#002 - Gestão do controle de acessos e reforço da conscientização
[TLP:CLEAR]
O atual cenário de transição governamental e mudança nas equipes e chefias demandam ações diferenciadas para mitigar os eventuais riscos cibernéticos e garantir a adequada disponibilidade de sistemas, plataformas, soluções e serviços essenciais prestados à população. Nesse sentido, a Secretaria de Governo Digital do Ministério da Gestão e Inovação em Serviços Públicos recomenda a adoção imediata de boas práticas de privacidade e segurança da informação pelos órgãos e entidades do SISP, destacadas a seguir:
1. Gestão do Controle de Acessos
Recomendamos a estrita observância às políticas e boas práticas de gestão de acessos previstas no Framework de Privacidade e Segurança da Informação, SGD, em especial as Medidas 6.1 — Estabelecer um Processo de Concessão de Acesso e a 6.2 — Estabelecer um Processo de Revogação de Acesso, do Controle 6 - Gestão de Controle de Acesso, complementadas com as práticas a seguir:
Medida: 6.2 — Estabelecer um Processo de Revogação de Acesso
Hipótese 01: servidores exonerados ou dispensados de cargos em comissão e que não permanecerem em exercício no órgão.
Hipótese 02: terceirizados e estagiários desligados
Prática recomendada: as credenciais devem ser imediatamente bloqueadas/revogadas.
Hipótese 03: servidores dispensados de cargos em comissão e que permanecerem em exercício no órgão.
Prática recomendada: as permissões devem ser revisadas, considerando eventuais novas atribuições do servidor. Deve ser observado o princípio do privilégio mínimo, ou seja, o servidor deverá ter acesso apenas aos ativos e informações essenciais para a execução de suas atribuições.
Medida 6.1 — Estabelecer um Processo de Concessão de Acesso
Hipótese 04: novos servidores nomeados, cedidos, movimentados ou descentralizados.
Hipótese 05: novos terceirizados e estagiários
Prática recomendada: o acesso deverá ser concedido observando a política vigente e as boas práticas, independente de nível hierárquico. Deve ser observado o princípio do privilégio mínimo, ou seja, o servidor deverá ter acesso apenas aos ativos e informações essenciais para a execução de suas atribuições.
As práticas de concessão ou revogação de acessos deverão ser aplicadas em todo o ambiente do órgão, seja ele tecnológico ou físico, como catracas, e-mail, SEI, sistemas finalísticos, VPN, redes sociais oficiais, entre outros.
2. Programa de Privacidade e Segurança da Informação (PPSI) e CISC gov.br
Diante da rotatividade de servidores, terceirizados e estagiários, bem como da criação de novos órgãos e políticas públicas, convém o reforço de campanhas de conscientização com alertas e dicas relacionadas a golpes de Phishing e outras boas práticas de segurança da informação. Além disso, os novos usuários deverão ser conscientizados sobre os canais institucionais para comunicação de incidentes de privacidade e segurança da informação disponível em https://www.gov.br/cisc/pt-br.
Medidas adicionais também podem ser encontradas no Programa de Privacidade e Segurança da Informação (PPSI) da SGD. O PPSI foi instituído como um conjunto de projetos e operações que tem como objetivo elevar a maturidade e a resiliência dos órgãos pertencentes ao Sistema de Administração de Recursos de Tecnologia da Informação (SISP), em termos de privacidade e segurança da informação. O referido programa é composto por ações articuladas nas áreas temáticas de Governança, Maturidade, Metodologia, Pessoas e Tecnologia. Além do Framework de Privacidade e Segurança da Informação, diversos guias e templates na temática estão disponíveis em PPSI-SGD.
[TLP:CLEAR]