A Autoridade Nacional de Proteção de Dados (ANPD) formalizou nesta quinta-feira, 28, a criação de duas novas estruturas voltadas à segurança digital dos sistemas internos da entidade: o Comitê de Segurança da Informação (CSIN) e a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR).
As medidas foram publicadas no Diário Oficial da União (DOU) por meio das Resoluções CD/ANPD nº 26 e nº 27.
Segundo a publicação, o CSIN será um órgão responsável por "assessorar" o Conselho Diretor da autarquia na definição de políticas e estratégias de "segurança da informação". Entre as atribuições estão a de "propor, revisar e monitorar periodicamente a Política de Segurança da Informação da ANPD (POSIN/ANPD)", além de "deliberar sobre os assuntos relativos à implementação da Estratégia Nacional de Segurança Cibernética (E-Ciber) limitada ao âmbito interno da ANPD".
A composição do comitê inclui representantes das áreas técnicas e de governança do órgão, sendo coordenado pelo Gestor de Segurança da Informação. A nova ala também deverá aprovar planos de resposta a incidentes e instituir grupos de trabalho para tratar de temas específicos sobre segurança digital.
Já a ETIR foi criada como a equipe técnica responsável por agir diretamente na prevenção e no tratamento de incidentes de segurança cibernética. A missão deles, segundo a resolução, é "coordenar as ações de prevenção, tratamento e resposta a incidentes de segurança cibernética nos ativos de informações da ANPD".
A equipe irá monitorar sistemas, detectar vulnerabilidades, analisar ataques, emitir alertas e promover treinamentos. Também será responsável por manter registros e relatórios sobre incidentes e poderá atuar em parceria com outras entidades públicas, como o CTIR Gov e a Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC).
Papéis na ANPD
As duas novas estruturas têm papéis diferentes, mas se completam. O comitê (CSIN) será responsável por pensar regras e diretrizes para proteger os dados e sistemas da ANPD. Já a equipe técnica (ETIR) será acionada para agir diretamente em situações de risco, como falhas, ataques cibernéticos ou tentativas de invasão.
Segundo os documentos publicados, participar do comitê ou da equipe será considerado um "serviço público relevante", mas sem remuneração extra.
