DSIC/GSIPR 

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA

ADMINISTRAÇÃO PÚBLICA FEDERAL

V Seginfo – Rio de Janeiro

GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA – GSIPR

DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - DSIC

DSIC/GSIPR 

Secretaria de Assuntos Militares

Secretaria Nacional Anti­Drogas

Agência Brasileirade Inteligência

Secretaria de Acompanhamento

e EstudosInstitucionais

Secretaria­Executiva

GSI­PR

Departamento deSegurança daInformação e

Comunicações

Secretaria Executiva do 

Conselho de DefesaNacional

Presidente doConselho Nacional

Anti­Drogas

Câmara de RelaçõesExteriores e de

Defesa Nacional

Gabinete de Segurança Institucional

DSIC/GSIPR 

Coordenação da Inteligência Federal e

 atividades de Segurança da Informação.

DSICDecreto 5.772  de 08 de maio de 2006

Decreto 6.931 de 11 de agosto de 2009

(Lei nº 10.683,  de 29 de maio de 2003) 

Planejar e Coordenar a execução das atividades de Segurança da Informação e Comunicações na Administração Pública Federal.

DSIC/GSIPR 

Centro de Pesquisas e Desenvolvimento para a 

Segurança das Comunicações (CEPESC)

Coordenação­Geral do Sistema de Segurança  e 

Credenciamento (CGSISC)

Coordenação­Geral de Tratamento de Incidente 

de Redes  (CGTIR)

Assessoria Jurídica

Coordenação­Geral de Gestão de SIC

 (CGGSIC)

Comitê Gestor de Segurança da 

Informação (CGSI)Diretor 

Grupo de Apoio Técnico (GAT)Gabinete

DSIC/GSIPR 

Tamanho do Problema

­ 39 ministérios­  ≅≅  6.000 entidades públicas− ≅≅   1.000.000 servidores federais ­ Executivo

Administração direta 225.412       Empresas Públicas 23.036Autarquias e Fundações 328.217       Soc. Economia Mista 12.068MPU 8.384           Militares 325.683

≅ 320 principais redes do governo federal

≅≅   12.000 sites domínio  .gov.br  (+ de 6 milhões páginas)

DSIC/GSIPR 

Incidentes em redes na APF – CTIR ­ 2010

­  ≅≅ 4.480.000 de incidentes em 2009 (uma rede)

­ ≅≅ 1% dos incidentes são tentativas de invasão

­  ≅≅ 2100 tentativas por hora em todas as redes

­ ≅≅ 200 malwares analisados por mês

DSIC/GSIPR 

60%25%

7%2% 6% ROUBO DE INFO BANC ÁRIAS

ROUBO DE INFO PESSOAIS

ROUBO DE INFO DO INFOSEG

BOTNET

OUTROS

Objetivos dos “Malwares”

Fonte: CTIR Gov 2009

Tratamento de Incidentes na APF ­ CTIR

DSIC/GSIPR 

ASSINADOS

Portugal Espanha Rússia (troca de 

informações e SIC) França (atualizado)

NEGOCIAÇÃO

Israel * USA Luxemburgo Itália * Rep. Tcheca Ucrânia Noruega Alemanha *

ACORDOS DE COOPERAÇÃO

Credenciamento – SISC 

DSIC/GSIPR 

SEGURANÇA DOS: recursos humanos; sistemas de informação e comunicação; áreas e instalações; materiais.

NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SICCAPACITAÇÃO SERVIDORES PÚBLICOSACORDOS  INTERNACIONAIS  PARA  TROCA  DE  INFORMAÇÕES 

SIGILOSASTRATAMENTO DE INCIDENTES DE REDESANÁLISE E GESTÃO DE RISCOSCONTINUIDADE DE NEGÓCIOSCONTROLE DE ACESSOCRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIAPROTEÇÃO DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃOESTRATÉGIA DE SEGURANÇA CIBERNÉTICAAPURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE 

SEGURANÇA

ABRANGÊNCIA DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

DSIC/GSIPR 

Normativas de Gestão de SIC­APF

• IN GSI 01, de 13 de junho de 2008 – Gestão SIC APF

• NC 01, de 14 de outubro de 2008 – Normalização 

• NC 02, de 15 de outubro de 2008 – Metodologia 

• NC 03, de 03 de julho de 2009 – POSIC 

• NC 04, de 17 de agosto de 2009 ­ GRSIC 

• NC 05, de 17 de agosto de 2009 – ETIR

• NC 06, de 11 de novembro de 2009 – GCN

• NC 07, de 14 de abril de 2010 – CASIC

• NC 08, de 24 de agosto de 2010 – Gestão de ETIR

• Normas em estudo: Manual do Gestor de SIC (2010); e Uso de 

criptografia na APF (2010).

DSIC/GSIPR 

Cultura e Capacitação

ATIVIDADE METODOLOGIA ALVO REALIZADO(até 25/04/2010)

Sensibilização Palestras e Congressos 1.000.000 25.517

Conscientização Seminários e Colóquios 100.000 4.606

Capacitação Oficinas eCursos de Fundamentos

10.000 595150*

Especialização Cursos pós­graduação 1.000 80193**

• *  Realizando o II CFGSIC a distância

• ** Realizando desde 05MAI2010 o CEGSIC semi presencial 

DSIC/GSIPR 

São dois os princípios básicos que devem ser observados para se garantir a Segurança da Informação e 

Comunicações bem como das infraestruturas críticas do País no Ciberespaço

 (I) reduzir as vulnerabilidades do país impedindo ou dificultando ataques cibernéticos; e,

 (II) em caso de ataque, garantir uma rápida recuperação e funcionamento dos sistemas de informação e infraestruturas críticas atacadas

(recursos humanos, legislação, tecnologia, políticas etc.)

Princípios

DSIC/GSIPR 

Estratégia de Segurança Cibernética

A  arte de assegurar a existência e a continuidade da Sociedade da 

Informação de uma nação garantindo e protegendo, no espaço cibernético, seus 

ativos de informação e suas infraestruturas críticas.

Proposta Proposta

DSIC/GSIPR 

Decreto nº 4.801/03

Fica criada a Câmara de Relações Exteriores e Defesa Nacional, do Conselho de Governo, com a finalidade de 

formular políticas públicas e diretrizes de matérias relacionadas com a área das relações exteriores e defesa 

nacional do Governo Federal, aprovar, promover a articulação e acompanhar a implementação dos programas e 

ações estabelecidos, no âmbito de ações cujo escopo ultrapasse a competência de um único Ministério, inclusive 

aquelas pertinentes a:

...

XI ­ segurança cibernética. (Incluído pelo Decreto nº 7.009, de 2009)

Proposta Proposta

DSIC/GSIPR 

• Ativos  de  informação:  são  os  meios  de armazenamento,  transmissão  e  processamento,  os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

• Infraestruturas  Críticas:  são  as  instalações, serviços,  bens  e  sistemas  que,  se  forem interrompidos  ou  destruídos,  provocarão  sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade;

• Infraestruturas  Críticas  da  Informação:  é  o subconjunto  de  ativos  de  informação  que  afetam diretamente  a  consecução  e  a  continuidade  da missão do Estado e a segurança da Sociedade.

Conceitos – DSIC/GSIPR

DSIC/GSIPR 

CONSCIENTIZAÇÃO

Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade (acessível e utilizável), a integridade (sem modificação ou destruição não autorizada ou acidental) , a confidencialidade (disponível somente para autorizados)e a autenticidade (produzida, expedida, modificada ou destruída por determinada pessoa física, ou sistema, órgão ou entidade) das informações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)

Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)

Mudança de Comportamento

DSIC/GSIPR 

Mudança de Comportamento

VOCÊ SABE O QUE É ISSO?

DSIC/GSIPR 

Mudança de Comportamento

E AGORA VOCÊ SABE?

DSIC/GSIPR 

Mudança de Comportamento

Lei nº 11.829/08 – altera o ECA

Art. 241­B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito 

ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.

 § 2o  Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas 

descritas nos arts. 240, 241, 241­A e 241­C desta Lei, quando a comunicação for feita por:

 I – agente público no exercício de suas funções;   § 3o  As pessoas referidas no § 2o deste artigo deverão manter sob 

sigilo o material ilícito referido.

DSIC/GSIPR 

Mudança de ComportamentoMais exemplos para reflexão:

 1) Seu notebook foi identificado quando adentrou órgão público?

Por que?........

E o seu smartphone?

2) Quando você se ausenta de sua estação de trabalho, ela permanece logada?.... 

DSIC/GSIPR 

Mudança de Comportamento

QUEBRA DE SEGURANÇA QUE COMPROMETA A DICA IMPLICA EM RESPONSABILIDADE:

• ADMINISTRATIVA• CIVIL• PENAL

DSIC/GSIPR 

• Falta de cultura padronizada em Segurança da Informação e Comunicações;

• Falta de coordenação de ações conjuntas, de estabelecimento e exigência de padrões e normas nacionais;

• Falta de legislação adequada;

• Indefinição das Fronteiras (Redes de Comunicações Transnacionais);

•Necessidade emergente de repensar e rever o conceito de Segurança das infraestruturas críticas – em especial da segurança cibernética; e

• Continuidade das ações de governo.

Desafios para 2011

DSIC/GSIPR 

Lema:

DSIC/GSIPR 

OBRIGADO !

 gerson.charbel@planalto.gov.br

(61) 3411­1321

 http://dsic.planalto.gov.br

www.twitter.com/dsic_br