Cibersegurança para o Setor Público e Governo no Brasil
Resposta direta
A cibersegurança no setor público brasileiro protege serviços essenciais (saúde, educação, arrecadação, identidade digital) e os dados pessoais de milhões de cidadãos sob custódia do Estado. Órgãos públicos são alvos prioritários de ransomware, vazamento de bases e hacktivismo, e estão sujeitos à LGPD (Lei 13.709/2018), às normas do GSI/PR e à resposta coordenada do CTIR Gov. A Decripte estrutura defesa com base no NIST CSF, ISO 27001 e MITRE ATT&CK, oferecendo SOC 24x7, resposta a incidentes em menos de 1h e adequação à LGPD — começando pelo diagnóstico gratuito de Gestão de Ameaças.
Principais conclusões
- ›Órgãos públicos — de prefeituras a tribunais e hospitais públicos — são alvos de alto valor: concentram dados sensíveis de cidadãos e operam serviços essenciais cuja parada gera impacto social imediato, o que aumenta a pressão por pagamento em ataques de ransomware.
- ›O tratamento de dados pessoais pelo poder público é expressamente regido pela LGPD (Lei 13.709/2018, arts. 23 a 32), com hipóteses específicas, dever de transparência e fiscalização da ANPD; órgão público não está isento e responde por vazamentos.
- ›A segurança da informação na Administração Pública Federal é normatizada pelo GSI/PR (Gabinete de Segurança Institucional da Presidência) por meio de Instruções Normativas e Portarias, e a resposta a incidentes é coordenada pelo CTIR Gov.
- ›As ameaças mais frequentes são ransomware com parada de serviços, exfiltração e vazamento de bases de cidadãos, ataques a serviços digitais como o gov.br, fraude/desvio financeiro, hacktivismo e exposição indevida de bases de dados abertas.
- ›Frameworks reconhecidos — NIST CSF, ISO/IEC 27001, MITRE ATT&CK e as recomendações do CERT.br — fornecem a estrutura para identificar, proteger, detectar, responder e recuperar, ancorando políticas, controles e métricas auditáveis.
- ›A Decripte combina um diagnóstico gratuito de Gestão de Ameaças (decripte.com.br/intelligence-center) com serviços pagos — SOC 24x7, Resposta a Incidentes em menos de 1h, Pentest, LGPD/ISO e CISO-as-a-Service — para órgãos de qualquer porte, do pequeno município ao ente federal.
Por que o setor público é alvo prioritário e o que está em jogo
O setor público brasileiro carrega uma combinação única de atributos que o tornam um dos alvos mais cobiçados por grupos criminosos e hacktivistas: concentração massiva de dados pessoais e sensíveis de cidadãos (CPF, dados de saúde, biometria, informações fiscais, vínculos sociais), operação de serviços essenciais cuja interrupção tem impacto social imediato, e — em muitos órgãos, sobretudo municipais — orçamentos de tecnologia limitados, parque tecnológico heterogêneo e equipes de TI enxutas. Uma prefeitura que perde o acesso aos seus sistemas de arrecadação, folha de pagamento, saúde e protocolo não enfrenta apenas um problema técnico: ela paralisa atendimento ao público, deixa servidores sem salário, suspende prescrições e marcação de consultas e expõe a continuidade de funções de Estado.
Diferentemente do setor privado, onde o cálculo de risco gira em torno de prejuízo financeiro e reputacional, no setor público o que está em jogo é a própria capacidade de o Estado prestar serviço ao cidadão e de proteger informações que o cidadão é obrigado a entregar — não há a opção de "não compartilhar dados com a prefeitura". Essa assimetria cria um dever de cuidado reforçado: o cidadão não escolhe o nível de segurança do órgão que detém seus dados de saúde ou seus registros fiscais. Quando uma base de dados pública vaza, o dano recai sobre milhões de pessoas que não tiveram qualquer participação na decisão de segurança e que muitas vezes nem sabem que seus dados estão sob risco.
Os atacantes percebem essa pressão e a exploram. Em ataques de ransomware contra órgãos públicos, a urgência de restaurar serviços essenciais — um hospital sem prontuário, uma secretaria de fazenda sem sistema de tributos — é usada como alavanca de extorsão. Grupos que praticam dupla extorsão (criptografam os dados e ameaçam publicá-los) sabem que um órgão público tem mais a perder com a divulgação de dados de cidadãos, o que eleva a probabilidade de pagamento ou, no mínimo, o custo político da resposta. O hacktivismo soma-se a esse cenário: defacements de portais, derrubada de serviços por negação de serviço (DDoS) e vazamentos com motivação ideológica visam constranger gestores e expor fragilidades de forma deliberadamente pública.
O que está em jogo, portanto, vai além da disponibilidade de um sistema. Está em jogo a confiança do cidadão na transformação digital do Estado — no gov.br, na carteira digital, no agendamento de saúde, na nota fiscal eletrônica. Cada incidente mal respondido corrói essa confiança e, no limite, empurra a população de volta para canais analógicos mais caros e menos eficientes. Estruturar cibersegurança no setor público é, antes de tudo, proteger a legitimidade e a continuidade do serviço público digital.
Mapa de ameaças contra prefeituras, órgãos e serviços públicos digitais
O ransomware é, hoje, a ameaça de maior impacto operacional para o setor público. O padrão de ataque costuma seguir a cadeia descrita pelo MITRE ATT&CK: acesso inicial por phishing, credenciais válidas vazadas ou exploração de serviços expostos (VPNs e RDP sem múltiplo fator de autenticação), movimentação lateral pela rede interna, escalonamento de privilégios, exfiltração de dados e, por fim, criptografia em massa. Em prefeituras e autarquias, a ausência de segmentação de rede faz com que um único endpoint comprometido contamine secretarias inteiras — saúde, educação, fazenda e administração — derrubando todos os serviços de uma vez. A recuperação sem backups íntegros e testados pode levar semanas, com serviços essenciais parados o tempo todo.
O vazamento e a exposição de bases de dados de cidadãos é a segunda grande frente. Pode ocorrer por exfiltração durante um ataque, por configuração incorreta de armazenamento exposto à internet (buckets, bancos e painéis administrativos sem autenticação), por APIs de serviços públicos digitais com controle de acesso falho, ou por uso indevido de credenciais de servidores. Bases de saúde pública, cadastros sociais, dados fiscais e registros de identidade são especialmente sensíveis porque permitem fraude, engenharia social e discriminação. A LGPD classifica dados de saúde, biometria e origem racial, entre outros, como dado pessoal sensível, com proteção reforçada — e o vazamento desse tipo de dado por um órgão público é incidente de notificação obrigatória à ANPD e aos titulares.
Ataques a serviços públicos digitais — portais de transparência, sistemas de protocolo, plataformas de identidade como o gov.br, sistemas tributários e de saúde — incluem injeção de SQL, falhas de autenticação e autorização, abuso de funções de recuperação de senha, sequestro de sessão e fraude de identidade para acesso indevido a benefícios. A fraude e o desvio financeiro aparecem em sistemas de pagamento, licitações e folha, frequentemente combinando comprometimento de e-mail corporativo (BEC) com alteração de dados bancários de fornecedores e servidores. Já a exposição indevida de bases abertas ocorre quando dados que deveriam ser anonimizados ou de acesso restrito são publicados sem o devido tratamento, violando a fronteira entre transparência (Lei de Acesso à Informação) e proteção de dados (LGPD).
Por fim, o hacktivismo e a negação de serviço (DDoS) miram a disponibilidade e a imagem. Defacements de portais oficiais, indisponibilidade de sites de prestação de contas em datas simbólicas e vazamentos com motivação política são vetores que exigem proteção de borda (WAF, mitigação de DDoS) e monitoramento contínuo. Mapear essas ameaças contra cada órgão exige inteligência: saber quais credenciais de servidores já vazaram, quais serviços estão expostos na internet, quais bases podem estar mal configuradas e quais grupos têm o órgão como alvo. É exatamente esse mapeamento que a Gestão de Ameaças gratuita da Decripte oferece como ponto de partida.
Os dados da sua empresa de governo e setor público já estão expostos? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O arcabouço regulatório: LGPD no setor público, GSI/PR e CTIR Gov
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) dedica um capítulo específico ao tratamento de dados pessoais pelo Poder Público (arts. 23 a 32). A LGPD deixa claro que pessoas jurídicas de direito público devem tratar dados para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar competências legais ou cumprir atribuições legais do serviço público — e que devem informar as hipóteses em que realizam o tratamento, fornecendo informações claras sobre a previsão legal, a finalidade e os procedimentos. Órgãos públicos não estão isentos: estão sujeitos aos princípios da lei (finalidade, adequação, necessidade, transparência, segurança, prevenção e responsabilização), ao dever de adotar medidas de segurança, e à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD). O uso compartilhado de dados entre entes públicos e a transferência para entidades privadas têm regras próprias, e a ANPD pode requisitar relatório de impacto à proteção de dados pessoais.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a LGPD impõe ao controlador — incluindo o órgão público — o dever de comunicar à ANPD e aos titulares afetados em prazo razoável. Isso significa que uma prefeitura ou autarquia que sofre vazamento de dados de cidadãos tem obrigações legais concretas: avaliar a extensão, notificar, mitigar e prestar contas. A figura do encarregado pelo tratamento de dados pessoais (DPO) também se aplica ao setor público, servindo de ponto de contato com a ANPD e com os titulares. Estruturar a conformidade com a LGPD em um órgão público, portanto, não é opcional nem meramente formal — é condição de legalidade do tratamento de dados de milhões de cidadãos.
No âmbito federal, a segurança da informação é normatizada pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR). O GSI edita Instruções Normativas e Portarias que definem a Política Nacional de Segurança da Informação, requisitos mínimos de segurança cibernética para a Administração Pública Federal, gestão de incidentes, requisitos para contratação de soluções de TI e diretrizes de governança. A Instrução Normativa nº 1 do GSI e suas Portarias complementares estabelecem desde a estrutura de gestão de segurança da informação até requisitos de segurança em nuvem e tratamento de incidentes. Embora muitas dessas normas vinculem diretamente o Executivo federal, elas se consolidaram como referência de boa prática para estados, municípios e demais entes, que podem e devem adotá-las como baseline.
A resposta a incidentes no governo federal é coordenada pelo CTIR Gov — Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, ligado ao GSI/PR, que atua como CSIRT de governo, recebe notificações de incidentes, emite alertas e orienta o tratamento. Complementam o ecossistema regulatório a Lei nº 12.527/2011 (Lei de Acesso à Informação — LAI), que define o que é público e o que é sigiloso e equilibra transparência com proteção de dados; o Marco Civil da Internet (Lei nº 12.965/2014), com princípios de privacidade, guarda de registros e neutralidade; e os padrões de interoperabilidade e usabilidade do governo — e-PING (Padrões de Interoperabilidade de Governo Eletrônico) e e-PWG (Padrões Web). Para o ecossistema técnico nacional, o CERT.br (do NIC.br) publica boas práticas e estatísticas de incidentes que apoiam a defesa. A Decripte ancora suas entregas nesse arcabouço, somando frameworks internacionais como NIST CSF e ISO/IEC 27001 para dar estrutura auditável às políticas e controles.
Como a Decripte implementa cibersegurança em órgãos públicos
A implementação começa pelo diagnóstico, e o diagnóstico começa de graça. A Gestão de Ameaças gratuita da Decripte (decripte.com.br/intelligence-center) mapeia a superfície de exposição do órgão na internet — serviços e portais expostos, painéis administrativos acessíveis, possíveis bases mal configuradas — e monitora ameaças relevantes, como credenciais de servidores e domínios institucionais já vazadas em incidentes anteriores, com apoio de equipe e inteligência artificial 24x7. Esse mapa inicial transforma uma percepção difusa de risco em uma lista priorizada de problemas concretos, e dá ao gestor público uma base objetiva para decidir onde investir primeiro. É o passo natural para um órgão que precisa começar a estruturar segurança sem orçamento inicial.
A partir do diagnóstico, a Decripte estrutura a defesa seguindo o NIST Cybersecurity Framework — Identificar, Proteger, Detectar, Responder e Recuperar — e alinha controles à ISO/IEC 27001 para garantir um Sistema de Gestão de Segurança da Informação auditável, compatível com as exigências do GSI/PR para a Administração Pública Federal e útil como baseline para qualquer ente. Na camada de Identificar e Proteger, fazem parte do escopo a Gestão de Vulnerabilidades contínua (descoberta, priorização por risco e acompanhamento de correção), a Preventiva/EDR nos endpoints e servidores (detecção comportamental e contenção de ameaças), e a proteção de Borda/WAF para portais e serviços digitais expostos, mitigando injeção, abuso de aplicação e DDoS. O Pentest valida, com técnicas reais mapeadas no MITRE ATT&CK, se os controles resistem a um atacante determinado.
Na camada de Detectar e Responder, o SOC 24x7 da Decripte monitora os ambientes do órgão de forma ininterrupta, correlacionando eventos, caçando ameaças e acionando a resposta quando detecta atividade maliciosa. Para o setor público, a operação contínua é decisiva: ataques a serviços essenciais não respeitam horário comercial, e a diferença entre conter um ransomware no primeiro endpoint comprometido e descobri-lo depois que toda a rede foi criptografada é, justamente, a vigilância 24x7. A Resposta a Incidentes com acionamento em menos de 1h garante que, quando algo acontece, há uma equipe especializada disponível imediatamente para conter, erradicar e recuperar — minimizando o tempo de serviço público fora do ar.
Na camada de governança, a Consultoria LGPD/ISO e o CISO-as-a-Service dão ao órgão a estrutura de conformidade e liderança de segurança que muitos não conseguem manter internamente. Isso inclui adequação do tratamento de dados de cidadãos à LGPD (mapeamento de bases, bases legais do setor público, políticas, e apoio ao encarregado/DPO), preparação para auditorias, definição de políticas alinhadas ao GSI/PR e ao e-PING, e a figura de um CISO terceirizado que traduz risco técnico em decisão de gestão. Para órgãos com iniciativas de identidade digital, ativos cripto ou contratos com tecnologias de registro distribuído, a frente Web3 cobre superfícies emergentes. Tudo isso é entregue no modelo "do MEI ao Enterprise": um pequeno município contrata o essencial e cresce conforme a maturidade; um ente federal ou tribunal estrutura um programa completo.
Sua operação em governo e setor público aguenta um ataque hoje? Comece o diagnóstico gratuito.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Resposta a incidente em serviço essencial: contenção sem paralisar o cidadão
Responder a um incidente em um serviço essencial tem uma restrição que não existe em quase nenhum outro contexto: não basta conter o ataque, é preciso conter sem desligar o que o cidadão precisa. Quando o sistema afetado é o prontuário de um hospital público, o agendamento de consultas, o sistema de tributos ou a folha de pagamento de servidores, a resposta precisa equilibrar a urgência de isolar o ambiente comprometido com a obrigação de manter ou restaurar rapidamente o serviço. Por isso, a resposta a incidentes no setor público começa muito antes do incidente: com um plano de resposta documentado, papéis definidos, canais de comunicação acordados e backups testados.
O fluxo de resposta da Decripte segue as fases consagradas — preparação, detecção e análise, contenção, erradicação, recuperação e lições aprendidas — em linha com NIST CSF e com as orientações do CTIR Gov e do CERT.br. Na detecção, o SOC identifica o comprometimento e classifica a severidade. Na contenção, isolam-se os ativos afetados (segmentação, bloqueio de credenciais comprometidas, corte de movimentação lateral) preservando, sempre que possível, os serviços críticos em ambiente seguro. Na erradicação, remove-se a presença do atacante e fecham-se as portas de entrada. Na recuperação, restauram-se sistemas a partir de backups íntegros, com validação de que o ambiente está limpo antes de retornar à produção. A preservação de evidências (cadeia de custódia) é mantida ao longo de todo o processo, viabilizando análise forense e eventual apuração.
A dimensão regulatória da resposta é tão importante quanto a técnica. Em incidentes que envolvem dados pessoais de cidadãos, o órgão tem o dever de comunicar a ANPD e os titulares quando houver risco ou dano relevante, conforme a LGPD. No âmbito federal, há a notificação ao CTIR Gov e o cumprimento das normas do GSI/PR. A Decripte conduz a resposta técnica e, simultaneamente, apoia o órgão na trilha de obrigações legais e de comunicação, evitando que a pressa em restaurar serviços leve a omissões que ampliam a responsabilização. Comunicar bem — internamente, à imprensa quando necessário e à população — faz parte da resposta: silêncio e desinformação corroem ainda mais a confiança já abalada pelo incidente.
O acionamento em menos de 1h é o que torna esse fluxo viável na prática. Em ransomware, cada hora de demora amplia a criptografia e a exfiltração; em vazamento ativo, cada hora amplia o volume de dados de cidadãos expostos. Ter uma equipe de resposta de prontidão, integrada ao SOC que já conhece o ambiente, é a diferença entre um incidente circunscrito e uma crise institucional. Para órgãos que ainda não têm contrato de resposta, a recomendação é começar agora pelo diagnóstico gratuito — porque o pior momento para procurar uma equipe de resposta é durante o ataque.
O ângulo do cidadão: dados pessoais nas mãos do Estado
Há um cidadão por trás de cada registro em uma base pública. Quando uma pessoa tira um documento, marca uma consulta no SUS, paga um tributo, recebe um benefício social ou se autentica no gov.br, ela entrega ao Estado dados que muitas vezes não tem alternativa de não entregar. Essa relação de obrigatoriedade cria, para o órgão público, um dever de proteção mais rigoroso do que o de uma empresa privada: o cidadão não pode "trocar de fornecedor" se a prefeitura é negligente com seus dados de saúde. A LGPD reconhece essa assimetria ao reforçar princípios de finalidade, necessidade e segurança no tratamento por pessoa jurídica de direito público e ao garantir ao titular direitos de acesso, correção e informação sobre o uso de seus dados.
O dano de um vazamento no setor público é particularmente grave porque os dados sob custódia do Estado são, frequentemente, os mais sensíveis e os mais permanentes da vida de uma pessoa. Um número de cartão pode ser trocado; um CPF, um histórico de saúde, uma biometria ou um dado de origem racial não. Bases públicas vazadas alimentam fraudes de identidade, golpes direcionados, abertura indevida de crédito e até discriminação. Por isso, a LGPD trata dado pessoal sensível — saúde, biometria, dado genético, convicção religiosa, opinião política, origem racial ou étnica, vida sexual — com proteção reforçada, e por isso o cuidado de um órgão público com essas bases tem reflexo direto e duradouro na vida concreta das pessoas.
Proteger o cidadão também significa equilibrar transparência e privacidade. A Lei de Acesso à Informação garante o direito de a população saber como o Estado funciona e como gasta o dinheiro público, mas esse direito não autoriza a publicação indiscriminada de dados pessoais. Um portal de transparência que expõe CPFs, endereços ou dados de saúde junto com informações de gasto público confunde transparência com violação de privacidade. Estruturar corretamente o que é dado público, o que deve ser anonimizado e o que é sigiloso — na fronteira entre LAI e LGPD — é parte do trabalho de cibersegurança e governança de dados que protege, ao mesmo tempo, o direito à informação e o direito à privacidade.
Por fim, proteger o cidadão é proteger a confiança no governo digital. Cada serviço público que migra para o digital — da carteira de identidade ao agendamento de saúde, da nota fiscal à assinatura eletrônica — depende de o cidadão acreditar que seus dados estarão seguros. Um único grande vazamento de uma base pública não prejudica apenas as vítimas diretas: erode a disposição de toda a população a usar serviços digitais do Estado. Investir em cibersegurança no setor público é, em última análise, investir na viabilidade do próprio projeto de transformação digital do Brasil — e o cidadão é o beneficiário final de cada controle bem implementado.
Por onde começar: do diagnóstico gratuito ao programa completo
Muitos gestores públicos travam diante da cibersegurança por acreditarem que é necessário um grande orçamento e uma equipe especializada para dar o primeiro passo. Não é. O primeiro passo é entender a exposição real do órgão, e isso pode ser feito sem custo. A Gestão de Ameaças gratuita da Decripte (decripte.com.br/intelligence-center) entrega um mapa objetivo de vulnerabilidades e riscos, monitora ameaças relevantes ao domínio e às credenciais do órgão e conta com equipe e inteligência artificial em operação 24x7 — convertendo um receio abstrato em uma lista de problemas priorizados e acionáveis que cabe na realidade de uma secretaria pequena.
Com o diagnóstico em mãos, o órgão evolui no ritmo da sua maturidade e do seu orçamento. As prioridades quase universais no setor público são: backups íntegros e testados (a melhor defesa contra ransomware), múltiplo fator de autenticação em todos os acessos remotos e privilegiados, segmentação de rede para conter contaminação lateral, gestão de vulnerabilidades para fechar as portas mais exploradas, e um plano de resposta a incidentes com equipe de prontidão. A partir daí, o SOC 24x7, a Resposta a Incidentes em menos de 1h e a adequação à LGPD compõem um programa de segurança completo e auditável, ancorado em NIST CSF, ISO 27001 e nas normas do GSI/PR.
A Decripte atende órgãos de todos os portes — prefeituras de pequenos municípios, secretarias estaduais, autarquias, tribunais, hospitais e redes de saúde pública, escolas e redes de educação pública, e entes federais — no modelo "do MEI ao Enterprise". O pequeno município começa pelo essencial e cresce; o ente de grande porte estrutura desde já um programa abrangente com governança, SOC, resposta, pentest e conformidade. Em todos os casos, a lógica é a mesma: reduzir o risco real, proteger os dados dos cidadãos e garantir a continuidade dos serviços essenciais. Comece hoje pelo diagnóstico gratuito e descubra, em concreto, onde o seu órgão está exposto.
Termos do setor
- CTIR Gov
- Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao GSI/PR. Funciona como o CSIRT do governo federal: recebe notificações de incidentes de segurança de órgãos da Administração Pública Federal, emite alertas e orienta o tratamento e a resposta coordenada.
- GSI/PR
- Gabinete de Segurança Institucional da Presidência da República, órgão responsável por normatizar a segurança da informação na Administração Pública Federal por meio de Instruções Normativas e Portarias, definindo a política de segurança, requisitos mínimos de segurança cibernética e diretrizes de gestão de incidentes e governança.
- Dado pessoal sensível
- Categoria definida pela LGPD que abrange dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, dados referentes à saúde, à vida sexual, dado genético e biométrico. Recebe proteção reforçada por seu potencial de causar discriminação e dano grave ao titular quando exposto.
- Serviço essencial
- Serviço público cuja interrupção causa impacto direto e imediato à população, como saúde (hospitais, agendamento, prontuário), arrecadação, identidade digital, folha de pagamento de servidores e protocolo. A continuidade desses serviços é prioridade na resposta a incidentes do setor público.
- e-PING
- Padrões de Interoperabilidade de Governo Eletrônico — conjunto de premissas, políticas e especificações técnicas que regulam a interoperabilidade de sistemas e serviços de governo eletrônico no Brasil, orientando a integração entre órgãos e a padronização de dados e serviços públicos digitais.
- LAI
- Lei de Acesso à Informação (Lei nº 12.527/2011), que regula o direito constitucional de acesso a informações públicas, definindo regras de transparência ativa e passiva, prazos de resposta e hipóteses de sigilo. Deve ser harmonizada com a LGPD para garantir transparência sem expor dados pessoais de cidadãos.
Por onde começar
- Comece pelo diagnóstico gratuito: rode a Gestão de Ameaças da Decripte em decripte.com.br/intelligence-center para mapear a exposição do órgão na internet (serviços e portais expostos, painéis acessíveis) e descobrir se credenciais e domínios institucionais já vazaram.
- Inventarie ativos e dados: levante quais sistemas operam serviços essenciais e quais bases contêm dados pessoais e sensíveis de cidadãos, classificando-os e mapeando as bases legais de tratamento exigidas pela LGPD para o setor público.
- Garanta backups íntegros e testados: implemente backups offline ou imutáveis, com restauração testada periodicamente, como principal linha de defesa contra ransomware e parada de serviços essenciais.
- Ative múltiplo fator de autenticação e segmente a rede: exija MFA em todos os acessos remotos e privilegiados e segmente a rede por secretaria/função para impedir que um único endpoint comprometido contamine o órgão inteiro.
- Estabeleça gestão contínua de vulnerabilidades: descubra, priorize por risco e corrija as vulnerabilidades de sistemas, portais e serviços digitais expostos, fechando as portas de entrada mais exploradas por atacantes.
- Implante monitoramento 24x7 e detecção: contrate um SOC 24x7 com EDR nos endpoints e WAF na borda dos serviços digitais, correlacionando eventos para detectar e conter ameaças antes que se tornem incidentes de grande escala.
- Tenha um plano de resposta a incidentes pronto: documente fluxo (preparação, detecção, contenção, erradicação, recuperação), papéis, cadeia de custódia, e os deveres de notificação à ANPD, aos titulares e ao CTIR Gov, com equipe de resposta de prontidão acionável em menos de 1h.
- Estruture governança e conformidade contínuas: alinhe controles ao NIST CSF, ISO 27001 e às normas do GSI/PR, nomeie o encarregado (DPO), e considere CISO-as-a-Service e consultoria LGPD/ISO para manter o programa vivo, auditável e em evolução.
Perguntas frequentes
Órgão público está sujeito à LGPD?
Sim. A LGPD (Lei nº 13.709/2018) dedica os artigos 23 a 32 ao tratamento de dados pessoais pelo Poder Público. Pessoas jurídicas de direito público devem tratar dados para o atendimento de sua finalidade pública e na execução de competências legais, observando os princípios da lei (finalidade, necessidade, segurança, transparência, responsabilização) e o dever de informar as hipóteses de tratamento. Órgãos públicos não são isentos: estão sujeitos à fiscalização da ANPD e respondem por incidentes e vazamentos de dados de cidadãos.
Como acionar o CTIR Gov em caso de incidente?
O CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo), ligado ao GSI/PR, é o CSIRT do governo federal e recebe notificações de incidentes de segurança de órgãos da Administração Pública Federal, emitindo alertas e orientações de tratamento. Órgãos federais devem notificar o CTIR Gov conforme as normas do GSI/PR. Em paralelo, é recomendável contar com uma equipe de resposta a incidentes especializada que conduza a contenção técnica e apoie o cumprimento das obrigações legais. A Decripte conduz a resposta e apoia o órgão nessa trilha regulatória.
Minha prefeitura foi atacada por ransomware. O que fazer agora?
Aja imediatamente: isole os sistemas afetados da rede para conter a propagação (sem desligar abruptamente ativos que possam conter evidências), preserve registros e evidências, e acione uma equipe de resposta a incidentes especializada — a Resposta a Incidentes da Decripte é acionável em menos de 1h. Não pague resgate sem orientação. Avalie a extensão do vazamento de dados de cidadãos para cumprir os deveres de notificação à ANPD e aos titulares previstos na LGPD. Restaure os sistemas a partir de backups íntegros somente após confirmar que o ambiente está limpo, e documente todo o processo.
Como adequar o tratamento de dados de cidadãos à LGPD em um órgão público?
Comece mapeando todas as bases de dados pessoais e sensíveis e as finalidades de cada tratamento. Identifique a base legal aplicável ao setor público (execução de políticas públicas, competências legais, cumprimento de obrigação legal). Implemente medidas de segurança, defina políticas e processos de atendimento aos direitos dos titulares, nomeie o encarregado (DPO) como ponto de contato com a ANPD, e estabeleça um plano de resposta a incidentes com os deveres de notificação. A consultoria LGPD da Decripte conduz esse processo de ponta a ponta, integrando-o à segurança técnica.
Quais normas de segurança da informação se aplicam à Administração Pública Federal?
No âmbito federal, o GSI/PR (Gabinete de Segurança Institucional da Presidência) edita as principais normas — Instruções Normativas e Portarias — que definem a política de segurança da informação, requisitos mínimos de segurança cibernética, gestão de incidentes, segurança em nuvem e governança. A resposta a incidentes é coordenada pelo CTIR Gov. Complementam o conjunto a LGPD, a Lei de Acesso à Informação, o Marco Civil da Internet e os padrões e-PING/e-PWG. Frameworks como NIST CSF e ISO 27001 servem de baseline técnico, inclusive para estados e municípios.
Órgão público pequeno, sem orçamento e sem equipe de TI, por onde começar?
Comece pelo que é gratuito e objetivo: a Gestão de Ameaças da Decripte (decripte.com.br/intelligence-center) mapeia a exposição do órgão e monitora ameaças com equipe e IA 24x7, sem custo, entregando uma lista priorizada de problemas. Em seguida, foque nas prioridades de maior impacto e menor custo: backups testados, MFA em acessos remotos e privilegiados, segmentação de rede e correção das vulnerabilidades mais críticas. A Decripte atende no modelo "do MEI ao Enterprise", permitindo que o órgão evolua no ritmo do seu orçamento e da sua maturidade.
Como equilibrar a Lei de Acesso à Informação com a proteção de dados da LGPD?
A Lei de Acesso à Informação (Lei nº 12.527/2011) garante a transparência ativa e passiva sobre o funcionamento e os gastos do Estado, mas não autoriza a divulgação indiscriminada de dados pessoais de cidadãos. O equilíbrio está em classificar corretamente o que é informação de interesse público, o que deve ser anonimizado e o que é sigiloso ou pessoal. Portais de transparência e bases abertas devem aplicar tratamento (anonimização, restrição) sobre dados pessoais, em conformidade com a LGPD, antes da publicação. Essa governança de dados é parte do trabalho de cibersegurança que a Decripte estrutura.
Planos indicados para Governo e Setor Público
Serviços da Decripte mapeados para as ameaças e regulamentações do seu setor — do diagnóstico gratuito ao SOC gerenciado.
Consultoria LGPD Setor Público
Adequação à LGPD (arts. 23-32), IN GSI/PR e decretos de governança digital.
SOC 24x7 Gerenciado
Detecção e resposta a APTs, espionagem digital e ataques a infraestrutura crítica.
Resposta a Incidentes
Coordenação com CTIR Gov, ANPD e notificação obrigatória aos órgãos competentes.
Gestão de Vulnerabilidades
Patch management e hardening de serviços públicos digitais e portais cidadão.
A Decripte implementa a segurança do seu setor — sem você montar um time interno.
Pentest, SOC 24x7, resposta a incidentes e conformidade, com SLA e relatórios executivos. Ou comece de graça vendo o que já vazou da sua empresa.
