ATO TRT13.SGP Nº 133/2024
João Pessoa, 03 de outubro de 2024
Institui o Processo de Gestão de Vulnerabilidades de TIC no âmbito do Tribunal
Regional do Trabalho da 13ª Região.
O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA
DÉCIMA TERCEIRA REGIÃO, no exercício de suas atribuições legais e regimentais, e nos
termos do PROAD nº 8452/2024,
CONSIDERANDO as diretrizes da Política de Segurança da Informação e Comunicações e
da Política de Proteção de Dados Pessoais da instituição;
CONSIDERANDO a necessidade de manter a continuidade dos serviços essenciais que a
instituição presta à sociedade;
RESOLVE:
Art. 1º Estabelecer o Processo de Gestão de Vulnerabilidades de TIC no âmbito do
Tribunal Regional do Trabalho da 13ª Região, conforme descrição, papéis e
responsabilidades definidas no Anexo I, disponível no Portal de Segurança da Informação,
na página do Tribunal Regional do Trabalho da 13ª Região
Art. 2º Revoga-se o Ato TRT SGP nº 373/2019.
Art. 3º O presente Ato entra em vigor a partir da data de sua publicação.
Cientifique-se e publique-se no DEJT-Adm.
THIAGO DE OLIVEIRA ANDRADE
Desembargador Presidente
THIAGO
DE
OLIVEIRA
ANDRADE
08/10/2024 13:48
MANUAL DO PROCESSO DE GESTÃO DE
VULNERABILIDADES DE TIC
Secretaria de Governança e Gestão Estratégica
Assessoria de Governança de Segurança da Informação
João Pessoa – 2024
Versão 1.2
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Tribunal Regional do Trabalho da 13ª Região
Desembargador Presidente
Thiago de Oliveira Andrade
Comitê Gestor de Segurança da Informação
Lindinaldo Silva Marinho (Juiz Auxiliar da Presidência, Coordenador)
Larissa Leônia Bezerra de Andrade Albuquerque (Juíza Auxiliar da Vice-Presidência,
Vice-coordenadora)
Adriano Mesquita Dantas (Magistrado indicado pela Presidência)
Bruno Rafael de Araújo Sales (Diretor da SETIC)
Hyderlandson Coelho da Costa (Secretário-Geral da Presidência)
Karla Fonseca Maranhão (Assessora Jurídica da Presidência)
Luís Fabiano Saldanha Bandeira (Assessor de Governança de TIC)
Max Frederico Guedes Pereira (Diretor da Secretaria de Governança e Gestão Estratégica)
Ricardo José de Medeiros II (Agente responsável pela ETIR)
Rodrigo Mafra (Assessor de Governança de Segurança da Informação)
Simone Farias Perrusi (Diretora Geral da Secretaria)
Secretaria de Governança e Gestão Estratégica
Max Frederico Guedes Pereira (Diretor)
Rodrigo Mafra (Assessor de Governança de Segurança da Informação)
Carlos Alberto Araújo Correia Filho
2
Manual do Processo de Gestão de Vulnerabilidades
de TIC
SUMÁRIO
1. Objetivo....................................................................................................................................................................4
2. Propósito do processo..............................................................................................................................................4
3. Escopo...................................................................................................................................................................... 4
4. Definições e abreviações..........................................................................................................................................4
5. Benefícios esperados................................................................................................................................................4
6. Interfaces com demais processos.............................................................................................................................5
7. Entradas e saídas......................................................................................................................................................5
8. Papéis e responsabilidades...................................................................................................................................... 5
9. O Processo de Gestão de Vulnerabilidades de TIC................................................................................................... 7
10. Indicadores de desempenho................................................................................................................................15
11. Anexos..................................................................................................................................................................16
3
Manual do Processo de Gestão de Vulnerabilidades
de TIC
1. Objetivo
Definir o Processo de Gestão de Vulnerabilidades de TIC.
2. Propósito do processo
Este processo tem como propósito definir a gestão de vulnerabilidades de TIC no âmbito
do Tribunal Regional do Trabalho – 13ª Região, garantindo que as mesmas sejam
conhecidas, monitoradas e tratadas.
3. Escopo
O escopo do processo compreende os serviços essenciais de TIC oferecidos pela
SETIC – Secretaria de Tecnologia da Informação e Comunicação do TRT da 13ª Região,
sobretudo os que suportam a atividade jurisdicional.
4. Definições e abreviações
Para efeitos deste manual, aplicam-se as definições da Política de Segurança da
Informação e Comunicações e da Política de Proteção de Dados Pessoais, além das
seguintes:
● Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente
indesejado, que pode resultar em risco para um sistema ou organização, os quais
podem ser evitados por uma ação interna de Segurança da Informação;
● Gestão de Vulnerabilidades de TIC: processo de gestão que visa conhecer,
monitorar e tratar vulnerabilidades que afetem os ativos de TIC, minimizando o risco
de que as mesmas sejam exploradas;
● Serviço de TIC: serviço baseado no uso da Tecnologia da Informação, provido a um
ou mais clientes para apoiar os processos de negócio da instituição.
5. Benefícios esperados
A implementação do Processo de Gestão de Vulnerabilidades de TIC no TRT da 13ª
Região promoverá os seguintes benefícios:
● Aumento da disponibilidade dos serviços de TIC, uma vez que se diminuirá o risco
e/ou tempo de parada, evitando a ocorrência de incidentes de Segurança da
Informação;
● Aderência à Política de Segurança da Informação e Comunicações (POSIC) da
instituição, promovendo a confidencialidade, disponibilidade e integridade das
informações;
● Aderência à Estratégia Nacional de Segurança Cibernética do Poder Judiciário
(ENSEC-PJ);
4
Manual do Processo de Gestão de Vulnerabilidades
de TIC
● Tratamento dos riscos inerentes às vulnerabilidades identificadas.
6. Interfaces com demais processos
● Processo de Gerenciamento de Mudanças: acionado caso o tratamento da
vulnerabilidade resulte em mudanças no ativos envolvidos.
7. Entradas e saídas
As principais entradas e saídas do Processo de Gestão de Vulnerabilidades de TIC são:
7.1 Entradas
● Alerta de vulnerabilidades oriundas de fontes externas (listas de discussão, sites
especializados, etc);
● Resultado de varredura de vulnerabilidades executadas pela equipe de Segurança
Cibernética;
● Inventário de Ativos.
7.2 Saídas
● Inventário de Ativos atualizado;
● Base de Conhecimento atualizada.
8. Papéis e responsabilidades
Abaixo estão definidos os papéis, seus executores e suas responsabilidades:
PAPEL
DESCRIÇÃO
RESPONSABILIDADES
Comitê Gestor
de Segurança
da Informação
(CGSI)
Comitê multidisciplinar
formado por magistrados e
servidores, de
assessoramento da
Administração na área de
Segurança da Informação.
Analisar e manifestar-se sobre o
processo de Gestão de Vulnerabilidades
de TIC, apoiando a Presidência na
avaliação do processo.
Analisar e deliberar sobre os riscos
inerentes às vulnerabilidades de TIC não
tratadas.
5
Manual do Processo de Gestão de Vulnerabilidades
de TIC
PAPEL
DESCRIÇÃO
RESPONSABILIDADES
Central de
Serviços
Equipe da área de TIC
responsável pelo atendimento
de primeiro nível e pela
triagem de chamados.
Fazer a triagem dos chamados,
encaminhando para a área responsável.
Assessoria de
Governança
da Segurança
da Informação
(AGSI)
Unidade responsável pelo
macroprocesso de Segurança
da Informação e pelo
Processo de Gestão de
Vulnerabilidades de TIC.
Fazer Relatório Anual de Tratamento de
Vulnerabilidades.
Assessorar o Comitê Gestor de
Segurança da Informação na análise e
na tomada de decisões a respeito do
Processo de Gestão de Vulnerabilidades
de TIC.
Gerenciar o Processo de Gestão de
Vulnerabilidades de TIC e manter a
documentação relacionada atualizada.
Acionar o Comitê Gestor de Segurança
da Informação no caso de uma
vulnerabilidade não tratada.
Unidades de
TIC
Compreende as unidades
técnicas da área de TIC,
responsáveis por administrar
os serviços essenciais de TIC
da instituição.
Tratar as vulnerabilidades dos ativos sob
sua responsabilidade.
Documentar o tratamento ou não das
vulnerabilidades.
Atualizar o Inventário de Ativos.
Área de
Segurança
Cibernética
Unidade responsável pela
Segurança Cibernética.
Identificar as vulnerabilidades existentes.
Abrir chamado junto à Central de
Serviços para dar início ao tratamento
das vulnerabilidades.
6
Manual do Processo de Gestão de Vulnerabilidades
de TIC
9. O Processo de Gestão de Vulnerabilidades de TIC
9.1 Diagrama
7
Manual do Processo de Gestão de Vulnerabilidades
de TIC
9.2 Atividades do Processo de Gestão de Vulnerabilidades de TIC
Identificar vulnerabilidades
Descrição
Identificar vulnerabilidades que afetem os ativos de TIC da instituição.
Papéis
Unidade de Segurança Cibernética.
Entradas
Inventário de Ativos; e-mail/notificação alertando vulnerabilidade,
resultado de varredura ou qualquer outra fonte de informações sobre
vulnerabilidades.
Saídas
Vulnerabilidades detectadas e ainda não tratadas.
Atividades
Realizar cadastro em
serviços de alerta de
vulnerabilidades
Cadastrar e-mail da unidade de Segurança
Cibernética nos principais serviços de alerta
de vulnerabilidades.
Obter informações
sobre vulnerabilidades
Obter informações sobre vulnerabilidades
através de listas de discussão, varredura de
vulnerabilidades ou qualquer outra fonte de
informações sobre vulnerabilidades.
Verificar pertinência
Para cada vulnerabilidade conhecida, verificar
se a mesma afeta ativos de TIC da instituição,
consultando o Inventário de Ativos e se a
mesma ainda não foi tratada.
Classificar
vulnerabilidades
Classificar cada vulnerabilidade pertinente de
acordo com a Tabela de Classificação de
Vulnerabilidades.
Modelos
Tabela de Classificação de Vulnerabilidades (Anexo I).
8
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Abrir chamado
Descrição
Abrir chamado para tratamento de cada vulnerabilidade que afete ativos
de TIC da instituição e que façam parte do escopo do processo.
Considerações
importantes
N/A
Papéis
Unidade de Segurança Cibernética.
Entradas
Vulnerabilidades conhecidas e que afetem ativos de TIC da instituição.
Saídas
Chamado para tratamento da vulnerabilidade.
Atividades
Abrir chamado
Abrir chamado eletrônico para tratamento de
cada vulnerabilidade conhecida e/ou
detectada. O chamado deve conter
informações pertinentes à vulnerabilidade.
Modelos
N/A
Encaminhar chamado
Descrição
Encaminhar chamado eletrônico para a unidade de TIC responsável pelo
tratamento da vulnerabilidade.
Considerações
importantes
N/A
Papéis
Central de Serviços de TIC.
Entradas
Chamado de tratamento de vulnerabilidade.
Saídas
Chamado de tratamento de vulnerabilidade escalado.
9
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Encaminhar chamado
Encaminhar o chamado de tratamento de
vulnerabilidade para a unidade de TIC
responsável.
Modelos
N/A
Tratar vulnerabilidade
Descrição
Quando viável, realizar o tratamento da vulnerabilidade.
Considerações
importantes
N/A
Papéis
Unidades de TIC.
Entradas
Chamado de tratamento de vulnerabilidade escalado.
Saídas
Chamado de tratamento de vulnerabilidade atualizado.
Atividades
Avaliar viabilidade
Avaliar a viabilidade do tratamento da
vulnerabilidade, preferencialmente realizando testes
em ambiente controlado, considerando os impactos
que o tratamento pode acarretar e os recursos
necessários. Também serão definidos os
procedimentos de aplicação da correção e os de
rollback.
Tratar
Quando viável, realizar as medidas necessárias
para a correção da vulnerabilidade.
Atualizar
chamado
Atualizar o chamado com as informações
pertinentes.
Modelos
N/A
10
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Documentar
Descrição
Atualizar a Base de Conhecimento e o Inventário de Ativos, quando for o
caso.
Considerações
importantes
N/A
Papéis
Unidades de TIC.
Entradas
Chamado de tratamento de vulnerabilidade com as informações
pertinentes ao tratamento ou não da vulnerabilidade.
Saídas
Atualização da Base de Conhecimento e do Inventário de Ativos, quando
for o caso.
Atividades
Atualizar Base de
Conhecimento
Quando a vulnerabilidade for tratada, registrar na
Base de Conhecimento o procedimento e as
informações pertinentes.
Atualizar
Inventário
Quando necessário, atualizar as informações no
Inventário de Ativos para os ativos de TIC afetados
no tratamento da vulnerabilidade.
Fechar chamado
Encerrar chamado, informando se a vulnerabilidade
foi tratada ou não.
Encaminhar
chamado
Quando a vulnerabilidade não for tratada,
encaminhar para a Assessoria de Governança da
Segurança da Informação
Modelos
N/A
11
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Acionar Comitê Gestor de TIC sobre a Vulnerabilidade
Descrição
A Assessoria de Governança da Segurança da Informação recebe a
informação que a vulnerabilidade não foi tratada, e caso necessário,
aciona o Comitê Gestor de Segurança da Informação.
Considerações
importantes
N/A
Papéis
Assessoria de Governança da Segurança da Informação.
Entradas
Vulnerabilidades não tratadas.
Saídas
Risco Aceito, acionamento do Comitê Gestor de TIC.
Atividades
Acionar Comitê
Gestor
Caso seja necessário, a Assessoria de
Governança da Segurança da Informação deve
acionar o CGSI.
Modelos
N/A
Analisar e Deliberar sobre o Risco da Vulnerabilidade
Descrição
O Comitê Gestor de Segurança da Informação faz a análise e a
deliberação sobre a vulnerabilidade não tratada.
Considerações
importantes
N/A
Papéis
Comitê Gestor de Segurança da Informação.
12
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Entradas
Acionamento do CGSI e vulnerabilidade não tratada.
Saídas
Risco da vulnerabilidade aceito, vulnerabilidade enviada para o setor
responsável para o tratamento.
Atividades
Análise e
Deliberação
O CGSI faz a análise e deliberação sobre a
vulnerabilidade não tratada. Pode-se decidir sobre
o aceitamento da vulnerabilidade ou enviá-la para
o tratamento nas unidades específicas.
Modelos
N/A
Fazer relatório
Descrição
Elaborar relatório anual de tratamento de vulnerabilidades e informar o
Comitê Gestor de Segurança da Informação.
Considerações
importantes
N/A
Papéis
Assessoria de Governança da Segurança da Informação.
Entradas
Chamados de tratamento de vulnerabilidades.
Saídas
Relatório Anual de Tratamento de Vulnerabilidades.
Atividades
Consultar
chamados
Consultar os chamados de tratamento de
vulnerabilidades do ano.
Calcular
indicadores
Calcular os indicadores do processo.
Editar relatório
Elaborar relatório com as informações obtidas.
13
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Encaminhar
relatório ao CGSI
Encaminhar e apresentar o relatório ao Comitê
Gestor de Segurança da Informação.
Modelos
N/A
Avaliar processo
Descrição
Avaliar a eficácia do processo e propor mudanças.
Considerações
importantes
N/A
Papéis
Comitê Gestor de Segurança da Informação.
Entradas
Relatório Anual de Tratamento de Vulnerabilidades.
Saídas
Revisão do processo, alterado quando necessário.
Atividades
Avaliar indicadores
Avaliar os indicadores do processo.
Revisar processo
Propor alterações no processo, caso seja
necessário.
Modelos
N/A
14
Manual do Processo de Gestão de Vulnerabilidades
de TIC
10. Indicadores de desempenho
10.1 Eficácia do Processo de Gestão de Vulnerabilidades de TIC
Indicador 1
Objetivo
Avaliar a eficácia do Processo de Gestão de Vulnerabilidades de TIC.
Indicador
Percentual de vulnerabilidades com nível de criticidade Alto corrigidas em
relação ao total de vulnerabilidades conhecidas que afetem os ativos de
TIC da instituição.
Responsável
pela medição
Assessoria de Governança da Segurança da Informação.
Período de
Medição
Anual.
Meta
90%
Polaridade
Quanto maior melhor.
10.2 Tempo médio de tratamento de chamado de vulnerabilidades de TIC
Indicador 2
Objetivo
Avaliar a eficiência do Processo de Gestão de Vulnerabilidades de TIC.
Indicador
Média de tempo para atendimento dos chamados de tratamento de
vulnerabilidade.
Responsável
pela medição
Assessoria de Governança da Segurança da Informação.
15
Manual do Processo de Gestão de Vulnerabilidades
de TIC
Período de
Medição
Anual.
Meta
15 dias
Polaridade
Quanto menor melhor
11. Anexos
11.1 Anexo I – Tabela de Classificação de Vulnerabilidades
Nível de criticidade
Descrição
Alto
O impacto da exploração pode afetar as atividades principais da
instituição e os prejuízos decorrentes serão altos. Seu tratamento
deve ser priorizado pelos gestores.
Médio
O impacto da exploração pode afetar uma parte das atividades da
instituição e os prejuízos decorrentes serão razoáveis. Seu tratamento
deve ser planejado pelos gestores.
Baixo
O impacto da exploração da vulnerabilidade pode afetar uma parte
pequena e localizada das atividades da instituição e os prejuízos
decorrentes serão baixos. Seu tratamento pode ser postergado a
critério dos gestores.
16
