DSIC/GSIPR

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA

ADMINISTRAÇÃO PÚBLICA FEDERAL

V Seginfo – Rio de Janeiro

GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA – GSIPR

DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - DSIC

DSIC/GSIPR

Secretaria de Assuntos Militares

Secretaria Nacional Anti-Drogas

Agência Brasileirade Inteligência

Secretaria de Acompanhamento

e EstudosInstitucionais

Secretaria-Executiva

GSI-PR

Departamento deSegurança daInformação e

Comunicações

Secretaria Executiva do

Conselho de DefesaNacional

Presidente doConselho Nacional

Anti-Drogas

Câmara de RelaçõesExteriores e deDefesa Nacional

Gabinete de Segurança Institucional

DSIC/GSIPR

Coordenação da Inteligência Federal e

atividades de Segurança da Informação.

DSICDecreto 5.772 de 08 de maio de 2006

Decreto 6.931 de 11 de agosto de 2009

(Lei nº 10.683, de 29 de maio de 2003)

Planejar e Coordenar a execução das atividades de Segurança da Informação e

Comunicações na Administração Pública Federal.

DSIC/GSIPR

Centro de Pesquisas e Desenvolvimento para a

Segurança das Comunicações (CEPESC)

Coordenação-Geral do Sistema de Segurança e

Credenciamento (CGSISC)

Coordenação-Geral de Tratamento de Incidente

de Redes (CGTIR)

Assessoria Jurídica

Coordenação-Geral de Gestão de SIC

(CGGSIC)

Comitê Gestor de Segurança da

Informação (CGSI)Diretor

Grupo de Apoio Técnico (GAT)Gabinete

DSIC/GSIPR

Tamanho do Problema

- 39 ministérios- ≅≅ 6.000 entidades públicas

− ≅≅ 1.000.000 servidores federais - Executivo

Administração direta 225.412 Empresas Públicas 23.036Autarquias e Fundações 328.217 Soc. Economia Mista 12.068MPU 8.384 Militares 325.683

≅ 320 principais redes do governo federal

≅≅ 12.000 sites domínio .gov.br (+ de 6 milhões páginas)

DSIC/GSIPR

Incidentes em redes na APF – CTIR - 2010

- ≅≅ 4.480.000 de incidentes em 2009 (uma rede)

- ≅≅ 1% dos incidentes são tentativas de invasão

- ≅≅ 2100 tentativas por hora em todas as redes

- ≅≅ 200 malwares analisados por mês

DSIC/GSIPR

60%25%

7%2% 6% ROUBO DE INFO BANCÁRIAS

ROUBO DE INFO PESSOAIS

ROUBO DE INFO DO INFOSEG

BOTNET

OUTROS

Objetivos dos “Malwares”

Fonte: CTIR Gov 2009

Tratamento de Incidentes na APF - CTIR

DSIC/GSIPR

ASSINADOS

Portugal Espanha Rússia (troca de

informações e SIC) França (atualizado)

NEGOCIAÇÃO

Israel * USA Luxemburgo Itália * Rep. Tcheca Ucrânia Noruega Alemanha *

ACORDOS DE COOPERAÇÃO

Credenciamento – SISC

DSIC/GSIPR

SEGURANÇA DOS: recursos humanos; sistemas de informação e comunicação; áreas e instalações; materiais.

NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SICCAPACITAÇÃO SERVIDORES PÚBLICOSACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES

SIGILOSASTRATAMENTO DE INCIDENTES DE REDESANÁLISE E GESTÃO DE RISCOSCONTINUIDADE DE NEGÓCIOSCONTROLE DE ACESSOCRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIAPROTEÇÃO DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃOESTRATÉGIA DE SEGURANÇA CIBERNÉTICAAPURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE

SEGURANÇA

ABRANGÊNCIA DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

DSIC/GSIPR

Normativas de Gestão de SIC-APF

• IN GSI 01, de 13 de junho de 2008 – Gestão SIC APF

• NC 01, de 14 de outubro de 2008 – Normalização

• NC 02, de 15 de outubro de 2008 – Metodologia

• NC 03, de 03 de julho de 2009 – POSIC

• NC 04, de 17 de agosto de 2009 - GRSIC

• NC 05, de 17 de agosto de 2009 – ETIR

• NC 06, de 11 de novembro de 2009 – GCN

• NC 07, de 14 de abril de 2010 – CASIC

• NC 08, de 24 de agosto de 2010 – Gestão de ETIR

• Normas em estudo: Manual do Gestor de SIC (2010); e Uso de

criptografia na APF (2010).

DSIC/GSIPR

Cultura e Capacitação

ATIVIDADE METODOLOGIA ALVOREALIZADO

(até 25/04/2010)

SensibilizaçãoPalestras e Congressos

1.000.000 25.517

ConscientizaçãoSeminários e Colóquios

100.000 4.606

CapacitaçãoOficinas eCursos de Fundamentos

10.000595150*

EspecializaçãoCursos pós-graduação

1.00080193**

• * Realizando o II CFGSIC a distância

• ** Realizando desde 05MAI2010 o CEGSIC semi presencial

DSIC/GSIPR

São dois os princípios básicos que devem ser observados para se garantir a Segurança da Informação e Comunicações bem como das

infraestruturas críticas do País no Ciberespaço

(I) reduzir as vulnerabilidades do país impedindo ou dificultando ataques cibernéticos; e,

(II) em caso de ataque, garantir uma rápida recuperação e funcionamento dos sistemas de informação e infraestruturas críticas atacadas

(recursos humanos, legislação, tecnologia, políticas etc.)

Princípios

DSIC/GSIPR

Estratégia de Segurança Cibernética

A arte de assegurar a existência e a continuidade da Sociedade da

Informação de uma nação garantindo e protegendo, no espaço cibernético,

seus ativos de informação e suas infraestruturas críticas.

Proposta

DSIC/GSIPR

Decreto nº 4.801/03

Fica criada a Câmara de Relações Exteriores e Defesa Nacional, do Conselho de Governo, com a finalidade de

formular políticas públicas e diretrizes de matérias relacionadas com a área das relações exteriores e defesa

nacional do Governo Federal, aprovar, promover a articulação e acompanhar a implementação dos

programas e ações estabelecidos, no âmbito de ações cujo escopo ultrapasse a competência de um único

Ministério, inclusive aquelas pertinentes a:

...

XI - segurança cibernética. (Incluído pelo Decreto nº 7.009, de 2009)

Proposta

DSIC/GSIPR

• Ativos de informação: são os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

• Infraestruturas Críticas: são as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade;

• Infraestruturas Críticas da Informação: é o subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade.

Conceitos – DSIC/GSIPR

DSIC/GSIPR

CONSCIENTIZAÇÃO

Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade (acessível e utilizável), a integridade (sem modificação ou destruição não autorizada ou acidental) , a confidencialidade (disponível somente para autorizados)e a autenticidade (produzida, expedida, modificada ou destruída por determinada pessoa física, ou sistema, órgão ou entidade) das informações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)

Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)

Mudança de Comportamento

DSIC/GSIPR

Mudança de Comportamento

VOCÊ SABE O QUE É ISSO?

DSIC/GSIPR

Mudança de Comportamento

E AGORA VOCÊ SABE?

DSIC/GSIPR

Mudança de Comportamento

Lei nº 11.829/08 – altera o ECA

Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito

ou pornográfica envolvendo criança ou adolescente:

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.

§ 2o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas

descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita por:

I – agente público no exercício de suas funções;

§ 3o As pessoas referidas no § 2o deste artigo deverão manter sob sigilo o material ilícito referido.

DSIC/GSIPR

Mudança de Comportamento

Mais exemplos para reflexão:

1) Seu notebook foi identificado quando adentrou órgão público?

Por que?........

E o seu smartphone?

2) Quando você se ausenta de sua estação de trabalho, ela permanece logada?....

DSIC/GSIPR

Mudança de Comportamento

QUEBRA DE SEGURANÇA QUE COMPROMETA A DICA IMPLICA EM RESPONSABILIDADE:

• ADMINISTRATIVA• CIVIL

• PENAL

DSIC/GSIPR

• Falta de cultura padronizada em Segurança da Informação e Comunicações;

• Falta de coordenação de ações conjuntas, de estabelecimento e exigência de padrões e normas nacionais;

• Falta de legislação adequada;

• Indefinição das Fronteiras (Redes de Comunicações Transnacionais);

•Necessidade emergente de repensar e rever o conceito de Segurança das infraestruturas críticas – em especial da segurança cibernética; e

• Continuidade das ações de governo.

Desafios para 2011

DSIC/GSIPR

Lema:

DSIC/GSIPR

OBRIGADO !

gerson.charbel@planalto.gov.br

(61) 3411-1321

http://dsic.planalto.gov.br

www.twitter.com/dsic_br