DEPARTAMENTO DE CINCIA DA COMPUTAO ESPECIALIZAO EM GESTO DA SEGURANA DA INFORMAO
SILVANA CRISPIM LOUREIRO
SEGURANA DA INFORMAO Preservao das Informaes Estratgicas com Foco em sua Segurana
Orientador: Prof. Dr. Jacir Bordim
Braslia, 14 janeiro de 2008
II
UNIVERSIDADE DE BRASLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CINCIA DA COMPUTAO ESPECIALIZAO EM GESTO DA SEGURANA DA INFORMAO
SILVANA CRISPIM LOUREIRO
SEGURANA DA INFORMAO Preservao das Informaes Estratgicas com Foco em sua Segurana
Monografia apresentada ao Departamento de Cincia da Computao da Universidade de Braslia como parte dos requisitos para obteno do ttulo de ps-graduada em Gesto da Segurana da Informao e Comunicaes.
Orientador: Prof. Dr. Jacir Bordim
Coordenador: Prof. Dr. Jorge H C Fernandes
Braslia, 14 janeiro de 2008
III
SEGURANA DA INFORMAO Preservao das Informaes Estratgicas com Foco em sua Segurana
Silvana Crispim Loureiro
Monografia de Especializao submetida e aprovada pela Universidade de Braslia como parte do requisito parcial para a obteno do certificado de Especialista em Cincia da Computao: Gesto da Segurana da Informao.
Aprovada em: 01 de dezembro de 2008
_________________________________________ Prof. Dr. Jacir Bordim Universidade de Braslia
_________________________________________ Prof. Dr. Jorge H C Fernandes Universidade de Braslia
_________________________________________ Prof. Dr. Joo Gondim Universidade de Braslia
Coordenador do curso: Prof. Dr. Jorge H C Fernandes Universidade de Braslia
IV
Determinao coragem e autoconfiana so fatores decisivos para o sucesso. Se estamos possudos por uma inabalvel determinao conseguiremos super-los. Independentemente das circunstncias, devemos ser sempre humildes, recatados e despidos de orgulho .
Dalai Lama
V
Dedico
Este trabalho ao meu marido e meus filhos que me incentivaram neste desafio.
VI
SUMRIO 1 INTRODUO ....................................................................................................... 10 1.1 Objetivos .........................................................................................................................11 1.1.1 Objetivo Geral ............................................................................................................................... 11 1.1.2 Objetivos Especficos .................................................................................................................... 11 1.2 Justificativa .................................................................................................................... 12 1.3 Metodologia ................................................................................................................... 12 1.4 Organizao do Trabalho ............................................................................................... 13 2 MELHORES PRTICAS ASSOCIADAS SI ....................................................... 14 2.1 O Que Segurana da Informao e Comunicao ...................................................... 15 2.2 Metodologias em segurana da informao ................................................................... 17 2.3 Norma ABNT NBR ISO/IEC 27002 ................................................................................ 19 2.4 Norma ABNT NBR ISO/IEC 27001:2006 ........................................................................ 20 2.5 ITIL ................................................................................................................................ 21 2.6 COBIT ........................................................................................................................... 24 2.6.1 Aplicabilidade do COBIT ............................................................................................................ 24 2.7 Comparando as Normas de Segurana ......................................................................... 25 2.8 A importncia de realizar a Anlise de Risco .................................................................. 26 3. GESTO DE ATIVOS EM UMA ORGANIZAO ................................................ 29 3.1 Responsabilidade Sobre os Ativos ................................................................................. 30 3.1.1 Inventrio dos Ativos ..................................................................................................................... 30 3.1.2 Proprietrio dos Ativos .................................................................................................................. 31 3.1.3 Uso Aceitvel de Ativos ................................................................................................................. 32 3.2 Classificao da Informao .......................................................................................... 32 3.2.1 Contabilizando os ativos .............................................................................................................. 35 3.2.2 Classificando os ativos ................................................................................................................. 35 3.2.3 Classificao da informao quanto aos requisitos de segurana .............................................. 35 3.2.4 Classificao de Relevncia dos Ativos ....................................................................................... 35 3.3 Rtulos e Tratamento da Informao ............................................................................ 35 3.4 Ciclo de Vida da Informao .......................................................................................... 36 4 INFORMAO E ESTRATGIA.......................................................................... 38 4.1 Definies e conceitos sobre Informaes .................................................................... 39
VII 5. ASPECTOS LEGAIS, POLTICAS E PROCEDIMENTOS ................................... 42 5.1 Legislao sobre Segurana da Informao e Comunicao ........................................ 42 5.2 Poltica Nacional de Segurana das Informaes ......................................................... 42 5.3 Leis ............................................................................................................................... 43 5.4 Decretos ....................................................................................................................... 43 5.5 Normas ......................................................................................................................... 43 5.6 Poltica de segurana da informao, padres e procedimentos .................................. 44 5.7 Decises do Tribuna de Contas da Unio - TCU ........................................................... 44 5.8 Consideraes sobre a Poltica Nacional de Segurana das Informaes ..................... 46 6. GERENCIAMENTO DAS INFORMAES ESTRATGICAS.............................. 49 6.1 Nveis da informao e tipos de informaes estratgicas ............................................. 50 6.2 Caracterstica da Informao Estratgica ...................................................................... 52 7. IDENTIFICANDO AS INFORMAES ESTRATGICAS DA AGU ..................... 53 7.1 Situao Atual das Bases de Dados Estratgicas da AGU ............................................ 53 7.2 Levantamento dos Procedimentos de Segurana Existentes na AGU ........................... 54 8. CONSIDERAES FINAIS .................................................................................. 58 REFERNCIAS BIBLIOGRFICAS ......................................................................... 62
VIII RESUMO
Este estudo tem como objetivo realizar uma reviso bibliogrfica acerca da Segurana da Informao, especialmente tratando da preservao das informaes estratgicas e contribuir para ressaltar sua importncia para a Advocacia-Geral da Unio - AGU. Na primeira parte do trabalho apresentada uma pesquisa bibliogrfica para nivelamento dos conceitos relacionados informao, normas e melhores prticas existentes e aspectos legais, ressaltando o valor da informao, como recurso estratgico para organizao.
O foco do estudo ser a Advocacia-Geral da Unio, que como outras organizaes da Administrao Pblica Federal (APF) necessitam de informaes seguras e confiveis para tomada de deciso. Novos modelos para tratar de segurana tm sido propostos, mas so sempre voltados para parte tecnolgica, esquecendo que a mudana de cultura, programas de conscientizao e o apoio da alta direo so fatores primordiais para alcanar o sucesso.
Na concluso, apresenta sugestes de medidas a serem tomadas para aprimorar a Segurana da Informao, na Advocacia-Geral da Unio podendo at servir para utilizao em outras organizaes que ainda no iniciaram estudos para atender o Decreto N 3.595, que institui a Poltica de Segurana nos rgo e entidades APF.
Palavras-chave: ABNT NBR ISO/IEC 27002 e 27001, Segurana da Informao, Ativos, Classificao da Informao.
IX ABSTRACT
This study aims to conduct a review of the Security of Information, particularly the preservation of strategic information and also to help to emphasize its importance for the organization. In the first part of the work will be presented a literature search for to study the concepts related to information, standards and best practices and legal aspects, emphasizing the value of information, such as strategic resource for organization.
The focus of the study will be the Advocacia-Geral da Unio (General Counsel of the State) and other organizations that the federal government needs to secure and reliable information for decision-making. New models for dealing with security have been proposed, but they are always focused on the technological but they forget that the change of culture, awareness and support programs for the high direction are key factors for achieving success.
In conclusion, offering suggestions for measures to be taken to implement the models of Security of Information in Advocacia-Geral da Unio (General Counsel of the State), and also it could even serve to use in other organizations that have not begun studies to of the Decree No. 3595, that establishing the Security Policy in APF and others entities.
Keywords: ABNT-NBR-ISO/IEC 27002 and 27001, Information Security, Assets, Classification of Information.
1 INTRODUO Quem tem o conhecimento e sabe como utiliz-lo em seu beneficio, tem o poder. POLLONI (2000)
Diante do avano tecnolgico imposto ao mundo moderno, as organizaes tiveram que se adequar, estabelecendo polticas e procedimentos de segurana fundamentais para a gesto da segurana da informao e comunicaes. A segurana da informao evoluiu e no est apenas focada na confidencialidade da informao como anteriormente. Atende tambm os requisitos de assegurar disponibilidade, integridade, a autenticidade das informaes. Todas as organizaes esto em busca de comunicaes seguras, dos sistemas seguros e de tcnicas que permitam manipulao e armazenamentos seguros das informaes estratgicas. A Advocacia-Geral da Unio - AGU foi criada pela Constituio de 1988, figurando como uma das funes essenciais justia. Tem como objetivo assessorar o Presidente da Repblica em assuntos de natureza jurdica, alm de representar judicialmente a Unio em atividades de consultoria. Para executar suas atribuies com segurana a AGU precisa conhecer suas informaes para traar estratgias jurdicas. Neste cenrio, a pergunta-problema a ser respondida : Com base na proteo das informaes, o que ocorreria se a AGU no tivesse o controle e acompanhamento das aes em que atua? Este trabalho visa realizao da anlise das informaes estratgicas existentes na Advocacia-Geral da Unio e, com base nas orientaes estabelecidas pela Norma ABNT NBR ISO/IEC 27002, demonstrar os equvocos hoje existentes no armazenamento e tratamento destes dados. Como resultado, ser apresentado um modelo para o correto tratamento dessas informaes, tornando-as seguras, sem torn-las inacessveis ou ineficazes.
11 A importncia deste estudo para Advocacia-Geral da Unio garantir que as informaes estratgicas estejam protegidas e prontamente disponveis ao processo estratgico do negcio, permitindo garantir o planejamento nas aes que sustentam as necessidades do negcio. De acordo com Miranda (1998), a gesto da informao fundamental para o desenvolvimento das organizaes e nesse contexto o Tribunal de Contas da Unio TCU, em suas auditorias com abordagem em segurana da informao, em rgos da Administrao Pblica Federal - APF, tem determinado que se inventarie os ativos de informao e estabelea critrios para a classificao desses ativos (Acrdo n. 1.092/2007 do TCU). As auditorias realizadas pelo TCU objetivam avaliar se a gesto da segurana da informao est sendo efetivamente implementada e executada de modo a propiciar um ambiente seguro e disponvel no qual as ameaas e vulnerabilidades sejam conhecidas e controladas. 1.1 Objetivos 1.1.1 Objetivo Geral Apresentar uma proposta de modelo para tratamento das informaes estratgicas, em consonncia com a norma ABNT NBR ISO/IEC 27002. 1.1.2 Objetivos Especficos Identificar as informaes consideradas estratgicas para a AGU; Levantar os procedimentos de segurana existentes na AGU com relao ao trato de suas informaes estratgicas; Identificar os pontos em desacordo com a norma ABNT NBR ISO/IEC 27002; Apresentar novos procedimentos, seguindo as orientaes da norma ABNT NBR ISO/IEC 27002, de forma a diminuir ou eliminar os problemas detectados.
12 1.2 Justificativa A AGU, como as demais organizaes da atualidade, est em busca de processos seguros que garantam a disponibilidade, integridade, confidencialidade e autenticidade de suas informaes estratgicas. Atualmente o processo de segurana efetuado no adota um modelo especfico que possa ser avaliado e retroalimentado, ou seja, est no nvel de maturidade inicial efetuando esforos individuais e procedimentos informais. Como rgo essencial ao desempenho da justia, a AGU deve ter seus procedimentos baseados em normas de segurana j consagradas e em consonncia com os demais rgos do governo federal. Deste modo, este trabalho se justifica no sentido de atender essa necessidade seguindo as orientaes das melhores prticas adotadas no mercado de maneira a garantir que as informaes estratgicas estejam protegidas e prontamente disponveis aos processos estratgicos do negcio da AGU. 1.3 Metodologia A metodologia utilizada para as anlises desenvolvidas neste trabalho baseou-se no mtodo indutivo de anlise qualitativa, classificando-a como qualitativa e bibliogrfica, apresentado por Marconi e Lakatos (2003) e teve por meta a busca por meio desta, de elementos que subsidiassem de forma qualitativa os pressupostos bsicos e essenciais, a interpretao e reflexo do problema objeto da pesquisa. A pesquisa ter um carter metodolgico-descritivo, no qual os fatos sero observados, analisados, registrados, classificados e por fim interpretados de forma concisa e embasados em referncias bibliogrficas, com base em mtodos comparativos. A pesquisa tambm quantitativa, na medida em que apresenta um estudo de caso, cujos dados a serem apresentados so oriundos de trabalhos de campo e de medies realizadas em ambiente informatizado da Advocacia- Geral da Unio.
13 1.4 Organizao do Trabalho Este trabalho est organizado em captulos. No segundo captulo so tratados os principais conceitos relacionados segurana da informao e s normas e padres que facilitam o seu entendimento. O objeto do terceiro captulo a gesto de ativos, ou seja, a informao com capacidade de adicionar valor a processos, produtos e servios e as metodologia de classificao dos ativos. O quarto captulo trata do relacionamento entre ativos, informao e estratgia, enfatizando a importncia da gesto da informao nas organizaes da Administrao Pblica Federal com o propsito de apresentar a gesto de informao dentro de um referencial estratgico sendo um fator de crescimento e sustentabilidade das organizaes. O quinto captulo faz uma breve apresentao sobre os aspectos legais, polticas, leis, decretos sobre a segurana da informao. O sexto captulo apresenta estudo de levantamento das informaes estratgicas. O stimo captulo apresenta o estgio atual da segurana da informao na AGU. O ltimo captulo apresenta a concluso do trabalho com o foco na gesto estratgica da informao na Advocacia-Geral da Unio.
14 2 MELHORES PRTICAS ASSOCIADAS SI A expresso segurana da informao normalmente usada para referenciar a proteo de informaes mantidas em componentes de TI contra as ameaas que esto expostas . Adriana Beal
A informao um dos principais ativos da organizao e como tal deve ser preservada em um ambiente seguro. Aplicar a Segurana da Informao no mais um modismo, hoje se refere a uma necessidade estabelecida por normas e padres tcnicos. Para Ferreira (2003) implantao de um conjunto de boas prticas em segurana da informao minimiza as chances de ocorrem problemas de segurana e facilita a administrao das redes e dos recursos de forma segura. Entre os rgos da APF podemos citar a Receita Federal e o SERPRO como instituies que tem adotado os controles recomendados para segurana da informao e possuem programas de conscientizao dos usurios. Nas auditorias realizadas pelo Tribunal de Contas da Unio, o tribunal recomenda a conformidade e o desempenho dessas aes com bases na norma ABNT NBR ISO/IEC 27002. De acordo com o Manual de Boas Prticas do TCU (2003) O objetivo dessas fiscalizaes contribuir para o aperfeioamento da gesto pblica, para que a Tecnologia da Informao agregue valor ao negcio da Administrao Pblica Federal em beneficio da sociedade. Neste contexto, segundo resenha da empresa Logike Associados, TEECE (1998) considera a informao como um ativo capaz de ter fluidez semelhante de bens acabados, bens intermedirios e outros bens e no caso da informao elas circulam sem a proteo devida.
15 2.1 O Que Segurana da Informao e Comunicao A Instruo Normativa n. 1 do Gabinete de Segurana Institucional da Presidncia da Repblica, na qualidade de Secretaria Executiva do Conselho de Defesa Nacional conceitua Segurana da Informao e Comunicaes como aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes e considera: as informaes tratadas no mbito da Administrao Pblica Federal, direta e indireta, como ativos valiosos para a eficiente prestao dos servios pblicos; o interesse do cidado como beneficirio dos servios prestados pelos rgos e entidades da Administrao Pblica Federal, direta e indireta; o dever do Estado de proteo das informaes pessoais dos cidados; a necessidade de incrementar a segurana das redes e bancos de dados governamentais; e a necessidade de orientar a conduo de polticas de segurana da informao e comunicaes j existentes ou a serem implementadas pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. Para a Norma ABNT NBR ISO/IEC 27002 no item 01. Introduo apresenta a seguinte definio para o assunto: A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades (ver OECD Diretrizes para a Segurana de Sistemas de Informaes e Redes). A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao
16 negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. (ABNT NBR ISO/IEC 27002). A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio, ABNT NBR 27002. O Decreto 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal no seu artigo 2 faz a seguinte conceituao no item II: II - Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu desenvolvimento. Peltier (2004, p.3) diz que alm dos conceitos acima, a segurana deve ser parte de um programa de segurana, onde poltica, padres e procedimentos so elementos chaves para garantir nveis apropriados de controle que garantam esse recurso, observando que uma poltica de segurana no se restringe a tecnologia da informao ou procedimentos de auditoria, deve ser objeto de todas as polticas da organizao. Segundo Dias (2000), segurana proteger as informaes, sistemas, recursos e servios contra erros, manipulao no autorizada e desastres visando reduo do impacto e diminuir a probabilidade de incidentes de segurana.
17 Podemos ento, concluir com Ferreira (2003), que a segurana da informao protege a informao dos diversos tipos de ameaas, garantindo a continuidade dos negcios, minimizando os danos e maximizando o retorno dos investimentos. 2.2 Metodologias em segurana da informao As normas surgiram da preocupao com a segurana desde a criao e utilizao dos primeiros computadores. Segundo Longo (2006) em seu artigo sobre o histrico e evoluo das normas de segurana, o marco da primeira tentativa de criar regras para proteo dos dados foi em 1967, nos Estados Unidos. Para esta atividade foi estabelecida uma "fora tarefa", que deu origem ao documento "Security Control for Computer System: Report of Defense Science Board Task Force on computer Security, editado por W. H. Ware. Este documento originou a criao de um conjunto de regras para segurana de computadores. Em 1972, J. P. Anderson produziu um modelo de relatrio tcnico que apresenta sua preocupao com os processos que envolvem a segurana dos dados em computadores. Este modelo juntamente com os modelos elaborados por D.E. Bell e por L. J. La Padula originou o modelo "Doctrine", que serviu de base para vrios estudos com objetivos de estabelecer melhores prticas na segurana dos dados (Longo, 2006). Em 1985 foi publicada a primeira verso de um manual de segurana, para tratar da questo da Segurana de Dados, chamado de "DoD Computer Security Initiative". Para chegar a este modelo final foi necessrio criar regras e estabelecer processos e procedimentos para validao. Estas regras so tambm conhecidas como de "The Orange Book", devido cor laranja da capa deste manual de segurana. Este foi o incio da criao de padres de segurana. A partir dele foram criados outros padres utilizando a mesma filosofia e mtodos proprietrios (Longo, 2006).
18 Com objetivo de chegar a um padro que atendesse vrias necessidades do mercado, novos estudos foram realizados at concluir uma norma com a viso mais ampla da segurana, ou seja, de toda ou qualquer forma de informao. Desse estudo nasceu a norma ISO/IEC 17799 (Longo, 2006). De acordo com a empresa PITZ 2008, uma norma uma regra reconhecida legalmente por todos e concluda, com validade geral, bem como publicada atravs de um processo de normalizao para soluo de uma realidade. Para Ferreira (2003), esta necessidade em busca de padres deve-se s reas de TI tentar encontrar um modelo de segurana que atenda suas necessidades e a dificuldade de manter o controle desse modelo em suas reas, uma vez que as evolues tecnolgicas criam necessidades constantes. As organizaes esto expostas quebra dos princpios bsicos de segurana a todo instante. Os pontos bsicos a serem tratados so a cultura de segurana da informao e o foco do negcio, Siewert (2007). A colocao de Albuquerque (2006) de que a tecnologia disponvel para garantir a segurana da informao no ser eficaz se o foco for somente a tecnologia ao invs dos objetivos estratgicos do negcio das organizaes. Segundo uma pesquisa da Ernst&Young, o principal motivo pelo qual uma empresa investe em segurana a obrigao no cumprimento de normas e regulamentaes (CAUBIT, 2006). As organizaes devem alinhar suas aes com as melhores prticas para proteo e controle da informao. Os padres de mercado mais aceitos pelas reas do governo e empresas, segundo pesquisa da INFOSEC COUCIL(2006), so a norma ABNT NBR ISO/IEC 27002, COBIT e o ITIL, sendo que cada uma dessas prticas possui abordagem e escopo diferentes, como podemos verificar a seguir.
19 2.3 Norma ABNT NBR ISO/IEC 27002 No entendimento de Asciutti (2006), a norma ABNT NBR ISO/IEC 27002 um manual de boas prticas de gesto de segurana da informao que tem como objetivo identificar os riscos e implantar medidas que de forma efetiva torne estes riscos gerenciveis e minimizados. Ele conclui que a sua importncia pode ser verificada pelo grande nmero de pessoas e ameaas a quem a informao exposta na rede de computadores. O nome completo da norma Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da informao e o seu contedo tcnico idntico ao da ABNT NBR ISO/IEC 17799. A proteo ocorre a partir da implementao de uma srie de controles como, por exemplo, a poltica de segurana, a classificao e controle dos ativos de informao, segurana fsica do ambiente, entre outros. A implantao desses controles no garante que a organizao esteja 100% segura. O que se procura reduzir os riscos a um nvel aceitvel pela organizao. Com o foco na gesto de informaes estratgicas a implantao desse padro de segurana da informao, baseado em controles, contempla os seguintes aspectos de qualidade da informao, segundo Ferreira (2003): Confidencialidade: apenas pessoas autorizadas podem acessar as informaes; Integridade: garantia que dados e sistemas esto corretos; Disponibilidade: usurios autorizados devem ter acesso s informaes necessrias; Confiabilidade: a imagem da instituio deve ser protegida.
20 Esta norma apresenta orientaes efetivas para o processo de segurana da informao na organizao elencando os principais elementos desse processo devem ser desenvolvidos e implantados. O mais importante do que buscar a conformidade total com esta norma conhecer a lista de recomendaes e extrair o que puder ser til para a organizao. 2.4 Norma ABNT NBR ISO/IEC 27001:2006 A norma ABNT NBR ISO/IEC 27001:2006 uma norma que possibilita s organizaes a implementao de um Sistema de Gesto da Segurana da Informao (SGSI), atravs do estabelecimento de uma poltica de segurana, controles e gerenciamento de riscos. Inclui o ciclo PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) de melhorias e apresenta uma viso por processos. Segundo a Fundao Vanzolini (2008), o PDCA um mtodo de gesto que se caracteriza por um ciclo de aes que se repete continuamente de forma a incorporar alteraes no ambiente. Seu emprego garante uma efetiva gesto da empresa. Esta norma bastante utilizada como referncia em auditorias e serve como instruo normativa para toda administrao pblica. Seu objetivo fundamental proteger as informaes das organizaes para que no caiam em mos erradas ou se percam para sempre. A norma ABNT NBR ISO/IEC 27001 esta dividida em 11 captulos principais renomeados e reorganizados conforme segue: 1. Polticas de Segurana; 2. Organizando a Segurana da Informao; 3. Gerenciamento de ativos; 4. Segurana dos Recursos Humanos; 5. Segurana Fsica e Ambiental; 6. Gerenciamento das Comunicaes e Operaes;
21 7. Controle de Acessos; 8. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; 9. Gerenciamento de Incidentes na Segurana da Informao; 10. Gerenciamento da Continuidade do Negcio; 11. Conformidade. Nesta norma o conceito de ativos foi ampliado para incluir pessoas e imagem/reputao da organizao, alm dos ativos de softwares, ativos fsicos e servios j existentes na verso de 2000. 2.5 ITIL No entendimento de Beal (2008), o ITIL (Information Technology Infrastructure Library) um conjunto de documentos para registrar melhores prticas para a gesto de servios de TI, desenvolvidos pelo governo do Reino Unido no final dos anos 80. Dita as regras de qualidade e eficincia nas organizaes. O processo de melhor prtica promovido no ITIL apoiado pelo padro da Instituio Britnica de padres para o servio de gerenciamento IT (BS15000). O ITIL tem a funo de enderear estruturas de processos para a gesto de uma organizao de Tecnologia da Informao TI, apresentando um conjunto bastante genrico de processos e procedimentos gerenciais, organizados em disciplinas. Por meio deles uma organizao esta capacitada a realizar a gesto ttica e operacional objetivando alcanar o alinhamento estratgico com os negcios. As melhores prticas da ITIL tm como objetivos: Servir de inspirao para melhorar seus processos de TI; Sugerir onde possvel chegar, com base no resultado positivo que outras empresas j conseguiram resultados;
22 Sugerir para que sirvam os processos e prticas; Sugerir por que adotar os processos e prticas.
Segundo INFOSEC COUCIL(2006), na gesto de segurana da informao, o ITIL possui um processo especfico para a segurana da informao, enfatizando a importncia do adequado gerenciamento de segurana e considerando os acordos de nvel de servios - SLAs, entre os processos de negcio e os de TI. O ITIL recomenda ainda que o gerenciamento de segurana faa parte do trabalho de cada gerente, em todos os nveis, e recomenda firmemente alguns procedimentos que visam evoluo da organizao: Publicar um catlogo de servios com um descritivo dos seus servios, com as condies que atendem a cada requisito do negcio; Estabelecer com cada cliente interno um SLA acordo de nvel de servio; Estabelecer com os provedores de servios os SLA, inclusive com as penalidades legais; Levantar os bancos de dados existentes e detalhar os ativos, inclusive valorando a informao; Criar service desk como ponto central e focal de contatos de todos os usurios da rea de TI. O objetivo conhecer todos os incidentes com foco na continuidade de servios e manter o SLA com os clientes; Implementar gesto de problemas, rea em que so identificados e estudados os incidentes, determinando suas causas e as medidas para evit-los. Nesta abordagem possvel identificar onde a segurana est falhando;
23 Implementar gesto de mudanas, que coordenar todas as mudanas da rea de TI baseando-se na documentao dos incidentes; Criar comit de mudanas, que avaliar e autorizar as mudanas necessrias. composto por representantes de todas as reas de TI e vai ser o facilitador da introduo de novas medidas de segurana; Estabelecer a gesto de liberdade, com objetivo de controlar a implantao e distribuio de novas verses de softwares. A ITIL no uma metodologia, pois as melhores prticas so flexveis podendo adaptar aos processos da organizao, j uma metodologia possui uma implementao mais rgida, com regras bem definidas. No ITIL tudo pode depende da maneira que voc visualiza o padro. Entre os principais objetivos da adoo da melhores prticas da ITIL podemos destacamos: Alinhar os Servios de TI com as necessidades atuais e futuras do negcio e seus clientes; Melhorar a qualidade dos servios de TI; Reduzir custos na proviso de servios. A revista Computer World (2007) apresentou estudo onde conclui que as empresas com uma cultura de melhores prticas adotam o ITIL mais rapidamente, fazendo-o de forma extensiva. Alm disso, este ajuda a gerar negcio para as companhias e a melhorar a produtividade. Contudo, o estudo revelou, tambm, que fora da organizao de TI, o ITIL um conceito desconhecido
24 2.6 COBIT De acordo com OLIVEIRA, MARTINS, SEGATE (2005) o COBIT (Control Objectives for Information and related Technology) um conjunto de diretrizes para gesto e auditoria de processos, prticas e controles de TI. Seu principal objetivo auxiliar a organizao equilibrando risco x retorno em investimentos de TI. Oferece um modelo de maturidade para controle e processos de TI que abrange prticas em quatro domnios: Planejamento e organizao, aquisio e implementao, entrega e suporte e monitorao. Possui mais de 300 pontos de controle para 34 processos, sendo um deles o de segurana da informao. Em termos de informao, o COBIT define os seguintes critrios: Eficcia, Eficincia, Confidencialidade, Integridade, Disponibilidade, Conformidade, Confiabilidade. A combinao desses elementos depende da natureza do processo de TI. Vale ressaltar que o COBIT um modelo amplamente reconhecido e utilizado, no Brasil e no mundo, no mbito da tecnologia da informao, tanto por gerentes de informtica como por auditores de TI. 2.6.1 Aplicabilidade do COBIT De acordo com os diferentes autores, o COBIT pode ser aplicado em diferentes projetos e processos internos, abaixo seguem alguns exemplos: Conformidade com leis e regulamentaes. O COBIT permite definir, por meios dos seus modelos, um programa de implementao do sistema de controles internos, ao menos nas questes dependentes de TI. Projetos de auditoria externa, a automao desse processo permite uma boa escabilidade em grandes empresas. O Check-up Tool, ferramenta de anlise de riscos, possibilita avaliar os controles existentes de segurana da informao com base na ABNT NBR
25 ISO/IEC 27002, associando-os aos respectivos processos do COBIT. Projetos de Terceirizao de Servios, que exijam, por exemplo, uma avaliao do nvel real de maturidade dos processos associados manuteno da TI. O COBIT no prev um processo de certificao de suas prticas, mas admite avaliao destas por meio de relatrios de auditria. 2.7 Comparando as Normas de Segurana
Todas as normas apresentadas tm seu diferencial e sua importncia na segurana das informaes estratgicas. A norma ABNT ISO/IEC 27002 prope a implantao de controle para garantir a segurana da informao enfatizando o que deve ser feito sem preocupar com os processos ou tecnologias para atingir este objetivo. Para atingir o objetivo deve ser utilizada em conjunto com outras normas, como a ABNT ISO/IEC 27001. A norma ABNT NBR ISO/IEC 27001 especifica como implantar os controles da norma ABNT NBR ISO/IEC 27002 e para isso prope um modelo de gesto SGSI. O ITIL sugere a implantao de melhores prticas para a gesto de TI com o foco no negcio da empresa, garantindo a entrega dos servios em um custo adequado para organizao. E finalmente o COBIT que permite o acompanhamento e a comparao das prticas de controles e segurana de TI alm de assegurar aos usurios a existncia de controles. Suas diretrizes so bastante utilizadas no trabalho de auditoria realizado pelo TCU e por outras empresas. Por ser orientado ao negcio capaz de fornecer informaes detalhada para gerenciar processos baseados em objetivos de negcios. A tabela 1 apresenta uma comparao entre as normas de segurana da informao apresentadas captulo:
26 Tabela 1 Comparativo entre normas de segurana da informao Norma Aspectos Positivos Observaes ABNT NBR-ISO/IEC 27002 Tem o controle de segu- rana. Os controles so recomendaes. No possvel obter certificao ABNT NBR-ISO/IEC 27001 Implementa um sistema de gesto da segurana Os itens so obrigatrios. possvel obter a certificao. ITIL Processos de operao (o que deve ser feito). Foco no negcio, gesto de servios de TI. Deve ser utilizado juntamente com COBIT COBIT Possui mtricas, controles e processos. Utilizar juntamente com ITIL. 2.8 A importncia de realizar a Anlise de Risco A anlise de risco uma tendncia atual das organizaes preocupadas em saber qual o seu grau de exposio frente s ameaas capazes de comprometer a segurana do seu negcio. Brasiliano (2008) define risco como a condio que aumenta ou diminui o potencial de perdas, ou seja, o risco a condio existente. Nestas condies o risco uma possibilidade do acontecimento ocorrer. Este acontecimento deve ser incerto no pode existir certeza que vai ocorrer, deve ser furtivo ou acidental e ter a caracterstica negativa com o sentido de uma perda. O objetivo da anlise de risco identificar e classificar todos os riscos inerentes atividade da organizao, no que diz respeito a seus ativos de informao. Sendo mais abrangente que uma anlise de vulnerabilidade a analise de risco busca por todas as possibilidades de explorao de vulnerabilidades lgicas e fsicas. Para analisar risco necessrio estudar os principais processos do negcio, avaliar as vulnerabilidades e classificar o risco destes processos. A anlise de risco se divide em cinco partes de igual importncia e deve ser implantada na totalidade, pois cada etapa isolada representa pouco e juntas esto alinhadas e apontam caminhos seguros em busca de um nvel
27 adequado de segurana para uma organizao (RAMOS, 2006). Segundo o mesmo autor, as cinco etapas so: Identificao e Classificao dos Processos de Negcio Identificao e Classificao dos Ativos Anlise de Ameaas e Danos Anlise de Vulnerabilidades Anlise de Risco O resultado da anlise de risco um documento que indica para alta administrao que todos os cuidados foram tomados, para que o negcio da organizao transcorra em segurana. Deve ser elaborada a relao dos ativos e indicado o seu valor e quais controles devem ser implementados estabelecendo os prazos. Ramos (2006) recomenda utilizar como referncia as melhores prticas de segurana da informao do mercado, apontada na norma ABNT NBR ISO/IEC 27002. A partir das informaes levantadas faz a elaborao do perfil de risco, utilizando a frmula: Ameaa x Vulnerabilidade x Valor do Ativo = RISCO Os produtos gerados da analise de risco so a planilha de identificao e classificao dos ativos, relatrio executivo de riscos e um relatrio tcnico que lista as vulnerabilidades classificadas por grau de risco, descrio para correo e outras informaes relacionadas. Para que seja implantada com eficcia a anlise de risco necessita do apoio da alta direo da empresa, pois envolve alterao dos valores culturais existentes. Uma organizao que possui a anlise de risco efetivamente implantada e retro-alimentada agrega solidez informao corporativa.
28 Benefcios de uma anlise de risco segundo a empresa AXUR (2008) so: Maior capacidade de controle, a partir do conhecimento das principais ameaas e vulnerabilidades ao ambiente de negcio; Compreenso de riscos de tecnologia, riscos administrativos e riscos fsicos de comprometimento da Segurana da Informao; Maior capacidade de otimizao de investimentos em Segurana da Informao; Gesto de Riscos em conformidade com as principais normas do mercado, em especial a ISO 27001; Sistematizao do processo atravs de ferramenta de apoio para gesto de riscos; importante entender que anlise de risco diferente de anlise de vulnerabilidade. A anlise de risco garante que uma organizao tomou os cuidados necessrios para que seus planos se concretizem. Quando a anlise de risco instituda formalmente gerado um documento identificando quais controles devem ser implementados e em que tempo, uma avaliao do valor da informao e a que custo ela vai ser protegida. Uma anlise de risco deve ser feita antes de uma organizao iniciar um projeto ou novo processo de negcio. A equipe a ser envolvida deve ser de tcnicos especialistas em anlise de riscos e no negcio da organizao. Verificando artigo da Expresso Digital (2007), de que alto o nmero de incidentes de segurana que ocorrem nas redes de rgos da administrao pblica, sendo que no primeiro quadrimestre de 2007 mais de 1,1 milho foram detectados. Podemos entender que fazer uma gesto do risco na AGU vai permitir identificar e implementar medidas de proteo necessrias para diminuir os riscos a que as organizaes pblicas esto expostas (Diretoria de Segurana da Informao e Comunicao DSIC).
29 3. GESTO DE ATIVOS EM UMA ORGANIZAO A Segurana de Informao objetiva garantir requisitos mnimos e essenciais para preservar o negcio da organizao, atender os requisitos legais e principalmente resguardar a imagem da organizao. Para ICP Brasil (Infra-estrutura de Chaves Pblicas Brasileira), ativo de informao o patrimnio composto por todos os dados e informaes geradas e manipuladas durante a execuo dos sistemas e processos de uma organizao. tudo que a organizao possui envolvido nos seus processos e que de extrema importncia para seu negcio. Os ativos da organizao envolvem as pessoas, a informao e a tecnologia empregadas em cada processo. A proteo dos ativos deve ser implantada em todas as reas da organizao, pois a informao encontrada em diversos meios como: em uma mesa de trabalho, em papis sobre a mesa, no lixo descartado, armazenado eletronicamente nas estaes de trabalho e nos servidores, no e-mail, e em diversos outros locais. A organizao deve observar o tipo de informao que as pessoas tratam para poder estabelecer o nvel de segurana necessria. A proteo dos ativos o objetivo da segurana da informao que leva em conta os objetivos fundamentais listados abaixo como princpios bsicos da segurana da informao: Confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas. Integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento de forma que as alteraes sejam planejadas e autorizadas. Disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
30 Autenticidade: Garantir a veracidade do emissor, sendo genuno e que possa ser verificado quanto sua confiana. Recentemente outros dois objetivos tm sido bastante discutidos: No Repdio: Garantir a autoria de determinadas aes impedindo o repdio (negao) da mesma. Conformidade: Garantir que as medidas legais cabveis so aplicadas quando necessrias. A figura 1 apresenta o modelo dos objetivos da segurana da informao. Figura 1 Objetivos da Segurana da Informao
Fonte: adaptado da apostila do curso de GESIC 2008 prof. Gilberto 3.1 Responsabilidade Sobre os Ativos Segundo a ABNT NBR ISO/IEC 27001:2006 (p. 16) o objetivo de identificar os responsveis pelos ativos alcanar e manter a proteo adequada dos ativos da organizao. 3.1.1 Inventrio dos Ativos O inventrio dos ativos, conforme acrdo do TCU a classificao do nvel de confidencialidade de cada ativo e a definio de procedimentos para garantir a segurana nas diversas mdias nas quais a informao
31 armazenada ou pelas quais transmitida, como o papel, as fitas magnticas e as redes locais e externas. Segundo Ramos (2007), o primeiro passo para iniciar um inventrio identificar os ativos da organizao com o objetivo de identificar as classes de ativos (categorias) e dessa forma estruturar melhor a organizao dos ativos, no contexto da gesto do risco. As normas, em sua maioria, fazem referncia a seis grandes grupos de ativos, que so: Ativos de Informao: informao digital e em papel; Ativos de Software: sistemas, aplicaes, ferramentas; Ativos Fsicos: dispositivos de processamento, armazenamento, ambientes; Servios: servios de computao, servio de transporte de dados (aluguel de link), servio de fornecimento de energia eltrica; Pessoas: funcionrios, terceiros, estagirios; Ativos Intangveis: imagem da empresa, reputao, credibilidade, vantagem estratgica. Com estas seis categorias possvel classificar qualquer ativo (RAMOS, 2007). A funo de ter um inventrio de ativos identificar aquilo que importante, mais relevante, o foco do negcio da organizao. Nesta etapa importante no confundir a necessidade de identificar e classificar ativos relevantes e elaborar listas extensas de ativos de hardware e software. investir tempo em anlise e proteo daquilo que de fato faz diferena para o negcio. 3.1.2 Proprietrio dos Ativos
32 Para que os ativos sejam protegidos, necessrio identificar o proprietrio. O proprietrio pode ser uma pessoa ou entidade autorizada a controlar o uso e a segurana dos ativos, tornando-se o responsvel pelos mesmos. Ele vai classificar e valorar a informao de acordo com o que ela representa para a organizao. 3.1.3 Uso Aceitvel de Ativos Alm de proprietrio, os ativos da organizao possuem usurios. importante que sejam criadas regras que iro compor a poltica da empresa quanto a permisses de uso das informaes e de ativos associados aos recursos de processamento das informaes. Cada usurio deve conhecer e cumprir essa poltica para uso dos recursos, a fim de no comprometer a empresa e ao prprio usurio. Exemplos de ativos que necessitam de cuidados especiais quanto ao seu uso so: Internet, Correio eletrnico, Estaes de trabalho (a estao de trabalho do usurio, assim como sua mesa ou cadeira pertence exclusivamente empresa e deve ser tratado como um recurso precioso), Notebooks, entre outros. 3.2 Classificao da Informao A classificao da Informao o processo de identificar e definir nveis e critrios adequados de proteo das informaes que garantam a sua confidencialidade, integridade e disponibilidade de acordo com a importncia para a organizao. Segundo os autores Laudon & Laudon (1996), tratando da evoluo do conceito de informao, definem a evoluo da informao a partir de 1985 at 2000 como sendo um recurso estratgico que permite vantagem competitiva se tornando uma arma para a organizao. A norma ABNT NBR ISO/IEC 27002 apresenta como objetivo da Classificao da Informao, assegurar que os ativos da informao recebam um nvel adequado de proteo. Para Ferreira (2003) classificar a informao
33 baseadas no risco do negcio, valor dos dados ou qualquer outro critrio uma questo de bom senso. A classificao da informao deve indicar sua importncia, a prioridade e o nvel de proteo, pois nem toda informao possui o mesmo valor ou uso e nem os mesmos riscos. Toda organizao deve utilizar um sistema de classificao da informao para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento, sendo que alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Apesar de no existir uma forma padronizada de se classificar a informao existente em uma organizao, segundo Kovacich (1998) ela pode ser dividida em trs categorias que so: Informao pessoal; Informao de segurana nacional; Informaes de negcio.
A classificao da informao deve atender poltica de segurana das organizaes, que invariavelmente diz que somente permitido o uso de recursos homologados e autorizados pela empresa, identificados e inventariados, protegidos, com documentao atualizada e estando de acordo com as clusulas contratuais e a legislao em vigor. A classificao deve tratar a informao durante todo o seu ciclo de vida, com nveis e critrios para sua criao, manuseio, transporte, armazenamento e descarte. Ao longo da execuo do servio ser desenvolvida a norma de classificao, caso ainda no exista na poltica de segurana vigente, e um procedimento para a classificao das informaes, abrangendo tanto os ativos de informao no formato fsico quanto no eletrnico. O procedimento ser composto por um ou mais documentos (questionrios, tabelas etc.) para levantamento do valor e impacto da perda de
34 confidencialidade, disponibilidade ou integridade das informaes, e para a classificao das informaes. Os ativos devem ser classificados primeiramente por assunto e dentro do assunto quanto aos requisitos de segurana. A classificao por assunto permite organizar a informao com um sentido lgico que faa sentido ao negcio da organizao. Dispor os ativos em categorias de assunto vai permitir ao usurio um sistema de localizao fcil de forma a ir peneirando at chegar onde o interesse. Classificando a informao quanto aos requisitos de segurana os requisitos normalmente utilizados so: sigilo, autenticidade, integridade, disponibilidade. Para o requisito de sigilo, no mbito do Decreto n 4.553/2002 que iremos ver no captulo 5, classifica os documentos pblicos sigilosos em quatro categorias: Ultra-secretos, Secretos, Confidenciais, Reservados, mostrados as seguir no Quadro 2. Quadro 2 Classificao das informaes
Governo Brasileiro Empresa Privada Ultra-secreto Interna Secreto Pblica Confidencial Restrita Reservado Privada
Fonte: Decreto n 4.553/2002 Para a maioria das empresas privadas a classificao do sigilo na maior parte, direcionado proteo da confidencialidade das informaes. As categorias podem ser confidencial, restrito, institucional, privado, pblico, secreto e outras denominaes semelhantes. No existe legislao na esfera federal que estabelea outro tipo de classificao alm do sigilo e importante estender esta classificao aos
35 outros requisitos da Segurana da Informao que so disponibilidade, integridade e autenticidade. A classificao das informaes deve ser revista periodicamente, pois seu valor e impacto para a organizao, bem como a aquisio de novos ativos e/ou manipulao de novas informaes, podem mudar a prioridade de implementao dos controles de segurana. 3.2.1 Contabilizando os ativos Os ativos de informao podem estar associados aos sistemas de informao como, por exemplo: base de dados, arquivos e meio magntico, documentao de sistemas, manuais diversos. 3.2.2 Classificando os ativos Depois de concludo o inventrio dos ativos de informao existentes necessrio classificar de acordo com a sensibilidade que ela representa para o negcio da organizao. 3.2.3 Classificao da informao quanto aos requisitos de segurana No existe um modelo de classificao que possa ser utilizado em todas as organizaes, pois cada organizao possui sua caracterstica. A classificao deve ser elaborada levando em conta a necessidade do negcio e sem criar muitas classes, que podem prejudicar a classificao tornando o trabalho impraticvel. 3.2.4 Classificao de Relevncia dos Ativos Caso existam regulamentaes que exijam a proteo do ativo, a aplicao do controle independe da anlise de risco. Pode-se classificar a relevncia dos ativos em trs nveis: alto, mdio ou baixo. 3.3 Rtulos e Tratamento da Informao
36 Antes de rotular necessrio fazer uma anlise de riscos criteriosa, eleger os ativos de informao mais crticos para a organizao, saber qual destes est mais vulnervel no momento, e por conseqncia, precisa ser protegido. necessrio determinar onde sero empregados os maiores recursos (lembrando sempre que as medidas necessrias conteno dos riscos inicialmente levantados devero ser aplicadas seguindo a ordem de criticidade do impacto das perdas deste ativo para os negcios da companhia). A sabedoria popular conhece o velho ditado que diz que sempre mais custoso remediar do que prevenir. a partir desta anlise que se comea a escrever as polticas de segurana, as quais sero as regras implementadas (e somente se sarem do papel), iro proporcionar a organizao, as bases de um sistema de gesto da segurana eficaz e que fornecer as definies que garantiro um ambiente de trabalho confivel a todos os usurios. Estes documentos devem deixar claro o que necessrio para se alcanar um nvel de segurana adequado. A primeira poltica a ser implementada e a mais fundamental a de classificao da informao. Ela determina os critrios para classificar e manipular cada informao dentro do ambiente corporativo. (Santanna,2005). Kovacich (1998, p. 105) coloca que, se a informao tem valor, ela deve ser protegida e a proteo cara. Afirma ainda que o valor da informao deva ser determinado pelo proprietrio da informao baseado no valor da informao para organizao e para outras pessoas. Ento devemos proteger as informaes necessrias e indispensveis ao negcio por tempo determinado pela classificao. 3.4 Ciclo de Vida da Informao Para Smola (1972) o ciclo de vida da informao composto e identificado pelos momentos vividos pela informao que a coloca em risco. Isso ocorre quando os ativos fsicos, tecnolgicos e humanos fazem uso da informao, nos processos da empresa que a mantm funcionando. So
37 identificados por este autor 4 momentos em que necessrio manter a ateno pois so ameaas a segurana da informao. Os momentos so: manuseio: quando a informao criada e manipulada; armazenamento: quando a informao armazenada ( pode ser em papel ou em meios magnticos); transporte: quando a informao transportada (pode por conversas telefnicas, por fax por e-mail, entre outros); descarte: quando a informao descartada, seja um papel eliminado na lixeira, ou arquivos eletrnicos. Para Smola (1972) toda a informao influenciada pelas propriedades: confidencialidade, integridade e disponibilidade alm dos aspectos de autenticidade e legalidade. Para atingir o gerenciamento das informaes necessria a sua classificao. Se for implementada uma classificao corretamente vai reduzir o custo com recursos para proteger e ajudar na implementao dos controles onde realmente so necessrios. O processo de classificao garante os princpios bsicos da segurana da informao, boas praticas de segurana so implementadas ou aprimoradas e o destino da informao identificado. Como apresentado em todo este captulo, a utilizao da informao representa a etapa mais importante no processo de gesto da informao, permitindo que pessoas e a organizao interajam no ambiente com base nas informaes adquiridas.
38 4 INFORMAO E ESTRATGIA ... a informao gerencial deixa de ser vista como um fenmeno de natureza puramente tcnico e passa a ser enfocada como um fenmeno organizacional substantivo Roberto Rodrigues, 1987
As organizaes enfrentam novos desafios neste mundo digital de facilidades e necessitam manter a competitividade e a salvaguarda dos ativos, mobilizando grande parte dos recursos e investimento para esta proteo. Para os autores Papa Filho e Vanalle (2002) neste novo ambiente que a informao se torna uma necessidade nas organizaes, aps serem analisadas adquirem o valor estratgico. Para atender esta necessidade vrias ferramentas de TI foram desenvolvidas para dar suporte a esta necessidade do mercado. Estas ferramentas armazenam em sua base grande quantidade de informao permitindo assim a sistematizao do saber e decidir em todos os nveis gerenciais (JAMIL, 2001). Entre as tecnologias conhecidas dispomos de data warehouse (DW), data mining, data mart que so capazes de apresentar informaes estruturadas a partir de buscas elaboradas qualitativamente e quantitativamente (SMOLA, 2003). O DW surgiu nos anos 90, (CHAUDHURI e DAYAL, 1997) como proposta como uma soluo genrica para suprir a necessidade de informaes gerenciais das organizaes (MOODY e KORTINK, 2000). A partir deles que possvel minerar dados com objetivo de reconhecer o comportamento e a potencialidade do negcio. Segundo Papa Filho e Vanalle (2002) atravs dessa anlise as decises tomadas so rpidas e provavelmente mais corretas gerando resultados objetivos ao negcio da organizao. Todo este aparato de tecnologia perde o sentido sem um sentido lgico do processo organizacional (DAVENPORT, DELONG & BEERS, 1998). Informao o elemento essencial para estabelecer qualquer estratgia e estratgia pode ser entendida como conjunto de decises tomadas para definio dos objetivos globais (estratgicos) associados a um
39 determinado perodo e identificando os meios para superar e alcanar esses objetivos, BEAL(2008). A estratgia est ligada busca de informaes para as organizaes se manterem no ambiente competitivo sendo capazes de monitorar as constantes mudanas a que esto sujeitas. Drucker (1992) afirma que [...] as organizaes modernas so fundamentadas na informao e no conhecimento. O planejamento estratgico o processo desenvolvido internamente nas organizaes, para definir e mostrar sua estratgia, com objetivo de adquirir direo, foco e constncia facilitando sair de uma zona de conforto para uma posio mais desejvel. A organizao muda o foco que estava nos resultados esperados para o foco no cumprimento da misso e no alcance da viso de futuro. 4.1 Definies e conceitos sobre Informaes Miranda (1999) estabeleceu alguns conceitos, por meio de uma reviso da literatura, com objetivo de conceituar e padronizar um referencial terico sobre a variedade de conceitos, de forma a padronizar um entendimento sobre o assunto. Adotou-se os resultados de uma pesquisa sobre diversos autores para estabelecer os seguintes conceitos para o assunto em estudo: Dado conjunto de registros conhecidos; Ativo o dado conhecido, organizado, agrupado, categorizado e padronizado; Informao so dados organizados de modo significativo, sendo subsdio til a tomada de deciso. Segundo Teece (1998) a informao sem um contexto raramente conhecimento; Monitoramento estratgico a constante observao da coleta dos dados;
40 Conhecimento especifico o conjunto de informaes j identificadas e que caracteriza o saber disponvel sobre um tema especifico; Conhecimento tcito acmulo de saber pratico sobre um determinado assunto, que agrega alguma experincia a personalidade de quem o detm; Conhecimento estratgico combinao das informaes estratgicas e as informaes de acompanhamento, agregando-se o conhecimento de especialistas; Inteligncia estratgica o uso do conhecimento estratgico no processo de tomada de deciso quanto formulao ou redefinio de estratgias adotadas por uma organizao; Informao estratgica a informao obtida do monitoramento estratgico, que subsidia a formulao de estratgias pelos tomadores de deciso nos nveis gerenciais da organizao; Informao de acompanhamento a informao obtida do monitoramento interno, que aliada a informao estratgica, constitui-se em conhecimento estratgico explicito; Estratgia a ao gerada a partir de informaes que levam a criatividade, a originalidade, que permite a organizao diferenciar- se dos seus semelhantes assumindo vantagem competitiva no seu negcio; Sistema de informaes estratgicas o conjunto de ferramentas informatizadas que permite o tratamento dos dados coletados pelo monitoramento estratgico, transformando em informaes e agregando conhecimento, a fim de que se constitua insumo para a inteligncia estratgica; Sistema especialista a ferramenta informatizada que agrega o conhecimento de especialistas ao processamento de informaes que suportam a tomada de deciso;
41 Sistema no especialista a ferramenta informatizada que processa informaes usadas na tomada de deciso sem agregar o conhecimento de especialistas no processamento. Para Miranda a formulao de aes estratgicas inicia com a avaliao e identificao dos fatores externos que podem ser levantamento histrico e prospeco futura. Aps a identificao do conhecimento estratgico as alternativas mais viveis so avaliadas estabelecendo um conjunto de estratgicas viveis. As estratgias viveis passam por um filtro da alta direo para que se decida sobre que aes estratgicas devem ser adotadas. A expresso informao e estratgia, no contexto desse trabalho, no implicam em abandonar a gesto da informao voltada na coleta, tratamento e disponibilidade da informao que suporta os processos do negcio da organizao com vista que ela alcance os objetivos permanentes, mas acrescentar o foco da informao voltada para os objetivos estratgicos estabelecidos para determinado perodo de tempo (BEAL 2008).
42 5. ASPECTOS LEGAIS, POLTICAS E PROCEDIMENTOS 5.1 Legislao sobre Segurana da Informao e Comunicao A segurana da informao um assunto de extrema relevncia e ainda no possui leis suficientes para ser tratado com toda a complexidade que ele requer. necessrio estabelecer regulamentaes para segurana da informao, para polticas nacionais e internacionais relativas ao assunto, para a questo de infra-estrutura de chaves-pblicas, e para o direito penal voltado a crimes digitais. 5.2 Poltica Nacional de Segurana das Informaes Em 2000 foi publicado o Decreto 3.505, por meio do qual foi instituda a poltica nacional de segurana das informaes. Este decreto demonstra o inicio de um amadurecimento sobre a importncia de manter seguras as informaes processadas nos rgos e entidades da administrao pblica. Neste decreto, no artigo 3, define os objetivos da poltica (de segurana) da informao nos rgos e entidades da Administrao Pblica Federal que so: a. dot-los de instrumentos e recursos tecnolgicos que os capacitem a assegurar a confidencialidade, a integridade e a autenticidade dos dados e informaes classificadas como "sensveis"; b. eliminar a dependncia externa em relao a sistemas e equipamentos relacionados segurana da informao; c. promover a capacitao dos recursos humanos para o desenvolvimento de competncia cientfico-tecnolgica em segurana da informao; d. promover a capacitao industrial do pas com vistas sua autonomia no desenvolvimento e na fabricao de produtos e servios relacionados com a segurana da informao.
43 5.3 Leis Lei n.9.609, de 19 de fevereiro de 1998 Dispe sobre a proteo da propriedade intelectual de programa de computador, sua comercializao no Pas, e d outras providncias. Lei n. 9.983, de 14 de julho de 2000 Altera o Cdigo Penal. Prev penas especficas para crimes de insero, alterao, excluso e divulgao indevidas de dados nos sistemas informatizados ou bancos de dados da Administrao Pblica 5.4 Decretos Decreto n. 3.505, de 13 de junho de 2000 - Estabelece diretrizes gerais para definio da Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Decreto n. 4.553, de 27 de dezembro de 2002 - Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal. 5.5 Normas Norma ABNT - Cdigo de prtica para a gesto da Segurana da Informao Origem : British Standard Institution (BSI) _ Aprovada em 2000 como padro internacional pela ISO: ISO/IEC 17799 Em 2001, a ABNT decidiu adot-la como norma brasileira (NBR ISO/IEC 17799) 2 verso foi lanada pela ABNT (Associao Brasileira de Normas Tcnicas) no dia 24/08/2005 nomeada de NBR ISO IEC 17799:2005; a partir de 2007 ser numerada como NBR ISO IEC 27002. A norma ISO/IEC 27002, equivalente norma brasileira, amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, rgos de
44 governo, empresas pblicas e privadas nacionais e internacionais, atentas ao tema Segurana da Informao. 5.6 Poltica de segurana da informao, padres e procedimentos
A Poltica de Segurana da Informao PSI o documento de diretriz, o primeiro passo na construo de uma gesto de segurana da informao. A norma ABNT NBR ISO/IEC 27002, recomenda que todos os rgos estabeleam uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento atravs de campanhas educativas e motivadoras por toda organizao. Para Ferreira (2003) as polticas, padres e procedimentos de segurana da informao fornecem melhor direcionamento para implementaes tcnicas e expressam os anseios da alta direo em decidir na destinao do uso da informao, quem pode acess-los. A poltica de segurana proporciona o direcionamento para as aes tcnicas. Entretanto, a poltica deve ser um dos elementos do conjunto que compe a Gesto da Segurana da Informao. A falta de uma PSI estabelecida apresenta os seguintes efeitos: . Enfraquecimento das aes de segurana, por no estarem respaldadas por uma poltica institucional; . Desequilbrio entre gesto de segurana e objetivos do negcio; . Transparece para os usurios a falta de comprometimento da alta direo com a segurana da informao. 5.7 Decises do Tribuna de Contas da Unio - TCU
O Tribunal de Contas da Unio, como rgo de auditoria de Governo Federal, tem desempenhando aes no sentido que os rgos da Administrao Pblica Federal - APF cumpram o previsto nos atos normativos, sobre a segurana da informao e promovam aes com objetivo de
45 disseminar a importncia da segurana da informao. Abaixo algumas decises do TCU que muito tem ajudado neste sentido: Deciso n. 669/1995 - Plenrio _ 2.1. estude a possibilidade de implementar, a mdio prazo, no mbito do seu plano de contingncia, uma soluo alternativa para o caso de perda total das instalaes da Filial So Paulo, nas quais se opera o processamento da Arrecadao Federal, para que o tratamento das informaes essenciais no sofra soluo de continuidade no caso de ocorrncia de sinistro de grande propores; Deciso n. 445/1998 - Plenrio _ 3.7.1. Disciplinar de forma rgida o acesso de pessoas aos andares do prdio onde a Gerncia Executiva de Tecnologia [...] se encontra instalada; _ 3.7.2. Definir, oficialmente, junto aos gestores responsveis, uma sistemtica de "back-up" para os sistemas existentes; _ 3.7.5. Definir regras que regulamentem o acesso de usurios externos ao ambiente computacional; Acrdo n. 2.023/2005-Plenrio - Determinaes _ defina uma Poltica de Segurana da Informao, nos termos das orientaes contidas no item 3 da NBR ISO/IEC 17799:2001, que estabelea os princpios norteadores da gesto da segurana da informao no Ministrio e que esteja integrada viso, misso, ao negcio e s metas institucionais, observando a regulamentao ou as recomendaes porventura feitas pelo Comit Gestor de Segurana da Informao institudo pelo Decreto n. 3.505/2000 e pelo Gabinete de Segurana Institucional da Presidncia da Repblica, conforme Decreto n. 5.408, de 1/04/2005; Acrdo n. 2.023/2005-Plenrio - Determinaes _ estabelea institucionalmente as atribuies relativas segurana da informao, conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3 da NBR ISO/IEC 17779:2001; _ no assuma responsabilidades inerentes s reas de negcio, como a insero, alterao e excluso de informaes em bases de dados; _ crie critrios de classificao das informaes; _ crie mecanismos para que as polticas e normas se tornem conhecidas, acessveis e observadas; _ o acesso ao ambiente de produo deve ser feito de forma controlada pelos gestores dos sistemas; Acrdo n. 2.023/2005-Plenrio - Determinaes defina uma Poltica de Controle de Acesso aos ativos de informao que contenha, no mnimo:
46 9.1.3.1. regras de concesso, de controle e de direitos de acesso para cada usurio e/ou grupo de usurios [...], conforme preceitua o item 9.1.1 da NBR ISO/IEC 17799:2001; 9.1.3.2. responsabilidades dos gestores de negcios sobre os seus sistemas, bem como a obrigao deles [...] fazerem a reviso peridica, com intervalos de tempo previamente definidos, dos direitos de acesso dos usurios, conforme prevem os itens 9.2.1, incisos h e i, e 9.2.4 da NBR ISO/IEC 17799:2001; _ Acrdo n. 1.092/2007-TCU-Plenrio Determinaes _ inventarie os ativos de informao e estabelea critrios para a classificao desses ativos; _ implante a gesto de continuidade do negcio e elabore o Plano de Continuidade do Negcio (PCN); _ implante e divulgue sua Metodologia de Desenvolvimento de Sistemas (MDS) em toda a Empresa, semelhana das orientaes contidas nos itens PO 8.3 e AI 2.7 do COBIT 4.0. Ademais, estabelea os requisitos mnimos de documentao que todos os sistemas devem apresentar, inclusive os sistemas legados, e defina um prazo para que todos os sistemas estejam adequados nova MDS; 5.8 Consideraes sobre a Poltica Nacional de Segurana das Informaes
O Decreto 3.505, citado no item 5.2, resultado da constante preocupao da importncia das informaes processadas nos rgos e entidades da Administrao Pblica Federal - APF. Com esse ato regulamentado, o governo brasileiro apontou para a necessidade de proteo de assuntos que meream tratamento especial, adotando medidas para prevenir o risco de sua vulnerabilidade. A administrao pblica, em todos os seus nveis, processa informaes consideradas "sensveis", que requerem a proteo contra a intruso e modificao desautorizadas. Assim, o estabelecimento de uma poltica de segurana, do material informativo que armazenado e documentado em seus sistemas de computao de extrema importncia. Este decreto, apesar de ter sido publicado em 2000 no cumprido por maior parte dos rgos da APF. A situao atual, levantada pelo TCU, no acrdo n 1.603/2008, junto 255 rgos da APF, com objetivo de obter informaes sobre como est a gesto e uso da Tecnologia da Informao, apresenta no quadro 3, o seguinte resultado:
47 Quadro 3 Requisitos de itens avaliados pela pesquisa do TCU
Neste acrdo foi ento concludo que a falta de planejamento institucional prejudica as aes de TI, pois podem ocorrer aes equivocadas que levam a desperdcio de recursos. Conclui-se tambm que a ausncia de planejamento estratgico na rea de TI leva no s ao enfraquecimento da rea, devido descontinuidade dos projetos e conseqente desagrado dos usurios. A falta de comit demonstra pouco envolvimento e importncia dada pela alta administrao com as decises estratgicas de TI. Focando na segurana da informao, este mesmo acrdo quando verifica a qualidade do tratamento dado pelos rgos da APF segurana das informaes sobre sua responsabilidade obteve os resultados apresentados no quadro 4: Quadro 4 Requisitos de itens avaliados pela pesquisa do TCU Requisitos avaliados Sim No Existe planejamento estratgico institucional em vigor 53% 47% Existe planejamento estratgico de Tecnolo- gia da Informao em vigor 41% 59% Existe comit diretivo sobre aes de Tecno- logia da Informao em vigor 32% 68% Requisitos avaliados No Ausncia de Poltica de Segurana da Informao, em vigor 64% Ausncia de Plano de Continuidade de negcio, em vigor 88% Ausncia de Classificao da Informao, em vigor 80% Ausncia de rea especifica para lidar com segurana da informao 64%
48
Das respostas fornecidas pelos rgos avaliados, sob as questes de tratamento das informaes sob sua responsabilidade, conclui este mesmo acrdo, que preciso dar mais ateno ao assunto, pois so grandes as deficincias encontradas no tratamento da segurana da informao. O resultado encontrado pela pesquisa preocupante, pois uma instituio pblica presta servios aos cidados e depende da confiabilidade das informaes por ela tratadas e prestadas. A Lei n. 9.983, no novo art. 313-A, trata da insero de dados falsos em sistemas de informao, enquanto o art. 313-B fala sobre a modificao ou alterao no autorizada desses mesmos sistemas. O 1 do art. 153 do Cdigo Penal foi alterado agora e define penas quando da divulgao de informaes sigilosas ou reservadas, contidas ou no nos bancos de dados da Administrao Pblica. Todas estas aes demonstram a importncia da conscientizao dos servidores e dirigentes quanto Poltica de Segurana da Informao. Uma vez que a Poltica seja de conhecimento de todos da organizao, no ser admissvel que as pessoas aleguem ignorncia quanto s regras nela estabelecidas a fim de evitar punio sobre violaes cometidas.
Ausncia de rea especifica para gerncia de incidentes 76% Ausncia de gesto de mudanas 88% Ausncia de gesto de capacidade e compatibilidade das solues de TI 84% Ausncia de anlise de riscos na rea de TI 75% Ausncia de procedimentos de controle de acesso em vigor 48%
49 6. GERENCIAMENTO DAS INFORMAES ESTRATGICAS Gerenciar os fluxos de informaes existentes na AGU hoje uma necessidade. Para serem eficientes estes fluxos devem ser alimentados com informaes de qualidade, dentro de uma relao de custo x beneficio e adequadas a necessidade do negcio. Alm de ter que atender os requisitos legais a organizao necessita garantir sua imagem, no deixando que incidentes de segurana possam atingi-la ou se atingir esteja em nvel aceitvel. So famosas as frases informao fundamental para o desenvolvimento das empresas ou informao bsica em qualquer empreendimento sem que fossem apresentados estudos sobre seu valor para as empresas (MIRANDA, 1999). Para Beal (2008) informao estratgica capaz de melhorar o processo de deciso porque reduz o grau de incerteza em relao a outras variveis. Vrios estudos so necessrios com objetivo de caracterizar quais informaes so importantes para a organizao, avaliando suas qualidades e pertinncias, em funo de categorias definidas pela organizao. Segundo MIRANDA (1999), para a identificao da necessidade de quais dados deve ser acompanhado para que possa ser traduzido como informaes estratgicas aos processos do negcio so necessrias levantar os 6 (seis) requisitos de informaes, com base no planejamento estratgico: 1. Identificar as aes estratgicas do negcio avaliando o seu comportamento e definindo os tipos mais freqentes; 2. Identificar os tipos de informaes estratgicas mais freqentes que so utilizadas nas aes estratgicas; 3. Analisar o comportamento de cada informao estratgica com base na ao do planejamento estratgico;
50 4. Analisar as caractersticas da informao estratgica quanto a sua forma de tratamento em relao a outras informaes estratgicas; 5. Analisar o comportamento dos tipos de ao estratgica em funo dos ciclos evolutivos do negcio; 6. Em funo dos resultados obtidos neste estudo, propor um modelo de gerenciamento das informaes estratgicas. Pode-se definir estratgica como uma ao para obter resultados concretos que permite organizao diferenciar dos seus concorrentes, podendo ser um servio, uma implementao, um produto (Miranda, 1999). As aes estratgicas podem ser classificadas em 3 tipos: liderana: visa reduzir custos; diferenciao: visa colocar no mercado um produto ou servio diferente dos concorrentes; foco: explorao de segmento especfico no mercado. 6.1 Nveis da informao e tipos de informaes estratgicas Na maioria das organizaes os nveis ou tipos de informaes obedecem hierarquia padro conhecida como pirmide organizacional, onde os nveis so conhecidos como estratgico ttico ou gerencial e operacional. Cada nvel requer um grau de agregao da informao diferente dos outros. No nvel estratgico, as decises ocorrem na alta direo da organizao e geram aes duradouras baseadas no Planejamento Estratgico. O nvel da informao gerencial com dados de toda a organizao e relacionando-se com meio ambiente interno e externo. Os outros nveis as informaes ocorrem em escales intermedirios e inferiores e possuem menos impacto no funcionamento da organizao.
51 Os tipos de informaes estratgicas podem ser agrupados nas categorias: Clientes: informaes sobre as tendncias quanto aos comportamentos dos usurios internos e externos; Concorrentes: informaes sobre tendncias quanto aos servios prestados por rgo que executam as mesmas atividades; Cultural: informaes quanto ao perfil dos solicitantes das aes; Demogrfico: informaes sobre tendncias quanto os locais onde as aes so iniciadas; Ecolgica: informaes sobre tendncias de aes com a matria ambiental; Econmica/financeira: informaes sobre tendncias quanto conjuntura econmica nacional e mundial, atuao de blocos econmicos e segmentos de mercado; Fornecedor: informaes sobre o perfil, atitudes, localizao; Governamental/poltica: informaes sobre tendncias quanto a diretrizes do Poder Executivo no que se refere interveno do poder judicirio; Legal: informaes sobre tendncias quanto a aes dos Poderes Legislativas e Judicirio no que se refere legislao; Social: informaes sobre tendncias quanto distribuio dos segmentos; Tecnolgica: informaes sobre pesquisas realizadas e em andamento, tendncias quanto poltica de pesquisa e desenvolvimento;
52 6.2 Caracterstica da Informao Estratgica Qualitativa: refere-se a informaes consolidadas a partir de dados que em sua maioria so no-numricos. Quantitativa: refere-se a informaes consolidadas a partir de dados que em sua maioria so numricos. Mista: refere-se a informaes consolidadas a partir de dados numricos e no-numricos, sendo que no possvel estabelecer-se a predominncia de um sobre o outro em sua formao. Figura 2 - Mapa Conceitual Informao Estratgica e Estratgia
Fonte: Miranda (1999) A figura 2 trata-se do mapa conceitual da informao que ocorreu em um levantamento nos Empresa Brasileira de Correios e Telgrafos, realizado por MIRANDA. Considero que o levantamento esta adequado para ser utilizado como modelo na AGU, na definio de quais informaes deva ser acompanhada.
53 7. IDENTIFICANDO AS INFORMAES ESTRATGICAS DA AGU A Advocacia-Geral da Unio, tambm conhecida pela sigla "AGU" responsvel por toda a defesa judicial da Unio (administrao direta e indireta), bem como pela consultoria jurdica dos Ministrios. Antes estas atividades eram executadas pelo Ministrio Pblico Federal, atravs da Procuradoria-Geral da Repblica. A AGU compe-se de procuradorias, ou seja, cada estado possui uma representao, que ir representar aquele estado, ao qual faz parte. O chefe o Advogado Geral da Unio nomeado pelo Presidente da Repblica. Atualmente, o gabinete do ministro da AGU, considera como informaes estratgicas para o negcio da AGU: O resultado da participao nos processos em que atua; O banco de subsdios, que a forma como a Unio defende-se; O banco partes interessadas; O banco de pareceres. 7.1 Situao Atual das Bases de Dados Estratgicas da AGU A Advocacia-Geral da Unio AGU como outras instituies jurdicas do Governo, possui entre seus bancos de dados as bases de dados jurdicas, que constituem importante fonte de informao para todos os servidores das carreiras jurdicas da AGU. Segundo Lavin (1992) a pesquisa em bases de dados parte integrante em qualquer busca de informaes para negcios e na AGU estas bases de dados permitem consulta local ou via internet contando
54 com uma mdia de 700 acessos ao dia. Estas bases de dados representam a base de conhecimento do negcio da AGU que a defesa da Unio. Entre as bases jurdicas e estratgicas encontra-se o banco de dados de acompanhamentos das aes da unio, que possui mais de 10.000 processos cadastrados, banco de pareceres, banco de subsdios jurdicos. Todas estas bases de dados encontram-se hospedadas no CPD da AGU podendo ser acessadas por meio da intranet. 7.2 Levantamento dos Procedimentos de Segurana Existentes na AGU Esse levantamento foi realizado tomando como base os controles existentes na norma ABNT NBR ISO/IEC 27002, aqui considerado um manual de boas prticas de gesto da segurana da informao e nas recomendaes do acrdo do TCU 1.603/2008. A rea de TI da AGU encontra-se em processo de estruturao. Foi realizado o planejamento estratgico no final de 2007 e estabelecida uma estrutura hierrquica com atribuies para definir a respeito das atribuies e estabelecer prioridades para o setor. A aquisio de bens e servios da rea de informtica ocorre com critrios estabelecidos pela gerencia de planejamento que aps receber as demandas das reas que compe a AGU estabelece as prioridades. No aspecto da segurana da informao existe uma Gerncia de Segurana de informao que esta sendo implantada, conforme recomendado pelas normas e melhores prtica do mercado. Estabelecer uma quantidade de controles para iniciar a segurana da informao considerado um bom ponto de partidas. No quadro 5
55 vamos avaliar quais controles esto implantados na AGU baseando na norma ABNT ISO/IEC 27002 e nos controles considerados por ela, como prticas para a segurana da informao e por informaes prestadas pela gerncia da rea de TI da AGU. Quadros 5 Controles considerados prtica de segurana da informao CONTROLES SITUAO ATUAL PONTOS EM DESACORDO Documento da Poltica de Segurana da Informao O documento esta sendo elaborado. A organizao no possui PSI aprovado Atribuir responsabilidade pela segurana da informao Aguardando a elaborao da PSI quando poder ser cobrada a responsabilidade da segurana Como no existe PSI no possvel cobrar responsabilidades pela segurana da informao Conscientizao, educao e treinamento sobre segurana da informao Pela internet alguns avisos sobre segurana de senhas de e-mail e senhas de redes tm sido enviados. No existe programa de conscientizao implantado Processamento correto das aplicaes Utilizao de metodologia prpria No existe metodologia aprovado e instituda como norma, apoiada pela PSI. Gesto de vulnerabilidades tcnicas No existe documento com as vulnerabilidades de aplicaes e softwares Estabelecer um inventario completo e atualizado para a gesto de vulnerabilidades. Gesto de continuidade dos negcios No existe plano de gesto de continuidade de negocio institudo, revisado e atualizado anualmente. Implantar processo de gesto de continuidade do negocio Gesto de incidentes de segurana da informao e melhorias No existe equipe de resposta rpida a incidente de segurana Estabelecer responsabilidades e procedimentos de gesto para assegurar respostas rpidas e efetivas
Foram utilizados como critrio na rea de Segurana da Informao, controles previstos na norma ABNT ISO/IEC 27002, que fornece recomendaes para a gesto da segurana da informao aconselhando sua utilizao pelos responsveis pela implementao e manuteno da segurana na organizao. Tem como propsito prover
56 uma base comum para o desenvolvimento de normas de segurana organizacional e de prticas efetivas para a gesto da segurana, no mbito da AGU. A fim de avaliar a aplicao das normas de segurana algumas questes foram levantadas, baseadas nas recomendaes do acrdo TCU N 1. 603 e respondidas pela gerencia da rea de TI. Existem padres para desenvolvimento de sistemas que permita avaliar a qualidade no setor? Sim, atualmente existe norma interna baseada nas orientaes do COBIT. efetuada anlise de riscos na rea de TI? Existem procedimentos neste sentido, mas no da forma recomendada pelas melhores prticas do mercado. O setor de TI adota o gerenciamento por processos? S algumas gerncias a maior parte no. H um plano de continuidade do negcio PCN compatvel com as necessidades do rgo? No. Existe controle de segurana da informao no rgo? No Existe poltica de cpia de segurana formalmente instituda? Sim Existe o monitoramento de processos? No. Existe controle de acesso fsico? Sim. Neste cenrio, encontramos a seguinte situao na AGU:
57 Informaes tratadas com nvel inadequado de proteo, sujeitas a perda de integridade, confiabilidade e disponibilidade; Tratamento da segurana da informao de forma incipiente e dependem do meio em que so produzidas ou transitam; Falta de amparo de uma PSI para responsabilizao por acesso indevido informao; Falta de conscientizao que a proteo da informao fortalece a organizao.
58 8. CONSIDERAES FINAIS Como visto nos captulos anteriores, para que a Segurana da Informao possa ser efetiva necessrio que seja permanentemente revista e baseada em processos (tcnicos e organizacionais). Vale lembrar que o negcio da AGU a defesa jurdica da Unio e como qualquer outro rgo da Administrao Pblica Federal tem entre os seus ativos, informaes estratgicas que definem sua diretriz. Hoje as unidades da AGU esto distribudas em 125 unidades de atuao diretas e mais 150 unidades instaladas em autarquias federais. Todas estas unidades acessam via internet bases de dado centralizada, que requer segurana para o negcio da AGU. As principais informaes que a AGU trabalha existem tambm disponveis em bases jurdicas dos diversos tribunais e so pblicas, mas como so apresentadas de forma pulverizadas, no permitem uma anlise gerencial, de como esta ocorrendo atuao da AGU, nos mais diversos assuntos. A gerao de informaes estratgica produz grande impacto nas atividades do rgo e so essenciais para o suporte as tomada de deciso requerida pelo gabinete do AGU. Para iniciar o planejamento da segurana, a AGU deve comear pelo do nvel mais alto da organizao, identificando os processos crticos do negcio e os fluxos de informao e planejar uma estrutura de segurana baseada na real necessidade da organizao. Sero estabelecidos graus de importncia para os processos e avaliada a sensibilidade das informaes. Hoje isso ainda no ocorre. As informaes no esto classificadas, no existe uma poltica de segurana nem a gesto de risco. No processo atual que AGU se encontra, de elaborao do planejamento estratgico, com foco na Tecnologia, uma Gerncia de Segurana da Informao esta sendo implantada juntamente com uma Gerncia de Informaes Estratgicas.
59 A Gerncia de Segurana est desenvolvendo atividades para estabelecer uma Poltica de Segurana com base nas normas ABNT ISO/IEC 27002: 2005 e ABNT ISO/IEC 27001. So estas polticas que vo delinear o papel da segurana da informao dentro da organizao, identificando os ativos principais, definindo polticas de confidencialidade e acessibilidade e como eles so protegidos. Ainda apresentam procedimentos e mtodos de organizao da informao, com o intuito de cumprir as exigncias regulatrias. Alguns autores dentre esses Silva, Campos, Brando, Barbosa e Polloni concordam que a informao melhorou o desempenho das organizaes. Acontece que, nem todos na organizao tm acesso a elas, ocorrendo o que Polloni (2000) resume afirmando que quem tem o conhecimento e sabe como utiliz-lo em seu benefcio, tem o poder. Entende-se que a AGU deve promover aes com objetivo de disseminar a importncia da segurana das informaes, inclusive procedendo orientao normativa, voltadas a conscientizao e a mudana de cultura. Para que AGU possa estabelecer com sucesso o gerenciamento da segurana da informao, algumas aes devem ser tomadas como: 1- Normatizao do assunto com o estabelecimento da Poltica de Segurana da Informao; 2- Promover aes que visem estabelecer e ou aperfeioar a gesto de continuidade do negocio; 3- Classificao da informao; 4- Estabelecer procedimentos de gerenciamento de incidentes, a analise de riscos de TI, a rea de segurana da informao. 5- Assegurar padronizao e nveis de confiabilidade e segurana estimulando a padronizao de metodologias no desenvolvimento de sistemas.
60 No contexto atual, de mudanas rpidas e constantes, faz com que as organizaes tenham que se adaptarem as modificaes que ocorrem no ambiente em que atuam. Existem organizaes que atuam de forma reativa, respondendo as mudanas quando elas ocorrem. Ento respondendo pergunta-problema que originou este estudo O que ocorreria caso a Instituio no tivesse o controle e acompanhamento das aes em que atua? podemos concluir que ocorreria: Abalo na credibilidade da instituio (externo); Prejuzos ao cofre pblico (a Unio perde a defesa); Perda de controle das aes que acompanha (controle de resultado, controle de prazos); Falta de credibilidade dos usurios (interno); Neste cenrio implantar a segurana da informao tem se tornado um desafio a ser perseguido e construdo de maneira flexvel, com o engajamento e compromisso. Uma ferramenta importante para tomada de deciso so as informaes estratgicas que permite a tomada de deciso orientando uma ao de forma-pr ativa, contra as ameaas e a favor das oportunidades identificadas nas constantes mudanas que ocorrem nos ambientes. Assim, a proteo das informaes estratgicas da organizao deve alinhar necessidade da organizao e aos planos de negcio. O prximo desafio da AGU implantar o documento jurdico virtual chamado internamente de processo virtual que a automao dos cartrios/secretarias e a transmutao do processo fsico para o virtual. Sendo uma questo de extrema importncia para o rgo, a gesto da segurana da informao deve ser aplicada e estar em conformidade para garantir a validade do documento jurdico eletrnico, assegurando que os processos virtuais no
61 sejam alterados e tenha plena validade jurdica. Este assunto pode ser tema de trabalhos futuros se for interesse da administrao da AGU.
62 REFERNCIAS BIBLIOGRFICAS
ALBUQUERQUE, Fabio S. de. A nova viso da rea de segurana da informao. Modulo Security Magazine. 2006. Disponvel em:< http://www.modulo.com.br>. Acesso em: 20 set. 2008.
ASCIUTTI, Csar Augusto, Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administrao Pblica USP, So Paulo (SP), 2006. Disponvel em: http://www.security.usp.br/palestras/Normas-Encontro-USP-Seguranca- Computacional-II-V-1-02.pdf. Acesso em: 15 set. 2008.
Associao Brasileira de Normas Tcnicas - ABNT. Norma NBR 27002.
Associao Brasileira de Normas Tcnicas - ABNT. Norma NBR-ISO/IEC 27001:2006.
Axur Information Security,, Especializada em Segurana da Informao, Porto Alegre. Disponvel em: <http://www.axur.com.br/page1b.html>. Acesso em: 05.01.2009 .
BEAL, Adriana. Gesto Estratgica da Informao: como transformar a informao e a tecnologia da informao em fatores de crescimento e de alto desempenho nas organizaes. So Paulo: Atlas, 2008 .
BECKER, Fernando, FARINA, Srgio, SCHEID, Urbano. Apresentao de trabalhos escolares. Orientao para datilografia e digitao. Porto Alegre: Multilivro, 2000.
BRASIL. Diretoria de Auditoria da tecnologia da Informao do Tribunal de Contas da Unio. Boas Prticas em Segurana da Informao, Braslia, 2007.
BRASIL. Instruo Normativa N 1 de 13.06.2008 do Gabinete de Segurana Institucional da Presidncia da Repblica, Braslia, 2008. Disponvel em: <http://www.mct.gov.br/index.php/content/view/72703.html>. Acesso em: 30 set. 2008.
BRASIL. Decreto n. 3.505, de 13 de junho de 2000. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Disponvel em: <http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 24 out. 2008.
BRASIL. Decreto 4.553, de 27 de dezembro de 2000. Dispe sobre a salva- guarda de dados. Rio de Janeiro: Axcel Books, 2000.
63 BRASIL. Tribunal de Contas da Unio. Acrdo 782/2004-TCU - Primeira Cmara. Disponvel em: <http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk= (acordao+adj+782/2004+adj+primeira+camara)[idtd][b001]>. Acesso em: 17 out. 2008.
BRASIL. Tribunal de Contas da Unio. Acrdo 1.092/2007-TCU-Plenrio Disponvel em: <http://www.tcu.gov.br/publicacoes/sefti/Segurana%20da%20Informao/abert ura.htm#Abertura.htm>. Acesso em: 02 set. 2008.
BRASIL. Tribunal de Contas da Unio. Acrdo 1.603/2007-TCU-Plenrio de 13.ago. 2008.
BRASILIANO, Antonio Celso Ribeiro Brasiliano , Mtodo brasiliano de Anlise de Risco. Disponvel em: <http://www.brasiliano.com.br/blog/?p=377>. Acesso em: 10 out. 08.
CHAUDHURI, S., DAYAL, U. "An Overview of Data Warehousing and OLAP Technology". ACM SIGMOD Record (Mar), 1997 Vol. 26, No. 1, pp. 65-74.
CHEMIN, Beatriz Francisca. Guia Prtico da UNIVATES para trabalhos acadmicos. Lajeado: UNIVATES, 2005.
Computer World (2007) artigo Adoo do ITIL condicionada IT Management Gesto, 21-03-2007.
DAVENPORT, T. H., DELONG, D. W., & BEERS, M. C. (1998). Successful Knowledge Management Projects. Sloan Management Review, 39(2): 43- 57.January 15, 1998
DIAS, Claudia. Segurana e auditria da tecnologia da informao. Rio de Janeiro: Axcel Books, 2000.
Expresso Digital, Artigo, Redes de rgos pblicos sofreram 1,1 mi de inci- dentes de segurana no primeiro quadrimestre. Disponvel em < http://www.expresso.com.br/index.php?goto=artigos_view&cod=6>. Acesso em: 31 out. 2008.
64 FARINA, Srgio. Referncias Bibliogrficas e Eletrnicas. So Leopoldo: UNISINOS, 1997.
FERREIRA, Fernando Nicolau Freit. Segurana da Informao. Rio de Janeiro; Editora Cincia Moderna, 2003.
FUNDAO VANZOLINI, Manual de Comunicao com o Cliente. Disponivel em: http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/iso17021/proc ed/p.032.pdf. Acesso em: 02.nov.2008.
INFOSEC CONCIL, Formao de Cultura em Segurana da Informao. Congresso.Ano:2005. Disponvel em: <http://computerworld.uol.com.br/gestao/2006/08/11/idgnoticia.2006-08- 11.6447350724/>. Acesso em: 25 out. 2008.
JAMIL, George Leal. Repensando a TI na Empresa Moderna. Rio de janeiro: Axcel Books, 2001.
LAVIN, Michael R. Business information: how to find it, how to use it. Phoenix, Arizona : Oryx, 1992.
LAUDON&LAUDON . Artigo Segurana como Norma, blog Alerta Digital. Disponvel em: <http://blog.processusnet.com.br/2006/07/04/seguranca- como-norma/>. Acesso em: 20 set. 2008.
LOGIKE ASSOCIADOS, Artigo Estratgia para gesto dos ativos do conhecimento. Disponvel em: http://www.iautomotivo.com/papers/LOGIKE_PAPER_GMB_TEECE.pdf. Acesso:25.set.2008.
KOVACICH, J., Ph.D. Interview with Nick Houtman. University of Maine Department of Public Affairs, Orono, Maine. August 7, 1998.
MARCONI E LAKATOS, Eva Maria e Marina. Fundamentos da Metodologia Cientfica Lakatos. Editora: Atlas. Ano: 2001.
MIRANDA, A Produo cientfica em cincia da informao [Editorial]. Cincia da Informao, Braslia, v.27, n.1, p. 5-6, 1998.
MOODY, D. L., KORTINK, M. A. R., 2000, From Enterprise Models to Dimensional Models: A Methodology for Data Warehouse and Data Mart Design. In: Proceedings of the International Workshop on Design and
65 Management of Data Warehouses (DMDW), M. Jeusfeld, H. Shu, M. Staudt, G. Vossen (eds.), Stockholm, Sweden (Jun).
OLIVEIRA, Jos Maria de, MARTINS, Vidigal Fernandes, SEGATE, Susiane Oliveira. O Papel do COBIT na governana de TI. Disponvel em: <http://www.niltonandrade.com.br/index.php?option=com_content&task= view&id=51&Itemid=61>. Acesso em: 24 out. 2008. MBA - AUDITORIA E PERCIA.
PAPA FILHO, Sudrio e VANALLE, Rosangela M. O uso da informao como recurso estratgico de tomada de deciso ENAGE 2002
PELTIER. Apostila: Polticas, procedimentos e normas da Segurana da Informao Netto, Gilbeto, Allemand, Marcos, Freire, Pedro, Mendona, Maria do Carmo. 2004
RAMOS, F.F. Anlise de Risco: o que se diz o que realmente se faz? Disponivel em: <http://www.malima.com.br/article_read.asp?id=339>. Acesso em: 27 out. 2008.
ROCHA, Jos Antonio Meira da. Modelo de Trabalho de Concluso de Curso (TCC). disponvel em: <http://www.meiradarocha.jor.br/uploads/1021/196/modelo _de_projeto_de_TCC-2006-06-12a.sxw>. Acesso: 12 jun. 2006.
SANTANNA, Carlos, Segurana da Informao: O inicio o comeo. Disponvel em: <http://internativa.com.br/artigo_seguranca_02.html>. Acesso em: 12 nov 2008.
SMOLA, Marcos, Gesto da segurana da Informao: viso executiva da segurana da informao. Editora Elsevier Rio de Janeiro, 2003.
SIEWERT, Vanderson C. A constante Evoluo da Segurana da Informao. TCC em Segurana da Informao em redes de computadores, CTAI, Florianpolis, 2007.
SILVA, Antonio B. O., CAMPOS, Marcus Jose de Oliveira e BRANDO, Wladmir Cardoso, Proposta para um esquema de classificao das fontes
66 de informao para o negcio. Revista de Cincia da Informao. v. 6, n. 5 out. 2005
TAPSCOTT, Don. Economia Digital, So Paulo: Makron, 1997.
TEECE, D Capturing value from knowledge assets. California management Review 1998
THUMS, Jorge. Acesso realidade: tcnicas de pesquisa e construo do conhecimento. Porto Alegre: Sulina/Ulbra, 2000.