Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL

Infraero – agosto/2011

Gabinete de Segurança Institucional da Presidência da República – GSIPR

“Segurança Cibernética –Oportunidades e desafios

na APF”



Sumário

• Cenários e Tendências;• O Problema;• Quem somos e o que fizemos;• Do que nós estamos falando;• Modelos Brasileiros;• Desafios para os próximos anos;• Visão de futuro.



• Os ataques cibernéticos apresentam escala mundial crescente e se caracterizam como um dos grandes desafios do século ;

• A Segurança e a Defesa Cibernética vêm se caracterizando cada vez mais como funções estratégicas de governo em economias desenvolvidas, ou não, para:

– proteção das infraestruturas críticas;– segurança da informação e comunicações;– cooperação internacional; – construção de marcos legais;– capacitação de recursos humanos.

CENÁRIOS E TENDÊNCIAS



Por qu ê?- evolução e convergência das TICs;

-redução dos custos de hardwares e softwares;

- aumento da disponibilidade de sistemas e redes;

- universalização do acesso à Internet.

Consequ ências:- surgimento do Espaço Cibernético;

- hábitos e costumes em constante e rápidas mudanças;

- aumento das ameaças e vulnerabilidades .

Obrigando:- a criação de uma cultura de SIC;

CENÁRIOS E TENDÊNCIAS



• A informação:– é crucial para APF

– é acessada por pessoas diversas– mas está exposta a riscos

– pode ser afetada (DICA):• Disponibilidade• Integridade• Confidencialidade• Autenticidade

O problema



• Aprimorar a metodologia e a cultura de Seguran ça da Informação e Comunicaçõ es para garantir a “DICA ”;

• Construir elementos que garantam a Seguran ça e a Defesa de seu Espaço Cibern ético.

Com o objetivo de:• proteger a Sociedade;• nortear as açõ es dos diversos atores que

interagem na grande rede.

O problema



� 37 ministérios;

� ≅≅≅≅≅≅≅≅ 6.000 entidades governamentais;

� ≅≅≅≅≅≅≅≅ 1.050.000 servidores federais;

� ≅≅≅≅≅≅≅≅ 320 grandes redes do Governo Federal;

� repercussão na sociedade.

Tamanho do Problema



�� ÀÀ APF:APF:�� Envolvimento efetivo da Alta AdministraEnvolvimento efetivo da Alta Administra çãção com a o com a GestGest ãão de SIC;o de SIC;�� Metodologia e cultura de SeguranMetodologia e cultura de Seguran çça da Informaa da Informa çãção e o e ComunicaComunica çõçõ es para garantir a es para garantir a ““ DICADICA”” ;;�� Construir o marco legal contra ataques cibernConstruir o marco legal contra ataques cibern ééticos;ticos;�� Atualizar as Normas conforme avanAtualizar as Normas conforme avan çço das o das tecnologias;tecnologias;

�� Ao PaAo Pa íís:s:�� Elementos que garantam a SeguranElementos que garantam a Seguran çça e a Defesa de a e a Defesa de seu Espaseu Espa çço Ciberno Cibern ééticotico . .

�� Para:Para:�� Proteger a Sociedade;Proteger a Sociedade;�� Nortear as aNortear as a çõçõ es dos diversos atores que interagem es dos diversos atores que interagem na grande rede.na grande rede.

Desafios



InvasInvas õõeses



PromoPromo çãção de So de S íítios Maliciosos em tios Maliciosos em Mecanismos de BuscasMecanismos de Buscas



EstatEstat íísticas Domsticas Dom íínios nios GovernamentaisGovernamentais



Temas que merecem atenção (Acórdão 2.308/2010 – TCU)

GSI



ÓRGÃOS GOVERNANTES SUPERIORES (OGS) DE TI

(TCU - maio 2011)

10 OGSs:



Gabinete de Seguran ça Institucional

Secretaria deAssuntos Militares

Secretaria deSegurança

Presidencial

Agência Brasileirade Inteligência

Secretaria deAcompanhamento

e EstudosInstitucionais

Secretaria-Executiva

GSIGSIGSIGSI----PRPRPRPR

Departamento deDepartamento deSeguranSeguran çça daa daInformaInforma çãção eo e

ComunicaComunica çõçõeses

Secretaria Executiva do Conselho de Defesa

Nacional

Secretaria Executiva do Secretaria Executiva do Conselho de DefesaConselho de Defesa

NacionalNacional

Câmara de RelaçõesExteriores e deDefesa Nacional

CCââmara de Relamara de Rela çõçõ esesExteriores e deExteriores e deDefesa NacionalDefesa Nacional



Coordena ção da Intelig ência Federal e

atividades de Seguran ça da Informa ção.

DSICDecreto 5772 de 08 de maio de 2006

Decreto 6931 de 11 de agosto de 2009

Decreto 7.411 de 29 de dezembro de 2010

(Lei n º 10.683, de 29 de maio de 2003)

Planejar e Coordenar a execução das atividades de Segurança Cibernética e de Segurança da Informação e

Comunicações na Administração Pública Federal.



Centro de Pesquisas e Desenvolvimento para a

Segurança das Comunicações (CEPESC)

Coordenação-Geral do Sistema de Segurança e

Credenciamento(CGSISC)

Coordenação-Geral de Tratamento de Incidente

de Redes (CGTIR)

Coordenação-Geral de Gestão de SIC

(CGGSIC)

Comitê Gestor de Segurança da

Informação (CGSI)Diretor

ORGANOGRAMA DSIC



Coordenação-Geral de Gestão de SIC

(CGGSIC)

Elaboração de Normas e Capacitação de Servidores, ouvido o Comitê Gestor de Segurança da Informação.

Coordenação-Geral de Tratamento de Incidente de

Redes (CGTIR)

Avaliar Acordos Internacionais de Troca de Informações

Classificadas com vistas ao Sistema de Segurança e

Credenciamento.

Coordenação-Geral do Sistema de Segurança e

Credenciamento(CGSISC)

Centro de Resposta de Incidentes de Redes da

APF.



� SEGURANÇA:� recursos humanos;

� sistemas de informação e comunicações;

� áreas e instalações;

� recursos materiais.

� NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC;� CAPACITAÇÃO SERVIDORES PÚBLICOS;� ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES SIGILOSAS;� TRATAMENTO DE INCIDENTES DE REDES;� ANÁLISE E GESTÃO DE RISCOS;� CONTINUIDADE DE NEGÓCIOS;� CONTROLE DE ACESSO;� CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA;� SEGURANÇA DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO;� ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA;� APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANÇA.

Abrang ência de SIC



��Disciplina a GestDisciplina a Gest ãão de SIC na APF;o de SIC na APF;

GestGestãão SIC:o SIC: integraintegraçãção dos processoo dos processo de Gestde Gestãão de o de Riscos; GestRiscos; Gestãão de Continuidade do Nego de Continuidade do Negóócio; Tratamento de cio; Tratamento de Incidentes; Tratamento da InformaIncidentes; Tratamento da Informaçãção; Conformidade; o; Conformidade; Credenciamento; SeguranCredenciamento; Segurançças Cibernas Cibernéética, Ftica, Fíísica, Lsica, Lóógica, gica, OrgOrgâânica e Organizacional aos processos institucionais nica e Organizacional aos processos institucionais ––estratestratéégicos, operacionais e tgicos, operacionais e tááticos ticos –– , , nnãão se limitando a TICo se limitando a TIC..

��Atribui competAtribui compet êências ao ncias ao CGSI: CGSI:

•• AssessorarAssessorar o GSI o GSI na Gestna Gestããoo de SIC; ede SIC; e

•• Instituir gruposInstituir grupos de de trabalho em temastrabalho em temas de SIC.de SIC.

IN GSI 01, de 13 de junho de 2008IN GSI 01, de 13 de junho de 2008



�� Normas Complementares DSIC/GSIPR:Normas Complementares DSIC/GSIPR:�� NC 01, de 14 de outubro de 2008:NC 01, de 14 de outubro de 2008: estabelece critestabelece crit éérios e rios e

procedimentos para elaboraprocedimentos para elabora çãção, atualizao, atualiza çãção, alterao, altera çãção, o, aprovaaprova çãção e publicao e publica çãção de normas complementares sobre o de normas complementares sobre GestGest ãão de SIC na APF;o de SIC na APF;

�� NC 02, de 15 de outubro de 2008:NC 02, de 15 de outubro de 2008: define a metodologia de define a metodologia de GestGest ãão SIC, o SIC, baseada no processo de melhoria contbaseada no processo de melhoria cont íínua nua (PDCA) da ABNT NBR ISO/IEC 27001:2006(PDCA) da ABNT NBR ISO/IEC 27001:2006 , utilizada pelos , utilizada pelos óórgrg ããos e entidades da APF;os e entidades da APF;

�� NC 03, de 03 de julho de 2009:NC 03, de 03 de julho de 2009: estabelece diretrizes, critestabelece diretrizes, crit éérios e rios e procedimentos para elaboraprocedimentos para elabora çãção, institucionalizao, institucionaliza çãção, o, divulgadivulga çãção e atualizao e atualiza çãção da o da POSICPOSIC, , qque declara o ue declara o comprometimento da alta direcomprometimento da alta dire çãçãoo , na APF;, na APF;

Framework de Gestã o de SIC na APF



• NC 04, de 17 de agosto de 2009: estabelece diretrizes para o processo de Gestão de Riscos de SIC (GRSIC). As diretrizes deverão considerar os objetivos estratégicos, process os, requisitos legais, a estrutura e a POSIC do órgão ;

• NC 05, de 17 de agosto de 2009: disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Red es Computacionais (ETIR) nos órgãos e entidades da APF;

• NC 06, de 11 de novembro de 2010: estabelecer diretrizes para Gestão de Continuidade de Negócios (GCN) relacionados à SIC na APF. A GCN busca minimizar os impactos de falhas, desastres ou indisponibilidades dos serviços, além de recuperar perdas de ativos de informaçã o a um nível aceitável ;





• NC 07, de 07 de maio de 2010: estabelece diretrizes para implementação de Controles de Acesso relacionados à S IC na APF. A identificação, a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes prévias para concessão de acesso ;

• NC 08, de 24 de agosto de 2010: disciplina o Gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pelas ETIRs na APF. O gerenciamento de incidentes em redes requer atenção da alta administraçã o;

• NC 09, de 22 de novembro de 2010: estabelece orientações para o uso de recursos criptográficos como ferramenta de controle de acesso na APF. Os Gestores de SIC são responsáveis pela implementação dos procedimentos de uso dos recursos criptográficos .



Seguran ça da Informa ção e Comunica ções (SIC): ação que objetiva viabilizar e assegurar a Disponibilidade, a Integridade, aConfidencialidade e a Autenticidade (DICA) da Informa ção e das Comunica ções.



• Segurança da Informação;• Segurança da Informação e Comunicações;• Segurança das TICs;• Proteção das Infraestruturas Criticas da

Informação;• Segurança Cibernética;• Defesa Cibernética;• Guerra Cibernética;• Crime Cibernético;• Terrorismo Cibernético;• Segurança do Espaço Informacional.

Do que o mundo estáfalando?



Taxonomia

USA-RUSSIA – Fundamentos de Terminologia Crítica de Seguran ça

Cibern ética (abril 2011)



GGGG

ARTEFATOS

Crimes

LABORATÓRIOSEGURANÇACIBERNÉTICA

DSIC1

DSIC1

CEPESC2

CEPESC2

FFAA2

FFAA2

DPF1

DPF1

Universidades

Empresas privadas

Outros

UUUU

LABORATÓRIODEFESACIBERNÉTICA

ABIN3

ABIN3

FFAA3

FFAA3Organismo BBBB

MALWARES correção



PROPOSTA DE ATUA ÇÃO



2008/09/10

2009

2009

2001/08 - SI

2009

2006/09

2008

2008 - PICI

Proteçãodo espaço

Informacional

Bureau de Tecnologia Profissional

Pacto de Shangai2001

GGE - ONU

CENÁRIO MUNDIAL

?

Ciberespaço sujeito a chuvas e trovoadas



(i) conhecer o grau de vulnerabilidade do país em relação aos sistemas e às suas infraestruturascríticas de informação ;

(ii) conceber um sistema de medidas preventivascontra ataques cibernéticos.

(iii) construir o marco legal contra ataques cibernéticos;

(iv)atualizar Normas da APF x novas tecnologias;(v) estabelecer programas de cooperação entre

governo e sociedade, bem como com governos e a comunidade internacional;

(vi) desenvolver programas de capacitação ;(vii) desenvolver e implementar um modelo de

sistema de medidas de segurança .

DESAFIOS ESTRATÉGICOS –2011/2014



RESUMO

• CAPACITAÇÃO

• MARCO LEGAL

• PARCERIAS



VISÃO DE FUTURO

• Dispor de um órgão de referência em segurança cibernética com recursos humanos de elevada competência técnica e parque tecnológico especializado e atualizado.



WE UPSET PEOPLE!



OBRIGADO !

raphael.mandarino @planalto .gov .br

http://dsic .planalto .gov .brhttp://twitter.com/dsic _br



• Ativos de informação: são os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

• Infraestruturas Críticas: são as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade.

• Infraestruturas Críticas da Informação: é o subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade.

CONCEITOS GSIPR



CONCEITO

• Segurança Cibernética: é a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas.

– Arte 1 [Do lat. arte.]S. f. [Dicionário Aurélio – Século XXI] 1. Capacidade que tem o ser humano de pôr em prática uma idéia, valendo-se da faculdade

de dominar a matéria: A arte de usar o fogo surgiu nos primórdios da civilização. 2. A utilização de tal capacidade, com vistas a um resultado que pode ser obtido por meios

diferentes: a arte da medicina; a arte da caça; a arte militar; a arte de cozinhar; Liceu de Artes e Ofícios.

(...)7. Os preceitos necessários à execução de qualquer arte: a arte da marinharia; a arte de falar

corretamente uma língua.


Infraero – agosto/2011RENASICRENASIC

SLTI / E-PINGSLTI / E-PING

•CRIPTOGRAFIA

• TRATAMENTO DE INCIDENTES

•GESTÃO DE RISCO

•CRIPTOGRAFIA

• TRATAMENTO DE INCIDENTES

•GESTÃO DE RISCO

PROPOSTA DE ATUA ÇÃO



PolPol íítica e Estrattica e Estrat éégia gia Nacional dNacional d e Segurane Seguran çça a

CibernCibern ééticaticaA arte de assegurar a existA arte de assegurar a exist êência e a ncia e a

continuidade da Sociedade da continuidade da Sociedade da InformaInforma çãção de uma nao de uma na çãção garantindo o garantindo e protegendo, no espae protegendo, no espa çço ciberno cibern éético, tico,

seus ativos de informaseus ativos de informa çãção e suas o e suas infraestruturas crinfraestruturas cr ííticas.ticas.

Lançamento do Livro VerdeLanLan ççamento do Livro Verdeamento do Livro Verde

http://dsic.planalto.gov.br/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.pdf



SeguranSeguran çça das a das Infraestruturas CrInfraestruturas Cr ííticas ticas

da Informada Informa çãçãooAAçõçõ es que objetivam a seguranes que objetivam a seguran çça do a do

subconjunto de ativos de subconjunto de ativos de informainforma çãção que afetam diretamente o que afetam diretamente a consecua consecu çãção e a continuidade da o e a continuidade da

missmiss ãão do Estado e a segurano do Estado e a seguran çça da a da sociedade.sociedade.

Lançamento do Guia de Referência

LanLan ççamento do Guia de amento do Guia de ReferRefer êênciancia

http://dsic.planalto.gov.br/documentos/publicacoes/2_Guia_SICI.pdf

Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal

Documents

Transcript of Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal