Boa práticas visando mitigar os principais riscos inerentes à segurança cibernética
15 de setembro de 2022A preocupação com a segurança cibernética passou a ser ponto fundamental da estabilidade social. Diante disso, a experiência alcançada, por meio da colaboração de organizações, demonstrou ser uma importante ferramenta na elaboração de medidas preventivas
1. A presente Recomendação foi confeccionada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) em parceria com a Secretaria do Governo Digital (SGD) e com o Serviço Federal de Processamento de Dados (SERPRO) e tem como objetivo orientar os órgãos públicos e os parceiros do setor privado sobre as boas práticas a serem adotadas visando mitigar os principais riscos inerentes à segurança cibernética.
Esta Recomendação ratifica o OFÍCIO CIRCULAR Nº 1/2022/CGGSI/DSI/GSI/PR, de 7 de fevereiro do corrente.
2. O trabalho remoto, intensificado em virtude da pandemia, aumentou significativamente a oferta de serviços na internet e o acesso remoto às redes corporativas.
A preocupação com a segurança cibernética passou a ser ponto fundamental da estabilidade social.
Diante disso, a experiência alcançada, por meio da colaboração de organizações, demonstrou ser uma importante ferramenta na elaboração de medidas preventivas, tais como:
a. revisar periodicamente a política de segurança da informação, de segurança cibernética ou equivalente;
b. revisar periodicamente o plano estratégico de segurança dos ativos críticos da organização, além de manter atualizado o inventário desses ativos críticos;
c. estabelecer um plano de gestão de backup que contemple o armazenamento seguro dos dados copiados e que sejam observadas questões para o backup tais como como estar isolado, offline, redundante, além de se realizar testes periódicos de recuperação de dados;
d. possuir ambiente com virtualização de servidores, onde se considere a utilização de snapshots (preservando o estado e os dados de uma máquina virtual em um determinado momento), atualizados regularmente, de forma a viabilizar o rápido retorno de sistemas críticos quando necessário;
e. estabelecer um plano de gestão de atualização de sistemas computacionais;
f. implementar e revisar periodicamente a política de senhas da organização, obrigando que elas sejam fortes, que não possam ser repetidas quando trocadas, além de terem período de expiração razoável;
g. mapear e rever os privilégios de usuários, implementando a política de privilégio mínimo;
h. implementar um plano de segurança de acesso remoto da organização que contemple a utilização de VPN e duplo/múltiplo fator de autenticação, além da revisão periódica sobre a necessidade de acesso remoto para cada caso;
i. implementar um plano de autenticação de sistemas que contemple a utilização de múltiplo fator de autenticação sempre que possível, além de gestão de acesso a usuários internos e externos, ativos ou afastados;
j. manter registro de eventos de sistemas (logs) centralizado e em ambiente controlado;
k. implementar plano de bloquear credenciais de funcionários ou colaboradores que estejam afastados (férias, licenças etc.);
l. manter o sistema de gerenciamento contra malwares (antivírus) sempre atualizado, avaliando possíveis recomendações de melhoria que o produto ou fabricante possa oferecer;
m. quando viável, implementar o acesso externo ao ambiente da rede interna por meio de utilização de jump server, ou equivalente; e
n. estabelecer plano de conscientização do público interno sobre medidas de segurança quando da utilização do e-mail e rede corporativa, reforçando a necessidade de comunicação à equipe de prevenção, tratamento e resposta a incidentes cibernéticos (ETIR) local em caso de suspeita de incidentes.
3. Em caso de incidente, os órgãos da administração pública federal (APF) deverão notificar a própria ETIR e realizar a contenção do incidente, isolando ativos suspeitos e preservando evidências.
A ETIR deverá, de acordo com o Decreto Nº 10.748/16, notificar o CTIR Gov o mais breve possível
4. O CTIR Gov publica periodicamente os Alertas e Recomendações, que podem ser acessados pelo link:
5. A SGD também disponibiliza um guia de resposta a incidentes por meio da url:
6. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas ETIR setoriais que orientem a sua constituency (integrantes de seus respectivos setores) sobre o tratado nesta Recomendação.
Reforça também que a participação dos órgãos e das entidades da APF direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Dessa forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov.
7. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação
8. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse
Cidade de SP planeja ‘Big Brother’ das ruas, com 20 mil câmeras
ICP-BRASIL: Cerimônia de Assinatura Digital e Lacração dos Sistemas das urnas brasileiras
GOVERNO E TECNOLOGIA
Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.
Acesse agora e conheça nossa coluna GovTech!
SELOS DE IDENTIFICAÇÃO UTILIZADOS PELO GOV.BR
Identidade Digital Bronze
Com este nível, já é possível fazer assinaturas simples, válidas em situações de baixo risco e que não envolvam informações sigilosas.
Identidade Digital Prata
Refere-se àqueles que acessam o Gov.br com a conta e senha dos bancos já integrados à plataforma.
Identidade Digital Ouro
Identifica quem tem certificado Digital ICP-Brasil e biometria facial registrada no aplicativo Meu Gov.br.