segurança da informação e comunicações na administração ...§a-da... · servidor público ou...
TRANSCRIPT
OBJETIVO
Identificar a importância de
Segurança da Informação e
Comunicações nas rotinas
pessoal e profissional
Gabinete de Segurança Institucional
Secretaria deAssuntos Militares
Secretaria de
SegurançaPresidencial
Agência Brasileirade Inteligência
Secretaria de
Acompanhamento
e EstudosInstitucionais
Secretaria-Executiva
GSI-PRSecretaria Executiva do
Conselho de DefesaNacional
Câmara de Relações
Exteriores e deDefesa Nacional
Coordenação da Inteligência Federal e
atividades de Segurança da Informação.
DSICDecreto 5772 de 08 de maio de 2006
Decreto 6931 de 11 de agosto de 2009
Decreto 7.411 de 29 de dezembro de 2010
(Lei nº 10.683, de 29 de maio de 2003)
Planejar e Coordenar a execução das
atividades de Segurança Cibernética e de
Segurança da Informação e Comunicações
na Administração Pública Federal.
Centro de Pesquisas e Desenvolvimento para a
Segurança das Comunicações (CEPESC)
Coordenação-Geral do
Sistema de Segurança e
Credenciamento
(SISC)
Coordenação-Geral de
Tratamento de Incidente
de Redes (CTIR)
Assessoria
Jurídica
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Comitê Gestor de
Segurança da
Informação (CGSI)Diretor
Grupo de Apoio
Técnico (GAT)Gabinete
DEPARTAMENTO DE SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES
(DSIC)
1 2 3
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Elaboração de Normas e
Capacitação de Servidores.
Coordenação-Geral de
Tratamento de Incidente
de Redes (CGTIR)
Avaliar Acordos Internacionais de
Troca de Informações
Classificadas com vistas ao
Sistema de Segurança e
Credenciamento.
Coordenação-Geral do
Sistema de Segurança e
Credenciamento
(CGSISC)
Operar e manter o Centro de
Tratamento de Incidentes de Segurança
em Redes de Computadores
da APF (CTIR Gov)
1
2
3
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Elaboração de Normas e
Capacitação de Servidores.
Temas que merecem atenção
(Acórdão 1.603/2008 – TCU)
1
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Elaboração de Normas e
Capacitação de Servidores.
Temas que merecem atenção
(Acórdão 1.603/2008 – TCU)
GSI
1
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Elaboração de Normas e
Capacitação de Servidores.
Normas em vigor:• Instrução Normativa IN GSIPR 01 de13/06/2008 – Gestão de
SIC na APF; e
• 9 Normas Complementares NC GSIPR/DSIC
• NC 01, de 14 de outubro de 2008 – Normalização;
• NC 02, de 15 de outubro de 2008 – Metodologia;
• NC 03, de 03 de julho de 2009 – Política de SIC;
• NC 04, de 17 de agosto de 2009 - Gestão de Riscos em SIC;
• NC 05, de 17 de agosto de 2009 – Criação de ETIR;
• NC 06, de 11 de novembro de 2010 – GCN;
• NC 07, de 07 de maio de 2010 - Controle de Acesso;
• NC 08, de 24 de agosto de 2010 – Gestão de Incidentes de Redes;
• NC 09, de 22 de novembro de 2010 – Uso de Recursos Criptográficos.
1
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Elaboração de Normas e
Capacitação de Servidores.
Normas em fase de elaboração:
Tratamento da Informação;
Gestão de Mudanças;
Verificação de Conformidade;
Computação em Nuvem;
Inventário, Monitoramento e controle dos Ativos de Informação;
Mobilidade;
Uso de Redes Sociais na APF;
Aplicações Seguras.
1
Coordenação-Geral de
Gestão de SIC
(CGGSIC)
Elaboração de Normas e
Capacitação de Servidores.
Capacitação
31 Seminários;
04 Congressos;
08 Cursos de Fundamentos em Gestão de SIC
03 Cursos de Especialização GSIPR/UnB
• + 40.000 servidores federais treinados.
1
Avaliar Acordos Internacionais de
Troca de Informações
Classificadas com vistas ao
Sistema de Segurança e
Credenciamento.
Coordenação-Geral do
Sistema de Segurança e
Credenciamento
(CGSISC)2
Acordos Internacionais para Troca de Informações Classificadas:
ASSINADOS:
Portugal
Espanha
Rússia
França
Itália
Israel
EM NEGOCIAÇÃO:
USA
Luxemburgo
Rep. Tcheca
Ucrânia
Noruega
Dinamarca
Alemanha
China
Holanda
Austrália
Bulgária
Polônia
Sérvia
São Tomé e Príncipe
Timor Leste
Coordenação-Geral de
Tratamento de Incidente
de Redes (CGTIR)
Operar e manter o Centro de
Tratamento de Incidentes de Segurança
em Redes de Computadores
da APF (CTIR Gov)3
Centro de Tratamento de Incidentes de Redes
da APF ( CTIR Gov ):
Ações e indicadores:
Aprox. 5.000.000 de incidentes de rede em 2011;
80% dos ataques têm origem semelhante;
2.100 tentativas de invasão por hora em todas as
redes;
Centenas de notificações por dia para a APF;
200 novos malwares analisados por mês.
Contato com mais de 200 ETIR’s
O que é?
Segurança da Informação e
Comunicações (SIC)
Ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a
confidencialidade e a autenticidade das
Informações.
D.I.C.A
Disponibilidade: propriedade de que a informação esteja acessível e
utilizável sob demanda por uma pessoa física ou determinado sistema,órgão ou entidade.
Integridade: propriedade de que a informação não foi modificada ou
destruída de maneira não autorizada ou acidental.
D.I.C.A
Confidencialidade: propriedade de que a informação não esteja
disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado.
Correio Braziliense - Sábado, 18 de Março de 2006
D.I.C.A
Autenticidade: propriedade de que a informação foi produzida,
expedida, modificada ou destruída por uma determinada pessoa física,ou por um determinado sistema, órgão ou entidade.
D.I.C.A
http://agsct.ser.ru/5636656588999966
ENGENHARIA SOCIAL
Método de abordagem que usa persuasão, abusa da
ingenuidade ou confiança de uma
pessoa para facilitar acesso a informação.
“Drives USBs são novas ameaças à segurança de empresas
– Golpe de engenharia social usa USB para infectar máquinas e outros dispositivos móveis automaticamente.
– Busca de brechas físicas, se apoiando em USBsdrivers ou tocadores de MP3 para contaminar as empresas.”
Matt Hines, repórter do InfoWorld, São Fransisco EUA
Ameaças
Virus que infectou o sistema de controle das centrífugas de enriquecimento de urânio de usina nuclear iraniana (Jun 2010)
“O vírus mais sofisticado que já existiu” (Olhar Digital – 05/10/10)
“É o primeiro vírus de computador capaz de causar dano no meio físico”;
“Nós definitivamente nunca vimos algo assim antes. O fato dele poder controlar a forma como máquinas físicas trabalham é muito preocupante.” Liam O’Murchu, pesquisador da Symantec Security Response.
Como a usina nuclear iraniana não tinha computadores conectados à Internet,
a infecção ocorreu quando um dispositivo com o vírus (pen-drive), foi conectado aos computadores da usina.
“Um protótipo funcional e temível de uma cyber-arma que dará início a uma nova corrida armamentista no mundo, a ciberguerra” Kaspersky Lab.
Stuxnet
Atacante
Máquina de Ataque
Repositório
de Artefatos
Repositório
de Dados
Provedor
Internet
Dinâmica de um Ataque
Computador Alvo
CTIR Gov
QUEBRA DE SEGURANÇA
Ação ou omissão, intencional ou acidental, que resulta no
comprometimento da segurança da informação e comunicações
IMPLICAÇÕES LEGAIS
Quebra de segurança
Investigação
Responsabilidade
Civil
Responsabilidade
Administrativa
Responsabilidade
Penal
Servidor público ou agente público
RESPONSABILIDADE CIVIL
“Endereço eletrônico fornecido pelo empregadorse equipara a ferramenta de trabalho e não podeter seu uso desvirtuado pelo empregado.Pertencendo a ferramenta ao empregador, a essecabe o acesso irrestrito, já que o empregado detémapenas sua posse.”
TRT 2, RO nº 01478.2004.067.02.00-6, Rel. JaneGranzoto Torres da Silva, jul. 15/09/2006.
Lei nº 8.112/90, art. 132: Pena de demissão para o servidor
que revelar segredo do qual se apropriou em razão do
cargo ou função pública (informações classificadas).
Lei nº 8.027/90, artigo 5º, inciso I: Pena de demissão para o
servidor que se valer ou permitir dolosamente que terceiros
tirem proveito de informação obtida em função do cargo,
para lograr, proveito pessoal ou de outrem (informações
privilegiadas).
Lei nº 8.429/92, art.11, incisos III, IV e VII: Constitui ato de
improbidade administrativa (punível com demissão ou outras
penalidades disciplinares) revelar fato ou circunstância de que
tem ciência em razão das atribuições e que deva permanecer em
segredo; negar publicidade aos atos oficiais; e revelar ou permitir
que chegue ao conhecimento de terceiro, antes da respectiva
divulgação oficial, teor de medida política ou econômica capaz de
afetar o preço de mercadoria, bem ou serviço.
RESPONSABILIDADE ADMINISTRATIVA
RESPONSABILIDADE ADMINISTRATIVA
Código de Conduta da Alta Administração, art. 14, inciso II: Proibição da autoridade pública de prestar consultoria valendo-se de informações privilegiadas produzidas ou acessadas no exercício de cargo ou função pública.
Decreto nº 1.171/94 (Código deÉtica do Servidor Público), alínea“l” do inciso XV da Seção II :Proibição de retirar da repartiçãodocumento ou qualquer outro bem.
RESPONSABILIDADE PENAL
CP, art. 313A: Pena de 2 a 12 anos e multa por crime deinserção de dados falsos em sistema informatizado ou bancode dados da Administração Pública (inserir ou facilitar ainserção por terceiro), alteração ou exclusão de dadoscorretos com o fim de obter vantagem indevida para si ou paraoutrem ou causar dano (autenticidade, integridade edisponibilidade).
Exemplo: funcionário do Detran apaga multas e autorizalicenciamento de veículos sem pagamento das taxas.
CP, art. 313B: Pena de 3 meses a 2 anos e multa por crime demodificação ou alteração não autorizada de sistemas deinformações ou programa de informática (integridade).
Exemplos: estagiário ou terceirizado de CPD de órgão público,altera o sistema sem a prévia autorização do responsável;funcionário público hacker invade e altera o sistema.
O login com a senha determinam AUTORIA!
Se alguém utilizar sua senha para fazer algo de errado em ambiente eletrônico, como retirar conteúdos da rede ou enviar uma mensagem
ofensiva, o principal suspeito é você!
Slide Patrícia Peck
SENHA
GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
DISPONIBILIDADE, INTEGRIDADE, CONFIDENCIALIDADE e AUTENTICIDADE
PESSOAS, PROCESSOS, TECNOLOGIA e AMBIENTE
Códigos
de Boas
Práticas
Normas
Técnicas
ATIVOS
DE
INFORMAÇÃO
PESSOAS TECNOLOGIA PROCESSOS AMBIENTE
fragilidade de um ativo ou grupo de ativos, que pode ser explorada por uma ou mais
ameaças (ABNT ISO/IEC Guia 73:2005).
Dinâmica do Risco
os meios de armazenamento, transmissão e processamento, os sistemas de
informação, bem como os locais onde se encontram esses meios e as pessoas que a
eles têm acesso.
potencial associado à exploração de uma
ou mais vulnerabilidades de um ativo de
informação ou de um conjunto de tais
ativos, por parte de uma ou mais
ameaças, com impacto negativo no
negócio da organização
RISCO EM SIC
ÉTICA
DISCRETA
RESPONSÁVEL
HÁBITO NATURAL
Segurança da Informação e
Comunicações...
... uma questão de ATITUDE...
Segurança das
Infraestruturas Críticas
da Informação
Ações que objetivam a segurança do
subconjunto de ativos de
informação que afetam diretamente
a consecução e a continuidade da
missão do Estado e a segurança da
sociedade.
Lançamento do Guia
de Referência
http://dsic.planalto.gov.br/documentos/public
acoes/2_Guia_SICI.pdf
http://dsic.planalto.gov.br/documentos/p
ublicacoes/2_Guia_SICI.pdf
Política e Estratégia
Nacional de Segurança
Cibernética
A arte de assegurar a existência e a
continuidade da Sociedade da
Informação de uma nação garantindo
e protegendo, no espaço cibernético,
seus ativos de informação e suas
infraestruturas críticas.
Lançamento do
Livro Verde
Obrigado!
Alcimar Sanches Rangel
(61) 3411-3153
http://dsic.planalto.gov.br
http://twitter.com/dsic_br