Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL

Gabinete de Segurança Institucional da
Presidência da República – GSIPR

“Segurança Cibernética –
Oportunidades e desafios
na APF”

Infraero – agosto/2011


Sumário
• Cenários e Tendências;
• O Problema;
• Quem somos e o que fizemos;
• Do que nós estamos falando;
• Modelos Brasileiros;
• Desafios para os próximos anos;
• Visão de futuro.



CENÁRIOS E TENDÊNCIAS

• Os ataques cibernéticos apresentam escala mundial
crescente e se caracterizam como um dos grandes
desafios do século;

• A Segurança e a Defesa Cibernética vêm se
caracterizando cada vez mais como funções
estratégicas de governo em economias
desenvolvidas, ou não, para:
– proteção das infraestruturas críticas;
– segurança da informação e comunicações;
– cooperação internacional;
– construção de marcos legais;
– capacitação de recursos humanos.



CENÁRIOS E TENDÊNCIAS
Por quê?
- evolução e convergência das TICs;
-redução dos custos de hardwares e softwares;
- aumento da disponibilidade de sistemas e redes;
- universalização do acesso à Internet.
Consequências:
- surgimento do Espaço Cibernético;
- hábitos e costumes em constante e rápidas
mudanças;
- aumento das ameaças e vulnerabilidades .
Obrigando:
- a criação de uma cultura de SIC;


O problema

• A informação:
– é crucial para APF
– é acessada por pessoas diversas
– mas está exposta a riscos
– pode ser afetada (DICA):
• Disponibilidade
• Integridade
• Confidencialidade
• Autenticidade


O problema
• Aprimorar a metodologia e a cultura de
Segurança da Informação e Comunicações
para garantir a “DICA”;

• Construir elementos que garantam a
Segurança e a Defesa de seu Espaço
Cibernético.

Com o objetivo de:
• proteger a Sociedade;
• nortear as ações dos diversos atores que
interagem na grande rede.



Tamanho do Problema

37 ministérios;

≅ 6.000 entidades governamentais;

≅ 1.050.000 servidores federais;

≅ 320 grandes redes do Governo Federal;

repercussão na sociedade.



Desafios
À APF:
Envolvimento efetivo da Alta Administração com a
Gestão de SIC;
Metodologia e cultura de Segurança da Informação e
Comunicações para garantir a “DICA”;
Construir o marco legal contra ataques cibernéticos;
Atualizar as Normas conforme avanço das
tecnologias;

Ao País:
Elementos que garantam a Segurança e a Defesa de
seu Espaço Cibernético.

Para:
Proteger a Sociedade;
Nortear as ações dos diversos atores que interagem
na grande rede.

Invasões



Promoção de Sítios Maliciosos em
Mecanismos de Buscas


Estatísticas Domínios
Governamentais



Temas que merecem atenção
(Acórdão 2.308/2010 – TCU)

GSI



ÓRGÃOS GOVERNANTES
SUPERIORES (OGS) DE TI
(TCU - maio 2011)

10 OGSs:



Gabinete de Segurança

Institucional
Secretaria Executiva do
Secretaria Executiva do
GSI-
GSI-PR
Conselho de Defesa
Conselho de Defesa
Nacional
Nacional Secretaria-
Executiva

Departamento de
Segurança da
Seguranç
Câmara de Relações
Relações
Câmara de Relações Informação e
Informação
Exteriores e de
Exteriores e de Comunicações
Comunicações
Defesa Nacional
Defesa Nacional

Secretaria de
Secretaria de Agência Brasileira
Secretaria de Acompanhamento
Segurança e Estudos de Inteligência
Assuntos Militares
Presidencial Institucionais



(Lei nº 10.683, de 29 de maio de 2003)

Coordenação da Inteligência Federal e
atividades de Segurança da Informação.

DSIC
Decreto 5772 de 08 de maio de 2006
Planejar e Coordenar a
Decreto 6931 de 11 de agosto de 2009
execução das atividades de
Decreto 7.411 de 29 de dezembro de 2010 Segurança Cibernética e de
Segurança da Informação e
Comunicações na
Administração Pública Federal.


ORGANOGRAMA DSIC

Centro de Pesquisas e Comitê Gestor de
Desenvolvimento para a
Segurança das Diretor Segurança da
Comunicações (CEPESC) Informação (CGSI)

Coordenação-Geral do
Coordenação-Geral de Coordenação-Geral de
Sistema de Segurança e
Gestão de SIC Tratamento de Incidente
Credenciamento
(CGGSIC) de Redes (CGTIR)
(CGSISC)



Elaboração de Normas e
Coordenação-Geral de
Gestão de SIC Capacitação de Servidores,
(CGGSIC)
ouvido o Comitê Gestor de
Segurança da Informação.

Avaliar Acordos Internacionais
Coordenação-Geral do de Troca de Informações
Sistema de Segurança e
Credenciamento
Classificadas com vistas ao
(CGSISC) Sistema de Segurança e
Credenciamento.

Coordenação-Geral de Centro de Resposta de
Tratamento de Incidente de
Redes (CGTIR)
Incidentes de Redes da
APF.



Abrangência de SIC

SEGURANÇA:
recursos humanos;
sistemas de informação e comunicações;
áreas e instalações;
recursos materiais.

NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC;
CAPACITAÇÃO SERVIDORES PÚBLICOS;
ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES SIGILOSAS;
TRATAMENTO DE INCIDENTES DE REDES;
ANÁLISE E GESTÃO DE RISCOS;
CONTINUIDADE DE NEGÓCIOS;
CONTROLE DE ACESSO;
CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA;
SEGURANÇA DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO;
ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA;
APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANÇA.



IN GSI 01, de 13 de junho de 2008

Disciplina a Gestão de SIC na APF;
Gestão SIC: integração dos processo de Gestão de
Riscos; Gestão de Continuidade do Negócio; Tratamento de
Incidentes; Tratamento da Informação; Conformidade;
Credenciamento; Seguranças Cibernética, Física, Lógica,
Orgânica e Organizacional aos processos institucionais –
estratégicos, operacionais e táticos – , não se limitando a TIC.

Atribui competências ao CGSI:
• Assessorar o GSI na Gestão de SIC; e
• Instituir grupos de trabalho em temas de SIC.



Framework de Gestão de
SIC na APF
Normas Complementares DSIC/GSIPR:
NC 01, de 14 de outubro de 2008: estabelece critérios e
procedimentos para elaboração, atualização, alteração,
aprovação e publicação de normas complementares sobre
Gestão de SIC na APF;
NC 02, de 15 de outubro de 2008: define a metodologia de
Gestão SIC, baseada no processo de melhoria contínua
(PDCA) da ABNT NBR ISO/IEC 27001:2006, utilizada pelos
órgãos e entidades da APF;
NC 03, de 03 de julho de 2009: estabelece diretrizes, critérios e
procedimentos para elaboração, institucionalização,
divulgação e atualização da POSIC, que declara o
comprometimento da alta direção, na APF;


SIC na APF
• NC 04, de 17 de agosto de 2009: estabelece diretrizes para o
processo de Gestão de Riscos de SIC (GRSIC). As diretrizes
deverão considerar os objetivos estratégicos, processos,
requisitos legais, a estrutura e a POSIC do órgão;

• NC 05, de 17 de agosto de 2009: disciplina a criação de
Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais (ETIR) nos órgãos e entidades da APF;

• NC 06, de 11 de novembro de 2010: estabelecer diretrizes
para Gestão de Continuidade de Negócios (GCN)
relacionados à SIC na APF. A GCN busca minimizar os
impactos de falhas, desastres ou indisponibilidades dos
serviços, além de recuperar perdas de ativos de informação
a um nível aceitável;



SIC na APF
• NC 07, de 07 de maio de 2010: estabelece diretrizes para
implementação de Controles de Acesso relacionados à SIC
na APF. A identificação, a autorização, a autenticação, o
interesse do serviço e a necessidade de conhecer são
condicionantes prévias para concessão de acesso;

• NC 08, de 24 de agosto de 2010: disciplina o Gerenciamento
de Incidentes de Segurança em Redes de Computadores
realizado pelas ETIRs na APF. O gerenciamento de
incidentes em redes requer atenção da alta administração;

• NC 09, de 22 de novembro de 2010: estabelece orientações
para o uso de recursos criptográficos como ferramenta de
controle de acesso na APF. Os Gestores de SIC são
responsáveis pela implementação dos procedimentos de
uso dos recursos criptográficos.


Segurança da Informação e
Comunicações (SIC): ação que
objetiva viabilizar e assegurar a
Disponibilidade, a Integridade, a
Confidencialidade e a Autenticidade
(DICA) da Informação e das
Comunicações.



Do que o mundo está
falando?
• Segurança da Informação;
• Segurança da Informação e Comunicações;
• Segurança das TICs;
• Proteção das Infraestruturas Criticas da
Informação;
• Segurança Cibernética;
• Defesa Cibernética;
• Guerra Cibernética;
• Crime Cibernético;
• Terrorismo Cibernético;
• Segurança do Espaço Informacional.


Taxonomia
USA-RUSSIA – Fundamentos de
Terminologia Crítica de Segurança
Cibernética (abril 2011)



Crimes

ARTEFATOS MALWARES c
o
r
r
e
ç
G
ã
Universidades o
LABORATÓRIO DSIC CEPESC FFAA
Empresas privadas SEGURANÇA
CIBERNÉTICA
DSIC 1 CEPESC2 FFAA 2
1 2 2
DPF
DPF 1
1
U
Outros

Organismo
LABORATÓRIO
DEFESA
CIBERNÉTICA
ABIN
ABIN 3
3
FFAA
FFAA 3
3
B


PROPOSTA DE ATUAÇÃO



CENÁRIO MUNDIAL
Ciberespaço sujeito a chuvas e trovoadas

2008/09/10 2009
Proteção Bureau de
do espaço Tecnologia
2006/09
Informacional Profissional
2009 2001/08 - SI

2008

2009 2008 - PICI
GGE - ONU Pacto de Shangai
?
Infraero – agosto/2011 2001


DESAFIOS ESTRATÉGICOS –
2011/2014
(i) conhecer o grau de vulnerabilidade do país em
relação aos sistemas e às suas infraestruturas
críticas de informação;
(ii) conceber um sistema de medidas preventivas
contra ataques cibernéticos.
(iii) construir o marco legal contra ataques
cibernéticos;
(iv) atualizar Normas da APF x novas tecnologias;
(v) estabelecer programas de cooperação entre
governo e sociedade, bem como com governos e
a comunidade internacional;
(vi) desenvolver programas de capacitação;
(vii) desenvolver e implementar um modelo de
sistema de medidas de segurança.


RESUMO

• CAPACITAÇÃO

• MARCO LEGAL

• PARCERIAS



VISÃO DE FUTURO

• Dispor de um órgão de referência em
segurança cibernética com recursos
humanos de elevada competência
técnica e parque tecnológico
especializado e atualizado.



WE UPSET PEOPLE!



OBRIGADO !

raphael.mandarino@planalto.gov.br
http://dsic.planalto.gov.br
http://twitter.com/dsic_br


CONCEITOS GSIPR

• Ativos de informação: são os meios de
armazenamento, transmissão e processamento, os
sistemas de informação, bem como os locais onde se
encontram esses meios e as pessoas que a eles têm
acesso.

• Infraestruturas Críticas: são as instalações, serviços,
bens e sistemas que, se forem interrompidos ou
destruídos, provocarão sério impacto social,
econômico, político, internacional ou à segurança do
Estado e da Sociedade.

• Infraestruturas Críticas da Informação: é o
subconjunto de ativos de informação que afetam
diretamente a consecução e a continuidade da missão
do Estado e a segurança da Sociedade.


CONCEITO

• Segurança Cibernética: é a arte de assegurar a
existência e a continuidade da Sociedade da
Informação de uma Nação, garantindo e protegendo,
no Espaço Cibernético, seus ativos de informação e
suas infraestruturas críticas.
– Arte 1 [Do lat. arte.]S. f. [Dicionário Aurélio – Século XXI]
1. Capacidade que tem o ser humano de pôr em prática uma idéia, valendo-se da faculdade
de dominar a matéria: A arte de usar o fogo surgiu nos primórdios da civilização.
2. A utilização de tal capacidade, com vistas a um resultado que pode ser obtido por meios
diferentes: a arte da medicina; a arte da caça; a arte militar; a arte de cozinhar; Liceu de
Artes e Ofícios.
(...)
7. Os preceitos necessários à execução de qualquer arte: a arte da marinharia; a arte de falar
corretamente uma língua.



PROPOSTA DE ATUAÇÃO

•CRIPTOGRAFIA
• TRATAMENTO DE
INCIDENTES
•GESTÃO DE RISCO

SLTI / E-PING
RENASIC


Lançamento do Livro Verde
Lançamento

Política e Estratégia
Nacional de Segurança
Cibernética
A arte de assegurar a existência e a
continuidade da Sociedade da
Informação de uma nação garantindo
e protegendo, no espaço cibernético,
seus ativos de informação e suas
infraestruturas críticas.

http://dsic.planalto.gov.br/documentos/publicacoes
/1_Livro_Verde_SEG_CIBER.pdf


Lançamento do Guia de
Lançamento
Referência
Referência

Segurança das
Infraestruturas Críticas
da Informação
Ações que objetivam a segurança do
subconjunto de ativos de
informação que afetam diretamente
a consecução e a continuidade da
missão do Estado e a segurança da
sociedade.

http://dsic.planalto.gov.br/documentos/publi
cacoes/2_Guia_SICI.pdf

Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

Similar a Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal (20)

Más de SegInfo

Más de SegInfo (6)

Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal