Programa de Privacidade e Segurança da Informação

O que é o PPSI, quais são seus objetivos e quais são suas torres de atuação?
Publicado em 16/06/2021 18h26 Atualizado em 12/05/2022 15h19

O Programa

O Programa de Privacidade e Segurança da Informação (PPSI) é constituído por um conjunto de ações de adequação nas áreas de privacidade e segurança da informação, desenvolvidas dentro do escopo das disciplinas de governança, pessoas, metodologia, tecnologia e gestão de maturidade, implementadas de forma concomitante e incremental. Tais ações são lideradas pelo Departamento de Privacidade e Segurança da Informação da Secretaria de Governo Digital, voltadas para aumento do grau de maturidade e de resiliência dos órgãos e das entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Poder Executivo Federal.

Quais são seus objetivos?

O PPSI objetiva elevar o grau de maturidade dos órgãos e das entidades do SISP em termos de proteção de dados pessoais e ações de segurança da informação. Consequentemente, o PPSI também aumenta a proteção dos sistemas críticos de governo no ambiente cibernético.

Quais são suas torres/disciplinas?

É proposto um modelo baseado em 5 (cinco) torres, que tem como enfoque a articulação simultânea das temáticas de governança, pessoas, metodologia, tecnologia e gestão de maturidade, nos sistemas informacionais críticos dos órgãos e das entidades integrantes do SISP.

São 5 (cinco) as torres do PPSI: governança, pessoas, metodologia, tecnologia e gestão de maturidade.

Na torre de governança, abordam-se questões ligadas à identificação, ao estabelecimento e ao envolvimento dos principais atores do processo de busca por conformidade em privacidade, com especial atenção à proteção de dados pessoais e sensíveis dos cidadãos e à segurança da informação. Tais atores podem envolver o responsável pela unidade de TIC, o encarregado pelo tratamento dos dados pessoais, o gestor de segurança, o assessor de controle interno ou outras autoridades equivalentes.

Na torre de pessoas, mantém-se o enfoque nas importantes temáticas da cultura organizacional e nos processos de liderança e motivação, além de capacitações ligadas às competências técnicas e àquelas ligadas à conformidade em privacidade e segurança da informação. Entende-se ser central a disseminação da cultura de privacidade, com especial atenção à proteção de dados pessoais e sensíveis dos cidadãos, e de segurança da informação dentro das organizações, passando pelas importantes etapas de sensibilização dos colaboradores, modificação de padrões vigentes e adoção de novos padrões.

Na torre de metodologia, implementam-se as 6 (seis) etapas que a compõem, a saber: Programa de Governança em Privacidade; Diagnósticos em Privacidade e Segurança da Informação; Inventário de Dados Pessoais; Planos de Adequação à LGPD; Estratégias de Implementação; e Monitoramento.

Na torre de tecnologia, mantém-se o enfoque nas seguintes frentes:

  • Soluções em segurança cibernética, contemplando avaliação e fomento da adoção de ferramentas de diagnósticos dos sistemas críticos que permitam a aplicação de testes como PENTEST, SAST, DAST, bem como prospecção conjunta com os órgãos do SISP de soluções SOC (Security Operations Center), SIEM (Security Information and Event Management) e NOC (Network Operations Center), dentre outras; e
  • Desenvolvimento de plataforma de consentimento do cidadão para atendimento aos princípios preconizados na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), além de outras ferramentas.

Na torre de gestão de maturidade, enfim, serão aplicados mecanismos para avaliação e gestão do grau de proteção dos sistemas no ambiente cibernético. Tais mecanismos são constituídos pelos índices de maturidade em privacidade e segurança da informação, que subsidiarão o órgão na construção, na implementação e no monitoramento de seu Programa de Privacidade e Segurança da Informação.

Quais são os benefícios esperados com o PPSI?

O benefícios esperados com a implementação do PPSI abrangem:

  • Ampliação da confiabilidade e da proteção de sistemas informáticos contra incidentes de segurança;
  • Garantia da privacidade dos dados pessoais dos cidadãos inseridos nas bases de dados governamentais;
  • Aumento da confiança da população na prestação de serviços digitais por parte do governo federal;
  • Disseminação da cultura de proteção de dados e segurança da informação na organização;
  • Identificação, tratamento e controle dos riscos mais significativos em cada sistema informacional crítico do órgão; e
  • Avanço no processo de transformação digital dos serviços de governo, com possibilidade de melhoria na qualidade e de redução de custos e de prazos nos serviços públicos ofertados pelos órgãos integrantes do SISP.

Modelos - Controles Essenciais

Modelo de Política de Backup: Este modelo tem por enfoque prover diretrizes para política de backup e restauração de dados digitais:

Modelo de Política de Gestão de Ativos: Este modelo tem por objetivo prover diretrizes para a gestão de ativos:

Modelo de Política de Controle de Acesso: Este modelo tem por finalidade prover diretrizes para o controle de acesso: