O Ministério da Gestão publicou portaria que estabelece regras para a gestão de segurança da informação no ColaboraGov, o centro de serviços compartilhados que centraliza funções administrativas para órgãos do governo federal. O normativo detalha como serão organizados os processos, as equipes técnicas e os protocolos de resposta a incidentes que envolvam dados e sistemas operados pela Diretoria de Tecnologia da Informação (MGI) ou por órgãos que utilizam a estrutura compartilhada.
A portaria se ancora no marco regulatório de segurança da informação definido pelo Gabinete de Segurança Institucional e consolida o funcionamento do ColaboraGov, buscando maior previsibilidade na gestão de riscos e padronização entre diferentes órgãos que compartilham infraestrutura e serviços.
O documento estabelece que a Diretoria de Tecnologia da Informação da Secretaria de Serviços Compartilhados ficará responsável pela operação da infraestrutura computacional e dos ativos de informação pertencentes ao Ministério e aos órgãos solicitantes do ColaboraGov. Cada órgão adesão deverá manter políticas internas de segurança da informação e designar uma estrutura mínima composta por gestor de segurança, comitê e equipe de resposta a incidentes, conforme diretrizes já vigentes no Executivo federal.
Foi criado um canal contínuo de comunicação entre a equipe de resposta a incidentes do MGI e as equipes dos órgãos atendidos, para facilitar o compartilhamento de informações, alertas e conhecimento técnico sobre ataques, vulnerabilidades e tentativas de intrusão, promovendo colaboração entre gestores de risco e especialistas de segurança.
A comunicação com centros de prevenção, tratamento e resposta a incidentes cibernéticos de governo permanece descentralizada e deve ser feita diretamente pelas equipes técnicas de cada órgão, preservando a autonomia operacional existente no SISP. Em relação aos protocolos de incidentes, a portaria prevê cenários conforme a natureza do ataque: incidentes que atinjam sistemas operados pelo MGI, incidentes que atinjam ativos de órgãos solicitantes e incidentes híbridos. Em todos os casos, as equipes devem comunicar o ocorrido prontamente e registrá-lo no canal comum, com o encarregado de proteção de dados acionado quando houver informações de titulares, em conformidade com a LGPD.
