Join IT Pulse, our weekly newsletter Receive the latest news of the IT world, right in your inbox.

Programa de Privacidade e Segurança da Informação (PPSI): O que é e como cumpri-lo

Natalí Valle Dezembro 2, 2024
- 11 min read

O Programa de Privacidade e Segurança da Informação (PPSI) foi lançado em março de 2023 e entrará em vigor em janeiro de 2025. O tempo está passando, e as organizações brasileiras afetadas pela norma precisam agir agora para alinhar suas operações com os requisitos do PPSI, especialmente quando se trata de criar um inventário de ativos em conformidade.

Esse é o seu caso? Então acompanhe-nos! Neste artigo, vamos guiá-lo através das etapas para construir um inventário eficaz que atenda aos padrões do PPSI e como InvGate Asset Management pode ajudar você a atender aos padrões da estrutura num piscar de olhos.

Quanto mais cedo você começar, mais tranquilo e eficaz será o processo. Então, vamos lá!

O que é o PPSI?

O Programa de Privacidade e Segurança da Informação (PPSI) é uma iniciativa do governo brasileiro criada para aprimorar a segurança cibernética e padronizar a proteção de dados em instituições públicas. Ele fornece uma estrutura para que as organizações estabeleçam políticas de segurança sólidas e apliquem controles que protejam a confidencialidade, a integridade e a disponibilidade das informações.

O documento destina-se a entidades da Administração Pública Federal (APF) e está alinhado à Política Nacional de Segurança da Informação (PNSI) e à Lei Geral de Proteção de Dados Pessoais (LGPD).

Então, o que isso significa para os gerentes de TI? Isso envolve a adaptação de processos e ferramentas para gerenciar ativos e, ao mesmo tempo, manter a transparência. Eles também devem garantir que os sistemas e fluxos de trabalho sigam os principais padrões de segurança.

Quais são os objetivos do Programa de Privacidade e Segurança da Informação?

Estes são os objetivos do PPSI:

  • Proteger dados confidenciais de riscos internos e externos.
  • Alinhar-se aos padrões nacionais e internacionais de segurança da informação.
  • Fortalecer as práticas de privacidade, minimizando as vulnerabilidades e aprimorando a maturidade da segurança.

Onde a norma opera?

O PPSI (Programa de Privacidade e Segurança da Informação) atua em várias frentes relacionadas à proteção de dados e à segurança cibernética no setor público brasileiro. Suas áreas de atuação incluem a criação de políticas de segurança, IT Asset Management (ITAM), controle de acesso, monitoramento contínuo e conformidade com normas nacionais e internacionais

Além disso, o programa promove práticas como a identificação de vulnerabilidades, a aplicação de correções, a realização de auditorias regulares e o treinamento das equipes de TI. Essas ações ajudam a estabelecer um ambiente de TI seguro e bem gerenciado, a reduzir os riscos operacionais e a fortalecer a segurança das informações nos órgãos públicos.

A estrutura PPSI vs. controles CIS

A estrutura do PPSI e os Controles do CIS têm em comum o foco no fortalecimento da segurança da informação, mas o PPSI alinha-se especificamente às exigências do governo brasileiro, enquanto os Controles do CIS fornecem diretrizes reconhecidas mundialmente.

A estrutura do PPSI foi projetada especificamente para o setor público brasileiro. Seu objetivo é padronizar as práticas de privacidade e segurança cibernética nas organizações governamentais. A ênfase da estrutura está no alinhamento dos processos com as normas nacionais e na criação de uma cultura de segurança robusta por meio de diretrizes estruturadas.

Por outro lado, os Controles de CIS oferecem um conjunto de práticas recomendadas reconhecidas mundialmente, criadas para ajudar organizações de todos os tipos a priorizar e implementar medidas de segurança de forma eficaz. Os Controles de CIS são particularmente orientados para a ação, fornecendo etapas detalhadas que podem ser adaptadas a vários setores e escalas operacionais.

No entanto, os gerentes de TI podem integrar os Controles do CIS a um plano de implementação da PPSI para reforçar os requisitos da PPSI com práticas recomendadas globais e acionáveis. Por exemplo:

  • Inventário e controle de ativos (PPSI): Isso é completado pelo Controle 1 do CIS, que enfatiza a criação e a manutenção de um inventário completo dos ativos de hardware.
  • Gerenciamento de vulnerabilidades (PPSI): Apoiado pelo Controle 7 do CIS, que se concentra na avaliação e correção contínuas de vulnerabilidades.
  • Controle de acesso (PPSI): Alinhado ao Controle 6 do CIS, que destaca a importância do controle de privilégios administrativos.

Requisitos da PPSI

A estrutura do PPSI estabelece uma série de requisitos estruturados para garantir a proteção eficaz de dados confidenciais e o gerenciamento de ambientes de TI em instituições públicas.

Os principais requisitos incluem:

  1. Desenvolvimento de políticas de segurança robustas:
    • As organizações devem criar políticas claras e aplicáveis que regem a proteção de dados, o gerenciamento de sistemas e as práticas de segurança cibernética. Essas políticas servem como base para a conformidade e a consistência operacional.
  2. Implementação de controles de gerenciamento de ativos:
    • Todos os recursos de hardware, software e baseados em nuvem devem ser identificados, categorizados e monitorados continuamente para evitar perda ou uso indevido.
  3. Garantir o gerenciamento de vulnerabilidades:
    • As organizações devem adotar medidas proativas para identificar, avaliar e atenuar as vulnerabilidades do sistema, incluindo a verificação de atualizações regulares de patches e versões de software.
  4. Protocolos de controle de acesso:
    • O acesso a sistemas e informações confidenciais deve ser restrito a usuários autorizados. Isso inclui a implementação de autenticação multifatorial e o rastreamento das atividades do usuário para detectar anomalias.
  5. Confidencialidade, integridade e disponibilidade dos dados:
    • As medidas de segurança devem garantir que os dados permaneçam protegidos contra acesso não autorizado, adulteração e interrupções que possam comprometer a continuidade operacional.
  6. Auditoria e relatórios de conformidade:
    • Auditorias regulares são obrigatórias para verificar a adesão aos padrões do PPSI. Relatórios detalhados devem ser gerados para demonstrar transparência e solucionar lacunas de forma eficaz.

Como criar um inventário de ativos em conformidade com o Programa de Privacidade e Segurança da Informação

Vamos examinar as etapas da criação de um inventário de ativos que esteja em conformidade com o PPSI.

Etapa 1: Preparação para a implementação

Antes de mergulhar na ferramenta, é importante planejar como você a usará para estar em conformidade com a PPSI.

  1. Analise os requisitos da PPSI para entender quais controles devem estar em vigor para o gerenciamento de ativos.
  2. Defina o escopo do inventário, determinando quais ativos precisam ser rastreados (por exemplo, computadores, dispositivos móveis, servidores).
  3. Envolva as principais partes interessadas, como as equipes de TI, conformidade e segurança da informação, desde o início.

Com essa preparação, você pode passar para a próxima etapa: configurar o InvGate Asset Management para atender às necessidades da sua organização.

Etapa 2: Instalação e configuração inicial

Agora que você está preparado, é hora de configurar InvGate Asset Management. O processo de instalação foi projetado para ser rápido e seguro para que você possa se concentrar na configuração.

  1. Baixe e instale o InvGate em seu servidor ou ambiente de nuvem, dependendo da sua preferência.
  2. Configure os usuários e as permissões dentro da InvGate para garantir que as pessoas certas tenham acesso à ferramenta.
  3. Integre o InvGate à sua rede, detectando automaticamente todos os dispositivos conectados.

Ao configurar o seu sistema dessa forma, você garante que apenas os usuários autorizados possam acessar os dados confidenciais e a ferramenta pode começar a trabalhar para você imediatamente.

Etapa 3: Inventário automatizado e identificação de ativos

Agora é hora de começar a fazer o inventário unificado de ativos. Você terá que registrar todos os ativos institucionais, como computadores, servidores e dispositivos móveis, incluindo detalhes importantes como endereços IP, localizações e usuários atribuídos.

Com InvGate Asset Management você tem diferentes opções para preencher seu inventário:

  1. Com o recurso de descoberta automática de ativos, InvGate pode detectar todos os dispositivos (computadores, laptops, servidores, etc.) conectados à sua rede.
  2. Instale o agente em seus dispositivos para rastreá-los automaticamente através do inventário.
  3. Se você já tiver um inventário informal, por exemplo, em uma planilha do Excel, também poderá importá-lo usando o modelo .xls com apenas alguns cliques.

Depois disso, a próxima etapa é simplesmente garantir que todos os detalhes necessários, como tipo de ativo, localização, usuário responsável e status, sejam preenchidos para cada item.

E, por último, mas não menos importante, lembre-se de classificar os ativos por sua criticidade ou sensibilidade para alinhar-se às suas necessidades de conformidade com a PPSI.

Map of methods to create a unified IT asset inventory on InvGate Insight.

Etapa 4: Controle de acesso e permissões

Controle quem pode visualizar ou modificar os dados dos ativos para garantir a conformidade e a segurança. InvGate fornece ferramentas fáceis para gerenciar os direitos de acesso.

  1. Crie perfis de usuário em InvGate e atribua permissões específicas com base nas funções (por exemplo, equipe de TI, equipe de segurança, responsáveis pela conformidade).
  2. Use o controle de acesso baseado em funções para restringir o acesso a dados confidenciais, garantindo que apenas os usuários autorizados possam fazer alterações.
  3. Configure os registros de acesso no InvGate para manter um registro de quem visualizou ou modificou as informações do ativo.

Dessa forma, você mantém um ambiente seguro onde somente o pessoal autorizado pode fazer alterações nos dados críticos.

Etapa 5: Rastreamento contínuo e relatórios de auditoria

Estas são as etapas para rastrear a atividade dos ativos e sinalizar alterações ou eventos suspeitos.

  1. Rastreie automaticamente o status do ativo e todas as alterações feitas na plataforma InvGate.
  2. Gerar relatórios de conformidade para auditorias de PPSI, facilitando a conformidade com os requisitos.
  3. Integrar-se com outros sistemas de segurança para detectar anomalias.

Esses recursos facilitam o controle de seus ativos, garantindo que nada passe despercebido quando se trata de requisitos de PPSI.

Etapa 6: Gerenciamento do ciclo de vida dos ativos

Mantenha registros de cada ativo desde a aquisição até a transferência, manutenção e descarte seguro.

  1. Use o InvGate para rastrear todo o ciclo de vida de cada ativo, desde a compra até a manutenção e eventual desativação.
  2. Monitore os movimentos dos ativos e as mudanças de localização para que você sempre saiba onde cada ativo está e quem é responsável por ele.

O mais importante é que você deve manter registros detalhados de todas as alterações ou transferências para permitir a rastreabilidade e apoiar as auditorias.

Etapa 7: Relatórios de conformidade

Você precisará preparar relatórios periódicos que detalhem a conformidade do inventário de ativos com os padrões do PPSI e acompanhem indicadores como cobertura do inventário, frequência de atualização e casos de não conformidade.

  1. Crie relatórios personalizados para destacar as principais métricas de conformidade relevantes para o PPSI, como o status do ativo ou os resultados da auditoria.
  2. Utilize os indicadores de conformidade incorporados de InvGate para rastrear os esforços de gestão de ativos e identificar as áreas que precisam de atenção.
  3. Exporte esses relatórios para compartilhar com auditores ou partes interessadas, conforme necessário, garantindo a transparência e a responsabilidade.

A capacidade de InvGate de gerar relatórios personalizados é perfeita para acompanhar o cumprimento do PPSI e se preparar para as auditorias.

Em resumo

A estrutura do PPSI fornece um guia valioso para que as entidades da administração pública federal identifiquem, monitorem e abordem as lacunas em suas medidas de proteção e segurança de dados.

À medida que se aproxima o prazo para cumprir com este novo regulamento, é mais importante do que nunca priorizar as boas práticas de segurança.

Com InvGate Asset Management, você poderá:

  • Configurar seu inventário de ativos em 24 horas.
  • Manter todos os dados de seus ativos em um só lugar para facilitar o acesso e o controle.
  • Ajudar a sua equipe a adotar a Gestão de Ativos com uma plataforma de fácil utilização.
  • Automatizar os principais processos, como a descoberta de ativos e a geração de relatórios, e economizar um tempo valioso.

Se você está procurando uma maneira confiável e eficiente de gerenciar seus ativos e garantir a segurança e a integridade dos dados da sua organização, InvGate Asset Management é o caminho a seguir. Ainda não tem certeza? Experimente-o gratuitamente por 30 dias e veja por si mesmo como ele pode ajudá-lo a alcançar a conformidade com o PPSI e muito mais.

Read other articles like this:

Avalie InvGate como sua solução ITSM

Teste gratuito de 30 dias - Não é necessário cartão de crédito

Começar