UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIENCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA
INFORMAÇÃO
SILVANA CRISPIM LOUREIRO
SEGURANÇA DA INFORMAÇÃO
Preservação das Informações Estratégicas com
Foco em sua Segurança
Orientador: Prof. Dr. Jacir Bordim
Brasília, 14 janeiro de 2008
II
UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIENCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA
INFORMAÇÃO
SILVANA CRISPIM LOUREIRO
SEGURANÇA DA INFORMAÇÃO
Preservação das Informações Estratégicas com
Foco em sua Segurança
Monografia apresentada ao Departamento de Ciência da
Computação da Universidade de Brasília como parte dos requisitos
para obtenção do título de pós-graduada em Gestão da Segurança
da Informação e Comunicações.
Orientador: Prof. Dr. Jacir Bordim
Coordenador: Prof. Dr. Jorge H C Fernandes
Brasília, 14 janeiro de 2008
III
SEGURANÇA DA INFORMAÇÃO
Preservação das Informações Estratégicas com
Foco em sua Segurança
Silvana Crispim Loureiro
Monografia de Especialização submetida e aprovada pela Universidade de
Brasília como parte do requisito parcial para a obtenção do certificado de
Especialista em Ciência da Computação: Gestão da Segurança da Informação.
Aprovada em: 01 de dezembro de 2008
_________________________________________
Prof. Dr. Jacir Bordim
Universidade de Brasília
_________________________________________
Prof. Dr. Jorge H C Fernandes
Universidade de Brasília
_________________________________________
Prof. Dr. João Gondim
Universidade de Brasília
Coordenador do curso: Prof. Dr. Jorge H C Fernandes
Universidade de Brasília
IV
“ Determinação coragem e autoconfiança
são fatores decisivos para o sucesso.
Se estamos possuídos por uma inabalável
determinação conseguiremos superá-los.
Independentemente das circunstâncias,
devemos ser sempre humildes,
recatados e despidos de orgulho ”.
Dalai Lama
V
Dedico
Este trabalho ao meu marido e meus
filhos
que me incentivaram neste desafio.
VI
SUMÁRIO
1 INTRODUÇÃO ....................................................................................................... 10
1.1 Objetivos .........................................................................................................................11
1.1.1 Objetivo Geral ............................................................................................................................... 11
1.1.2 Objetivos Específicos .................................................................................................................... 11
1.2 Justificativa .................................................................................................................... 12
1.3 Metodologia ................................................................................................................... 12
1.4 Organização do Trabalho ............................................................................................... 13
2 MELHORES PRÁTICAS ASSOCIADAS À SI ....................................................... 14
2.1 O Que é Segurança da Informação e Comunicação ...................................................... 15
2.2 Metodologias em segurança da informação ................................................................... 17
2.3 Norma ABNT NBR ISO/IEC 27002 ................................................................................ 19
2.4 Norma ABNT NBR ISO/IEC 27001:2006........................................................................ 20
2.5 ITIL ................................................................................................................................ 21
2.6 COBIT........................................................................................................................... 24
2.6.1 Aplicabilidade do COBIT ............................................................................................................ 24
2.7 Comparando as Normas de Segurança ......................................................................... 25
2.8 A importância de realizar a Análise de Risco.................................................................. 26
3. GESTÃO DE ATIVOS EM UMA ORGANIZAÇÃO ................................................ 29
3.1 Responsabilidade Sobre os Ativos ................................................................................. 30
3.1.1 Inventário dos Ativos ..................................................................................................................... 30
3.1.2 Proprietário dos Ativos .................................................................................................................. 31
3.1.3 Uso Aceitável de Ativos ................................................................................................................. 32
3.2 Classificação da Informação .......................................................................................... 32
3.2.1 Contabilizando os ativos .............................................................................................................. 35
3.2.2 Classificando os ativos ................................................................................................................. 35
3.2.3 Classificação da informação quanto aos requisitos de segurança .............................................. 35
3.2.4 Classificação de Relevância dos Ativos ....................................................................................... 35
3.3 Rótulos e Tratamento da Informação ............................................................................ 35
3.4 Ciclo de Vida da Informação .......................................................................................... 36
4 INFORMAÇÃO E ESTRATÉGIA.......................................................................... 38
4.1 Definições e conceitos sobre Informações .................................................................... 39
VII
5. ASPECTOS LEGAIS, POLÍTICAS E PROCEDIMENTOS................................... 42
5.1 Legislação sobre Segurança da Informação e Comunicação ........................................ 42
5.2 Política Nacional de Segurança das Informações ......................................................... 42
5.3 Leis ............................................................................................................................... 43
5.4 Decretos ....................................................................................................................... 43
5.5 Normas ......................................................................................................................... 43
5.6 Política de segurança da informação, padrões e procedimentos .................................. 44
5.7 Decisões do Tribuna de Contas da União - TCU ........................................................... 44
5.8 Considerações sobre a Política Nacional de Segurança das Informações ..................... 46
6. GERENCIAMENTO DAS INFORMAÇÕES ESTRATÉGICAS.............................. 49
6.1 Níveis da informação e tipos de informações estratégicas ............................................. 50
6.2 Característica da Informação Estratégica ...................................................................... 52
7. IDENTIFICANDO AS INFORMAÇÕES ESTRATÉGICAS DA AGU ..................... 53
7.1 Situação Atual das Bases de Dados Estratégicas da AGU ............................................ 53
7.2 Levantamento dos Procedimentos de Segurança Existentes na AGU ........................... 54
8. CONSIDERAÇÕES FINAIS .................................................................................. 58
REFERÊNCIAS BIBLIOGRÁFICAS ......................................................................... 62
VIII
RESUMO
Este estudo tem como objetivo realizar uma revisão bibliográfica acerca da
Segurança da Informação, especialmente tratando da preservação das
informações estratégicas e contribuir para ressaltar sua importância para a
Advocacia-Geral da União - AGU. Na primeira parte do trabalho é apresentada
uma pesquisa bibliográfica para nivelamento dos conceitos relacionados à
informação, normas e melhores práticas existentes e aspectos legais,
ressaltando o valor da informação, como recurso estratégico para organização.
O foco do estudo será a Advocacia-Geral da União, que como outras
organizações da Administração Pública Federal (APF) necessitam de
informações seguras e confiáveis para tomada de decisão. Novos modelos
para tratar de segurança têm sido propostos, mas são sempre voltados para
parte tecnológica, esquecendo que a mudança de cultura, programas de
conscientização e o apoio da alta direção são fatores primordiais para alcançar
o sucesso.
Na conclusão, apresenta sugestões de medidas a serem tomadas para
aprimorar a Segurança da Informação, na Advocacia-Geral da União podendo
até servir para utilização em outras organizações que ainda não iniciaram
estudos para atender o Decreto Nº 3.595, que institui a Política de Segurança
nos órgão e entidades APF.
Palavras-chave: ABNT NBR ISO/IEC 27002 e 27001, Segurança da
Informação, Ativos, Classificação da Informação.
IX
ABSTRACT
This study aims to conduct a review of the Security of Information, particularly
the preservation of strategic information and also to help to emphasize its
importance for the organization. In the first part of the work will be presented
a literature search for to study the concepts related to information, standards
and best practices and legal aspects, emphasizing the value of information,
such as strategic resource for organization.
The focus of the study will be the Advocacia-Geral da União (General Counsel
of the State) and other organizations that the federal government needs to
secure and reliable information for decision-making. New models for dealing
with security have been proposed, but they are always focused on the
technological but they forget that the change of culture, awareness and support
programs for the high direction are key factors for achieving success.
In conclusion, offering suggestions for measures to be taken to implement the
models of Security of Information in Advocacia-Geral da União (General
Counsel of the State), and also it could even serve to use in other organizations
that have not begun studies to of the Decree No. 3595, that establishing the
Security Policy in APF and others entities.
Keywords: ABNT-NBR-ISO/IEC 27002 and 27001, Information Security,
Assets, Classification of Information.
1 INTRODUÇÃO
“Quem tem o conhecimento e sabe como
utilizá-lo em seu beneficio, tem o poder.”
POLLONI (2000)
Diante do avanço tecnológico imposto ao mundo moderno, as
organizações tiveram que se adequar, estabelecendo políticas e procedimentos
de segurança fundamentais para a gestão da segurança da informação e
comunicações. A segurança da informação evoluiu e não está apenas focada
na confidencialidade da informação como anteriormente. Atende também os
requisitos de assegurar disponibilidade, integridade, a autenticidade das
informações. Todas as organizações estão em busca de comunicações
seguras, dos sistemas seguros e de técnicas que permitam manipulação e
armazenamentos seguros das informações estratégicas.
A Advocacia-Geral da União - AGU foi criada pela Constituição de
1988, figurando como uma das funções essenciais à justiça. Tem como
objetivo assessorar o Presidente da República em assuntos de natureza
jurídica, além de representar judicialmente a União em atividades de
consultoria. Para executar suas atribuições com segurança a AGU precisa
conhecer suas informações para traçar estratégias jurídicas.
Neste cenário, a pergunta-problema a ser respondida é:
Com base na proteção das informações, o que ocorreria se a AGU
não tivesse o controle e acompanhamento das ações em que atua?
Este trabalho visa à realização da análise das informações estratégicas
existentes na Advocacia-Geral da União e, com base nas orientações
estabelecidas pela Norma ABNT NBR ISO/IEC 27002, demonstrar os
equívocos hoje existentes no armazenamento e tratamento destes dados.
Como resultado, será apresentado um modelo para o correto tratamento
dessas informações, tornando-as seguras, sem torná-las inacessíveis ou
ineficazes.
11
A importância deste estudo para Advocacia-Geral da União é garantir
que as informações estratégicas estejam protegidas e prontamente disponíveis
ao processo estratégico do negócio, permitindo garantir o planejamento nas
ações que sustentam as necessidades do negócio.
De acordo com Miranda (1998), a gestão da informação é fundamental
para o desenvolvimento das organizações e nesse contexto o Tribunal de
Contas da União – TCU, em suas auditorias com abordagem em segurança da
informação, em órgãos da Administração Pública Federal - APF, tem
determinado que se “inventarie os ativos de informação e estabeleça critérios
para a classificação desses ativos” (Acórdão nº. 1.092/2007 do TCU). As
auditorias realizadas pelo TCU objetivam avaliar se a gestão da segurança da
informação está sendo efetivamente implementada e executada de modo a
propiciar um ambiente seguro e disponível no qual as ameaças e
vulnerabilidades sejam conhecidas e controladas.
1.1 Objetivos
1.1.1 Objetivo Geral
Apresentar
uma
proposta
de
modelo
para
tratamento
das
informações estratégicas, em consonância com a norma ABNT NBR
ISO/IEC 27002.
1.1.2 Objetivos Específicos
Identificar as informações consideradas estratégicas para a AGU;
Levantar os procedimentos de segurança existentes na AGU com
relação ao trato de suas informações estratégicas;
Identificar os pontos em desacordo com a norma ABNT NBR
ISO/IEC 27002;
Apresentar novos procedimentos, seguindo as orientações da
norma ABNT NBR ISO/IEC 27002, de forma a diminuir ou
eliminar os problemas detectados.
12
1.2 Justificativa
A AGU, como as demais organizações da atualidade, está em busca
de
processos
seguros
confidencialidade
e
que
garantam
autenticidade
de
a
disponibilidade,
suas
informações
integridade,
estratégicas.
Atualmente o processo de segurança efetuado não adota um modelo
específico que possa ser avaliado e retroalimentado, ou seja, está no nível de
maturidade inicial efetuando esforços individuais e procedimentos informais.
Como órgão essencial ao desempenho da justiça, a AGU deve ter seus
procedimentos baseados em normas de segurança já consagradas e em
consonância com os demais órgãos do governo federal.
Deste modo, este trabalho se justifica no sentido de atender essa
necessidade seguindo as orientações das melhores práticas adotadas no
mercado de maneira a garantir que as informações estratégicas estejam
protegidas e prontamente disponíveis aos processos estratégicos do negócio
da AGU.
1.3 Metodologia
A metodologia utilizada para as análises desenvolvidas neste trabalho
baseou-se no método indutivo de análise qualitativa, classificando-a como
qualitativa e bibliográfica, apresentado por Marconi e Lakatos (2003) e teve por
meta a busca por meio desta, de elementos que subsidiassem de forma
qualitativa os pressupostos básicos e essenciais, a interpretação e reflexão do
problema objeto da pesquisa.
A pesquisa terá um caráter metodológico-descritivo, no qual os fatos
serão observados, analisados, registrados, classificados e por fim interpretados
de forma concisa e embasados em referências bibliográficas, com base em
métodos comparativos.
A pesquisa é também quantitativa, na medida em que apresenta um
estudo de caso, cujos dados a serem apresentados são oriundos de trabalhos
de campo e de medições realizadas em ambiente informatizado da AdvocaciaGeral da União.
13
1.4 Organização do Trabalho
Este trabalho está organizado em capítulos. No segundo capítulo são
tratados os principais conceitos relacionados à segurança da informação e às
normas e padrões que facilitam o seu entendimento.
O objeto do terceiro capítulo é a gestão de ativos, ou seja, a
informação com capacidade de adicionar valor a processos, produtos e
serviços e as metodologia de classificação dos ativos.
O quarto capítulo trata do relacionamento entre ativos, informação e
estratégia,
enfatizando
a
importância
da
gestão
da
informação
nas
organizações da Administração Pública Federal com o propósito de apresentar
a gestão de informação dentro de um referencial estratégico sendo um fator de
crescimento e sustentabilidade das organizações.
O quinto capítulo faz uma breve apresentação sobre os aspectos
legais, políticas, leis, decretos sobre a segurança da informação.
O sexto capítulo apresenta estudo de levantamento das informações
estratégicas.
O sétimo capítulo apresenta o estágio atual da segurança da
informação na AGU.
O último capítulo apresenta a conclusão do trabalho com o foco na
gestão estratégica da informação na Advocacia-Geral da União.
14
2 MELHORES PRÁTICAS ASSOCIADAS À SI
“ A expressão “segurança da informação” é
normalmente usada para referenciar a
proteção de informações mantidas em
componentes de TI contra as ameaças que
estão expostas “.
Adriana Beal
A informação é um dos principais ativos da organização e como tal
deve ser preservada em um ambiente seguro. Aplicar a Segurança da
Informação não é mais um modismo, hoje se refere a uma necessidade
estabelecida por normas e padrões técnicos. Para Ferreira (2003) à
implantação de um conjunto de boas práticas em segurança da informação
minimiza as chances de ocorrem problemas de segurança e facilita a
administração das redes e dos recursos de forma segura. Entre os órgãos da
APF podemos citar a Receita Federal e o SERPRO como instituições que tem
adotado os controles recomendados para segurança da informação e possuem
programas de conscientização dos usuários.
Nas auditorias realizadas pelo Tribunal de Contas da União, o tribunal
recomenda a conformidade e o desempenho dessas ações com bases na
norma ABNT NBR ISO/IEC 27002. De acordo com o Manual de Boas Práticas
do TCU (2003) “O objetivo dessas fiscalizações é contribuir para o
aperfeiçoamento da gestão pública, para que a Tecnologia da Informação
agregue valor ao negócio da Administração Pública Federal em beneficio da
sociedade”.
Neste contexto, segundo resenha da empresa Logike Associados,
TEECE (1998) considera a informação como um ativo capaz de ter fluidez
semelhante à de bens acabados, bens intermediários e outros bens e no caso
da informação elas circulam sem a proteção devida.
15
2.1 O Que é Segurança da Informação e Comunicação
A Instrução Normativa nº. 1 do Gabinete de Segurança Institucional da
Presidência da República, na qualidade de Secretaria Executiva do Conselho
de Defesa Nacional conceitua Segurança da Informação e Comunicações
como “ações que objetivam viabilizar e assegurar a disponibilidade, a
integridade, a confidencialidade e a autenticidade das informações” e
considera:
“as informações tratadas no âmbito da Administração Pública
Federal, direta e indireta, como ativos valiosos para a eficiente
prestação dos serviços públicos; o interesse do cidadão como
beneficiário dos serviços prestados pelos órgãos e entidades da
Administração Pública Federal, direta e indireta; o dever do Estado de
proteção das informações pessoais dos cidadãos; a necessidade de
incrementar a segurança das redes e bancos de dados
governamentais; e a necessidade de orientar a condução de políticas
de segurança da informação e comunicações já existentes ou a
serem implementadas pelos órgãos e entidades da Administração
Pública Federal, direta e indireta.”
Para a Norma ABNT NBR ISO/IEC 27002 no item 01. Introdução
apresenta a seguinte definição para o assunto:
“A informação é um ativo que, como qualquer outro ativo importante,
é essencial para os negócios de uma organização e
conseqüentemente necessita ser adequadamente protegida. Isto é
especialmente importante no ambiente dos negócios, cada vez mais
interconectado. Como um resultado deste incrível aumento da
interconectvidade, a informação está agora exposta a um crescente
número e a uma grande variedade de ameaças e vulnerabilidades
(ver OECD Diretrizes para a Segurança de Sistemas de Informações
e Redes).”
A informação pode existir em diversas formas. Ela pode ser impressa
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou
por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja
qual for a forma apresentada ou o meio através do qual a informação é
compartilhada ou armazenada, é recomendado que ela seja sempre protegida
adequadamente.
Segurança da informação é a proteção da informação de vários tipos
de ameaças para garantir a continuidade do negócio, minimizar o risco ao
16
negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio. (ABNT NBR ISO/IEC 27002).
A segurança da informação é obtida a partir da implementação de um
conjunto
de
controles
adequados,
incluindo
políticas,
processos,
procedimentos, estruturas organizacionais e funções de software e hardware.
Estes
controles
precisam
ser
estabelecidos,
implementados,
monitorados, analisados criticamente e melhorados, onde necessário, para
garantir que os objetivos do negócio e de segurança da organização sejam
atendidos. “Convém que isto seja feito em conjunto com outros processos de
gestão do negócio, ABNT NBR 27002.”
O Decreto 3.505, de 13 de junho de 2000, que institui a Política de
Segurança da Informação nos órgãos e nas entidades da Administração
Pública Federal no seu artigo 2º faz a seguinte conceituação no item II:
“II - Segurança da Informação: proteção dos sistemas de informação
contra a negação de serviço a usuários autorizados, assim como
contra a intrusão, e a modificação desautorizada de dados ou
informações, armazenados, em processamento ou em trânsito,
abrangendo, inclusive, a segurança dos recursos humanos, da
documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a
prevenir, detectar, deter e documentar eventuais ameaça a seu
desenvolvimento.”
Peltier (2004, p.3) diz que além dos conceitos acima, a segurança deve
ser parte de um programa de segurança, onde política, padrões e
procedimentos são elementos chaves para garantir níveis apropriados de
controle que garantam esse recurso, observando que uma política de
segurança não se restringe a tecnologia da informação ou procedimentos de
auditoria, deve ser objeto de todas as políticas da organização.
Segundo Dias (2000), segurança é proteger as informações, sistemas,
recursos e serviços contra erros, manipulação não autorizada e desastres
visando à redução do impacto e diminuir a probabilidade de incidentes de
segurança.
17
Podemos então, concluir com Ferreira (2003), que a segurança da
informação protege a informação dos diversos tipos de ameaças, garantindo a
continuidade dos negócios, minimizando os danos e maximizando o retorno
dos investimentos.
2.2 Metodologias em segurança da informação
As normas surgiram da preocupação com a segurança desde a criação
e utilização dos primeiros computadores. Segundo Longo (2006) em seu artigo
sobre o histórico e evolução das normas de segurança, o marco da primeira
tentativa de criar regras para proteção dos dados foi em 1967, nos Estados
Unidos. Para esta atividade foi estabelecida uma "força tarefa", que deu origem
ao documento "Security Control for Computer System: Report of Defense
Science Board Task Force on computer Security”, editado por W. H. Ware. Este
documento originou a criação de um conjunto de regras para segurança de
computadores.
Em 1972, J. P. Anderson produziu um modelo de relatório técnico que
apresenta sua preocupação com os processos que envolvem a segurança dos
dados em computadores. Este modelo juntamente com os modelos elaborados
por D.E. Bell e por L. J. La Padula originou o modelo "Doctrine", que serviu de
base para vários estudos com objetivos de estabelecer melhores práticas na
segurança dos dados (Longo, 2006).
Em 1985 foi publicada a primeira versão de um manual de segurança,
para tratar da questão da Segurança de Dados, chamado de "DoD Computer
Security Initiative". Para chegar a este modelo final foi necessário criar regras e
estabelecer processos e procedimentos para validação. Estas regras são
também conhecidas como de "The Orange Book", devido à cor laranja da capa
deste manual de segurança. Este foi o início da criação de padrões de
segurança. A partir dele foram criados outros padrões utilizando a mesma
filosofia e métodos proprietários (Longo, 2006).
18
Com objetivo de chegar a um padrão que atendesse várias
necessidades do mercado, novos estudos foram realizados até concluir uma
norma com a visão mais ampla da segurança, ou seja, de toda ou qualquer
forma de informação. Desse estudo nasceu a norma ISO/IEC 17799 (Longo,
2006).
De acordo com a empresa PITZ 2008, “uma norma é uma regra
reconhecida legalmente por todos e concluída, com validade geral, bem como
publicada através de um processo de normalização para solução de uma
realidade”.
Para Ferreira (2003), esta necessidade em busca de padrões deve-se
às áreas de TI tentar encontrar um modelo de segurança que atenda suas
necessidades e a dificuldade de manter o controle desse modelo em suas
áreas, uma vez que as evoluções tecnológicas criam necessidades constantes.
As organizações estão expostas à quebra dos princípios básicos de
segurança a todo instante. Os pontos básicos a serem tratados são a cultura
de segurança da informação e o foco do negócio, Siewert (2007). A colocação
de Albuquerque (2006) é de que a tecnologia disponível para garantir a
segurança da informação não será eficaz se o foco for somente a tecnologia ao
invés dos objetivos estratégicos do negócio das organizações.
Segundo uma pesquisa da Ernst&Young, o principal motivo pelo qual
uma empresa investe em segurança é a obrigação no cumprimento de normas
e regulamentações (CAUBIT, 2006).
As organizações devem alinhar suas ações com as melhores práticas
para proteção e controle da informação. Os padrões de mercado mais aceitos
pelas áreas do governo e empresas, segundo pesquisa da INFOSEC
COUCIL(2006), são a norma ABNT NBR ISO/IEC 27002, COBIT e o ITIL,
sendo que cada uma dessas práticas possui abordagem e escopo diferentes,
como podemos verificar a seguir.
19
2.3 Norma ABNT NBR ISO/IEC 27002
No entendimento de Asciutti (2006), a norma ABNT NBR ISO/IEC
27002 é um manual de boas práticas de gestão de segurança da informação
que tem como objetivo identificar os riscos e implantar medidas que de forma
efetiva torne estes riscos gerenciáveis e minimizados. Ele conclui que a sua
importância pode ser verificada pelo grande número de pessoas e ameaças a
quem a informação é exposta na rede de computadores. O nome completo da
norma é Técnicas de segurança - Código de prática para a gestão da
segurança da informação e o seu conteúdo técnico é idêntico ao da ABNT NBR
ISO/IEC 17799.
A proteção ocorre a partir da implementação de uma série de controles
como, por exemplo, a política de segurança, a classificação e controle dos
ativos de informação, segurança física do ambiente, entre outros. A
implantação desses controles não garante que a organização esteja 100%
segura. O que se procura é reduzir os riscos a um nível aceitável pela
organização.
Com o foco na gestão de informações estratégicas a implantação
desse padrão de segurança da informação, baseado em controles, contempla
os seguintes aspectos de qualidade da informação, segundo Ferreira (2003):
Confidencialidade: apenas pessoas autorizadas podem acessar
as informações;
Integridade: garantia que dados e sistemas estão corretos;
Disponibilidade: usuários autorizados devem ter acesso às
informações necessárias;
Confiabilidade: a imagem da instituição deve ser protegida.
20
Esta norma apresenta orientações efetivas para o processo de
segurança da informação na organização elencando os principais elementos
desse processo devem ser desenvolvidos e implantados.
O mais importante do que buscar a conformidade total com esta norma
é conhecer a lista de recomendações e extrair o que puder ser útil para a
organização.
2.4 Norma ABNT NBR ISO/IEC 27001:2006
A norma ABNT NBR ISO/IEC 27001:2006 é uma norma que possibilita
às organizações a implementação de um Sistema de Gestão da Segurança da
Informação (SGSI), através do estabelecimento de uma política de segurança,
controles e gerenciamento de riscos. Inclui o ciclo PDCA (Plan-Do-Check-Act
ou Planejar-Executar-Verificar-Agir) de melhorias e apresenta uma visão por
processos. Segundo a Fundação Vanzolini (2008), o PDCA é um método de
gestão que se caracteriza por um ciclo de ações que se repete continuamente
de forma a incorporar alterações no ambiente.
Seu emprego garante uma
efetiva gestão da empresa.
Esta norma é bastante utilizada como referência em auditorias e serve
como instrução normativa para toda administração pública. Seu objetivo
fundamental é proteger as informações das organizações para que não caiam
em mãos erradas ou se percam para sempre. A norma ABNT NBR ISO/IEC
27001 esta dividida em 11 capítulos principais renomeados e reorganizados
conforme segue:
1. Políticas de Segurança;
2. Organizando a Segurança da Informação;
3. Gerenciamento de ativos;
4. Segurança dos Recursos Humanos;
5. Segurança Física e Ambiental;
6. Gerenciamento das Comunicações e Operações;
21
7. Controle de Acessos;
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informação;
9. Gerenciamento de Incidentes na Segurança da Informação;
10. Gerenciamento da Continuidade do Negócio;
11. Conformidade.
Nesta norma o conceito de ativos foi ampliado para incluir pessoas e
imagem/reputação da organização, além dos ativos de softwares, ativos físicos
e serviços já existentes na versão de 2000.
2.5 ITIL
No entendimento de Beal (2008), o ITIL (Information Technology
Infrastructure Library) é um conjunto de documentos para registrar melhores
práticas para a gestão de serviços de TI, desenvolvidos pelo governo do Reino
Unido no final dos anos 80. Dita as regras de qualidade e eficiência nas
organizações. O processo de melhor prática promovido no ITIL é apoiado pelo
padrão da Instituição Britânica de padrões para o serviço de gerenciamento IT
(BS15000).
O ITIL tem a função de endereçar estruturas de processos para a
gestão de uma organização de Tecnologia da Informação – TI, apresentando
um conjunto bastante genérico de processos e procedimentos gerenciais,
organizados em disciplinas. Por meio deles uma organização esta capacitada
a realizar a gestão tática e operacional objetivando alcançar o alinhamento
estratégico com os negócios.
As melhores práticas da ITIL têm como objetivos:
Servir de inspiração para melhorar seus processos de TI;
Sugerir onde é possível chegar, com base no resultado positivo que
outras empresas já conseguiram resultados;
22
Sugerir para que sirvam os processos e práticas;
Sugerir por que adotar os processos e práticas.
Segundo INFOSEC COUCIL(2006), na gestão de segurança da
informação, o ITIL possui um processo específico para a segurança da
informação, enfatizando a importância do adequado gerenciamento de
segurança e considerando os acordos de nível de serviços - SLA´s, entre os
processos de negócio e os de TI. O ITIL recomenda ainda que o
gerenciamento de segurança faça parte do trabalho de cada gerente, em todos
os níveis, e recomenda firmemente alguns procedimentos que visam à
evolução da organização:
Publicar um catálogo de serviços com um descritivo dos seus
serviços, com as condições que atendem a cada requisito do
negócio;
Estabelecer com cada cliente interno um SLA – acordo de nível
de serviço;
Estabelecer com os provedores de serviços os SLA, inclusive
com as penalidades legais;
Levantar os bancos de dados existentes e detalhar os ativos,
inclusive valorando a informação;
Criar service desk como ponto central e focal de contatos de
todos os usuários da área de TI. O objetivo é conhecer todos os
incidentes com foco na continuidade de serviços e manter o SLA
com os clientes;
Implementar
gestão
de
problemas,
área
em
que
são
identificados e estudados os incidentes, determinando suas
causas e as medidas para evitá-los. Nesta abordagem é
possível identificar onde a segurança está falhando;
23
Implementar gestão de mudanças, que coordenará todas as
mudanças da área de TI baseando-se na documentação dos
incidentes;
Criar comitê de mudanças, que avaliará e autorizará as
mudanças necessárias. É composto por representantes de todas
as áreas de TI e vai ser o facilitador da introdução de novas
medidas de segurança;
Estabelecer a gestão de liberdade, com objetivo de controlar a
implantação e distribuição de novas versões de softwares.
A ITIL não é uma metodologia, pois as melhores práticas são flexíveis
podendo adaptar aos processos da organização, já uma metodologia possui
uma implementação mais rígida, com regras bem definidas.
No ITIL tudo pode depende da maneira que você visualiza o padrão.
Entre os principais objetivos da adoção da melhores práticas da ITIL
podemos destacamos:
Alinhar os Serviços de TI com as necessidades atuais e futuras do
negócio e seus clientes;
Melhorar a qualidade dos serviços de TI;
Reduzir custos na provisão de serviços.
A revista Computer World (2007) apresentou estudo onde conclui que
as empresas com uma cultura de melhores práticas adotam o ITIL mais
rapidamente, fazendo-o de forma extensiva. Além disso, este ajuda a gerar
negócio para as companhias e a melhorar a produtividade. Contudo, o estudo
revelou, também, que fora da organização de TI, o ITIL é um conceito
desconhecido
24
2.6 COBIT
De acordo com OLIVEIRA, MARTINS, SEGATE (2005) o COBIT
(Control Objectives for Information and related Technology) é um conjunto de
diretrizes para gestão e auditoria de processos, práticas e controles de TI. Seu
principal objetivo é auxiliar a organização equilibrando risco x retorno em
investimentos de TI. Oferece um modelo de maturidade para controle e
processos de TI que abrange práticas em quatro domínios: Planejamento e
organização, aquisição e implementação, entrega e suporte e monitoração.
Possui mais de 300 pontos de controle para 34 processos, sendo um deles o
de segurança da informação.
Em termos de informação, o COBIT define os seguintes critérios:
Eficácia,
Eficiência,
Confidencialidade,
Integridade,
Disponibilidade,
Conformidade, Confiabilidade. A combinação desses elementos depende da
natureza do processo de TI. Vale ressaltar que o COBIT é um modelo
amplamente reconhecido e utilizado, no Brasil e no mundo, no âmbito da
tecnologia da informação, tanto por gerentes de informática como por auditores
de TI.
2.6.1 Aplicabilidade do COBIT
De acordo com os diferentes autores, o COBIT pode ser aplicado em
diferentes projetos e processos internos, abaixo seguem alguns exemplos:
Conformidade com leis e regulamentações. O COBIT permite definir,
por meios dos seus modelos, um programa de implementação do
sistema de controles internos, ao menos nas questões dependentes
de TI.
Projetos de auditoria externa, a automação desse processo permite
uma boa escabilidade em grandes empresas. O Check-up Tool,
ferramenta de análise de riscos, possibilita avaliar os controles
existentes de segurança da informação com base na ABNT NBR
25
ISO/IEC 27002, associando-os aos respectivos processos do
COBIT.
Projetos de Terceirização de Serviços, que exijam, por exemplo,
uma avaliação do nível real de maturidade dos processos
associados à manutenção da TI.
O COBIT não prevê um processo de certificação de suas práticas, mas
admite avaliação destas por meio de relatórios de auditória.
2.7 Comparando as Normas de Segurança
Todas as normas apresentadas têm seu diferencial e sua importância
na segurança das informações estratégicas. A norma ABNT ISO/IEC 27002
propõe a implantação de controle para garantir a segurança da informação
enfatizando o que deve ser feito sem preocupar com os processos ou
tecnologias para atingir este objetivo. Para atingir o objetivo deve ser utilizada
em conjunto com outras normas, como a ABNT ISO/IEC 27001.
A norma ABNT NBR ISO/IEC 27001 especifica como implantar os
controles da norma ABNT NBR ISO/IEC 27002 e para isso propõe um modelo
de gestão SGSI.
O ITIL sugere a implantação de melhores práticas para a gestão de TI
com o foco no negócio da empresa, garantindo a entrega dos serviços em um
custo adequado para organização.
E finalmente o COBIT que permite o acompanhamento e a comparação
das práticas de controles e segurança de TI além de assegurar aos usuários a
existência de controles. Suas diretrizes são bastante utilizadas no trabalho de
auditoria realizado pelo TCU e por outras empresas. Por ser orientado ao
negócio é capaz de fornecer informações detalhada para gerenciar processos
baseados em objetivos de negócios. A tabela 1 apresenta uma comparação
entre as normas de segurança da informação apresentadas capítulo:
26
Tabela 1 – Comparativo entre normas de segurança da informação
Norma
ABNT NBR-ISO/IEC
27002
ABNT NBR-ISO/IEC
27001
ITIL
COBIT
Aspectos Positivos
Tem o controle de segurança.
Implementa um sistema
de gestão da segurança
Processos de operação (o
que deve ser feito).
Possui métricas, controles
e processos.
Observações
Os controles são recomendações. Não é
possível obter certificação
Os itens são obrigatórios. É possível obter a
certificação.
Foco no negócio, gestão de serviços de TI.
Deve ser utilizado juntamente com COBIT
Utilizar juntamente com ITIL.
2.8 A importância de realizar a Análise de Risco
A análise de risco é uma tendência atual das organizações
preocupadas em saber qual o seu grau de exposição frente às ameaças
capazes de comprometer a segurança do seu negócio.
Brasiliano (2008) define risco como “a condição que aumenta ou
diminui o potencial de perdas, ou seja, o risco é a condição existente”. Nestas
condições o risco é uma possibilidade do acontecimento ocorrer.
Este
acontecimento deve ser incerto não pode existir certeza que vai ocorrer, deve
ser furtivo ou acidental e ter a característica negativa com o sentido de uma
perda.
O objetivo da análise de risco é identificar e classificar todos os riscos
inerentes à atividade da organização, no que diz respeito a seus ativos de
informação. Sendo mais abrangente que uma análise de vulnerabilidade a
analise de risco busca por todas as possibilidades de exploração de
vulnerabilidades lógicas e físicas.
Para analisar risco é necessário estudar os principais processos do
negócio, avaliar as vulnerabilidades e classificar o risco destes processos.
A análise de risco se divide em cinco partes de igual importância e
deve ser implantada na totalidade, pois cada etapa isolada representa pouco e
juntas estão alinhadas e apontam caminhos seguros em busca de um nível
27
adequado de segurança para uma organização (RAMOS, 2006). Segundo o
mesmo autor, as cinco etapas são:
Identificação e Classificação dos Processos de Negócio
Identificação e Classificação dos Ativos
Análise de Ameaças e Danos
Análise de Vulnerabilidades
Análise de Risco
O resultado da análise de risco é um documento que indica para alta
administração que todos os cuidados foram tomados, para que o negócio da
organização transcorra em segurança. Deve ser elaborada a relação dos ativos
e indicado o seu valor e quais controles devem ser implementados
estabelecendo os prazos.
Ramos (2006) recomenda utilizar como referência as melhores práticas
de segurança da informação do mercado, apontada na norma ABNT NBR
ISO/IEC 27002. A partir das informações levantadas faz a elaboração do perfil
de risco, utilizando a fórmula:
Ameaça x Vulnerabilidade x Valor do Ativo = RISCO
Os produtos gerados da analise de risco são a planilha de identificação
e classificação dos ativos, relatório executivo de riscos e um relatório técnico
que lista as vulnerabilidades classificadas por grau de risco, descrição para
correção e outras informações relacionadas.
Para que seja implantada com eficácia a análise de risco necessita do
apoio da alta direção da empresa, pois envolve alteração dos valores culturais
existentes.
Uma organização que possui a análise de risco efetivamente
implantada e retro-alimentada agrega “solidez” à informação corporativa.
28
Benefícios de uma análise de risco segundo a empresa AXUR (2008)
são:
Maior capacidade de controle, a partir do conhecimento das
principais ameaças e vulnerabilidades ao ambiente de negócio;
Compreensão de riscos de tecnologia, riscos administrativos e
riscos físicos de comprometimento da Segurança da Informação;
Maior
capacidade
de
otimização
de
investimentos
em
Segurança da Informação;
Gestão de Riscos em conformidade com as principais normas
do mercado, em especial a ISO 27001;
Sistematização do processo através de ferramenta de apoio
para gestão de riscos;
É importante entender que análise de risco é diferente de análise de
vulnerabilidade. A análise de risco garante que uma organização tomou os
cuidados necessários para que seus planos se concretizem. Quando a análise
de risco é instituída formalmente é gerado um documento identificando quais
controles devem ser implementados e em que tempo, uma avaliação do valor
da informação e a que custo ela vai ser protegida.
Uma análise de risco deve ser feita antes de uma organização iniciar
um projeto ou novo processo de negócio. A equipe a ser envolvida deve ser de
técnicos especialistas em análise de riscos e no negócio da organização.
Verificando artigo da Expresso Digital (2007), de que é alto o número
de incidentes de segurança que ocorrem nas redes de órgãos da administração
pública, sendo que no primeiro quadrimestre de 2007 mais de 1,1 milhão foram
detectados. Podemos entender que fazer uma gestão do risco na AGU vai
permitir identificar e implementar medidas de proteção necessárias para
diminuir os riscos a que as organizações públicas estão expostas (Diretoria de
Segurança da Informação e Comunicação – DSIC).
29
3. GESTÃO DE ATIVOS EM UMA ORGANIZAÇÃO
A Segurança de Informação objetiva garantir requisitos mínimos e
essenciais para preservar o negócio da organização, atender os requisitos
legais e principalmente resguardar a imagem da organização.
Para ICP Brasil (Infra-estrutura de Chaves Públicas Brasileira), “ativo
de informação é o patrimônio composto por todos os dados e informações
geradas e manipuladas durante a execução dos sistemas e processos de uma
organização”. É tudo que a organização possui envolvido nos seus processos e
que é de extrema importância para seu negócio.
Os ativos da organização envolvem as pessoas, a informação e a
tecnologia empregadas em cada processo. A proteção dos ativos deve ser
implantada em todas as áreas da organização, pois a informação é encontrada
em diversos meios como: em uma mesa de trabalho, em papéis sobre a mesa,
no lixo descartado, armazenado eletronicamente nas estações de trabalho e
nos servidores, no e-mail, e em diversos outros locais.
A organização deve observar o tipo de informação que as pessoas
tratam para poder estabelecer o nível de segurança necessária. A proteção dos
ativos é o objetivo da segurança da informação que leva em conta os objetivos
fundamentais listados abaixo como princípios básicos da segurança da
informação:
Confidencialidade: Garantia de que o acesso à informação seja
obtido somente por pessoas autorizadas.
Integridade: Salvaguarda da exatidão e completeza da informação
e dos métodos de processamento de forma que as alterações
sejam planejadas e autorizadas.
Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que
necessário.
30
Autenticidade: Garantir a veracidade do emissor, sendo genuíno e
que possa ser verificado quanto à sua confiança.
Recentemente outros dois objetivos têm sido bastante discutidos:
Não Repúdio: Garantir a autoria de determinadas ações impedindo
o repúdio (negação) da mesma.
Conformidade: Garantir que as medidas legais cabíveis são
aplicadas quando necessárias.
A figura 1 apresenta o modelo dos objetivos da segurança da
informação.
Figura 1 – Objetivos da Segurança da Informação
Fonte: adaptado da apostila do curso de GESIC 2008 – prof. Gilberto
3.1 Responsabilidade Sobre os Ativos
Segundo a ABNT NBR ISO/IEC 27001:2006 (p. 16) o objetivo de
identificar os responsáveis pelos ativos é “alcançar e manter a proteção
adequada dos ativos da organização”.
3.1.1 Inventário dos Ativos
O inventário dos ativos, conforme acórdão do TCU é a classificação do
nível de confidencialidade de cada ativo e a definição de procedimentos para
garantir a segurança nas diversas mídias nas quais a informação é
31
armazenada ou pelas quais é transmitida, como o papel, as fitas magnéticas e
as redes locais e externas.
Segundo Ramos (2007), o primeiro passo para iniciar um inventário é
identificar os ativos da organização com o objetivo de identificar as classes de
ativos (categorias) e dessa forma estruturar melhor a organização dos ativos,
no contexto da gestão do risco.
As normas, em sua maioria, fazem referência a seis grandes grupos de
ativos, que são:
Ativos de Informação: informação digital e em papel;
Ativos de Software: sistemas, aplicações, ferramentas;
Ativos Físicos: dispositivos de processamento, armazenamento,
ambientes;
Serviços: serviços de computação, serviço de transporte de dados
(aluguel de link), serviço de fornecimento de energia elétrica;
Pessoas: funcionários, terceiros, estagiários;
Ativos Intangíveis: imagem da empresa, reputação, credibilidade,
vantagem estratégica.
Com estas seis categorias é possível classificar qualquer ativo
(RAMOS, 2007).
A função de ter um inventário de ativos é identificar aquilo que é
importante, mais relevante, o foco do negócio da organização. Nesta etapa é
importante não confundir a necessidade de identificar e classificar ativos
relevantes e elaborar listas extensas de ativos de hardware e software.
É
investir tempo em análise e proteção daquilo que de fato faz diferença para o
negócio.
3.1.2 Proprietário dos Ativos
32
Para que os ativos sejam protegidos, é necessário identificar o
proprietário. O proprietário pode ser uma pessoa ou entidade autorizada a
controlar o uso e a segurança dos ativos, tornando-se o responsável pelos
mesmos. Ele vai classificar e valorar a informação de acordo com o que ela
representa para a organização.
3.1.3 Uso Aceitável de Ativos
Além de proprietário, os ativos da organização possuem usuários. É
importante que sejam criadas regras que irão compor a política da empresa
quanto a permissões de uso das informações e de ativos associados aos
recursos de processamento das informações. Cada usuário deve conhecer e
cumprir essa política para uso dos recursos, a fim de não comprometer a
empresa e ao próprio usuário. Exemplos de ativos que necessitam de cuidados
especiais quanto ao seu uso são: Internet, Correio eletrônico, Estações de
trabalho (a estação de trabalho do usuário, assim como sua mesa ou cadeira
pertence exclusivamente à empresa e deve ser tratado como um recurso
precioso), Notebooks, entre outros.
3.2 Classificação da Informação
A classificação da Informação é o processo de identificar e definir
níveis e critérios adequados de proteção das informações que garantam a sua
confidencialidade, integridade e disponibilidade de acordo com a importância
para a organização.
Segundo os autores Laudon & Laudon (1996), tratando da evolução do
conceito de informação, definem a evolução da informação a partir de 1985 até
2000 como sendo um recurso estratégico que permite vantagem competitiva se
tornando uma arma para a organização.
A norma ABNT NBR ISO/IEC 27002 apresenta como objetivo da
Classificação da Informação, assegurar que os ativos da informação recebam
um nível adequado de proteção. Para Ferreira (2003) classificar a informação
33
baseadas no risco do negócio, valor dos dados ou qualquer outro critério é uma
questão de bom senso.
A classificação da informação deve indicar sua importância, a
prioridade e o nível de proteção, pois nem toda informação possui o mesmo
valor ou uso e nem os mesmos riscos.
Toda organização deve utilizar um sistema de classificação da
informação para definir um conjunto apropriado de níveis de proteção e
determinar a necessidade de medidas especiais de tratamento, sendo que
alguns itens podem necessitar um nível adicional de proteção ou tratamento
especial. Apesar de não existir uma forma padronizada de se classificar a
informação existente em uma organização, segundo Kovacich (1998) ela pode
ser dividida em três categorias que são:
Informação pessoal;
Informação de segurança nacional;
Informações de negócio.
A classificação da informação deve atender à política de segurança das
organizações, que – invariavelmente – diz que somente é permitido o uso de
recursos
homologados
e
autorizados
pela
empresa,
identificados
e
inventariados, protegidos, com documentação atualizada e estando de acordo
com as cláusulas contratuais e a legislação em vigor.
A classificação deve tratar a informação durante todo o seu ciclo de
vida, com níveis e critérios para sua criação, manuseio, transporte,
armazenamento e descarte. Ao longo da execução do serviço será
desenvolvida a norma de classificação, caso ainda não exista na política de
segurança vigente, e um procedimento para a classificação das informações,
abrangendo tanto os ativos de informação no formato físico quanto no
eletrônico. O procedimento será composto por um ou mais documentos
(questionários, tabelas etc.) para levantamento do valor e impacto da perda de
34
confidencialidade, disponibilidade ou integridade das informações, e para a
classificação das informações.
Os ativos devem ser classificados primeiramente por assunto e dentro
do assunto quanto aos requisitos de segurança. A classificação por assunto
permite organizar a informação com um sentido lógico que faça sentido ao
negócio da organização. Dispor os ativos em categorias de assunto vai permitir
ao usuário um sistema de localização fácil de forma a ir peneirando até chegar
onde é o interesse. Classificando a informação quanto aos requisitos de
segurança os requisitos normalmente utilizados são: sigilo, autenticidade,
integridade, disponibilidade.
Para o requisito de sigilo, no âmbito do Decreto nº 4.553/2002 que
iremos ver no capítulo 5, classifica os documentos públicos sigilosos em quatro
categorias: Ultra-secretos, Secretos, Confidenciais, Reservados, mostrados as
seguir no Quadro 2.
Quadro 2 – Classificação das informações
Governo Brasileiro
Empresa Privada
Ultra-secreto
Interna
Secreto
Pública
Confidencial
Restrita
Reservado
Privada
Fonte: Decreto nº 4.553/2002
Para a maioria das empresas privadas a classificação do sigilo é na
maior parte, direcionado à proteção da confidencialidade das informações. As
categorias podem ser confidencial, restrito, institucional, privado, público,
secreto e outras denominações semelhantes.
Não existe legislação na esfera federal que estabeleça outro tipo de
classificação além do sigilo e é importante estender esta classificação aos
35
outros requisitos da Segurança da Informação que são disponibilidade,
integridade e autenticidade.
A classificação das informações deve ser revista periodicamente, pois
seu valor e impacto para a organização, bem como a aquisição de novos ativos
e/ou manipulação de novas informações, podem mudar a prioridade de
implementação dos controles de segurança.
3.2.1 Contabilizando os ativos
Os ativos de informação podem estar associados aos sistemas de
informação como, por exemplo: base de dados, arquivos e meio magnético,
documentação de sistemas, manuais diversos.
3.2.2 Classificando os ativos
Depois de concluído o inventário dos ativos de informação existentes é
necessário classificar de acordo com a sensibilidade que ela representa para o
negócio da organização.
3.2.3 Classificação da informação quanto aos requisitos de segurança
Não existe um modelo de classificação que possa ser utilizado em
todas as organizações, pois cada organização possui sua característica.
A classificação deve ser elaborada levando em conta a necessidade do
negócio e sem criar muitas classes, que podem prejudicar a classificação
tornando o trabalho impraticável.
3.2.4 Classificação de Relevância dos Ativos
Caso existam regulamentações que exijam a proteção do ativo, a
aplicação do controle independe da análise de risco.
Pode-se classificar a relevância dos ativos em três níveis: alto, médio
ou baixo.
3.3 Rótulos e Tratamento da Informação
36
Antes de rotular é necessário fazer uma análise de riscos criteriosa,
eleger os ativos de informação mais críticos para a organização, saber qual
destes está mais vulnerável no momento, e por conseqüência, precisa ser
protegido. É necessário determinar onde serão empregados os maiores
recursos (lembrando sempre que as medidas necessárias à contenção dos
riscos inicialmente levantados deverão ser aplicadas seguindo a ordem de
criticidade do impacto das perdas deste ativo para os negócios da companhia).
A sabedoria popular conhece o velho ditado que diz que é sempre mais
custoso remediar do que prevenir.
É a partir desta análise é que se começa a escrever as políticas de
segurança, as quais serão as regras implementadas (e somente se saírem do
papel), irão proporcionar a organização, as bases de um sistema de gestão da
segurança eficaz e que fornecerá as definições que garantirão um ambiente de
trabalho confiável a todos os usuários. Estes documentos devem deixar claro o
que é necessário para se alcançar um nível de segurança adequado.
A primeira política a ser implementada e a mais fundamental é a de
classificação da informação. Ela determina os critérios para classificar e
manipular cada informação dentro do ambiente corporativo. (Santanna,2005).
Kovacich (1998, p. 105) coloca que, se a informação tem valor, ela
deve ser protegida e a proteção é cara. Afirma ainda que o valor da informação
deva ser determinado pelo proprietário da informação baseado no valor da
informação para organização e para outras pessoas. Então devemos proteger
as informações necessárias e indispensáveis ao negócio por tempo
determinado pela classificação.
3.4 Ciclo de Vida da Informação
Para Sêmola (1972) “o ciclo de vida da informação é composto e
identificado pelos momentos vividos pela informação que a coloca em risco”.
Isso ocorre quando os ativos físicos, tecnológicos e humanos fazem uso da
informação, nos processos da empresa que a mantém funcionando. São
37
identificados por este autor 4 momentos em que é necessário manter a atenção
pois são ameaças a segurança da informação. Os momentos são:
manuseio: quando a informação é criada e manipulada;
armazenamento: quando a informação é armazenada ( pode ser em
papel ou em meios magnéticos);
transporte: quando a informação é transportada (pode por conversas
telefônicas, por fax por e-mail, entre outros);
descarte: quando a informação é descartada, seja um papel
eliminado na lixeira, ou arquivos eletrônicos.
Para Sêmola (1972) toda a informação é influenciada pelas
propriedades: confidencialidade, integridade e disponibilidade além dos
aspectos de autenticidade e legalidade.
Para atingir o gerenciamento das informações é necessária a sua
classificação. Se for implementada uma classificação corretamente vai reduzir
o custo com recursos para proteger e ajudar na implementação dos controles
onde realmente são necessários.
O processo de classificação garante os princípios básicos da
segurança da informação, boas praticas de segurança são implementadas ou
aprimoradas e o destino da informação é identificado.
Como apresentado em todo este capítulo, a utilização da informação
representa a etapa mais importante no processo de gestão da informação,
permitindo que pessoas e a organização interajam no ambiente com base nas
informações adquiridas.
38
4 INFORMAÇÃO E ESTRATÉGIA
“... a informação gerencial deixa de ser vista
como um fenômeno de natureza puramente
técnico e passa a ser enfocada como um
fenômeno organizacional substantivo”
Roberto Rodrigues, 1987
As organizações enfrentam novos desafios neste mundo digital de
facilidades e necessitam manter a competitividade e a salvaguarda dos ativos,
mobilizando grande parte dos recursos e investimento para esta proteção.
Para os autores Papa Filho e Vanalle (2002) é neste novo ambiente
que a informação se torna uma necessidade nas organizações, após serem
analisadas adquirem o valor estratégico. Para atender esta necessidade várias
ferramentas de TI foram desenvolvidas para dar suporte a esta necessidade do
mercado. Estas ferramentas armazenam em sua base grande quantidade de
informação permitindo assim a sistematização do saber e decidir em todos os
níveis gerenciais (JAMIL, 2001).
Entre as tecnologias conhecidas dispomos de data warehouse (DW),
data mining, data mart que são capazes de apresentar informações
estruturadas
a
partir
de
buscas
elaboradas
qualitativamente
e
quantitativamente (SÊMOLA, 2003). O DW surgiu nos anos 90, (CHAUDHURI
e DAYAL, 1997) como proposta como uma solução genérica para suprir a
necessidade de informações gerenciais das organizações (MOODY e
KORTINK, 2000). A partir deles que é possível minerar dados com objetivo de
reconhecer o comportamento e a potencialidade do negócio. Segundo Papa
Filho e Vanalle (2002) através dessa análise as decisões tomadas são rápidas
e provavelmente mais corretas gerando resultados objetivos ao negócio da
organização. Todo este aparato de tecnologia perde o sentido sem um sentido
lógico do processo organizacional (DAVENPORT, DELONG & BEERS, 1998).
Informação é o elemento essencial para estabelecer qualquer
estratégia e estratégia pode ser entendida como conjunto de decisões tomadas
para definição dos objetivos globais (estratégicos) associados a um
39
determinado período e identificando os meios para superar e alcançar esses
objetivos, BEAL(2008).
A estratégia está ligada à busca de informações para as organizações
se manterem no ambiente competitivo sendo capazes de monitorar as
constantes mudanças a que estão sujeitas. Drucker (1992) afirma que “[...] as
organizações
modernas
são
fundamentadas
na
informação
e
no
conhecimento”.
O planejamento estratégico é o processo desenvolvido internamente
nas organizações, para definir e mostrar sua estratégia, com objetivo de
adquirir direção, foco e constância facilitando sair de uma zona de conforto
para uma posição mais desejável. A organização muda o foco que estava nos
resultados esperados para o foco no cumprimento da missão e no alcance da
visão de futuro.
4.1 Definições e conceitos sobre Informações
Miranda (1999) estabeleceu alguns conceitos, por meio de uma revisão
da literatura, com objetivo de conceituar e padronizar um referencial teórico
sobre a variedade de conceitos, de forma a padronizar um entendimento sobre
o assunto. Adotou-se os resultados de uma pesquisa sobre diversos autores
para estabelecer os seguintes conceitos para o assunto em estudo:
Dado é conjunto de registros conhecidos;
Ativo é o dado conhecido, organizado, agrupado, categorizado e
padronizado;
Informação são dados organizados de modo significativo, sendo
subsídio útil a tomada de decisão. Segundo Teece (1998) a
informação sem um contexto raramente é conhecimento;
Monitoramento estratégico é a constante observação da coleta
dos dados;
40
Conhecimento especifico é o conjunto de informações já
identificadas e que caracteriza o saber disponível sobre um tema
especifico;
Conhecimento tácito é
determinado
assunto,
acúmulo de saber pratico sobre um
que
agrega
alguma
experiência
a
personalidade de quem o detém;
Conhecimento
é
estratégico
combinação
das
informações
estratégicas e as informações de acompanhamento, agregando-se o
conhecimento de especialistas;
Inteligência estratégica é o uso do conhecimento estratégico no
processo de tomada de decisão quanto à formulação ou redefinição
de estratégias adotadas por uma organização;
Informação estratégica é a informação obtida do monitoramento
estratégico, que subsidia a formulação de estratégias pelos
tomadores de decisão nos níveis gerenciais da organização;
Informação de acompanhamento é a informação obtida do
monitoramento interno, que aliada a informação estratégica,
constitui-se em conhecimento estratégico explicito;
Estratégia é a ação gerada a partir de informações que levam a
criatividade, a originalidade, que permite a organização diferenciarse dos seus semelhantes assumindo vantagem competitiva no seu
negócio;
Sistema de informações estratégicas é o conjunto de ferramentas
informatizadas que permite o tratamento dos dados coletados pelo
monitoramento
estratégico,
transformando
em
informações e
agregando conhecimento, a fim de que se constitua insumo para a
inteligência estratégica;
Sistema especialista é a ferramenta informatizada que agrega o
conhecimento de especialistas ao processamento de informações
que suportam a tomada de decisão;
41
Sistema não especialista é a ferramenta informatizada que
processa informações usadas na tomada de decisão sem agregar o
conhecimento de especialistas no processamento.
Para Miranda a formulação de ações estratégicas inicia com a
avaliação e identificação dos fatores externos que podem ser levantamento
histórico e prospecção futura. Após a identificação do conhecimento estratégico
as alternativas mais viáveis são avaliadas estabelecendo um conjunto de
estratégicas viáveis. As estratégias viáveis passam por um filtro da alta direção
para que se decida sobre que ações estratégicas devem ser adotadas.
A expressão informação e estratégia, no contexto desse trabalho, não
implicam em abandonar a gestão da informação voltada na coleta, tratamento e
disponibilidade da informação que suporta os processos do negócio da
organização com vista que ela alcance os objetivos permanentes, mas
acrescentar o foco da informação voltada para os objetivos estratégicos
estabelecidos para determinado período de tempo (BEAL 2008).
42
5. ASPECTOS LEGAIS, POLÍTICAS E PROCEDIMENTOS
5.1 Legislação sobre Segurança da Informação e Comunicação
A segurança da informação é um assunto de extrema relevância e
ainda não possui leis suficientes para ser tratado com toda a complexidade que
ele requer. É necessário estabelecer regulamentações para segurança da
informação, para políticas nacionais e internacionais relativas ao assunto, para
a questão de infra-estrutura de chaves-públicas, e para o direito penal voltado a
crimes digitais.
5.2 Política Nacional de Segurança das Informações
Em 2000 foi publicado o Decreto 3.505, por meio do qual foi instituída a
política nacional de segurança das informações. Este decreto demonstra o
inicio de um amadurecimento sobre a importância de manter seguras as
informações processadas nos órgãos e entidades da administração pública.
Neste decreto, no artigo 3º, define os objetivos da política (de segurança) da
informação nos órgãos e entidades da Administração Pública Federal que são:
a. dotá-los de instrumentos e recursos tecnológicos que os capacitem
a assegurar a confidencialidade, a integridade e a autenticidade
dos dados e informações classificadas como "sensíveis";
b. eliminar a dependência externa em relação a sistemas e
equipamentos relacionados à segurança da informação;
c. promover
a
capacitação
desenvolvimento
de
dos
recursos
competência
humanos
para
científico-tecnológica
o
em
segurança da informação;
d. promover a capacitação industrial do país com vistas à sua
autonomia no desenvolvimento e na fabricação de produtos e
serviços relacionados com a segurança da informação.
43
5.3 Leis
Lei nº.9.609, de 19 de fevereiro de 1998 – Dispõe sobre a proteção da
propriedade intelectual de programa de computador, sua comercialização no
País, e dá outras providências.
Lei nº. 9.983, de 14 de julho de 2000 – Altera o Código Penal. Prevê
penas específicas para crimes de inserção, alteração, exclusão e divulgação
indevidas de dados nos sistemas informatizados ou bancos de dados da
Administração Pública
5.4 Decretos
Decreto nº. 3.505, de 13 de junho de 2000 - Estabelece diretrizes
gerais para definição da Política de Segurança da Informação nos órgãos e
entidades da Administração Pública Federal.
Decreto nº. 4.553, de 27 de dezembro de 2002 - Dispõe sobre a
salvaguarda de dados, informações, documentos e materiais sigilosos de
interesse da segurança da sociedade e do Estado, no âmbito da Administração
Pública Federal.
5.5 Normas
Norma ABNT - Código de prática para a gestão da Segurança da
Informação
Origem : British Standard Institution (BSI) _ Aprovada em 2000 como
padrão internacional pela ISO: ISO/IEC 17799
Em 2001, a ABNT decidiu adotá-la como norma brasileira (NBR
ISO/IEC 17799)
2ª versão foi lançada pela ABNT (Associação Brasileira de Normas
Técnicas) no dia 24/08/2005 nomeada de NBR ISO IEC 17799:2005;
a partir de 2007 será numerada como NBR ISO IEC 27002.
A norma ISO/IEC 27002, equivalente à norma brasileira, é amplamente
reconhecida e utilizada por Entidades Fiscalizadoras Superiores, órgãos de
44
governo, empresas públicas e privadas nacionais e internacionais, atentas ao
tema Segurança da Informação.
5.6 Política de segurança da informação, padrões e procedimentos
A Política de Segurança da Informação – PSI é o documento de
diretriz, o primeiro passo na construção de uma gestão de segurança da
informação. A norma ABNT NBR ISO/IEC 27002, recomenda que todos os
órgãos estabeleçam uma política clara, alinhada com os objetivos do negócio e
demonstre apoio e comprometimento através de campanhas educativas e
motivadoras por toda organização.
Para Ferreira (2003) as políticas, padrões e procedimentos de
segurança
da
informação
fornecem
melhor
direcionamento
para
implementações técnicas e expressam os anseios da alta direção em decidir na
destinação do uso da informação, quem pode acessá-los.
A política de segurança proporciona o direcionamento para as ações
técnicas. Entretanto, a política deve ser um dos elementos do conjunto que
compõe a Gestão da Segurança da Informação.
A falta de uma PSI estabelecida apresenta os seguintes efeitos:
. Enfraquecimento das ações de segurança, por não estarem
respaldadas por uma política institucional;
. Desequilíbrio entre gestão de segurança e objetivos do negócio;
. Transparece para os usuários a falta de comprometimento da alta
direção com a segurança da informação.
5.7 Decisões do Tribuna de Contas da União - TCU
O Tribunal de Contas da União, como órgão de auditoria de Governo
Federal, tem desempenhando ações no sentido que os órgãos da
Administração Pública Federal - APF cumpram o previsto nos atos normativos,
sobre a segurança da informação e promovam ações com objetivo de
45
disseminar a importância da segurança da informação. Abaixo algumas
decisões do TCU que muito tem ajudado neste sentido:
Decisão nº. 669/1995 - Plenário
_ 2.1. estude a possibilidade de implementar, a médio prazo, no
âmbito do seu plano de contingência, uma solução alternativa para o
caso de perda total das instalações da Filial São Paulo, nas quais se
opera o processamento da Arrecadação Federal, para que o
tratamento das informações essenciais não sofra solução de
continuidade no caso de ocorrência de sinistro de grande proporções;
Decisão nº. 445/1998 - Plenário
_ 3.7.1. Disciplinar de forma rígida o acesso de pessoas aos andares
do prédio onde a Gerência Executiva de Tecnologia [...] se encontra
instalada;
_ 3.7.2. Definir, oficialmente, junto aos gestores responsáveis, uma
sistemática de "back-up" para os sistemas existentes;
_ 3.7.5. Definir regras que regulamentem o acesso de usuários
externos ao ambiente computacional;
Acórdão n.º 2.023/2005-Plenário - Determinações
_ defina uma Política de Segurança da Informação, nos termos das
orientações contidas no item 3 da NBR ISO/IEC 17799:2001, que
estabeleça os princípios norteadores da gestão da segurança da
informação no Ministério e que esteja integrada à visão, à missão, ao
negócio e às metas institucionais, observando a regulamentação ou
as recomendações porventura feitas pelo Comitê Gestor de
Segurança da Informação instituído pelo Decreto n. 3.505/2000 e pelo
Gabinete de Segurança Institucional da Presidência da República,
conforme Decreto n. 5.408, de 1º/04/2005;
Acórdão nº. 2.023/2005-Plenário - Determinações
_ estabeleça institucionalmente as atribuições relativas à segurança
da informação, conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3 da
NBR ISO/IEC 17779:2001;
_ não assuma responsabilidades inerentes às áreas de negócio,
como a inserção, alteração e exclusão de informações em bases de
dados;
_ crie critérios de classificação das informações;
_ crie mecanismos para que as políticas e normas se tornem
conhecidas, acessíveis e observadas;
_ o acesso ao ambiente de produção deve ser feito de forma
controlada pelos gestores dos sistemas;
Acórdão n.º 2.023/2005-Plenário - Determinações
defina uma Política de Controle de Acesso aos ativos de informação
que contenha, no mínimo:
46
9.1.3.1. regras de concessão, de controle e de direitos de acesso
para cada usuário e/ou grupo de usuários [...], conforme preceitua o
item 9.1.1 da NBR ISO/IEC 17799:2001;
9.1.3.2. responsabilidades dos gestores de negócios sobre os seus
sistemas, bem como a obrigação deles [...] fazerem a revisão
periódica, com intervalos de tempo previamente
definidos, dos direitos de acesso dos usuários, conforme prevêem os
itens 9.2.1, incisos h e i, e 9.2.4 da NBR ISO/IEC 17799:2001;
_ Acórdão n.º 1.092/2007-TCU-Plenário – Determinações _ inventarie
os ativos de informação e estabeleça critérios para a classificação
desses ativos;
_ implante a gestão de continuidade do negócio e elabore o Plano de
Continuidade do Negócio (PCN);
_ implante e divulgue sua Metodologia de Desenvolvimento de
Sistemas (MDS) em toda a Empresa, à semelhança das orientações
contidas nos itens PO 8.3 e AI 2.7 do COBIT 4.0.
Ademais, estabeleça os requisitos mínimos de documentação que
todos os sistemas devem apresentar, inclusive os sistemas legados,
e defina um prazo para que todos os sistemas estejam adequados à
nova MDS;
5.8 Considerações sobre a Política Nacional de Segurança das
Informações
O Decreto 3.505, citado no item 5.2, é resultado da constante
preocupação da importância das informações processadas nos órgãos e
entidades da Administração Pública Federal - APF. Com esse ato
regulamentado, o governo brasileiro apontou para a necessidade de proteção
de assuntos que mereçam tratamento especial, adotando medidas para
prevenir o risco de sua vulnerabilidade. A administração pública, em todos os
seus níveis, processa informações consideradas "sensíveis", que requerem a
proteção
contra
a
intrusão
e
modificação
desautorizadas.
Assim,
o
estabelecimento de uma política de segurança, do material informativo que é
armazenado e documentado em seus sistemas de computação é de extrema
importância.
Este decreto, apesar de ter sido publicado em 2000 não é cumprido por
maior parte dos órgãos da APF. A situação atual, levantada pelo TCU, no
acórdão nº 1.603/2008, junto 255 órgãos da APF, com objetivo de obter
informações sobre como está a gestão e uso da Tecnologia da Informação,
apresenta no quadro 3, o seguinte resultado:
47
Quadro 3 – Requisitos de itens avaliados pela pesquisa do TCU
Requisitos avaliados
Sim
Não
Existe planejamento estratégico institucional 53%
47%
em vigor
Existe planejamento estratégico de Tecnolo- 41%
59%
gia da Informação em vigor
Existe comitê diretivo sobre ações de Tecno- 32%
68%
logia da Informação em vigor
Neste acórdão foi então concluído que a falta de planejamento
institucional prejudica as ações de TI, pois podem ocorrer ações equivocadas
que levam a desperdício de recursos. Conclui-se também que a ausência de
planejamento estratégico na área de TI leva não só ao enfraquecimento da
área, devido à descontinuidade dos projetos e conseqüente desagrado dos
usuários. A falta de comitê demonstra pouco envolvimento e importância dada
pela alta administração com as decisões estratégicas de TI.
Focando na segurança da informação, este mesmo acórdão quando
verifica a qualidade do tratamento dado pelos órgãos da APF à segurança das
informações sobre sua responsabilidade obteve os resultados apresentados no
quadro 4:
Quadro 4 – Requisitos de itens avaliados pela pesquisa do TCU
Requisitos avaliados
Não
Ausência de Política de Segurança da Informação, em vigor
64%
Ausência de Plano de Continuidade de negócio, em vigor
88%
Ausência de Classificação da Informação, em vigor
80%
Ausência de área especifica para lidar com segurança da 64%
informação
48
Ausência de área especifica para gerência de incidentes
76%
Ausência de gestão de mudanças
88%
Ausência de gestão de capacidade e compatibilidade das 84%
soluções de TI
Ausência de análise de riscos na área de TI
75%
Ausência de procedimentos de controle de acesso em vigor
48%
Das respostas fornecidas pelos órgãos avaliados, sob as questões de
tratamento das informações sob sua responsabilidade, conclui este mesmo
acórdão, que é preciso dar mais atenção ao assunto, pois são grandes as
deficiências encontradas no tratamento da segurança da informação.
O resultado encontrado pela pesquisa é preocupante, pois uma
instituição pública presta serviços aos cidadãos e depende da confiabilidade
das informações por ela tratadas e prestadas.
A Lei n.º 9.983, no novo art. 313-A, trata da inserção de dados falsos
em sistemas de informação, enquanto o art. 313-B fala sobre a modificação ou
alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do
Código Penal foi alterado agora e define penas quando da divulgação de
informações sigilosas ou reservadas, contidas ou não nos bancos de dados da
Administração Pública.
Todas estas ações demonstram a importância da conscientização dos
servidores e dirigentes quanto à Política de Segurança da Informação. Uma
vez que a Política seja de conhecimento de todos da organização, não será
admissível que as pessoas aleguem ignorância quanto às regras nela
estabelecidas a fim de evitar punição sobre violações cometidas.
49
6. GERENCIAMENTO DAS INFORMAÇÕES ESTRATÉGICAS
Gerenciar os fluxos de informações existentes na AGU é hoje uma
necessidade. Para serem eficientes estes fluxos devem ser alimentados com
informações de qualidade, dentro de uma relação de custo x beneficio e
adequadas a necessidade do negócio. Além de ter que atender os requisitos
legais a organização necessita garantir sua imagem, não deixando que
incidentes de segurança possam atingi-la ou se atingir esteja em nível
aceitável. São famosas as frases “informação é fundamental para o
desenvolvimento das empresas” ou “informação é básica em qualquer
empreendimento” sem que fossem apresentados estudos sobre seu valor para
as empresas (MIRANDA, 1999).
Para Beal (2008) informação estratégica é capaz de melhorar o
processo de decisão porque reduz o grau de incerteza em relação a outras
variáveis.
Vários estudos são necessários com objetivo de caracterizar quais
informações são importantes para a organização, avaliando suas qualidades e
pertinências, em função de categorias definidas pela organização.
Segundo MIRANDA (1999), para a identificação da necessidade de
quais dados deve ser acompanhado para que possa ser traduzido como
informações estratégicas aos processos do negócio são necessárias levantar
os 6 (seis) requisitos de informações, com base no planejamento estratégico:
1. Identificar as ações estratégicas do negócio avaliando o seu
comportamento e definindo os tipos mais freqüentes;
2. Identificar os tipos de informações estratégicas mais freqüentes
que são utilizadas nas ações estratégicas;
3. Analisar o comportamento de cada informação estratégica com
base na ação do planejamento estratégico;
50
4. Analisar as características da informação estratégica quanto a
sua forma de tratamento em relação a outras informações
estratégicas;
5. Analisar o comportamento dos tipos de ação estratégica em
função dos ciclos evolutivos do negócio;
6. Em função dos resultados obtidos neste estudo, propor um
modelo de gerenciamento das informações estratégicas.
Pode-se definir estratégica como uma ação para obter resultados
concretos que permite à organização diferenciar dos seus concorrentes,
podendo ser um serviço, uma implementação, um produto (Miranda, 1999). As
ações estratégicas podem ser classificadas em 3 tipos:
liderança: visa reduzir custos;
diferenciação: visa colocar no mercado um produto ou serviço
diferente dos concorrentes;
foco: exploração de segmento específico no mercado.
6.1 Níveis da informação e tipos de informações estratégicas
Na maioria das organizações os níveis ou tipos de informações
obedecem à hierarquia padrão conhecida como pirâmide organizacional, onde
os níveis são conhecidos como estratégico tático ou gerencial e operacional.
Cada nível requer um grau de agregação da informação diferente dos outros.
No nível estratégico, as decisões ocorrem na alta direção da
organização
e
geram
ações
duradouras
baseadas
no
Planejamento
Estratégico. O nível da informação é gerencial com dados de toda a
organização e relacionando-se com meio ambiente interno e externo.
Os outros níveis as informações ocorrem em escalões intermediários e
inferiores e possuem menos impacto no funcionamento da organização.
51
Os tipos de informações estratégicas podem ser agrupados nas
categorias:
Clientes:
informações
sobre
as
tendências
quanto
aos
comportamentos dos usuários internos e externos;
Concorrentes: informações sobre tendências quanto aos serviços
prestados por órgão que executam as mesmas atividades;
Cultural: informações quanto ao perfil dos solicitantes das ações;
Demográfico: informações sobre tendências quanto os locais onde
as ações são iniciadas;
Ecológica: informações sobre tendências de ações com a matéria
ambiental;
Econômica/financeira: informações sobre tendências quanto à
conjuntura econômica nacional e mundial, à atuação de blocos
econômicos e segmentos de mercado;
Fornecedor: informações sobre o perfil, atitudes, localização;
Governamental/política: informações sobre tendências quanto a
diretrizes do Poder Executivo no que se refere à intervenção do
poder judiciário;
Legal: informações sobre tendências quanto a ações dos Poderes
Legislativas e Judiciário no que se refere à legislação;
Social: informações sobre tendências quanto à distribuição dos
segmentos;
Tecnológica: informações sobre pesquisas realizadas e em
andamento,
tendências
desenvolvimento;
quanto
à
política
de
pesquisa
e
52
6.2 Característica da Informação Estratégica
Qualitativa: refere-se a informações consolidadas a partir de dados que
em sua maioria são não-numéricos.
Quantitativa: refere-se a informações consolidadas a partir de dados
que em sua maioria são numéricos.
Mista: refere-se a informações consolidadas a partir de dados
numéricos e não-numéricos, sendo que não é possível estabelecer-se a
predominância de um sobre o outro em sua formação.
Figura 2 - Mapa Conceitual “Informação Estratégica” e “Estratégia”
Fonte: Miranda (1999)
A figura 2 trata-se do mapa conceitual da informação que ocorreu em
um levantamento nos Empresa Brasileira de Correios e Telégrafos, realizado
por MIRANDA. Considero que o levantamento esta adequado para ser utilizado
como modelo na AGU, na definição de quais informações deva ser
acompanhada.
53
7. IDENTIFICANDO AS INFORMAÇÕES ESTRATÉGICAS DA
AGU
A Advocacia-Geral da União, também conhecida pela sigla "AGU"
é responsável por toda a defesa judicial da União (administração direta e
indireta), bem como pela consultoria jurídica dos Ministérios. Antes estas
atividades eram executadas pelo Ministério Público Federal, através da
Procuradoria-Geral da República.
A AGU compõe-se de procuradorias, ou seja, cada estado possui
uma representação, que irá representar aquele estado, ao qual faz parte.
O chefe é o Advogado Geral da União nomeado pelo Presidente da
República.
Atualmente, o gabinete do ministro da AGU, considera como
informações estratégicas para o negócio da AGU:
O resultado da participação nos processos em que atua;
O banco de subsídios, que é a forma como a União defende-se;
O banco partes interessadas;
O banco de pareceres.
7.1 Situação Atual das Bases de Dados Estratégicas da AGU
A Advocacia-Geral da União – AGU como outras instituições
jurídicas do Governo, possui entre seus bancos de dados as bases de
dados jurídicas, que constituem importante fonte de informação para
todos os servidores das carreiras jurídicas da AGU.
Segundo Lavin (1992) a pesquisa em bases de dados é parte
integrante em qualquer busca de informações para negócios e na AGU
estas bases de dados permitem consulta local ou via internet contando
54
com uma média de 700 acessos ao dia. Estas bases de dados
representam a base de conhecimento do negócio da AGU que é a defesa
da União.
Entre as bases jurídicas e estratégicas encontra-se o banco de
dados de acompanhamentos das ações da união, que possui mais de
10.000 processos cadastrados, banco de pareceres, banco de subsídios
jurídicos.
Todas estas bases de dados encontram-se hospedadas no CPD
da AGU podendo ser acessadas por meio da intranet.
7.2 Levantamento dos Procedimentos de Segurança Existentes na
AGU
Esse levantamento foi realizado tomando como base os controles
existentes na norma ABNT NBR ISO/IEC 27002, aqui considerado um
manual de boas práticas de gestão da segurança da informação e nas
recomendações do acórdão do TCU 1.603/2008.
A área de TI da AGU encontra-se em processo de estruturação.
Foi realizado o planejamento estratégico no final de 2007 e estabelecida
uma estrutura hierárquica com atribuições para definir a respeito das
atribuições e estabelecer prioridades para o setor. A aquisição de bens e
serviços da área de informática ocorre com critérios estabelecidos pela
gerencia de planejamento que após receber as demandas das áreas que
compõe a AGU estabelece as prioridades.
No aspecto da segurança da informação existe uma Gerência de
Segurança de informação que esta sendo implantada, conforme é
recomendado pelas normas e melhores prática do mercado.
Estabelecer uma quantidade de controles para iniciar a segurança
da informação é considerado um bom ponto de partidas. No quadro 5
55
vamos avaliar quais controles estão implantados na AGU baseando na
norma ABNT ISO/IEC 27002 e nos controles considerados por ela, como
práticas para a segurança da informação e por informações prestadas
pela gerência da área de TI da AGU.
Quadros 5 – Controles considerados prática de segurança da informação
CONTROLES
SITUAÇÃO ATUAL
Documento da Política
Segurança da Informação
de O documento
elaborado.
esta
PONTOS EM DESACORDO
sendo A organização não possui PSI
aprovado
Atribuir responsabilidade pela Aguardando a elaboração da
segurança da informação
PSI quando poderá ser cobrada
a
responsabilidade
da
segurança
Como não existe PSI não é
possível
cobrar
responsabilidades
pela
segurança da informação
Conscientização, educação e Pela internet alguns avisos Não existe programa de
treinamento sobre segurança sobre segurança de senhas de conscientização implantado
da informação
e-mail e senhas de redes têm
sido enviados.
Processamento
aplicações
Gestão de
técnicas
correto
das Utilização
própria
de
metodologia Não
existe
metodologia
aprovado e instituída como
norma, apoiada pela PSI.
vulnerabilidades Não existe documento com as Estabelecer um inventario
vulnerabilidades de aplicações completo e atualizado para a
e softwares
gestão de vulnerabilidades.
Gestão de continuidade dos Não existe plano de gestão de Implantar processo de gestão
negócios
continuidade
de
negocio de continuidade do negocio
instituído, revisado e atualizado
anualmente.
Gestão
de
incidentes
de Não existe equipe de resposta Estabelecer responsabilidades
segurança da informação e rápida
a
incidente
de e procedimentos de gestão
melhorias
segurança
para
assegurar
respostas
rápidas e efetivas
Foram utilizados como critério na área de Segurança da
Informação, controles previstos na norma ABNT ISO/IEC 27002, que
fornece recomendações para a gestão da segurança da informação
aconselhando sua utilização pelos responsáveis pela implementação e
manutenção da segurança na organização. Tem como propósito prover
56
uma base comum para o desenvolvimento de normas de segurança
organizacional e de práticas efetivas para a gestão da segurança, no
âmbito da AGU.
A fim de avaliar a aplicação das normas de segurança algumas
questões foram levantadas, baseadas nas recomendações do acórdão
TCU Nº 1. 603 e respondidas pela gerencia da área de TI.
Existem padrões para desenvolvimento de sistemas que
permita avaliar a qualidade no setor? Sim, atualmente existe
norma interna baseada nas orientações do COBIT.
É efetuada análise de riscos na área de TI? Existem
procedimentos neste sentido, mas não da forma recomendada
pelas melhores práticas do mercado.
O setor de TI adota o gerenciamento por processos? Só
algumas gerências a maior parte não.
Há um plano de continuidade do negócio PCN compatível
com as necessidades do órgão? Não.
Existe controle de segurança da informação no órgão? Não
Existe política de cópia de segurança formalmente instituída?
Sim
Existe o monitoramento de processos? Não.
Existe controle de acesso físico? Sim.
Neste cenário, encontramos a seguinte situação na AGU:
57
Informações tratadas com nível inadequado de proteção,
sujeitas
a
perda
de
integridade,
confiabilidade
e
disponibilidade;
Tratamento da segurança da informação de forma incipiente e
dependem do meio em que são produzidas ou transitam;
Falta de amparo de uma PSI para responsabilização por
acesso indevido à informação;
Falta de conscientização que a proteção da informação
fortalece a organização.
58
8. CONSIDERAÇÕES FINAIS
Como visto nos capítulos anteriores, para que a Segurança da
Informação possa ser efetiva é necessário que seja permanentemente revista e
baseada em processos (técnicos e organizacionais). Vale lembrar que o
negócio da AGU é a defesa jurídica da União e como qualquer outro órgão da
Administração Pública Federal tem entre os seus ativos, informações
estratégicas que definem sua diretriz. Hoje as unidades da AGU estão
distribuídas em 125 unidades de atuação diretas e mais 150 unidades
instaladas em autarquias federais. Todas estas unidades acessam via internet
bases de dado centralizada, que requer segurança para o negócio da AGU.
As principais informações que a AGU trabalha existem também
disponíveis em bases jurídicas dos diversos tribunais e são públicas, mas como
são apresentadas de forma pulverizadas, não permitem uma análise gerencial,
de como esta ocorrendo à atuação da AGU, nos mais diversos assuntos.
A geração de informações estratégica produz grande impacto nas
atividades do órgão e são essenciais para o suporte as tomada de decisão
requerida pelo gabinete do AGU. Para iniciar o planejamento da segurança, a
AGU deve começar pelo do nível mais alto da organização, identificando os
processos críticos do negócio e os fluxos de informação e planejar uma
estrutura de segurança baseada na real necessidade da organização. Serão
estabelecidos graus de importância para os processos e avaliada a
sensibilidade das informações. Hoje isso ainda não ocorre. As informações não
estão classificadas, não existe uma política de segurança nem a gestão de
risco.
No processo atual que AGU se encontra, de elaboração do
planejamento estratégico, com foco na Tecnologia, uma Gerência de
Segurança da Informação esta sendo implantada juntamente com uma
Gerência de Informações Estratégicas.
59
A Gerência de Segurança está desenvolvendo atividades para
estabelecer uma Política de Segurança com base nas normas ABNT ISO/IEC
27002: 2005 e ABNT ISO/IEC 27001. São estas políticas que vão delinear o
papel da segurança da informação dentro da organização, identificando os
ativos principais, definindo políticas de confidencialidade e acessibilidade e
como eles são protegidos. Ainda apresentam procedimentos e métodos de
organização da informação, com o intuito de cumprir as exigências regulatórias.
Alguns autores – dentre esses Silva, Campos, Brandão, Barbosa e
Polloni – concordam que a informação melhorou o desempenho das
organizações. Acontece que, nem todos na organização têm acesso a elas,
ocorrendo o que Polloni (2000) resume afirmando que quem tem o
conhecimento e sabe como utilizá-lo em seu benefício, tem o poder.
Entende-se que a AGU deve promover ações com objetivo de
disseminar a importância da segurança das informações, inclusive procedendo
à orientação normativa, voltadas a conscientização e a mudança de cultura.
Para que AGU possa estabelecer com sucesso o gerenciamento da
segurança da informação, algumas ações devem ser tomadas como:
1- Normatização do assunto com o estabelecimento da Política de
Segurança da Informação;
2- Promover ações que visem estabelecer e ou aperfeiçoar a gestão
de continuidade do negocio;
3- Classificação da informação;
4- Estabelecer procedimentos de gerenciamento de incidentes, a
analise de riscos de TI, a área de segurança da informação.
5- Assegurar padronização e níveis de confiabilidade e segurança
estimulando a padronização de metodologias no desenvolvimento
de sistemas.
60
No contexto atual, de mudanças rápidas e constantes, faz com que as
organizações tenham que se adaptarem as modificações que ocorrem no
ambiente em que atuam. Existem organizações que atuam de forma reativa,
respondendo as mudanças quando elas ocorrem.
Então respondendo à pergunta-problema que originou este estudo “O
que ocorreria caso a Instituição não tivesse o controle e acompanhamento das
ações em que atua?” podemos concluir que ocorreria:
•
Abalo na credibilidade da instituição (externo);
•
Prejuízos ao cofre público (a União perde a defesa);
•
Perda de controle das ações que acompanha (controle de
resultado, controle de prazos);
•
Falta de credibilidade dos usuários (interno);
Neste cenário implantar a segurança da informação tem se tornado um
desafio a ser perseguido e construído de maneira flexível, com o engajamento
e compromisso.
Uma ferramenta importante para tomada de decisão são as
informações estratégicas que permite a tomada de decisão orientando uma
ação de forma-pró ativa, contra as ameaças e a favor das oportunidades
identificadas nas constantes mudanças que ocorrem nos ambientes.
Assim, a proteção das informações estratégicas da organização deve
alinhar à necessidade da organização e aos planos de negócio.
O próximo desafio da AGU é implantar o documento jurídico virtual
chamado internamente de “processo virtual” que é a automação dos
cartórios/secretarias e a transmutação do processo físico para o virtual. Sendo
uma questão de extrema importância para o órgão, a gestão da segurança da
informação deve ser aplicada e estar em conformidade para garantir a validade
do documento jurídico eletrônico, assegurando que os processos virtuais não
61
sejam alterados e tenha plena validade jurídica. Este assunto pode ser tema de
trabalhos futuros se for interesse da administração da AGU.
62
REFERÊNCIAS BIBLIOGRÁFICAS
ALBUQUERQUE, Fabio S. de. A nova visão da área de segurança da
informação. Modulo Security Magazine. 2006. Disponível em:<
http://www.modulo.com.br>. Acesso em: 20 set. 2008.
ASCIUTTI, César Augusto, Alinhando ABNT-NBR-ISO/IEC 17799 e 27001
para a Administração Pública – USP, São Paulo (SP), 2006. Disponível em:
http://www.security.usp.br/palestras/Normas-Encontro-USP-SegurancaComputacional-II-V-1-02.pdf. Acesso em: 15 set. 2008.
Associação Brasileira de Normas Técnicas - ABNT. Norma NBR 27002.
Associação Brasileira de Normas Técnicas - ABNT. Norma NBR-ISO/IEC
27001:2006.
Axur Information Security,, Especializada em Segurança da Informação,
Porto Alegre. Disponível em: <http://www.axur.com.br/page1b.html>. Acesso
em: 05.01.2009 .
BEAL, Adriana. Gestão Estratégica da Informação: como transformar a
informação e a tecnologia da informação em fatores de crescimento e de alto
desempenho nas organizações. São Paulo: Atlas, 2008 .
BECKER, Fernando, FARINA, Sérgio, SCHEID, Urbano. Apresentação de
trabalhos escolares. Orientação para datilografia e digitação. Porto Alegre:
Multilivro, 2000.
BRASIL. Diretoria de Auditoria da tecnologia da Informação do Tribunal de
Contas da União. Boas Práticas em Segurança da Informação, Brasília,
2007.
BRASIL. Instrução Normativa Nº 1 de 13.06.2008 do Gabinete de Segurança
Institucional da Presidência da República, Brasília, 2008. Disponível em:
<http://www.mct.gov.br/index.php/content/view/72703.html>.
Acesso em: 30 set. 2008.
BRASIL. Decreto n.º 3.505, de 13 de junho de 2000. Institui a Política de
Segurança da Informação nos órgãos e entidades da Administração
Pública
Federal.
Disponível
em:
<http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 24 out.
2008.
BRASIL. Decreto 4.553, de 27 de dezembro de 2000. Dispõe sobre a salvaguarda de dados. Rio de Janeiro: Axcel Books, 2000.
63
BRASIL. Tribunal de Contas da União. Acórdão 782/2004-TCU - Primeira
Câmara.
Disponível
em:
<http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=
(acordao+adj+782/2004+adj+primeira+camara)[idtd][b001]>. Acesso em: 17
out. 2008.
BRASIL. Tribunal de Contas da União. Acórdão 1.092/2007-TCU-Plenário –
Disponível
em:
<http://www.tcu.gov.br/publicacoes/sefti/Segurança%20da%20Informação/abert
ura.htm#Abertura.htm>. Acesso em: 02 set. 2008.
BRASIL. Tribunal de Contas da União. Acórdão 1.603/2007-TCU-Plenário –
de 13.ago. 2008.
BRASILIANO, Antonio Celso Ribeiro Brasiliano , Método brasiliano de
Análise de Risco. Disponível em: <http://www.brasiliano.com.br/blog/?p=377>.
Acesso em: 10 out. 08.
CAUBIT,
Rosângela.
Segurança
como
Norma.
Disponível
em:
<blog.processusnet. com.br/2006/07/04/seguranca-como-norma>. Acesso
em: 16 jul. 2008, publicado 19 jun. 2006.
CHAUDHURI, S., DAYAL, U. "An Overview of Data Warehousing and OLAP
Technology". ACM SIGMOD Record (Mar), 1997 Vol. 26, No. 1, pp. 65-74.
CHEMIN, Beatriz Francisca. Guia Prático da UNIVATES para trabalhos
acadêmicos. Lajeado: UNIVATES, 2005.
Computer World (2007) artigo Adoção do ITIL condicionada IT Management
Gestão, 21-03-2007.
DAVENPORT, T. H., DELONG, D. W., & BEERS, M. C. (1998). Successful
Knowledge Management Projects. Sloan Management Review, 39(2): 4357.January 15, 1998
DIAS, Claudia. Segurança e auditória da tecnologia da informação. Rio de
Janeiro: Axcel Books, 2000.
ERNEST&YONG.
Blog
Alerta
Digital.
Disponível
em:
<http://blog.processusnet.com.br/category/normas-e-padroes/>. Acesso: 04
ago. 2008.
Expresso Digital, Artigo, Redes de órgãos públicos sofreram 1,1 mi de incidentes de segurança no primeiro quadrimestre. Disponível em <
http://www.expresso.com.br/index.php?goto=artigos_view&cod=6>. Acesso em:
31 out. 2008.
64
FARINA, Sérgio. Referências Bibliográficas e Eletrônicas. São Leopoldo:
UNISINOS, 1997.
FERREIRA, Fernando Nicolau Freit. Segurança da Informação. Rio de
Janeiro; Editora Ciência Moderna, 2003.
FUNDAÇÃO VANZOLINI, Manual de Comunicação com o Cliente.
Disponivel em:
http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/iso17021/proc
ed/p.032.pdf. Acesso em: 02.nov.2008.
INFOSEC CONCIL, Formação de Cultura em Segurança da Informação.
Congresso.Ano:2005.
Disponível
em:
<http://computerworld.uol.com.br/gestao/2006/08/11/idgnoticia.2006-0811.6447350724/>. Acesso em: 25 out. 2008.
JAMIL, George Leal. Repensando a TI na Empresa Moderna. Rio de janeiro:
Axcel Books, 2001.
LAVIN, Michael R. Business information: how to find it, how to use it.
Phoenix, Arizona : Oryx, 1992.
LAUDON&LAUDON . Artigo Segurança como Norma, blog Alerta Digital.
Disponível em: <http://blog.processusnet.com.br/2006/07/04/segurancacomo-norma/>. Acesso em: 20 set. 2008.
LOGIKE ASSOCIADOS, Artigo Estratégia para gestão dos ativos do
conhecimento.
Disponível
em:
http://www.iautomotivo.com/papers/LOGIKE_PAPER_GMB_TEECE.pdf.
Acesso:25.set.2008.
KOVACICH, J., Ph.D. Interview with Nick Houtman. University of Maine
Department of Public Affairs, Orono, Maine. August 7, 1998.
MARCONI E LAKATOS, Eva Maria e Marina. Fundamentos da Metodologia
Científica Lakatos. Editora: Atlas. Ano: 2001.
MIRANDA, A Produção científica em ciência da informação [Editorial]. Ciência
da Informação, Brasília, v.27, n.1, p. 5-6, 1998.
Módulo
Security.
Artigo
Disponível
em
http://artigocientifico.uol.com.br/uploads/artc_1202929819_49.pdf. Acesso
em: 22 set. 2008.
MOODY, D. L., KORTINK, M. A. R., 2000, “From Enterprise Models to
Dimensional Models: A Methodology for Data Warehouse and Data Mart
Design”. In: Proceedings of the International Workshop on Design and
65
Management of Data Warehouses (DMDW), M. Jeusfeld, H. Shu, M. Staudt,
G. Vossen (eds.), Stockholm, Sweden (Jun).
OLIVEIRA, José Maria de, MARTINS, Vidigal Fernandes, SEGATE, Susiane
Oliveira. O Papel do COBIT na governança de TI. Disponível em:
<http://www.niltonandrade.com.br/index.php?option=com_content&task=
view&id=51&Itemid=61>. Acesso em: 24 out. 2008. MBA - AUDITORIA E
PERÍCIA.
PAPA FILHO, Sudário e VANALLE, Rosangela M. O uso da informação como
recurso estratégico de tomada de decisão – ENAGE 2002
PELTIER. Apostila: Políticas, procedimentos e normas da Segurança da
Informação – Netto, Gilbeto, Allemand, Marcos, Freire, Pedro, Mendonça,
Maria do Carmo. 2004
Pilz, disponível em:
<http://www.pilz.com/knowhow/standards/standards/index.pt.jsp>.
Acesso: 17 out. 2008.
POLLONI, Eurico G. F. Administrando Sistemas de Informação. São Paulo:
Futura, 2000.
RAMOS, Fábio Furtado; NBR-ISO/IEC 17799: Benefícios e aplicações, março /
2002.
RAMOS, F.F. Análise de Risco: o que se diz é o que realmente se faz?
Disponivel em: <http://www.malima.com.br/article_read.asp?id=339>. Acesso
em: 27 out. 2008.
ROCHA, José Antonio Meira da. Modelo de Trabalho de Conclusão de Curso
(TCC).
disponível
em:
<http://www.meiradarocha.jor.br/uploads/1021/196/modelo
_de_projeto_de_TCC-2006-06-12a.sxw>. Acesso: 12 jun. 2006.
SANTANNA, Carlos, Segurança da Informação: O inicio é o começo.
Disponível em: <http://internativa.com.br/artigo_seguranca_02.html>. Acesso
em: 12 nov 2008.
SÊMOLA, Marcos, Gestão da segurança da Informação: visão executiva da
segurança da informação. Editora Elsevier Rio de Janeiro, 2003.
SIEWERT, Vanderson C. A constante Evolução da Segurança da
Informação. TCC em Segurança da Informação em redes de computadores,
CTAI, Florianópolis, 2007.
SILVA, Antonio B. O., CAMPOS, Marcus Jose de Oliveira e BRANDÃO,
Wladmir Cardoso, Proposta para um esquema de classificação das fontes
66
de informação para o negócio. Revista de Ciência da Informação. v. 6, nº. 5
out. 2005
TAPSCOTT, Don. Economia Digital, São Paulo: Makron, 1997.
TEECE, D Capturing value from knowledge assets. California management
Review 1998
THUMS, Jorge. Acesso à realidade: técnicas de pesquisa e construção do
conhecimento. Porto Alegre: Sulina/Ulbra, 2000.
3Elos
Segurança
em
TI.
Disponível
<http://www.3elos.com.br/produtos/classificacaodainformacao.php>.
Acesso em: 29 set. 2008.
em: