O Departamento de Segurança da Informação é responsável por desenvolver e implementar políticas de segurança da informação para proteger dados sensíveis, promover a conscientização sobre boas práticas e garantir a confidencialidade, integridade e disponibilidade dos ativos de informação do CFC.
Atribuições
- Propor políticas e procedimentos que definam padrões de segurança para o CFC;
- Garantir que os requisitos de segurança da informação sejam incluídos nos contratos, em contato com as organizações de gerenciamento e aquisição de fornecedores;
- Implementar sistemas de detecção de intrusões, monitorar atividades suspeitas e responder rapidamente a incidentes de segurança;
- Realizar testes de intrusão, avaliações de vulnerabilidades e análises de riscos para identificar e corrigir fraquezas na segurança;
- Garantir que o CFC esteja em conformidade com regulamentações e padrões de segurança;
- Direcionar a criação de um programa de treinamento de conscientização de segurança da informação para todos os empregados, colaboradores e demais usuários de sistemas e estabelecer métricas para medir a eficácia desse programa de treinamento de segurança para os diferentes públicos-alvo;
- Implementar medidas para proteger a integridade e confidencialidade dos dados, rede e infraestrutura;
- Aplicar técnicas de criptografia para proteger dados sensíveis durante a transmissão e armazenamento;
- Desenvolver e testar planos de resposta a incidentes cibernéticos para lidar eficientemente com ameaças em tempo real;
- Garantir que as aplicações desenvolvidas ou utilizadas pelo CFC sejam seguras;
- Facilitar e auxiliar no desenvolvimento de inventários de ativos, incluindo ativos de informação em serviços de nuvem e em outras partes do ecossistema da organização;
- Coordenar a implementação de planos e procedimentos de resposta a incidentes a fim de garantir que os serviços críticos para os negócios sejam recuperados no caso de um evento de segurança, fornecendo direção, suporte e consultoria interna nessas áreas;
- Monitorar o ambiente de ameaças externas para ameaças emergentes e aconselhar as partes interessadas relevantes sobre a adoção de providências apropriadas;
- Gerenciar e conter incidentes e eventos de segurança da informação para proteger ativos corporativos de TI, propriedade intelectual, dados regulamentados e a reputação da instituição;
- Compreender e interagir com disciplinas relacionadas, seja diretamente ou por meio de comitês, para garantir a aplicação consistente de políticas e padrões em todos os projetos, sistemas e serviços de tecnologia, incluindo privacidade, gerenciamento de riscos, conformidade e gerenciamento de continuidade de negócios;
- Apresentar diretrizes claras de mitigação de riscos para projetos com componentes em TI, incluindo a aplicação obrigatória de controles;
- Liderar a função de segurança da informação em toda a instituição para garantir um gerenciamento de segurança da informação consistente e de alta qualidade em apoio aos objetivos de negócios;
- Determinar a abordagem de segurança da informação e o modelo operacional em consulta com as partes interessadas e alinhado ao gerenciamento de riscos e ao monitoramento de conformidade de áreas de risco não digitais;
- Desenvolver visão e estratégia de segurança da informação que esteja alinhada às prioridades da instituição;
- Trabalhar de forma eficaz com as áreas de negócios para facilitar a avaliação de riscos de segurança da informação e os processos de gerenciamento de riscos, e os capacitar a possuir e aceitar o nível de risco que consideram apropriado para seu apetite específico ao risco;
- Criar e gerenciar uma estrutura de controle unificada e flexível, baseada em riscos, para integrar e normalizar a ampla variedade e os requisitos em constante mudança resultantes de leis, padrões e regulamentos globais;
- Desenvolver e manter uma estrutura documental de políticas, padrões e diretrizes de segurança da informação continuamente atualizados. Supervisionar a aprovação e publicação dessas políticas e práticas de segurança da informação;
- Desenvolver, implementar e monitorar um programa estratégico e abrangente de segurança da informação para garantir níveis apropriados de confidencialidade, integridade, disponibilidade, segurança, privacidade e recuperação de ativos de informação de propriedade, controlados e/ou processados pela organização;
- Elaborar proposta de métricas e relatórios para medir a eficiência e a eficácia do programa, sugerir a alocação apropriada de recursos e aumentar a maturidade da segurança da informação e a revisar com as partes interessadas nos níveis executivo e do Conselho Diretor;
- Criar redes internas necessárias entre a equipe de segurança da informação e executivos de linha de negócios, conformidade corporativa, auditoria, segurança física, equipes jurídicas e de gerenciamento de Recursos Humanos (RH) para garantir o alinhamento conforme necessário;
- Construir e manter redes externas que consistem em pares do setor, parceiros do ecossistema, fornecedores e outras partes relevantes para abordar tendências, descobertas, incidentes e riscos de segurança cibernética comuns;
- Estabelecer contato com agências externas, como a aplicação da lei e outros órgãos consultivos, conforme necessário, para garantir que a instituição mantenha uma forte postura de segurança e seja mantida bem a par das ameaças relevantes identificadas por essas agências;
- Fazer a ligação com a equipe de arquitetura corporativa para criar alinhamento entre as arquiteturas de segurança e corporativa (referência), garantindo assim que os requisitos de segurança da informação estejam implícitos nessas arquiteturas e que a segurança seja incorporada por design;
- Criar um processo baseado em risco para a avaliação e mitigação de qualquer risco de segurança da informação no ecossistema que consiste em parceiros da cadeia de suprimentos, fornecedores, consumidores e quaisquer outros terceiros.
- Trabalhar com a equipe para garantir que todas as informações de propriedade, coletadas ou controladas por ou em nome da empresa sejam processadas e armazenadas de acordo com as leis aplicáveis e outros requisitos regulatórios globais, como privacidade de dados;
- Colaborar e manter a ligação com o responsável pela privacidade de dados para garantir que os requisitos de privacidade de dados são incluídos, quando aplicável;
- Definir e facilitar os processos de risco de segurança da informação e de avaliações legais e regulatórias, incluindo a comunicação e a supervisão dos esforços de tratamento para abordar descobertas negativas;
- Garantir que a segurança seja incorporada no processo de entrega do projeto, fornecendo as políticas, práticas e diretrizes apropriadas de segurança da informação;
- Supervisionar as dependências de tecnologia fora do controle organizacional direto. Isso inclui a revisão de contratos e a criação de alternativas para o gerenciamento de riscos;
- Desenvolver e supervisionar políticas e padrões eficazes de recuperação de desastres para se alinhar às metas do programa de gerenciamento de continuidade de negócios da instituição, com a percepção de que os componentes que suportam os principais processos de negócios podem estar fora do perímetro corporativo;
- Apresentar relatórios regulares sobre o status atual do programa de segurança da informação para o Comitê de Gerenciamento de Riscos, Diretoria Executiva e o Conselho Diretor como parte de um programa estratégico de gerenciamento de riscos corporativos, apoiando assim os resultados de negócios;
Documentos da Segurança da Informação
Conheça os documentos que integram a estrutura da Segurança da Informação no âmbito do Conselho Federal de Contabilidade.
- Política de Segurança da Informação (PSI) - aprovada por meio da Resolução CFC n.º 1.627, de 19 de agosto de 2021.
- Política de Controle de Acesso Lógico - aprovada por meio da Resolução CFC n.º 1.625, de 20 de maio de 2021.
- Política de Backup - aprovada por meio da Portaria CFC n.º 183, de 4 de julho de 2024.
- Política de Controle de Ativos de Tecnologia da Informação - aprovada por meio da Resolução CFC n.º 1.631, de 16 de setembro de 2021.
- Política de Incidentes de Segurança da Informação - aprovada por meio da Resolução CFC n.º 1.633, de 7 de outubro de 2021.
- Política de Segurança da Informação para Aquisição, Desenvolvimento e Manutenção de Sistemas da Informação - aprovada por meio da Resolução CFC n.º 1.635, de 7 de outubro de 2021.
- Plano de Continuidade de Tecnologia da Informação (PCTI) - aprovado por meio da Portaria CFC n.º 267, de 20 de agosto de 2021.
- Plano de Comunicação - aprovado por meio da Portaria CFC n.º 120, de 10 de novembro de 2023.
- Norma de Mesa Limpa e Tela Protegida - aprovada por meio da Portaria CFC n.º 114, de 1º de novembro de 2023 e revisada pela Portaria CFC n. 182, de 4 de julho de 2024.
- Norma de Dispositivos Móveis e BYOD - aprovada por meio da Portaria CFC n.º 104, de 1º de setembro de 2023.
- Norma de Objetivos, Indicadores e Métricas de Segurança da Informação - aprovada por meio da Portaria CFC n.º 105, de 1º de setembro de 2023.
- Norma de Gestão de Registros - aprovada por meio da Portaria CFC n.º 106, de 8 de setembro de 2023.
- Norma de Controles Criptográficos e Gerenciamento de Chaves - aprovada por meio da Portaria CFC n.º 101, de 1º de setembro de 2023.
- Norma de Gestão de Incidentes de Segurança da Informação - aprovada por meio da Portaria CFC n.º 102, de 1º de setembro de 2023.
- Norma de Responsabilidades de Segurança de Informação - aprovada por meio da Portaria CFC n.º 103, de 1º de setembro de 2023.
- Norma de Transferência da Informação - aprovada por meio da Portaria CFC n.º 192, de 29 de agosto de 2024.
- Portaria CFC n.º 089/23 - Cria o Comitê de Segurança da Informação (CSI) do Conselho Federal de Contabilidade (CFC).
Portaria CFC n.º 273/24 - Nomeia integrantes para compor o Comitê de Segurança da Informação (CSI) do Conselho Federal de Contabilidade (CFC), instituído pela Portaria Pres CFC nº 89, de 27 de junho de 2023.
Responsável
Gerente
Francisco Edivar Lopes de Sousa
E-mail: francisco.sousa@cfc.org.br