Upload
workshop-blog-seginfo
View
1.203
Download
1
Embed Size (px)
DESCRIPTION
Raphael Mandarino em "Oportunidades e Desafios na Administração Pública Federal"
Citation preview
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Gabinete de Segurança Institucional da Presidência da República – GSIPR
“Segurança Cibernética –Oportunidades e desafios
na APF”
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Sumário
• Cenários e Tendências;• O Problema;• Quem somos e o que fizemos;• Do que nós estamos falando;• Modelos Brasileiros;• Desafios para os próximos anos;• Visão de futuro.
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
• Os ataques cibernéticos apresentam escala mundial crescente e se caracterizam como um dos grandes desafios do século ;
• A Segurança e a Defesa Cibernética vêm se caracterizando cada vez mais como funções estratégicas de governo em economias desenvolvidas, ou não, para:
– proteção das infraestruturas críticas;– segurança da informação e comunicações;– cooperação internacional; – construção de marcos legais;– capacitação de recursos humanos.
CENÁRIOS E TENDÊNCIAS
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Por qu ê?- evolução e convergência das TICs;
-redução dos custos de hardwares e softwares;
- aumento da disponibilidade de sistemas e redes;
- universalização do acesso à Internet.
Consequ ências:- surgimento do Espaço Cibernético;
- hábitos e costumes em constante e rápidas mudanças;
- aumento das ameaças e vulnerabilidades .
Obrigando:- a criação de uma cultura de SIC;
CENÁRIOS E TENDÊNCIAS
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
• A informação:– é crucial para APF
– é acessada por pessoas diversas– mas está exposta a riscos
– pode ser afetada (DICA):• Disponibilidade• Integridade• Confidencialidade• Autenticidade
O problema
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
• Aprimorar a metodologia e a cultura de Seguran ça da Informação e Comunicaçõ es para garantir a “DICA ”;
• Construir elementos que garantam a Seguran ça e a Defesa de seu Espaço Cibern ético.
Com o objetivo de:• proteger a Sociedade;• nortear as açõ es dos diversos atores que
interagem na grande rede.
O problema
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
� 37 ministérios;
� ≅≅≅≅≅≅≅≅ 6.000 entidades governamentais;
� ≅≅≅≅≅≅≅≅ 1.050.000 servidores federais;
� ≅≅≅≅≅≅≅≅ 320 grandes redes do Governo Federal;
� repercussão na sociedade.
Tamanho do Problema
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
�� ÀÀ APF:APF:�� Envolvimento efetivo da Alta AdministraEnvolvimento efetivo da Alta Administra çãção com a o com a GestGest ãão de SIC;o de SIC;�� Metodologia e cultura de SeguranMetodologia e cultura de Seguran çça da Informaa da Informa çãção e o e ComunicaComunica çõçõ es para garantir a es para garantir a ““ DICADICA”” ;;�� Construir o marco legal contra ataques cibernConstruir o marco legal contra ataques cibern ééticos;ticos;�� Atualizar as Normas conforme avanAtualizar as Normas conforme avan çço das o das tecnologias;tecnologias;
�� Ao PaAo Pa íís:s:�� Elementos que garantam a SeguranElementos que garantam a Seguran çça e a Defesa de a e a Defesa de seu Espaseu Espa çço Ciberno Cibern ééticotico . .
�� Para:Para:�� Proteger a Sociedade;Proteger a Sociedade;�� Nortear as aNortear as a çõçõ es dos diversos atores que interagem es dos diversos atores que interagem na grande rede.na grande rede.
Desafios
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
InvasInvas õõeses
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
InvasInvas õõeses
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
PromoPromo çãção de So de S íítios Maliciosos em tios Maliciosos em Mecanismos de BuscasMecanismos de Buscas
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
PromoPromo çãção de So de S íítios Maliciosos em tios Maliciosos em Mecanismos de BuscasMecanismos de Buscas
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
EstatEstat íísticas Domsticas Dom íínios nios GovernamentaisGovernamentais
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Temas que merecem atenção (Acórdão 2.308/2010 – TCU)
GSI
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
ÓRGÃOS GOVERNANTES SUPERIORES (OGS) DE TI
(TCU - maio 2011)
10 OGSs:
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Gabinete de Seguran ça Institucional
Secretaria deAssuntos Militares
Secretaria deSegurança
Presidencial
Agência Brasileirade Inteligência
Secretaria deAcompanhamento
e EstudosInstitucionais
Secretaria-Executiva
GSIGSIGSIGSI----PRPRPRPR
Departamento deDepartamento deSeguranSeguran çça daa daInformaInforma çãção eo e
ComunicaComunica çõçõeses
Secretaria Executiva do Conselho de Defesa
Nacional
Secretaria Executiva do Secretaria Executiva do Conselho de DefesaConselho de Defesa
NacionalNacional
Câmara de RelaçõesExteriores e deDefesa Nacional
CCââmara de Relamara de Rela çõçõ esesExteriores e deExteriores e deDefesa NacionalDefesa Nacional
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Coordena ção da Intelig ência Federal e
atividades de Seguran ça da Informa ção.
DSICDecreto 5772 de 08 de maio de 2006
Decreto 6931 de 11 de agosto de 2009
Decreto 7.411 de 29 de dezembro de 2010
(Lei n º 10.683, de 29 de maio de 2003)
Planejar e Coordenar a execução das atividades de Segurança Cibernética e de Segurança da Informação e
Comunicações na Administração Pública Federal.
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Centro de Pesquisas e Desenvolvimento para a
Segurança das Comunicações (CEPESC)
Coordenação-Geral do Sistema de Segurança e
Credenciamento(CGSISC)
Coordenação-Geral de Tratamento de Incidente
de Redes (CGTIR)
Coordenação-Geral de Gestão de SIC
(CGGSIC)
Comitê Gestor de Segurança da
Informação (CGSI)Diretor
ORGANOGRAMA DSIC
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Coordenação-Geral de Gestão de SIC
(CGGSIC)
Elaboração de Normas e Capacitação de Servidores, ouvido o Comitê Gestor de Segurança da Informação.
Coordenação-Geral de Tratamento de Incidente de
Redes (CGTIR)
Avaliar Acordos Internacionais de Troca de Informações
Classificadas com vistas ao Sistema de Segurança e
Credenciamento.
Coordenação-Geral do Sistema de Segurança e
Credenciamento(CGSISC)
Centro de Resposta de Incidentes de Redes da
APF.
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
� SEGURANÇA:� recursos humanos;
� sistemas de informação e comunicações;
� áreas e instalações;
� recursos materiais.
� NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC;� CAPACITAÇÃO SERVIDORES PÚBLICOS;� ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES SIGILOSAS;� TRATAMENTO DE INCIDENTES DE REDES;� ANÁLISE E GESTÃO DE RISCOS;� CONTINUIDADE DE NEGÓCIOS;� CONTROLE DE ACESSO;� CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA;� SEGURANÇA DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO;� ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA;� APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANÇA.
Abrang ência de SIC
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
��Disciplina a GestDisciplina a Gest ãão de SIC na APF;o de SIC na APF;
GestGestãão SIC:o SIC: integraintegraçãção dos processoo dos processo de Gestde Gestãão de o de Riscos; GestRiscos; Gestãão de Continuidade do Nego de Continuidade do Negóócio; Tratamento de cio; Tratamento de Incidentes; Tratamento da InformaIncidentes; Tratamento da Informaçãção; Conformidade; o; Conformidade; Credenciamento; SeguranCredenciamento; Segurançças Cibernas Cibernéética, Ftica, Fíísica, Lsica, Lóógica, gica, OrgOrgâânica e Organizacional aos processos institucionais nica e Organizacional aos processos institucionais ––estratestratéégicos, operacionais e tgicos, operacionais e tááticos ticos –– , , nnãão se limitando a TICo se limitando a TIC..
��Atribui competAtribui compet êências ao ncias ao CGSI: CGSI:
•• AssessorarAssessorar o GSI o GSI na Gestna Gestããoo de SIC; ede SIC; e
•• Instituir gruposInstituir grupos de de trabalho em temastrabalho em temas de SIC.de SIC.
IN GSI 01, de 13 de junho de 2008IN GSI 01, de 13 de junho de 2008
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
�� Normas Complementares DSIC/GSIPR:Normas Complementares DSIC/GSIPR:�� NC 01, de 14 de outubro de 2008:NC 01, de 14 de outubro de 2008: estabelece critestabelece crit éérios e rios e
procedimentos para elaboraprocedimentos para elabora çãção, atualizao, atualiza çãção, alterao, altera çãção, o, aprovaaprova çãção e publicao e publica çãção de normas complementares sobre o de normas complementares sobre GestGest ãão de SIC na APF;o de SIC na APF;
�� NC 02, de 15 de outubro de 2008:NC 02, de 15 de outubro de 2008: define a metodologia de define a metodologia de GestGest ãão SIC, o SIC, baseada no processo de melhoria contbaseada no processo de melhoria cont íínua nua (PDCA) da ABNT NBR ISO/IEC 27001:2006(PDCA) da ABNT NBR ISO/IEC 27001:2006 , utilizada pelos , utilizada pelos óórgrg ããos e entidades da APF;os e entidades da APF;
�� NC 03, de 03 de julho de 2009:NC 03, de 03 de julho de 2009: estabelece diretrizes, critestabelece diretrizes, crit éérios e rios e procedimentos para elaboraprocedimentos para elabora çãção, institucionalizao, institucionaliza çãção, o, divulgadivulga çãção e atualizao e atualiza çãção da o da POSICPOSIC, , qque declara o ue declara o comprometimento da alta direcomprometimento da alta dire çãçãoo , na APF;, na APF;
Framework de Gestã o de SIC na APF
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
• NC 04, de 17 de agosto de 2009: estabelece diretrizes para o processo de Gestão de Riscos de SIC (GRSIC). As diretrizes deverão considerar os objetivos estratégicos, process os, requisitos legais, a estrutura e a POSIC do órgão ;
• NC 05, de 17 de agosto de 2009: disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Red es Computacionais (ETIR) nos órgãos e entidades da APF;
• NC 06, de 11 de novembro de 2010: estabelecer diretrizes para Gestão de Continuidade de Negócios (GCN) relacionados à SIC na APF. A GCN busca minimizar os impactos de falhas, desastres ou indisponibilidades dos serviços, além de recuperar perdas de ativos de informaçã o a um nível aceitável ;
Framework de Gestã o de SIC na APF
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Framework de Gestã o de SIC na APF
• NC 07, de 07 de maio de 2010: estabelece diretrizes para implementação de Controles de Acesso relacionados à S IC na APF. A identificação, a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes prévias para concessão de acesso ;
• NC 08, de 24 de agosto de 2010: disciplina o Gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pelas ETIRs na APF. O gerenciamento de incidentes em redes requer atenção da alta administraçã o;
• NC 09, de 22 de novembro de 2010: estabelece orientações para o uso de recursos criptográficos como ferramenta de controle de acesso na APF. Os Gestores de SIC são responsáveis pela implementação dos procedimentos de uso dos recursos criptográficos .
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Seguran ça da Informa ção e Comunica ções (SIC): ação que objetiva viabilizar e assegurar a Disponibilidade, a Integridade, aConfidencialidade e a Autenticidade (DICA) da Informa ção e das Comunica ções.
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
• Segurança da Informação;• Segurança da Informação e Comunicações;• Segurança das TICs;• Proteção das Infraestruturas Criticas da
Informação;• Segurança Cibernética;• Defesa Cibernética;• Guerra Cibernética;• Crime Cibernético;• Terrorismo Cibernético;• Segurança do Espaço Informacional.
Do que o mundo estáfalando?
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
Taxonomia
USA-RUSSIA – Fundamentos de Terminologia Crítica de Seguran ça
Cibern ética (abril 2011)
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
GGGG
ARTEFATOS
Crimes
LABORATÓRIOSEGURANÇACIBERNÉTICA
DSIC1
DSIC1
CEPESC2
CEPESC2
FFAA2
FFAA2
DPF1
DPF1
Universidades
Empresas privadas
Outros
UUUU
LABORATÓRIODEFESACIBERNÉTICA
ABIN3
ABIN3
FFAA3
FFAA3Organismo BBBB
MALWARES correção
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
PROPOSTA DE ATUA ÇÃO
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
2008/09/10
2009
2009
2001/08 - SI
2009
2006/09
2008
2008 - PICI
Proteçãodo espaço
Informacional
Bureau de Tecnologia Profissional
Pacto de Shangai2001
GGE - ONU
CENÁRIO MUNDIAL
?
Ciberespaço sujeito a chuvas e trovoadas
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
(i) conhecer o grau de vulnerabilidade do país em relação aos sistemas e às suas infraestruturascríticas de informação ;
(ii) conceber um sistema de medidas preventivascontra ataques cibernéticos.
(iii) construir o marco legal contra ataques cibernéticos;
(iv)atualizar Normas da APF x novas tecnologias;(v) estabelecer programas de cooperação entre
governo e sociedade, bem como com governos e a comunidade internacional;
(vi) desenvolver programas de capacitação ;(vii) desenvolver e implementar um modelo de
sistema de medidas de segurança .
DESAFIOS ESTRATÉGICOS –2011/2014
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
RESUMO
• CAPACITAÇÃO
• MARCO LEGAL
• PARCERIAS
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
VISÃO DE FUTURO
• Dispor de um órgão de referência em segurança cibernética com recursos humanos de elevada competência técnica e parque tecnológico especializado e atualizado.
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
WE UPSET PEOPLE!
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
OBRIGADO !
raphael.mandarino @planalto .gov .br
http://dsic .planalto .gov .brhttp://twitter.com/dsic _br
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
• Ativos de informação: são os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
• Infraestruturas Críticas: são as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade.
• Infraestruturas Críticas da Informação: é o subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade.
CONCEITOS GSIPR
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
CONCEITO
• Segurança Cibernética: é a arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas.
– Arte 1 [Do lat. arte.]S. f. [Dicionário Aurélio – Século XXI] 1. Capacidade que tem o ser humano de pôr em prática uma idéia, valendo-se da faculdade
de dominar a matéria: A arte de usar o fogo surgiu nos primórdios da civilização. 2. A utilização de tal capacidade, com vistas a um resultado que pode ser obtido por meios
diferentes: a arte da medicina; a arte da caça; a arte militar; a arte de cozinhar; Liceu de Artes e Ofícios.
(...)7. Os preceitos necessários à execução de qualquer arte: a arte da marinharia; a arte de falar
corretamente uma língua.
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011RENASICRENASIC
SLTI / E-PINGSLTI / E-PING
•CRIPTOGRAFIA
• TRATAMENTO DE INCIDENTES
•GESTÃO DE RISCO
•CRIPTOGRAFIA
• TRATAMENTO DE INCIDENTES
•GESTÃO DE RISCO
PROPOSTA DE ATUA ÇÃO
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
PolPol íítica e Estrattica e Estrat éégia gia Nacional dNacional d e Segurane Seguran çça a
CibernCibern ééticaticaA arte de assegurar a existA arte de assegurar a exist êência e a ncia e a
continuidade da Sociedade da continuidade da Sociedade da InformaInforma çãção de uma nao de uma na çãção garantindo o garantindo e protegendo, no espae protegendo, no espa çço ciberno cibern éético, tico,
seus ativos de informaseus ativos de informa çãção e suas o e suas infraestruturas crinfraestruturas cr ííticas.ticas.
Lançamento do Livro VerdeLanLan ççamento do Livro Verdeamento do Livro Verde
http://dsic.planalto.gov.br/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.pdf
PRESIDÊNCIA DA REPÚBLICAGABINETE DE SEGURANÇA INSTITUCIONAL
Infraero – agosto/2011
SeguranSeguran çça das a das Infraestruturas CrInfraestruturas Cr ííticas ticas
da Informada Informa çãçãooAAçõçõ es que objetivam a seguranes que objetivam a seguran çça do a do
subconjunto de ativos de subconjunto de ativos de informainforma çãção que afetam diretamente o que afetam diretamente a consecua consecu çãção e a continuidade da o e a continuidade da
missmiss ãão do Estado e a segurano do Estado e a seguran çça da a da sociedade.sociedade.
Lançamento do Guia de Referência
LanLan ççamento do Guia de amento do Guia de ReferRefer êênciancia
http://dsic.planalto.gov.br/documentos/publicacoes/2_Guia_SICI.pdf