Segurança da Informação

Sigla: CSI

Tipo: Comissão

Período de Vigência: desde 7.3.2018

Situação: Andamento

Ato: Portaria 204/2018

➤ Mais informações e demais documentos

Nome
Presidência
Diretoria-Geral (DG)
Gestor de Segurança da Informação
Representante do Conselho de Zonas Eleitoral
Ouvidoria Eleitoral
Secretaria de Tecnologia da Informação (STIC)
Data Pauta Ata (formato PDF)
7.12.2023

Informações sobre ações tomadas decorrente do incidente do apagão elétrico;

Resultado da Ciência da PSI por meio da plataforma Knowbe4 e apresentação do novo formato da PSI;

Apresentação dos vídeos de conscientização sobre Golpes e Fraudes Online e Cuidados com a Black Friday.

Link
18.9.2023

Relatório sobre assuntos discutidos no Seminário de Segurança da Informação nas Cortes Superiores;

Ações tomadas decorrente do incidente do apagão elétrico;

Ciência da PSI por meio da plataforma Knowbe4 e apresentação do novo formato da PSI;

Conscientização sobre Propaganda Maliciosa;

Informação sobre incidente de emissão de certificado digital de forma fraudulenta no TJ-PR;

Atualização do SEI para versão mais nova.

Link
01.08.2023

1 Revisão do Processo de Gestão de Ativos

1.1 Gestão de Ativos

1.1.1 Dispõe sobre diretrizes gerais para Gestão de configuração de ativos de informação e processamento

1.1.2 Ativo de informação

1.1.2.1 Trata da classificação, aplicação de controles para garantir a segurança, monitoramento de riscos

1.1.3 Ativo de processamento

1.1.3.1 Realizar e manter inventário, definição de responsáveis e responsabilidades, classificação, registro e descarte

1.2 Mudanças

1.2.1 Retiradas referências à PSI antiga

1.2.2 Agente Público

1.2.2.1 Magistrados, promotores, servidores, requisitados, cedidos, estagiários, menor aprendiz e prestadores de serviço

1.2.3 Alterada a redação do art. 12 III

1.2.3.1 Ter pelo menos um (1) proprietário designado imediatamente pela Administração quando o ativo for incluído no patrimônio do TRE-MA.

1.2.3.2 Antigo

1.2.3.2.1 III - Ter pelo menos um (1) proprietário designado imediatamente pela Administração quando o ativo for incluído no patrimônio do TRE-MA ou ficar disponível para instalação ou utilização.

1.2.4 Alterada a redação do art. 15 IX

1.2.4.1 IX – Verificar periodicamente as configurações coletadas pela ferramenta de catálogo de configurações e complementá-las caso seja necessário.   

1.2.5 Alterada a redação do art. 17§1

1.2.5.1 §1º Após o recebimento provisório dos ativos de processamento pelo setor competente da STIC, este realizará a conferência do material recebido e informará ao fornecedor divergência quantitativa para resolução do problema;

1.2.5.2 Antigo

1.2.5.2.1 §1º Após o recebimento provisório dos ativos de processamento no setor de Patrimônio, este realizará a conferência do material recebido e informará ao fornecedor divergência quantitativa para resolução do problema;

2 Revisão IN 11/2022

2.1 Utilização de Duplo Fator de Autenticação no Acesso VPN

2.1.1 “Art. 63. Todo acesso deverá ser feito de forma autenticada com duplo fator de autenticação, com geração do código de autenticação (token) via aplicativo para dispositivos móveis (celular/tablet).”

3 Revisão Norma de Backup

Link
12.6.2023

- Avaliação das campanhas de treinamento já realizadas;

- Conclusão do processo de adição de licenças da plataforma de treinamento Knowbe4;

- Revisão de normativos: PSI e Gestão de Ativos;

- Nova trilha de treinamento para o próximo bimestre;

- Realização de mapeamento de processos que tratam dados pessoais;

- Apresentação do modelo de segurança em defesa profundidade.

Link
16.3.2023

- Ataque Cibernético;

- Plataforma de Conscientização: Cursos Realizados, Nova trilha de Treinamento, - Aditivo nas Licenças;

- Duplo Fator de Autenticação;

- Combate e Detecção de Incêndio.

Link
9.2.2023 Reunião do Comitê de Proteção de Dados Pessoais: Apresentação da política de Privacidade e Proteção de Dados Pessoais – Resolução TSE 23.650 de 09 de setembro de 2021 para que seja adotada como política do TRE-MA. Link
7.12.2022 Capacitação geral em  Segurança da Informação, LGPD e normas Link
31.8.2022 OSINT e Ações Eleições 2022 Link
10.5.2022 Desinformação, Plano de Continuidade, Plano de Recuperação, Inventário de Ativos, VPN, Ransomware Link
14.2.2022 Ações de Comunicação, Assuntos para Treinamento, Aquisições, Normas Link
21.4.2021 Criação da estrutura conforme portaria 363 CNJ, Implementações realizadas no site, Criação de formulário Link
8.2.2021 Apresentação de Normativos CNJ, Auditoria Interna, Eleição Link
2020

Não houve reunião nesse período

-

3.10.2019

Preparativos para implementação da LGPD

Link

10.7.2019

Apresentação do Portal da Segurança da Informação.

Apresentação da Resolução Classificação da Informação pela servidora Eliami Cantanhede.

Apresentação da Resolução Controle de Ativos e Controle de Acesso por Antonio Ferreira.

 

Link

18.6.2019

Apresentação de casos de ataques.

Prestação de contas do 1º ano de implantação da SI.

 

Link

31.1.2018

Foi apresentada a PSI do TRE-MA com foco nas atividades de desenvolvimento de procedimentos, normas e processos que cada participante da CSI terá que desempenhar baseadas nas diretrizes estabelecidas na PSI.

Link

Ano

Resultados

2023

O ano de 2023 foi marcado pela capacitação e conscientização das equipes técnicas em temas relevantes de Segurança da Informação. Foram ofertados cursos nas áreas de Fundamentos e Governança da Segurança da Informação, Continuidade de negócios, Auditoria com base nas normas da família ISO 27000 e Correlacionamento de eventos computacionais. Destaca-se que, ao longo deste ano, consolidou-se a utilização da plataforma de treinamento KnowBe4 como instrumento fundamental para a conscientização e capacitação dos servidores em segurança da informação, visando elevar o nível de maturidade, reconhecendo o fator humano como elo mais suscetível. No âmbito da Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), fomos partícipes em licitações para aquisição de ferramentas que permitem aumentar a capacidade de gerenciamento, monitoramento e investigação de possíveis incidentes cibernéticos. Nesse sentido, também foi dado continuidade aos trabalhos de operacionalização de ferramentas de segurança cibernética adquiridas no ano de 2022. Desenvolvidas de forma colaborativa com os outros TRE's, foram implantadas normas complementares que visam atender as diretrizes estabelecidas na Política de Segurança da Informação. Essas normas tratam sobre Gerenciamento de Vulnerabilidades, Gestão e Monitoramento de logs e Configuração Segura de Ambientes, aprimorando o arcabouço básico de segurança cibernética do TRE-MA. Vale ressaltar que, embora a Política de Segurança da Informação (PSI) já tenha sido publicada, sua divulgação foi realizada em formato "visual law" para simplificar o entendimento e assegurar que todos os servidores tivessem pleno conhecimento. O TRE-MA tem avançado de maneira significativa no que tange às questões de privacidade e proteção de dados pessoais, buscando plena conformidade com a Lei Geral de Proteção de Dados Pessoais e abordando as lacunas identificadas em auditoria realizada pelo Tribunal de Contas da União (TCU). Isso se reflete na publicação de normas específicas para a privacidade e proteção de dados pessoais, bem como na oferta de diversos treinamentos em modalidades EAD e online, com foco na proteção de dados pessoais. Estas ações visam preparar a equipe para a realização de um inventário detalhado de dados pessoais, objetivando levantar informações por processo de trabalho sobre como o TRE-MA trata dados pessoais e, a partir desse diagnóstico, adotar medidas corretivas para eventuais lacunas identificadas.

2022

No ano de 2022, foi iniciada a aquisição conjunta com outros TREs, de diversas ferramentas e equipamentos para reforçar a segurança da informação, seguindo um plano definido nacionalmente. Foi também priorizada a capacitação das áreas técnicas e o desenvolvimento de normas que irão facilitar a implantação de novas formas de trabalho seguindo as melhores práticas do mercado. A preocupação com a proteção e privacidade de dados pessoais foi também priorizada com a realização de treinamento para todos os servidores visando a formação de uma consciência em proteção de dados pessoais.

2021

 Na recente reestruturação realizada por este TRE, foram criadas a Seção de Segurança Cibernética vinculada à Secretaria de Tecnologia da Informação e Comunicação, e a nível estratégico, criou a Seção de Segurança da Informação, ligada diretamente à Diretoria Geral do Tribunal. Outro fato importante foi a realização de eventos com Juízes e servidores para tratar exclusivamente de assuntos relacionados à temática da segurança da Informação, bem como, a criação do portal de Segurança da Informação.
Comitê de Segurança da Informação

2020

Entendendo que o ser humano é o elo mais fraco na cadeia da segurança da informação e, portanto, como forma de criar uma cultura de segurança da informação na instituição e elevar o nível de maturidade dos seus servidores, diversas ações de conscientização foram implementadas. As redes sociais do TRE-MA têm sido usadas para dar amplo conhecimento dessas ações, assim como para apresentar relatos de ataques cibernéticos sofridos por outras instituições.

Por fim, estaremos em breve inaugurando o nosso portal da segurança da informação, como também liberando para todos os nossos usuários um treinamento em EAD, referente a essa temática.

2018

A segurança da informação visa proteger um dos principais patrimônios da instituição que é a informação, pois qualquer perda ou alteração não autorizada pode gerar consequências graves.

O ano de 2018 foi um marco para o TRE-MA no que diz respeito a segurança da informação, uma vez que adotou formalmente sua política de segurança da informação, criando uma estrutura para gerenciar e fomentar o tema na instituição, além de iniciar a formalização e padronização de procedimentos relativos a segurança da informação.

Entendendo que a informação está sobre constante risco e da importância de protegê-la, o TRE-MA tomou uma série de iniciativas nesse sentido:

  1. Adoção da Política de Segurança da Informação (PSI) do TSE (Resolução 23.501-TSE) como sua PSI, abrangendo segurança lógica e física, por meio da Resolução 9.128.
  2. Criação das estruturas funcionais definidas na PSI que visam o gerenciamento e desenvolvimento da segurança da informação dentro do TRE-MA:
            - Comitê da Segurança da Informação (CSI) – Portaria 737;
            - Equipe para Tratamento de Incidentes de Rede (ETIR) - Portaria 738
            - Gestor da Segurança da Informação – Portaria 736;
  1. Elaboração de normas e procedimentos definidos na PSI:
            - IN 8/2018 - Norma definindo o processo de trabalho da Equipe para tratamento de incidentes de rede;
            - IN 7/2018 - Norma que define procedimentos para controle de acessos a redes de computadores e sistemas, uso de              correio eletrônico, internet, Redes Privadas Virtuais (VPN);
            - IN 10/2018 - Norma que define requisitos para desenvolvimento de sistemas seguros.
  1. Definição do layout do portal da segurança da informação na internet;
  2. Início do desenvolvimento da norma para classificação da informação e controle de ativos.

 

2019

A segurança da informação visa proteger um dos principais patrimônios da instituição que é a informação, pois qualquer perda ou alteração não autorizada pode gerar consequências graves.

No ano de 2019 foi possível aplicar alguns dos normativos até então criados, além de ter sido um ano de muita atividade do Comitê de Segurança da Informação, onde o foco foi a conscientização e sensibilização dos membros da CSI para o tema de segurança.

Foi dado continuidade na construção de novos normativos, como a norma de Classificação da Informação que foi pulicada e a norma de controle de ativos que está em desenvolvimento, além da realização de ajustes de normativos existentes.

Com vistas à preparação do TRE para a entrada em vigor da lei 13.709/2018 – Lei Geral de Proteção de Dados, que trata da proteção de dados pessoais com o foco na manutenção da privacidade, o TRE-MA fez uma capacitação para nivelamento de conhecimento de algumas chefias e alta direção.

Outra iniciativa tomada juntamente com a ASCOM foi a alimentação do portal da segurança da informação com notícias, dicas, cartilhas e vídeos sobre segurança da informação.  Portal será publicado no ano de 2020.

Entendendo que a informação está sobre constante risco e da importância de protegê-la, o TRE-MA tomou uma série de iniciativas nesse sentido até o momento. Abaixo um resumo das ações tomadas desde a implantação da Política de Segurança da Informação:

  1. Adoção da Política de Segurança da Informação (PSI) do TSE (Resolução 23.501-TSE) como sua PSI, abrangendo segurança lógica e física, por meio da Resolução 9.128.
  2. Criação das estruturas funcionais definidas na PSI que visam o gerenciamento e desenvolvimento da segurança da informação dentro do TRE-MA:
            - Comitê da Segurança da Informação (CSI) – Portaria 737;
            - Equipe para Tratamento de Incidentes de Rede (ETIR) - Portaria 738
            - Gestor da Segurança da Informação – Portaria 736;
  1. Elaboração de normas e procedimentos definidos na PSI:
            - IN 8/2018 - Norma definindo o processo de trabalho da Equipe para tratamento de incidentes de rede;
            - IN 7/2018 - Norma que define procedimentos para controle de acessos a redes de computadores e sistemas, uso de              correio eletrônico, internet, Redes Privadas Virtuais (VPN);
            - IN 10/2018 - Norma que define requisitos para desenvolvimento de sistemas seguros.