Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

1,300 views

Published on

Raphael Mandarino em "Oportunidades e Desafios na Administração Pública Federal"

  • Be the first to comment

  • Be the first to like this

Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

  1. 1. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Gabinete de Segurança Institucional da Presidência da República – GSIPR “Segurança Cibernética – Oportunidades e desafios na APF”Infraero – agosto/2011
  2. 2. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Sumário • Cenários e Tendências; • O Problema; • Quem somos e o que fizemos; • Do que nós estamos falando; • Modelos Brasileiros; • Desafios para os próximos anos; • Visão de futuro.Infraero – agosto/2011
  3. 3. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONALInfraero – agosto/2011
  4. 4. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONALInfraero – agosto/2011
  5. 5. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL CENÁRIOS E TENDÊNCIAS • Os ataques cibernéticos apresentam escala mundial crescente e se caracterizam como um dos grandes desafios do século; • A Segurança e a Defesa Cibernética vêm se caracterizando cada vez mais como funções estratégicas de governo em economias desenvolvidas, ou não, para: – proteção das infraestruturas críticas; – segurança da informação e comunicações; – cooperação internacional; – construção de marcos legais; – capacitação de recursos humanos.Infraero – agosto/2011
  6. 6. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL CENÁRIOS E TENDÊNCIAS Por quê? - evolução e convergência das TICs; -redução dos custos de hardwares e softwares; - aumento da disponibilidade de sistemas e redes; - universalização do acesso à Internet. Consequências: - surgimento do Espaço Cibernético; - hábitos e costumes em constante e rápidas mudanças; - aumento das ameaças e vulnerabilidades . Obrigando: - a criação de uma cultura de SIC;Infraero – agosto/2011
  7. 7. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL O problema • A informação: – é crucial para APF – é acessada por pessoas diversas – mas está exposta a riscos – pode ser afetada (DICA): • Disponibilidade • Integridade • Confidencialidade • AutenticidadeInfraero – agosto/2011
  8. 8. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL O problema • Aprimorar a metodologia e a cultura de Segurança da Informação e Comunicações para garantir a “DICA”; • Construir elementos que garantam a Segurança e a Defesa de seu Espaço Cibernético. Com o objetivo de: • proteger a Sociedade; • nortear as ações dos diversos atores que interagem na grande rede.Infraero – agosto/2011
  9. 9. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Tamanho do Problema 37 ministérios; ≅ 6.000 entidades governamentais; ≅ 1.050.000 servidores federais; ≅ 320 grandes redes do Governo Federal; repercussão na sociedade.Infraero – agosto/2011
  10. 10. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Desafios À APF: Envolvimento efetivo da Alta Administração com a Gestão de SIC; Metodologia e cultura de Segurança da Informação e Comunicações para garantir a “DICA”; Construir o marco legal contra ataques cibernéticos; Atualizar as Normas conforme avanço das tecnologias; Ao País: Elementos que garantam a Segurança e a Defesa de seu Espaço Cibernético. Para: Proteger a Sociedade; Nortear as ações dos diversos atores que interagem na grande rede.Infraero – agosto/2011
  11. 11. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL InvasõesInfraero – agosto/2011
  12. 12. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL InvasõesInfraero – agosto/2011
  13. 13. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Promoção de Sítios Maliciosos em Mecanismos de BuscasInfraero – agosto/2011
  14. 14. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Promoção de Sítios Maliciosos em Mecanismos de BuscasInfraero – agosto/2011
  15. 15. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Estatísticas Domínios GovernamentaisInfraero – agosto/2011
  16. 16. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Temas que merecem atenção (Acórdão 2.308/2010 – TCU) GSIInfraero – agosto/2011
  17. 17. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL ÓRGÃOS GOVERNANTES SUPERIORES (OGS) DE TI (TCU - maio 2011) 10 OGSs:Infraero – agosto/2011
  18. 18. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança GABINETE DE SEGURANÇA INSTITUCIONAL Institucional Secretaria Executiva do Secretaria Executiva do GSI- GSI-PR Conselho de Defesa Conselho de Defesa Nacional Nacional Secretaria- Executiva Departamento de Segurança da Seguranç Câmara de Relações Relações Câmara de Relações Informação e Informação Exteriores e de Exteriores e de Comunicações Comunicações Defesa Nacional Defesa Nacional Secretaria de Secretaria de Agência Brasileira Secretaria de Acompanhamento Segurança e Estudos de Inteligência Assuntos Militares Presidencial InstitucionaisInfraero – agosto/2011
  19. 19. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL (Lei nº 10.683, de 29 de maio de 2003) Coordenação da Inteligência Federal e atividades de Segurança da Informação. DSIC Decreto 5772 de 08 de maio de 2006 Planejar e Coordenar a Decreto 6931 de 11 de agosto de 2009 execução das atividades deDecreto 7.411 de 29 de dezembro de 2010 Segurança Cibernética e de Segurança da Informação e Comunicações na Administração Pública Federal.Infraero – agosto/2011
  20. 20. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL ORGANOGRAMA DSIC Centro de Pesquisas e Comitê Gestor de Desenvolvimento para a Segurança das Diretor Segurança da Comunicações (CEPESC) Informação (CGSI) Coordenação-Geral do Coordenação-Geral de Coordenação-Geral de Sistema de Segurança e Gestão de SIC Tratamento de Incidente Credenciamento (CGGSIC) de Redes (CGTIR) (CGSISC)Infraero – agosto/2011
  21. 21. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Elaboração de Normas e Coordenação-Geral de Gestão de SIC Capacitação de Servidores, (CGGSIC) ouvido o Comitê Gestor de Segurança da Informação. Avaliar Acordos Internacionais Coordenação-Geral do de Troca de Informações Sistema de Segurança e Credenciamento Classificadas com vistas ao (CGSISC) Sistema de Segurança e Credenciamento. Coordenação-Geral de Centro de Resposta de Tratamento de Incidente de Redes (CGTIR) Incidentes de Redes da APF.Infraero – agosto/2011
  22. 22. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Abrangência de SIC SEGURANÇA: recursos humanos; sistemas de informação e comunicações; áreas e instalações; recursos materiais. NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC; CAPACITAÇÃO SERVIDORES PÚBLICOS; ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES SIGILOSAS; TRATAMENTO DE INCIDENTES DE REDES; ANÁLISE E GESTÃO DE RISCOS; CONTINUIDADE DE NEGÓCIOS; CONTROLE DE ACESSO; CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA; SEGURANÇA DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO; ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA; APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANÇA.Infraero – agosto/2011
  23. 23. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL IN GSI 01, de 13 de junho de 2008 Disciplina a Gestão de SIC na APF; Gestão SIC: integração dos processo de Gestão de Riscos; Gestão de Continuidade do Negócio; Tratamento de Incidentes; Tratamento da Informação; Conformidade; Credenciamento; Seguranças Cibernética, Física, Lógica, Orgânica e Organizacional aos processos institucionais – estratégicos, operacionais e táticos – , não se limitando a TIC. Atribui competências ao CGSI: • Assessorar o GSI na Gestão de SIC; e • Instituir grupos de trabalho em temas de SIC.Infraero – agosto/2011
  24. 24. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Framework de Gestão de SIC na APF Normas Complementares DSIC/GSIPR: NC 01, de 14 de outubro de 2008: estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de SIC na APF; NC 02, de 15 de outubro de 2008: define a metodologia de Gestão SIC, baseada no processo de melhoria contínua (PDCA) da ABNT NBR ISO/IEC 27001:2006, utilizada pelos órgãos e entidades da APF; NC 03, de 03 de julho de 2009: estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da POSIC, que declara o comprometimento da alta direção, na APF;Infraero – agosto/2011
  25. 25. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Framework de Gestão de SIC na APF • NC 04, de 17 de agosto de 2009: estabelece diretrizes para o processo de Gestão de Riscos de SIC (GRSIC). As diretrizes deverão considerar os objetivos estratégicos, processos, requisitos legais, a estrutura e a POSIC do órgão; • NC 05, de 17 de agosto de 2009: disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da APF; • NC 06, de 11 de novembro de 2010: estabelecer diretrizes para Gestão de Continuidade de Negócios (GCN) relacionados à SIC na APF. A GCN busca minimizar os impactos de falhas, desastres ou indisponibilidades dos serviços, além de recuperar perdas de ativos de informação a um nível aceitável;Infraero – agosto/2011
  26. 26. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Framework de Gestão de SIC na APF • NC 07, de 07 de maio de 2010: estabelece diretrizes para implementação de Controles de Acesso relacionados à SIC na APF. A identificação, a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes prévias para concessão de acesso; • NC 08, de 24 de agosto de 2010: disciplina o Gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pelas ETIRs na APF. O gerenciamento de incidentes em redes requer atenção da alta administração; • NC 09, de 22 de novembro de 2010: estabelece orientações para o uso de recursos criptográficos como ferramenta de controle de acesso na APF. Os Gestores de SIC são responsáveis pela implementação dos procedimentos de uso dos recursos criptográficos.Infraero – agosto/2011
  27. 27. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Segurança da Informação e Comunicações (SIC): ação que objetiva viabilizar e assegurar a Disponibilidade, a Integridade, a Confidencialidade e a Autenticidade (DICA) da Informação e das Comunicações.Infraero – agosto/2011
  28. 28. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Do que o mundo está falando? • Segurança da Informação; • Segurança da Informação e Comunicações; • Segurança das TICs; • Proteção das Infraestruturas Criticas da Informação; • Segurança Cibernética; • Defesa Cibernética; • Guerra Cibernética; • Crime Cibernético; • Terrorismo Cibernético; • Segurança do Espaço Informacional.Infraero – agosto/2011
  29. 29. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Taxonomia USA-RUSSIA – Fundamentos de Terminologia Crítica de Segurança Cibernética (abril 2011)Infraero – agosto/2011
  30. 30. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Crimes ARTEFATOS MALWARES c o r r e ç G ã Universidades o LABORATÓRIO DSIC CEPESC FFAA Empresas privadas SEGURANÇA CIBERNÉTICA DSIC 1 CEPESC2 FFAA 2 1 2 2 DPF DPF 1 1 U Outros Organismo LABORATÓRIO DEFESA CIBERNÉTICA ABIN ABIN 3 3 FFAA FFAA 3 3 BInfraero – agosto/2011
  31. 31. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL PROPOSTA DE ATUAÇÃOInfraero – agosto/2011
  32. 32. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL CENÁRIO MUNDIAL Ciberespaço sujeito a chuvas e trovoadas 2008/09/10 2009 Proteção Bureau de do espaço Tecnologia 2006/09 Informacional Profissional 2009 2001/08 - SI 2008 2009 2008 - PICI GGE - ONU Pacto de Shangai ?Infraero – agosto/2011 2001
  33. 33. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL DESAFIOS ESTRATÉGICOS – 2011/2014 (i) conhecer o grau de vulnerabilidade do país em relação aos sistemas e às suas infraestruturas críticas de informação; (ii) conceber um sistema de medidas preventivas contra ataques cibernéticos. (iii) construir o marco legal contra ataques cibernéticos; (iv) atualizar Normas da APF x novas tecnologias; (v) estabelecer programas de cooperação entre governo e sociedade, bem como com governos e a comunidade internacional; (vi) desenvolver programas de capacitação; (vii) desenvolver e implementar um modelo de sistema de medidas de segurança.Infraero – agosto/2011
  34. 34. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL RESUMO • CAPACITAÇÃO • MARCO LEGAL • PARCERIASInfraero – agosto/2011
  35. 35. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL VISÃO DE FUTURO • Dispor de um órgão de referência em segurança cibernética com recursos humanos de elevada competência técnica e parque tecnológico especializado e atualizado.Infraero – agosto/2011
  36. 36. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL WE UPSET PEOPLE!Infraero – agosto/2011
  37. 37. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL OBRIGADO ! raphael.mandarino@planalto.gov.br http://dsic.planalto.gov.br http://twitter.com/dsic_brInfraero – agosto/2011
  38. 38. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL CONCEITOS GSIPR • Ativos de informação: são os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso. • Infraestruturas Críticas: são as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade. • Infraestruturas Críticas da Informação: é o subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade.Infraero – agosto/2011
  39. 39. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL CONCEITO • Segurança Cibernética: é a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas. – Arte 1 [Do lat. arte.]S. f. [Dicionário Aurélio – Século XXI] 1. Capacidade que tem o ser humano de pôr em prática uma idéia, valendo-se da faculdade de dominar a matéria: A arte de usar o fogo surgiu nos primórdios da civilização. 2. A utilização de tal capacidade, com vistas a um resultado que pode ser obtido por meios diferentes: a arte da medicina; a arte da caça; a arte militar; a arte de cozinhar; Liceu de Artes e Ofícios. (...) 7. Os preceitos necessários à execução de qualquer arte: a arte da marinharia; a arte de falar corretamente uma língua.Infraero – agosto/2011
  40. 40. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL PROPOSTA DE ATUAÇÃO •CRIPTOGRAFIA • TRATAMENTO DE INCIDENTES •GESTÃO DE RISCO SLTI / E-PING RENASICInfraero – agosto/2011
  41. 41. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Lançamento do Livro Verde Lançamento Política e Estratégia Nacional de Segurança Cibernética A arte de assegurar a existência e a continuidade da Sociedade da Informação de uma nação garantindo e protegendo, no espaço cibernético, seus ativos de informação e suas infraestruturas críticas. http://dsic.planalto.gov.br/documentos/publicacoes /1_Livro_Verde_SEG_CIBER.pdfInfraero – agosto/2011
  42. 42. PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL Lançamento do Guia de Lançamento Referência Referência Segurança das Infraestruturas Críticas da Informação Ações que objetivam a segurança do subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade. http://dsic.planalto.gov.br/documentos/publi cacoes/2_Guia_SICI.pdfInfraero – agosto/2011

×