvolvimento de inventários de ativos, incluindo ativos de informação em serviços de nuvem e em outras partes do ecossistema da organização;
- Coordenar a implementação de planos e procedimentos de resposta a incidentes a fim de garantir que os serviços críticos para os negócios sejam recuperados no caso de um evento de segurança, fornecendo direção, suporte e consultoria interna nessas áreas;
- Monitorar o ambiente de ameaças externas para ameaças emergentes e aconselhar as partes interessadas relevantes sobre a adoção de providências apropriadas;
- Gerenciar e conter incidentes e eventos de segurança da informação para proteger ativos corporativos de TI, propriedade intelectual, dados regulamentados e a reputação da instituição;
- Compreender e interagir com disciplinas relacionadas, seja diretamente ou por meio de comitês, para garantir a aplicação consistente de políticas e padrões em todos os projetos, sistemas e serviços de tecnologia, incluindo privacidade, gerenciamento de riscos, conformidade e gerenciamento de continuidade de negócios;
- Apresentar diretrizes claras de mitigação de riscos para projetos com componentes em TI, incluindo a aplicação obrigatória de controles;
- Liderar a função de segurança da informação em toda a instituição para garantir um gerenciamento de segurança da informação consistente e de alta qualidade em apoio aos objetivos de negócios;
- Determinar a abordagem de segurança da informação e o modelo operacional em consulta com as partes interessadas e alinhado ao gerenciamento de riscos e ao monitoramento de conformidade de áreas de risco não digitais;
- Desenvolver visão e estratégia de segurança da informação que esteja alinhada às prioridades da instituição;
- Trabalhar de forma eficaz com as áreas de negócios para facilitar a avaliação de riscos de segurança da informação e os processos de gerenciamento de riscos, e os capacitar a possuir e aceitar o nível de risco que consideram apropriado para seu apetite específico ao risco;
- Criar e gerenciar uma estrutura de controle unificada e flexível, baseada em riscos, para integrar e normalizar a ampla variedade e os requisitos em constante mudança resultantes de leis, padrões e regulamentos globais;
- Desenvolver e manter uma estrutura documental de políticas, padrões e diretrizes de segurança da informação continuamente atualizados. Supervisionar a aprovação e publicação dessas políticas e práticas de segurança da informação;
- Desenvolver, implementar e monitorar um programa estratégico e abrangente de segurança da informação para garantir níveis apropriados de confidencialidade, integridade, disponibilidade, segurança, privacidade e recuperação de ativos de informação de propriedade, controlados e/ou processados pela organização;
- Elaborar proposta de métricas e relatórios para medir a eficiência e a eficácia do programa, sugerir a alocação apropriada de recursos e aumentar a maturidade da segurança da informação e a revisar com as partes interessadas nos níveis executivo e do Conselho Diretor;
- Criar redes internas necessárias entre a equipe de segurança da informação e executivos de linha de negócios, conformidade corporativa, auditoria, segurança física, equipes jurídicas e de gerenciamento de Recursos Humanos (RH) para garantir o alinhamento conforme necessário;
- Construir e manter redes externas que consistem em pares do setor, parceiros do ecossistema, fornecedores e outras partes relevantes para abordar tendências, descobertas, incidentes e riscos de segurança cibernética comuns;
- Estabelecer contato com agências externas, como a aplicação da lei e outros órgãos consultivos, conforme necessário, para garantir que a instituição mantenha uma forte postura de segurança e seja mantida bem a par das ameaças relevantes identificadas por essas agências;
- Fazer a ligação com a equipe de arquitetura corporativa para criar alinhamento entre as arquiteturas de segurança e corporativa (referência), garantindo assim que os requisitos de segurança da informação estejam implícitos nessas arquiteturas e que a segurança seja incorporada por design;
- Criar um processo baseado em risco para a avaliação e mitigação de qualquer risco de segurança da informação no ecossistema que consiste em parceiros da cadeia de suprimentos, fornecedores, consumidores e quaisquer outros terceiros.
- Trabalhar com a equipe para garantir que todas as informações de propriedade, coletadas ou controladas por ou em nome da empresa sejam processadas e armazenadas de acordo com as leis aplicáveis e outros requisitos regulatórios globais, como privacidade de dados;
- Colaborar e manter a ligação com o responsável pela privacidade de dados para garantir que os requisitos de privacidade de dados são incluídos, quando aplicável;
- Definir e facilitar os processos de risco de segurança da informação e de avaliações legais e regulatórias, incluindo a comunicação e a supervisão dos esforços de tratamento para abordar descobertas negativas;
- Garantir que a segurança seja incorporada no processo de entrega do projeto, fornecendo as políticas, práticas e diretrizes apropriadas de segurança da informação;
- Supervisionar as dependências de tecnologia fora do controle organizacional direto. Isso inclui a revisão de contratos e a criação de alternativas para o gerenciamento de riscos;
- Desenvolver e supervisionar políticas e padrões eficazes de recuperação de desastres para se alinhar às metas do programa de gerenciamento de continuidade de negócios da instituição, com a percepção de que os componentes que suportam os principais processos de negócios podem estar fora do perímetro corporativo;
- Apresentar relatórios regulares sobre o status atual do programa de segurança da informação para o Comitê de Gerenciamento de Riscos, Diretoria Executiva e o Conselho Diretor como parte de um programa estratégico de gerenciamento de riscos corporativos, apoiando assim os resultados de negócios;
Responsável
Gerente
Francisco Edivar Lopes de Sousa
E-mail: francisco.sousa@cfc.org.br