Boas práticas a serem adotadas visando mitigar os principais riscos inerentes à segurança cibernética.
1. A presente Recomendação foi confeccionada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) em parceria com a Secretaria do Governo Digital (SGD) e com o Serviço Federal de Processamento de Dados (SERPRO) e tem como objetivo orientar os órgãos públicos e os parceiros do setor privado sobre as boas práticas a serem adotadas visando mitigar os principais riscos inerentes à segurança cibernética. Esta Recomendação ratifica o OFÍCIO CIRCULAR Nº 1/2022/CGGSI/DSI/GSI/PR, de 7 de fevereiro do corrente.
2. O trabalho remoto, intensificado em virtude da pandemia, aumentou significativamente a oferta de serviços na internet e o acesso remoto às redes corporativas. A preocupação com a segurança cibernética passou a ser ponto fundamental da estabilidade social. Diante disso, a experiência alcançada, por meio da colaboração de organizações, demonstrou ser uma importante ferramenta na elaboração de medidas preventivas, tais como:
a. revisar periodicamente a política de segurança da informação, de segurança cibernética ou equivalente;
b. revisar periodicamente o plano estratégico de segurança dos ativos críticos da organização, além de manter atualizado o inventário desses ativos críticos;
c. estabelecer um plano de gestão de backup que contemple o armazenamento seguro dos dados copiados e que sejam observadas questões para o backup tais como como estar isolado, offline, redundante, além de se realizar testes periódicos de recuperação de dados;
d. possuir ambiente com virtualização de servidores, onde se considere a utilização de snapshots (preservando o estado e os dados de uma máquina virtual em um determinado momento), atualizados regularmente, de forma a viabilizar o rápido retorno de sistemas críticos quando necessário;
e. estabelecer um plano de gestão de atualização de sistemas computacionais;
f. implementar e revisar periodicamente a política de senhas da organização, obrigando que elas sejam fortes, que não possam ser repetidas quando trocadas, além de terem período de expiração razoável;
g. mapear e rever os privilégios de usuários, implementando a política de privilégio mínimo;
h. implementar um plano de segurança de acesso remoto da organização que contemple a utilização de VPN e duplo/múltiplo fator de autenticação, além da revisão periódica sobre a necessidade de acesso remoto para cada caso;
i. implementar um plano de autenticação de sistemas que contemple a utilização de múltiplo fator de autenticação sempre que possível, além de gestão de acesso a usuários internos e externos, ativos ou afastados;
j. manter registro de eventos de sistemas (logs) centralizado e em ambiente controlado;
k. implementar plano de bloquear credenciais de funcionários ou colaboradores que estejam afastados (férias, licenças etc.);
l. manter o sistema de gerenciamento contra malwares (antivírus) sempre atualizado, avaliando possíveis recomendações de melhoria que o produto ou fabricante possa oferecer;
m. quando viável, implementar o acesso externo ao ambiente da rede interna por meio de utilização de jump server, ou equivalente; e
n. estabelecer plano de conscientização do público interno sobre medidas de segurança quando da utilização do e-mail e rede corporativa, reforçando a necessidade de comunicação à equipe de prevenção, tratamento e resposta a incidentes cibernéticos (ETIR) local em caso de suspeita de incidentes.
3. Em caso de incidente, os órgãos da administração pública federal (APF) deverão notificar a própria ETIR e realizar a contenção do incidente, isolando ativos suspeitos e preservando evidências. A ETIR deverá, de acordo com o Decreto Nº 10.748/16, notificar o CTIR Gov o mais breve possível.
4. O CTIR Gov publica periodicamente os Alertas e Recomendações, que podem ser acessados pelo link: https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes.
5. A SGD também disponibiliza um guia de resposta a incidentes por meio da url: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_resposta_incidentes.pdf
6. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas ETIR setoriais que orientem a sua constituency (integrantes de seus respectivos setores) sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da APF direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Dessa forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).
7. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação (referência: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938).
8. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse: https://www.gov.br/ctir/pt-br/assuntos/tlp