Transcript SI_para_GovTI - Monade Rassa

MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Segurança da Informação
para a Governança de TI
Coordenação-Geral de Segurança da
Informação – DSR/SLTI
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Agenda
 Governança de TI
 O SGSI
 O que é?
Conceitos e definições
 Objetivos
Objetivos
 ABNT 38500:2009
Normas
Princípios e Diretrizes
 O SGSI e a Governança de
TI
 A SI na APF
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Governança de TI
 O que é?
 Objetivos
 A Norma ABNT NBR ISO/IEC
38500:2009
Gov. TI: O que é?
Governança Corporativa
Sistema pelo qual as organizações
são dirigidas e controladas,
envolvendo os relacionamentos
entre Acionistas/Cotistas, Conselho
de Administração, Diretoria,
Auditoria Independente e Conselho
Fiscal. (adaptado do Relatório
Cadbury 1992 e OECD 1999)
Gov. TI: O que é?
Governança Corporativa de TI
Parte do Sistema Governança Corporativa
Sistema pelo qual o uso atual e futuro da TI é
dirigido e controlado
Significa avaliar e direcionar o uso da TI para dar
suporte à organização e monitorar seu uso para
realizar os planos. Inclui a estratégica e as políticas de
uso da TI dentro da organização
Governança ≠ Gerenciamento
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Governança de TI
 O que é?
 Objetivos
 A Norma ABNT NBR ISO/IEC
38500:2009
Objetivos da Gov. de TI
Promover o uso eficaz, eficiente e
aceitável da TI
A maioria das organizações usa a TI como
uma ferramenta fundamental do negócio e
poucas podem funcionar eficazmente sem
ela
As despesas com a TI podem representar
uma porção significativa dos gastos de
recursos financeiros e humanos
Objetivos da Gov. de TI
Promover o uso eficaz, eficiente e
aceitável da TI
Frequentemente
o
retorno
desse
investimento não é totalmente obtido, com
grandes efeitos adversos
A principal razão para esses resultados
negativos é a ênfase nos aspectos técnico,
financeiro e de programação das atividades
de TI, ao invés do uso da TI no contexto
geral do negócio
Objetivos da Gov. de TI
A Governança de TI busca
 alinhar os objetivos da TI com os objetivos
estratégicos e a finalidade da organização
 assegurar a conformidade da TI com as leis e
regulamentos
 definir com clareza as responsabilidades e
obrigatoriedades
 assegurar a continuidade e sustentabilidade do
negócio
 reduzir os custos da organização
 obter uma alocação eficiente de recursos
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Governança de TI
 O que é?
 Objetivos
 A Norma ABNT NBR
ISO/IEC 38500:2009
A Norma ABNT 38500
Estabelece os princípios para o uso eficaz,
eficiente e aceitável da TI e um modelo para
a governança de TI
A norma assegura às organizações que
seguem os princípios que os riscos serão
melhor avaliados e as oportunidades serão
melhor aproveitadas
As organizações que usam as orientações
fornecidas nessa norma têm maior
probabilidade de cumprir com suas
obrigações
A Norma ABNT 38500
Princípios
Expressam o comportamento preferido
para orientar a tomada de decisão.
Referem-se ao que convém acontecer, mas
não descreve como, quando ou por quem os
princípios seriam implementados
A Norma ABNT 38500
Princípios
1.
2.
3.
4.
5.
6.
Responsabilidade
Estratégia
Aquisição
Desempenho
Conformidade
Comportamento Humano
A Norma ABTN 38500
Modelo
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Sistema de Gestão da SIC
 Conceitos e definições
 Objetivos
 Normas
 Princípios e diretrizes
Conceitos e Definições
Informação, ativo de informação,
disponibilidade,
integridade,
confidencialidade,
autenticidade,
segurança da informação, sistema
de gestão de segurança da
informação.
Conceitos e Definições
Informação – É o resultado do
processamento,
manipulação
e
organização de dados, de tal forma que
represente
uma
modificação
(quantitativa
ou
qualitativa)
no
conhecimento do sistema (pessoa,
animal ou máquina) que a recebe.
A informação é
um ativo
econômico e
estratégico
Conceitos e Definições
Tipos de Informação
Impressa ou escrita em papel
Armazenada eletronicamente
Verbal
Internas da organização
De clientes e fornecedores
De parceiros
Conceitos e Definições
Ativo de informação – Meios de
armazenamento,
transmissão
e
processamento,
os
sistemas
de
informação, bem como os locais onde se
encontram esses meios e as pessoas
que a eles têm acesso (Portaria Nº45 –
8/09/2009 - GSIPR)
Conceitos e Definições
D
I
C
A
Disponibilidade – Propriedade de estar acessível e utilizável sob
demanda por uma entidade autorizada (ISO 27.001)
Integridade – Propriedade de salvaguarda da exatidão e completeza
de ativos (ISO 27.001)
Confidencialidade – Propriedades de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou processos não
autorizados (ISO 27.001)
Autenticidade – Propriedades de que a informação foi produzida,
expedida, modificada ou destruída por uma determinada pessoas física,
ou por um determinado sistema, órgão ou entidade (IN01 GSIPR)
Conceitos e Definições
Segurança
da
informação
–
Preservação
da
disponibilidade,
integridade e confidencialidade da
informação;
adicionalmente,
outras
propriedades, tais como autenticidade,
responsabilidade,
não
repúdio
e
confiabilidade, podem também estar
envolvidas
(ABNT
NBR
ISO/IEC
27.001:2006)
Conceitos e Definições
Sistema de Gestão de Segurança da
Informação SGSI – A parte do sistema
global, baseado na abordagem de riscos
do
negócio,
para
estabelecer,
implementar, operar, monitorar, analisar
criticamente, manter e melhorar a
segurança da informação (ABNT NBR
ISO/IEC 27.001:2006)
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Sistema de Gestão da SIC
 Conceitos e definições
Objetivos
 Normas
 Princípios e diretrizes
Objetivos da SIC
Preservar:
Informação
 DICA
Organização





Missão
Continuidade do Negócio
Conformidade Legal
Imagem
Credibilidade
Objetivos da SIC
Evitar e Minimizar
Riscos
Vulnerabilidades
Prejuízos
Vazamento de
informação
sensível, sigilosa
ou crítica
Incidentes
Descontinuidades
Desastres
Crises
Roubo de
informações
Não conformidades
legais
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Sistema de Gestão da SIC
 Conceitos e definições
 Objetivos
 Normas
 Princípios e diretrizes
Normas de SI para a APF
O GSIPR, por meio do DSIC, é o órgão
responsável por editar normas de SIC para a
APF.
Quais as principais normas emanadas pelo GSIPR?
IN 01 (18/06/2008) - Disciplina a Gestão de Segurança da
Informação e Comunicações na Administração Pública
Federal, direta e indireta, e dá outras providências.
NC 01 (15/10/2008)
Normatização.
–
Disciplina
a
Atividade
NC 02 (14/10/2008) – Metodologia de Gestão de SIC.
de
Normas de SI para a APF
O GSIPR, por meio do DSIC, é o órgão
responsável por editar normas de SIC para a
APF.
Quais as principais normas emanadas pelo GSIPR?
NC 03 (03/07/2009) – Define diretrizes para a Elaboração da
PoSIC.
NC 04 (17/08/2009) – Define diretrizes para o processo de
GRSIC
NC05 (17/08/2009) – Disciplina a criação de ETIRs.
Normas de SI para a APF
O GSIPR, por meio do DSIC, é o órgão
responsável por editar normas de SIC para a
APF.
Quais as principais normas emanadas pelo GSIPR?
NC06 (23/11/2009) – Estabelece diretrizes para a GCN nos
aspectos de SIC.
NC07 (07/05/2010) – Estabelece diretrizes para Implementação
de Controles de Acesso.
NC08 (24/08/2010) – Estabelece diretrizes para GIRC.
NC09 (22/11/2010) – Diretrizes de uso de recursos criptográficos.
Normas de SI para a APF
Além dos normativos do GSIPR, há ainda decretos e
normas da ABNT que orientam as ações de SIC na APF.
D3505 (13/06/2000) – Institui a PoSIC nos órgãos e
entidades da APF.
D4553 (27/12/2002) – Dispõe sobre diretrizes e métodos
para classificação da informação.
ABNT NBR ISO/IEC 27.001:2006 – Define requisitos para
SGSI.
ABNT NBR ISO/IEC 27.002:2006 – Código de práticas para
a gestão de SIC (GUIA DE MELHORES PRÁTICAS)!!!!
Normas de SI para a APF
Além dos normativos do GSIPR, há ainda decretos e
normas da ABNT que orientam as ações de SIC na APF.
ABNT NBR ISO/IEC 27.004:2010 – Estabelece diretrizes
para o desenvolvimento e uso de métricas e medições dos
controles de SI.
ABNT NBR ISO/IEC 27.005:2008 – Fornece diretrizes para
o processo de gestão de riscos de SI.
ABNT NBR ISO/IEC
implantação do SGSI.
27.003:2011
–
Diretrizes
para
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Sistema de Gestão da SIC
 Conceitos e definições
 Objetivos
 Normas
 Princípios e diretrizes
Princípios e Diretrizes de SI
A SI é responsabilidade da alta direção da
organização
Não é responsabilidade apenas do gestor de TI
Mas precisa de uma arquitetura que sustente a SI
Delegar atribuições é fundamental (Gestor de SIC,
proprietário
da
informação,
custodiante
da
informação, etc)
Princípios e Diretrizes de SI
A SI é responsabilidade da alta direção da
organização
Evidências do comprometimento da alta direção:





PoSIC
Plano e objetivos de SIC
Papéis e responsabilidades
Comunicar a importância da SIC
Assegurar os recurso$ necessários para as ações de
SIC
 Definir critérios e níveis de risco aceitáveis
 Garantir auditorias do SGSI
Um dos maiores desafios
Princípios e Diretrizes de SI
PoSIC, objetivos e atividades de SIC que
reflitam os objetivos do negócio
Alinhamento entre a SIC e objetivos estratégicos,
estrutura e finalidade da instituição
A Gestão de SIC deve suportar a tomada de
decisão na organização
PoSIC – primeiro passo
 Nada acontece sem a PoSIC
 PoSIC sem processos, atividades, estrutura, recurso$,
normas, não é muito útil
Princípios e Diretrizes de SI
Treinamento e conscientização
Muitas vezes, as pessoas são o elo fraco da
corrente
O sucesso do programa de SI depende
 do bom entendimento dos requisitos de SI, da
análise/avaliação de riscos e da gestão de riscos
 da divulgação eficiente das ações
Princípios e Diretrizes de SI
Implementação de um sistema de medição
“O que não é medido, não é gerenciado”
Não é necessário criar métricas complexas, o
básico já é suficiente
A norma 27.004 pode auxiliar
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
O SGSI e a
Governança de TI
SGSI e Gov. TI
Modelo de Gov. TI e as Informações
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
A SIC na APF
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
Certificado Digital
 Documento eletrônico que se destina a
registrar de forma única, exclusiva e
intransferível a relação entre uma chave de
criptografia e uma PJ, PF, máquina ou
aplicação
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
Certificado Digital
 Tem por finalidade garantir a identidade
das partes envolvidas em uma transação e
proteger as informações sob a guarda do
estado
 Possui validade jurídica
 Permite
Agilidade
Redução de custos
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
Certificado Digital
 Permite
GED
Economia de recursos naturais
Segurança
• APF
• Cidadão
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
Sistemas Estruturantes (30)








SIAPE
SIASG
COMPRASNET
SIDOR
SIAPA
SIORG
SCDP
SICONV
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
Desafios
 Emissão presencial
 Servidores distribuídos em todo o território
nacional
 Treinamento dos
multiplicadores
 Pagamento dos CDs
 120 redes do Governo
 Manuais de usuário
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
A SIC na APF
Certificação Digital nos
Sistemas Estruturantes da APF
A SIC na APF
Infovia Brasília
O que é?
 Infraestrutura
de
rede
ótica
metropolitana
de
comunicações,
construída para fornecer, aos órgãos
do Governo Federal situados em
Brasília, um conjunto de serviços e
funcionalidades em ambiente seguro,
de alta performance e de alta
disponibilidade
A SIC na APF
Infovia Brasília
Objetivos
 Proporcionar
uma
significativa
redução
dos
custos
de
comunicação e um ambiente capaz
de
servir
de
suporte
à
implementação
das
políticas
públicas de Governo
A SIC na APF
Infovia Brasília
SIC na Infovia
 Garantir a DICA por meio
Gestão de Ativos de Informação
Gestão de Riscos
Segurança Física
Gestão de operações e comunicações
Controle de Acesso
Tratamento de Incidentes
Gestão de Continuidade
A SIC na APF
e-PING
O que é?
 Arquitetura que define um conjunto
mínimo de premissas, políticas e
especificações
técnicas
que
regulamentam a utilização da Tecnologia
de Informação e Comunicação (TIC) no
governo federal, estabelecendo as
condições de interação com os demais
Poderes e esferas de governo e com a
sociedade em geral.
A SIC na APF
e-PING
GT Segurança
 Este segmento trata dos aspectos de
segurança de TIC que o governo federal
deve considerar. São tratados os
padrões para:






Segurança de IP
Segurança de Correio Eletrônico
Criptografia
Desenvolvimento de Sistemas
Serviços de Rede
Coleta e arquivamento de evidências
A SIC na APF
e-PING
Situação atual dos padrões e-PING
A – Adotado
E – Em Estudo
R – Recomendado
F – Estudo Futuro
T – Em Transição
A SIC na APF
e-PING
Situação atual dos padrões e-PING
https://www.consultas.governoeletronico.gov.br/Co
nsultasPublicas/consultas.do?acao=exibir&id=96
A SIC na APF
NSIC – Núcleo de SIC do SISP
O NSIC é um Fórum de Discussão dos
Desafios da SIC para o SISP
A SIC na APF
NSIC – Núcleo de SIC do SISP
 Instituído pela Resolução
SLTI nº 5, de 21 de dezembro
de 2011.
 Objetivo principais
 realizar estudos sobre SIC
 elaborar e implementar normas de
SIC
 divulgar, implementar e monitorar
boas práticas
 propor capacitação de servidores
em SIC
A SIC na APF
NSIC – Núcleo de SIC do SISP
 Característica
 assessoramento técnico e consultivo
 manifesta-se por recomendações à
Comissão de Coordenação do SISP
 Composição
 representantes
 do SISP
 outros órgãos ou entidades públicos e
privados
 especialistas e consultores em SIC
MINISTÉRIO DO PLANEJAMENTO
Secretaria de Logística e Tecnologia da Informação
Obrigado!
[email protected]