Departamento de Segurança da Informação

O Departamento de Segurança da Informação é responsável por desenvolver e implementar políticas de segurança da informação para proteger dados sensíveis, promover a conscientização sobre boas práticas e garantir a confidencialidade, integridade e disponibilidade dos ativos de informação do CFC.

Atribuições

• Propor políticas e procedimentos que definam padrões de segurança para o CFC;
• Garantir que os requisitos de segurança da informação sejam incluídos nos contratos, em contato com as organizações de gerenciamento e aquisição de fornecedores;
• Implementar sistemas de detecção de intrusões, monitorar atividades suspeitas e responder rapidamente a incidentes de segurança;
• Realizar testes de intrusão, avaliações de vulnerabilidades e análises de riscos para identificar e corrigir fraquezas na segurança;
• Garantir que o CFC esteja em conformidade com regulamentações e padrões de segurança;
• Direcionar a criação de um programa de treinamento de conscientização de segurança da informação para todos os empregados, colaboradores e demais usuários de sistemas e estabelecer métricas para medir a eficácia desse programa de treinamento de segurança para os diferentes públicos-alvo;
• Implementar medidas para proteger a integridade e confidencialidade dos dados, rede e infraestrutura;
• Aplicar técnicas de criptografia para proteger dados sensíveis durante a transmissão e armazenamento;
• Desenvolver e testar planos de resposta a incidentes cibernéticos para lidar eficientemente com ameaças em tempo real;
• Garantir que as aplicações desenvolvidas ou utilizadas pelo CFC sejam seguras;
• Facilitar e auxiliar no desenvolvimento de inventários de ativos, incluindo ativos de informação em serviços de nuvem e em outras partes do ecossistema da organização;
• Coordenar a implementação de planos e procedimentos de resposta a incidentes a fim de garantir que os serviços críticos para os negócios sejam recuperados no caso de um evento de segurança, fornecendo direção, suporte e consultoria interna nessas áreas;
• Monitorar o ambiente de ameaças externas para ameaças emergentes e aconselhar as partes interessadas relevantes sobre a adoção de providências apropriadas;
• Gerenciar e conter incidentes e eventos de segurança da informação para proteger ativos corporativos de TI, propriedade intelectual, dados regulamentados e a reputação da instituição;
• Compreender e interagir com disciplinas relacionadas, seja diretamente ou por meio de comitês, para garantir a aplicação consistente de políticas e padrões em todos os projetos, sistemas e serviços de tecnologia, incluindo privacidade, gerenciamento de riscos, conformidade e gerenciamento de continuidade de negócios;
• Apresentar diretrizes claras de mitigação de riscos para projetos com componentes em TI, incluindo a aplicação obrigatória de controles;
• Liderar a função de segurança da informação em toda a instituição para garantir um gerenciamento de segurança da informação consistente e de alta qualidade em apoio aos objetivos de negócios;
• Determinar a abordagem de segurança da informação e o modelo operacional em consulta com as partes interessadas e alinhado ao gerenciamento de riscos e ao monitoramento de conformidade de áreas de risco não digitais;
• Desenvolver visão e estratégia de segurança da informação que esteja alinhada às prioridades da instituição;
• Trabalhar de forma eficaz com as áreas de negócios para facilitar a avaliação de riscos de segurança da informação e os processos de gerenciamento de riscos, e os capacitar a possuir e aceitar o nível de risco que consideram apropriado para seu apetite específico ao risco;
• Criar e gerenciar uma estrutura de controle unificada e flexível, baseada em riscos, para integrar e normalizar a ampla variedade e os requisitos em constante mudança resultantes de leis, padrões e regulamentos globais;
• Desenvolver e manter uma estrutura documental de políticas, padrões e diretrizes de segurança da informação continuamente atualizados. Supervisionar a aprovação e publicação dessas políticas e práticas de segurança da informação;
• Desenvolver, implementar e monitorar um programa estratégico e abrangente de segurança da informação para garantir níveis apropriados de confidencialidade, integridade, disponibilidade, segurança, privacidade e recuperação de ativos de informação de propriedade, controlados e/ou processados pela organização;
• Elaborar proposta de métricas e relatórios para medir a eficiência e a eficácia do programa, sugerir a alocação apropriada de recursos e aumentar a maturidade da segurança da informação e a revisar com as partes interessadas nos níveis executivo e do Conselho Diretor;
• Criar redes internas necessárias entre a equipe de segurança da informação e executivos de linha de negócios, conformidade corporativa, auditoria, segurança física, equipes jurídicas e de gerenciamento de Recursos Humanos (RH) para garantir o alinhamento conforme necessário;
• Construir e manter redes externas que consistem em pares do setor, parceiros do ecossistema, fornecedores e outras partes relevantes para abordar tendências, descobertas, incidentes e riscos de segurança cibernética comuns;
• Estabelecer contato com agências externas, como a aplicação da lei e outros órgãos consultivos, conforme necessário, para garantir que a instituição mantenha uma forte postura de segurança e seja mantida bem a par das ameaças relevantes identificadas por essas agências;
• Fazer a ligação com a equipe de arquitetura corporativa para criar alinhamento entre as arquiteturas de segurança e corporativa (referência), garantindo assim que os requisitos de segurança da informação estejam implícitos nessas arquiteturas e que a segurança seja incorporada por design;
• Criar um processo baseado em risco para a avaliação e mitigação de qualquer risco de segurança da informação no ecossistema que consiste em parceiros da cadeia de suprimentos, fornecedores, consumidores e quaisquer outros terceiros.
• Trabalhar com a equipe para garantir que todas as informações de propriedade, coletadas ou controladas por ou em nome da empresa sejam processadas e armazenadas de acordo com as leis aplicáveis e outros requisitos regulatórios globais, como privacidade de dados;
• Colaborar e manter a ligação com o responsável pela privacidade de dados para garantir que os requisitos de privacidade de dados são incluídos, quando aplicável;
• Definir e facilitar os processos de risco de segurança da informação e de avaliações legais e regulatórias, incluindo a comunicação e a supervisão dos esforços de tratamento para abordar descobertas negativas;
• Garantir que a segurança seja incorporada no processo de entrega do projeto, fornecendo as políticas, práticas e diretrizes apropriadas de segurança da informação;  
• Supervisionar as dependências de tecnologia fora do controle organizacional direto. Isso inclui a revisão de contratos e a criação de alternativas para o gerenciamento de riscos;
• Desenvolver e supervisionar políticas e padrões eficazes de recuperação de desastres para se alinhar às metas do programa de gerenciamento de continuidade de negócios da instituição, com a percepção de que os componentes que suportam os principais processos de negócios podem estar fora do perímetro corporativo;
• Apresentar relatórios regulares sobre o status atual do programa de segurança da informação para o Comitê de Gerenciamento de Riscos, Diretoria Executiva e o Conselho Diretor como parte de um programa estratégico de gerenciamento de riscos corporativos, apoiando assim os resultados de negócios;

Documentos da Segurança da Informação

Conheça os documentos que integram a estrutura da Segurança da Informação no âmbito do Conselho Federal de Contabilidade.

• Política de Segurança da Informação (PSI) - aprovada por meio da Resolução CFC n.º 1.627, de 19 de agosto de 2021.
• Política de Controle de Acesso Lógico - aprovada por meio da Resolução CFC n.º 1.625, de 20 de maio de 2021.
• Política de Backup - aprovada por meio da Portaria CFC n.º 183, de 4 de julho de 2024.
• Política de Controle de Ativos de Tecnologia da Informação - aprovada por meio da Resolução CFC n.º 1.631, de 16 de setembro de 2021.
• Política de Incidentes de Segurança da Informação - aprovada por meio da Resolução CFC n.º 1.633, de 7 de outubro de 2021.
• Política de Segurança da Informação para Aquisição, Desenvolvimento e Manutenção de Sistemas da Informação - aprovada por meio da Resolução CFC n.º 1.635, de 7 de outubro de 2021.
• Plano de Continuidade de Tecnologia da Informação (PCTI) - aprovado por meio da Portaria CFC n.º 267, de 20 de agosto de 2021.
• Plano de Comunicação - aprovado por meio da Portaria CFC n.º 120, de 10 de novembro de 2023.
• Norma de Mesa Limpa e Tela Protegida - aprovada por meio da Portaria CFC n.º 114, de 1º de novembro de 2023 e revisada pela Portaria CFC n. 182, de 4 de julho de 2024.
• Norma de Dispositivos Móveis e BYOD - aprovada por meio da Portaria CFC n.º 104, de 1º de setembro de 2023.
• Norma de Objetivos, Indicadores e Métricas de Segurança da Informação - aprovada por meio da Portaria CFC n.º 105, de 1º de setembro de 2023.
• Norma de Gestão de Registros - aprovada por meio da Portaria CFC n.º 106, de 8 de setembro de 2023.
• Norma de Controles Criptográficos e Gerenciamento de Chaves - aprovada por meio da Portaria CFC n.º 101, de 1º de setembro de 2023.
• Norma de Gestão de Incidentes de Segurança da Informação - aprovada por meio da Portaria CFC n.º 102, de 1º de setembro de 2023.
• Norma de Responsabilidades de Segurança de Informação - aprovada por meio da Portaria CFC n.º 103, de 1º de setembro de 2023.
• Norma de Transferência da Informação - aprovada por meio da Portaria CFC n.º 192, de 29 de agosto de 2024.
• Portaria CFC n.º 089/23 - Cria o Comitê de Segurança da Informação (CSI) do Conselho Federal de Contabilidade (CFC).
  Portaria CFC n.º 273/24 - Nomeia integrantes para compor o Comitê de Segurança da Informação (CSI) do Conselho Federal de Contabilidade (CFC), instituído pela Portaria Pres CFC nº 89, de 27 de junho de 2023.

Responsável

Contato
Andréa Rosa
E-mail: cgti@cfc.org.br