GSI exige orçamento e atualização tecnológica para segurança da informação
O Gabinete de Segurança Institucional da Presidência da República publicou nesta segunda, 31/5, uma instrução normativa que atualiza as regras de segurança da informação no governo federal. Entre elas, exige dos órgãos públicos um mapeamento dos ativos de informação, além da elaboração de planos de continuidade que devem ser testados e atualizados anualmente.
Como aponta a IN 3 do GSI, o mapeamento de ativos de informação tem o objetivo de estruturar e manter um registro de ativos de informação, destinado a subsidiar os processos de gestão de riscos, de gestão de continuidade e de gestão de mudanças nos aspectos relativos à segurança da informação.
Os órgãos são orientados a definirem pessoas e estruturas internas responsáveis para as tarefas correlatas à segurança e, especialmente “destinar recursos orçamentários para executar as ações de Segurança da Informação previstas nesta Instrução Normativa”.
Entre as missões específicas, determina o GSI que os órgãos da administração pública devem identificar e classificar os ativos de informação por nível de criticidade; identificar potenciais ameaças aos ativos de informação; e identificar vulnerabilidades dos ativos de informação. O relatório de identificação, análise e avaliação dos riscos de segurança da informação deverá ser atualizado anualmente.
Como aponta a norma, a implementação do processo de gestão de continuidade de negócios em segurança da informação, também com revisão anual, tem o objetivo de “minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades do órgão ou da entidade nessa área, além de recuperar perdas de ativos de informação em nível aceitável, por intermédio de ações de resposta a incidentes e recuperação de desastres”.
Além de prever testes de funcionamento do plano de continuidade, a nova Instrução Normativa prevê a incorporação de inovações tecnológicas, ao indicar a necessidade de processos de “gestão de mudanças”, qual seja, adaptar os órgãos e as entidades da administração pública federal para as mudanças decorrentes da evolução de processos e de tecnologias da informação.