análise de tratamento da segurança da informação na gestão ... · resumo souza, j. g. s....
TRANSCRIPT
-
CENTRO ESTADUAL DE EDUCAO TECNOLGICA PAULA SOUZA
UNIDADE DE PS-GRADUAO, EXTENSO E PESQUISA
MESTRADO PROFISSIONAL EM GESTO E TECNOLOGIA
EM SISTEMAS PRODUTIVOS
JACKSON GOMES SOARES SOUZA
ANLISE DE TRATAMENTO DA SEGURANA DA INFORMAO NA GESTO DE
RISCOS DA GOVERNANA DE TECNOLOGIA DA INFORMAO DE UMA
INSTITUIO DE ENSINO PBLICO FEDERAL
So Paulo
Abril/2017
-
JACKSON GOMES SOARES SOUZA
ANLISE DE TRATAMENTO DA SEGURANA DA INFORMAO NA GESTO DE
RISCOS DA GOVERNANA DE TECNOLOGIA DA INFORMAO DE UMA
INSTITUIO DE ENSINO PBLICO FEDERAL
Dissertao apresentada como exigncia
parcial para a obteno do ttulo de Mestre em
Gesto e Tecnologia em Sistemas Produtivos
do Centro Estadual de Educao Tecnolgica
Paula Souza, no Programa de Mestrado
Profissional em Gesto e Tecnologia em
Sistemas Produtivos, sob a orientao do Prof.
Dr. Carlos Hideo Arima
So Paulo
Abril/2017
-
Souza, Jackson Gomes Soares
S729a Anlise de tratamento da segurana da informao na gesto de riscos da governana de tecnologia da informao de uma instituio de ensino pblico federal / Jackson Gomes Soares Souza. So Paulo : CEETEPS, 2017.
82 f. : il.
Orientador: Prof. Dr. Carlos Hideo Arima Dissertao (Mestrado Profissional em Gesto e
Tecnologia em Sistemas Produtivos) Centro Estadual de Educao Tecnolgica Paula Souza, 2017.
1. Segurana da informao. 2. Gesto de riscos. 3.
Governana de T.I. 4. Governana corporativa. I. Arima, Carlos Hideo. II. Centro Estadual de Educao Tecnolgica Paula Souza. III. Ttulo.
-
JACKSON GOMES SOARES SOUZA
ANLISE DE TRATAMENTO DA SEGURANA DA INFORMAO NA GESTO DE
RISCOS DA GOVERNANA DE TECNOLOGIA DA INFORMAO DE UMA
INSTITUIO DE ENSINO PBLICO FEDERAL
Prof. Dr. Carlos Hideo Arima
Prof. Dr. Antonio Benedito Silva Oliveira
Prof. Dr. Getulio Kazue Akabane
So Paulo, 10 de abril de 2017
-
Dedico essa dissertao aos meus pais, esposa
e amigos que estiveram ao meu lado nesta
jornada.
-
AGRADECIMENTOS
Ao Prof. Dr. Carlos Hideo Arima, que, acreditando em minha capacidade, presenteou-me com
esta oportunidade e me orientou no caminho da cincia.
Ao Prof. Dr. Getlio Akabane por estar sempre disposto a aconselhar, direcionar e por ser um
grande amigo.
Aos professores da Unidade de Ps-Graduao, Extenso e Pesquisa do Centro Estadual de
Educao Tecnolgica Paula Souza. Em especial aos professores Dr. Napoleo Verardi
Galegale, Dr. Jos Manoel Souza das Neves, Dr. Carlos Vital Giordano e Dr. Antonio
Benedito Silva Oliveira por me auxiliarem no desenvolvimento desta pesquisa.
Aos colegas de trabalho do Instituto Federal de Educao, Cincia e Tecnologia de So Paulo
que sempre me incentivaram.
Aos colegas mestrandos por me aturarem.
-
Embora ningum possa voltar atrs e fazer
um novo comeo, qualquer um pode comear
agora e fazer um novo fim.
Francisco Cndido Xavier
-
RESUMO
SOUZA, J. G. S. Anlise de tratamento da segurana da informao na gesto de riscos
da governana de tecnologia da informao de uma instituio de ensino pblico federal.
82 f. Dissertao (Mestrado Profissional em Gesto e Tecnologia em Sistemas Produtivos).
Centro Estadual de Educao Tecnolgica Paula Souza, So Paulo, 2017.
A informao um recurso crescente para o desenvolvimento do ciclo de negcios das
organizaes, e a Tecnologia da Informao (T.I.), assim como as pessoas envolvidas nesse
ciclo, desempenha um papel significativo. A governana de T.I. consiste em aspectos de
liderana, estrutura e processos para que a rea de tecnologia da informao suporte e
aprimore estratgias e objetivos organizacionais, tratando tambm dos riscos relacionados
segurana dos ativos de informao, uma vez que sua identificao e mensurao proporciona
maior controle quanto s incertezas e oportunidades. Portanto, o presente trabalho tem por
objetivo verificar o tratamento dado segurana da informao dentro da gesto de riscos na
governana de T.I. em uma instituio de ensino pblico federal, analisando aspectos da
gesto de risco, que envolvem princpios como organizao de segurana e infraestrutura,
polticas de segurana, normas e procedimentos, programa de segurana, treinamento e
conscientizao da cultura de segurana e adequao. Trata-se de uma pesquisa exploratria
mista, com estudo de uma instituio de ensino pblico federal desenvolvido por meio de
questionrios para levantamento e anlise dos dados relativos s prticas de segurana da
informao dentro da governana de T.I. A partir dos dados analisados, observou-se que os
componentes verificados possuem aplicao na instituio, permitindo a implementao e
manuteno de princpios, compreenso do ambiente de riscos no qual opera e oportunidades
que este oferece.
Palavras-chave: Segurana da informao. Gesto de riscos. Governana de T.I..
Governana corporativa.
-
ABSTRACT
SOUZA, J. G. S. Information security analysis on the risk management of a federal
public education institutions information technology governance. 82 p. Thesis (Master's
in Production Systems Management and Technology). Centro Estadual de Educao
Tecnolgica Paula Souza, So Paulo, 2017.
Information is a growing asset in businesses life cycle, while Information Technology (I.T.)
and the people involved in this cycle play a significant role. I.T. governance consists on
aspects of leadership, structure and processes by enabling information technology to improve
business strategies and objectives while securing the risks related to information assets, since
their identification and measurement provides greater control over uncertainties and
opportunities. Thus, this study aims to verify how is information security processed through
risk management within I.T. governance in a federal public education institution, by analyzing
risk management aspects involving principles such as security organization and infrastructure,
security policies, standards and procedures, security program, security culture awareness and
training and monitoring compliance. As a mixed exploratory research, this study was
developed in a federal public education institution through questionnaires for data survey and
analysis regarding information security practices within I.T. governance. Data analysis
suggests that the verified components are applicable to the institution, enabling principles
implementation, maintenance and acknowledgement of its risk environment and
opportunities.
Keywords: Information security. Risk management. I.T. governance. Corporate governance.
-
LISTA DE QUADROS
Quadro 1 Relao de instrues normativas e normas sobre segurana da informao ....... 35
Quadro 2 Constructo da relao entre a arquitetura de segurana da informao e autores . 50
Quadro 3 Constructo da relao entre os questionamentos fechados e os autores ................ 51
Quadro 4 Constructo da relao entre as dimenses de segurana da informao e
questionamentos abertos ........................................................................................................... 53
Quadro 5 Perfil dos entrevistados .......................................................................................... 55
Quadro 6 Dados extrados na primeira etapa da pesquisa ..................................................... 56
Quadro 7 Mdia (M), desvio padro (D.P.) e coeficiente de variao (C.V.) por gestor ...... 58
Quadro 8 Mdia (M), desvio padro (D.P.) e coeficiente de variao (C.V.) do questionrio
estruturado ................................................................................................................................ 58
Quadro 9 Respostas do questionrio aberto referentes Dimenso 3 Programa de
segurana .................................................................................................................................. 61
Quadro 10 Respostas do questionrio aberto referentes Dimenso 4 Treinamento e
conscientizao da cultura de segurana .................................................................................. 62
Quadro 11 Respostas do questionrio aberto referentes Dimenso 5 Adequao ........... 64
-
LISTA DE TABELAS
Tabela 1 Princpios da Arquitetura de Segurana da Informao ......................................... 33
Tabela 2 Legislao relacionada segurana da informao ................................................ 35
-
LISTA DE FIGURAS
Figura 1 Incidentes reportados por tipos de ataque ............................................................... 15
Figura 2 reas de foco na governana de T.I. ....................................................................... 17
Figura 3 Governana corporativa e dos principais ativos ..................................................... 22
Figura 4 Modelo para a governana de T.I. baseado na norma ISO/IEC 38500 ................... 25
Figura 5 Modelo de criao de valor voltado a gerentes de organizaes pblicas .............. 27
Figura 6 Relacionamento entre os componentes da estrutura de gerenciamento de riscos ... 29
Figura 7 Atributos da informao pela perspectiva da privacidade e segurana da
informao ................................................................................................................................ 32
Figura 8 Grfico de linhas contemplando as respostas dos gestores ..................................... 57
-
LISTA DE SIGLAS
ABNT Associao Brasileira de Normas Tcnicas
CGU Controladoria Geral da Unio
COBIT Control Objectives for Information and Related Technology
CPI Comisso Parlamentar de Inqurito
IBGC Instituto Brasileiro de Governana Corporativa
IEC International Electrotechnical Commission
IFSP Instituto Federal de Educao, Cincia e Tecnologia de So Paulo
ISACA Information Systems Audit and Control Association
ISO International Organization for Standardization
I.T. Information Technology
ITGI I.T. Governance Institute
MPOG Ministrio do Planejamento, Oramento e Gesto
OECD Organisation for Economic Co-operation and Development
SGSI Sistema de Gesto de Segurana da Informao
TCU Tribunal de Contas da Unio
T.I. Tecnologia da Informao
-
SUMRIO
INTRODUO .................................................................................................................... 15
Questo de pesquisa.............................................................................................................. 18
Objetivo geral ....................................................................................................................... 18
Objetivos especficos ............................................................................................................ 18
Justificativa ........................................................................................................................... 19
Estrutura do trabalho ............................................................................................................ 20
1 FUNDAMENTAO TERICA .................................................................................... 21
1.1 Governana corporativa .................................................................................................. 21
1.2 Governana de tecnologia da informao ...................................................................... 23
1.3 Gesto de riscos .............................................................................................................. 28
1.4 Segurana da informao ................................................................................................ 30
1.5 Segurana da informao no setor pblico brasileiro ..................................................... 34
2 PROCEDIMENTOS METODOLGICOS ...................................................................... 39
2.1 Caracterizao ................................................................................................................ 39
2.2 Protocolo ......................................................................................................................... 40
2.3 A instituio .................................................................................................................... 42
2.4 Estudo quantitativo ......................................................................................................... 44
2.5 Estudo qualitativo ........................................................................................................... 52
3 ANLISE DE RESULTADOS ......................................................................................... 55
3.1 Perfil dos entrevistados ................................................................................................... 55
3.2 Anlise quantitativa de dados ......................................................................................... 55
3.3 Anlise qualitativa de dados ........................................................................................... 60
3.4 Consideraes finais ....................................................................................................... 66
CONCLUSO ...................................................................................................................... 69
REFERNCIAS ................................................................................................................... 70
APNDICE A CARTA DE AUTORIZAO ................................................................. 78
APNDICE B ROTEIRO PARA QUESTIONRIO ESTRUTURADO FECHADO ..... 79
APNDICE C ROTEIRO PARA QUESTIONRIO ESTRUTURADO ABERTO ........ 81
-
15
INTRODUO
Aes para segurana da informao so praticadas desde tempos remotos. Singh
(2001) apresenta vrias situaes na histria da humanidade ao descrever esforos para
proteger ou encontrar informaes. Notcias sobre vazamento de informaes sigilosas podem
ser constatadas nos relatos de Ribeiro (2007) informaes de contribuintes da base dados da
Receita Federal do Brasil ou em O Globo (2012) informaes de uma CPI (Comisso
Parlamentar de Inqurito) conduzida no Senado Federal (ARAJO, 2012).
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
mantm estatsticas sobre notificaes voluntrias e espontneas de incidentes ocorridos em
redes a ele reportados. A Figura 1 ilustra o cenrio em que cerca de 600.000 ataques foram
registrados no perodo de janeiro a dezembro de 2015 (CERT.BR, 2015).
Figura 1 Incidentes reportados por tipos de ataque
Fonte: CERT.BR (2015)
-
16
A informao , portanto, um recurso crescente para o desenvolvimento do ciclo de
negcios das organizaes. A Tecnologia da Informao (T.I.) e as pessoas envolvidas nesse
ciclo desempenham um papel significativo, tendo em vista o avano e a difuso de
tecnologias nas organizaes, nos ambientes sociais, pblicos e corporativos. Tal atividade,
destarte, deve ser tratada como um ativo estratgico (ISACA, 2012; NOBRE; RAMOS;
NASCIMENTO, 2010).
A governana corporativa integra componentes de forma holstica ao envolver
princpios, processos, informao, servios, infraestrutura, recursos humanos, alm de
stakeholders internos e externos responsveis pela gesto destes componentes,
proporcionando a estrutura pela qual os objetivos da organizao so estabelecidos. Alm
disso, determina e monitora os meios para alcanar essas metas organizacionais e (OECD,
2015) permite, ainda, que as organizaes trabalhem com eficincia e de forma produtiva,
garantindo a transparncia da responsabilidade gerencial, tanto em organizaes privadas
quanto no setor pblico. Desta forma, a T.I. vista como um ativo, que age como uma fora
motriz provedora de solues cada vez mais complexas, de modo que sua governana um
fator crtico de sucesso e est presente nos projetos executivos organizacionais para apoiar os
objetivos do negcio (AKABANE, 2012; HARDY, 2006; VAN GREMBERGEN; DE HAES;
GULDENTOPS, 2004; ITGI, 2003).
A T.I. se tornou, portanto, uma espcie de habilitador estratgico de negcio, sendo
interessante que organizaes ampliem ainda mais sua abrangncia, de modo a agilizar o
alinhamento dos objetivos do negcio e aprimorar produtos e servios (LUNARDI et al.
2014).
Segundo o ITGI (2007), a governana de T.I. consiste em aspectos de liderana,
estrutura e processos, para que a rea de tecnologia da informao suporte e aprimore os
objetivos e estratgias organizacionais. Alm dessas caractersticas, integra e institucionaliza
boas prticas, habilitando as organizaes para melhor utilizarem seus ativos de informao,
maximizando benefcios, capitalizando oportunidades e adquirindo vantagem competitiva. A
Figura 2 ilustra as reas de foco que contribuem para que haja transparncia dos custos, do
valor e dos riscos de T.I., conforme o modelo de Objetivos de Controle para Informao e
Tecnologias Relacionadas (Control Objectives for Information and Related Technology
COBIT), verso 4.1.
-
17
Figura 2 reas de foco na governana de T.I.
Fonte: ITGI (2007, p.8)
Ainda segundo o ITGI (2007), as reas de foco ilustradas na Figura 2 contribuem com
a governana de tecnologia da informao de modo que:
O alinhamento estratgico estabelece a relao entre os planos de negcios e de T.I.,
definindo, mantendo, validando e alinhando a proposta operacional de tecnologia da
informao com as operaes organizacionais.
Entrega de valor a execuo da proposta por meio do ciclo de entrega, que objetiva
as entregas previstas na estratgia organizacional, concentrando-se em otimizar custos e
promover o valor intrnseco de T.I..
Gesto de recursos busca a melhor utilizao possvel dos investimentos e o
apropriado gerenciamento de recursos crticos, como aplicativos, informaes, infraestrutura e
pessoas. Refere-se, tambm, otimizao do conhecimento.
Mensurao de desempenho, por sua vez, diz respeito ao acompanhamento e
monitoramento de processos, projetos, utilizao de recursos, performance e entrega dos
servios que traduzem estratgias em aes voltadas a atingir os objetivos organizacionais.
Por fim, a gesto de risco trata do ambiente de riscos que envolve nveis,
conformidade, transparncia, funcionrios, e seu gerenciamento nas atividades da
organizao, assim como lida com os riscos relacionados segurana da informao. A
identificao e mensurao desses riscos permitem que os gestores e demais envolvidos no
processo tenham maior controle quanto s incertezas, impacto destas no objetivo do negcio e
as oportunidades que proporcionam.
-
18
Nesse cenrio, a segurana da informao agenda estratgica no setor pblico
brasileiro, existindo uma gama de dispositivos legais e normas que tratam de sua aplicao
nos rgos vinculados ao Governo Federal e cuja observncia obrigatria. Recentes estudos,
como o de Arajo (2012), apresentam a aplicao do tema e como o mesmo ainda pouco
explorado neste mbito.
A governana de T.I. do Instituto Federal de Educao, Cincia e Tecnologia de So
Paulo (IFSP) trata, dentro da gesto de risco, da poltica de segurana da informao,
trabalhando diversos tipos de informaes crticas diretamente relacionadas ao negcio, como
informaes acadmicas dos alunos ou administrativas que influenciam na continuidade do
negcio (BRASIL, 2016a). Essas informaes circulam e so armazenadas em grandes
volumes tanto no ambiente interno como no externo , em mdias fsicas ou lgicas,
utilizando, assim, um grande nmero de ativos, essenciais para o negcio da instituio.
Assim, os recursos computacionais de rede, de comunicao, os documentos fsicos gerados
ou no por recursos computacionais e as informaes desses recursos, como outros ativos da
instituio, precisam ser protegidos (BRASIL, 2016b).
Questo de pesquisa
Qual tratamento dado segurana da informao dentro da gesto de riscos na
governana de T.I. de uma instituio de ensino pblico federal?
Objetivo geral
Analisar os aspectos da segurana da informao dentro da gesto de risco dentro na
governana de T.I. de uma instituio de ensino pblico federal.
Objetivos especficos
Identificar as variveis de segurana da informao, consideradas aplicveis para
governana de tecnologia da informao.
-
19
Analisar o tratamento dado segurana da informao dentro da gesto de riscos na
governana de tecnologia da informao da instituio por meio de um estudo de caso.
Justificativa
Os problemas de vazamento de informaes ou quebra de sigilo em organizaes
pblicas so recorrentes, e o Governo Federal brasileiro vem implementando procedimentos
para gesto de riscos da segurana da informao, com vistas a minimizar tais problemas.
Grande parte dessas iniciativas est registrada em normas, decretos e leis (ARAJO, 2012).
A poltica de segurana da informao do IFSP se caracteriza pela tentativa de manter
a confidencialidade, a integridade e a disponibilidade das informaes, independentemente de
onde ela esteja residente em memria de mquinas e dispositivos, armazenada em disco, em
trnsito ou impressas em documentos, salvaguardando sua exatido e completeza por meio
dos mtodos de processamento, alm de garantir que a comunidade tenha acesso
informao e aos ativos correspondentes sempre que necessrio e de acordo com a permisso
atribuda a cada um (BRASIL, 2016b).
Uma consulta bibliomtrica na base Scopus sobre o termo segurana da informao
(Information Security), referente ao perodo dos ltimos 5 anos, mostra que as produes
cientficas vm tendo um aumento significativo no meio acadmico, com aproximadamente
17.000 artigos. Porm, no que se refere gesto de riscos de segurana da informao,
especialmente no setor pblico (Information Security Risk Management e Public Sector),
apenas 16 artigos foram encontrados, sendo que nenhum deles refere-se ao setor pblico
federal brasileiro.
Este estudo se justifica, portanto, pela necessidade de instituies em analisar suas
atividades, especialmente no que tange segurana de seus ativos de informao e s
possveis vulnerabilidades da T.I.; legitima-se, ainda, pelo objetivo de contribuir para que as
incertezas envolvidas nesse processo possam ser mitigadas ao verificar qual tratamento dado
segurana da informao dentro da gesto de riscos na governana de T.I. de uma instituio
de ensino pblico federal.
-
20
Estrutura do trabalho
Este estudo est organizado de forma a apresentar, em linhas gerais, o problema de
pesquisa, a fundamentao terica, o estudo de caso, e as concluses gerais. A seguir,
apresenta-se, em detalhes, o que a estrutura contempla.
Primeiramente, a introduo j vem abordando a questo-problema, os objetivos da
pesquisa, a justificativa e as contribuies do estudo, bem como esta seo referente
estrutura da dissertao.
A fundamentao terica, ento, apresentada, abrangendo os principais conceitos
sobre governana corporativa, governana de tecnologia da informao, gesto de risco e
segurana da informao no setor pblico brasileiro.
Em seguida, so descritos os procedimentos metodolgicos utilizados para a
realizao do estudo de caso, sua caracterizao, protocolo, informaes sobre a instituio, o
estudo quantitativo e o estudo qualitativo, sendo tambm relatada a anlise de resultados
obtidos.
Por fim, encontram-se as concluses obtidas, limitaes desta pesquisa, sugestes de
estudos futuros e as referncias que foram utilizadas como base para o desenvolvimento deste
trabalho, assim como materiais complementares apresentados como apndices.
-
21
1 FUNDAMENTAO TERICA
Componente da governana corporativa, a governana de T.I consiste em aspectos de
liderana, estrutura organizacional e processos que asseguram que a rea de T.I. d suporte e
aprimore objetivos e estratgias. Portanto, o campo capaz de habilitar a organizao a
melhor utilizar ativos de informao de forma segura, preservando sua confidencialidade,
integridade, autenticidade e disponibilidade, a fim de maximizar benefcios, oportunidades e
capacidade competitiva.
1.1 Governana corporativa
Governana uma palavra que traz consigo a conotao de sabedoria e
responsabilidade sobre o que apropriado. Pode ser definida como o sistema pelo qual as
empresas so dirigidas e controladas, e tem como significado tanto a ao quanto o mtodo de
governar, sendo este ltimo o mais utilizado como referncia pelas empresas (CADBURY,
1992).
Artero (2007) afirma que, dentre as possveis definies para governana, esto as de
controlar, direcionar e regular, ou seja, a maneira como algo administrado, gerenciamento e
o sistema de regulao. Destaca, ainda, que a definio do termo corporao inclui um corpo
de pessoas unidas, autorizadas legalmente a agir como um nico indivduo, assim como
criadas e regidas por certos direitos e deveres.
Para o Instituto Brasileiro de Governana Corporativa IBGC, governana
corporativa o sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre proprietrios, conselho de administrao, diretoria e
rgos de controle. As boas prticas de governana corporativa convertem princpios em
recomendaes objetivas, alinhando interesses com a finalidade de preservar e otimizar o
valor da organizao, o que facilita seu acesso a recursos e contribui para a sua longevidade
(IBGC, 2014, p.18). Ainda segundo o instituto, os princpios bsicos de governana envolvem
transparncia, equidade, prestao de contas e responsabilidade pela disponibilizao de
informaes relevantes, tratamento justo de todas as partes interessadas, atuao dos
-
22
associados, conselheiros, executivos, conselhos fiscais e auditores, alm de abranger a
sustentabilidade das organizaes visando sua longevidade.
A governana corporativa tambm um processo metdico de avaliao moldada para
os sistemas de deciso e, apesar de no haver um modelo nico, possvel identificar
elementos em comum que delimitam as boas prticas de governana corporativa (OECD,
2015; BRIS; BRISLEY; CABOLIS, 2008; ALEXANDER, 2000). Pode ser aplicada a
diversas reas da empresa e a direo da organizao geralmente possui como foco a
eficincia, reduo de custos e ampliao da receita e capacidades, os quais esto interligados
s informaes e ao T.I., sendo vital considerar esta como um ativo (HARDY, 2006).
De forma a integrar os principais ativos ou recursos de governana corporativa e
governana de T.I., Weill e Ross (2004) propem o modelo representado pela Figura 3,
ilustrando as relaes da diretoria e a equipe de executivos snior como agentes articuladores
de estratgias, atuando para execut-las conforme a necessidade da diretoria.
Figura 3 Governana corporativa e dos principais ativos
Fonte: Weill e Ross (2004, p.5)
Governana corporativa
Outros stakeholders
Diretoria
Acionistas
Monitoramento Transparncia
Equipe de executivos snior
Atuao
Principais ativos / recursos
Humanos Financeiros Fsicos Intelectuais Informao e TI Relacionamentos
Mecanismos de Governana de TI
Mecanismos de Governana Financeira
Governana dos principais ativos
Estratgia tratatgia
Governana de T.I.
-
23
O ITGI (2003) destaca que so as decises das partes interessadas que impulsionam o
empreendimento, de modo que a definio da estratgia, o desempenho, os recursos e a gesto
de riscos so ncleos de responsabilidade da governana corporativa. Engloba, assim, as
relaes entre a administrao da entidade e seu corpo diretivo, seus proprietrios e demais
partes interessadas, fornecendo a estrutura pela qual os objetivos globais da entidade so
definidos, alm de determinar o mtodo para se atingir esses objetivos e a maneira como o
desempenho mensurado. Promovendo essas prticas, os recursos so utilizados de forma
responsvel em favor de uma gerncia adequada dos riscos.
Portanto, a governana corporativa o sistema pelo qual as empresas so dirigidas e
controladas ao envolver os relacionamentos entre agentes e princpios como transparncia,
equidade, prestao de contas, responsabilidade e eficincia , integrando a estrutura
organizacional.
A organizao geral do IFSP compreende rgos Superiores, rgos Colegiados,
rgos Descentralizados e rgos Executivos. Este ltimo compreende, alm de outros, a
Reitoria, os rgos de Apoio e as Pr-Reitorias de Ensino, de Extenso, de Pesquisa,
Inovao e Ps-graduao, de Administrao e a de Desenvolvimento Institucional, que
responsvel pela governana de tecnologia da informao da instituio. (BRASIL, 2015b).
Essas diversas reas, assim como a de T.I., do suporte e auxiliam no alcance dos objetivos da
organizao como um todo.
1.2 Governana de tecnologia da informao
A informao vista cada vez mais como um ativo nas organizaes, sejam elas
pblicas ou privadas. Agem como uma fora motriz que prov solues complexas e,
consequentemente, tornam sua governana um fator crtico de sucesso (HARDY, 2006).
Em sua forma ampla, a tecnologia da informao inclui os sistemas de informao, o
uso de hardware e software, telecomunicaes, automao e recursos multimdia, utilizados
pelas organizaes para fornecer dados. A governana de T.I. auxilia, portanto, no alcance
dos objetivos e metas de negcio, buscando maior eficcia organizacional e vantagem
competitiva (LUFTMAN, 2003; LAURINDO et al., 2001).
Como consequncia, as organizaes e seus executivos se esforam para manter
informaes de alta qualidade, que iro apoiar decises corporativas. Agrega-se, dessa forma,
-
24
valor ao negcio a partir dos investimentos em T.I., atingindo objetivos estratgicos por meio
da eficincia (ISACA, 2012).
Visando aprimorar o foco nesse sentido, integrantes do Joint Technical Committee
desenvolveram um guia de governana para gerenciamento de processos e decises relativas
informao e servios de comunicao utilizados pelas organizaes, de modo que esses
processos pudessem ser controlados por especialistas de T.I. (ISO/IEC 38500, 2015).
Baseando-se na norma supracitada, a Associao Brasileira de Normas Tcnicas
(ABNT) elaborou a NBR ISO/IEC 38500. O objetivo do documento fornecer uma estrutura
de princpios que possam ser utilizados pelos dirigentes na avaliao, tomada de deciso,
gerenciamento e monitoramento do uso da T.I. em suas organizaes.
Os princpios elencados pela norma so:
Responsabilidade: os indivduos e grupos da organizao compreendem suas
responsabilidades e atuam respeitando a demanda de T.I.
Estratgia: a estratgia de negcio considera as capacidades atuais e futuras de
T.I.
Aquisio: as aquisies de T.I. possuem razes vlidas embasadas em anlises
transparentes, contnuas e apropriadas.
Desempenho: a T.I. se adequa e apoia a organizao, fornecendo servios
baseados em nveis e com qualidade.
Conformidade: a T.I. cumpre com toda a legislao e regulamentos
obrigatrios, possuindo polticas e prticas claramente definidas,
implementadas e fiscalizadas.
Comportamento humano: as polticas, prticas e decises de T.I. apresentam
respeito pelo comportamento humano, incluindo as necessidades atuais e
futuras das pessoas.
Juiz e Toomey (2015) destacam, em seus estudos, que agregar valor envolve
planejamento, liderana, controle, corroborando com a abordagem desses princpios de modo
a orientar a governana de T.I. e apoiar lderes no planejamento, construo e execuo das
capacidades de T.I. Baseando-se na norma ISO/IEC 38500, apresentam um modelo conceitual
de governana de T.I., que ilustra (conforme a Figura 4) as atividades de governana,
gerenciamento e objetivo do negcio para a utilizao efetiva de T.I., pela perspectiva dos
diretores.
-
25
Avaliar
Dirigir Monitorar
Governana Corporativa
de T.I. F
onte da autoridade
Objetivo do negcio, delegaes, estratgia aprovada, propostas,
planos
Avaliaes, propostas, planos l
estratgia l investim
ento l
operaes l poltica
Avaliao do negcio e de m
ercado, perform
ance e conformidade
Criar capacitades de negcio habilitadas
para T.I.
Planejar capacitades de negcio
habilitadas para TI
Executar capacitades de negcio habilitadas
para T.I.
Gerentes e sistemas gerenciais disponveis para T.I.
Figura 4 Modelo para a governana de T.I. baseado na norma ISO/IEC 38500
Fonte: Modificado por Juiz e Toomey (2015, p.61)
A T.I. se tornou, portanto, uma espcie de habilitador estratgico de negcio, sendo
interessante que organizaes ampliem ainda mais sua abrangncia, a fim de agilizar o
alinhamento dos objetivos do negcio e aprimorar produtos e servios (LUNARDI et al.
2014).
-
26
Segundo Raghupathi (2007), a governana de T.I. refletida na liderana, nas
estruturas organizacionais e nos processos, enquanto que Lunardi, Becker e Maada (2012)
apontam para o fato de que algumas empresas podem melhorar seu desempenho por meio da
governana de T.I. Seus estudos permitiram concluir que o desempenho organizacional de um
grupo de empresas que havia adotado mecanismos formais de governana de T.I., quando
comparado ao grupo que no os adotava, melhorou significativamente. Essencialmente, a
adeso de empresas a esses mecanismos est relacionada ao interesse em aumentar sua
eficincia, reduzir custos e aprimorar a utilizao da infraestrutura de T.I..
Em diversos pases, mais de 1/3 da economia consiste em organizaes
governamentais, incluindo educao, sade e servios que, de forma similar s organizaes
com fins lucrativos, utilizam servios e infraestrutura de T.I. adquiridos por meio de seus
recursos. Porm, o desempenho da governana nessas organizaes geralmente baixo, e uma
governana de T.I. efetiva deve abordar os seguintes questionamentos: quais decises devem
ser tomadas? Quem deveria tomar estas decises? Como tomar e monitorar essas decises?
(WEILL, 2004).
Weill e Woodham (2002) reiteram que a governana de T.I. no pode ser considerada
de forma isolada, pois se relaciona com a governana de outros ativos da empresa que, por
sua vez, esto interligados governana corporativa. Os autores destacam as cinco principais
decises a serem tomadas pela governana de T.I.:
Princpios de T.I.: demonstraes de alto nvel quanto utilizao de T.I. nos
negcios.
Arquitetura de T.I.: organizao lgica para os dados, aplicaes e
infraestruturas, visando integrar os negcios tecnologia de forma
padronizada.
Infraestrutura de T.I.: servios de T.I. centralizados e coordenados como
alicerces das capacidades de T.I. da organizao.
Aplicaes de T.I.: especificao das necessidades do negcio para a aquisio
de aplicaes de T.I. ou implementao de aplicaes de T.I. internas.
Priorizao de investimentos em T.I.: quando e onde investir em T.I., incluindo
aprovaes de projetos e justificativas tcnicas.
Diante dessas decises, verifica-se que criar valor por parte da T.I. bastante
complexo. O prprio conceito de valor, no ambiente pblico, extremamente amplo e,
segundo Weill e Ross (2004), as complexidades a serem mensuradas podem abordar
-
27
performance, transparncia, investimento em infraestrutura, liberdade de atuao, reduo de
custos e outros. As habilidades, o conceito de valor e o ambiente no qual atuam essas
organizaes criam desafios para a governana de T.I. Buscando alinhar tais fatores, os
autores adaptaram um modelo de criao de valor (ilustrado pela Figura 5) voltado a gerentes
de organizaes pblicas.
Figura 5 Modelo de criao de valor voltado a gerentes de organizaes pblicas
Fonte: Weill e Ross (2004, p.191)
Thompson et al. (2013) salienta ainda que papel dos gestores alinhar os
investimentos de T.I. estratgia da organizao, buscando minimizar custos de tecnologia.
A partir da, assegura-se que a infraestrutura de T.I. possa acomodar e se adequar utilizao
crescente de novas aplicaes.
Para que a Governana de T.I. esteja alinhada ao negcio da organizao, ela deve ser
vista como uma ferramenta estratgica que pode dar suporte aos interesses dos stakeholders e,
por meio da atuao dos gestores, pode ter o mesmo nvel de ateno despendido aos demais
ativos da organizao.
-
28
A governana de T.I. do IFSP vinculada Pr-Reitoria de Desenvolvimento
Institucional, responsvel por planejar, definir, acompanhar e avaliar o desenvolvimento das
polticas definidas pela reitoria. Levantando e analisando os resultados obtidos, visa o
aprimoramento do processo educacional e administrativo, em consonncia com as diretrizes
definidas pelo Ministrio da Educao e disposies do Conselho Superior (BRASIL, 2015b).
Sua estrutura conta, alm de outras, com a Assessoria de Tecnologia da Informao, Diretoria
de Infraestrutura e Redes, Diretoria de Sistemas de Informao e Diretoria Adjunta de Suporte
Tecnologia da Informao (BRASIL, 2015b).
1.3 Gesto de riscos
A administrao do risco nos guia por uma ampla gama de tomada de decises,
tornando necessria a ateno s possveis falhas uma vez que a informao e a complexa
tecnologia esto envolvidas nesse processo (BERNSTEIN, 1997). Ainda segundo este autor,
grande parte do ato de correr riscos est baseado em oportunidades desenvolvidas a partir de
desvios da normalidade e, se todos avaliassem o risco exatamente da mesma forma, fatos
considerados negativos no seriam transformados em verdadeiras oportunidades.
As organizaes enfrentam influncias de fatores incertos que afetam seus objetivos.
De modo a reduzir incertezas, necessrio monitorar e identificar o risco, avaliando se este
deve ser modificado ou tratado, uma vez que sua compreenso nos permite tomar decises de
modo racional (ISO 31000, 2009).
Atualmente, os padres de governana de risco tendem a ser de alto nvel, porm
existe margem para sua aplicao em diferentes empresas e situaes (AKABANE, 2012).
Segundo Bromiley et al. (2015), as potenciais particularidades e desafios na avaliao do
risco oferecem tambm oportunidades para que as organizaes observem problemas em seus
processos internos.
A norma ABNT NBR ISO 31000:2009 fornece princpios e diretrizes para a gesto de
riscos e pode ser aplicada tanto no setor pblico ou privado, assim como para avaliar qualquer
tipo de risco, independentemente de sua natureza. Conforme a norma, o sucesso da gesto de
riscos depende da estrutura de gesto (ilustrada pela Figura 6), que fornece fundamentos e
arranjos capazes de incorporar esses processos a toda a organizao. Dessa maneira, o
gerenciamento de risco satisfatoriamente auxiliado por meio de sua aplicao em diferentes
-
29
nveis e contextos organizacionais, assegurando que o risco seja adequadamente identificado e
reportado, o que possibilita utiliz-lo como base na tomada de decises.
Figura 6 Relacionamento entre os componentes da estrutura de gerenciamento de riscos
Fonte: ABNT (2009a, p.9)
Segundo a OECD (2014), as instituies pblicas podem adotar prticas de
governana similares s adotadas por empresas privadas. Para tanto, crucial haver o controle
de risco, tanto pela ao direta dos gestores como por delegaes dos diretores, que podem se
utilizar de qualquer oportunidade para formular diretivas estratgicas e de liderana. O
objetivo da governana criar valor por meio da realizao de benefcios e otimizao dos
riscos e recursos. Portanto, uma governana de T.I. eficiente gerencia e avalia constantemente
as atividades e os riscos relativos T.I., de modo a mant-los em um nvel aceitvel (ISACA,
2012; ITGI, 2007).
Hardy (2006) afirma que uma pequena brecha, roubo, erro, violao de sistema ou
ataque de vrus na T.I. podem resultar em srios danos ao oramento e reputao da
-
30
organizao. Por consequncia, os gerentes, stakeholders, funcionrios e clientes se
preocupam com a segurana das informaes. Os diretores e os conselhos de administrao
devem, por isso, buscar meios de assegurar a proteo dos ativos de informao
organizacional.
A norma ABNT NBR ISO/IEC 27005:2011 fornece diretrizes para o processo de
Gesto de Riscos de Segurana da Informao (GRSI). Pode ser aplicada em organizaes
pblicas ou privadas que pretendam gerir riscos relacionados segurana da informao
organizacional. Segundo a referida norma, o processo de GRSI pode ser utilizado de forma
iterativa na avaliao ou para atividades de tratamento de risco. Seu enfoque iterativo torna
possvel o detalhamento da avaliao a cada repetio, minimizando o tempo e esforo
necessrios na identificao de controles, alm de assegurar que riscos de alto impacto e
probabilidade sejam adequadamente avaliados.
A gesto de risco pode ser vista, portanto, como uma atividade holstica que envolve
todos os aspectos da organizao. O processo de gesto busca fornecer, de forma slida, a
base para que seja possvel determinar o nvel de aceitao dos riscos, quais oportunidades
estes oferecem e como obter informaes necessrias para seu devido tratamento.
Em seu processo de gesto de risco, o IFSP trata da poltica de segurana da
informao, trabalhando diversos tipos de informaes crticas. Estas so permanecem
diretamente relacionadas ao negcio, como informaes acadmicas dos alunos ou
administrativas, que influenciam na continuidade do negcio (BRASIL, 2016a).
1.4 Segurana da informao
A preveno da perda, dano, destruio ou acesso no autorizado informao
processada por organizaes um processo contnuo e, a segurana da informao tem
chamado cada vez mais a ateno. Isso porque a constante evoluo dos riscos internos e
externos pode resultar em violaes e perdas para a organizao como um todo. Governos e
organizaes se sensibilizam e investem gradativamente na segurana de seus ativos de
informao e sua classificao por meio de treinamentos e conscientizaes, auxiliando no
somente a tomada de decises, mas tambm a melhoria e continuidade de suas operaes (DA
VEIGA; MARTINS, 2015; JOURDAN et al., 2010; NIST, 2010; PURDY, 2010).
-
31
A tecnologia um artefato geralmente visvel na organizao. Tal evidncia o
resultado da implementao de componentes de segurana da informao, como de riscos e de
poltica de segurana (SCHEIN, 1985).
Os sistemas de informao esto sujeitos a ameaas que podem tanto oferecer
oportunidades como ter impactos negativos sobre as operaes da organizao, incluindo
misso, funes, imagem, reputao, os ativos, os indivduos. Ademais, pode comprometer a
confiabilidade, integridade, autenticidade e disponibilidade de informaes que esto sendo
processadas, armazenadas ou transmitidas por esses sistemas (NIST, 2010).
A segurana da informao lida com a proteo dos sistemas de informao e do
acesso, utilizao, divulgao, interrupo, modificao ou destruio no autorizados,
preservando, tambm, a confidencialidade, integridade/autenticidade e disponibilidade de
informaes. O objetivo mitigar riscos e proteger a informao das ameaas que tm
impacto negativo sobre a continuidade do negcio e, em ltima instncia, maximizar o retorno
sobre investimentos e oportunidades de negcios (DA VEIGA; MARTINS, 2015; ISO/IEC
27002, 2013).
O volume de informaes eletrnicas utilizadas pelas empresas cada vez maior,
tornando complexo seu gerenciamento produtivo e adequao da qualidade de acesso,
confiabilidade e conformidade. O interesse atender aos objetivos organizacionais e cuidar de
sua exposio, cuja segurana pode ser comprometida por incidentes que representariam
prejuzos financeiros ou para a imagem das organizaes (ALEXANDRIA, 2009;
POSTHUMUS; VON SOLMS, 2004).
Influenciadas por suas necessidades, objetivos, exigncias de segurana, processos,
tamanho e estrutura, as organizaes tendem a especificar e implementar estrategicamente um
Sistema de Gesto de Segurana da Informao (SGSI) que atenda s suas necessidades. Em
sua recente atualizao, a norma ISO/IEC 27001:2013 padroniza definies e estruturas de
diferentes padres ISO, alinhando-se com outros padres j existentes. A norma tambm
proporciona uma gesto de riscos ainda mais efetiva, ao incluir requisitos para a avaliao e
tratamento de riscos de segurana da informao (ISO/IEC 27001, 2013).
H tambm a proposta de uma abordagem de melhoria contnua, por meio de um
processo de criao, implementao, operao, monitoramento, reviso, manuteno e
melhoria do SGSI da organizao. Nela, adota-se o modelo Planejar-Executar-Monitorar-Agir
do ingls, Plan-Do-Check-Act (PDCA) , considerando requisitos de segurana da
informao e aes necessrias para atender s expectativas dos stakeholders. A adoo do
modelo reflete, alm de outros, os princpios de governana dos sistemas de informao e
-
32
redes, anlise de risco, especificao, implementao, administrao e reavaliao da
segurana. Esse conjunto de atributos que representa uma viso abrangente da perspectiva de
segurana e privacidade da informao apresentado pela Figura 7 (ISO/IEC 27001, 2013;
DA VEIGA; ELOFF, 2007).
Figura 7 Atributos da informao pela perspectiva da privacidade e segurana da informao
Fonte: Da Veiga e Martins (2015, p. 6)
A privacidade da informao e sua segurana so dois conceitos inter-relacionados
proteo, e ambos devem ser considerados ao se tratar dos riscos da informao. A dimenso
da privacidade alinha as necessidades especficas da organizao ao verificar princpios que
esto em consonncia com preferncias organizacionais, se h conscientizao quanto
aplicao destes princpios e demais contextos. Alm disso, um bom planejamento e uma boa
implementao de uma cultura de segurana da informao requer no somente cooperao
de toda a organizao, mas tambm por parte dos gestores (DA VEIGA; MARTINS, 2015;
MONTESDIOCA; MAADA, 2015).
Diversas abordagens de segurana da informao podem ser utilizadas no que se refere
implementao de controles de segurana (componentes) e ameaas aos ativos de
informao. A ISO/IEC 27002:2013, reconhecida como uma norma das melhores prticas de
segurana da informao, define uma srie de controles necessrios maioria das situaes
que envolvem T.I. (DA VEIGA; ELOFF, 2007).
Outra abordagem apresentada por Eloff e Eloff (2005) denominada PROTECT, que
um acrnimo para Polticas, Riscos, Objetivos, Tecnologia, Execuo, Conformidade e Time.
-
33
Tudor (2000), por sua vez, prope uma abordagem abrangente e flexvel de uma
arquitetura de segurana da informao para proteger os ativos de uma organizao. Sua
perspectiva destaca cinco princpios fundamentais (listados na Tabela 1), que so utilizados
para compreender o ambiente de risco em que as organizaes operam. Os fatores destacados
pelo autor so motivados pelo interesse de avaliar e implementar controles para mitigar riscos,
assim como h tambm um foco na legislao do pas para garantir que informaes
confidenciais de cada organizao esteja protegida em conformidade.
Tabela 1 Princpios da Arquitetura de Segurana da Informao
1. Organizao de segurana e infraestrutura: Papis desempenhados pelas pessoas e
responsabilidades so definidas e o suporte por parte da gerncia executiva
estabelecido.
2. Polticas de segurana, normas e procedimentos: Polticas, normas e procedimentos
so desenvolvidos.
3. Programa de segurana: Um programa de segurana da informao organizado
tendo em conta a gesto de riscos.
4. Treinamento e conscientizao da cultura de segurana: Os usurios so treinados e
h reflexo da conscientizao nas diversas atividades desenvolvidas. H confiana entre
os usurios, a gerncia e os terceiros.
5. Adequao: Existe um controle interno e externo da segurana da informao.
Fonte: Tudor (2000), adaptado por Da Veiga e Eloff (2007)
Os princpios abrangem aspectos de processos e de tecnologia para direcionar
necessidades de segurana das organizaes e, o primeiro deles diz respeito organizao de
segurana e infraestrutura, com funes e responsabilidades definidas, bem como a apoio
gerencial. O segundo princpio referente s polticas de segurana, normas e procedimentos
de gesto, destacando o seu desenvolvimento e implementao. Os requisitos de controle de
segurana estabelecidos nas polticas de segurana no podem ser implantados de forma
isolada, devendo considerar os riscos para a organizao. Como um terceiro princpio, as
avaliaes de risco devem ser realizadas em todas as plataformas bancos de dados,
aplicativos e redes , assim como um processo deve ser institudo, visando fornecer um
oramento adequado de recursos para enfrentar os riscos e implementar controles. Para que os
-
34
controles atuem de forma eficaz, os usurios precisam estar cientes da sua responsabilidade e
incentivados a participar de programas de treinamento.
O quarto princpio visa estimular o treinamento e estabelecer um ambiente de
confiana entre os usurios, gesto e terceiros, para permitir transaes e proteger a
privacidade; o quinto e ltimo princpio concentra-se na verificao da conformidade e
auditorias por auditores internos e externos para monitorar a eficcia do programa de
segurana.
1.5 Segurana da informao no setor pblico brasileiro
A segurana da informao agenda estratgica no setor pblico brasileiro, existindo
uma gama de dispositivos legais e normas que tratam de sua aplicao nos rgos vinculados
ao Governo Federal e cuja observncia obrigatria. Aliado a isso, recentes estudos, como o
de Arajo (2012), apresentam a essncia do tema e como o mesmo ainda pouco explorado
neste mbito.
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
(CERT.br) mantm estatsticas sobre notificaes voluntrias e espontneas de incidentes
ocorridos em redes, que a ele foram reportados. A Figura 1, apresentada na introduo desta
pesquisa, ilustra o cenrio onde cerca de 600.000 ataques foram registrados no perodo de
janeiro a dezembro de 2015 (BRASIL, 2015a).
Independentemente de ser governamental, privada ou pblica, a maioria das
instituies est aplicando uma srie de contramedidas de segurana, polticas, procedimentos
e diretrizes como medidas de proteo (JOURDAN et al., 2010). Tal cenrio justificado
pelo fato de que incidentes de segurana podem causar consequncias adversas para as
organizaes, podendo afetar ativos de informao, a reputao organizacional, a confiana
do cliente, a produtividade dos empregados e, at mesmo, riscos de mbito legal (DZAZALI;
SULAIMAN; ZOLAIT, 2009; SHEDDEN et al., 2011).
Um levantamento da legislao brasileira, relacionada Segurana da Informao e
Comunicaes (SIC) feito por Vieira e Fraga (2014), elenca regulamentos abrangendo a
legislao de carter federal, estadual e municipal. Conforme apresenta a Tabela 2, existe uma
grande quantidade de dispositivos legais, decretos, leis, instrues normativas e projetos de lei
relacionados ao tema.
-
35
Tabela 2 Legislao relacionada segurana da informao
Regulamento Quantidade
Dispositivos legais de carter federal 83
Legislao especfica federal 50
Legislao especfica estadual/distrital 6
Legislao especfica municipal 2
Normas Tcnicas 8
Projetos de lei 13
TOTAL 162
Fonte: Adaptado de Vieira e Fraga (2014)
No somente os requisitos regulamentares esto aumentando, mas tambm as
responsabilidades de governana em supervisionar progressivamente a segurana da
informao, uma vez que esta prov uma forte ligao entre o corpo diretivo, a gerncia
executiva e os responsveis pela implementao e operao de um sistema de gesto de
segurana da informao que deve apoiar os objetivos da organizao (ISO/IEC 27001,
2013).
Arajo (2012) aponta tambm, por meio de uma reviso na legislao, a existncia de
duas instrues normativas e 14 normas complementares, cujo contedo dos documentos deve
ser observado por todos os rgos da gesto pblica federal, conforme indicado no Quadro 1.
Quadro 1 Relao de instrues normativas e normas sobre segurana da informao
Instrues Normativas e Normas Ementa
Instruo Normativa N 4 - SLTI/MPOG, de 12 de novembro
de 2010
Dispe sobre o processo de contratao de Solues de Tecnologia da informao pelos rgos integrantes do Sistema de Administrao dos Recursos de Informao e Informtica (SISP) do Poder Executivo Federal. (Publicada no DOU N 218, de 16 nov. 2010- Seo 1).
Instruo Normativa GSI N 1, de 13 de junho de 2008
Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. (Publicada no DOU N 115, de 18 jun. 2008- Seo 1).
Instruo Normativa GSI N 2, de 5 de fevereiro de 2013
Dispe sobre o Credenciamento de segurana para o tratamento de informao classificada, em qualquer grau de sigilo, no mbito do Poder Executivo Federal. (Publicada no DOU N 32, de 18 fev. 2013- Seo 1).
-
36
Instruo Normativa GSI N 3, de 6 de maro de 2013
Dispe sobre os parmetros e padres mnimos dos recursos criptogrficos baseados em algoritmos de Estado para criptografia da informao classificada no mbito do Poder Executivo Federal. (Publicada no DOU N 50, de 14 Mar 2013- Seo 1).
Norma complementar n 02/IN01/DSIC/GSIPR
Metodologia de Gesto de Segurana da Informao e Comunicaes. (Publicada no DOU N 199, de 14 Out 2008 - Seo 1).
Norma complementar n 03/IN01/DSIC/GSIPR
Diretrizes para a Elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e Entidades da Administrao Pblica Federal. (Publicada no DOU N 125, de 03 jul. 2009 - Seo 1).
Norma complementar n 05/IN01/DSIC/GSIPR, e seu anexo
Disciplina a criao de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos rgos e entidades da Administrao Pblica Federal. (Publicada no DOU N 156, de 17 ago. 2009 - Seo 1).
Norma complementar n 06/IN01/DSIC/GSIPR
Estabelece Diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. (Publicada no DOU N 223, de 23 nov. 2009 - Seo 1).
Norma complementar n 08/IN01/DSIC/GSIPR
Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos rgos e entidades da Administrao Pblica Federal. (Publicada no DOU N 162, de 24 ago. 2010 - Seo 1).
Norma complementar n 10/IN01/DSIC/GSIP
Estabelece diretrizes para o processo de Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da Informao e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).
Norma complementar n 11/IN01/DSIC/GSIPR
Estabelece diretrizes para avaliao de conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).
Norma complementar n 12/IN01/DSIC/GSIPR
Estabelece diretrizes e orientaes bsicas para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).
-
37
Norma complementar n 13/IN01/DSIC/GSIPR
Estabelece diretrizes para a Gesto de Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta (APF). (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).
Norma complementar n 14/IN01/DSIC/GSIPR
Estabelece diretrizes para a utilizao de tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).
Norma complementar n 15/IN01/DSIC/GSIPR
Estabelece diretrizes de Segurana da Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 119, de 21 jun. 2012 - Seo 1).
Norma complementar n 16/IN01/DSIC/GSIPR
Estabelece as Diretrizes para o Desenvolvimento e Obteno de Software Seguro nos rgos e Entidades da Administrao Pblica Federal, direta e indireta. (Publicada no DOU N 224, de 21 nov. 2012 - Seo 1).
Norma complementar n 17/IN01/DSIC/GSIPR
Estabelece Diretrizes nos contextos de atuao e adequaes para Profissionais da rea de Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF). (Publicada no DOU N 68, de 10 abr. 2013 - Seo 1).
Norma complementar n 18/IN01/DSIC/GSIPR
Estabelece as Diretrizes para as Atividades de Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF). (Publicada no DOU N 68, de 10 abril 2013 - Seo 1).
Norma complementar n 19/IN01/DSIC/GSIPR
Estabelece Padres Mnimos de Segurana da Informao e Comunicaes para os Sistemas Estruturantes da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 134, de 16 jul. 2014 - Seo 1).
Norma complementar n 21/IN01/DSIC/GSIPR
Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservao de Evidncias de Incidentes de Segurana em Redes nos rgos e entidades da Administrao Pblica Federal, direta e indireta. (Publicada no DOU N 196, de 10 Out 2014 - Seo 1).
Fonte: Adaptado de Arajo (2012)
Alm da obrigatoriedade em observar os dispositivos supracitados, as organizaes
pblicas e arquivos pblicos so tambm fortemente regulados e fiscalizados por rgos de
controle da Administrao Pblica, como Ministrio do Planejamento, Oramento e Gesto
-
38
(MPOG), Controladoria Geral da Unio (CGU) e Tribunal de Contas da Unio (TCU)
(ALBUQUERQUE JR.; SANTOS, 2014).
No IFSP, a poltica de segurana da informao se caracteriza pela tentativa de manter
a confidencialidade, a integridade e a disponibilidade das informaes, independentemente de
onde ela esteja, residente em memria de mquinas e dispositivos, armazenada em disco, em
trnsito ou impressas em documentos. Alm disso, salvaguarda a exatido e completeza
dessas informaes por meio dos mtodos de processamento, garantindo que a comunidade,
sempre que necessrio e de acordo com a permisso atribuda a cada um, tenha acesso a elas e
aos ativos correspondentes.
-
39
2 PROCEDIMENTOS METODOLGICOS
A pesquisa realizada neste trabalho pode ser classificada como mista quanto
abordagem quantitativa e qualitativa, e, segundo o objetivo geral, descritiva e exploratria,
baseada em um processo lgico de investigao indutivo que explora, descreve e, em seguida,
gera perspectivas tericas (SAMPIERI; COLLADO; LUCIO, 2006).
As etapas desenvolvidas neste estudo englobam revisar a literatura relacionada
governana corporativa, governana de tecnologia da informao, gesto de risco e segurana
da informao no setor pblico brasileiro, no sentido de estabelecer o objeto de pesquisa,
Alm disso, analisar os aspectos da segurana da informao dentro da gesto de risco dentro
na governana de T.I., levantar dados da instituio por meio de protocolo do estudo de caso;
tabular e analisar os dados coletados, identificando a percepo da aplicao de segurana da
informao na instituio de ensino pblico federal para examin-la.
Os fatores envolvidos englobam princpios como organizao de segurana e
infraestrutura, polticas de segurana, normas e procedimentos, programa de segurana,
treinamento e conscientizao da cultura de segurana e adequao da sua aplicao na
respectiva entidade.
Dessa forma, consiste em um estudo de caso nico, que tem como objetivo analisar os
aspectos da segurana da informao dentro da gesto de risco dentro na governana de T.I.
de uma instituio de ensino pblico federal.
2.1 Caracterizao
A aplicao metodolgica de um trabalho pode ser justificada pela necessidade de
embasamento cientfico adequado e pela busca da melhor abordagem para enderear as
questes da pesquisa. Ademais, um estudo de caso nico permite um maior aprofundamento
na investigao e frequentemente utilizado em pesquisa longitudinal (MIGUEL, 2007).
Conforme salienta Yin (2001), o estudo de caso uma inquirio emprica que
investiga fenmenos contemporneos inseridos em algum contexto da vida real, permitindo a
-
40
utilizao de fontes de evidncias, como a observao direta e entrevistas, utilizando
protocolos.
O protocolo de estudo, alm de aumentar a confiabilidade da pesquisa, contm os
procedimentos e as regras gerais para conduzir e realizar o estudo, alm de oferecer a
segurana de que o trabalho cientfico foi realizado com planejamento e execuo. Essas
preocupaes garantem resultados que, de fato, possibilitaram explicaes sobre a realidade
investigada (MARTINS; THEPHILO, 2007; MARTINS, 2006; YIN, 2001).
As seguintes sees compem o protocolo do estudo de caso:
Viso geral do projeto do estudo de caso com a descrio da pesquisa, etc.
Procedimentos de campo, apresentao das credenciais do pesquisador,
locais de estudo, fontes de informao, etc.
Questes do estudo de caso com questes especficas para a coleta de dados.
Os procedimentos de campo, as questes do estudo de caso, a carta de autorizao e o
roteiro, utilizados na conduo deste estudo, encontram-se nos APNDICES A CARTA DE
AUTORIZAO, APNDICE B ROTEIRO PARA QUESTIONRIO ESTRUTURADO
FECHADO e APNDICE C ROTEIRO PARA QUESTIONRIO ESTRUTURADO
ABERTO. Os instrumentos de coleta utilizados foram questionrios digitais estruturados na
plataforma Google Forms, disponvel em: . A viso geral do
protocolo de estudo de caso encontra-se descrita nas etapas a seguir.
2.2 Protocolo
Segundo Yin (2001), os estudos de caso, em geral, possuem trs etapas principais:
definio e planejamento; preparao, coleta e anlise de dados; e anlise das informaes e
concluso, conforme detalhados a seguir:
1) Definio e planejamento
Escolha do caso: informaes obtidas no estudo bibliomtrico descrito na
introduo deste trabalho demostram a existncia de poucas pesquisas
referentes gesto de riscos de segurana da informao aplicadas no
contexto de instituies federais de educao. Alm disso, a escolha se deu
-
41
devido facilidade de contato do autor com os gestores responsveis pela
governana de T.I., assim como limitaes de tempo, recursos financeiros,
materiais e pessoas (MATTAR, 1996).
Amostragem: o processo de amostragem adotado nesta pesquisa pode ser
classificado como no probabilstico e por convenincia (MALHOTRA,
2001; SCHIFFMAN; KANUK, 2000; FOWLER, 1991). Amostras por
convenincia podem ser facilmente justificadas em um estgio exploratrio
da pesquisa e para estudos em que o pesquisador aceita os riscos da
impreciso dos resultados do estudo (CHURCHILL, 1998; KINNEAR;
TAYLOR, 1979).
Critrio de escolha dos entrevistados: a amostra desta pesquisa se restringiu
reitoria do IFSP, no se ampliando aos demais campi. Consiste de
entrevistados que, alm de atuarem como gestores de T.I. capacitados,
possuem contato frequente com o tema e se disponibilizaram
voluntariamente a participar da pesquisa (FREITAS et al., 2000; MATTAR,
1996; AAKER; KUMAR; DAY, 1995; KISH, 1965).
Elaborao do protocolo do estudo de caso: o protocolo para o estudo foi
desenvolvido para a coleta de dados, que, neste caso, foi realizada por meio
de questionrios estruturados, instrumento de coleta de dados constitudo por
uma srie ordenada de perguntas e, em seguida, questionrios abertos
(LAKATOS, 2003).
2) Coleta e anlise de dados
Aplicao dos questionrios: com base nas questes apontadas no protocolo
para o estudo de caso e no critrio de escolha dos entrevistados, foi aplicado
primeiramente um questionrio estruturado fechado com tratamento
estatstico das respostas para o levantamento de informaes quantitativas.
Em seguida, foi aplicado um questionrio aberto de profundidade para o
levantamento de informaes qualitativas e maior anlise dos dados obtidos.
Os questionamentos foram aplicados a gestores responsveis por diferentes
reas de T.I., durante o primeiro semestre de 2016.
Elaborao de relatrio preliminar: a partir das informaes obtidas nos
questionrios aplicados, um relatrio preliminar do caso foi elaborado para a
anlise detalhada.
-
42
3) Anlise das informaes e concluso
Anlise das informaes: a partir do relatrio preliminar elaborado, foi
realizada uma anlise detalhada das respostas obtidas.
Elaborao das concluses: registro das observaes decorrentes da anlise
dos resultados.
2.3 A instituio
A instituio na qual foi conduzido este estudo parte integrante da rede de Institutos
Federais de Educao, Cincia e Tecnologia, vinculados diretamente ao Ministrio da
Educao. Esses rgos fazem parte da rede pblica federal de educao profissional,
cientfica e tecnolgica, cobrindo todos os estados brasileiros, oferecendo cursos tcnicos,
superiores de tecnologia, licenciaturas, mestrado e doutorado.
So instituies de educao superior, bsica e profissional, especializadas na oferta
de educao profissional e tecnolgica gratuita em diferentes modalidades, bem como na
realizao de pesquisa aplicada e promoo do desenvolvimento tecnolgico de novos
processos, produtos e servios. Especialmente de abrangncia local e regional, oferecem
mecanismos para a educao continuada, com estreita articulao com os setores produtivos e
a sociedade (BRASIL, 2015b).
A estrutura multicampi e a clara definio do territrio de abrangncia das aes dos
Institutos Federais afirmam, na misso dessas instituies, o compromisso de interveno em
suas respectivas regies, identificando problemas e criando solues tcnicas e tecnolgicas
para o desenvolvimento sustentvel com incluso social (BRASIL, 2016).
Fundada em 1909 como Escola de Aprendizes Artfices, durante sua histria, recebeu,
tambm, os nomes de Escola Tcnica Federal de So Paulo e Centro Federal de Educao
Tecnolgica de So Paulo. Em dezembro de 2008, com sua transformao em Instituto
Federal de Educao, Cincia e Tecnologia de So Paulo (IFSP), passou a ser uma autarquia
federal de ensino e a ter relevncia de universidade, destacando-se pela autonomia (BRASIL,
2015b).
O IFSP conta com aproximadamente 1.100 (mil e cem) docentes, 600 (seiscentos)
administrativos e possui aproximadamente 24 mil alunos matriculados nos 38 campi, mais 4
mil alunos nos 19 polos de educao distncia distribudos pelo estado de So Paulo. Sua
-
43
organizao geral compreende rgos Superiores, rgos Colegiados, rgos
Descentralizados e rgos Executivos. Este ltimo compreende, alm de outras reas, a
Reitoria, os rgos de Apoio e as Pr-Reitorias de Ensino, de Extenso, de Pesquisa,
Inovao e Ps-graduao, de Administrao e a de Desenvolvimento Institucional (BRASIL,
2015b).
As Pr-Reitorias, dirigidas por Pr-Reitores nomeados pelo Reitor, so rgos
executivos que planejam, definem, acompanham e avaliam as atividades e as polticas
relacionadas s seguintes dimenses:
Pr-Reitoria de Ensino compete planejar, definir, acompanhar e avaliar o
desenvolvimento das polticas e atividades acadmicas, buscando o seu constante
aprimoramento, em consonncia com as diretrizes definidas pelo Ministrio da Educao e
com as disposies do Conselho Superior (BRASIL, 2015b).
Pr-Reitoria de Extenso compete planejar, definir, acompanhar e avaliar as
polticas e as atividades de extenso em suas relaes com a sociedade e com as empresas,
buscando articul-las ao ensino e pesquisa, em consonncia com as diretrizes definidas pelo
Ministrio da Educao e com as disposies do Conselho Superior (BRASIL, 2015b).
Pr-Reitoria de Pesquisa, Inovao e Ps-graduao compete planejar, definir,
acompanhar e avaliar as polticas e o desenvolvimento das atividades a ela relacionadas,
buscando seu fortalecimento em todos os nveis de ensino do IFSP, em consonncia com as
diretrizes definidas pelo Ministrio da Educao e com as disposies do Conselho Superior
(BRASIL, 2015b).
Pr-Reitoria de Administrao compete planejar, definir, acompanhar e avaliar as
polticas e atividades de execuo oramentria, financeira e patrimonial, buscando o seu
constante aprimoramento, em consonncia com as diretrizes definidas pelo Ministrio da
Educao e com as disposies do Conselho Superior (BRASIL, 2015b).
Por fim, Pr-Reitoria de Desenvolvimento Institucional compete planejar, definir,
acompanhar e avaliar tanto o desenvolvimento das atividades de gesto de pessoal, quanto o
desenvolvimento das polticas definidas pela Reitoria, levantando e analisando os resultados
obtidos e buscando o aprimoramento do processo educacional e administrativo, em
consonncia com as diretrizes definidas pelo Ministrio da Educao e disposies do
Conselho Superior (BRASIL, 2015b).
Contemplando a rea de Tecnologia da Informao do IFSP, sua estrutura conta, alm
de outras, com a Assessoria de Tecnologia da Informao, Diretoria de Infraestrutura e Redes,
Diretoria de Sistemas de Informao e Diretoria Adjunta de Suporte Tecnologia da
-
44
Informao. No portal da T.I. possvel, ainda, verificar as atribuies e responsabilidades de
cada uma destas diretorias, por meio do endereo eletrnico (BRASIL,
2015b).
A governana de T.I. do IFSP trata, dentro da gesto de risco, da poltica de segurana
da informao, trabalhando com diversos tipos de informaes crticas diretamente
relacionadas ao negcio, como informaes acadmicas dos alunos ou informaes
administrativas que influenciam na continuidade do negcio (BRASIL, 2016a).
Essas informaes circulam e so armazenadas em grandes volumes, tanto no
ambiente interno como no externo, em mdias fsicas ou lgicas, utilizando, assim, um grande
nmero de ativos, essenciais para o negcio da instituio. Dessa maneira, os recursos
computacionais de rede, de comunicao, os documentos fsicos gerados ou no por recursos
computacionais e as informaes desses recursos, como qualquer outro ativo da instituio,
precisam ser protegidos (BRASIL, 2016b).
A poltica de segurana da informao da instituio se caracteriza pela tentativa de
manter a confidencialidade, a integridade e a disponibilidade das informaes, esteja ela
residente em memria de mquinas e dispositivos, armazenada em disco, em trnsito ou
impressas em documentos. Salvaguarda, assim, a exatido e a completeza dessas informaes
por meio dos mtodos de processamento, garantindo que a comunidade, sempre que
necessrio e de acordo com a permisso atribuda a cada um, tenha acesso a elas e aos ativos
correspondentes (BRASIL, 2016b).
2.4 Estudo quantitativo
Para verificar o tratamento dado segurana da informao, por meio da gesto de
riscos dentro da governana de T.I. da instituio em estudo, foram analisados aspectos da
gesto de risco que envolvem princpios como:
Organizao de segurana e infraestrutura;
Polticas de segurana, normas e procedimentos;
Programa de segurana;
Treinamento e conscientizao da cultura de segurana;
Adequao.
-
45
Esses princpios podem ser vistos como dimenses da arquitetura de segurana da
informao, abrangendo aspectos da mesma por meio da gesto de riscos dentro da
governana de T.I., assim como proteo de informaes confidenciais em conformidade com
a legislao.
Os autores estudados nesta pesquisa e as reas de foco da governana de T.I.
apresentadas na Introduo (Figura 2) que tratam do alinhamento estratgico, entrega de
valor, gesto de recursos, mensurao de desempenho e, em especial, a gesto de riscos
permitem estabelecer as relaes entre os seguintes planos de negcios: a T.I., a execuo da
proposta por meio do ciclo de entrega, a melhor utilizao possvel dos investimentos e
recursos, a otimizao do conhecimento, monitoramento de processos e gerenciamento do
ambiente de risco nas atividades da organizao, validando estes princpios chave.
Desse modo, em um primeiro momento, foi conduzido um estudo quantitativo. Nele,
para definir constructos, os autores estudados no referencial terico foram relacionados com a
arquitetura de segurana da informao proposta por Tudor (2000) e adaptada por Da Veiga
(2007,) abrangendo essas cinco dimenses.
1. Organizao de segurana e infraestrutura
A prpria definio do termo corporao inclui um corpo de pessoas unido e
autorizado legalmente a agir, de forma organizada, como um nico indivduo, criado e regido
por certos direitos e deveres. Por ser um processo metdico de avaliao moldada para os
sistemas de deciso, a governana corporativa o sistema pelo qual as organizaes so
dirigidas, monitoradas e incentivadas, podendo ser aplicada a diversas reas da empresa,
incluindo a de T.I. Com foco na eficincia e envolvendo os relacionamentos entre
proprietrios, conselho de administrao, diretoria e rgos de controle, a governana
corporativa exige dos gestores a competncia de alinhar os investimentos estratgia das
organizaes e assegurar que a infraestrutura seja adequada crescente utilizao de novas
aplicaes, possibilitando um trabalho eficiente e produtivo, com transparncia e
responsabilidade gerencial (OECD, 2015; IBGC, 2014; THOMPSON et al., 2013;
AKABANE, 2012; BRIS; BRISLEY; CABOLIS, 2008; ARTERO, 2007; HARDY, 2006;
VAN GREMBERGEN; DE HAES; GULDENTOPS, 2004; ITGI, 2003; ALEXANDER,
2000).
-
46
Em diversos pases, mais de 1/3 da economia consiste em organizaes
governamentais, incluindo educao, sade e servios que utilizam a infraestrutura de T.I.
Esta, em sua forma ampla, inclui os sistemas de informao, o uso de hardware e software,
telecomunicaes, automao e recursos multimdia, utilizados para fornecer dados,
informaes e conhecimento. A informao e as tecnologias inseridas no ciclo de negcios se
difundem como um ativo estratgico, de modo que sua governana envolve decises no
tocante a princpios, arquitetura, infraestrutura, aplicaes e priorizao de investimentos.
(ISACA, 2012; RAMOS; NASCIMENTO, 2010; ARTERO, 2007; NOBRE; WEILL, 2004;
LUFTMAN, 2003; WEILL; WOODHAM, 2002; LAURINDO et al., 2001; CADBURY,
1992).
Desse modo, questionamentos podem ser levantados. Por exemplo:
No que tange segurana da informao, os papis desempenhados pelas pessoas so
definidos?
As responsabilidades das pessoas so definidas?
2. Polticas de segurana, normas e procedimentos
Agregar valor envolve planejamento, sendo este afetado por presses do negcio e
obrigaes legais. No somente os requisitos regulamentares esto aumentando, mas tambm
as responsabilidades de governana em supervisionar cada vez mais a segurana da
informao. Nesse sentido, deve-se enfatizar o fato de que a legislao brasileira relacionada
Segurana da Informao e Comunicaes (SIC) de carter federal, estadual e municipal
contempla uma grande quantidade de dispositivos legais, decretos, leis, instrues normativas
e projetos de lei. Dentre estes, duas instrues normativas e 14 normas complementares
devem ser obrigatoriamente observadas por todos os rgos da gesto pblica federal,
conforme apresentado na Tabela 2 (Legislao relacionada segurana da informao) e no
Quadro 1 (Relao de instrues normativas e normas sobre segurana da informao). Alm
da obrigatoriedade em observar os dispositivos supracitados, as organizaes pblicas e
arquivos pblicos so tambm fortemente regulados e fiscalizados por rgos de controle da
Administrao Pblica, como Ministrio do Planejamento, Oramento e Gesto (MPOG),
Controladoria Geral da Unio (CGU) e Tribunal de Contas da Unio (TCU) (ISO/IEC 38500,
2015; JUIZ; TOOMEY, 2015; VIEIRA; ALBUQUERQUE JR.; SANTOS, 2014; FRAGA,
2014; ISO/IEC 27001, 2013; ARAJO; 2012).
-
47
Pblicas ou privadas, a maioria das instituies aplica uma srie de contramedidas de
segurana, polticas, procedimentos e diretrizes como medidas de proteo, tendo em vista
que o sucesso da gesto de riscos busca, tambm, assegurar que o risco seja adequadamente
identificado e reportado, podendo, assim, ser utilizado como base na tomada de decises
(JOURDAN et al., 2010; ABNT, 2009a).
O processo de Gesto de Riscos de Segurana da Informao (GRSI) pode ser
utilizado de forma iterativa na avaliao ou para atividades de tratamento de risco. Seu
enfoque iterativo torna possvel o detalhamento da avaliao a cada repetio, minimizando o
tempo e o esforo necessrios na identificao de controles, assegurando que riscos de alto
impacto e probabilidade sejam adequadamente avaliados. Alm disso, podem auxiliar na
implementao de controles de segurana e conteno de ameaas aos ativos de informao
(ABNT, 2011; ELOFF; ELOFF, 2005).
Desse modo, questionamentos podem ser levantados. Por exemplo:
So desenvolvidas polticas, normas ou procedimentos de segurana da informao?
3. Programa de segurana
A administrao do risco nos guia por uma ampla gama de tomada de decises, sendo
necessria ateno s possveis falhas ou erros, o que inclui a informao e a complexa
tecnologia envolvida em seu processo (BERNSTEIN, 1997).
Os padres de governana de risco tendem a ser de alto nvel. Criar valor por meio da
realizao de benefcios e otimizao dos riscos e recursos exige que a governana de T.I. seja
eficiente, gerencie e avalie constantemente as atividades e os riscos relativos T.I., de modo a
mant-los em um nvel aceitvel. Gerenciar o risco em diferentes empresas e situaes
oferece oportunidades para que as organizaes observem problemas em seus processos
internos (BROMILEY et al., 2015; OECD, 2014, ISACA, 2012; ITGI, 2007).
crucial que haja o controle de risco, tanto pela ao direta dos gestores e
funcionrios como por delegaes dos diretores, que podem se utilizar de qualquer
oportunidade para formular diretivas estratgicas e de liderana. Ao investir na segurana de
seus ativos de informao por meio de sua classificao, treinamentos e conscientizaes,
governos e organizaes obtm melhorias no somente na tomada de decises. mas tambm
na continuidade de suas operaes (DA VEIGA; MARTINS, 2015; JOURDAN et al., 2010;
NIST, 2010; PURDY, 2010).
-
48
As organizaes enfrentam influncias de fatores incertos que afetam seus objetivos.
Uma pequena brecha, roubo, erro, violao de sistema ou ataque de vrus na T.I. podem
resultar em srios danos ao oramento e reputao da organizao. De modo a reduzir
incertezas, necessrio monitorar e identificar o risco para avaliar se este deve ser modificado
ou tratado, uma vez que sua compreenso nos permite tomar decises de modo racional e
buscar meios de assegurar a proteo dos ativos de informao organizacional. (ABNT, 2011;
ABNT, 2009a; HARDY, 2006).
Deste modo, questionamentos podem ser levantados. Por exemplo:
Um programa de segurana da informao organizado tendo em conta a gesto de
riscos?
4. Treinamento e conscientizao da cultura de segurana
A privacidade da informao e sua segurana so dois conceitos inter-relacionados
proteo, e ambos devem ser considerados ao se tratar dos riscos da informao. A dimenso
da privacidade alinha as necessidades especficas da organizao ao verificar princpios que
esto em consonncia com preferncias organizacionais, e se h conscientizao quanto
aplicao desses princpios e demais contextos. Alm disso, um bom planejamento e
implementao de mecanismos formais de governana de T.I., aliados a uma cultura de
segurana da informao, requer no somente cooperao de toda a organizao, como
tambm por parte dos gestores (DA VEIGA; MARTINS, 2015; MONTESDIOCA;
MAADA, 2015; LUNARDI; BECKER; MAADA, 2012).
Abordagens de melhoria contnua, por meio de um processo de criao,
implementao, operao, monitoramento, reviso, manuteno e melhoria de um Sistema de
Gesto de Segurana da Informao, auxiliam na especificao, realizao e administrao da
segurana, representando uma viso abrangente da perspectiva da mesma e da privacidade da
informao. No obstante, papel dos gestores alinhar as necessidades especficas com a
estratgia da organizao tambm por meio da conscientizao, uma vez que as
complexidades a serem mensuradas no ambiente pblico podem abordar performance,
transparncia, investimento em infraestrutura, liberdade de atuao, reduo de custos e
outros (THOMPSON et al., 2013; ISO/IEC 27001, 2013; ISO/IEC 27002:2013; DA VEIGA;
ELOFF, 2007; WEILL; ROSS, 2004; TUDOR, 2000).
Desse modo, questionamentos podem ser levantados. Por exemplo:
-
49
Os usurios so treinados e conscientizados quanto importncia da segurana da
informao?
H reflexo positivo dessa conscientizao?
5. Adequao
A preveno da perda, dano, destruio ou acesso no autorizado informao
processada por organizaes um processo contnuo, uma vez que a constante evoluo dos
riscos internos e externos pode resultar em violaes e perdas para a organizao como um
todo. Administrar o risco nos guia por uma ampla gama de tomada de decises, sendo
necessria ateno s possveis falhas ou erros, incluindo a informao e a complexa
tecnologia envolvida em seu processo como apoio para alcanar os objetivos e metas de
negcio (DA VEIGA; MARTINS, 2015; JUIZ; TOOMEY, 2015; LUFTMAN, 2003;
BERNSTEIN, 1997).
O volume de informaes eletrnicas utilizadas pelas empresas cresce gradativamente,
tornando complexo seu gerenciamento produtivo, eficincia, responsabilidade gerencial e
adequao da qualidade de acesso, confiabilidade e conformidade, com vistas a atender os
objetivos organizacionais. H tambm a preocupao com a exposio da empresa, cuja
segurana pode ser comprometida por incidentes que representariam prejuzos financeiros ou
para a imagem das organizaes (AKABANE, 2012; ISACA, 2012; ALEXANDRIA, 2009;
POSTHUMUS; VON SOLMS, 2004).
A segurana da informao agenda estratgica no setor pblico brasileiro, existindo
uma gama de dispositivos legais, decretos, leis, instrues normativas, projetos de lei e
normas que tratam de sua aplicao nos rgos vinculados ao Governo Federal e cuja
observncia obrigatria. Alm da obrigatoriedade em observar os dispositivos supracitados,
as organizaes pblicas e arquivos pblicos so tambm fortemente regulados e fiscalizados
por rgos de controle da Administrao Pblica, como Ministrio do Planejamento,
Oramento e Gesto (MPOG), Controladoria Geral da Unio (CGU) e Tribunal de Contas da
Unio (TCU) (ALBUQUERQUE JR.; SANTOS, 2014; VIEIRA; FRAGA, 2014; ARAJO,
2012).
Deste modo, questionamentos podem ser levantados. ) Por exemplo:
Existe um controle interno da segurana da informao por meio de auditorias?
-
50
Existe um controle externo da segurana da informao por meio de auditorias?
O Quadro 2 apresenta o constructo da relao entre a arquitetura de segurana da
informao e os autores estudados.
Quadro 2 Constructo da relao entre a arquitetura de segurana da informao e autores
Dimenses Autores
D1 Organizao de
segurana e infraestrutura
IBGC (2014), Thompson et al. (2013), Akabane (2012), ISACA (2012), Nobre, Ramos e Nascimento (2010), Bris, Brisley e Cabolis (2008), Artero (2007), Hardy (2006), OECD (2015), Van Grembergen, De Haes e Guldentops (2004), Weill (2004), Weill e Ross (2004), ITGI (2003), Weill e Woodham (2002), Laurindo et al. (2001), Alexander (2000), Tudor (2000), Cadbury (1992)
D2 Polticas de segurana,
normas e procedimentos
Juiz e Toomey (2015); Vieira e Fraga (2014), Albuquerque Jr. e Santos (2014), ISO/IEC 27001:2013, ISO/IEC 27002:2013, Arajo (2012), ISO/IEC 27005:2011, Jourdan et al. (2010), ISO/IEC 38500:2009, ISO 31000:2009, Eloff e Eloff (2005), Tudor (2000), Schein (1985)
D3 Programa de segurana
Bromiley et al. (2015), OECD (2014), Da Veiga e Martins (2015), ISACA (2012), ISO/IEC 27005:2011, NIST (2010), Purdy (2010), Jourdan et al. (2010), ISO 31000:2009, ITGI (2007), Hardy (2006), Eloff e Eloff (2005), Tudor (2000), Bernstein (1997)
D4 Treinamento e
conscientizao da cultura de segurana
Da Veiga e Martins (2015), Montesdioca e Maada (2015), Thompson et al. (2013), ISO/IEC 27001:2013, ISO/IEC 27002:2013, Lunardi, Becker e Maada (2012), Da Veiga e Eloff (2007), Weill e Ross (2004), Tudor (2000)
D5 Adequao
Da Veiga e Martins (2015); Juiz e Toomey (2015), Albuquerque Jr. e Santos (2014), Arajo (2012), Akabane (2012), ISACA (2012), Alexandria (2009), Posthumus e Von Solms (2004), Luftman (2003), Tudor (2000), Bernstein (1997)
Fonte: Resultado da pesquisa
O Quadro 3, por sua vez, apresent