programa de fortalecimento em segurança da informação nas organizações usuárias a rnp...
TRANSCRIPT
Programa de Fortalecimento em Segurança da Informação nas Organizações Usuárias
A RNP promovendo a cultura de segurança
VII Workshop de TIC das IFES
João Pessoa, PB – 28 de maio de 2013
Liliana Solha
CAIS/RNP
Agenda
1
Motivação
Objetivos
Estratégia de execução
Onde estamos?
Motivação
CAIS – Centro de Atendimento a Incidentes de Segurança
Missão
O CAIS atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar boas práticas de segurança da informação.
Fonte: www.rnp.br/cais
1
Motivação (cont)
Acordão 1.603 / 2008 – TCU Plenário
Deficiências
57% NÃO tinham carreira específica para TI 59% NÃO tinham planejamento estratégico em vigor 64% NÃO tinham política de segurança da informação 75% NÃO faziam análise de riscos de TI 80% NÃO faziam classificação da informação 88% NÃO tinham plano de continuidade de negócios
Fonte: TCU
1
Motivação (cont)
Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008. Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal,
Art. 1º Aprovar orientações para Gestão de Segurança da Informação e
Comunicações que deverão ser implementadas pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
[...]
(Papéis e responsabilidades)
Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, compete: I - coordenar as ações de segurança da informação e comunicações; II - aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança;
III - propor programa orçamentário específico para as ações de segurança da informação e comunicações;
IV - nomear Gestor de Segurança da Informação e Comunicações;
V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais;
VI - instituir Comitê de Segurança da Informação e Comunicações;
VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações;
VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI.
1
Motivação (cont)
Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008. Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal,
Art. 1º Aprovar orientações para Gestão de Segurança da Informação e
Comunicações que deverão ser implementadas pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
[...]
(Papéis e responsabilidades)
Art. 7º Ao Gestor de Segurança da Informação e Comunicações, de que trata o inciso IV do art. 5º, no âmbito de suas atribuições, incumbe: I - promover cultura de segurança da informação e comunicações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III - propor recursos necessários às ações de segurança da informação e comunicações;
IV - coordenar o Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e resposta a incidentes em redes computacionais;
V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;
VI - manter contato direto com o DSIC para o trato de assuntos relativos à segurança da informação e comunicações;
VII - propor normas relativas à segurança da informação e comunicações.
1
Motivação (cont)
Acordão 2.308 / 2010 – TCU Plenário
Acordão 2.585 / 2012 – TCU Plenário
Deficiências
55% NÃO possuem política corporativa de segurança da informação 83% NÃO classificam a informação para o negócio 84% NÃO gerenciam os incidentes de segurança da informação 90% NÃO analisam os riscos aos quais a informação está submetida
Fonte: TCU
1
Motivação (cont)
Acordão 2.308 / 2010 x Acordão 2.585 / 2012
Comparativo
Fonte: TCU1
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Planejamento de Segurança da Informação
1
1%2% 2%
6%
89%
Sua instituição possui um planejamento formal e anual em segurança?
Sim, há mais de 2 anosSim, há 2 anosSim, há 1 anoSim, há menos de 1 anoNão possuo um planejamento formal em segurança
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Sistema de Gestão de Segurança da Informação (SGSI)
1
14%
37%
49%
Estão definidos o escopo, objetivos e os limites para o Sistema de Gestão de Segurança da Informação (SGSI)?
Sim Não Não possuimos um SGSI
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Política de Segurança
1
28%
72%
Sua instituição possui uma Política de Segurança da Informação aprovada pela reitoria e publicada para seus usuários?
Sim Não
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Gestão de riscos
1
Sim14%
Não realiza28%
Não possuimos um processo de gestão
de riscos58%
Sua instituição realiza periodicamente a análise e avaliação de riscos de segurança?
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Inventário e mapeamento de ativos
1
Sim10%
Não46%
Está em de-senvolvimento
31%
Planejamos esta atividade para
201313%
Estão definidas as diretrizes gerais do processo de Inventário e Mapeamento de Ativos de Informação em sua organização?
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Avaliações de conformidade
1
7%
63%
22%
9%
São realizadas periodicamente avaliações de conformidade em segurança da informação?
Sim NãoEstá em desenvolvimento Planejamos esta atividade para 2013
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Equipe de Resposta a Incidentes de Segurança
1
Sim11%
Não89%
Sua instituição possui um grupo de resposta a incidentes de segurança (CSIRT - Computer Security Incident Response Team) em operação?
Motivação (cont)
RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira
Dificuldades principais para implementar SI
1143.9%
53.1%57.1%
42.9%
72.4%
19.4%
Quais os obstáculos enfrentados para a implementação de segurança na sua instituição?
Falta de conscientização/apoio da direção/reitoriaFalta de conscientização dos usuáriosFalta de planejamento em segurançaAusência de orçamentoAusência de pessoal capacitadoAusência de soluções específicas para minha necessidade
1
Motivação
Objetivos
Estratégia de execução
Onde estamos?
Objetivos
Desenvolver ações que:
Estimulem a adoção de normas e boas práticas de mercado; Viabilizem e assegurem a disponibilidade, integridade, confidencialidade e autenticidade das informações. Promovam a cultura de segurança da informação;
visando fortalecer a segurança nas organizações usuárias, reduzindo consequentemente os riscos e vulnerabilidades às que elas estão expostas.
1
Principais benefícios
Fortalecimento da segurança das organizações conectadas à rede Ipê;
Apoio no processo de atendimento a requisitos legais do DSIC/PR;
Atendimento às recomendações apontadas nas fiscalizações de TI nas instituições da APF conduzidas pelo TCU.
Firmar a RNP como agente disseminador da cultura de segurança no pais;
1
Estratégia de execução
Programa fortemente baseado na Instrução Normativa GSI Nº 1 do DSIC/GSI/PR, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal.
18 normas complementares (Metodologia do SGSI, Política de Segurança, Equipe de Resposta a Incidentes de Segurança, Gestão de Riscos, Gestão de Continuidade do Negócio, Gestão da Mudança,, Avaliação de Conformidade, Uso de dispositivos Móveis, Redes Sociais, Computação em Nuvem, etc).
Programa plurianual desenvolvido em fases.1
Estratégia de execução (cont.)
Etapas:- Planejamento- Piloto- Implantação Escopo: Organizações Usuárias (IFES, IFETs, UPs) Parcerias com DSIC/GSI, Sefti (TCU), outros (Andifes, FORTI, UPs) Grupos de trabalho (piloto) x SIGs temáticos (Implantação) Fase piloto:- Modelos diferenciados, templates, cartilha, criação de página no site CAIS, formatação do curso, repositório, lista de discussão, reuniões presenciais/virtuais, modelagem do serviço, etc.
1
Estratégia de execução (cont.)
Resultados das ações medidos através de índices de conformidade.Valores iniciais obtidos da 2ª Pesquisa de Segurança na Rede Acadêmica – RNP (2012) Foco da capacitação: hands-on. Treinamento em parceria com ESR (novo curso!) Treinamentos coincidentes com eventos chave Ampla divulgação (palestras apresentando cases de sucesso) Priorização 2013 (dependência orçamentária):
Política de Segurança (Piloto)Comitê de Segurança (Piloto)Equipe de Resposta a Incidentes de Segurança (ETIR)
1
Onde estamos?
Aguardando liberação de recursos
Na fase de planejamento
Conhecendo as reais necessidades das OUs
O que deu certo? O que não funcionou?
Identificando potenciais OUs participantes do Piloto
Identificando outros stakeholders.
Afirmando o compromisso da RNP em Segurança da
Informação.
1
Obrigada!Liliana Solha <[email protected]>