A nova política digital do Ministério da Previdência, publicada no Diário Oficial da União desta quarta-feira (21), prevê a limitação de acesso a dados conforme a função do servidor ou comissionado dentro do órgão.
Além disso, os novos parâmetros estabelecem a revogação de acessos a informações que não sejam pertinentes ao setor de atuação do funcionário, e a criação do Comitê de Governança Digital e Segurança da Informação.
A publicação ocorre após operação da Polícia Federal encontrar indícios de que servidores do INSS (Instituto Nacional do Seguro Social), vinculado ao ministério, acessaram indevidamente informações de aposentados e pensionistas.
O R7 questionou a pasta se as novas regras também serão aplicadas ao instituto e aguarda resposta.
Política
Entre os principais objetivos da medida estão a proteção dos dados que circulam no ministério e a definição de diretrizes para uma gestão mais eficiente no combate a crimes cibernéticos.
O controle da informação — ou seja, como ela será acessada e protegida — será baseado em cinco pilares:
Privilégio mínimo: garantir que usuários, sistemas e dispositivos automatizados possuam apenas as permissões necessárias para o desempenho de suas funções;
Necessidade de saber: restringir o acesso às informações apenas àqueles cuja função exige o conhecimento específico;
Autenticação multifator: adoção de múltiplos métodos de verificação para acesso a ambientes tecnológicos e sistemas críticos;
Revisão periódica dos acessos: realização de auditorias regulares das permissões concedidas, para garantir sua adequação;
Revogação imediata de acessos: remoção de permissões de usuários que não necessitam mais delas, como nos casos de desligamento ou mudança de função.
Dados pessoais
No que diz respeito à coleta de dados pessoais, as novas diretrizes preveem:
Coleta apenas dos dados estritamente necessários para o desempenho das atividades do ministério;
Obtenção de consentimento dos titulares dos dados, quando aplicável;
Compromisso de uso dos dados exclusivamente para os fins aos quais se destinam;
Implementação de medidas técnicas e administrativas para proteção contra acessos não autorizados e incidentes;
Garantia de que os titulares possam exercer seus direitos, conforme previsto na Lei Geral de Proteção de Dados.
Equipe especializada
Outra portaria institui a ETIR (Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos), responsável por coordenar ações em caso de crimes cibernéticos ou vazamentos de dados.
A equipe terá autonomia para orientar os públicos envolvidos e tomar as medidas necessárias para reforçar a resposta e a postura da organização diante de incidentes, sem depender de autorização de níveis superiores de gestão.
No entanto, qualquer ocorrência deverá ser comunicada aos gestores da pasta. Em situações justificadas, a ETIR poderá executar medidas de recuperação de forma imediata, mesmo sem aprovação prévia.
Fonte: r7