O Ministério da Gestão estabeleceu regras para a gestão de segurança da informação no âmbito do ColaboraGov, o centro de serviços compartilhados responsável por centralizar funções administrativas para órgãos do governo federal. O novo normativo detalha como serão organizados os processos, as equipes técnicas e os protocolos de resposta a incidentes que envolvam dados e sistemas operados pelo MGI ou por órgãos que utilizam a estrutura compartilhada.
A portaria se soma a uma série de normas recentes que consolidam o funcionamento do ColaboraGov e se apoia no marco regulatório de segurança da informação definido pelo Gabinete de Segurança Institucional. Ao delimitar atribuições, fluxos de comunicação e mecanismos de coordenação, o Ministério busca dar previsibilidade à gestão de riscos, além de padronizar procedimentos entre diferentes órgãos que compartilham infraestrutura e serviços administrativos.
O texto estabelece que a Diretoria de Tecnologia da Informação da Secretaria de Serviços Compartilhados será responsável pela operação da infraestrutura computacional e dos ativos de informação pertencentes ao próprio Ministério e aos órgãos solicitantes do ColaboraGov. Cada órgão que adere ao modelo deverá manter suas políticas internas de segurança da informação e designar uma estrutura mínima composta por um gestor de segurança, um comitê e uma equipe de resposta a incidentes. Essa exigência segue as diretrizes já existentes no Executivo federal e reforça que a adesão aos serviços compartilhados não elimina a responsabilidade dos órgãos sobre riscos próprios.
Outro ponto é a criação de um canal contínuo de comunicação entre a equipe de resposta a incidentes do MGI e as equipes dos órgãos atendidos. Esse canal tem o propósito de facilitar o compartilhamento de informações, alertas e conhecimento técnico sobre ataques, vulnerabilidades e tentativas de intrusão, fomentando um ambiente de colaboração entre gestores de risco e especialistas de segurança.
A comunicação com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo e com o Centro Integrado de Segurança Cibernética do Governo Digital permanece descentralizada e deve ser feita diretamente pelas equipes técnicas de cada órgão, preservando a autonomia operacional das estruturas já existentes no SISP.
A portaria também apresenta um capítulo dedicado à definição de protocolos para tratamento de incidentes cibernéticos. Os cenários variam conforme a natureza do incidente e o responsável pelo ativo afetado. Quando o evento atinge sistemas operados diretamente pelo MGI, o Ministério assume a coordenação da resposta e executa as ações de recuperação, acionando autoridades externas quando necessário e comunicando as áreas responsáveis pela proteção de dados e pela relação com a imprensa.
Quando o incidente atinge exclusivamente ativos gerenciados por um órgão solicitante, cabe ao próprio órgão definir e executar a estratégia de resposta e de comunicação. Já nos incidentes de natureza híbrida, que atingem ao mesmo tempo ativos operados pelo MGI e informações geridas por um órgão atendido, o MGI conduz as ações técnicas de recuperação, enquanto o órgão envolvido cuida das consequências sobre áreas de negócio, além da gestão de dados pessoais e da eventual comunicação pública.
Em todos os cenários, a portaria determina que as equipes envolvidas devem se comunicar de forma tempestiva e registrar a ocorrência no canal comum para garantir que demais participantes do ColaboraGov tenham ciência do ataque. O texto prevê ainda que o encarregado de proteção de dados pessoais deve ser acionado sempre que a ocorrência envolver informações de titulares, em conformidade com as exigências da Lei Geral de Proteção de Dados.
