A segurança digital no setor público é um tema de crescente relevância, impulsionado pela rápida evolução tecnológica e pela crescente digitalização dos serviços governamentais. Soluções digitais não apenas promovem a eficiência, mas também a transparência e acessibilidade das políticas públicas, permitindo uma oferta de serviços mais ampla e eficaz aos cidadãos. Contudo, essa adoção tecnológica também acarreta novos desafios e responsabilidades para os gestores, que devem garantir a segurança e a integridade dos dados das instituições. A incidência de ciberataques contra organizações governamentais tem aumentado significativamente, com um crescimento de 95% no segundo semestre de 2022 em comparação com 2021, e com motivações que vão além do financeiro, incluindo razões políticas, religiosas ou econômicas. O custo médio de uma violação cibernética no setor público também subiu 7,25% de março de 2021 a março de 2022, atingindo uma média de US$ 2,07 milhões. No Brasil, o Tribunal de Contas da União (TCU) identificou que a maioria das instituições públicas federais apresenta baixo ou intermediário nível de maturidade em relação aos controles de segurança digital, expondo-as a ataques cibernéticos e riscos como manipulação de tráfego de rede, comprometimento de contas de usuários, roubo, vazamento e perda de dados, ou interrupção de sistemas. Problemas como a falta de recursos, investimento, pessoal e capacitação, além da pouca efetividade na implementação de normas e a necessidade de envolver a alta administração, contribuem para essas fragilidades. Diante deste cenário, a implementação de boas práticas em segurança digital é indispensável para a sustentabilidade das políticas públicas e a melhor prestação de serviços ao cidadão.

Arcabouço Legal e Regulatório

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, representa um marco significativo na regulamentação da privacidade e proteção de dados no Brasil, estabelecendo um arcabouço legal para a proteção dos titulares de dados pessoais. Para o setor público, a conformidade com a LGPD é uma obrigação legal e uma oportunidade para fortalecer as medidas de segurança da informação e tutelar os direitos fundamentais dos cidadãos, incluindo o direito à privacidade. A LGPD exige a implementação de medidas técnicas e administrativas adequadas para proteger dados pessoais contra acessos não autorizados, perdas, alterações, destruição ou tratamento inadequado. Além disso, impõe a designação de um Encarregado de Proteção de Dados (DPO) responsável por garantir o cumprimento da LGPD. Os princípios da Administração Pública, como legalidade, impessoalidade, moralidade, publicidade e eficiência (Art. 37 da Constituição Federal), alinham-se com os fundamentos da LGPD, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

A Política Nacional de Segurança da Informação (PNSI), instituída pelo Decreto nº 9.637/2018, tem como finalidade assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação em âmbito nacional, abrangendo segurança cibernética, defesa cibernética, segurança física e proteção de dados organizacionais. O Gabinete de Segurança Institucional da Presidência da República (GSI/PR), na condição de órgão governante superior, planeja, coordena e supervisiona a atividade de segurança da informação na Administração Pública Federal (APF), publicando normativos (Instruções Normativas e Normas Complementares) de cumprimento obrigatório. Diversos domínios relacionados à segurança da informação e cibernética já são contemplados por essas normas vigentes, como a IN GSI/PR nº 1/2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e entidades da APF, e a IN GSI/PR nº 5/2021, que trata dos requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem. A Norma Complementar (NC) nº 05/IN01/DSIC/GSIPR disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da APF. Complementarmente, a Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) foi instituída pelo Decreto nº 10.748/2021 com o objetivo de aprimorar e manter a coordenação entre órgãos e entidades da administração pública federal para prevenção, tratamento e resposta a incidentes cibernéticos, elevando o nível de resiliência em segurança cibernética.

O Tribunal de Contas da União (TCU), ao avaliar a segurança digital no setor público, concluiu que o quadro é alarmante e considera uma boa prática a implementação dos controles do CIS v8, utilizando-os no acompanhamento da segurança cibernética das organizações públicas federais, reforçando sua adoção gradual em auditorias.

Componentes e Princípios da Governança de Segurança Digital

A Governança de Segurança da Informação (GovSI) é um subconjunto da governança corporativa que provê direção estratégica, garante o atingimento dos objetivos, gerencia riscos adequadamente, usa os recursos organizacionais com responsabilidade e monitora o sucesso ou falha do programa de segurança institucional. Conceitualmente, a GovSI consiste em um conjunto de políticas e processos que permite às instituições monitorar, avaliar e direcionar a gestão de seus ativos de informação, reduzindo os riscos à sua integridade, confidencialidade e disponibilidade, de forma alinhada com as necessidades de negócios. Ela visa alinhar os objetivos e estratégias de segurança da informação com os objetivos de negócio, sempre em conformidade com leis, regulamentos e contratos.

Os objetivos da GovSI são o alinhamento estratégico (alinhar os objetivos e a estratégia da SIC com os objetivos e estratégia do negócio), a entrega de valor (agregar valor para o corpo de governança e para as partes interessadas) e a garantia de que os riscos da informação estão sendo adequadamente abordados (responsabilidade). Os resultados esperados incluem visibilidade sobre a situação da SIC, agilidade na tomada de decisões quanto aos riscos da informação, investimentos eficientes em SIC e conformidade legal.

Modelos e normas internacionais, como o NIST Cybersecurity Framework, o NIST Privacy Framework, e as normas da ISO/IEC e ABNT NBR, foram fundamentais para a estruturação do Guia do Framework de Privacidade e Segurança da Informação da Secretaria de Governo Digital (SGD). Embora as diretrizes do NIST tenham origem nas leis norte-americanas, elas são reconhecidas por considerar as particularidades do setor público e servir como base para adaptações em outros países. A norma ABNT NBR ISO/IEC 27014:2013 é também considerada uma boa prática pelos órgãos fiscalizadores da APF.

Boas Práticas e Controles Essenciais para Órgãos Públicos

A implementação de boas práticas em segurança digital envolve uma abordagem abrangente que considera usuários, dados, equipamentos e o perímetro da rede. O Framework de Privacidade e Segurança da Informação proposto pela Secretaria de Governo Digital (SGD) do Ministério da Gestão e da Inovação em Serviços Públicos organiza os controles em categorias para auxiliar as instituições públicas.

1. Estruturação Básica de Gestão em Privacidade e Segurança da Informação (Controle 0): Este controle foca nos papéis e estruturas fundamentais para a condução e implementação do Framework, independentemente da complexidade dos sistemas da instituição. A alta administração desempenha um papel crucial para garantir que essa estrutura seja estabelecida. Os papéis incluem:

• Gestor de Tecnologia da Informação e Comunicação (TIC): Responsável por planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de TIC, considerando a cadeia de suprimentos.
• Encarregado pelo Tratamento de Dados Pessoais (DPO): Conduz o diagnóstico de privacidade e orienta os gestores proprietários dos ativos de informação sobre a implementação de controles de privacidade em ativos que tratam dados pessoais.
• Gestor de Segurança da Informação: Planeja, implementa e aprimora continuamente os controles de segurança da informação em ativos de informação.
• Responsável pela Unidade de Controle Interno: Atua no apoio, supervisão e monitoramento das atividades desenvolvidas pela primeira linha de defesa.
• Comitê de Segurança da Informação ou estrutura equivalente: Delibera sobre assuntos da Política Nacional de Segurança da Informação.
• Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR): Constitui a rede de equipes, integrada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do GSI/PR.
• Política de Segurança da Informação (POSIN): Documento implementado a partir da formalização e aprovação pela autoridade máxima da instituição, com o objetivo de estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação.

2. Controles de Cibersegurança (Baseados no CIS Controls v8): Esses controles são ações priorizadas que atuam coletivamente na defesa de sistemas e infraestrutura de rede, aplicando as melhores práticas para mitigar os tipos mais comuns de ataques cibernéticos. O Guia CIS Controls v8 é composto por 18 controles que abordam diversos temas da cibersegurança. As instituições públicas devem adotar as 56 medidas do Grupo de Implementação 1 (GI1) do CIS, que foca na higiene cibernética, independentemente da complexidade do ambiente tecnológico.

• Inventário e Controle de Ativos Institucionais (Controle 1): É fundamental estabelecer e manter um inventário detalhado, preciso e atualizado de todos os ativos corporativos (dispositivos de usuário final, rede, IoT, servidores) com potencial para armazenar ou processar dados, revisando-o semestralmente ou com mais frequência. É igualmente crucial possuir um processo semanal para lidar com ativos não autorizados, removendo-os da rede, negando sua conexão ou colocando-os em quarentena. Os inventários de ativos podem conter dados pessoais e, portanto, devem ser tratados com a devida privacidade.
• Inventário e Controle de Ativos de Software (Controle 2): Gerenciar ativamente (inventariar, rastrear e corrigir) todo o software na rede, assegurando que apenas o software autorizado seja instalado e executado, e que todo software não autorizado e não gerenciado seja encontrado e impedido de instalação ou retirado de uso. O inventário de software deve documentar título, editor, data de instalação/uso e objetivo de negócio, com revisão semestral ou mais frequente.
• Proteção de Dados (Controle 3): Utilizar processos e ferramentas para identificar, classificar, manusear, reter e descartar dados de forma segura. A implementação deste controle ajuda a proteger uma infinidade de informações, incluindo as Pessoais Identificáveis (PII), contra exposição não autorizada. É essencial estabelecer e manter um esquema de classificação de dados, assegurando que administradores de TI e responsáveis pela privacidade tenham conhecimento dos tipos de dados coletados e saibam como identificar e relatar dados pessoais recém-descobertos. A criptografia é fundamental para dados em dispositivos de usuário final que contenham dados sensíveis, em mídias removíveis, em trânsito (utilizando padrões como TLS e Open SSH), e em repouso em servidores, aplicações e bancos de dados. O descarte de dados pessoais deve ser realizado de maneira segura e em conformidade com as políticas existentes.
• Configuração Segura de Ativos Institucionais e Software (Controle 4): Evitar que configurações padrão ou inseguras sejam exploradas, estabelecendo e mantendo um processo de configuração segura para ativos corporativos (dispositivos de usuário final, rede, IoT e servidores) e software (sistemas operacionais e aplicações). As atualizações de configuração de segurança precisam ser gerenciadas e mantidas ao longo do ciclo de vida dos ativos e softwares, rastreadas e aprovadas por meio de um processo de fluxo de trabalho de gestão de configuração para conformidade e resposta a incidentes.
• Gestão de Contas (Controle 5): Utilizar processos e ferramentas para atribuir e gerenciar autorização de credenciais para contas de usuário, contas de administrador e contas de serviço. Manter um inventário de todas as contas gerenciadas na organização, incluindo nome da pessoa, nome de usuário, datas de vínculo e departamento, validando trimestralmente se todas as contas ativas estão autorizadas. É crucial usar senhas exclusivas para todos os ativos institucionais (com MFA para senhas de 8 caracteres e senhas de 14 caracteres para contas sem MFA) e restringir os privilégios de administrador a contas dedicadas.
• Gestão do Controle de Acesso (Controle 6): Estabelecer e manter um inventário dos sistemas de autenticação e autorização da organização. Definir um processo (preferencialmente automatizado) para conceder e revogar acesso aos ativos institucionais mediante nova contratação, concessão/revogação de direitos ou mudança de função. É crucial exigir Autenticação Multifator (MFA) para todas as aplicações corporativas expostas externamente, acesso remoto à rede e todas as contas de acesso administrativo. Recomenda-se centralizar o controle de acesso e definir um controle de acesso baseado em funções, com revisões anuais.
• Gestão Contínua de Vulnerabilidades (Controle 7): Desenvolver um plano para avaliar e rastrear vulnerabilidades continuamente em todos os ativos da infraestrutura da organização, a fim de remediá-las e minimizar a janela de oportunidade para atacantes, monitorando fontes públicas e privadas para novas informações sobre ameaças e vulnerabilidades. Realizar varreduras automatizadas de vulnerabilidade em ativos institucionais internos trimestralmente ou com mais frequência.
• Gestão de Registros de Auditoria (Controle 8): Estabelecer e manter um processo de gestão de logs de auditoria que defina os requisitos de coleta, revisão e retenção de logs para ativos institucionais. Os logs podem armazenar informações pessoais, implicando em preocupações de privacidade, portanto, devem ser definidos processos de gerenciamento de log de auditoria que levem em consideração a privacidade e sejam protegidos por medidas de segurança como criptografia e controle de acesso.
• Proteções de E-mail e Navegador Web (Controle 9): Garantir que apenas navegadores e clientes de e-mail plenamente suportados e atualizados tenham permissão para executar na organização. Utilizar serviços de filtragem de DNS para bloquear acesso a domínios mal-intencionados conhecidos e impor filtros de URL baseados em rede para limitar a conexão a sites potencialmente maliciosos. Bloquear tipos de arquivo desnecessários que tentem entrar no gateway de e-mail do órgão e implantar proteções antimalware de servidor de e-mail.
• Defesas Contra Malware (Controle 10): Implantar uma solução antimalware em todos os ativos institucionais para detectar, impedir a propagação ou controlar a execução de software ou código malicioso. Configurar atualizações automáticas de assinaturas antimalware e desabilitar a execução e reprodução automática para mídias removíveis. A implementação dessas medidas de segurança pode evitar que um malware colete informações de identificação pessoal.
• Recuperação de Dados (Controle 11): Criar e manter práticas de recuperação de dados que sejam capazes de restaurar os ativos da organização para um estado pré-incidente ou o estado mais confiável possível. É crucial proteger adequadamente os dados de recuperação por meio de segurança física ou criptografia, tanto no armazenamento quanto no trânsito. Garantir que todos os dados dos sistemas tenham cópias de segurança (backups) realizadas automaticamente e de forma regular, e criar e manter pelo menos uma instância isolada dos dados de recuperação (off-line ou em nuvem separada).
• Gestão da Infraestrutura de Rede (Controle 12): Estabelecer, implementar e gerenciar ativamente as configurações da infraestrutura de rede para evitar que atacantes tirem proveito de configurações menos seguras ao longo do tempo. É fundamental elaborar e manter diagramas de arquitetura de rede, garantir que a infraestrutura esteja sempre atualizada, implementar políticas de segurança como segmentação de rede, privilégio mínimo e níveis básicos de disponibilidade, e centralizar a autenticação, autorização e auditoria (AAA) de rede.
• Monitoramento e Defesa da Rede (Controle 13): Implementar processos e ferramentas para que a organização estabeleça o monitoramento e a defesa de rede contra ameaças de segurança em toda a sua infraestrutura de rede e base de usuários. Centralizar os alertas de eventos de segurança (ex: com um SIEM), implantar soluções de detecção e prevenção de intrusão baseadas em host e rede, e realizar filtragem de tráfego entre os segmentos de rede e filtragem de camada de aplicação.
• Conscientização e Treinamento de Competências sobre Segurança (Controle 14): Implantar e manter um programa de conscientização de segurança que possa influenciar e conscientizar o comportamento dos colaboradores, tornando-os devidamente qualificados para reduzir riscos de segurança cibernética. Os treinamentos devem ser regulares e atualizados, cobrindo tópicos como reconhecimento de ataques de engenharia social (phishing), melhores práticas de autenticação (MFA), tratamento adequado de dados sensíveis, identificação de causas de exposição de dados não intencional, e como reconhecer e relatar incidentes de segurança. Além disso, deve-se treinar os colaboradores sobre os perigos de se conectar e transmitir dados institucionais em redes inseguras e conduzir treinamento de competências e conscientização de segurança para funções específicas.
• Gestão de Provedor de Serviços (Controle 15): Criar e gerenciar um inventário de provedores de serviços, garantindo que os contratos com eles contenham requisitos mínimos de segurança (segurança do software, resposta a incidentes, criptografia, descarte de dados) e que os provedores de serviços terceirizados estejam protegendo adequadamente os dados pessoais. Os dados pessoais fornecidos ou criados através do uso de produtos ou serviços de provedores devem ser claramente declarados nos acordos de nível de serviço (SLAs).
• Segurança de Aplicações (Controle 16): Gerenciar o ciclo de vida de segurança de todos os softwares desenvolvidos e adquiridos internamente para prevenir, detectar e corrigir falhas de segurança. Estabelecer e manter um processo de desenvolvimento de aplicações seguro (Security by Design), incluindo padrões de design seguro, práticas de codificação seguras, treinamentos para desenvolvedores, gestão de vulnerabilidades e procedimentos de teste de segurança de aplicação. A maioria das medidas contidas neste controle não está diretamente relacionada à proteção de dados pessoais, mas bibliotecas de software de terceiros e APIs podem coletar informações, e os dados que esses componentes de terceiros podem coletar devem ser claramente declarados nos SLAs.
• Gestão de Resposta a Incidentes (Controle 17): Proteger as informações e a reputação da organização desenvolvendo e implementando uma infraestrutura de resposta a incidentes (planos, papéis, treinamento, comunicações, gerenciamento de supervisão) para descobrir um ataque de forma ágil, conter efetivamente o impacto, eliminar a presença do atacante e restaurar a integridade da rede e dos sistemas da organização. A comunicação com as partes interessadas é fundamental para reduzir a probabilidade de impacto material devido a um evento cibernético.
• Testes de Invasão (Controle 18): Testar a eficácia e a resiliência dos ativos institucionais por meio da identificação e exploração de fraquezas nos controles de segurança e da simulação das ações e objetivos de um atacante. Um programa de teste de invasão adequado deve levar em consideração o escopo do teste, como rede, aplicação web, API, controles de instalações físicas, entre outros.

3. Controles de Privacidade: Esses controles visam garantir a proteção dos dados pessoais em conformidade com a LGPD e as melhores práticas.

• Inventário e Mapeamento (Controle 19): Identificar e inventariar as operações de tratamento de dados pessoais por sistemas, produtos, processos ou serviços. Isso inclui documentar o escopo, a natureza dos dados e as bases legais.
• Finalidade e Hipóteses Legais (Controle 20): Identificar, especificar e documentar as finalidades, hipóteses de tratamento e bases legais que fundamentam as atividades de tratamento de dados pessoais e dados pessoais sensíveis.
• Governança (Controle 21): Estabelecer uma metodologia abrangente de governança em privacidade que influencie permanentemente os processos de tomada de decisão com base em riscos de impacto à privacidade e melhorias contínuas na maturidade. Isso inclui a implementação de um Programa Institucional de Privacidade de Dados.
• Políticas, Processos e Procedimentos (Controle 22): Definir, desenvolver, divulgar, implementar e atualizar políticas, processos e procedimentos operacionais, internos e externos, que regem as ações relativas à proteção de dados pessoais e privacidade. Isso abrange a adequação da Política de Segurança da Informação e a criação de uma política específica de proteção de dados pessoais.
• Conscientização e Treinamento (Controle 23): Assegurar que as pessoas envolvidas no tratamento de dados sejam instruídas e conscientizadas sobre privacidade, sendo treinadas para desempenhar suas funções e responsabilidades de acordo com as políticas e valores da organização.
• Minimização de Dados (Controle 24): Implementar ações para não coletar e tratar dados pessoais de forma inadequada ou excessiva, tratando a mínima quantidade de dados necessária para atingir a finalidade legal desejada.
• Gestão do Tratamento (Controle 25): Limitar o uso, a retenção e a divulgação de dados pessoais ao que for estritamente necessário para cumprir propósitos específicos e leis aplicáveis.
• Acesso e Qualidade (Controle 26): Garantir que os direitos do titular (livre acesso, correção, exatidão, clareza, relevância e atualização dos dados) sejam atendidos e assegurados.
• Compartilhamento, Transferência e Divulgação (Controle 27): Realizar essas operações em conformidade com a LGPD, observando princípios, bases legais e direitos dos titulares. É fundamental identificar e documentar as finalidades específicas para o compartilhamento de dados e adotar um processo de formalização e registro.
• Supervisão em Terceiros (Controle 28): Estabelecer as funções e responsabilidades do operador envolvido no tratamento de dados pessoais e revisar as cláusulas contratuais em vigência com os operadores terceiros para adequá-los à LGPD.
• Abertura, Transparência e Notificação (Controle 29): Dar publicidade sobre a finalidade e a forma como o dado será tratado, garantindo informações claras, precisas e facilmente acessíveis aos titulares sobre o tratamento de seus dados. Isso inclui a disponibilização da política de privacidade e das informações de contato do encarregado.
• Avaliação de Impacto, Monitoramento e Auditoria (Controle 30): Avaliar a necessidade de implementar uma Avaliação de Impacto à Proteção de Dados Pessoais (RIPD) quando novos tratamentos ou mudanças no tratamento existente forem planejados, e documentar as medidas adotadas para mitigação dos riscos identificados. Realizar a revisão contínua da postura de proteção de dados pessoais e privacidade da organização por meio de monitoramento e auditoria interna ou independente.
• Segurança Aplicada à Privacidade (Controle 31): Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, testadas e avaliadas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Os controles de privacidade e segurança da informação devem ser submetidos a revisão e reavaliação periódicas resultantes da avaliação de impacto na privacidade.

Avaliação de Maturidade

A avaliação da maturidade em segurança digital é um processo contínuo que permite às organizações diagnosticar seu grau de implementação de controles. A Secretaria de Governo Digital (SGD) disponibiliza uma ferramenta que automatiza esse ciclo interno de avaliação, apresentando um dashboard para auxiliar no direcionamento das ações. A avaliação consiste em quatro etapas:

1. Implementação: Avaliação e seleção do nível de implementação por medida, considerando a abrangência dos ativos de informação.
2. Capacidade: Avaliação e seleção do nível de capacidade por controle.
3. Maturidade: Obtenção do nível de maturidade por controle.
4. iSeg & iPriv: Obtenção do índice de maturidade em segurança (iSeg) e do índice de maturidade em privacidade (iPriv) com base nas respostas fornecidas.

Essa autoavaliação pode ser aplicada pela própria organização, utilizando o método Control Self-Assessment (CSA). Para avaliação da segurança da informação, o responsável é o Gestor de Segurança da Informação, com apoio do Gestor de TI e consulta a outros envolvidos. Para privacidade, o Encarregado pelo Tratamento de Dados Pessoais conduz a avaliação, com apoio do Gestor de Segurança da Informação e Gestor de TI.

Benefícios da Implementação de Boas Práticas

A adoção do Framework de Privacidade e Segurança da Informação e a implementação de boas práticas em segurança digital pelas instituições públicas proporcionam diversos benefícios:

• Ampliação da confiabilidade e proteção de sistemas informáticos contra os principais ataques que podem resultar em incidentes de segurança.
• Aprimoramento da privacidade e proteção dos dados pessoais dos cidadãos inseridos nas bases de dados governamentais.
• Aumento da confiança da população na prestação de serviços digitais pelo governo federal.
• Disseminação da cultura de privacidade e segurança da informação na instituição.
• Criação de uma linguagem comum de controles e medidas de privacidade e segurança para os órgãos do SISP e demais partes interessadas.
• Aumento da confiança mútua para compartilhamento de dados entre as instituições públicas devido à evolução dos níveis de maturidade em privacidade e segurança da informação dos ambientes tecnológicos.

Essencialmente, a segurança da informação na ótica da LGPD para o Poder Público é uma questão de responsabilidade e ética, promovendo a confiança e a transparência na sociedade.

Conclusão

A transformação digital dos serviços públicos é uma realidade que demanda uma estrutura de governança robusta, com diretrizes claras da alta administração. O cenário atual de ameaças cibernéticas e as fragilidades identificadas nas organizações públicas federais reforçam a urgência e a necessidade de implementar e aprimorar continuamente as boas práticas de segurança digital. A Secretaria de Governo Digital (SGD) e o GSI/PR desempenham papéis fundamentais na definição de orientações e na coordenação de esforços para promover a proteção de dados pessoais e a segurança da informação no âmbito da APF. A adesão a frameworks consolidados, a capacitação contínua dos profissionais e a conscientização de todos os envolvidos são pilares para garantir a resiliência dos ativos de informação e a proteção dos direitos dos cidadãos no ambiente digital.

Referências

BRASIL. Gabinete de Segurança Institucional da Presidência da República. Departamento de Segurança da Informação. Rede Federal de Gestão de Incidentes Cibernéticos. Brasília, DF, . Disponível em: [Assumido: Portal Gov.br]. Acesso em: 30/06/2025.

BRASIL. Governo Federal. Privacidade e Segurança da Informação. Portal Gov.br, [s.d.]. Disponível em: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca. Acesso em: 30/06/2025.

BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos. Secretaria de Governo Digital. Guia do Framework de Privacidade e Segurança da Informação. Brasília, DF, dez. 2024. Disponível em: [Assumido: Portal Gov.br/governodigital]. Acesso em: 30/06/2025.

BRASIL. Tribunal de Contas da União. Secom. TCU identifica riscos de segurança da informação em organizações públicas federais. Portal do TCU, 27 mar. 2024. Disponível em: [Assumido: Portal do TCU]. Acesso em: 30/06/2025.

ESCOLA VIRTUAL DE GOVERNO. Gerenciamento de Continuidade de Negócios na Administração Pública. Portal do Governo Brasileiro, [s.d.]. Disponível em: [Assumido: Portal Gov.br/evg]. Acesso em: 30/06/2025.

GUIMARÃES, Rogério; SOUZA NETO, João; LYRA, Mauricio Rocha. Modelo de governança de segurança da informação para a administração pública federal. Perspectivas em Gestão & Conhecimento, João Pessoa, v. 8, n. 3, p. 90-109, set./dez. 2018. DOI: https://dx.doi.org/10.21714/2236-417X2018v8n3p90. Acesso em: 30/06/2025.

MACIEL, Henrique Checchia. Segurança da informação na ótica da LGPD para o Poder Público: Protegendo dados e respeitando os direitos constitucionais. Migalhas, 25 abr. 2024. Disponível em: [Assumido: Portal Migalhas]. Acesso em: 30/06/2025.

MTEC. Segurança digital no setor público: o que você precisa saber para se proteger. [S. l.]: Mtec, 28 jul. 2023. Disponível em: [Assumido: mtec.com.vc]. Acesso em: 30/06/2025.