Presidenta da Repblica

Dilma Rousseff
Vice-Presidente da Repblica
Michel Temer
Ministro de Estado Chefe do Gabinete de Segurana Institucional
Jos Elito Carvalho Siqueira
Secretrio Executivo do Conselho de Defesa Nacional
Jos Elito Carvalho Siqueira
Secretrio Executivo do Gabinete de Segurana Institucional
Geraldo Antonio Miotto
Diretor do Departamento de Segurana da Informao e Comunicaes
Marconi dos Reis Bezerra

Presidncia da Repblica
Gabinete de Segurana Institucional
Secretaria-Executiva
Departamento de Segurana da Informao e Comunicaes

ESTRATGIA DE SEGURANA DA
INFORMAO E COMUNICAES E DE
SEGURANA CIBERNTICA DA
ADMINISTRAO PBLICA FEDERAL
2015-2018
Verso 1.0

Braslia DF
2015

Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total,
por qualquer meio, desde que citada a fonte.

Grupo Tcnico de Elaborao da Estratgia

(Boletim Interno GSI/PR n 52, de 26/12/2014. SE/GSI/PR Gen. Edson Leal Pujol)
Departamento de Segurana da Informao e Comunicaes
Marconi dos Reis Bezerra (Coordenador)
Alcimar Sanches Rangel
Alexandre Jos Ribeiro
Antnio Magno Figueiredo de Oliveira
Claudia Canongia
Gustavo Andrade Bruzzeguez
Josita Arcanjo Ramos Ferreira
Lucas de Oliveira Souto
Marcelo de Almeida Maymone
Marlene Isidro da Silva
Wagner Barp Meyer
Capa: Alcimar Sanches Rangel
Normalizao bibliogrfica: Biblioteca da Presidncia da Repblica

Colaborao: Membros do Comit Gestor de Segurana da Informao CGSI/CDN

Portaria SE/CDN n 07, de 17 de maro de 2015
(DOU n 52; 18/03/2015)

Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823e Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional.
Estratgia de segurana da informao e comunicaes e de segurana ciberntica da administrao
pblica federal 2015-2018 : verso 1.0 / Gabinete de Segurana Institucional, Secretaria-Executiva,
Departamento de Segurana da Informao e Comunicaes. Braslia : Presidncia da Repblica, 2015.
82 p. : il.
ISBN

1. Segurana da informao. 2. Segurana Ciberntica. 3. Administrao Pblica Federal. I. Ttulo.

CDD 005.8

Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica

[A Portaria SE/CDN No. 14, de 11 de maio de 2015, publicada no DOU No. 88 de 12/05/2015, homologa esta Estratgia]

O planejamento uma das maiores conquistas libertrias que o homem pode almejar. Porque o plano
a tentativa do homem para criar seu futuro; lutar contra as tendncias e correntes que nos arrastam;
ganhar espao para escolher; mandar sobre os fatos e as coisas para impor a vontade humana;
recusar-se a aceitar o resultado social que a realidade atomizada de infinitas aes contrapostas
oferece-nos anarquicamente; rejeitar o imediatismo; somar a inteligncia individual para multiplicla como inteligncia coletiva e criadora.
Carlos Matus

"Gesto Pblica um campo de conhecimento peculiar. Trata-se de uma rea por definio
interdisciplinar e que depende de conhecimento advindo da cincia poltica, da economia, da
administrao, da sociologia, do direito, da histria e da ciberntica. Acrescente-se a o forte
componente aplicado do aprendizado."
Fernando Abrcio & Francisco Gaetani

"Uma agenda de longo prazo para reformar a gesto pblica brasileira depende, como em qualquer
outro campo de polticas pblicas, no s de ideias e anlises. Acima de tudo, preciso constituir
coalizes. Atores estratgicos precisam ser convencidos da centralidade dessa questo, como j o foram
em outros tpicos."
Fernando Abrcio

SUMRIO
Lista de Siglas ............................................................................................................. 07
Apresentao ............................................................................................................. 11
Contextualizao ....................................................................................................... 13
Marcos do Governo Brasileiro em SIC e SegCiber ..................................................... 20
Finalidade e Aplicao ............................................................................................... 34
Metodologia .............................................................................................................. 35
Referencial Estratgico .............................................................................................. 37
Princpios Norteadores da Estratgia ........................................................................ 39
Mapa Estratgico ....................................................................................................... 40
Objetivos Estratgicos ............................................................................................... 42
Metas da Estratgia .................................................................................................. 55
Disposies Finais ...................................................................................................... 61
Referncias ................................................................................................................ 62
Anexo I Modelo de Governana Sistmica de SIC e de SegCiber da APF ............... 74
Anexo II Glossrio da Estratgia ............................................................................. 77

LISTA DE SIGLAS
ABIN: Agncia Brasileira de Inteligncia
ABNT: Associao Brasileira de Normas Tcnicas
AGU: Advocacia-Geral da Unio
ANATEL: Agncia Nacional de Telecomunicaes
APF: Administrao Pblica Federal
BB: Banco do Brasil
BCB: Banco Central do Brasil
BSC: Balanced Scorecard
CEPESC: Centro de Pesquisas e Desenvolvimento para a Segurana das Comunicaes
CC/PR: Casa Civil da Presidncia da Repblica
CDCiber/MD: Centro de Defesa Ciberntica / Ministrio da Defesa
CDN: Conselho de Defesa Nacional
CEF: Caixa Econmica Federal
CEGSIC: Curso de Especializao em Gesto de SIC
CGI.br: Comit Gestor da Internet no Brasil
CGSI: Comit Gestor da Segurana da Informao
CGU: Controladoria-Geral da Unio
COMAER/MD: Comando da Aeronutica / Ministrio da Defesa
ComDCiber: Comando de Defesa Ciberntica
CPI: Comisso Parlamentar de Inqurito
CREDEN: Cmara de Relaes Exteriores e Defesa Nacional
CTIR Gov: Centro de Tratamento de Incidentes de Redes da Administrao Pblica
Federal
DAS: Cargo do Grupo-Direo e Assessoramento Superiores
DATAPREV: Empresa de Tecnologia e Informaes da Previdncia Social
DSIC: Departamento de Segurana da Informao e Comunicaes

DPDT: Departamento de Pesquisa e Desenvolvimento Tecnolgico

EAD: Ensino distncia
EB/MD: Exrcito Brasileiro / Ministrio da Defesa
EED: Empresa Estratgica de Defesa
EGTI: Estratgia Geral de Tecnologia da Informao
EGTIC: Estratgia Geral de Tecnologia da Informao e Comunicaes
Embrapa: Empresa Brasileira de Pesquisa Agropecuria
EnaDCiber: Escola Nacional de Defesa Ciberntica
ENAP: Escola Nacional de Administrao Pblica
END: Estratgia Nacional de Defesa
ETIR: Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais
GSI/PR: Gabinete de Segurana Institucional da Presidncia da Repblica
GTI: Grupo de Trabalho Interministerial
ICP-Brasil: Infraestrutura de Chaves Pblicas Brasileira
ICT: Instituio de Cincia e Tecnologia
IEC: International Electrotechnical Commission, Comisso Eletrotcnica Internacional
IN: Instruo Normativa
INSS: Instituto Nacional do Seguro Social
ISO: International Organization for Standardization, Organizao Internacional de
Normalizao
LAI: Lei de Acesso Informao
MB/MD: Marinha do Brasil / Ministrio da Defesa
MC: Ministrio das Comunicaes
MCTI: Ministrio da Cincia, Tecnologia e Inovao
MD: Ministrio da Defesa
MDIC: Ministrio do Desenvolvimento Indstria e Comrcio Exterior
MEC: Ministrio da Educao e Cultura
MJ: Ministrio da Justia
MP: Ministrio do Planejamento, Oramento e Gesto
MPS: Ministrio da Previdncia Social

MRE: Ministrio das Relaes Exteriores

MS: Ministrio da Sade
MTur: Ministrio do Turismo
NBR: Normas Brasileiras de Referncia
NC: Norma Complementar
NSC: Ncleo de Segurana e Credenciamento
OE: Objetivos Estratgicos
OEA: Organizao dos Estados Americanos
OGS: rgo Governante Superior
PDCA: Plan, Do, Check & Act.
PDTI: Plano Diretor de Tecnologia da Informao
Petrobrs: Petrleo Brasileiro S.A.
PNAD: Pesquisa Nacional por Amostra de Domiclios
POSIC: Poltica de Segurana da Informao e Comunicaes
PR: Presidncia da Repblica
Radiobrs: Empresa Brasileira de Radiodifuso
RENASIC: Rede Nacional de Excelncia em Segurana da Informao e Criptografia
RNP: Rede Nacional de Ensino e Pesquisa
SAE/PR: Secretaria de Assuntos Estratgicos da Presidncia da Repblica
SECOM/PR: Secretaria de Comunicaes da Presidncia da Repblica
SegCiber: Segurana Ciberntica
SERPRO: Servio Federal de Processamento de Dados
SG/PR: Secretaria-Geral da Presidncia da Repblica
SIC: Segurana da Informao e Comunicaes
SICGov: Congresso de Segurana da Informao e Comunicaes
SISP: Sistema de Administrao dos Recursos de Tecnologia da Informao do Poder
Executivo federal
SPOA: Subsecretaria de Planejamento, Oramento e Administrao
SRF: Secretaria da Receita Federal
SRP: Secretaria da Receita Previdenciria

TCU: Tribunal de Contas da Unio

TELEBRS: Telecomunicaes Brasileiras S.A.
TIC: Tecnologias de Informao e Comunicao
UIT: Unio Internacional de Telecomunicaes
UnB: Universidade de Braslia
WCIT: World Conference on International Telecommunications, Conferncia Mundial
em Telecomunicaoes Internacionais

10

APRESENTAO
com grande satisfao que apresento a Estratgia de Segurana da
Informao e Comunicaes e de Segurana Ciberntica da Administrao Pblica
Federal 2015 2018, verso 1.0, dado que tais reas so consideradas como questes
nacionais, horizontais e estratgicas, que afetam todos os nveis da sociedade, e
representa importante instrumento de apoio ao planejamento dos rgos e entidades
do Governo, objetivando melhorar sobremaneira a segurana e a resilincia das
infraestruturas crticas e dos servios pblicos nacionais.
Este instrumento de apoio ao planejamento estratgico governamental
complementa a Instruo Normativa GSI/PR 01/2008, rene um conjunto de objetivos
estratgicos e metas para os prximos quatro anos, e visa a busca da excelncia da
Segurana da Informao e Comunicaes (SIC) e da Segurana Ciberntica (SegCiber)
no mbito da Administrao Pblica Federal (APF) do Pas, contemplando relevantes
aspectos, dada a complexidade e a dinmica de tais temas no cenrio atual, nacional e
mundial.
Assim, a elaborao desta Estratgia motivada pela misso do GSI/PR de
coordenar as atividades de segurana da informao do governo e considera tanto a
necessidade mpar de assegurar aes efetivas nestas reas, quanto a possibilidade
real e crescente de uso das Tecnologias de Informao e Comunicao (TIC) para aes
ofensivas e exploratrias, entre outras, acesso indevido s redes de computadores de
setores e de infraestruturas crticas.
Destaco ainda a ameaa relativa elevada interconectividade mundial entre os
maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas
anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so
evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e
infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os
incidentes de fraudes e roubos de dados.
Diante da criticidade desse cenrio e da recomendao do Tribunal de Contas
da Unio (TCU), no Acrdo 3.051/2014-TCU-Plenrio, de que este GSI/PR lanasse
Estratgia no mbito da sua jurisdio, pautada nos pilares consagrados da segurana
da informao disponibilidade, integridade, confidencialidade e autenticidade -, com
o objetivo de fortalecer as aes de SIC e de SegCiber na APF, foi institudo Grupo de
Trabalho interno, no final do ano de 2014, no mbito do Departamento de Segurana
da Informao e Comunicaes (SIC) deste GSI/PR para elaborar esta Estratgia.
Cabe ressaltar que o Comit Gestor de Segurana da Informao (CGSI), rgo
de assessoramento da Secretaria Executiva do Conselho de Defesa Nacional, a qual
exercida por este GSI/PR, em temas relativos segurana da informao e correlatos,
conforme disposto no Decreto n 3.505/2000, vem colaborando efetivamente nos
ltimos anos com o arcabouo normativo das reas de SIC e de SegCiber, e foi

11

consultado, contribuindo substantiva e efetivamente com esta publicao, ao que

desde j agradeo a colaborao.
Sabemos que ainda h muito a ser alcanado e que estamos passo a passo
criando as condies necessrias para maior efetividade, eficcia e eficincia das aes
de SIC e de SegCiber, principalmente no que diz respeito ao entendimento das novas
exigncias para a manuteno e preservao tanto das infraestruturas crticas do Pas,
quanto dos direitos individuais, em especial da privacidade, protegendo e assegurando
os interesses da sociedade e do Estado.
Recomendo, portanto, a leitura e a aderncia aos objetivos estratgicos e
metas desta Estratgia de Segurana da Informao e Comunicaes e de Segurana
Ciberntica da Administrao Pblica Federal 2015 2018, verso 1.0 na direo do
fortalecimento e da excelncia da segurana da informao e comunicaes e da
segurana ciberntica no Governo.
Considero esta publicao um importante incremento ao arcabouo de
documentos que objetivam contribuir com a segurana institucional e a soberania
nacional, e convido-os a contribuir com propostas e sugestes para a evoluo
contnua da mesma, visando construir, em futuro prximo, de forma colaborativa, a
Poltica Nacional de Segurana da Informao e Comunicaes e de Segurana
Ciberntica.
Por fim, cito o livro Sonho Grande o qual apresenta o relato da jornalista
Cristiane Correa sobre a trajetria exitosa de trs scios, Jorge Paulo Lemann, Marcel
Herrmann Telles e Carlos Alberto Sicupira, para o sucesso alcanado em seus
empreendimentos, e aproveito para finalizar ressaltando a segunda lio do declogo
das principais lies aprendidas:
SUSTENTE O IMPULSO COM UM GRANDE SONHO: Gente boa precisa ter coisas grandes para
fazer, seno leva sua energia criativa para outro lugar. Assim, os trs construram um
mecanismo que tem duas premissas bsicas: primeiro, recrute as melhores pessoas e depois d
a elas coisas grandes para fazer. Em seguida, atraia mais gente boa e proponha a prxima coisa
importante a fazer. Repita o processo indefinidamente. Foi assim que eles mantiveram o mpeto
ao longo do tempo. Eles sempre vibraram com a ideia de metas grandes, arriscadas e
audaciosas, e desenvolveram uma cultura para alcan-las. Ao observ-los, aprendi que, para
conservar o mpeto e, portanto, preservar gente boa, vale a pena correr os riscos inerentes
busca pelas grandes metas. como uma tima equipe de alpinismo. Por um lado, existe o risco
de subir uma montanha alta, depois uma montanha ainda mais alta, e depois a seguinte. Por
outro lado, se voc no tiver novas montanhas altas para escalar, deixar de se desenvolver e
crescer, e perder seus melhores alpinistas. Grandes alpinistas necessitam de grandes
montanhas para escalar, sempre e indefinidamente.

Boa leitura! Boas prticas! Escale!

JOS ELITO CARVALHO SIQUEIRA
Ministro de Estado Chefe do Gabinete de Segurana Institucional da
Presidncia da Repblica

12

CONTEXTUALIZAO
Este item apresenta, de forma geral e sem a pretenso de ser exaustivo, viso
sobre avanos, mudanas, tendncias e desafios da Segurana da Informao e
Comunicaes e da Segurana Ciberntica, de 2000 at os dias de hoje, principalmente
na trilha que vem sendo desenvolvida no pas.
No Brasil, em 2000, o nmero de usurios da Internet girava em torno de 8,6
milhes e o governo brasileiro alertava que tal nmero era bastante limitado e
precisaria crescer significativamente. Naquele ano, estimava-se que apenas 1% dos
usurios da Internet no Brasil compraria em lojas virtuais, com mdia de gasto de
apenas 18 dlares mensais (MCT, 2000).
No final de 2008, passou-se a contar com cerca de 55,9 milhes de usurios no
Brasil segundo a Pesquisa Nacional por Amostra de Domiclios (PNAD) e,
aproximadamente, 83 milhes de pessoas de 10 anos ou mais acessaram a Internet
nos trs meses anteriores realizao da PNAD em 2012, apontando para um
crescimento rpido de uso da Internet no pas1. Com relao evoluo da economia
digital no pas, os usurios brasileiros da Internet contriburam com o comrcio
eletrnico, com faturamento da ordem de 8,2 bilhes de reais em 2008 com
crescimento para cerca de 22,5 bilhes de reais em 2012, confirmando as prospeces
de avanos preponderantes desta economia2.
Em 2014, o cenrio de uso da Internet e, consequentemente, de uso das
Tecnologias de Informao e Comunicao (TIC) permanece crescente e sem dvida
alm de qualquer expectativa e prospeco, operando-se em cifras bastante
expressivas no mundo e no Pas, especialmente frente aos avanos do uso de
dispositivos mveis, da computao em nuvem e da evoluo da chamada internet
das coisas. O Brasil considerado o quarto maior mercado mundial no setor de TIC,
movimentando cerca de US$ 170 bilhes, e somente o comrcio eletrnico faturou
cerca de 35,8 bilhes de reais, e no mundo o movimento foi de cerca de 1,5 trilhes de
dlares, demonstrando quo aquecida e intensiva vem sendo a economia digital e com
tendncia ascendente forte.3 Para 2020, estima-se um mercado global de TI na ordem
de US$ 3 trilhes, e um mercado nacional da ordem de US$ 200 bilhes.
Destaca-se que j foi abordado no Livro Verde Segurana Ciberntica no
Brasil (GSI/PR, 2010, p.14) os seguintes fenmenos da Sociedade da Informao: a)
Elevada convergncia tecnolgica; b) Aumento significativo de sistemas e redes de
informao, bem como da interconexo e interdependncia dos mesmos; c) Aumento
1

http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-cresce-nas-regioes-norte-e-nordeste-em2012/
2
http://www.e-commerce.org.br/stats.php
3
Idem.

13

crescente e bastante substantivo de acesso Internet e das redes sociais; d) Avanos

das tecnologias de informao e comunicao (TIC); e) Aumento das ameaas e das
vulnerabilidades de segurana ciberntica; e, f) Ambientes complexos, com mltiplos
atores, diversidade de interesses, e em constantes e rpidas mudanas
Toda e qualquer reflexo sobre a evoluo da Sociedade da Informao deve
apoiar-se numa anlise da mudana contempornea da relao com o saber. A
velocidade do surgimento e da renovao do conhecimento, know-how e tecnologias,
vem sendo cada vez mais avassaladora, o que contribui para um ambiente de
incertezas, volatilidade, novas e crescentes ameaas.
As ameaas relativas elevada interconectividade mundial esto entre os
maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas
anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so
evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e
infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os
incidentes de fraudes e roubos de dados.
Assim sendo, para fins desta Estratgia de Segurana da Informao e
Comunicaes e de Segurana Ciberntica na Administrao Pblica Federal, so
adotados os seguintes conceitos:
a) Segurana da Informao e Comunicaes (SIC): aes que objetivam
viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informaes;
b) Segurana Ciberntica (SegCiber): a arte de assegurar a existncia e a
continuidade da Sociedade da Informao de uma Nao, garantindo e protegendo, no
Espao Ciberntico, seus ativos de informao e suas infraestruturas crticas;
c) Ativos de Informao: so os meios de armazenamento, transmisso e
processamento, os sistemas de informao, bem como os locais onde se encontram
esses meios e as pessoas que a eles tm acesso; e
d) Infraestruturas Crticas: so as instalaes, servios, bens e sistemas que, se
forem interrompidos ou destrudos, provocaro srio impacto social, econmico,
poltico, internacional ou segurana do Estado e da sociedade.
A SIC e a SegCiber, portanto, vm se caracterizando cada vez mais como funo
estratgica de Estado, sendo essenciais manuteno e preservao tanto das
infraestruturas crticas de um pas, tais como Energia, Transporte, Telecomunicaes,
guas, Finanas, a prpria Informao, entre outras, quanto dos direitos individuais,
em especial da privacidade, e da soberania.

14

Os pilares consagrados da SIC disponibilidade, integridade, confidencialidade

e autenticidade esto sujeitos a novas e crescentes vulnerabilidades e ameaas.
So crescentes e contnuas as polmicas nos temas regulao e controle da
Internet em nvel nacional e internacional. A reunio plenria World Conference on
International Telecommunications - WCIT-12, em Dubai, em dezembro de 2012,
liderada pela Unio Internacional de Telecomunicaes (UIT), foi marcada por
divergncias entre os seus Estados Membros, sendo reforada a experincia brasileira
de governana multissetorial realizada por meio de seu Comit Gestor da Internet
(CGI.br).
As questes de privacidade versus segurana permanecem como pontos
controversos e atualmente em forte articulao, em nvel nacional e internacional, em
especial aps o advento do caso Snowden, que exps possveis aes de espionagem
do governo americano em relao a outros pases, Brasil inclusive, por meio da captura
e tratamento de metadados na Internet. Tais questes permanecem nos debates de
uso e governana da Internet, de forma preponderante, tratadas nas agendas dos
governos e em fruns bi e multilaterais.
O Governo brasileiro registrou, com satisfao, que a III Comisso da 68
Assembleia Geral das Naes Unidas aprovou em 2013, por consenso dos 193 Estados
membros, a Resoluo A/RES/68/167 "O direito privacidade na era digital"4, a qual
foi apresentada em conjunto pelo Brasil e Alemanha, em resposta s supostas
denncias de Snowden contra os EUA. "Nenhuma preocupao relacionada
segurana pblica pode justificar a coleta de informaes sensveis. Estados devem
garantir a observao irrestrita das suas obrigaes sobre as leis internacionais de
direitos humanos", diz a Resoluo.
O Relatrio final da Comisso Parlamentar de Inqurito, denominada CPI da
Espionagem, aponta fragilidades do Brasil frente espionagem eletrnica
internacional e sugere medidas e propostas para a melhoria da segurana ciberntica
nacional, evidenciando a fragilidade do sistema de telecomunicaes brasileiro e de
nosso sistema de inteligncia e defesa ciberntica (Brasil. Congresso. Senado Federal,
2014).
Segundo o estudo Mapeamento de Fornecedores Nacionais de Tecnologia da
Informao e Comunicao (TIC) para Redes Eltricas Inteligentes (REI), realizado pela
Agncia Brasileira de Desenvolvimento Industrial (ABDI) em 2014, a segurana
ciberntica foi identificada como uma das principais preocupaes das
concessionrias, empresas fornecedoras de TIC e centros de pesquisa voltados para o
setor.

http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167

15

O cenrio de realizao de grandes eventos no Brasil (2013 a 2016) ressalta tais

preocupaes e serve de oportunidade para a conformao de uma situao benfica,
alavancando os compromissos com a SIC e com a SegCiber pactuados e reforados na
direo de que haja capacidade efetiva do governo de catalisar e estimular aes em
prol dos diferentes tpicos que perpassam e sustentam tais reas de atuao.
Cabe realar os tpicos relativos formao continuada de recursos humanos
especializados e capacidade de coordenao executiva no mbito do governo, bem
como queles que se referem ao desenvolvimento de tecnologias e inovao,
promoo dos setores e do mercado de segurana da informao e de segurana
ciberntica, construo de arcabouo legal e normativo, e cooperao
internacional.
No cenrio atual, as ameaas cibernticas so crescentes, diferenciadas e
apresentam elevado grau de sofisticao, exigindo dos governos aes efetivas de
preveno e combate s prticas maliciosas no uso das TIC, por meio de aes
transversais, integradoras, interdisciplinares e multissetoriais.
Nesta direo, a proteo dos ativos de informao implica na definio de
investimentos para um melhor posicionamento das instituies governamentais em
relao produo e custdia, principalmente, s informaes dos cidados brasileiros
e do Estado. Assim posto, os ativos de informao guardam relao direta com riscos
de SIC e de SegCiber, uma vez que a dependncia tecnolgica das instituies
governamentais cada vez maior.
No tocante SIC e SegCiber, independente das responsabilidades do Estado
brasileiro, o setor privado tem importncia fundamental pois detm a maior parte das
infraestruturas de telecomunicaes e redes de comunicao digital, provendo
servios para o Governo e para a sociedade.
Soma-se a esse cenrio os desafios impostos pela forte dependncia externa e
pela ausncia de domnio em tecnologias sensveis de SIC e de SegCiber. Salienta-se
ainda, entre os desafios, o Decreto n 8.135/2013, que dispe em seu art. 1 que as
comunicaes de dados da administrao pblica federal direta, autrquica e
fundacional devero ser realizadas por redes de telecomunicaes e servios de
tecnologia da informao fornecidos por rgos ou entidades da administrao pblica
federal, incluindo empresas pblicas e sociedades de economia mista da Unio e suas
subsidirias.
Observa-se tambm que em perodo recente, diversos rgos e entidades,
conforme amplamente divulgado na mdia, foram alvos de aes maliciosas, com
destaque para aes de engenharia social, desfiguraes de stios, degradao dos
servios e acessos indevidos a sistemas computacionais, com exposio de

16

vulnerabilidades e consequente vazamento de informaes, causando prejuzos ao

Estado, com reflexos negativos para a sociedade.
Neste contexto, ressalta-se que no obstante os esforos do governo em
fortalecer as aes de SIC e de SegCiber, o que inclui arcabouo normativo publicado
pelo GSI/PR nos ltimos oito anos, o respectivo nvel de maturidade ainda encontra-se
em patamar aqum do desejado nos rgos e entidades da APF, segundo o Acrdo
3.051/2014-TCU-Plenrio.
A Constituio Federal de 1988 estabelece amplo acesso informao,
impactando diretamente nas estratgias, polticas e atuao de todos os rgos
pblicos. A publicao da Lei de Acesso Informao (LAI) marcou uma mudana no
paradigma de publicidade dos ativos de informao criados e geridos pelo Estado, em
todos os nveis e esferas, em prol da transparncia. Esse novo mote trouxe ateno
sobre os ativos de informao sigilosos cuja publicidade seja sensvel para o pas.
Nesse aspecto, a LAI garante tratamento diferenciado para informaes cuja a
exposio comprometa a segurana do Estado e da sociedade. Tal dinmica impacta
diretamente na estratgia adotada pelo governo para a SIC e a SegCiber.
Ficam, assim, evidenciados os vrios desafios enfrentados pelo Governo
Federal, em especial a carncia do estabelecimento de governana efetiva da SIC e da
SegCiber, e da segurana dos ativos de informao crticos, e a ausncia de um rgo
central que exera coordenao executiva de tais temas, de forma sistmica e
participativa multistakeholders e multissetores, somada a ausncia de destaque
oramentrio especfico e adequado ao tamanho do problema.
Uma vez que SIC e SegCiber so consideradas como questes nacionais,
horizontais e estratgicas, que afetam todos os nveis da sociedade, uma estratgia de
SIC e de SegCiber nacional representa importante ferramenta para melhorar
sobremaneira a segurana e a resilincia das infraestruturas crticas e dos servios
nacionais.
A SIC e a SegCiber tm, portanto, impactos amplos na soberania nacional, na
construo da cidadania e no desenvolvimento econmico, devendo o pas ser
reconhecido como protagonista em nvel internacional, bem como em fruns bi e
multilaterais. E, em decorrncia, esforos em prol da SIC e da SegCiber podem
representar um salto qualitativo e quantitativo da insero da indstria nacional de
tecnologia da informao e comunicao (TIC) nos mercados interno e global, bem
como, de evoluo e excelncia da pesquisa, desenvolvimento e inovao dessas reas
em nvel nacional e internacional.
No Brasil, os assuntos relacionados Segurana da Informao e
Comunicaes, Segurana Ciberntica e Segurana das Infraestruturas Crticas vm
sendo tratados no mbito do Conselho de Defesa Nacional (CDN) e da Cmara de

17

Relaes Exteriores e Defesa Nacional (CREDEN), do Conselho de Governo, por

intermdio do Gabinete de Segurana Institucional da Presidncia da Repblica
(GSI/PR), que exerce as funes de Secretaria Executiva do citado Conselho e de
Presidncia daquela Cmara.
As competncias do CDN esto previstas no art. 91 da Constituio Federal de
1988 e a regulamentao de sua organizao e de seu funcionamento est contida na
Lei n 8.183/1991. As competncias, organizao e normas de funcionamento do
Conselho de Governo e da CREDEN esto contidas, respectivamente, na Lei n
10.683/2003, e no Decreto n 4.801/2003. O art. 6 da Lei n 10.683/2003 estabelece
ao GSI/PR, entre outras atribuies, a coordenao das atividades de segurana da
informao.
A dimenso e a assimetria da APF representa importante desafio para a rea de
SIC e de SegCiber. Na atualidade, so 39 ministrios, cerca de seis mil entidades
governamentais, mais de um milho de servidores federais, em torno de 320 grandes
redes do Governo Federal, mais de 16,5 mil stios de governo que superam 12 milhes
de pginas WEB, e uma crescente participao e controle social.
O GSI/PR, diante de tal desafio, instituiu em 2006, para trato das questes
afetas SIC e SegCiber, o Departamento de Segurana da Informao e
Comunicaes (DSIC), com abrangncia de atuao na APF, e trs reas finalsticas
para o cumprimento de sua misso, a saber: Gesto de SIC, Centro de Tratamento de
Incidentes de Redes da Administrao Pblica Federal - CTIR Gov, e Credenciamento
de Segurana.
A rea de Gesto de SIC executa o planejamento e a gesto orientada aos
rgos e entidades da APF, por meio de programas de conscientizao e capacitao
dos agentes pblicos, do apoio implementao dos requisitos metodolgicos
necessrios de SIC, bem como pela difuso do arcabouo normativo de SIC e de
SegCiber, visando o seu cumprimento. A rea tambm responsvel pela gesto das
reunies do Comit Gestor da Segurana da Informao (CGSI/CDN).
A rea de tratamento de incidentes (CTIR Gov), com a misso precpua de
coordenar e acompanhar o tratamento e a resposta aos incidentes em redes
computacionais da APF, vem contribuindo para as solues integradas e a gerao de
estatsticas de incidentes de segurana, alm de apoiar a criao e o fortalecimento de
equipes especializadas (ETIR) nos rgos e entidades da APF, disseminando
informaes relativas a ameaas, vulnerabilidades e tendncias de ataques
cibernticos, em colaborao com outras equipes no Brasil e exterior.
A rea finalstica do sistema de credenciamento, aps a promulgao da LAI, foi
reformulada e estabeleceu-se o Ncleo de Segurana e Credenciamento (NSC) como
rgo central da cadeia de credenciamento no mbito do Poder Executivo federal, com

18

o objetivo de promover e regular o tratamento da informao classificada em qualquer

grau de sigilo. O NSC busca assegurar a manuteno da cadeia de confiana entre os
entes, pblicos e privados, que tratam informao classificada em qualquer grau de
sigilo do Governo Federal, inclusive com organismos internacionais.
A Agncia Brasileira de Inteligncia (ABIN), rgo vinculado ao GSI/PR, conta
em sua estrutura com o Centro de Pesquisas e Desenvolvimento para Segurana das
Comunicaes (CEPESC), criado em 1982 para sanar deficincia do Brasil em garantir o
sigilo dos canais de comunicao dos rgos estratgicos da Administrao Pblica
Federal. Desde ento, vem desenvolvendo solues de segurana da informao e
comunicaes baseadas em algoritmos criptogrficos de Estado, bem como
executando trabalhos de pesquisa e desenvolvimento na rea da segurana
ciberntica.
Assim, na ltima dcada, os temas de SIC e de SegCiber passaram a ser
reconhecidos por vrios atores do Governo Federal como relevantes e de competncia
e coordenao poltico estratgica de rgo da Presidncia da Repblica, com
abrangncia para a APF, includas aes de segurana das infraestruturas crticas da
informao.
Diante deste cenrio dinmico, como forma de colaborar com panorama de
fundo da Segurana da Informao e Comunicaes e da Segurana Ciberntica, no
mbito do Governo Federal, apresentam-se no captulo Marcos do Governo Brasileiro
em SIC e SegCiber alguns dos marcos legais, normativos e institucionais alcanados,
distribudos na linha de tempo que compreende o perodo de 2000 at o 1 trimestre
de 2015, os quais realam, para alm das aes j empreendidas, a complexidade dos
temas, a diversidade de atores, e a importncia desta Estratgia.
Por fim, no se pode deixar de citar o Plano Brasil 2022, publicado em 2010
pela Secretaria de Estudos Estratgicos da Presidncia da Repblica (SAE), o qual
representa um pensamento estratgico do futuro do Pas e fixa metas para o ano de
2022, momento em que o Brasil comemora o bicentenrio de sua independncia.
Cabe destacar, portanto, o alinhamento desta Estratgia ao citado Plano Brasil
2022 bem como o seu efetivo apoio ao alcance das metas do centenrio, dentre
outras, as metas a seguir apresentadas: i) Economia: modernizar o funcionamento da
administrao pblica; ii) Sociedade: universalizar o acesso aos bens e contedos
culturais a todos os brasileiros; iii) Infraestrutura: assegurar acesso integral banda
larga, velocidade de 100 Mbps, a todos os brasileiros; e, iv) Estado: garantir pleno
exerccio do direito de acesso a informaes pblicas e consolidar a Internet como um
terreno de liberdade de expresso.

19

MARCOS DO GOVERNO BRASILEIRO EM SIC E

SEGCIBER
PERODO: 2000 A 2015

Em 2000:

Foi publicado o Decreto n 3.505/2000, instituindo a Poltica de Segurana da

Informao nos rgos e entidades da Administrao Pblica Federal (APF). Esse
Decreto criou o Comit Gestor da Segurana da Informao (CGSI), com atribuio de
assessorar a Secretaria-Executiva do Conselho de Defesa Nacional (CDN) na
consecuo das diretrizes da Poltica, bem como na avaliao e anlise de assuntos
relativos aos objetivos estabelecidos nesse Decreto. Integram o CGSI os seguintes 17
rgos da APF: GSI/PR (que o coordena); CC/PR; CGU; AGU; SECOM/PR; SG/PR; MJ;
MD; MRE; MF; MPS; MS; MDIC; MP; MC; MCTI; MME.

Em 2001:

Foi publicada a Medida Provisria n 2.200 de 28 de junho de 2001, instituindo

a Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), incluindo o GSI/PR como
membro do Comit Gestor da ICP-Brasil.

Foi publicado o Decreto n 3.872 de 18 de julho de 2001, que dispe sobre o

Comit Gestor da Infra Estrutura de Chaves Pblicas Brasileira (CG ICP-Brasil). Este
Decreto foi revogado pelo Decreto n 6.605/2008.

Foi publicado o Decreto n 3.996 de 31 de outubro de 2001, que dispe sobre a

prestao de servios de certificao digital no mbito da APF.

Em 2002:

Foi publicado o Decreto n 4.553 de 27 de dezembro de 2002, que dispe sobre

a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesses
da segurana da sociedade e do Estado, no mbito da APF. Esse Decreto foi revogado
pelo Decreto n 7.845/2012.

Em 2003:

Lei n 10.683, de 28 de maio de 2003, em seu art. 6, estabelece ao Gabinete

de Segurana Institucional da Presidncia da Repblica (GSI/PR) a competncia de

20

coordenar as atividades de inteligncia federal e de segurana da informao do

governo, entre outras.

Decreto n 4.801, de 06 de agosto de 2003, cria a Cmara de Relaes

Exteriores e Defesa Nacional (CREDEN) do Conselho de Governo, com a finalidade de
formular polticas pblicas e diretrizes de matrias relacionadas com a rea das
relaes exteriores e defesa nacional do Governo Federal, aprovar, promover a
articulao e acompanhar a implementao dos programas e aes estabelecidos, no
mbito de aes cujo escopo ultrapasse a competncia de um nico Ministrio.
Integravam poca os seguintes Ministrios: GSI/PR (que a preside); Casa Civil/PR;
Justia; Defesa; Relaes Exteriores; Planejamento, Oramento e Gesto; Meio
Ambiente e Cincia e Tecnologia, sendo convidados a participar das reunies, em
carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o
Chefe do Estado-Maior Conjunto das Foras Armadas (composio atualizada em 2009
e 2013).

Decreto n 4.829, de 03 de setembro de 2003, que dispe sobre a criao do

Comit Gestor da Internet no Brasil - CGI.br, sobre o modelo de governana da
Internet no Brasil, e estabelece a coordenao do mesmo a ser exercida pelo, ento,
Ministrio da Cincia e Tecnologia MCT, contando com governana multissetorial, ou
seja, participao de representantes do governo, da academia, do setor empresarial e
do terceiro setor.

Em 2004:

Criao da equipe de tratamento de incidentes em redes computacionais do

governo, CTIR Gov, no GSI/PR;

Lei n 10.973, de 02 de dezembro de 2004, publicada como instrumento legal

de fomento inovao.

Em 2005:

Foi realizada a I Conferncia de Segurana para o Governo (SECGOV-2005),

sob a coordenao do GSI/PR, para tratar de temas atinentes segurana da
informao e comunicaes.

Em 13 de outubro o Brasil assina com Portugal, na Cidade do Porto, Acordo de

Troca e Proteo Mtua de Informaes Classificadas.

Decreto n 5.563, de 11 de outubro de 2005, regulamenta a Lei de Inovao

(Lei n 10.973/2004) que dispe sobre incentivos inovao e pesquisa cientfica e
tecnolgica no ambiente produtivo.

21

Em 2006:

Decreto n 5.772, de 08 de maio de 2006, dispe sobre a reestruturao do

GSI/PR, com insero de novas atribuies relacionadas Segurana da Informao no
rol de competncias da secretaria executiva. Fica, ento, criado o Departamento de
Segurana da Informao e Comunicaes (DSIC), com a misso de planejar e
coordenar as atividades de Segurana da Informao e Comunicaes (SIC) na APF.

Foi estabelecida a ao oramentria 6232 (Capacitao de Recursos Humanos

na rea de Segurana da Informao) destinada formao e ao aprimoramento de
recursos humanos com vistas definio e implementao de mecanismos capazes
de fixar e fortalecer o desenvolvimento e a execuo da Segurana da Informao.

Foi estabelecida parceria do GSI/PR, como rgo coordenador das atividades de

Segurana da Informao no Governo Federal, com vrios rgos, entre eles, o
Ministrio do Turismo (MTur), Controladoria-Geral da Unio (CGU), Advocacia-Geral da
Unio (AGU), Secretaria da Receita Federal (SRF), Secretaria da Receita Previdenciria
(SRP), Instituto Nacional do Seguro Social (INSS), Empresa Brasileira de Pesquisa
Agropecuria (EMBRAPA), Servio Federal de Processamento de Dados (SERPRO),
Empresa Brasileira de Radiodifuso (Radiobrs), Agncia Brasileira de Inteligncia
(ABIN), Banco Central do Brasil (BCB), Banco do Brasil (BB), Caixa Econmica Federal
(CEF), Petrleo Brasileiro S.A. (Petrobrs) e a Rede Nacional de Ensino e Pesquisa
(RNP), com a finalidade de organizarem atividades em conjunto que possibilitassem a
disseminao da cultura da Segurana da Informao.

Foi realizada a II Conferncia de Segurana para o Governo (SECGOV-2006), j

sob a coordenao do DSIC/GSI/PR.

Em 2007:

Iniciou-se a primeira turma do Curso de Especializao em Gesto de SIC

(CEGSIC 2007-2008), em convnio com o Departamento de Cincia da Computao da
Universidade de Braslia. O CEGSIC 2007-2008 teve carga horria de 375 horas aula,
realizadas em regime presencial, nas dependncias da Universidade de Braslia. Contou
com a participao de 40 alunos agentes pblicos da APF e formou 36 especialistas.

Foi realizado o I Congresso de Segurana da Informao e Comunicaes

(SICGov-2008), no Auditrio do Anexo I do Palcio do Planalto, em Braslia, DF.

Em 17 de setembro o Brasil assina com a Espanha, em Madri, Acordo de Troca e

Proteo Mtua de Informaes Classificadas.

22

Em 2008:

Instruo Normativa GSI n 01, publicada em 13 de junho de 2008, elaborada

de forma colaborativa com os membros do Comit Gestor de Segurana da Informao
(CGSI), disciplinando a Gesto de Segurana da Informao e Comunicaes na APF.

Foram publicadas as primeiras Normas Complementares (NC) da IN 01 GSI/PR,

a NC n 01 sobre atividade de normatizao e NC a n 02 sobre metodologia de gesto
de SIC.

Acrdo 1.603/2008-TCU-Plenrio de 13 de agosto, divulga o resultado do

levantamento da governana de TI, realizado no processo do TCU n 008.380/2007-1,
e recomenda ao GSI/PR que oriente os rgos e entidades da APF sobre a importncia
do gerenciamento da segurana da informao, promovendo, inclusive mediante
orientao normativa, aes que objetive estabelecer e/ou aperfeioar a gesto da
continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a
classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea
especfica para gerenciamento da segurana da informao, a poltica de segurana da
informao e os procedimentos de controle de acesso.

Foi realizado o II Congresso de Segurana da Informao e Comunicaes

(SICGov-2008), no Auditrio do Conjunto Cultural da Caixa Econmica Federal, em
Braslia, DF.

Decreto n 6.703, de 18 de dezembro de 2008, aprova a Estratgia Nacional de

Defesa (END) a qual estabelece o setor ciberntico entre os 3 setores estratgicos do
Pas, considerados essenciais para a defesa nacional. Reala que para o setor
ciberntico ser constituda organizao encarregada de desenvolver a capacitao
ciberntica nos campos industrial e militar. Alm de realar as medidas para a
segurana das reas de infraestruturas crticas, incluindo servios, em especial no que
se refere energia, transporte, gua e telecomunicaes, a cargo dos Ministrios da
Defesa, das Minas e Energia, dos Transportes, da Integrao Nacional e das
Comunicaes, e ao trabalho de coordenao, avaliao, monitoramento e reduo de
riscos, desempenhado pelo Gabinete de Segurana Institucional da Presidncia da
Repblica (GSI/PR), o que inclui as infraestruturas crticas de informao.

Instruo Normativa n 04 da Secretaria de Logstica e Tecnologia da

Informao SLTI, do Ministrio do Planejamento, Oramento e Gesto MP, dispe
sobre o processo de contratao de Solues de Tecnologia da Informao pelos
rgos integrantes do Sistema de Administrao dos Recursos de Informao e
Informtica SISP, do Poder Executivo Federal.

Em 13 de agosto, o Brasil assina com a Rssia, em Moscou, o Acordo de Troca e

Proteo Mtua de Informaes Classificadas.

Foi publicado o Decreto n 6.605 de 14 de julho de 2008, dispondo sobre o

Comit Gestor da ICP-Brasil, revogando o Decreto n 3.872/2001 e fazendo nova
redao.

23


Portaria GSI/PR n 31, de 06 de outubro de 2008, institui a Rede Nacional de
Excelncia em Segurana da Informao e Criptografia RENASIC.
Em 2009:

Foram publicadas mais quatro Normas Complementares IN 01 GSI/PR:

NC 03/IN01/DSIC/GSI/PR - Diretrizes para a Elaborao de Poltica de

Segurana da Informao e Comunicaes nos rgos e Entidades da APF;
NC 04/IN01/DSIC/GSI/PR - Gesto de Riscos de Segurana da
Informao e Comunicaes - GRSIC nos rgos e entidades da Administrao Pblica
Federal;
NC 05/IN01/DSIC/GSI/PR Disciplina a criao de Equipes de
Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos rgos e
entidades da Administrao Pblica Federal; e
NC 06/IN01/DSIC/GSI/PR - Estabelece Diretrizes para Gesto de
Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e
Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e
indireta.

Iniciou-se a segunda turma do Curso de Especializao em Gesto de SIC

(CEGSIC 2009-2010), em convnio com o Departamento de Cincia da Computao da
Universidade de Braslia. O CEGSIC 2009-2010 teve carga horria de 375 horas aula,
realizadas em regime presencial, nas dependncias da Universidade de Braslia. Contou
com a participao de 40 alunos agentes pblicos da APF e formou 39 especialistas.

Foi realizado o III Congresso de Segurana da Informao e Comunicaes

(SICGov-2009), na Universidade Corporativa dos Correios, Braslia DF, com foco em
segurana ciberntica.

O DSIC/SE/GSI/PR apoiou o evento da Organizao dos Estados Americanos

(OEA), realizado nos dias 16 a 20 de novembro de 2009, no Rio de Janeiro, que contou
com a presena de 136 participantes estrangeiros, representantes dos pases do
continente americano, com a finalidade de estabelecer proposta de Estratgia
Nacional de Segurana Ciberntica do Hemisfrio, para os pases da regio.

Decreto n 7.009, de 12 de novembro de 2009, inclui o tema segurana

ciberntica nos objetivos da Cmara de Relaes Exteriores e Defesa Nacional
CREDEN do Conselho de Governo, e reala o acompanhamento e estudo de questes e
fatos relevantes com potencial de risco estabilidade institucional, para prover
informaes ao Presidente da Repblica. A composio foi ento atualizada
contemplando os seguintes Ministrios: GSI/PR (que a preside); Casa Civil/PR; Justia;
Defesa; Relaes Exteriores; Planejamento, Oramento e Gesto; Meio Ambiente;
Cincia e Tecnologia; Fazenda e SAE/PR, sendo convidados a participar das reunies,
em carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o

24

Chefe do Estado-Maior Conjunto das Foras Armadas (composio atualizada em

2013).

Portaria CREDEN n 45, de 8 de setembro de 2009, institui o Grupo Tcnico de

Segurana Ciberntica, com o objetivo de propor diretrizes e estratgias para a
Segurana Ciberntica, no mbito da Administrao Pblica Federal. rgos
integrantes: GSI/PR; MRE; MJ; MD; MD/EB; MD/MB; e MD/COMAER.

A Diretriz Ministerial n 14/2009 atribuiu ao Exrcito Brasileiro institucionalizar

o Ncleo do Centro de Defesa Ciberntica do Exrcito (Nu CDCiber).

Em 2010:

Foi contratada a Fundao Trompowsky do Exrcito Brasileiro para planejar,

customizar e manter infraestrutura de ambiente virtual para a realizao de Cursos de
Fundamentos de Gesto de SIC, na modalidade de ensino a distncia - EAD, incluindo a
execuo de duas turmas que, juntas, totalizaram 350 servidores de rgos e
entidades da APF.

Iniciou-se a terceira turma do CEGSIC na modalidade de ensino a distncia

(EAD), em convnio com a Universidade de Braslia (UnB), destinado a especializar 180
servidores de rgos e entidades da APF, formando 146 especialistas.

Foi realizado o IV Congresso de Segurana da Informao e Comunicaes

(SICGov-2010), na Universidade Corporativa dos Correios, com o tema: Viso de
Futuro para Segurana Ciberntica.

Foi publicado o Acrdo 2.308/2010-TCU-Plenrio de 8 de setembro de 2010

divulgando o resultado do levantamento da governana de TI realizado no processo do
TCU n 000.390/2010-0. O referido Acrdo descreve que no houve melhora nos
processos de segurana da informao na APF, porm, ressalva que a piora em parte
dos indicadores pode no refletir deteriorao da situao segurana da informao
da APF, mas sim uma possvel melhora na compreenso dos conceitos questionados, e
por fim, reconhece o trabalho do GSI/PR a respeito da Segurana da Informao com a
publicao da IN 01 GSI/PR e respectivas Normas Complementares.

Foram publicadas mais 3 Normas Complementares IN 01 GSI/PR:

NC 07/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para Implementao
de Controles de Acesso Relativos Segurana da Informao e Comunicaes, nos
rgos e entidades da Administrao Pblica Federal (APF), direta e indireta;
NC 08/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para Gerenciamento
de Incidentes em Redes Computacionais nos rgos e entidades da Administrao
Pblica Federal; e
NC 09/IN01/DSIC/GSI/PR - Estabelece orientaes especficas para o
uso de recursos criptogrficos em Segurana da Informao e Comunicaes, nos
rgos ou entidades da Administrao Pblica Federal (APF), direta e indireta.

25


Foi ativado o Ncleo do Centro de Defesa Ciberntica, tendo como principal
atribuio coordenar as atividades do setor ciberntico no Exrcito.

Em 22 de novembro, o Brasil assina com a Itlia, em Roma, o Acordo de Troca e

Proteo Mtua de Informaes Classificadas.

Em 24 de novembro, o Brasil assina com Israel, em Tel Aviv, o Acordo de Troca

e Proteo Mtua de Informaes Classificadas.

Em 2011:

Lei n 12.527, de 18 de novembro de 2011 (Lei de Acesso Informao) traz a

primazia da transparncia das informaes sob a custdia do Estado.

Decreto n 7.579, de 11 de outubro de 2011, dispe sobre o Sistema de

Administrao dos Recursos de Tecnologia da Informao - SISP, do Poder Executivo
federal, e estabelece que o rgo Central do SISP, Ministrio de Planejamento,
Oramento e Gesto, elaborar, em conjunto com os rgos Setoriais e Seccionais do
SISP, a Estratgia Geral de Tecnologia da Informao EGTI para a Administrao
direta, autrquica e fundacional do Poder Executivo Federal, revisada e publicada
anualmente, para servir de subsdio elaborao dos PDTI pelos rgos e entidades
integrantes do SISP.

Foi publicado o Acrdo 1.145/2011-TCU-Plenrio de 4 de maio de 2011,

realizado no processo TCU n 028.772/2010-5, especificando que o GSI/PR, dentre
outros, um rgo Governante Superior (OGS) com a responsabilidade de normatizar
aspectos da Segurana da Informao e Comunicaes, em seus respectivos
segmentos da APF.

Transferncia da Rede Nacional de Excelncia em Segurana da Informao e

Criptografia RENASIC do GSI/PR para o CDCiber/EB/MD.

Em 2012:

Foi publicado o Acrdo 1.233/2012-TCU-Plenrio de 23 de maio de 2012

referenciando o resultado do levantamento da governana de TI realizado no processo
do TCU n 011.772/2010-7. O referido Acrdo recomenda ao GSI/PR que:
Articule-se com as Escolas de Governo, notadamente ENAP, a fim de
ampliar a oferta de aes de capacitao em segurana da informao para os entes
sob sua jurisdio;
Oriente os rgos e entidades sob sua jurisdio que a implantao dos
controles gerais de segurana da informao positivados nas normas do GSI/PR no
faculdade, mas obrigao da Alta Administrao, e sua no implantao sem
justificativa passvel da sano prevista na Lei; e

26

 Reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que

aborda o tema gesto de riscos considerando apenas ativo de informao e no ativo
em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1.

Foram publicadas mais sete Normas Complementares IN 01 GSI/PR:

NC 10/IN01/DSIC/GSI/PR - Estabelece diretrizes para o processo de

Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da
Informao e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica
Federal, direta e indireta APF;
NC 11/IN01/DSIC/GSI/PR - Estabelece diretrizes para avaliao de
conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC)
nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF;
NC 12/IN01/DSIC/GSI/PR - Estabelece diretrizes e orientaes bsicas
para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao
e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF),
direta e indireta;
NC 13/IN01/DSIC/GSI/PR - Estabelece diretrizes para a Gesto de
Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos
rgos e entidades da Administrao Pblica Federal, direta e indireta (APF);
NC 14/IN01/DSIC/GSIPR - Estabelece diretrizes para a utilizao de
tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da
Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica
Federal (APF), direta e indireta;
NC 15/IN01/DSIC/GSI/PR - Estabelece diretrizes de Segurana da
Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta; e
NC 16/IN01/DSIC/GSIPR Estabelece as Diretrizes para o
Desenvolvimento e Obteno de Software Seguro nos rgos e Entidades da
Administrao Pblica Federal, direta e indireta.

Foi publicado o Acrdo 2.585/2012-TCU-Plenrio de 26 de setembro de 2012

divulgando o resultado do levantamento da governana de TI realizado no processo do
TCU n 007.887/2012-4.

O Decreto n 7.724, de 16 de maio de 2012 regulamenta a LAI no mbito do

Poder Executivo Federal, estabelecendo as diretrizes para a transparncia ativa e
passiva. No mesmo dia, a Lei de Acesso Informao entra em vigor.

O Decreto n 7.845, de 14 de novembro de 2012 publicado encerrando a

regulamentao da LAI, estabelecendo o tratamento para as informaes com
restrio de acesso e dispondo sobre o Ncleo de Segurana e Credenciamento (NSC)
no GSI/PR.

Foram publicadas duas leis contra o crime ciberntico:

27

 Lei n 12.737, de 30 de novembro de 2012, a qual dispe sobre a

tipificao criminal de delitos informticos.
Lei n 12.735, de 30 de novembro de 2012, a qual tipifica as condutas
realizadas mediante uso de sistema eletrnico, digital ou semelhante, que sejam
praticadas contra sistemas informatizados e similares.

A Poltica Ciberntica de Defesa estabelecida por meio da Portaria

Normativa n 3.389/MD, com a finalidade de orientar, no mbito do Ministrio da
Defesa (MD), as atividades de Defesa Ciberntica, no nvel estratgico, e de Guerra
Ciberntica, nos nveis operacional e ttico, visando consecuo dos seus objetivos.

Em 2013:

Foram publicadas mais duas Normas Complementares IN 01 GSI/PR:

NC 17/IN01/DSIC/GSI/PR - Estabelece Diretrizes nos contextos de

atuao e adequaes para Profissionais da rea de Segurana da Informao e
Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF).
NC 18/IN01/DSIC/GSI/PR - Estabelece as Diretrizes para as Atividades de
Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da
Administrao Pblica Federal (APF).

Com a publicao da LAI em 2011 e seus Decretos regulamentadores no mbito

do Poder Executivo Federal, fez-se necessrio revisar a NC 09/IN01/DSIC/GSI/PR,
principalmente, em relao ao conceito de algoritmo de Estado.

Conforme determinao do Acrdo n 1.233/2012-TCU-Plenrio de 23 de

maio de 2012, foi feita a primeira reviso da NC 04/IN01/DSIC/GSI/PR, na qual foi
includo item 2, nas consideraes gerais, o seguinte texto:
A Gesto de Riscos de Segurana da Informao e Comunicaes, objeto
desta Norma Complementar, est limitada ao escopo das aes de Segurana da
Informao e Comunicaes e tais aes compreendem apenas as medidas de
proteo dos ativos de informao, conforme definido nesta Norma.

Iniciou-se a quarta turma do CEGSIC na modalidade de ensino a distncia (EAD),

em convnio com a Universidade de Braslia (UnB), destinado a especializar 216
servidores de rgos e entidades da APF, com previso de formatura de mais 140
especialistas ao final do curso em 2015.

Portaria SAE/PR n 124 institui Grupo de Trabalho Interministerial (GTI) com o

objetivo de elaborar proposta de Plano Estratgico para promover ou subsidiar o
aperfeioamento das polticas pblicas voltadas segurana e defesa do espao
ciberntico nacional. O art. 3 da citada Portaria nomeia os membros Titulares e
Suplentes que representam os seguintes rgos que integram o GTI: SAE/PR; MD;

28

MRE; MEC; MDIC; MP; MCTI; MC; GSI/PR; CGI.br; ANATEL; SERPRO; DATAPREV; e
TELEBRS.

IN GSI/PR 02, de 5 de fevereiro de 2013, regulando o Credenciamento de

Segurana e o tratamento de informao classificada em grau de sigilo.

IN GSI/PR 03, de 6 de maro de 2013, estabelecendo os parmetros e padres

mnimos dos recursos criptogrficos baseados em algoritmos de Estado.

NC 01/IN02/DSIC/GSI/PR, de 27 de junho de 2013, inaugura os trabalhos de

Credenciamento sob a gide das novas regras para o tratamento das informaes
classificadas em grau de sigilo.

Decreto n 8.096, de 04 de setembro de 2013, atualiza a composio da

CREDEN, e a Cmara passa a contar com os seguintes Ministrios: GSI/PR (que a
preside); Casa Civil/PR; Justia; Defesa; Relaes Exteriores; Planejamento, Oramento
e Gesto; Meio Ambiente; Cincia e Tecnologia; Fazenda; SAE/PR; Integrao Nacional;
Minas e Energia; e Transportes, sendo convidados a participar das reunies, em
carter permanente, os Comandantes da Marinha, do Exrcito, da Aeronutica e o
Chefe do Estado-Maior Conjunto das Foras Armadas.

Decreto Legislativo n 3703, de 12 de julho de 2013, atualiza a Estratgia

Nacional de Defesa e aprova o Livro Branco de Defesa Nacional. Entre as premissas
sobre o setor ciberntico, cita que a proteo do espao ciberntico abrange um
grande nmero de reas, como: capacitao, inteligncia, pesquisa cientfica, doutrina,
preparo e emprego operacional; e gesto de pessoal.

Decreto n 8.135, de 04 de novembro de 2013, dispe sobre as comunicaes

de dados da administrao pblica federal direta, autrquica e fundacional, e sobre a
dispensa de licitao nas contrataes que possam comprometer a segurana
nacional.

Em 2014:

A NC 09/IN01/DSIC/GSI/PR recebeu a segunda reviso, destacando-se o novo

conceito de algoritmo registrado:
Algoritmo Registrado: funo matemtica utilizada na cifrao e na
decifrao de informaes no classificadas, para uso exclusivo em interesse do
servio de rgos ou entidades da APF, direta e indireta, cujo cdigo fonte e mtodo
de processo sejam passveis de controle e auditoria.

A NC 07/IN01/DSIC/GSI/PR recebeu a primeira reviso, sendo incorporado o

tema Biometria como controle de acesso.

Foram publicadas trs normas complementares IN 01 GSI/PR:

29

 NC 19/IN01/DSIC/GSI/PR estabelece Padres Mnimos de Segurana da

Informao e Comunicaes para os Sistemas Estruturantes da Administrao Pblica
Federal (APF), direta e indireta;
NC 20/IN01/DSIC/GSI/PR estabelece as Diretrizes de Segurana da
Informao e Comunicaes para Instituio do Processo de Tratamento da
Informao nos rgos e entidades da Administrao Pblica Federal (APF), direta e
indireta; e

NC 21/IN01/DSIC/GSI/PR estabelece as Diretrizes para o Registro de Eventos,

Coleta e Preservao de Evidncias de Incidentes de Segurana em Redes nos rgos e
entidades da Administrao Pblica Federal, direta e indireta. No mesmo ano, essa NC
recebeu a primeira reviso.

Foi publicado o Acrdo 3.051/2014-TCU-Plenrio de 5 de novembro de 2014,

referente ao processo do TCU n 023.050/2013-6. Esse Acrdo contextualiza as
auditorias realizadas em diversos rgos e entidades da Administrao Pblica federal
com o objetivo de avaliar a implementao dos controles de TI informados em
resposta ao levantamento do perfil de governana de TI de 2012. Pontos de interesses
da segurana da informao:
A segurana da informao segue sendo objeto de preocupao. H
baixa conformidade das organizaes para com os normativos e com as boas prticas
aplicveis. Na maioria das organizaes fiscalizadas na primeira fase, falhas foram
observadas: a) 80% - falhas na gesto de continuidade de negcio; b) 70% - falhas no
controle de acesso; c) 75% - falhas na gesto de incidentes; e, d) 85% - falhas na gesto
de riscos de segurana da informao.
Principais causas esto ligadas a falhas tpicas de governana, como a
falta de designao de um responsvel pela segurana da informao, fato observado
em 40% das organizaes.
Houve tendncia de mudana de comportamento dos dirigentes
pblicos sobre a segurana da informao.
A reduo dos percentuais observados no se traduz necessariamente
em retrocesso, mas pode ser interpretado como amadurecimento dos gestores de TI
no sentido de compreender melhor os conceitos relacionados segurana da
informao.
Ainda no h, por exemplo, um planejamento estratgico do Estado
brasileiro que rena e coordene aes dos diversos atores responsveis por assuntos
ligados a essa rea.
Recomendaes ao GSI/PR: elabore e acompanhe periodicamente
planejamento que abranja a estratgia geral de segurana da informao para o setor
sob sua jurisdio; e alerte as organizaes sob sua jurisdio que a elaborao
peridica de planejamento das aes de segurana da informao obrigao
expressa prevista no item 3.1 da Norma Complementar 02/IN01/DSIC/GSI/PR.

30


Foi publicado o Acrdo 3.117/2014-TCU-Plenrio de 12 de novembro de 2014,
referente ao processo do TCU n 003.732/2014-2. Trata-se de relatrio de
levantamento realizado com o objetivo de acompanhar a situao da Governana de
Tecnologia da Informao na Administrao Pblica Federal, realizado a cada dois anos
pelo TCU. Pontos de interesses da segurana da informao:
A segurana da informao tem sido objeto de preocupao em todos
os levantamentos anteriores por causa da baixa conformidade das organizaes em
relao aos normativos e s boas prticas aplicveis.
Como referncia para elaborao das questes da auditoria, foram
utilizadas principalmente a norma tcnica ABNT NBR ISO/IEC 27002:2005 e as normas
complementares do Departamento de Segurana da Informao e Comunicaes do
Gabinete de Segurana Institucional da Presidncia da Repblica (DSIC/GSI/PR).
Apesar de ser o principal instrumento direcionador da gesto da
segurana da informao, preocupa que apenas 66% (15% parcialmente e 51%
integralmente) das organizaes participantes declarem dispor de uma poltica de
segurana da informao formalmente instituda, como norma de cumprimento
obrigatrio.
Apesar de ser o principal instrumento direcionador da gesto da
segurana da informao, preocupa que apenas 66% das organizaes participantes
declarem dispor de uma poltica de segurana da informao formalmente instituda,
como norma de cumprimento obrigatrio;
O comit de segurana da informao formalmente institudo,
composto por representes das reas relevantes da organizao e responsvel por
formular e conduzir diretrizes para a segurana da informao corporativa,
encontrado em 62% das organizaes, segundo declarado.
Observa-se que apenas 50% das organizaes declararam possuir gestor
da segurana da informao formalmente designado, responsvel pelas aes
corporativas de segurana da informao.
Quanto poltica que normatiza o acesso s informaes e aos recursos
e servios de TI, somente 52% (declararam dispor desse normativo formalmente
institudo, com cumprimento obrigatrio).
Quanto poltica de cpias de segurana (backup), que so necessrias
para garantir a disponibilidade das informaes em casos de falhas de sistemas ou
pessoas, somente 54% declararam dispor desse normativo formalmente institudo,
com cumprimento obrigatrio.

Lei n 12.965, de 23 de abrul de 2014, conhecida como Marco Civil da Internet,

estabelece princpios, garantias, direitos e deveres para o uso da Internet no Brasil.

Portaria Normativa MD 2.777, de 27 de outubro de 2014, aprova a diretriz de

implantao de medidas visando potencializao da Defesa Ciberntica Nacional e
cria o Comando de Defesa Ciberntica ComDCiber e a Escola Nacional de Defesa

31

Ciberntica EnaDCiber, na Estrutura Regimental do Comando do Exrcito, com

nfase na implantao e a consolidao do Sistema de Homologao e Certificao de
Produtos de Defesa Ciberntica, o apoio pesquisa e ao desenvolvimento de produtos
de defesa ciberntica, bem como a criao do Observatrio de Defesa Ciberntica.

Em 14 de abril o Brasil assina com a Sucia, em Estocolmo, o Acordo de Troca e

Proteo Mtua de Informaes Classificadas.

Durante todo o ano, na qualidade de Autoridade Nacional de Segurana (ANS),

exercida GSI/PR, manteve estreita relao com o Ministrio das Relaes Exteriores na
articulao, tanto de ajustes nos Acordos de Troca e Proteo Mtua de Informaes
Classificadas assinados com seis pases, visando alinhamento LAI, quanto de novos
acordos demandados por outros 14 pases.

Portaria Interministerial MP MD MC n 141, de 02 de maio de 2014,

regulamenta o Decreto n 8.135/2013, dispe para toda a administrao pblica
federal o dever de realizar as suas comunicaes, armazenamentos e recuperaes de
dados atravs de redes de telecomunicaes e servios de tecnologia de informao
fornecidos por rgos ou entidades da prpria administrao pblica federal (SERPRO,
TELEBRS, DATAPREV, entre outros), com exceo de servio mvel pessoal e servio
telefnico fixo comutado, garantindo-se a segurana da informao e comunicaes
conforme normativos do GSI/PR. O SERPRO inicia implantao do servio de
mensageria Expresso V3 na APF.

Publicada a Doutrina Militar de Defesa Ciberntica (MD31-M-07, 1

Edio/2014), por meio da Portaria normativa n 3.010/MD, de 18 de novembro de
2014.

Relatrio Final da CPI da Espionagem, elaborado pela Comisso Parlamentar de

Inqurito destinada a investigar a denncia de existncia de um sistema de
espionagem, estruturado pelo governo dos Estados Unidos, com o objetivo de
monitorar e-mails, ligaes telefnicas, dados digitais, alm de outras formas de captar
informaes privilegiadas ou protegidas pela Constituio Federal aponta para
diversos aspectos essenciais e recomendaes segurana da informao e segurana
ciberntica, entre eles:
Elaborao de uma Estratgia Nacional de Segurana Ciberntica,
realando que houve unanimidade entre os convidados CPI, de que mais urgente do
que a Estratgia, que sejam delineadas as principais medidas de segurana
ciberntica para o Estado brasileiro, englobando aes coordenadas entre os setores
pblico e privado.
Criao de uma agncia para a segurana ciberntica no mbito da
Administrao Pblica Federal, favorecendo viso de conjunto no tema e aes mais
eficazes e efetivas. Alternativamente criao de um novo rgo, poderia ser alterada
a estrutura de rgo j existente, modificando suas atribuies, para lhe conferir
capacidade de atuar, com independncia, em sua totalidade e em estreita

32

coordenao com os demais rgos atuantes nos mais diversos temas que englobam a
segurana ciberntica.
At o 1. Trimestre de 2015

Regulamentao do Marco Civil da Internet, processo de regulamentao da Lei

n 12.965/2014, em andamento por meio de consultas pblicas pelo Comit Gestor da
Internet e pelo Ministrio da Justia.

Projeto de Lei de Dados Pessoais. Em consulta pblica disponibilizada pelo

Ministrio da Justia

Alterao da Instruo Normativa SLTI n 04, em 12 de janeiro de 2015,

estabelecendo a Estratgia Geral de Tecnologia da Informao e Comunicaes
(EGTIC) 2014/2015, a qual compreende um instrumento de gesto do Sistema de
Administrao dos Recursos de Tecnologia da Informao (SISP), traando a direo da
Tecnologia da Informao e Comunicaes (TIC), e definindo o plano estratgico que
visa promover a melhoria contnua da gesto e governana de TIC no governo.

Em fevereiro de 2015, realizao da II Jornada de Discusses dos Projetos

ENaDCiber e SHCDCiber, evento organizado pelo CDCiber/EB/MD em parceria com a
UnB, para debater sobre a concepo e a viabilidade de criao da Escola Nacional de
Defesa Ciberntica (ENaDCiber) e do Sistema de Homologao e Certificao de
Produtos e Servios de Defesa Ciberntica (SHCDCiber).

Decreto n 8.414, de 26 de fevereiro de 2015, institui o Programa Bem Mais

Simples Brasil com a finalidade de simplificar e agilizar a prestao dos servios
pblicos e de melhorar o ambiente de negcios e a eficincia da gesto pblica.
Objetivos: (i) simplificar e agilizar o acesso do cidado, das empresas e das entidades
sem fins lucrativos aos servios e informaes pblicos; (ii) promover a prestao de
informaes e servios pblicos por meio eletrnico; (iii) reduzir formalidades e
exigncias na prestao de servios pblicos; (iv) promover a integrao dos sistemas
de informao pelos rgos pblicos para oferta de servios pblicos; (v) celebrar o
Pacto Bem Mais Simples Brasil com os demais Poderes da Unio e com os Estados, o
Distrito Federal e os Municpios; e (vi) modernizar a gesto interna da administrao
pblica.

33

FINALIDADE E APLICAO
A SIC e a SegCiber, base da Defesa Ciberntica, visam assegurar o uso do
espao ciberntico, impedindo ou dificultando, em seu mbito, aes contra os
interesses do Pas e da sociedade (Figura 1).
Assim, a presente Estratgia de Segurana da Informao e Comunicaes e
de Segurana Ciberntica da Administrao Pblica Federal 2015/2018, verso 1.0,
desdobramento da Instruo Normativa GSI/PR n 01/2008, coordenada e integrada
pelo Gabinete de Segurana Institucional da Presidncia da Repblica GSI/PR, tem a
finalidade de apresentar as diretrizes estratgicas para o planejamento de segurana
da informao e comunicaes e de segurana ciberntica no mbito da APF,
objetivando a articulao e a coordenao de esforos dos diversos atores envolvidos,
de forma a atingir o aprimoramento da rea no Governo e a mitigao dos riscos aos
quais encontram-se expostas as organizaes e a sociedade.
As diretrizes dessa Estratgia aplicam-se a todos os rgos e entidades que
integram a APF.

Figura 1 Viso em Camadas: SIC, SegCiber e Defesa Ciberntica

34

METODOLOGIA
A elaborao dessa Estratgia de Segurana da Informao e Comunicaes e
de Segurana Ciberntica da Administrao Pblica Federal utilizou, com adaptaes,
a consagrada metodologia de planejamento e gesto estratgica denominada
Balanced Scorecard (BSC), proposta por Robert Kaplan e David Norton.
O valor dessa metodologia reside na capacidade de traduzir a viso e a
estratgia em aes que de fato contribuam para o alcance dos objetivos estratgicos,
alm de prover um sistema de retroalimentao que permite o ajuste e o
aprimoramento contnuo por meio do acompanhamento de indicadores e metas,
englobando inclusive os princpios do PDCA.
A partir de adaptaes da metodologia BSC ao ambiente governamental, no
contexto da SIC e da SegCiber, foram consideradas quatro perspectivas basilares sobre
as quais foram construdos os objetivos estratgicos e as metas: (i) Oramentria; (ii)
Aprendizagem, Crescimento e Inovao; (iii) Governo; e (iv) Resultados para a
Sociedade.
A perspectiva Oramentria tem natureza estruturante e diz respeito ao aporte
contnuo e adequado de recursos do oramento federal para que se viabilize as aes
necessrias ao alcance dos objetivos propostos nessa Estratgia.
A perspectiva Aprendizagem, Conhecimento e Inovao, que tambm tem
natureza estruturante, envolve o investimento em capital humano, abrangendo aes
de sensibilizao, conscientizao, treinamento, capacitao e especializao nas reas
de SIC e de SegCiber, como forma de preparar os agentes pblicos para promover
mudanas e viabilizar a consecuo dos objetivos propostos na Estratgia.
Por sua vez, a perspectiva Governo engloba os processos internos, a legislao,
as articulaes, as competncias institucionais, as estruturas governamentais e tudo o
mais que envolva as intra e inter-relaes da APF com os demais atores, no alcance
dos objetivos.
Por fim, a perspectiva Resultados para a Sociedade representa a finalidade
precpua da ao Estatal a de direcionar sua conduta sempre visando os interesses e
demandas sociais, e engloba as aes em SIC e SegCiber que resultem em benefcios
para a sociedade, tais como proteo da privacidade, transparncia, democratizao
do acesso a informao e salvaguarda dos ativos de informao sigilosos.
Tendo em vista a natureza transversal dos Objetivos Estratgicos de SIC e de
SegCiber, as metas foram construdas a partir de uma viso holstica, ou seja,
considerando a Estratgia como um todo, no se vinculando necessariamente cada
meta a um nico objetivo estratgico.

35

Para a elaborao da minuta da Estratgia foi nomeado um Grupo Tcnico

formado por servidores do Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica
GSI/PR, rgo com a atribuio de planejar e coordenar a segurana da informao no
mbito da APF, conforme prev a Lei n 10.683/2003 e o regramento infralegal.
A iniciativa apoiou-se ainda na jurisprudncia do Tribunal de Contas da Unio,
em especial no Acrdo 1.145/2011 do Plenrio, especificando que o GSI/PR, dentre
outros, um rgo Governante Superior (OGS) o qual tem a responsabilidade de
normatizar e fiscalizar os aspectos da Segurana da Informao e Comunicaes, em
seus respectivos segmentos da Administrao Pblica Federal; e no Acrdo
3.051/2014 do Plenrio, que concluiu competir ao GSI, no mbito do Poder Executivo,
o papel de promover o desenvolvimento de uma estratgia para melhoria da
segurana da informao [...], ainda que o faa em articulao com outros rgos no
mbito das respectivas competncias.
Objetivando a articulao e a colaborao dos demais rgos e entidades da
APF, o GSI/PR consultou o Comit Gestor de Segurana da Informao (CGSI)
instncia de assessoramento criada por meio do Decreto n 3.505/2000 no mbito do
Conselho de Defesa Nacional (CDN), cuja coordenao cabe ao GSI/PR e da qual fazem
parte dezessete rgos da APF , como forma de buscar o alinhamento com os
diversos atores, a efetividade dos objetivos propostos e o aprimoramento das
diretrizes da Estratgia.

36

REFERENCIAL ESTRATGICO
MISSO DA ESTRATGIA
Fortalecer a poltica e o planejamento de segurana da informao e
comunicaes e de segurana ciberntica na Administrao Pblica Federal, visando
assegurar e defender os interesses do Estado e da sociedade para a preservao da
soberania nacional.

VISO DE FUTURO DA ESTRATGIA

Ser reconhecida como instrumento de planejamento governamental para a
excelncia em segurana da informao e comunicaes e em segurana ciberntica
na Administrao Pblica Federal.

VALORES DA ESTRATGIA
tica:

Ter como padro de conduta aes que busquem a verdade dos fatos,
amparadas em honestidade, moralidade, respeito, coerncia e probidade na
administrao pblica.

Colaborao: Atuar com dedicao, empenho e envolvimento em permanente

colaborao e comunicao com os rgos e entidades da APF, mantendo dilogos
contnuos com os demais atores atuantes nas reas de SIC e de SegCiber no pas e
exterior.

Efetividade:

Atendimento s demandas da sociedade nas reas de SIC e de

SegCiber, por intermdio da APF, com foco em resultados.

Disseminao da cultura de SIC e de SegCiber:

Promover o
comprometimento da sociedade com os valores, vises, boas prticas, smbolos,
hbitos, comportamentos e polticas, relativas segurana da informao e
comunicaes e segurana ciberntica.

Inovao:

Propor e implementar solues criativas, novas ou adaptadas, no

mbito da SIC e da SegCiber, sempre na vanguarda da cincia e tecnologia.

Liderana:

Atuar com liberdade e autonomia de forma tcnica, proativa,

37

competente, responsvel, imparcial, coerente e objetiva e estar comprometido com

a misso institucional, com a capacidade de influenciar e mobilizar os diversos
rgos e entidades da APF para a consecuo dos objetivos de SIC e de SegCiber, em
prol da sociedade.

Apoio s Polticas Pblicas:

Priorizar as aes, programas e atividades

desenvolvidas pelo Estado, no mbito da SIC e da SegCiber, que correspondam a
direitos assegurados constitucionalmente ou que se afirmam pelo reconhecimento
das demandas da sociedade.

38

PRINCPIOS NORTEADORES DA ESTRATGIA

rgo Central: contribuir com o estabelecimento de um rgo central e de um
sistema nacional, objetivando a coordenao executiva, o acompanhamento e a
avaliao da implantao e execuo da Poltica Nacional de SIC e SegCiber.
Governana: contribuir com a definio de um modelo de governana sistmica de
SIC e de SegCiber, de amplo alcance e cobertura para uma conexo forte entre os
mltiplos atores, em nvel nacional.
Poltica Nacional: contribuir com a formulao da Poltica Nacional de Segurana da
Informao e Comunicaes e de Segurana Ciberntica.
Capacidade de posicionamento e de respostas da Nao: contribuir com a criao
de uma robusta capacidade de posicionamento e de respostas da Nao frente s
potenciais quebras de segurana e ameaas cibernticas, fortalecendo a alocao de
recursos financeiros, tecnolgicos e humanos.
Comprometimento da Alta Administrao: envolver a Alta Administrao dos
rgos e entidades da Administrao Pblica Federal em relao s diretrizes e
aes de SIC e de SegCiber no mbito de suas atuaes.
Marcos Legais: colaborar para o aprimoramento e atualizao dos marcos legais em
SIC e SegCiber.
Articulao e Parcerias: garantir que a SIC e a SegCiber estejam contempladas em
termos, acordos, contratos e instrumentos firmados entre a APF e setores pblicos
ou privados, nacionais ou internacionais.
Soberania Nacional: reconhecer as reas de SIC e de SegCiber como estratgicas
para a soberania nacional, garantindo recursos contnuos e adequados.
Cooperao: promover a cooperao nacional e internacional, visando trocas de
experincias e o fortalecimento dos temas de SIC e de SegCiber no mbito da APF e
com setor produtivo e academia.
Integrao: fomentar e fortalecer aes conjuntas visando integrao entre as
reas de SIC e de SegCiber com outras reas que atuam no espao ciberntico.
Resilincia: contribuir com o aumento da capacidade de resilincia dos ativos de
informao e das infraestruturas crticas.

39

MAPA ESTRATGICO
O Mapa Estratgico segue uma abordagem em perspectivas, criando uma
relao de causa e efeito e explicitando um caminho para se chegar aos resultados
almejados. Ou seja, no caso presente, preciso assegurar recursos suficientes no
oramento motivo pelo qual a perspectiva oramentria encontra-se na base do
processo de forma que se invista em aprendizagem, capacitao e inovao, dando
condies para que os atores de Governo envolvidos promovam as melhorias
necessrias nas instituies, nas estruturas e nos processos da gesto governamental e
das polticas pblicas, derivando na entrega de resultados efetivos para a sociedade e
na melhoria do prprio Estado.

40

41

MAPA ESTRATGICO

OBJETIVOS ESTRATGICOS
Os objetivos estratgicos desta Estratgia de Segurana da Informao e
Comunicaes e de Segurana Ciberntica da Administrao Pblica Federal
representam foras motrizes para o cumprimento da misso e o alcance da viso de
futuro da mesma, e foram alinhados, tambm, aos princpios norteadores e valores,
ora propostos.
Espera-se que tais objetivos estratgicos, alm de alcanar os resultados da
Estratgia, fomentem, no mbito da APF e em futuro breve, o estabelecimento da
Governana Sistmica de SIC e de SegCiber, com vistas institucionalizao e ao
fortalecimento da gesto pblica de tais reas na esfera do Poder Executivo federal e
oportunamente em nvel nacional. Tal viso sistmica deve basear-se num modelo
que rena tanto a sociedade civil quanto os entes federativos da Repblica Unio,
estados, municpios e Distrito Federal com seus respectivos Sistemas de SIC e de
SegCiber, organizados de forma autnoma e em regime de colaborao.
semelhana de outros, esses sistemas de SIC e de SegCiber estabelecero
efetiva articulao entre Estado e sociedade, fortalecendo a organicidade, a
racionalidade, a efetividade, os investimentos, a inovao e a estabilidade das polticas
pblicas de SIC e de SegCiber, definidas como de Estado.
A SIC e a SegCiber so estratgicas para a Nao, cabendo APF direcionar
esforos para a consecuo dos objetivos propostos nesta Estratgia, conforme
apresentados a seguir.

42

OE-I INSTITUCIONALIZAR O TEMA DE SIC E DE SEGCIBER NO PLANEJAMENTO E

ORAMENTO FEDERAL.

A importncia estratgica para o pas dos temas de SIC e de SegCiber, conforme

j contextualizado, exige um tratamento apropriado e prioritrio por parte da Alta
Administrao da APF, que esteja altura dos desafios atuais.
A institucionalizao desses temas nos instrumentos de planejamento e
oramento do Governo fundamental para que tais reas avancem e sejam vistas no
nvel estratgico requerido, conquistando destaque no planejamento, bem como
aportes contnuos e adequados de recursos do oramento federal.
Considerando que o Plano Plurianual (PPA), institudo na Constituio Federal
de 1988, tem a finalidade de ser um instrumento de planejamento e gesto estratgica
do Governo Federal, e caracteriza-se como principal instrumento orientador das peas
oramentrias, reala-se o necessrio estabelecimento de programas no PPA e,
como meta, no PPA 2016-2019 que englobem as temticas de SIC e de SegCiber e
que permitam uma abordagem transversal e multissetorial das polticas pblicas,
passo importante para o atingimento dos objetivos propostos nessa Estratgia.
Certamente, h que se definir, com base em amplos debates com atores chave
do governo, da academia, do setor privado e do terceiro setor, percentual do PIB a ser
formalizado como patamar mnimo de investimento em SIC e em SegCiber, de forma a
estabelecer um ciclo virtuoso de desenvolvimento em prol da soberania nacional e da
segurana institucional como um todo.
Para alm das dimenses estratgica e ttica abordadas no PPA, fundamental
que os rgos busquem a adequada operacionalizao das aes de SIC e de SegCiber
estabelecidas na esfera oramentria (LOA), no mbito de suas respectivas reas de
atuao, por meio do adequado alinhamento entre o planejamento de SIC e de
SegCiber e o Planejamento Estratgico Institucional dos rgos e entidades da APF, em
conformidade com a Instruo Normativa GSI/PR n 01/2008 e suas respectivas
Normas Complementares, em especial a Norma Complementar n
02/IN01/DSIC/GSIPR.

43

OE-II

GARANTIR CONTINUAMENTE O APRIMORAMENTO DO QUADRO DE

PESSOAL DA APF EM SIC E SEGCIBER, DE FORMA QUALITATIVA E QUANTITATIVA.

Os profissionais atuantes em SIC e SegCiber na APF, face a sua atuao

relevante, somadas as responsabilidades j estabelecidas no arcabouo normativo do
GSI/PR, devem ser valorizados quali e quantitativamente, amparado, dentre outros,
nas diretrizes da Poltica Nacional de Desenvolvimento de Pessoal da APF (Decreto n
5.707/2006).
Orienta-se, desta forma, que os rgos e entidades da APF estabeleam, em
seus respectivos planejamentos de SIC e de SegCiber, programas de desenvolvimento
de habilidades, aperfeioamento e atualizao profissional com recursos adequados
demanda institucional, de forma a promover aprimoramento contnuo no curto, mdio
e longo prazo, em consonncia com as normas complementares NC n
17/IN01/DSIC/GSI/PR e NC n 18/IN01/DSIC/GSI/PR.
Cabe ainda estimular parcerias com Escolas de Governo, bem como com outras
instituies, universidades e empresas, no sentido de desenvolver programas de
ensino, em todos os nveis, voltados formao e ao aprimoramento de recursos
humanos nas reas de SIC e de SegCiber. Tais aes visam atender as demandas de
sensibilizao, conscientizao, capacitao e especializao, de modo a fomentar o
aperfeioamento contnuo e a permanncia de tais profissionais, e contribuir com a
robustez da Governana Sistmica de SIC e de SegCiber da APF.
O estudo de viabilidade da criao de uma carreira de Estado em SIC e
SegCiber, para atuao desses profissionais junto Alta Administrao, considerando
que as reas so crticas, exclusivas de Estado, de elevada sensibilidade, altamente
estratgicas e preponderantes preservao da soberania nacional, constitui
importante fator para melhor consecuo desse objetivo estratgico.
Salienta-se que obrigatrio para os rgos e entidades da APF a nomeao de
seus gestores de SIC, dos responsveis pelas ETIR, dentre outros, com
responsabilidades bem definidas, e exclusivas para a atuao de servidores de carreira
civis (regidos pela Lei n 8.112/1990) e militares (Lei 6.880/1980), a despeito da
criao do necessrio plano de carreira, cargos e salrios na APF.
Em suma, a valorizao dos profissionais atuantes nas reas de SIC e de
SegCiber proporciona uma contnua elevao do nvel de maturidade das reas na APF.
Ademais, o aporte contnuo de investimento na formao e aperfeioamento desses
profissionais contribui com a eficincia e efetividade, bem como com a formao de
massa crtica e a disseminao da cultura de SIC e de SegCiber na sociedade brasileira.

44

OE-III

GARANTIR CONTINUAMENTE A PESQUISA, O DESENVOLVIMENTO E A

INOVAO EM SIC E SEGCIBER NA APF.

Face aos desafios atuais em nvel global, bem como diante das ameaas e
oportunidades j contextualizados anteriormente, o fortalecimento e a priorizao das
reas de SIC e de SegCiber, na cincia; na pesquisa bsica e aplicada; no
desenvolvimento de tecnologias e de metodologias; e na inovao devem ser
permanentemente articulados com atores chave de fomento do Governo Federal, em
especial com o Ministrio da Cincia, Tecnologia e Inovao (MCTI), visando gerao
de conhecimentos e agregao de valor em produtos, servios e tecnologias de tais
reas, e respectivos setores produtivos.
Outro fator que demanda esforos de P,D&I em SIC e SegCiber no mbito da
APF diz respeito ao imposto pelo Decreto n 8.135/2013, regulamentado pela Portaria
Interministerial n 141/2014, referente s solues de comunicaes de dados. Para
tanto, a adequao dos rgos e entidades da APF legislao requer investimentos
adequados e recorrentes em P,D&I.
A pesquisa, desenvolvimento e inovao nas reas de SIC e SegCiber so pontos
basilares para que o Estado brasileiro seja reconhecido mundialmente, como ator de
destaque no cenrio internacional, sendo respeitado por resultados tecnolgicos
relevantes, de forma a atender a necessidade de assegurar a soberania da Nao e,
associado a isso, a privacidade de seus cidados no espao ciberntico.
Nesse sentido, so fundamentais a pesquisa e o desenvolvimento de solues
voltadas para a SIC e a SegCiber, baseadas em hardware e algoritmos criptogrficos
proprietrios de Estado, com o objetivo de garantir a confidencialidade, integridade e
autenticidade das comunicaes estratgicas entre rgos que integrem a APF, a
exemplo da atuao da ABIN, por meio do Centro de Pesquisas e Desenvolvimento
para Segurana das Comunicaes (CEPESC).
A exitosa iniciativa da Rede Nacional de Segurana da Informao e Criptografia
RENASIC no pode deixar de ser exemplificada. Criada em 2008 no GSI/PR e desde
2011 parte integrante do CDCiber/EB/MD, apresenta entre seus objetivos integrar
pesquisadores de todo o pas, fomentando o intercmbio de conhecimentos e o
desenvolvimento de novos projetos em segurana da informao e criptografia.
essencial avanar na articulao para o fortalecimento e acelerao da
implantao do ecossistema digital (SIC+SegCiber+Empresas+ICT) com a finalidade de
apoiar o desenvolvimento de tecnologias de SIC e de SegCiber, a exemplo de solues
de reconhecimento de artefatos maliciosos e outras ferramentas cibernticas,
alavancando a criao do mesmo e promovendo maior sinergia com o ecossistema da
defesa ciberntica. Para tanto, faz-se necessrio aprimorar os mecanismos de fomento
e de financiamento que favoream parcerias entre o setor privado e as universidades e

45

institutos de pesquisa, para o desenvolvimento e a produo de solues de SIC e de

SegCiber.
Configura-se igualmente relevante a padronizao do ambiente de SIC e de
SegCiber no Governo Federal, por meio da criao de programas especficos que
venham tanto a harmonizar especificaes de bens e servios, quanto a racionalizar e
otimizar processos de compras governamentais.
Esse Objetivo Estratgico salienta o valor adicional de reforar o quantitativo de
empresas atuantes em SIC e SegCiber, na promoo de solues e de tecnologias
crticas para o Estado brasileiro, como Empresas Estratgicas de Defesa EED, nos
termos da Lei n 12.598/2012, incentivando o desenvolvimento de solues nacionais.
Para a implantao do arcabouo normativo de SIC e de SegCiber na APF, h
que se buscar atualizao permanente, seja de modelos de gesto, de solues
tecnolgicas, de padres, entre outros, acompanhando a dinmica dos avanos das TIC
e da convergncia tecnolgica.

46

OE-IV INSTITUIR MODELO DE GOVERNANA SISTMICA DE SIC E DE SEGCIBER NA

APF, COM COORDENAO EXECUTIVA, ACOMPANHAMENTO E AVALIAO DO
RGO CENTRAL (GSI/PR)

O estabelecimento de um modelo de Governana Sistmica de SIC e de

SegCiber na APF, com a coordenao executiva, de acompanhamento e de avaliao
do rgo central (GSI/PR), essencial para a efetiva coordenao executiva das aes
de Segurana da Informao e Comunicaes e de Segurana Ciberntica na APF, de
modo a atender a transversalidade do tema, e contemplar aes multissetoriais que
perpassem as competncias dos rgos da APF.
O GSI/PR ter entre seus desafios o de reforar sua posio de coordenador
executivo, bem como o de liderar as reas de SIC e de SegCiber, em articulao e
integrao com os demais rgos e entidades da APF, para consolidar seu papel de
rgo central, promover a excelncia de SIC e de SegCiber, em sinergia com as polticas
pblicas (Figura 2).
Para tanto, entre outras aes, estabelecer um modelo de Governana
Sistmica de SIC e de SegCiber no mbito da APF, de nvel poltico estratgico (Anexo
I), com a finalidade de: (i) apoiar a governana e a gesto; (ii) pactuar diretrizes; (iii)
proporcionar harmonizao nas iniciativas; (iv) incrementar o grau de maturidade; (v)
aumentar a resilincia dos ativos de informao; (vi) fortalecer sistematicamente a
segurana dos ativos de informao; e (vii) proteger as infraestruturas crticas de
informao.
Os rgos e entidades da APF, enquanto integrantes do sistema, no mbito de
suas competncias, sero os agentes de formulao das orientaes estratgicas em
SIC e SegCiber, e atuaro de forma colaborativa para o fortalecimento e evoluo do
sistema como um todo e da excelncia dessas reas no mbito do Governo Federal.
Este objetivo estratgico em particular contribui com os princpios norteadores
desta Estratgia, em especial com os que se referem tanto ao estabelecimento de um
sistema de mbito nacional, quanto formulao de uma Poltica Nacional de
Segurana da Informao e Comunicaes e de Segurana Ciberntica.

47

Figura 2 Competncias do GSI/PR em SIC e SegCiber

48

OE-V ALINHAR O PLANEJAMENTO DE SIC E DE SEGCIBER AO PLANEJAMENTO

ESTRATGICO DOS RGOS E ENTIDADES DA APF.

O planejamento estratgico institucional realizado no mbito de cada rgo e

entidade da APF encontra amparo no art. 6 do Decreto-Lei n 200/1967 e deve
guardar alinhamento com as diretrizes estratgicas do Governo e com o Plano
Plurianual. Caracteriza-se como instrumento orientador, com abordagem de alto nvel,
que define, em linhas gerais, os rumos da organizao e influencia as aes a serem
empreendidas. Dessa forma, todo planejamento ou plano institudo no mbito do
rgo ou entidade deve guardar alinhamento com o planejamento estratgico
institucional.
O planejamento das aes de SIC e de SegCiber previsto na Norma
Complementar n 02/IN01/DSIC/GSI/PR cuja observncia obrigatria e de
responsabilidade da Alta Administrao da APF, conforme concluiu o Acrdo
1.233/2012-TCU-Plenrio em relao aos normativos publicados pelo GSI e deve
considerar os requisitos e pressupostos estabelecidos pelo planejamento estratgico
institucional, bem como o disposto nesta Estratgia. O Acrdo 3.051/2014-TCUPlenrio, por sua vez, refora tal necessidade de implementar o planejamento de SIC e
de SegCiber na APF.
Nesta direo, cabe realar aos rgos e entidades da APF que, face ao nvel
estratgico das reas de SIC e de SegCiber, a Poltica (POSIC), o Comit Gestor de SIC e
respectivas aes devem, tambm, estar alinhados ao nvel estratgico institucional.
Portanto, fundamental salientar no s a importncia de um adequado
planejamento de SIC e de SegCiber no mbito dos rgos e entidades da APF, mas o
indispensvel alinhamento entre este e o planejamento estratgico do rgo, visando
que as aes de SIC e de SegCiber tenham o necessrio apoio e patrocnio da Alta
Administrao, e estejam tambm alinhadas s diretrizes estratgicas do Governo,
notadamente ao Plano Plurianual.

49

OE-VI AMPLIAR E FORTALECER AES COLABORATIVAS EM SIC E SEGCIBER COM

A ACADEMIA, SETORES PBLICO, PRIVADO E TERCEIRO SETOR, NO PAS E NO
EXTERIOR.

Os rgos e entidades da APF devem buscar a articulao e o fortalecimento,

nas reas de SIC e de SegCiber, de aes colaborativas e de parcerias com o setor
pblico, privado, academia e terceiro setor, no pas e exterior para, dentre outras, a
adoo de boas prticas, a busca de solues tecnolgicas e o estmulo ao
desenvolvimento de produtos e servios.
Tais aes devem ser entendidas como de elevada prioridade, no sentido de
estimular o contnuo desenvolvimento de massa crtica, talentos e produtos nacionais,
visando minimizar a dependncia externa em benefcio da sociedade e do Estado.
Nessa direo, tal enfoque deve estar contemplado no planejamento de SIC e de
SegCiber dos rgos e entidades da APF, devidamente alinhado ao planejamento
estratgico institucional.
A participao em fruns e eventos nacionais e internacionais, como forma de
ampliar a rede de conhecimento e as trocas de informao e experincias em SIC e
SegCiber, contribui com o protagonismo do pas nessas reas. Neste sentido, a
promoo e a disseminao de boas prticas de SIC e de SegCiber estimula um ciclo
virtuoso de colaborao entre os atores.
Destaca-se ainda a importncia da cooperao internacional bi e multilateral,
no mbito da SIC e da SegCiber, visando contribuir com o combate s aes ilcitas
transnacionais.
Aes de colaborao e parcerias visam, dentre outras, a sinergia e a troca de
experincias como forma de assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade da informao, e aumentar a resilincia dos
setores de SIC e de SegCiber no pas, garantindo a disponibilidade e continuidade dos
servios pblicos disponibilizados sociedade, alm de guardar estreita e especial
relao com o Objetivo Estratgico III - Garantir continuamente a pesquisa, o
desenvolvimento e a inovao em SIC e SegCiber na APF.

50

OE-VII ELEVAR O NVEL DE MATURIDADE DE SIC E DE SEGCIBER NA APF.

A promoo de mudanas comportamentais na APF, alinhadas aos Programas
Estratgicos de Governo e s legislaes e normativos vigentes, so requisitos
essenciais para a elevao do nvel de maturidade em SIC e SegCiber.
Nesta direo, programas que promovam o acesso a informaes e servios
pblicos por meio eletrnico, a integrao de sistemas e redes de informao pelos
rgos e entidades da APF e a modernizao da gesto interna da administrao
pblica, entre outros, impem a incorporao de aes que assegurem a
disponibilidade, a integridade, a confidencialidade e a autenticidade da informao,
fortalecendo a maturidade de SIC e de SegCiber.
O arcabouo normativo de SIC e de SegCiber do GSI/PR apresenta temas que
so complementares e interdependentes, e devem ser analisados e implantados nos
rgos e entidades da APF de forma holstica, objetivando o estabelecimento de
patamares de maturidade no curto, mdio e longo prazo. Neste sentido, a promoo e
a disseminao de boas prticas de SIC e de SegCiber estimula um ciclo virtuoso em
busca da excelncia.
Vale ressaltar que o cumprimento da legislao e dos normativos estabelecidos
pelo GSI/PR obrigatrio e de responsabilidade da Alta Administrao da APF,
conforme concluiu o Acrdo 1.233/2012-TCU-Plenrio, e sua no implementao,
quando injustificada, passvel de sanses previstas em Lei.
Acrescenta-se que a Estratgia Geral de Tecnologia de Informao e
Comunicaes (EGTIC), coordenada pela SLTI/MP, no mbito do SISP, caracteriza-se
como um instrumento complementar para a melhoria contnua do nvel de maturidade
em SIC e SegCiber, ao promover que recursos adequados de tecnologia da informao
e comunicao (TIC) sejam providos e implantados nos rgos e entidades sob sua
jurisdio.
Para viso global do nvel de maturidade dos rgos e entidades da APF, o
GSI/PR, como coordenador e integrador desta Estratgia, inicialmente definir os
mecanismos de autodiagnstico de SIC e de SegCiber, cujas informaes serviro de
base de conhecimento e permitiro maior clareza das vulnerabilidades da APF, visando
tanto potencializar as aes orientadas mitig-las, quanto construir o indicador de
nvel de maturidade, promovendo a gesto, o acompanhamento e a avaliao, de
forma continuada, colaborativa e sistmica.
imperativo, portanto, que os rgos e entidades da APF estabeleam os seus
respectivos planejamentos nas reas de SIC e de SegCiber, alinhados ao planejamento
estratgico intitucional, contemplando aes para autodiagnstico anual, bem como
aes para o desenvolvimento de mecanismos internos de acompanhamento e
avaliao sistemtica do nvel de maturidade, objetivando a excelncia dessas reas e,
dentre outros resultados, a preveno e o combate aos crimes cibernticos no mbito
do Governo Federal.

51

OE-VIII REFORAR A SIC E A SEGCIBER COMO ALTA PRIORIDADE NA AGENDA DE

GOVERNO.

Os impactos causados por falhas na SIC e na SegCiber, no mbito dos rgos e

entidades da APF, prejudicam a imagem do governo e afetam a adequada prestao
de servios pblicos sociedade. Desta forma, considerar a SIC e a SegCiber como
temas prioritrios no mbito das polticas pblicas fator essencial na manuteno da
credibilidade do Estado.
No cenrio mundial, verifica-se que as reas de SIC e de SegCiber so tratadas
no mais alto grau estratgico, a exemplo das estratgias nacionais de segurana
ciberntica publicadas. De modo semelhante, diversos eventos tm sido promovidos
para tratar do assunto, inclusive com a presena de lderes de Estado. Tais fatos
demonstram cada vez mais a preocupao dos pases com a SIC e a SegCiber.
No Brasil, as reas de SIC e de SegCiber esto caracterizadas no Governo
Federal, dentre outros, conforme a seguir: (i) o art. 91 da Constituio Federal institui
o Conselho de Defesa Nacional (CDN), rgo de consulta do Presidente da Repblica
acerca de assuntos relacionados soberania nacional e defesa do Estado
democrtico; (ii) a Cmara de Relaes Exteriores e Defesa Nacional (CREDEN) do
Conselho de Governo tem como finalidade tratar de matrias como a cooperao
internacional em assuntos de segurana e defesa, segurana para infraestruturas
crticas, segurana da informao e segurana ciberntica; (iii) documento oficial anual
denominado Mensagem Presidencial, encaminhado pelo Presidente da Repblica ao
Poder Legislativo quando da abertura dos trabalhos da legislatura, o tema segurana
da informao tem seu destaque no subitem soberania nacional; e (iv) o art. 6 da Lei
n 10.683/2003 estabelece ao GSI/PR, entre outras atribuies, a coordenao da
segurana da informao.
No entanto, ainda que tais reas se mostrem cada dia mais relevantes e
cruciais, ainda no so tratadas como alta prioridade na agenda de governo, com
apoio efetivo da Alta Administrao. Urge, ento, aumentar gradativa e
prioritariamente o nvel de maturidade e estabeler a Governana Sistmica de SIC e de
SegCiber na APF, ponto de partida para uma poltica e um sistema nacional
abrangendo todos os entes federativos e o trs poderes, o que caracterizar a alta
prioridade na agenda do governo, contribuindo com o xito de programas tais como
Bem Mais Simples Brasil e Governo Digital.

52

OE-IX

VALORIZAR E AMPLIAR AES QUE FORTALEAM A SEGURANA DAS

INFRAESTRUTURAS CRTICAS DA INFORMAO.

O GSI/PR define como infraestruturas crticas as instalaes, os servios, os

bens e os sistemas que, se forem interrompidos ou destrudos, provocaro srio
impacto social, econmico, poltico, internacional ou segurana do Estado e da
sociedade. No tocante s infraestruturas crticas nacionais, tais como energia,
telecomunicaes, transportes, gua, finanas, informao, dentre outras, cada vez
mais elevada a interdependncia, o que impacta as redes e sistemas de informao
para a sua gerncia e controle.
Por sua vez, a segurana das infraestruturas crticas da informao refere-se
proteo do subconjunto de ativos de informao que afetam diretamente a
consecuo e a continuidade da misso do Estado e a segurana da sociedade. Os
ativos de informao so os meios de armazenamento, transmisso e processamento,
os sistemas de informao, bem como os locais onde se encontram esses meios e as
pessoas que a eles tm acesso.
Para a consecuo deste objetivo estratgico, fundamental, portanto, que
cada instituio planeje e invista os recursos necessrios ao fortalecimento da
segurana de seus ativos de informao, sem que se perca o foco no fortalecimento
das aes cooperativas entre as instituies do setor pblico e dessas com a academia
e o setor privado.
Conforme constante no Guia de Referncia para a Segurana das
Infraestruturas Crticas da Informao publicado pelo GSI/PR, as instituies
responsveis pelas infraestruturas crticas nacionais so orientadas a realizar, no
mnimo: (i) mapeamento de seus ativos de informao para a identificao daqueles
que so crticos; (ii) gesto de risco, com identificao de potenciais ameaas e
vulnerabilidades; e (iii) estabelecimento de mtodo de gerao de alerta de segurana
das infraestruturas crticas da informao.
Ressalta-se, por fim, o quo fundamental para o Estado o envolvimento de
todas as instncias para o incremento do nvel de segurana das infraestruturas
crticas, destacando-se a necessidade de fortalecimento da interao entre os rgos e
entidades da APF e setores envolvidos no funcionamento das infraestruturas crticas
nacionais, e de respectiva normatizao.

53

OE-X PROMOVER MECANISMOS DE CONSCIENTIZAO DA SOCIEDADE SOBRE SIC

E SEGCIBER.

A conscientizao sobre SIC e SegCiber deve ser tratada como instrumento de

mudana cultural, envolvendo cada vez mais a integrao dos rgos e entidades da
APF e a sociedade brasileira, com o objetivo de levar a um processo continuado de
postura responsvel e consciente dos aspectos relacionados a SIC e a SegCiber.
No cenrio mundial, vrias aes de conscientizao tm sido promovidas por
meio de campanhas peridicas, de alcance nacional, a exemplo de pases como
Estados Unidos da Amrica, Japo e Canad, bem como na Comunidade Europia.
No Brasil, podemos citar o Dia da Segurana da Informao, promovido pelo
TCU; a Cartilha de Segurana para Internet, publicada pelo Comit Gestor da Internet
no Brasil (CGI.br); e o Dia Internacional de Segurana em Informtica (DISI),
promovido pela Rede Nacional de Ensino e Pesquisa (RNP), entre outras iniciativas.
No tocante s reas de SIC e de SegCiber, para o uso seguro e responsvel das
tecnologias de informao e comunicao, importante que se promovam aes
peridicas junto sociedade, que visem a garantia da disponibilidade, integridade,
confidencialidade e autenticidade das informaes, alcanando, dentre outros
resultados, a preveno de crimes cibernticos e a proteo da privacidade.

54

METAS DA ESTRATGIA
Tendo em vista a natureza transversal dos Objetivos Estratgicos de SIC e de
SegCiber apresentados anteriormente, as metas foram construdas a partir de uma
viso holstica, ou seja, considerando a Estratgia como um todo, no se vinculando
necessariamente cada meta a um nico objetivo estratgico.
Assim sendo, as metas so apresentadas a seguir de forma distribuda em
espaos temporais, no quadrinio 2015-2018.

Em 2015

M-I: Definir metodologia e mecanismo de autodiagnstico de SIC e de SegCiber da

APF.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI.

M-II: Atingir no mnimo 25% da APF direta com autodiagnstico de SIC e de SegCiber
acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

M-III:

Articular e estabelecer programa no PPA 2016-2019 que contemple

conjuntamente as temticas de SIC e de SegCiber.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
rgos competentes.

M-IV:

Articular e formalizar funo oramentria especfica em Segurana

Institucional, contemplando subfuno SIC e SegCiber, entre outras.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
rgos competentes.

M-V:

Criar a Cmara Multissetorial de SIC e de SegCiber da APF no mbito do

Sistema.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

M-VI: Formalizar parceria do rgo central do sistema de SIC e de SegCiber da APF

(GSI/PR) com a ENAP/MP para insero de cursos e/ou de disciplinas de SIC e de
SegCiber, visando a formao continuada dos agentes pblicos nestas reas.

55

Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI.

M-VII: Propor um guia de boas prticas de planejamento de SIC e de SegCiber para

os rgos e entidades da APF, com base na Norma Complementar n
02/IN01/DSIC/GSIPR, visando seu alinhamento ao planejamento estratgico
institucional.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

M-VIII: Propor a criao do Dia Oficial de SIC e de SegCiber do Governo Federal

Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

Em 2016

M-IX: Estabelecer o Modelo de Governana Sistmica de SIC e de SegCiber da APF

nvel poltico estratgico.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

M-X:

Estabelecer mecanismo para mapeamento sistemtico dos ativos de

informao que afetam diretamente a consecuo e a continuidade da misso do
Estado e a segurana da sociedade que compem as infraestruturas crticas da
informao.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

M-XI: Atingir no mnimo 50% da APF direta com autodiagnstico de SIC e de SegCiber
acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

M-XII:

Atingir no mnimo 5% da APF indireta com autodiagnstico de SIC e de

SegCiber acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

M-XIII:

Desenvolver indicador de nvel de maturidade de SIC e de SegCiber nos

rgos e entidades da APF, como um mecanismo de acompanhamento e avaliao. O
desenvolvimento envolver, dentre outras, as etapas de debate metodolgico, estudos
e testes e a definio do indicador.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI.

56

M-XIV: Articular a insero das reas de SIC e de SegCiber no Programa Nacional de

Gesto Pblica e Desburocratizao (GesPblica), coordenado pelo MP, no item
Informao e Conhecimento.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao do
rgo competente.

M-XV: Formalizar parceria do rgo central do sistema de SIC e de SegCiber da APF

(GSI/PR) com, no mnimo, mais duas Escolas de Governo, para insero de cursos e/ou
de disciplinas de SIC e SegCiber, visando a formao continuada dos agentes pblicos
nestas reas.
Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI.

M-XVI: Articular a criao do ecossistema digital (SIC+SegCiber+Empresas+ICTs), em

sintonia com o ecossistema de defesa ciberntica.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao do
rgo competente.

M-XVII: Criar a Comisso para estudo de viabilidade da criao de carreira de Estado

de SIC e de SegCiber e respectiva estrutura organizacional, em nvel estratgico, no
Governo Federal.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
rgos competentes e demais atores do sistema de SIC e de SegCiber da APF.

M-XVIII: Criar Grupo de Trabalho objetivando a modelagem e o planejamento de

exerccios de ataques cibernticos s redes da APF.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
rgos competentes e demais atores do sistema de SIC e de SegCiber da APF.

M-XIX: Promover a Conferncia Bianual de SIC e de SegCiber da APF.

Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

Em 2017

M-XX: Implementar e aferir o indicador anual de nvel de maturidade de SIC e de

SegCiber nos rgos e entidades da APF, como mecanismo de acompanhamento e
avaliao.
Responsveis: rgo central (GSI/PR), com assessoramento do CGSI.

57

M-XXI:

Atingir no mnimo 75% da APF direta com autodiagnstico de SIC e de

SegCiber acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

M-XXII: Atingir no mnimo 10% da APF indireta com autodiagnstico de SIC e de

SegCiber acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

M-XXIII:

Propor mtodo de identificao de ameaas e gerao de alertas das

infraestruturas crticas da informao.
Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI e da Cmara
Multissetorial de SIC e de SegCiber da APF e demais atores do sistema de SIC e de
SegCiber da APF.

M-XXIV: Formalizar parceria do rgo central do sistema de SIC e de SegCiber da

APF (GSI/PR) com, no mnimo, mais duas Escolas de Governo, para insero de cursos
e/ou de disciplinas de SIC e de SegCiber, visando a formao continuada dos agentes
pblicos nestas reas.
Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI.

M-XXV:

Encaminhar o resultado do Grupo de Trabalho de modelagem e

planejamento de exerccios de ataques cibernticos s redes da APF ao rgo central
(GSI/PR).
Responsveis: Grupo de Trabalho criado na M-XVIII.

Em 2018

M-XXVI: Aferir o indicador anual de nvel de maturidade de SIC e de SegCiber nos

rgos e entidades da APF.
Responsvel: rgo central (GSI/PR).

M-XXVII:

Atingir 100% da APF direta com autodiagnstico de SIC e de SegCiber

acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

M-XXVIII: Atingir no mnimo 15% da APF indireta com autodiagnstico de SIC e de

SegCiber acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.

58

M-XXIX: Formalizar parceria do rgo central do sistema de SIC e de SegCiber da

APF (GSI/PR) com, no mnimo, mais duas Escolas de Governo, para insero de cursos
e/ou de disciplinas de SIC e de SegCiber, visando a formao continuada dos agentes
pblicos nestas reas.
Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI.

M-XXX: Levantar novos elementos estratgicos e elaborar a Estratgia de SIC e de

SegCiber da APF 2019-2022.
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
atores do sistema de SIC e de SegCiber da APF.

M-XXXI: Encaminhar o resultado do estudo de viabilidade de criao da carreira de

Estado de SIC e de SegCiber no Governo Federal ao rgo central (GSI/PR).
Responsveis: Comisso criada na M-XVII.

M-XXXII: Promover a Conferncia Bianual de SIC e de SegCiber da APF.

Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
demais atores do sistema de SIC e de SegCiber da APF.

Metas contnuas: 2015 a 2018

M-XXXIII:

Promover anualmente, no mbito da APF, no mnimo 10 oficinas

abordando as Normas Complementares IN GSI/PR n 01/2008.
Responsveis: rgos e entidades da APF.

M-XXXIV:

Anualmente, promover e coordenar no mnimo 2 Colquios Tcnicos

sobre tratamento e respostas a incidentes em redes computacionais da APF.
Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI.

M-XXXV:

Alinhar, de forma contnua, o planejamento de SIC e de SegCiber dos

rgos e entidades da APF aos respectivos Planejamentos Estratgicos.
Responsveis: rgos e entidades da APF.

M-XXXVI: Fortalecer e formalizar parcerias do rgo central do sistema de SIC e de

SegCiber da APF (GSI/PR) com universidades e instituies de ensino superior para
insero de cursos e/ou de disciplinas de SIC e de SegCiber no nvel da graduao e da
ps graduao.
Responsveis: rgo central (GSI/PR), com o assessoramento do CGSI.

59

M-XXXVII: Avaliar e revisar a Estratgia de SIC e de SegCiber da APF 2015-2018.

Responsveis: rgo central (GSI/PR), com assessoramento do CGSI e colaborao dos
atores do sistema de SIC e de SegCiber da APF.

M-XXXVIII: Promover campanhas de conscientizao da sociedade nas reas de SIC

e de SegCiber.
Responsveis: atores do sistema de SIC e de SegCiber da APF.

60

DISPOSIES FINAIS
Esta Estratgia aplica-se a todos os rgos e entidades da APF, entrar em vigor
na data de sua publicao no Dirio Oficial da Unio e ter validade no quadrinio
2015-2018, sendo revisada, periodicamente, em consonncia com as contribuies das
instncias de assessoramento e apoio deciso do Modelo de Governana Sistmica
de SIC e de SegCiber da APF, buscando atender as demandas dos rgos e entidades
que integram o Sistema, em prol do alcance da viso de futuro desta Estratgia.

61

REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC 38500:
Governana Corporativa de Tecnologia da Informao. Rio de Janeiro, 2006.
AUSTRALIAN GOVERNMENT. Australian Government Information Security Manual
Principles - Australian, 2014. Disponvel em:
<http://www.asd.gov.au/publications/Information_Security_Manual_2014_Principles.
pdf>. Acesso em Fevereiro de 2015.
AUSTRALIAN GOVERNMENT. Cyber Security Strategy 2011, Austrlia, 2011. Disponvel
em:
<http://www.ag.gov.au/RightsAndProtections/CyberSecurity/Documents/AG%20Cybe
r%20Security%20Strategy%20-%20for%20website.pdf>. Acesso em Fevereiro de 2015.
BLUE COAT SYSTEMS. The Inception Framework: Cloud-Hosted APT by Snorre
Fagerland and Waylon Grange Blue Coat Systems, Inc., 2014. Disponvel em: <
https://www.bluecoat.com/documents/download/638d602b-70f4-4644-aaadb80e1426aad4/d5c87163-e068-440f-b89e-e40b2f8d2088>. Acesso em Fevereiro de
2015.
BRASIL. Congresso. Senado Federal. Comisso Parlamentar de Inqurito. CPI da
Espionagem - Relatrio Final. Braslia, DF, 2014.
BRASIL. Conselho Nacional de Justia. Resoluo N 99, de 24 de novembro de 2009.
Anexo I: A Estratgia de TIC do Poder Judicirio, Braslia, DF, 2009. Disponvel em:
<http://www.cnj.jus.br/images/stories/docs_cnj/resolucao/anexorescnj_99.pdf>.
Acesso em Fevereiro de 2015.
BRASIL. Constituio (1988). Constituio da Repblica Federativa do Brasil. Braslia,
DF: Senado, 1988.
BRASIL. Decreto n 3.505 de 13 de junho de 2000. Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal. Casa Civil,
Subchefia para Assuntos Jurdicos, 2000.
BRASIL. Decreto n 3.996 de 31 de outubro de 2001. Dispe sobre a prestao de
servios de certificao digital no mbito da Administrao Pblica Federal. Casa Civil,
Subchefia para Assuntos Jurdicos, 2001.
BRASIL. Decreto n 4.801, de 6 de agosto de 2003. Cria a Cmara de Relaes
Exteriores e Defesa Nacional, do Conselho de Governo. Casa Civil, Subchefia para
Assuntos Jurdicos, 2003.
BRASIL. Decreto n 4.829, de 3 de setembro de 2003. Dispe sobre a criao do
Comit Gestor da Internet no Brasil - CGIbr, sobre o modelo de governana da Internet
no Brasil, e d outras providncias. Casa Civil, Subchefia para Assuntos Jurdicos, 2003.

62

BRASIL. Decreto n 5.563, de 11 de outubro de 2005. Regulamenta a Lei n 10.973, de

2 de dezembro de 2004, que dispe sobre incentivos inovao e pesquisa cientfica
e tecnolgica no ambiente produtivo, e d outras providncias. Casa Civil, Subchefia
para Assuntos Jurdicos, 2005.
BRASIL. Decreto n 6.605, de 14 de outubro de 2008. Dispe sobre o Comit Gestor da
Infra-Estrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva e
sua Comisso Tcnica Executiva - COTEC. Casa Civil, Subchefia para Assuntos Jurdicos,
2008.
BRASIL. Decreto n 6.703 de 18 de dezembro de 2008. Aprova a Estratgia Nacional de
Defesa, e d outras providncias. Casa Civil, Subchefia para Assuntos Jurdicos, 2008.
BRASIL. Decreto n 7.009, de 12 de novembro de 2009. D nova redao aos arts. 1,
2 e 3 do Decreto no 4.801, de 6 de agosto de 2003, que cria a Cmara de Relaes
Exteriores e Defesa Nacional, do Conselho de Governo. Casa Civil, Subchefia para
Assuntos Jurdicos, 2009.
BRASIL. Decreto n 7.579, de 11 de outubro de 2011. Dispe sobre o Sistema de
Administrao dos Recursos de Tecnologia da Informao - SISP, do Poder Executivo
federal. Casa Civil, Subchefia para Assuntos Jurdicos, 2011.
BRASIL. Decreto n 7.724 de 16 de maio de 2012. Regulamenta a Lei no 12.527, de 18
de novembro de 2011. Casa Civil, Subchefia para Assuntos Jurdicos, 2012.
BRASIL. Decreto n 7.845 de 14 de novembro de 2012. Regulamenta procedimentos
para credenciamento de segurana e tratamento de informao classificada em
qualquer grau de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento. Casa
Civil, Subchefia para Assuntos Jurdicos, 2012.
BRASIL. Decreto n 8.096, de 4 de setembro de 2013. Altera o Decreto n 4.801, de 6
de agosto de 2003, que cria a Cmara de Relaes Exteriores e Defesa Nacional, do
Conselho de Governo. Casa Civil, Subchefia para Assuntos Jurdicos, 2013.
BRASIL. Decreto n 8.135 de 4 de novembro de 2013. Dispe sobre as comunicaes
de dados da administrao pblica federal direta, autrquica e fundacional, e sobre a
dispensa de licitao nas contrataes que possam comprometer a segurana
nacional. Casa Civil, Subchefia para Assuntos Jurdicos, 2013.
BRASIL. Decreto n 8.414, de 26 de fevereiro de 2015. Institui o Programa Bem Mais
Simples Brasil e cria o Conselho Deliberativo e o Comit Gestor do Programa. Casa
Civil, Subchefia para Assuntos Jurdicos, 2015.
BRASIL. Decreto-lei n 200, de 25 de fevereiro de 1967. Dispe sbre a organizao da
Administrao Federal, estabelece diretrizes para a Reforma Administrativa e d
outras providncias. Casa Civil, Subchefia para Assuntos Jurdicos, 2015.
BRASIL. Lei n 6.880, de 30 de dezembro de 1980. Dispe sobre o Estatuto dos
Militares. Casa Civil, Subchefia para Assuntos Jurdicos, 1980.

63

BRASIL. Lei n 10.683, de 28 de maio de 2003. Dispe sobre a organizao da

Presidncia da Repblica e dos Ministrios, e d outras providncias. Casa Civil,
Subchefia para Assuntos Jurdicos, 2003.
BRASIL. Lei n 10.973, de 2 de dezembro de 2004. Dispe sobre incentivos inovao
e pesquisa cientfica e tecnolgica no ambiente produtivo e d outras providncias.
Casa Civil, Subchefia para Assuntos Jurdicos, 2004.
BRASIL. Lei n 11.079, de 30 de dezembro de 2004. Institui normas gerais para
licitao e contratao de parceria pblico privada no mbito da administrao
pblica. Casa Civil, Subchefia para Assuntos Jurdicos, 2004.
BRASIL. Lei n 12.527 de 18 de novembro de 2011. Regula o acesso a informaes.
Casa Civil, Subchefia para Assuntos Jurdicos, 2011.
BRASIL. Lei n 12.593 de 18 de janeiro de 2012. Institui o Plano Plurianual da Unio
para o perodo de 2012 a 2015. Casa Civil, Subchefia para Assuntos Jurdicos, 2012.
BRASIL. Lei n 12.598, de 21 de maro de 2012. Estabelece normas especiais para as
compras, as contrataes e o desenvolvimento de produtos e de sistemas de defesa
dispe sobre regras de incentivo rea estratgica de defesa altera a Lei n 12.249,
de 11 de junho de 2010 e d outras providncias. Casa Civil, Subchefia para Assuntos
Jurdicos, 2012.
BRASIL. Lei n 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei n 2.848, de 7
de dezembro de 1940 - Cdigo Penal, o Decreto-Lei no 1.001, de 21 de outubro de
1969 - Cdigo Penal Militar, e a Lei n 7.716, de 5 de janeiro de 1989, para tipificar
condutas realizadas mediante uso de sistema eletrnico, digital ou similares, que
sejam praticadas contra sistemas informatizados e similares; e d outras providncias.
Casa Civil, Subchefia para Assuntos Jurdicos, 2012.
BRASIL. Lei n 12.965, de 23 de abril de 2014. Estabelece princpios, garantias, direitos
e deveres para o uso da Internet no Brasil. Casa Civil, Subchefia para Assuntos
Jurdicos, 2014.
BRASIL. Lei n 8.183 de 11 de abril de 1991. Dispe sobre a organizao e o
funcionamento do Conselho de Defesa Nacional e d outras providncias. Casa Civil,
Subchefia para Assuntos Jurdicos, 1991.
BRASIL. Medida Provisria n 2.200-2, de 24 de agosto de 2001. Institui a InfraEstrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de
Tecnologia da Informao em autarquia, e d outras providncias. Casa Civil, Subchefia
para Assuntos Jurdicos, 2001.
BRASIL. Ministrio da Defesa. Exrcito Brasileiro. Diretriz Ministerial n 14/2009, de 9
de novembro de 2009. Atribuiu ao Exrcito Brasileiro a responsabilidade pela
coordenao e integrao do Setor Ciberntico do Ministrio da Defesa. Braslia, DF,
MD/EB, 2009.

64

BRASIL. Ministrio da Defesa. Portaria Normativa n 2.777/MD, de 27 de outubro de

2014. Dispe sobre a diretriz de implantao de medidas visando potencializao da
Defesa Ciberntica Nacional e d outras providncias. Dirio Oficial da Repblica
Federativa do Brasil, Braslia, DF, 28 out. 2014. Disponvel em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=7&data=
28/10/2014>. Acesso em Maro de 2015.
BRASIL. Ministrio da Defesa. Portaria Normativa n 3.389/MD, de 21 de dezembro
de 2012. Dispe sobre a Poltica Ciberntica de Defesa. Dirio Oficial da Repblica
Federativa do Brasil, Braslia, DF, 27 dez. 2014. Disponvel em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=11&data
=27/12/2012>. Acesso em Maro de 2015.
BRASIL. Ministrio do Planejamento, Oramento e Gesto, Sistema de Administrao
de Recursos de Tecnologia da Informao. Estratgia Geral de Tecnologia da
Informao e Comunicaes EGTIC 2014-2015, Braslia, DF, MP/SLTI, 2014.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Instituto Brasileiro de
Geografia e Estatstica. Pesquisa Nacional por Amostra de Domiclios PNAD 2012.
Rio de Janeiro, MP/IBGE, v.32, 2012.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Portaria Interministerial n
141, de 2 de maio de 2014. Dirio Oficial da Repblica Federativa do Brasil, Braslia,
DF, 5 mai. 2014. Disponvel em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=82&data
=05/05/2014>. Acesso em Maro de 2015.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Secretaria de Gesto.
Melhoria da gesto pblica por meio da definio de um guia referencial para
medio do desempenho da gesto, e controle para o gerenciamento dos
indicadores de eficincia, eficcia e de resultados do programa nacional de gesto
pblica e desburocratizao - Produto 4: Guia Referencial para Medio de
Desempenho e Manual para Construo de Indicadores. Braslia, DF, MP/SEGES, 2009.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Secretaria de Logstica e
Tecnologia da Informao. Planejamento estratgico 2011-2014. Braslia, DF, MP/SLTI,
2010.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Secretaria de Logstica e
Tecnologia da Informao. Planejamento estratgico 2011-2015. 4 ed., 5 Verso
Braslia, DF, MP/SLTI, 2014.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Secretaria de Planejamento
e Investimentos Estratgicos. Plano Mais Brasil PPA 2012 2015. Braslia, DF,
MP/SPI, 2012.

65

BRASIL. Ministrio do Planejamento, Oramento e Gesto. Sistema de Administrao

de Recursos de Tecnologia da Informao. Estratgia Geral de Tecnologia da
Informao do SISP 2013-2015: verso 1.0. Braslia, DF, MP/SLTI, 2012.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Sistema de Administrao
de Recursos de Informtica e Informao. Estratgia Geral de Tecnologia da
Informao 2008. Braslia, DF, MP/SLTI, 2008.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Livro verde : segurana ciberntica no
Brasil, organizao Claudia Canongia e Raphael Mandarino Junior. Braslia, DF,
GSIPR/SE/DSIC, 2010.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de
13 de junho de 2008. Disciplina a Gesto de Segurana da Informao e Comunicaes
na Administrao Pblica Federal, direta e indireta, e d outras providncias. Braslia,
DF, GSI/PR, 2008.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 01/IN01/DSIC/GSI/PR. Atividade de
Normatizao. Braslia, DF, GSI/PR, 2008.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 02/IN01/DSIC/GSI/PR. Metodologia de
Gesto de Segurana da Informao e Comunicaes. Braslia, DF, GSI/PR, 2008.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 03/IN01/DSIC/GSI/PR. Diretrizes para a
Elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e
Entidades da Administrao Pblica Federal. Braslia, DF, GSI/PR, 2009.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 04/IN01/DSIC/GSI/PR Rev1. Diretrizes
para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos e entidades da Administrao Pblica Federal. Braslia, DF, GSI/PR,
2013.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 05/IN01/DSIC/GSI/PR. Disciplina a
criao de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais
- ETIR nos rgos e entidades da Administrao Pblica Federal. Braslia, DF, GSI/PR,
2009.

66

BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento

de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 06/IN01/DSIC/GSI/PR. Estabelece
Diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados
Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao
Pblica Federal, direta e indireta APF. Braslia, DF, GSI/PR, 2009.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 07/IN01/DSIC/GSI/PR Rev1. Estabelece
as Diretrizes para Implementao de Controles de Acesso Relativos Segurana da
Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal
(APF), direta e indireta. Braslia, DF, GSI/PR, 2014.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 08/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos rgos e
entidades da Administrao Pblica Federal. Braslia, DF, GSI/PR, 2010.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 09/IN01/DSIC/GSI/PR Rev2. Estabelece
orientaes especficas para o uso de recursos criptogrficos em Segurana da
Informao e Comunicaes, nos rgos ou entidades da Administrao Pblica
Federal (APF), direta e indireta. Braslia, DF, GSI/PR, 2014.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 10/IN01/DSIC/GSI/PR. Estabelece
diretrizes para o processo de Inventrio e Mapeamento de Ativos de Informao, para
apoiar a Segurana da Informao e Comunicaes (SIC), dos rgos e entidades da
Administrao Pblica Federal, direta e indireta APF. Braslia, DF, GSI/PR, 2012.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 11/IN01/DSIC/GSI/PR. Estabelece
diretrizes para avaliao de conformidade nos aspectos relativos Segurana da
Informao e Comunicaes (SIC) nos rgos ou entidades da Administrao Pblica
Federal, direta e indireta APF. Braslia, DF, GSI/PR, 2012.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 12/IN01/DSIC/GSI/PR. Estabelece
diretrizes e orientaes bsicas para o uso de dispositivos mveis nos aspectos
referentes Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta. Braslia, DF, GSI/PR, 2012.

67

BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento

de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 13/IN01/DSIC/GSI/PR. Estabelece
diretrizes para a Gesto de Mudanas nos aspectos relativos Segurana da
Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica
Federal, direta e indireta (APF). Braslia, DF, GSI/PR, 2012.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 14/IN01/DSIC/GSI/PR. Estabelece
diretrizes para a utilizao de tecnologias de Computao em Nuvem, nos aspectos
relacionados Segurana da Informao e Comunicaes (SIC), nos rgos e entidades
da Administrao Pblica Federal (APF), direta e indireta. Braslia, DF, GSI/PR, 2012.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 15/IN01/DSIC/GSI/PR. Estabelece
diretrizes de Segurana da Informao e Comunicaes para o uso de redes sociais,
nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta.
Braslia, DF, GSI/PR, 2012.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 16/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para o Desenvolvimento e Obteno de Software Seguro nos rgos e
Entidades da Administrao Pblica Federal, direta e indireta. Braslia, DF, GSI/PR,
2012.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 17/IN01/DSIC/GSI/PR. Estabelece
Diretrizes nos contextos de atuao e adequaes para Profissionais da rea de
Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da
Administrao Pblica Federal (APF). Braslia, DF, GSI/PR, 2013.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 18/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para as Atividades de Ensino em Segurana da Informao e Comunicaes
(SIC) nos rgos e Entidades da Administrao Pblica Federal (APF). Braslia, DF,
GSI/PR, 2013.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 19/IN01/DSIC/GSI/PR. Estabelece
Padres Mnimos de Segurana da Informao e Comunicaes para os Sistemas

68

Estruturantes da Administrao Pblica Federal (APF), direta e indireta. Braslia, DF,

GSI/PR, 2014.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 20/IN01/DSIC/GSI/PR Rev1. Estabelece
as Diretrizes de Segurana da Informao e Comunicaes para Instituio do Processo
de Tratamento da Informao nos rgos e entidades da Administrao Pblica
Federal (APF), direta e indireta. Braslia, DF, GSI/PR, 2014.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 01, de 13
de junho de 2008. Norma Complementar n 21/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para o Registro de Eventos, Coleta e Preservao de Evidncias de Incidentes
de Segurana em Redes nos rgos e entidades da Administrao Pblica Federal,
direta e indireta. Braslia, DF, GSI/PR, 2014.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 02, de
de 5 de fevereiro de 2013. Dispe sobre o Credenciamento de segurana para o
tratamento de informao classificada, em qualquer grau de sigilo, no mbito do Poder
Executivo Federal. Braslia, DF, GSI/PR, 2013.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Instruo Normativa GSI/PR n 03, de
de 6 de maro de 2013. Dispe sobre os parmetros e padres mnimos dos recursos
criptogrficos baseados em algoritmos de Estado para criptografia da informao
classificada no mbito do Poder Executivo Federal. Braslia, DF, GSI/PR, 2013.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Portaria n 31
GSIPR/CH, de 06 de outubro de 2008. Institui a Rede Nacional de Segurana da
Informao e Criptografia - RENASIC. Braslia, DF, GSI/PR, 2008.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Portaria n 45,
de 8 de setembro de 2009. Institui, no mbito da Cmara de Relaes Exteriores e
Defesa Nacional (CREDEN), o Grupo Tcnico de Segurana Ciberntica e d outras
providncias. Dirio Oficial [da] Repblica Federativa do Brasil, Braslia, DF, 9 set. 2009.
Disponvel em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=2&data=
09/09/2009>. Acesso em Maro de 2015.
BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento
de Segurana da Informao e Comunicaes. Guia de referncia para a segurana
das infraestruturas crticas da informao; organizao Claudia Canongia, Admilson
Gonalves Jnior e Raphael Mandarino Junior. Braslia, DF, PR/GSI/SE/DSIC, 2010.

69

BRASIL. Presidncia da Repblica. Portal Brasil. PNAD 2012: Percentual de internautas

cresce nas regies Norte e Nordeste. 2013. Disponvel em: <
http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-crescenas-regioes-norte-e-nordeste-em-2012/>. Acesso em: Maro de 2015.
BRASIL. Presidncia da Repblica. Secretaria de Assuntos Estratgicos. Brasil 2022 /
Secretaria de Assuntos Estratgicos. Braslia: Presidncia da Repblica, Secretaria de
Assuntos Estratgicos - SAE, 2010. 100 p.
BRASIL. TCU. Acrdo 1.145/2011-TCU-Plenrio. 2011. Disponvel em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20110512/AC_1145_15_1
1_P.doc>. Acessado em: Maro de 2015.
BRASIL. TCU. Acrdo 1.233/2012-TCU-Plenrio. 2012. Disponvel em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20120528/AC_1233_19_1
2_P.doc>. Acessado em: Maro de 2015.
BRASIL. TCU. Acrdo 2.308/2010-TCU-Plenrio. 2010. Disponvel em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20100913/AC_2308_33_1
0_P.doc>. Acessado em: Maro de 2015.
BRASIL. TCU. Acrdo 2.585/2012-TCU-Plenrio. 2012. Disponvel em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20121112/AC_2585_38_1
2_P.doc>. Acessado em: Maro de 2015.
BRASIL. TCU. Acrdo 3.051/2014-TCU-Plenrio. 2014. Disponvel em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20141107/AC_3051_44_1
4_P.doc>. Acessado em: Maro de 2015.
BRASIL. TCU. Acrdo 3.117/2014-TCU-Plenrio. 2014. Disponvel em: <
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20141114/AC_3117_45_1
4_P.doc>. Acessado em: Maro de 2015.
COMISO EUROPEIA. Comunicao da comisso ao parlamento europeu, ao
conselho, ao comit econmico e social europeu e ao comit das regies. Uma
Agenda Digital para a Europa, 2010. Disponvel em:
<http://www.umic.pt/images/stories/publicacoes3/Digital%20Agenda%20Comunic%2
0COM%202010-05-19%20PT.pdf>. Acesso em Fevereiro de 2015.
E-BIT. Evoluo da Internet e do e-commerce. Faturamento anual do e-commerce no
Brasil Bilhes. Disponvel em: < http://www.e-commerce.org.br/stats.php>. Acesso
em: Maro de 2015.
EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA), National Cyber
Security Strategies - Practical Guide on Development and Execution, European
Network and Information Security Agency (ENISA), dezembro de 2012. Disponvel em:
<http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-securitystrategies-ncsss/national-cyber-security-strategies-an-implementationguide/at_download/fullReport>. Acesso em Fevereiro de 2015.

70

EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA). National Cyber

Security Strategies - Setting the course for national efforts to strengthen security in
cyberspace, maio de 2012. Disponvel em:
<http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-securitystrategies-ncsss/cyber-security-strategies-paper/at_download/fullReport >. Acesso em
Fevereiro de 2015.
EUROPEAN UNION. Cyber security Strategy of the European Union. An Open, Safe and
Secure Cyberspace European Commission, JOIN Final, 2013. Disponvel em:
<http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf>. Acesso em
Fevereiro de 2015.
GERMANY - FEDERAL MINISTRY OF THE INTERIOR. Cyber Security Strategy for
Germany, 2011. Disponvel em:
<https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CyberSecurity
/Cyber_Security_Strategy_for_Germany.pdf?__blob=publicationFile>. Acesso em
Fevereiro de 2015.
GOVERNMENT OF CANADA. Canadas Cyber Security Strategy. For a stronger and
more prosperous Canada, 2010. Disponvel em:
<https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr-scrt-strtgy/cbr-scrt-strtgyeng.pdf>. Acesso em Fevereiro de 2015.
IT GOVERNANCE INSTITUTE. COBIT 5: Modelo Corporativo para Governana e Gesto
de TI. ISACA. 2012.
ITALY - PRESIDENCY OF THE COUNCIL OF MINISTERS. National Strategic Framework
for Cyberspace Security, 2014. Disponvel em:
<http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/italiannational-strategic-framework-for-cyberspace-security.pdf>. Acesso em Fevereiro de
2015.
KAPLAN, R. S.; NORTON, D. P.; Using the Balanced Scorecard as a Strategic
Management System, Harvard Business Review, p. 75-85, Jan/Fev, 1996.
KENYA - MINISTRY OF INFORMATION. Communications and Technology. National
Cybersecurity Strategy 2014, 2014. Disponvel em: <http://www.icta.go.ke/wpcontent/uploads/2014/03/GOK-national-cybersecurity-strategy.pdf>.
Acesso
em
Fevereiro de 2015.
LUIIJF, E.; BESSELING, K.; DE GRAAF, P.; Nineteen National Cyber Security Strategies,
Int. J. Critical Infrastructures, Vol. 9, Ns. 1/2, 2013. Disponvel em: <
http://www.researchgate.net/profile/Eric_Luiijf/publication/261950643_Nineteen_Na
tional_Cyber_Security_Strategies/links/543545380cf2bf1f1f286509.pdf>. Acesso em
Fevereiro de 2015.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Cyber security
Framework Development Overview. NISTs Role in Implementing Executive Order

71

13636, Improving Critical Infrastructure Cybersecurity, Presentation to ISPAB, 2013.

Disponvel em: <http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/201306/ispab_june2013_sedgewick.pdf>. Acesso em Fevereiro de 2015.
NEW ZEALAND GOVERNMENT. New Zealand's Cyber Security Strategy, 2011.
Disponvel
em:
<http://www.dpmc.govt.nz/sites/all/files/publications/nz-cybersecurity-strategy-june-2011_0.pdf>. Acesso em Fevereiro de 2015.
ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT (OECD).
Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of
National Cybersecurity Strategies for the Internet Economy, OECD Digital Economy
Papers,
No.
211,
OECD
Publishing,
2012.
Disponvel
em:
<http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf>. Acesso
em Fevereiro de 2015.
SILVA, Leandro Costa da. O Balanced Scorecard e o Processo Estratgico. Caderno de
Pesquisas em Administrao. So Paulo, v. 10, n 4, p. 61-73, outubro/dezembro de
2003.
SILVA, Roselito Felix da. Proposta de Adaptao do Modelo Balanced Sorecard BSC
para a Gesto de Segurana da Informao em rgos Da Administrao Pblica,
Dissertao de Mestrado em Engenharia Eltrica, UnB, Braslia, DF, 2010.
SILVA, Roselito Felix da; FELIX, Patrcia do Prado; TIMTEO, Rafael; Balanced
Scorecard: Adequao Para a Gesto Estratgica nas Organizaes Pblicas; Revista
do Servio Pblico Braslia 62 (1): p. 51-74, Jan/Mar 2011.
SWITZERLAND. National strategy for the protection of Switzerland against cyber risks,
2012.
Disponvel
em:
<http://www.enisa.europa.eu/activities/Resilience-andCIIP/national-cyber-security-strategiesncsss/National_strategy_for_the_protection_of_Switzerland_against_cyber_risksEN.p
df>. Acesso em Fevereiro de 2015.
TAKAHASHI, Tadao (org.). Livro verde da Sociedade da Informao no Brasil. Braslia,
DF, Ministrio da Cincia e Tecnologia, 2000.
UNITED KINGDOM. The UK Cyber Security Strategy. Protecting and promoting the UK
in a digital world, 2011. Disponvel em:
<https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60
961/uk-cyber-security-strategy-final.pdf>. Acesso em Fevereiro de 2015.
UNITED NATIONS. General Assembly. Resolution 68/167. The right to privacy in the
digital age. United Nations Publications , United States, 2013. Disponvel em:
<http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167>. Acesso em:
Maro de 2015.
UNITED STATES. Government Accountability Office. National Strategy, Roles, and
Responsibilities Need to Be Better Defined and More Effectively, 2013. Disponvel
em: <http://www.gao.gov/assets/660/652170.pdf>. Acesso em fevereiro de 2015.

72

UNITED STATES. Seal of the President Of the United States. International Estrategy for
Cyberspace, Prosperity, Security, and Openness in a Networked World, 2011.
Disponvel
em:
<http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_fo
r_cyberspace.pdf>. Acesso em Fevereiro de 2015.
UNITED STATES. Seal of the President of the United States. National Security Strategy,
2015. Disponvel em:
<http://www.whitehouse.gov/sites/default/files/docs/2015_national_security_strateg
y.pdf>. Acesso em Fevereiro de 2015.
UNITED STATES. USA - Cyber Space Policy Review - Assuring a Trusted and Resilient
Information and Communications Infrastructure, Review Final, 2009. Disponvel em:
<https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pd
f>. Acesso em Fevereiro de 2015.
WAMALA, Frederick. The ITU National Cybersecurity Strategy Guide, International
Telecommunications Union (ITU), 2011. Disponvel em: <http://www.itu.int/ITUD/cyb/cybersecurity/docs/ITUNationalCybersecurityStrategyGuide.pdf>. Acesso em
Fevereiro de 2015.
WORLD CONFERENCE ON INTERNATIONAL TELECOMMUNICATIONS, WCIT-12, 2012,
Dubai. Final Acts of the World Conference on International Telecommunications
(WCIT-12). Switzerland, International Telecommunication Union (ITU), 2012.
WORLD ECONOMIC FORUM Report of WEF/2014. 2014. Disponvel em:
<http://www.weforum.org/reports/global-risks-2014-report
WORLD ECONOMIC FORUM Report of WEF/2015, 2015. Disponvel em:
<http://reports.weforum.org/global-risks-2015/
ZIMMERMAN, Carson. Ten Strategies of a World-Class Cybersecurity Operations
Center, The MITRE Corporation, 2014. Disponvel em:
<http://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10strategies-cyber-ops-center.pdf>. Acesso em Fevereiro de 2015.

73

ANEXO I
MODELO DE GOVERNANA SISTMICA DE SIC
E DE SEGCIBER DA APF - NVEL POLTICO
ESTRATGICO
De acordo com o Decreto-Lei n 200, de 25 de fevereiro de 1967, as atividades
administrativas no mbito da administrao pblica federal direta, autrquica e
fundacional esto organizadas sob a forma de sistemas, com a finalidade de
uniformizar a interpretao e aplicao da legislao, bem como de padronizar os
procedimentos a serem realizados, visando a sua eficincia.
Dessa forma, o Modelo de Governana Sistmica de SIC e de SegCiber da APF
(Figura 3), de nvel poltico estratgico, apoiar o estabelecimento de competncias e
respectivas responsabilidades entre os rgos e entidades da APF de forma a: (i) somar
e otimizar esforos; (ii) pactuar aes em prol dos avanos das reas e efetividade nos
resultados; (iii) buscar a excelncia da gesto e da maturidade; (iv) estabelecer
mecanismos e critrios de acompanhamento e avaliao contnuos; e (v) promover a
articulao multissetorial e a inovao.
Integram o Modelo de Governana Sistmica de SIC e de SegCiber da APF:
a) rgo Central (GSI/PR) : rgo gestor superior das reas de SIC e de
SegCiber, exercer a coordenao executiva e a integrao das aes na
definio das respectivas diretrizes poltico estratgicas daquelas reas no
mbito da APF.
b) rgos Gestores Setoriais Nvel A: so representados pelos Ministrios e
equivalentes, no mbito da APF, participantes da cadeia de valor e dos
pactos para implantao das diretrizes estratgicas.
c) rgos Gestores Setoriais Nvel B: so representados pelos rgos e
entidades vinculados diretamente aos rgos Gestores Setoriais Nvel A, no
mbito da APF, participantes da cadeia de valor e dos pactos alavancados
pelos respectivos rgos Gestores Setoriais Nvel A, para implantao das
diretrizes estratgicas.
d) rgos Gestores Seccionais: so representados pelos rgos e entidades
vinculados diretamente aos rgos Gestores Setoriais Nvel B, no mbito da
APF, participantes da cadeia de valor e dos pactos alavancados pelos
respectivos rgos Gestores Setoriais Nvel B, para implantao das
diretrizes estratgicas.

74

e) rgos e Instituies Colaboradoras: so representados por instituies de

governo (demais entes federativos), da academia, do setor privado e do
terceiro setor, que mantenham vnculo de qualquer natureza com os rgos
e entidades da APF, sejam rgos Gestores Setoriais Nvel A, rgos
Gestores Setoriais Nvel B ou rgos Gestores Seccionais.
f) Instncias de assessoramento e apoio deciso do Sistema de SIC e
SegCiber da APF:
I. Comit Gestor de Segurana da Informao (CGSI/CDN): comit de
nvel estratgico que assessora a Secretaria Executiva do CDN nas
questes relativas segurana da informao, o qual se rene
mensalmente sob a coordenao do GSI/PR, e conta com 17 rgos
da APF, ser consultado, no mbito deste Sistema, como apoio nas
deliberaes das diretrizes e normativos de SIC e SegCiber da APF. O
CGSI conta com o GSI/PR (que o coordena); alm dos seguintes
rgos CC/PR; CGU; AGU; SECOM/PR; SG/PR; MJ; MD; MRE; MF;
MPS; MS; MDIC; MP; MC; MCTI; MME;
II. Cmara Multissetorial de SIC e de SegCiber da APF: cmara
consultiva, coordenada pelo GSI/PR, a ser criada em at 90 dias da
publicao desta Estratgia, com no mximo 20 instituies,
apresentando 55% de representao do Governo, e os demais
distribudos entre academia, setor privado e terceiro setor. A
Cmara se reunir ordinariamente a cada trs meses, e
extraordinariamente a qualquer tempo.
III. Conferncia de SIC e de SegCiber da APF: a ser promovida a cada
dois anos, como espao multissetorial e multistakeholder de troca
de conhecimento e de boas prticas, bem como de promoo da
inovao, com representantes do pas e do exterior;
IV. Audincias e Consultas Pblicas: espaos para ampliar o dilogo
com a sociedade em nvel nacional.

75

Figura 3 - Modelo de Governana Sistmica de SIC e de SegCiber da APF

76

ANEXO II
GLOSSRIO DA ESTRATGIA
Alta Administrao: o termo se aplica s seguintes autoridades pblicas: (i) Ministros e
Secretrios de Estado; (ii) titulares de cargos de natureza especial, secretriosexecutivos, secretrios ou autoridades equivalentes ocupantes de cargo do GrupoDireo e Assessoramento Superiores - DAS, nvel seis; e (iii) presidentes e diretores de
agncias nacionais, autarquias, inclusive as especiais, fundaes mantidas pelo Poder
Pblico, empresas pblicas e sociedades de economia mista (Cdigo de Conduta da
Alta Administrao Federal, 2000).
Ameaa: Conjunto de fatores externos ou causa potencial de um incidente indesejado,
que pode resultar em dano para um sistema ou organizao (NC 04/IN01/DSIC/GSI/PR
Rev. 01, 2013).
Artefato malicioso: Qualquer programa de computador, ou parte de um programa,
construdo com a inteno de provocar danos, obter informaes no autorizadas ou
interromper o funcionamento de sistemas e/ou redes de computadores (NC
05/IN01/DSIC/GSI/PR, 2009).
Ativo de Informao: Meios de armazenamento, transmisso e processamento, os
sistemas de informao, bem como os locais onde se encontram esses meios e as
pessoas que a eles tm acesso (Portaria 45 SE-CDN, 2009; NC 10/IN01/DSIC/GSI/PR,
2012).
Autenticidade: Propriedade de que a informao foi produzida, expedida, modificada
ou destruda por uma determinada pessoa fsica, ou por um determinado sistema,
rgo ou entidade (IN 01 GSI/PR, 2008).
Balanced Scorecard (BSC): uma metodologia de gesto de desempenho e de
planejamento estratgico (Kaplan e Norton, 1996).
Confidencialidade: Propriedade de que a informao no esteja disponvel ou revelada
a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado (IN 01
GSI/PR, 2008).
Continuidade de Negcios: Capacidade estratgica e ttica de um rgo ou entidade
de se planejar e responder a incidentes e interrupes de negcios, minimizando seus
impactos e recuperando perdas de ativos da informao das atividades crticas, de
forma a manter suas operaes em um nvel aceitvel, previamente definido (NC
06/IN01/DSIC/GSI/PR, 2009).
Defesa: O ato ou conjunto de atos realizados para obter, resguardar ou recompor a
condio reconhecida como de segurana, ou ainda, reao contra qualquer ataque ou
agresso real ou iminente (Glossrio MD35-G-01, 2007).

77

Disponibilidade: Propriedade de que a informao esteja acessvel e utilizvel sob

demanda por uma pessoa fsica ou determinado sistema, rgo ou entidade (IN 01
GSI/PR, 2008).
Empresa Estratgica de Defesa (EED): Toda pessoa jurdica credenciada pelo Ministrio
da Defesa mediante o atendimento cumulativo das seguintes condies: (a) ter como
finalidade, em seu objeto social, a realizao ou conduo de atividades de pesquisa,
projeto, desenvolvimento, industrializao, prestao dos servios referidos no art. 10
da Lei n 12.598/2012, produo, reparo, conservao, reviso, converso,
modernizao ou manuteno de PED no Pas, includas a venda e a revenda somente
quando integradas s atividades industriais supracitadas; (b) ter no Pas a sede, a sua
administrao e o estabelecimento industrial, equiparado a industrial ou prestador de
servio; (c) dispor, no Pas, de comprovado conhecimento cientfico ou tecnolgico
prprio ou complementado por acordos de parceria com Instituio Cientfica e
Tecnolgica para realizao de atividades conjuntas de pesquisa cientfica e
tecnolgica e desenvolvimento de tecnologia, produto ou processo, relacionado
atividade desenvolvida; (d) assegurar, em seus atos constitutivos ou nos atos de seu
controlador direto ou indireto, que o conjunto de scios ou acionistas e grupos de
scios ou acionistas estrangeiros no possam exercer em cada assembleia geral
nmero de votos superior a 2/3 (dois teros) do total de votos que puderem ser
exercidos pelos acionistas brasileiros presentes; e (e) assegurar a continuidade
produtiva no Pas (Lei 12.598/2012).
Engenharia Social: Tcnica que utiliza o poder de influenciar pessoas visando a quebra
de segurana para a obteno indevida de informao ou para acesso, fsico ou lgico,
no autorizado (adaptado por: Grupo de Trabalho da Estratgia de SIC e SegCiber da
APF, 2015).
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR:
Grupo de pessoas com a responsabilidade de receber, analisar e responder s
notificaes e atividades relacionadas a incidentes de segurana em redes de
computadores (NC 05/IN01/DSIC/GSI/PR, 2009).
Gesto de riscos de segurana da informao e comunicaes: Conjunto de processos
que permite identificar e implementar as medidas de proteo necessrias para
minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao, e
equilibr-los com os custos operacionais e financeiros envolvidos (NC
04/IN01/DSIC/GSI/PR, 2009).
Guerra ciberntica: Conjunto de aes para uso ofensivo e defensivo de informaes e
sistemas de informaes para negar, explorar, corromper ou destruir valores do
adversrio baseados em informaes, sistemas de informao e redes de
computadores. Estas aes so elaboradas para obteno de vantagens tanto na rea
militar quanto na rea civil (Glossrio MD35-G-01, 2007).
Impacto: Mudana adversa no nvel obtido dos objetivos do negcio (ABNT, 2011).

78

Incidente de segurana: qualquer evento adverso, confirmado ou sob suspeita,

relacionado segurana dos sistemas de computao ou das redes de computadores
(NC 05/IN01/DSIC/GSI/PR, 2009).
Infraestruturas Crticas da Informao: Subconjunto de ativos de informao que
afetam diretamente a consecuo e a continuidade da misso do Estado e a segurana
da sociedade (Portaria 34 SE-CDN, 2009; NC 10/IN01/DSIC/GSI/PR, 2012).
Infraestruturas Crticas: Instalaes, servios, bens e sistemas que, se forem
interrompidos ou destrudos, provocaro srio impacto social, econmico, poltico,
internacional ou segurana do Estado e da sociedade (Portaria 45 GSI/PR, 2009).
Nvel de Maturidade em SIC e SegCiber: Estgio das prticas de SIC e SegCiber nos
rgos e entidades da APF, baseado em escala, que mede e avalia um conjunto de
objetivos que, quando satisfeitos, promovem a melhoria da qualidade na busca da
excelncia (adaptado por: Grupo de Trabalho da Estratgia de SIC e SegCiber da APF,
2015).
PDCA: Plan-Do-Check-Act, metodologia de melhoria contnua referenciada pela norma
ABNT NBR ISO/IEC 27001 (NC 02/IN01/DSIC/GSI/PR, 2008).
Quebra de Segurana: Ao ou omisso, intencional ou acidental, que resulta no
comprometimento da segurana da informao e das comunicaes (IN 01 GSI/PR,
2008).
Resilincia: Poder de recuperao ou capacidade de uma organizao resistir aos
efeitos de um desastre (NC 06/IN01/DSIC/GSI/PR, 2009).
Riscos de segurana da informao e comunicaes: Potencial associado explorao
de uma ou mais vulnerabilidades de um ativo de informao ou de um conjunto de tais
ativos, por parte de uma ou mais ameaas, com impacto negativo no negcio da
organizao. (NC 04/IN01/DSIC/GSI/PR, 2009).
Segurana Ciberntica: Arte de assegurar a existncia e a continuidade da Sociedade
da Informao de uma Nao, garantindo e protegendo, no Espao Ciberntico, seus
ativos de informao e suas infraestruturas crticas (Portaria 45 SE-CDN, 2009; BRASIL.
GSI/PR, 2010).
Segurana da Informao e Comunicaes: Aes que objetivam viabilizar e assegurar
a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes
(IN 01 GSI/PR, 2008).
Segurana da Informao: Proteo dos sistemas de informao contra a negao de
servio a usurios autorizados, assim como contra a intruso, e a modificao
desautorizada de dados ou informaes, armazenados, em processamento ou em
trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao
e do material, das reas e instalaes das comunicaes e computacional, assim como
as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu
desenvolvimento (Decreto n 3.505, 2000).

79

Tecnologia da Informao e Comunicao (TIC): Recursos necessrios para adquirir,

processar, armazenar e disseminar informaes (NBR ISO/IEC 38500: 2009).
Vulnerabilidade: Propriedade intrnseca de algo resultando em suscetibilidade a uma
fonte de risco que pode levar a um evento com uma conseqncia (ISO 31000, 2009).
Conjunto de fatores internos ou causa potencial de um incidente indesejado, que
podem resultar em risco para um sistema ou organizao, os quais podem ser evitados
por uma ao interna de segurana da informao (NC 04/IN01/DSIC/GSI/PR, 2009).

80