Centro Integrado de Segurança CISC - Cibernética do Governo Digital

Para apoiar no tratamento e resposta a incidentes cibernéticos, os órgãos poderão utilizar normativos já publicados, como:

• Instrução Normativa GSI nº 1 - Dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal. 
• Norma Complementar nº 05 /IN01/DSIC/GSIPR - Dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal.
• Norma Complementar nº 08 /IN01/DSIC/GSIPR - Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal.
• Norma Complementar nº 21 /IN01/DSIC/GSIPR - Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.

Saiba mais:

• Normativos do Gabinete de Segurança Institucional

Conforme o disposto no art. 14 da Portaria SGD/MGI nº 9.511, de 28 de outubro de 2025, os órgãos e entidades deverão adotar o Framework de Privacidade e Segurança da Informação.

Saiba mais:

• Framework de Privacidade e Segurança da Informação

O Traffic Light Protocol (TLP) é um padrão desenvolvido pelo Forum of Incident Response and Security Teams (FIRST) e tem como objetivo indicar limites de compartilhamento de informações entre pessoas, organizações ou comunidades.

Trata-se de um conjunto de 5 (cinco) marcações, denominadas como:

Essas marcações podem ser utilizadas em comunicações diversas, como e-mails, documentos, apresentações, chat e em trocas automatizadas de informações.

O TLP é utilizado globalmente, inclusive por equipes de prevenção, tratamento e resposta a incidentes cibernéticos do Brasil, como CTIR Gov, CERT.BR e CAIS/RNP.

Dessa forma, o CISC Gov.br orienta que os órgãos do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) adotem o padrão TLP para compartilhamento de informações.

Fique Atento!

• A fonte da informação é responsável por garantir que os destinatários de uma informação marcada com TLP compreendam e possam seguir as orientações de compartilhamento.
• A fonte tem liberdade para especificar restrições adicionais de compartilhamento. Estas restrições devem ser respeitadas pelos destinatários.
• Se um destinatário necessitar compartilhar uma informação mais amplamente do que o indicado pela marcação TLP que veio na informação, ele deve obrigatoriamente obter permissão explícita da fonte.
• Sempre que possível, utilize as cores padronizadas de cada marcação. As cores do TLP foram projetadas para atender as necessidades daqueles com baixa visão.
• O padrão TLP não é um esquema formal de classificação. Assim, não deve substituir a Lei de Acesso à Informação (LAI).

Acesse aqui para ver todas as definições do TLP.

Referências

• https://www.first.org/tlp/
• https://cert.br/tlp/

1. A presente Recomendação foi confeccionada em parceria com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) para orientar os membros da Rede Federal de Gestão de Incidentes Cibernéticos (REGIC), demais órgãos públicos e os parceiros do setor privado sobre as boas práticas a serem adotadas durante o período de Festas de Fim de ano.

2. Com a aproximação das festas de fim de ano, é essencial redobrar a atenção com a segurança cibernética em ambientes governamentais e corporativos. Este período pode ser oportuno para que agentes mal-intencionados explorem vulnerabilidades em redes, sistemas e processos. Recomendamos o reforço nas seguintes ações para garantir a segurança operacional:

a. Monitoramento de Tráfego de Rede

• Intensifique as ações de detecção e de monitoramento em tempo real de tráfego de rede para identificar anomalias ou atividades suspeitas.
• Configure de forma mais restritiva as ferramentas de Detecção e Resposta em relação aos eventos envolvendo os ativos da informação críticos para sua organização.

b. Controle de Perfis de Acesso

• Realize uma revisão criteriosa dos perfis de acesso para garantir que cada usuário possua apenas as permissões necessárias para o exercício de suas funções.
• Revogue acessos temporários ou de usuários inativos ou afastados.

c. Duplo Fator de Autenticação (2FA)

• Verifique se o 2FA está habilitado para os sistemas expostos na internet ou que executem serviços críticos.
• Reforce a necessidade de sua utilização junto às equipes.

d. Verificação de Integridade dos Backups

• Valide a integridade e o funcionamento das rotinas de backups.
• Garanta que os backups estejam protegidos e redundantes, com armazenamento em ambientes seguros e cópia isolada da rede principal.

e. Prontidão das Equipes Técnicas

• Estabeleça um plano de prontidão e acionamento para resposta rápida a incidentes.
• Se possível, mantenha equipes técnicas de plantão ou em regime de sobreaviso durante o período.

f. Plano de Continuidade de Negócios e de Resposta a Incidentes

• Reavalie o plano de continuidade e de resposta a incidentes, certificando-se de que estejam operacionais.
• Simule cenários de ataque com o pessoal disponível durante o período de Festas de Fim de ano, para validar a eficácia das ações previstas.

g. Gestão de Vulnerabilidades

• Mantenha os ativos de rede e sistemas da sua organização atualizados, com destaque para vulnerabilidades críticas.

h. Conscientização do Pessoal

• Sensibilize os colaboradores sobre as ameaças utilizando phishing com as temáticas de Festas de Fim de ano.

3. Embora sejam medidas imediatas em virtude do contexto, o CISC Gov.br e o CTIR Gov recomendam a adoção definitiva das boas práticas listadas no Framework de Privacidade e Segurança da Informação.

4. Em caso de incidente, os órgãos do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) deverão notificar o CISC Gov.br pelo canal cisc@gestao.gov.br, colocando o CTIR Gov em cópia (ctir@ctir.gov.br), além de realizar a contenção do incidente, isolando ativos suspeitos e preservando evidências. Para os demais órgãos membros da REGIC, a notificação deverá ser feita ao CTIR Gov (ctir@ctir.gov.br).

5. O CTIR Gov publica periodicamente os Alertas e Recomendações que podem ser acessados pelo site do CTIR Gov.

6. O CISC e o CTIR Gov aderem ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/pt-br/assuntos/tlp.

7. Em concordância com o previsto no Decreto 10.748/2021, o CTIR Gov solicita que as entidades responsáveis pelas ETIR Setoriais orientem a comunidade de suas respectivas áreas, divulgando as orientações do presente documento.

Períodos festivos e transição governamental

Considerando o período festivo e a transição governamental, o Centro Integrado de Segurança Cibernética do Governo Digital (CISC Gov.br) avalia como conveniente a adoção imediata de boas práticas de privacidade e segurança da informação pelos órgãos e entidades do SISP, para mitigação de riscos cibernéticos, considerando o cenário nacional e internacional:

I - Gestão de Virtual Private Network (VPN): convém avaliar o bloqueio de contas de usuários que possuem permissão de acesso por meio de VPN, temporariamente, de forma a evitar acessos indevidos por credenciais que eventualmente possam estar comprometidas. Ao final do período de transição, convém revisar as permissões e implementar o conceito de "privilégio mínimo", mantendo acesso ao ambiente interno por meio de VPN apenas para os usuários que possuem necessidade motivada, e com adequada segmentação de rede implementada;

II - Configuração de tráfego por geolocalização: convém avaliar a ativação temporária de regras de Firewall para bloqueio de requisições oriundas de IPs de outros países, o que minimizará ataques cibernéticos que utilizam serviços hospedados fora do Brasil;

III - Gestão de contas fora de uso: convém avaliar as contas de usuários e realizar o bloqueio/desativação das contas dos usuários que já não atuam pelo órgão ou entidade. Essa medida é contínua e deve ser contemplada no âmbito de política que trata a gestão de contas e acessos;

IV - Redefinição de credenciais: convém redefinir as senhas de todos os usuários, de forma a evitar acessos indevidos por credenciais que eventualmente possam estar comprometidas desde a última redefinição;

V - Atualização de assinaturas do anti-vírus: convém realizar a atualização do serviço de proteção de endpoints, visando ampliar a proteção das estações de trabalho frente a pragas virtuais e métodos de ataques mais recentes;

VI - Comunicação para os usuários sobre riscos de phishing: convém ampliar campanhas de alertas e dicas relacionadas a golpes de phishing e reforçar canais de comunicação e denúncias de eventuais incidentes de segurança cibernética;

VII - Reforço do monitoramento de rede: convém reforçar o monitoramento da rede, servidores e ativos de segurança em busca de tráfego ou comportamento anômalo na infraestrutura de TIC.

Cada órgão ou entidade do SISP deverá avaliar a conveniência e oportunidade quanto à adoção dessas medidas de forma imediata, considerando as políticas públicas envolvidas e aspectos relacionados à gestão de riscos.

Embora sejam medidas imediatas em virtude do contexto, o CISC Gov.br recomenda a adoção definitiva das boas práticas listadas no Programa de Privacidade e Segurança da Informação (PPSI).

O CISC Gov.br adere ao padrão TLP. Para saber mais, acesse https://www.gov.br/cisc/pt-br > Traffic Light Protocol (TLP).

O atual cenário de transição governamental e mudança nas equipes e chefias demandam ações diferenciadas para mitigar os eventuais riscos cibernéticos e garantir a adequada disponibilidade de sistemas, plataformas, soluções e serviços essenciais prestados à população. Nesse sentido, é recomendada a adoção imediata de boas práticas de privacidade e segurança da informação pelos órgãos e entidades do SISP, destacadas a seguir: 

1. Gestão do Controle de Acessos 

Recomendamos a estrita observância às políticas e boas práticas de gestão de acessos previstas no Programa de Privacidade e Segurança da Informação, em especial as Medidas 6.1 — Estabelecer um Processo de Concessão de Acesso e a 6.2 — Estabelecer um Processo de Revogação de Acesso, do Controle 6 - Gestão de Controle de Acesso, complementadas com as práticas a seguir: 

Medida: 6.2 — Estabelecer um Processo de Revogação de Acesso

Hipótese 01: servidores exonerados ou dispensados de cargos em comissão e que não permanecerem em exercício no órgão.
Hipótese 02: terceirizados e estagiários desligados 

Prática recomendada: as credenciais devem ser imediatamente bloqueadas/revogadas.

Hipótese 03: servidores dispensados de cargos em comissão e que permanecerem em exercício no órgão. 

Prática recomendada: as permissões devem ser revisadas, considerando eventuais novas atribuições do servidor. Deve ser observado o princípio do privilégio mínimo, ou seja, o servidor deverá ter acesso apenas aos ativos e informações essenciais para a execução de suas atribuições.

Medida 6.1 — Estabelecer um Processo de Concessão de Acesso 

Hipótese 04: novos servidores nomeados, cedidos, movimentados ou descentralizados.
Hipótese 05: novos terceirizados e estagiários 

Prática recomendada: o acesso deverá ser concedido observando a política vigente e as boas práticas, independente de nível hierárquico. Deve ser observado o princípio do privilégio mínimo, ou seja, o servidor deverá ter acesso apenas aos ativos e informações essenciais para a execução de suas atribuições. 

As práticas de concessão ou revogação de acessos deverão ser aplicadas em todo o ambiente do órgão, seja ele tecnológico ou físico, como catracas, e-mail, SEI, sistemas finalísticos, VPN, redes sociais oficiais, entre outros. 

2. Programa de Privacidade e Segurança da Informação (PPSI) e CISC gov.br 

Diante da rotatividade de servidores, terceirizados e estagiários, bem como da criação de novos órgãos e políticas públicas, convém o reforço de campanhas de conscientização com alertas e dicas relacionadas a golpes de Phishing e outras boas práticas de segurança da informação. Além disso, os novos usuários deverão ser conscientizados sobre os canais institucionais para comunicação de incidentes de privacidade e segurança da informação disponível em https://www.gov.br/cisc/pt-br.  

Medidas adicionais também podem ser encontradas no Programa de Privacidade e Segurança da Informação (PPSI) da SGD. O PPSI foi instituído como um conjunto de projetos e operações que tem como objetivo elevar a maturidade e a resiliência dos órgãos pertencentes ao Sistema de Administração de Recursos de Tecnologia da Informação (SISP), em termos de privacidade e segurança da informação. O referido programa é composto por ações articuladas nas áreas temáticas de Governança, Maturidade, Metodologia, Pessoas e Tecnologia.  Além do Programa de Privacidade e Segurança da Informação, diversos guias e templates na temática estão disponíveis em PPSI.