Upload
sdbmcc
View
225
Download
0
Embed Size (px)
DESCRIPTION
4 Estrategia de SIC
Citation preview
Presidenta da Repblica
Dilma Rousseff
Vice-Presidente da Repblica
Michel Temer
Ministro de Estado Chefe do Gabinete de Segurana Institucional
Jos Elito Carvalho Siqueira
Secretrio Executivo do Conselho de Defesa Nacional
Jos Elito Carvalho Siqueira
Secretrio Executivo do Gabinete de Segurana Institucional
Geraldo Antonio Miotto
Diretor do Departamento de Segurana da Informao e Comunicaes
Marconi dos Reis Bezerra
Presidncia da Repblica
Gabinete de Segurana Institucional Secretaria-Executiva
Departamento de Segurana da Informao e Comunicaes
2015-2018
Verso 1.0
Braslia DF 2015
ESTRATGIA DE SEGURANA DA
INFORMAO E COMUNICAES E DE
SEGURANA CIBERNTICA DA
ADMINISTRAO PBLICA FEDERAL
Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total,
por qualquer meio, desde que citada a fonte.
Grupo Tcnico de Elaborao da Estratgia
(Boletim Interno GSI/PR n 52, de 26/12/2014. SE/GSI/PR Gen. Edson Leal Pujol)
Departamento de Segurana da Informao e Comunicaes
Marconi dos Reis Bezerra (Coordenador)
Alcimar Sanches Rangel
Alexandre Jos Ribeiro
Antnio Magno Figueiredo de Oliveira
Claudia Canongia
Gustavo Andrade Bruzzeguez
Josita Arcanjo Ramos Ferreira
Lucas de Oliveira Souto
Marcelo de Almeida Maymone
Marlene Isidro da Silva
Wagner Barp Meyer
Capa: Alcimar Sanches Rangel
Normalizao bibliogrfica: Biblioteca da Presidncia da Repblica
Colaborao: Membros do Comit Gestor de Segurana da Informao CGSI/CDN
Portaria SE/CDN n 07, de 17 de maro de 2015
(DOU n 52; 18/03/2015)
Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823e Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional. Estratgia de segurana da informao e comunicaes e de segurana ciberntica da administrao
pblica federal 2015-2018 : verso 1.0 / Gabinete de Segurana Institucional, Secretaria-Executiva, Departamento de Segurana da Informao e Comunicaes. Braslia : Presidncia da Repblica, 2015.
82 p. : il.
ISBN
1. Segurana da informao. 2. Segurana Ciberntica. 3. Administrao Pblica Federal. I. Ttulo.
CDD 005.8
Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica
[A Portaria SE/CDN No. 14, de 11 de maio de 2015, publicada no DOU No. 88 de 12/05/2015, homologa esta Estratgia]
5
O planejamento uma das maiores conquistas libertrias que o homem pode almejar. Porque o plano
a tentativa do homem para criar seu futuro; lutar contra as tendncias e correntes que nos arrastam;
ganhar espao para escolher; mandar sobre os fatos e as coisas para impor a vontade humana;
recusar-se a aceitar o resultado social que a realidade atomizada de infinitas aes contrapostas
oferece-nos anarquicamente; rejeitar o imediatismo; somar a inteligncia individual para multiplic-
la como inteligncia coletiva e criadora.
Carlos Matus
"Gesto Pblica um campo de conhecimento peculiar. Trata-se de uma rea por definio
interdisciplinar e que depende de conhecimento advindo da cincia poltica, da economia, da
administrao, da sociologia, do direito, da histria e da ciberntica. Acrescente-se a o forte
componente aplicado do aprendizado."
Fernando Abrcio & Francisco Gaetani
"Uma agenda de longo prazo para reformar a gesto pblica brasileira depende, como em qualquer
outro campo de polticas pblicas, no s de ideias e anlises. Acima de tudo, preciso constituir
coalizes. Atores estratgicos precisam ser convencidos da centralidade dessa questo, como j o foram
em outros tpicos."
Fernando Abrcio
6
SUMRIO
Lista de Siglas ............................................................................................................. 07
Apresentao ............................................................................................................. 11
Contextualizao ....................................................................................................... 13
Marcos do Governo Brasileiro em SIC e SegCiber ..................................................... 20
Finalidade e Aplicao ............................................................................................... 34
Metodologia .............................................................................................................. 35
Referencial Estratgico .............................................................................................. 37
Princpios Norteadores da Estratgia ........................................................................ 39
Mapa Estratgico ....................................................................................................... 40
Objetivos Estratgicos ............................................................................................... 42
Metas da Estratgia .................................................................................................. 55
Disposies Finais ...................................................................................................... 61
Referncias ................................................................................................................ 62
Anexo I Modelo de Governana Sistmica de SIC e de SegCiber da APF ............... 74
Anexo II Glossrio da Estratgia ............................................................................. 77
7
LISTA DE SIGLAS
ABIN: Agncia Brasileira de Inteligncia
ABNT: Associao Brasileira de Normas Tcnicas
AGU: Advocacia-Geral da Unio
ANATEL: Agncia Nacional de Telecomunicaes
APF: Administrao Pblica Federal
BB: Banco do Brasil
BCB: Banco Central do Brasil
BSC: Balanced Scorecard
CEPESC: Centro de Pesquisas e Desenvolvimento para a Segurana das Comunicaes
CC/PR: Casa Civil da Presidncia da Repblica
CDCiber/MD: Centro de Defesa Ciberntica / Ministrio da Defesa
CDN: Conselho de Defesa Nacional
CEF: Caixa Econmica Federal
CEGSIC: Curso de Especializao em Gesto de SIC
CGI.br: Comit Gestor da Internet no Brasil
CGSI: Comit Gestor da Segurana da Informao
CGU: Controladoria-Geral da Unio
COMAER/MD: Comando da Aeronutica / Ministrio da Defesa
ComDCiber: Comando de Defesa Ciberntica
CPI: Comisso Parlamentar de Inqurito
CREDEN: Cmara de Relaes Exteriores e Defesa Nacional
CTIR Gov: Centro de Tratamento de Incidentes de Redes da Administrao Pblica
Federal
DAS: Cargo do Grupo-Direo e Assessoramento Superiores
DATAPREV: Empresa de Tecnologia e Informaes da Previdncia Social
DSIC: Departamento de Segurana da Informao e Comunicaes
8
DPDT: Departamento de Pesquisa e Desenvolvimento Tecnolgico
EAD: Ensino distncia
EB/MD: Exrcito Brasileiro / Ministrio da Defesa
EED: Empresa Estratgica de Defesa
EGTI: Estratgia Geral de Tecnologia da Informao
EGTIC: Estratgia Geral de Tecnologia da Informao e Comunicaes
Embrapa: Empresa Brasileira de Pesquisa Agropecuria
EnaDCiber: Escola Nacional de Defesa Ciberntica
ENAP: Escola Nacional de Administrao Pblica
END: Estratgia Nacional de Defesa
ETIR: Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais
GSI/PR: Gabinete de Segurana Institucional da Presidncia da Repblica
GTI: Grupo de Trabalho Interministerial
ICP-Brasil: Infraestrutura de Chaves Pblicas Brasileira
ICT: Instituio de Cincia e Tecnologia
IEC: International Electrotechnical Commission, Comisso Eletrotcnica Internacional
IN: Instruo Normativa
INSS: Instituto Nacional do Seguro Social
ISO: International Organization for Standardization, Organizao Internacional de
Normalizao
LAI: Lei de Acesso Informao
MB/MD: Marinha do Brasil / Ministrio da Defesa
MC: Ministrio das Comunicaes
MCTI: Ministrio da Cincia, Tecnologia e Inovao
MD: Ministrio da Defesa
MDIC: Ministrio do Desenvolvimento Indstria e Comrcio Exterior
MEC: Ministrio da Educao e Cultura
MJ: Ministrio da Justia
MP: Ministrio do Planejamento, Oramento e Gesto
MPS: Ministrio da Previdncia Social
9
MRE: Ministrio das Relaes Exteriores
MS: Ministrio da Sade
MTur: Ministrio do Turismo
NBR: Normas Brasileiras de Referncia
NC: Norma Complementar
NSC: Ncleo de Segurana e Credenciamento
OE: Objetivos Estratgicos
OEA: Organizao dos Estados Americanos
OGS: rgo Governante Superior
PDCA: Plan, Do, Check & Act.
PDTI: Plano Diretor de Tecnologia da Informao
Petrobrs: Petrleo Brasileiro S.A.
PNAD: Pesquisa Nacional por Amostra de Domiclios
POSIC: Poltica de Segurana da Informao e Comunicaes
PR: Presidncia da Repblica
Radiobrs: Empresa Brasileira de Radiodifuso
RENASIC: Rede Nacional de Excelncia em Segurana da Informao e Criptografia
RNP: Rede Nacional de Ensino e Pesquisa
SAE/PR: Secretaria de Assuntos Estratgicos da Presidncia da Repblica
SECOM/PR: Secretaria de Comunicaes da Presidncia da Repblica
SegCiber: Segurana Ciberntica
SERPRO: Servio Federal de Processamento de Dados
SG/PR: Secretaria-Geral da Presidncia da Repblica
SIC: Segurana da Informao e Comunicaes
SICGov: Congresso de Segurana da Informao e Comunicaes
SISP: Sistema de Administrao dos Recursos de Tecnologia da Informao do Poder
Executivo federal
SPOA: Subsecretaria de Planejamento, Oramento e Administrao
SRF: Secretaria da Receita Federal
SRP: Secretaria da Receita Previdenciria
10
TCU: Tribunal de Contas da Unio
TELEBRS: Telecomunicaes Brasileiras S.A.
TIC: Tecnologias de Informao e Comunicao
UIT: Unio Internacional de Telecomunicaes
UnB: Universidade de Braslia
WCIT: World Conference on International Telecommunications, Conferncia Mundial
em Telecomunicaoes Internacionais
11
APRESENTAO
com grande satisfao que apresento a Estratgia de Segurana da
Informao e Comunicaes e de Segurana Ciberntica da Administrao Pblica
Federal 2015 2018, verso 1.0, dado que tais reas so consideradas como questes
nacionais, horizontais e estratgicas, que afetam todos os nveis da sociedade, e
representa importante instrumento de apoio ao planejamento dos rgos e entidades
do Governo, objetivando melhorar sobremaneira a segurana e a resilincia das
infraestruturas crticas e dos servios pblicos nacionais.
Este instrumento de apoio ao planejamento estratgico governamental
complementa a Instruo Normativa GSI/PR 01/2008, rene um conjunto de objetivos
estratgicos e metas para os prximos quatro anos, e visa a busca da excelncia da
Segurana da Informao e Comunicaes (SIC) e da Segurana Ciberntica (SegCiber)
no mbito da Administrao Pblica Federal (APF) do Pas, contemplando relevantes
aspectos, dada a complexidade e a dinmica de tais temas no cenrio atual, nacional e
mundial.
Assim, a elaborao desta Estratgia motivada pela misso do GSI/PR de
coordenar as atividades de segurana da informao do governo e considera tanto a
necessidade mpar de assegurar aes efetivas nestas reas, quanto a possibilidade
real e crescente de uso das Tecnologias de Informao e Comunicao (TIC) para aes
ofensivas e exploratrias, entre outras, acesso indevido s redes de computadores de
setores e de infraestruturas crticas.
Destaco ainda a ameaa relativa elevada interconectividade mundial entre os
maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas
anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so
evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e
infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os
incidentes de fraudes e roubos de dados.
Diante da criticidade desse cenrio e da recomendao do Tribunal de Contas
da Unio (TCU), no Acrdo 3.051/2014-TCU-Plenrio, de que este GSI/PR lanasse
Estratgia no mbito da sua jurisdio, pautada nos pilares consagrados da segurana
da informao disponibilidade, integridade, confidencialidade e autenticidade -, com
o objetivo de fortalecer as aes de SIC e de SegCiber na APF, foi institudo Grupo de
Trabalho interno, no final do ano de 2014, no mbito do Departamento de Segurana
da Informao e Comunicaes (SIC) deste GSI/PR para elaborar esta Estratgia.
Cabe ressaltar que o Comit Gestor de Segurana da Informao (CGSI), rgo
de assessoramento da Secretaria Executiva do Conselho de Defesa Nacional, a qual
exercida por este GSI/PR, em temas relativos segurana da informao e correlatos,
conforme disposto no Decreto n 3.505/2000, vem colaborando efetivamente nos
ltimos anos com o arcabouo normativo das reas de SIC e de SegCiber, e foi
12
consultado, contribuindo substantiva e efetivamente com esta publicao, ao que
desde j agradeo a colaborao.
Sabemos que ainda h muito a ser alcanado e que estamos passo a passo
criando as condies necessrias para maior efetividade, eficcia e eficincia das aes
de SIC e de SegCiber, principalmente no que diz respeito ao entendimento das novas
exigncias para a manuteno e preservao tanto das infraestruturas crticas do Pas,
quanto dos direitos individuais, em especial da privacidade, protegendo e assegurando
os interesses da sociedade e do Estado.
Recomendo, portanto, a leitura e a aderncia aos objetivos estratgicos e
metas desta Estratgia de Segurana da Informao e Comunicaes e de Segurana
Ciberntica da Administrao Pblica Federal 2015 2018, verso 1.0 na direo do
fortalecimento e da excelncia da segurana da informao e comunicaes e da
segurana ciberntica no Governo.
Considero esta publicao um importante incremento ao arcabouo de
documentos que objetivam contribuir com a segurana institucional e a soberania
nacional, e convido-os a contribuir com propostas e sugestes para a evoluo
contnua da mesma, visando construir, em futuro prximo, de forma colaborativa, a
Poltica Nacional de Segurana da Informao e Comunicaes e de Segurana
Ciberntica.
Por fim, cito o livro Sonho Grande o qual apresenta o relato da jornalista
Cristiane Correa sobre a trajetria exitosa de trs scios, Jorge Paulo Lemann, Marcel
Herrmann Telles e Carlos Alberto Sicupira, para o sucesso alcanado em seus
empreendimentos, e aproveito para finalizar ressaltando a segunda lio do declogo
das principais lies aprendidas:
SUSTENTE O IMPULSO COM UM GRANDE SONHO: Gente boa precisa ter coisas grandes para
fazer, seno leva sua energia criativa para outro lugar. Assim, os trs construram um
mecanismo que tem duas premissas bsicas: primeiro, recrute as melhores pessoas e depois d
a elas coisas grandes para fazer. Em seguida, atraia mais gente boa e proponha a prxima coisa
importante a fazer. Repita o processo indefinidamente. Foi assim que eles mantiveram o mpeto
ao longo do tempo. Eles sempre vibraram com a ideia de metas grandes, arriscadas e
audaciosas, e desenvolveram uma cultura para alcan-las. Ao observ-los, aprendi que, para
conservar o mpeto e, portanto, preservar gente boa, vale a pena correr os riscos inerentes
busca pelas grandes metas. como uma tima equipe de alpinismo. Por um lado, existe o risco
de subir uma montanha alta, depois uma montanha ainda mais alta, e depois a seguinte. Por
outro lado, se voc no tiver novas montanhas altas para escalar, deixar de se desenvolver e
crescer, e perder seus melhores alpinistas. Grandes alpinistas necessitam de grandes
montanhas para escalar, sempre e indefinidamente.
Boa leitura! Boas prticas! Escale!
JOS ELITO CARVALHO SIQUEIRA
Ministro de Estado Chefe do Gabinete de Segurana Institucional da
Presidncia da Repblica
13
CONTEXTUALIZAO
Este item apresenta, de forma geral e sem a pretenso de ser exaustivo, viso
sobre avanos, mudanas, tendncias e desafios da Segurana da Informao e
Comunicaes e da Segurana Ciberntica, de 2000 at os dias de hoje, principalmente
na trilha que vem sendo desenvolvida no pas.
No Brasil, em 2000, o nmero de usurios da Internet girava em torno de 8,6
milhes e o governo brasileiro alertava que tal nmero era bastante limitado e
precisaria crescer significativamente. Naquele ano, estimava-se que apenas 1% dos
usurios da Internet no Brasil compraria em lojas virtuais, com mdia de gasto de
apenas 18 dlares mensais (MCT, 2000).
No final de 2008, passou-se a contar com cerca de 55,9 milhes de usurios no
Brasil segundo a Pesquisa Nacional por Amostra de Domiclios (PNAD) e,
aproximadamente, 83 milhes de pessoas de 10 anos ou mais acessaram a Internet
nos trs meses anteriores realizao da PNAD em 2012, apontando para um
crescimento rpido de uso da Internet no pas1. Com relao evoluo da economia
digital no pas, os usurios brasileiros da Internet contriburam com o comrcio
eletrnico, com faturamento da ordem de 8,2 bilhes de reais em 2008 com
crescimento para cerca de 22,5 bilhes de reais em 2012, confirmando as prospeces
de avanos preponderantes desta economia2.
Em 2014, o cenrio de uso da Internet e, consequentemente, de uso das
Tecnologias de Informao e Comunicao (TIC) permanece crescente e sem dvida
alm de qualquer expectativa e prospeco, operando-se em cifras bastante
expressivas no mundo e no Pas, especialmente frente aos avanos do uso de
dispositivos mveis, da computao em nuvem e da evoluo da chamada internet
das coisas. O Brasil considerado o quarto maior mercado mundial no setor de TIC,
movimentando cerca de US$ 170 bilhes, e somente o comrcio eletrnico faturou
cerca de 35,8 bilhes de reais, e no mundo o movimento foi de cerca de 1,5 trilhes de
dlares, demonstrando quo aquecida e intensiva vem sendo a economia digital e com
tendncia ascendente forte.3 Para 2020, estima-se um mercado global de TI na ordem
de US$ 3 trilhes, e um mercado nacional da ordem de US$ 200 bilhes.
Destaca-se que j foi abordado no Livro Verde Segurana Ciberntica no
Brasil (GSI/PR, 2010, p.14) os seguintes fenmenos da Sociedade da Informao: a)
Elevada convergncia tecnolgica; b) Aumento significativo de sistemas e redes de
informao, bem como da interconexo e interdependncia dos mesmos; c) Aumento
1http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-cresce-nas-regioes-norte-e-nordeste-em-
2012/ 2http://www.e-commerce.org.br/stats.php
3Idem.
14
crescente e bastante substantivo de acesso Internet e das redes sociais; d) Avanos
das tecnologias de informao e comunicao (TIC); e) Aumento das ameaas e das
vulnerabilidades de segurana ciberntica; e, f) Ambientes complexos, com mltiplos
atores, diversidade de interesses, e em constantes e rpidas mudanas
Toda e qualquer reflexo sobre a evoluo da Sociedade da Informao deve
apoiar-se numa anlise da mudana contempornea da relao com o saber. A
velocidade do surgimento e da renovao do conhecimento, know-how e tecnologias,
vem sendo cada vez mais avassaladora, o que contribui para um ambiente de
incertezas, volatilidade, novas e crescentes ameaas.
As ameaas relativas elevada interconectividade mundial esto entre os
maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas
anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so
evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e
infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os
incidentes de fraudes e roubos de dados.
Assim sendo, para fins desta Estratgia de Segurana da Informao e
Comunicaes e de Segurana Ciberntica na Administrao Pblica Federal, so
adotados os seguintes conceitos:
a) Segurana da Informao e Comunicaes (SIC): aes que objetivam
viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informaes;
b) Segurana Ciberntica (SegCiber): a arte de assegurar a existncia e a
continuidade da Sociedade da Informao de uma Nao, garantindo e protegendo, no
Espao Ciberntico, seus ativos de informao e suas infraestruturas crticas;
c) Ativos de Informao: so os meios de armazenamento, transmisso e
processamento, os sistemas de informao, bem como os locais onde se encontram
esses meios e as pessoas que a eles tm acesso; e
d) Infraestruturas Crticas: so as instalaes, servios, bens e sistemas que, se
forem interrompidos ou destrudos, provocaro srio impacto social, econmico,
poltico, internacional ou segurana do Estado e da sociedade.
A SIC e a SegCiber, portanto, vm se caracterizando cada vez mais como funo
estratgica de Estado, sendo essenciais manuteno e preservao tanto das
infraestruturas crticas de um pas, tais como Energia, Transporte, Telecomunicaes,
guas, Finanas, a prpria Informao, entre outras, quanto dos direitos individuais,
em especial da privacidade, e da soberania.
15
Os pilares consagrados da SIC disponibilidade, integridade, confidencialidade
e autenticidade esto sujeitos a novas e crescentes vulnerabilidades e ameaas.
So crescentes e contnuas as polmicas nos temas regulao e controle da
Internet em nvel nacional e internacional. A reunio plenria World Conference on
International Telecommunications - WCIT-12, em Dubai, em dezembro de 2012,
liderada pela Unio Internacional de Telecomunicaes (UIT), foi marcada por
divergncias entre os seus Estados Membros, sendo reforada a experincia brasileira
de governana multissetorial realizada por meio de seu Comit Gestor da Internet
(CGI.br).
As questes de privacidade versus segurana permanecem como pontos
controversos e atualmente em forte articulao, em nvel nacional e internacional, em
especial aps o advento do caso Snowden, que exps possveis aes de espionagem
do governo americano em relao a outros pases, Brasil inclusive, por meio da captura
e tratamento de metadados na Internet. Tais questes permanecem nos debates de
uso e governana da Internet, de forma preponderante, tratadas nas agendas dos
governos e em fruns bi e multilaterais.
O Governo brasileiro registrou, com satisfao, que a III Comisso da 68
Assembleia Geral das Naes Unidas aprovou em 2013, por consenso dos 193 Estados
membros, a Resoluo A/RES/68/167 "O direito privacidade na era digital"4, a qual
foi apresentada em conjunto pelo Brasil e Alemanha, em resposta s supostas
denncias de Snowden contra os EUA. "Nenhuma preocupao relacionada
segurana pblica pode justificar a coleta de informaes sensveis. Estados devem
garantir a observao irrestrita das suas obrigaes sobre as leis internacionais de
direitos humanos", diz a Resoluo.
O Relatrio final da Comisso Parlamentar de Inqurito, denominada CPI da
Espionagem, aponta fragilidades do Brasil frente espionagem eletrnica
internacional e sugere medidas e propostas para a melhoria da segurana ciberntica
nacional, evidenciando a fragilidade do sistema de telecomunicaes brasileiro e de
nosso sistema de inteligncia e defesa ciberntica (Brasil. Congresso. Senado Federal,
2014).
Segundo o estudo Mapeamento de Fornecedores Nacionais de Tecnologia da
Informao e Comunicao (TIC) para Redes Eltricas Inteligentes (REI), realizado pela
Agncia Brasileira de Desenvolvimento Industrial (ABDI) em 2014, a segurana
ciberntica foi identificada como uma das principais preocupaes das
concessionrias, empresas fornecedoras de TIC e centros de pesquisa voltados para o
setor.
4http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167
16
O cenrio de realizao de grandes eventos no Brasil (2013 a 2016) ressalta tais
preocupaes e serve de oportunidade para a conformao de uma situao benfica,
alavancando os compromissos com a SIC e com a SegCiber pactuados e reforados na
direo de que haja capacidade efetiva do governo de catalisar e estimular aes em
prol dos diferentes tpicos que perpassam e sustentam tais reas de atuao.
Cabe realar os tpicos relativos formao continuada de recursos humanos
especializados e capacidade de coordenao executiva no mbito do governo, bem
como queles que se referem ao desenvolvimento de tecnologias e inovao,
promoo dos setores e do mercado de segurana da informao e de segurana
ciberntica, construo de arcabouo legal e normativo, e cooperao
internacional.
No cenrio atual, as ameaas cibernticas so crescentes, diferenciadas e
apresentam elevado grau de sofisticao, exigindo dos governos aes efetivas de
preveno e combate s prticas maliciosas no uso das TIC, por meio de aes
transversais, integradoras, interdisciplinares e multissetoriais.
Nesta direo, a proteo dos ativos de informao implica na definio de
investimentos para um melhor posicionamento das instituies governamentais em
relao produo e custdia, principalmente, s informaes dos cidados brasileiros
e do Estado. Assim posto, os ativos de informao guardam relao direta com riscos
de SIC e de SegCiber, uma vez que a dependncia tecnolgica das instituies
governamentais cada vez maior.
No tocante SIC e SegCiber, independente das responsabilidades do Estado
brasileiro, o setor privado tem importncia fundamental pois detm a maior parte das
infraestruturas de telecomunicaes e redes de comunicao digital, provendo
servios para o Governo e para a sociedade.
Soma-se a esse cenrio os desafios impostos pela forte dependncia externa e
pela ausncia de domnio em tecnologias sensveis de SIC e de SegCiber. Salienta-se
ainda, entre os desafios, o Decreto n 8.135/2013, que dispe em seu art. 1 que as
comunicaes de dados da administrao pblica federal direta, autrquica e
fundacional devero ser realizadas por redes de telecomunicaes e servios de
tecnologia da informao fornecidos por rgos ou entidades da administrao pblica
federal, incluindo empresas pblicas e sociedades de economia mista da Unio e suas
subsidirias.
Observa-se tambm que em perodo recente, diversos rgos e entidades,
conforme amplamente divulgado na mdia, foram alvos de aes maliciosas, com
destaque para aes de engenharia social, desfiguraes de stios, degradao dos
servios e acessos indevidos a sistemas computacionais, com exposio de
17
vulnerabilidades e consequente vazamento de informaes, causando prejuzos ao
Estado, com reflexos negativos para a sociedade.
Neste contexto, ressalta-se que no obstante os esforos do governo em
fortalecer as aes de SIC e de SegCiber, o que inclui arcabouo normativo publicado
pelo GSI/PR nos ltimos oito anos, o respectivo nvel de maturidade ainda encontra-se
em patamar aqum do desejado nos rgos e entidades da APF, segundo o Acrdo
3.051/2014-TCU-Plenrio.
A Constituio Federal de 1988 estabelece amplo acesso informao,
impactando diretamente nas estratgias, polticas e atuao de todos os rgos
pblicos. A publicao da Lei de Acesso Informao (LAI) marcou uma mudana no
paradigma de publicidade dos ativos de informao criados e geridos pelo Estado, em
todos os nveis e esferas, em prol da transparncia. Esse novo mote trouxe ateno
sobre os ativos de informao sigilosos cuja publicidade seja sensvel para o pas.
Nesse aspecto, a LAI garante tratamento diferenciado para informaes cuja a
exposio comprometa a segurana do Estado e da sociedade. Tal dinmica impacta
diretamente na estratgia adotada pelo governo para a SIC e a SegCiber.
Ficam, assim, evidenciados os vrios desafios enfrentados pelo Governo
Federal, em especial a carncia do estabelecimento de governana efetiva da SIC e da
SegCiber, e da segurana dos ativos de informao crticos, e a ausncia de um rgo
central que exera coordenao executiva de tais temas, de forma sistmica e
participativa multistakeholders e multissetores, somada a ausncia de destaque
oramentrio especfico e adequado ao tamanho do problema.
Uma vez que SIC e SegCiber so consideradas como questes nacionais,
horizontais e estratgicas, que afetam todos os nveis da sociedade, uma estratgia de
SIC e de SegCiber nacional representa importante ferramenta para melhorar
sobremaneira a segurana e a resilincia das infraestruturas crticas e dos servios
nacionais.
A SIC e a SegCiber tm, portanto, impactos amplos na soberania nacional, na
construo da cidadania e no desenvolvimento econmico, devendo o pas ser
reconhecido como protagonista em nvel internacional, bem como em fruns bi e
multilaterais. E, em decorrncia, esforos em prol da SIC e da SegCiber podem
representar um salto qualitativo e quantitativo da insero da indstria nacional de
tecnologia da informao e comunicao (TIC) nos mercados interno e global, bem
como, de evoluo e excelncia da pesquisa, desenvolvimento e inovao dessas reas
em nvel nacional e internacional.
No Brasil, os assuntos relacionados Segurana da Informao e
Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas vm
sendo tratados no mbito do Conselho de Defesa Nacional (CDN) e da Cmara de
18
Relaes Exteriores e Defesa Nacional (CREDEN), do Conselho de Governo, por
intermdio do Gabinete de Segurana Institucional da Presidncia da Repblica
(GSI/PR), que exerce as funes de Secretaria Executiva do citado Conselho e de
Presidncia daquela Cmara.
As competncias do CDN esto previstas no art. 91 da Constituio Federal de
1988 e a regulamentao de sua organizao e de seu funcionamento est contida na
Lei n 8.183/1991. As competncias, organizao e normas de funcionamento do
Conselho de Governo e da CREDEN esto contidas, respectivamente, na Lei n
10.683/2003, e no Decreto n 4.801/2003. O art. 6 da Lei n 10.683/2003 estabelece
ao GSI/PR, entre outras atribuies, a coordenao das atividades de segurana da
informao.
A dimenso e a assimetria da APF representa importante desafio para a rea de
SIC e de SegCiber. Na atualidade, so 39 ministrios, cerca de seis mil entidades
governamentais, mais de um milho de servidores federais, em torno de 320 grandes
redes do Governo Federal, mais de 16,5 mil stios de governo que superam 12 milhes
de pginas WEB, e uma crescente participao e controle social.
O GSI/PR, diante de tal desafio, instituiu em 2006, para trato das questes
afetas SIC e SegCiber, o Departamento de Segurana da Informao e
Comunicaes (DSIC), com abrangncia de atuao na APF, e trs reas finalsticas
para o cumprimento de sua misso, a saber: Gesto de SIC, Centro de Tratamento de
Incidentes de Redes da Administrao Pblica Federal - CTIR Gov, e Credenciamento
de Segurana.
A rea de Gesto de SIC executa o planejamento e a gesto orientada aos
rgos e entidades da APF, por meio de programas de conscientizao e capacitao
dos agentes pblicos, do apoio implementao dos requisitos metodolgicos
necessrios de SIC, bem como pela difuso do arcabouo normativo de SIC e de
SegCiber, visando o seu cumprimento. A rea tambm responsvel pela gesto das
reunies do Comit Gestor da Segurana da Informao (CGSI/CDN).
A rea de tratamento de incidentes (CTIR Gov), com a misso precpua de
coordenar e acompanhar o tratamento e a resposta aos incidentes em redes
computacionais da APF, vem contribuindo para as solues integradas e a gerao de
estatsticas de incidentes de segurana, alm de apoiar a criao e o fortalecimento de
equipes especializadas (ETIR) nos rgos e entidades da APF, disseminando
informaes relativas a ameaas, vulnerabilidades e tendncias de ataques
cibernticos, em colaborao com outras equipes no Brasil e exterior.
A rea finalstica do sistema de credenciamento, aps a promulgao da LAI, foi
reformulada e estabeleceu-se o Ncleo de Segurana e Credenciamento (NSC) como
rgo central da cadeia de credenciamento no mbito do Poder Executivo federal, com
19
o objetivo de promover e regular o tratamento da informao classificada em qualquer
grau de sigilo. O NSC busca assegurar a manuteno da cadeia de confiana entre os
entes, pblicos e privados, que tratam informao classificada em qualquer grau de
sigilo do Governo Federal, inclusive com organismos internacionais.
A Agncia Brasileira de Inteligncia (ABIN), rgo vinculado ao GSI/PR, conta
em sua estrutura com o Centro de Pesquisas e Desenvolvimento para Segurana das
Comunicaes (CEPESC), criado em 1982 para sanar deficincia do Brasil em garantir o
sigilo dos canais de comunicao dos rgos estratgicos da Administrao Pblica
Federal. Desde ento, vem desenvolvendo solues de segurana da informao e
comunicaes baseadas em algoritmos criptogrficos de Estado, bem como
executando trabalhos de pesquisa e desenvolvimento na rea da segurana
ciberntica.
Assim, na ltima dcada, os temas de SIC e de SegCiber passaram a ser
reconhecidos por vrios atores do Governo Federal como relevantes e de competncia
e coordenao poltico estratgica de rgo da Presidncia da Repblica, com
abrangncia para a APF, includas aes de segurana das infraestruturas crticas da
informao.
Diante deste cenrio dinmico, como forma de colaborar com panorama de
fundo da Segurana da Informao e Comunicaes e da Segurana Ciberntica, no
mbito do Governo Federal, apresentam-se no captulo Marcos do Governo Brasileiro
em SIC e SegCiber alguns dos marcos legais, normativos e institucionais alcanados,
distribudos na linha de tempo que compreende o perodo de 2000 at o 1 trimestre
de 2015, os quais realam, para alm das aes j empreendidas, a complexidade dos
temas, a diversidade de atores, e a importncia desta Estratgia.
Por fim, no se pode deixar de citar o Plano Brasil 2022, publicado em 2010
pela Secretaria de Estudos Estratgicos da Presidncia da Repblica (SAE), o qual
representa um pensamento estratgico do futuro do Pas e fixa metas para o ano de
2022, momento em que o Brasil comemora o bicentenrio de sua independncia.
Cabe destacar, portanto, o alinhamento desta Estratgia ao citado Plano Brasil
2022 bem como o seu efetivo apoio ao alcance das metas do centenrio, dentre
outras, as metas a seguir apresentadas: i) Economia: modernizar o funcionamento da
administrao pblica; ii) Sociedade: universalizar o acesso aos bens e contedos
culturais a todos os brasileiros; iii) Infraestrutura: assegurar acesso integral banda
larga, velocidade de 100 Mbps, a todos os brasileiros; e, iv) Estado: garantir pleno
exerccio do direito de acesso a informaes pblicas e consolidar a Internet como um
terreno de liberdade de expresso.
20
MARCOS DO GOVERNO BRASILEIRO EM SIC E
SEGCIBER
PERODO: 2000 A 2015
Em 2000:
Foi publicado o Decreto n 3.505/2000, instituindo a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal (APF). Esse
Decreto criou o Comit Gestor da Segurana da Informao (CGSI), com atribuio de
assessorar a Secretaria-Executiva do Conselho de Defesa Nacional (CDN) na
consecuo das diretrizes da Poltica, bem como na avaliao e anlise de assuntos
relativos aos objetivos estabelecidos nesse Decreto. Integram o CGSI os seguintes 17
rgos da APF: GSI/PR (que o coordena); CC/PR; CGU; AGU; SECOM/PR; SG/PR; MJ;
MD; MRE; MF; MPS; MS; MDIC; MP; MC; MCTI; MME.
Em 2001:
Foi publicada a Medida Provisria n 2.200 de 28 de junho de 2001, instituindo
a Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), incluindo o GSI/PR como
membro do Comit Gestor da ICP-Brasil.
Foi publicado o Decreto n 3.872 de 18 de julho de 2001, que dispe sobre o
Comit Gestor da Infra Estrutura de Chaves Pblicas Brasileira (CG ICP-Brasil). Este
Decreto foi revogado pelo Decreto n 6.605/2008.
Foi publicado o Decreto n 3.996 de 31 de outubro de 2001, que dispe sobre a
prestao de servios de certificao digital no mbito da APF.
Em 2002:
Foi publicado o Decreto n 4.553 de 27 de dezembro de 2002, que dispe sobre
a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesses
da segurana da sociedade e do Estado, no mbito da APF. Esse Decreto foi revogado
pelo Decreto n 7.845/2012.
Em 2003:
Lei n 10.683, de 28 de maio de 2003, em seu art. 6, estabelece ao Gabinete
de Segurana Institucional da Presidncia da Repblica (GSI/PR) a competncia de
21
coordenar as atividades de inteligncia federal e de segurana da informao do
governo, entre outras.
Decreto n 4.801, de 06 de agosto de 2003, cria a Cmara de Relaes
Exteriores e Defesa Nacional (CREDEN) do Conselho de Governo, com a finalidade de
formular polticas pblicas e diretrizes de matrias relacionadas com a rea das
relaes exteriores e defesa nacional do Governo Federal, aprovar, promover a
articulao e acompanhar a implementao dos programas e aes estabelecidos, no
mbito de aes cujo escopo ultrapasse a competncia de um nico Ministrio.
Integravam poca os seguintes Ministrios: GSI/PR (que a preside); Casa Civil/PR;
Justia; Defesa; Relaes Exteriores; Planejamento, Oramento e Gesto; Meio
Ambiente e Cincia e Tecnologia, sendo convidados a participar das reunies, em
carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o
Chefe do Estado-Maior Conjunto das Foras Armadas (composio atualizada em 2009
e 2013).
Decreto n 4.829, de 03 de setembro de 2003, que dispe sobre a criao do
Comit Gestor da Internet no Brasil - CGI.br, sobre o modelo de governana da
Internet no Brasil, e estabelece a coordenao do mesmo a ser exercida pelo, ento,
Ministrio da Cincia e Tecnologia MCT, contando com governana multissetorial, ou
seja, participao de representantes do governo, da academia, do setor empresarial e
do terceiro setor.
Em 2004:
Criao da equipe de tratamento de incidentes em redes computacionais do
governo, CTIR Gov, no GSI/PR;
Lei n 10.973, de 02 de dezembro de 2004, publicada como instrumento legal
de fomento inovao.
Em 2005:
Foi realizada a I Conferncia de Segurana para o Governo (SECGOV-2005),
sob a coordenao do GSI/PR, para tratar de temas atinentes segurana da
informao e comunicaes.
Em 13 de outubro o Brasil assina com Portugal, na Cidade do Porto, Acordo de
Troca e Proteo Mtua de Informaes Classificadas.
Decreto n 5.563, de 11 de outubro de 2005, regulamenta a Lei de Inovao
(Lei n 10.973/2004) que dispe sobre incentivos inovao e pesquisa cientfica e
tecnolgica no ambiente produtivo.
22
Em 2006:
Decreto n 5.772, de 08 de maio de 2006, dispe sobre a reestruturao do
GSI/PR, com insero de novas atribuies relacionadas Segurana da Informao no
rol de competncias da secretaria executiva. Fica, ento, criado o Departamento de
Segurana da Informao e Comunicaes (DSIC), com a misso de planejar e
coordenar as atividades de Segurana da Informao e Comunicaes (SIC) na APF.
Foi estabelecida a ao oramentria 6232 (Capacitao de Recursos Humanos
na rea de Segurana da Informao) destinada formao e ao aprimoramento de
recursos humanos com vistas definio e implementao de mecanismos capazes
de fixar e fortalecer o desenvolvimento e a execuo da Segurana da Informao.
Foi estabelecida parceria do GSI/PR, como rgo coordenador das atividades de
Segurana da Informao no Governo Federal, com vrios rgos, entre eles, o
Ministrio do Turismo (MTur), Controladoria-Geral da Unio (CGU), Advocacia-Geral da
Unio (AGU), Secretaria da Receita Federal (SRF), Secretaria da Receita Previdenciria
(SRP), Instituto Nacional do Seguro Social (INSS), Empresa Brasileira de Pesquisa
Agropecuria (EMBRAPA), Servio Federal de Processamento de Dados (SERPRO),
Empresa Brasileira de Radiodifuso (Radiobrs), Agncia Brasileira de Inteligncia
(ABIN), Banco Central do Brasil (BCB), Banco do Brasil (BB), Caixa Econmica Federal
(CEF), Petrleo Brasileiro S.A. (Petrobrs) e a Rede Nacional de Ensino e Pesquisa
(RNP), com a finalidade de organizarem atividades em conjunto que possibilitassem a
disseminao da cultura da Segurana da Informao.
Foi realizada a II Conferncia de Segurana para o Governo (SECGOV-2006), j
sob a coordenao do DSIC/GSI/PR.
Em 2007:
Iniciou-se a primeira turma do Curso de Especializao em Gesto de SIC
(CEGSIC 2007-2008), em convnio com o Departamento de Cincia da Computao da
Universidade de Braslia. O CEGSIC 2007-2008 teve carga horria de 375 horas aula,
realizadas em regime presencial, nas dependncias da Universidade de Braslia. Contou
com a participao de 40 alunos agentes pblicos da APF e formou 36 especialistas.
Foi realizado o I Congresso de Segurana da Informao e Comunicaes
(SICGov-2008), no Auditrio do Anexo I do Palcio do Planalto, em Braslia, DF.
Em 17 de setembro o Brasil assina com a Espanha, em Madri, Acordo de Troca e
Proteo Mtua de Informaes Classificadas.
23
Em 2008:
Instruo Normativa GSI n 01, publicada em 13 de junho de 2008, elaborada
de forma colaborativa com os membros do Comit Gestor de Segurana da Informao
(CGSI), disciplinando a Gesto de Segurana da Informao e Comunicaes na APF.
Foram publicadas as primeiras Normas Complementares (NC) da IN 01 GSI/PR,
a NC n 01 sobre atividade de normatizao e NC a n 02 sobre metodologia de gesto
de SIC.
Acrdo 1.603/2008-TCU-Plenrio de 13 de agosto, divulga o resultado do
levantamento da governana de TI, realizado no processo do TCU n 008.380/2007-1,
e recomenda ao GSI/PR que oriente os rgos e entidades da APF sobre a importncia
do gerenciamento da segurana da informao, promovendo, inclusive mediante
orientao normativa, aes que objetive estabelecer e/ou aperfeioar a gesto da
continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a
classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea
especfica para gerenciamento da segurana da informao, a poltica de segurana da
informao e os procedimentos de controle de acesso.
Foi realizado o II Congresso de Segurana da Informao e Comunicaes
(SICGov-2008), no Auditrio do Conjunto Cultural da Caixa Econmica Federal, em
Braslia, DF.
Decreto n 6.703, de 18 de dezembro de 2008, aprova a Estratgia Nacional de
Defesa (END) a qual estabelece o setor ciberntico entre os 3 setores estratgicos do
Pas, considerados essenciais para a defesa nacional. Reala que para o setor
ciberntico ser constituda organizao encarregada de desenvolver a capacitao
ciberntica nos campos industrial e militar. Alm de realar as medidas para a
segurana das reas de infraestruturas crticas, incluindo servios, em especial no que
se refere energia, transporte, gua e telecomunicaes, a cargo dos Ministrios da
Defesa, das Minas e Energia, dos Transportes, da Integrao Nacional e das
Comunicaes, e ao trabalho de coordenao, avaliao, monitoramento e reduo de
riscos, desempenhado pelo Gabinete de Segurana Institucional da Presidncia da
Repblica (GSI/PR), o que inclui as infraestruturas crticas de informao.
Instruo Normativa n 04 da Secretaria de Logstica e Tecnologia da
Informao SLTI, do Ministrio do Planejamento, Oramento e Gesto MP, dispe
sobre o processo de contratao de Solues de Tecnologia da Informao pelos
rgos integrantes do Sistema de Administrao dos Recursos de Informao e
Informtica SISP, do Poder Executivo Federal.
Em 13 de agosto, o Brasil assina com a Rssia, em Moscou, o Acordo de Troca e
Proteo Mtua de Informaes Classificadas.
Foi publicado o Decreto n 6.605 de 14 de julho de 2008, dispondo sobre o
Comit Gestor da ICP-Brasil, revogando o Decreto n 3.872/2001 e fazendo nova
redao.
24
Portaria GSI/PR n 31, de 06 de outubro de 2008, institui a Rede Nacional de
Excelncia em Segurana da Informao e Criptografia RENASIC.
Em 2009:
Foram publicadas mais quatro Normas Complementares IN 01 GSI/PR:
NC 03/IN01/DSIC/GSI/PR - Diretrizes para a Elaborao de Poltica de
Segurana da Informao e Comunicaes nos rgos e Entidades da APF;
NC 04/IN01/DSIC/GSI/PR - Gesto de Riscos de Segurana da
Informao e Comunicaes - GRSIC nos rgos e entidades da Administrao Pblica
Federal;
NC 05/IN01/DSIC/GSI/PR - Disciplina a criao de Equipes de
Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos rgos e
entidades da Administrao Pblica Federal; e
NC 06/IN01/DSIC/GSI/PR - Estabelece Diretrizes para Gesto de
Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e
Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e
indireta.
Iniciou-se a segunda turma do Curso de Especializao em Gesto de SIC
(CEGSIC 2009-2010), em convnio com o Departamento de Cincia da Computao da
Universidade de Braslia. O CEGSIC 2009-2010 teve carga horria de 375 horas aula,
realizadas em regime presencial, nas dependncias da Universidade de Braslia. Contou
com a participao de 40 alunos agentes pblicos da APF e formou 39 especialistas.
Foi realizado o III Congresso de Segurana da Informao e Comunicaes
(SICGov-2009), na Universidade Corporativa dos Correios, Braslia DF, com foco em
segurana ciberntica.
O DSIC/SE/GSI/PR apoiou o evento da Organizao dos Estados Americanos
(OEA), realizado nos dias 16 a 20 de novembro de 2009, no Rio de Janeiro, que contou
com a presena de 136 participantes estrangeiros, representantes dos pases do
continente americano, com a finalidade de estabelecer proposta de Estratgia
Nacional de Segurana Ciberntica do Hemisfrio, para os pases da regio.
Decreto n 7.009, de 12 de novembro de 2009, inclui o tema segurana
ciberntica nos objetivos da Cmara de Relaes Exteriores e Defesa Nacional
CREDEN do Conselho de Governo, e reala o acompanhamento e estudo de questes e
fatos relevantes com potencial de risco estabilidade institucional, para prover
informaes ao Presidente da Repblica. A composio foi ento atualizada
contemplando os seguintes Ministrios: GSI/PR (que a preside); Casa Civil/PR; Justia;
Defesa; Relaes Exteriores; Planejamento, Oramento e Gesto; Meio Ambiente;
Cincia e Tecnologia; Fazenda e SAE/PR, sendo convidados a participar das reunies,
em carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o
25
Chefe do Estado-Maior Conjunto das Foras Armadas (composio atualizada em
2013).
Portaria CREDEN n 45, de 8 de setembro de 2009, institui o Grupo Tcnico de
Segurana Ciberntica, com o objetivo de propor diretrizes e estratgias para a
Segurana Ciberntica, no mbito da Administrao Pblica Federal. rgos
integrantes: GSI/PR; MRE; MJ; MD; MD/EB; MD/MB; e MD/COMAER.
A Diretriz Ministerial n 14/2009 atribuiu ao Exrcito Brasileiro institucionalizar
o Ncleo do Centro de Defesa Ciberntica do Exrcito (Nu CDCiber).
Em 2010:
Foi contratada a Fundao Trompowsky do Exrcito Brasileiro para planejar,
customizar e manter infraestrutura de ambiente virtual para a realizao de Cursos de
Fundamentos de Gesto de SIC, na modalidade de ensino a distncia - EAD, incluindo a
execuo de duas turmas que, juntas, totalizaram 350 servidores de rgos e
entidades da APF.
Iniciou-se a terceira turma do CEGSIC na modalidade de ensino a distncia
(EAD), em convnio com a Universidade de Braslia (UnB), destinado a especializar 180
servidores de rgos e entidades da APF, formando 146 especialistas.
Foi realizado o IV Congresso de Segurana da Informao e Comunicaes
(SICGov-2010), na Universidade Corporativa dos Correios, com o tema: Viso de
Futuro para Segurana Ciberntica.
Foi publicado o Acrdo 2.308/2010-TCU-Plenrio de 8 de setembro de 2010
divulgando o resultado do levantamento da governana de TI realizado no processo do
TCU n 000.390/2010-0. O referido Acrdo descreve que no houve melhora nos
processos de segurana da informao na APF, porm, ressalva que a piora em parte
dos indicadores pode no refletir deteriorao da situao segurana da informao
da APF, mas sim uma possvel melhora na compreenso dos conceitos questionados, e
por fim, reconhece o trabalho do GSI/PR a respeito da Segurana da Informao com a
publicao da IN 01 GSI/PR e respectivas Normas Complementares.
Foram publicadas mais 3 Normas Complementares IN 01 GSI/PR:
NC 07/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para Implementao
de Controles de Acesso Relativos Segurana da Informao e Comunicaes, nos
rgos e entidades da Administrao Pblica Federal (APF), direta e indireta;
NC 08/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para Gerenciamento
de Incidentes em Redes Computacionais nos rgos e entidades da Administrao
Pblica Federal; e
NC 09/IN01/DSIC/GSI/PR - Estabelece orientaes especficas para o
uso de recursos criptogrficos em Segurana da Informao e Comunicaes, nos
rgos ou entidades da Administrao Pblica Federal (APF), direta e indireta.
26
Foi ativado o Ncleo do Centro de Defesa Ciberntica, tendo como principal
atribuio coordenar as atividades do setor ciberntico no Exrcito.
Em 22 de novembro, o Brasil assina com a Itlia, em Roma, o Acordo de Troca e
Proteo Mtua de Informaes Classificadas.
Em 24 de novembro, o Brasil assina com Israel, em Tel Aviv, o Acordo de Troca
e Proteo Mtua de Informaes Classificadas.
Em 2011:
Lei n 12.527, de 18 de novembro de 2011 (Lei de Acesso Informao) traz a
primazia da transparncia das informaes sob a custdia do Estado.
Decreto n 7.579, de 11 de outubro de 2011, dispe sobre o Sistema de
Administrao dos Recursos de Tecnologia da Informao - SISP, do Poder Executivo
federal, e estabelece que o rgo Central do SISP, Ministrio de Planejamento,
Oramento e Gesto, elaborar, em conjunto com os rgos Setoriais e Seccionais do
SISP, a Estratgia Geral de Tecnologia da Informao EGTI para a Administrao
direta, autrquica e fundacional do Poder Executivo Federal, revisada e publicada
anualmente, para servir de subsdio elaborao dos PDTI pelos rgos e entidades
integrantes do SISP.
Foi publicado o Acrdo 1.145/2011-TCU-Plenrio de 4 de maio de 2011,
realizado no processo TCU n 028.772/2010-5, especificando que o GSI/PR, dentre
outros, um rgo Governante Superior (OGS) com a responsabilidade de normatizar
aspectos da Segurana da Informao e Comunicaes, em seus respectivos
segmentos da APF.
Transferncia da Rede Nacional de Excelncia em Segurana da Informao e
Criptografia RENASIC do GSI/PR para o CDCiber/EB/MD.
Em 2012:
Foi publicado o Acrdo 1.233/2012-TCU-Plenrio de 23 de maio de 2012
referenciando o resultado do levantamento da governana de TI realizado no processo
do TCU n 011.772/2010-7. O referido Acrdo recomenda ao GSI/PR que:
Articule-se com as Escolas de Governo, notadamente ENAP, a fim de
ampliar a oferta de aes de capacitao em segurana da informao para os entes
sob sua jurisdio;
Oriente os rgos e entidades sob sua jurisdio que a implantao dos
controles gerais de segurana da informao positivados nas normas do GSI/PR no
faculdade, mas obrigao da Alta Administrao, e sua no implantao sem
justificativa passvel da sano prevista na Lei; e
27
Reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que
aborda o tema gesto de riscos considerando apenas ativo de informao e no ativo
em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1.
Foram publicadas mais sete Normas Complementares IN 01 GSI/PR:
NC 10/IN01/DSIC/GSI/PR - Estabelece diretrizes para o processo de
Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da
Informao e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica
Federal, direta e indireta APF;
NC 11/IN01/DSIC/GSI/PR - Estabelece diretrizes para avaliao de
conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC)
nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF;
NC 12/IN01/DSIC/GSI/PR - Estabelece diretrizes e orientaes bsicas
para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao
e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF),
direta e indireta;
NC 13/IN01/DSIC/GSI/PR - Estabelece diretrizes para a Gesto de
Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos
rgos e entidades da Administrao Pblica Federal, direta e indireta (APF);
NC 14/IN01/DSIC/GSIPR - Estabelece diretrizes para a utilizao de
tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da
Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica
Federal (APF), direta e indireta;
NC 15/IN01/DSIC/GSI/PR - Estabelece diretrizes de Segurana da
Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta; e
NC 16/IN01/DSIC/GSIPR - Estabelece as Diretrizes para o
Desenvolvimento e Obteno de Software Seguro nos rgos e Entidades da
Administrao Pblica Federal, direta e indireta.
Foi publicado o Acrdo 2.585/2012-TCU-Plenrio de 26 de setembro de 2012
divulgando o resultado do levantamento da governana de TI realizado no processo do
TCU n 007.887/2012-4.
O Decreto n 7.724, de 16 de maio de 2012 regulamenta a LAI no mbito do
Poder Executivo Federal, estabelecendo as diretrizes para a transparncia ativa e
passiva. No mesmo dia, a Lei de Acesso Informao entra em vigor.
O Decreto n 7.845, de 14 de novembro de 2012 publicado encerrando a
regulamentao da LAI, estabelecendo o tratamento para as informaes com
restrio de acesso e dispondo sobre o Ncleo de Segurana e Credenciamento (NSC)
no GSI/PR.
Foram publicadas duas leis contra o crime ciberntico:
28
Lei n 12.737, de 30 de novembro de 2012, a qual dispe sobre a
tipificao criminal de delitos informticos.
Lei n 12.735, de 30 de novembro de 2012, a qual tipifica as condutas
realizadas mediante uso de sistema eletrnico, digital ou semelhante, que sejam
praticadas contra sistemas informatizados e similares.
A Poltica Ciberntica de Defesa estabelecida por meio da Portaria
Normativa n 3.389/MD, com a finalidade de orientar, no mbito do Ministrio da
Defesa (MD), as atividades de Defesa Ciberntica, no nvel estratgico, e de Guerra
Ciberntica, nos nveis operacional e ttico, visando consecuo dos seus objetivos.
Em 2013:
Foram publicadas mais duas Normas Complementares IN 01 GSI/PR:
NC 17/IN01/DSIC/GSI/PR - Estabelece Diretrizes nos contextos de
atuao e adequaes para Profissionais da rea de Segurana da Informao e
Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF).
NC 18/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para as Atividades de
Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da
Administrao Pblica Federal (APF).
Com a publicao da LAI em 2011 e seus Decretos regulamentadores no mbito
do Poder Executivo Federal, fez-se necessrio revisar a NC 09/IN01/DSIC/GSI/PR,
principalmente, em relao ao conceito de algoritmo de Estado.
Conforme determinao do Acrdo n 1.233/2012-TCU-Plenrio de 23 de
maio de 2012, foi feita a primeira reviso da NC 04/IN01/DSIC/GSI/PR, na qual foi
includo item 2, nas consideraes gerais, o seguinte texto:
A Gesto de Riscos de Segurana da Informao e Comunicaes, objeto
desta Norma Complementar, est limitada ao escopo das aes de Segurana da
Informao e Comunicaes e tais aes compreendem apenas as medidas de
proteo dos ativos de informao, conforme definido nesta Norma.
Iniciou-se a quarta turma do CEGSIC na modalidade de ensino a distncia (EAD),
em convnio com a Universidade de Braslia (UnB), destinado a especializar 216
servidores de rgos e entidades da APF, com previso de formatura de mais 140
especialistas ao final do curso em 2015.
Portaria SAE/PR n 124 institui Grupo de Trabalho Interministerial (GTI) com o
objetivo de elaborar proposta de Plano Estratgico para promover ou subsidiar o
aperfeioamento das polticas pblicas voltadas segurana e defesa do espao
ciberntico nacional. O art. 3 da citada Portaria nomeia os membros Titulares e
Suplentes que representam os seguintes rgos que integram o GTI: SAE/PR; MD;
29
MRE; MEC; MDIC; MP; MCTI; MC; GSI/PR; CGI.br; ANATEL; SERPRO; DATAPREV; e
TELEBRS.
IN GSI/PR 02, de 5 de fevereiro de 2013, regulando o Credenciamento de
Segurana e o tratamento de informao classificada em grau de sigilo.
IN GSI/PR 03, de 6 de maro de 2013, estabelecendo os parmetros e padres
mnimos dos recursos criptogrficos baseados em algoritmos de Estado.
NC 01/IN02/DSIC/GSI/PR, de 27 de junho de 2013, inaugura os trabalhos de
Credenciamento sob a gide das novas regras para o tratamento das informaes
classificadas em grau de sigilo.
Decreto n 8.096, de 04 de setembro de 2013, atualiza a composio da
CREDEN, e a Cmara passa a contar com os seguintes Ministrios: GSI/PR (que a
preside); Casa Civil/PR; Justia; Defesa; Relaes Exteriores; Planejamento, Oramento
e Gesto; Meio Ambiente; Cincia e Tecnologia; Fazenda; SAE/PR; Integrao Nacional;
Minas e Energia; e Transportes, sendo convidados a participar das reunies, em
carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o
Chefe do Estado-Maior Conjunto das Foras Armadas.
Decreto Legislativo n 3703, de 12 de julho de 2013, atualiza a Estratgia
Nacional de Defesa e aprova o Livro Branco de Defesa Nacional. Entre as premissas
sobre o setor ciberntico, cita que a proteo do espao ciberntico abrange um
grande nmero de reas, como: capacitao, inteligncia, pesquisa cientfica, doutrina,
preparo e emprego operacional; e gesto de pessoal.
Decreto n 8.135, de 04 de novembro de 2013, dispe sobre as comunicaes
de dados da administrao pblica federal direta, autrquica e fundacional, e sobre a
dispensa de licitao nas contrataes que possam comprometer a segurana
nacional.
Em 2014:
A NC 09/IN01/DSIC/GSI/PR recebeu a segunda reviso, destacando-se o novo
conceito de algoritmo registrado:
Algoritmo Registrado: funo matemtica utilizada na cifrao e na
decifrao de informaes no classificadas, para uso exclusivo em interesse do
servio de rgos ou entidades da APF, direta e indireta, cujo cdigo fonte e mtodo
de processo sejam passveis de controle e auditoria.
A NC 07/IN01/DSIC/GSI/PR recebeu a primeira reviso, sendo incorporado o
tema Biometria como controle de acesso.
Foram publicadas trs normas complementares IN 01 GSI/PR:
30
NC 19/IN01/DSIC/GSI/PR estabelece Padres Mnimos de Segurana da
Informao e Comunicaes para os Sistemas Estruturantes da Administrao Pblica
Federal (APF), direta e indireta;
NC 20/IN01/DSIC/GSI/PR estabelece as Diretrizes de Segurana da
Informao e Comunicaes para Instituio do Processo de Tratamento da
Informao nos rgos e entidades da Administrao Pblica Federal (APF), direta e
indireta; e
NC 21/IN01/DSIC/GSI/PR estabelece as Diretrizes para o Registro de Eventos,
Coleta e Preservao de Evidncias de Incidentes de Segurana em Redes nos rgos e
entidades da Administrao Pblica Federal, direta e indireta. No mesmo ano, essa NC
recebeu a primeira reviso.
Foi publicado o Acrdo 3.051/2014-TCU-Plenrio de 5 de novembro de 2014,
referente ao processo do TCU n 023.050/2013-6. Esse Acrdo contextualiza as
auditorias realizadas em diversos rgos e entidades da Administrao Pblica federal
com o objetivo de avaliar a implementao dos controles de TI informados em
resposta ao levantamento do perfil de governana de TI de 2012. Pontos de interesses
da segurana da informao:
A segurana da informao segue sendo objeto de preocupao. H
baixa conformidade das organizaes para com os normativos e com as boas prticas
aplicveis. Na maioria das organizaes fiscalizadas na primeira fase, falhas foram
observadas: a) 80% - falhas na gesto de continuidade de negcio; b) 70% - falhas no
controle de acesso; c) 75% - falhas na gesto de incidentes; e, d) 85% - falhas na gesto
de riscos de segurana da informao.
Principais causas esto ligadas a falhas tpicas de governana, como a
falta de designao de um responsvel pela segurana da informao, fato observado
em 40% das organizaes.
Houve tendncia de mudana de comportamento dos dirigentes
pblicos sobre a segurana da informao.
A reduo dos percentuais observados no se traduz necessariamente
em retrocesso, mas pode ser interpretado como amadurecimento dos gestores de TI
no sentido de compreender melhor os conceitos relacionados segurana da
informao.
Ainda no h, por exemplo, um planejamento estratgico do Estado
brasileiro que rena e coordene aes dos diversos atores responsveis por assuntos
ligados a essa rea.
Recomendaes ao GSI/PR: elabore e acompanhe periodicamente
planejamento que abranja a estratgia geral de segurana da informao para o setor
sob sua jurisdio; e alerte as organizaes sob sua jurisdio que a elaborao
peridica de planejamento das aes de segurana da informao obrigao
expressa prevista no item 3.1 da Norma Complementar 02/IN01/DSIC/GSI/PR.
31
Foi publicado o Acrdo 3.117/2014-TCU-Plenrio de 12 de novembro de 2014,
referente ao processo do TCU n 003.732/2014-2. Trata-se de relatrio de
levantamento realizado com o objetivo de acompanhar a situao da Governana de
Tecnologia da Informao na Administrao Pblica Federal, realizado a cada dois anos
pelo TCU. Pontos de interesses da segurana da informao:
A segurana da informao tem sido objeto de preocupao em todos
os levantamentos anteriores por causa da baixa conformidade das organizaes em
relao aos normativos e s boas prticas aplicveis.
Como referncia para elaborao das questes da auditoria, foram
utilizadas principalmente a norma tcnica ABNT NBR ISO/IEC 27002:2005 e as normas
complementares do Departamento de Segurana da Informao e Comunicaes do
Gabinete de Segurana Institucional da Presidncia da Repblica (DSIC/GSI/PR).
Apesar de ser o principal instrumento direcionador da gesto da
segurana da informao, preocupa que apenas 66% (15% parcialmente e 51%
integralmente) das organizaes participantes declarem dispor de uma poltica de
segurana da informao formalmente instituda, como norma de cumprimento
obrigatrio.
Apesar de ser o principal instrumento direcionador da gesto da
segurana da informao, preocupa que apenas 66% das organizaes participantes
declarem dispor de uma poltica de segurana da informao formalmente instituda,
como norma de cumprimento obrigatrio;
O comit de segurana da informao formalmente institudo,
composto por representes das reas relevantes da organizao e responsvel por
formular e conduzir diretrizes para a segurana da informao corporativa,
encontrado em 62% das organizaes, segundo declarado.
Observa-se que apenas 50% das organizaes declararam possuir gestor
da segurana da informao formalmente designado, responsvel pelas aes
corporativas de segurana da informao.
Quanto poltica que normatiza o acesso s informaes e aos recursos
e servios de TI, somente 52% (declararam dispor desse normativo formalmente
institudo, com cumprimento obrigatrio).
Quanto poltica de cpias de segurana (backup), que so necessrias
para garantir a disponibilidade das informaes em casos de falhas de sistemas ou
pessoas, somente 54% declararam dispor desse normativo formalmente institudo,
com cumprimento obrigatrio.
Lei n 12.965, de 23 de abrul de 2014, conhecida como Marco Civil da Internet,
estabelece princpios, garantias, direitos e deveres para o uso da Internet no Brasil.
Portaria Normativa MD 2.777, de 27 de outubro de 2014, aprova a diretriz de
implantao de medidas visando potencializao da Defesa Ciberntica Nacional e
cria o Comando de Defesa Ciberntica ComDCiber e a Escola Nacional de Defesa
32
Ciberntica EnaDCiber, na Estrutura Regimental do Comando do Exrcito, com
nfase na implantao e a consolidao do Sistema de Homologao e Certificao de
Produtos de Defesa Ciberntica, o apoio pesquisa e ao desenvolvimento de produtos
de defesa ciberntica, bem como a criao do Observatrio de Defesa Ciberntica.
Em 14 de abril o Brasil assina com a Sucia, em Estocolmo, o Acordo de Troca e
Proteo Mtua de Informaes Classificadas.
Durante todo o ano, na qualidade de Autoridade Nacional de Segurana (ANS),
exercida GSI/PR, manteve estreita relao com o Ministrio das Relaes Exteriores na
articulao, tanto de ajustes nos Acordos de Troca e Proteo Mtua de Informaes
Classificadas assinados com seis pases, visando alinhamento LAI, quanto de novos
acordos demandados por outros 14 pases.
Portaria Interministerial MP MD MC n 141, de 02 de maio de 2014,
regulamenta o Decreto n 8.135/2013, dispe para toda a administrao pblica
federal o dever de realizar as suas comunicaes, armazenamentos e recuperaes de
dados atravs de redes de telecomunicaes e servios de tecnologia de informao
fornecidos por rgos ou entidades da prpria administrao pblica federal (SERPRO,
TELEBRS, DATAPREV, entre outros), com exceo de servio mvel pessoal e servio
telefnico fixo comutado, garantindo-se a segurana da informao e comunicaes
conforme normativos do GSI/PR. O SERPRO inicia implantao do servio de
mensageria Expresso V3 na APF.
Publicada a Doutrina Militar de Defesa Ciberntica (MD31-M-07, 1
Edio/2014), por meio da Portaria normativa n 3.010/MD, de 18 de novembro de
2014.
Relatrio Final da CPI da Espionagem, elaborado pela Comisso Parlamentar de
Inqurito destinada a investigar a denncia de existncia de um sistema de
espionagem, estruturado pelo governo dos Estados Unidos, com o objetivo de
monitorar e-mails, ligaes telefnicas, dados digitais, alm de outras formas de captar
informaes privilegiadas ou protegidas pela Constituio Federal aponta para
diversos aspectos essenciais e recomendaes segurana da informao e segurana
ciberntica, entre eles:
Elaborao de uma Estratgia Nacional de Segurana Ciberntica,
realando que houve unanimidade entre os convidados CPI, de que mais urgente do
que a Estratgia, que sejam delineadas as principais medidas de segurana
ciberntica para o Estado brasileiro, englobando aes coordenadas entre os setores
pblico e privado.
Criao de uma agncia para a segurana ciberntica no mbito da
Administrao Pblica Federal, favorecendo viso de conjunto no tema e aes mais
eficazes e efetivas. Alternativamente criao de um novo rgo, poderia ser alterada
a estrutura de rgo j existente, modificando suas atribuies, para lhe conferir
capacidade de atuar, com independncia, em sua totalidade e em estreita
33
coordenao com os demais rgos atuantes nos mais diversos temas que englobam a
segurana ciberntica.
At o 1. Trimestre de 2015
Regulamentao do Marco Civil da Internet, processo de regulamentao da Lei
n 12.965/2014, em andamento por meio de consultas pblicas pelo Comit Gestor da
Internet e pelo Ministrio da Justia.
Projeto de Lei de Dados Pessoais. Em consulta pblica disponibilizada pelo
Ministrio da Justia
Alterao da Instruo Normativa SLTI n 04, em 12 de janeiro de 2015,
estabelecendo a Estratgia Geral de Tecnologia da Informao e Comunicaes
(EGTIC) 2014/2015, a qual compreende um instrumento de gesto do Sistema de
Administrao dos Recursos de Tecnologia da Informao (SISP), traando a direo da
Tecnologia da Informao e Comunicaes (TIC), e definindo o plano estratgico que
visa promover a melhoria contnua da gesto e governana de TIC no governo.
Em fevereiro de 2015, realizao da II Jornada de Discusses dos Projetos
ENaDCiber e SHCDCiber, evento organizado pelo CDCiber/EB/MD em parceria com a
UnB, para debater sobre a concepo e a viabilidade de criao da Escola Nacional de
Defesa Ciberntica (ENaDCiber) e do Sistema de Homologao e Certificao de
Produtos e Servios de Defesa Ciberntica (SHCDCiber).
Decreto n 8.414, de 26 de fevereiro de 2015, institui o Programa Bem Mais
Simples Brasil com a finalidade de simplificar e agilizar a prestao dos servios
pblicos e de melhorar o ambiente de negcios e a eficincia da gesto pblica.
Objetivos: (i) simplificar e agilizar o acesso do cidado, das empresas e das entidades
sem fins lucrativos aos servios e informaes pblicos; (ii) promover a prestao de
informaes e servios pblicos por meio eletrnico; (iii) reduzir formalidades e
exigncias na prestao de servios pblicos; (iv) promover a integrao dos sistemas
de informao pelos rgos pblicos para oferta de servios pblicos; (v) celebrar o
Pacto Bem Mais Simples Brasil com os demais Poderes da Unio e com os Estados, o
Distrito Federal e os Municpios; e (vi) modernizar a gesto interna da administrao
pblica.
34
FINALIDADE E APLICAO
A SIC e a SegCiber, base da Defesa Ciberntica, visam assegurar o uso do espao ciberntico, impedindo ou dificultando, em seu mbito, aes contra os interesses do Pas e da sociedade (Figura 1).
Assim, a presente Estratgia de Segurana da Informao e Comunicaes e de Segurana Ciberntica da Administrao Pblica Federal 2015/2018, verso 1.0, desdobramento da Instruo Normativa GSI/PR n 01/2008, coordenada e integrada pelo Gabinete de Segurana Institucional da Presidncia da Repblica GSI/PR, tem a finalidade de apresentar as diretrizes estratgicas para o planejamento de segurana da informao e comunicaes e de segurana ciberntica no mbito da APF, objetivando a articulao e a coordenao de esforos dos diversos atores envolvidos, de forma a atingir o aprimoramento da rea no Governo e a mitigao dos riscos aos quais encontram-se expostas as organizaes e a sociedade.
As diretrizes dessa Estratgia aplicam-se a todos os rgos e entidades que
integram a APF.
Figura 1 Viso em Camadas: SIC, SegCiber e Defesa Ciberntica
35
METODOLOGIA
A elaborao dessa Estratgia de Segurana da Informao e Comunicaes e
de Segurana Ciberntica da Administrao Pblica Federal utilizou, com adaptaes,
a consagrada metodologia de planejamento e gesto estratgica denominada
Balanced Scorecard (BSC), proposta por Robert Kaplan e David Norton.
O valor dessa metodologia reside na capacidade de traduzir a viso e a
estratgia em aes que de fato contribuam para o alcance dos objetivos estratgicos,
alm de prover um sistema de retroalimentao que permite o ajuste e o
aprimoramento contnuo por meio do acompanhamento de indicadores e metas,
englobando inclusive os princpios do PDCA.
A partir de adaptaes da metodologia BSC ao ambiente governamental, no
contexto da SIC e da SegCiber, foram consideradas quatro perspectivas basilares sobre
as quais foram construdos os objetivos estratgicos e as metas: (i) Oramentria; (ii)
Aprendizagem, Crescimento e Inovao; (iii) Governo; e (iv) Resultados para a
Sociedade.
A perspectiva Oramentria tem natureza estruturante e diz respeito ao aporte
contnuo e adequado de recursos do oramento federal para que se viabilize as aes
necessrias ao alcance dos objetivos propostos nessa Estratgia.
A perspectiva Aprendizagem, Conhecimento e Inovao, que tambm tem
natureza estruturante, envolve o investimento em capital humano, abrangendo aes
de sensibilizao, conscientizao, treinamento, capacitao e especializao nas reas
de SIC e de SegCiber, como forma de preparar os agentes pblicos para promover
mudanas e viabilizar a consecuo dos objetivos propostos na Estratgia.
Por sua vez, a perspectiva Governo engloba os processos internos, a legislao,
as articulaes, as competncias institucionais, as estruturas governamentais e tudo o
mais que envolva as intra e inter-relaes da APF com os demais atores, no alcance
dos objetivos.
Por fim, a perspectiva Resultados para a Sociedade representa a finalidade
precpua da ao Estatal a de direcionar sua conduta sempre visando os interesses e
demandas sociais, e engloba as aes em SIC e SegCiber que resultem em benefcios
para a sociedade, tais como proteo da privacidade, transparncia, democratizao
do acesso a informao e salvaguarda dos ativos de informao sigilosos.
Tendo em vista a natureza transversal dos Objetivos Estratgicos de SIC e de
SegCiber, as metas foram construdas a partir de uma viso holstica, ou seja,
considerando a Estratgia como um todo, no se vinculando necessariamente cada
meta a um nico objetivo estratgico.
36
Para a elaborao da minuta da Estratgia foi nomeado um Grupo Tcnico
formado por servidores do Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica
GSI/PR, rgo com a atribuio de planejar e coordenar a segurana da informao no
mbito da APF, conforme prev a Lei n 10.683/2003 e o regramento infralegal.
A iniciativa apoiou-se ainda na jurisprudncia do Tribunal de Contas da Unio,
em especial no Acrdo 1.145/2011 do Plenrio, especificando que o GSI/PR, dentre
outros, um rgo Governante Superior (OGS) o qual tem a responsabilidade de
normatizar e fiscalizar os aspectos da Segurana da Informao e Comunicaes, em
seus respectivos segmentos da Administrao Pblica Federal; e no Acrdo
3.051/2014 do Plenrio, que concluiu competir ao GSI, no mbito do Poder Executivo,
o papel de promover o desenvolvimento de uma estratgia para melhoria da
segurana da informao [...], ainda que o faa em articulao com outros rgos no
mbito das respectivas competncias.
Objetivando a articulao e a colaborao dos demais rgos e entidades da
APF, o GSI/PR consultou o Comit Gestor de Segurana da Informao (CGSI)
instncia de assessoramento criada por meio do Decreto n 3.505/2000 no mbito do
Conselho de Defesa Nacional (CDN), cuja coordenao cabe ao GSI/PR e da qual fazem
parte dezessete rgos da APF , como forma de buscar o alinhamento com os
diversos atores, a efetividade dos objetivos propostos e o aprimoramento das
diretrizes da Estratgia.
37
REFERENCIAL ESTRATGICO
MISSO DA ESTRATGIA
Fortalecer a poltica e o planejamento de segurana da informao e
comunicaes e de segurana ciberntica na Administrao Pblica Federal, visando
assegurar e defender os interesses do Estado e da sociedade para a preservao da
soberania nacional.
VISO DE FUTURO DA ESTRATGIA
Ser reconhecida como instrumento de planejamento governamental para a
excelncia em segurana da informao e comunicaes e em segurana ciberntica
na Administrao Pblica Federal.
VALORES DA ESTRATGIA
tica: Ter como padro de conduta aes que busquem a verdade dos fatos, amparadas em honestidade, moralidade, respeito, coerncia e probidade na administrao pblica.
Colaborao: Atuar com dedicao, empenho e envolvimento em permanente colaborao e comunicao com os rgos e entidades da APF, mantendo dilogos contnuos com os demais atores atuantes nas reas de SIC e de SegCiber no pas e exterior.
Efetividade: Atendimento s demandas da sociedade nas reas de SIC e de SegCiber, por intermdio da APF, com foco em resultados.
Disseminao da cultura de SIC e de SegCiber: Promover o comprometimento da sociedade com os valores, vises, boas prticas, smbolos, hbitos, comportamentos e polticas, relativas segurana da informao e comunicaes e segurana ciberntica.
Inovao: Propor e implementar solues criativas, novas ou adaptadas, no mbito da SIC e da SegCiber, sempre na vanguarda da cincia e tecnologia.
Liderana: Atuar com liberdade e autonomia de forma tcnica, proativa,
38
competente, responsvel, imparcial, coerente e objetiva e estar comprometido com a misso institucional, com a capacidade de influenciar e mobilizar os diversos rgos e entidades da APF para a consecuo dos objetivos de SIC e de SegCiber, em prol da sociedade.
Apoio s Polticas Pblicas: Priorizar as aes, programas e atividades desenvolvidas pelo Estado, no mbito da SIC e da SegCiber, que correspondam a direitos assegurados constitucionalmente ou que se afirmam pelo reconhecimento das demandas da sociedade.
39
PRINCPIOS NORTEADORES DA ESTRATGIA
rgo Central: contribuir com o estabelecimento de um rgo central e de um sistema nacional, objetivando a coordenao executiva, o acompanhamento e a avaliao da implantao e execuo da Poltica Nacional de SIC e SegCiber.
Governana: contribuir com a definio de um modelo de governana sistmica de SIC e de SegCiber, de amplo alcance e cobertura para uma conexo forte entre os mltiplos atores, em nvel nacional.
Poltica Nacional: contribuir com a formulao da Poltica Nacional de Segurana da Informao e Comunicaes e de Segurana Ciberntica.
Capacidade de posicionamento e de respostas da Nao: contribuir com a criao de uma robusta capacidade de posicionamento e de respostas da Nao frente s potenciais quebras de segurana e ameaas cibernticas, fortalecendo a alocao de recursos financeiros, tecnolgicos e humanos.
Comprometimento da Alta Administrao: envolver a Alta Administrao dos rgos e entidades da Administrao Pblica Federal em relao s diretrizes e aes de SIC e de SegCiber no mbito de suas atuaes.
Marcos Legais: colaborar para o aprimoramento e atualizao dos marcos legais em SIC e SegCiber.
Articulao e Parcerias: garantir que a SIC e a SegCiber estejam contempladas em termos, acordos, contratos e instrumentos firmados entre a APF e setores pblicos ou privados, nacionais ou internacionais.
Soberania Nacional: reconhecer as reas de SIC e de SegCiber como estratgicas para a soberania nacional, garantindo recursos contnuos e adequados.
Cooperao: promover a cooperao nacional e internacional, visando trocas de experincias e o fortalecimento dos temas de SIC e de SegCiber no mbito da APF e com setor produtivo e academia.
Integrao: fomentar e fortalecer aes conjuntas visando integrao entre as reas de SIC e de SegCiber com outras reas que atuam no espao ciberntico.
Resilincia: contribuir com o aumento da capacidade de resilincia dos ativos de informao e das infraestruturas crticas.
40
MAPA ESTRATGICO
O Mapa Estratgico segue uma abordagem em perspectivas, criando uma
relao de causa e efeito e explicitando um caminho para se chegar aos resultados
almejados. Ou seja, no caso presente, preciso assegurar recursos suficientes no
oramento motivo pelo qual a perspectiva oramentria encontra-se na base do
processo de forma que se invista em aprendizagem, capacitao e inovao, dando
condies para que os atores de Governo envolvidos promovam as melhorias
necessrias nas instituies, nas estruturas e nos processos da gesto governamental e
das polticas pblicas, derivando na entrega de resultados efetivos para a sociedade e
na melhoria do prprio Estado.
41
MA
PA E
STR
AT
GIC
O
42
OBJETIVOS ESTRATGICOS
Os objetivos estratgicos desta Estratgia de Segurana da Informao e
Comunicaes e de Segurana Ciberntica da Administrao Pblica Federal
representam foras motrizes para o cumprimento da misso e o alcance da viso de
futuro da mesma, e foram alinhados, tambm, aos princpios norteadores e valores,
ora propostos.
Espera-se que tais objetivos estratgicos, alm de alcanar os resultados da
Estratgia, fomentem, no mbito da APF e em futuro breve, o estabelecimento da
Governana Sistmica de SIC e de SegCiber, com vistas institucionalizao e ao
fortalecimento da gesto pblica de tais reas na esfera do Poder Executivo federal e
oportunamente em nvel nacional. Tal viso sistmica deve basear-se num modelo
que rena tanto a sociedade civil quanto os entes federativos da Repblica Unio,
estados, municpios e Distrito Federal com seus respectivos Sistemas de SIC e de
SegCiber, organizados de forma autnoma e em regime de colaborao.
semelhana de outros, esses sistemas de SIC e de SegCiber estabelecero
efetiva articulao entre Estado e sociedade, fortalecendo a organicidade, a
racionalidade, a efetividade, os investimentos, a inovao e a estabilidade das polticas
pblicas de SIC e de SegCiber, definidas como de Estado.
A SIC e a SegCiber so estratgicas para a Nao, cabendo APF direcionar
esforos para a consecuo dos objetivos propostos nesta Estratgia, conforme
apresentados a seguir.
43
OE-I INSTITUCIONALIZAR O TEMA DE SIC E DE SEGCIBER NO PLANEJAMENTO E ORAMENTO FEDERAL.
A importncia estratgica para o pas dos temas de SIC e de SegCiber, conforme
j contextualizado, exige um tratamento apropriado e prioritrio por parte da Alta
Administrao da APF, que esteja altura dos desafios atuais.
A institucionalizao desses temas nos instrumentos de planejamento e
oramento do Governo fundamental para que tais reas avancem e sejam vistas no
nvel estratgico requerido, conquistando destaque no planejamento, bem como
aportes contnuos e adequados de recursos do oramento federal.
Considerando que o Plano Plurianual (PPA), institudo na Constituio Federal
de 1988, tem a finalidade de ser um instrumento de planejamento e gesto estratgica
do Governo Federal, e caracteriza-se como principal instrumento orientador das peas
oramentrias, reala-se o necessrio estabelecimento de programas no PPA e,
como meta, no PPA 2016-2019 que englobem as temticas de SIC e de SegCiber e
que permitam uma abordagem transversal e multissetorial das polticas pblicas,
passo importante para o atingimento dos objetivos propostos nessa Estratgia.
Certamente, h que se definir, com base em amplos debates com atores chave
do governo, da academia, do setor privado e do terceiro setor, percentual do PIB a ser
formalizado como patamar mnimo de investimento em SIC e em SegCiber, de forma a
estabelecer um ciclo virtuoso de desenvolvimento em prol da soberania nacional e da
segurana institucional como um todo.
Para alm das dimenses estratgica e ttica abordadas no PPA, fundamental
que os rgos busquem a adequada operacionalizao das aes de SIC e de SegCiber
estabelecidas na esfera oramentria (LOA), no mbito de suas respectivas reas de
atuao, por meio do adequado alinhamento entre o planejamento de SIC e de
SegCiber e o Planejamento Estratgico Institucional dos rgos e entidades da APF, em
conformidade com a Instruo Normativa GSI/PR n 01/2008 e suas respectivas
Normas Complementares, em especial a Norma Complementar n
02/IN01/DSIC/GSIPR.
44
OE-II GARANTIR CONTINUAMENTE O APRIMORAMENTO DO QUADRO DE PESSOAL DA APF EM SIC E SEGCIBER, DE FORMA QUALITATIVA E QUANTITATIVA.
Os profissionais atuantes em SIC e SegCiber na APF, face a sua atuao
relevante, somadas as responsabilidades j estabelecidas no arcabouo normativo do
GSI/PR, devem ser valorizados quali e quantitativamente, amparado, dentre outros,
nas diretrizes da Poltica Nacional de Desenvolvimento de Pessoal da APF (Decreto n
5.707/2006).
Orienta-se, desta forma, que os rgos e entidades da APF estabeleam, em
seus respectivos planejamentos de SIC e de SegCiber, programas de desenvolvimento
de habilidades, aperfeioamento e atualizao profissional com recursos adequados
demanda institucional, de forma a promover aprimoramento contnuo no curto, mdio
e longo prazo, em consonncia com as normas complementares NC n
17/IN01/DSIC/GSI/PR e NC n 18/IN01/DSIC/GSI/PR.
Cabe ainda estimular parcerias com Escolas de Governo, bem como com outras
instituies, universidades e empresas, no sentido de desenvolver programas de
ensino, em todos os nveis, voltados formao e ao aprimoramento de recursos
humanos nas reas de SIC e de SegCiber. Tais aes visam atender as demandas de
sensibilizao, conscientizao, capacitao e especializao, de modo a fomentar o
aperfeioamento contnuo e a permanncia de tais profissionais, e contribuir com a
robustez da Governana Sistmica de SIC e de SegCiber da APF.
O estudo de viabilidade da criao de uma carreira de Estado em SIC e
SegCiber, para atuao desses profissionais junto Alta Administrao, considerando
que as reas so crticas, exclusivas de Estado, de elevada sensibilidade, altamente
estratgicas e preponderantes preservao da soberania nacional, constitui
importante fator para melhor consecuo desse objetivo estratgico.