Brasil

Nova política de segurança digital da Previdência limita acesso a dados por função de servidor

Redação016 visualizações

A nova política digital do Ministério da Previdência, publicada no Diário Oficial da União desta quarta-feira (21), prevê a limitação de acesso a dados conforme a função do servidor ou comissionado dentro do órgão.

Além disso, os novos parâmetros estabelecem a revogação de acessos a informações que não sejam pertinentes ao setor de atuação do funcionário, e a criação do Comitê de Governança Digital e Segurança da Informação.

A publicação ocorre após operação da Polícia Federal encontrar indícios de que servidores do INSS (Instituto Nacional do Seguro Social), vinculado ao ministério, acessaram indevidamente informações de aposentados e pensionistas.

O R7 questionou a pasta se as novas regras também serão aplicadas ao instituto e aguarda resposta.

Política
Entre os principais objetivos da medida estão a proteção dos dados que circulam no ministério e a definição de diretrizes para uma gestão mais eficiente no combate a crimes cibernéticos.

O controle da informação — ou seja, como ela será acessada e protegida — será baseado em cinco pilares:

Privilégio mínimo: garantir que usuários, sistemas e dispositivos automatizados possuam apenas as permissões necessárias para o desempenho de suas funções;
Necessidade de saber: restringir o acesso às informações apenas àqueles cuja função exige o conhecimento específico;
Autenticação multifator: adoção de múltiplos métodos de verificação para acesso a ambientes tecnológicos e sistemas críticos;
Revisão periódica dos acessos: realização de auditorias regulares das permissões concedidas, para garantir sua adequação;
Revogação imediata de acessos: remoção de permissões de usuários que não necessitam mais delas, como nos casos de desligamento ou mudança de função.
Dados pessoais
No que diz respeito à coleta de dados pessoais, as novas diretrizes preveem:

Coleta apenas dos dados estritamente necessários para o desempenho das atividades do ministério;
Obtenção de consentimento dos titulares dos dados, quando aplicável;
Compromisso de uso dos dados exclusivamente para os fins aos quais se destinam;
Implementação de medidas técnicas e administrativas para proteção contra acessos não autorizados e incidentes;
Garantia de que os titulares possam exercer seus direitos, conforme previsto na Lei Geral de Proteção de Dados.

Equipe especializada
Outra portaria institui a ETIR (Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos), responsável por coordenar ações em caso de crimes cibernéticos ou vazamentos de dados.

A equipe terá autonomia para orientar os públicos envolvidos e tomar as medidas necessárias para reforçar a resposta e a postura da organização diante de incidentes, sem depender de autorização de níveis superiores de gestão.

No entanto, qualquer ocorrência deverá ser comunicada aos gestores da pasta. Em situações justificadas, a ETIR poderá executar medidas de recuperação de forma imediata, mesmo sem aprovação prévia.

Fonte: r7

Notícias Relacionadas

Bolsonaro sabia que não havia fraude e pressionou para adiar relatório sobre lisura das urnas, diz ex-comandante da FAB

Rússia colocou espiões no Brasil, diz New York Times

Trama golpista: STF julga se torna réus militares do ‘núcleo 3’, que elaboraram plano com sequestros e assassinatos