Relatório executivo

INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021

Gabinete de Segurança Institucional
Sumário
Equipe de Trabalho........................................................................................................4
Objetivo.........................................................................................................................5
Introdução.....................................................................................................................5
Como ler este relatório...................................................................................................5
Ressalvas.......................................................................................................................5
Pontos de destaques......................................................................................................5

1.............................................................Elaborar ato normativo sobre o uso seguro da nuvem

6
2........................Existem apenas 5 definições relacionadas a nuvem nesta instrução normativa
6
3.....................................................Gerenciar os riscos e análise de impacto de dados pessoais
6
4.....................................................................Usar nuvem pública para sistemas estruturantes
7
5.............................................Avaliar quais informações serão hospedadas em nuvem pública
7
6.....................................Implementar atualizações de segurança dos serviços periodicamente
7
7..........................................................................Adotar padrão de identidade federada e MFA
7
8.................................Acessar diretamente o ambiente de autenticação do órgão ou entidade
8
9.....................................................................Gerenciar identidades e armazenamento de logs
8
10..........................................Diretrizes relacionadas ao tratamento da informação em nuvem
8

2
 11................................................................................Armazenar dados em território nacional
8
12..........................................................Proibir o uso de informações pelo provedor de serviço
9
13..............................................................................Eliminar os dados ao término do contrato
9
15................................Manter sistemas executados em máquinas virtuais sempre atualizados
9
16............................Permitir que órgãos ou entidades acessem o log de acessos do hypervisor
10
17.........................Impor mecanismos de autenticação que impacte nas políticas de segurança
10
18...........................................Contradição em relação ao acesso ao ambiente de autenticação
10
19........................................................Proteger aplicações e sistemas dos órgãos ou entidades
10
20...........................................................................Adotar práticas de desenvolvimento seguro
10
21......................................................................Possuir um plano de recuperação de desastres
10
22........................................................................Estabelecer um canal de comunicação seguro
11
23...................................................................................................Segregar o tráfego de dados
11
24..............................................................Implementar dispositivos de segurança entre zonas
11
25.......................Demonstrar estar em conformidade com os padrões de segurança de nuvem
11
26..................................................................................Obrigatoriedade de usar cloud brokers
11

3
 27.............................................................................Contratatação de plataforma multinuvem
12
28.....................................O cloud broker se responsabiliza por cumprir a instrução normativa
12
29...........................................................................Validar as certificações SOC dos provedores
12

Recomendações...........................................................................................................12

4
 Equipe de Trabalho
Ricardo Makino
André Landim
Rodrigo Azevedo

Objetivo
Este relatório tem por objetivo descrever resumidamente os principais pontos da IN05 do GSI e os
impactos que podemos ter em nossos produtos e serviços.

Introdução
Já se passam mais de dois anos desde que o governo brasileiro estabeleceu a prioridade para a
computação em nuvem na contratação de serviços e soluções de tecnologia. Dentre os pontos que mais
despertaram a atenção, a segurança sempre foi destaque.
O Gabinete de Segurança Institucional da Presidência da República publicou, em 30 de agosto de
2021, a Instrução Normativa nº 5 (IN 05), que estabelece diretrizes para contratar e implementar soluções
ou infraestrutura em nuvem.

Como ler este relatório

Título indica a ação necessária
“Localização:” indica o trecho na IN05
A faixa indica o grau de impacto para a RNP
 Impacto alto
 Impacto médio
 Impacto baixo
Os pontos de destaque para este trecho

Ressalvas
Este relatório foi elaborado para auxiliar as diversas áreas da organização na implementação de
estratégias resultados da nova legislação. Boa leitura!

5
 Pontos de destaques

1. Elaborar ato normativo sobre o uso seguro da nuvem

Localização: CAPÍTULO II / Art. 4º
Impacto alto
 Ser elaborado com base na política de segurança da informação do órgão ou da entidade;
 Ser homologado pela alta administração e divulgado a todas as partes interessadas;
 Relacionar as metas a serem alcançadas e os objetivos que regem o serviço de computação em
nuvem;
 Definir as funções e as responsabilidades dos agentes designados para o gerenciamento dos
serviços de computação em nuvem;
 Estabelecer a periodicidade para sua revisão, a qual não deve exceder dois anos;
 Isso pode ser uma oportunidade para apoiar os clientes na elaboração deste ato?

2. Existem apenas 5 definições relacionadas a nuvem nesta instrução normativa

Localização: CAPÍTULO I / Art 2º;
Impacto baixo
 A instrução faz referência ao Glossário de segurança da informação da GSI;
 São estas definições presentes na instrução normativa:
a. BACKEND AS A SERVICE (BaaS)
b. COMPUTAÇÃO EM NUVEM
c. MODELO DE IMPLEMENTAÇÃO DE NUVEM PRÓPRIA
d. MODELO DE IMPLEMENTAÇÃO DE NUVEM COMUNITÁRIA
e. PROVEDOR DE SERVIÇOS DE NUVEM
 O resultado disso é uma fragilidade no vocabulário usado pela instrução, o que pode
trazer incertezas em sua interpretação;

3. Gerenciar os riscos e análise de impacto de dados pessoais

CAPÍTULO IV / Seção I / Art. 11
Impacto médio
 Antes e usar a nuvem deve-se levar em consideração os seguintes itens:
o tipo de informação a ser migrada;
o fluxo de tratamento dos dados que podem ser afetados com a adoção da solução;
o valor dos ativos envolvidos;

6
 o benefícios da adoção de uma solução de computação em nuvem, em relação aos
riscos de segurança e privacidade referentes à disponibilização de informações e
serviços a um terceiro;
 Teremos que incluir no fluxo do processo de arquitetura e migração, considerando os
itens a, b, c e d;
 Oportunidade: RNP apoiar os clientes na elaboração destas análises
 O item C diz respeito ao valor dos ativos envolvidos, como precificar o valor das
informações pessoais?

4. Usar nuvem pública para sistemas estruturantes

CAPÍTULO IV / Seção I / Art. 11 / IV
Impacto baixo
 Precisamos ter muita clareza o conceito de sistemas estruturantes;
 De acordo com o Anexo A do PDTIC do MEC:
o (http://portal.mec.gov.br/docman/junho-2017-pdf/66311-anexo-a-portfolio-de-
sistemas-pdf/file)
 Todos os sistemas coorporativos são considerados estruturantes;
 O gestor público responsável pela TI deverá se certificar que não irá migrar sistemas
estruturantes para nuvem pública;

5. Avaliar quais informações serão hospedadas em nuvem pública

CAPÍTULO IV / Seção I / Art. 11 / V
Impacto médio
 Considerando o processo de classificação de informação;
 Depende de uma política de segurança da informação que nem todos os órgãos possuem;

6. Implementar atualizações de segurança dos serviços periodicamente

CAPÍTULO IV / Seção II / Art. 12
Impacto alto
 Entendemos que obriga o provedor a seguir critérios e periodicidade para atualização de
segurança dos serviços;
 Se este entendimento estiver correto teremos problemas com os provedores globais
dado a complexidade de atender de maneira personalizada critérios pré-estabelecidos
pelos órgãos ou entidades governamentais;

7. Adotar padrão de identidade federada e MFA

CAPÍTULO IV / Seção III / Art. 13 / I / III
Impacto alto
a. Impacta nas ofertas de SaaS;

7
 b. Inviabiliza o acesso ao console do provedor de nuvem pública, sendo
necessário adotar contas locais;
c. Isso pode impedir a utilização de uma solução de SSO, pois em casos de SaaS
como Office365 ou Google Workspace há uma sincronização entre o AD/LDAP
da instituição com os sistemas do provedor para haver compartilhar usuários,
grupos, contatos, etc.;
d. Além disso, impede a utilização de serviços de autenticação de provedores de
serviços como o Cognito da AWS ou o Azure AD da Microsoft

8. Acessar diretamente o ambiente de autenticação do órgão ou entidade

CAPÍTULO IV / Seção III / Art. 13 / II
Impacto médio
 Nega acesso ao ambiente de autenticação pelo provedor de serviços

9. Gerenciar identidades e armazenamento de logs

CAPÍTULO IV / Seção III / Art. 13 / IV, V e VI
Impacto médio
 Fala sobre o registro e armazenamento de acessos, incidentes, eventos, sessões e
transações;
 Devem ser preservados no provedor de serviços por 5 anos (V);
 Deve ser mantido em ambiente próprio (VI)
 Teremos que incluir no fluxo do processo de arquitetura e precificação;
 Oportunidade:
o Desenvolver uma solução para centralizar e manter estes dados dentro das
especificações da IN
o CAPÍTULO IV / Seção III / Art. 13 / VII diz que os profissionais devem ser
capacitados para acessar e utilizar estes serviços
o Caso seja uma solução única para todos os provedores seria um diferencial

10. Diretrizes relacionadas ao tratamento da informação em nuvem

CAPÍTULO IV / Seção VII / Art. 17
Impacto médio
 Informações com grau de sigilo (reservado, secreto ou ultrassecreto -
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7724.htm#art25)
não poderão ser tratados em nuvem, apenas informação ostensiva ou pessoal, de acordo
com a tabela no Anexo I da IN.
 No capítulo VII da lei de acesso a informação:
o prejudicar ou causar risco a projetos de pesquisa e desenvolvimento científico ou
tecnológico, assim como a sistemas, bens, instalações ou áreas de interesse
estratégico nacional, observado o disposto no inciso II do caput do art. 6º;

8
11. Armazenar dados em território nacional
CAPÍTULO IV / Seção VII / Art. 18
Impacto médio
 Todos os dados devem estar hospedados em território brasileiro
 Dados sem restrição de acesso (ostensivo) podem possuir cópias de segurança fora do
Brasil
 Dados com restrição de acesso não poderão ser tratados fora do território brasileiro
 Para dados pessoais deve ser observada a LGPD;

12. Proibir o uso de informações pelo provedor de serviço

CAPÍTULO IV / Seção VIII / Art. 19 / III
Impacto baixo
 É proibido o uso de informações do órgão ou da entidade pelo provedor de serviço de
nuvem para:
o Propaganda
o otimização de mecanismos de inteligência artificial
o ou qualquer uso secundário não-autorizado;

13. Eliminar os dados ao término do contrato

CAPÍTULO IV / Seção VIII / Art. 19 / VI
Impacto alto
 Sobre a eliminação dos dados deve ser observado:
o A legislação e o tempo mencionado por ela;
o Os provedores não garantem que o dado será removido por completo no
momento da solicitação do usuário
o Isso pode ser de forma assíncrona;
 Além disso, a obrigatoriedade da remoção dos dados é do usuário e não do provedor;

14. Adotar práticas de virtualização segura

CAPÍTULO V / Art. 20 / II
Impacto alto
 A maioria dos requisitos não são passíveis de validação;
 Os provedores se baseiam em normas e certificações que apesar de cobrirem os
requisitos não temos certeza se existe o nível de detalhe exigido pela instrução
normativa.

15. Manter sistemas executados em máquinas virtuais sempre atualizados

CAPÍTULO V / Art. 20 / II / d

9
 Impacto alto
 Diz que o provedor deve manter todos os sistemas operacionais e as aplicações em
execução na máquina virtual em suas versões mais atuais
 Isso no caso de um IaaS é responsabilidade do cliente;
 No caso de um PaaS é uma responsabilidade compartilhada, pois o provedor não pode
aplicar uma atualização que quebre o ambiente do cliente;
 No caso de um SaaS é viável;

16. Permitir que órgãos ou entidades acessem o log de acessos do hypervisor

CAPÍTULO V / Art. 20 / II / f
Impacto médio
 Não ficou claro se é possível ter acesso ao hypervisor do provedor;
 Isto pode variar de provedor para provedor;

17. Impor mecanismos de autenticação que impacte nas políticas de segurança

CAPÍTULO V / Art. 20 / III / b
Impacto médio
 Impor mecanismo de autenticação que exija tamanho mínimo, complexidade, duração e
histórico de senhas de acesso
 O provedor deveria apenas dar meios para que seja possível essa implementação, mas
não impor, até porque cada órgão deve ter a sua política;

18. Contradição em relação ao acesso ao ambiente de autenticação

CAPÍTULO V / Art. 20 / III / c
Impacto baixo
 Contradiz o CAPÍTULO IV / Seção III / Art. 13 / II que nega acesso ao ambiente de
autenticação do órgão pelo provedor de serviços;

19. Proteger aplicações e sistemas dos órgãos ou entidades

CAPÍTULO V / Art. 20 / IV / a
Impacto alto
 Imputa ao provedor a obrigatoriedade de proteção de aplicações e sistemas (WAF) do
órgão;
 O provedor deveria apenas fornecer o serviço para isso;
 A responsabilidade pela implantação e operação é do órgão;

20. Adotar práticas de desenvolvimento seguro

CAPÍTULO V / Art. 20 / IV / b, c, d, e
Impacto médio

10
  Desenvolver código web em conformidade com as melhores práticas de desenvolvimento seguro e
com os normativos existentes;
 Não ficou claro se isso é para os serviços, portais e API do provedor;

21. Possuir um plano de recuperação de desastres

CAPÍTULO V / Art. 20 / VI
Impacto médio
 Possuir um plano de recuperação de desastres que estabeleça procedimentos de recuperação e de
restauração de plataforma, infraestrutura, aplicações e dados após incidentes de perda de dados
 Não ficou claro se isso é para os serviços, portais e API do provedor ou inclui os ambientes do
órgão;

22. Estabelecer um canal de comunicação seguro

CAPÍTULO V / Art. 20 / VII
Impacto médio
 Estabelecer um canal de comunicação seguro utilizando, no mínimo, Secure Sockets
Layer/Transport Layer Security (SSL/TLS)
 Não ficou claro se isso é para os serviços, portais e API do provedor ou inclui as aplicações
do órgão;

23. Segregar o tráfego de dados

CAPÍTULO V / Art. 20 / X / b
Impacto baixo
 A segregação do tráfego de gerenciamento e dados deve ser realizada pelo órgão que
instancia o ambiente;
 O provedor deve apenas dar a possibilidade de fazer isso;

24. Implementar dispositivos de segurança entre zonas

CAPÍTULO V / Art. 20 / X /
Impacto baixo
 Não ficou claro o que são estes dispositivos;

25. Demonstrar estar em conformidade com os padrões de segurança de nuvem

CAPÍTULO V / Art. 20 / XIV
Impacto baixo
 A IN indica apenas a certificação SOC2 como obrigatória, porém poderiam ter outras
como PCI-DSS, ISO 27001, 27017, 27018, 27701 e etc.
 Além disso, é preciso verificar se é permitido em licitações solicitar certificações de
norams internacionais ou somente de normas brasileiras.

11
26. Obrigatoriedade de usar cloud brokers
CAPÍTULO VI / Art. 21
Impacto baixo
 Diz que o broker é um integrador entre o órgão e dois ou mais provedores são
obrigatórios
 Não ficou claro se o conceito de broker se mantém caso existe apenas um provedor;

27. Contratatação de plataforma multinuvem

CAPÍTULO VI / Art. 22
Impacto baixo
 Determinar requisitos mínimos para plataformas de gestão multinuvem que realizem
procedimentos de provisionamento e orquestração do ambiente;
 Precisamos validar os requisitos levando em consideração nesta IN;

28. O cloud broker se responsabiliza por cumprir a instrução normativa

CAPÍTULO VI / Art. 23 / I e II
Impacto alto
 Imputa ao cloud broker a responsabilidade de cumprir a IN;
 A operação deve seguir as melhores práticas de segurança;
 Faz sentido se o broker operar a nuvem de ponta a ponta;
 Se for apenas um broker de contratação e a operação for de responsabilidade do órgão
não faz sentido;

29. Validar as certificações SOC dos provedores

CAPÍTULO VII / Art. 25 / Parágrafo único
Impacto médio
1. O broker tem a responsabilidade de apresentar as certificações SOC dos provedores;
2. Teremos que incluir no fluxo de contratualização;

Recomendações
Este relatório foi elaborado para auxiliar as diversas áreas da organização na implementação de
estratégias resultados da nova legislação.

12
Título (Corpo 20)
Subtítulo (corpo 16)

13