Há pouco tempo, nos deparamos com a seguinte manchete nos jornais: “Governo proíbe uso de criptografia estrangeira em dados de órgãos públicos”

Este assunto vale uma reflexão…

Repensar políticas públicas com o intuito de aprimorar a Segurança da Informação é sempre louvável, principalmente em épocas de paranoia em níveis máximos – lembrando que os profissionais de segurança ainda devem a Edward Snowden uma louvação pelo impulso que este deu à disciplina, trazendo-a de volta à ribalta.

Assim, partindo-se da premissa de que somos permanentemente monitorados, a homologação e entrada em vigor de quatro normas complementares (abaixo) e a instituição de grupos de trabalho para proposição de outras normas para a Administração Pública Federal, publicadas no Diário Oficial da União no último dia 16 de julho, são um passo à frente.

Todavia, é importante que novos passos sejam dados, de forma a tornar consistentes as iniciativas e garantir que as reais necessidades do país sejam atendidas.

Detalhando as publicações

Dissecando um pouco mais as normas publicadas e a instituição dos grupos de trabalho, temos:

a) Publicação da Revisão 01 da Norma Complementar nº 07/IN01/DSIC/GSIPR que estabelece diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta, que estabelece, entre outros aspectos:
– A sistematização do controle de acesso, incluindo as condicionantes prévias para concessão do acesso
com diretrizes para controle de acesso físico e lógico;
– A subordinação da implementação de controles (de acesso) a um processo de Gestão de Riscos de Segurança da Informação e Comunicações e a autorização superior;
– A necessidade de elaboração e divulgação de normas específicas e de estabelecimento de programas periódicos de sensibilização e conscientização em Segurança;
– A sugestão de um modelo de Termo de Responsabilidade pelo tratamento de ativos de informação e pela utilização de informações e de um modelo de Classificação de Ativos de Informação.

b) Publicação da Revisão 02 da Norma Complementar nº 09/IN01/DSIC/GSIPR, que estabelece orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta, que estabelece, entre outros aspectos:
– Responsabilidades relacionadas ao uso de recursos criptográficos;
– O uso de algoritmo de Estado na produção, armazenamento, transmissão, transporte e recepção de informações classificadas;
– A utilização de algoritmo de Estado em VPNs que interliguem redes de órgãos e entidades da APF para a troca de informações classificadas;
– O uso de recursos criptográficos (definidos na norma como sistemas, programas, processos, equipamentos isolados ou em rede que utilizem algoritmo simétrico ou assimétrico) para realizar cifração ou decifração de informações classificadas;
– O uso exclusivo de recursos criptográficos de desenvolvimento próprio ou por órgãos ou entidades da APF, sendo vedada a participação e contratação de empresas e profissionais externos para este desenvolvimento. Exceção prevista para Empresas Estratégicas de Defesa (EEDs), com autorização superior e sendo o recurso desenvolvido de propriedade e uso exclusivo do órgão ou entidade contratante ou de outros órgãos ou entidades da APF;
– A definição de padrões mínimos para recursos criptográficos, de acordo com a classificação da informação e o tipo de algoritmo utilizado;
– A adequação dos recursos criptográficos já em uso, no prazo máximo de 180 dias – a contar da publicação da norma (16/07/2014);
– A adoção de recursos criptográficos baseados em algoritmo de Estado no prazo de 1 ano – a contar da publicação da norma;
– A proposição de um modelo de Termo de Uso de Recursos Criptográfico que inclui a proibição de realização de testes de invasão/intrusão/penetração, teste de quebra de senhas, teste de quebra de cifração, e teste de técnicas de invasão e defesa, entre outros, nestes recursos.

c) Publicação da Norma Complementar nº 19/IN01/DSIC/GSIPR que estabelece padrões mínimos de Segurança da Informação e Comunicações para os sistemas estruturantes (sistemas com suporte de tecnologia da informação fundamentais e imprescindíveis para planejamento, coordenação, execução, descentralização, delegação de competência, controle ou auditoria das ações do Estado, além de outras atividades auxiliares, desde que comum a dois ou mais órgãos da Administração e que necessitem de coordenação central) da Administração Pública Federal (APF), direta e indireta, que estabelece, entre outros aspectos:
– Princípios, diretrizes e procedimentos para planejamento, concepção e manutenção destes sistemas, bem como para sua infraestrutura, referenciando sempre a observância de um processo formal de Gestão de Riscos de Segurança da Informação e Comunicações e de diretrizes para a gestão de continuidade de negócios, além de boas práticas de Segurança como as descritas na NBR/ISO 27001:2013;
– Abertura para uso de infraestruturas em nuvem, desde que restritas às infraestruturas de órgãos ou entidades da administração pública federal;
– Uso exclusivo de infraestruturas de rede e telecomunicações fornecidas por órgãos ou entidades da administração pública federal.

d) Publicação da Norma Complementar nº 20/IN01/DSIC/GSIPR que estabelece Diretrizes de Segurança da Informação e Comunicações para Instituição do Processo de Tratamento da Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta, que estabelece, entre outros aspectos:
– Diretrizes gerais para instituição do processo de tratamento da informação no âmbito da Administração Pública Federal;
– Diretrizes específicas envolvendo todas as etapas do ciclo de vida da informação, no âmbito da Administração Pública Federal, incluindo Produção e Recepção, Registro e Armazenamento, Uso e Disseminação e Destinação de informações.

e) Instituição, no âmbito do Comitê Gestor de Segurança da Informação – CGSI, de 4 (quatro) Grupos de Trabalho para estudo, análise e proposição de normas complementares (…) a cerca de temas relevantes relacionados à Segurança da Informação e Comunicações para a Administração Pública Federal (APF), direta e indireta, a saber:
I – Preservação de evidências de incidentes em Segurança da Informação e Comunicações (SIC);
II – Segurança da Informação em grandes volumes de dados;
III – Segurança em recursos humanos em SIC;
IV – Elaboração de Guia de orientações ao gestor de SIC.

Opinião

meio

Reforço a minha percepção de que as 4 normas (e a criação dos grupos de trabalho) tem aspectos positivos que se sobrepõem aos negativos. Todavia, alguns pontos chamam a atenção:

– O suporte das iniciativas de Segurança da Informação por processos de Gestão de Riscos, que ajudam a confirmar a aderência às necessidades reais dos órgãos ou entidades da APF, de acordo com a mais modernas práticas no setor;

– Uma preocupação com o elemento humano na Segurança da Informação, comumente referenciado como o elo mais fraco da cadeia, a partir de práticas de sensibilização e conscientização, bem como pela busca de uma norma específica para segurança em recursos humanos e de um guia para orientação de gestores;

– Em relação ao uso de algoritmo de Estado: poucos órgãos ou entidades da APF são hoje capazes de criar algoritmos de Estado de acordo com as características estabelecidas. Sabidamente o CEPESC (Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações), com o qual outros órgãos ou entidades da APF terão que estabelecer convênios;

– Em relação ao uso de recursos criptográficos de desenvolvimento próprio ou por órgãos ou entidades da APF: novamente, até onde eu tenho conhecimento, somente o CEPESC divulga a propriedade de equipamentos de desenvolvimento próprio. Alguns empresas nacionais (incluindo EEDs) comercializam equipamentos criptográficos que suportam criptografia de Estado, mas isto os desconfigura como recursos criptográficos compatíveis com a norma, e, caso algum outro órgão ou entidade da APF utilize-se hoje de equipamentos destes fabricantes, deverá estar atento à sua adequação;

– Ainda quanto ao uso de algoritmos de Estado e de recursos criptográficos exclusivos e secretos, volta à tona uma discussão recorrente (e válida) sobre sigilo (ligado à segurança por obscuridade) e segurança, que tem movimentado as discussões em um grupo de especialistas brasileiros em Segurança da Informação do qual tenho o prazer de participar. Neste grupo sugere-se a participação efetiva da comunidade de segurança (e da comunidade científica em geral) na validação tanto dos algoritmos de Estado quanto dos recursos criptográficos utilizados em conformidade com a norma, a fim de garantir sua real qualidade (e segurança). Cita-se inclusive o renomado especialista e pesquisador americano Steven Bellovin, que sugere que deve-se projetar um sistema “assumindo que os seus adversários conheçam-no em detalhe”, citando inclusive uma fonte na NSA, que afirmava que a premissa padrão na agência americana seria de que o primeiro exemplar de qualquer novo dispositivo tecnológico criado havia sido entregue ao Kremlin. Ou ainda, citando um dos princípios definidos pelo matemático francês Auguste Kerckhoffs em artigo publicado no periódico La Cryptographie Militaire, em 1883: “um sistema criptográfico militar não requer sigilo e não deve ser um problema se ele cair em mãos inimigas”. Segundo o próprio Kerckhoffs: “um sistema criptográfico deve ser praticamente, se não matematicamente, indecifrável”. Ou seja, para Bellovin, apesar da obscuridade ser um obstáculo a mais que os seus inimigos terão que vencer, não se deve confiar exclusivamente nisso, sugerindo que o argumento dos que defendem a avaliação pública tanto de algoritmos quanto de recursos criptográficos seja bastante válido;

– Sobre o prazo de 180 dias para adequação dos recursos criptográficos já em uso em órgãos e entidades da APF a esta norma: arrojado! Estabelecimento de convênios (sempre difíceis em organizações que se acostumaram a tratar suas infraestruturas e práticas internas como reafirmação da sua independência), compra de equipamentos (regida por leis, com prazos mínimos para realização dos processos), treinamento de profissionais e implantação em produção de novas tecnologias, adequando-as ao legado existente, em um prazo de 6 meses, assusta até aos mais confiantes gerentes de projetos. Alguns, menos crédulos, poderiam sugerir ser inviável ou impossível. Mesmo o prazo de 1 ano para adequação dos órgãos e entidades que hoje não usam este tipo de tecnologia parece bastante improvável;

– Interessante ver a APF abrindo-se, mesmo que timidamente, para a computação em nuvem, e buscando entender e normatizar práticas em análise forense e big data, essenciais para o estabelecimento de práticas efetivas em ciber segurança.

Veja também:

Torno a repetir que acho louváveis as iniciativas, apesar de necessitarem de aprimoramento. Principalmente no que tange a ouvir a comunidade científica e especialistas – não devemos cultivar a arrogância de nos julgarmos donos da verdade e capazes de ter as melhores ideias e soluções sem discuti-las, compartilha-las e aprimorá-las, com o apoio de pessoas que podem realmente contribuir para o processo.

Por fim, entendo que implementar e garantir segurança é normalmente um processo de ruptura – com o status quo, as práticas arraigadas e os conceitos vigentes. E não há ruptura sem dor.

Maurício Taves

taves pequenaGerente de Operações da Módulo Security Solutions, com vasta experiência em Gestão de Infraestrutura e de Projetos e forte conhecimento em Gestão de Riscos, Segurança da Informação e Continuidade de Negócios, tendo atuado durante muitos anos também na área de serviços, em organizações de grande porte, de diversos segmentos. Certificado CISSP, CISA, MCRM,MCSO e ISO 27001 Lead Auditor (pelo DNV), além de ser Mestre em Administração pela EBAPE/FGV.

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/08/15.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/08/15.pngMaurício TavesSegurança da Informaçãosegurança da informação
Há pouco tempo, nos deparamos com a seguinte manchete nos jornais: 'Governo proíbe uso de criptografia estrangeira em dados de órgãos públicos' Este assunto vale uma reflexão... Repensar políticas públicas com o intuito de aprimorar a Segurança da Informação é sempre louvável, principalmente em épocas de paranoia em níveis máximos -...