Maio de 2007M. Pedrosa de Barros
Estratégia Segurança da InformaçãoContributos
A Estratégia da Informação Nacional
Simpósio - Academia Militar
ÍNDICE
Estratégia Segurança da Informação
• OCDE – WPISP• Linhas Orientadoras para a Segurança das Redes e dos
Sistemas de Informação• Protecção das Infra-Estruturas de Informação Críticas• Identidade Digital• Malware
• Caso da Lituânia• Cultura de Segurança
1. WPISP - OCDE
WPISP - OCDE
Linhas Orientadoras para a Segurança das Redes e dos Sistemas de Informação
Princípios
1. Consciencialização2. Responsabilidade3. Reacção4. Ética5. Democracia
6.Avaliação do Risco7.Concepção e
Implementação da Segurança
8.Gestão da Segurança9.Reavaliação
Fonte: OCDE
OCDE - WPISP
Protecção de Infra-estruturas de Informação Críticas (IIC)
Estudo - Principais Conclusões
1. Conceito
• Componentes de informação de suporte à infra-estrutura nacional crítica
• Infra-estruturas de informação de suporte a componentes essenciais da actividade governamental
• Infra-estruturas de informação à economia nacional
2. Claro suporte e compromisso da liderança nacional consistente com as diferentes culturas e estilos de governo
Fonte: OCDE
OCDE - WPISP
Protecção de Infra-estruturas de Informação Críticas (IIC)
Estudo - Principais Conclusões
3. A identificação das IIC – cada país realiza uma análise de riscos baseada numa avaliação:
• Consequências (impacto)• Vulnerabilidades (pontos de fraco)• Ameaças
4. As análises de risco utilizadas variam quanto à aproximação, metodologia e critério ― não foi identificada uma metodologia comum
Fonte: OCDE
OCDE - WPISP
Protecção de Infra-estruturas de Informação Críticas (IIC)
Estudo - Principais Conclusões
5. A política governamental, as organizações, as normas e a estrutura de conformidade têm um papel chave na gestão de segurança das redes e dos sistemas de informação do governo
6. A estratégia de gestão, a estrutura e a prioritização do risco são essenciais para a gestão do risco das IIC
Fonte: OCDE
OCDE - WPISP
Protecção de Infra-estruturas de Informação Críticas (IIC)
Estudo - Principais Conclusões
7. A partilha de informação é um factor crítico de sucesso na protecção das IIC
8. Os mecanismos internacionais de partilha de informação são cruciais na gestão de crises e na mitigação de eventuais danos no caso de um incidente
9. Parcerias entre governo e proprietários ou operadores de sistemas e de redes de IIC que não estejam sob autoridade governamental são essenciais e realçam os desafios
Fonte: OCDE
2. CASO DA LITUÂNIA
CASO LITUÂNIA
1.Razões por detrás da necessidade de uma Estratégia Nacional
2.O sistema integral de linhas estratégicas
3.As mudanças em evolução
Fonte: RRT - WSIS
CASO LITUÂNIA
Necessidade de uma Estratégia Nacional
1. Reconhecimento de alterações irreversíveis
2. Um desafio em termos do domínio do utilizador
3. Um sistema institucional fragmentado
4. Um sistema legal fragmentado
Fonte: RRT - WSIS
CASO LITUÂNIA
O sistema integral de linhas estratégicas
• Experiência internacional
• Enquadramento europeu• O que tem de ser resolvido e qual é o ponto de partida?
• A necessidade de uma iniciativa política• O sistema legal não deve desencorajar o desenvolvimento e a
introdução de novas tecnologias e de novas práticas de negócios• O sistema deve melhorar a confiança nas TIC dos utilizadores e
promover a utilização de novas tecnologias, equipamentos, serviços…
• Preparação de nova legislação
Fonte: RRT - WSIS
CASO LITUÂNIA
O sistema integral de linhas estratégicas
Objectivos da nova legislação
• Reforço da confiança dos utilizadores na sociedade de informação
• Encorajar o desenvolvimento de uma sociedade de informação segura
• Regular as actividades dos:
• Operadores de redes públicas de comunicações electrónicas• Prestadores de serviços de comunicações electrónicas disponíveis
ao público• Prestadores de serviços da sociedade de informação• Prestadores intermediários de serviços da sociedade de
informação
Fonte: RRT - WSIS
CASO LITUÂNIA
O sistema integral de linhas estratégicas
Objectivos da nova legislação
• Estabelecer as bases da segurança das redes e dos sistemas de informação do Estado e das Entidades Municipais
Fonte: RRT - WSIS
CASO LITUÂNIA
O sistema integral de linhas estratégicas
A Lei
• Define o âmbito da segurança das redes e dos sistemas de informação e estabelece definições para:
• Incidente• Código malicioso• Acções ilegais
• Estabelece a estrutura institucional
• Estabelece os requisitos para os operadores e prestadores de serviços
• Estabelece o sistema de acompanhamento de incidentes
Fonte: RRT - WSIS
CASO LITUÂNIA
O sistema integral de linhas estratégicas
A Lei
• Regula a segurança dos sistemas de informação do Estado e dos sistemas de informação críticos
• Promove a aplicação voluntária de melhores normas de segurança de redes e de informação
• Define o sistema reconhecido de auditoria à segurança de redes e de informação
• Promove a utilização de software e de hardware de confiança, incluindo sistema de certificação
Fonte: RRT - WSIS
CASO LITUÂNIA
As mudanças em evolução
Áreas Prioritárias
• Melhoria dos níveis de informação e de consciencialização
• Educação dos utilizadores
• Gestão de incidentes de segurança a nível nacional com recurso ao modelo CERT
• Cooperação:
• Interinstitucional• Entre sectores público e privado• Internacional
• Desenvolvimento e aplicação de novas normas
Fonte: RRT - WSIS
3. CULTURA DE SEGURANÇA
CULTURA DE SEGURANÇA
ALGUNS TÓPICOS
• Utilizador no centro
• Clima de confiança. Ambiente propício desenvolvimento sustentável
• Produção de informação e de conhecimento
• Divulgação e consciencialização
• Parceria sector público / sector privado
• Partilha de informação. Pontos de contacto (24/7)
• Cooperação intersectorial, publico/privada, internacional
• Articulação entre os diversos interesses públicos
• Avaliação e reavaliação, avaliação e reavaliação, …. Treino
• Responsabilização
Obrigado