Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Segurança Cibernética na Administração Pública Federal
1. SEGURANÇA DA INFORMAÇÃO
E COMUNICAÇÕES NA
ADMINISTRAÇÃO PÚBLICA
FEDERAL
V Seginfo – Rio de Janeiro
GABINETE DE SEGURANÇA INSTITUCIONAL DA
PRESIDÊNCIA DA REPÚBLICA – GSIPR
DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E
DSIC/GSIPR COMUNICAÇÕES - DSIC
2. Gabinete de Segurança Institucional
Secretaria GSI-PR
Executiva do
Conselho de Defesa
Nacional Secretaria-
Executiva
Presidente do
Conselho Nacional
Anti-Drogas
Departamento de
Segurança da
Câmara de Relações Informação e
Exteriores e de Comunicações
Defesa Nacional
Secretaria de
Secretaria de Secretaria Nacional Agência Brasileira Acompanhamento
Assuntos Militares Anti-Drogas de Inteligência e Estudos
Institucionais
DSIC/GSIPR
3. (Lei nº 10.683, de 29 de maio de 2003)
Coordenação da Inteligência Federal e
atividades de Segurança da Informação.
DSIC Planejar e Coordenar a
Decreto 5.772 de 08 de maio de 2006
execução das atividades de
Decreto 6.931 de 11 de agosto de 2009 Segurança da Informação e
Comunicações na
Administração Pública Federal.
DSIC/GSIPR
4. Centro de Pesquisas e Comitê Gestor de
Desenvolvimento para a
Segurança das
Comunicações (CEPESC)
Diretor Segurança da
Informação (CGSI)
Assessoria Grupo de Apoio
Gabinete Técnico (GAT)
Jurídica
Coordenação-Geral do
Coordenação-Geral de Coordenação-Geral de
Sistema de Segurança e
Gestão de SIC Tratamento de Incidente
Credenciamento
(CGGSIC) de Redes (CGTIR)
(CGSISC)
DSIC/GSIPR
5. Tamanho do Problema
- 39 ministérios
- ≅ 6.000 entidades públicas
− ≅ 1.000.000 servidores federais - Executivo
Administração direta 225.412 Empresas Públicas 23.036
Autarquias e Fundações 328.217 Soc. Economia Mista 12.068
MPU 8.384 Militares 325.683
≅ 320 principais redes do governo federal
≅ 12.000 sites domínio .gov.br (+ de 6 milhões
páginas)
DSIC/GSIPR
6. Incidentes em redes na APF – CTIR - 2010
- ≅ 4.480.000 de incidentes em 2009 (uma rede)
- ≅ 1% dos incidentes são tentativas de invasão
- ≅ 2100 tentativas por hora em todas as redes
- ≅ 200 malwares analisados por mês
DSIC/GSIPR
7. Tratamento de Incidentes na APF - CTIR
Objetivos dos “Malwares”
2% 6%
ROUBO DE INFO BANCÁRIAS
7% ROUBO DE INFO PESSOAIS
ROUBO DE INFO DO INFOSEG
BOTNET
OUTROS
25%
60%
Fonte: CTIR Gov 2009
DSIC/GSIPR
8. Credenciamento – SISC
ACORDOS DE COOPERAÇÃO
NEGOCIAÇÃO
ASSINADOS
Israel *
Portugal USA
Espanha Luxemburgo
Itália *
Rússia (troca de
Rep. Tcheca
informações e SIC)
Ucrânia
França (atualizado) Noruega
Alemanha *
DSIC/GSIPR
9. ABRANGÊNCIA DA SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES
SEGURANÇA DOS:
recursos humanos;
sistemas de informação e comunicação;
áreas e instalações;
materiais.
NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC
CAPACITAÇÃO SERVIDORES PÚBLICOS
ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES
SIGILOSAS
TRATAMENTO DE INCIDENTES DE REDES
ANÁLISE E GESTÃO DE RISCOS
CONTINUIDADE DE NEGÓCIOS
CONTROLE DE ACESSO
CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA
PROTEÇÃO DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO
ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA
APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE
SEGURANÇA
DSIC/GSIPR
10. Normativas de Gestão de SIC-APF
• IN GSI 01, de 13 de junho de 2008 – Gestão SIC APF
• NC 01, de 14 de outubro de 2008 – Normalização
• NC 02, de 15 de outubro de 2008 – Metodologia
• NC 03, de 03 de julho de 2009 – POSIC
• NC 04, de 17 de agosto de 2009 - GRSIC
• NC 05, de 17 de agosto de 2009 – ETIR
• NC 06, de 11 de novembro de 2009 – GCN
• NC 07, de 14 de abril de 2010 – CASIC
• NC 08, de 24 de agosto de 2010 – Gestão de ETIR
• Normas em estudo: Manual do Gestor de SIC (2010); e Uso de
criptografia na APF (2010).
DSIC/GSIPR
11. Cultura e Capacitação
REALIZADO
ATIVIDADE METODOLOGIA ALVO
(até 25/04/2010)
Palestras e
Sensibilização 1.000.000 25.517
Congressos
Seminários e
Conscientização 100.000 4.606
Colóquios
Oficinas e
595
Capacitação Cursos de 10.000
150*
Fundamentos
Cursos pós- 80
Especialização 1.000
graduação 193**
• * Realizando o II CFGSIC a distância
• ** Realizando desde 05MAI2010 o CEGSIC semi presencial
DSIC/GSIPR
12. Princípios
São dois os princípios básicos que devem ser
observados para se garantir a Segurança da
Informação e Comunicações bem como das
infraestruturas críticas do País no Ciberespaço
(I) reduzir as vulnerabilidades do país impedindo ou
dificultando ataques cibernéticos; e,
(II) em caso de ataque, garantir uma rápida
recuperação e funcionamento dos sistemas de
informação e infraestruturas críticas atacadas
(recursos humanos, legislação, tecnologia, políticas etc.)
DSIC/GSIPR
13. Proposta
Estratégia de Segurança Cibernética
A arte de assegurar a existência e a
continuidade da Sociedade da
Informação de uma nação garantindo
e protegendo, no espaço cibernético,
seus ativos de informação e suas
infraestruturas críticas.
DSIC/GSIPR
14. Proposta
Decreto nº 4.801/03
Fica criada a Câmara de Relações Exteriores e Defesa
Nacional, do Conselho de Governo, com a finalidade de
formular políticas públicas e diretrizes de matérias
relacionadas com a área das relações exteriores e defesa
nacional do Governo Federal, aprovar, promover a
articulação e acompanhar a implementação dos
programas e ações estabelecidos, no âmbito de ações
cujo escopo ultrapasse a competência de um único
Ministério, inclusive aquelas pertinentes a:
...
XI - segurança cibernética. (Incluído pelo Decreto nº
7.009, de 2009)
DSIC/GSIPR
15. Conceitos – DSIC/GSIPR
• Ativos de informação: são os meios de
armazenamento, transmissão e processamento, os
sistemas de informação, bem como os locais onde se
encontram esses meios e as pessoas que a eles têm
acesso.
• Infraestruturas Críticas: são as instalações,
serviços, bens e sistemas que, se forem
interrompidos ou destruídos, provocarão sério
impacto social, econômico, político, internacional ou
à segurança do Estado e da Sociedade;
• Infraestruturas Críticas da Informação: é o
subconjunto de ativos de informação que afetam
diretamente a consecução e a continuidade da
missão do Estado e a segurança da Sociedade.
DSIC/GSIPR
16. Mudança de Comportamento
CONSCIENTIZAÇÃO
Segurança da Informação e Comunicações: ações que objetivam
viabilizar e assegurar a disponibilidade (acessível e utilizável), a
integridade (sem modificação ou destruição não autorizada ou
acidental) , a confidencialidade (disponível somente para
autorizados)e a autenticidade (produzida, expedida, modificada
ou destruída por determinada pessoa física, ou sistema, órgão
ou entidade) das informações (Instrução Normativa nº 01/GSI, 13
de junho de 2000)
Quebra de segurança: ação ou omissão, intencional ou acidental,
que resulta no comprometimento da segurança da informação e
das comunicações (Instrução Normativa nº 01/GSI, 13 de junho
de 2000)
DSIC/GSIPR
19. Mudança de Comportamento
Lei nº 11.829/08 – altera o ECA
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia,
vídeo ou outra forma de registro que contenha cena de sexo explícito
ou pornográfica envolvendo criança ou adolescente:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
§ 2o Não há crime se a posse ou o armazenamento tem a finalidade de
comunicar às autoridades competentes a ocorrência das condutas
descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a
comunicação for feita por:
I – agente público no exercício de suas funções;
§ 3o As pessoas referidas no § 2o deste artigo deverão manter sob
sigilo o material ilícito referido.
DSIC/GSIPR
20. Mudança de Comportamento
Mais exemplos para reflexão:
1) Seu notebook foi identificado quando adentrou órgão público?
Por que?
....
....
E o seu smartphone?
2) Quando você se ausenta de sua estação de trabalho, ela permanece logada?
....
DSIC/GSIPR
21. Mudança de Comportamento
QUEBRA DE SEGURANÇA QUE COMPROMETA
A DICA IMPLICA EM RESPONSABILIDADE:
• ADMINISTRATIVA
• CIVIL
• PENAL
DSIC/GSIPR
22. Desafios para 2011
• Falta de cultura padronizada em Segurança da Informação e
Comunicações;
• Falta de coordenação de ações conjuntas, de estabelecimento e
exigência de padrões e normas nacionais;
• Falta de legislação adequada;
• Indefinição das Fronteiras (Redes de Comunicações Transnacionais);
•Necessidade emergente de repensar e rever o conceito de Segurança
das infraestruturas críticas – em especial da segurança cibernética; e
• Continuidade das ações de governo.
DSIC/GSIPR