4 estrategia de sic

Upload: sdbmcc

Post on 04-Nov-2015

225 views

Category:

Documents


0 download

DESCRIPTION

4 Estrategia de SIC

TRANSCRIPT

  • Presidenta da Repblica

    Dilma Rousseff

    Vice-Presidente da Repblica

    Michel Temer

    Ministro de Estado Chefe do Gabinete de Segurana Institucional

    Jos Elito Carvalho Siqueira

    Secretrio Executivo do Conselho de Defesa Nacional

    Jos Elito Carvalho Siqueira

    Secretrio Executivo do Gabinete de Segurana Institucional

    Geraldo Antonio Miotto

    Diretor do Departamento de Segurana da Informao e Comunicaes

    Marconi dos Reis Bezerra

  • Presidncia da Repblica

    Gabinete de Segurana Institucional Secretaria-Executiva

    Departamento de Segurana da Informao e Comunicaes

    2015-2018

    Verso 1.0

    Braslia DF 2015

    ESTRATGIA DE SEGURANA DA

    INFORMAO E COMUNICAES E DE

    SEGURANA CIBERNTICA DA

    ADMINISTRAO PBLICA FEDERAL

  • Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total,

    por qualquer meio, desde que citada a fonte.

    Grupo Tcnico de Elaborao da Estratgia

    (Boletim Interno GSI/PR n 52, de 26/12/2014. SE/GSI/PR Gen. Edson Leal Pujol)

    Departamento de Segurana da Informao e Comunicaes

    Marconi dos Reis Bezerra (Coordenador)

    Alcimar Sanches Rangel

    Alexandre Jos Ribeiro

    Antnio Magno Figueiredo de Oliveira

    Claudia Canongia

    Gustavo Andrade Bruzzeguez

    Josita Arcanjo Ramos Ferreira

    Lucas de Oliveira Souto

    Marcelo de Almeida Maymone

    Marlene Isidro da Silva

    Wagner Barp Meyer

    Capa: Alcimar Sanches Rangel

    Normalizao bibliogrfica: Biblioteca da Presidncia da Repblica

    Colaborao: Membros do Comit Gestor de Segurana da Informao CGSI/CDN

    Portaria SE/CDN n 07, de 17 de maro de 2015

    (DOU n 52; 18/03/2015)

    Ficha Catalogrfica

    Dados Internacionais de Catalogao na Publicao (CIP)

    B823e Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional. Estratgia de segurana da informao e comunicaes e de segurana ciberntica da administrao

    pblica federal 2015-2018 : verso 1.0 / Gabinete de Segurana Institucional, Secretaria-Executiva, Departamento de Segurana da Informao e Comunicaes. Braslia : Presidncia da Repblica, 2015.

    82 p. : il.

    ISBN

    1. Segurana da informao. 2. Segurana Ciberntica. 3. Administrao Pblica Federal. I. Ttulo.

    CDD 005.8

    Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica

    [A Portaria SE/CDN No. 14, de 11 de maio de 2015, publicada no DOU No. 88 de 12/05/2015, homologa esta Estratgia]

  • 5

    O planejamento uma das maiores conquistas libertrias que o homem pode almejar. Porque o plano

    a tentativa do homem para criar seu futuro; lutar contra as tendncias e correntes que nos arrastam;

    ganhar espao para escolher; mandar sobre os fatos e as coisas para impor a vontade humana;

    recusar-se a aceitar o resultado social que a realidade atomizada de infinitas aes contrapostas

    oferece-nos anarquicamente; rejeitar o imediatismo; somar a inteligncia individual para multiplic-

    la como inteligncia coletiva e criadora.

    Carlos Matus

    "Gesto Pblica um campo de conhecimento peculiar. Trata-se de uma rea por definio

    interdisciplinar e que depende de conhecimento advindo da cincia poltica, da economia, da

    administrao, da sociologia, do direito, da histria e da ciberntica. Acrescente-se a o forte

    componente aplicado do aprendizado."

    Fernando Abrcio & Francisco Gaetani

    "Uma agenda de longo prazo para reformar a gesto pblica brasileira depende, como em qualquer

    outro campo de polticas pblicas, no s de ideias e anlises. Acima de tudo, preciso constituir

    coalizes. Atores estratgicos precisam ser convencidos da centralidade dessa questo, como j o foram

    em outros tpicos."

    Fernando Abrcio

  • 6

    SUMRIO

    Lista de Siglas ............................................................................................................. 07

    Apresentao ............................................................................................................. 11

    Contextualizao ....................................................................................................... 13

    Marcos do Governo Brasileiro em SIC e SegCiber ..................................................... 20

    Finalidade e Aplicao ............................................................................................... 34

    Metodologia .............................................................................................................. 35

    Referencial Estratgico .............................................................................................. 37

    Princpios Norteadores da Estratgia ........................................................................ 39

    Mapa Estratgico ....................................................................................................... 40

    Objetivos Estratgicos ............................................................................................... 42

    Metas da Estratgia .................................................................................................. 55

    Disposies Finais ...................................................................................................... 61

    Referncias ................................................................................................................ 62

    Anexo I Modelo de Governana Sistmica de SIC e de SegCiber da APF ............... 74

    Anexo II Glossrio da Estratgia ............................................................................. 77

  • 7

    LISTA DE SIGLAS

    ABIN: Agncia Brasileira de Inteligncia

    ABNT: Associao Brasileira de Normas Tcnicas

    AGU: Advocacia-Geral da Unio

    ANATEL: Agncia Nacional de Telecomunicaes

    APF: Administrao Pblica Federal

    BB: Banco do Brasil

    BCB: Banco Central do Brasil

    BSC: Balanced Scorecard

    CEPESC: Centro de Pesquisas e Desenvolvimento para a Segurana das Comunicaes

    CC/PR: Casa Civil da Presidncia da Repblica

    CDCiber/MD: Centro de Defesa Ciberntica / Ministrio da Defesa

    CDN: Conselho de Defesa Nacional

    CEF: Caixa Econmica Federal

    CEGSIC: Curso de Especializao em Gesto de SIC

    CGI.br: Comit Gestor da Internet no Brasil

    CGSI: Comit Gestor da Segurana da Informao

    CGU: Controladoria-Geral da Unio

    COMAER/MD: Comando da Aeronutica / Ministrio da Defesa

    ComDCiber: Comando de Defesa Ciberntica

    CPI: Comisso Parlamentar de Inqurito

    CREDEN: Cmara de Relaes Exteriores e Defesa Nacional

    CTIR Gov: Centro de Tratamento de Incidentes de Redes da Administrao Pblica

    Federal

    DAS: Cargo do Grupo-Direo e Assessoramento Superiores

    DATAPREV: Empresa de Tecnologia e Informaes da Previdncia Social

    DSIC: Departamento de Segurana da Informao e Comunicaes

  • 8

    DPDT: Departamento de Pesquisa e Desenvolvimento Tecnolgico

    EAD: Ensino distncia

    EB/MD: Exrcito Brasileiro / Ministrio da Defesa

    EED: Empresa Estratgica de Defesa

    EGTI: Estratgia Geral de Tecnologia da Informao

    EGTIC: Estratgia Geral de Tecnologia da Informao e Comunicaes

    Embrapa: Empresa Brasileira de Pesquisa Agropecuria

    EnaDCiber: Escola Nacional de Defesa Ciberntica

    ENAP: Escola Nacional de Administrao Pblica

    END: Estratgia Nacional de Defesa

    ETIR: Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais

    GSI/PR: Gabinete de Segurana Institucional da Presidncia da Repblica

    GTI: Grupo de Trabalho Interministerial

    ICP-Brasil: Infraestrutura de Chaves Pblicas Brasileira

    ICT: Instituio de Cincia e Tecnologia

    IEC: International Electrotechnical Commission, Comisso Eletrotcnica Internacional

    IN: Instruo Normativa

    INSS: Instituto Nacional do Seguro Social

    ISO: International Organization for Standardization, Organizao Internacional de

    Normalizao

    LAI: Lei de Acesso Informao

    MB/MD: Marinha do Brasil / Ministrio da Defesa

    MC: Ministrio das Comunicaes

    MCTI: Ministrio da Cincia, Tecnologia e Inovao

    MD: Ministrio da Defesa

    MDIC: Ministrio do Desenvolvimento Indstria e Comrcio Exterior

    MEC: Ministrio da Educao e Cultura

    MJ: Ministrio da Justia

    MP: Ministrio do Planejamento, Oramento e Gesto

    MPS: Ministrio da Previdncia Social

  • 9

    MRE: Ministrio das Relaes Exteriores

    MS: Ministrio da Sade

    MTur: Ministrio do Turismo

    NBR: Normas Brasileiras de Referncia

    NC: Norma Complementar

    NSC: Ncleo de Segurana e Credenciamento

    OE: Objetivos Estratgicos

    OEA: Organizao dos Estados Americanos

    OGS: rgo Governante Superior

    PDCA: Plan, Do, Check & Act.

    PDTI: Plano Diretor de Tecnologia da Informao

    Petrobrs: Petrleo Brasileiro S.A.

    PNAD: Pesquisa Nacional por Amostra de Domiclios

    POSIC: Poltica de Segurana da Informao e Comunicaes

    PR: Presidncia da Repblica

    Radiobrs: Empresa Brasileira de Radiodifuso

    RENASIC: Rede Nacional de Excelncia em Segurana da Informao e Criptografia

    RNP: Rede Nacional de Ensino e Pesquisa

    SAE/PR: Secretaria de Assuntos Estratgicos da Presidncia da Repblica

    SECOM/PR: Secretaria de Comunicaes da Presidncia da Repblica

    SegCiber: Segurana Ciberntica

    SERPRO: Servio Federal de Processamento de Dados

    SG/PR: Secretaria-Geral da Presidncia da Repblica

    SIC: Segurana da Informao e Comunicaes

    SICGov: Congresso de Segurana da Informao e Comunicaes

    SISP: Sistema de Administrao dos Recursos de Tecnologia da Informao do Poder

    Executivo federal

    SPOA: Subsecretaria de Planejamento, Oramento e Administrao

    SRF: Secretaria da Receita Federal

    SRP: Secretaria da Receita Previdenciria

  • 10

    TCU: Tribunal de Contas da Unio

    TELEBRS: Telecomunicaes Brasileiras S.A.

    TIC: Tecnologias de Informao e Comunicao

    UIT: Unio Internacional de Telecomunicaes

    UnB: Universidade de Braslia

    WCIT: World Conference on International Telecommunications, Conferncia Mundial

    em Telecomunicaoes Internacionais

  • 11

    APRESENTAO

    com grande satisfao que apresento a Estratgia de Segurana da

    Informao e Comunicaes e de Segurana Ciberntica da Administrao Pblica

    Federal 2015 2018, verso 1.0, dado que tais reas so consideradas como questes

    nacionais, horizontais e estratgicas, que afetam todos os nveis da sociedade, e

    representa importante instrumento de apoio ao planejamento dos rgos e entidades

    do Governo, objetivando melhorar sobremaneira a segurana e a resilincia das

    infraestruturas crticas e dos servios pblicos nacionais.

    Este instrumento de apoio ao planejamento estratgico governamental

    complementa a Instruo Normativa GSI/PR 01/2008, rene um conjunto de objetivos

    estratgicos e metas para os prximos quatro anos, e visa a busca da excelncia da

    Segurana da Informao e Comunicaes (SIC) e da Segurana Ciberntica (SegCiber)

    no mbito da Administrao Pblica Federal (APF) do Pas, contemplando relevantes

    aspectos, dada a complexidade e a dinmica de tais temas no cenrio atual, nacional e

    mundial.

    Assim, a elaborao desta Estratgia motivada pela misso do GSI/PR de

    coordenar as atividades de segurana da informao do governo e considera tanto a

    necessidade mpar de assegurar aes efetivas nestas reas, quanto a possibilidade

    real e crescente de uso das Tecnologias de Informao e Comunicao (TIC) para aes

    ofensivas e exploratrias, entre outras, acesso indevido s redes de computadores de

    setores e de infraestruturas crticas.

    Destaco ainda a ameaa relativa elevada interconectividade mundial entre os

    maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas

    anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so

    evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e

    infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os

    incidentes de fraudes e roubos de dados.

    Diante da criticidade desse cenrio e da recomendao do Tribunal de Contas

    da Unio (TCU), no Acrdo 3.051/2014-TCU-Plenrio, de que este GSI/PR lanasse

    Estratgia no mbito da sua jurisdio, pautada nos pilares consagrados da segurana

    da informao disponibilidade, integridade, confidencialidade e autenticidade -, com

    o objetivo de fortalecer as aes de SIC e de SegCiber na APF, foi institudo Grupo de

    Trabalho interno, no final do ano de 2014, no mbito do Departamento de Segurana

    da Informao e Comunicaes (SIC) deste GSI/PR para elaborar esta Estratgia.

    Cabe ressaltar que o Comit Gestor de Segurana da Informao (CGSI), rgo

    de assessoramento da Secretaria Executiva do Conselho de Defesa Nacional, a qual

    exercida por este GSI/PR, em temas relativos segurana da informao e correlatos,

    conforme disposto no Decreto n 3.505/2000, vem colaborando efetivamente nos

    ltimos anos com o arcabouo normativo das reas de SIC e de SegCiber, e foi

  • 12

    consultado, contribuindo substantiva e efetivamente com esta publicao, ao que

    desde j agradeo a colaborao.

    Sabemos que ainda h muito a ser alcanado e que estamos passo a passo

    criando as condies necessrias para maior efetividade, eficcia e eficincia das aes

    de SIC e de SegCiber, principalmente no que diz respeito ao entendimento das novas

    exigncias para a manuteno e preservao tanto das infraestruturas crticas do Pas,

    quanto dos direitos individuais, em especial da privacidade, protegendo e assegurando

    os interesses da sociedade e do Estado.

    Recomendo, portanto, a leitura e a aderncia aos objetivos estratgicos e

    metas desta Estratgia de Segurana da Informao e Comunicaes e de Segurana

    Ciberntica da Administrao Pblica Federal 2015 2018, verso 1.0 na direo do

    fortalecimento e da excelncia da segurana da informao e comunicaes e da

    segurana ciberntica no Governo.

    Considero esta publicao um importante incremento ao arcabouo de

    documentos que objetivam contribuir com a segurana institucional e a soberania

    nacional, e convido-os a contribuir com propostas e sugestes para a evoluo

    contnua da mesma, visando construir, em futuro prximo, de forma colaborativa, a

    Poltica Nacional de Segurana da Informao e Comunicaes e de Segurana

    Ciberntica.

    Por fim, cito o livro Sonho Grande o qual apresenta o relato da jornalista

    Cristiane Correa sobre a trajetria exitosa de trs scios, Jorge Paulo Lemann, Marcel

    Herrmann Telles e Carlos Alberto Sicupira, para o sucesso alcanado em seus

    empreendimentos, e aproveito para finalizar ressaltando a segunda lio do declogo

    das principais lies aprendidas:

    SUSTENTE O IMPULSO COM UM GRANDE SONHO: Gente boa precisa ter coisas grandes para

    fazer, seno leva sua energia criativa para outro lugar. Assim, os trs construram um

    mecanismo que tem duas premissas bsicas: primeiro, recrute as melhores pessoas e depois d

    a elas coisas grandes para fazer. Em seguida, atraia mais gente boa e proponha a prxima coisa

    importante a fazer. Repita o processo indefinidamente. Foi assim que eles mantiveram o mpeto

    ao longo do tempo. Eles sempre vibraram com a ideia de metas grandes, arriscadas e

    audaciosas, e desenvolveram uma cultura para alcan-las. Ao observ-los, aprendi que, para

    conservar o mpeto e, portanto, preservar gente boa, vale a pena correr os riscos inerentes

    busca pelas grandes metas. como uma tima equipe de alpinismo. Por um lado, existe o risco

    de subir uma montanha alta, depois uma montanha ainda mais alta, e depois a seguinte. Por

    outro lado, se voc no tiver novas montanhas altas para escalar, deixar de se desenvolver e

    crescer, e perder seus melhores alpinistas. Grandes alpinistas necessitam de grandes

    montanhas para escalar, sempre e indefinidamente.

    Boa leitura! Boas prticas! Escale!

    JOS ELITO CARVALHO SIQUEIRA

    Ministro de Estado Chefe do Gabinete de Segurana Institucional da

    Presidncia da Repblica

  • 13

    CONTEXTUALIZAO

    Este item apresenta, de forma geral e sem a pretenso de ser exaustivo, viso

    sobre avanos, mudanas, tendncias e desafios da Segurana da Informao e

    Comunicaes e da Segurana Ciberntica, de 2000 at os dias de hoje, principalmente

    na trilha que vem sendo desenvolvida no pas.

    No Brasil, em 2000, o nmero de usurios da Internet girava em torno de 8,6

    milhes e o governo brasileiro alertava que tal nmero era bastante limitado e

    precisaria crescer significativamente. Naquele ano, estimava-se que apenas 1% dos

    usurios da Internet no Brasil compraria em lojas virtuais, com mdia de gasto de

    apenas 18 dlares mensais (MCT, 2000).

    No final de 2008, passou-se a contar com cerca de 55,9 milhes de usurios no

    Brasil segundo a Pesquisa Nacional por Amostra de Domiclios (PNAD) e,

    aproximadamente, 83 milhes de pessoas de 10 anos ou mais acessaram a Internet

    nos trs meses anteriores realizao da PNAD em 2012, apontando para um

    crescimento rpido de uso da Internet no pas1. Com relao evoluo da economia

    digital no pas, os usurios brasileiros da Internet contriburam com o comrcio

    eletrnico, com faturamento da ordem de 8,2 bilhes de reais em 2008 com

    crescimento para cerca de 22,5 bilhes de reais em 2012, confirmando as prospeces

    de avanos preponderantes desta economia2.

    Em 2014, o cenrio de uso da Internet e, consequentemente, de uso das

    Tecnologias de Informao e Comunicao (TIC) permanece crescente e sem dvida

    alm de qualquer expectativa e prospeco, operando-se em cifras bastante

    expressivas no mundo e no Pas, especialmente frente aos avanos do uso de

    dispositivos mveis, da computao em nuvem e da evoluo da chamada internet

    das coisas. O Brasil considerado o quarto maior mercado mundial no setor de TIC,

    movimentando cerca de US$ 170 bilhes, e somente o comrcio eletrnico faturou

    cerca de 35,8 bilhes de reais, e no mundo o movimento foi de cerca de 1,5 trilhes de

    dlares, demonstrando quo aquecida e intensiva vem sendo a economia digital e com

    tendncia ascendente forte.3 Para 2020, estima-se um mercado global de TI na ordem

    de US$ 3 trilhes, e um mercado nacional da ordem de US$ 200 bilhes.

    Destaca-se que j foi abordado no Livro Verde Segurana Ciberntica no

    Brasil (GSI/PR, 2010, p.14) os seguintes fenmenos da Sociedade da Informao: a)

    Elevada convergncia tecnolgica; b) Aumento significativo de sistemas e redes de

    informao, bem como da interconexo e interdependncia dos mesmos; c) Aumento

    1http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-cresce-nas-regioes-norte-e-nordeste-em-

    2012/ 2http://www.e-commerce.org.br/stats.php

    3Idem.

  • 14

    crescente e bastante substantivo de acesso Internet e das redes sociais; d) Avanos

    das tecnologias de informao e comunicao (TIC); e) Aumento das ameaas e das

    vulnerabilidades de segurana ciberntica; e, f) Ambientes complexos, com mltiplos

    atores, diversidade de interesses, e em constantes e rpidas mudanas

    Toda e qualquer reflexo sobre a evoluo da Sociedade da Informao deve

    apoiar-se numa anlise da mudana contempornea da relao com o saber. A

    velocidade do surgimento e da renovao do conhecimento, know-how e tecnologias,

    vem sendo cada vez mais avassaladora, o que contribui para um ambiente de

    incertezas, volatilidade, novas e crescentes ameaas.

    As ameaas relativas elevada interconectividade mundial esto entre os

    maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas

    anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so

    evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e

    infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os

    incidentes de fraudes e roubos de dados.

    Assim sendo, para fins desta Estratgia de Segurana da Informao e

    Comunicaes e de Segurana Ciberntica na Administrao Pblica Federal, so

    adotados os seguintes conceitos:

    a) Segurana da Informao e Comunicaes (SIC): aes que objetivam

    viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a

    autenticidade das informaes;

    b) Segurana Ciberntica (SegCiber): a arte de assegurar a existncia e a

    continuidade da Sociedade da Informao de uma Nao, garantindo e protegendo, no

    Espao Ciberntico, seus ativos de informao e suas infraestruturas crticas;

    c) Ativos de Informao: so os meios de armazenamento, transmisso e

    processamento, os sistemas de informao, bem como os locais onde se encontram

    esses meios e as pessoas que a eles tm acesso; e

    d) Infraestruturas Crticas: so as instalaes, servios, bens e sistemas que, se

    forem interrompidos ou destrudos, provocaro srio impacto social, econmico,

    poltico, internacional ou segurana do Estado e da sociedade.

    A SIC e a SegCiber, portanto, vm se caracterizando cada vez mais como funo

    estratgica de Estado, sendo essenciais manuteno e preservao tanto das

    infraestruturas crticas de um pas, tais como Energia, Transporte, Telecomunicaes,

    guas, Finanas, a prpria Informao, entre outras, quanto dos direitos individuais,

    em especial da privacidade, e da soberania.

  • 15

    Os pilares consagrados da SIC disponibilidade, integridade, confidencialidade

    e autenticidade esto sujeitos a novas e crescentes vulnerabilidades e ameaas.

    So crescentes e contnuas as polmicas nos temas regulao e controle da

    Internet em nvel nacional e internacional. A reunio plenria World Conference on

    International Telecommunications - WCIT-12, em Dubai, em dezembro de 2012,

    liderada pela Unio Internacional de Telecomunicaes (UIT), foi marcada por

    divergncias entre os seus Estados Membros, sendo reforada a experincia brasileira

    de governana multissetorial realizada por meio de seu Comit Gestor da Internet

    (CGI.br).

    As questes de privacidade versus segurana permanecem como pontos

    controversos e atualmente em forte articulao, em nvel nacional e internacional, em

    especial aps o advento do caso Snowden, que exps possveis aes de espionagem

    do governo americano em relao a outros pases, Brasil inclusive, por meio da captura

    e tratamento de metadados na Internet. Tais questes permanecem nos debates de

    uso e governana da Internet, de forma preponderante, tratadas nas agendas dos

    governos e em fruns bi e multilaterais.

    O Governo brasileiro registrou, com satisfao, que a III Comisso da 68

    Assembleia Geral das Naes Unidas aprovou em 2013, por consenso dos 193 Estados

    membros, a Resoluo A/RES/68/167 "O direito privacidade na era digital"4, a qual

    foi apresentada em conjunto pelo Brasil e Alemanha, em resposta s supostas

    denncias de Snowden contra os EUA. "Nenhuma preocupao relacionada

    segurana pblica pode justificar a coleta de informaes sensveis. Estados devem

    garantir a observao irrestrita das suas obrigaes sobre as leis internacionais de

    direitos humanos", diz a Resoluo.

    O Relatrio final da Comisso Parlamentar de Inqurito, denominada CPI da

    Espionagem, aponta fragilidades do Brasil frente espionagem eletrnica

    internacional e sugere medidas e propostas para a melhoria da segurana ciberntica

    nacional, evidenciando a fragilidade do sistema de telecomunicaes brasileiro e de

    nosso sistema de inteligncia e defesa ciberntica (Brasil. Congresso. Senado Federal,

    2014).

    Segundo o estudo Mapeamento de Fornecedores Nacionais de Tecnologia da

    Informao e Comunicao (TIC) para Redes Eltricas Inteligentes (REI), realizado pela

    Agncia Brasileira de Desenvolvimento Industrial (ABDI) em 2014, a segurana

    ciberntica foi identificada como uma das principais preocupaes das

    concessionrias, empresas fornecedoras de TIC e centros de pesquisa voltados para o

    setor.

    4http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167

  • 16

    O cenrio de realizao de grandes eventos no Brasil (2013 a 2016) ressalta tais

    preocupaes e serve de oportunidade para a conformao de uma situao benfica,

    alavancando os compromissos com a SIC e com a SegCiber pactuados e reforados na

    direo de que haja capacidade efetiva do governo de catalisar e estimular aes em

    prol dos diferentes tpicos que perpassam e sustentam tais reas de atuao.

    Cabe realar os tpicos relativos formao continuada de recursos humanos

    especializados e capacidade de coordenao executiva no mbito do governo, bem

    como queles que se referem ao desenvolvimento de tecnologias e inovao,

    promoo dos setores e do mercado de segurana da informao e de segurana

    ciberntica, construo de arcabouo legal e normativo, e cooperao

    internacional.

    No cenrio atual, as ameaas cibernticas so crescentes, diferenciadas e

    apresentam elevado grau de sofisticao, exigindo dos governos aes efetivas de

    preveno e combate s prticas maliciosas no uso das TIC, por meio de aes

    transversais, integradoras, interdisciplinares e multissetoriais.

    Nesta direo, a proteo dos ativos de informao implica na definio de

    investimentos para um melhor posicionamento das instituies governamentais em

    relao produo e custdia, principalmente, s informaes dos cidados brasileiros

    e do Estado. Assim posto, os ativos de informao guardam relao direta com riscos

    de SIC e de SegCiber, uma vez que a dependncia tecnolgica das instituies

    governamentais cada vez maior.

    No tocante SIC e SegCiber, independente das responsabilidades do Estado

    brasileiro, o setor privado tem importncia fundamental pois detm a maior parte das

    infraestruturas de telecomunicaes e redes de comunicao digital, provendo

    servios para o Governo e para a sociedade.

    Soma-se a esse cenrio os desafios impostos pela forte dependncia externa e

    pela ausncia de domnio em tecnologias sensveis de SIC e de SegCiber. Salienta-se

    ainda, entre os desafios, o Decreto n 8.135/2013, que dispe em seu art. 1 que as

    comunicaes de dados da administrao pblica federal direta, autrquica e

    fundacional devero ser realizadas por redes de telecomunicaes e servios de

    tecnologia da informao fornecidos por rgos ou entidades da administrao pblica

    federal, incluindo empresas pblicas e sociedades de economia mista da Unio e suas

    subsidirias.

    Observa-se tambm que em perodo recente, diversos rgos e entidades,

    conforme amplamente divulgado na mdia, foram alvos de aes maliciosas, com

    destaque para aes de engenharia social, desfiguraes de stios, degradao dos

    servios e acessos indevidos a sistemas computacionais, com exposio de

  • 17

    vulnerabilidades e consequente vazamento de informaes, causando prejuzos ao

    Estado, com reflexos negativos para a sociedade.

    Neste contexto, ressalta-se que no obstante os esforos do governo em

    fortalecer as aes de SIC e de SegCiber, o que inclui arcabouo normativo publicado

    pelo GSI/PR nos ltimos oito anos, o respectivo nvel de maturidade ainda encontra-se

    em patamar aqum do desejado nos rgos e entidades da APF, segundo o Acrdo

    3.051/2014-TCU-Plenrio.

    A Constituio Federal de 1988 estabelece amplo acesso informao,

    impactando diretamente nas estratgias, polticas e atuao de todos os rgos

    pblicos. A publicao da Lei de Acesso Informao (LAI) marcou uma mudana no

    paradigma de publicidade dos ativos de informao criados e geridos pelo Estado, em

    todos os nveis e esferas, em prol da transparncia. Esse novo mote trouxe ateno

    sobre os ativos de informao sigilosos cuja publicidade seja sensvel para o pas.

    Nesse aspecto, a LAI garante tratamento diferenciado para informaes cuja a

    exposio comprometa a segurana do Estado e da sociedade. Tal dinmica impacta

    diretamente na estratgia adotada pelo governo para a SIC e a SegCiber.

    Ficam, assim, evidenciados os vrios desafios enfrentados pelo Governo

    Federal, em especial a carncia do estabelecimento de governana efetiva da SIC e da

    SegCiber, e da segurana dos ativos de informao crticos, e a ausncia de um rgo

    central que exera coordenao executiva de tais temas, de forma sistmica e

    participativa multistakeholders e multissetores, somada a ausncia de destaque

    oramentrio especfico e adequado ao tamanho do problema.

    Uma vez que SIC e SegCiber so consideradas como questes nacionais,

    horizontais e estratgicas, que afetam todos os nveis da sociedade, uma estratgia de

    SIC e de SegCiber nacional representa importante ferramenta para melhorar

    sobremaneira a segurana e a resilincia das infraestruturas crticas e dos servios

    nacionais.

    A SIC e a SegCiber tm, portanto, impactos amplos na soberania nacional, na

    construo da cidadania e no desenvolvimento econmico, devendo o pas ser

    reconhecido como protagonista em nvel internacional, bem como em fruns bi e

    multilaterais. E, em decorrncia, esforos em prol da SIC e da SegCiber podem

    representar um salto qualitativo e quantitativo da insero da indstria nacional de

    tecnologia da informao e comunicao (TIC) nos mercados interno e global, bem

    como, de evoluo e excelncia da pesquisa, desenvolvimento e inovao dessas reas

    em nvel nacional e internacional.

    No Brasil, os assuntos relacionados Segurana da Informao e

    Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas vm

    sendo tratados no mbito do Conselho de Defesa Nacional (CDN) e da Cmara de

  • 18

    Relaes Exteriores e Defesa Nacional (CREDEN), do Conselho de Governo, por

    intermdio do Gabinete de Segurana Institucional da Presidncia da Repblica

    (GSI/PR), que exerce as funes de Secretaria Executiva do citado Conselho e de

    Presidncia daquela Cmara.

    As competncias do CDN esto previstas no art. 91 da Constituio Federal de

    1988 e a regulamentao de sua organizao e de seu funcionamento est contida na

    Lei n 8.183/1991. As competncias, organizao e normas de funcionamento do

    Conselho de Governo e da CREDEN esto contidas, respectivamente, na Lei n

    10.683/2003, e no Decreto n 4.801/2003. O art. 6 da Lei n 10.683/2003 estabelece

    ao GSI/PR, entre outras atribuies, a coordenao das atividades de segurana da

    informao.

    A dimenso e a assimetria da APF representa importante desafio para a rea de

    SIC e de SegCiber. Na atualidade, so 39 ministrios, cerca de seis mil entidades

    governamentais, mais de um milho de servidores federais, em torno de 320 grandes

    redes do Governo Federal, mais de 16,5 mil stios de governo que superam 12 milhes

    de pginas WEB, e uma crescente participao e controle social.

    O GSI/PR, diante de tal desafio, instituiu em 2006, para trato das questes

    afetas SIC e SegCiber, o Departamento de Segurana da Informao e

    Comunicaes (DSIC), com abrangncia de atuao na APF, e trs reas finalsticas

    para o cumprimento de sua misso, a saber: Gesto de SIC, Centro de Tratamento de

    Incidentes de Redes da Administrao Pblica Federal - CTIR Gov, e Credenciamento

    de Segurana.

    A rea de Gesto de SIC executa o planejamento e a gesto orientada aos

    rgos e entidades da APF, por meio de programas de conscientizao e capacitao

    dos agentes pblicos, do apoio implementao dos requisitos metodolgicos

    necessrios de SIC, bem como pela difuso do arcabouo normativo de SIC e de

    SegCiber, visando o seu cumprimento. A rea tambm responsvel pela gesto das

    reunies do Comit Gestor da Segurana da Informao (CGSI/CDN).

    A rea de tratamento de incidentes (CTIR Gov), com a misso precpua de

    coordenar e acompanhar o tratamento e a resposta aos incidentes em redes

    computacionais da APF, vem contribuindo para as solues integradas e a gerao de

    estatsticas de incidentes de segurana, alm de apoiar a criao e o fortalecimento de

    equipes especializadas (ETIR) nos rgos e entidades da APF, disseminando

    informaes relativas a ameaas, vulnerabilidades e tendncias de ataques

    cibernticos, em colaborao com outras equipes no Brasil e exterior.

    A rea finalstica do sistema de credenciamento, aps a promulgao da LAI, foi

    reformulada e estabeleceu-se o Ncleo de Segurana e Credenciamento (NSC) como

    rgo central da cadeia de credenciamento no mbito do Poder Executivo federal, com

  • 19

    o objetivo de promover e regular o tratamento da informao classificada em qualquer

    grau de sigilo. O NSC busca assegurar a manuteno da cadeia de confiana entre os

    entes, pblicos e privados, que tratam informao classificada em qualquer grau de

    sigilo do Governo Federal, inclusive com organismos internacionais.

    A Agncia Brasileira de Inteligncia (ABIN), rgo vinculado ao GSI/PR, conta

    em sua estrutura com o Centro de Pesquisas e Desenvolvimento para Segurana das

    Comunicaes (CEPESC), criado em 1982 para sanar deficincia do Brasil em garantir o

    sigilo dos canais de comunicao dos rgos estratgicos da Administrao Pblica

    Federal. Desde ento, vem desenvolvendo solues de segurana da informao e

    comunicaes baseadas em algoritmos criptogrficos de Estado, bem como

    executando trabalhos de pesquisa e desenvolvimento na rea da segurana

    ciberntica.

    Assim, na ltima dcada, os temas de SIC e de SegCiber passaram a ser

    reconhecidos por vrios atores do Governo Federal como relevantes e de competncia

    e coordenao poltico estratgica de rgo da Presidncia da Repblica, com

    abrangncia para a APF, includas aes de segurana das infraestruturas crticas da

    informao.

    Diante deste cenrio dinmico, como forma de colaborar com panorama de

    fundo da Segurana da Informao e Comunicaes e da Segurana Ciberntica, no

    mbito do Governo Federal, apresentam-se no captulo Marcos do Governo Brasileiro

    em SIC e SegCiber alguns dos marcos legais, normativos e institucionais alcanados,

    distribudos na linha de tempo que compreende o perodo de 2000 at o 1 trimestre

    de 2015, os quais realam, para alm das aes j empreendidas, a complexidade dos

    temas, a diversidade de atores, e a importncia desta Estratgia.

    Por fim, no se pode deixar de citar o Plano Brasil 2022, publicado em 2010

    pela Secretaria de Estudos Estratgicos da Presidncia da Repblica (SAE), o qual

    representa um pensamento estratgico do futuro do Pas e fixa metas para o ano de

    2022, momento em que o Brasil comemora o bicentenrio de sua independncia.

    Cabe destacar, portanto, o alinhamento desta Estratgia ao citado Plano Brasil

    2022 bem como o seu efetivo apoio ao alcance das metas do centenrio, dentre

    outras, as metas a seguir apresentadas: i) Economia: modernizar o funcionamento da

    administrao pblica; ii) Sociedade: universalizar o acesso aos bens e contedos

    culturais a todos os brasileiros; iii) Infraestrutura: assegurar acesso integral banda

    larga, velocidade de 100 Mbps, a todos os brasileiros; e, iv) Estado: garantir pleno

    exerccio do direito de acesso a informaes pblicas e consolidar a Internet como um

    terreno de liberdade de expresso.

  • 20

    MARCOS DO GOVERNO BRASILEIRO EM SIC E

    SEGCIBER

    PERODO: 2000 A 2015

    Em 2000:

    Foi publicado o Decreto n 3.505/2000, instituindo a Poltica de Segurana da

    Informao nos rgos e entidades da Administrao Pblica Federal (APF). Esse

    Decreto criou o Comit Gestor da Segurana da Informao (CGSI), com atribuio de

    assessorar a Secretaria-Executiva do Conselho de Defesa Nacional (CDN) na

    consecuo das diretrizes da Poltica, bem como na avaliao e anlise de assuntos

    relativos aos objetivos estabelecidos nesse Decreto. Integram o CGSI os seguintes 17

    rgos da APF: GSI/PR (que o coordena); CC/PR; CGU; AGU; SECOM/PR; SG/PR; MJ;

    MD; MRE; MF; MPS; MS; MDIC; MP; MC; MCTI; MME.

    Em 2001:

    Foi publicada a Medida Provisria n 2.200 de 28 de junho de 2001, instituindo

    a Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), incluindo o GSI/PR como

    membro do Comit Gestor da ICP-Brasil.

    Foi publicado o Decreto n 3.872 de 18 de julho de 2001, que dispe sobre o

    Comit Gestor da Infra Estrutura de Chaves Pblicas Brasileira (CG ICP-Brasil). Este

    Decreto foi revogado pelo Decreto n 6.605/2008.

    Foi publicado o Decreto n 3.996 de 31 de outubro de 2001, que dispe sobre a

    prestao de servios de certificao digital no mbito da APF.

    Em 2002:

    Foi publicado o Decreto n 4.553 de 27 de dezembro de 2002, que dispe sobre

    a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesses

    da segurana da sociedade e do Estado, no mbito da APF. Esse Decreto foi revogado

    pelo Decreto n 7.845/2012.

    Em 2003:

    Lei n 10.683, de 28 de maio de 2003, em seu art. 6, estabelece ao Gabinete

    de Segurana Institucional da Presidncia da Repblica (GSI/PR) a competncia de

  • 21

    coordenar as atividades de inteligncia federal e de segurana da informao do

    governo, entre outras.

    Decreto n 4.801, de 06 de agosto de 2003, cria a Cmara de Relaes

    Exteriores e Defesa Nacional (CREDEN) do Conselho de Governo, com a finalidade de

    formular polticas pblicas e diretrizes de matrias relacionadas com a rea das

    relaes exteriores e defesa nacional do Governo Federal, aprovar, promover a

    articulao e acompanhar a implementao dos programas e aes estabelecidos, no

    mbito de aes cujo escopo ultrapasse a competncia de um nico Ministrio.

    Integravam poca os seguintes Ministrios: GSI/PR (que a preside); Casa Civil/PR;

    Justia; Defesa; Relaes Exteriores; Planejamento, Oramento e Gesto; Meio

    Ambiente e Cincia e Tecnologia, sendo convidados a participar das reunies, em

    carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o

    Chefe do Estado-Maior Conjunto das Foras Armadas (composio atualizada em 2009

    e 2013).

    Decreto n 4.829, de 03 de setembro de 2003, que dispe sobre a criao do

    Comit Gestor da Internet no Brasil - CGI.br, sobre o modelo de governana da

    Internet no Brasil, e estabelece a coordenao do mesmo a ser exercida pelo, ento,

    Ministrio da Cincia e Tecnologia MCT, contando com governana multissetorial, ou

    seja, participao de representantes do governo, da academia, do setor empresarial e

    do terceiro setor.

    Em 2004:

    Criao da equipe de tratamento de incidentes em redes computacionais do

    governo, CTIR Gov, no GSI/PR;

    Lei n 10.973, de 02 de dezembro de 2004, publicada como instrumento legal

    de fomento inovao.

    Em 2005:

    Foi realizada a I Conferncia de Segurana para o Governo (SECGOV-2005),

    sob a coordenao do GSI/PR, para tratar de temas atinentes segurana da

    informao e comunicaes.

    Em 13 de outubro o Brasil assina com Portugal, na Cidade do Porto, Acordo de

    Troca e Proteo Mtua de Informaes Classificadas.

    Decreto n 5.563, de 11 de outubro de 2005, regulamenta a Lei de Inovao

    (Lei n 10.973/2004) que dispe sobre incentivos inovao e pesquisa cientfica e

    tecnolgica no ambiente produtivo.

  • 22

    Em 2006:

    Decreto n 5.772, de 08 de maio de 2006, dispe sobre a reestruturao do

    GSI/PR, com insero de novas atribuies relacionadas Segurana da Informao no

    rol de competncias da secretaria executiva. Fica, ento, criado o Departamento de

    Segurana da Informao e Comunicaes (DSIC), com a misso de planejar e

    coordenar as atividades de Segurana da Informao e Comunicaes (SIC) na APF.

    Foi estabelecida a ao oramentria 6232 (Capacitao de Recursos Humanos

    na rea de Segurana da Informao) destinada formao e ao aprimoramento de

    recursos humanos com vistas definio e implementao de mecanismos capazes

    de fixar e fortalecer o desenvolvimento e a execuo da Segurana da Informao.

    Foi estabelecida parceria do GSI/PR, como rgo coordenador das atividades de

    Segurana da Informao no Governo Federal, com vrios rgos, entre eles, o

    Ministrio do Turismo (MTur), Controladoria-Geral da Unio (CGU), Advocacia-Geral da

    Unio (AGU), Secretaria da Receita Federal (SRF), Secretaria da Receita Previdenciria

    (SRP), Instituto Nacional do Seguro Social (INSS), Empresa Brasileira de Pesquisa

    Agropecuria (EMBRAPA), Servio Federal de Processamento de Dados (SERPRO),

    Empresa Brasileira de Radiodifuso (Radiobrs), Agncia Brasileira de Inteligncia

    (ABIN), Banco Central do Brasil (BCB), Banco do Brasil (BB), Caixa Econmica Federal

    (CEF), Petrleo Brasileiro S.A. (Petrobrs) e a Rede Nacional de Ensino e Pesquisa

    (RNP), com a finalidade de organizarem atividades em conjunto que possibilitassem a

    disseminao da cultura da Segurana da Informao.

    Foi realizada a II Conferncia de Segurana para o Governo (SECGOV-2006), j

    sob a coordenao do DSIC/GSI/PR.

    Em 2007:

    Iniciou-se a primeira turma do Curso de Especializao em Gesto de SIC

    (CEGSIC 2007-2008), em convnio com o Departamento de Cincia da Computao da

    Universidade de Braslia. O CEGSIC 2007-2008 teve carga horria de 375 horas aula,

    realizadas em regime presencial, nas dependncias da Universidade de Braslia. Contou

    com a participao de 40 alunos agentes pblicos da APF e formou 36 especialistas.

    Foi realizado o I Congresso de Segurana da Informao e Comunicaes

    (SICGov-2008), no Auditrio do Anexo I do Palcio do Planalto, em Braslia, DF.

    Em 17 de setembro o Brasil assina com a Espanha, em Madri, Acordo de Troca e

    Proteo Mtua de Informaes Classificadas.

  • 23

    Em 2008:

    Instruo Normativa GSI n 01, publicada em 13 de junho de 2008, elaborada

    de forma colaborativa com os membros do Comit Gestor de Segurana da Informao

    (CGSI), disciplinando a Gesto de Segurana da Informao e Comunicaes na APF.

    Foram publicadas as primeiras Normas Complementares (NC) da IN 01 GSI/PR,

    a NC n 01 sobre atividade de normatizao e NC a n 02 sobre metodologia de gesto

    de SIC.

    Acrdo 1.603/2008-TCU-Plenrio de 13 de agosto, divulga o resultado do

    levantamento da governana de TI, realizado no processo do TCU n 008.380/2007-1,

    e recomenda ao GSI/PR que oriente os rgos e entidades da APF sobre a importncia

    do gerenciamento da segurana da informao, promovendo, inclusive mediante

    orientao normativa, aes que objetive estabelecer e/ou aperfeioar a gesto da

    continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a

    classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea

    especfica para gerenciamento da segurana da informao, a poltica de segurana da

    informao e os procedimentos de controle de acesso.

    Foi realizado o II Congresso de Segurana da Informao e Comunicaes

    (SICGov-2008), no Auditrio do Conjunto Cultural da Caixa Econmica Federal, em

    Braslia, DF.

    Decreto n 6.703, de 18 de dezembro de 2008, aprova a Estratgia Nacional de

    Defesa (END) a qual estabelece o setor ciberntico entre os 3 setores estratgicos do

    Pas, considerados essenciais para a defesa nacional. Reala que para o setor

    ciberntico ser constituda organizao encarregada de desenvolver a capacitao

    ciberntica nos campos industrial e militar. Alm de realar as medidas para a

    segurana das reas de infraestruturas crticas, incluindo servios, em especial no que

    se refere energia, transporte, gua e telecomunicaes, a cargo dos Ministrios da

    Defesa, das Minas e Energia, dos Transportes, da Integrao Nacional e das

    Comunicaes, e ao trabalho de coordenao, avaliao, monitoramento e reduo de

    riscos, desempenhado pelo Gabinete de Segurana Institucional da Presidncia da

    Repblica (GSI/PR), o que inclui as infraestruturas crticas de informao.

    Instruo Normativa n 04 da Secretaria de Logstica e Tecnologia da

    Informao SLTI, do Ministrio do Planejamento, Oramento e Gesto MP, dispe

    sobre o processo de contratao de Solues de Tecnologia da Informao pelos

    rgos integrantes do Sistema de Administrao dos Recursos de Informao e

    Informtica SISP, do Poder Executivo Federal.

    Em 13 de agosto, o Brasil assina com a Rssia, em Moscou, o Acordo de Troca e

    Proteo Mtua de Informaes Classificadas.

    Foi publicado o Decreto n 6.605 de 14 de julho de 2008, dispondo sobre o

    Comit Gestor da ICP-Brasil, revogando o Decreto n 3.872/2001 e fazendo nova

    redao.

  • 24

    Portaria GSI/PR n 31, de 06 de outubro de 2008, institui a Rede Nacional de

    Excelncia em Segurana da Informao e Criptografia RENASIC.

    Em 2009:

    Foram publicadas mais quatro Normas Complementares IN 01 GSI/PR:

    NC 03/IN01/DSIC/GSI/PR - Diretrizes para a Elaborao de Poltica de

    Segurana da Informao e Comunicaes nos rgos e Entidades da APF;

    NC 04/IN01/DSIC/GSI/PR - Gesto de Riscos de Segurana da

    Informao e Comunicaes - GRSIC nos rgos e entidades da Administrao Pblica

    Federal;

    NC 05/IN01/DSIC/GSI/PR - Disciplina a criao de Equipes de

    Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos rgos e

    entidades da Administrao Pblica Federal; e

    NC 06/IN01/DSIC/GSI/PR - Estabelece Diretrizes para Gesto de

    Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e

    Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e

    indireta.

    Iniciou-se a segunda turma do Curso de Especializao em Gesto de SIC

    (CEGSIC 2009-2010), em convnio com o Departamento de Cincia da Computao da

    Universidade de Braslia. O CEGSIC 2009-2010 teve carga horria de 375 horas aula,

    realizadas em regime presencial, nas dependncias da Universidade de Braslia. Contou

    com a participao de 40 alunos agentes pblicos da APF e formou 39 especialistas.

    Foi realizado o III Congresso de Segurana da Informao e Comunicaes

    (SICGov-2009), na Universidade Corporativa dos Correios, Braslia DF, com foco em

    segurana ciberntica.

    O DSIC/SE/GSI/PR apoiou o evento da Organizao dos Estados Americanos

    (OEA), realizado nos dias 16 a 20 de novembro de 2009, no Rio de Janeiro, que contou

    com a presena de 136 participantes estrangeiros, representantes dos pases do

    continente americano, com a finalidade de estabelecer proposta de Estratgia

    Nacional de Segurana Ciberntica do Hemisfrio, para os pases da regio.

    Decreto n 7.009, de 12 de novembro de 2009, inclui o tema segurana

    ciberntica nos objetivos da Cmara de Relaes Exteriores e Defesa Nacional

    CREDEN do Conselho de Governo, e reala o acompanhamento e estudo de questes e

    fatos relevantes com potencial de risco estabilidade institucional, para prover

    informaes ao Presidente da Repblica. A composio foi ento atualizada

    contemplando os seguintes Ministrios: GSI/PR (que a preside); Casa Civil/PR; Justia;

    Defesa; Relaes Exteriores; Planejamento, Oramento e Gesto; Meio Ambiente;

    Cincia e Tecnologia; Fazenda e SAE/PR, sendo convidados a participar das reunies,

    em carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o

  • 25

    Chefe do Estado-Maior Conjunto das Foras Armadas (composio atualizada em

    2013).

    Portaria CREDEN n 45, de 8 de setembro de 2009, institui o Grupo Tcnico de

    Segurana Ciberntica, com o objetivo de propor diretrizes e estratgias para a

    Segurana Ciberntica, no mbito da Administrao Pblica Federal. rgos

    integrantes: GSI/PR; MRE; MJ; MD; MD/EB; MD/MB; e MD/COMAER.

    A Diretriz Ministerial n 14/2009 atribuiu ao Exrcito Brasileiro institucionalizar

    o Ncleo do Centro de Defesa Ciberntica do Exrcito (Nu CDCiber).

    Em 2010:

    Foi contratada a Fundao Trompowsky do Exrcito Brasileiro para planejar,

    customizar e manter infraestrutura de ambiente virtual para a realizao de Cursos de

    Fundamentos de Gesto de SIC, na modalidade de ensino a distncia - EAD, incluindo a

    execuo de duas turmas que, juntas, totalizaram 350 servidores de rgos e

    entidades da APF.

    Iniciou-se a terceira turma do CEGSIC na modalidade de ensino a distncia

    (EAD), em convnio com a Universidade de Braslia (UnB), destinado a especializar 180

    servidores de rgos e entidades da APF, formando 146 especialistas.

    Foi realizado o IV Congresso de Segurana da Informao e Comunicaes

    (SICGov-2010), na Universidade Corporativa dos Correios, com o tema: Viso de

    Futuro para Segurana Ciberntica.

    Foi publicado o Acrdo 2.308/2010-TCU-Plenrio de 8 de setembro de 2010

    divulgando o resultado do levantamento da governana de TI realizado no processo do

    TCU n 000.390/2010-0. O referido Acrdo descreve que no houve melhora nos

    processos de segurana da informao na APF, porm, ressalva que a piora em parte

    dos indicadores pode no refletir deteriorao da situao segurana da informao

    da APF, mas sim uma possvel melhora na compreenso dos conceitos questionados, e

    por fim, reconhece o trabalho do GSI/PR a respeito da Segurana da Informao com a

    publicao da IN 01 GSI/PR e respectivas Normas Complementares.

    Foram publicadas mais 3 Normas Complementares IN 01 GSI/PR:

    NC 07/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para Implementao

    de Controles de Acesso Relativos Segurana da Informao e Comunicaes, nos

    rgos e entidades da Administrao Pblica Federal (APF), direta e indireta;

    NC 08/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para Gerenciamento

    de Incidentes em Redes Computacionais nos rgos e entidades da Administrao

    Pblica Federal; e

    NC 09/IN01/DSIC/GSI/PR - Estabelece orientaes especficas para o

    uso de recursos criptogrficos em Segurana da Informao e Comunicaes, nos

    rgos ou entidades da Administrao Pblica Federal (APF), direta e indireta.

  • 26

    Foi ativado o Ncleo do Centro de Defesa Ciberntica, tendo como principal

    atribuio coordenar as atividades do setor ciberntico no Exrcito.

    Em 22 de novembro, o Brasil assina com a Itlia, em Roma, o Acordo de Troca e

    Proteo Mtua de Informaes Classificadas.

    Em 24 de novembro, o Brasil assina com Israel, em Tel Aviv, o Acordo de Troca

    e Proteo Mtua de Informaes Classificadas.

    Em 2011:

    Lei n 12.527, de 18 de novembro de 2011 (Lei de Acesso Informao) traz a

    primazia da transparncia das informaes sob a custdia do Estado.

    Decreto n 7.579, de 11 de outubro de 2011, dispe sobre o Sistema de

    Administrao dos Recursos de Tecnologia da Informao - SISP, do Poder Executivo

    federal, e estabelece que o rgo Central do SISP, Ministrio de Planejamento,

    Oramento e Gesto, elaborar, em conjunto com os rgos Setoriais e Seccionais do

    SISP, a Estratgia Geral de Tecnologia da Informao EGTI para a Administrao

    direta, autrquica e fundacional do Poder Executivo Federal, revisada e publicada

    anualmente, para servir de subsdio elaborao dos PDTI pelos rgos e entidades

    integrantes do SISP.

    Foi publicado o Acrdo 1.145/2011-TCU-Plenrio de 4 de maio de 2011,

    realizado no processo TCU n 028.772/2010-5, especificando que o GSI/PR, dentre

    outros, um rgo Governante Superior (OGS) com a responsabilidade de normatizar

    aspectos da Segurana da Informao e Comunicaes, em seus respectivos

    segmentos da APF.

    Transferncia da Rede Nacional de Excelncia em Segurana da Informao e

    Criptografia RENASIC do GSI/PR para o CDCiber/EB/MD.

    Em 2012:

    Foi publicado o Acrdo 1.233/2012-TCU-Plenrio de 23 de maio de 2012

    referenciando o resultado do levantamento da governana de TI realizado no processo

    do TCU n 011.772/2010-7. O referido Acrdo recomenda ao GSI/PR que:

    Articule-se com as Escolas de Governo, notadamente ENAP, a fim de

    ampliar a oferta de aes de capacitao em segurana da informao para os entes

    sob sua jurisdio;

    Oriente os rgos e entidades sob sua jurisdio que a implantao dos

    controles gerais de segurana da informao positivados nas normas do GSI/PR no

    faculdade, mas obrigao da Alta Administrao, e sua no implantao sem

    justificativa passvel da sano prevista na Lei; e

  • 27

    Reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que

    aborda o tema gesto de riscos considerando apenas ativo de informao e no ativo

    em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1.

    Foram publicadas mais sete Normas Complementares IN 01 GSI/PR:

    NC 10/IN01/DSIC/GSI/PR - Estabelece diretrizes para o processo de

    Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da

    Informao e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica

    Federal, direta e indireta APF;

    NC 11/IN01/DSIC/GSI/PR - Estabelece diretrizes para avaliao de

    conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC)

    nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF;

    NC 12/IN01/DSIC/GSI/PR - Estabelece diretrizes e orientaes bsicas

    para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao

    e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF),

    direta e indireta;

    NC 13/IN01/DSIC/GSI/PR - Estabelece diretrizes para a Gesto de

    Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos

    rgos e entidades da Administrao Pblica Federal, direta e indireta (APF);

    NC 14/IN01/DSIC/GSIPR - Estabelece diretrizes para a utilizao de

    tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da

    Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica

    Federal (APF), direta e indireta;

    NC 15/IN01/DSIC/GSI/PR - Estabelece diretrizes de Segurana da

    Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da

    Administrao Pblica Federal (APF), direta e indireta; e

    NC 16/IN01/DSIC/GSIPR - Estabelece as Diretrizes para o

    Desenvolvimento e Obteno de Software Seguro nos rgos e Entidades da

    Administrao Pblica Federal, direta e indireta.

    Foi publicado o Acrdo 2.585/2012-TCU-Plenrio de 26 de setembro de 2012

    divulgando o resultado do levantamento da governana de TI realizado no processo do

    TCU n 007.887/2012-4.

    O Decreto n 7.724, de 16 de maio de 2012 regulamenta a LAI no mbito do

    Poder Executivo Federal, estabelecendo as diretrizes para a transparncia ativa e

    passiva. No mesmo dia, a Lei de Acesso Informao entra em vigor.

    O Decreto n 7.845, de 14 de novembro de 2012 publicado encerrando a

    regulamentao da LAI, estabelecendo o tratamento para as informaes com

    restrio de acesso e dispondo sobre o Ncleo de Segurana e Credenciamento (NSC)

    no GSI/PR.

    Foram publicadas duas leis contra o crime ciberntico:

  • 28

    Lei n 12.737, de 30 de novembro de 2012, a qual dispe sobre a

    tipificao criminal de delitos informticos.

    Lei n 12.735, de 30 de novembro de 2012, a qual tipifica as condutas

    realizadas mediante uso de sistema eletrnico, digital ou semelhante, que sejam

    praticadas contra sistemas informatizados e similares.

    A Poltica Ciberntica de Defesa estabelecida por meio da Portaria

    Normativa n 3.389/MD, com a finalidade de orientar, no mbito do Ministrio da

    Defesa (MD), as atividades de Defesa Ciberntica, no nvel estratgico, e de Guerra

    Ciberntica, nos nveis operacional e ttico, visando consecuo dos seus objetivos.

    Em 2013:

    Foram publicadas mais duas Normas Complementares IN 01 GSI/PR:

    NC 17/IN01/DSIC/GSI/PR - Estabelece Diretrizes nos contextos de

    atuao e adequaes para Profissionais da rea de Segurana da Informao e

    Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF).

    NC 18/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para as Atividades de

    Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da

    Administrao Pblica Federal (APF).

    Com a publicao da LAI em 2011 e seus Decretos regulamentadores no mbito

    do Poder Executivo Federal, fez-se necessrio revisar a NC 09/IN01/DSIC/GSI/PR,

    principalmente, em relao ao conceito de algoritmo de Estado.

    Conforme determinao do Acrdo n 1.233/2012-TCU-Plenrio de 23 de

    maio de 2012, foi feita a primeira reviso da NC 04/IN01/DSIC/GSI/PR, na qual foi

    includo item 2, nas consideraes gerais, o seguinte texto:

    A Gesto de Riscos de Segurana da Informao e Comunicaes, objeto

    desta Norma Complementar, est limitada ao escopo das aes de Segurana da

    Informao e Comunicaes e tais aes compreendem apenas as medidas de

    proteo dos ativos de informao, conforme definido nesta Norma.

    Iniciou-se a quarta turma do CEGSIC na modalidade de ensino a distncia (EAD),

    em convnio com a Universidade de Braslia (UnB), destinado a especializar 216

    servidores de rgos e entidades da APF, com previso de formatura de mais 140

    especialistas ao final do curso em 2015.

    Portaria SAE/PR n 124 institui Grupo de Trabalho Interministerial (GTI) com o

    objetivo de elaborar proposta de Plano Estratgico para promover ou subsidiar o

    aperfeioamento das polticas pblicas voltadas segurana e defesa do espao

    ciberntico nacional. O art. 3 da citada Portaria nomeia os membros Titulares e

    Suplentes que representam os seguintes rgos que integram o GTI: SAE/PR; MD;

  • 29

    MRE; MEC; MDIC; MP; MCTI; MC; GSI/PR; CGI.br; ANATEL; SERPRO; DATAPREV; e

    TELEBRS.

    IN GSI/PR 02, de 5 de fevereiro de 2013, regulando o Credenciamento de

    Segurana e o tratamento de informao classificada em grau de sigilo.

    IN GSI/PR 03, de 6 de maro de 2013, estabelecendo os parmetros e padres

    mnimos dos recursos criptogrficos baseados em algoritmos de Estado.

    NC 01/IN02/DSIC/GSI/PR, de 27 de junho de 2013, inaugura os trabalhos de

    Credenciamento sob a gide das novas regras para o tratamento das informaes

    classificadas em grau de sigilo.

    Decreto n 8.096, de 04 de setembro de 2013, atualiza a composio da

    CREDEN, e a Cmara passa a contar com os seguintes Ministrios: GSI/PR (que a

    preside); Casa Civil/PR; Justia; Defesa; Relaes Exteriores; Planejamento, Oramento

    e Gesto; Meio Ambiente; Cincia e Tecnologia; Fazenda; SAE/PR; Integrao Nacional;

    Minas e Energia; e Transportes, sendo convidados a participar das reunies, em

    carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o

    Chefe do Estado-Maior Conjunto das Foras Armadas.

    Decreto Legislativo n 3703, de 12 de julho de 2013, atualiza a Estratgia

    Nacional de Defesa e aprova o Livro Branco de Defesa Nacional. Entre as premissas

    sobre o setor ciberntico, cita que a proteo do espao ciberntico abrange um

    grande nmero de reas, como: capacitao, inteligncia, pesquisa cientfica, doutrina,

    preparo e emprego operacional; e gesto de pessoal.

    Decreto n 8.135, de 04 de novembro de 2013, dispe sobre as comunicaes

    de dados da administrao pblica federal direta, autrquica e fundacional, e sobre a

    dispensa de licitao nas contrataes que possam comprometer a segurana

    nacional.

    Em 2014:

    A NC 09/IN01/DSIC/GSI/PR recebeu a segunda reviso, destacando-se o novo

    conceito de algoritmo registrado:

    Algoritmo Registrado: funo matemtica utilizada na cifrao e na

    decifrao de informaes no classificadas, para uso exclusivo em interesse do

    servio de rgos ou entidades da APF, direta e indireta, cujo cdigo fonte e mtodo

    de processo sejam passveis de controle e auditoria.

    A NC 07/IN01/DSIC/GSI/PR recebeu a primeira reviso, sendo incorporado o

    tema Biometria como controle de acesso.

    Foram publicadas trs normas complementares IN 01 GSI/PR:

  • 30

    NC 19/IN01/DSIC/GSI/PR estabelece Padres Mnimos de Segurana da

    Informao e Comunicaes para os Sistemas Estruturantes da Administrao Pblica

    Federal (APF), direta e indireta;

    NC 20/IN01/DSIC/GSI/PR estabelece as Diretrizes de Segurana da

    Informao e Comunicaes para Instituio do Processo de Tratamento da

    Informao nos rgos e entidades da Administrao Pblica Federal (APF), direta e

    indireta; e

    NC 21/IN01/DSIC/GSI/PR estabelece as Diretrizes para o Registro de Eventos,

    Coleta e Preservao de Evidncias de Incidentes de Segurana em Redes nos rgos e

    entidades da Administrao Pblica Federal, direta e indireta. No mesmo ano, essa NC

    recebeu a primeira reviso.

    Foi publicado o Acrdo 3.051/2014-TCU-Plenrio de 5 de novembro de 2014,

    referente ao processo do TCU n 023.050/2013-6. Esse Acrdo contextualiza as

    auditorias realizadas em diversos rgos e entidades da Administrao Pblica federal

    com o objetivo de avaliar a implementao dos controles de TI informados em

    resposta ao levantamento do perfil de governana de TI de 2012. Pontos de interesses

    da segurana da informao:

    A segurana da informao segue sendo objeto de preocupao. H

    baixa conformidade das organizaes para com os normativos e com as boas prticas

    aplicveis. Na maioria das organizaes fiscalizadas na primeira fase, falhas foram

    observadas: a) 80% - falhas na gesto de continuidade de negcio; b) 70% - falhas no

    controle de acesso; c) 75% - falhas na gesto de incidentes; e, d) 85% - falhas na gesto

    de riscos de segurana da informao.

    Principais causas esto ligadas a falhas tpicas de governana, como a

    falta de designao de um responsvel pela segurana da informao, fato observado

    em 40% das organizaes.

    Houve tendncia de mudana de comportamento dos dirigentes

    pblicos sobre a segurana da informao.

    A reduo dos percentuais observados no se traduz necessariamente

    em retrocesso, mas pode ser interpretado como amadurecimento dos gestores de TI

    no sentido de compreender melhor os conceitos relacionados segurana da

    informao.

    Ainda no h, por exemplo, um planejamento estratgico do Estado

    brasileiro que rena e coordene aes dos diversos atores responsveis por assuntos

    ligados a essa rea.

    Recomendaes ao GSI/PR: elabore e acompanhe periodicamente

    planejamento que abranja a estratgia geral de segurana da informao para o setor

    sob sua jurisdio; e alerte as organizaes sob sua jurisdio que a elaborao

    peridica de planejamento das aes de segurana da informao obrigao

    expressa prevista no item 3.1 da Norma Complementar 02/IN01/DSIC/GSI/PR.

  • 31

    Foi publicado o Acrdo 3.117/2014-TCU-Plenrio de 12 de novembro de 2014,

    referente ao processo do TCU n 003.732/2014-2. Trata-se de relatrio de

    levantamento realizado com o objetivo de acompanhar a situao da Governana de

    Tecnologia da Informao na Administrao Pblica Federal, realizado a cada dois anos

    pelo TCU. Pontos de interesses da segurana da informao:

    A segurana da informao tem sido objeto de preocupao em todos

    os levantamentos anteriores por causa da baixa conformidade das organizaes em

    relao aos normativos e s boas prticas aplicveis.

    Como referncia para elaborao das questes da auditoria, foram

    utilizadas principalmente a norma tcnica ABNT NBR ISO/IEC 27002:2005 e as normas

    complementares do Departamento de Segurana da Informao e Comunicaes do

    Gabinete de Segurana Institucional da Presidncia da Repblica (DSIC/GSI/PR).

    Apesar de ser o principal instrumento direcionador da gesto da

    segurana da informao, preocupa que apenas 66% (15% parcialmente e 51%

    integralmente) das organizaes participantes declarem dispor de uma poltica de

    segurana da informao formalmente instituda, como norma de cumprimento

    obrigatrio.

    Apesar de ser o principal instrumento direcionador da gesto da

    segurana da informao, preocupa que apenas 66% das organizaes participantes

    declarem dispor de uma poltica de segurana da informao formalmente instituda,

    como norma de cumprimento obrigatrio;

    O comit de segurana da informao formalmente institudo,

    composto por representes das reas relevantes da organizao e responsvel por

    formular e conduzir diretrizes para a segurana da informao corporativa,

    encontrado em 62% das organizaes, segundo declarado.

    Observa-se que apenas 50% das organizaes declararam possuir gestor

    da segurana da informao formalmente designado, responsvel pelas aes

    corporativas de segurana da informao.

    Quanto poltica que normatiza o acesso s informaes e aos recursos

    e servios de TI, somente 52% (declararam dispor desse normativo formalmente

    institudo, com cumprimento obrigatrio).

    Quanto poltica de cpias de segurana (backup), que so necessrias

    para garantir a disponibilidade das informaes em casos de falhas de sistemas ou

    pessoas, somente 54% declararam dispor desse normativo formalmente institudo,

    com cumprimento obrigatrio.

    Lei n 12.965, de 23 de abrul de 2014, conhecida como Marco Civil da Internet,

    estabelece princpios, garantias, direitos e deveres para o uso da Internet no Brasil.

    Portaria Normativa MD 2.777, de 27 de outubro de 2014, aprova a diretriz de

    implantao de medidas visando potencializao da Defesa Ciberntica Nacional e

    cria o Comando de Defesa Ciberntica ComDCiber e a Escola Nacional de Defesa

  • 32

    Ciberntica EnaDCiber, na Estrutura Regimental do Comando do Exrcito, com

    nfase na implantao e a consolidao do Sistema de Homologao e Certificao de

    Produtos de Defesa Ciberntica, o apoio pesquisa e ao desenvolvimento de produtos

    de defesa ciberntica, bem como a criao do Observatrio de Defesa Ciberntica.

    Em 14 de abril o Brasil assina com a Sucia, em Estocolmo, o Acordo de Troca e

    Proteo Mtua de Informaes Classificadas.

    Durante todo o ano, na qualidade de Autoridade Nacional de Segurana (ANS),

    exercida GSI/PR, manteve estreita relao com o Ministrio das Relaes Exteriores na

    articulao, tanto de ajustes nos Acordos de Troca e Proteo Mtua de Informaes

    Classificadas assinados com seis pases, visando alinhamento LAI, quanto de novos

    acordos demandados por outros 14 pases.

    Portaria Interministerial MP MD MC n 141, de 02 de maio de 2014,

    regulamenta o Decreto n 8.135/2013, dispe para toda a administrao pblica

    federal o dever de realizar as suas comunicaes, armazenamentos e recuperaes de

    dados atravs de redes de telecomunicaes e servios de tecnologia de informao

    fornecidos por rgos ou entidades da prpria administrao pblica federal (SERPRO,

    TELEBRS, DATAPREV, entre outros), com exceo de servio mvel pessoal e servio

    telefnico fixo comutado, garantindo-se a segurana da informao e comunicaes

    conforme normativos do GSI/PR. O SERPRO inicia implantao do servio de

    mensageria Expresso V3 na APF.

    Publicada a Doutrina Militar de Defesa Ciberntica (MD31-M-07, 1

    Edio/2014), por meio da Portaria normativa n 3.010/MD, de 18 de novembro de

    2014.

    Relatrio Final da CPI da Espionagem, elaborado pela Comisso Parlamentar de

    Inqurito destinada a investigar a denncia de existncia de um sistema de

    espionagem, estruturado pelo governo dos Estados Unidos, com o objetivo de

    monitorar e-mails, ligaes telefnicas, dados digitais, alm de outras formas de captar

    informaes privilegiadas ou protegidas pela Constituio Federal aponta para

    diversos aspectos essenciais e recomendaes segurana da informao e segurana

    ciberntica, entre eles:

    Elaborao de uma Estratgia Nacional de Segurana Ciberntica,

    realando que houve unanimidade entre os convidados CPI, de que mais urgente do

    que a Estratgia, que sejam delineadas as principais medidas de segurana

    ciberntica para o Estado brasileiro, englobando aes coordenadas entre os setores

    pblico e privado.

    Criao de uma agncia para a segurana ciberntica no mbito da

    Administrao Pblica Federal, favorecendo viso de conjunto no tema e aes mais

    eficazes e efetivas. Alternativamente criao de um novo rgo, poderia ser alterada

    a estrutura de rgo j existente, modificando suas atribuies, para lhe conferir

    capacidade de atuar, com independncia, em sua totalidade e em estreita

  • 33

    coordenao com os demais rgos atuantes nos mais diversos temas que englobam a

    segurana ciberntica.

    At o 1. Trimestre de 2015

    Regulamentao do Marco Civil da Internet, processo de regulamentao da Lei

    n 12.965/2014, em andamento por meio de consultas pblicas pelo Comit Gestor da

    Internet e pelo Ministrio da Justia.

    Projeto de Lei de Dados Pessoais. Em consulta pblica disponibilizada pelo

    Ministrio da Justia

    Alterao da Instruo Normativa SLTI n 04, em 12 de janeiro de 2015,

    estabelecendo a Estratgia Geral de Tecnologia da Informao e Comunicaes

    (EGTIC) 2014/2015, a qual compreende um instrumento de gesto do Sistema de

    Administrao dos Recursos de Tecnologia da Informao (SISP), traando a direo da

    Tecnologia da Informao e Comunicaes (TIC), e definindo o plano estratgico que

    visa promover a melhoria contnua da gesto e governana de TIC no governo.

    Em fevereiro de 2015, realizao da II Jornada de Discusses dos Projetos

    ENaDCiber e SHCDCiber, evento organizado pelo CDCiber/EB/MD em parceria com a

    UnB, para debater sobre a concepo e a viabilidade de criao da Escola Nacional de

    Defesa Ciberntica (ENaDCiber) e do Sistema de Homologao e Certificao de

    Produtos e Servios de Defesa Ciberntica (SHCDCiber).

    Decreto n 8.414, de 26 de fevereiro de 2015, institui o Programa Bem Mais

    Simples Brasil com a finalidade de simplificar e agilizar a prestao dos servios

    pblicos e de melhorar o ambiente de negcios e a eficincia da gesto pblica.

    Objetivos: (i) simplificar e agilizar o acesso do cidado, das empresas e das entidades

    sem fins lucrativos aos servios e informaes pblicos; (ii) promover a prestao de

    informaes e servios pblicos por meio eletrnico; (iii) reduzir formalidades e

    exigncias na prestao de servios pblicos; (iv) promover a integrao dos sistemas

    de informao pelos rgos pblicos para oferta de servios pblicos; (v) celebrar o

    Pacto Bem Mais Simples Brasil com os demais Poderes da Unio e com os Estados, o

    Distrito Federal e os Municpios; e (vi) modernizar a gesto interna da administrao

    pblica.

  • 34

    FINALIDADE E APLICAO

    A SIC e a SegCiber, base da Defesa Ciberntica, visam assegurar o uso do espao ciberntico, impedindo ou dificultando, em seu mbito, aes contra os interesses do Pas e da sociedade (Figura 1).

    Assim, a presente Estratgia de Segurana da Informao e Comunicaes e de Segurana Ciberntica da Administrao Pblica Federal 2015/2018, verso 1.0, desdobramento da Instruo Normativa GSI/PR n 01/2008, coordenada e integrada pelo Gabinete de Segurana Institucional da Presidncia da Repblica GSI/PR, tem a finalidade de apresentar as diretrizes estratgicas para o planejamento de segurana da informao e comunicaes e de segurana ciberntica no mbito da APF, objetivando a articulao e a coordenao de esforos dos diversos atores envolvidos, de forma a atingir o aprimoramento da rea no Governo e a mitigao dos riscos aos quais encontram-se expostas as organizaes e a sociedade.

    As diretrizes dessa Estratgia aplicam-se a todos os rgos e entidades que

    integram a APF.

    Figura 1 Viso em Camadas: SIC, SegCiber e Defesa Ciberntica

  • 35

    METODOLOGIA

    A elaborao dessa Estratgia de Segurana da Informao e Comunicaes e

    de Segurana Ciberntica da Administrao Pblica Federal utilizou, com adaptaes,

    a consagrada metodologia de planejamento e gesto estratgica denominada

    Balanced Scorecard (BSC), proposta por Robert Kaplan e David Norton.

    O valor dessa metodologia reside na capacidade de traduzir a viso e a

    estratgia em aes que de fato contribuam para o alcance dos objetivos estratgicos,

    alm de prover um sistema de retroalimentao que permite o ajuste e o

    aprimoramento contnuo por meio do acompanhamento de indicadores e metas,

    englobando inclusive os princpios do PDCA.

    A partir de adaptaes da metodologia BSC ao ambiente governamental, no

    contexto da SIC e da SegCiber, foram consideradas quatro perspectivas basilares sobre

    as quais foram construdos os objetivos estratgicos e as metas: (i) Oramentria; (ii)

    Aprendizagem, Crescimento e Inovao; (iii) Governo; e (iv) Resultados para a

    Sociedade.

    A perspectiva Oramentria tem natureza estruturante e diz respeito ao aporte

    contnuo e adequado de recursos do oramento federal para que se viabilize as aes

    necessrias ao alcance dos objetivos propostos nessa Estratgia.

    A perspectiva Aprendizagem, Conhecimento e Inovao, que tambm tem

    natureza estruturante, envolve o investimento em capital humano, abrangendo aes

    de sensibilizao, conscientizao, treinamento, capacitao e especializao nas reas

    de SIC e de SegCiber, como forma de preparar os agentes pblicos para promover

    mudanas e viabilizar a consecuo dos objetivos propostos na Estratgia.

    Por sua vez, a perspectiva Governo engloba os processos internos, a legislao,

    as articulaes, as competncias institucionais, as estruturas governamentais e tudo o

    mais que envolva as intra e inter-relaes da APF com os demais atores, no alcance

    dos objetivos.

    Por fim, a perspectiva Resultados para a Sociedade representa a finalidade

    precpua da ao Estatal a de direcionar sua conduta sempre visando os interesses e

    demandas sociais, e engloba as aes em SIC e SegCiber que resultem em benefcios

    para a sociedade, tais como proteo da privacidade, transparncia, democratizao

    do acesso a informao e salvaguarda dos ativos de informao sigilosos.

    Tendo em vista a natureza transversal dos Objetivos Estratgicos de SIC e de

    SegCiber, as metas foram construdas a partir de uma viso holstica, ou seja,

    considerando a Estratgia como um todo, no se vinculando necessariamente cada

    meta a um nico objetivo estratgico.

  • 36

    Para a elaborao da minuta da Estratgia foi nomeado um Grupo Tcnico

    formado por servidores do Departamento de Segurana da Informao e

    Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica

    GSI/PR, rgo com a atribuio de planejar e coordenar a segurana da informao no

    mbito da APF, conforme prev a Lei n 10.683/2003 e o regramento infralegal.

    A iniciativa apoiou-se ainda na jurisprudncia do Tribunal de Contas da Unio,

    em especial no Acrdo 1.145/2011 do Plenrio, especificando que o GSI/PR, dentre

    outros, um rgo Governante Superior (OGS) o qual tem a responsabilidade de

    normatizar e fiscalizar os aspectos da Segurana da Informao e Comunicaes, em

    seus respectivos segmentos da Administrao Pblica Federal; e no Acrdo

    3.051/2014 do Plenrio, que concluiu competir ao GSI, no mbito do Poder Executivo,

    o papel de promover o desenvolvimento de uma estratgia para melhoria da

    segurana da informao [...], ainda que o faa em articulao com outros rgos no

    mbito das respectivas competncias.

    Objetivando a articulao e a colaborao dos demais rgos e entidades da

    APF, o GSI/PR consultou o Comit Gestor de Segurana da Informao (CGSI)

    instncia de assessoramento criada por meio do Decreto n 3.505/2000 no mbito do

    Conselho de Defesa Nacional (CDN), cuja coordenao cabe ao GSI/PR e da qual fazem

    parte dezessete rgos da APF , como forma de buscar o alinhamento com os

    diversos atores, a efetividade dos objetivos propostos e o aprimoramento das

    diretrizes da Estratgia.

  • 37

    REFERENCIAL ESTRATGICO

    MISSO DA ESTRATGIA

    Fortalecer a poltica e o planejamento de segurana da informao e

    comunicaes e de segurana ciberntica na Administrao Pblica Federal, visando

    assegurar e defender os interesses do Estado e da sociedade para a preservao da

    soberania nacional.

    VISO DE FUTURO DA ESTRATGIA

    Ser reconhecida como instrumento de planejamento governamental para a

    excelncia em segurana da informao e comunicaes e em segurana ciberntica

    na Administrao Pblica Federal.

    VALORES DA ESTRATGIA

    tica: Ter como padro de conduta aes que busquem a verdade dos fatos, amparadas em honestidade, moralidade, respeito, coerncia e probidade na administrao pblica.

    Colaborao: Atuar com dedicao, empenho e envolvimento em permanente colaborao e comunicao com os rgos e entidades da APF, mantendo dilogos contnuos com os demais atores atuantes nas reas de SIC e de SegCiber no pas e exterior.

    Efetividade: Atendimento s demandas da sociedade nas reas de SIC e de SegCiber, por intermdio da APF, com foco em resultados.

    Disseminao da cultura de SIC e de SegCiber: Promover o comprometimento da sociedade com os valores, vises, boas prticas, smbolos, hbitos, comportamentos e polticas, relativas segurana da informao e comunicaes e segurana ciberntica.

    Inovao: Propor e implementar solues criativas, novas ou adaptadas, no mbito da SIC e da SegCiber, sempre na vanguarda da cincia e tecnologia.

    Liderana: Atuar com liberdade e autonomia de forma tcnica, proativa,

  • 38

    competente, responsvel, imparcial, coerente e objetiva e estar comprometido com a misso institucional, com a capacidade de influenciar e mobilizar os diversos rgos e entidades da APF para a consecuo dos objetivos de SIC e de SegCiber, em prol da sociedade.

    Apoio s Polticas Pblicas: Priorizar as aes, programas e atividades desenvolvidas pelo Estado, no mbito da SIC e da SegCiber, que correspondam a direitos assegurados constitucionalmente ou que se afirmam pelo reconhecimento das demandas da sociedade.

  • 39

    PRINCPIOS NORTEADORES DA ESTRATGIA

    rgo Central: contribuir com o estabelecimento de um rgo central e de um sistema nacional, objetivando a coordenao executiva, o acompanhamento e a avaliao da implantao e execuo da Poltica Nacional de SIC e SegCiber.

    Governana: contribuir com a definio de um modelo de governana sistmica de SIC e de SegCiber, de amplo alcance e cobertura para uma conexo forte entre os mltiplos atores, em nvel nacional.

    Poltica Nacional: contribuir com a formulao da Poltica Nacional de Segurana da Informao e Comunicaes e de Segurana Ciberntica.

    Capacidade de posicionamento e de respostas da Nao: contribuir com a criao de uma robusta capacidade de posicionamento e de respostas da Nao frente s potenciais quebras de segurana e ameaas cibernticas, fortalecendo a alocao de recursos financeiros, tecnolgicos e humanos.

    Comprometimento da Alta Administrao: envolver a Alta Administrao dos rgos e entidades da Administrao Pblica Federal em relao s diretrizes e aes de SIC e de SegCiber no mbito de suas atuaes.

    Marcos Legais: colaborar para o aprimoramento e atualizao dos marcos legais em SIC e SegCiber.

    Articulao e Parcerias: garantir que a SIC e a SegCiber estejam contempladas em termos, acordos, contratos e instrumentos firmados entre a APF e setores pblicos ou privados, nacionais ou internacionais.

    Soberania Nacional: reconhecer as reas de SIC e de SegCiber como estratgicas para a soberania nacional, garantindo recursos contnuos e adequados.

    Cooperao: promover a cooperao nacional e internacional, visando trocas de experincias e o fortalecimento dos temas de SIC e de SegCiber no mbito da APF e com setor produtivo e academia.

    Integrao: fomentar e fortalecer aes conjuntas visando integrao entre as reas de SIC e de SegCiber com outras reas que atuam no espao ciberntico.

    Resilincia: contribuir com o aumento da capacidade de resilincia dos ativos de informao e das infraestruturas crticas.

  • 40

    MAPA ESTRATGICO

    O Mapa Estratgico segue uma abordagem em perspectivas, criando uma

    relao de causa e efeito e explicitando um caminho para se chegar aos resultados

    almejados. Ou seja, no caso presente, preciso assegurar recursos suficientes no

    oramento motivo pelo qual a perspectiva oramentria encontra-se na base do

    processo de forma que se invista em aprendizagem, capacitao e inovao, dando

    condies para que os atores de Governo envolvidos promovam as melhorias

    necessrias nas instituies, nas estruturas e nos processos da gesto governamental e

    das polticas pblicas, derivando na entrega de resultados efetivos para a sociedade e

    na melhoria do prprio Estado.

  • 41

    MA

    PA E

    STR

    AT

    GIC

    O

  • 42

    OBJETIVOS ESTRATGICOS

    Os objetivos estratgicos desta Estratgia de Segurana da Informao e

    Comunicaes e de Segurana Ciberntica da Administrao Pblica Federal

    representam foras motrizes para o cumprimento da misso e o alcance da viso de

    futuro da mesma, e foram alinhados, tambm, aos princpios norteadores e valores,

    ora propostos.

    Espera-se que tais objetivos estratgicos, alm de alcanar os resultados da

    Estratgia, fomentem, no mbito da APF e em futuro breve, o estabelecimento da

    Governana Sistmica de SIC e de SegCiber, com vistas institucionalizao e ao

    fortalecimento da gesto pblica de tais reas na esfera do Poder Executivo federal e

    oportunamente em nvel nacional. Tal viso sistmica deve basear-se num modelo

    que rena tanto a sociedade civil quanto os entes federativos da Repblica Unio,

    estados, municpios e Distrito Federal com seus respectivos Sistemas de SIC e de

    SegCiber, organizados de forma autnoma e em regime de colaborao.

    semelhana de outros, esses sistemas de SIC e de SegCiber estabelecero

    efetiva articulao entre Estado e sociedade, fortalecendo a organicidade, a

    racionalidade, a efetividade, os investimentos, a inovao e a estabilidade das polticas

    pblicas de SIC e de SegCiber, definidas como de Estado.

    A SIC e a SegCiber so estratgicas para a Nao, cabendo APF direcionar

    esforos para a consecuo dos objetivos propostos nesta Estratgia, conforme

    apresentados a seguir.

  • 43

    OE-I INSTITUCIONALIZAR O TEMA DE SIC E DE SEGCIBER NO PLANEJAMENTO E ORAMENTO FEDERAL.

    A importncia estratgica para o pas dos temas de SIC e de SegCiber, conforme

    j contextualizado, exige um tratamento apropriado e prioritrio por parte da Alta

    Administrao da APF, que esteja altura dos desafios atuais.

    A institucionalizao desses temas nos instrumentos de planejamento e

    oramento do Governo fundamental para que tais reas avancem e sejam vistas no

    nvel estratgico requerido, conquistando destaque no planejamento, bem como

    aportes contnuos e adequados de recursos do oramento federal.

    Considerando que o Plano Plurianual (PPA), institudo na Constituio Federal

    de 1988, tem a finalidade de ser um instrumento de planejamento e gesto estratgica

    do Governo Federal, e caracteriza-se como principal instrumento orientador das peas

    oramentrias, reala-se o necessrio estabelecimento de programas no PPA e,

    como meta, no PPA 2016-2019 que englobem as temticas de SIC e de SegCiber e

    que permitam uma abordagem transversal e multissetorial das polticas pblicas,

    passo importante para o atingimento dos objetivos propostos nessa Estratgia.

    Certamente, h que se definir, com base em amplos debates com atores chave

    do governo, da academia, do setor privado e do terceiro setor, percentual do PIB a ser

    formalizado como patamar mnimo de investimento em SIC e em SegCiber, de forma a

    estabelecer um ciclo virtuoso de desenvolvimento em prol da soberania nacional e da

    segurana institucional como um todo.

    Para alm das dimenses estratgica e ttica abordadas no PPA, fundamental

    que os rgos busquem a adequada operacionalizao das aes de SIC e de SegCiber

    estabelecidas na esfera oramentria (LOA), no mbito de suas respectivas reas de

    atuao, por meio do adequado alinhamento entre o planejamento de SIC e de

    SegCiber e o Planejamento Estratgico Institucional dos rgos e entidades da APF, em

    conformidade com a Instruo Normativa GSI/PR n 01/2008 e suas respectivas

    Normas Complementares, em especial a Norma Complementar n

    02/IN01/DSIC/GSIPR.

  • 44

    OE-II GARANTIR CONTINUAMENTE O APRIMORAMENTO DO QUADRO DE PESSOAL DA APF EM SIC E SEGCIBER, DE FORMA QUALITATIVA E QUANTITATIVA.

    Os profissionais atuantes em SIC e SegCiber na APF, face a sua atuao

    relevante, somadas as responsabilidades j estabelecidas no arcabouo normativo do

    GSI/PR, devem ser valorizados quali e quantitativamente, amparado, dentre outros,

    nas diretrizes da Poltica Nacional de Desenvolvimento de Pessoal da APF (Decreto n

    5.707/2006).

    Orienta-se, desta forma, que os rgos e entidades da APF estabeleam, em

    seus respectivos planejamentos de SIC e de SegCiber, programas de desenvolvimento

    de habilidades, aperfeioamento e atualizao profissional com recursos adequados

    demanda institucional, de forma a promover aprimoramento contnuo no curto, mdio

    e longo prazo, em consonncia com as normas complementares NC n

    17/IN01/DSIC/GSI/PR e NC n 18/IN01/DSIC/GSI/PR.

    Cabe ainda estimular parcerias com Escolas de Governo, bem como com outras

    instituies, universidades e empresas, no sentido de desenvolver programas de

    ensino, em todos os nveis, voltados formao e ao aprimoramento de recursos

    humanos nas reas de SIC e de SegCiber. Tais aes visam atender as demandas de

    sensibilizao, conscientizao, capacitao e especializao, de modo a fomentar o

    aperfeioamento contnuo e a permanncia de tais profissionais, e contribuir com a

    robustez da Governana Sistmica de SIC e de SegCiber da APF.

    O estudo de viabilidade da criao de uma carreira de Estado em SIC e

    SegCiber, para atuao desses profissionais junto Alta Administrao, considerando

    que as reas so crticas, exclusivas de Estado, de elevada sensibilidade, altamente

    estratgicas e preponderantes preservao da soberania nacional, constitui

    importante fator para melhor consecuo desse objetivo estratgico.