SlideShare uma empresa Scribd logo
CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E
SEGURANÇA DA INFORMAÇÃO
JUAREZ DE OLIVEIRA
A segurança da informação nas organizações públicas brasileiras
Curitiba – 2016
CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E
SEGURANÇA DA INFORMAÇÃO
JUAREZ DE OLIVEIRA
A segurança da informação nas organizações públicas brasileiras
Monografia apresentada à Universidade
Positivo para obtenção do título de
Especialista em Auditoria e Segurança da
Informação.
Orientador: Prof. Esp. Marcelo Fernandes Rocha
Curitiba – 2016
Agradecimentos:
Agradeço aos docentes da Universidade Positivo, que trouxeram para a sala
de aula suas experiências e conhecimento, principalmente ao professor Marcelo Rocha,
pela paciência que teve comigo e pelo esforço em trazer consultores externos para
enriquecer a classe.
Agradeço também aos gestores de órgãos públicos que forneceram
subsídios para a produção deste trabalho.
Resumo: As organizações públicas lidam diariamente com dados pessoais de cidadãos
e de seus funcionários, informações públicas sobre suas atividades, informações sigilosas
e que afetam segurança de toda a sociedade. Este trabalho visa analisar como é feita a
gestão da segurança da informação nestas organizações e como implementar políticas de
gestão de segurança da informação e de continuidade de negócios adequadas,
garantindo a confidencialidade, a integridade e a disponibilidade dos dados. Para a
obtenção de dados sobre a gestão da segurança da informação foi utilizada a Lei de
acesso à Informação (lei federal 12.527/211), instrumento de fiscalização da sociedade
sobre a administração pública, previsto desde a Constituição Federal do Brasil de 1988.
Palavras-chave: SGSI, segurança da informação, lei de acesso à informação, PCN,
SGCN, SGCN
Abstract: Public organizations deal daily with personal data of citizens and their staff,
public information about its activities, confidential information and affecting security of the
whole society. This work aims to analyze how is the information security management in
these organizations and how to implement information security management and
continuity of appropriate business policies, ensuring the confidentiality, integrity and
availability of data. To obtain data on information security management has used the Law
of Access to Information (Federal Law 12,527 / 211), inspection instrument of society on
public administration, as expected from the Federal Constitution of Brazil 1988.
Key-words: ISMS, information security, access to information law, BCP, BCMS
Sumário:
1. Introdução .....................................................................................................................1
2. Tema .............................................................................................................................1
3. Problema.......................................................................................................................1
4. Objetivo Geral ...............................................................................................................1
5. Objetivos Específicos....................................................................................................2
6. A Segurança da Informação..........................................................................................2
7. As normas ISO 27001 e 27002.....................................................................................3
8. As políticas de Segurança da Informação.....................................................................4
9. Implementando os Controles em Segurança da Informação ........................................5
10. O Gerenciamento de Riscos em Segurança da Informação......................................6
11. A Continuidade de Negócios......................................................................................7
12. Auditoria em Segurança da Informação.....................................................................9
13. A Segurança da Informação no Serviço Público......................................................10
14. A Lei de Acesso à Informação..................................................................................10
15. Levantamento de Dados..........................................................................................11
16. Resultados da Coleta de Dados...............................................................................12
17. O Atendimento à Lei de Acesso à Informação .........................................................14
18. A gestão da Segurança da Informação no serviço público ......................................15
19. A Importância das Auditorias....................................................................................16
20. A Segurança da Informação da Justiça Eleitoral......................................................17
21. Conclusões ..............................................................................................................18
22. Referências Bibliográficas........................................................................................20
23. Apêndice e Anexos ..................................................................................................21
1
1. Introdução
Estamos vivendo a era da informação conectada. A cada segundo, bilhões
de documentos, imagens, vídeos e outras informações digitais são produzidos e
armazenados no mundo.
As organizações públicas, embora não consigam acompanhar de modo tão
dinâmico tais transformações, também têm se modernizado, permitindo ao cidadão maior
comodidade quando precisa de um serviço público, como uma nova carteira de
habilitação, um alvará para a construção de sua casa, a emissão do seu título de eleitor, o
agendamento de uma cirurgia em um hospital, etc. Mas esta comodidade também tem
riscos, tanto para o cidadão quanto para o ente público que tem o dever de atendê-lo.
Alguns desastres, como inundações, ataques terroristas, incêndios e
ataques virtuais já colocaram em xeque muitas organizações, levando algumas a
desaparecerem completamente.
Os órgãos públicos brasileiros conseguem manter as informações que por
eles são produzidas ou custodiadas a salvo de perdas, vazamentos ilegais e alterações,
impedindo que seus cidadãos sejam colocados em risco?
Imagine ir à Polícia Federal emitir um passaporte, informando todos os seus
dados como endereço, telefones, números de documentos e, alguns dias depois, saber
que estes dados estão disponibilizados em sites no exterior ou que foram adquiridos por
empresas de cartão de crédito. Ou ainda, receber cobranças por contratos feitos em seu
nome utilizando-se destas informações.
Este trabalho visa apresentar um levantamento feito com diversos órgãos
públicos sobre segurança da informação e continuidade de negócios comparando,
quando possível, o que existe no mundo real do serviço público com o que está previsto
nas normas técnicas e institucionais sobre o tema.
Serão demonstradas, de forma resumida, as metodologias utilizadas de
acordo com as normas ISO ABNT NBR para a gestão da segurança da informação e da
continuidade dos negócios.
Foi feito um levantamento junto a alguns órgãos públicos sobre sua gestão
de segurança da informação, utilizando-se a Lei de Acesso à Informação (lei federal
12.527/2011), que garante aos cidadãos saber sobre as atividades de qualquer órgão
público no país, incluindo acesso a documentos, salários, relatórios gerenciais e de
auditoria. A eficácia desta lei também será comentada neste trabalho.
2. Tema
A segurança da Informação nas organizações públicas brasileiras
3. Problema
As organizações públicas estão preparadas para garantir a segurança da
informações que custodiam, armazenam, transmitem e produzem?
4. Objetivo Geral
Conhecer como é feita a gestão da segurança da informação em
organizações públicas brasileiras.
2
5. Objetivos Específicos
Apresentar levantamento feito sobre segurança da informação em
organizações públicas;
Descrever boas práticas de gestão de segurança da informação;
Analisar a aplicabilidade da Lei de Acesso à informação na obtenção de dados para
trabalho científico.
6. A Segurança da Informação
Segurança da informação é a garantia de que os dados que são produzidos,
custodiados, transmitidos ou transformados por uma organização manterão suas
características originais, estarão disponíveis quando necessário e somente para usuários
autorizados. Neste contexto, podemos considerar os princípios de Confidencialidade,
Integridade e Disponibilidade como os de maior importância (Kim; Solomon, 2014).
Também podemos considerar aspectos não menos importantes de autenticidade,
autorização e não-repúdio.
A Disponibilidade refere-se ao tempo em que o usuário pode utilizar um
sistema, aplicativo e dados (Kim; Solomon, 2014), considerando-se aspectos como
Tempo de utilização, Tempo de paralização, Disponibilidade, Tempo médio para falhas
(MTTF, Mean Time to Failure), Tempo médio para reparo (MTTR – Mean Time do Repair)
e Objetivo de tempo para recuparação (RTO – Recovery Time Objective). Essas medidas
são comumente previstas em SLAs (Service Level Agreements – ou Contrato de Nível de
Serviços) entre empresas e operadoras de telecomunicações ou prestadoras de serviços
de TI. Para garantir a Disponibilidade é necessário que a organização mantenha planos
específicos de continuidade do negócio em caso de eventos de curta indisponibilidade ou
mesmo desastres, conforme veremos mais a frente.
A Integridade lida com a validade e a precisão dos dados (Kim; Solomon,
2014), ou seja, garante que os dados não foram alterados indevidamente após sua
produção ou durante sua transmissão.
Confidencialidade significa proteger a informação de todos, exceto
daqueles que tenham direito a ela (Kim; Solomon, 2014).
Garantir que os dados sejam mantidos livres de adulteração, interceptação
ou exposição para usuários não legítimos requer cuidados com o ambiente tecnológico,
com os processos e com as pessoas que lidam com estas informações. Gastar milhões
de reais em melhoria do ambiente tecnológico poderá ser infrutífero, caso a organização
não controle de forma efetiva seus processos e não ofereça treinamento e
conscientização dos seus colaboradores.
Por exemplo, imaginemos uma situação em que uma empresa possui um
firewall de última geração, configurado por profissionais treinados. Se os usuários
compartilharem senhas ou se as aplicações de tecnologia da informação não tiverem sido
adequadamente testadas, certamente o ambiente estará comprometido e as informações
não estarão resguardadas.
Douglas Kim e Michael G Solomon (2014) utilizam o termo Cybersegurança
(ou cybersecurity) para definir a garantia de segurança da informação na Internet e nas
redes locais de computadores. Estes autores dividem a infraestrutura típica de TI em sete
domínios, para os quais apresentam papéis e tarefas, responsabilidades e
responsabilização. Também apresentam riscos, ameaças ou vulnerabilidades. São estes
os domínios definidos pelos autores;
3
Domínio de Usuário: Define as pessoas que acessam um sistema de informação
de uma organização.
Domínio de Estação de Trabalho: Onde a maioria das pessoas se conecta à
infraestrutura de rede. Pode ser um desktop, um laptop, um smartphone ou
qualquer outro dispositivo.
Domínio de LAN: A LAN é rede local de computadores, com seus cabos
metálicos, switches, fibras-ópticas, ponto de acessos sem fio, etc.
Domínio de LAN para WAN: Refere-se a interligação de uma rede local à
Internet.
Domínio de WAN: Refere-se a interligação a locais remotos.
Domínio de Acesso Remoto: É a conexão remota feita diretamente à LAN, seja
por linha discada ou por VPN (rede privada virtual) para equipes que precisem
acessar recursos que só estão acessíveis internamente.
Domínio Sistema/Aplicativo: Mantém todos os sistemas, aplicativos e dados de
missão crítica.
Para Kim e Solomon (2014), assim como para outros autores, o usuário é o
elo mais fraco na segurança da informação. Por isso, é preciso manter em equilíbrio a
implantação de ferramentas e processos de controle e o treinamento e a conscientização
dos usuários da organização para que os ativos de informação realmente sejam
protegidos.
A segurança da informação não abrange somente os aspectos tecnológicos,
mas também diz respeito a outras formas de informação, como documentos físicos, o que
se fala ao telefone ou numa conversa na fila do banco e na mesa do restaurante.
As dificuldades para se manter a confidencialidade, a disponibilidade e a
integridade das informações nas corporações são imensas.
Em seguida, abordaremos a evolução das boas práticas de gestão da
segurança da informação.
7. As normas ISO 27001 e 27002
No final da década de 1990 o governo britânico produziu o “DTI Code of
Practice”, (código de práticas do DTI), mais tarde renomeado para BS 7799 (British
Standard 7799). Em 2000 a ISO (International Organization for Standardization) publicou
uma norma, que havia sido submetida pelos britânicos em sua segunda versão, como ISO
17799 (Kim; Solomon, 2014).
Em 2005 o padrão ISO 17799 foi atualizado para ISO 27002 (Código de
Práticas para controles de segurança da informação). A ISO 27002 atua de acordo com os
requisitos previstos na norma ISO 27001.
No Brasil estas normas foram internalizadas e publicadas pela ABNT
(Associação Brasileira de Normas Técnicas) e tiveram sua última versão editada em 2013,
sendo chamadas oficialmente de ABNT NBR ISO 27001:2013 e ABNT NBR ISO
27002:2013.
A norma ISO 27002 foi projetada para guiar as organizações na elaboração
de um SGSI (Sistema de Gestão de Segurança da Informação) ou para a implementação
de controles de segurança da informação comumente aceitos. Pode ser aplicada a
organizações de qualquer tamanho e tipo (organizações públicas, privadas e sem fins
lucrativos). Para implementar esta norma é essencial que a organização identifique os
seus requisitos de segurança da informação:
a) A avaliação de riscos para organização, levando em conta seus objetivos
e estratégias de negócio;
4
b) A legislação vigente, estatutos e contratos com parceiros, além de seu
ambiente sociocultural;
c) Os conjuntos particulares de princípios, objetivos e requisitos do negócio
para o manuseio, processamento, armazenamento, comunicação e arquivamento da
informação, necessários para apoiar suas operações.
A ISO 27002 faz parte da família de normas 27000, uma gama ampla de
normas de segurança da informação. É estruturada em 14 seções de controles de
segurança da informação de um total de 35 objetivos de controles e 114 controles.
Cada seção principal contém:
- Um objetivo de controle, declarando o que se espera alcançar;
- Um ou mais controles que podem ser aplicados.
8. As políticas de Segurança da Informação
Segundo a ISO 27002:
“Convém que um conjunto de políticas de segurança da informação seja
definido, aprovado pela direção, publicado e comunicado para todos os
funcionários e partes externas relevantes.”
As políticas de segurança da informação são o meio para se estruturar a
gestão da segurança da informação. Nela podem ser definidos papéis e
responsabilidades dos diversos atores, processos para o tratamento de exceções,
objetivos estratégicos e a abrangência desta gestão, podendo valer para apenas uma
unidade de negócios ou para a organização como um todo, independente da localização
geográfica.
Esta política, como prevê a norma, precisa ser divulgada para todos os
colaboradores e até mesmo para partes externas, como fornecedores, clientes e órgãos
reguladores, conforme o caso.
Trecho de Política de Segurança da Informação do TCU (Portaria nº
210/2014):
“ ...
CAPÍTULO II
DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 4º. A Política Corporativa de Segurança da Informação (PCSI/TCU)
integra o Sistema de Gestão de Segurança da Informação do TCU
(SGSI/TCU) instituído pela Resolução TCU nº 261, de 11 de junho de 2014,
o qual é composto pelos seguintes processos:
I - classificação da informação;
II - gestão de riscos de segurança da informação;
III - gestão de incidentes em segurança da informação;
IV - controle de acesso à informação;
V - segurança da informação em recursos humanos e conscientização em
segurança da informação; e
VI - segurança em tecnologia da informação e comunicações.
§ 1o Os processos do SGSI/TCU são interdependentes e devem ser
estruturados e monitorados de forma a permitir sua melhoria contínua.
… “
5
9. Implementando os Controles em Segurança da Informação
Após a definição do escopo daquilo que se pretende proteger e de uma
análise de risco adequada (conforme previsto na norma ISO 27005, que será tratada mais
adiante), é recomendável que se redija uma Declaração de Aplicabilidade da norma ISO
27001 (requisitos), contendo, de forma mais explícita, quais objetivos de controles e
controles são aplicáveis no âmbito da organização.
Um exemplo de um trecho uma Declaração de Aplicabilidade:
ISO/IEC 27001:2006/2013
Controle
Corrente
Cláusula 1 Seção Objetivo de Controle/Controle
2 - Políticas de Segurança 2,1
Política de Segurança da Informação - PSI
2.1.1 Política de disseminação da Informação SIM
2.1.2 Análise crítica da política de S.I. SIM
3 - Organizando a Segurança da
Informação
3,1
Organizando a segurança da informação interna
3.1.1 Comprometimento da alta-direção SIM
3.1.2
Coordenação da segurança da informação SIM
3.1.3
Atribuição de responsabilidades para a S.I. SIM
3.1.4
Acordos de confidencialidade SIM
3.1.5
Contato com autoridades SIM
3.1.6
Segurança em gerenciamento de projetos SIM
Fig.1. Declaração de Aplicabilidade - Modelo
Fonte: http://www.iso27001security.com/html/toolkit.html
Outras boas práticas são a elaboração uma Análise de Riscos e uma
Análise de Impacto nos Negócios (AIN), mostrando como cada ativo poderá ser afetado
em caso de concretização de ameaça.
Em uma organização de médio e grande porte a constituição de uma
Comissão de Segurança da Informação, integrada por pessoas das diversas áreas de
negócio, gestão de pessoas, tecnologia da informação, administração e outras áreas fim
se faz necessário. Esta comissão dará suporte técnico para que a alta direção possa
tomar as decisões. Não é possível implementar uma gestão de segurança da informação
que tenha resultados efetivos sem o envolvimento e o patrocínio da alta direção da
instituição.
Instituir uma equipe técnica de respostas a incidentes de rede de
computadores (ETIR) é uma boa prática recomendada. Isso auxilia a organização a ter
uma resposta mais rápida e organizada em caso de um ataque cibernético, ataque ao
servidor de e-mails, invasão da rede por vírus ou outra ameaça virtual que atue com
intensidade. Esta equipe, também conhecida por CSIRT (computer security incident
response team) pode atuar em forma de cooperação entre as áreas técnicas
responsáveis pelos ativos (infraestrutura, redes, suporte, aplicações, etc) e sua
competência será definida na criação da Política de Segurança da Informação.
6
Definir uma política de classificação da informação é útil para muitas
organizações, especialmente do serviço público, já que se trata de conformidade legal.
A lei federal 12.527/2011 prevê alguns prazos para liberação do sigilo de
informações classificadas:
“Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em
razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser
classificada como ultrassecreta, secreta ou reservada.
§ 1
o
Os prazos máximos de restrição de acesso à informação, conforme a classificação
prevista no caput, vigoram a partir da data de sua produção e são os seguintes:
I - ultrassecreta: 25 (vinte e cinco) anos;
II - secreta: 15 (quinze) anos; e
III - reservada: 5 (cinco) anos.”
10. O Gerenciamento de Riscos em Segurança da Informação
Para Kim e Solomon (2014), gerenciamento de riscos é o processo de
identificar, avaliar, priorizar e enfrentar riscos, definindo este como um processo contínuo
para uma organização. Este processo é descrito de forma integral na norma ISO 31000, e
com detalhes relacionados à segurança da informação na norma ISO 27005, chamada
oficialmente no Brasil de ABNT NBR ISO 27005:2011 (última versão publicada).
Risco é a probabilidade de que um evento incerto afete um ou mais
recursos, de maneira negativa ou positiva. Pode ser definido pela seguinte fórmula:
Risco = Ameaça x Vulnerabilidade
Ameaça é uma oportunidade para explorar uma vulnerabilidade.
Vulnerabilidade é a probabilidade de que uma ameaça específica seja
executada com sucesso.
Identificação de Riscos é o processo de determinar e classificar os riscos
que podem afetar seus recursos. O resultado deste processo é uma lista de riscos
identificados, que deve conter ao menos:
- Uma descrição do risco;
- O impacto de o evento ocorrer;
- A probabilidade de o evento ocorrer;
- Medidas para atenuar o risco;
- Medidas a serem tomadas se o evento ocorrer;
- Classificação do risco.
A análise de riscos pode ser quantitativa ou qualitativa.
Após a identificação e classificação dos riscos, é preciso apontar como
enfrentar cada um. Pode ser evitado, transferido, atenuado ou aceito, em caso de risco
negativo, ou seja, evento que, caso ocorra, traga prejuízo à organização. Se o risco for
positivo, ou seja, caso o evento ocorra, traga algum benefício, este pode ser explorado,
compartilhado, aprimorado ou aceito. Qualquer risco que, mesmo depois de
adequadamente tratado ainda exista, será chamado de risco residual.
Instituir uma política de gestão de riscos significa estabelecer processos de
avaliação de riscos rotineiramente, incluindo todos os novos projetos e ativos em
operação.
A figura a seguir, contida na norma ISO 27005, apresenta o fluxo do
processo de gestão de riscos em segurança da informação:
7
Fig.2 – Processo de GRSI
Fonte: Norma ABNT NBR ISO 27005:2011
11. A Continuidade de Negócios
A ISO 22301 define um conjunto de boas práticas para as
organizações que pretendam estabelecer procedimentos para a recuperação de suas
atividades em caso de incidentes, como ataque cibernético, falta de energia, queda do link
de comunicação, falha de um servidor, ou ainda de desastres, como uma inundação, um
incêndio no Data Center, um terremoto, etc.
O SGCN (Sistema de Gestão de Continuidade de Negócios)
estabelecido pela ISO 22301 possui os seguintes componentes chave:
“...
a) Uma política,
b) Pessoas com responsabilidades definidas,
c) Processos de gestão relativos a:
1) Política,
2) Planejamento,
3) Implementação e operação,
4) Avaliação de desempenho,
5) Análise crítica pela direção,
6) Melhorias.
d) Documentação fornecendo evidências auditáveis,
e) Quaisquer processos de continuidade de negócios pertinentes à
organização.
...”
8
A norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de
negócios – Requisitos - atua em conjunto com a norma ISO ABNT NBR 22313:2015:
Sistemas de gestão de continuidade de negócios – Orientações (versões brasileiras
publicadas pela Associação Brasileira de Normas Técnicas).
O primeiro passo antes de se elaborar planos para enfrentar interrupções em
serviços e ativos importantes para uma organização é a elaboração de uma Análise de
Impacto de Negócios (AIN), do inglês Business Impact Analysis – BIA.
Para Kim e Solomon (2014), uma BIA:
“É uma análise formal das funções e atividades de uma organização, que as
classifica como críticas ou não. Funções críticas são exigidas para executar
os negócios. Se você não puder executar uma função crítica, o dano
causado será inaceitável. Funções não críticas podem ser importantes, e
você poderia sentir falta delas se não existissem, mas sua ausência não
evitaria que uma organização realizasse negócios. Uma BIA também
organiza as atividades críticas com base em importância e ajuda uma
organização a determinar quais funções restaurar e em que ordem, no
caso de uma interrupção importante.”
Um Plano de Continuidade de Negócios – PCN (ou BCP – Business Continuity
Plan), segundo Kim e Solomom (2013), é um plano para uma resposta estruturada a
qualquer evento que resulte em uma interrupção de atividades ou funções críticas de uma
empresa. Por exemplo, para se proteger da falta de energia elétrica a organização pode
adquirir um UPS (conhecido como no-break) e um gerador à óleo diesel. Para se proteger
contra incêndios pode instalar sistemas de detecção de fumaça e extinção por gás FM-
200.
A AIN (Análise de Impacto de Negócios) identifica os recursos para os quais
um PCN é necessário, de acordo com sua importância para o negócio. Por exemplo, um
sistema crítico de produção industrial tem maior impacto caso fique sem funcionar do que
os servidores de e-mail ou a página da intranet, logo será classificado como crítico e a
demanda de recursos financeiros e de pessoal para sua recuperação poderão ser
maiores.
Dentro do SGCN podem ser estabelecidos planos específicos como Plano
de Continuidade Operacional, Plano de Contingência, Plano de Administração de Crises e
Plano de Recuperação de Desastres.
O Plano de Recuperação de Desastres – PRD - orientará na recuperação
das operações em caso de um desastre, um evento que afeta vários processos da
organização por um período estendido de tempo.
As etapas mais críticas de um PRD, segundo Kim e Solomon (2014) são:
a) Garantir a segurança de todos em primeiro lugar;
b) Responder ao desastre antes de perseguir a recuperação;
c) Seguir o PRD, incluindo comunicação com todas as partes afetadas.
A definição de como organizar o seu SGCN é da organização, dependendo
dos ativos que visar proteger, do tipo de negócio, dos recursos financeiros disponíveis, da
conformidade legal que precisa seguir, etc. A norma ISO 22313 apenas aponta em qual
direção seguir.
9
12. Auditoria em Segurança da Informação
A execução de auditorias periódicas é a única forma de se garantir que os
processos definidos para a segurança da informação estão sendo realizados conforme
definidos e estão surtindo o efeito esperado.
Trecho de uma auditoria realizada no TRE-PE;
“ 1.2. Objetivo da Auditoria.
A auditoria objetivou verificar a adequação da geração, tratamento,
divulgação, acesso e arquivamento das informações no âmbito da Justiça
Eleitoral de Pernambuco, de forma a garantir sua confidencialidade,
integridade, disponibilidade, autenticidade e legalidade.
1.3. Questões de Auditoria.
As questões de auditoria, idealizadas no curso do planejamento e
orientadoras das atividades da equipe de auditoria, contempladas no
Programa de Auditoria, encontram-se abaixo listadas:
Q1 – Há divulgação da PSI, bem como ações para disseminar a cultura em
segurança da informação no TRE/PE?
Q2 – A direção apoia ativamente a segurança da informação dentro da
organização?
Q3 – Há classificação da informação em termos do seu valor, requisitos
legais, sensibilidade e criticidade para a organização?
Q4 – Há identificação, documentação e implementação de regras para que
seja permitido o uso de informações e de ativos (de informação e de
processamento) associados aos recursos de processamento da informação?
Q5 – Há o estabelecimento de regras que previnam o acesso físico não
autorizado, danos ou interferências com as instalações e as informações do
TRE/PE?
Q6 – Há processo de gestão que assegure a continuidade do negócio por
todo o TRE/PE e que contemple os requisitos de segurança da informação?
Q7 – Há processo de gestão de riscos e de incidentes de segurança da
informação?
Q8 – Há um plano de trabalho que detalhe ações concretas para
implementação da PSI? “
As auditorias fazem parte do ciclo PDCA (plan, do, check, act) do Sistema de
Gestão de Segurança da Informação. Após analisar os resultados das auditorias, a
direção pode estabelecer novos objetivos de controles e determinar qual o motivo do não
cumprimento de algum dos objetivos estabelecidos, além de buscar melhorias nos
processos e controles.
O ideal é que a própria política de segurança da informação preveja a
realização periódica de auditorias.
Auditorias também devem ser possíveis nos sistemas de informação, como
servidores de bancos de dados, servidores de aplicação, firewalls, servidores de e-mail,
etc. O ideal é que se construa um servidor de logs unificado, impedindo a alteração de
logs dos ativos.
Logs são registros automáticos de eventos em sistemas de informação que
armazenam acessos de usuários, falhas de aplicações, início e parada de serviços,
alterações de bancos de dados e arquivos ou qualquer evento para os quais tenham sido
programados.
10
13. A Segurança da Informação no Serviço Público
Assim como ocorre no setor privado, o setor público também deve seguir a
várias recomendações de entidades externas para proteger seus ativos de informação.
No âmbito do poder executivo foi criado a Instrução Normativa nº1 pelo Gabinete de
Segurança Institucional, que contém várias outras Normas Complementares para auxiliar
os gestores públicos na tarefa de planejar a segurança da informação em seus órgãos.
No poder judiciário, a resolução CNJ 182/2013 determina que todos os
tribunais federais não terceirizem a gestão da segurança da informação:
“Art. 10. Não poderão ser objeto de contratação de Solução de Tecnologia
da Informação e Comunicação:
...
II – gestão de processos de Tecnologia da Informação e Comunicação,
incluindo segurança da informação.”
A resolução CNJ 211/2015 estabelece a Estratégia Nacional de Tecnologia
de Informação e Comunicação do Poder Judiciário, visando critérios mínimos de
infraestrutura e segurança para o ambiente tecnológico:
“Art. 10. A estrutura organizacional, o quadro permanente de servidores, a
gestão de ativos e os processos de gestão de trabalho da área de TIC de
cada órgão, deverão estar adequados às melhores práticas preconizadas
pelos padrões nacionais e internacionais para as atividades consideradas
como estratégicas.
...
§ 2º Deverá ser estabelecido Plano de Continuidade de Serviços Essenciais
de TIC, especialmente no que se refere aos serviços judiciais.”
14. A Lei de Acesso à Informação
A lei federal 12.527/2011, conhecida como Lei de Acesso à Informação - LAI,
regulamentada no Poder Executivo Federal pelo decreto 7.724/2012, visa permitir ao
cidadão o acesso às informações e dados que são produzidos ou custodiados pelo poder
público.
A lei delimita a forma de se conseguir informações de forma passiva, ou
seja, que os órgãos publiquem algumas informações em seus sites de Internet, como
salários, licitações, contratos, execução orçamentária, mas também de forma ativa,
permitindo ao cidadão solicitar diretamente a informação que deseja, relativo às
atividades precípuas dos órgãos, mesmo sem ter que informar o motivo do pedido,
devendo o poder público cumprir prazos determinados.
No poder judiciário, a LAI é regulamentada pela resolução CNJ 215/2015.
A utilização da LAI foi escolhida como fonte de informação para a realização
deste trabalho porque os órgãos não podem, pelo menos em tese, negar-se a informar
sobre suas atividades gerenciais e relatórios de auditorias. Caso as informações fossem
obtidas através de outros meios, como pedidos pessoais informais, seria difícil utilizá-las
sem que alguém pudesse questionar sua legalidade ou veracidade.
Felizmente, a maioria dos órgãos pesquisados respondeu aos
questionamentos. Alguns muito a contragosto, mas o objetivo foi conseguido.
Até mesmo o fato de o órgão não responder ou dar respostas vazias é uma
informação. Demonstra que a cidadania plena ainda não foi alcançada em nossa jovem
democracia.
11
15. Levantamento de Dados
Para este trabalho foram utilizadas referencias bibliográficas consagradas,
normas técnicas ISO ABNT NBR e consultas feitas diretamente a alguns órgãos públicos
sobre a forma como fazem o gerenciamento de segurança da informação.
O objetivo não foi traçar um ranking ou mesmo conceder uma nota sobre o
assunto, apenas tentar verificar se os órgãos têm atendido requisitos mínimos de
segurança quando lidam com os dados que produzem, custodiam, transformam ou
transmitem.
Foi enviado o seguinte questionário, com pequenas variações dependendo
do órgão público pesquisado:
1) Este órgão possui uma Política de Segurança da Informação (PSI) ou um
Sistema de Gestão de Segurança da Informação (SGSI)? (Informar o número do
ato normativo de criação)
- Caso positivo:
2) Existe uma Comissão de Segurança da Informação? Quantos são os
membros? Qual a periodicidade das reuniões?
3) Quantas auditorias de segurança da informação (internas ou externas) foram
feitas nos últimos 2 anos? Enviar cópia (eletrônica / digitalizada) ou link de
internet dos relatórios de auditoria.
4) Existem instruções normativas relativas a controles da Política de Segurança da
Informação? Enviar cópia (eletrônica/ digitalizada) ou link de internet para as
normativas.
5) Quantas ações de treinamento de segurança da informação para usuários foram
realizadas nos últimos 2 anos (2014 e 2015)? Qual a quantidade estimada de
horas de treinamento para usuários neste período?
6) Quantos usuários foram atingidos pelas ações de treinamento (informar número
total de usuários e número de usuários treinados)?
7) Os documentos de controle e normativas são revisados periodicamente?
8) A alta direção está adequadamente comprometida com a Segurança da
Informação, mobilizando recursos humanos e financeiros?
9) Os recursos alocados para segurança da informação têm sido suficientes para a
implementação dos treinamentos e dos controles necessários?
- Independente de existir uma Política de Segurança da Informação:
10) Existe um Plano de Continuidade de Negócios? Quantos testes são feitos ao
ano para este plano?
11) Existe uma Política de Classificação da Informação?
12) Este órgão possui uma ETIR (Equipe Técnica de Resposta a Incidentes de
Redes de Computadores)? Quantos incidentes de alto impacto a ETIR contabilizou
nos anos de 2014 e 2015?
13) Existe uma Política de Gestão de Riscos em Segurança da Informação? Esta
política é aplicada à contratações de soluções de TI?
14) Existe uma Política de Segurança Institucional (controle de acessos físicos,
guarda de documentos, segurança de autoridades, etc)?
15) Este órgão considera que sua Segurança da Informação está em conformidade
com a norma ABNT NBR ISO/IEC 27001:2013?
12
Foram pesquisados os seguintes órgãos:
ALEP - Assembleia Legislativa do Paraná
BACEN - Banco Central do Brasil
CELEPAR - Companhia de Informática do Paraná
CIASC - Companhia de Informática e Automação de Santa Catarina
CNJ - Conselho Nacional de Justiça
MP-PR - Ministério Público do Paraná
PMC – Prefeitura Municipal de Curitiba (PR)
TCE-PR - Tribunal de Contas do Estado do Paraná
TCE-SC - Tribunal de Contas do Estado Santa Catarina
TCU - Tribunal de Contas da União
TJPR - Tribunal de Justiça do Paraná -
TRE-BA – Tribunal Regional Eleitoral da Bahia
TRE-CE – Tribunal Regional Eleitoral do Ceará
TRE-DF - Tribunal Regional Eleitoral do Distrito Federal
TRE-GO - Tribunal Regional Eleitoral de Goiás
TRE-MG - Tribunal Regional Eleitoral de Minas Gerais
TRE-PR - Tribunal Regional Eleitoral de Pernambuco
TRE-RJ – Tribunal Regional Eleitoral do Rio de Janeiro
TRE-RS - Tribunal Regional Eleitoral do Rio Grande do Sul
TRE-SC - Tribunal Regional Eleitoral de Santa Catarina
TRE-SP - Tribunal Regional Eleitoral de São Paulo
TRF4 - Tribunal Regional Federal da 4ª Região (PR/SC/RS)
TRT9 - Tribunal Regional do Trabalho 9ª Região (Paraná)
TSE – Tribunal Superior Eleitoral
16. Resultados da Coleta de Dados
Dos 24 órgãos pesquisados, todos responderam à solicitação, embora
alguns tenham fornecido apenas uma resposta genérica, sem abordar o que foi pedido.
Apenas a Companhia de Informática e Automação de Santa Catariana – CIASC – negou-
se peremptoriamente a fornecer qualquer informação sobre o tema, alegando sigilo.
A tabela a seguir foi montada de acordo com impressão pessoal, a partir dos
levantamentos realizados e não propõe a ser um ranking ou uma avaliação definitiva
sobre as atividades de segurança dos órgãos:
13
Fonte: Pesquisa de campo – 2016
Fig.3 – Avaliação de Segurança da Informação
Fonte: Pesquisa de campo – 2016
ORG. PÚBLICA AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO
ALEP POUCA ATENÇÃO AO TEMA
BACEN SGSI COMPLETO E/OU EM FASE DE MELHORIAS
CELEPAR SGSI COMPLETO E/OU EM FASE DE MELHORIAS
CIASC NEGOU-SE A RESPONDER AS INFORMAÇÕES
CNJ SGSI COMPLETO E/OU EM FASE DE MELHORIAS
MP-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
PMC GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TCE-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TCE-SC POUCA ATENÇÃO AO TEMA
TCU SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TJPR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-BA GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-CE GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-DF SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-GO GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-MG GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-PE SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-RJ GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE
TRE-RS SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-SC SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-SP SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRE-TO SGSI COMPLETO E/OU EM FASE DE MELHORIAS
TRF4 SGSI COMPLETO E/OU EM FASE DE MELHORIAS
14
17. O Atendimento à Lei de Acesso à Informação
De acordo com a lei federal 12.527/2011:
“...
Art. 10. Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos
e entidades referidos no art. 1
o
desta Lei, por qualquer meio legítimo, devendo o pedido
conter a identificação do requerente e a especificação da informação requerida.
§ 1
o
Para o acesso a informações de interesse público, a identificação do requerente não
pode conter exigências que inviabilizem a solicitação.
§ 2
o
Os órgãos e entidades do poder público devem viabilizar alternativa de
encaminhamento de pedidos de acesso por meio de seus sítios oficiais na internet.
§ 3
o
São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação
de informações de interesse público.
Art. 11. O órgão ou entidade pública deverá autorizar ou conceder o acesso imediato à
informação disponível.
§ 1
o
Não sendo possível conceder o acesso imediato, na forma disposta no caput, o órgão
ou entidade que receber o pedido deverá, em prazo não superior a 20 (vinte) dias:
I - comunicar a data, local e modo para se realizar a consulta, efetuar a reprodução ou obter a
certidão;
II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido;
ou
III - comunicar que não possui a informação, indicar, se for do seu conhecimento, o órgão ou
a entidade que a detém, ou, ainda, remeter o requerimento a esse órgão ou entidade,
cientificando o interessado da remessa de seu pedido de informação.
§ 2
o
O prazo referido no § 1
o
poderá ser prorrogado por mais 10 (dez) dias, mediante
justificativa expressa, da qual será cientificado o requerente.
§ 3
o
Sem prejuízo da segurança e da proteção das informações e do cumprimento da
legislação aplicável, o órgão ou entidade poderá oferecer meios para que o próprio
requerente possa pesquisar a informação de que necessitar.
§ 4
o
Quando não for autorizado o acesso por se tratar de informação total ou parcialmente
sigilosa, o requerente deverá ser informado sobre a possibilidade de recurso, prazos e
condições para sua interposição, devendo, ainda, ser-lhe indicada a autoridade competente
para sua apreciação.
... “
Para apenas um dos órgãos pesquisados foi apresentado recurso à
instância superior para conseguir a informação, no caso do MPE-PR. Em outros, que não
apresentaram a informação solicitada de forma completa, não foi possível aguardar todos
os trâmites burocráticos a tempo de se obter as informações para a conclusão deste
trabalho. De qualquer forma, a aplicação da LAI apresentou-se satisfatória.
Muitas vezes lemos reportagens acerca de problemas com obras públicas,
de políticas públicas que não foram adequadamente implementadas e nos perguntamos
como os jornalistas conseguem tais informações. Em tempos passados seria necessário
ter acesso à fonte interna do órgão público. Hoje, qualquer cidadão pode ter acesso à
informações classificadas como públicas em qualquer lugar do Brasil, bastando apenas
um pouco de discernimento para proceder a pesquisa. Exercitar esse direito é garantir
que nossos impostos estão sendo gastos de adequadamente.
O gráfico a seguir mostra que 18 das 24 organizações pesquisadas
cumpriram o prazo de 30 dias (20 + 10) definido na lei federal 12 527/2011.
15
Fig.4 - Cumprimento de Prazos da Lei de Acesso à Informação
Fonte: Pesquisa de campo – 2016
18. A gestão da Segurança da Informação no serviço público
O ponto básico para que um órgão possa dizer que tem real preocupação
com a segurança da informação é o estabelecimento de uma PSI – Política de Segurança
da Informação. Alguns órgãos não apresentaram esta estrutura, seja por falta de
conhecimento técnico sobre o assunto, seja simplesmente porque não foram cobrados
por isso. Já outros, apresentaram um Sistema de Gestão de Segurança da Informação
bem completo, em estágio de maturação.
O não estabelecimento de uma metodologia adequada faz com que se tenha
uma gestão ad-hoc, o que deixará o processo sem a adequada orquestração,
aumentando a vulnerabilidade dos ativos.
Apenas quatro das organizações pesquisadas demonstraram não possuir
nenhuma Política de Segurança da Informação implementada.
Fig. 5 – Existência de PSI
*Fonte: Pesquisa de campo - 2016
16
Além da Política de Segurança da Informação, a criação de uma Comissão
de Segurança da Informação, uma Política de Classificação da Informação, composição
de uma Equipe Técnica de Respostas a Incidentes de Redes de Computadores, criação
de normas técnicas específicas para implementar os objetivos de controles previstos na
norma ISO 27002, treinamento de usuários integrado aos objetivos da Política de
Segurança da Informação, realização periódica de auditorias, criteriosa análise de riscos
de segurança da informação, inclusive em novos projetos. A lista de a fazeres é grande,
porém, também são grandes os riscos que permeiam as atividades diárias de produção,
custódia e transmissão de informações nas entidades públicas e privadas.
Seguir as recomendações previstas nas normas ISO 27000 permite à
organização trilhar um caminho mais claro. Um caminho que vem sendo trilhado por
organizações em todo o mundo.
19. A Importância das Auditorias
A realização de auditorias, de forma rotineira, é a única garantia efetiva de
que os processos previstos estão sendo realizados e de que os controles estabelecidos
terão o resultado esperado.
No contexto da boa execução de auditorias entre os órgãos pesquisados é
possível destacar o TRE-PE, que já fez auditorias internas com escopo específico em
Segurança da Informação. Destaca-se também o CNJ, que solicita a realização de
auditorias em SI nos Tribunais de todo o país.
O Banco Central do Brasil, instituição responsável pela fiscalização das
instituições financeiras no país, não realizou nenhuma auditoria nesta área nos últimos
dois anos. Algo inesperado, já que as instituições financeiras comerciais seguem planos
de segurança da informação, riscos e continuidade de negócio conforme resoluções do
próprio Banco Central e são auditadas periodicamente por consultorias externas.
Fig.6 – Realização de Auditorias
Fonte: Pesquisa de campo – 2016
17
Outro órgão importante, cujo escopo principal é fazer auditorias, o Tribunal de
Contas da União, demonstrou que não faz auditorias em seu SGSI nem em seu PCN. Certamente
corre riscos de toda a estrutura montada de segurança da informação e de continuidade de
negócios que possui não ter o efeito desejado quando necessário.
20. A Segurança da Informação da Justiça Eleitoral
Embora o escopo deste trabalho seja todo o serviço público, procurou-se dar
mais ênfase à Justiça Eleitoral, cuja atuação tem sido objeto de questionamentos,
principalmente em períodos pré e pós-eleitorais. Todos se perguntam sobre a segurança
da urna eletrônica e do processo eleitoral, mas existe muito mais por trás de tudo isso.
Não apenas aspectos de fraude na votação precisam ser lembrados, mas também o
altíssimo custo que terá de ser pago caso uma eleição seja cancelada por problemas
técnicos, a confidencialidade das informações do cadastro de eleitores e dos sistemas
administrativos e judiciais que operam na rede da justiça eleitoral.
O TSE respondeu de forma completa aos questionamentos enviados,
conforme pode ser mais bem analisado no apêndice deste trabalho, onde se pode notar
uma boa estrutura de Segurança da Informação, embora um tanto quanto dependente de
serviços de terceiros, o que contradiz um pouco a Resolução CNJ 182/2011. Já os TRE’s
pesquisados não possuem um padrão no gerenciamento de sua segurança da
informação, mesmo estando sujeitos à política do TSE.
A maioria dos tribunais respondeu a pesquisa dentro do prazo previsto na
Lei de Acesso à Informação, com destaque para o TRE-BA, que o fez no dia seguinte à
solicitação. Destaque também para o TRE-PR que realizou auditoria em segurança da
informação e disponibilizou o documento para conhecimento. Denota-se que a maior
parte da Justiça Eleitoral tem preocupações com o tema e atua para melhorar seus
processos.
A classificação abaixo é uma análise pessoal, sem todos os elementos
necessários para um ranking, já que a metodologia de pesquisa utilizada não foi
construída com este objetivo.
Fig.7 – Tribunais Eleitorais Pesquisados
Fonte: pesquisa de campo – 2016
18
21. Conclusões
A utilização da Lei de Acesso à Informação mostrou-se eficaz para a
pesquisa acadêmica no caso apresentado, sendo que todos os órgãos responderam à
pesquisa, mesmo que alguns de forma genérica. Ainda falta maturidade de toda a
sociedade, não apenas dos gestores públicos, para que a transparência do serviço
público seja efetiva e natural.
Como um dos objetivos específicos, o trabalho também apresentou as boas
práticas consagradas de segurança da informação, como as normas da família ISO 27000
e as normas de Continuidade de Negócios. Estas normas foram estabelecidas para dar
linhas gerais e auxiliar as organizações na tarefa de melhorarem sua segurança da
informação e preconizam que cada entidade deve fazer suas análises e seus planos de
acordo com seu ambiente organizacional e conformidade legal, por isso, este trabalho
visou tão somente conhecer a realidade de alguns órgãos da administração pública sobre
os temas abordados.
A Justiça Eleitoral demonstrou que possui bastante preocupação quanto à
segurança cibernética, embora apresente algumas omissões e falhas na gestão de
processos e no treinamento de pessoal, o que deixa do tripé Tecnologia – Processos –
Pessoas um tanto desproporcional. Também nota-se certa falta de integração entre os
Tribunais Regionais e o TSE. Mesmo dentro dos próprios Tribunais Regionais existe
pouca integração entre as áreas, deixando claro que as Comissões de Segurança da
Informação, mesmo quando estabelecidas, têm dificuldades em cumprir efetivamente o
seu papel. A realização de auditorias, elemento crucial para o gerenciamento da
segurança da informação ainda parece incipiente na maioria dos Tribunais Regionais
Eleitorais pesquisados. A falta de um Plano de Continuidade de Negócios para a maioria
dos tribunais eleitorais pesquisados também parece ser um grave problema.
A prefeitura de Curitiba, embora tenha respondido a solicitação no prazo,
demonstrou que deixa a maior parte de sua segurança da informação a cargo de uma
Organização Social com a qual tem contratos de tecnologia da informação, o ICI –
Instituto Curitiba de Cidades. Este caso também parece bastante temerário, já que tal
entidade não é controlada totalmente pelo município nem é auditada neste âmbito pelo
município nem pelo Tribunal de Contas do Estado.
O Banco Central do Brasil demonstrou que tem uma boa infraestrutura de
segurança, mas não segue as mesmas regras às quais estão sujeitas as instituições
financeiras que tem o dever de fiscalizar.
A Assembleia Legislativa do Paraná – ALEP e o Tribunal de Contas do
Estado de Santa Catarina – TCE-SC, aparentemente não tem preocupações adequadas
com o tema pesquisado, ao menos foi o que se pode depreender das respostas
encaminhadas.
A CIASC – Companhia de Informática e Automação de Santa Catarina,
empresa responsável pelo processamento de dados do Estado de Santa Catarina,
infelizmente, teve entendimento de que não tem o dever de expor aspectos gerencias de
segurança da informação, confundindo o tema com aspectos técnicos operacionais, um
entendimento totalmente diferente dos demais órgãos. Devido ao tempo e a demora na
devolução da resposta, não foi possível obter recurso administrativo neste caso.
A CELEPAR – Companhia de Informática do Paraná, empresa responsável
pelo processamento de dados do Estado do Paraná, apresentou uma boa infraestrutura
tecnológica e demonstrou que está bastante preocupada com o tema. Algumas melhorias
ainda podem ocorrer, como o aumentar o número de treinamentos e atingir uma
quantidade maior de colaboradores.
19
O Conselho Nacional de Justiça - CNJ, mesmo com o SGSI ainda em fase
de implementação e melhorias, demonstrou que está bastante atento ao tema, inclusive
cobrando dos demais órgãos do Poder Judiciário que façam cada um sua parte.
O Ministério Público do Paraná – MP-PR - não atendeu a solicitação no
prazo, demonstrou que não tem um controle centralizado sobre o atendimento da Lei de
Acesso à Informação e, somente atendeu de forma completa a solicitação após recurso
apresentado junto ao Conselho Nacional do Ministério Público, CNMP. De qualquer forma,
demonstrou que possui preocupações com o tema, mas ainda atua de forma incipiente.
O Tribunal Regional do Trabalho 9ª Região e o TRF 4ª Região
demonstraram que possuem boa organização e procuram seguir as recomendações do
Conselho Nacional de Justiça.
A Segurança da Informação e a Continuidade de Negócios do setor público
interessam à sociedade, que precisa de bons serviços, os quais devem ser seguros e
estar disponíveis quando necessário.
A pesquisa demonstrou que, embora o serviço público tenha mais
dificuldades em seguir as tendências tanto tecnológicas quanto gerenciais na área de
segurança da informação, muitas organizações estão empenhadas em fazer um bom
trabalho.
20
22. Referências Bibliográficas
Kim, David ; Solomon, Michael . Fundamentos de Segurança da Informação. Rio de
Janeiro: editora LTC, 2014.
ABNT. Norma ISO ABNT NBR 27001: Sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro, 2013.
ABNT. Norma ISO ABNT NBR 27002: Código de prática para controles de segurança da
informação. Rio de Janeiro, 2013.
ABNT. Norma ISO ABNT NBR 27005: Gestão de riscos em segurança da informação de
segurança da informação. Rio de Janeiro, 2011.
ABNT. Norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de
negócios - Requisitos. Rio de Janeiro, 2013.
ABNT. Norma ISO ABNT NBR 22313:2015: Sistemas de gestão de continuidade de
negócios - Orientações. Rio de Janeiro, 2015.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm - Lei de Acesso à
Informação – lei federal 12.527/2011 – acessado por último em 10/07/2016.
http://dsic.planalto.gov.br/legislacaodsic/53 – Normas Complementares à IN Nº 01
GSI/PR/2008 - Segurança da Informação e Comunicações – acessado por último em
10/07/2016.
http://www.cnj.jus.br/busca-atos-adm?documento=2496 – CNJ – Resolução Nº 182 de
17/10/2013 – acessado por último em 10/07/2016.
http://www.cnj.jus.br/atos-normativos?documento=2227 – CNJ – Resolução Nº 211 de
16/12/2015 – acessado por último em 10/07/2016.
http://www.cnj.jus.br/busca-atos-adm?documento=3062 – CNJ – Resolução Nº 215 de
16/12/2015 – acessado por último em 10/07/2016.
http://www2.camara.leg.br/legin/fed/decret/2000/decreto-3505-13-junho-2000-368759-
normaatualizada-pe.pdf - Decreto 3505/2000 – acessado por último em 10/07/2016.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/Decreto/D7724.htm – Decreto
7.724/2012- acessado por último em 10/07/2016.
http://www.iso27001security.com/html/toolkit.html – Acessado por último em 12/07/2016.
21
23. Apêndice e Anexos
Respostas aos questionários encaminhados pelos órgãos públicos.
Documentos normativos dos órgãos públicos que foram citados no texto.
Demais documentos estarão disponíveis em:
https://goo.gl/vkNXik

Mais conteúdo relacionado

Semelhante a A Segurança da Informação nas Organizações Públicas Brasileiras

Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
University of North Carolina at Chapel Hill Balloni
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
Bruno Luiz A. de Pai Paiva
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
Celia Mascarenhas
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdfARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
SimoneHelenDrumond
 
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdfARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
SimoneHelenDrumond
 
15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf
15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf
15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf
SimoneHelenDrumond
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
University of North Carolina at Chapel Hill
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
University of North Carolina at Chapel Hill Balloni
 
Introdução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesIntrodução aos Sistemas de Informações
Introdução aos Sistemas de Informações
Matheus Beleboni
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
Fabiano Ferreira
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
Sebastião de Aquino Ribeiro Junior
 
A transparência na gestão pública – gestão pública semestre 2º
A transparência na gestão pública – gestão pública semestre 2ºA transparência na gestão pública – gestão pública semestre 2º
A transparência na gestão pública – gestão pública semestre 2º
HELENO FAVACHO
 
licalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvvlicalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvv
FbioRodrigues312740
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
IsraelCunha
 
Apostila infomática 21 03-2014
Apostila infomática 21 03-2014Apostila infomática 21 03-2014
Apostila infomática 21 03-2014
Danielle Cruz
 
PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...
PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...
PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...
Marcelo Weihmayr
 
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
Virtù Tecnológica
 

Semelhante a A Segurança da Informação nas Organizações Públicas Brasileiras (18)

Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdfARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
 
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdfARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
ARTIGO 4 TECNOLOGIAS GABRIEL E SIMONE.pdf
 
15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf
15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf
15 ARTIGO TECNOLOGIAS GABRIEL E SIMONE.pdf
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Introdução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesIntrodução aos Sistemas de Informações
Introdução aos Sistemas de Informações
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
A transparência na gestão pública – gestão pública semestre 2º
A transparência na gestão pública – gestão pública semestre 2ºA transparência na gestão pública – gestão pública semestre 2º
A transparência na gestão pública – gestão pública semestre 2º
 
licalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvvlicalicaolicaklucaiggggggggggcvvvvvvvvvv
licalicaolicaklucaiggggggggggcvvvvvvvvvv
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Apostila infomática 21 03-2014
Apostila infomática 21 03-2014Apostila infomática 21 03-2014
Apostila infomática 21 03-2014
 
PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...
PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...
PARANÁ CENTRO ON-LINE: UM SISTEMA INFORMATIZADO NO AUXÍLIO DE GESTÃO DE NOTÍC...
 
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
 

A Segurança da Informação nas Organizações Públicas Brasileiras

  • 1. CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E SEGURANÇA DA INFORMAÇÃO JUAREZ DE OLIVEIRA A segurança da informação nas organizações públicas brasileiras Curitiba – 2016
  • 2. CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E SEGURANÇA DA INFORMAÇÃO JUAREZ DE OLIVEIRA A segurança da informação nas organizações públicas brasileiras Monografia apresentada à Universidade Positivo para obtenção do título de Especialista em Auditoria e Segurança da Informação. Orientador: Prof. Esp. Marcelo Fernandes Rocha Curitiba – 2016
  • 3. Agradecimentos: Agradeço aos docentes da Universidade Positivo, que trouxeram para a sala de aula suas experiências e conhecimento, principalmente ao professor Marcelo Rocha, pela paciência que teve comigo e pelo esforço em trazer consultores externos para enriquecer a classe. Agradeço também aos gestores de órgãos públicos que forneceram subsídios para a produção deste trabalho.
  • 4. Resumo: As organizações públicas lidam diariamente com dados pessoais de cidadãos e de seus funcionários, informações públicas sobre suas atividades, informações sigilosas e que afetam segurança de toda a sociedade. Este trabalho visa analisar como é feita a gestão da segurança da informação nestas organizações e como implementar políticas de gestão de segurança da informação e de continuidade de negócios adequadas, garantindo a confidencialidade, a integridade e a disponibilidade dos dados. Para a obtenção de dados sobre a gestão da segurança da informação foi utilizada a Lei de acesso à Informação (lei federal 12.527/211), instrumento de fiscalização da sociedade sobre a administração pública, previsto desde a Constituição Federal do Brasil de 1988. Palavras-chave: SGSI, segurança da informação, lei de acesso à informação, PCN, SGCN, SGCN Abstract: Public organizations deal daily with personal data of citizens and their staff, public information about its activities, confidential information and affecting security of the whole society. This work aims to analyze how is the information security management in these organizations and how to implement information security management and continuity of appropriate business policies, ensuring the confidentiality, integrity and availability of data. To obtain data on information security management has used the Law of Access to Information (Federal Law 12,527 / 211), inspection instrument of society on public administration, as expected from the Federal Constitution of Brazil 1988. Key-words: ISMS, information security, access to information law, BCP, BCMS
  • 5. Sumário: 1. Introdução .....................................................................................................................1 2. Tema .............................................................................................................................1 3. Problema.......................................................................................................................1 4. Objetivo Geral ...............................................................................................................1 5. Objetivos Específicos....................................................................................................2 6. A Segurança da Informação..........................................................................................2 7. As normas ISO 27001 e 27002.....................................................................................3 8. As políticas de Segurança da Informação.....................................................................4 9. Implementando os Controles em Segurança da Informação ........................................5 10. O Gerenciamento de Riscos em Segurança da Informação......................................6 11. A Continuidade de Negócios......................................................................................7 12. Auditoria em Segurança da Informação.....................................................................9 13. A Segurança da Informação no Serviço Público......................................................10 14. A Lei de Acesso à Informação..................................................................................10 15. Levantamento de Dados..........................................................................................11 16. Resultados da Coleta de Dados...............................................................................12 17. O Atendimento à Lei de Acesso à Informação .........................................................14 18. A gestão da Segurança da Informação no serviço público ......................................15 19. A Importância das Auditorias....................................................................................16 20. A Segurança da Informação da Justiça Eleitoral......................................................17 21. Conclusões ..............................................................................................................18 22. Referências Bibliográficas........................................................................................20 23. Apêndice e Anexos ..................................................................................................21
  • 6. 1 1. Introdução Estamos vivendo a era da informação conectada. A cada segundo, bilhões de documentos, imagens, vídeos e outras informações digitais são produzidos e armazenados no mundo. As organizações públicas, embora não consigam acompanhar de modo tão dinâmico tais transformações, também têm se modernizado, permitindo ao cidadão maior comodidade quando precisa de um serviço público, como uma nova carteira de habilitação, um alvará para a construção de sua casa, a emissão do seu título de eleitor, o agendamento de uma cirurgia em um hospital, etc. Mas esta comodidade também tem riscos, tanto para o cidadão quanto para o ente público que tem o dever de atendê-lo. Alguns desastres, como inundações, ataques terroristas, incêndios e ataques virtuais já colocaram em xeque muitas organizações, levando algumas a desaparecerem completamente. Os órgãos públicos brasileiros conseguem manter as informações que por eles são produzidas ou custodiadas a salvo de perdas, vazamentos ilegais e alterações, impedindo que seus cidadãos sejam colocados em risco? Imagine ir à Polícia Federal emitir um passaporte, informando todos os seus dados como endereço, telefones, números de documentos e, alguns dias depois, saber que estes dados estão disponibilizados em sites no exterior ou que foram adquiridos por empresas de cartão de crédito. Ou ainda, receber cobranças por contratos feitos em seu nome utilizando-se destas informações. Este trabalho visa apresentar um levantamento feito com diversos órgãos públicos sobre segurança da informação e continuidade de negócios comparando, quando possível, o que existe no mundo real do serviço público com o que está previsto nas normas técnicas e institucionais sobre o tema. Serão demonstradas, de forma resumida, as metodologias utilizadas de acordo com as normas ISO ABNT NBR para a gestão da segurança da informação e da continuidade dos negócios. Foi feito um levantamento junto a alguns órgãos públicos sobre sua gestão de segurança da informação, utilizando-se a Lei de Acesso à Informação (lei federal 12.527/2011), que garante aos cidadãos saber sobre as atividades de qualquer órgão público no país, incluindo acesso a documentos, salários, relatórios gerenciais e de auditoria. A eficácia desta lei também será comentada neste trabalho. 2. Tema A segurança da Informação nas organizações públicas brasileiras 3. Problema As organizações públicas estão preparadas para garantir a segurança da informações que custodiam, armazenam, transmitem e produzem? 4. Objetivo Geral Conhecer como é feita a gestão da segurança da informação em organizações públicas brasileiras.
  • 7. 2 5. Objetivos Específicos Apresentar levantamento feito sobre segurança da informação em organizações públicas; Descrever boas práticas de gestão de segurança da informação; Analisar a aplicabilidade da Lei de Acesso à informação na obtenção de dados para trabalho científico. 6. A Segurança da Informação Segurança da informação é a garantia de que os dados que são produzidos, custodiados, transmitidos ou transformados por uma organização manterão suas características originais, estarão disponíveis quando necessário e somente para usuários autorizados. Neste contexto, podemos considerar os princípios de Confidencialidade, Integridade e Disponibilidade como os de maior importância (Kim; Solomon, 2014). Também podemos considerar aspectos não menos importantes de autenticidade, autorização e não-repúdio. A Disponibilidade refere-se ao tempo em que o usuário pode utilizar um sistema, aplicativo e dados (Kim; Solomon, 2014), considerando-se aspectos como Tempo de utilização, Tempo de paralização, Disponibilidade, Tempo médio para falhas (MTTF, Mean Time to Failure), Tempo médio para reparo (MTTR – Mean Time do Repair) e Objetivo de tempo para recuparação (RTO – Recovery Time Objective). Essas medidas são comumente previstas em SLAs (Service Level Agreements – ou Contrato de Nível de Serviços) entre empresas e operadoras de telecomunicações ou prestadoras de serviços de TI. Para garantir a Disponibilidade é necessário que a organização mantenha planos específicos de continuidade do negócio em caso de eventos de curta indisponibilidade ou mesmo desastres, conforme veremos mais a frente. A Integridade lida com a validade e a precisão dos dados (Kim; Solomon, 2014), ou seja, garante que os dados não foram alterados indevidamente após sua produção ou durante sua transmissão. Confidencialidade significa proteger a informação de todos, exceto daqueles que tenham direito a ela (Kim; Solomon, 2014). Garantir que os dados sejam mantidos livres de adulteração, interceptação ou exposição para usuários não legítimos requer cuidados com o ambiente tecnológico, com os processos e com as pessoas que lidam com estas informações. Gastar milhões de reais em melhoria do ambiente tecnológico poderá ser infrutífero, caso a organização não controle de forma efetiva seus processos e não ofereça treinamento e conscientização dos seus colaboradores. Por exemplo, imaginemos uma situação em que uma empresa possui um firewall de última geração, configurado por profissionais treinados. Se os usuários compartilharem senhas ou se as aplicações de tecnologia da informação não tiverem sido adequadamente testadas, certamente o ambiente estará comprometido e as informações não estarão resguardadas. Douglas Kim e Michael G Solomon (2014) utilizam o termo Cybersegurança (ou cybersecurity) para definir a garantia de segurança da informação na Internet e nas redes locais de computadores. Estes autores dividem a infraestrutura típica de TI em sete domínios, para os quais apresentam papéis e tarefas, responsabilidades e responsabilização. Também apresentam riscos, ameaças ou vulnerabilidades. São estes os domínios definidos pelos autores;
  • 8. 3 Domínio de Usuário: Define as pessoas que acessam um sistema de informação de uma organização. Domínio de Estação de Trabalho: Onde a maioria das pessoas se conecta à infraestrutura de rede. Pode ser um desktop, um laptop, um smartphone ou qualquer outro dispositivo. Domínio de LAN: A LAN é rede local de computadores, com seus cabos metálicos, switches, fibras-ópticas, ponto de acessos sem fio, etc. Domínio de LAN para WAN: Refere-se a interligação de uma rede local à Internet. Domínio de WAN: Refere-se a interligação a locais remotos. Domínio de Acesso Remoto: É a conexão remota feita diretamente à LAN, seja por linha discada ou por VPN (rede privada virtual) para equipes que precisem acessar recursos que só estão acessíveis internamente. Domínio Sistema/Aplicativo: Mantém todos os sistemas, aplicativos e dados de missão crítica. Para Kim e Solomon (2014), assim como para outros autores, o usuário é o elo mais fraco na segurança da informação. Por isso, é preciso manter em equilíbrio a implantação de ferramentas e processos de controle e o treinamento e a conscientização dos usuários da organização para que os ativos de informação realmente sejam protegidos. A segurança da informação não abrange somente os aspectos tecnológicos, mas também diz respeito a outras formas de informação, como documentos físicos, o que se fala ao telefone ou numa conversa na fila do banco e na mesa do restaurante. As dificuldades para se manter a confidencialidade, a disponibilidade e a integridade das informações nas corporações são imensas. Em seguida, abordaremos a evolução das boas práticas de gestão da segurança da informação. 7. As normas ISO 27001 e 27002 No final da década de 1990 o governo britânico produziu o “DTI Code of Practice”, (código de práticas do DTI), mais tarde renomeado para BS 7799 (British Standard 7799). Em 2000 a ISO (International Organization for Standardization) publicou uma norma, que havia sido submetida pelos britânicos em sua segunda versão, como ISO 17799 (Kim; Solomon, 2014). Em 2005 o padrão ISO 17799 foi atualizado para ISO 27002 (Código de Práticas para controles de segurança da informação). A ISO 27002 atua de acordo com os requisitos previstos na norma ISO 27001. No Brasil estas normas foram internalizadas e publicadas pela ABNT (Associação Brasileira de Normas Técnicas) e tiveram sua última versão editada em 2013, sendo chamadas oficialmente de ABNT NBR ISO 27001:2013 e ABNT NBR ISO 27002:2013. A norma ISO 27002 foi projetada para guiar as organizações na elaboração de um SGSI (Sistema de Gestão de Segurança da Informação) ou para a implementação de controles de segurança da informação comumente aceitos. Pode ser aplicada a organizações de qualquer tamanho e tipo (organizações públicas, privadas e sem fins lucrativos). Para implementar esta norma é essencial que a organização identifique os seus requisitos de segurança da informação: a) A avaliação de riscos para organização, levando em conta seus objetivos e estratégias de negócio;
  • 9. 4 b) A legislação vigente, estatutos e contratos com parceiros, além de seu ambiente sociocultural; c) Os conjuntos particulares de princípios, objetivos e requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivamento da informação, necessários para apoiar suas operações. A ISO 27002 faz parte da família de normas 27000, uma gama ampla de normas de segurança da informação. É estruturada em 14 seções de controles de segurança da informação de um total de 35 objetivos de controles e 114 controles. Cada seção principal contém: - Um objetivo de controle, declarando o que se espera alcançar; - Um ou mais controles que podem ser aplicados. 8. As políticas de Segurança da Informação Segundo a ISO 27002: “Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.” As políticas de segurança da informação são o meio para se estruturar a gestão da segurança da informação. Nela podem ser definidos papéis e responsabilidades dos diversos atores, processos para o tratamento de exceções, objetivos estratégicos e a abrangência desta gestão, podendo valer para apenas uma unidade de negócios ou para a organização como um todo, independente da localização geográfica. Esta política, como prevê a norma, precisa ser divulgada para todos os colaboradores e até mesmo para partes externas, como fornecedores, clientes e órgãos reguladores, conforme o caso. Trecho de Política de Segurança da Informação do TCU (Portaria nº 210/2014): “ ... CAPÍTULO II DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Art. 4º. A Política Corporativa de Segurança da Informação (PCSI/TCU) integra o Sistema de Gestão de Segurança da Informação do TCU (SGSI/TCU) instituído pela Resolução TCU nº 261, de 11 de junho de 2014, o qual é composto pelos seguintes processos: I - classificação da informação; II - gestão de riscos de segurança da informação; III - gestão de incidentes em segurança da informação; IV - controle de acesso à informação; V - segurança da informação em recursos humanos e conscientização em segurança da informação; e VI - segurança em tecnologia da informação e comunicações. § 1o Os processos do SGSI/TCU são interdependentes e devem ser estruturados e monitorados de forma a permitir sua melhoria contínua. … “
  • 10. 5 9. Implementando os Controles em Segurança da Informação Após a definição do escopo daquilo que se pretende proteger e de uma análise de risco adequada (conforme previsto na norma ISO 27005, que será tratada mais adiante), é recomendável que se redija uma Declaração de Aplicabilidade da norma ISO 27001 (requisitos), contendo, de forma mais explícita, quais objetivos de controles e controles são aplicáveis no âmbito da organização. Um exemplo de um trecho uma Declaração de Aplicabilidade: ISO/IEC 27001:2006/2013 Controle Corrente Cláusula 1 Seção Objetivo de Controle/Controle 2 - Políticas de Segurança 2,1 Política de Segurança da Informação - PSI 2.1.1 Política de disseminação da Informação SIM 2.1.2 Análise crítica da política de S.I. SIM 3 - Organizando a Segurança da Informação 3,1 Organizando a segurança da informação interna 3.1.1 Comprometimento da alta-direção SIM 3.1.2 Coordenação da segurança da informação SIM 3.1.3 Atribuição de responsabilidades para a S.I. SIM 3.1.4 Acordos de confidencialidade SIM 3.1.5 Contato com autoridades SIM 3.1.6 Segurança em gerenciamento de projetos SIM Fig.1. Declaração de Aplicabilidade - Modelo Fonte: http://www.iso27001security.com/html/toolkit.html Outras boas práticas são a elaboração uma Análise de Riscos e uma Análise de Impacto nos Negócios (AIN), mostrando como cada ativo poderá ser afetado em caso de concretização de ameaça. Em uma organização de médio e grande porte a constituição de uma Comissão de Segurança da Informação, integrada por pessoas das diversas áreas de negócio, gestão de pessoas, tecnologia da informação, administração e outras áreas fim se faz necessário. Esta comissão dará suporte técnico para que a alta direção possa tomar as decisões. Não é possível implementar uma gestão de segurança da informação que tenha resultados efetivos sem o envolvimento e o patrocínio da alta direção da instituição. Instituir uma equipe técnica de respostas a incidentes de rede de computadores (ETIR) é uma boa prática recomendada. Isso auxilia a organização a ter uma resposta mais rápida e organizada em caso de um ataque cibernético, ataque ao servidor de e-mails, invasão da rede por vírus ou outra ameaça virtual que atue com intensidade. Esta equipe, também conhecida por CSIRT (computer security incident response team) pode atuar em forma de cooperação entre as áreas técnicas responsáveis pelos ativos (infraestrutura, redes, suporte, aplicações, etc) e sua competência será definida na criação da Política de Segurança da Informação.
  • 11. 6 Definir uma política de classificação da informação é útil para muitas organizações, especialmente do serviço público, já que se trata de conformidade legal. A lei federal 12.527/2011 prevê alguns prazos para liberação do sigilo de informações classificadas: “Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada. § 1 o Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes: I - ultrassecreta: 25 (vinte e cinco) anos; II - secreta: 15 (quinze) anos; e III - reservada: 5 (cinco) anos.” 10. O Gerenciamento de Riscos em Segurança da Informação Para Kim e Solomon (2014), gerenciamento de riscos é o processo de identificar, avaliar, priorizar e enfrentar riscos, definindo este como um processo contínuo para uma organização. Este processo é descrito de forma integral na norma ISO 31000, e com detalhes relacionados à segurança da informação na norma ISO 27005, chamada oficialmente no Brasil de ABNT NBR ISO 27005:2011 (última versão publicada). Risco é a probabilidade de que um evento incerto afete um ou mais recursos, de maneira negativa ou positiva. Pode ser definido pela seguinte fórmula: Risco = Ameaça x Vulnerabilidade Ameaça é uma oportunidade para explorar uma vulnerabilidade. Vulnerabilidade é a probabilidade de que uma ameaça específica seja executada com sucesso. Identificação de Riscos é o processo de determinar e classificar os riscos que podem afetar seus recursos. O resultado deste processo é uma lista de riscos identificados, que deve conter ao menos: - Uma descrição do risco; - O impacto de o evento ocorrer; - A probabilidade de o evento ocorrer; - Medidas para atenuar o risco; - Medidas a serem tomadas se o evento ocorrer; - Classificação do risco. A análise de riscos pode ser quantitativa ou qualitativa. Após a identificação e classificação dos riscos, é preciso apontar como enfrentar cada um. Pode ser evitado, transferido, atenuado ou aceito, em caso de risco negativo, ou seja, evento que, caso ocorra, traga prejuízo à organização. Se o risco for positivo, ou seja, caso o evento ocorra, traga algum benefício, este pode ser explorado, compartilhado, aprimorado ou aceito. Qualquer risco que, mesmo depois de adequadamente tratado ainda exista, será chamado de risco residual. Instituir uma política de gestão de riscos significa estabelecer processos de avaliação de riscos rotineiramente, incluindo todos os novos projetos e ativos em operação. A figura a seguir, contida na norma ISO 27005, apresenta o fluxo do processo de gestão de riscos em segurança da informação:
  • 12. 7 Fig.2 – Processo de GRSI Fonte: Norma ABNT NBR ISO 27005:2011 11. A Continuidade de Negócios A ISO 22301 define um conjunto de boas práticas para as organizações que pretendam estabelecer procedimentos para a recuperação de suas atividades em caso de incidentes, como ataque cibernético, falta de energia, queda do link de comunicação, falha de um servidor, ou ainda de desastres, como uma inundação, um incêndio no Data Center, um terremoto, etc. O SGCN (Sistema de Gestão de Continuidade de Negócios) estabelecido pela ISO 22301 possui os seguintes componentes chave: “... a) Uma política, b) Pessoas com responsabilidades definidas, c) Processos de gestão relativos a: 1) Política, 2) Planejamento, 3) Implementação e operação, 4) Avaliação de desempenho, 5) Análise crítica pela direção, 6) Melhorias. d) Documentação fornecendo evidências auditáveis, e) Quaisquer processos de continuidade de negócios pertinentes à organização. ...”
  • 13. 8 A norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de negócios – Requisitos - atua em conjunto com a norma ISO ABNT NBR 22313:2015: Sistemas de gestão de continuidade de negócios – Orientações (versões brasileiras publicadas pela Associação Brasileira de Normas Técnicas). O primeiro passo antes de se elaborar planos para enfrentar interrupções em serviços e ativos importantes para uma organização é a elaboração de uma Análise de Impacto de Negócios (AIN), do inglês Business Impact Analysis – BIA. Para Kim e Solomon (2014), uma BIA: “É uma análise formal das funções e atividades de uma organização, que as classifica como críticas ou não. Funções críticas são exigidas para executar os negócios. Se você não puder executar uma função crítica, o dano causado será inaceitável. Funções não críticas podem ser importantes, e você poderia sentir falta delas se não existissem, mas sua ausência não evitaria que uma organização realizasse negócios. Uma BIA também organiza as atividades críticas com base em importância e ajuda uma organização a determinar quais funções restaurar e em que ordem, no caso de uma interrupção importante.” Um Plano de Continuidade de Negócios – PCN (ou BCP – Business Continuity Plan), segundo Kim e Solomom (2013), é um plano para uma resposta estruturada a qualquer evento que resulte em uma interrupção de atividades ou funções críticas de uma empresa. Por exemplo, para se proteger da falta de energia elétrica a organização pode adquirir um UPS (conhecido como no-break) e um gerador à óleo diesel. Para se proteger contra incêndios pode instalar sistemas de detecção de fumaça e extinção por gás FM- 200. A AIN (Análise de Impacto de Negócios) identifica os recursos para os quais um PCN é necessário, de acordo com sua importância para o negócio. Por exemplo, um sistema crítico de produção industrial tem maior impacto caso fique sem funcionar do que os servidores de e-mail ou a página da intranet, logo será classificado como crítico e a demanda de recursos financeiros e de pessoal para sua recuperação poderão ser maiores. Dentro do SGCN podem ser estabelecidos planos específicos como Plano de Continuidade Operacional, Plano de Contingência, Plano de Administração de Crises e Plano de Recuperação de Desastres. O Plano de Recuperação de Desastres – PRD - orientará na recuperação das operações em caso de um desastre, um evento que afeta vários processos da organização por um período estendido de tempo. As etapas mais críticas de um PRD, segundo Kim e Solomon (2014) são: a) Garantir a segurança de todos em primeiro lugar; b) Responder ao desastre antes de perseguir a recuperação; c) Seguir o PRD, incluindo comunicação com todas as partes afetadas. A definição de como organizar o seu SGCN é da organização, dependendo dos ativos que visar proteger, do tipo de negócio, dos recursos financeiros disponíveis, da conformidade legal que precisa seguir, etc. A norma ISO 22313 apenas aponta em qual direção seguir.
  • 14. 9 12. Auditoria em Segurança da Informação A execução de auditorias periódicas é a única forma de se garantir que os processos definidos para a segurança da informação estão sendo realizados conforme definidos e estão surtindo o efeito esperado. Trecho de uma auditoria realizada no TRE-PE; “ 1.2. Objetivo da Auditoria. A auditoria objetivou verificar a adequação da geração, tratamento, divulgação, acesso e arquivamento das informações no âmbito da Justiça Eleitoral de Pernambuco, de forma a garantir sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade. 1.3. Questões de Auditoria. As questões de auditoria, idealizadas no curso do planejamento e orientadoras das atividades da equipe de auditoria, contempladas no Programa de Auditoria, encontram-se abaixo listadas: Q1 – Há divulgação da PSI, bem como ações para disseminar a cultura em segurança da informação no TRE/PE? Q2 – A direção apoia ativamente a segurança da informação dentro da organização? Q3 – Há classificação da informação em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização? Q4 – Há identificação, documentação e implementação de regras para que seja permitido o uso de informações e de ativos (de informação e de processamento) associados aos recursos de processamento da informação? Q5 – Há o estabelecimento de regras que previnam o acesso físico não autorizado, danos ou interferências com as instalações e as informações do TRE/PE? Q6 – Há processo de gestão que assegure a continuidade do negócio por todo o TRE/PE e que contemple os requisitos de segurança da informação? Q7 – Há processo de gestão de riscos e de incidentes de segurança da informação? Q8 – Há um plano de trabalho que detalhe ações concretas para implementação da PSI? “ As auditorias fazem parte do ciclo PDCA (plan, do, check, act) do Sistema de Gestão de Segurança da Informação. Após analisar os resultados das auditorias, a direção pode estabelecer novos objetivos de controles e determinar qual o motivo do não cumprimento de algum dos objetivos estabelecidos, além de buscar melhorias nos processos e controles. O ideal é que a própria política de segurança da informação preveja a realização periódica de auditorias. Auditorias também devem ser possíveis nos sistemas de informação, como servidores de bancos de dados, servidores de aplicação, firewalls, servidores de e-mail, etc. O ideal é que se construa um servidor de logs unificado, impedindo a alteração de logs dos ativos. Logs são registros automáticos de eventos em sistemas de informação que armazenam acessos de usuários, falhas de aplicações, início e parada de serviços, alterações de bancos de dados e arquivos ou qualquer evento para os quais tenham sido programados.
  • 15. 10 13. A Segurança da Informação no Serviço Público Assim como ocorre no setor privado, o setor público também deve seguir a várias recomendações de entidades externas para proteger seus ativos de informação. No âmbito do poder executivo foi criado a Instrução Normativa nº1 pelo Gabinete de Segurança Institucional, que contém várias outras Normas Complementares para auxiliar os gestores públicos na tarefa de planejar a segurança da informação em seus órgãos. No poder judiciário, a resolução CNJ 182/2013 determina que todos os tribunais federais não terceirizem a gestão da segurança da informação: “Art. 10. Não poderão ser objeto de contratação de Solução de Tecnologia da Informação e Comunicação: ... II – gestão de processos de Tecnologia da Informação e Comunicação, incluindo segurança da informação.” A resolução CNJ 211/2015 estabelece a Estratégia Nacional de Tecnologia de Informação e Comunicação do Poder Judiciário, visando critérios mínimos de infraestrutura e segurança para o ambiente tecnológico: “Art. 10. A estrutura organizacional, o quadro permanente de servidores, a gestão de ativos e os processos de gestão de trabalho da área de TIC de cada órgão, deverão estar adequados às melhores práticas preconizadas pelos padrões nacionais e internacionais para as atividades consideradas como estratégicas. ... § 2º Deverá ser estabelecido Plano de Continuidade de Serviços Essenciais de TIC, especialmente no que se refere aos serviços judiciais.” 14. A Lei de Acesso à Informação A lei federal 12.527/2011, conhecida como Lei de Acesso à Informação - LAI, regulamentada no Poder Executivo Federal pelo decreto 7.724/2012, visa permitir ao cidadão o acesso às informações e dados que são produzidos ou custodiados pelo poder público. A lei delimita a forma de se conseguir informações de forma passiva, ou seja, que os órgãos publiquem algumas informações em seus sites de Internet, como salários, licitações, contratos, execução orçamentária, mas também de forma ativa, permitindo ao cidadão solicitar diretamente a informação que deseja, relativo às atividades precípuas dos órgãos, mesmo sem ter que informar o motivo do pedido, devendo o poder público cumprir prazos determinados. No poder judiciário, a LAI é regulamentada pela resolução CNJ 215/2015. A utilização da LAI foi escolhida como fonte de informação para a realização deste trabalho porque os órgãos não podem, pelo menos em tese, negar-se a informar sobre suas atividades gerenciais e relatórios de auditorias. Caso as informações fossem obtidas através de outros meios, como pedidos pessoais informais, seria difícil utilizá-las sem que alguém pudesse questionar sua legalidade ou veracidade. Felizmente, a maioria dos órgãos pesquisados respondeu aos questionamentos. Alguns muito a contragosto, mas o objetivo foi conseguido. Até mesmo o fato de o órgão não responder ou dar respostas vazias é uma informação. Demonstra que a cidadania plena ainda não foi alcançada em nossa jovem democracia.
  • 16. 11 15. Levantamento de Dados Para este trabalho foram utilizadas referencias bibliográficas consagradas, normas técnicas ISO ABNT NBR e consultas feitas diretamente a alguns órgãos públicos sobre a forma como fazem o gerenciamento de segurança da informação. O objetivo não foi traçar um ranking ou mesmo conceder uma nota sobre o assunto, apenas tentar verificar se os órgãos têm atendido requisitos mínimos de segurança quando lidam com os dados que produzem, custodiam, transformam ou transmitem. Foi enviado o seguinte questionário, com pequenas variações dependendo do órgão público pesquisado: 1) Este órgão possui uma Política de Segurança da Informação (PSI) ou um Sistema de Gestão de Segurança da Informação (SGSI)? (Informar o número do ato normativo de criação) - Caso positivo: 2) Existe uma Comissão de Segurança da Informação? Quantos são os membros? Qual a periodicidade das reuniões? 3) Quantas auditorias de segurança da informação (internas ou externas) foram feitas nos últimos 2 anos? Enviar cópia (eletrônica / digitalizada) ou link de internet dos relatórios de auditoria. 4) Existem instruções normativas relativas a controles da Política de Segurança da Informação? Enviar cópia (eletrônica/ digitalizada) ou link de internet para as normativas. 5) Quantas ações de treinamento de segurança da informação para usuários foram realizadas nos últimos 2 anos (2014 e 2015)? Qual a quantidade estimada de horas de treinamento para usuários neste período? 6) Quantos usuários foram atingidos pelas ações de treinamento (informar número total de usuários e número de usuários treinados)? 7) Os documentos de controle e normativas são revisados periodicamente? 8) A alta direção está adequadamente comprometida com a Segurança da Informação, mobilizando recursos humanos e financeiros? 9) Os recursos alocados para segurança da informação têm sido suficientes para a implementação dos treinamentos e dos controles necessários? - Independente de existir uma Política de Segurança da Informação: 10) Existe um Plano de Continuidade de Negócios? Quantos testes são feitos ao ano para este plano? 11) Existe uma Política de Classificação da Informação? 12) Este órgão possui uma ETIR (Equipe Técnica de Resposta a Incidentes de Redes de Computadores)? Quantos incidentes de alto impacto a ETIR contabilizou nos anos de 2014 e 2015? 13) Existe uma Política de Gestão de Riscos em Segurança da Informação? Esta política é aplicada à contratações de soluções de TI? 14) Existe uma Política de Segurança Institucional (controle de acessos físicos, guarda de documentos, segurança de autoridades, etc)? 15) Este órgão considera que sua Segurança da Informação está em conformidade com a norma ABNT NBR ISO/IEC 27001:2013?
  • 17. 12 Foram pesquisados os seguintes órgãos: ALEP - Assembleia Legislativa do Paraná BACEN - Banco Central do Brasil CELEPAR - Companhia de Informática do Paraná CIASC - Companhia de Informática e Automação de Santa Catarina CNJ - Conselho Nacional de Justiça MP-PR - Ministério Público do Paraná PMC – Prefeitura Municipal de Curitiba (PR) TCE-PR - Tribunal de Contas do Estado do Paraná TCE-SC - Tribunal de Contas do Estado Santa Catarina TCU - Tribunal de Contas da União TJPR - Tribunal de Justiça do Paraná - TRE-BA – Tribunal Regional Eleitoral da Bahia TRE-CE – Tribunal Regional Eleitoral do Ceará TRE-DF - Tribunal Regional Eleitoral do Distrito Federal TRE-GO - Tribunal Regional Eleitoral de Goiás TRE-MG - Tribunal Regional Eleitoral de Minas Gerais TRE-PR - Tribunal Regional Eleitoral de Pernambuco TRE-RJ – Tribunal Regional Eleitoral do Rio de Janeiro TRE-RS - Tribunal Regional Eleitoral do Rio Grande do Sul TRE-SC - Tribunal Regional Eleitoral de Santa Catarina TRE-SP - Tribunal Regional Eleitoral de São Paulo TRF4 - Tribunal Regional Federal da 4ª Região (PR/SC/RS) TRT9 - Tribunal Regional do Trabalho 9ª Região (Paraná) TSE – Tribunal Superior Eleitoral 16. Resultados da Coleta de Dados Dos 24 órgãos pesquisados, todos responderam à solicitação, embora alguns tenham fornecido apenas uma resposta genérica, sem abordar o que foi pedido. Apenas a Companhia de Informática e Automação de Santa Catariana – CIASC – negou- se peremptoriamente a fornecer qualquer informação sobre o tema, alegando sigilo. A tabela a seguir foi montada de acordo com impressão pessoal, a partir dos levantamentos realizados e não propõe a ser um ranking ou uma avaliação definitiva sobre as atividades de segurança dos órgãos:
  • 18. 13 Fonte: Pesquisa de campo – 2016 Fig.3 – Avaliação de Segurança da Informação Fonte: Pesquisa de campo – 2016 ORG. PÚBLICA AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO ALEP POUCA ATENÇÃO AO TEMA BACEN SGSI COMPLETO E/OU EM FASE DE MELHORIAS CELEPAR SGSI COMPLETO E/OU EM FASE DE MELHORIAS CIASC NEGOU-SE A RESPONDER AS INFORMAÇÕES CNJ SGSI COMPLETO E/OU EM FASE DE MELHORIAS MP-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE PMC GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TCE-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TCE-SC POUCA ATENÇÃO AO TEMA TCU SGSI COMPLETO E/OU EM FASE DE MELHORIAS TJPR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TRE-BA GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TRE-CE GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TRE-DF SGSI COMPLETO E/OU EM FASE DE MELHORIAS TRE-GO GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TRE-MG GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TRE-PE SGSI COMPLETO E/OU EM FASE DE MELHORIAS TRE-RJ GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE TRE-RS SGSI COMPLETO E/OU EM FASE DE MELHORIAS TRE-SC SGSI COMPLETO E/OU EM FASE DE MELHORIAS TRE-SP SGSI COMPLETO E/OU EM FASE DE MELHORIAS TRE-TO SGSI COMPLETO E/OU EM FASE DE MELHORIAS TRF4 SGSI COMPLETO E/OU EM FASE DE MELHORIAS
  • 19. 14 17. O Atendimento à Lei de Acesso à Informação De acordo com a lei federal 12.527/2011: “... Art. 10. Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos e entidades referidos no art. 1 o desta Lei, por qualquer meio legítimo, devendo o pedido conter a identificação do requerente e a especificação da informação requerida. § 1 o Para o acesso a informações de interesse público, a identificação do requerente não pode conter exigências que inviabilizem a solicitação. § 2 o Os órgãos e entidades do poder público devem viabilizar alternativa de encaminhamento de pedidos de acesso por meio de seus sítios oficiais na internet. § 3 o São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público. Art. 11. O órgão ou entidade pública deverá autorizar ou conceder o acesso imediato à informação disponível. § 1 o Não sendo possível conceder o acesso imediato, na forma disposta no caput, o órgão ou entidade que receber o pedido deverá, em prazo não superior a 20 (vinte) dias: I - comunicar a data, local e modo para se realizar a consulta, efetuar a reprodução ou obter a certidão; II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido; ou III - comunicar que não possui a informação, indicar, se for do seu conhecimento, o órgão ou a entidade que a detém, ou, ainda, remeter o requerimento a esse órgão ou entidade, cientificando o interessado da remessa de seu pedido de informação. § 2 o O prazo referido no § 1 o poderá ser prorrogado por mais 10 (dez) dias, mediante justificativa expressa, da qual será cientificado o requerente. § 3 o Sem prejuízo da segurança e da proteção das informações e do cumprimento da legislação aplicável, o órgão ou entidade poderá oferecer meios para que o próprio requerente possa pesquisar a informação de que necessitar. § 4 o Quando não for autorizado o acesso por se tratar de informação total ou parcialmente sigilosa, o requerente deverá ser informado sobre a possibilidade de recurso, prazos e condições para sua interposição, devendo, ainda, ser-lhe indicada a autoridade competente para sua apreciação. ... “ Para apenas um dos órgãos pesquisados foi apresentado recurso à instância superior para conseguir a informação, no caso do MPE-PR. Em outros, que não apresentaram a informação solicitada de forma completa, não foi possível aguardar todos os trâmites burocráticos a tempo de se obter as informações para a conclusão deste trabalho. De qualquer forma, a aplicação da LAI apresentou-se satisfatória. Muitas vezes lemos reportagens acerca de problemas com obras públicas, de políticas públicas que não foram adequadamente implementadas e nos perguntamos como os jornalistas conseguem tais informações. Em tempos passados seria necessário ter acesso à fonte interna do órgão público. Hoje, qualquer cidadão pode ter acesso à informações classificadas como públicas em qualquer lugar do Brasil, bastando apenas um pouco de discernimento para proceder a pesquisa. Exercitar esse direito é garantir que nossos impostos estão sendo gastos de adequadamente. O gráfico a seguir mostra que 18 das 24 organizações pesquisadas cumpriram o prazo de 30 dias (20 + 10) definido na lei federal 12 527/2011.
  • 20. 15 Fig.4 - Cumprimento de Prazos da Lei de Acesso à Informação Fonte: Pesquisa de campo – 2016 18. A gestão da Segurança da Informação no serviço público O ponto básico para que um órgão possa dizer que tem real preocupação com a segurança da informação é o estabelecimento de uma PSI – Política de Segurança da Informação. Alguns órgãos não apresentaram esta estrutura, seja por falta de conhecimento técnico sobre o assunto, seja simplesmente porque não foram cobrados por isso. Já outros, apresentaram um Sistema de Gestão de Segurança da Informação bem completo, em estágio de maturação. O não estabelecimento de uma metodologia adequada faz com que se tenha uma gestão ad-hoc, o que deixará o processo sem a adequada orquestração, aumentando a vulnerabilidade dos ativos. Apenas quatro das organizações pesquisadas demonstraram não possuir nenhuma Política de Segurança da Informação implementada. Fig. 5 – Existência de PSI *Fonte: Pesquisa de campo - 2016
  • 21. 16 Além da Política de Segurança da Informação, a criação de uma Comissão de Segurança da Informação, uma Política de Classificação da Informação, composição de uma Equipe Técnica de Respostas a Incidentes de Redes de Computadores, criação de normas técnicas específicas para implementar os objetivos de controles previstos na norma ISO 27002, treinamento de usuários integrado aos objetivos da Política de Segurança da Informação, realização periódica de auditorias, criteriosa análise de riscos de segurança da informação, inclusive em novos projetos. A lista de a fazeres é grande, porém, também são grandes os riscos que permeiam as atividades diárias de produção, custódia e transmissão de informações nas entidades públicas e privadas. Seguir as recomendações previstas nas normas ISO 27000 permite à organização trilhar um caminho mais claro. Um caminho que vem sendo trilhado por organizações em todo o mundo. 19. A Importância das Auditorias A realização de auditorias, de forma rotineira, é a única garantia efetiva de que os processos previstos estão sendo realizados e de que os controles estabelecidos terão o resultado esperado. No contexto da boa execução de auditorias entre os órgãos pesquisados é possível destacar o TRE-PE, que já fez auditorias internas com escopo específico em Segurança da Informação. Destaca-se também o CNJ, que solicita a realização de auditorias em SI nos Tribunais de todo o país. O Banco Central do Brasil, instituição responsável pela fiscalização das instituições financeiras no país, não realizou nenhuma auditoria nesta área nos últimos dois anos. Algo inesperado, já que as instituições financeiras comerciais seguem planos de segurança da informação, riscos e continuidade de negócio conforme resoluções do próprio Banco Central e são auditadas periodicamente por consultorias externas. Fig.6 – Realização de Auditorias Fonte: Pesquisa de campo – 2016
  • 22. 17 Outro órgão importante, cujo escopo principal é fazer auditorias, o Tribunal de Contas da União, demonstrou que não faz auditorias em seu SGSI nem em seu PCN. Certamente corre riscos de toda a estrutura montada de segurança da informação e de continuidade de negócios que possui não ter o efeito desejado quando necessário. 20. A Segurança da Informação da Justiça Eleitoral Embora o escopo deste trabalho seja todo o serviço público, procurou-se dar mais ênfase à Justiça Eleitoral, cuja atuação tem sido objeto de questionamentos, principalmente em períodos pré e pós-eleitorais. Todos se perguntam sobre a segurança da urna eletrônica e do processo eleitoral, mas existe muito mais por trás de tudo isso. Não apenas aspectos de fraude na votação precisam ser lembrados, mas também o altíssimo custo que terá de ser pago caso uma eleição seja cancelada por problemas técnicos, a confidencialidade das informações do cadastro de eleitores e dos sistemas administrativos e judiciais que operam na rede da justiça eleitoral. O TSE respondeu de forma completa aos questionamentos enviados, conforme pode ser mais bem analisado no apêndice deste trabalho, onde se pode notar uma boa estrutura de Segurança da Informação, embora um tanto quanto dependente de serviços de terceiros, o que contradiz um pouco a Resolução CNJ 182/2011. Já os TRE’s pesquisados não possuem um padrão no gerenciamento de sua segurança da informação, mesmo estando sujeitos à política do TSE. A maioria dos tribunais respondeu a pesquisa dentro do prazo previsto na Lei de Acesso à Informação, com destaque para o TRE-BA, que o fez no dia seguinte à solicitação. Destaque também para o TRE-PR que realizou auditoria em segurança da informação e disponibilizou o documento para conhecimento. Denota-se que a maior parte da Justiça Eleitoral tem preocupações com o tema e atua para melhorar seus processos. A classificação abaixo é uma análise pessoal, sem todos os elementos necessários para um ranking, já que a metodologia de pesquisa utilizada não foi construída com este objetivo. Fig.7 – Tribunais Eleitorais Pesquisados Fonte: pesquisa de campo – 2016
  • 23. 18 21. Conclusões A utilização da Lei de Acesso à Informação mostrou-se eficaz para a pesquisa acadêmica no caso apresentado, sendo que todos os órgãos responderam à pesquisa, mesmo que alguns de forma genérica. Ainda falta maturidade de toda a sociedade, não apenas dos gestores públicos, para que a transparência do serviço público seja efetiva e natural. Como um dos objetivos específicos, o trabalho também apresentou as boas práticas consagradas de segurança da informação, como as normas da família ISO 27000 e as normas de Continuidade de Negócios. Estas normas foram estabelecidas para dar linhas gerais e auxiliar as organizações na tarefa de melhorarem sua segurança da informação e preconizam que cada entidade deve fazer suas análises e seus planos de acordo com seu ambiente organizacional e conformidade legal, por isso, este trabalho visou tão somente conhecer a realidade de alguns órgãos da administração pública sobre os temas abordados. A Justiça Eleitoral demonstrou que possui bastante preocupação quanto à segurança cibernética, embora apresente algumas omissões e falhas na gestão de processos e no treinamento de pessoal, o que deixa do tripé Tecnologia – Processos – Pessoas um tanto desproporcional. Também nota-se certa falta de integração entre os Tribunais Regionais e o TSE. Mesmo dentro dos próprios Tribunais Regionais existe pouca integração entre as áreas, deixando claro que as Comissões de Segurança da Informação, mesmo quando estabelecidas, têm dificuldades em cumprir efetivamente o seu papel. A realização de auditorias, elemento crucial para o gerenciamento da segurança da informação ainda parece incipiente na maioria dos Tribunais Regionais Eleitorais pesquisados. A falta de um Plano de Continuidade de Negócios para a maioria dos tribunais eleitorais pesquisados também parece ser um grave problema. A prefeitura de Curitiba, embora tenha respondido a solicitação no prazo, demonstrou que deixa a maior parte de sua segurança da informação a cargo de uma Organização Social com a qual tem contratos de tecnologia da informação, o ICI – Instituto Curitiba de Cidades. Este caso também parece bastante temerário, já que tal entidade não é controlada totalmente pelo município nem é auditada neste âmbito pelo município nem pelo Tribunal de Contas do Estado. O Banco Central do Brasil demonstrou que tem uma boa infraestrutura de segurança, mas não segue as mesmas regras às quais estão sujeitas as instituições financeiras que tem o dever de fiscalizar. A Assembleia Legislativa do Paraná – ALEP e o Tribunal de Contas do Estado de Santa Catarina – TCE-SC, aparentemente não tem preocupações adequadas com o tema pesquisado, ao menos foi o que se pode depreender das respostas encaminhadas. A CIASC – Companhia de Informática e Automação de Santa Catarina, empresa responsável pelo processamento de dados do Estado de Santa Catarina, infelizmente, teve entendimento de que não tem o dever de expor aspectos gerencias de segurança da informação, confundindo o tema com aspectos técnicos operacionais, um entendimento totalmente diferente dos demais órgãos. Devido ao tempo e a demora na devolução da resposta, não foi possível obter recurso administrativo neste caso. A CELEPAR – Companhia de Informática do Paraná, empresa responsável pelo processamento de dados do Estado do Paraná, apresentou uma boa infraestrutura tecnológica e demonstrou que está bastante preocupada com o tema. Algumas melhorias ainda podem ocorrer, como o aumentar o número de treinamentos e atingir uma quantidade maior de colaboradores.
  • 24. 19 O Conselho Nacional de Justiça - CNJ, mesmo com o SGSI ainda em fase de implementação e melhorias, demonstrou que está bastante atento ao tema, inclusive cobrando dos demais órgãos do Poder Judiciário que façam cada um sua parte. O Ministério Público do Paraná – MP-PR - não atendeu a solicitação no prazo, demonstrou que não tem um controle centralizado sobre o atendimento da Lei de Acesso à Informação e, somente atendeu de forma completa a solicitação após recurso apresentado junto ao Conselho Nacional do Ministério Público, CNMP. De qualquer forma, demonstrou que possui preocupações com o tema, mas ainda atua de forma incipiente. O Tribunal Regional do Trabalho 9ª Região e o TRF 4ª Região demonstraram que possuem boa organização e procuram seguir as recomendações do Conselho Nacional de Justiça. A Segurança da Informação e a Continuidade de Negócios do setor público interessam à sociedade, que precisa de bons serviços, os quais devem ser seguros e estar disponíveis quando necessário. A pesquisa demonstrou que, embora o serviço público tenha mais dificuldades em seguir as tendências tanto tecnológicas quanto gerenciais na área de segurança da informação, muitas organizações estão empenhadas em fazer um bom trabalho.
  • 25. 20 22. Referências Bibliográficas Kim, David ; Solomon, Michael . Fundamentos de Segurança da Informação. Rio de Janeiro: editora LTC, 2014. ABNT. Norma ISO ABNT NBR 27001: Sistemas de gestão da segurança da informação - Requisitos. Rio de Janeiro, 2013. ABNT. Norma ISO ABNT NBR 27002: Código de prática para controles de segurança da informação. Rio de Janeiro, 2013. ABNT. Norma ISO ABNT NBR 27005: Gestão de riscos em segurança da informação de segurança da informação. Rio de Janeiro, 2011. ABNT. Norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de negócios - Requisitos. Rio de Janeiro, 2013. ABNT. Norma ISO ABNT NBR 22313:2015: Sistemas de gestão de continuidade de negócios - Orientações. Rio de Janeiro, 2015. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm - Lei de Acesso à Informação – lei federal 12.527/2011 – acessado por último em 10/07/2016. http://dsic.planalto.gov.br/legislacaodsic/53 – Normas Complementares à IN Nº 01 GSI/PR/2008 - Segurança da Informação e Comunicações – acessado por último em 10/07/2016. http://www.cnj.jus.br/busca-atos-adm?documento=2496 – CNJ – Resolução Nº 182 de 17/10/2013 – acessado por último em 10/07/2016. http://www.cnj.jus.br/atos-normativos?documento=2227 – CNJ – Resolução Nº 211 de 16/12/2015 – acessado por último em 10/07/2016. http://www.cnj.jus.br/busca-atos-adm?documento=3062 – CNJ – Resolução Nº 215 de 16/12/2015 – acessado por último em 10/07/2016. http://www2.camara.leg.br/legin/fed/decret/2000/decreto-3505-13-junho-2000-368759- normaatualizada-pe.pdf - Decreto 3505/2000 – acessado por último em 10/07/2016. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/Decreto/D7724.htm – Decreto 7.724/2012- acessado por último em 10/07/2016. http://www.iso27001security.com/html/toolkit.html – Acessado por último em 12/07/2016.
  • 26. 21 23. Apêndice e Anexos Respostas aos questionários encaminhados pelos órgãos públicos. Documentos normativos dos órgãos públicos que foram citados no texto. Demais documentos estarão disponíveis em: https://goo.gl/vkNXik