Escolar Documentos
Profissional Documentos
Cultura Documentos
PARLAMENTO ACADEMIA
JUSTIÇA
o WWW.CIBERSEGURANCA.ORG.MZ
o ciberseguranca@incm.gov.mz
o Disponivel uma pasta partilhada no dropbox
• Moçambique no âmbito do seu estatúto de membro da UIT, solicitou apoio com vista a
implementação do CIRT
• A UIT por sua vez apreciou posetivamente
• Iniciou o trabalho com a 1a Missão dos consultores da UIT a Moçambique entre os dias 15 – 17
de Novembro
• Foi realizado um Workshop de 3 dias
Apresentação dos desafios de segurança no Ciberespaço
Apresentação de mecanismos de detecção e combate as acções de Cibercrimes
Papel e modelos de CIRTs
Assessment sobre como Moçambique está sobre esta matéria
Por um ciberespaço mais seguro e contribuindo para o desenvolvimento de Moçambique.
Elaboração da Estratégia Nacional de Cibersegurança
AGENDA
o Oxford Martin School (Cybersecurity Capacity Maturity Model (CMM)) que divide-se em 5 dimensões:
Dimension Constituent Factors of Each Dimension
Dimension 1 – Cybersecurity Policy D1-1: Documented or Official National Cybersecurity Strategy
and Strategy
(Procura examinar as melhores formas de resistir
e recuperar-se dos incidentes cibernéticos D1-2: Incident Response
através do uso de políticas e estratégias
nacionais eficazes de cibersegurança) D1-3: Critical National Infrastructure (CNI) Protection
D1-4: Crisis Management
D1-5: Cyber Defence Consideration
D1-6: Digital Redundancy
Dimension 2 – Cyber Culture and Society D2-1: Cybersecurity Mind-set
(Procura examinar se os indivíduos ou as partes D2-2: Cybersecurity Awareness
interessadas em rede, como as empresas ou o
governo, estão cientes dos riscos cibernéticos, D2-3: Confidence and Trust on the Internet
sabem usar a Internet com segurança e têm o D2-4: Privacy Online
tempo e a disposição de tomar as medidas
necessárias para o fazer)
Nota:
- A descrição de cada Factores está no documento de base.
D1-1: Start Up - Não existe uma Estratégia Nacional de Segurança Finalizar e adotar a Estratégia Nacional de Segurança
Estratégia Formative Cibernética oficial ou formal Cibernética para Moçambique, que estabeleceria a
Nacional Visão de Moçambique e os Objetivos Estratégicos com
Segurança Não existe uma agência global ou uma instituição relação à Cibersegurança. A Estratégia deve fornecer
Cibernética governamental formalmente designada que detalhes sobre o quadro de implementação, tais como
documentada supervisione ou coordene a cibersegurança em a identificação de uma instituição nacional para
ou oficializada Moçambique. supervisionar a implementação e quadros de log de
implementação que detalharia um programa
O processo de desenvolvimento de uma estratégia cibernético coordenado para a nação.
nacional de segurança cibernética começou
D1-2: Resposta Start Up Não existe uma entidade abrangente que seja Estabelecer os quadros legais e regulatórios
a incidentes responsável pela resposta a incidentes de segurança necessários para a criação e operacionalização
cibernética de um CERT Nacional
A ausência de um CERT nacional em Moçambique Acelerar a operacionalização de um CERT
também resultou na falta de identificação e nacional com processos claros, papéis e
categorização de incidentes a nível nacional num registo responsabilidades definidas
central de incidentes, especialmente porque não existe
uma regulamentação em vigor que exija a notificação Desenvolver mecanismos para a produção de
obrigatória de incidentes cibernéticos. um relatório nacional de incidentes, de partilha
de informação e coordenação para abordar a
Estão em curso esforços para estabelecer um CERT notificação de incidentes e a coordenação na
nacional para Moçambique. O sector privado, Governo resposta a incidentes
com apoio da UIT estão actualmente a trabalhar
D1-3: Start Up Não existe uma categorização formal ou oficial sobre Desenvolver um CNI Nacional e um Registro de
infra-estruturas críticas ou vulnerabilidades de Vulnerabilidade
Protecção
Moçambique
das Criar uma estrutura para divulgação regular de
infraestrutu Não evidência de mecanismos formais entre o Governo vulnerabilidades
ras criticas e os operadores de infraestruturas críticas.
Desenvolver um Plano Nacional de
Operadores da CNI em Moçambique podem ter Contingência Cibernética e Resposta a
algumas capacidades básicas no que diz respeito à Incidentes
gestão de riscos, especialmente sobre como detectar,
identificar, proteger, responder e recuperar de ameaças Desenvolver procedimentos e processos
cibernéticas. No entanto, essas capacidades não são nacionais de gestão de risco e proteção da CNI
harmonizadas e podem variar em qualidade. De facto, a
segurança cibernética é geralmente subsumida em TI Realizar regularmente exercícios ou exercícios
de resposta a emergências cibernéticas
D1-4: Crisis Start Up Há poucas evidências para demonstrar que as partes Desenvolver medidas de gestão de crises
Management interessadas em Moçambique entendem que a gestão
de crises é necessária para a segurança nacional em Avaliar exercícios cibernéticos para desenvolver
Moçambique. Consequentemente, actualmente não há opções sobre como melhorar as medidas de
planeamento para a gestão de crises ou muito pouca gestão de crises
compreensão da gestão de crises de uma perspectiva de
segurança cibernética. Participar de fóruns internacionais para a gestão
da crise de segurança cibernética
D1-5: Start Up Não existe actualmente uma Política ou Estratégia Desenvolver uma estratégia de defesa da Cyber
Consideração Nacional de Ciberdefesa, embora seja geralmente aceite que detalha as abordagens para abordar as
da Defesa que a Política de Segurança Nacional e / ou a Estratégia ameaças à segurança nacional no ciberespaço
Cibernética de Defesa de Moçambique possam abordar algumas
questões relacionadas com a segurança digital ou a Estabelecer um centro oficial de controlo e de
segurança da informação controlo central da segurança cibernética em
Moçambique
Forças de segurança e de defesa nacionais em
Melhorar a resiliência das forças de defesa e as
Moçambique começaram a considerar questões de
respostas às vulnerabilidades dos interesses de
segurança cibernética nas suas actividades
segurança nacional e da infra-estrutura da rede
de defesa.
D1-6: Start up não existem muitas evidências que sugiram que as Desenvolver planos de Contingência Nacional
Redundância prioridades dos activos de resposta a emergências e os que identifiquem prioridades de ativos de
Digital procedimentos operacionais normalizados tenham sido resposta de emergência e procedimentos
estabelecidos no caso de uma interrupção das operacionais padrão (SOPs)
comunicações. No entanto, existem indicações de que
os prestadores de serviços já estabeleceram sistemas e Mapear ativos de resposta de emergência
medidas de redundância, oferecendo assim algum grau actuais
de redundância digital nos sistemas de comunicações
que abrangem todo o país. Assegurar que os canais de comunicação sejam
implantados nas funções de resposta de
Além disso, os ativos atuais de resposta de emergência emergência, nas áreas geográficas de
não foram mapeados e identificados em todo o país. responsabilidade, nos respondedores públicos e
privados e nas autoridades de comando
D2-1: Cybersecurity Start Up - Formative Existem indicações de que algumas agências líderes tanto das Desenvolver e difundir as Melhores Práticas Nacionais de Segurança
Mind-set instituições governamentais como do sector privado começaram Cibernética para criar uma mentalidade de segurança cibernética nos
a dar prioridade à cibersegurança. No entanto, observações setores público e privado e permitir que os cidadãos desenvolvam as
gerais sugerem que há uma ausência ou reconhecimento mínimo habilidades necessárias para gerenciar sua privacidade on-line e se
de uma mentalidade de segurança cibernética dentro das protegerem contra intrusão, interferência ou acesso indesejado de
agências governamentais. informações por outros
Empresas líderes do setor privado também começaram a Desenvolver programas de treinamento e conscientização para
priorizar uma mentalidade de segurança cibernética através da promover uma mentalidade de segurança cibernética pró-ativa em
identificação de práticas de alto risco. Do mesmo modo, as toda a sociedade - em grande escala, especialmente para grupos
organizações do sector financeiro e bancário também especiais como mulheres e crianças
começaram a reconhecer os impactos de questões relacionadas
com o cyber como a fraude online nos seus negócios.
D2-2: Consciência de Start Up A necessidade de sensibilização para as ameaças e vulnerabilidades Desenvolver e difundir as Melhores Práticas Nacionais de
Segurança Cibernética da segurança cibernética em todo o sector privado e público acaba Segurança Cibernética para criar uma mentalidade de
de começar a surgir em Moçambique embora ainda não tenha sido segurança cibernética nos sectores público e privado e
formalmente reconhecido a nível nacional. Do mesmo modo, não permitir que os cidadãos desenvolvam as habilidades
existe um programa coordenado e nacional de sensibilização para a necessárias para gerenciar sua privacidade on-line e se
segurança cibernética em Moçambique. protegerem contra intrusão, interferência ou acesso
indesejado de informações por outros
D2-3: Certeza Start Up - Ainda existe um uso mínimo dos serviços online em Promover a implantação e conscientização dos
e Confiança na Formative Moçambique. A confiança nos serviços on-line tem sido serviços de governo eletrônico, destacando as
Internet identificada como uma preocupação, com os operadores de medidas de segurança necessárias para promover
infra-estrutura estão actualmente a ponderar medidas para a confiança nos serviços eletrônicos
promover a confiança nos serviços online, embora estas
medidas ainda não tenham sido estabelecidas ou Enfatizar ou destacar os requisitos de segurança ou
implementadas os recursos dos serviços de comércio eletrônico
para promover a confiança
Continua a promover a implantação ea adopção de serviços
de governo electrónico em todo o país e a sua gama de
serviços electrónicos de governo continua a crescer
D2-4: Start Up Moçambique está actualmente a envidar vários esforços para Realizar uma análise de lacunas para identificar as
reforçar a sua postura quando se trata de privacidade e lacunas existentes no Quadro Legal e de
Privacidade
protecção de dados, e as discussões e envolvimento das partes Regulamentação de Segurança das TIC e desenvolver
Online interessadas começaram. os instrumentos necessários para corrigir lacunas,
incluindo questões relacionadas com a privacidade ea
protecção de dados.
D3-1: Start Up Em Moçambique, não existe um fornecedor Implante programas de Certificação de Segurança
Disponibilidade reconhecido de educação em segurança cibernética Cibernética em universidades e faculdades públicas
Nacional de e nenhuma acreditação reconhecida em educação
Educação em segurança cibernética. Identificar as necessidades de formação e desenvolver
Cibernética e programas e cursos específicos para atender às
Treinamento Da mesma forma, há muito poucos programas de necessidades de formação em Moçambique
treinamento de segurança cibernética oferecidos
em Moçambique com a maioria dos programas de
treinamento oferecidos nacionalmente,
principalmente programas de certificação de TI,
como o CISCO e não a segurança cibernética
especificamente.
D3-2: Start Up Actualmente, existem poucos ou nenhuns instrutores Desenvolver um programa nacional de promoção
Desenvolviment profissionais de segurança cibernética em Moçambique e da educação, formação e desenvolvimento de
o Nacional da não existem programas para treinar instrutores em competências em matéria de segurança
Educação em segurança cibernética em Moçambique. cibernética para Moçambique. Estes programas
Segurança incluirão um orçamento atribuído e outros
Cibernética Isto é consistente com o facto de não existir um programa recursos, cursos de formação, seminários, etc.
nacional formal para promover a educação e formação em
segurança cibernética em Moçambique. Aumentar a segurança cibernética incentivos
profissionais e oportunidades para promover a
Além disso, os debates sobre a necessidade de um atractividade das carreiras de segurança
orçamento para a educação e a investigação em matéria de cibernética e, por conseguinte, a atractividade do
segurança cibernética estão apenas começando e estão em ensino e da formação em segurança cibernética
fase inicial.
D3-3: Formação Formative Os programas de formação em segurança cibernética não são Implantar programas internacionais de certificação de
e Iniciativas implementados em Moçambique. As habilidades de segurança segurança cibernética, bem como cursos de
Educativas no cibernética podem existir, mas não estão estrategicamente desenvolvimento profissional contínuo para profissionais
Sector Público e localizadas e as ferramentas são limitadas. de segurança cibernética
Privado
Da mesma forma, há uma transferência de conhecimento limitada de
funcionários de segurança cibernética treinados em todo o país.
Além disso, e devido ao treinamento limitado, existe apenas o uso
informal de ferramentas, modelos ou modelos existentes para o
planejamento de segurança cibernética das organizações, sem
integração automatizada de dados.
Além disso, ainda existem falhas de habilidade em segurança
cibernética em Moçambique e é necessário mais treinamento
técnico, como evidenciado pela falta de dados sobre o número exato
de profissionais do setor público certificados em programas de
certificação internacionalmente reconhecidos em segurança
cibernética como CISSP, CISA, CEH etc.
D3-4: Formative Existe alguma compreensão das questões de segurança Realizar formação obrigatória de membros da
Governança cibernética no nível de gestão ou de direcção em diferentes Direcção ou do Conselho de diferentes
Corporativa, organizações. O nível de gestão têm alguma consciência das organizações para melhorar a sua compreensão
Conhecimento e dos problemas de segurança no cyberespaço, mas não tem das questões cibernéticas e como as suas
Padrões consciência de como podem acfetar a organização, ou que organizações abordam ou devem abordar estas
ameaças diretas existem. ameaças.
D4-1: Quadro Start Up Moçambique está actualmente a desenvolver esforços Realizar uma análise de lacunas para identificar lacunas na
Legal de para desenvolver legislação ou quadros jurídicos para a Estrutura Jurídica e Regulatória de Segurança das TIC e
Cybersegurança segurança das TIC, especialmente porque actualmente desenvolver os instrumentos necessários para corrigir as
não existe legislação promulgada que aborde de forma Lacunas.
abrangente a segurança das TIC.
Como tal, e para garantir que quaisquer actualizações
dos actuais quadros jurídicos das TIC de Moçambique
abordem todas as questões relacionadas com a
segurança cibernética, é necessário avaliar os requisitos
para desenvolver vários instrumentos regulamentares
relacionados com a Segurança das TIC para garantir que
não haja lacunas.
D4-2: Start-up - As evidências sugerem que as três principais partes interessadas Aumentar a capacidade nacional de investigar e
activamente envolvidas na detecção, investigação e perseguição processar cibercrimes através do reforço dos recursos
Investigação Formative
dos cibercrimes em Moçambique têm capacidade limitada humanos através de programas de formação, recursos
Jurídica quando se trata de investigar e processar os cibercrimes. tecnológicos, procedimentos, etc.
De facto, a aplicação a lei em Moçambique possui alguma Reforçar a colaboração nacional e internacional na
capacidade de acção nos casos de crimes relaccionados com detecção, investigação e repressão dos crimes
computadores. cibernéticos
Assim como as forças policiais e os serviços de promotores, e
considerando que não existem tribunais especializados em
cibercrimes em Moçambique, os juízes em todo o país têm uma
capacidade limitada para presidir casos de cibercrime e
envolvendo provas eletrônicas e falta de mecanismos formais
de colaboração com a aplicação da lei.
D4-3: Start Up Actualmente, não se reconhece a necessidade de uma Desenvolver uma estrutura de divulgação de
Relatórios política de divulgação de incidentes informáticos de forma vulnerabilidade responsável para permitir e
responsável nas organizações dos sectores público e promover o compartilhamento de informações
Responsáveis
privado em Moçambique. Consequentemente, em sobre vulnerabilidades no setor público e CNI
Moçambique não existe um quadro legal para a divulgação
de vulnerabilidades responsáveis.
D5-1: Adesão aos Start Up Actualmente, as normas e práticas de segurança da Criar um programa nacional para promover a adaptação e
Padrões informação não foram formalmente identificadas ou adopção de normas de segurança da informação em instituições
implementadas através de um esforço concertado em todo o governamentais e CNI em Moçambique
país.
Promover a adopção de normas de segurança das TIC nos
Além disso, não existem indícios de que os processos de processos de compras governamentais e pelas PME
adjudicação de contratos públicos em Moçambique tenham
em conta ou incluam normas relacionadas com a segurança
cibernética; Actualmente, os processos nacionais de
aquisições em Moçambique tendem a concentrar-se mais ou
a promover a transparência e a responsabilização e não
consideram os requisitos de segurança cibernética.
Da mesma forma, as evidências sugerem que há muito
pouca identificação ou adoção de padrões de
desenvolvimento de software no setor público e privado.
D5-2: Start-Up - O nível de resiliência da infra-estrutura de serviços de Internet Desenvolver um programa nacional para melhorar o
pode ser melhorado em Moçambique, como evidenciado pela desenvolvimento e a resiliência das infra-estruturas da
Resiliência da Formative
implantação não estratégica de tecnologia e processos nos Internet.
Infraestrutura sectores público e privado.
Nacional
De fato, embora os serviços governamentais, informações e Desenvolver um programa de governo nacional para
conteúdos digitais estejam disponíveis on-line, há implantar e gerenciar infra-estrutura de tecnologia
disponibilidade limitada de tecnologia para suportar o comércio governamental.
eletrônico ea interação comercial.
D5-3: Start Up Poucas ou nenhuma tecnologias de cibersegurança são Promover a colaboração entre - e o investimento
Mercado de produzidas internamente em Moçambique. Do mesmo por -, o setor privado e o meio acadêmico em
Segurança modo, a necessidade de um mercado de seguros contra a pesquisa e desenvolvimento em produtos de
Cibernética cibercriminalidade não foi identificada em Moçambique, o segurança cibernética e produtos de seguros de
que explica a inexistência de um mercado de seguros de cibercrime.
cibercrimes em Moçambique.
Apresentação de comentários:
- ciberseguranca@incm.gov.mz;
- Documento de base:
- http://
www.ciberseguranca.org.mz/documentospublicacoes/documentos.html
- Documento denominado:
Resultado da 1a Visita da Consultoria (Documento da Consultoria) na
secção 3a Reunião.
2. Quais são os princípios orientadores do sector das TICs em Moçambique, que também podem ser
usados para orientar a segurança cibernética?
• Princípio da Info-inclusão - as TICs devem ser vistas como um bem disponível de igual forma a toda a
população, independentemente da sua localização geográfica, idade, género, capacidade económica,
etc. Devem também permitir a simplificação das rotinas do cidadão e das empresas, melhorando a
qualidade de vida e as condições de competitividade;
• Princípio da Integração - a Sociedade da Informação é um elemento de desenvolvimento económico-
social que se pretende que esteja devidamente alinhado com a estratégia de desenvolvimento do país e
que é, ao mesmo tempo, peça decisiva na resposta directa aos desafios do desenvolvimento;
3. Quais são as políticas, ações regulatórias e/ou legais que poderão abordar à:
• Cibersegurança - (1) Desenvolver a Lei de Cibercriminalidade, (2) Revisar o Código Penal relacionado a computadores,
• Privacidade - (1) Aprovar a Lei de Transacções Electrónicas
• Protecção de Dados - (1) Desenvolver a Lei de Protecção de Dados
• Cloud Services -
• Cibercrime -
• Protecção da criança na Internet- (1) Desenvolver o quadro regulatório de protecção da criança na internet
• Quadro de Segurança Cibernética, que consiste em políticas e controlos gerais e sectoriais que seriam reconhecidos como um
padrão nacional
• Propriedade Intelectual - Desenvolver a Lei do Direito de Autor, Desenvolver a Lei dos Direitos de Propriedade Intelectual,
• Transacções electrónicas - Lei de Transacções Electrónicas, (2)
• Comércio electrónico - Lei de Transacções Electrónicas, (2) (1) Desenvolver a Lei de Protecção ao Consumidor
• Prova electrónica, etc. - (1) Aprovar a Lei de Transacções Electrónicas, (2)
4. Quais são as acções que poderão melhorar a aplicação da política de segurança cibernética, jurídica e regulamentar?
• Sem resposta.
• O Governo de Moçambique deve criar um Centro Nacional de Treinamento e Pesquisa em Segurança Cibernética (NCTRC), ou
uma direcção dentro do CIRT responsável pelo treinamento e pesquisa.
• Além disso, o Governo de Moçambique deve oferecer bolsas de estudo universitárias em segurança cibernética, em
Moçambique e no exterior. O número de bolsas oferecidas deve corresponder às necessidades dos especialistas do sector no
ano em questão.
6. Quais as políticas, acções regulatórias ou legais que abordam questões ligadas à infra-estruturas crítica de informação e de
resposta à incidentes?
• Analise das normas ISO/IEC 27000 já adoptadas pelo INNOQ, e recomendação de adopção de outras normas.
• Propor a criação de um Grupo de Trabalho sobre Segurança Cibernética baseado no Ministério do Interior. Como resultado de uma criação
gradual do grupo de trabalho, uma vez que grande parte da capacidade de gerenciar a cibersegurança está nos sectores bancário e de
telecomunicações actualmente.
• Progressão na carreira: Identificar no Plano actual de Careiras se existe a carreiras em todos os níveis relacionada com Segurança cibernética
(através do Ministério da Função Pública e Administração Estatal)
• Certificações internacionais e Currículo nacional: Introdução de matérias ligadas com a segurança cibernética para os níveis primários (através
da disciplina de educação moral e cívica) e secundário através da disciplina de Informática.
• Para o nível superior, Introdução de cursos de licenciatura e mestrado em segurança cibernética.
• Conscientização:
Quanto à educação e conscientização dos usuários, o CERT nacional deve ter o mandato de promover campanhas de educação e
conscientização dos usuários, o que inclui o desenvolvimento de capacidade através da inserção de temas de cibersegurança no currículo
nacional.
1. Quais as ações técnicas que promovem a educação e a formação dos profissionais de TICs na área de segurança cibernética?
Promoção de formação profissional aos técnicos Sensibilização e educação dos profissionais e usuários de
Pós graduação em cibersegurança TICs para a cibersegurança nas empresas pois elas cada
Cursos médios em cibersegurança vez enfrentam um volume crescente de ameaças e com
Cursos universitários evolução constante.
Cooperação em a Academia e instituições de Justiça e de Formação dos profissionais da área da segurança, dotá-
investigação criminal los de competências ao nível de técnicas de segurança
Ciência forense digital e resposta a incidentes avançadas. Pois estas constituem uma componente vital
Conhecimentos básicos sobre o tópico para uma gestão eficaz de ameaças empresariais e
Análise de malware e engenharia inversa estratégias de mitigação. Níveis de conhecimento
Política de TICs educativa a nível de educação Criação de fóruns de discussão sobre a segurança
Reformulação de Currículos do ensino, introduzindo cibernética nas academias
matérias sobre a segurança cibernética
Investir em pesquisas sobre segurança de informação e
cibernética
3. Quais as técnicas e acções que abordam questões relaccionadas com a partilha de informação, colaboração e consciência sobre segurança
cibernética?
4. Quais as acções técnicas que abordam questões ligadas à infraestrutura de informação crítica e de resposta a incidentes?
Segurança Física:
Detecção de incendio;
Controle de acessos a infraestruturas críticas, senhas automatizadas, fingerprint’s,..
Incriptação de informação a ser depositada na cloud;
Classificar a Informação de soberania do estado e não deve depositá-la na nuvem;
Por um ciberespaço mais seguro e contribuindo para o desenvolvimento de Moçambique.
Elaboração da Estratégia Nacional de Cibersegurança
APRESENTAÇÃO DO RESULTADO DA DISCUÇÃO DOS GRUPOS
GRUPO 3 – ASPECTOS TÉCNICOS E SEGURANÇA NACIONAL (RESPOSTA A INCIDENTES E PESQUISA E DESENVOLVIMENTO)
4. Indique ações que tratam de questões Reuniões de coordenação, focal Instituições governamentais, Palestras, seminários, divulgação nas
relacionadas com a partilha de informações e points, rede informática operadores de infraestruturas e instituições e empresas, debates
colaboração em matérias de segurança específica. outras instituições. televisivos e radiofónicos, material de
cibernética entre o governo, os operadores de merchandising.
Infraestrutura de Informação Crítica (CII) e
outras instituições.