de assessores de ti - rio de janeiro€¦ · •trato dos processos e serviços de segurança da...
Post on 27-Aug-2020
1 Views
Preview:
TRANSCRIPT
Rio de Janeiro 11 de setembro de 2019
Realização: Apoio:
DE ASSESSORES DE TI
Pedimos por gentileza que coloquem seus aparelhos em modo silencioso.
09:00h Credenciamento - Café de boas vindas
10:00h Abertura - Guilherme Telles
10:10h Marco Vieira - Estratégia de TI do ERJ
10:30h William Souza - Aspectos Comportamentais da Segurança da Informação
11:00h Bruno Lemos - Gestão e Governança de TIC no ERJ
11:20h Board do PRODERJ - Perguntas e Respostas
12:00h Encerramento - Guilherme Telles
PROGRAMAÇÃO 30º Fórum Assessores
Guilherme Telles Presidente do PRODERJ
Realização: Apoio:
DE ASSESSORES DE TI
Marco Vieira Sub Secretário de TIC do ERJ
Realização: Apoio:
DE ASSESSORES DE TI
SETIC Decreto 46.665/2019
SUBTIC – Direção Geral
I - conduzir a governança, a gestão, o planejamento, a normatização e a supervisão do SETIC;
II - promover a discussão para o aperfeiçoamento de políticas públicas na área de TIC no Estado;
III - promover a integração e racionalização dos processos e meios que contribuam para implementação da Política de Governo na área de TIC;
IV - estabelecer as prioridades de alocação de recursos orçamentários para os investimentos e as despesas de custeio referente aos projetos do Governo do Estado na área de TIC;
SUBTIC – Direção Geral
V - disciplinar, por meio de atos e regulamentos:
a) a integração das bases de dados geridas pelos órgãos da administração direta e indireta estadual;
b) a segurança das informações sob responsabilidade da administração estadual;
c) as contratações consideradas corporativas de itens relacionados à TIC;
d) a adoção de padrões, no âmbito do Governo do Estado, concernentes a equipamentos de informática e de comunicação de dados, de rede, de segurança e de aplicativos de automação de escritórios;
SUBTIC – Direção Geral
e) a disponibilização de serviços na internet, de forma a serem incorporados, numa visão integrada, ao governo eletrônico (digital) do Estado do Rio de Janeiro;
f) o treinamento, qualificação e aprimoramento contínuo dos recursos humanos do Governo do Estado, envolvidos com TIC;
g) a manutenção das informações de todos os programas e projetos planejados e em desenvolvimento, relacionados a TIC no âmbito da administração estadual; e
h) outros temas considerados relevantes para a padronização, a integração ou a economia de recursos para o Governo do Estado na área de TIC.
Normatizações publicadas
MG e PR Municípios: Bragança/PA, Luzerna/SC, Rio Negrinho/SC, Parauapebas/PA e Belo Horizonte/MG
•Decreto 46.584/2019 – Subtic assume competências do CONSETI
•Decreto 46.665/2019 – Reestruturação do sistema de TIC (fim do CONSETI)
•Decreto 46.623/2019 – Inventário de TIC
•Decreto 46.631/2019 – alterado pelo Decreto 46.726/2019 – envio de informações de contratações acima de R$ 200.000,00 para a Subtic
•Resolução 53 – Obrigatoriedade de elaboração de PDTIC até 30 de setembro para publicação em 30 de outubro
Normatizações em andamento
MG e PR Municípios: Bragança/PA, Luzerna/SC, Rio Negrinho/SC, Parauapebas/PA e Belo Horizonte/MG
• Orientações e vedações para contratação de computação em nuvem - IAAS
• Modelo de elaboração de Estudo Técnico Preliminar para contratações de TIC
• Orientações para contratação de Software
• Normatização geral para segurança em TIC
• Modelo de Governança de TIC
Atividades em andamento Subtic e Proderj
MG e PR Municípios: Bragança/PA, Luzerna/SC, Rio Negrinho/SC, Parauapebas/PA e Belo Horizonte/MG
• Estruturação de projeto para adequação do estado à LGPD • Estruturação de projeto para avançar no projeto gov.br • Estudo para alteração de Elementos e Subelementos de despesas • Reformulação de catálogo do SIGA • Operação Assistida para apoiar na elaboração do PDTIC
Movimento Governo Digital
RJ
OBRIGADO!
SUBTIC | Subsecretaria de
Tecnologia da Informação e
Comunicação
21 2334-3672 |
subsecretaria-tic@casacivil.rj.gov.br
William de Souza Assessor Especial da Presidência do PRODERJ
Realização: Apoio:
DE ASSESSORES DE TI
“Aspectos comportamentais da Segurança da Informação”
11/09
PALESTRANTE: William Augusto Rodrigues de Souza
William Augusto Rodrigues de Souza
PhD in Information Security (Low-level security)
Membro:
- British Neuroscience Association [21303790] - International Association for Cryptologic Research [20080258]
DSc em Engenharia de Sistemas e Computação
(Inteligência Artificial)
OBJETIVOS • Apresentar a experiência do PRODERJ; • Reestruturação dos processos
institucionais de Segurança da Informação motivando os membros da audiência a buscar parceria com o PRODERJ;
• Trato dos processos e serviços de segurança da informação ou ainda nos demais processos de TIC.
• Furto de identidade; • Furto e perda de dados; • Invasão de privacidade; • Furto de credenciais; • Phishing; • Páginas falsas de comércio eletrônico ou internet
banking; • Mensagens contendo links para códigos maliciosos; • Golpes de comércio eletrônico; • Malware. Em média 2 anos para se descobrir um atacante em
um computador! (OWASP Foundation).
RISCOS
• Ataques e ameaças, principalmente relacionadas ao SOFTWARE;
• Sem processos formais de segurança da informação;
• Lei Geral de Proteção de Dados - LGPD.
QUESTÕES ENCONTRADAS
Abordagem do PRODERJ às questões de SI Centro de Resposta e Tratamento a Incidentes (CSIRT)
CSIRT-RIO
Caberá ao PRODERJ organizar, coordenar e liderar as ações da rede CSIRT-RIO
Célula de
CSIRT
CSIRT-RIO
Célula de
CSIRT
Célula de
CSIRT
Célula de
CSIRT
Célula de
CSIRT
Célula de
CSIRT
Participação efetiva das entidades Estaduais
Apoio da alta administração Estadual
Célula de
CSIRT
LABCOMP & LABGUERCIB Avaliação de segurança em software
Treino em defesa e ataque (pen test)
+ + + SERVIDORES LABORATÓRIO FERRAMENTAS METODOLOGIA
PROPÓSITO Contribuir para o desenvolvimento seguro
e para a segurança de softwares desenvolvidos ou adquiridos pelo PRODERJ
Lei nº 13.709, de 14 de agosto de 2018 Terá efeito a partir de AGOSTO 2020!
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
É possível impedir 100% dos vazamentos de dados?
NÃO!
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: Dentre outras situações... VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados... IX - a adoção de política de boas práticas e governança.
ENTÃO…
SUPERANDO AS QUESTÕES
• Uma Política de Segurança da Informação - PSI, contendo 30 normas e planos.
• Com a operação dos laboratórios e a aplicação das normas e planos os ataques bem-sucedidos tenderão a ZERO!
• Outras questões relacionadas à LGPD de
caráter não tecnológico, serão discutidas oportunamente.
SUPERANDO A QUESTÃO DA LGPD
OUTROS PROJETOS
• Projeto de anonimização;
• Mensageria (Telegram) criptografada;
• Correio eletrônico criptografado.
Parâmetros da ABEP (TIC)
Nossa meta: - Final de 2019, PRODERJ TOP 10 - Final de 2020, PRODERJ TOP 5
Medir e monitorar o nível de maturidade do PRODERJ
em Segurança da informação - Controles CIS V 7.1
METAS
• Conscientização; • Estrutura computacional robusta; • Ferramental de segurança da informação
adequado; • Necessidade de Técnicos especializados; • Arcabouço normativo adequado ao órgão
particular; • Contratos; • Padronização das tecnologias; • Processo eficiente de comunicação.
PRINCIPAIS DESAFIOS
• Equipe especializada dedicada à segurança da informação;
• Governança, Risco (gestão), Conformidade - GRC; • Capacitação (PRODERJ Capacita); • Eventos temáticos sobre assuntos atuais (como a
LGPD); • Atuação em rede (cooperação); • Órgão central do SETIC (Decreto Nº 46.665 de
17/05/2019); • Monitoramento integral da Rede Governo; • Parque computacional robusto (Datacenter CICC).
FORÇAS
OBRIGADO
Bruno Lemos Vice Presidente de Tecnologia do PRODERJ
Realização: Apoio:
DE ASSESSORES DE TI
“Atas de registro de preços e aquisições”
11/09
PALESTRANTE:
Bruno Lemos
forumticrj@proderj.rj.gov.br
Atas em andamento (2º semestre – 2019)
• Infovia 3.0
• Microcomputadores e Notebooks
• Serviço de impressão
Atas em elaboração (1º semestre – 2020)
• Licenciamento e serviços Microsoft
• Serviços – Ponto de Função e Unidades de
serviços técnicos
• Infraestrutura – Cabeamento estruturado
forumticrj@proderj.rj.gov.br
Iniciativas
• Aprimoramento da catalogação do SIGA
• Downsizing do Mainframe
• BIM (Building Information Modeling)
• Segurança da informação
forumticrj@proderj.rj.gov.br
“tratamento” operações realizadas com os dados pessoais
forumticrj@proderj.rj.gov.br
S E L F I E
Painel de Perguntas
Realização: Apoio:
DE ASSESSORES DE TI
Realização: Apoio:
Rio de Janeiro 25 de junho de 2019
forumticrj@proderj.rj.gov.br
“tratamento” operações realizadas com os dados pessoais
forumticrj@proderj.rj.gov.br
top related