Segurança da Informação
Sigla: CSI
Tipo: Comissão
Período de Vigência: desde 7.3.2018
Situação: Andamento
Ato: Portaria 204/2018
Nome |
---|
Presidência |
Diretoria-Geral (DG) |
Corregedoria Regional Eleitoral (CRE) |
Secretaria de Tecnologia da Informação e Comunicação (STIC) |
Secretaria de Gestão de Pessoas (SGP) |
Secretaria de Administração e Finanças (SAF) |
Secretaria Judiciária (SJD) |
Assessoria de Comunicação (ASCOM) |
Representante do Conselho de Zonas Eleitoral |
Unidade Segurança Institucional e Inteligência |
Seção de Segurança da Informação (SESEC) |
Gestor de Segurança da Informação(SEGIN) |
Data | Pauta | Ata (formato PDF) |
---|---|---|
19.6.2024 | - Andamento dos treinamentos em segurança da informação; |
Link |
21.3.2024 | Retorno dos treinamentos em segurança da informação; |
Link |
6.3.2024 |
Inventário de Dados Pessoais por Processo de Trabalho que tratam dados pessoais; Mudança no nível de acesso para Restrito em documentos do SEI que possuam dados pessoais. |
Link |
7.12.2023 |
Informações sobre ações tomadas decorrente do incidente do apagão elétrico; Resultado da Ciência da PSI por meio da plataforma Knowbe4 e apresentação do novo formato da PSI; Apresentação dos vídeos de conscientização sobre Golpes e Fraudes Online e Cuidados com a Black Friday. |
Link |
18.9.2023 |
Relatório sobre assuntos discutidos no Seminário de Segurança da Informação nas Cortes Superiores; Ações tomadas decorrente do incidente do apagão elétrico; Ciência da PSI por meio da plataforma Knowbe4 e apresentação do novo formato da PSI; Conscientização sobre Propaganda Maliciosa; Informação sobre incidente de emissão de certificado digital de forma fraudulenta no TJ-PR; Atualização do SEI para versão mais nova. |
Link |
01.08.2023 |
1 Revisão do Processo de Gestão de Ativos 1.1 Gestão de Ativos 1.1.1 Dispõe sobre diretrizes gerais para Gestão de configuração de ativos de informação e processamento 1.1.2 Ativo de informação 1.1.2.1 Trata da classificação, aplicação de controles para garantir a segurança, monitoramento de riscos 1.1.3 Ativo de processamento 1.1.3.1 Realizar e manter inventário, definição de responsáveis e responsabilidades, classificação, registro e descarte 1.2 Mudanças 1.2.1 Retiradas referências à PSI antiga 1.2.2 Agente Público 1.2.2.1 Magistrados, promotores, servidores, requisitados, cedidos, estagiários, menor aprendiz e prestadores de serviço 1.2.3 Alterada a redação do art. 12 III 1.2.3.1 Ter pelo menos um (1) proprietário designado imediatamente pela Administração quando o ativo for incluído no patrimônio do TRE-MA. 1.2.3.2 Antigo 1.2.3.2.1 III - Ter pelo menos um (1) proprietário designado imediatamente pela Administração quando o ativo for incluído no patrimônio do TRE-MA ou ficar disponível para instalação ou utilização. 1.2.4 Alterada a redação do art. 15 IX 1.2.4.1 IX – Verificar periodicamente as configurações coletadas pela ferramenta de catálogo de configurações e complementá-las caso seja necessário. 1.2.5 Alterada a redação do art. 17§1 1.2.5.1 §1º Após o recebimento provisório dos ativos de processamento pelo setor competente da STIC, este realizará a conferência do material recebido e informará ao fornecedor divergência quantitativa para resolução do problema; 1.2.5.2 Antigo 1.2.5.2.1 §1º Após o recebimento provisório dos ativos de processamento no setor de Patrimônio, este realizará a conferência do material recebido e informará ao fornecedor divergência quantitativa para resolução do problema; 2 Revisão IN 11/2022 2.1 Utilização de Duplo Fator de Autenticação no Acesso VPN 2.1.1 “Art. 63. Todo acesso deverá ser feito de forma autenticada com duplo fator de autenticação, com geração do código de autenticação (token) via aplicativo para dispositivos móveis (celular/tablet).” 3 Revisão Norma de Backup |
Link |
12.6.2023 |
- Avaliação das campanhas de treinamento já realizadas; - Conclusão do processo de adição de licenças da plataforma de treinamento Knowbe4; - Revisão de normativos: PSI e Gestão de Ativos; - Nova trilha de treinamento para o próximo bimestre; - Realização de mapeamento de processos que tratam dados pessoais; - Apresentação do modelo de segurança em defesa profundidade. |
Link |
16.3.2023 |
- Ataque Cibernético; - Plataforma de Conscientização: Cursos Realizados, Nova trilha de Treinamento, - Aditivo nas Licenças; - Duplo Fator de Autenticação; - Combate e Detecção de Incêndio. |
Link |
9.2.2023 | Reunião do Comitê de Proteção de Dados Pessoais: Apresentação da política de Privacidade e Proteção de Dados Pessoais – Resolução TSE 23.650 de 09 de setembro de 2021 para que seja adotada como política do TRE-MA. | Link |
7.12.2022 | Capacitação geral em Segurança da Informação, LGPD e normas | Link |
31.8.2022 | OSINT e Ações Eleições 2022 | Link |
10.5.2022 | Desinformação, Plano de Continuidade, Plano de Recuperação, Inventário de Ativos, VPN, Ransomware | Link |
14.2.2022 | Ações de Comunicação, Assuntos para Treinamento, Aquisições, Normas | Link |
21.4.2021 | Criação da estrutura conforme portaria 363 CNJ, Implementações realizadas no site, Criação de formulário | Link |
8.2.2021 | Apresentação de Normativos CNJ, Auditoria Interna, Eleição | Link |
2020 | Não houve reunião nesse período |
- |
3.10.2019 | Preparativos para implementação da LGPD |
|
10.7.2019 |
Apresentação do Portal da Segurança da Informação. Apresentação da Resolução Classificação da Informação pela servidora Eliami Cantanhede. Apresentação da Resolução Controle de Ativos e Controle de Acesso por Antonio Ferreira. |
|
18.6.2019 |
Apresentação de casos de ataques. Prestação de contas do 1º ano de implantação da SI. |
|
31.1.2018 | Foi apresentada a PSI do TRE-MA com foco nas atividades de desenvolvimento de procedimentos, normas e processos que cada participante da CSI terá que desempenhar baseadas nas diretrizes estabelecidas na PSI. |
Link |
Ano |
Resultados |
---|---|
2023 |
O ano de 2023 foi marcado pela capacitação e conscientização das equipes técnicas em temas relevantes de Segurança da Informação. Foram ofertados cursos nas áreas de Fundamentos e Governança da Segurança da Informação, Continuidade de negócios, Auditoria com base nas normas da família ISO 27000 e Correlacionamento de eventos computacionais. Destaca-se que, ao longo deste ano, consolidou-se a utilização da plataforma de treinamento KnowBe4 como instrumento fundamental para a conscientização e capacitação dos servidores em segurança da informação, visando elevar o nível de maturidade, reconhecendo o fator humano como elo mais suscetível. No âmbito da Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), fomos partícipes em licitações para aquisição de ferramentas que permitem aumentar a capacidade de gerenciamento, monitoramento e investigação de possíveis incidentes cibernéticos. Nesse sentido, também foi dado continuidade aos trabalhos de operacionalização de ferramentas de segurança cibernética adquiridas no ano de 2022. Desenvolvidas de forma colaborativa com os outros TRE's, foram implantadas normas complementares que visam atender as diretrizes estabelecidas na Política de Segurança da Informação. Essas normas tratam sobre Gerenciamento de Vulnerabilidades, Gestão e Monitoramento de logs e Configuração Segura de Ambientes, aprimorando o arcabouço básico de segurança cibernética do TRE-MA. Vale ressaltar que, embora a Política de Segurança da Informação (PSI) já tenha sido publicada, sua divulgação foi realizada em formato "visual law" para simplificar o entendimento e assegurar que todos os servidores tivessem pleno conhecimento. O TRE-MA tem avançado de maneira significativa no que tange às questões de privacidade e proteção de dados pessoais, buscando plena conformidade com a Lei Geral de Proteção de Dados Pessoais e abordando as lacunas identificadas em auditoria realizada pelo Tribunal de Contas da União (TCU). Isso se reflete na publicação de normas específicas para a privacidade e proteção de dados pessoais, bem como na oferta de diversos treinamentos em modalidades EAD e online, com foco na proteção de dados pessoais. Estas ações visam preparar a equipe para a realização de um inventário detalhado de dados pessoais, objetivando levantar informações por processo de trabalho sobre como o TRE-MA trata dados pessoais e, a partir desse diagnóstico, adotar medidas corretivas para eventuais lacunas identificadas. |
2022 |
No ano de 2022, foi iniciada a aquisição conjunta com outros TREs, de diversas ferramentas e equipamentos para reforçar a segurança da informação, seguindo um plano definido nacionalmente. Foi também priorizada a capacitação das áreas técnicas e o desenvolvimento de normas que irão facilitar a implantação de novas formas de trabalho seguindo as melhores práticas do mercado. A preocupação com a proteção e privacidade de dados pessoais foi também priorizada com a realização de treinamento para todos os servidores visando a formação de uma consciência em proteção de dados pessoais. |
2021 |
Na recente reestruturação realizada por este TRE, foram criadas a Seção de Segurança Cibernética vinculada à Secretaria de Tecnologia da Informação e Comunicação, e a nível estratégico, criou a Seção de Segurança da Informação, ligada diretamente à Diretoria Geral do Tribunal. Outro fato importante foi a realização de eventos com Juízes e servidores para tratar exclusivamente de assuntos relacionados à temática da segurança da Informação, bem como, a criação do portal de Segurança da Informação. |
2020 |
Entendendo que o ser humano é o elo mais fraco na cadeia da segurança da informação e, portanto, como forma de criar uma cultura de segurança da informação na instituição e elevar o nível de maturidade dos seus servidores, diversas ações de conscientização foram implementadas. As redes sociais do TRE-MA têm sido usadas para dar amplo conhecimento dessas ações, assim como para apresentar relatos de ataques cibernéticos sofridos por outras instituições. |
2018 |
A segurança da informação visa proteger um dos principais patrimônios da instituição que é a informação, pois qualquer perda ou alteração não autorizada pode gerar consequências graves. O ano de 2018 foi um marco para o TRE-MA no que diz respeito a segurança da informação, uma vez que adotou formalmente sua política de segurança da informação, criando uma estrutura para gerenciar e fomentar o tema na instituição, além de iniciar a formalização e padronização de procedimentos relativos a segurança da informação. Entendendo que a informação está sobre constante risco e da importância de protegê-la, o TRE-MA tomou uma série de iniciativas nesse sentido:
- Equipe para Tratamento de Incidentes de Rede (ETIR) - Portaria 738 - Gestor da Segurança da Informação – Portaria 736;
- IN 7/2018 - Norma que define procedimentos para controle de acessos a redes de computadores e sistemas, uso de correio eletrônico, internet, Redes Privadas Virtuais (VPN); - IN 10/2018 - Norma que define requisitos para desenvolvimento de sistemas seguros.
|
2019 |
A segurança da informação visa proteger um dos principais patrimônios da instituição que é a informação, pois qualquer perda ou alteração não autorizada pode gerar consequências graves. No ano de 2019 foi possível aplicar alguns dos normativos até então criados, além de ter sido um ano de muita atividade do Comitê de Segurança da Informação, onde o foco foi a conscientização e sensibilização dos membros da CSI para o tema de segurança. Foi dado continuidade na construção de novos normativos, como a norma de Classificação da Informação que foi pulicada e a norma de controle de ativos que está em desenvolvimento, além da realização de ajustes de normativos existentes. Com vistas à preparação do TRE para a entrada em vigor da lei 13.709/2018 – Lei Geral de Proteção de Dados, que trata da proteção de dados pessoais com o foco na manutenção da privacidade, o TRE-MA fez uma capacitação para nivelamento de conhecimento de algumas chefias e alta direção. Outra iniciativa tomada juntamente com a ASCOM foi a alimentação do portal da segurança da informação com notícias, dicas, cartilhas e vídeos sobre segurança da informação. Portal será publicado no ano de 2020. Entendendo que a informação está sobre constante risco e da importância de protegê-la, o TRE-MA tomou uma série de iniciativas nesse sentido até o momento. Abaixo um resumo das ações tomadas desde a implantação da Política de Segurança da Informação:
- Equipe para Tratamento de Incidentes de Rede (ETIR) - Portaria 738 - Gestor da Segurança da Informação – Portaria 736;
- IN 7/2018 - Norma que define procedimentos para controle de acessos a redes de computadores e sistemas, uso de correio eletrônico, internet, Redes Privadas Virtuais (VPN); - IN 10/2018 - Norma que define requisitos para desenvolvimento de sistemas seguros.
|