Última modificação: março 19, 2025

Política nº 4204 Procedimento do plano de resposta de segurança

Faça o download do documento de procedimento do plano de resposta de segurança

Visão geral

Um Plano de Resposta de Segurança (SRP) dá o impulso para que os grupos operacionais e de segurança integrem seus esforços do ponto de vista da conscientização e da comunicação, bem como da resposta coordenada em tempos de crise (vulnerabilidade de segurança identificada ou explorada). Especificamente, um SRP define uma descrição do produto, informações de contato, caminhos de escalonamento, acordos de nível de serviço (SLA) esperados, classificação de gravidade e impacto e cronogramas de mitigação/remediação.

Ao exigir que os grupos operacionais incorporem uma SRP como parte de suas operações de continuidade de negócios e à medida que novos produtos ou serviços são desenvolvidos e preparados para serem liberados para os consumidores, isso garante que, quando ocorrer um incidente, a mitigação e a correção sejam rápidas.

Finalidade

O objetivo deste procedimento é estabelecer a exigência de que todos os grupos operacionais apoiados pela equipe de InfoSec desenvolvam e mantenham um plano de resposta de segurança. Isso garante que a equipe de resposta a incidentes de segurança tenha todas as informações necessárias para formular uma resposta bem-sucedida caso ocorra um incidente de segurança específico.

Escopo

Este procedimento se aplica a qualquer grupo ou entidade operacional estabelecida e definida dentro da PCSD.

Procedimento

O desenvolvimento, a implementação e a execução de um Plano de Resposta de Segurança (SRP) são de responsabilidade primária do grupo operacional específico para o qual o SRP está sendo desenvolvido, em cooperação com a equipe de InfoSec.

Espera-se que os grupos operacionais facilitem adequadamente o SRP aplicável ao serviço ou aos produtos pelos quais são responsáveis. Espera-se ainda que o coordenador ou defensor de segurança do grupo operacional trabalhe com o engenheiro de segurança da rede no desenvolvimento e na manutenção de um Plano de Resposta de Segurança.

Descrição do serviço ou produto

A descrição do produto em um SRP deve definir claramente o serviço ou aplicativo a ser implantado, com atenção adicional aos fluxos de dados e diagramas lógicos. Uma arquitetura claramente definida é muito útil.

Informações de contato

O SRP deve incluir informações de contato de membros dedicados da equipe que estejam disponíveis fora do horário comercial, caso ocorra um incidente e seja necessário um escalonamento.
Isso pode ser um requisito 24 horas por dia, 7 dias por semana, dependendo do valor comercial definido do serviço ou produto, juntamente com o impacto para o cliente.
O documento do SRP deve incluir todos os números de telefone e endereços de e-mail do(s) membro(s) dedicado(s) da equipe.

Triagem

O SRP deve definir as etapas de triagem a serem coordenadas com a equipe de resposta a incidentes de segurança de forma cooperativa, com o objetivo de mitigar rapidamente a vulnerabilidade de segurança.
Normalmente, essa etapa inclui a validação da vulnerabilidade ou do comprometimento relatado.

Mitigações e testes identificados

O SRP deve incluir um processo definido para identificar e testar as atenuações antes da implementação.
Esses detalhes devem incluir tanto as atenuações de curto prazo quanto o processo de correção.

Cronogramas de mitigação e remediação

O SRP deve incluir níveis de resposta às vulnerabilidades identificadas que definam os cronogramas esperados para reparo com base na gravidade e no impacto para os consumidores, a marca e a empresa.
Essas diretrizes de resposta devem ser cuidadosamente mapeadas para o nível de gravidade determinado para a vulnerabilidade relatada.

Status da última atualização:

Atualizado em janeiro de 2015