A DEFENSORA PÚBLICA-GERAL DO ESTADO, no exercício de suas atribuições legais, nos termos do art. 8º, da Lei Complementar Estadual nº 06/77, e do art. 100 da Lei Complementar nº 80/94,

CONSIDERANDO a crescente relevância da segurança da informação para a proteção dos ativos digitais, dados e informações sob a custódia da Defensoria Pública do Estado do Rio de Janeiro;

CONSIDERANDO a necessidade de adequação às melhores práticas de governança e gestão em segurança da informação, conforme padrões estabelecidos por normas como a ABNT NBR ISO/IEC 27001:2013 e o NIST Cybersecurity Framework;

CONSIDERANDO a obrigação de conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a Lei de Acesso à Informação (Lei nº 12.527/2011) e demais legislações aplicáveis;

CONSIDERANDO o compromisso da Defensoria Pública em garantir a confidencialidade, integridade e disponibilidade das informações, protegendo os direitos de seus assistidos, servidores e parceiros;

CONSIDERANDO a aprovação do documento pelo Comitê de Governança de Tecnologia da Informação (CGTI) em 03 de dezembro de 2024;

RESOLVE:

Art. 1º. Fica aprovada a Política de Segurança da Informação (PSI) da Defensoria Pública do Estado do Rio de Janeiro, nos termos do documento anexo, que passa a integrar a presente Resolução (vide Resolução DPGERJ nº 1362, de 2025)

Art. 2º. A Política de Segurança da Informação (PSI) aplica-se a todos os usuários internos e externos que possuam acesso às informações e recursos tecnológicos da Defensoria Pública do Estado do Rio de Janeiro, nos termos especificados no referido documento. (vide Resolução DPGERJ nº 1362, de 2025)

Parágrafo único: Os contratos, convênios e instrumentos congêneres firmados pela Defensoria Pública do Estado do Rio de Janeiro conterão previsão expressa acerca da incidência da Política de Segurança da Informação (PSI) às partes. (vide Resolução DPGERJ nº 1362, de 2025)

Art. 3º. A implementação, manutenção e atualização da Política de Segurança da Informação (PSI), bem como a adoção de suas diretrizes e procedimentos, serão de responsabilidade da Secretaria da Tecnologia da Informação e Comunicação (STIC) e do Comitê Gestor de Segurança da Informação (CGSI). (vide Resolução DPGERJ nº 1362, de 2025) 

Art. 4º. Os documentos acessórios à Política de Segurança da Informação (PSI), que definem normas procedimentais de segurança da informação, serão publicados por portaria da Secretaria da Tecnologia da Informação e Comunicação (STIC), após aprovação pelo Comitê Gestor de Segurança da Informação (CGSI). (vide Resolução DPGERJ nº 1362, de 2025)

Art. 5°. Os casos omissos ou situações excepcionais serão decididos pela Defensoria Pública-Geral do Estado, ouvido o Comitê Gestor de Segurança da Informação (CGSI). (vide Resolução DPGERJ nº 1362, de 2025)

Art. 6º. Esta Resolução entra em vigor na data de sua publicação.

Rio de Janeiro, 20 de dezembro de 2024.

PATRÍCIA CARDOSO MACIEL TAVARES

Defensora Pública-Geral do Estado

ANEXO ÚNICO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

SUMÁRIO

1. INTRODUÇÃO

2. OBJETIVO

3. ABRANGÊNCIA

4. CONCEITOS

5. PROPRIEDADE DAS INFORMAÇÕES E DOS SOFTWARES

6. CLASSIFICAÇÃO DA INFORMAÇÃO

7. RESPONSABILIDADES

7.1. COMITÊ DE SEGURANÇA DA INFORMAÇÃO (CSI)

7.2. EQUIPE DOS NUINF, NUSER E NUSEGI

7.3. GESTORES DE SETOR

7.4. USUÁRIOS

8. PROCEDIMENTOS

8.1. PROCEDIMENTO DE ACESSOS A SISTEMAS

8.2. PROCEDIMENTO DE ACESSO A DIRETÓRIOS

8.3. PROCEDIMENTO DE ACESSO À REDE VIA WI-FI (WIRELESS FIDELITY)

8.4. PROCEDIMENTO DE ACESSO À REDE INTERNA ATRAVÉS DE CONEXÃO REMOTA (VPN)

8.5. PROCEDIMENTO DE ACESSO AOS AMBIENTES

8.6. PROCEDIMENTO DE ACESSO À INTERNET

8.7. PROCEDIMENTO DE RETIRADA DE ACESSO

8.8. PROCEDIMENTO DE GRAVAÇÃO TELEFÔNICA

9. ANEXOS

9.1 POLÍTICA DE PRIVACIDADE

9.2 POLÍTICA DE SENHA SEGURA

9.3 POLÍTICA DE ACESSO À REDE WI-FI

9.4 POLÍTICA DE BACKUP E RESTAURAÇÃO DE DADOS DIGITAIS

9.5 POLÍTICA DE USO ACEITÁVEL

9.6 POLÍTICA DE UTILIZAÇÃO DE TELEFONES FUNCIONAIS

9.7 POLÍTICA DE CORRESPONDÊNCIA ELETRÔNICA E UTILIZAÇÃO DO E-MAIL INSTITUCIONAL

10. NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA

11. SANÇÕES

12. CASOS OMISSOS

13. BASE LEGAL

14. GLOSSÁRIO DE SIGLAS E TERMOS TÉCNICOS

15. GESTÃO DA POLÍTICA

16. VIGÊNCIA E CONTROLE DE REVISÕES

1. INTRODUÇÃO

A crescente dependência da tecnologia da informação para o funcionamento da Defensoria Pública do Estado do Rio de Janeiro exige uma abordagem robusta e proativa para a segurança da informação. Desta forma, a elaboração de uma política que abranja todos os usuários, sistemas, dispositivos e informações, independentemente de sua localização física ou método de acesso, deve estabelecer responsabilidades e expectativas para todos os envolvidos, desde a Administração Superior até colaboradores terceirizados, na proteção dos ativos de informação.

Este documento define a Política de Segurança da Informação (PSI) da Defensoria Pública do Estado do Rio de Janeiro, estabelecendo diretrizes e procedimentos para a proteção de seus ativos de informação.

Alinhada às melhores práticas e normas de segurança da informação, como ISO 27001/27002, NIST Cybersecurity Framework, entre outras, esta Política visa a garantir a confidencialidade, a integridade e a disponibilidade das informações, bem como o atendimento aos requisitos legais e regulamentares aplicáveis, como LGPD, Lei de Acesso à Informação etc.

2. OBJETIVO

A PSI visa a preservar a confidencialidade, a integridade e a disponibilidade das informações utilizadas pela Defensoria Pública do Estado do Rio de Janeiro no desempenho de suas atividades, descrevendo a conduta adequada para o seu manuseio, controle, proteção e descarte, bem como estabelecer regras para acesso físico às suas instalações.

Esta política aplica-se aos ativos de informação, independentemente do formato (físico ou digital) ou meio de armazenamento, e estabelece as responsabilidades e os limites de atuação dos gestores, colaboradores, prestadores de serviços e parceiros da Defensoria Pública, reforçando uma cultura interna alinhada à segurança da informação e comunicação.

3. ABRANGÊNCIA

Esta política e seus documentos complementares (Política de Backup e Restauração de Dados Digitais, Protocolo de Incidente, Protocolo de Crise, Política de Privacidade, entre outros) devem ser interpretados de forma restritiva, dentro do princípio da aplicação do menor privilégio possível, ou seja, no contexto de uso de informações e recursos de TIC, tudo o que não estiver expressamente permitido só deve ser realizado após prévia autorização do Comitê de Segurança da Informação (CSI) da Defensoria Pública, devendo ser levada em consideração a análise de risco e a necessidade estratégica à época da solicitação.

Esta política abrange todos os usuários que possuam acesso à rede da Defensoria Pública do Estado do Rio de Janeiro, sejam integrantes da instituição, prestadores de serviço, visitantes ou qualquer outra categoria. Todos os usuários, internos e externos, com acesso a informações institucionais (de qualquer classificação) e a ambientes controlados da Defensoria Pública devem estar cientes do Termo de Compromisso e seguir a PSI, operando dentro dos limites definidos. Esta exigência inclui os documentos complementares.

4. CONCEITOS

Para efeitos desta Política, considera-se:

• Rede da Defensoria Pública: Abrange todos os sistemas, diretórios e Intranet disponibilizados aos usuários da Defensoria Pública do Estado do Rio de Janeiro, conforme o perfil de acesso definido.
• Software: São todos os programas disponibilizados pela equipe de TI para o exercício das funções, incluindo softwares instalados nos computadores e acessíveis via web.
• Homologação: Verificação, pela equipe de TI, da compatibilidade técnica do software e dos aplicativos em relação ao parque tecnológico. Confirmação, pelo usuário final do sistema, do adequado funcionamento das funcionalidades previstas na implantação ou na atualização de versão do mesmo.
• Ambiente Lógico: Ambiente controlado, eletrônico, onde circulam e são armazenadas informações, softwares e sistemas.
• Ambiente físico: Dependências físicas que integram a Defensoria Pública.
• Usuários: Defensores(as), servidores(as), residentes, estagiários(as), cedidos(as), terceirizados(as), prestadores(as) de serviço e quaisquer outros colaboradores com acesso aos ambientes físicos e lógicos das instalações da Defensoria Pública.
• Equipamentos Computacionais: São todos os equipamentos disponibilizados ou aos quais os usuários tenham acesso na Defensoria Pública para uso dos servidores, incluindo, mas não se limitando a, desktops, notebooks, smartphones corporativos, impressoras, equipamentos de videoconferências e digitalizadores.
• Informações institucionais: Qualquer informação não disponível ao público externo ou reservada: dados, especificações técnicas, manuais, esboços, modelos, amostras, materiais promocionais, projetos, negociações, estudos, documentos e outros papeis de qualquer natureza (físicos ou em formato eletrônico), arquivos em qualquer meio, software e documentação de computador, comunicações por escrito, verbalmente ou de outra forma reveladas pela Defensoria Pública em decorrência do desempenho de suas atividades.
• Empresa: Pessoa jurídica que mantenha contrato de prestação de serviço ou tenha celebrado instrumento similar com a Defensoria Pública.
• Visitante: Qualquer indivíduo que não mantenha vínculo formal com a Defensoria Pública, todo aquele que não se enquadre na definição de usuário.

5. PROPRIEDADE DAS INFORMAÇÕES E DOS SOFTWARES

Todos os ativos físicos (hardware), lógicos (software) e informacionais da Defensoria Pública devem estar devidamente inventariados, identificados e revisados periodicamente.

As informações processadas ou armazenadas pela Defensoria Pública são de sua propriedade, ou estão sob sua custódia legal, devendo ser utilizadas estritamente para fins institucionais e em conformidade com a legislação vigente. O uso de software proprietário deve estar em conformidade com as licenças de uso, sendo proibida a utilização de software não autorizado.

Os softwares desenvolvidos por terceiros ou internamente, bem como todos os direitos relativos às invenções e inovações tecnológicas, elaboradas e/ou desenvolvidas (ou em desenvolvimento) pelos usuários, durante a vigência da relação de trabalho, emprego ou contrato, ou quando forem utilizados recursos, dados, meios, materiais, instalações, equipamentos, informações tecnológicas e segredos comerciais, pertencem à Defensoria Pública, sendo vedada a cópia ou a disponibilização, por qualquer meio (eletrônico ou físico), para ambiente externo à Instituição.

Toda a estrutura mantida pela Defensoria Pública, composta pela rede, telefonia, correio eletrônico, internet e outros meios de comunicação, são instrumentos de trabalho de sua propriedade, que a mesma disponibiliza aos usuários, a fim de tornar suas tarefas mais eficientes. Da mesma forma, todos os documentos, estejam em formato impresso ou eletrônico, ou que circulem por esses meios, devem obedecer à política de classificação e aos controles de informação, conforme descrito na Seção 6 (Classificação da Informação) desta Política, de acordo com a criticidade das informações neles contidas.

É proibido o uso desses documentos fora da Defensoria Pública, cujo objetivo não seja atender, exclusivamente, aos interesses da Instituição; ainda assim, sua retirada ou envio somente poderá ser efetuado com autorização do gestor da área demandante. Sua retirada ou envio com qualquer outra finalidade constitui violação desta Política. A sua transmissão, via correio eletrônico ou outro meio, deverá ser feita seguindo as regras de segurança e confidencialidade constantes nesta Política. Os documentos alterados fora da Instituição devem ter seus arquivos, manuais ou na rede, atualizados imediatamente.

Os logs (registros) dos ativos de propriedade da Defensoria Pública podem ser auditados para garantir a aplicação desta Política.

6. CLASSIFICAÇÃO DA INFORMAÇÃO

A classificação de informações diz respeito à definição dos níveis de proteção que cada informação deve receber. Essa prática foi desenvolvida com o objetivo de reduzir vazamentos e acessos indevidos a dados importantes.

O ato de classificar leva em consideração alguns requisitos do dado em questão, como valor, sensibilidade, requisitos legais e criticidade de cada arquivo para a Instituição. Por exemplo: arquivos que detalham as questões financeiras devem receber um nível de proteção maior do que a lista de colaboradores designados para uma atividade expecífica.

A classificação de informações faz parte das exigências feitas pela ISO 27001, norma que tem como objetivo a adoção de hábitos e processos que diminuam os riscos inerentes à segurança da informação.

As informações que transitam pela Defensoria Pública são, para fins desta Política, classificadas em quatro padrões distintos:

• Públicas: Informações destinadas à disseminação fora da Defensoria Pública. Possuem caráter informativo geral e não são restritas aos colaboradores da Instituição, podendo ser divulgadas a todos, sem que isso provoque impactos nos negócios desta Instituição.
• Internas: São aquelas destinadas ao uso dentro da Defensoria Pública. A divulgação de informações desta natureza, ainda que não autorizada, não afetaria significativamente a Defensoria Pública ou seus assistidos e colaboradores. Essas informações não exigem proteções especiais, salvo aquelas entendidas como mínimas, para impedir a divulgação externa não intencional.
• Confidenciais: Informações confidenciais, cuja exposição fora do ambiente da Defensoria Pública pode acarretar perdas financeiras, de imagem etc., sendo necessário, além do controle de acesso, a garantia de integridade, pois são informações importantes para as atividades do negócio da Instituição.
• Restritas: Informações altamente restritas, cujo acesso não autorizado, mesmo por membros da própria organização, é capaz de trazer sérios danos ao negócio da Defensoria Pública. Logo, a informação restrita precisa ser protegida contra acessos internos e externos. São ainda mais importantes que as informações confidenciais e, por isso, devem receber um grau de proteção ainda mais elevado. Só devem ter acesso às informações restritas as pessoas que necessitem dessas informações para a realização de suas atividades, independentemente do cargo ocupado.

Em função desta categorização, é possível, no envio de informações sensíveis, a utilização de ferramentas que auxiliam na classificação de arquivos e mensagens, conforme sua criticidade, como soluções simples, baseadas em metadados, até plataformas corporativas mais complexas (por exemplo, Google Workspace), que devem ser consideradas sempre que a informação for disponibilizada ou encaminhada a terceiros.

A classificação da informação deve ser realizada pelo próprio setor que a produz ou detém, sendo indicada de forma clara em todos os documentos, mídias e sistemas que a contenham, utilizando marcadores visuais (como etiquetas, cabeçalhos e rodapés) ou metadados, e deve ser aplicada a todos os ativos de informação, incluindo:

• Documentos: físicos e eletrônicos (e-mails, planilhas, apresentações etc.).
• Mídias: pendrives, discos rígidos, CDs, DVDs etc.
• Sistemas: aplicativos, bancos de dados, plataformas online etc.

Todos os dispositivos que armazenam informações classificadas como confidenciais ou restritas devem ser protegidos por criptografia apropriada.

7. RESPONSABILIDADES

7.1. COMITÊ DE SEGURANÇA DA INFORMAÇÃO (CSI)

• Definir a PSI e as políticas acessórias e garantir sua implementação e atualização.
• Alocar os recursos tecnológicos necessários para a segurança da informação.
• Assegurar a conformidade com as leis e as regulamentações de proteção de dados e segurança da informação.

As funções e as responsabilidades do CSI serão exercidas pelo CGTI até a criação daquele.

7.2. EQUIPE DOS NUINF, NUSER E NUSEGI

• Implementar e gerenciar a Gestão de Segurança da Informação de TI, incluindo políticas, procedimentos, normas e controles de segurança, tendo como base esta Política e demais documentos acessórios.
• Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco.
• Monitorar os sistemas e as redes em busca de vulnerabilidades e incidentes de segurança.
• Apoiar o CSI em suas deliberações.
• Promover a cultura de segurança da informação em todos os níveis da organização.
• Implementar medidas de segurança, técnicas e administrativas, para proteger os ativos de informação.
• Gerenciar a resposta a incidentes de segurança da informação.
• Elaborar relatórios e indicadores de desempenho de segurança da informação.
• Realizar a gestão de riscos e incidentes de segurança da informação relacionados a dados pessoais.

7.3. GESTORES DE SETOR

• Os gestores de setor ou os líderes de cada departamento ou área específica dentro da Instituição (podem ser diretores, gerentes, supervisores ou qualquer profissional com responsabilidade pela gestão de uma equipe e dos recursos de TI utilizados em seu setor) devem garantir que suas equipes estejam cientes e cumpram a PSI e as demais normas de segurança da informação.
• Identificar e reportar incidentes de segurança da informação.
• Colaborar na implementação de medidas de segurança.
• Assegurar que os acessos aos sistemas e às informações estejam de acordo com o princípio do mínimo privilégio.
• Divulgar treinamentos e ações de conscientização sobre proteção de dados.

7.4. USUÁRIOS

• Conhecer e cumprir a PSI e as demais normas de segurança da informação.
• Proteger as informações sob sua responsabilidade contra acesso não autorizado, uso indevido e divulgação.
• Utilizar os recursos computacionais de forma ética e responsável.
• Participar de treinamentos e ações de conscientização sobre segurança da informação.
• Encaminhar quaisquer dúvidas ou pedidos de esclarecimento sobre a PSI, suas normas e procedimentos, ao NUSEGI ou, quando pertinente, ao CSI.
• Comunicar ao NUSEGI, através do e-mail suspeito@defensoria.rj.def.br ou do WhatsApp: (21) 97295-1885, qualquer evento que viole esta Política ou coloque, ou possa vir a colocar, em risco a segurança das informações ou dos recursos computacionais da Defensoria Pública.
• Ter ciência integral das disposições da PSI, bem como as demais normas e os procedimentos de segurança, assumindo a responsabilidade pelo seu cumprimento.

8. PROCEDIMENTOS

As práticas de proteção da informação envolvem a definição de um conjunto de procedimentos, realizados de maneira sincronizada, para blindar os ativos virtuais e físicos relacionados à informação, independentemente de como eles são editados, compartilhados (enviados e recebidos), processados ou arquivados.

8.1. PROCEDIMENTO DE ACESSOS A SISTEMAS

A Defensoria Pública utiliza, em sua plataforma, softwares e sistemas desenvolvidos internamente e adquiridos de terceiros.

Quando da admissão ou transferência de um servidor para outro setor, seus acessos aos sistemas e à rede serão automaticamente direcionados e restritos, em conformidade com o perfil de lotação. A liberação de acesso será analisada pelos setores envolvidos na solicitação do sistema, sendo passíveis de limites às funcionalidades do sistema, garantindo a restrição de acesso às informações críticas. Após as devidas aprovações, a área envolvida executará a liberação do acesso no respectivo sistema.

Não é permitida a utilização de usuários genéricos, que podem ser utilizados como usuários de serviço para permitir a interface de dados entre os diversos sistemas utilizados, ou ainda, usuários administrativos, sendo que o cadastro deve ser feito sempre com os dados do usuário solicitante.

Em caso de necessidade de acessos diferenciados ou de utilização de softwares adicionais, o profissional deverá contatar o suporte de TI, pelo e-mail suportetic@defensoria.rj.def.br ou pelo WhatsApp (21) 97295-1885, solicitando os acessos necessários.

8.2. PROCEDIMENTO DE ACESSO A DIRETÓRIOS

Todos os usuários, quando admitidos ou transferidos de área, automaticamente têm acesso ao armazenamento em nuvem de seu órgão (drive) e ao grupo de e-mail, utilizando as funcionalidades do Google Workspace.

Este procedimento é realizado a partir do recebimento dos documentos de admissão ou transferência, solicitados pela SGP e implementados pela STIC, sendo a associação ao drive de sua lotação feita de forma automática.

Qualquer acesso específico do usuário, necessário para o andamento de suas atividades, deverá ser solicitado por meio da abertura de chamado, pela chefia imediata, através do Service Desk. O suporte de TI pode ser contatado pelo email suportetic@defensoria.rj.def.br ou pelo WhatsApp (21) 97295-1885. A solicitação será analisada pela CORED, através do NUSER.

8.3. PROCEDIMENTO DE ACESSO À REDE VIA WI-FI (WIRELESS FIDELITY)

Para garantir um ambiente digital seguro para todos, o acesso à rede Wi-Fi (onde existir) é liberado aos usuários da Defensoria Pública, mediante autenticação com login e senha. Desta forma, a navegação está protegida, evitando-se acessos indevidos à rede da Defensoria Pública.

Ao acessar e utilizar a rede Wi-Fi da Defensoria Pública, o usuário concorda em cumprir a Política de Acesso à Rede Wi-Fi e todas as demais políticas de segurança da informação da Instituição.

8.4. PROCEDIMENTO DE ACESSO À REDE INTERNA ATRAVÉS DE CONEXÃO REMOTA (VPN)

A Defensoria Pública poderá disponibilizar acesso ao ambiente interno por meio de conexão remota segura, com uma credencial de usuário autorizado.

Somente os servidores e os defensores que, eventualmente, tenham necessidade de utilizar a rede interna deverão solicitar a aquisição de acesso, por meio da chefia imediata, informando o nome do usuário que terá acesso ao recurso e qual aplicação o funcionário acessará.

A solicitação será feita pelos canais do Service Desk, através do e-mail suportetic@defensoria.rj.def.br ou do WhatsApp (21) 97295-1885, e será analisada pela CORED.

Se o usuário que necessita de acesso for estagiário ou residente, os pedidos de VPN serão indeferidos, tendo em vista que o ciclo de permanência de um estagiário ou residente jurídico é curto, e o vínculo deste com a Instituição é precário.

8.5. PROCEDIMENTO DE ACESSO AOS AMBIENTES

A Defensoria Pública, pela natureza de suas operações, deve manter ambientes isolados para a manutenção de suas operações e negócios, por onde transitam informações sobre operações, posições e estratégias que só podem ser do conhecimento das áreas responsáveis pelo negócio e seu processamento. É terminantemente proibida a disponibilização indevida de tais informações ou a permissão de acesso ao ambiente segregado por pessoa não autorizada.

As áreas que mantêm acesso controlado aos seus ambientes são:

• Datacenter;
• Depósitos.

O acesso de visitantes (inclusive ex-servidores) ao ambiente operacional da Defensoria Pública só poderá ocorrer com o acompanhamento de servidores autorizados, sendo vedada a circulação de terceiros sem autorização específica para isso.

8.6. PROCEDIMENTO DE ACESSO À INTERNET

O acesso à internet é permitido a todos os usuários, com o objetivo de facilitar suas tarefas. Assim como qualquer outro material de trabalho, as páginas da internet também devem ser usadas somente para fins profissionais.

Para uma utilização eficiente e produtiva, algumas regras devem ser obedecidas:

• É proibido o acesso a sites ilegais ou não autorizados, tais como os relacionados a sexo, pornografia, pirataria, atividades de hacker e quaisquer outras atividades ilegais. Estes exemplos não esgotam a lista de sites proibidos, portanto, quaisquer dúvidas devem ser levadas ao conhecimento do Núcleo de Segurança (NUSEGI), pelo e-mail suspeito@defensoria.rj.def.br ou pelo WhatsApp (21) 97295-1885.
• Fica proibido, também, o download de programas não autorizados ou sem revisão e prévia aprovação da COATE e da CORED.

A intenção desta Política é evitar que vírus, cavalos de Troia e outros programas indevidos, não licenciados e/ou nocivos surjam no ambiente de computação da Defensoria Pública.

Aliada a essa funcionalidade, há o controle de acesso aos sites não permitidos, relatados anteriormente, impedindo que os mesmos sejam acessados. Quaisquer atividades que contrariem as regras de acesso à internet ficarão sujeitas à penalidade.

Quando um usuário observar a necessidade de acessar um determinado site que está previamente bloqueado, para fins profissionais, é possível solicitar o acesso a ele abrindo um chamado no Service Desk ou pelo WhatsApp (21) 97295-1885, informando o endereço do site, a justificativa para acessá-lo e o período em que precisa acessá-lo.

A CORED analisará a solicitação, verificando, junto ao gestor imediato, a real necessidade de acesso ao site.

Em caso de aprovação, também serão definidas as seguintes ações:

• Site liberado para todos os usuários da Instituição?
• Site liberado para todos os usuários do setor?
• Site liberado apenas para o solicitante?

Em casos de acessos temporários, o usuário ou o órgão deverá informar por quanto tempo o acesso deverá ser liberado. Essas informações são essenciais para a adequada administração dos acessos temporários aos sites bloqueados.

8.7. PROCEDIMENTO DE RETIRADA DE ACESSO

Quando um usuário é desligado da Defensoria Pública, ele perde imediatamente o direito de acesso aos diversos ambientes de rede, ao serviço de e-mail corporativo e à internet. Este procedimento é iniciado por meio da atualização no sistema, feita pela SGP, que automaticamente revogará o acesso de autenticação do usuário.

No caso de transferências internas de um servidor para outro setor, os direitos de acesso originais são retirados na data prevista da transferência. Os novos acessos são liberados automaticamente com o novo cadastro de lotação do usuário, bem como aos demais sistemas e ambientes da rede referentes às atividades da nova área.

É possível que, por um período predeterminado, o profissional utilize informações e arquivos de ambas as áreas, em função da necessidade das áreas. Caso isso seja necessário, o usuário deve solicitar, por meio da abertura de chamado no sistema SCI (pelo e-mail suportetic@defensoria.rj.def.br ou pelo WhatsApp (21) 97295-1885), a manutenção dos acessos antigos ou a liberação dos novos acessos, com a justificativa para a manutenção de ambos os acessos, bem como o prazo máximo de manutenção deles, que não pode ultrapassar 30 (trinta) dias.

Os trabalhos desenvolvidos ou elaborados pelo servidor pertencem exclusivamente à Defensoria Pública, não cabendo ao servidor o direito de retirá-los ou copiá-los quando de seu desligamento, não sendo permitida a gravação de arquivos em qualquer mídia sem a devida autorização de seu chefe imediato.

8.8. PROCEDIMENTO DE GRAVAÇÃO TELEFÔNICA

Em função da natureza das operações realizadas pela Defensoria Pública, os ramais das áreas relacionadas abaixo estão ligados ao sistema de gravação de voz. Tais gravações permitem a solução de eventuais conflitos que surjam nas negociações realizadas pela Instituição e suas contrapartes, bem como possibilitam a identificação de situações de não conformidade.

• Central de Relacionamento com o Cidadão (CRC);
• Ouvidoria;
• Service Desk.

Essas gravações são verificadas pelos setores responsáveis pelo serviço, conforme as áreas que mantêm essas gravações.

9. ANEXOS

9.1 POLÍTICA DE PRIVACIDADE

Uma política de privacidade é um documento legal que explica como uma organização coleta, usa, armazena e protege as informações pessoais de seus usuários ou clientes. Em essência, ela descreve a relação entre a instituição e os indivíduos titulares dos dados que ela detém, estabelecendo transparência e responsabilidade quanto ao tratamento dessas informações.

Tal política é fundamental para o cumprimento de leis e regulamentos de proteção de dados, como a LGPD (Lei Geral de Proteção de Dados), no Brasil.

Atualmente, a Política de Governança de Privacidade e Proteção de Dados Pessoais da Defensoria Pública é tratada na Resolução DPGERJ nº 1.090/2021.

9.2 POLÍTICA DE SENHA SEGURA

Este documento contém diretrizes para a elaboração de senha segura, definindo regras para a criação e o uso de senhas fortes, visando a proteger os recursos de tecnologia da informação contra acessos não autorizados.

9.3 POLÍTICA DE ACESSO À REDE WI-FI

A Política de Acesso à Rede Wi-Fi define as regras e os procedimentos para conectar dispositivos à rede sem fio da Defensoria Pública, onde ela estiver disponível. Ela estabelece quem pode acessar a rede, quais dispositivos são permitidos, os níveis de acesso e as responsabilidades dos usuários.

9.4 POLÍTICA DE BACKUP E RESTAURAÇÃO DE DADOS DIGITAIS

As normas, as diretrizes, as responsabilidades e as competências que visam à segurança, à proteção e à disponibilidade dos dados digitais serão regidas pela Política de Backup e Restauração de Dados Digitais da Defensoria Pública e custodiadas pela STIC, sendo formalmente definidos como de necessária salvaguarda, para se manter a continuidade do negócio da Instituição.

Para assegurar a missão da segurança da informação, é fundamental estabelecer mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de indisponibilidades ou perdas por erro humano, ataques cibernéticos, catástrofes naturais ou outras ameaças.

Atualmente, a Política de Backup e Restauração de Dados Digitais da Defensoria Pública foi publicada pela Portaria STIC nº 2/2024, conforme o Processo E-20/001.004639/2024.

9.5 POLÍTICA DE USO ACEITÁVEL

Esta política estabelece diretrizes claras e específicas sobre o uso aceitável dos recursos de tecnologia da informação e comunicação da Defensoria Pública, incluindo computadores, dispositivos móveis, rede, internet, drive em nuvem, softwares, aplicações e dados, por todos os usuários, garantindo a segurança da informação, a privacidade dos dados, o respeito mútuo e a conformidade legal.

9.6 POLÍTICA DE UTILIZAÇÃO DE TELEFONES FUNCIONAIS

Esta política define em que termos os telefones, disponibilizados aos usuários da Defensoria Pública, devem ser utilizados para fins profissionais, com uso pessoal limitado ou restrito a determinados aplicativos.

Os usuários devem:

• Manter a confidencialidade das informações acessadas ou armazenadas nos dispositivos, não compartilhando dados pessoais ou sensíveis em locais públicos ou com pessoas não autorizadas.
• Evitar acessar sites suspeitos, clicar em links desconhecidos ou baixar aplicativos de fontes não confiáveis, pois podem conter malwares ou comprometer a segurança do dispositivo.
• Criar senhas fortes e complexas para o desbloqueio de dispositivos, além de ativar recursos como bloqueio automático e biometria (se disponível).
• Manter o sistema operacional e os aplicativos atualizados, para corrigir vulnerabilidades de segurança e garantir o bom funcionamento dos dispositivos.

Para garantir a segurança das informações em dispositivos móveis, a Defensoria Pública poderá utilizar soluções de Gerenciamento de Dispositivos Móveis (MDM). Essas soluções permitem monitorar e controlar os dispositivos remotamente, aplicar políticas de segurança, bloquear aplicativos indesejados, localizar aparelhos perdidos ou roubados e manter um inventário atualizado, com informações sobre a localização, os responsáveis e a finalidade de uso de cada dispositivo. As soluções MDM, quando instaladas, devem ser mantidas sempre atualizadas e não podem ser desinstaladas pelo usuário.

A Defensoria Pública deve ter um plano de resposta a incidentes para lidar com situações como perda, roubo, comprometimento do dispositivo ou vazamento de dados. Em caso de qualquer incidente, é obrigatório comunicar o ocorrido pelo e-mail suportetic@defensoria.rj.def.br ou pelo WhatsApp (21) 97295-1885, para que sejam tomadas as medidas necessárias para minimizar os danos e proteger os dados da Instituição.

9.7 POLÍTICA DE CORRESPONDÊNCIA ELETRÔNICA E UTILIZAÇÃO DO E-MAIL INSTITUCIONAL

Tal como o telefone, a carta e outros documentos, o e-mail também é uma forma de comunicação da Defensoria Pública, cujo objetivo é tornar suas atividades mais rápidas e fáceis. O e-mail também caracteriza um compromisso com terceiros, sejam eles assistidos ou prestadores de serviço, e equivale aos papeis timbrados da Instituição, devendo o uso desta ferramenta ser efetuado de forma cautelosa, profissional e com linguagem adequada.

Todos os e-mails enviados, principalmente aqueles com arquivos anexados, devem ser rigorosamente checados e enviados com atenção, com relação ao destinatário, para evitar que informações confidenciais ou de uso restrito se extraviem.

Com relação ao uso do e-mail, algumas práticas são proibidas, além daquelas definidas em documento específico:

• Assediar ou perturbar outrem, seja por meio de linguagem inadequada, alta frequência de mensagens ou tamanho excessivo de arquivos.
• Usar palavras ofensivas, linguagem discriminatória e conteúdo inadequado em todas as comunicações eletrônicas.
• Reencaminhar ou, de qualquer forma, propagar mensagens em cadeia ou "pirâmides", independentemente da vontade do destinatário de receber tais mensagens.
• Cadastrar, em sites de compras e entretenimento, o e-mail institucional como contato.

A Defensoria Pública mantém, ainda, um sistema de manutenção histórica dos e-mails, que realiza a gravação dos mesmos quando de sua entrada no servidor. Este sistema permite a recuperação de mensagens e tem como objetivo a melhor administração das caixas de e-mail.

10. NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou suspeito, relacionado à segurança de sistemas e redes. Alguns exemplos são: tentativa de uso ou acesso não autorizado a sistemas e dados, tentativa de tornar serviços indisponíveis, desrespeito à política de segurança, entre outros.

É responsabilidade dos usuários notificar o NUSEGI, através do e-mail suspeito@defensoria.rj.def.br ou do WhatsApp (21) 97295-1885, sempre que se deparar com uma atitude que considere abusiva ou de risco à segurança da informação, para que sejam tomadas as devidas ações, minimizando os impactos da ocorrência.

Nos casos de incidentes de segurança que envolvam dados pessoais, será observado o disposto na Resolução DPGERJ nº 1.142/2022, devendo o NUSEGI comunicar o fato ao(à) Encarregado(a) de Proteção de Dados, endereçando e-mail ou processo administrativo próprio.

11. SANÇÕES

As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como das demais normas e dos procedimentos de segurança, estarão sujeitas a penalidades, em conformidade com a legislação regente, a depender da gravidade do fato, do cargo e do tipo de vínculo do colaborador com a Instituição.

A aplicação de sanções será realizada conforme a análise dos órgãos competentes, devendo-se considerar a gravidade da infração, o efeito alcançado, a recorrência e as hipóteses previstas na legislação aplicável e suas atualizações.

No caso de terceiros contratados ou prestadores de serviço, o gestor responsável deverá analisar a ocorrência e deliberar sobre a efetivação das sanções, conforme os termos previstos em contrato e nas normas vigentes. As pessoas jurídicas contratadas podem ser responsabilizadas pelos atos de seus colaboradores (funcionários, prepostos, representantes, subcontratados ou qualquer outra pessoa que esteja a serviço da contratada).

Para o caso de violações que impliquem atividades ilícitas ou que possam acarretar danos à Defensoria Pública, além da penalidade imposta, o infrator será responsabilizado pelos prejuízos, cabendo a tomada das medidas judiciais pertinentes.

12. CASOS OMISSOS

Os casos omissos serão avaliados pelo CSI, para posterior deliberação.

As diretrizes, estabelecidas nesta Política, em seus anexos e nas demais normas e procedimentos de segurança, não se esgotam, em razão da contínua evolução tecnológica e do constante surgimento de novas ameaças, não constituindo rol exaustivo, sendo obrigação do usuário da informação da Defensoria Pública adotar, sempre que possível, outras medidas de segurança, além das aqui previstas, com o objetivo de garantir a proteção às informações da Instituição.

13. BASE LEGAL

• Constituição Federal de 1988, especialmente o Capítulo V, Título III, que trata da Administração Pública;
• Lei nº 12.527/2011 (Lei de Acesso à Informação);
• Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD);
• Decreto nº 8.638/2016 (Governança Digital);
• Decreto nº 9.637/2018 (Política Nacional de Segurança Cibernética);
• Normas:

1. ABNT NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de segurança – Sistemas de Gestão de Segurança da Informação – Requisitos;
2. ABNT NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de segurança – Código de prática para a Gestão da Segurança da Informação;
3. ABNT NBR ISO/IEC 27701:2019 – Tecnologia da Informação – Técnicas de segurança – Gestão da privacidade da informação — Requisitos e diretrizes;

• NIST Cybersecurity Framework.

14. GLOSSÁRIO DE SIGLAS E TERMOS TÉCNICOS

Este glossário define as siglas e os termos técnicos utilizados na PSI da Defensoria Pública, facilitando a compreensão e a aplicação das diretrizes de segurança por todos os usuários.

• COATE: Coordenação de Atendimento e Suporte de TI
• CORED: Coordenação de Redes
• CRC: Central de Relacionamento com o Cidadão
• CSI: Comitê de Segurança da Informação
• CGTI:  Comitê de Governança de Tecnologia da Informação
• ISO: International Organization for Standardization
• LAN: Local Area Network (Rede de Área Local)
• LGPD: Lei Geral de Proteção de Dados
• MDM: Mobile Device Management (Gerenciamento de Dispositivos Móveis)
• NBR: Norma Brasileira
• NIST: National Institute of Standards and Technology
• NUSER: Núcleo de Serviços
• NUSEGI: Núcleo de Segurança da Informação
• PSI: Política de Segurança da Informação
• SCI:  Sistema Corporativo Integrado
• STIC: Secretaria de Tecnologia da Informação e Comunicação
• TI: Tecnologia da Informação
• TIC: Tecnologia da Informação e Comunicação
• VPN: Virtual Private Network (Rede Privada Virtual)
• Wi-Fi: Wireless Fidelity

• Acesso: Ato de interagir com um sistema ou informação, seja para visualização, consulta, alteração, exclusão ou processamento.
• Ativos de Informação: Informações, sistemas, dispositivos e recursos de tecnologia da informação que têm valor para a organização, incluindo a Defensoria Pública.
• Ameaça: Qualquer evento, ação humana ou incidente que possa causar danos, interrupções ou perdas à confidencialidade, integridade ou disponibilidade da informação.
• Ataques Cibernéticos: Ações maliciosas que visam comprometer a segurança da informação.
• Autenticação: Processo de verificação da identidade de um usuário para garantir que ele é quem diz ser.
• Autorização: Concessão de direitos de acesso a um usuário, programa ou processo para acessar informações e recursos do sistema, em conformidade com a política de segurança.
• Backup (Cópia de Segurança): Cópia de dados e informações armazenadas em local seguro para garantir a recuperação em caso de perda ou indisponibilidade dos dados originais.
• Banda de Internet: Capacidade de transmissão de dados da internet.
• Biometria: Tecnologia que utiliza características físicas ou comportamentais para autenticação.
• Catástrofes Naturais: Eventos naturais que podem causar danos e interrupções, como terremotos, inundações e incêndios.
• Chamado (no Service Desk): Solicitação de suporte ou assistência técnica.
• CIS Controls: Conjunto de práticas recomendadas para segurança cibernética.
• Cibersegurança: Conjunto de medidas, tecnologias, práticas e processos para proteger sistemas, redes, dispositivos, programas e dados de ataques cibernéticos.
• Conexão Remota (VPN): Tecnologia que permite acesso seguro à rede interna da Defensoria Pública a partir de locais externos.
• Criptografia: Processo de codificação de informações para protegê-las de acesso não autorizado, tornando-as ilegíveis para pessoas não autorizadas.
• Dado Sensível: Informação pessoal sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• Datacenter: Local físico onde são armazenados e processados os dados, servidores, equipamentos de rede e outros recursos de TI da organização, incluindo a Defensoria Pública.
• Dispositivos: Computadores (desktops, notebooks), smartphones, tablets, dispositivos de armazenamento externo (pen drives, HDs externos), impressoras, etc.
• Drive (em nuvem): Sistema de armazenamento de arquivos online.
• Erro Humano: Falhas cometidas por pessoas que podem comprometer a segurança da informação.
• Framework: Conjunto de normas, diretrizes e práticas para um determinado objetivo.
• Gerenciamento de Dispositivos Móveis (MDM): Soluções que permitem monitorar e controlar dispositivos móveis remotamente, aplicando políticas de segurança.
• Google Workspace: Plataforma de aplicativos de produtividade e colaboração online que oferece e-mail, armazenamento em nuvem e ferramentas de colaboração.
• Hardening: Processo de fortalecimento da segurança de sistemas e dispositivos.
• Hardwares e Softwares Pessoais: Equipamentos e programas de propriedade dos usuários, não fornecidos pela Defensoria Pública.
• ISO 27001/27002: Normas internacionais de segurança da informação que fornecem diretrizes para a implementação de um sistema de gestão da segurança da informação.
• Lei de Acesso à Informação: Lei nº 12.527/2011, que garante o acesso à informação pública.
• Lei Geral de Proteção de Dados (LGPD): Lei nº 13.709/2018, que regula o tratamento de dados pessoais no Brasil.
• Logs (registro de eventos): Arquivos que registram as atividades realizadas nos sistemas e dispositivos, incluindo registros de eventos do sistema operacional.
• Malware: Software malicioso projetado para causar danos ou roubar informações.
• Metadados: Dados que descrevem outros dados, como autor, data de criação e palavras-chave.
• NIST Cybersecurity Framework: Conjunto de padrões, diretrizes e práticas recomendadas para a segurança cibernética e gestão de riscos.
• Phishing: Tipo de ataque de engenharia social que utiliza mensagens eletrônicas falsas (e-mails, mensagens instantâneas, etc.) para induzir usuários a fornecerem informações confidenciais.
• Rede: Sistema de comunicação que conecta dispositivos para compartilhar dados e recursos (rede interna (LAN), rede sem fio (Wi-Fi), acesso à internet).
• Risco: Probabilidade de uma ameaça explorar uma vulnerabilidade, causando impacto negativo na confidencialidade, integridade ou disponibilidade da informação.
• Senha Forte: Senha complexa, difícil de ser adivinhada, que utiliza uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais.
• Service Desk: Central de atendimento para suporte técnico e resolução de problemas de TI.
• Sistema de Informação: Conjunto de recursos, equipamentos, procedimentos e pessoas que processam, armazenam, transmitem e utilizam a informação.
• Usuário: Qualquer pessoa que utiliza os sistemas e as informações da Defensoria Pública, incluindo defensores, servidores, colaboradores, terceirizados, estagiários, clientes, fornecedores e parceiros.
• Uso Razoável: Uso equilibrado e consciente dos recursos de TIC, evitando o consumo excessivo ou desnecessário de banda de internet, energia elétrica ou outros recursos.

15. GESTÃO DA POLÍTICA

A PSI é aprovada pelo CSI e publicada por resolução da Defensoria Pública Geral. Enquanto não houver a criação do CSI, a PSI será aprovada pelo CGTI.

A PSI será revisada periodicamente, com frequência mínima bienal, ou sempre que mudanças tecnológicas, legais ou operacionais relevantes ocorrerem. A STIC é responsável por propor ajustes na política ao CSI (ou ao CGTI), com base em auditorias, avaliação de riscos e avanços na área de segurança da informação.

Em suas revisões, deve-se adotar frameworks e benchmarks reconhecidos, como o NIST e o CIS Controls, para orientar o hardening de sistemas e dispositivos.

Todas as alterações devem ser deliberadas pelo CSI (ou pelo CGTI) e submetidas à Administração Superior, antes de sua publicação e implementação.

Os anexos, que contêm procedimentos de Segurança da Informação, serão aprovados pelo CSI (ou pelo CGTI) e publicados por meio de portaria da STIC.

A presente política foi aprovada em 03/12/2024.

16. VIGÊNCIA E CONTROLE DE REVISÕES

Sem prejuízo da revisão, a qualquer tempo, quando constatada sua necessidade para garantir a segurança da informação, este documento não perde sua validade ou vigência no caso de eventual atraso da revisão, não podendo ser desrespeitado sob essa justificativa.