O Ministério da Previdência Social implementou medidas para aprimorar a gestão e proteção de dados pessoais sob a guarda de seus órgãos e autarquias, como o Instituto Nacional do Seguro Social (INSS). As novas diretrizes visam fortalecer a segurança da informação para milhões de segurados.
Nova Política de Segurança
Nesta quarta-feira, 21 de maio, o Ministério da Previdência Social instituiu novas regras para a gestão e proteção de dados pessoais sob sua responsabilidade e de suas entidades vinculadas. A Política de Segurança da Informação, formalizada pela Portaria nº 1.157, estabelece princípios, diretrizes, responsabilidades e competências. Esses parâmetros devem ser seguidos por servidores, empregados, prestadores de serviço e qualquer pessoa autorizada a acessar dados gerados, custodiados, manipulados, utilizados ou armazenados no âmbito do ministério e de seus órgãos.
A implementação dessa política ocorre em um período de investigações sobre esquemas fraudulentos que têm causado prejuízos a milhões de beneficiários da Previdência Social em todo o país. Tais fraudes envolvem descontos não autorizados em folhas de pagamento, relativos a mensalidades associativas e créditos consignados que beneficiários do INSS afirmam não ter contratado.
As fraudes nos benefícios pagos pelo INSS — uma autarquia subordinada ao Ministério da Previdência Social — frequentemente dependem do acesso indevido ou da manipulação de informações oficiais sobre os beneficiários, como dados cadastrais, históricos de contribuição e outros “ativos de informação”. A Política de Segurança da Informação busca, justamente, tornar o acesso a esses dados mais rigoroso e seletivo, visando coibir tais práticas.
Combate a Riscos Cibernéticos e Princípios
Conforme o texto da portaria assinada pelo ministro Wolney Queiroz, as novas regras pretendem “proteger ativos de informação e conhecimentos gerados ou recebidos” e “contribuir para a gestão eficiente dos riscos cibernéticos e operacionais, limitando-os a níveis aceitáveis”.
A nova política ministerial também servirá de base para a elaboração de futuras normas ministeriais relacionadas à segurança da informação. Estas serão fundamentadas nos princípios de disponibilidade, integridade, confidencialidade, autenticidade e rastreabilidade dos dados.
A política, integra o Sistema de Gestão de Segurança da Informação do ministério, que abrange diversos aspectos e processos, incluindo: tratamento da informação; segurança física e do ambiente; gestão de incidentes em segurança da informação; gestão de ativos; gestão do uso dos recursos operacionais e de comunicações (e-mail, acesso à internet, mídias sociais e computação em nuvem); controles de acesso; gestão de riscos; gestão de continuidade e auditoria e conformidade.
O documento da portaria especifica que “toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada” pelo ministério e por seus órgãos “compõe o rol de ativos de informação” a ser protegida. Para isso, os usuários do Sistema de Gestão de Segurança da Informação, bem como os dispositivos automatizados, devem possuir apenas as permissões de acesso estritamente necessárias ao desempenho de suas funções. Esses acessos deverão ser auditados e revisados periodicamente, e, em caso de mudança de função do usuário, seu acesso deverá ser imediatamente revogado.
Conforme a Lei Geral de Proteção de Dados Pessoais (LGPD), o ministério se compromete a coletar apenas os dados pessoais essenciais para o desempenho de suas competências e, sempre que possível, com o consentimento dos titulares dos dados. A pasta e seus órgãos também implementarão medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e incidentes, garantindo que sejam usados exclusivamente para os fins para os quais foram coletados.
Prevenção e Resposta a Incidentes Cibernéticos
Uma segunda portaria do Ministério da Previdência Social, publicada hoje no Diário Oficial da União, estabelece a criação da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos.
Este grupo terá a responsabilidade de facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos no âmbito do Ministério da Previdência Social. Além disso, a equipe deverá promover a cooperação com outras entidades, incluindo a participação em fóruns e redes relacionadas à segurança da informação. A equipe será composta por três integrantes da Coordenação de Tecnologia da Informação da Secretaria-Executiva do Ministério da Previdência Social e seus respectivos substitutos, que atuarão diretamente no tratamento e resposta a incidentes em redes computacionais.