Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
Fundamentos de Segurança da Informação na Transformação Digital.pdf Gestão da Informação e do Conhecimento; Governo e Transformação Digital; Inovação. Fundamentos de Segurança da Informação na Transformação Digital Enap, 2023 Fundação Escola Nacional de Administração Pública Diretoria de Desenvolvimento Profissional SAIS - Área 2-A - 70610-900 — Brasília, DF Fundação Escola Nacional de Administração Pública Diretoria de Desenvolvimento Profissional Conteudista/s Bruno Parente (conteudista, 2023). Sumário Módulo 1: Contextualizando Segurança da Informação na Transformação Digital ........................................................................................................................ 8 Unidade 1: A Transformação Digital e seus Impactos na Administração Pública ....................................................................................................................... 8 1.1 O que é Transformação Digital? .............................................................................. 8 1.2 A Transformação Digital na Administração Pública ............................................ 11 1.2.1 Direito Administrativo e Princípio da Legalidade como Base da Transformação Digital do Governo ....................................................................... 12 1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital? ................. 13 Referências ..................................................................................................................... 20 Unidade 2: A Relação entre Inovação e os Riscos .............................................23 2.1 O que é Inovação? ................................................................................................... 23 2.2 O que São os Riscos? ............................................................................................... 24 2.3 A Importância da Segurança da Informação na Transformação Digital das Organizações .................................................................................................................. 27 Referências ..................................................................................................................... 29 Módulo 2: A Privacidade e Segurança na Transformação Digital ...................30 Unidade 1: Privacidade e Segurança da Informação: O que São e por que se Preocupar? ............................................................................................................. 30 1.1 O que é Segurança da Informação? ...................................................................... 30 1.2 O que é Privacidade? ............................................................................................... 31 1.3 A Importância da Segurança da Informação e da Privacidade .......................... 32 1.4 Vocabulário Digital da Segurança da Informação ............................................... 32 1.5 Identificando os Riscos da Segurança da Informação ........................................ 40 Referências ..................................................................................................................... 41 Unidade 2: Principais Conceitos de Privacidade e Segurança ..........................42 2.1 Privacidade desde a Concepção (by Design) Versus Privacidade por Padrão (by Default) ............................................................................................................................ 42 2.2 Segurança desde a Concepção (by Design) Versus Segurança por Padrão (by Default) ............................................................................................................................. 43 2.3 A Segurança e Código Aberto Versus Código Fechado ........................................ 44 2.4 O Conflito Privacidade Versus Publicidade .......................................................... 45 Referências ..................................................................................................................... 46 Módulo 3: Prevenindo Riscos Sistêmicos ............................................................ 47 Unidade 1: Identificação e Gestão das Partes Interessadas com Design Thinking ................................................................................................................... 47 1.1 O que é o Design Thinking? ....................................................................................... 47 1.2 Ferramentas de Design Thinking ............................................................................. 51 1.3 Compreendendo as Partes Interessadas no Processo de Segurança da Informação ...................................................................................................................... 53 1.3.1 Como Identificar as Partes Interessadas com o Design Thinking .................... 55 1.4 Como Estabelecer Estratégias de Gestão das Partes Interessadas ................... 56 Referências ..................................................................................................................... 58 Unidade 2: Riscos e Limitações nas Formas de Contratação ............................59 2.1 As Diferentes Formas de Contratação de Desenvolvimento de Soluções Tecnológicas .................................................................................................................... 59 2.1.1 Software de Prateleira .................................................................................... 59 2.1.2 Solução Caseira .............................................................................................. 60 2.1.3 Fábrica de Software ....................................................................................... 60 2.1.4 Encomenda Tecnológica ............................................................................... 61 2.1.5 Contrato Público para Soluções Inovadoras .............................................. 62 Referências ..................................................................................................................... 64 Unidade 3: Pontos de Atenção no Desenvolvimento de Soluções Digitais .....65 3.1 As Diferenças no Desenvolvimento de Soluções no Método Tradicional e Ágil ... 65 3.2 Roadmap de Desenvolvimento de Soluções Digitais............................................ 69 3.2.1 Análise e Planejamento ................................................................................. 69 3.2.2 Design .............................................................................................................. 71 3.2.3 Desenvolvimento ........................................................................................... 71 3.2.4 Qualidade e Teste .......................................................................................... 72 3.2.5 Entregas Intermediárias ................................................................................ 72 3.2.6 Documentação ............................................................................................... 72 3.2.7 Manutenção .................................................................................................... 73 3.2.8 Reporting .......................................................................................................... 73 Referências ..................................................................................................................... 74 Unidade 4: Como Ocorrem os Ataques e Como se Defender Deles? ................75 4.1 Alguns Tipos de Ataques Cibernéticos ................................................................. 75 4.1.1 O que é Phishing? ........................................................................................... 76 4.1.2 Conhecendo os Malwares .............................................................................. 77 4.1.3 Os Tipos de Ataques de Engenharia Social ................................................. 78 4.1.4 Como Reconhecer Ataques de Negação de Serviço (Denial-of-Service) ... 79 4.2 Alguns Modos de Prevenção a Ataques Cibernéticos ........................................ 80 4.2.1 O Uso da Criptografia na Prevenção de Ataques Cibernéticos ................ 80 4.2.2 Segurança em Nuvem .................................................................................... 83 4.2.3 A Colaboração da Comunidade Open Web Application Security Project (OWASP) ..................................................................................................................... 84 4.2.4 Os Cuidados com a Segurança em Plataformas Móveis (Mobile Platforms) .... 85 4.3 Boas Práticas na Segurança da Informação ........................................................ 86 4.3.1 Definição de Papéis e Responsabilidades .................................................... 86 Referências ..................................................................................................................... 88 Módulo 4: Tratamento de Incidentes .................................................................. 89 Unidade 1: O Que Fazer Quando um Incidente Ocorre? ...................................89 1.1 O Que é um Incidente? ............................................................................................ 89 1.2 A Importância da Comunicação de Incidentes ................................................... 90 1.3 O Fluxo dos Processos e dos Procedimentos de Gestão de Incidentes .......... 90 1.4 A Necessidade do Plano Básico para Continuidade do Negócio ...................... 91 1.5 O Plano de Recuperação de Desastre ................................................................... 92 Referências ..................................................................................................................... 93 Unidade 2: Investigação de Incidentes ................................................................ 94 2.1 A Investigação de Crimes Cibernéticos ................................................................ 94 2.2 Como Ocorre o Processamento das Ações Judiciais .......................................... 95 2.3 A Perícia em Computação Forense ....................................................................... 96 Referências ..................................................................................................................... 98 Módulo 5: Panorama da Segurança Digital no Futuro da Administração Pública ..................................................................................................................... 99 Unidade 1: As Governanças de Gestão Pública na Segurança da Informação....99 Referências ................................................................................................................... 101 Unidade 2: Profissionalismo e Ética ................................................................... 102 2.1 Um Problema de Todos: Sensibilização e Mudança Cultural .......................... 102 2.1.1 Importância da Normatização interna ...................................................... 103 2.2 A Importância da Ética Profissional .................................................................... 104 2.3 Necessidade de Atualização Constante ............................................................. 104 2.4 Certificações na Área de Segurança da Informação ........................................ 105 6Enap Fundação Escola Nacional de Administração Pública Referências ................................................................................................................... 108 Módulo 6: Segurança da Informação na Prática: Casos Reais na Administração Pública ................................................................................................................... 109 Unidade 1: Casos Práticos de Aplicação da Segurança da Informação na Administração Pública ........................................................................................ 109 1.1 Casos Práticos – Administração Pública .............................................................. 109 Referências ................................................................................................................... 114 Enap Fundação Escola Nacional de Administração Pública 77 Apresentação e Boas-vindas Seja bem-vindo(a) ao curso Fundamentos de Segurança da Informação na Transformação Digital! Antes de iniciar sua jornada de estudos, assista a videoaula a seguir, na qual qual você irá visualizar a relevância da Gestão do Conhecimento nos dias de hoje. O curso Fundamentos de Segurança da Informação na Transformação Digital está dividido em seis módulos. Veja a seguir o que você irá encontrar em cada um deles: • Módulo 1: trata da transformação digital contextualizando com a segurança da informação. • Módulo 2: adentra nas questões de privacidade e segurança da transformação digital. • Módulo 3: lida com a prevenção do risco sistêmica, mostrando algumas ferramentas de ataque e como se defender delas. • Módulo 4: apresenta o tratamento de incidentes de informação. • Módulo 5: mostra um panorama da segurança digital no futuro da Administração Pública. • Módulo 6: visa apresentar alguns casos reais que ocorreram na Administração Pública. Videoaula: Apresentação do Curso https://cdn.evg.gov.br/cursos/916_EVG/video/modulo01_video01/index.html 8Enap Fundação Escola Nacional de Administração Pública 8 Módulo Contextualizando Segurança da Informação na Transformação Digital1 Neste módulo você terá contato com os conceitos da segurança da informação na transformação digital. O governo brasileiro está passando por uma profunda transformação digital e seus esforços nesse setor têm sido reconhecidos internacionalmente, mas é importante que todos estejam atentos à questão de segurança, pois essa responsabilidade é transversal em toda Administração. Vamos lá?! Objetivo de aprendizagem Ao fim desta unidade você será capaz de reconhecer conceitos relacionados à transformação digital na Administração Pública e os principais normativos envolvidos. Aqui será introduzido o conceito de transformação digital e como ele impacta a Administração Pública. 1.1 O que é Transformação Digital? Antigamente utilizava-se muito a expressão “automação” buscando refletir o apoio computacional para o desenvolvimento de tarefas repetitivas. Mas o que se quer dizer hoje com transformação digital? É a simples programação de tarefas repetitivas? Unidade 1: A Transformação Digital e seus Impactos na Administração Pública Transformação Digital. Fonte: Freepik (2023). Não, transformação digital é muito mais do que uma sequência de código de programação. Ela envolve toda uma mudança cultural em que o foco da atuação é na necessidade dos usuários e na entrega de bens e serviços que melhor os atendam. Enap Fundação Escola Nacional de Administração Pública 9 O aumento da capacidade computacional, de armazenamento de dados e da velocidade de conexão de internet são os propulsores da transformação digital. Os clientes e cidadãos estão cada vez mais conectados em redes e demandando por soluções que atendam suas necessidades. No entanto, não basta apenas entregar o bem ou serviço, a experiência do usuário tem sido um fator cada vez mais importante para a população. Na transformação digital, a tecnologia tem um papel central e não é apenas mais um mero processo de suporte, pois a integração das novas tecnologias com as necessidades dos usuários é uma das principais entregas. A pandemia de Covid-19 mostrou uma necessidade urgente de repensar as atividades rapidamente por questões de saúde pública, mas a transformação digital começou antes e vai continuar fazendo parte da vida das pessoas por muito tempo. Segurança da Informação. Fonte: Freepik (2023). A transformação digital sempre vem acompanhada da preocupação com a segurança da informação em uma organização, pois essa visa proteger a informação quanto à sua destruição, vazamento e modificação, seja ela acidental ou não. Sendo assim, parceira com as necessidades do negócio em si, ela busca trazer benefícios, como: melhorar a disponibilidade dos serviços de negócio ou de infraestrutura e/ou reduzir os prejuízos e interrupções deles. Mas a gestão pública atual é complexa e envolve a coordenação da Tecnologia de Informação (TI) com as áreas finalísticas e áreas meio para providenciar as regras de negócio, os treinamentos necessários, equipamentos e softwares. Essa discussão faz parte da gestão de riscos, responsável por tentar prever riscos da operação e estabelecer barreiras para evitá-los ou maneiras de mitigar os efeitos prejudiciais. Isso é importante para que a alta gestão, servidores e usuários pensem sistematicamente 10Enap Fundação Escola Nacional de Administração Pública no funcionamento da organização e protejam seus ativos, materiais, de pessoal e de informação, favorecendo a discussão e a disseminação do conhecimento entre pares, setores e esferas de governo. Lafuente et al. (2021) mostra que a transformação digital brasileira tem um problema federativo devido à discrepância de orçamento e recursos técnicos e humanos. A falta de estratégia e avaliação do planejamento são apontadas como as principais causas dos problemas nos estados. A transformação digital pode aumentar a competitividade, aumentando a inclusão social e a confiança no governo, mas a questão é como ser mais ágil nesse processo (ROSETH et al., 2018). As principais causas apontadas das transformações lentas são a criatividade limitada do setor público ao definir seus serviços (WIMMER, 2008, p. 40) e a dificuldade em promover mudanças no setor público, devido a estruturas mais complexas (SIMS, 2010). Por isso, ao se ensinar segurança digital, é preciso ter como base metodológica ferramentas de desenvolvimento ágil e design thinking de modo a criar um sistema harmônico com as demais esferas de governança (de gestão pública, de TI, de riscos, entre outros) que estão se modernizando ao focar a pactuação pública na experiência do usuário. É importante apresentar isso em unidades baseadas em conceitos amplamente conhecidos como o plan-do-check-act (PDCA), fazendo comparações com temas do dia a dia do gestor, citando exemplo das pastas da Defesa, Transportes, Educação, Saúde, entre outros, mas também com passagens rápidas por alguns setores privados, como construção, setor bancário e de operações petrolíferas. Portanto, é importante que todos os elos da cadeia busquem as melhores práticas, pois mesmo que governos criem as melhores leis e políticas e as empresas desenvolvam os melhores programas, se os usuários não desenvolverem uma cultura de segurança da informação e não tiverem uma comunicação clara com todos os elos dos sistemas de gestão públicos, a sociedade corre risco de sofrer ataques digitais. Para que a mudança cultural ocorra, o primeiro passo é a percepção do problema. Por isso, uma metodologia de exposição de conteúdos relacionando os problemas digitais com experiências pessoais e profissionais do aprendiz adulto é a melhor estratégia para melhorar a consciência de segurança, visando maior efetividade da ação pública. Se você quiser saber mais sobre o tema, o curso Transformação Digital no Serviço Público, disponível na plataforma EV.G, é bem interessante e aprofunda os conceitos expostos nesse conteúdo (veja aqui). https://www.escolavirtual.gov.br/curso/419 Enap Fundação Escola Nacional de Administração Pública 11 1.2 A Transformação Digital na Administração Pública Bresser Pereira, em seus trabalhos para a reforma do aparelho do estado (BRASIL, 1995), já ressaltava a necessidade de a Administração Pública ser menos burocrática e patrimonialista para focar na entrega de resultados. Há 15 ou 20 anos atrás, se discutia qual o melhor modelo de implementar uma política pública: • O modelo top-down, que previa uma administração centralizada que tomava decisões de maneira hierárquica e repassava as tarefas para os funcionários públicos executarem. • O modelo bottom-up, que, por sua vez, já reconhecia a capacidade própria da população propor melhorias nas políticas públicas com o apoio da burocracia no nível de rua, ou seja, aqueles servidores da burocracia que trabalham em funções operacionais e são responsáveis pelo atendimento direto à população. Com a digitalização da sociedade, essa discussão se tornou menor, pois hoje se pode ter muitas informações advindas diretamente do cidadão-usuário bem como se tem dados internacionais e pesquisas revisados por pares que auxiliam a administração pública a tomar decisões baseada em evidências. Se hoje se têm as ferramentas, por que não aplicar a todas as atividades públicas uma transformação digital? E existem quatro pontos de atenção que obriga a todos ter cautela. Acesso O Brasil é um país de grande extensão territorial e de muitas desigual- dades. Nem todo serviço público pode ser 100% digitalizado sem ter a certeza de que toda população terá infraestrutura física, computa- cional e de rede para acessar esses serviços. Por isso políticas pú- blicas de expansão da disponibilidade de energia elétrica, internet, equipamentos computacionais, letramento digital, entre outros, são partes complementares da política de transformação digital. Segurança da informação A administração pública regular, fomenta e atua em diversos setores da sociedade. Com isso, ela controla e acessa muitos da- dos pessoais, sensíveis e estratégicos. Portanto, a transformação 12Enap Fundação Escola Nacional de Administração Pública Cultura organizacional Enquanto na administração privada o corpo dirigente tende a ser mais fixo e a base mais rotativa, na administração pública há um corpo de servidores estáveis e a alta administração muda perio- dicamente em face de resultados eleitorais. Então mudanças cul- turais são muito mais lentas na administração pública e exigem mais planejamento, recursos, treinamentos e conscientização. Legalidade No direito administrativo que regula as atividades dos servidores públicos, é clara a distinção entre o princípio da legalidade apli- cado à sociedade e o princípio da legalidade aplicado aos serv- idores. No primeiro caso, ao particular é permitido fazer tudo que a lei não proíbe. No entanto, no segundo caso, os servidores podem fazer apenas o que a lei demanda, tendo pouco espaço para discricionariedade de suas decisões, que devem sempre es- tar motivadas, razoáveis e proporcionais. digital do serviço público tem que ser cuidadosamente pensada para garantir a segurança dessas informações. 1.2.1 Direito Administrativo e Princípio da Legalidade como Base da Transformação Digital do Governo O Direito Administrativo tem a função primordial de dar previsibilidade na atuação pública e com isso segurança jurídica para que a sociedade se desenvolva. Desse modo, esse ramo do Direito é estruturado num sistema de pesos e contrapesos em que há princípios e normas que devem ser seguidas pelo administrador, mas também há estruturas de fiscalização que buscam garantir a supremacia da finalidade pública em todos os atos. A obediência ao marco legal específico do setor é imprescindível, por isso a transformação digital não pode ocorrer apenas no setor de Tecnologia da Informação (TI), nem tampouco surgir das áreas finalistas sem um relacionamento com outros setores internos e externos, pois com a velocidade e escalabilidade de soluções digitais, os problemas de comunicação e coordenação tendem a se intensificar. Enap Fundação Escola Nacional de Administração Pública 13 Todo planejamento de alguma transformação digital deve passar necessariamente por análise do arcabouço legal da política pública em transformação. 1.2.2 Como a Legislação Brasileira Afeta a Transformação Digital? Embora toda política pública tenha a sua base normativa e legal, é possível encontrar algumas normas que são um denominador comum na transformação digital: Lei de Acesso à Informação (LAI), Lei Geral de Proteção de Dados (LGPD), Estratégia de Governo Digital (EGD) e normas de segurança da informação. 1.2.2.1 A Lei de Acesso à Informação O acesso amplo à informação de dados públicos foi uma grande mudança de paradigma estabelecida pela Lei nº 12.527, de 18 de novembro de 2011, denominada de Lei de Acesso à Informação, ou simplesmente LAI. Reflexo do princípio da publicidade, essa lei visa garantir ao cidadão o acesso facilitado a seus próprios dados sob controle da Administração Pública e dados públicos. Nesse novo contexto, a menos que tenha sido declarado sigilo (dados pessoais, reservado, secreto ou ultrassecreto), todos os dados são públicos. O principal a ser ressaltado aqui é a capacidade de adaptação da burocracia brasileira. Não há dúvidas de que a implementação da LAI foi alvo de polêmicas, questionamentos judiciais e resistências declaradas ou não, mas hoje ela está atuante e dentro da carga de trabalho de muitos servidores. Os benefícios públicos dessa lei são inegáveis tanto na questão de accountability social como no aumento da velocidade de prestação de contas para a sociedade. Jornalistas e órgãos de defesa de direitos têm utilizado muito desse serviço para ter dados para fiscalizar o serviço público. 14Enap Fundação Escola Nacional de Administração Pública A Lei nº 13.709, de 14 de agosto de 2018, é chamada de Lei Geral de Proteção de Dados Pessoais ou, de maneira mais sintética, a LGPD. Ela define conceitos, estabelece procedimentos mínimos e alinha a legislação nacional com práticas internacionais e é muito importante quando grande parte do mercado internacional tem se baseado no aproveitamento do grande volume de dados pessoais, de acessos, de perfil de consumo, entre outros, produzidos pelo acesso à internet em geral e em particular a redes sociais. Um exemplo claro do potencial de agregação focada na necessidade dos usuários da transformação digital é o serviço fala.br (veja aqui), que mostra que a partir das necessidades da LAI, ouvidoria e canal para denúncias e sugestões, os serviços podem ser complementares e prestados a partir de uma única plataforma. 1.2.2.2 A Lei Geral de Proteção de Dados A LGPD deixa clara a titularidade de dados pessoais, estabelecendo regras de consentimento para o uso desses dados e determinando a empresas e governo nomear um encarregado para ser um ponto focal sob a fiscalização da Autoridade Nacional de Proteção de Dados (ANPD). Muito tem sido discutido sobre uma aparente incompatibilidade entre a LGPD e a LAI. No entanto, o sistema jurídico tem que ser interpretado como um todo coeso. Nesse sentido, ambas as legislações se complementam e a proteção de dados pessoais garantida pela LGPD vem explicitar e dar um tratamento mais detalhado ao que a LAI já protegia. Segurança da Informação e a proteção de dados pessoais são assuntos muito conexos. É importante se aprofundar na estrutura da LGPD, pois os procedimentos de segurança da informação são bem parecidos e compatíveis. https://falabr.cgu.gov.br/ Enap Fundação Escola Nacional de Administração Pública 15 Se você quiser saber mais sobre o tema, o curso Proteção de Dados Pessoais no Setor Público é bem interessante e aprofunda os conceitos nesse conteúdo (disponível aqui). 1.2.2.3 A Estratégia de Governo Digital (EGD) A Estratégia de Governo Digital (EGD) visa a transformação do governo por meio do uso de tecnologias digitais, com a promoção da efetividade das políticas e da qualidade dos serviços públicos e com o objetivo final de reconquistar a confiança dos brasileiros. A EGD está organizada em princípios e objetivos: Princípios Governo centrado no cidadão Governo integrado Governo inteligente Governo confiável Governo transparente Governo eficiente Estrutura da LGPD. Elaboração: CEPED/UFSC (2023). https://www.escolavirtual.gov.br/curso/290 16Enap Fundação Escola Nacional de Administração Pública Objetivos Objetivo 1 - Oferta de serviços públicos digitais Objetivo 2 - Avaliação de satisfação nos serviços digitais Objetivo 3 - Canais e serviços digitais simples e intuitivos Objetivo 4 - Acesso digital único aos serviços públicos Objetivo 5 - Plataformas e ferramentas compartilhadas Objetivo 6 - Serviços públicos integrados Objetivo 7 - Políticas públicas baseadas em dados e evidências Objetivo 8 - Serviços públicos do futuro e tecnologias emergentes Objetivo 9 - Serviços preditivos e personalizados ao cidadão Objetivo 10 - Implementação da Lei Geral de Proteção de Dados no âmbito do Governo Federal Objetivo 11 - Garantia da segurança das plataformas de governo digital e de missão crítica Objetivo 12 - Identidade digital ao cidadão Objetivo 13 - Reformulação dos canais de transparência e dados abertos Objetivo 14 - Participação do cidadão na elaboração de políticas públicas Objetivo 15 - Governo como plataforma para novos negócios Objetivo 16 - Otimização das infraestruturas de tecnologia da informação Objetivo 17 - O digital como fonte de recursos para políticas públicas essenciais Objetivo 18 - Equipes de governo com competências digitais Acompanhe a execução da Estratégia de Governo Digital (disponível aqui). https://app.powerbi.com/view?r=eyJrIjoiZjc2ODA0YjEtM2FlNi00ZDIzLWJiNGItNDU5Zjk4MDM1MzFjIiwidCI6IjNlYzkyOTY5LTVhNTEtNGYxOC04YWM5LWVmOThmYmFmYTk3OCJ9&pageName=ReportSection5c02b7b41052063a073c Enap Fundação Escola Nacional de Administração Pública 17 1.2.2.4 Normas sobre Segurança da Informação À primeira vista segurança da informação parece um assunto eminentemente ligado a TI, mas é importante citar que segurança da informação envolve questões como acesso ao prédio, segurança contra incêndio, cadastro de servidores e colaboradores. Por isso, é importante que representantes do setor de administração e de recursos humanos estejam envolvidos na transformação digital pois eles conhecem muitas normas de segurança que precisam ser respeitadas em uma política de segurança da informação. Proteção da Segurança por Legislação. Fonte: Freepik (2023). Nesse sentido, além de conhecer a imple- mentação da LAI e da LGPD no seu órgão ou entidade, é importante conhecer quais ações da estratégia de governo digital es- tão sendo implementadas. Com esse ma- terial reunido juntamente às normas ge- rais de segurança, é possível planejar os próximos passos da transformação digital com a segurança de que as normas apli- cáveis são conhecidas e respeitadas. A título de exemplo, segue a Portaria nº 218, 19 de maio de 2020, que institui a política de segurança da informação do Ministério da Economia. Seguindo o modelo de política, estabelece princípios e diretrizes gerais a serem seguidas. É importante frisar que a estrutura do sistema de gestão de segurança proposta contém, além do gestor de segurança, equipes de tratamento e resposta a incidentes em redes computacionais, mostrando que a preocupação com segurança de todos, mais os treinamentos especializados e funções técnicas específicas, são importantes para garantir a segurança e continuidade das operações (veja aqui). A segurança da informação é responsabilidade de todos, então todos os órgãos da administração pública já possuem a preocupação com a segurança da informação. Caso o seu órgão https://www.in.gov.br/en/web/dou/-/portaria-n-218-de-19-de-maio-de-2020-257605466 18Enap Fundação Escola Nacional de Administração Pública ou entidade não tenha procedimentos, regulamentos e normas de segurança da informação publicados formalmente sobre o assunto, é importante trazer essa discussão à tona, visando dar publicidade às ações e políticas permitindo que todos os servidores colaborem com as políticas de segurança da informação. Como a maioria dos órgãos, autarquias e fundações da Administração Pública Federal são integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Poder Executivo Federal (estatais podem solicitar adesão seguindo a Instrução Normativa SGD/ME nº 128, de 28 de dezembro de 2020), uma leitura detalhada da Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019 é imprescindível, pois o processo de contratação de soluções de Tecnologia da Informação e Comunicação apresenta muitas peculiaridades que diferem de uma contratação comum, seja pelos altos valores envolvidos, seja pela complexidade técnica envolvida na temática. Disponível aqui. Lista de algumas Normas que podem ajudar você a compreender o tema e se aprofundar nas questões técnicas que serão discutidas nesse conteúdo. Normas e regulamentos federais Instrução Normativa GSI/PR nº 1 (disponível aqui). Decreto nº 7.724 (disponível aqui). Decreto nº 7.845 (disponível aqui). Decreto nº 9.637 (disponível aqui). Decreto nº 9.832 (disponível aqui). Decreto nº 10.332 (disponível aqui). ABNT ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação; ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação; https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019 https://www.gov.br/governodigital/pt-br/legislacao/14_IN_01_gsidsic.pdf http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9832.htm http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Decreto/D10332.htm#art14 Enap Fundação Escola Nacional de Administração Pública 19 ABNT NBR ISO/IEC 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação; ABNT NBR ISO/IEC 27.005:2011, Gestão de Riscos de Segurança da Informação; ABNT NBR ISO/IEC 31.000:2018, Gestão de riscos – Princípios e diretrizes; ABNT NBR ISO/IEC 27.003:2011, Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações; ABNT NBR ISO 22301:2020 – Sistema de gestão de continuidade de negócios — Requisitos; ABNT NBR ISO 22313:2020 – Sistemas de gestão de continuidade de negócios — Orientações para o uso da ABNT NBR ISO 22301; ABNT NBR ISO/IEC 27014:2013, Tecnologia da Informação — Técnicas de Segurança — Governança de segurança da informação; ABNT NBR ISO/IEC 27701:2020, Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes; ABNT NBR ISO/IEC 29100:2020, Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade; ABNT NBR 16167:2013, Segurança da Informação — Diretrizes para classificação, rotulação e tratamento da informação. Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o conteúdo e se aprofunde nos temas propostos. Até a próxima! 20Enap Fundação Escola Nacional de Administração Pública BRASIL. Decreto nº 7.724, de 16 de maio de 2012. Regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição. Brasília, DF: Presidência da República, 2012. Disponível em: https:// www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm. BRASIL. Decreto nº 7.845, de 14 de novembro de 2012. Regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Brasília, DF: Presidência da República, 2012. Disponível em: http://www.planalto. gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm. BRASIL. Decreto nº 9.637, de 26 de dezembro de 2018. Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Brasília, DF: Presidência da República, 2018. Disponível em: https://www.in.gov.br/ materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27- decreto-n-9-637-de-26-de-dezembro-de-2018-56969938. BRASIL. Decreto nº 9.832, de 12 de junho de 2019. Altera o Decreto nº 9.637, de 26 de dezembro de 2018, e o Decreto nº 7.845, de 14 de novembro de 2012, para dispor sobre o Comitê Gestor da Segurança da Informação. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019- 2022/2019/decreto/D9832.htm. BRASIL. Decreto nº 10.332, de 28 de abril de 2020. Institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências. Brasília, DF: Presidência da República, 2020. Disponível em: https:// www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358. BRASIL. Instrução Normativa SGD/ME nº 1, de 4 de abril de 2019. Brasília, DF: Ministério da Economia, 2019. Disponível em: https://www.gov.br/governodigital/pt- br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019. Acesso em: 12 jan. 2023. Referências https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7724.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/decreto/d7845.htm https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938 https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938 https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938 http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9832.htm http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9832.htm https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358 https://www.in.gov.br/en/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358 https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019 https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-1-de-4-de-abril-de-2019 Enap Fundação Escola Nacional de Administração Pública 21 BRASIL. Instrução Normativa SGD/ME nº 128, de 28 de dezembro de 2020. Brasília, DF: Ministério da Economia, 2020. Disponível em: https://www.in.gov.br/en/web/ dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221. Acesso em: 12 jan. 2023. BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Brasília, DF: Presidência da República, 2011. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/ l12527.htm. Acesso em: 12 jan. 2023. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https:// www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 12 jan. 2023. BRASIL. Plano Diretor da reforma do Aparelho do Estado. Brasília, DF: Presidência da República, 1995. Disponível em: http://www.biblioteca.presidencia. gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do- estado-1995.pdf. Acesso em: 12 jan. 2023. BRASIL. Portaria nº 218, de 19 de maio de 2020. Institui a Política de Segurança da Informação do Ministério da Economia. Brasília, DF: Ministério da Economia, 2020. Disponível em: https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio- de-2020-257605466. Acesso em: 12 jan. 2023. FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: https://www.freepik.com/. Acesso em: 12 jan. 2023. LAFUENTE, Mariano; LEITE, Rafael; PORRÚA, Miguel; VALENTI, Pablo. Transformação digital dos governos brasileiros: Tendências na transformação digital em governos estaduais e no Distrito Federal do Brasil. Washington: BID, 2021. Disponível em: https://publications.iadb.org/pt/transformacao-digital-dos- governos-brasileiros-tendencias-na-transformacao-digital-em-governos. Acesso em: 12 jan. 2023. ROGERS, D. L. Transformação Digital: repensando o seu negócio para a era digital. São Paulo: Autêntica Business, 2017. https://www.in.gov.br/en/web/dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221 https://www.in.gov.br/en/web/dou/-/instrucao-normativa-sgd/me-n-128-de-28-de-dezembro-de-2020-296799221 https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm http://www.biblioteca.presidencia.gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-estado-1995.pdf http://www.biblioteca.presidencia.gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-estado-1995.pdf http://www.biblioteca.presidencia.gov.br/publicacoes-oficiais/catalogo/fhc/plano-diretor-da-reforma-do-aparelho-do-estado-1995.pdf https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio-de-2020-257605466 https://www.in.gov.br/web/dou/-/portaria-n-218-de-19-de-maio-de-2020-257605466 https://www.freepik.com/ https://publications.iadb.org/pt/transformacao-digital-dos-governos-brasileiros-tendencias-na-transformacao-digital-em-governos https://publications.iadb.org/pt/transformacao-digital-dos-governos-brasileiros-tendencias-na-transformacao-digital-em-governos 22Enap Fundação Escola Nacional de Administração Pública ROSETH, Benjamin; REYES, Angela; FARIAS, Pedro; PORRÚA, Miguel; VILLALBA, Harold; ACEVEDO, Sebastián; PEÑA, Norma; ESTEVEZ, Elsa; LINARES Lejarraga, Sebastián; FILLOTTRANI, Pablo. El fin del trámite eterno: Ciudadanos, burocracia y gobierno digital. Washington: BID. 2018. Disponível em: https://publications.iadb. org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos- burocracia-y-gobierno-digital.pdf. Acesso em: 12 jan. 2023. SIMS, R. R. Change (Transformation) in Public Sector Organisations. Charlotte: IAP. 2010. WIMMER, M. A. Knowledge Management in Electronic Government. Berlim: Springer Publications. 2008. https://publications.iadb.org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-burocracia-y-gobierno-digital.pdf https://publications.iadb.org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-burocracia-y-gobierno-digital.pdf https://publications.iadb.org/publications/spanish/viewer/El-fin-del-tr%C3%A1mite-eterno-Ciudadanos-burocracia-y-gobierno-digital.pdf Enap Fundação Escola Nacional de Administração Pública 23 Objetivo de aprendizagem Ao fim desta unidade você será capaz de reconhecer o que são os conceitos de inovação e riscos e como eles se relacionam. 2.1 O que é Inovação? Apesar de ser uma palavra de origem antiga, como se pode ver na expressão latina inovare, que significa renovar ou mudar, inovação é um conceito que vai muito além de criatividade ou diferenciação do produto. Ela envolve uma percepção de valor pelo usuário. Unidade 2: A Relação entre Inovação e os Riscos Inovação. Fonte: Freepik (2023). Academicamente existem vários conceitos, ora aproximando-se da evolução biológica (DEVEZAS, 2005), ora ligando-se a ideias mais abstratas como se referir a processos inven- tivos pelo qual coisas novas, ideias e práticas são criadas: significando tanto a coisa, ideia ou prática em si ou descrevendo o processo pelo qual uma inovação existente se torna parte de um estado cognitivo do adotante e entra para seu repertório comportamental (ZALTMAN; DUNCAN; HOLBEK, 1973). A inovação usualmente é classificada como incremental ou disruptiva: Inovação incremental Otimização ou melhora de produtos e serviços existentes. Ampliação ou melhor aproveitamento de mercados e consumidores. Agregação de valor. Inovação disruptiva Quebra de paradigmas. Criação de novos mercados e consumidores. Criação de valor. 24Enap Fundação Escola Nacional de Administração Pública Muitas vezes a aplicabilidade desse termo da administração pública parece um pouco confusa, pela falta de um processo de agregação de valor comercial característico da iniciativa privada, que possui uma mensuração mais simples através do lucro. No entanto, é importante ressaltar que muitos autores entendem inovação como uma grande estratégia de desenvolvimento nacional. Por meio da inovação é possível aumentar a produtividade nacional mantendo-se os níveis de recursos e mão-de-obra utilizados. Mas como medir isso? Inovação hoje em dia está chamando atenção de profissionais da iniciativa privada, governos e pesquisadores. Por isso há uma diversidade de definições e metodologias de medição. Para tentar centralizar a discussão, a Organização para Cooperação Econômica e Desenvolvimento (OCDE) estabeleceu o Manual de Oslo (disponível aqui), que se encontra na sua quarta edição e vale uma leitura detalhada. Um autor importante para fixar e popularizar conceitos de inovação é Eric Ries que iniciou o movimento de startup enxuta. No livro base desse conceito (RIES, 2011), o autor conta sua história no desenvolvimento de um produto, mostrando passo a passo quais foram as suas lições aprendidas. O autor mostra a aplicação do conceito de errar pequeno e rápido de maneira que sua empresa possa continuar operando e criando valor a partir do aprendizado. Focando muito na abordagem experimental, o autor ensina a tocar o desenvolvimento inicial do chamado MVP — produto mínimo viável —, em que as funcionalidades básicas e essenciais da solução são apresentados no começo ao potencial usuário de modo a coletar feedback já no início da concepção. Outro conceito interessante que aparece nesse livro é o conceito de pivotar, em que se verifica, a partir da interação com os usuários, que outros interesses ou necessidades podem ser oferecidos pelo empresário que não estavam no seu foco inicial. O exemplo clássico é a Netflix, que começou como um serviço de entrega de DVD, mas percebeu a oportunidade de oferecer à sua base de clientes o mesmo conteúdo via streaming para num segundo momento começar a produzir conteúdo próprio. 2.2 O que São os Riscos? Riscos são variações no resultado planejado ou esperado. Não necessariamente riscos são eventos adversos, ou seja, negativos e ruins para a empresa, como a https://read.oecd-ilibrary.org/science-and-technology/oslo-manual-2018_9789264304604-en#page1 Enap Fundação Escola Nacional de Administração Pública 25 Assim, para o bem ou para o mal, riscos devem ser mapeados para que a administração tente evitá-los ou ao menos mitigar (diminuir) seus efeitos negativos ou estar preparada para aproveitar os efeitos positivos com estratégias de atuação definidas antes dos riscos se materializarem. Mas para se trabalhar com riscos muitas vezes tão abstratos é preciso de um framework ou metodologia. Metodologias para gestão de riscos Na área de engenharia, há várias metodologias para se lidar com riscos, como modelo de queijo suíço, Failure Mode and Effect Analysis (FMEA), The Systemic Theoretical Process Analysis (STPA) model, entre outros. A seguir, veja dois exemplos comuns de frameworks amplamente utilizados. Matriz de Risco Matriz de Risco. Elaboração: CEPED/UFSC (2023). destruição do estoque. Em algumas situações, por exemplo, a demanda pode ser muito maior do que o esperado pela empresa, que pode não ter condições de atender à demanda, mas já está trabalhando com grandes lucros. 26Enap Fundação Escola Nacional de Administração Pública Método Bow-tie Método Bow-tie. Elaboração: CEPED/UFSC (2023). O modelo básico da matriz de risco com um eixo indicando a probabilidade do evento e outro representando a gravidade/impacto do evento é um excelente ponto de partida para as discussões que você verá nesse conteúdo. Importante ressaltar que tanto a probabilidade quanto a gravidade/impacto pode ser estimada com base empírica ou qualitativa, pois nem sempre se tem dados reais para o cálculo numérico. Uma outra figura bem didática que facilita o entendimento em como lidar com o risco é a análise bow-tie (gravata borboleta) que mostra explicitamente que se deve tomar todas as atitudes para evitar que o risco ocorra, e caso ocorra deve-se ter barreiras para mitigar os danos causados. Quando se mapeiam os riscos e eles são colocados em uma matriz, é preciso dar prioridade para o tratamento dos pontos em vermelho. Assim, pode-se agir do lado esquerdo da gravata e tentar diminuir a probabilidade de ocorrência da causa (não dirigir alcoolizado ou usar a mesma senha de trabalho para fins pessoais) ou pode- se trabalhar do lado direito e mitigar os efeitos danosos (usar o cinto de segurança ou fazer backup semanal). Enap Fundação Escola Nacional de Administração Pública 27 Embora todos concordem sobre a importância do planejamento para a realização das atividades públicas e privadas, não é possível prever todos os cenários e como responder às constantes mudanças que ocorrem naturalmente nos projetos. Então riscos são inerentes à atividade humana, e grande parte do desenvolvimento da sociedade aconteceu quando se parou de tratar riscos como vontade dos deuses e passou a tratá-los como uma possibilidade matemática, que pode ser medida, tratada e mitigada. E o mais importante é que o apetite ao risco, ou seja, o quanto a administração quer se arriscar precisa ser definido como diretriz e comunicado a toda administração. Para você se aprofundar mais a respeito da temática, com uma opção de leitura bastante fluida que combina lazer com importantes insights sobre riscos, leia o livro Desafio aos Deuses: A Fascinante História do Risco, de Bernstein (2019). 2.3 A Importância da Segurança da Informação na Transformação Digital das Organizações A transformação digital é muito mais do que simplesmente a digitalização de bens e serviços, é uma mudança de mentalidade. Tratar as questões de segurança como um fardo ou uma obrigação burocrática é um erro que precisa ser superado, já que pensar em segurança é também pensar nas consequências da transformação digital. Assim, novamente você terá a oportunidade de centralizar a importância do usuário em sua análise. Proteção de dados. Fonte: Freepik (2023). 28Enap Fundação Escola Nacional de Administração Pública A sociedade e seus cidadãos estão sendo protegidos quando estão cuidando da segurança da informação, garantindo a proteção de dados pessoais, garantindo a disponibilidade do sistema ou criando soluções resilientes para atender o público mesmo no caso de desastres naturais ou ataques mal-intencionados. Os problemas acontecerão (os sistemas serão atacados ou falta de energia irá ocorrer ou algum dos vários cenários previstos numa análise de risco irão se concretizar) em algum momento. Criar sistemas e organizações antifrágeis é garantir a eficiência do gasto público, pois riscos administrados são mais baratos que riscos que nunca foram analisados. E inovação, como já dito, é sobre como criar valor, sem ignorar os erros, mas aprendendo com eles. Que bom que você chegou até aqui! Agora é a hora de você testar seus conhecimentos. Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! Quando um trabalhador da construção civil está em cima do andaime e coloca o cinto e os óculos de proteção, não está apenas cumprindo uma obrigação de utilizar os equipamentos de proteção individual, está protegendo a sua vida que é um ativo que não tem preço. Enap Fundação Escola Nacional de Administração Pública 29 BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. Rio de Janeiro: Editora Campus, 2019. DEVEZAS, Tessaleno C. Evolutionary theory of technological change: State-of-the-art and new approaches. Technological Forecasting and Social Change, v. 72, n. 9, p. 1137–1152, 2005. FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2023. Disponível em: https://www.freepik.com/. Acesso em: 12 jan. 2023. RIES, Eric. The Lean Startup. New York: Crown Business, 2011. ZALTMAN, G.; DUNCAN, R.; HOLBEK, J. Innovations and organizations. New York: John Wiley, 1973. Referências 30Enap Fundação Escola Nacional de Administração Pública A privacidade está intimamente relacionada à segurança na transformação digital. Em outras palavras, as metodologias e processos para garantir a privacidade na transformação digital são muito semelhantes e complementares às atividades a serem desenvolvidas para se garantir o melhor nível de segurança das informações na transformação digital. Objetivo de aprendizagem Ao fim desta unidade, você será capaz de classificar os conceitos de Privacidade de Segurança da Informação e seus objetivos. Nesta unidade serão apresentados conceitos de privacidade e segurança, úteis para uniformizar linguagem e permitir aos servidores discutir o assunto com especialistas da área. 1.1 O que é Segurança da Informação? Unidade 1: Privacidade e Segurança da Informação: O que São e por que se Preocupar? Ambiente Globalizado. Fonte: Freepik (2023). Módulo A Privacidade e Segurança na Transformação Digital 2 Segurança da informação significa a proteção da informação, evitando o uso ou acesso não autorizado e garantindo a disponibilidade, integridade e confidencialidade. Embora muito dessa discussão se centre em sistemas de computador, a segurança da informação envolve processos e documentos físicos também. Enap Fundação Escola Nacional de Administração Pública 31 Num ambiente globalizado, milhares de pessoas têm acesso à internet, e muitas delas se escondem atrás de pseudônimos, seja para navegar na internet de forma anônima, seja para cometer crimes, como o golpe popularmente conhecido como catfishing. De forma geral, esse golpe consiste em indivíduos que desenvolvem perfis falsos na internet utilizando fotos de terceiros para atrair possíveis vítimas em redes sociais e aplicam golpes, fraudes e, em alguns casos, cometem até mesmo crimes contra a vida, incluindo agressões físicas e assassinato. Recentemente, esse tipo de prática voltou a se tornar assunto nas mídias com o lançamento do documentário O Golpista do Tinder, da Netflix, que investiga os crimes cometidos por Shimon Hayut, que se passou por um magnata do ramo dos diamantes para conquistar mulheres pela internet. Tudo isso para aplicar golpes que chegavam às centenas de milhares de dólares. Num grau menos hollywoodiano, e mais presente no dia a dia: quem nunca identificou uma tentativa de golpe em sua caixa de e-mail, desde quando a internet ainda engatinhava nos anos 90? Ou, atualmente, no Whatsapp com mensagens automáticas e links bancários de semelhança genuína com as páginas e links originais? Essa informatização do crime reflete-se diretamente no número de vítimas desses golpes. Em pesquisa feita pela Panorama Mobile Time, cerca de 43% dos usuários já foram vítimas de algum tipo de golpe no aplicativo (veja aqui). 1.2 O que é Privacidade? A privacidade é um direito fundamental “de ser deixado em paz” previsto no Art. 12 da Declaração dos Direitos Humanos, essencial à autonomia e à proteção da dignidade humana, servindo como base sobre a qual muitos outros direitos humanos são construídos. Privacidade. Fonte: Freepik (2023). https://www.mobiletime.com.br/noticias/24/02/2022/whatsapp-43-dos-usuarios-relatam-terem-sido-alvo-de-tentativa-de-estelionato/ 32Enap Fundação Escola Nacional de Administração Pública Através dela é possível criar barreiras e gerenciar limites para proteção de interferências injustificadas, o que permite às pessoas negociarem quem elas são e como querem interagir com o mundo ao redor delas. A privacidade ajuda a estabelecer limites para designar quem tem acesso aos corpos, lugares e coisas, bem como às comunicações e às informações. Na sociedade moderna, a deliberação em torno da privacidade é um debate que ganha novos rumos a cada dia. Com o avanço da tecnologia, novas discussões sobre o limite da privacidade são colocadas em pauta. Com o crescimento das capacidades para proteger a privacidade maior do que nunca, também existe uma vigilância sem precedentes de tudo aquilo que se consome. Muitas atividades deixam um rastro de dados. Isso inclui telefonemas, transações bancárias, uso de GPS em carros que rastreiam as posições, celulares (com ou sem GPS), entre outras que compõem uma lista que é atualizada com frequência. Quase todas as atividades on-line deixam um rastro de dados que os provedores de serviços coletarão, como mensagens instantâneas, sites de navegação ou de reprodução de vídeos. Esses dados pessoais são coletados, armazenados e podem ser compartilhados, contribuindo para criar um perfil de publicidade digital que é baseado nos sites que você visita ou nas pesquisas que fez. É comum pesquisar sobre um produto que esteja precisando, como um refrigerador, e sequencialmente ser bombardeado com propagandas de refrigeradores em todas as mídias sociais de que se faz uso. 1.3 A Importância da Segurança da Informação e da Privacidade Para você se aprofundar na temática, assista ao vídeo a seguir, sobre a importância da Segurança da Informação e da Privacidade. 1.4 Vocabulário Digital da Segurança da Informação Sendo baseado numa estrutura técnica de TI, a segurança da informação tem muitos termos que têm um significado próprio e podem confundir quem está acostumado com outras áreas do conhecimento. Que tal agora conhecer alguns desses termos? Aqui, você irá se familiarizar com os significados dos termos, uma vez que a ideia de vulnerabilidade para psicólogos é Videoaula: A Importância da Segurança da Informação e da Privacidade https://cdn.evg.gov.br/cursos/916_EVG/video/modulo02_video02/index.html Enap Fundação Escola Nacional de Administração Pública 33 ATAQUE “Ação que constitui uma tentativa deliberada e não autorizada de acessar ou manipular informações ou tornar um sistema inacessível, não íntegro, ou indisponível.” (BRASIL, 2021). AUTENTICAÇÃO “Processo que busca verificar a identidade digital de uma entidade de um sistema quando ela requisita acesso a esse sistema. O processo é realizado por meio de regras preestabelecidas, geralmente pela comparação das credenciais apresentadas pela entidade com outras já pré-definidas no sistema, reconhecendo como verdadeiras ou legítimas as partes envolvidas em um processo.” (BRASIL, 2021). CERTIFICADO “Documento assinado de forma criptografada, destinado a assegurar para outros a identidade do terminal que utiliza o certificado. Um certificado é considerado confiável quando for assinado por outro certificado confiável, como uma autoridade de certificação, ou se ele próprio é um certificado confiável, pertencente a uma cadeia de confiança reconhecida.” (BRASIL, 2021). CÓDIGO “Linguagem de programação utilizada para que os seres humanos possam enviar comandos para processamento computacional.” (BRASIL, 2021). CONSENTIMENTO “Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.” (BRASIL, 2021). diferente da usada em um contexto de segurança da informação e para militares em uma zona desmilitarizada, por exemplo. 34Enap Fundação Escola Nacional de Administração Pública CREDENCIAMENTO “Processo pelo qual o usuário recebe credenciais de segurança que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e a definição de perfil de acesso, em função de autorização prévia e da necessidade de conhecer.” (BRASIL, 2021). CUSTÓDIA “Consiste na responsabilidade de guardar um ativo para terceiros. A custódia não permite automaticamente o acesso ao ativo e nem o direito de conceder acesso a outros.” (BRASIL, 2021). DISPONIBILIDADE “Propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados.” (BRASIL, 2021). DOCUMENTO “Unidade de registro de informações, qualquer que seja o suporte ou o formato.” (BRASIL, 2021). ENCARREGADO “Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).” (BRASIL, 2021). DESASTRE “Evento, ação ou omissão, repentino e não planejado, que tenha permitido acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou, ainda, a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica, gerando sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período de tempo superior ao tempo objetivo de recuperação.” (BRASIL, 2021). Enap Fundação Escola Nacional de Administração Pública 35 INFRAESTRUTURA CRÍTICA “Instalações, serviços, bens e sistemas, virtuais ou físicos, que, se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança.” (BRASIL, 2021). INCIDENTE “Interrupção não planejada ou redução da qualidade de um serviço. Ou seja, ocorrência, ação ou omissão que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.” (BRASIL, 2021). HONEYPOT “Recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido. Existem dois tipos de honeypots: os de baixa interatividade e os de alta interatividade. Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir; desta forma, o sistema operacional real desse tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. Nos honeypots de alta interatividade, os atacantes interagem com sistemas operacionais, aplicações e serviços reais.” (BRASIL, 2021). GUERRA CIBERNÉTICA “Atos de guerra, utilizando predominantemente elementos de tecnologia da informação em escala suficiente, por um período específico de tempo e em alta velocidade, em apoio às operações militares, por meio de ações tomadas exclusivamente no espaço cibernético, com a finalidade de abalar ou de incapacitar as atividades de uma nação inimiga, especialmente pelo ataque aos sistemas de comunicação, visando obter vantagem operacional militar significativa. Tais ações são consideradas uma ameaça à Segurança Nacional do Estado.” (BRASIL, 2021). 36Enap Fundação Escola Nacional de Administração Pública INVASÃO “Incidente de segurança no qual o ataque foi bem-sucedido, resultando no acesso, na manipulação ou na destruição de informações em um computador ou em um sistema da organização.” (BRASIL, 2021). JAILBREAK “Processo que modifica o sistema operacional original de um dispositivo, permitindo que ele execute aplicativos não-autorizados pelo fabricante. Um aparelho com um software do tipo jailbreak é capaz de instalar aplicativos anteriormente indisponíveis nos sites oficiais do fabricante, por meio de instaladores não-oficiais, assim como aplicações adquiridas de forma ilegal. O uso de técnicas jailbreak não é recomendado pelos fabricantes, já que permitem a execução de aplicativos não certificados, que podem inclusive conter malware embutidos.” (BRASIL, 2021). MÁQUINA VIRTUAL (VM) “As máquinas virtuais são computadores de software com a mesma funcionalidade que os computadores físicos. Assim como os computadores físicos, elas executam aplicativos e um sistema operacional. No entanto, as máquinas virtuais são arquivos de computador, executados em um computador físico, e se comportam como um computador físico. Geralmente, são criadas para tarefas específicas, cujas execuções são arriscadas em um ambiente host, como, por exemplo, o acesso a dados infectados por vírus e a testes de sistemas operacionais. Como a máquina virtual é separada por sandbox do restante do sistema, o software dentro dela não pode adulterar o computador host. As máquinas virtuais também podem ser usadas para outras finalidades, como a virtualização de servidores.” (BRASIL, 2021). METADADOS “Representam ‘dados sobre dados’, fornecendo os recursos necessários para entender os dados no decorrer do tempo, ou seja, são dados estruturados que fornecem uma descrição concisa a respeito dos dados armazenados e que permitem encontrar, gerenciar, compreender ou preservar informações a respeito dos dados ao longo do tempo. Possuem um papel importante na gestão de dados, pois, a partir deles, as informações são Enap Fundação Escola Nacional de Administração Pública 37 MÍDIA “Mecanismos em que dados podem ser armazenados. Além da forma e da tecnologia utilizada para a comunicação, inclui discos ópticos, magnéticos, compact disk (CD), fitas, papel, entre outros. Um recurso multimídia combina sons, imagens e vídeos.” (BRASIL, 2021). NUVEM HÍBRIDA “Infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações.” (BRASIL, 2021). NUVEM PRIVADA (OU INTERNA) “Infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade e seu gerenciamento podem ser da própria organização, de terceiros ou de ambos.” (BRASIL, 2021). PRESTADOR DE SERVIÇO “Pessoa envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderão receber credencial especial de acesso.” (BRASIL, 2021). NUVEM PÚBLICA (OU EXTERNA) “Infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de organizações públicas, privadas ou de ambas.” (BRASIL, 2021). processadas, atualizadas e consultadas. As informações de como os dados foram criados ou derivados, do ambiente em que residem ou residiram, das alterações realizadas, dentre outras, são obtidas de metadados.” (BRASIL, 2021). 38Enap Fundação Escola Nacional de Administração Pública PROTOCOLO “Conjunto de parâmetros que definem a forma como a transferência de informação deve ser efetuada.” (BRASIL, 2021). REDE PRIVADA VIRTUAL (VPN) “Refere-se à construção de uma rede privada, utilizando redes públicas (por exemplo, a Internet) como infraestrutura. Esses sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários autorizados possam ter acesso à rede privada e que nenhum dado será interceptado enquanto estiver passando pela rede pública.” (BRASIL, 2021). RESILIÊNCIA “Capacidade de uma organização ou de uma infraestrutura de resistir aos efeitos de um incidente, ataque ou desastre, e retornar à normalidade das operações.” (BRASIL, 2021). SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO “Provimento de serviços de desenvolvimento, de implantação, de manutenção, de armazenamento e de recuperação de dados e de operação de sistemas de informação, projeto de infraestrutura REQUISITOS DE SEGURANÇA DE SOFTWARE “Conjunto de necessidades de segurança que um software deve atender. Essas necessidades são determinadas pela política de segurança da informação da organização, compreendendo aspectos funcionais e não funcionais. Os aspectos funcionais descrevem comportamentos que viabilizam a criação ou a manutenção da segurança e, geralmente, podem ser testados diretamente. São exemplos de requisitos funcionais o controle de acesso, baseado em papéis de usuários (administradores, usuários comuns, entre outros) e a autenticação com o uso de credenciais (usuário e senha, certificados digitais, entre outros). Os aspectos não funcionais descrevem procedimentos necessários para que o software permaneça executando suas funções adequadamente, mesmo quando sob uso indevido. São exemplos de requisitos não funcionais a validação das entradas de dados e o registro de logs de auditoria com informações suficientes para análise forense.” (BRASIL, 2021). Enap Fundação Escola Nacional de Administração Pública 39 SISTEMA DE INFORMAÇÃO “Conjunto de elementos materiais ou intelectuais, colocados à disposição dos usuários, em forma de serviços ou bens, que possibilitam a agregação dos recursos de tecnologia, informação e comunicações de forma integrada.” (BRASIL, 2021). VÍRUS “Seção oculta e autorreplicante de um software de computador, geralmente utilizando lógica maliciosa, que se propaga pela infecção (inserindo uma cópia sua e tornando-se parte) de outro programa. Não é auto executável, ou seja, necessita que o seu programa hospedeiro seja executado para se tornar ativo.” (BRASIL, 2021). VULNERABILIDADE “Condição que, quando explorada por um criminoso cibernético, pode resultar em uma violação de segurança cibernética dos sistemas computacionais ou redes de computadores, e consiste na interseção de três fatores: suscetibilidade ou falha do sistema, acesso possível à falha e capacidade de explorar essa falha.” (BRASIL, 2021). ZONA DESMILITARIZADA (DMZ) “Também conhecida como rede de perímetro, trata-se de uma sub-rede (física ou lógica) que se situa entre uma rede privada confiável e uma rede não confiável, e onde recursos computacionais são hospedados para serem acessados a partir da rede não confiável (em geral, a Internet), evitando o acesso à rede interna da organização. A DMZ garante o isolamento entre a rede confiável e não confiável por uma série de regras de conectividade mantidas em um firewall.” (BRASIL, 2021). de redes de comunicação de dados, modelagem de processos e assessoramento técnico necessários à gestão da informação.” (BRASIL, 2021). 40Enap Fundação Escola Nacional de Administração Pública Para você conhecer mais, é recomendado o acesso ao glossário de segurança da informação do GSI(veja aqui). Para você obter um conhecimento mais amplo e didático sobre o uso da internet, é recomendado o acesso ao material do site internet segura (disponível aqui). 1.5 Identificando os Riscos da Segurança da Informação Os riscos são de várias fontes, mas podem ser classificados em riscos técnicos e riscos relacionados às pessoas. Veja cada um deles a seguir. A identificação de riscos é um serviço de brainstorming. Quanto mais pessoas representando todos os níveis de organização estiverem envolvidas melhor o mapeamento dos riscos. Naturalmente, o histórico da organização e fontes públicas de melhores práticas podem ajudar a identificar muitos riscos, no entanto, as peculiaridades do negócio ou da ação pública de cada órgão ou entidade exige que esse mapeamento de risco seja feito de maneira customizada com a participação dos colaboradores e usuários do serviço em análise. Você chegou ao fim desta unidade de estudo. Caso ainda tenha dúvidas, reveja o conteúdo e se aprofunde nos temas propostos. Até a próxima! Riscos técnicos Riscos relacionados a pessoas Incluem-se atualizações de segurança, novas metodologias de autenticação, novos algoritmos de criptografia, entre outros, que ajudam a melhorar o grau de segurança (lembrando que o objetivo da segurança da informação é que o sistema seja cada vez mais seguro de modo que seja inviável, impraticável ou tremendamente demorado a quebra de segurança). Somente a sensibilização e o estabelecimento de políticas podem melhorar o grau de segurança da informação, pois, como se tem visto, a participação do usuário é parte imprescindível na transformação digital e no uso de soluções digitais pela administração pública. https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1 https://internetsegura.br/ Enap Fundação Escola Nacional de Administração Pública 41 BRASIL. Glossário de Segurança da Informação. Brasília, DF: Gabinete de Segurança Institucional, 2021. Disponível em: https://www.gov.br/gsi/pt-br/composicao/SSIC/ dsic/glossario-de-seguranca-da-informacao-1. Acesso em: 12 jan. 2023. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. São Paulo: Thomson Reuters, 2020 FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2022. Disponível em: https://www.freepik.com/. Acesso em: 12 jan. 2023. HINTZBERGEN, Jule. et al. Fundamentos da segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018 NIC.br. Internet Segura. Disponível em: https://internetsegura.br/. Acesso em: 17 out. 2022 O GOLPISTA do Tinder. Direção de Felicity Morris. Produção de Bernadette Higgins. [S. l.]: Raw Tv, 2022. (114 min.), color. ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos, 1948. Disponível em: https://www.unicef.org/brazil/declaracao-universal-dos- direitos-humanos. Acesso em: 12 jan. 2023. Referências https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1 https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1 https://www.unicef.org/brazil/declaracao-universal-dos-direitos-humanos https://www.unicef.org/brazil/declaracao-universal-dos-direitos-humanos 42Enap Fundação Escola Nacional de Administração Pública Objetivo de aprendizagem Ao fim desta unidade, você será capaz de classificar conceitos relativos à Segurança da Informação. Nesta unidade, você irá conhecer alguns conceitos ligados à privacidade e segurança. Privacidade e segurança são conceitos complementares e devem ser tratados juntos, mas a publicidade não é oposta a nenhum dos dois conceitos. 2.1 Privacidade desde a Concepção (by Design) Versus Privacidade por Padrão (by Default) Unidade 2: Principais Conceitos de Privacidade e Segurança Veja a diferença entre os conceitos de Privacidade by design e Privacidade by default Privacidade desde a concepção (by design) A privacidade desde a concepção (by design) é um conceito interessante pois representa uma revolução no estabelecimento dos requisitos de um software. Do mesmo modo que a necessidade de testes de adequação do software durante o desenvolvimento é um importante processo, na privacidade desde a concepção, a questão de dados pessoais é tratada com sua devida importância no começo de um projeto de um novo software. Usualmente, programadores copiam e reaproveitam formulários para cadastro de dados, então era normal a solicitação ao usuário final de vários dados pessoais que constavam no cadastro modelo. Com uso da privacidade desde a concepção, pode-se verificar que muitos desses campos de cadastro eram dados pessoais, mas que não havia uma importância que justificasse essa coleta. Nesse sentido, hoje em dia, prefere-se pedir o mínimo de dados possíveis de modo a impossibilitar o vazamento de dados que nunca foram necessários. Enap Fundação Escola Nacional de Administração Pública 43 Privacidade por padrão (by default) A privacidade por padrão (by default) é um conceito que significa que o mais alto nível de privacidade deve ser oferecido como pa- drão, como seleção normativa. Assim, cabe ao usuário determi- nar se deseja ter um padrão de privacidade menor e ativamente fazer essa escolha (clicar) na opção de configuração do software ou página da web. Além disso, esse conceito também envolve a manutenção das informações pelo tempo mínimo necessário para que elas sejam utilizadas de acordo com a política de privacidade. Ou seja, após a coleta e o uso dos dados, eles devem ser desprezados, elimi- nados, excluídos dos bancos de dados, de modo que não fiquem mais disponíveis para a empresa. 2.2 Segurança desde a Concepção (by Design) Versus Segurança por Padrão (by Default) A segurança desde a concepção (by design) cresceu juntamente com o aumento das vulnerabilidades e consequente vazamento de dados com prejuízos às empresas. O modelo tradicional em que o desenvolvedor codificava o site e depois passava o código-fonte para a equipe de segurança analisar mostrou-se ineficiente. Idealmente, as questões de segurança, assim como de privacidade, têm de ser discutidas desde o começo da concepção do projeto, elas são requisitos importantes para a garantia da qualidade do projeto. Quando se estabelece a segurança desde a concepção, é possível ter alguns ganhos de segurança ao: • minimizar a superfície de ataque (restringir funções que o usuário tem acesso, trabalhando com o princípio do menor privilégio); • trabalhar com confiança zero (nenhum dispositivo ou sistema por padrão é confiável); • segregar funções (agrupando os acessos para dar apenas os privilégios necessários para cada tipo de função). 44Enap Fundação Escola Nacional de Administração Pública 2.3 A Segurança e Código Aberto Versus Código Fechado O código aberto representa uma abertura para que toda comunidade de programadores visualizem o código e apresentem sugestões e alertas para erros. O código fechado fica disponível somente para a empresa, então terceiros não tem como acessar o código. Então, em tese, não saberiam das falhas de segurança. Mas isso é apenas parcialmente verdade, pois ainda é possível utilizar engenharia reversa, e a partir do arquivo “executável” se reconstruir o código original. Para tentar evitar a engenharia reversa existem algumas técnicas como “Code Obfuscation” que troca o valor das variáveis e das funções, cria variáveis e loops não necessários para tornar difícil o uso de engenharia reversa. Mas isso também traz desvantagens, pois aplicações maliciosas podem se esconder de antivírus. “Obfuscation” faz o código mais seguro, mas não é a solução mais segura. Principalmente
Compartilhar