Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança da Informação
Secretaria de Governo Digital / MGI
abril de 2023
Framework de Privacidade e Segurança da
Informação - Agenda
1
3ª Linha
O PPSI e a Motivação do Framework
1
de Defesa
3ª Linha
de Defesa
O PPSI e
1 Motivação do
Framework
3
Framework de Privacidade e Segurança da
Informação
Principais iniciativas de apoio
3ª Linha
de Defesa OBJETIVO Centro Integrado de Segurança Cibernética do
Governo Digital – CISC GOV.BR
Elevar a maturidade e resiliência em
PESSOAS
privacidade e segurança da informação dos
órgãos do SISP
Pentest e Simulação de Phishing
RESULTADO-CHAVE 1
Centro de Excelência em Privacidade e
Implementação de controles de privacidade
Cibersegurança (PCCoE)
4
Framework de Privacidade e Segurança da
Informação - Motivação
3ª Linha
Decreto 10.332/2020 Acórdãos TCU
de Defesa
EGD 2020-2022/3 Acórdão 1889/2020
Sistemas Informacionais Críticos
Objetivo 10 - Implementação da LGPD
no âmbito do Governo federal Acórdão 1384/2022*
Diagnóstico do Grau de
Implementação da LGPD na APF
Objetivo 11 - Garantia da segurança Acórdão 1768/2022
das plataformas de governo digital e de Mapeamento Maturidade APF
missão crítica quanto à Implementação de
Controles Críticos de SEGCIBER
* 9.1. recomendar à SGD/ME (...) que considerando o controle sob jurisdição, edite normativos e
guias, consultando ANPD e GSI/PR, para auxiliar a adequação das organizações à LGPD. 5
Framework de Privacidade e Segurança da
Informação
3ª Linha
de Defesa
Estruturação
2 do Guia do
Framework
6
Framework de Privacidade e Segurança da
Informação - Estruturação do Guia - Capítulos
O Guia do Framework foi estruturado em 8 capítulos:
3ª Linha
2
CONTROLE DE ESTRUTURAÇÃO
1
de DefesaFUNDAMENTAÇÃO
1-Orientações BÁSICA EM SEGURANÇA DA
INFORMAÇÃO E PRIVACIDADE
3
2-ListaCONTROLES
InventárioDE CIBERSEGURANÇA 4 CONTROLES DE PRIVACIDADE
5 IMPLEMENTAÇÃO
3-Template 6 MATURIDADE
7
FERRAMENTA DE ACOMPANHAMENTO
4-Listas
DA IMPLEMENTAÇÃO DO FRAMEWORK 8 CONSIDERAÇÕES FINAIS
7
Capítulo 1 - Fundamentação
“Não há privacidade sem segurança”
1. Normas legais de conformidade 3. Abordagem de controles e
• LGPD implementação de cibersegurança
• Normativos GSI
• CIS Controls – Cibersegurança
• PNSI – Política Nacional de Segurança da Informação
• CIS Guia Complementar de Privacidade
• Grupos de Implementação do CIS
• NIST Cybersecurity Framework (Identificar-Proteger-Detectar-Responder-
Recuperar)
9
Capítulo 3 - Controles de Cibersegurança
(CIS 8)
Controles CIS 8
• 01: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS Capítulo 3 Anexo IV
• 02: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE
• 03: PROTEÇÃO DE DADOS Controles 1 a 18
• 04: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E
• Contextualização
SOFTWARE do objetivo do
• 05: GESTÃO DE CONTAS controle
• 06: GESTÃO DO CONTROLE DE ACESSO • Medidas de
• 07: GESTÃO CONTÍNUA DE VULNERABILIDADES • Por que Cibersegurnaça a
• 08: GESTÃO DE REGISTROS DE AUDITORIA
• 09: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB implementar? serem
• 10: DEFESAS CONTRA MALWARE
• Aplicabilidade e implementadas
• 11: RECUPERAÇÃO DE DADOS para os controles.
• 12: GESTÃO DA INFRAESTRUTURA DE REDE Implicações de
• 13: MONITORAMENTO E DEFESA DA REDE Privacidade
• 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS
SOBRE SEGURANÇA • Fique Atento!
• 15: GESTÃO DE PROVEDOR DE SERVIÇOS
• 16: SEGURANÇA DE APLICAÇÕES
• 17: GESTÃO DE RESPOSTA A INCIDENTES
• 18: TESTES DE INVASÃO
10
Capítulo 4 - Controles de Privacidade
11
Capítulo 5 - Implementação
12
Capítulo 6 - Maturidade
Metodologia enxuta para facilitar a avaliação dos órgãos e o
Premissa acompanhamento pela SGD
Níveis de
Implementação
Adota em maior parte ou totalmente
Adota em menor parte
Adota parcialmente Cálculo da
Avaliação por
Medida Há decisão formal ou plano aprovado Maturidade
para implementar
Control Self-Assessment
(CSA)
▪ Relação entre implementação e
Maturidade capacidade
▪ 5 faixas de maturidade
14
Capítulo 7 - Ferramenta de acompanhamento da
implementação do Framework
A ferramenta tem um
manual próprio a fim de
orientar seu uso.
15
Capítulo 8 – Considerações Finais
Benefícios
✓ Ampliação da confiabilidade e da proteção de sistemas informáticos
contra os principais ataques que podem resultar em incidentes de segurança.
✓ Aprimoramento da privacidade e da proteção dos dados pessoais dos
cidadãos inseridos nas bases de dados governamentais.
✓ Aumento da confiança da população nos serviços digitais prestados pelo
governo federal.
✓ Disseminação da cultura de privacidade e segurança da informação nas
instituições.
✓ Criação de uma linguagem comum de controles e de medidas de
privacidade e segurança para os órgãos do SISP e demais partes interessadas;
e
✓ Aumento da confiança mútua para compartilhamento de dados entre as
instituições públicas devido a evolução dos níveis de maturidade em
privacidade e segurança da informação dos ambientes tecnológicos.
16
Framework de Privacidade e Segurança da
Informação
3ª Linha
de Defesa
Ferramenta de
3 Automação do
Framework
17
Ferramenta de Automação do Framework
Visão Geral
18
Obrigado!
Leonardo Rodrigo Ferreira
Diretor de Privacidade e Segurança da Informação