CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E

SEGURANÇA DA INFORMAÇÃO

JUAREZ DE OLIVEIRA

A segurança da informação nas organizações públicas brasileiras

Curitiba – 2016

CURSO DE PÓS-GRADUAÇÃO EM AUDITORIA E

SEGURANÇA DA INFORMAÇÃO

JUAREZ DE OLIVEIRA

A segurança da informação nas organizações públicas brasileiras

Monografia apresentada à Universidade Positivo para obtenção do título de Especialista em Auditoria e Segurança da Informação.

Orientador: Prof. Esp. Marcelo Fernandes Rocha

Curitiba – 2016

Agradecimentos: Agradeço aos docentes da Universidade Positivo, que trouxeram para a sala de aula suas experiências e conhecimento, principalmente ao professor Marcelo Rocha, pela paciência que teve comigo e pelo esforço em trazer consultores externos para enriquecer a classe. Agradeço também aos gestores de órgãos públicos que forneceram subsídios para a produção deste trabalho.

Resumo: As organizações públicas lidam diariamente com dados pessoais de cidadãos e de seus funcionários, informações públicas sobre suas atividades, informações sigilosas e que afetam segurança de toda a sociedade. Este trabalho visa analisar como é feita a gestão da segurança da informação nestas organizações e como implementar políticas de gestão de segurança da informação e de continuidade de negócios adequadas, garantindo a confidencialidade, a integridade e a disponibilidade dos dados. Para a obtenção de dados sobre a gestão da segurança da informação foi utilizada a Lei de acesso à Informação (lei federal 12.527/211), instrumento de fiscalização da sociedade sobre a administração pública, previsto desde a Constituição Federal do Brasil de 1988. Palavras-chave: SGSI, segurança da informação, lei de acesso à informação, PCN, SGCN, SGCN Abstract: Public organizations deal daily with personal data of citizens and their staff, public information about its activities, confidential information and affecting security of the whole society. This work aims to analyze how is the information security management in these organizations and how to implement information security management and continuity of appropriate business policies, ensuring the confidentiality, integrity and availability of data. To obtain data on information security management has used the Law of Access to Information (Federal Law 12,527 / 211), inspection instrument of society on public administration, as expected from the Federal Constitution of Brazil 1988. Key-words: ISMS, information security, access to information law, BCP, BCMS

Sumário:

1. Introdução ..................................................................................................................... 1

2. Tema ............................................................................................................................. 1

3. Problema ....................................................................................................................... 1

4. Objetivo Geral ............................................................................................................... 1

5. Objetivos Específicos .................................................................................................... 2

6. A Segurança da Informação .......................................................................................... 2

7. As normas ISO 27001 e 27002 ..................................................................................... 3

8. As políticas de Segurança da Informação ..................................................................... 4

9. Implementando os Controles em Segurança da Informação ........................................ 5

10. O Gerenciamento de Riscos em Segurança da Informação ...................................... 6

11. A Continuidade de Negócios ...................................................................................... 7

12. Auditoria em Segurança da Informação ..................................................................... 9

13. A Segurança da Informação no Serviço Público ...................................................... 10

14. A Lei de Acesso à Informação .................................................................................. 10

15. Levantamento de Dados .......................................................................................... 11

16. Resultados da Coleta de Dados............................................................................... 12

17. O Atendimento à Lei de Acesso à Informação ......................................................... 14

18. A gestão da Segurança da Informação no serviço público ...................................... 15

19. A Importância das Auditorias .................................................................................... 16

20. A Segurança da Informação da Justiça Eleitoral ...................................................... 17

21. Conclusões .............................................................................................................. 18

22. Referências Bibliográficas........................................................................................ 20

23. Apêndice e Anexos .................................................................................................. 21

1

1. Introdução Estamos vivendo a era da informação conectada. A cada segundo, bilhões de documentos, imagens, vídeos e outras informações digitais são produzidos e armazenados no mundo. As organizações públicas, embora não consigam acompanhar de modo tão dinâmico tais transformações, também têm se modernizado, permitindo ao cidadão maior comodidade quando precisa de um serviço público, como uma nova carteira de habilitação, um alvará para a construção de sua casa, a emissão do seu título de eleitor, o agendamento de uma cirurgia em um hospital, etc. Mas esta comodidade também tem riscos, tanto para o cidadão quanto para o ente público que tem o dever de atendê-lo. Alguns desastres, como inundações, ataques terroristas, incêndios e ataques virtuais já colocaram em xeque muitas organizações, levando algumas a desaparecerem completamente. Os órgãos públicos brasileiros conseguem manter as informações que por eles são produzidas ou custodiadas a salvo de perdas, vazamentos ilegais e alterações, impedindo que seus cidadãos sejam colocados em risco? Imagine ir à Polícia Federal emitir um passaporte, informando todos os seus dados como endereço, telefones, números de documentos e, alguns dias depois, saber que estes dados estão disponibilizados em sites no exterior ou que foram adquiridos por empresas de cartão de crédito. Ou ainda, receber cobranças por contratos feitos em seu nome utilizando-se destas informações. Este trabalho visa apresentar um levantamento feito com diversos órgãos públicos sobre segurança da informação e continuidade de negócios comparando, quando possível, o que existe no mundo real do serviço público com o que está previsto nas normas técnicas e institucionais sobre o tema. Serão demonstradas, de forma resumida, as metodologias utilizadas de acordo com as normas ISO ABNT NBR para a gestão da segurança da informação e da continuidade dos negócios. Foi feito um levantamento junto a alguns órgãos públicos sobre sua gestão de segurança da informação, utilizando-se a Lei de Acesso à Informação (lei federal 12.527/2011), que garante aos cidadãos saber sobre as atividades de qualquer órgão público no país, incluindo acesso a documentos, salários, relatórios gerenciais e de auditoria. A eficácia desta lei também será comentada neste trabalho.

2. Tema A segurança da Informação nas organizações públicas brasileiras

3. Problema As organizações públicas estão preparadas para garantir a segurança da informações que custodiam, armazenam, transmitem e produzem?

4. Objetivo Geral Conhecer como é feita a gestão da segurança da informação em

organizações públicas brasileiras.

2

5. Objetivos Específicos Apresentar levantamento feito sobre segurança da informação em

organizações públicas; Descrever boas práticas de gestão de segurança da informação; Analisar a aplicabilidade da Lei de Acesso à informação na obtenção de dados para trabalho científico.

6. A Segurança da Informação Segurança da informação é a garantia de que os dados que são produzidos, custodiados, transmitidos ou transformados por uma organização manterão suas características originais, estarão disponíveis quando necessário e somente para usuários autorizados. Neste contexto, podemos considerar os princípios de Confidencialidade, Integridade e Disponibilidade como os de maior importância (Kim; Solomon, 2014). Também podemos considerar aspectos não menos importantes de autenticidade, autorização e não-repúdio. A Disponibilidade refere-se ao tempo em que o usuário pode utilizar um sistema, aplicativo e dados (Kim; Solomon, 2014), considerando-se aspectos como Tempo de utilização, Tempo de paralização, Disponibilidade, Tempo médio para falhas (MTTF, Mean Time to Failure), Tempo médio para reparo (MTTR – Mean Time do Repair) e Objetivo de tempo para recuparação (RTO – Recovery Time Objective). Essas medidas são comumente previstas em SLAs (Service Level Agreements – ou Contrato de Nível de Serviços) entre empresas e operadoras de telecomunicações ou prestadoras de serviços de TI. Para garantir a Disponibilidade é necessário que a organização mantenha planos específicos de continuidade do negócio em caso de eventos de curta indisponibilidade ou mesmo desastres, conforme veremos mais a frente. A Integridade lida com a validade e a precisão dos dados (Kim; Solomon, 2014), ou seja, garante que os dados não foram alterados indevidamente após sua produção ou durante sua transmissão. Confidencialidade significa proteger a informação de todos, exceto daqueles que tenham direito a ela (Kim; Solomon, 2014). Garantir que os dados sejam mantidos livres de adulteração, interceptação ou exposição para usuários não legítimos requer cuidados com o ambiente tecnológico, com os processos e com as pessoas que lidam com estas informações. Gastar milhões de reais em melhoria do ambiente tecnológico poderá ser infrutífero, caso a organização não controle de forma efetiva seus processos e não ofereça treinamento e conscientização dos seus colaboradores. Por exemplo, imaginemos uma situação em que uma empresa possui um firewall de última geração, configurado por profissionais treinados. Se os usuários compartilharem senhas ou se as aplicações de tecnologia da informação não tiverem sido adequadamente testadas, certamente o ambiente estará comprometido e as informações não estarão resguardadas. Douglas Kim e Michael G Solomon (2014) utilizam o termo Cybersegurança (ou cybersecurity) para definir a garantia de segurança da informação na Internet e nas redes locais de computadores. Estes autores dividem a infraestrutura típica de TI em sete domínios, para os quais apresentam papéis e tarefas, responsabilidades e responsabilização. Também apresentam riscos, ameaças ou vulnerabilidades. São estes os domínios definidos pelos autores;

3

Domínio de Usuário: Define as pessoas que acessam um sistema de informação de uma organização. Domínio de Estação de Trabalho: Onde a maioria das pessoas se conecta à infraestrutura de rede. Pode ser um desktop, um laptop, um smartphone ou qualquer outro dispositivo. Domínio de LAN: A LAN é rede local de computadores, com seus cabos metálicos, switches, fibras-ópticas, ponto de acessos sem fio, etc. Domínio de LAN para WAN: Refere-se a interligação de uma rede local à Internet. Domínio de WAN: Refere-se a interligação a locais remotos.

Domínio de Acesso Remoto: É a conexão remota feita diretamente à LAN, seja por linha discada ou por VPN (rede privada virtual) para equipes que precisem acessar recursos que só estão acessíveis internamente.

Domínio Sistema/Aplicativo: Mantém todos os sistemas, aplicativos e dados de missão crítica. Para Kim e Solomon (2014), assim como para outros autores, o usuário é o elo mais fraco na segurança da informação. Por isso, é preciso manter em equilíbrio a implantação de ferramentas e processos de controle e o treinamento e a conscientização dos usuários da organização para que os ativos de informação realmente sejam protegidos. A segurança da informação não abrange somente os aspectos tecnológicos, mas também diz respeito a outras formas de informação, como documentos físicos, o que se fala ao telefone ou numa conversa na fila do banco e na mesa do restaurante. As dificuldades para se manter a confidencialidade, a disponibilidade e a integridade das informações nas corporações são imensas. Em seguida, abordaremos a evolução das boas práticas de gestão da segurança da informação.

7. As normas ISO 27001 e 27002 No final da década de 1990 o governo britânico produziu o “DTI Code of Practice”, (código de práticas do DTI), mais tarde renomeado para BS 7799 (British Standard 7799). Em 2000 a ISO (International Organization for Standardization) publicou uma norma, que havia sido submetida pelos britânicos em sua segunda versão, como ISO 17799 (Kim; Solomon, 2014). Em 2005 o padrão ISO 17799 foi atualizado para ISO 27002 (Código de Práticas para controles de segurança da informação). A ISO 27002 atua de acordo com os requisitos previstos na norma ISO 27001. No Brasil estas normas foram internalizadas e publicadas pela ABNT (Associação Brasileira de Normas Técnicas) e tiveram sua última versão editada em 2013, sendo chamadas oficialmente de ABNT NBR ISO 27001:2013 e ABNT NBR ISO 27002:2013. A norma ISO 27002 foi projetada para guiar as organizações na elaboração de um SGSI (Sistema de Gestão de Segurança da Informação) ou para a implementação de controles de segurança da informação comumente aceitos. Pode ser aplicada a organizações de qualquer tamanho e tipo (organizações públicas, privadas e sem fins lucrativos). Para implementar esta norma é essencial que a organização identifique os seus requisitos de segurança da informação: a) A avaliação de riscos para organização, levando em conta seus objetivos e estratégias de negócio;

4

b) A legislação vigente, estatutos e contratos com parceiros, além de seu ambiente sociocultural; c) Os conjuntos particulares de princípios, objetivos e requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivamento da informação, necessários para apoiar suas operações. A ISO 27002 faz parte da família de normas 27000, uma gama ampla de normas de segurança da informação. É estruturada em 14 seções de controles de segurança da informação de um total de 35 objetivos de controles e 114 controles. Cada seção principal contém: - Um objetivo de controle, declarando o que se espera alcançar; - Um ou mais controles que podem ser aplicados.

8. As políticas de Segurança da Informação Segundo a ISO 27002: “Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.”

As políticas de segurança da informação são o meio para se estruturar a gestão da segurança da informação. Nela podem ser definidos papéis e responsabilidades dos diversos atores, processos para o tratamento de exceções, objetivos estratégicos e a abrangência desta gestão, podendo valer para apenas uma unidade de negócios ou para a organização como um todo, independente da localização geográfica. Esta política, como prevê a norma, precisa ser divulgada para todos os colaboradores e até mesmo para partes externas, como fornecedores, clientes e órgãos reguladores, conforme o caso. Trecho de Política de Segurança da Informação do TCU (Portaria nº 210/2014): “ ...

CAPÍTULO II DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Art. 4º. A Política Corporativa de Segurança da Informação (PCSI/TCU) integra o Sistema de Gestão de Segurança da Informação do TCU (SGSI/TCU) instituído pela Resolução TCU nº 261, de 11 de junho de 2014, o qual é composto pelos seguintes processos:

I - classificação da informação; II - gestão de riscos de segurança da informação; III - gestão de incidentes em segurança da informação; IV - controle de acesso à informação; V - segurança da informação em recursos humanos e conscientização em segurança da informação; e

VI - segurança em tecnologia da informação e comunicações. § 1o Os processos do SGSI/TCU são interdependentes e devem ser estruturados e monitorados de forma a permitir sua melhoria contínua.

… “

5

9. Implementando os Controles em Segurança da Infor mação

Após a definição do escopo daquilo que se pretende proteger e de uma análise de risco adequada (conforme previsto na norma ISO 27005, que será tratada mais adiante), é recomendável que se redija uma Declaração de Aplicabilidade da norma ISO 27001 (requisitos), contendo, de forma mais explícita, quais objetivos de controles e controles são aplicáveis no âmbito da organização. Um exemplo de um trecho uma Declaração de Aplicabilidade:

ISO/IEC 27001:2006/2013 Controle Corrente

Cláusula 1 Seção Objetivo de Controle/Controle

2 - Políticas de Segurança 2,1 Política de Segurança da Informação - PSI

2.1.1 Política de disseminação da Informação SIM

2.1.2 Análise crítica da política de S.I. SIM

3 - Organizando a Segurança da Informação 3,1

Organizando a segurança da informação interna

3.1.1 Comprometimento da alta-direção SIM

3.1.2 Coordenação da segurança da informação SIM

3.1.3 Atribuição de responsabilidades para a S.I. SIM

3.1.4 Acordos de confidencialidade SIM

3.1.5 Contato com autoridades SIM

3.1.6 Segurança em gerenciamento de projetos SIM

Fig.1. Declaração de Aplicabilidade - Modelo Fonte: http://www.iso27001security.com/html/toolkit.html

Outras boas práticas são a elaboração uma Análise de Riscos e uma Análise de Impacto nos Negócios (AIN), mostrando como cada ativo poderá ser afetado em caso de concretização de ameaça. Em uma organização de médio e grande porte a constituição de uma Comissão de Segurança da Informação, integrada por pessoas das diversas áreas de negócio, gestão de pessoas, tecnologia da informação, administração e outras áreas fim se faz necessário. Esta comissão dará suporte técnico para que a alta direção possa tomar as decisões. Não é possível implementar uma gestão de segurança da informação que tenha resultados efetivos sem o envolvimento e o patrocínio da alta direção da instituição. Instituir uma equipe técnica de respostas a incidentes de rede de computadores (ETIR) é uma boa prática recomendada. Isso auxilia a organização a ter uma resposta mais rápida e organizada em caso de um ataque cibernético, ataque ao servidor de e-mails, invasão da rede por vírus ou outra ameaça virtual que atue com intensidade. Esta equipe, também conhecida por CSIRT (computer security incident response team) pode atuar em forma de cooperação entre as áreas técnicas responsáveis pelos ativos (infraestrutura, redes, suporte, aplicações, etc) e sua competência será definida na criação da Política de Segurança da Informação.

6

Definir uma política de classificação da informação é útil para muitas organizações, especialmente do serviço público, já que se trata de conformidade legal. A lei federal 12.527/2011 prevê alguns prazos para liberação do sigilo de informações classificadas:

“Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada. § 1o Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput , vigoram a partir da data de sua produção e são os seguintes: I - ultrassecreta: 25 (vinte e cinco) anos; II - secreta: 15 (quinze) anos; e III - reservada: 5 (cinco) anos.”

10. O Gerenciamento de Riscos em Segurança da Inf ormação

Para Kim e Solomon (2014), gerenciamento de riscos é o processo de identificar, avaliar, priorizar e enfrentar riscos, definindo este como um processo contínuo para uma organização. Este processo é descrito de forma integral na norma ISO 31000, e com detalhes relacionados à segurança da informação na norma ISO 27005, chamada oficialmente no Brasil de ABNT NBR ISO 27005:2011 (última versão publicada). Risco é a probabilidade de que um evento incerto afete um ou mais recursos, de maneira negativa ou positiva. Pode ser definido pela seguinte fórmula:

Risco = Ameaça x Vulnerabilidade

Ameaça é uma oportunidade para explorar uma vulnerabilidade. Vulnerabilidade é a probabilidade de que uma ameaça específica seja executada com sucesso. Identificação de Riscos é o processo de determinar e classificar os riscos que podem afetar seus recursos. O resultado deste processo é uma lista de riscos identificados, que deve conter ao menos: - Uma descrição do risco; - O impacto de o evento ocorrer; - A probabilidade de o evento ocorrer; - Medidas para atenuar o risco; - Medidas a serem tomadas se o evento ocorrer; - Classificação do risco. A análise de riscos pode ser quantitativa ou qualitativa. Após a identificação e classificação dos riscos, é preciso apontar como enfrentar cada um. Pode ser evitado, transferido, atenuado ou aceito, em caso de risco negativo, ou seja, evento que, caso ocorra, traga prejuízo à organização. Se o risco for positivo, ou seja, caso o evento ocorra, traga algum benefício, este pode ser explorado, compartilhado, aprimorado ou aceito. Qualquer risco que, mesmo depois de adequadamente tratado ainda exista, será chamado de risco residual. Instituir uma política de gestão de riscos significa estabelecer processos de avaliação de riscos rotineiramente, incluindo todos os novos projetos e ativos em operação.

A figura a seguir, contida na norma ISO 27005, apresenta o fluxo do processo de gestão de riscos em segurança da informação:

7

Fig.2 – Processo de GRSI Fonte: Norma ABNT NBR ISO 27005:2011

11. A Continuidade de Negócios A ISO 22301 define um conjunto de boas práticas para as organizações que pretendam estabelecer procedimentos para a recuperação de suas atividades em caso de incidentes, como ataque cibernético, falta de energia, queda do link de comunicação, falha de um servidor, ou ainda de desastres, como uma inundação, um incêndio no Data Center, um terremoto, etc. O SGCN (Sistema de Gestão de Continuidade de Negócios) estabelecido pela ISO 22301 possui os seguintes componentes chave:

“... a) Uma política, b) Pessoas com responsabilidades definidas, c) Processos de gestão relativos a: 1) Política, 2) Planejamento, 3) Implementação e operação, 4) Avaliação de desempenho, 5) Análise crítica pela direção, 6) Melhorias. d) Documentação fornecendo evidências auditáveis,

e) Quaisquer processos de continuidade de negócios pertinentes à organização.

...”

8

A norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de negócios – Requisitos - atua em conjunto com a norma ISO ABNT NBR 22313:2015: Sistemas de gestão de continuidade de negócios – Orientações (versões brasileiras publicadas pela Associação Brasileira de Normas Técnicas). O primeiro passo antes de se elaborar planos para enfrentar interrupções em serviços e ativos importantes para uma organização é a elaboração de uma Análise de Impacto de Negócios (AIN), do inglês Business Impact Analysis – BIA. Para Kim e Solomon (2014), uma BIA:

“É uma análise formal das funções e atividades de uma organização, que as classifica como críticas ou não. Funções críticas são exigidas para executar os negócios. Se você não puder executar uma função crítica, o dano causado será inaceitável. Funções não críticas podem ser importantes, e você poderia sentir falta delas se não existissem, mas sua ausência não evitaria que uma organização realizasse negócios. Uma BIA também organiza as atividades críticas com base em importância e ajuda uma organização a determinar quais funções restaurar e em que ordem, no caso de uma interrupção importante.”

Um Plano de Continuidade de Negócios – PCN (ou BCP – Business Continuity Plan), segundo Kim e Solomom (2013), é um plano para uma resposta estruturada a qualquer evento que resulte em uma interrupção de atividades ou funções críticas de uma empresa. Por exemplo, para se proteger da falta de energia elétrica a organização pode adquirir um UPS (conhecido como no-break) e um gerador à óleo diesel. Para se proteger contra incêndios pode instalar sistemas de detecção de fumaça e extinção por gás FM-200. A AIN (Análise de Impacto de Negócios) identifica os recursos para os quais um PCN é necessário, de acordo com sua importância para o negócio. Por exemplo, um sistema crítico de produção industrial tem maior impacto caso fique sem funcionar do que os servidores de e-mail ou a página da intranet, logo será classificado como crítico e a demanda de recursos financeiros e de pessoal para sua recuperação poderão ser maiores. Dentro do SGCN podem ser estabelecidos planos específicos como Plano de Continuidade Operacional, Plano de Contingência, Plano de Administração de Crises e Plano de Recuperação de Desastres. O Plano de Recuperação de Desastres – PRD - orientará na recuperação das operações em caso de um desastre, um evento que afeta vários processos da organização por um período estendido de tempo. As etapas mais críticas de um PRD, segundo Kim e Solomon (2014) são: a) Garantir a segurança de todos em primeiro lugar; b) Responder ao desastre antes de perseguir a recuperação; c) Seguir o PRD, incluindo comunicação com todas as partes afetadas. A definição de como organizar o seu SGCN é da organização, dependendo dos ativos que visar proteger, do tipo de negócio, dos recursos financeiros disponíveis, da conformidade legal que precisa seguir, etc. A norma ISO 22313 apenas aponta em qual direção seguir.

9

12. Auditoria em Segurança da Informação A execução de auditorias periódicas é a única forma de se garantir que os processos definidos para a segurança da informação estão sendo realizados conforme definidos e estão surtindo o efeito esperado. Trecho de uma auditoria realizada no TRE-PE; “ 1.2. Objetivo da Auditoria. A auditoria objetivou verificar a adequação da geração, tratamento, divulgação, acesso e arquivamento das informações no âmbito da Justiça Eleitoral de Pernambuco, de forma a garantir sua confidencialidade, integridade, disponibilidade, autenticidade e legalidade. 1.3. Questões de Auditoria. As questões de auditoria, idealizadas no curso do planejamento e orientadoras das atividades da equipe de auditoria, contempladas no Programa de Auditoria, encontram-se abaixo listadas: Q1 – Há divulgação da PSI, bem como ações para disseminar a cultura em segurança da informação no TRE/PE? Q2 – A direção apoia ativamente a segurança da informação dentro da organização? Q3 – Há classificação da informação em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização? Q4 – Há identificação, documentação e implementação de regras para que seja permitido o uso de informações e de ativos (de informação e de processamento) associados aos recursos de processamento da informação? Q5 – Há o estabelecimento de regras que previnam o acesso físico não autorizado, danos ou interferências com as instalações e as informações do TRE/PE? Q6 – Há processo de gestão que assegure a continuidade do negócio por todo o TRE/PE e que contemple os requisitos de segurança da informação? Q7 – Há processo de gestão de riscos e de incidentes de segurança da informação? Q8 – Há um plano de trabalho que detalhe ações concretas para implementação da PSI? “ As auditorias fazem parte do ciclo PDCA (plan, do, check, act) do Sistema de Gestão de Segurança da Informação. Após analisar os resultados das auditorias, a direção pode estabelecer novos objetivos de controles e determinar qual o motivo do não cumprimento de algum dos objetivos estabelecidos, além de buscar melhorias nos processos e controles. O ideal é que a própria política de segurança da informação preveja a realização periódica de auditorias. Auditorias também devem ser possíveis nos sistemas de informação, como servidores de bancos de dados, servidores de aplicação, firewalls, servidores de e-mail, etc. O ideal é que se construa um servidor de logs unificado, impedindo a alteração de logs dos ativos. Logs são registros automáticos de eventos em sistemas de informação que armazenam acessos de usuários, falhas de aplicações, início e parada de serviços, alterações de bancos de dados e arquivos ou qualquer evento para os quais tenham sido programados.

10

13. A Segurança da Informação no Serviço Público Assim como ocorre no setor privado, o setor público também deve seguir a várias recomendações de entidades externas para proteger seus ativos de informação. No âmbito do poder executivo foi criado a Instrução Normativa nº1 pelo Gabinete de Segurança Institucional, que contém várias outras Normas Complementares para auxiliar os gestores públicos na tarefa de planejar a segurança da informação em seus órgãos. No poder judiciário, a resolução CNJ 182/2013 determina que todos os tribunais federais não terceirizem a gestão da segurança da informação:

“ Art. 10. Não poderão ser objeto de contratação de Solução de Tecnologia da Informação e Comunicação: ... II – gestão de processos de Tecnologia da Informação e Comunicação, incluindo segurança da informação.”

A resolução CNJ 211/2015 estabelece a Estratégia Nacional de Tecnologia de Informação e Comunicação do Poder Judiciário, visando critérios mínimos de infraestrutura e segurança para o ambiente tecnológico:

“Art. 10. A estrutura organizacional, o quadro permanente de servidores, a gestão de ativos e os processos de gestão de trabalho da área de TIC de cada órgão, deverão estar adequados às melhores práticas preconizadas pelos padrões nacionais e internacionais para as atividades consideradas como estratégicas. ... § 2º Deverá ser estabelecido Plano de Continuidade de Serviços Essenciais de TIC, especialmente no que se refere aos serviços judiciais.”

14. A Lei de Acesso à Informação A lei federal 12.527/2011, conhecida como Lei de Acesso à Informação - LAI, regulamentada no Poder Executivo Federal pelo decreto 7.724/2012, visa permitir ao cidadão o acesso às informações e dados que são produzidos ou custodiados pelo poder público. A lei delimita a forma de se conseguir informações de forma passiva, ou seja, que os órgãos publiquem algumas informações em seus sites de Internet, como salários, licitações, contratos, execução orçamentária, mas também de forma ativa, permitindo ao cidadão solicitar diretamente a informação que deseja, relativo às atividades precípuas dos órgãos, mesmo sem ter que informar o motivo do pedido, devendo o poder público cumprir prazos determinados. No poder judiciário, a LAI é regulamentada pela resolução CNJ 215/2015. A utilização da LAI foi escolhida como fonte de informação para a realização deste trabalho porque os órgãos não podem, pelo menos em tese, negar-se a informar sobre suas atividades gerenciais e relatórios de auditorias. Caso as informações fossem obtidas através de outros meios, como pedidos pessoais informais, seria difícil utilizá-las sem que alguém pudesse questionar sua legalidade ou veracidade. Felizmente, a maioria dos órgãos pesquisados respondeu aos questionamentos. Alguns muito a contragosto, mas o objetivo foi conseguido. Até mesmo o fato de o órgão não responder ou dar respostas vazias é uma informação. Demonstra que a cidadania plena ainda não foi alcançada em nossa jovem democracia.

11

15. Levantamento de Dados Para este trabalho foram utilizadas referencias bibliográficas consagradas, normas técnicas ISO ABNT NBR e consultas feitas diretamente a alguns órgãos públicos sobre a forma como fazem o gerenciamento de segurança da informação. O objetivo não foi traçar um ranking ou mesmo conceder uma nota sobre o assunto, apenas tentar verificar se os órgãos têm atendido requisitos mínimos de segurança quando lidam com os dados que produzem, custodiam, transformam ou transmitem. Foi enviado o seguinte questionário, com pequenas variações dependendo do órgão público pesquisado:

1) Este órgão possui uma Política de Segurança da Informação (PSI) ou um Sistema de Gestão de Segurança da Informação (SGSI)? (Informar o número do ato normativo de criação) - Caso positivo: 2) Existe uma Comissão de Segurança da Informação? Quantos são os membros? Qual a periodicidade das reuniões? 3) Quantas auditorias de segurança da informação (internas ou externas) foram feitas nos últimos 2 anos? Enviar cópia (eletrônica / digitalizada) ou link de internet dos relatórios de auditoria. 4) Existem instruções normativas relativas a controles da Política de Segurança da Informação? Enviar cópia (eletrônica/ digitalizada) ou link de internet para as normativas. 5) Quantas ações de treinamento de segurança da informação para usuários foram realizadas nos últimos 2 anos (2014 e 2015)? Qual a quantidade estimada de horas de treinamento para usuários neste período? 6) Quantos usuários foram atingidos pelas ações de treinamento (informar número total de usuários e número de usuários treinados)? 7) Os documentos de controle e normativas são revisados periodicamente? 8) A alta direção está adequadamente comprometida com a Segurança da Informação, mobilizando recursos humanos e financeiros? 9) Os recursos alocados para segurança da informação têm sido suficientes para a implementação dos treinamentos e dos controles necessários? - Independente de existir uma Política de Segurança da Informação: 10) Existe um Plano de Continuidade de Negócios? Quantos testes são feitos ao ano para este plano? 11) Existe uma Política de Classificação da Informação? 12) Este órgão possui uma ETIR (Equipe Técnica de Resposta a Incidentes de Redes de Computadores)? Quantos incidentes de alto impacto a ETIR contabilizou nos anos de 2014 e 2015? 13) Existe uma Política de Gestão de Riscos em Segurança da Informação? Esta política é aplicada à contratações de soluções de TI? 14) Existe uma Política de Segurança Institucional (controle de acessos físicos, guarda de documentos, segurança de autoridades, etc)? 15) Este órgão considera que sua Segurança da Informação está em conformidade com a norma ABNT NBR ISO/IEC 27001:2013?

12

Foram pesquisados os seguintes órgãos:

ALEP - Assembleia Legislativa do Paraná

BACEN - Banco Central do Brasil CELEPAR - Companhia de Informática do Paraná

CIASC - Companhia de Informática e Automação de Santa Catarina

CNJ - Conselho Nacional de Justiça

MP-PR - Ministério Público do Paraná

PMC – Prefeitura Municipal de Curitiba (PR) TCE-PR - Tribunal de Contas do Estado do Paraná

TCE-SC - Tribunal de Contas do Estado Santa Catarina

TCU - Tribunal de Contas da União

TJPR - Tribunal de Justiça do Paraná - TRE-BA – Tribunal Regional Eleitoral da Bahia

TRE-CE – Tribunal Regional Eleitoral do Ceará

TRE-DF - Tribunal Regional Eleitoral do Distrito Federal TRE-GO - Tribunal Regional Eleitoral de Goiás

TRE-MG - Tribunal Regional Eleitoral de Minas Gerais

TRE-PR - Tribunal Regional Eleitoral de Pernambuco

TRE-RJ – Tribunal Regional Eleitoral do Rio de Janeiro

TRE-RS - Tribunal Regional Eleitoral do Rio Grande do Sul TRE-SC - Tribunal Regional Eleitoral de Santa Catarina

TRE-SP - Tribunal Regional Eleitoral de São Paulo

TRF4 - Tribunal Regional Federal da 4ª Região (PR/SC/RS) TRT9 - Tribunal Regional do Trabalho 9ª Região (Paraná) TSE – Tribunal Superior Eleitoral

16. Resultados da Coleta de Dados Dos 24 órgãos pesquisados, todos responderam à solicitação, embora alguns tenham fornecido apenas uma resposta genérica, sem abordar o que foi pedido. Apenas a Companhia de Informática e Automação de Santa Catariana – CIASC – negou-se peremptoriamente a fornecer qualquer informação sobre o tema, alegando sigilo. A tabela a seguir foi montada de acordo com impressão pessoal, a partir dos levantamentos realizados e não propõe a ser um ranking ou uma avaliação definitiva sobre as atividades de segurança dos órgãos:

13

Fonte: Pesquisa de campo – 2016

Fig.3 – Avaliação de Segurança da Informação Fonte: Pesquisa de campo – 2016

ORG. PÚBLICA AVALIAÇÃO DE SEGURANÇA DA INFORMAÇÃO

ALEP POUCA ATENÇÃO AO TEMA

BACEN SGSI COMPLETO E/OU EM FASE DE MELHORIAS

CELEPAR SGSI COMPLETO E/OU EM FASE DE MELHORIAS

CIASC NEGOU-SE A RESPONDER AS INFORMAÇÕES

CNJ SGSI COMPLETO E/OU EM FASE DE MELHORIAS

MP-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

PMC GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TCE-PR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TCE-SC POUCA ATENÇÃO AO TEMA

TCU SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TJPR GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TRE-BA GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TRE-CE GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TRE-DF SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TRE-GO GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TRE-MG GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TRE-PE SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TRE-RJ GESTÃO DE SEGURANÇA DA INFORMAÇÃO INCIPIENTE

TRE-RS SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TRE-SC SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TRE-SP SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TRE-TO SGSI COMPLETO E/OU EM FASE DE MELHORIAS

TRF4 SGSI COMPLETO E/OU EM FASE DE MELHORIAS

14

17. O Atendimento à Lei de Acesso à Informação

De acordo com a lei federal 12.527/2011:

“... Art. 10. Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos e entidades referidos no art. 1o desta Lei, por qualquer meio legítimo, devendo o pedido conter a identificação do requerente e a especificação da informação requerida. § 1o Para o acesso a informações de interesse público, a identificação do requerente não pode conter exigências que inviabilizem a solicitação. § 2o Os órgãos e entidades do poder público devem viabilizar alternativa de encaminhamento de pedidos de acesso por meio de seus sítios oficiais na internet. § 3o São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público. Art. 11. O órgão ou entidade pública deverá autorizar ou conceder o acesso imediato à informação disponível. § 1o Não sendo possível conceder o acesso imediato, na forma disposta no caput , o órgão ou entidade que receber o pedido deverá, em prazo não superior a 20 (vinte) dias: I - comunicar a data, local e modo para se realizar a consulta, efetuar a reprodução ou obter a certidão; II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido; ou III - comunicar que não possui a informação, indicar, se for do seu conhecimento, o órgão ou a entidade que a detém, ou, ainda, remeter o requerimento a esse órgão ou entidade, cientificando o interessado da remessa de seu pedido de informação. § 2o O prazo referido no § 1o poderá ser prorrogado por mais 10 (dez) dias, mediante justificativa expressa, da qual será cientificado o requerente. § 3o Sem prejuízo da segurança e da proteção das informações e do cumprimento da legislação aplicável, o órgão ou entidade poderá oferecer meios para que o próprio requerente possa pesquisar a informação de que necessitar. § 4o Quando não for autorizado o acesso por se tratar de informação total ou parcialmente sigilosa, o requerente deverá ser informado sobre a possibilidade de recurso, prazos e condições para sua interposição, devendo, ainda, ser-lhe indicada a autoridade competente para sua apreciação. ... “

Para apenas um dos órgãos pesquisados foi apresentado recurso à instância superior para conseguir a informação, no caso do MPE-PR. Em outros, que não apresentaram a informação solicitada de forma completa, não foi possível aguardar todos os trâmites burocráticos a tempo de se obter as informações para a conclusão deste trabalho. De qualquer forma, a aplicação da LAI apresentou-se satisfatória. Muitas vezes lemos reportagens acerca de problemas com obras públicas, de políticas públicas que não foram adequadamente implementadas e nos perguntamos como os jornalistas conseguem tais informações. Em tempos passados seria necessário ter acesso à fonte interna do órgão público. Hoje, qualquer cidadão pode ter acesso à informações classificadas como públicas em qualquer lugar do Brasil, bastando apenas um pouco de discernimento para proceder a pesquisa. Exercitar esse direito é garantir que nossos impostos estão sendo gastos de adequadamente. O gráfico a seguir mostra que 18 das 24 organizações pesquisadas cumpriram o prazo de 30 dias (20 + 10) definido na lei federal 12 527/2011.

15

Fig.4 - Cumprimento de Prazos da Lei de Acesso à Informação Fonte: Pesquisa de campo – 2016

18. A gestão da Segurança da Informação no serviç o público O ponto básico para que um órgão possa dizer que tem real preocupação com a segurança da informação é o estabelecimento de uma PSI – Política de Segurança da Informação. Alguns órgãos não apresentaram esta estrutura, seja por falta de conhecimento técnico sobre o assunto, seja simplesmente porque não foram cobrados por isso. Já outros, apresentaram um Sistema de Gestão de Segurança da Informação bem completo, em estágio de maturação. O não estabelecimento de uma metodologia adequada faz com que se tenha uma gestão ad-hoc, o que deixará o processo sem a adequada orquestração, aumentando a vulnerabilidade dos ativos. Apenas quatro das organizações pesquisadas demonstraram não possuir nenhuma Política de Segurança da Informação implementada.

Fig. 5 – Existência de PSI *Fonte: Pesquisa de campo - 2016

16

Além da Política de Segurança da Informação, a criação de uma Comissão de Segurança da Informação, uma Política de Classificação da Informação, composição de uma Equipe Técnica de Respostas a Incidentes de Redes de Computadores, criação de normas técnicas específicas para implementar os objetivos de controles previstos na norma ISO 27002, treinamento de usuários integrado aos objetivos da Política de Segurança da Informação, realização periódica de auditorias, criteriosa análise de riscos de segurança da informação, inclusive em novos projetos. A lista de a fazeres é grande, porém, também são grandes os riscos que permeiam as atividades diárias de produção, custódia e transmissão de informações nas entidades públicas e privadas. Seguir as recomendações previstas nas normas ISO 27000 permite à organização trilhar um caminho mais claro. Um caminho que vem sendo trilhado por organizações em todo o mundo.

19. A Importância das Auditorias A realização de auditorias, de forma rotineira, é a única garantia efetiva de que os processos previstos estão sendo realizados e de que os controles estabelecidos terão o resultado esperado. No contexto da boa execução de auditorias entre os órgãos pesquisados é possível destacar o TRE-PE, que já fez auditorias internas com escopo específico em Segurança da Informação. Destaca-se também o CNJ, que solicita a realização de auditorias em SI nos Tribunais de todo o país. O Banco Central do Brasil, instituição responsável pela fiscalização das instituições financeiras no país, não realizou nenhuma auditoria nesta área nos últimos dois anos. Algo inesperado, já que as instituições financeiras comerciais seguem planos de segurança da informação, riscos e continuidade de negócio conforme resoluções do próprio Banco Central e são auditadas periodicamente por consultorias externas.

Fig.6 – Realização de Auditorias Fonte: Pesquisa de campo – 2016

17

Outro órgão importante, cujo escopo principal é fazer auditorias, o Tribunal de Contas da União, demonstrou que não faz auditorias em seu SGSI nem em seu PCN. Certamente corre riscos de toda a estrutura montada de segurança da informação e de continuidade de negócios que possui não ter o efeito desejado quando necessário.

20. A Segurança da Informação da Justiça Eleitor al Embora o escopo deste trabalho seja todo o serviço público, procurou-se dar mais ênfase à Justiça Eleitoral, cuja atuação tem sido objeto de questionamentos, principalmente em períodos pré e pós-eleitorais. Todos se perguntam sobre a segurança da urna eletrônica e do processo eleitoral, mas existe muito mais por trás de tudo isso. Não apenas aspectos de fraude na votação precisam ser lembrados, mas também o altíssimo custo que terá de ser pago caso uma eleição seja cancelada por problemas técnicos, a confidencialidade das informações do cadastro de eleitores e dos sistemas administrativos e judiciais que operam na rede da justiça eleitoral. O TSE respondeu de forma completa aos questionamentos enviados, conforme pode ser mais bem analisado no apêndice deste trabalho, onde se pode notar uma boa estrutura de Segurança da Informação, embora um tanto quanto dependente de serviços de terceiros, o que contradiz um pouco a Resolução CNJ 182/2011. Já os TRE’s pesquisados não possuem um padrão no gerenciamento de sua segurança da informação, mesmo estando sujeitos à política do TSE. A maioria dos tribunais respondeu a pesquisa dentro do prazo previsto na Lei de Acesso à Informação, com destaque para o TRE-BA, que o fez no dia seguinte à solicitação. Destaque também para o TRE-PR que realizou auditoria em segurança da informação e disponibilizou o documento para conhecimento. Denota-se que a maior parte da Justiça Eleitoral tem preocupações com o tema e atua para melhorar seus processos. A classificação abaixo é uma análise pessoal, sem todos os elementos necessários para um ranking, já que a metodologia de pesquisa utilizada não foi construída com este objetivo.

Fig.7 – Tribunais Eleitorais Pesquisados Fonte: pesquisa de campo – 2016

18

21. Conclusões A utilização da Lei de Acesso à Informação mostrou-se eficaz para a pesquisa acadêmica no caso apresentado, sendo que todos os órgãos responderam à pesquisa, mesmo que alguns de forma genérica. Ainda falta maturidade de toda a sociedade, não apenas dos gestores públicos, para que a transparência do serviço público seja efetiva e natural. Como um dos objetivos específicos, o trabalho também apresentou as boas práticas consagradas de segurança da informação, como as normas da família ISO 27000 e as normas de Continuidade de Negócios. Estas normas foram estabelecidas para dar linhas gerais e auxiliar as organizações na tarefa de melhorarem sua segurança da informação e preconizam que cada entidade deve fazer suas análises e seus planos de acordo com seu ambiente organizacional e conformidade legal, por isso, este trabalho visou tão somente conhecer a realidade de alguns órgãos da administração pública sobre os temas abordados. A Justiça Eleitoral demonstrou que possui bastante preocupação quanto à segurança cibernética, embora apresente algumas omissões e falhas na gestão de processos e no treinamento de pessoal, o que deixa do tripé Tecnologia – Processos – Pessoas um tanto desproporcional. Também nota-se certa falta de integração entre os Tribunais Regionais e o TSE. Mesmo dentro dos próprios Tribunais Regionais existe pouca integração entre as áreas, deixando claro que as Comissões de Segurança da Informação, mesmo quando estabelecidas, têm dificuldades em cumprir efetivamente o seu papel. A realização de auditorias, elemento crucial para o gerenciamento da segurança da informação ainda parece incipiente na maioria dos Tribunais Regionais Eleitorais pesquisados. A falta de um Plano de Continuidade de Negócios para a maioria dos tribunais eleitorais pesquisados também parece ser um grave problema. A prefeitura de Curitiba, embora tenha respondido a solicitação no prazo, demonstrou que deixa a maior parte de sua segurança da informação a cargo de uma Organização Social com a qual tem contratos de tecnologia da informação, o ICI – Instituto Curitiba de Cidades. Este caso também parece bastante temerário, já que tal entidade não é controlada totalmente pelo município nem é auditada neste âmbito pelo município nem pelo Tribunal de Contas do Estado. O Banco Central do Brasil demonstrou que tem uma boa infraestrutura de segurança, mas não segue as mesmas regras às quais estão sujeitas as instituições financeiras que tem o dever de fiscalizar. A Assembleia Legislativa do Paraná – ALEP e o Tribunal de Contas do Estado de Santa Catarina – TCE-SC, aparentemente não tem preocupações adequadas com o tema pesquisado, ao menos foi o que se pode depreender das respostas encaminhadas. A CIASC – Companhia de Informática e Automação de Santa Catarina, empresa responsável pelo processamento de dados do Estado de Santa Catarina, infelizmente, teve entendimento de que não tem o dever de expor aspectos gerencias de segurança da informação, confundindo o tema com aspectos técnicos operacionais, um entendimento totalmente diferente dos demais órgãos. Devido ao tempo e a demora na devolução da resposta, não foi possível obter recurso administrativo neste caso. A CELEPAR – Companhia de Informática do Paraná, empresa responsável pelo processamento de dados do Estado do Paraná, apresentou uma boa infraestrutura tecnológica e demonstrou que está bastante preocupada com o tema. Algumas melhorias ainda podem ocorrer, como o aumentar o número de treinamentos e atingir uma quantidade maior de colaboradores.

19

O Conselho Nacional de Justiça - CNJ, mesmo com o SGSI ainda em fase de implementação e melhorias, demonstrou que está bastante atento ao tema, inclusive cobrando dos demais órgãos do Poder Judiciário que façam cada um sua parte. O Ministério Público do Paraná – MP-PR - não atendeu a solicitação no prazo, demonstrou que não tem um controle centralizado sobre o atendimento da Lei de Acesso à Informação e, somente atendeu de forma completa a solicitação após recurso apresentado junto ao Conselho Nacional do Ministério Público, CNMP. De qualquer forma, demonstrou que possui preocupações com o tema, mas ainda atua de forma incipiente. O Tribunal Regional do Trabalho 9ª Região e o TRF 4ª Região demonstraram que possuem boa organização e procuram seguir as recomendações do Conselho Nacional de Justiça. A Segurança da Informação e a Continuidade de Negócios do setor público interessam à sociedade, que precisa de bons serviços, os quais devem ser seguros e estar disponíveis quando necessário. A pesquisa demonstrou que, embora o serviço público tenha mais dificuldades em seguir as tendências tanto tecnológicas quanto gerenciais na área de segurança da informação, muitas organizações estão empenhadas em fazer um bom trabalho.

20

22. Referências Bibliográficas Kim, David ; Solomon, Michael . Fundamentos de Segurança da Informação. Rio de Janeiro: editora LTC, 2014. ABNT. Norma ISO ABNT NBR 27001: Sistemas de gestão da segurança da informação - Requisitos. Rio de Janeiro, 2013. ABNT. Norma ISO ABNT NBR 27002: Código de prática para controles de segurança da informação. Rio de Janeiro, 2013. ABNT. Norma ISO ABNT NBR 27005: Gestão de riscos em segurança da informação de segurança da informação. Rio de Janeiro, 2011. ABNT. Norma ISO ABNT NBR 22301:2013: Sistema de gestão de continuidade de negócios - Requisitos. Rio de Janeiro, 2013. ABNT. Norma ISO ABNT NBR 22313:2015: Sistemas de gestão de continuidade de negócios - Orientações. Rio de Janeiro, 2015. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm - Lei de Acesso à Informação – lei federal 12.527/2011 – acessado por último em 10/07/2016. http://dsic.planalto.gov.br/legislacaodsic/53 – Normas Complementares à IN Nº 01 GSI/PR/2008 - Segurança da Informação e Comunicações – acessado por último em 10/07/2016. http://www.cnj.jus.br/busca-atos-adm?documento=2496 – CNJ – Resolução Nº 182 de 17/10/2013 – acessado por último em 10/07/2016. http://www.cnj.jus.br/atos-normativos?documento=2227 – CNJ – Resolução Nº 211 de 16/12/2015 – acessado por último em 10/07/2016. http://www.cnj.jus.br/busca-atos-adm?documento=3062 – CNJ – Resolução Nº 215 de 16/12/2015 – acessado por último em 10/07/2016. http://www2.camara.leg.br/legin/fed/decret/2000/decreto-3505-13-junho-2000-368759-normaatualizada-pe.pdf - Decreto 3505/2000 – acessado por último em 10/07/2016. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/Decreto/D7724.htm – Decreto 7.724/2012- acessado por último em 10/07/2016. http://www.iso27001security.com/html/toolkit.html – Acessado por último em 12/07/2016.

21

23. Apêndice e Anexos Respostas aos questionários encaminhados pelos órgãos públicos. Documentos normativos dos órgãos públicos que foram citados no texto.

Demais documentos estarão disponíveis em: https://goo.gl/vkNXik