"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Federal
1. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Gabinete de Segurança Institucional da
Presidência da República – GSIPR
“Segurança Cibernética –
Oportunidades e desafios
na APF”
Infraero – agosto/2011
2. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Sumário
• Cenários e Tendências;
• O Problema;
• Quem somos e o que fizemos;
• Do que nós estamos falando;
• Modelos Brasileiros;
• Desafios para os próximos anos;
• Visão de futuro.
Infraero – agosto/2011
5. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
CENÁRIOS E TENDÊNCIAS
• Os ataques cibernéticos apresentam escala mundial
crescente e se caracterizam como um dos grandes
desafios do século;
• A Segurança e a Defesa Cibernética vêm se
caracterizando cada vez mais como funções
estratégicas de governo em economias
desenvolvidas, ou não, para:
– proteção das infraestruturas críticas;
– segurança da informação e comunicações;
– cooperação internacional;
– construção de marcos legais;
– capacitação de recursos humanos.
Infraero – agosto/2011
6. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
CENÁRIOS E TENDÊNCIAS
Por quê?
- evolução e convergência das TICs;
-redução dos custos de hardwares e softwares;
- aumento da disponibilidade de sistemas e redes;
- universalização do acesso à Internet.
Consequências:
- surgimento do Espaço Cibernético;
- hábitos e costumes em constante e rápidas
mudanças;
- aumento das ameaças e vulnerabilidades .
Obrigando:
- a criação de uma cultura de SIC;
Infraero – agosto/2011
7. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
O problema
• A informação:
– é crucial para APF
– é acessada por pessoas diversas
– mas está exposta a riscos
– pode ser afetada (DICA):
• Disponibilidade
• Integridade
• Confidencialidade
• Autenticidade
Infraero – agosto/2011
8. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
O problema
• Aprimorar a metodologia e a cultura de
Segurança da Informação e Comunicações
para garantir a “DICA”;
• Construir elementos que garantam a
Segurança e a Defesa de seu Espaço
Cibernético.
Com o objetivo de:
• proteger a Sociedade;
• nortear as ações dos diversos atores que
interagem na grande rede.
Infraero – agosto/2011
9. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Tamanho do Problema
37 ministérios;
≅ 6.000 entidades governamentais;
≅ 1.050.000 servidores federais;
≅ 320 grandes redes do Governo Federal;
repercussão na sociedade.
Infraero – agosto/2011
10. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Desafios
À APF:
Envolvimento efetivo da Alta Administração com a
Gestão de SIC;
Metodologia e cultura de Segurança da Informação e
Comunicações para garantir a “DICA”;
Construir o marco legal contra ataques cibernéticos;
Atualizar as Normas conforme avanço das
tecnologias;
Ao País:
Elementos que garantam a Segurança e a Defesa de
seu Espaço Cibernético.
Para:
Proteger a Sociedade;
Nortear as ações dos diversos atores que interagem
na grande rede.
Infraero – agosto/2011
13. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Promoção de Sítios Maliciosos em
Mecanismos de Buscas
Infraero – agosto/2011
14. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Promoção de Sítios Maliciosos em
Mecanismos de Buscas
Infraero – agosto/2011
15. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Estatísticas Domínios
Governamentais
Infraero – agosto/2011
16. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Temas que merecem atenção
(Acórdão 2.308/2010 – TCU)
GSI
Infraero – agosto/2011
17. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
ÓRGÃOS GOVERNANTES
SUPERIORES (OGS) DE TI
(TCU - maio 2011)
10 OGSs:
Infraero – agosto/2011
18. PRESIDÊNCIA DA REPÚBLICA
Gabinete de Segurança
GABINETE DE SEGURANÇA INSTITUCIONAL
Institucional
Secretaria Executiva do
Secretaria Executiva do
GSI-
GSI-PR
Conselho de Defesa
Conselho de Defesa
Nacional
Nacional Secretaria-
Executiva
Departamento de
Segurança da
Seguranç
Câmara de Relações
Relações
Câmara de Relações Informação e
Informação
Exteriores e de
Exteriores e de Comunicações
Comunicações
Defesa Nacional
Defesa Nacional
Secretaria de
Secretaria de Agência Brasileira
Secretaria de Acompanhamento
Segurança e Estudos de Inteligência
Assuntos Militares
Presidencial Institucionais
Infraero – agosto/2011
19. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
(Lei nº 10.683, de 29 de maio de 2003)
Coordenação da Inteligência Federal e
atividades de Segurança da Informação.
DSIC
Decreto 5772 de 08 de maio de 2006
Planejar e Coordenar a
Decreto 6931 de 11 de agosto de 2009
execução das atividades de
Decreto 7.411 de 29 de dezembro de 2010 Segurança Cibernética e de
Segurança da Informação e
Comunicações na
Administração Pública Federal.
Infraero – agosto/2011
20. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
ORGANOGRAMA DSIC
Centro de Pesquisas e Comitê Gestor de
Desenvolvimento para a
Segurança das Diretor Segurança da
Comunicações (CEPESC) Informação (CGSI)
Coordenação-Geral do
Coordenação-Geral de Coordenação-Geral de
Sistema de Segurança e
Gestão de SIC Tratamento de Incidente
Credenciamento
(CGGSIC) de Redes (CGTIR)
(CGSISC)
Infraero – agosto/2011
21. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Elaboração de Normas e
Coordenação-Geral de
Gestão de SIC Capacitação de Servidores,
(CGGSIC)
ouvido o Comitê Gestor de
Segurança da Informação.
Avaliar Acordos Internacionais
Coordenação-Geral do de Troca de Informações
Sistema de Segurança e
Credenciamento
Classificadas com vistas ao
(CGSISC) Sistema de Segurança e
Credenciamento.
Coordenação-Geral de Centro de Resposta de
Tratamento de Incidente de
Redes (CGTIR)
Incidentes de Redes da
APF.
Infraero – agosto/2011
22. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Abrangência de SIC
SEGURANÇA:
recursos humanos;
sistemas de informação e comunicações;
áreas e instalações;
recursos materiais.
NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC;
CAPACITAÇÃO SERVIDORES PÚBLICOS;
ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES SIGILOSAS;
TRATAMENTO DE INCIDENTES DE REDES;
ANÁLISE E GESTÃO DE RISCOS;
CONTINUIDADE DE NEGÓCIOS;
CONTROLE DE ACESSO;
CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA;
SEGURANÇA DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO;
ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA;
APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANÇA.
Infraero – agosto/2011
23. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
IN GSI 01, de 13 de junho de 2008
Disciplina a Gestão de SIC na APF;
Gestão SIC: integração dos processo de Gestão de
Riscos; Gestão de Continuidade do Negócio; Tratamento de
Incidentes; Tratamento da Informação; Conformidade;
Credenciamento; Seguranças Cibernética, Física, Lógica,
Orgânica e Organizacional aos processos institucionais –
estratégicos, operacionais e táticos – , não se limitando a TIC.
Atribui competências ao CGSI:
• Assessorar o GSI na Gestão de SIC; e
• Instituir grupos de trabalho em temas de SIC.
Infraero – agosto/2011
24. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Framework de Gestão de
SIC na APF
Normas Complementares DSIC/GSIPR:
NC 01, de 14 de outubro de 2008: estabelece critérios e
procedimentos para elaboração, atualização, alteração,
aprovação e publicação de normas complementares sobre
Gestão de SIC na APF;
NC 02, de 15 de outubro de 2008: define a metodologia de
Gestão SIC, baseada no processo de melhoria contínua
(PDCA) da ABNT NBR ISO/IEC 27001:2006, utilizada pelos
órgãos e entidades da APF;
NC 03, de 03 de julho de 2009: estabelece diretrizes, critérios e
procedimentos para elaboração, institucionalização,
divulgação e atualização da POSIC, que declara o
comprometimento da alta direção, na APF;
Infraero – agosto/2011
25. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Framework de Gestão de
SIC na APF
• NC 04, de 17 de agosto de 2009: estabelece diretrizes para o
processo de Gestão de Riscos de SIC (GRSIC). As diretrizes
deverão considerar os objetivos estratégicos, processos,
requisitos legais, a estrutura e a POSIC do órgão;
• NC 05, de 17 de agosto de 2009: disciplina a criação de
Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais (ETIR) nos órgãos e entidades da APF;
• NC 06, de 11 de novembro de 2010: estabelecer diretrizes
para Gestão de Continuidade de Negócios (GCN)
relacionados à SIC na APF. A GCN busca minimizar os
impactos de falhas, desastres ou indisponibilidades dos
serviços, além de recuperar perdas de ativos de informação
a um nível aceitável;
Infraero – agosto/2011
26. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Framework de Gestão de
SIC na APF
• NC 07, de 07 de maio de 2010: estabelece diretrizes para
implementação de Controles de Acesso relacionados à SIC
na APF. A identificação, a autorização, a autenticação, o
interesse do serviço e a necessidade de conhecer são
condicionantes prévias para concessão de acesso;
• NC 08, de 24 de agosto de 2010: disciplina o Gerenciamento
de Incidentes de Segurança em Redes de Computadores
realizado pelas ETIRs na APF. O gerenciamento de
incidentes em redes requer atenção da alta administração;
• NC 09, de 22 de novembro de 2010: estabelece orientações
para o uso de recursos criptográficos como ferramenta de
controle de acesso na APF. Os Gestores de SIC são
responsáveis pela implementação dos procedimentos de
uso dos recursos criptográficos.
Infraero – agosto/2011
27. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Segurança da Informação e
Comunicações (SIC): ação que
objetiva viabilizar e assegurar a
Disponibilidade, a Integridade, a
Confidencialidade e a Autenticidade
(DICA) da Informação e das
Comunicações.
Infraero – agosto/2011
28. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Do que o mundo está
falando?
• Segurança da Informação;
• Segurança da Informação e Comunicações;
• Segurança das TICs;
• Proteção das Infraestruturas Criticas da
Informação;
• Segurança Cibernética;
• Defesa Cibernética;
• Guerra Cibernética;
• Crime Cibernético;
• Terrorismo Cibernético;
• Segurança do Espaço Informacional.
Infraero – agosto/2011
29. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Taxonomia
USA-RUSSIA – Fundamentos de
Terminologia Crítica de Segurança
Cibernética (abril 2011)
Infraero – agosto/2011
30. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Crimes
ARTEFATOS MALWARES c
o
r
r
e
ç
G
ã
Universidades o
LABORATÓRIO DSIC CEPESC FFAA
Empresas privadas SEGURANÇA
CIBERNÉTICA
DSIC 1 CEPESC2 FFAA 2
1 2 2
DPF
DPF 1
1
U
Outros
Organismo
LABORATÓRIO
DEFESA
CIBERNÉTICA
ABIN
ABIN 3
3
FFAA
FFAA 3
3
B
Infraero – agosto/2011
31. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
PROPOSTA DE ATUAÇÃO
Infraero – agosto/2011
32. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
CENÁRIO MUNDIAL
Ciberespaço sujeito a chuvas e trovoadas
2008/09/10 2009
Proteção Bureau de
do espaço Tecnologia
2006/09
Informacional Profissional
2009 2001/08 - SI
2008
2009 2008 - PICI
GGE - ONU Pacto de Shangai
?
Infraero – agosto/2011 2001
33. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
DESAFIOS ESTRATÉGICOS –
2011/2014
(i) conhecer o grau de vulnerabilidade do país em
relação aos sistemas e às suas infraestruturas
críticas de informação;
(ii) conceber um sistema de medidas preventivas
contra ataques cibernéticos.
(iii) construir o marco legal contra ataques
cibernéticos;
(iv) atualizar Normas da APF x novas tecnologias;
(v) estabelecer programas de cooperação entre
governo e sociedade, bem como com governos e
a comunidade internacional;
(vi) desenvolver programas de capacitação;
(vii) desenvolver e implementar um modelo de
sistema de medidas de segurança.
Infraero – agosto/2011
34. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
RESUMO
• CAPACITAÇÃO
• MARCO LEGAL
• PARCERIAS
Infraero – agosto/2011
35. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
VISÃO DE FUTURO
• Dispor de um órgão de referência em
segurança cibernética com recursos
humanos de elevada competência
técnica e parque tecnológico
especializado e atualizado.
Infraero – agosto/2011
36. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
WE UPSET PEOPLE!
Infraero – agosto/2011
37. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
OBRIGADO !
raphael.mandarino@planalto.gov.br
http://dsic.planalto.gov.br
http://twitter.com/dsic_br
Infraero – agosto/2011
38. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
CONCEITOS GSIPR
• Ativos de informação: são os meios de
armazenamento, transmissão e processamento, os
sistemas de informação, bem como os locais onde se
encontram esses meios e as pessoas que a eles têm
acesso.
• Infraestruturas Críticas: são as instalações, serviços,
bens e sistemas que, se forem interrompidos ou
destruídos, provocarão sério impacto social,
econômico, político, internacional ou à segurança do
Estado e da Sociedade.
• Infraestruturas Críticas da Informação: é o
subconjunto de ativos de informação que afetam
diretamente a consecução e a continuidade da missão
do Estado e a segurança da Sociedade.
Infraero – agosto/2011
39. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
CONCEITO
• Segurança Cibernética: é a arte de assegurar a
existência e a continuidade da Sociedade da
Informação de uma Nação, garantindo e protegendo,
no Espaço Cibernético, seus ativos de informação e
suas infraestruturas críticas.
– Arte 1 [Do lat. arte.]S. f. [Dicionário Aurélio – Século XXI]
1. Capacidade que tem o ser humano de pôr em prática uma idéia, valendo-se da faculdade
de dominar a matéria: A arte de usar o fogo surgiu nos primórdios da civilização.
2. A utilização de tal capacidade, com vistas a um resultado que pode ser obtido por meios
diferentes: a arte da medicina; a arte da caça; a arte militar; a arte de cozinhar; Liceu de
Artes e Ofícios.
(...)
7. Os preceitos necessários à execução de qualquer arte: a arte da marinharia; a arte de falar
corretamente uma língua.
Infraero – agosto/2011
40. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
PROPOSTA DE ATUAÇÃO
•CRIPTOGRAFIA
• TRATAMENTO DE
INCIDENTES
•GESTÃO DE RISCO
SLTI / E-PING
RENASIC
Infraero – agosto/2011
41. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Lançamento do Livro Verde
Lançamento
Política e Estratégia
Nacional de Segurança
Cibernética
A arte de assegurar a existência e a
continuidade da Sociedade da
Informação de uma nação garantindo
e protegendo, no espaço cibernético,
seus ativos de informação e suas
infraestruturas críticas.
http://dsic.planalto.gov.br/documentos/publicacoes
/1_Livro_Verde_SEG_CIBER.pdf
Infraero – agosto/2011
42. PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
Lançamento do Guia de
Lançamento
Referência
Referência
Segurança das
Infraestruturas Críticas
da Informação
Ações que objetivam a segurança do
subconjunto de ativos de
informação que afetam diretamente
a consecução e a continuidade da
missão do Estado e a segurança da
sociedade.
http://dsic.planalto.gov.br/documentos/publi
cacoes/2_Guia_SICI.pdf
Infraero – agosto/2011