O documento descreve as atividades e estrutura da Diretoria de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSIPR). A DSIC coordena a segurança da informação e comunicações na administração pública federal, estabelecendo normas e políticas para proteger ativos de informação e infraestruturas críticas. O documento também fornece estatísticas sobre incidentes de segurança em redes governamentais e descreve os esforços de capacitação e conscientização sobre segurança da inform

1. DSIC/GSIPR
SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES NA
ADMINISTRAÇÃO PÚBLICA
FEDERAL
V Seginfo – Rio de Janeiro
GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA
DA REPÚBLICA – GSIPR
DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES - DSIC

2. DSIC/GSIPR
Secretaria de
Assuntos Militares
Secretaria Nacional
Anti­Drogas
Agência Brasileira
de Inteligência
Secretaria de
Acompanhamento
e Estudos
Institucionais
Secretaria­
Executiva
GSI­PR
Departamento de
Segurança da
Informação e
Comunicações
Secretaria
Executiva do
Conselho de Defesa
Nacional
Presidente do
Conselho Nacional
Anti­Drogas
Câmara de Relações
Exteriores e de
Defesa Nacional
Gabinete de Segurança Institucional

3. DSIC/GSIPR
Coordenação da Inteligência Federal e
atividades de Segurança da Informação.
DSIC
Decreto 5.772 de 08 de maio de 2006
Decreto 6.931 de 11 de agosto de 2009
(Lei nº 10.683, de 29 de maio de 2003)
Planejar e Coordenar a execução
das atividades de Segurança da
Informação e Comunicações na
Administração Pública Federal.

4. DSIC/GSIPR
Centro de Pesquisas e
Desenvolvimento para a
Segurança das
Comunicações (CEPESC)
Coordenação­Geral do
Sistema de Segurança e
Credenciamento
(CGSISC)
Coordenação­Geral de
Tratamento de Incidente
de Redes (CGTIR)
Assessoria
Jurídica
Coordenação­Geral de
Gestão de SIC
(CGGSIC)
Comitê Gestor de
Segurança da
Informação (CGSI)
Diretor
Grupo de Apoio
Técnico (GAT)
Gabinete

5. DSIC/GSIPR
Tamanho do Problema
­ 39 ministérios
­ ≅≅ 6.000 entidades públicas
− ≅≅ 1.000.000 servidores federais ­ Executivo
Administração direta 225.412 Empresas Públicas 23.036
Autarquias e Fundações 328.217 Soc. Economia Mista 12.068
MPU 8.384 Militares 325.683
≅ 320 principais redes do governo federal
≅≅ 12.000 sites domínio .gov.br (+ de 6 milhões
páginas)

6. DSIC/GSIPR
Incidentes em redes na APF – CTIR ­ 2010
­ ≅≅ 4.480.000 de incidentes em 2009 (uma rede)
­ ≅≅ 1% dos incidentes são tentativas de invasão
­ ≅≅ 2100 tentativas por hora em todas as redes
­ ≅≅ 200 malwares analisados por mês

7. DSIC/GSIPR
60%
25%
7%
2% 6% ROUBO DE INFO BANC ÁRIAS
ROUBO DE INFO PESSOAIS
ROUBO DE INFO DO INFOSEG
BOTNET
OUTROS
Objetivos dos “Malwares”
Fonte: CTIR Gov 2009
Tratamento de Incidentes na APF ­ CTIR

8. DSIC/GSIPR
ASSINADOS
 Portugal
 Espanha
 Rússia (troca de
informações e SIC)
 França (atualizado)
NEGOCIAÇÃO
 Israel *
 USA
 Luxemburgo
 Itália *
 Rep. Tcheca
 Ucrânia
 Noruega
 Alemanha *
ACORDOS DE COOPERAÇÃO
Credenciamento – SISC

9. DSIC/GSIPR
SEGURANÇA DOS:
 recursos humanos;
 sistemas de informação e comunicação;
 áreas e instalações;
 materiais.
NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC
CAPACITAÇÃO SERVIDORES PÚBLICOS
ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES
SIGILOSAS
TRATAMENTO DE INCIDENTES DE REDES
ANÁLISE E GESTÃO DE RISCOS
CONTINUIDADE DE NEGÓCIOS
CONTROLE DE ACESSO
CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA
PROTEÇÃO DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO
ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA
APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE
SEGURANÇA
ABRANGÊNCIA DA SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES

10. DSIC/GSIPR
Normativas de Gestão de SIC­APF
• IN GSI 01, de 13 de junho de 2008 – Gestão SIC APF
• NC 01, de 14 de outubro de 2008 – Normalização
• NC 02, de 15 de outubro de 2008 – Metodologia
• NC 03, de 03 de julho de 2009 – POSIC
• NC 04, de 17 de agosto de 2009 ­ GRSIC
• NC 05, de 17 de agosto de 2009 – ETIR
• NC 06, de 11 de novembro de 2009 – GCN
• NC 07, de 14 de abril de 2010 – CASIC
• NC 08, de 24 de agosto de 2010 – Gestão de ETIR
• Normas em estudo: Manual do Gestor de SIC (2010); e Uso de
criptografia na APF (2010).

11. DSIC/GSIPR
Cultura e Capacitação
ATIVIDADE METODOLOGIA ALVO REALIZADO
(até 25/04/2010)
Sensibilização Palestras e Congressos 1.000.000 25.517
Conscientização Seminários e Colóquios 100.000 4.606
Capacitação Oficinas e
Cursos de Fundamentos
10.000 595
150*
Especialização Cursos pós­graduação 1.000 80
193**
• * Realizando o II CFGSIC a distância
• ** Realizando desde 05MAI2010 o CEGSIC semi presencial

12. DSIC/GSIPR
São dois os princípios básicos que devem ser observados
para se garantir a Segurança da Informação e
Comunicações bem como das infraestruturas críticas
do País no Ciberespaço
(I) reduzir as vulnerabilidades do país impedindo ou
dificultando ataques cibernéticos; e,
(II) em caso de ataque, garantir uma rápida recuperação e
funcionamento dos sistemas de informação e
infraestruturas críticas atacadas
(recursos humanos, legislação, tecnologia, políticas etc.)
Princípios

13. DSIC/GSIPR
Estratégia de Segurança Cibernética
A arte de assegurar a existência e a
continuidade da Sociedade da
Informação de uma nação garantindo e
protegendo, no espaço cibernético, seus
ativos de informação e suas
infraestruturas críticas.
PropostaProposta

14. DSIC/GSIPR
Decreto nº 4.801/03
Fica criada a Câmara de Relações Exteriores e Defesa
Nacional, do Conselho de Governo, com a finalidade de
formular políticas públicas e diretrizes de matérias
relacionadas com a área das relações exteriores e defesa
nacional do Governo Federal, aprovar, promover a
articulação e acompanhar a implementação dos programas e
ações estabelecidos, no âmbito de ações cujo escopo
ultrapasse a competência de um único Ministério, inclusive
aquelas pertinentes a:
...
XI ­ segurança cibernética. (Incluído pelo Decreto nº 7.009,
de 2009)
PropostaProposta

15. DSIC/GSIPR
• Ativos de informação: são os meios de
armazenamento, transmissão e processamento, os
sistemas de informação, bem como os locais onde se
encontram esses meios e as pessoas que a eles têm
acesso.
• Infraestruturas Críticas: são as instalações,
serviços, bens e sistemas que, se forem
interrompidos ou destruídos, provocarão sério
impacto social, econômico, político, internacional ou à
segurança do Estado e da Sociedade;
• Infraestruturas Críticas da Informação: é o
subconjunto de ativos de informação que afetam
diretamente a consecução e a continuidade da
missão do Estado e a segurança da Sociedade.
Conceitos – DSIC/GSIPR

16. DSIC/GSIPR
CONSCIENTIZAÇÃO
Segurança da Informação e Comunicações: ações que objetivam
viabilizar e assegurar a disponibilidade (acessível e utilizável), a
integridade (sem modificação ou destruição não autorizada ou
acidental) , a confidencialidade (disponível somente para
autorizados)e a autenticidade (produzida, expedida, modificada ou
destruída por determinada pessoa física, ou sistema, órgão ou
entidade) das informações (Instrução Normativa nº 01/GSI, 13 de
junho de 2000)
Quebra de segurança: ação ou omissão, intencional ou acidental, que
resulta no comprometimento da segurança da informação e das
comunicações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)
Mudança de Comportamento

17. DSIC/GSIPR
Mudança de Comportamento
VOCÊ SABE O QUE É ISSO?

18. DSIC/GSIPR
Mudança de Comportamento
E AGORA VOCÊ SABE?

19. DSIC/GSIPR
Mudança de Comportamento
Lei nº 11.829/08 – altera o ECA
Art. 241­B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia,
vídeo ou outra forma de registro que contenha cena de sexo explícito
ou pornográfica envolvendo criança ou adolescente:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
§ 2o
Não há crime se a posse ou o armazenamento tem a finalidade de
comunicar às autoridades competentes a ocorrência das condutas
descritas nos arts. 240, 241, 241­A e 241­C desta Lei, quando a
comunicação for feita por:
I – agente público no exercício de suas funções;
§ 3o
As pessoas referidas no § 2o
deste artigo deverão manter sob
sigilo o material ilícito referido.

20. DSIC/GSIPR
Mudança de Comportamento
Mais exemplos para reflexão:
1) Seu notebook foi identificado quando adentrou órgão público?
Por que?
....
....
E o seu smartphone?
2) Quando você se ausenta de sua estação de trabalho, ela permanece logada?
....

21. DSIC/GSIPR
Mudança de Comportamento
QUEBRA DE SEGURANÇA QUE COMPROMETA
A DICA IMPLICA EM RESPONSABILIDADE:
• ADMINISTRATIVA
• CIVIL
• PENAL

22. DSIC/GSIPR
• Falta de cultura padronizada em Segurança da Informação e
Comunicações;
• Falta de coordenação de ações conjuntas, de estabelecimento e exigência
de padrões e normas nacionais;
• Falta de legislação adequada;
• Indefinição das Fronteiras (Redes de Comunicações Transnacionais);
•Necessidade emergente de repensar e rever o conceito de Segurança das
infraestruturas críticas – em especial da segurança cibernética; e
• Continuidade das ações de governo.
Desafios para 2011

23. DSIC/GSIPR
Lema:

24. DSIC/GSIPR
OBRIGADO !
gerson.charbel@planalto.gov.br
(61) 3411­1321
http://dsic.planalto.gov.br
www.twitter.com/dsic_br