RES: [Estruturantes] Fase Final dos Trabalhos
Ramon Gomes Brandão
ramon.brandao em planejamento.gov.br
Terça Fevereiro 11 14:51:00 BRST 2014
Caros,
Essa é uma discussão bastante válida e necessária. Concordo com o colega
Marcelo a respeito do caráter disciplinatório inicial da norma, quando
aplicada ao caso das atividades consulares brasileiras. A preocupação do
colega João é válida, pois pode causar impacto nas atividades
corriqueiras das nossas embaixadas mundo afora.
Lembremo-nos, entretanto, que não incitar, pelo menos nas discussão
sobre a norma após ser entregue ao CGSI, a melhora em algumas situações
de SIC da APF, perderemos a janela de oportunidades, no tocante à
situação dos sistemas estruturantes consulares do Brasil. Onde estão
esses sistemas hoje? O João pode nos esclarecer melhor, mas creio que o
MRE, ou através do SERPRO ou por estrutura própria, hospeda esses
sistemas e as embaixadas mundo afora se conectam via internet, VPN,
satélite etc. Imaginem a situação em que, sem uma norma brasileira que
dispusesse claramente ou detalhadamente em contrário, um estruturante
brasileiro fosse então hospedado em um CPD da embaixada brasileira nos
Estados Unidos ou na Inglaterra. Creio que, conforme nos esclareceu o
João, essa situação iria se embaraçar mais ainda pelo fato da própria
indefinição entre "território nacional" e local inviolável. Na minha
opinião, a questão jurídica seria o menor dos problemas, pois, em caso
do comprometimento da SIC de um sistema hospedado dessa maneira, o dano
já estaria feito, com possibilidades de controle e contorno muito
menores do que estando em território nacional (controle o qual já é
bastante difícil). Em face dos eventos dos últimos meses, imaginem o
risco para a soberania nacional.
Creio que é uma oportunidade para levar essa discussão para o CGSI. No
meu entendimento, não deveríamos retirar esse dispositivo de nossa
norma, pois é a única que traz, até onde pudemos ver, orientação
específica a respeito dessa hospedagem. Não pudemos verificar em maiores
detalhes a situação do MRE, mas creio que o sistema de gestão consular
brasileiro não esteja hospedado (e nem poderia estar) em terras
estrangeiras. Com esse dispositivo 4.2.1, acredito que será a forma de
provocarmos melhorias de segurança da informação bastante necessárias
para as atividades consulares brasileiras, e não apenas criar uma norma
que se adapte à realidade existente. Nosso objetivo é exatamente sair
dela :)
Quanto ao item 4.3.2, adicionei-o na última versão da minuta
encaminhada, para nossa discussão. Trata sobre a gestão de identidades
unificada para os estruturantes da APF. Lembremos que, para as normas
complementares do GSI, a expressão "sempre que possível" tem
praticamente o mesmo peso do "cumpra-se". Tentamos ainda usar termos
como "na medida do possível", mas que, na prática terão o mesmo efeito
do "cumpra-se" também. Observando o caput do item 4, elucidamos que "os
padrões de segurança dos sistemas estruturantes deverão incorporar,
*gradativamente*, controles de segurança da informação ...". Creio que,
apesar da gestão de identidades não estar amplamente implantada, não
precisamos colocar "sempre que possível", pois a ideia já estaria
embutida na gradação da implantação desse controle. E, em termos
interpretativos, o "sempre que possível" traria a ideia de que um
estruturante poderia existir sem a integração à gestão de identidades,
fato que, na minha opinião, queremos combater. O que acham?
Quanto ao memorando de encerramento dos trabalhos e o relatório de
atividades, alguma crítica?
Atenciosamente,
Ramon Gomes Brandão
**
**
*RAMON GOMES BRANDÃO*
*Analista de Planejamento e Orçamento*
*Coordenação de Infraestrutura - Segurança da Informação*
COINF/CGTEC/SEAGE/SOF
Ministério do Planejamento, Orçamento e Gestão
_ramon.brandao em planejamento.gov.br_
(61) 2020- 2178; Ramal 2178
/"Seja a mudança que queres ver no mundo."/ (Mahatma Gandhi)
On 06/02/2014 18:52, João Eduardo Gonçalves da Silva wrote:
> Ramon Gomes Brandão
>
> Caro Marcelo,
>
> Desculpe se não fui claro. Estava exatamente me referindo à
> infraestrutura dentro das repartições diplomáticas brasileiras. Sob o
> ponto de vista jurídico internacional, ainda há controvérsias se essas
> repartições são, para todos os fins e direitos, consideradas como
> "território nacional" ou simplesmente locais invioláveis. O próprio
> Decreto que você menciona não cita "dentro de território nacional",
> por isso acho que seria, smj, prudente suprimir esse detalhamento, que
> não me parece afetar, na prática, o nosso objetivo.
>
> Para sua informação, segue o texto original do item 4.3.2 da minuta:
>
> 4.3.2 O acesso lógico ao sistema estruturante deverá ser integrado à
> gestão unificada de identidades e acessos da APF e deverá empregar:
>
> Att.,
>
> João Eduardo
>
> *De:*estruturantes-bounces em listas.planalto.gov.br
> [mailto:estruturantes-bounces em listas.planalto.gov.br] *Em nome de
> *Marcelo de Almeida Maymone
> *Enviada em:* quinta-feira, 6 de fevereiro de 2014 18:13
> *Para:* estruturantes em listas.planalto.gov.br
> *Assunto:* RES: [Estruturantes] Fase Final dos Trabalhos
> *Prioridade:* Alta
>
> Caros integrantes do GT Estruturantes,
>
> Desculpe minha dúvida. Mas, se possível, gostaria de entender melhor o
> problema apresentado pelo colega.
>
> Quanto ao item 4.2.1 que determina que "os dispositivos de
> armazenamento, recuperação e contingência de dados que suportam, total
> ou parcialmente, sistemas estruturantes deverão estar fisicamente
> localizados em dependências de um ou mais órgãos ou entidades públicos
> da administração pública federal, *dentro do território nacional*,
> conforme legislação em vigor".
>
> A questão é:
>
> Haveria então, sistemas estruturantes cuja infraestrutura esteja
> hospedada no exterior fora das embaixadas e consulados brasileiros?
>
> Ou seja, sistema que atendesse mais de um órgão da APF cujos
> servidores, storages, firewalls, switches e etc estariam terceirizados
> em empresas estrangeiras e fisicamente localizados no exterior?
>
> Bem, se este for o caso, há de se notar o previsto no Decreto 8.135,
> de 4 de novembro de 2013, destacando o § 4º do Art 1º, a saber:
>
> "Art. 1º As comunicações de dados da administração pública federal
> direta, autárquica e fundacional deverão ser realizadas por redes de
> telecomunicações e serviços de tecnologia da informação fornecidos por
> órgãos ou entidades da administração pública federal, incluindo
> empresas públicas e sociedades de economia mista da União e suas
> subsidiárias.
>
> (...)
>
> § 4º O armazenamento e a recuperação de dados a que se refere
> o caput deverá ser realizada em centro de processamento de dados
> fornecido por órgãos e entidades da administração pública federal."
>
> Evidentemente o Decreto ainda será regulado, contudo a proposta da
> Norma, a meu ver, parece menos restritiva se comparada ao Decreto
> 8.135/2013 já em vigor.
>
> Por outro lado, a despeito de qualquer sistema de governo,
> estruturante ou não, que estiver em produção em infraestrutura no
> exterior é demasiadamente vulnerável e crítico, em termos de segurança
> da informação e comunicações. Até mesmo para efeito jurídico, tal
> situação é embaraçosa para a administração pública, uma vez que não
> garante a soberania brasileira sobre ativos de informação nacionais.
> Em outras palavras, bens públicos nacionais a mercê de decisões
> alheias à Nação. Isso para não me estender em outras áreas onde a
> quebra de segurança de sistemas nessa situação prejudicaria, em última
> instância, o país e a sociedade brasileira.
>
> Sem considerar qualquer impacto econômico ou estrutural em sistemas já
> existentes, penso que tal circunstância não seria desejável ou mesmo
> aceitável, no que se refere à SIC. Portanto, o item 4.2.1 é uma
> excelente oportunidade de o GT tipificar o cuidado desejado para
> sistemas de TI do Estado brasileiro, corroborando com a finalidade do
> Comitê em fomentar a SIC no âmbito da APF.
>
> Vocês concordam?
>
> Claro que, se há sistemas nestas condições, esta seria uma boa
> oportunidade para os gestores subsidiarem atualizações para evitar
> esta situação. Entendendo que toda adaptação às novas normas tem um
> prazo de execução, este seria um passo importante para segurança dos
> nossos ativos.
>
> Quanto ao 4.3.1, não encontrei a referência, será que a minuta que eu
> tenho está desatualizada (versão de 07JAN14)?
>
> Por fim, esta é apenas uma opinião. Poderíamos desenvolver mais esta
> ideia e formularmos conceitos substanciados que publicados em normas,
> poderão se tornar contribuições perenes para uma doutrina de SIC.
>
> Obrigado. Estamos às ordens.
>
> Cordialmente,
>
> *MARCELO DE ALMEIDA MAYMONE*
>
> /Assessor Técnico/
>
> Núcleo de Segurança e Credenciamento
>
> Gabinete de Segurança Institucional da Presidência da República
>
> DSIC: (61) 3411-1429, (61) 3411-1348 e FAX (61) 3411-1217
>
> *De:*estruturantes-bounces em listas.planalto.gov.br
> <mailto:estruturantes-bounces em listas.planalto.gov.br>
> [mailto:estruturantes-bounces em listas.planalto.gov.br] *Em nome de
> *João Eduardo Gonçalves da Silva
> *Enviada em:* quinta-feira, 6 de fevereiro de 2014 14:09
> *Para:* 'estruturantes em listas.planalto.gov.br'
> *Assunto:* RES: [Estruturantes] Fase Final dos Trabalhos
>
> Caro Ramon,
>
> Com relação ao conteúdo, tenho apenas duas sugestões a fazer:
>
> - 4.2.1 > "dentro de território nacional", pode, eventualmente, não
> ser o caso, ainda que numa repartição diplomática no exterior. Eu
> suprimiria essa indicação.
>
> - 4.3.2 > Por não estar ainda amplamente implantada, embora já seja
> uma realidade, eu alteraria ligeiramente de "...deverá ser integrado à
> gestão..." para "...deverá, sempre que possível, ser integrado à...".
>
> Era isso!
>
> Abs,
>
> João Eduardo
>
> *De:*estruturantes-bounces em listas.planalto.gov.br
> <mailto:estruturantes-bounces em listas.planalto.gov.br>
> [mailto:estruturantes-bounces em listas.planalto.gov.br] *Em nome de
> *Ramon Gomes Brandão
> *Enviada em:* segunda-feira, 3 de fevereiro de 2014 20:24
> *Para:* estruturantes em listas.planalto.gov.br
> <mailto:estruturantes em listas.planalto.gov.br>
> *Assunto:* [Estruturantes] Fase Final dos Trabalhos
>
> Caros,
>
> Estamos nos dirigindo para a finalização dos trabalhos dessa
> "instância" de nosso grupo. Em conversa com o colega Maymone na última
> reunião, externei a minha opinião/sugestão de encaminharmos ao comitê,
> além da minuta de norma, aquela antiga ideia nossa de estabelecimento
> de um fórum permanente de discussão, no âmbito do CGSI, a respeito da
> segurança dos estruturantes, a qual pudemos notar, ao longo desses
> meses de discussão, que carece de muita atenção por parte do
> Estado/governo. Consideramos ser uma boa ideia tal andamento.
>
> Com o intuito de não perdermos, afinal, a janela de oportunidade,
> encaminho para apreciação dos senhores dois documentos (peço vossa
> contribuição para uma leitura crítica):
>
> 1) Memorando de encerramento dos trabalhos e relatório final de
> atividades - Alcyr/Maymone, poderiam me informar qual é a portaria
> desse ano que instituiu os grupos de trabalho?;
>
> 2) Minuta de Norma Complementar - realizei mais uma alteração no item
> CONTROLE DE ACESSO, após participar de uma promissora reunião no MP
> sobre a Gestão Unificada de Identidades dos estruturantes. A Gestão
> Unificada de Identidades da APF já é uma realidade, senhores, e já
> está em fase final de implantação no novo SIGEPE.
>
> Peço a manifestação dos senhores, no mais tardar até a quinta feira
> (6/2), para que, na sexta, possamos encaminhar a documentação ao GSI e
> encerrarmos oficialmente os trabalhos.
>
> Abraço a todos,
>
> --
>
> *RAMON GOMES BRANDÃO*
>
> *Analista de Planejamento e Orçamento*
>
> *Coordenação de Infraestrutura - Segurança da Informação*
>
> COINF/CGTEC/SEAGE/SOF
>
> Ministério do Planejamento, Orçamento e Gestão
>
> _ramon.brandao em planejamento.gov.br
> <mailto:ramon.brandao em planejamento.gov.br>_
>
> (61) 2020- 2178; Ramal 2178
>
> /"Seja a mudança que queres ver no mundo."/(Mahatma Gandhi)
>
>
>
> _______________________________________________
> Estruturantes mailing list
> Estruturantes em listas.planalto.gov.br
> https://www1.planalto.gov.br/mailman/listinfo/estruturantes
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www1.planalto.gov.br/pipermail/estruturantes/attachments/20140211/e38d63e4/attachment-0001.html
Mais detalhes sobre a lista de discussão Estruturantes