proteÇÃo de infraestrutura crÍtica da informaÇÃo · seguranÇa pÚblica finanÇas transportes...
TRANSCRIPT
PROTEÇÃO DE INFRAESTRUTURA CRÍTICA DA INFORMAÇÃO
“O SERPRO e sua experiência no tocanteà matéria.”
A sociedade atual depende de um conjunto complexo de sistemassócio-técnicos denominados de Infraestruturas Críticas (IC).
Atualmente os setores que compõem a IC (mais frequentemente citados pelos países) são: Bancos e Finanças, Serviços de Governo, Tecnologia da Informação e Comunicações, Serviços de Emergência, Energia, Saúde, Alimentos, Transporte, e Águas.
Como um subconjunto fundamental da IC destaca-se a Infraestrutura de Informações Críticas (IIC), cujos principais componentes são as informações, telecomunicações, informática / software, internet, satélites, fibra-ótica etc. O termo também é utilizado para o conjunto de computadores e redes interconectados, e os seus fluxos de informações críticas.
INFRAESTRUTURA CRÍTICA CONCEITO GERAL
PCCIP, July 15 1996
SEGURANÇAPÚBLICA FINANÇAS TRANSPORTES ÁGUA
INFRAESTRUTURA CRÍTICA (IC) DO BRASIL
jan/07
ICISAÚDE TELECOM ENERGIA
SERPRO
Clientes:
MF, MT, MEC, MTE, MDIC, MP, AGU, CGU, PR, DPF, INPI, RFB, PGFN, STN, TCU, DENATRAN, …
Sistemas Estruturadores:
SIAPE, SIAFI, SIASG, SIORG, ATIVA, MERCANTE, SISCOMEX, RAIS, COMPRASNET, RECEITANET, ...
Empresa pública vinculada ao MF. Possui 10 regionais, 26 escritórios, 11000 profissionais, 3 centros de dados
– POSIC implantada (Governança da Segurança)
– Comitê de Segurança – Estratégico (Governança da Segurança)
– Coordenação de Gestão da Segurança da Informação
– Grupos Específicos (CSIRT, Aplicações, Continuidade, prospec. etc.)
– Sistemáticas (análise de risco, forense computacional, ...)
– Certificado na ISO 27001
– Mapeamento do PROSEG e de seus subprocessos
– Cultura de Segurança (conscientização, treinamento, educação)
– Alinhamento com orientações do Governo Federal
– Colaboração com Governo Federal
– DEC. 3505, CGSI, ICP-Brasil, CTIR-Gov, NC, Capacitação, Pós Graduação, Troca de experiência (BB, Petrobras, TCU, CEF, Aneel, Infraero, ...), GTs...
SEGURANÇA DA INFORMAÇÃO NO SERPRO
SINCESINCE
SIP
OL
SIP
OL
SIFRASIFRA
SIC
ON
SIC
ON
SIDESSIDES
SIUNISIUNI
COMITÊ ESTRATÉGICOCOMITÊ ESTRATÉGICOOP
ADCLDE
S
DP
DS
CD SI O
P
GS
ST DE A
CAF
…GL
GP
…
SIEST
PADRONIZAR – SISTEMATIZAR - PRIORIZAR
GE
COGSI
Portaria 34 publicada no DOU No. 149/2009 • A IC abrange as instalações, serviços, bens e sistemas que, se forem
interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.
Infraestrutura Crítica do Brasil (IC) Instalações, serviços, bens e sistemas que, se forem interrompidos ou
destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;
Infraestrutura de informações críticas (IIC) Subconjunto de ativos de informação que afetam diretamente a
consecução e a continuidade da missão do Estado e a segurança da sociedade.
Consideram-se ativos de informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
INFRAESTRUTURA CRÍTICA NO BRASIL
A IC abrange as instalações,serviços, bens e sistemas que, seforem interrompidos ou destruídos,provocarão sério impacto social,econômico, político, internacionalou à segurança do Estado e dasociedade
CONCEITO DE IC
PONTO FORTE:Foge do modeloExaustivo (dinâmico)
PONTO FRACO:Hiperdimensiona etalvez olvide “pequenasvariações”
INFRAESTRUTURA CRÍTICA - INTERDEPENDÊNCIA
A IC abrange as instalações,serviços, bens e sistemas que, seforem interrompidos ou destruídos,provocarão sério impacto social,econômico, político, internacionalou à segurança do Estado e dasociedade
CONCEITO DE IC
A DEFINIÇÃO “DINÂMICA”, PORTANTO, É ELEGANTE MAS NÃODEVE PERMITIR QUE DESCUIDEMOS DO INCIDENTE FRACTRAL EDAS CAUSAS QUE APARENTEMENTE MÍNIMAS, PODEM TRAZERGRANDES CONSEQUÊNCIAS (EFEITO BORBOLETA)
Conscientização
Id. Componentes essenciais
Avaliar Vulnerab.
Priorizar
Aumentar cap.adaptativa
Gestão da Continuidade
Gestão da Segurança
Operações de TIC
Gestão de RiscosResiliência
Organizacional(RESORGS)
Resiliência Operacional
(CERT)
FRAMEWORK DE RESILIÊNCIA
ENGENHARIA DE RESILIÊNCIA
GATNER GROUP: PRINCÍPIOS
SERPRO X IBM
Passos:1 – Questionário2 – Avaliação3 – Workshop, propriamente dito4 – Levantamento dos resultados
Próxima etapa: implantação do projetode engenharia de resiliência.
COGSI
SERPRO X IBM
Strategy - Alignment
Strategy - Risk Management
Strategy - Governance
Processes - IT Processes
Processes - Business Processes
Processes - Collaboration
Organization - Structures
Organization - Knowledge
Organization - RolesApplications and Data - Data Security
Applications and Data - Architecture
Applications and Data - Management
Infrastructure - Hardware
Infrastructure - Software
Infrastructure - Network
Sites & Locations - Premises
Sites & Locations - Supply Chain
Sites & Locations - Disasters
Resilience Requirements Resilience Current State
OBRIGADO