PROTEÇÃO DE INFRAESTRUTURA CRÍTICA DA INFORMAÇÃO

“O SERPRO e sua experiência no tocanteà matéria.”

A sociedade atual depende de um conjunto complexo de sistemassócio-técnicos denominados de Infraestruturas Críticas (IC).

Atualmente os setores que compõem a IC (mais frequentemente citados pelos países) são: Bancos e Finanças, Serviços de Governo, Tecnologia da Informação e Comunicações, Serviços de Emergência, Energia, Saúde, Alimentos, Transporte, e Águas.

Como um subconjunto fundamental da IC destaca-se a Infraestrutura de Informações Críticas (IIC), cujos principais componentes são as informações, telecomunicações, informática / software, internet, satélites, fibra-ótica etc. O termo também é utilizado para o conjunto de computadores e redes interconectados, e os seus fluxos de informações críticas.

INFRAESTRUTURA CRÍTICA CONCEITO GERAL

PCCIP, July 15 1996

SEGURANÇAPÚBLICA FINANÇAS TRANSPORTES ÁGUA

INFRAESTRUTURA CRÍTICA (IC) DO BRASIL

jan/07

ICISAÚDE TELECOM ENERGIA

SERPRO

Clientes:

MF, MT, MEC, MTE, MDIC, MP, AGU, CGU, PR, DPF, INPI, RFB, PGFN, STN, TCU, DENATRAN, …

Sistemas Estruturadores:

SIAPE, SIAFI, SIASG, SIORG, ATIVA, MERCANTE, SISCOMEX, RAIS, COMPRASNET, RECEITANET, ...

Empresa pública vinculada ao MF. Possui 10 regionais, 26 escritórios, 11000 profissionais, 3 centros de dados

– POSIC implantada (Governança da Segurança)

– Comitê de Segurança – Estratégico (Governança da Segurança)

– Coordenação de Gestão da Segurança da Informação

– Grupos Específicos (CSIRT, Aplicações, Continuidade, prospec. etc.)

– Sistemáticas (análise de risco, forense computacional, ...)

– Certificado na ISO 27001

– Mapeamento do PROSEG e de seus subprocessos

– Cultura de Segurança (conscientização, treinamento, educação)

– Alinhamento com orientações do Governo Federal

– Colaboração com Governo Federal

– DEC. 3505, CGSI, ICP-Brasil, CTIR-Gov, NC, Capacitação, Pós Graduação, Troca de experiência (BB, Petrobras, TCU, CEF, Aneel, Infraero, ...), GTs...

SEGURANÇA DA INFORMAÇÃO NO SERPRO

SINCESINCE

SIP

OL

SIP

OL

SIFRASIFRA

SIC

ON

SIC

ON

SIDESSIDES

SIUNISIUNI

COMITÊ ESTRATÉGICOCOMITÊ ESTRATÉGICOOP

ADCLDE

S

DP

DS

CD SI O

P

GS

ST DE A

CAF

…GL

GP

…

SIEST

PADRONIZAR – SISTEMATIZAR - PRIORIZAR

GE

COGSI

Portaria 34 publicada no DOU No. 149/2009 • A IC abrange as instalações, serviços, bens e sistemas que, se forem

interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

Infraestrutura Crítica do Brasil (IC) Instalações, serviços, bens e sistemas que, se forem interrompidos ou

destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;

Infraestrutura de informações críticas (IIC) Subconjunto de ativos de informação que afetam diretamente a

consecução e a continuidade da missão do Estado e a segurança da sociedade.

Consideram-se ativos de informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

INFRAESTRUTURA CRÍTICA NO BRASIL

A IC abrange as instalações,serviços, bens e sistemas que, seforem interrompidos ou destruídos,provocarão sério impacto social,econômico, político, internacionalou à segurança do Estado e dasociedade

CONCEITO DE IC

PONTO FORTE:Foge do modeloExaustivo (dinâmico)

PONTO FRACO:Hiperdimensiona etalvez olvide “pequenasvariações”

INFRAESTRUTURA CRÍTICA - INTERDEPENDÊNCIA

A IC abrange as instalações,serviços, bens e sistemas que, seforem interrompidos ou destruídos,provocarão sério impacto social,econômico, político, internacionalou à segurança do Estado e dasociedade

CONCEITO DE IC

A DEFINIÇÃO “DINÂMICA”, PORTANTO, É ELEGANTE MAS NÃODEVE PERMITIR QUE DESCUIDEMOS DO INCIDENTE FRACTRAL EDAS CAUSAS QUE APARENTEMENTE MÍNIMAS, PODEM TRAZERGRANDES CONSEQUÊNCIAS (EFEITO BORBOLETA)

Conscientização

Id. Componentes essenciais

Avaliar Vulnerab.

Priorizar

Aumentar cap.adaptativa

Gestão da Continuidade

Gestão da Segurança

Operações de TIC

Gestão de RiscosResiliência

Organizacional(RESORGS)

Resiliência Operacional

(CERT)

FRAMEWORK DE RESILIÊNCIA

ENGENHARIA DE RESILIÊNCIA

GATNER GROUP: PRINCÍPIOS

SERPRO X IBM

Passos:1 – Questionário2 – Avaliação3 – Workshop, propriamente dito4 – Levantamento dos resultados

Próxima etapa: implantação do projetode engenharia de resiliência.

COGSI

SERPRO X IBM

Strategy - Alignment

Strategy - Risk Management

Strategy - Governance

Processes - IT Processes

Processes - Business Processes

Processes - Collaboration

Organization - Structures

Organization - Knowledge

Organization - RolesApplications and Data - Data Security

Applications and Data - Architecture

Applications and Data - Management

Infrastructure - Hardware

Infrastructure - Software

Infrastructure - Network

Sites & Locations - Premises

Sites & Locations - Supply Chain

Sites & Locations - Disasters

Resilience Requirements Resilience Current State

OBRIGADO