Grupo de Trabalho - Segurança da Informação e responsabilidade dos usuários

#1

Prezados, este tópico é destinado ao grupo de trabalho, que foi instituído no último Fórum Técnico de Tecnologia da Informação e Comunicação (FTTIC), com a finalidade de tratar a forma pela qual a segurança da informação deve ser tratada na PMSP e, também, as regras de uso, acesso e resposabilização dos usuários de TIC.

COMPONENTES DO GRUPO

Edmilson Moraes - PR Capela do Socorro - edmilsonmoraes@prefeitura.sp.gov.br
Diego Kovags - APDO SMIT - dkovags@prefeitura.sp.gov.br
Alexander - APDO SMIT - acalixto@prefeitura.sp.gov.br
José Ricardo Vicente – PRODAM - joserv@prodam.sp.gov.br

Facilitador: Luiz Kobayashi - SMIT - lkobayashi@prefeitura.sp.gov.br

2 Curtidas
#2

Boa tarde,

Nossa sugestão é criar uma política Institucional para empoderar o TIC, pois hoje só temos Ordens Internas em algumas Pasta da PMSP.

Para isso podem se basear em:

a) Lei 8.989/79 (Estatuto do Servidor Público do Municipal de São Paulo) – Cap. II – Art. 179 – Parágrafos XIII e IX e Art. 184 .

b) Lei nº. 9.609/98 (LEI DE SOFTWARE);

c) DECRETO Nº 56.130/15 – Código de Conduta Funcional dos Agentes Públicos e da Alta Administração Municipal.

Espero ter ajudado.

Rogerio Fazio

2 Curtidas
#3

Além dos normativos acima, acredito também que as próprias Ordens Internas citadas pelo @d827520 podem servir de insumo para a discussão, embora obviamente o seu alcance seja apenas local.

Como exemplo e referência, cito a Portaria SF 132/2016, que institui a Política de Segurança da Informação (POSIN) da Secretaria da Fazenda.

Acho que pegar esses normativos e, com base nelas e em outras fontes de conhecimentos, montar uma política de segurança que alcance a todos os Órgãos Setoriais, pode ser uma forma de tratarmos o tema. O que acham?

3 Curtidas
#4

Segue anexada o exemplo da Política citada pelo @d805891.
Politica de Seguranca de Informacao (POSIN).pdf (474,2 KB)

3 Curtidas
#5

Boa tarde, meu pensamento segue a mesma linha do seu, podemos montar uma que seja uniforme e que seja útil para todos os Órgãos Setoriais, vou ler na íntegra o que o nosso colega @d841164 disponibilizou e desta forma penso que podemos ir formulando o nosso.
Quanto mais pessoas puderem contribuir, mesmo sendo com casos específicos de suas respectivas Unidades, melhor nosso modelo ficará.

#6

Boa tarde pessoal, creio que a maioria saiba, mas as principais normas que servem como um guia para o estabelecimento de Política de Segurança da Informação são a família ISO 27000, tais como:

ISO 27001 - Requisitos de SGSI (Sistema de Gestão de Segurança da Informação)
ISO 27002 - Fornece um conjunto de controles baseados nas melhores práticas para o SGSI
ISO 27005 - Gestão de Riscos de Segurança da Informação
ISO 27014 - Governança de Segurança da Informação

Obs: Todas essas normas são pagas, mas é possível encontrar resumos na Internet.

1 Curtida
#7

Bom dia!

Pessoal, algum de vocês já possui algum modelo para darmos o pontapé inicial? mesmo que apenas um modelo de sugestão?

vamos tentar fazer nosso grupo de trabalho gerar algum resultado (mesmo que parcial) já para o próximo fórum (que está previsto para (18/10), que tal?

posso me oferecer para formatar o documento e colocar em moldes, pois já tenho alguns boletins técnicos que fiz para alguns procedimentos internos aqui que eram rotineiros e que sempre geravam dúvidas em quem executava.

#8

Edmilson, boa tarde, tudo bem?

Concordo plenamente contigo em gerar resultados interessantes para todos nós.

Concordo também que o resultado mais imediato seria a padronização de alguns procedimentos internos mais rotineiros relativos à Segurança.

O Planejamento Estratégico de TIC traz também uma necessidade de disciplinar a gestão de usuários, o que estaria alinhado com essa padronização.

Acho que, para o próximo Fórum Técnico, podemos pensar em levar dois resultados:

  1. Uma lista de assuntos relativos à Segurança da Informação que podem/precisam ser padronizados, para dar maior segurança e empoderamento para quem trabalha em TIC nas pontas; e
  2. Um primeiro foco maior na questão de gestão de usuários.

Ao mesmo tempo, estava pensando em marcar uma reunião presencial para conversarmos sobre o tema.

Dado que o nosso grupo só tem você como representante “da ponta”, a minha proposta seria marcarmos uma reunião aí em Capela do Socorro e chamar os outros servidores que trabalham com TI da região (Parelheiros, M’Boi, Campo Limpo, Santo Amaro, Cidade Adhemar) para tentarmos levantar/consolidar essa lista de demandas e, eventualmente, possíveis soluções.

O que acha? Se estiver de acordo, podemos marcar para quarta-feira da semana que vem, por exemplo?

1 Curtida
#9

Fórum Técnico - Grupo de trabalho de Segurança da Informação.
Reunião 1
Data: 20/09/2017 (4ª feira)
Local: PR-Capela do Socorro
Participantes: Edmilson (Capela do Socorro), Enoel (Capela do Socorro), Irapuan (M’Boij), Emerson (Parelheiros), Diego Kovags(APDO-TI) e Luiz Kobayashi (SMIT/CGTIC)

Pontos levantados:

  1. Complexidade e diversidade dos processos de solicitação de acesso
    a. Sistemas diferentes tem processos (procedimentos) diferentes para solicitar o acesso
    b. Não é fácil saber como proceder, pois os processos podem ser bastante diversos
    c. Os processos podem ser extremamente burocráticos e lentos
    i. Requerendo inclusive assinaturas físicas e envios de formulário via malote

  2. Ciclo de vida do usuário
    a. É relativamente fácil saber quando o usuário entra (ele solicita acesso), mas não é fácil saber quando o usuário sai (ninguém avisa)
    b. Também não é fácil saber quando o usuário mudou de lotação
    i. As mudanças podem inclusive ser informais

  3. Acúmulo de privilégios
    a. Os usuários transitam de uma lotação a outra e os privilégios de acesso vão se acumulando
    i. No fim, os usuários se tornam superusuários

  4. Segregação de permissionamento
    a. Foi levantada a ideia de criar grupos no AD para melhorar a segregação de usuários

  5. Empréstimo de senha
    a. É bastante comum o empréstimo de senha, inclusive na Alta Administração
    i. Pessoas sem acesso ganham acesso mediante empréstimo
    ii. Pode ser também um indício de que as competências das pessoas não estão bem definidas (“todo mundo faz um pouco de tudo”)

  6. Conselho Tutelar
    a. A gestão de usuários é feito pelo CT, mas a gestão de privilégios está nas PRs
    i. A PR não tem como adivinhar o que acontece no CT
    ii. Problemas de segregação de funções CT e PR

  7. Usos “menos adequados” da internet
    a. Pode ser interessante ter uma definição do que pode ou não fazer na rede, sem prejuízo da legislação já existente (exemplo tradicional: Lei nº 14.098, de 8 de dezembro de 2005 - http://www3.prefeitura.sp.gov.br/cadlem/secretarias/negocios_juridicos/cadlem/integra.asp?alt=09122005L%20140980000 )
    b. Foi levantada a ideia de atuação direta no switch core para filtrar o tráfego desnecessário ainda dentro do Órgão Setorial
    c. Tem também a questão do proxy, que pode ser alterado para acesso sem filtragem

Proposta de encaminhamento:

A proposta atual de encaminhamento feita pelo Órgão Central é atacar inicialmente os 5 primeiros pontos, agrupando em três iniciativas:

A) Racionalização dos processos de solicitação de acesso
a. O SEI! já tem processos de solicitação de acesso, facilitando uma transição das solicitações em papel para o SEI!
b. Necessário levantar/atualizar os processos existentes
i. O Edmilson já passou um primeiro documento, precisa ver se está atual

B) Gestão de identidades
a. Pelo menos, munir o pessoal de TI com o poder normativo de criar, alterar, bloquear e excluir usuários
i. Hoje, não está escrito em nenhum lugar que o pessoal de TI pode fazer isso
b. Seria interessante avaliar alguma interface com o RH
i. Exemplo: fornecimento periódico da lista de exonerados pelo RH

C) Gestão de acessos
a. Avaliar possibilidades de segregação de permissionamento no AD mediante grupos e OUs
b. Definir algumas boas práticas básicas de navegação na internet para os usuários finais

----------------- *** FIM *** -----------------------

2 Curtidas