Dúvidas Frequentes do Framework do PPSI

O que o Framework de Privacidade e Segurança da Informação faz?

O objetivo do Framework de Privacidade e Segurança da Informação é orientar, especialmente as instituições públicas, podendo também ser utilizado por empresas privadas, de modo a identificar, acompanhar e implementar controles de privacidade e cibersegurança, além de fomentar a sua cultura, observadas as necessidades específicas de cada órgão. Além disso, o framework estabelece uma abordagem padrão e uma linguagem comum para descrever o trabalho de privacidade e segurança cibernética com uma completa descrição de cada controle incluindo a sua implementação.

Quem pode usar o Framework de Privacidade e Segurança da Informação?

Qualquer instituição pública e ou privada, que possua departamento responsável em atuar com a segurança e a privacidade de dados pessoais e queira implementar, adequar ou aprimorar os seus controles elevando os seus níveis de privacidade e segurança da informação.

Eu posso usar Framework de Privacidade e Segurança da Informação para desenvolver políticas de segurança específicas da minha instituição?

Sim, os controles e arcabouços legais apresentados no Guia do Framework de Privacidade e Segurança da Informação tornam possível o desenvolvimento da política de segurança da informação específica, estando em conformidade com as melhores práticas e totalmente aderente a legislação vigente. Ressalta-se que a instituição é livre para adequar todas as proposições deste documento a sua realidade. A abordagem proposta oferece uma sugestão de uso dos controles e medidas de privacidade e segurança da informação, contudo, esse fato não exclui a necessidade de que a instituição compreenda sua própria postura de risco institucional. A intenção é ajudar a organização a concentrar seus esforços com base nos recursos disponíveis, integrando-os a qualquer processo de gestão de risco pré-existente.

O que é a Ferramenta de acompanhamento da implementação do Framework?

A Ferramenta do Framework é uma Planilha Eletrônica, criada no Microsoft Excel, (pacote office 365), com funcionalidades, design e recursos específicos, desenvolvida pela equipe da SGD, com a finalidade de facilitar a aplicação e acompanhamento da implementação de suas medidas. Com ela, os indicadores de maturidade em privacidade e segurança da informação poderão ser obtidos e acompanhados a partir do preenchimento de seus formulários diagnósticos.

O que são os Formulários Diagnósticos da Ferramenta do Framework?

São formulários que devem ser preenchidos levando em conta as medidas de privacidade e segurança da informação implementadas no órgão. A partir das respostas inseridas neles será gerado uma visão do grau de maturidade e um plano de ação para implementação de novas medidas.

A Ferramenta do Framework pode ser executada em qualquer computador?

Sim. O principal pré-requisito é de software, pois a ferramenta depende do Microsoft Office 365 instalado para seu adequado funcionamento.

É necessária alguma configuração especial para executar a Ferramenta do Framework?

Sim. A Ferramenta do Framework utiliza instruções Visual Basic for Application (VBA) e para ser utilizada é necessário habilitar a execução de macros. Em caso de dúvidas, deve ser verificado junto à equipe de suporte do órgão se essa opção pode ser habilitada conforme definições da política de segurança interna do órgão.

Posso usar o Microsoft Office 365 versão free ou online para executar a Ferramenta do Framework?

Não. As funcionalidades das macros que constam na Ferramenta do Framework dependem do uso da versão Desktop do Microsoft Office 365.

As macros também funcionam na versão Microsoft Office 2016?

Não. Em testes feitos em laboratório, muitas macros apresentaram erros e inconsistências, ainda que a versão permita que a Ferramenta do Framework seja executada.

Fiz o download do arquivo da Ferramenta do Framework, mas não consigo editar nada. O que devo fazer?

Verifique se na parte superior da planilha aparece a mensagem: MODO DE EXIBIÇÃO PROTEGIDO. Em caso afirmativo, basta clicar no botão “HABILITAR EDIÇÃO”, constante na mesma área.

Há um aviso de Risco de Segurança no alto da minha planilha. Posso mesmo confiar na execução?

Há alguns elementos que ajudarão a ter a certeza de que é mesmo a Ferramenta do Framework. Em primeiro lugar, note o nome do arquivo na barra de títulos: ferramenta_frameworkpsi_pt-2. Observe ainda a presença do logotipo GOV.BR acima do título Primeiros Passos. Em caso de dúvidas, entre em contato com nossos canais de atendimento.
Tenho a certeza de que o arquivo é confiável, mas não consigo habilitar as macros. Como devo proceder?
Em primeiro lugar é necessário verificar com o setor responsável no seu órgão se as macros podem mesmo ser habilitadas ou se há alguma restrição interna. Mas, na maioria dos casos, você pode desbloquear as macros modificando as propriedades do arquivo da seguinte maneira:
1. Abra o Explorador de Arquivos do Windows e acesse a pasta onde você salvou o arquivo.
2. Clique com o botão direito do mouse no arquivo e escolha Propriedades no menu de contexto.
3. Na parte inferior da guia Geral, marque a caixa de seleção Desbloquear e selecione OK.
O nome do órgão não se encontra na lista de cadastro. Como eu posso inseri-lo?
Neste caso, selecione a opção OUTROS para o campo “Por favor Informe o seu Órgão” e na parte inferior esquerda da planilha, na seção OUTROS cadastre o Nome do Órgão e o CNPJ.

Não vejo nenhum menu para navegar nas opções da planilha. Isso é normal?

A planilha conta com três menus na forma de botões clicáveis, localizados no canto superior direito área de trabalho da planilha, que são: Cadastros, Diagnósticos e Relatórios. Para uma melhor visualização dos mesmos sugere-se ajustar o Zoom entre 60% e 70%.

Posso deixar sem preencher algum cargo dos responsáveis?

Embora não seja o desejável, é possível deixar sem preencher. Lembrando que é importante o preenchimento completo tão logo seja possível. Além disso, o correto preenchimento no cadastro faz com que os dados apareçam, preenchidos automaticamente, em outras áreas da ferramenta.

Como eu devo preencher o campo Nota Técnica?

Todos os campos (número do documento, diagnóstico e a data final de envio) serão preenchidos pela SGD de acordo com a nota técnica de referência.

Por que há uma nota técnica citada no formulário de cadastro?

A Nota Técnica citada é um documento oficial que foi elaborada pelos especialistas da SGD para avaliar o nível de maturidade de cada órgão integrante do SISP e reúne informações com orientações sobre controles de privacidade e segurança da informação que precisam ser priorizados. Neste contexto, a Ferramenta do Framework é também um importante instrumento para a atualização desses dados.

Qual a finalidade da Avaliação de Criticidade no Diagnóstico?

A Avaliação de Criticidade é o ponto de partida para o diagnóstico. Tem por finalidade identificar o grupo de implementação a partir da informação do nível de criticidade do sistema mais crítico.

Ao preencher o diagnóstico, consigo criar filtros personalizados?

Sim, pois a ferramenta de Filtro Avançado, da guia Dados continua disponível no Excel.

Tenho dificuldade de fazer uma Avaliação de Criticidade. Onde posso obter ajuda?

Para facilitar esse entendimento, a SGD disponibiliza o Modelo de Avaliação de Criticidade de Sistemas em forma de planilha. O link se encontra disponível na mesma área onde se encontra o Guia e a Ferramenta do Framework. Basta acessar o link: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/manual_ferramenta_framework.pdf

Na Estruturação Básica do Diagnóstico, posso deixar em branco alguma medida?

Não. É imprescindível o preenchimento do nível de capacidade e de todas suas medidas. Pois, tais medidas tem o objetivo, em sua maior parte, nos papeis e estruturas fundamentais para a condução da implementação do Framework.

Todos os formulários da ferramenta não são voltados para Segurança da Informação? Por que há um diagnóstico específico com esse nome?

Embora sejam igualmente importantes para a proteção de dados e da informação, Privacidade e Segurança da Informação são conceitos distintos. Perceba que há formulários e controles voltados para Segurança da Informação e outros para Privacidade. A privacidade se refere ao direito fundamental das pessoas de controlar o acesso, o uso e a divulgação de suas informações pessoais. E se relaciona à garantia de que as informações sejam coletadas, usadas e armazenadas de acordo com as leis e regulamentações aplicáveis. Já a Segurança da Informação está relacionada à proteção dos dados, sistemas e infraestrutura de uma organização contra ameaças internas e externas. Ela se concentra em garantir a confidencialidade, integridade e disponibilidade dos dados e sistemas de informação. A segurança da informação envolve medidas técnicas, administrativas e organizacionais para prevenir, detectar e responder a incidentes de segurança, como acesso não autorizado, perda de dados, ataques cibernéticos e violações de segurança.

Quando listo as respostas para o diagnóstico de Privacidade, vejo as mesmas respostas do diagnóstico de Segurança da Informação. Isso está correto ou minha ferramenta está com erro?

Sim, está correto. A lista de respostas é realmente a mesma para os Diagnósticos de Segurança da Informação e Privacidade.

No Questionário Qualitativo, posso deixar o mesmo valor em todas os controles?

Sim, mas somente se estiver certo de que esse é o valor adequado. Pois, O nível de capacidade trata no aspecto qualitativo, e tem como objetivo avaliar o nível de efetividade da adequação de um controle. O avaliador deverá considerar o nível correto de capacidade para cada controle. As respostas influenciam no cálculo da maturidade, ou seja, é importante avaliar em qual das opções de descrição melhor responde a medida do formulário.

Cliquei no botão “Atualizar Lista de Todos os Planos de Ação” e os dados sumiram. O que houve?

Provavelmente, clicou duas vezes. Deve ser considerado o seguinte uso para esse botão. Ao ter acesso ao formulário pela primeira vez para avaliar os planos de ação é importante clicar no botão “Atualizar Lista de todos os Planos de ação”, em seguida aguardar carregar todos os planos de ação aplicáveis, para então preencher os demais campos do formulário do plano de ação. Caso clique duas vezes, refaça a resposta e clique apenas uma vez.

Quando devo utilizar o botão “Atualizar Todas as Novas Respostas”?

Sempre que atualizar uma nova resposta (coluna Nova resposta do plano de ação) o botão “Atualizar Todas as Novas Respostas” poderá ser utilizado para refletir no(s) formulário(s) do(s) questionário(s) o novo status de implementação do(s) controle(s) alterados. É importante que essa ação seja executada para que os indicadores de maturidade de segurança (Iseg) e privacidade (Ipriv) sejam atualizados e representem o estágio atual do órgão.
O que ocorre com as medidas que não foram implementadas?
Todas as medidas que não foram implementadas nos formulários de diagnóstico serão usadas para compor o Plano de Ação.

O que os relatórios e dashboards mostram?

Eles apresentam de forma rápida, clara e objetiva visões sobre todos os controles. E englobam tanto aspectos de segurança da informação quanto de privacidade e tem como objetivo apresentar de forma consolidada a maturidade de cada controle.

Esperamos que essas informações tenham esclarecido suas dúvidas sobre o Framework de Privacidade e Segurança da Informação. Caso tenha outras perguntas, não hesite em nos contatar. E-mail: ppsi.sgd@gestao.gov.br