ColaboraGov – O Ministério da Gestão e da Inovação em Serviços Públicos (MGI) publicou um novo normativo que organiza a gestão de segurança da informação no âmbito do ColaboraGov, centro de serviços compartilhados criado para concentrar atividades administrativas de órgãos do governo federal.
A portaria descreve como serão estruturados os processos internos, as equipes técnicas envolvidas e os procedimentos de resposta a incidentes que afetem dados e sistemas sob responsabilidade do Ministério ou de órgãos usuários da plataforma.
LEIA: Mulher tem surto psicótico após acreditar que conversava com irmão morto pelo ChatGPT
A medida integra um conjunto recente de normas voltadas à consolidação do funcionamento do ColaboraGov e está alinhada ao marco regulatório de segurança da informação definido pelo Gabinete de Segurança Institucional (GSI).
Ao estabelecer atribuições claras, fluxos de comunicação e mecanismos de coordenação, o MGI busca dar maior previsibilidade à gestão de riscos e uniformizar práticas entre órgãos que compartilham infraestrutura e serviços administrativos.
De acordo com o texto, a Diretoria de Tecnologia da Informação da Secretaria de Serviços Compartilhados será responsável pela operação da infraestrutura computacional e pelos ativos de informação pertencentes ao próprio Ministério e aos órgãos que demandarem serviços do ColaboraGov. Já os órgãos que aderirem ao modelo deverão manter suas políticas internas de segurança da informação e instituir uma estrutura mínima composta por gestor de segurança, comitê e equipe de resposta a incidentes.
A exigência segue diretrizes já adotadas no âmbito do Executivo federal e reforça que a utilização de serviços compartilhados não transfere integralmente a responsabilidade sobre os riscos, que continuam sendo atribuídos a cada órgão em relação aos seus próprios ativos e informações.
Outro ponto previsto na portaria é a criação de um canal contínuo de comunicação entre a equipe de resposta a incidentes do MGI e as equipes técnicas dos órgãos atendidos. O objetivo é facilitar a troca de informações, alertas e conhecimento técnico sobre ataques, vulnerabilidades e tentativas de intrusão, estimulando um ambiente colaborativo entre gestores de risco e especialistas em segurança da informação.
A comunicação com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo e com o Centro Integrado de Segurança Cibernética do Governo Digital permanece descentralizada. Nesses casos, o contato deve ser feito diretamente pelas equipes técnicas de cada órgão, preservando a autonomia operacional das estruturas já existentes no Sistema de Administração dos Recursos de Tecnologia da Informação (SISP).
Protocolos para tratamento de incidentes
A portaria dedica um capítulo específico à definição dos procedimentos para o tratamento de incidentes cibernéticos, que variam conforme o tipo de ocorrência e o responsável pelo ativo afetado.
Quando o incidente envolve sistemas operados diretamente pelo MGI, o Ministério assume a coordenação da resposta, conduz as ações de recuperação, aciona autoridades externas quando necessário e comunica as áreas responsáveis pela proteção de dados e pelo relacionamento com a imprensa.
Nos casos em que o incidente atinge exclusivamente ativos sob gestão de um órgão solicitante, cabe a esse órgão definir e executar as medidas de resposta e comunicação. Já em situações híbridas, que envolvem simultaneamente ativos operados pelo MGI e informações geridas por um órgão atendido, o Ministério lidera as ações técnicas de recuperação, enquanto o órgão envolvido fica responsável pelos impactos nas áreas de negócio, pela gestão de dados pessoais e por eventual comunicação pública.
Proteção de dados
Independentemente do cenário, o normativo determina que as equipes envolvidas mantenham comunicação ágil e registrem a ocorrência no canal comum, garantindo que os demais participantes do ColaboraGov tenham conhecimento do ataque.
A portaria também estabelece que o encarregado de proteção de dados pessoais deve ser acionado sempre que o incidente envolver informações de titulares, em conformidade com as exigências da Lei Geral de Proteção de Dados (LGPD).
(Com informações de Convergência Digital)
(Foto: Reprodução/Agência Brasil/Rafa Neddermeyer)
