segurança da informação e comunicações na administração ...§a-da... · servidor público ou...

Segurança da Informação e

Comunicações na Administração Pública Federal

Alcimar Sanches Rangel

OBJETIVO

Identificar a importância de


Comunicações nas rotinas

pessoal e profissional

Gabinete de Segurança Institucional

Secretaria deAssuntos Militares

Secretaria de

SegurançaPresidencial

Agência Brasileirade Inteligência

Secretaria de

Acompanhamento

e EstudosInstitucionais

Secretaria-Executiva

GSI-PRSecretaria Executiva do

Conselho de DefesaNacional

Câmara de Relações

Exteriores e deDefesa Nacional

Coordenação da Inteligência Federal e

atividades de Segurança da Informação.

DSICDecreto 5772 de 08 de maio de 2006

Decreto 6931 de 11 de agosto de 2009

Decreto 7.411 de 29 de dezembro de 2010

(Lei nº 10.683, de 29 de maio de 2003)

Planejar e Coordenar a execução das

atividades de Segurança Cibernética e de

Segurança da Informação e Comunicações

na Administração Pública Federal.

Centro de Pesquisas e Desenvolvimento para a

Segurança das Comunicações (CEPESC)

Coordenação-Geral do

Sistema de Segurança e

Credenciamento

(SISC)

Coordenação-Geral de

Tratamento de Incidente

de Redes (CTIR)

Assessoria

Jurídica


Gestão de SIC

(CGGSIC)

Comitê Gestor de

Segurança da

Informação (CGSI)Diretor

Grupo de Apoio

Técnico (GAT)Gabinete

DEPARTAMENTO DE SEGURANÇA DA

INFORMAÇÃO E COMUNICAÇÕES

(DSIC)

1 2 3


Gestão de SIC

(CGGSIC)

Elaboração de Normas e

Capacitação de Servidores.



de Redes (CGTIR)

Avaliar Acordos Internacionais de

Troca de Informações

Classificadas com vistas ao


Credenciamento.



Credenciamento

(CGSISC)

Operar e manter o Centro de

Tratamento de Incidentes de Segurança

em Redes de Computadores

da APF (CTIR Gov)

1

2

3


Gestão de SIC

(CGGSIC)



Temas que merecem atenção

(Acórdão 1.603/2008 – TCU)

1


Gestão de SIC

(CGGSIC)



Temas que merecem atenção

(Acórdão 1.603/2008 – TCU)

GSI

1


Gestão de SIC

(CGGSIC)



Normas em vigor:• Instrução Normativa IN GSIPR 01 de13/06/2008 – Gestão de

SIC na APF; e

• 9 Normas Complementares NC GSIPR/DSIC

• NC 01, de 14 de outubro de 2008 – Normalização;

• NC 02, de 15 de outubro de 2008 – Metodologia;

• NC 03, de 03 de julho de 2009 – Política de SIC;

• NC 04, de 17 de agosto de 2009 - Gestão de Riscos em SIC;

• NC 05, de 17 de agosto de 2009 – Criação de ETIR;

• NC 06, de 11 de novembro de 2010 – GCN;

• NC 07, de 07 de maio de 2010 - Controle de Acesso;

• NC 08, de 24 de agosto de 2010 – Gestão de Incidentes de Redes;

• NC 09, de 22 de novembro de 2010 – Uso de Recursos Criptográficos.

1


Gestão de SIC

(CGGSIC)



Normas em fase de elaboração:

Tratamento da Informação;

Gestão de Mudanças;

Verificação de Conformidade;

Computação em Nuvem;

Inventário, Monitoramento e controle dos Ativos de Informação;

Mobilidade;

Uso de Redes Sociais na APF;

Aplicações Seguras.

1


Gestão de SIC

(CGGSIC)



Capacitação

31 Seminários;

04 Congressos;

08 Cursos de Fundamentos em Gestão de SIC

03 Cursos de Especialização GSIPR/UnB

• + 40.000 servidores federais treinados.

1

Avaliar Acordos Internacionais de

Troca de Informações

Classificadas com vistas ao


Credenciamento.



Credenciamento

(CGSISC)2

Acordos Internacionais para Troca de Informações Classificadas:

ASSINADOS:

Portugal

Espanha

Rússia

França

Itália

Israel

EM NEGOCIAÇÃO:

USA

Luxemburgo

Rep. Tcheca

Ucrânia

Noruega

Dinamarca

Alemanha

China

Holanda

Austrália

Bulgária

Polônia

Sérvia

São Tomé e Príncipe

Timor Leste



de Redes (CGTIR)

Operar e manter o Centro de

Tratamento de Incidentes de Segurança

em Redes de Computadores

da APF (CTIR Gov)3

Centro de Tratamento de Incidentes de Redes

da APF ( CTIR Gov ):

Ações e indicadores:

Aprox. 5.000.000 de incidentes de rede em 2011;

80% dos ataques têm origem semelhante;

2.100 tentativas de invasão por hora em todas as

redes;

Centenas de notificações por dia para a APF;

200 novos malwares analisados por mês.

Contato com mais de 200 ETIR’s

O que é?


Comunicações (SIC)

Ações que objetivam viabilizar e assegurar a

disponibilidade, a integridade, a

confidencialidade e a autenticidade das

Informações.

D.I.C.A

Disponibilidade: propriedade de que a informação esteja acessível e

utilizável sob demanda por uma pessoa física ou determinado sistema,órgão ou entidade.

Integridade: propriedade de que a informação não foi modificada ou

destruída de maneira não autorizada ou acidental.

D.I.C.A

Confidencialidade: propriedade de que a informação não esteja

disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado.

Correio Braziliense - Sábado, 18 de Março de 2006

D.I.C.A

Autenticidade: propriedade de que a informação foi produzida,

expedida, modificada ou destruída por uma determinada pessoa física,ou por um determinado sistema, órgão ou entidade.

D.I.C.A

http://agsct.ser.ru/5636656588999966

ENGENHARIA SOCIAL

Método de abordagem que usa persuasão, abusa da

ingenuidade ou confiança de uma

pessoa para facilitar acesso a informação.

Ameaças

“Drives USBs são novas ameaças à segurança de empresas

– Golpe de engenharia social usa USB para infectar máquinas e outros dispositivos móveis automaticamente.

– Busca de brechas físicas, se apoiando em USBsdrivers ou tocadores de MP3 para contaminar as empresas.”

Matt Hines, repórter do InfoWorld, São Fransisco EUA

Ameaças

Virus que infectou o sistema de controle das centrífugas de enriquecimento de urânio de usina nuclear iraniana (Jun 2010)

“O vírus mais sofisticado que já existiu” (Olhar Digital – 05/10/10)

“É o primeiro vírus de computador capaz de causar dano no meio físico”;

“Nós definitivamente nunca vimos algo assim antes. O fato dele poder controlar a forma como máquinas físicas trabalham é muito preocupante.” Liam O’Murchu, pesquisador da Symantec Security Response.

Como a usina nuclear iraniana não tinha computadores conectados à Internet,

a infecção ocorreu quando um dispositivo com o vírus (pen-drive), foi conectado aos computadores da usina.

“Um protótipo funcional e temível de uma cyber-arma que dará início a uma nova corrida armamentista no mundo, a ciberguerra” Kaspersky Lab.

Stuxnet

Atacante

Máquina de Ataque

Repositório

de Artefatos

Repositório

de Dados

Provedor

Internet

Dinâmica de um Ataque

Computador Alvo

CTIR Gov

Promoção de Sítios Maliciosos em

Mecanismos de Buscas

Estatísticas Domínios Governamentais

QUEBRA DE SEGURANÇA

Ação ou omissão, intencional ou acidental, que resulta no

comprometimento da segurança da informação e comunicações

CUIDADO

IMPLICAÇÕES LEGAIS

Quebra de segurança

Investigação

Responsabilidade

Civil

Responsabilidade

Administrativa

Responsabilidade

Penal

Servidor público ou agente público

RESPONSABILIDADE CIVIL

“Endereço eletrônico fornecido pelo empregadorse equipara a ferramenta de trabalho e não podeter seu uso desvirtuado pelo empregado.Pertencendo a ferramenta ao empregador, a essecabe o acesso irrestrito, já que o empregado detémapenas sua posse.”

TRT 2, RO nº 01478.2004.067.02.00-6, Rel. JaneGranzoto Torres da Silva, jul. 15/09/2006.

Lei nº 8.112/90, art. 132: Pena de demissão para o servidor

que revelar segredo do qual se apropriou em razão do

cargo ou função pública (informações classificadas).

Lei nº 8.027/90, artigo 5º, inciso I: Pena de demissão para o

servidor que se valer ou permitir dolosamente que terceiros

tirem proveito de informação obtida em função do cargo,

para lograr, proveito pessoal ou de outrem (informações

privilegiadas).

Lei nº 8.429/92, art.11, incisos III, IV e VII: Constitui ato de

improbidade administrativa (punível com demissão ou outras

penalidades disciplinares) revelar fato ou circunstância de que

tem ciência em razão das atribuições e que deva permanecer em

segredo; negar publicidade aos atos oficiais; e revelar ou permitir

que chegue ao conhecimento de terceiro, antes da respectiva

divulgação oficial, teor de medida política ou econômica capaz de

afetar o preço de mercadoria, bem ou serviço.

RESPONSABILIDADE ADMINISTRATIVA

RESPONSABILIDADE ADMINISTRATIVA

Código de Conduta da Alta Administração, art. 14, inciso II: Proibição da autoridade pública de prestar consultoria valendo-se de informações privilegiadas produzidas ou acessadas no exercício de cargo ou função pública.

Decreto nº 1.171/94 (Código deÉtica do Servidor Público), alínea“l” do inciso XV da Seção II :Proibição de retirar da repartiçãodocumento ou qualquer outro bem.

RESPONSABILIDADE PENAL

CP, art. 313A: Pena de 2 a 12 anos e multa por crime deinserção de dados falsos em sistema informatizado ou bancode dados da Administração Pública (inserir ou facilitar ainserção por terceiro), alteração ou exclusão de dadoscorretos com o fim de obter vantagem indevida para si ou paraoutrem ou causar dano (autenticidade, integridade edisponibilidade).

Exemplo: funcionário do Detran apaga multas e autorizalicenciamento de veículos sem pagamento das taxas.

CP, art. 313B: Pena de 3 meses a 2 anos e multa por crime demodificação ou alteração não autorizada de sistemas deinformações ou programa de informática (integridade).

Exemplos: estagiário ou terceirizado de CPD de órgão público,altera o sistema sem a prévia autorização do responsável;funcionário público hacker invade e altera o sistema.

O login com a senha determinam AUTORIA!

Se alguém utilizar sua senha para fazer algo de errado em ambiente eletrônico, como retirar conteúdos da rede ou enviar uma mensagem

ofensiva, o principal suspeito é você!

Slide Patrícia Peck

SENHA

GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

DISPONIBILIDADE, INTEGRIDADE, CONFIDENCIALIDADE e AUTENTICIDADE

PESSOAS, PROCESSOS, TECNOLOGIA e AMBIENTE

Códigos

de Boas

Práticas

Normas

Técnicas

ATIVOS

DE

INFORMAÇÃO

PESSOAS TECNOLOGIA PROCESSOS AMBIENTE

fragilidade de um ativo ou grupo de ativos, que pode ser explorada por uma ou mais

ameaças (ABNT ISO/IEC Guia 73:2005).

Dinâmica do Risco

os meios de armazenamento, transmissão e processamento, os sistemas de

informação, bem como os locais onde se encontram esses meios e as pessoas que a

eles têm acesso.

AMBIENTE

PESSOA

PROCESSOTECNOLOGIA

ATIVOS

DE

INFORMAÇÃO


ATIVOS

DE

INFORMAÇÃO


VULNERABILIDADES

ATIVOS

DE

INFORMAÇÃO


VULNERABILIDADES

AMEAÇAS

potencial associado à exploração de uma

ou mais vulnerabilidades de um ativo de

informação ou de um conjunto de tais

ativos, por parte de uma ou mais

ameaças, com impacto negativo no

negócio da organização

RISCO EM SIC

PERCEPÇÃO DO RISCO

RISCO REAL

ÉTICA

DISCRETA

RESPONSÁVEL

HÁBITO NATURAL


Comunicações...

... uma questão de ATITUDE...

Segurança das

Infraestruturas Críticas

da Informação

Ações que objetivam a segurança do

subconjunto de ativos de

informação que afetam diretamente

a consecução e a continuidade da

missão do Estado e a segurança da

sociedade.

Lançamento do Guia

de Referência

http://dsic.planalto.gov.br/documentos/public

acoes/2_Guia_SICI.pdf

http://dsic.planalto.gov.br/documentos/p

ublicacoes/2_Guia_SICI.pdf

Política e Estratégia

Nacional de Segurança

Cibernética

A arte de assegurar a existência e a

continuidade da Sociedade da

Informação de uma nação garantindo

e protegendo, no espaço cibernético,

seus ativos de informação e suas

infraestruturas críticas.

Lançamento do

Livro Verde

Obrigado!

Alcimar Sanches Rangel

[email protected]

(61) 3411-3153

http://dsic.planalto.gov.br

http://twitter.com/dsic_br

segurança da informação e comunicações na administração ...§a-da... · servidor público ou...

Documents