1. O documento discute a segurança da informação nas organizações públicas brasileiras.
2. Foi realizado um levantamento junto a alguns órgãos públicos sobre sua gestão de segurança da informação utilizando a Lei de Acesso à Informação.
3. Analisa como as organizações públicas lidam com a segurança da informação que produzem ou armazenam e como podem implementar políticas de segurança da informação e continuidade de negócios de acordo com normas e boas práticas.
A Segurança da Informação nas Organizações Públicas Brasileiras
1. CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E
SEGURANÇA DA INFORMAÇÃO
JUAREZ DE OLIVEIRA
A segurança da informação nas organizações públicas brasileiras
Curitiba – 2016
2. CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E
SEGURANÇA DA INFORMAÇÃO
JUAREZ DE OLIVEIRA
A segurança da informação nas organizações públicas brasileiras
Monografia apresentada à Universidade
Positivo para obtenção do título de
Especialista em Auditoria e Segurança da
Informação.
Orientador: Prof. Esp. Marcelo Fernandes Rocha
Curitiba – 2016
3. Agradecimentos:
Agradeço aos docentes da Universidade Positivo, que trouxeram para a sala
de aula suas experiências e conhecimento, principalmente ao professor Marcelo Rocha,
pela paciência que teve comigo e pelo esforço em trazer consultores externos para
enriquecer a classe.
Agradeço também aos gestores de órgãos públicos que forneceram
subsídios para a produção deste trabalho.
4. Resumo: As organizações públicas lidam diariamente com dados pessoais de cidadãos
e de seus funcionários, informações públicas sobre suas atividades, informações sigilosas
e que afetam segurança de toda a sociedade. Este trabalho visa analisar como é feita a
gestão da segurança da informação nestas organizações e como implementar políticas de
gestão de segurança da informação e de continuidade de negócios adequadas,
garantindo a confidencialidade, a integridade e a disponibilidade dos dados. Para a
obtenção de dados sobre a gestão da segurança da informação foi utilizada a Lei de
acesso à Informação (lei federal 12.527/211), instrumento de fiscalização da sociedade
sobre a administração pública, previsto desde a Constituição Federal do Brasil de 1988.
Palavras-chave: SGSI, segurança da informação, lei de acesso à informação, PCN,
SGCN, SGCN
Abstract: Public organizations deal daily with personal data of citizens and their staff,
public information about its activities, confidential information and affecting security of the
whole society. This work aims to analyze how is the information security management in
these organizations and how to implement information security management and
continuity of appropriate business policies, ensuring the confidentiality, integrity and
availability of data. To obtain data on information security management has used the Law
of Access to Information (Federal Law 12,527 / 211), inspection instrument of society on
public administration, as expected from the Federal Constitution of Brazil 1988.
Key-words: ISMS, information security, access to information law, BCP, BCMS
5. Sumário:
1. Introdução .....................................................................................................................1
2. Tema .............................................................................................................................1
3. Problema.......................................................................................................................1
4. Objetivo Geral ...............................................................................................................1
5. Objetivos Específicos....................................................................................................2
6. A Segurança da Informação..........................................................................................2
7. As normas ISO 27001 e 27002.....................................................................................3
8. As políticas de Segurança da Informação.....................................................................4
9. Implementando os Controles em Segurança da Informação ........................................5
10. O Gerenciamento de Riscos em Segurança da Informação......................................6
11. A Continuidade de Negócios......................................................................................7
12. Auditoria em Segurança da Informação.....................................................................9
13. A Segurança da Informação no Serviço Público......................................................10
14. A Lei de Acesso à Informação..................................................................................10
15. Levantamento de Dados..........................................................................................11
16. Resultados da Coleta de Dados...............................................................................12
17. O Atendimento à Lei de Acesso à Informação .........................................................14
18. A gestão da Segurança da Informação no serviço público ......................................15
19. A Importância das Auditorias....................................................................................16
20. A Segurança da Informação da Justiça Eleitoral......................................................17
21. Conclusões ..............................................................................................................18
22. Referências Bibliográficas........................................................................................20
23. Apêndice e Anexos ..................................................................................................21
6. 1
1. Introdução
Estamos vivendo a era da informação conectada. A cada segundo, bilhões
de documentos, imagens, vídeos e outras informações digitais são produzidos e
armazenados no mundo.
As organizações públicas, embora não consigam acompanhar de modo tão
dinâmico tais transformações, também têm se modernizado, permitindo ao cidadão maior
comodidade quando precisa de um serviço público, como uma nova carteira de
habilitação, um alvará para a construção de sua casa, a emissão do seu título de eleitor, o
agendamento de uma cirurgia em um hospital, etc. Mas esta comodidade também tem
riscos, tanto para o cidadão quanto para o ente público que tem o dever de atendê-lo.
Alguns desastres, como inundações, ataques terroristas, incêndios e
ataques virtuais já colocaram em xeque muitas organizações, levando algumas a
desaparecerem completamente.
Os órgãos públicos brasileiros conseguem manter as informações que por
eles são produzidas ou custodiadas a salvo de perdas, vazamentos ilegais e alterações,
impedindo que seus cidadãos sejam colocados em risco?
Imagine ir à Polícia Federal emitir um passaporte, informando todos os seus
dados como endereço, telefones, números de documentos e, alguns dias depois, saber
que estes dados estão disponibilizados em sites no exterior ou que foram adquiridos por
empresas de cartão de crédito. Ou ainda, receber cobranças por contratos feitos em seu
nome utilizando-se destas informações.
Este trabalho visa apresentar um levantamento feito com diversos órgãos
públicos sobre segurança da informação e continuidade de negócios comparando,
quando possível, o que existe no mundo real do serviço público com o que está previsto
nas normas técnicas e institucionais sobre o tema.
Serão demonstradas, de forma resumida, as metodologias utilizadas de
acordo com as normas ISO ABNT NBR para a gestão da segurança da informação e da
continuidade dos negócios.
Foi feito um levantamento junto a alguns órgãos públicos sobre sua gestão
de segurança da informação, utilizando-se a Lei de Acesso à Informação (lei federal
12.527/2011), que garante aos cidadãos saber sobre as atividades de qualquer órgão
público no país, incluindo acesso a documentos, salários, relatórios gerenciais e de
auditoria. A eficácia desta lei também será comentada neste trabalho.
2. Tema
A segurança da Informação nas organizações públicas brasileiras
3. Problema
As organizações públicas estão preparadas para garantir a segurança da
informações que custodiam, armazenam, transmitem e produzem?
4. Objetivo Geral
Conhecer como é feita a gestão da segurança da informação em
organizações públicas brasileiras.
7. 2
5. Objetivos Específicos
Apresentar levantamento feito sobre segurança da informação em
organizações públicas;
Descrever boas práticas de gestão de segurança da informação;
Analisar a aplicabilidade da Lei de Acesso à informação na obtenção de dados para
trabalho científico.
6. A Segurança da Informação
Segurança da informação é a garantia de que os dados que são produzidos,
custodiados, transmitidos ou transformados por uma organização manterão suas
características originais, estarão disponíveis quando necessário e somente para usuários
autorizados. Neste contexto, podemos considerar os princípios de Confidencialidade,
Integridade e Disponibilidade como os de maior importância (Kim; Solomon, 2014).
Também podemos considerar aspectos não menos importantes de autenticidade,
autorização e não-repúdio.
A Disponibilidade refere-se ao tempo em que o usuário pode utilizar um
sistema, aplicativo e dados (Kim; Solomon, 2014), considerando-se aspectos como
Tempo de utilização, Tempo de paralização, Disponibilidade, Tempo médio para falhas
(MTTF, Mean Time to Failure), Tempo médio para reparo (MTTR – Mean Time do Repair)
e Objetivo de tempo para recuparação (RTO – Recovery Time Objective). Essas medidas
são comumente previstas em SLAs (Service Level Agreements – ou Contrato de Nível de
Serviços) entre empresas e operadoras de telecomunicações ou prestadoras de serviços
de TI. Para garantir a Disponibilidade é necessário que a organização mantenha planos
específicos de continuidade do negócio em caso de eventos de curta indisponibilidade ou
mesmo desastres, conforme veremos mais a frente.
A Integridade lida com a validade e a precisão dos dados (Kim; Solomon,
2014), ou seja, garante que os dados não foram alterados indevidamente após sua
produção ou durante sua transmissão.
Confidencialidade significa proteger a informação de todos, exceto
daqueles que tenham direito a ela (Kim; Solomon, 2014).
Garantir que os dados sejam mantidos livres de adulteração, interceptação
ou exposição para usuários não legítimos requer cuidados com o ambiente tecnológico,
com os processos e com as pessoas que lidam com estas informações. Gastar milhões
de reais em melhoria do ambiente tecnológico poderá ser infrutífero, caso a organização
não controle de forma efetiva seus processos e não ofereça treinamento e
conscientização dos seus colaboradores.
Por exemplo, imaginemos uma situação em que uma empresa possui um
firewall de última geração, configurado por profissionais treinados. Se os usuários
compartilharem senhas ou se as aplicações de tecnologia da informação não tiverem sido
adequadamente testadas, certamente o ambiente estará comprometido e as informações
não estarão resguardadas.
Douglas Kim e Michael G Solomon (2014) utilizam o termo Cybersegurança
(ou cybersecurity) para definir a garantia de segurança da informação na Internet e nas
redes locais de computadores. Estes autores dividem a infraestrutura típica de TI em sete
domínios, para os quais apresentam papéis e tarefas, responsabilidades e
responsabilização. Também apresentam riscos, ameaças ou vulnerabilidades. São estes
os domínios definidos pelos autores;
8. 3
Domínio de Usuário: Define as pessoas que acessam um sistema de informação
de uma organização.
Domínio de Estação de Trabalho: Onde a maioria das pessoas se conecta à
infraestrutura de rede. Pode ser um desktop, um laptop, um smartphone ou
qualquer outro dispositivo.
Domínio de LAN: A LAN é rede local de computadores, com seus cabos
metálicos, switches, fibras-ópticas, ponto de acessos sem fio, etc.
Domínio de LAN para WAN: Refere-se a interligação de uma rede local à
Internet.
Domínio de WAN: Refere-se a interligação a locais remotos.
Domínio de Acesso Remoto: É a conexão remota feita diretamente à LAN, seja
por linha discada ou por VPN (rede privada virtual) para equipes que precisem
acessar recursos que só estão acessíveis internamente.
Domínio Sistema/Aplicativo: Mantém todos os sistemas, aplicativos e dados de
missão crítica.
Para Kim e Solomon (2014), assim como para outros autores, o usuário é o
elo mais fraco na segurança da informação. Por isso, é preciso manter em equilíbrio a
implantação de ferramentas e processos de controle e o treinamento e a conscientização
dos usuários da organização para que os ativos de informação realmente sejam
protegidos.
A segurança da informação não abrange somente os aspectos tecnológicos,
mas também diz respeito a outras formas de informação, como documentos físicos, o que
se fala ao telefone ou numa conversa na fila do banco e na mesa do restaurante.
As dificuldades para se manter a confidencialidade, a disponibilidade e a
integridade das informações nas corporações são imensas.
Em seguida, abordaremos a evolução das boas práticas de gestão da
segurança da informação.
7. As normas ISO 27001 e 27002
No final da década de 1990 o governo britânico produziu o “DTI Code of
Practice”, (código de práticas do DTI), mais tarde renomeado para BS 7799 (British
Standard 7799). Em 2000 a ISO (International Organization for Standardization) publicou
uma norma, que havia sido submetida pelos britânicos em sua segunda versão, como ISO
17799 (Kim; Solomon, 2014).
Em 2005 o padrão ISO 17799 foi atualizado para ISO 27002 (Código de
Práticas para controles de segurança da informação). A ISO 27002 atua de acordo com os
requisitos previstos na norma ISO 27001.
No Brasil estas normas foram internalizadas e publicadas pela ABNT
(Associação Brasileira de Normas Técnicas) e tiveram sua última versão editada em 2013,
sendo chamadas oficialmente de ABNT NBR ISO 27001:2013 e ABNT NBR ISO
27002:2013.
A norma ISO 27002 foi projetada para guiar as organizações na elaboração
de um SGSI (Sistema de Gestão de Segurança da Informação) ou para a implementação
de controles de segurança da informação comumente aceitos. Pode ser aplicada a
organizações de qualquer tamanho e tipo (organizações públicas, privadas e sem fins
lucrativos). Para implementar esta norma é essencial que a organização identifique os
seus requisitos de segurança da informação:
a) A avaliação de riscos para organização, levando em conta seus objetivos
e estratégias de negócio;
9. 4
b) A legislação vigente, estatutos e contratos com parceiros, além de seu
ambiente sociocultural;
c) Os conjuntos particulares de princípios, objetivos e requisitos do negócio
para o manuseio, processamento, armazenamento, comunicação e arquivamento da
informação, necessários para apoiar suas operações.
A ISO 27002 faz parte da família de normas 27000, uma gama ampla de
normas de segurança da informação. É estruturada em 14 seções de controles de
segurança da informação de um total de 35 objetivos de controles e 114 controles.
Cada seção principal contém:
- Um objetivo de controle, declarando o que se espera alcançar;
- Um ou mais controles que podem ser aplicados.
8. As políticas de Segurança da Informação
Segundo a ISO 27002:
“Convém que um conjunto de políticas de segurança da informação seja
definido, aprovado pela direção, publicado e comunicado para todos os
funcionários e partes externas relevantes.”
As políticas de segurança da informação são o meio para se estruturar a
gestão da segurança da informação. Nela podem ser definidos papéis e
responsabilidades dos diversos atores, processos para o tratamento de exceções,
objetivos estratégicos e a abrangência desta gestão, podendo valer para apenas uma
unidade de negócios ou para a organização como um todo, independente da localização
geográfica.
Esta política, como prevê a norma, precisa ser divulgada para todos os
colaboradores e até mesmo para partes externas, como fornecedores, clientes e órgãos
reguladores, conforme o caso.
Trecho de Política de Segurança da Informação do TCU (Portaria nº
210/2014):
“ ...
CAPÍTULO II
DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 4º. A Política Corporativa de Segurança da Informação (PCSI/TCU)
integra o Sistema de Gestão de Segurança da Informação do TCU
(SGSI/TCU) instituído pela Resolução TCU nº 261, de 11 de junho de 2014,
o qual é composto pelos seguintes processos:
I - classificação da informação;
II - gestão de riscos de segurança da informação;
III - gestão de incidentes em segurança da informação;
IV - controle de acesso à informação;
V - segurança da informação em recursos humanos e conscientização em
segurança da informação; e
VI - segurança em tecnologia da informação e comunicações.
§ 1o Os processos do SGSI/TCU são interdependentes e devem ser
estruturados e monitorados de forma a permitir sua melhoria contínua.
… “
10. 5
9. Implementando os Controles em Segurança da Informação
Após a definição do escopo daquilo que se pretende proteger e de uma
análise de risco adequada (conforme previsto na norma ISO 27005, que será tratada mais
adiante), é recomendável que se redija uma Declaração de Aplicabilidade da norma ISO
27001 (requisitos), contendo, de forma mais explícita, quais objetivos de controles e
controles são aplicáveis no âmbito da organização.
Um exemplo de um trecho uma Declaração de Aplicabilidade:
ISO/IEC 27001:2006/2013
Controle
Corrente
Cláusula 1 Seção Objetivo de Controle/Controle
2 - Políticas de Segurança 2,1
Política de Segurança da Informação - PSI
2.1.1 Política de disseminação da Informação SIM
2.1.2 Análise crítica da política de S.I. SIM
3 - Organizando a Segurança da
Informação
3,1
Organizando a segurança da informação interna
3.1.1 Comprometimento da alta-direção SIM
3.1.2
Coordenação da segurança da informação SIM
3.1.3
Atribuição de responsabilidades para a S.I. SIM
3.1.4
Acordos de confidencialidade SIM
3.1.5
Contato com autoridades SIM
3.1.6
Segurança em gerenciamento de projetos SIM
Fig.1. Declaração de Aplicabilidade - Modelo
Fonte: http://www.iso27001security.com/html/toolkit.html
Outras boas práticas são a elaboração uma Análise de Riscos e uma
Análise de Impacto nos Negócios (AIN), mostrando como cada ativo poderá ser afetado
em caso de concretização de ameaça.
Em uma organização de médio e grande porte a constituição de uma
Comissão de Segurança da Informação, integrada por pessoas das diversas áreas de
negócio, gestão de pessoas, tecnologia da informação, administração e outras áreas fim
se faz necessário. Esta comissão dará suporte técnico para que a alta direção possa
tomar as decisões. Não é possível implementar uma gestão de segurança da informação
que tenha resultados efetivos sem o envolvimento e o patrocínio da alta direção da
instituição.
Instituir uma equipe técnica de respostas a incidentes de rede de
computadores (ETIR) é uma boa prática recomendada. Isso auxilia a organização a ter
uma resposta mais rápida e organizada em caso de um ataque cibernético, ataque ao
servidor de e-mails, invasão da rede por vírus ou outra ameaça virtual que atue com
intensidade. Esta equipe, também conhecida por CSIRT (computer security incident
response team) pode atuar em forma de cooperação entre as áreas técnicas
responsáveis pelos ativos (infraestrutura, redes, suporte, aplicações, etc) e sua
competência será definida na criação da Política de Segurança da Informação.
11. 6
Definir uma política de classificação da informação é útil para muitas
organizações, especialmente do serviço público, já que se trata de conformidade legal.
A lei federal 12.527/2011 prevê alguns prazos para liberação do sigilo de
informações classificadas:
“Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em
razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser
classificada como ultrassecreta, secreta ou reservada.
§ 1
o
Os prazos máximos de restrição de acesso à informação, conforme a classificação
prevista no caput, vigoram a partir da data de sua produção e são os seguintes:
I - ultrassecreta: 25 (vinte e cinco) anos;
II - secreta: 15 (quinze) anos; e
III - reservada: 5 (cinco) anos.”
10. O Gerenciamento de Riscos em Segurança da Informação
Para Kim e Solomon (2014), gerenciamento de riscos é o processo de
identificar, avaliar, priorizar e enfrentar riscos, definindo este como um processo contínuo
para uma organização. Este processo é descrito de forma integral na norma ISO 31000, e
com detalhes relacionados à segurança da informação na norma ISO 27005, chamada
oficialmente no Brasil de ABNT NBR ISO 27005:2011 (última versão publicada).
Risco é a probabilidade de que um evento incerto afete um ou mais
recursos, de maneira negativa ou positiva. Pode ser definido pela seguinte fórmula:
Risco = Ameaça x Vulnerabilidade
Ameaça é uma oportunidade para explorar uma vulnerabilidade.
Vulnerabilidade é a probabilidade de que uma ameaça específica seja
executada com sucesso.
Identificação de Riscos é o processo de determinar e classificar os riscos
que podem afetar seus recursos. O resultado deste processo é uma lista de riscos
identificados, que deve conter ao menos:
- Uma descrição do risco;
- O impacto de o evento ocorrer;
- A probabilidade de o evento ocorrer;
- Medidas para atenuar o risco;
- Medidas a serem tomadas se o evento ocorrer;
- Classificação do risco.
A análise de riscos pode ser quantitativa ou qualitativa.
Após a identificação e classificação dos riscos, é preciso apontar como
enfrentar cada um. Pode ser evitado, transferido, atenuado ou aceito, em caso de risco
negativo, ou seja, evento que, caso ocorra, traga prejuízo à organização. Se o risco for
positivo, ou seja, caso o evento ocorra, traga algum benefício, este pode ser explorado,
compartilhado, aprimorado ou aceito. Qualquer risco que, mesmo depois de
adequadamente tratado ainda exista, será chamado de risco residual.
Instituir uma política de gestão de riscos significa estabelecer processos de
avaliação de riscos rotineiramente, incluindo todos os novos projetos e ativos em
operação.
A figura a seguir, contida na norma ISO 27005, apresenta o fluxo do
processo de gestão de riscos em segurança da informação:
12. 7
Fig.2 – Processo de GRSI
Fonte: Norma ABNT NBR ISO 27005:2011
11. A Continuidade de Negócios
A ISO 22301 define um conjunto de boas práticas para as
organizações que pretendam estabelecer procedimentos para a recuperação de suas
atividades em caso de incidentes, como ataque cibernético, falta de energia, queda do link
de comunicação, falha de um servidor, ou ainda de desastres, como uma inundação, um
incêndio no Data Center, um terremoto, etc.
O SGCN (Sistema de Gestão de Continuidade de Negócios)
estabelecido pela ISO 22301 possui os seguintes componentes chave:
“...
a) Uma política,
b) Pessoas com responsabilidades definidas,
c) Processos de gestão relativos a:
1) Política,
2) Planejamento,
3) Implementação e operação,
4) Avaliação de desempenho,
5) Análise crítica pela direção,
6) Melhorias.
d) Documentação fornecendo evidências auditáveis,
e) Quaisquer processos de continuidade de negócios pertinentes à
organização.
...”
13. 8
A norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de
negócios – Requisitos - atua em conjunto com a norma ISO ABNT NBR 22313:2015:
Sistemas de gestão de continuidade de negócios – Orientações (versões brasileiras
publicadas pela Associação Brasileira de Normas Técnicas).
O primeiro passo antes de se elaborar planos para enfrentar interrupções em
serviços e ativos importantes para uma organização é a elaboração de uma Análise de
Impacto de Negócios (AIN), do inglês Business Impact Analysis – BIA.
Para Kim e Solomon (2014), uma BIA:
“É uma análise formal das funções e atividades de uma organização, que as
classifica como críticas ou não. Funções críticas são exigidas para executar
os negócios. Se você não puder executar uma função crítica, o dano
causado será inaceitável. Funções não críticas podem ser importantes, e
você poderia sentir falta delas se não existissem, mas sua ausência não
evitaria que uma organização realizasse negócios. Uma BIA também
organiza as atividades críticas com base em importância e ajuda uma
organização a determinar quais funções restaurar e em que ordem, no
caso de uma interrupção importante.”
Um Plano de Continuidade de Negócios – PCN (ou BCP – Business Continuity
Plan), segundo Kim e Solomom (2013), é um plano para uma resposta estruturada a
qualquer evento que resulte em uma interrupção de atividades ou funções críticas de uma
empresa. Por exemplo, para se proteger da falta de energia elétrica a organização pode
adquirir um UPS (conhecido como no-break) e um gerador à óleo diesel. Para se proteger
contra incêndios pode instalar sistemas de detecção de fumaça e extinção por gás FM-
200.
A AIN (Análise de Impacto de Negócios) identifica os recursos para os quais
um PCN é necessário, de acordo com sua importância para o negócio. Por exemplo, um
sistema crítico de produção industrial tem maior impacto caso fique sem funcionar do que
os servidores de e-mail ou a página da intranet, logo será classificado como crítico e a
demanda de recursos financeiros e de pessoal para sua recuperação poderão ser
maiores.
Dentro do SGCN podem ser estabelecidos planos específicos como Plano
de Continuidade Operacional, Plano de Contingência, Plano de Administração de Crises e
Plano de Recuperação de Desastres.
O Plano de Recuperação de Desastres – PRD - orientará na recuperação
das operações em caso de um desastre, um evento que afeta vários processos da
organização por um período estendido de tempo.
As etapas mais críticas de um PRD, segundo Kim e Solomon (2014) são:
a) Garantir a segurança de todos em primeiro lugar;
b) Responder ao desastre antes de perseguir a recuperação;
c) Seguir o PRD, incluindo comunicação com todas as partes afetadas.
A definição de como organizar o seu SGCN é da organização, dependendo
dos ativos que visar proteger, do tipo de negócio, dos recursos financeiros disponíveis, da
conformidade legal que precisa seguir, etc. A norma ISO 22313 apenas aponta em qual
direção seguir.
14. 9
12. Auditoria em Segurança da Informação
A execução de auditorias periódicas é a única forma de se garantir que os
processos definidos para a segurança da informação estão sendo realizados conforme
definidos e estão surtindo o efeito esperado.
Trecho de uma auditoria realizada no TRE-PE;
“ 1.2. Objetivo da Auditoria.
A auditoria objetivou verificar a adequação da geração, tratamento,
divulgação, acesso e arquivamento das informações no âmbito da Justiça
Eleitoral de Pernambuco, de forma a garantir sua confidencialidade,
integridade, disponibilidade, autenticidade e legalidade.
1.3. Questões de Auditoria.
As questões de auditoria, idealizadas no curso do planejamento e
orientadoras das atividades da equipe de auditoria, contempladas no
Programa de Auditoria, encontram-se abaixo listadas:
Q1 – Há divulgação da PSI, bem como ações para disseminar a cultura em
segurança da informação no TRE/PE?
Q2 – A direção apoia ativamente a segurança da informação dentro da
organização?
Q3 – Há classificação da informação em termos do seu valor, requisitos
legais, sensibilidade e criticidade para a organização?
Q4 – Há identificação, documentação e implementação de regras para que
seja permitido o uso de informações e de ativos (de informação e de
processamento) associados aos recursos de processamento da informação?
Q5 – Há o estabelecimento de regras que previnam o acesso físico não
autorizado, danos ou interferências com as instalações e as informações do
TRE/PE?
Q6 – Há processo de gestão que assegure a continuidade do negócio por
todo o TRE/PE e que contemple os requisitos de segurança da informação?
Q7 – Há processo de gestão de riscos e de incidentes de segurança da
informação?
Q8 – Há um plano de trabalho que detalhe ações concretas para
implementação da PSI? “
As auditorias fazem parte do ciclo PDCA (plan, do, check, act) do Sistema de
Gestão de Segurança da Informação. Após analisar os resultados das auditorias, a
direção pode estabelecer novos objetivos de controles e determinar qual o motivo do não
cumprimento de algum dos objetivos estabelecidos, além de buscar melhorias nos
processos e controles.
O ideal é que a própria política de segurança da informação preveja a
realização periódica de auditorias.
Auditorias também devem ser possíveis nos sistemas de informação, como
servidores de bancos de dados, servidores de aplicação, firewalls, servidores de e-mail,
etc. O ideal é que se construa um servidor de logs unificado, impedindo a alteração de
logs dos ativos.
Logs são registros automáticos de eventos em sistemas de informação que
armazenam acessos de usuários, falhas de aplicações, início e parada de serviços,
alterações de bancos de dados e arquivos ou qualquer evento para os quais tenham sido
programados.
15. 10
13. A Segurança da Informação no Serviço Público
Assim como ocorre no setor privado, o setor público também deve seguir a
várias recomendações de entidades externas para proteger seus ativos de informação.
No âmbito do poder executivo foi criado a Instrução Normativa nº1 pelo Gabinete de
Segurança Institucional, que contém várias outras Normas Complementares para auxiliar
os gestores públicos na tarefa de planejar a segurança da informação em seus órgãos.
No poder judiciário, a resolução CNJ 182/2013 determina que todos os
tribunais federais não terceirizem a gestão da segurança da informação:
“Art. 10. Não poderão ser objeto de contratação de Solução de Tecnologia
da Informação e Comunicação:
...
II – gestão de processos de Tecnologia da Informação e Comunicação,
incluindo segurança da informação.”
A resolução CNJ 211/2015 estabelece a Estratégia Nacional de Tecnologia
de Informação e Comunicação do Poder Judiciário, visando critérios mínimos de
infraestrutura e segurança para o ambiente tecnológico:
“Art. 10. A estrutura organizacional, o quadro permanente de servidores, a
gestão de ativos e os processos de gestão de trabalho da área de TIC de
cada órgão, deverão estar adequados às melhores práticas preconizadas
pelos padrões nacionais e internacionais para as atividades consideradas
como estratégicas.
...
§ 2º Deverá ser estabelecido Plano de Continuidade de Serviços Essenciais
de TIC, especialmente no que se refere aos serviços judiciais.”
14. A Lei de Acesso à Informação
A lei federal 12.527/2011, conhecida como Lei de Acesso à Informação - LAI,
regulamentada no Poder Executivo Federal pelo decreto 7.724/2012, visa permitir ao
cidadão o acesso às informações e dados que são produzidos ou custodiados pelo poder
público.
A lei delimita a forma de se conseguir informações de forma passiva, ou
seja, que os órgãos publiquem algumas informações em seus sites de Internet, como
salários, licitações, contratos, execução orçamentária, mas também de forma ativa,
permitindo ao cidadão solicitar diretamente a informação que deseja, relativo às
atividades precípuas dos órgãos, mesmo sem ter que informar o motivo do pedido,
devendo o poder público cumprir prazos determinados.
No poder judiciário, a LAI é regulamentada pela resolução CNJ 215/2015.
A utilização da LAI foi escolhida como fonte de informação para a realização
deste trabalho porque os órgãos não podem, pelo menos em tese, negar-se a informar
sobre suas atividades gerenciais e relatórios de auditorias. Caso as informações fossem
obtidas através de outros meios, como pedidos pessoais informais, seria difícil utilizá-las
sem que alguém pudesse questionar sua legalidade ou veracidade.
Felizmente, a maioria dos órgãos pesquisados respondeu aos
questionamentos. Alguns muito a contragosto, mas o objetivo foi conseguido.
Até mesmo o fato de o órgão não responder ou dar respostas vazias é uma
informação. Demonstra que a cidadania plena ainda não foi alcançada em nossa jovem
democracia.
16. 11
15. Levantamento de Dados
Para este trabalho foram utilizadas referencias bibliográficas consagradas,
normas técnicas ISO ABNT NBR e consultas feitas diretamente a alguns órgãos públicos
sobre a forma como fazem o gerenciamento de segurança da informação.
O objetivo não foi traçar um ranking ou mesmo conceder uma nota sobre o
assunto, apenas tentar verificar se os órgãos têm atendido requisitos mínimos de
segurança quando lidam com os dados que produzem, custodiam, transformam ou
transmitem.
Foi enviado o seguinte questionário, com pequenas variações dependendo
do órgão público pesquisado:
1) Este órgão possui uma Política de Segurança da Informação (PSI) ou um
Sistema de Gestão de Segurança da Informação (SGSI)? (Informar o número do
ato normativo de criação)
- Caso positivo:
2) Existe uma Comissão de Segurança da Informação? Quantos são os
membros? Qual a periodicidade das reuniões?
3) Quantas auditorias de segurança da informação (internas ou externas) foram
feitas nos últimos 2 anos? Enviar cópia (eletrônica / digitalizada) ou link de
internet dos relatórios de auditoria.
4) Existem instruções normativas relativas a controles da Política de Segurança da
Informação? Enviar cópia (eletrônica/ digitalizada) ou link de internet para as
normativas.
5) Quantas ações de treinamento de segurança da informação para usuários foram
realizadas nos últimos 2 anos (2014 e 2015)? Qual a quantidade estimada de
horas de treinamento para usuários neste período?
6) Quantos usuários foram atingidos pelas ações de treinamento (informar número
total de usuários e número de usuários treinados)?
7) Os documentos de controle e normativas são revisados periodicamente?
8) A alta direção está adequadamente comprometida com a Segurança da
Informação, mobilizando recursos humanos e financeiros?
9) Os recursos alocados para segurança da informação têm sido suficientes para a
implementação dos treinamentos e dos controles necessários?
- Independente de existir uma Política de Segurança da Informação:
10) Existe um Plano de Continuidade de Negócios? Quantos testes são feitos ao
ano para este plano?
11) Existe uma Política de Classificação da Informação?
12) Este órgão possui uma ETIR (Equipe Técnica de Resposta a Incidentes de
Redes de Computadores)? Quantos incidentes de alto impacto a ETIR contabilizou
nos anos de 2014 e 2015?
13) Existe uma Política de Gestão de Riscos em Segurança da Informação? Esta
política é aplicada à contratações de soluções de TI?
14) Existe uma Política de Segurança Institucional (controle de acessos físicos,
guarda de documentos, segurança de autoridades, etc)?
15) Este órgão considera que sua Segurança da Informação está em conformidade
com a norma ABNT NBR ISO/IEC 27001:2013?
17. 12
Foram pesquisados os seguintes órgãos:
ALEP - Assembleia Legislativa do Paraná
BACEN - Banco Central do Brasil
CELEPAR - Companhia de Informática do Paraná
CIASC - Companhia de Informática e Automação de Santa Catarina
CNJ - Conselho Nacional de Justiça
MP-PR - Ministério Público do Paraná
PMC – Prefeitura Municipal de Curitiba (PR)
TCE-PR - Tribunal de Contas do Estado do Paraná
TCE-SC - Tribunal de Contas do Estado Santa Catarina
TCU - Tribunal de Contas da União
TJPR - Tribunal de Justiça do Paraná -
TRE-BA – Tribunal Regional Eleitoral da Bahia
TRE-CE – Tribunal Regional Eleitoral do Ceará
TRE-DF - Tribunal Regional Eleitoral do Distrito Federal
TRE-GO - Tribunal Regional Eleitoral de Goiás
TRE-MG - Tribunal Regional Eleitoral de Minas Gerais
TRE-PR - Tribunal Regional Eleitoral de Pernambuco
TRE-RJ – Tribunal Regional Eleitoral do Rio de Janeiro
TRE-RS - Tribunal Regional Eleitoral do Rio Grande do Sul
TRE-SC - Tribunal Regional Eleitoral de Santa Catarina
TRE-SP - Tribunal Regional Eleitoral de São Paulo
TRF4 - Tribunal Regional Federal da 4ª Região (PR/SC/RS)
TRT9 - Tribunal Regional do Trabalho 9ª Região (Paraná)
TSE – Tribunal Superior Eleitoral
16. Resultados da Coleta de Dados
Dos 24 órgãos pesquisados, todos responderam à solicitação, embora
alguns tenham fornecido apenas uma resposta genérica, sem abordar o que foi pedido.
Apenas a Companhia de Informática e Automação de Santa Catariana – CIASC – negou-
se peremptoriamente a fornecer qualquer informação sobre o tema, alegando sigilo.
A tabela a seguir foi montada de acordo com impressão pessoal, a partir dos
levantamentos realizados e não propõe a ser um ranking ou uma avaliação definitiva
sobre as atividades de segurança dos órgãos:
18. 13
Fonte: Pesquisa de campo – 2016
Fig.3 – Avaliação de Segurança da Informação
Fonte: Pesquisa de campo – 2016
ORG. PÚBLICA AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO
ALEP POUCA ATENÇÃO AO TEMA
BACEN SGSI COMPLETO E/OU EM FASE DE MELHORIAS
CELEPAR SGSI COMPLETO E/OU EM FASE DE MELHORIAS
CIASC NEGOU-SE A RESPONDER AS INFORMAÇÕES
CNJ SGSI COMPLETO E/OU EM FASE DE MELHORIAS
MP-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
PMC GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TCE-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TCE-SC POUCA ATENÇÃO AO TEMA
TCU SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TJPR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-BA GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-CE GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-DF SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-GO GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-MG GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-PE SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-RJ GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-RS SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-SC SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-SP SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-TO SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRF4 SGSI COMPLETO E/OU EM FASE DE MELHORIAS
19. 14
17. O Atendimento à Lei de Acesso à Informação
De acordo com a lei federal 12.527/2011:
“...
Art. 10. Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos
e entidades referidos no art. 1
o
desta Lei, por qualquer meio legítimo, devendo o pedido
conter a identificação do requerente e a especificação da informação requerida.
§ 1
o
Para o acesso a informações de interesse público, a identificação do requerente não
pode conter exigências que inviabilizem a solicitação.
§ 2
o
Os órgãos e entidades do poder público devem viabilizar alternativa de
encaminhamento de pedidos de acesso por meio de seus sítios oficiais na internet.
§ 3
o
São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação
de informações de interesse público.
Art. 11. O órgão ou entidade pública deverá autorizar ou conceder o acesso imediato à
informação disponível.
§ 1
o
Não sendo possível conceder o acesso imediato, na forma disposta no caput, o órgão
ou entidade que receber o pedido deverá, em prazo não superior a 20 (vinte) dias:
I - comunicar a data, local e modo para se realizar a consulta, efetuar a reprodução ou obter a
certidão;
II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido;
ou
III - comunicar que não possui a informação, indicar, se for do seu conhecimento, o órgão ou
a entidade que a detém, ou, ainda, remeter o requerimento a esse órgão ou entidade,
cientificando o interessado da remessa de seu pedido de informação.
§ 2
o
O prazo referido no § 1
o
poderá ser prorrogado por mais 10 (dez) dias, mediante
justificativa expressa, da qual será cientificado o requerente.
§ 3
o
Sem prejuízo da segurança e da proteção das informações e do cumprimento da
legislação aplicável, o órgão ou entidade poderá oferecer meios para que o próprio
requerente possa pesquisar a informação de que necessitar.
§ 4
o
Quando não for autorizado o acesso por se tratar de informação total ou parcialmente
sigilosa, o requerente deverá ser informado sobre a possibilidade de recurso, prazos e
condições para sua interposição, devendo, ainda, ser-lhe indicada a autoridade competente
para sua apreciação.
... “
Para apenas um dos órgãos pesquisados foi apresentado recurso à
instância superior para conseguir a informação, no caso do MPE-PR. Em outros, que não
apresentaram a informação solicitada de forma completa, não foi possível aguardar todos
os trâmites burocráticos a tempo de se obter as informações para a conclusão deste
trabalho. De qualquer forma, a aplicação da LAI apresentou-se satisfatória.
Muitas vezes lemos reportagens acerca de problemas com obras públicas,
de políticas públicas que não foram adequadamente implementadas e nos perguntamos
como os jornalistas conseguem tais informações. Em tempos passados seria necessário
ter acesso à fonte interna do órgão público. Hoje, qualquer cidadão pode ter acesso à
informações classificadas como públicas em qualquer lugar do Brasil, bastando apenas
um pouco de discernimento para proceder a pesquisa. Exercitar esse direito é garantir
que nossos impostos estão sendo gastos de adequadamente.
O gráfico a seguir mostra que 18 das 24 organizações pesquisadas
cumpriram o prazo de 30 dias (20 + 10) definido na lei federal 12 527/2011.
20. 15
Fig.4 - Cumprimento de Prazos da Lei de Acesso à Informação
Fonte: Pesquisa de campo – 2016
18. A gestão da Segurança da Informação no serviço público
O ponto básico para que um órgão possa dizer que tem real preocupação
com a segurança da informação é o estabelecimento de uma PSI – Política de Segurança
da Informação. Alguns órgãos não apresentaram esta estrutura, seja por falta de
conhecimento técnico sobre o assunto, seja simplesmente porque não foram cobrados
por isso. Já outros, apresentaram um Sistema de Gestão de Segurança da Informação
bem completo, em estágio de maturação.
O não estabelecimento de uma metodologia adequada faz com que se tenha
uma gestão ad-hoc, o que deixará o processo sem a adequada orquestração,
aumentando a vulnerabilidade dos ativos.
Apenas quatro das organizações pesquisadas demonstraram não possuir
nenhuma Política de Segurança da Informação implementada.
Fig. 5 – Existência de PSI
*Fonte: Pesquisa de campo - 2016
21. 16
Além da Política de Segurança da Informação, a criação de uma Comissão
de Segurança da Informação, uma Política de Classificação da Informação, composição
de uma Equipe Técnica de Respostas a Incidentes de Redes de Computadores, criação
de normas técnicas específicas para implementar os objetivos de controles previstos na
norma ISO 27002, treinamento de usuários integrado aos objetivos da Política de
Segurança da Informação, realização periódica de auditorias, criteriosa análise de riscos
de segurança da informação, inclusive em novos projetos. A lista de a fazeres é grande,
porém, também são grandes os riscos que permeiam as atividades diárias de produção,
custódia e transmissão de informações nas entidades públicas e privadas.
Seguir as recomendações previstas nas normas ISO 27000 permite à
organização trilhar um caminho mais claro. Um caminho que vem sendo trilhado por
organizações em todo o mundo.
19. A Importância das Auditorias
A realização de auditorias, de forma rotineira, é a única garantia efetiva de
que os processos previstos estão sendo realizados e de que os controles estabelecidos
terão o resultado esperado.
No contexto da boa execução de auditorias entre os órgãos pesquisados é
possível destacar o TRE-PE, que já fez auditorias internas com escopo específico em
Segurança da Informação. Destaca-se também o CNJ, que solicita a realização de
auditorias em SI nos Tribunais de todo o país.
O Banco Central do Brasil, instituição responsável pela fiscalização das
instituições financeiras no país, não realizou nenhuma auditoria nesta área nos últimos
dois anos. Algo inesperado, já que as instituições financeiras comerciais seguem planos
de segurança da informação, riscos e continuidade de negócio conforme resoluções do
próprio Banco Central e são auditadas periodicamente por consultorias externas.
Fig.6 – Realização de Auditorias
Fonte: Pesquisa de campo – 2016
22. 17
Outro órgão importante, cujo escopo principal é fazer auditorias, o Tribunal de
Contas da União, demonstrou que não faz auditorias em seu SGSI nem em seu PCN. Certamente
corre riscos de toda a estrutura montada de segurança da informação e de continuidade de
negócios que possui não ter o efeito desejado quando necessário.
20. A Segurança da Informação da Justiça Eleitoral
Embora o escopo deste trabalho seja todo o serviço público, procurou-se dar
mais ênfase à Justiça Eleitoral, cuja atuação tem sido objeto de questionamentos,
principalmente em períodos pré e pós-eleitorais. Todos se perguntam sobre a segurança
da urna eletrônica e do processo eleitoral, mas existe muito mais por trás de tudo isso.
Não apenas aspectos de fraude na votação precisam ser lembrados, mas também o
altíssimo custo que terá de ser pago caso uma eleição seja cancelada por problemas
técnicos, a confidencialidade das informações do cadastro de eleitores e dos sistemas
administrativos e judiciais que operam na rede da justiça eleitoral.
O TSE respondeu de forma completa aos questionamentos enviados,
conforme pode ser mais bem analisado no apêndice deste trabalho, onde se pode notar
uma boa estrutura de Segurança da Informação, embora um tanto quanto dependente de
serviços de terceiros, o que contradiz um pouco a Resolução CNJ 182/2011. Já os TRE’s
pesquisados não possuem um padrão no gerenciamento de sua segurança da
informação, mesmo estando sujeitos à política do TSE.
A maioria dos tribunais respondeu a pesquisa dentro do prazo previsto na
Lei de Acesso à Informação, com destaque para o TRE-BA, que o fez no dia seguinte à
solicitação. Destaque também para o TRE-PR que realizou auditoria em segurança da
informação e disponibilizou o documento para conhecimento. Denota-se que a maior
parte da Justiça Eleitoral tem preocupações com o tema e atua para melhorar seus
processos.
A classificação abaixo é uma análise pessoal, sem todos os elementos
necessários para um ranking, já que a metodologia de pesquisa utilizada não foi
construída com este objetivo.
Fig.7 – Tribunais Eleitorais Pesquisados
Fonte: pesquisa de campo – 2016
23. 18
21. Conclusões
A utilização da Lei de Acesso à Informação mostrou-se eficaz para a
pesquisa acadêmica no caso apresentado, sendo que todos os órgãos responderam à
pesquisa, mesmo que alguns de forma genérica. Ainda falta maturidade de toda a
sociedade, não apenas dos gestores públicos, para que a transparência do serviço
público seja efetiva e natural.
Como um dos objetivos específicos, o trabalho também apresentou as boas
práticas consagradas de segurança da informação, como as normas da família ISO 27000
e as normas de Continuidade de Negócios. Estas normas foram estabelecidas para dar
linhas gerais e auxiliar as organizações na tarefa de melhorarem sua segurança da
informação e preconizam que cada entidade deve fazer suas análises e seus planos de
acordo com seu ambiente organizacional e conformidade legal, por isso, este trabalho
visou tão somente conhecer a realidade de alguns órgãos da administração pública sobre
os temas abordados.
A Justiça Eleitoral demonstrou que possui bastante preocupação quanto à
segurança cibernética, embora apresente algumas omissões e falhas na gestão de
processos e no treinamento de pessoal, o que deixa do tripé Tecnologia – Processos –
Pessoas um tanto desproporcional. Também nota-se certa falta de integração entre os
Tribunais Regionais e o TSE. Mesmo dentro dos próprios Tribunais Regionais existe
pouca integração entre as áreas, deixando claro que as Comissões de Segurança da
Informação, mesmo quando estabelecidas, têm dificuldades em cumprir efetivamente o
seu papel. A realização de auditorias, elemento crucial para o gerenciamento da
segurança da informação ainda parece incipiente na maioria dos Tribunais Regionais
Eleitorais pesquisados. A falta de um Plano de Continuidade de Negócios para a maioria
dos tribunais eleitorais pesquisados também parece ser um grave problema.
A prefeitura de Curitiba, embora tenha respondido a solicitação no prazo,
demonstrou que deixa a maior parte de sua segurança da informação a cargo de uma
Organização Social com a qual tem contratos de tecnologia da informação, o ICI –
Instituto Curitiba de Cidades. Este caso também parece bastante temerário, já que tal
entidade não é controlada totalmente pelo município nem é auditada neste âmbito pelo
município nem pelo Tribunal de Contas do Estado.
O Banco Central do Brasil demonstrou que tem uma boa infraestrutura de
segurança, mas não segue as mesmas regras às quais estão sujeitas as instituições
financeiras que tem o dever de fiscalizar.
A Assembleia Legislativa do Paraná – ALEP e o Tribunal de Contas do
Estado de Santa Catarina – TCE-SC, aparentemente não tem preocupações adequadas
com o tema pesquisado, ao menos foi o que se pode depreender das respostas
encaminhadas.
A CIASC – Companhia de Informática e Automação de Santa Catarina,
empresa responsável pelo processamento de dados do Estado de Santa Catarina,
infelizmente, teve entendimento de que não tem o dever de expor aspectos gerencias de
segurança da informação, confundindo o tema com aspectos técnicos operacionais, um
entendimento totalmente diferente dos demais órgãos. Devido ao tempo e a demora na
devolução da resposta, não foi possível obter recurso administrativo neste caso.
A CELEPAR – Companhia de Informática do Paraná, empresa responsável
pelo processamento de dados do Estado do Paraná, apresentou uma boa infraestrutura
tecnológica e demonstrou que está bastante preocupada com o tema. Algumas melhorias
ainda podem ocorrer, como o aumentar o número de treinamentos e atingir uma
quantidade maior de colaboradores.
24. 19
O Conselho Nacional de Justiça - CNJ, mesmo com o SGSI ainda em fase
de implementação e melhorias, demonstrou que está bastante atento ao tema, inclusive
cobrando dos demais órgãos do Poder Judiciário que façam cada um sua parte.
O Ministério Público do Paraná – MP-PR - não atendeu a solicitação no
prazo, demonstrou que não tem um controle centralizado sobre o atendimento da Lei de
Acesso à Informação e, somente atendeu de forma completa a solicitação após recurso
apresentado junto ao Conselho Nacional do Ministério Público, CNMP. De qualquer forma,
demonstrou que possui preocupações com o tema, mas ainda atua de forma incipiente.
O Tribunal Regional do Trabalho 9ª Região e o TRF 4ª Região
demonstraram que possuem boa organização e procuram seguir as recomendações do
Conselho Nacional de Justiça.
A Segurança da Informação e a Continuidade de Negócios do setor público
interessam à sociedade, que precisa de bons serviços, os quais devem ser seguros e
estar disponíveis quando necessário.
A pesquisa demonstrou que, embora o serviço público tenha mais
dificuldades em seguir as tendências tanto tecnológicas quanto gerenciais na área de
segurança da informação, muitas organizações estão empenhadas em fazer um bom
trabalho.
25. 20
22. Referências Bibliográficas
Kim, David ; Solomon, Michael . Fundamentos de Segurança da Informação. Rio de
Janeiro: editora LTC, 2014.
ABNT. Norma ISO ABNT NBR 27001: Sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro, 2013.
ABNT. Norma ISO ABNT NBR 27002: Código de prática para controles de segurança da
informação. Rio de Janeiro, 2013.
ABNT. Norma ISO ABNT NBR 27005: Gestão de riscos em segurança da informação de
segurança da informação. Rio de Janeiro, 2011.
ABNT. Norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de
negócios - Requisitos. Rio de Janeiro, 2013.
ABNT. Norma ISO ABNT NBR 22313:2015: Sistemas de gestão de continuidade de
negócios - Orientações. Rio de Janeiro, 2015.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm - Lei de Acesso à
Informação – lei federal 12.527/2011 – acessado por último em 10/07/2016.
http://dsic.planalto.gov.br/legislacaodsic/53 – Normas Complementares à IN Nº 01
GSI/PR/2008 - Segurança da Informação e Comunicações – acessado por último em
10/07/2016.
http://www.cnj.jus.br/busca-atos-adm?documento=2496 – CNJ – Resolução Nº 182 de
17/10/2013 – acessado por último em 10/07/2016.
http://www.cnj.jus.br/atos-normativos?documento=2227 – CNJ – Resolução Nº 211 de
16/12/2015 – acessado por último em 10/07/2016.
http://www.cnj.jus.br/busca-atos-adm?documento=3062 – CNJ – Resolução Nº 215 de
16/12/2015 – acessado por último em 10/07/2016.
http://www2.camara.leg.br/legin/fed/decret/2000/decreto-3505-13-junho-2000-368759-
normaatualizada-pe.pdf - Decreto 3505/2000 – acessado por último em 10/07/2016.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/Decreto/D7724.htm – Decreto
7.724/2012- acessado por último em 10/07/2016.
http://www.iso27001security.com/html/toolkit.html – Acessado por último em 12/07/2016.
26. 21
23. Apêndice e Anexos
Respostas aos questionários encaminhados pelos órgãos públicos.
Documentos normativos dos órgãos públicos que foram citados no texto.
Demais documentos estarão disponíveis em:
https://goo.gl/vkNXik