Programa de Privacidade e Segurança da Informação

O que é o PPSI, quais são seus objetivos e quais são suas torres de atuação?

Publicado em 16/06/2021 18h26 Atualizado em 12/05/2022 15h19

O Programa

O Programa de Privacidade e Segurança da Informação (PPSI) é constituído por um conjunto de ações de adequação nas áreas de privacidade e segurança da informação, desenvolvidas dentro do escopo das disciplinas de governança, pessoas, metodologia, tecnologia e gestão de maturidade, implementadas de forma concomitante e incremental. Tais ações são lideradas pelo Departamento de Privacidade e Segurança da Informação da Secretaria de Governo Digital, voltadas para aumento do grau de maturidade e de resiliência dos órgãos e das entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Poder Executivo Federal.

Quais são seus objetivos?

O PPSI objetiva elevar o grau de maturidade dos órgãos e das entidades do SISP em termos de proteção de dados pessoais e ações de segurança da informação. Consequentemente, o PPSI também aumenta a proteção dos sistemas críticos de governo no ambiente cibernético.

Quais são suas torres/disciplinas?

É proposto um modelo baseado em 5 (cinco) torres, que tem como enfoque a articulação simultânea das temáticas de governança, pessoas, metodologia, tecnologia e gestão de maturidade, nos sistemas informacionais críticos dos órgãos e das entidades integrantes do SISP.

São 5 (cinco) as torres do PPSI: governança, pessoas, metodologia, tecnologia e gestão de maturidade.

Na torre de governança, abordam-se questões ligadas à identificação, ao estabelecimento e ao envolvimento dos principais atores do processo de busca por conformidade em privacidade, com especial atenção à proteção de dados pessoais e sensíveis dos cidadãos e à segurança da informação. Tais atores podem envolver o responsável pela unidade de TIC, o encarregado pelo tratamento dos dados pessoais, o gestor de segurança, o assessor de controle interno ou outras autoridades equivalentes.

Na torre de pessoas, mantém-se o enfoque nas importantes temáticas da cultura organizacional e nos processos de liderança e motivação, além de capacitações ligadas às competências técnicas e àquelas ligadas à conformidade em privacidade e segurança da informação. Entende-se ser central a disseminação da cultura de privacidade, com especial atenção à proteção de dados pessoais e sensíveis dos cidadãos, e de segurança da informação dentro das organizações, passando pelas importantes etapas de sensibilização dos colaboradores, modificação de padrões vigentes e adoção de novos padrões.

Na torre de metodologia, implementam-se as 6 (seis) etapas que a compõem, a saber: Programa de Governança em Privacidade; Diagnósticos em Privacidade e Segurança da Informação; Inventário de Dados Pessoais; Planos de Adequação à LGPD; Estratégias de Implementação; e Monitoramento.

Na torre de tecnologia, mantém-se o enfoque nas seguintes frentes:

Soluções em segurança cibernética, contemplando avaliação e fomento da adoção de ferramentas de diagnósticos dos sistemas críticos que permitam a aplicação de testes como PENTEST, SAST, DAST, bem como prospecção conjunta com os órgãos do SISP de soluções SOC (Security Operations Center), SIEM (Security Information and Event Management) e NOC (Network Operations Center), dentre outras; e
Desenvolvimento de plataforma de consentimento do cidadão para atendimento aos princípios preconizados na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), além de outras ferramentas.

Na torre de gestão de maturidade, enfim, serão aplicados mecanismos para avaliação e gestão do grau de proteção dos sistemas no ambiente cibernético. Tais mecanismos são constituídos pelos índices de maturidade em privacidade e segurança da informação, que subsidiarão o órgão na construção, na implementação e no monitoramento de seu Programa de Privacidade e Segurança da Informação.

Quais são os benefícios esperados com o PPSI?

O benefícios esperados com a implementação do PPSI abrangem:

Ampliação da confiabilidade e da proteção de sistemas informáticos contra incidentes de segurança;
Garantia da privacidade dos dados pessoais dos cidadãos inseridos nas bases de dados governamentais;
Aumento da confiança da população na prestação de serviços digitais por parte do governo federal;
Disseminação da cultura de proteção de dados e segurança da informação na organização;
Identificação, tratamento e controle dos riscos mais significativos em cada sistema informacional crítico do órgão; e
Avanço no processo de transformação digital dos serviços de governo, com possibilidade de melhoria na qualidade e de redução de custos e de prazos nos serviços públicos ofertados pelos órgãos integrantes do SISP.

Modelos - Controles Essenciais

Modelo de Política de Backup: Este modelo tem por enfoque prover diretrizes para política de backup e restauração de dados digitais:

Modelo (versão PDF) V. 1.1
Modelo (versão editável) V. 1.1

Modelo de Política de Gestão de Ativos: Este modelo tem por objetivo prover diretrizes para a gestão de ativos:

Modelo (versão PDF) V. 1.1
Modelo (versão editável) V. 1.1

Modelo de Política de Controle de Acesso: Este modelo tem por finalidade prover diretrizes para o controle de acesso:

Modelo (versão PDF) V. 1.1
Modelo (versão editável) V. 1.1