análise de tratamento da segurança da informação na gestão ... · resumo souza, j. g. s....

CENTRO ESTADUAL DE EDUCAO TECNOLGICA PAULA SOUZA

UNIDADE DE PS-GRADUAO, EXTENSO E PESQUISA

MESTRADO PROFISSIONAL EM GESTO E TECNOLOGIA

EM SISTEMAS PRODUTIVOS

JACKSON GOMES SOARES SOUZA

ANLISE DE TRATAMENTO DA SEGURANA DA INFORMAO NA GESTO DE

RISCOS DA GOVERNANA DE TECNOLOGIA DA INFORMAO DE UMA

INSTITUIO DE ENSINO PBLICO FEDERAL

So Paulo

Abril/2017





Dissertao apresentada como exigncia

parcial para a obteno do ttulo de Mestre em

Gesto e Tecnologia em Sistemas Produtivos

do Centro Estadual de Educao Tecnolgica

Paula Souza, no Programa de Mestrado

Profissional em Gesto e Tecnologia em

Sistemas Produtivos, sob a orientao do Prof.

Dr. Carlos Hideo Arima

So Paulo

Abril/2017

Souza, Jackson Gomes Soares

S729a Anlise de tratamento da segurana da informao na gesto de riscos da governana de tecnologia da informao de uma instituio de ensino pblico federal / Jackson Gomes Soares Souza. So Paulo : CEETEPS, 2017.

82 f. : il.

Orientador: Prof. Dr. Carlos Hideo Arima Dissertao (Mestrado Profissional em Gesto e

Tecnologia em Sistemas Produtivos) Centro Estadual de Educao Tecnolgica Paula Souza, 2017.

1. Segurana da informao. 2. Gesto de riscos. 3.

Governana de T.I. 4. Governana corporativa. I. Arima, Carlos Hideo. II. Centro Estadual de Educao Tecnolgica Paula Souza. III. Ttulo.





Prof. Dr. Carlos Hideo Arima

Prof. Dr. Antonio Benedito Silva Oliveira

Prof. Dr. Getulio Kazue Akabane

So Paulo, 10 de abril de 2017

Dedico essa dissertao aos meus pais, esposa

e amigos que estiveram ao meu lado nesta

jornada.

AGRADECIMENTOS

Ao Prof. Dr. Carlos Hideo Arima, que, acreditando em minha capacidade, presenteou-me com

esta oportunidade e me orientou no caminho da cincia.

Ao Prof. Dr. Getlio Akabane por estar sempre disposto a aconselhar, direcionar e por ser um

grande amigo.

Aos professores da Unidade de Ps-Graduao, Extenso e Pesquisa do Centro Estadual de

Educao Tecnolgica Paula Souza. Em especial aos professores Dr. Napoleo Verardi

Galegale, Dr. Jos Manoel Souza das Neves, Dr. Carlos Vital Giordano e Dr. Antonio

Benedito Silva Oliveira por me auxiliarem no desenvolvimento desta pesquisa.

Aos colegas de trabalho do Instituto Federal de Educao, Cincia e Tecnologia de So Paulo

que sempre me incentivaram.

Aos colegas mestrandos por me aturarem.

Embora ningum possa voltar atrs e fazer

um novo comeo, qualquer um pode comear

agora e fazer um novo fim.

Francisco Cndido Xavier

RESUMO

SOUZA, J. G. S. Anlise de tratamento da segurana da informao na gesto de riscos

da governana de tecnologia da informao de uma instituio de ensino pblico federal.

82 f. Dissertao (Mestrado Profissional em Gesto e Tecnologia em Sistemas Produtivos).

Centro Estadual de Educao Tecnolgica Paula Souza, So Paulo, 2017.

A informao um recurso crescente para o desenvolvimento do ciclo de negcios das

organizaes, e a Tecnologia da Informao (T.I.), assim como as pessoas envolvidas nesse

ciclo, desempenha um papel significativo. A governana de T.I. consiste em aspectos de

liderana, estrutura e processos para que a rea de tecnologia da informao suporte e

aprimore estratgias e objetivos organizacionais, tratando tambm dos riscos relacionados

segurana dos ativos de informao, uma vez que sua identificao e mensurao proporciona

maior controle quanto s incertezas e oportunidades. Portanto, o presente trabalho tem por

objetivo verificar o tratamento dado segurana da informao dentro da gesto de riscos na

governana de T.I. em uma instituio de ensino pblico federal, analisando aspectos da

gesto de risco, que envolvem princpios como organizao de segurana e infraestrutura,

polticas de segurana, normas e procedimentos, programa de segurana, treinamento e

conscientizao da cultura de segurana e adequao. Trata-se de uma pesquisa exploratria

mista, com estudo de uma instituio de ensino pblico federal desenvolvido por meio de

questionrios para levantamento e anlise dos dados relativos s prticas de segurana da

informao dentro da governana de T.I. A partir dos dados analisados, observou-se que os

componentes verificados possuem aplicao na instituio, permitindo a implementao e

manuteno de princpios, compreenso do ambiente de riscos no qual opera e oportunidades

que este oferece.

Palavras-chave: Segurana da informao. Gesto de riscos. Governana de T.I..

Governana corporativa.

ABSTRACT

SOUZA, J. G. S. Information security analysis on the risk management of a federal

public education institutions information technology governance. 82 p. Thesis (Master's

in Production Systems Management and Technology). Centro Estadual de Educao

Tecnolgica Paula Souza, So Paulo, 2017.

Information is a growing asset in businesses life cycle, while Information Technology (I.T.)

and the people involved in this cycle play a significant role. I.T. governance consists on

aspects of leadership, structure and processes by enabling information technology to improve

business strategies and objectives while securing the risks related to information assets, since

their identification and measurement provides greater control over uncertainties and

opportunities. Thus, this study aims to verify how is information security processed through

risk management within I.T. governance in a federal public education institution, by analyzing

risk management aspects involving principles such as security organization and infrastructure,

security policies, standards and procedures, security program, security culture awareness and

training and monitoring compliance. As a mixed exploratory research, this study was

developed in a federal public education institution through questionnaires for data survey and

analysis regarding information security practices within I.T. governance. Data analysis

suggests that the verified components are applicable to the institution, enabling principles

implementation, maintenance and acknowledgement of its risk environment and

opportunities.

Keywords: Information security. Risk management. I.T. governance. Corporate governance.

LISTA DE QUADROS

Quadro 1 Relao de instrues normativas e normas sobre segurana da informao ....... 35

Quadro 2 Constructo da relao entre a arquitetura de segurana da informao e autores . 50

Quadro 3 Constructo da relao entre os questionamentos fechados e os autores ................ 51

Quadro 4 Constructo da relao entre as dimenses de segurana da informao e

questionamentos abertos ........................................................................................................... 53

Quadro 5 Perfil dos entrevistados .......................................................................................... 55

Quadro 6 Dados extrados na primeira etapa da pesquisa ..................................................... 56

Quadro 7 Mdia (M), desvio padro (D.P.) e coeficiente de variao (C.V.) por gestor ...... 58

Quadro 8 Mdia (M), desvio padro (D.P.) e coeficiente de variao (C.V.) do questionrio

estruturado ................................................................................................................................ 58

Quadro 9 Respostas do questionrio aberto referentes Dimenso 3 Programa de

segurana .................................................................................................................................. 61

Quadro 10 Respostas do questionrio aberto referentes Dimenso 4 Treinamento e

conscientizao da cultura de segurana .................................................................................. 62

Quadro 11 Respostas do questionrio aberto referentes Dimenso 5 Adequao ........... 64

LISTA DE TABELAS

Tabela 1 Princpios da Arquitetura de Segurana da Informao ......................................... 33

Tabela 2 Legislao relacionada segurana da informao ................................................ 35

LISTA DE FIGURAS

Figura 1 Incidentes reportados por tipos de ataque ............................................................... 15

Figura 2 reas de foco na governana de T.I. ....................................................................... 17

Figura 3 Governana corporativa e dos principais ativos ..................................................... 22

Figura 4 Modelo para a governana de T.I. baseado na norma ISO/IEC 38500 ................... 25

Figura 5 Modelo de criao de valor voltado a gerentes de organizaes pblicas .............. 27

Figura 6 Relacionamento entre os componentes da estrutura de gerenciamento de riscos ... 29

Figura 7 Atributos da informao pela perspectiva da privacidade e segurana da

informao ................................................................................................................................ 32

Figura 8 Grfico de linhas contemplando as respostas dos gestores ..................................... 57

LISTA DE SIGLAS

ABNT Associao Brasileira de Normas Tcnicas

CGU Controladoria Geral da Unio

COBIT Control Objectives for Information and Related Technology

CPI Comisso Parlamentar de Inqurito

IBGC Instituto Brasileiro de Governana Corporativa

IEC International Electrotechnical Commission

IFSP Instituto Federal de Educao, Cincia e Tecnologia de So Paulo

ISACA Information Systems Audit and Control Association

ISO International Organization for Standardization

I.T. Information Technology

ITGI I.T. Governance Institute

MPOG Ministrio do Planejamento, Oramento e Gesto

OECD Organisation for Economic Co-operation and Development

SGSI Sistema de Gesto de Segurana da Informao

TCU Tribunal de Contas da Unio

T.I. Tecnologia da Informao

SUMRIO

INTRODUO .................................................................................................................... 15

Questo de pesquisa.............................................................................................................. 18

Objetivo geral ....................................................................................................................... 18

Objetivos especficos ............................................................................................................ 18

Justificativa ........................................................................................................................... 19

Estrutura do trabalho ............................................................................................................ 20

1 FUNDAMENTAO TERICA .................................................................................... 21

1.1 Governana corporativa .................................................................................................. 21

1.2 Governana de tecnologia da informao ...................................................................... 23

1.3 Gesto de riscos .............................................................................................................. 28

1.4 Segurana da informao ................................................................................................ 30

1.5 Segurana da informao no setor pblico brasileiro ..................................................... 34

2 PROCEDIMENTOS METODOLGICOS ...................................................................... 39

2.1 Caracterizao ................................................................................................................ 39

2.2 Protocolo ......................................................................................................................... 40

2.3 A instituio .................................................................................................................... 42

2.4 Estudo quantitativo ......................................................................................................... 44

2.5 Estudo qualitativo ........................................................................................................... 52

3 ANLISE DE RESULTADOS ......................................................................................... 55

3.1 Perfil dos entrevistados ................................................................................................... 55

3.2 Anlise quantitativa de dados ......................................................................................... 55

3.3 Anlise qualitativa de dados ........................................................................................... 60

3.4 Consideraes finais ....................................................................................................... 66

CONCLUSO ...................................................................................................................... 69

REFERNCIAS ................................................................................................................... 70

APNDICE A CARTA DE AUTORIZAO ................................................................. 78

APNDICE B ROTEIRO PARA QUESTIONRIO ESTRUTURADO FECHADO ..... 79

APNDICE C ROTEIRO PARA QUESTIONRIO ESTRUTURADO ABERTO ........ 81

15

INTRODUO

Aes para segurana da informao so praticadas desde tempos remotos. Singh

(2001) apresenta vrias situaes na histria da humanidade ao descrever esforos para

proteger ou encontrar informaes. Notcias sobre vazamento de informaes sigilosas podem

ser constatadas nos relatos de Ribeiro (2007) informaes de contribuintes da base dados da

Receita Federal do Brasil ou em O Globo (2012) informaes de uma CPI (Comisso

Parlamentar de Inqurito) conduzida no Senado Federal (ARAJO, 2012).

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil

mantm estatsticas sobre notificaes voluntrias e espontneas de incidentes ocorridos em

redes a ele reportados. A Figura 1 ilustra o cenrio em que cerca de 600.000 ataques foram

registrados no perodo de janeiro a dezembro de 2015 (CERT.BR, 2015).

Figura 1 Incidentes reportados por tipos de ataque

Fonte: CERT.BR (2015)

16

A informao , portanto, um recurso crescente para o desenvolvimento do ciclo de

negcios das organizaes. A Tecnologia da Informao (T.I.) e as pessoas envolvidas nesse

ciclo desempenham um papel significativo, tendo em vista o avano e a difuso de

tecnologias nas organizaes, nos ambientes sociais, pblicos e corporativos. Tal atividade,

destarte, deve ser tratada como um ativo estratgico (ISACA, 2012; NOBRE; RAMOS;

NASCIMENTO, 2010).

A governana corporativa integra componentes de forma holstica ao envolver

princpios, processos, informao, servios, infraestrutura, recursos humanos, alm de

stakeholders internos e externos responsveis pela gesto destes componentes,

proporcionando a estrutura pela qual os objetivos da organizao so estabelecidos. Alm

disso, determina e monitora os meios para alcanar essas metas organizacionais e (OECD,

2015) permite, ainda, que as organizaes trabalhem com eficincia e de forma produtiva,

garantindo a transparncia da responsabilidade gerencial, tanto em organizaes privadas

quanto no setor pblico. Desta forma, a T.I. vista como um ativo, que age como uma fora

motriz provedora de solues cada vez mais complexas, de modo que sua governana um

fator crtico de sucesso e est presente nos projetos executivos organizacionais para apoiar os

objetivos do negcio (AKABANE, 2012; HARDY, 2006; VAN GREMBERGEN; DE HAES;

GULDENTOPS, 2004; ITGI, 2003).

A T.I. se tornou, portanto, uma espcie de habilitador estratgico de negcio, sendo

interessante que organizaes ampliem ainda mais sua abrangncia, de modo a agilizar o

alinhamento dos objetivos do negcio e aprimorar produtos e servios (LUNARDI et al.

2014).

Segundo o ITGI (2007), a governana de T.I. consiste em aspectos de liderana,

estrutura e processos, para que a rea de tecnologia da informao suporte e aprimore os

objetivos e estratgias organizacionais. Alm dessas caractersticas, integra e institucionaliza

boas prticas, habilitando as organizaes para melhor utilizarem seus ativos de informao,

maximizando benefcios, capitalizando oportunidades e adquirindo vantagem competitiva. A

Figura 2 ilustra as reas de foco que contribuem para que haja transparncia dos custos, do

valor e dos riscos de T.I., conforme o modelo de Objetivos de Controle para Informao e

Tecnologias Relacionadas (Control Objectives for Information and Related Technology

COBIT), verso 4.1.

17

Figura 2 reas de foco na governana de T.I.

Fonte: ITGI (2007, p.8)

Ainda segundo o ITGI (2007), as reas de foco ilustradas na Figura 2 contribuem com

a governana de tecnologia da informao de modo que:

O alinhamento estratgico estabelece a relao entre os planos de negcios e de T.I.,

definindo, mantendo, validando e alinhando a proposta operacional de tecnologia da

informao com as operaes organizacionais.

Entrega de valor a execuo da proposta por meio do ciclo de entrega, que objetiva

as entregas previstas na estratgia organizacional, concentrando-se em otimizar custos e

promover o valor intrnseco de T.I..

Gesto de recursos busca a melhor utilizao possvel dos investimentos e o

apropriado gerenciamento de recursos crticos, como aplicativos, informaes, infraestrutura e

pessoas. Refere-se, tambm, otimizao do conhecimento.

Mensurao de desempenho, por sua vez, diz respeito ao acompanhamento e

monitoramento de processos, projetos, utilizao de recursos, performance e entrega dos

servios que traduzem estratgias em aes voltadas a atingir os objetivos organizacionais.

Por fim, a gesto de risco trata do ambiente de riscos que envolve nveis,

conformidade, transparncia, funcionrios, e seu gerenciamento nas atividades da

organizao, assim como lida com os riscos relacionados segurana da informao. A

identificao e mensurao desses riscos permitem que os gestores e demais envolvidos no

processo tenham maior controle quanto s incertezas, impacto destas no objetivo do negcio e

as oportunidades que proporcionam.

18

Nesse cenrio, a segurana da informao agenda estratgica no setor pblico

brasileiro, existindo uma gama de dispositivos legais e normas que tratam de sua aplicao

nos rgos vinculados ao Governo Federal e cuja observncia obrigatria. Recentes estudos,

como o de Arajo (2012), apresentam a aplicao do tema e como o mesmo ainda pouco

explorado neste mbito.

A governana de T.I. do Instituto Federal de Educao, Cincia e Tecnologia de So

Paulo (IFSP) trata, dentro da gesto de risco, da poltica de segurana da informao,

trabalhando diversos tipos de informaes crticas diretamente relacionadas ao negcio, como

informaes acadmicas dos alunos ou administrativas que influenciam na continuidade do

negcio (BRASIL, 2016a). Essas informaes circulam e so armazenadas em grandes

volumes tanto no ambiente interno como no externo , em mdias fsicas ou lgicas,

utilizando, assim, um grande nmero de ativos, essenciais para o negcio da instituio.

Assim, os recursos computacionais de rede, de comunicao, os documentos fsicos gerados

ou no por recursos computacionais e as informaes desses recursos, como outros ativos da

instituio, precisam ser protegidos (BRASIL, 2016b).

Questo de pesquisa

Qual tratamento dado segurana da informao dentro da gesto de riscos na

governana de T.I. de uma instituio de ensino pblico federal?

Objetivo geral

Analisar os aspectos da segurana da informao dentro da gesto de risco dentro na

governana de T.I. de uma instituio de ensino pblico federal.

Objetivos especficos

Identificar as variveis de segurana da informao, consideradas aplicveis para

governana de tecnologia da informao.

19

Analisar o tratamento dado segurana da informao dentro da gesto de riscos na

governana de tecnologia da informao da instituio por meio de um estudo de caso.

Justificativa

Os problemas de vazamento de informaes ou quebra de sigilo em organizaes

pblicas so recorrentes, e o Governo Federal brasileiro vem implementando procedimentos

para gesto de riscos da segurana da informao, com vistas a minimizar tais problemas.

Grande parte dessas iniciativas est registrada em normas, decretos e leis (ARAJO, 2012).

A poltica de segurana da informao do IFSP se caracteriza pela tentativa de manter

a confidencialidade, a integridade e a disponibilidade das informaes, independentemente de

onde ela esteja residente em memria de mquinas e dispositivos, armazenada em disco, em

trnsito ou impressas em documentos, salvaguardando sua exatido e completeza por meio

dos mtodos de processamento, alm de garantir que a comunidade tenha acesso

informao e aos ativos correspondentes sempre que necessrio e de acordo com a permisso

atribuda a cada um (BRASIL, 2016b).

Uma consulta bibliomtrica na base Scopus sobre o termo segurana da informao

(Information Security), referente ao perodo dos ltimos 5 anos, mostra que as produes

cientficas vm tendo um aumento significativo no meio acadmico, com aproximadamente

17.000 artigos. Porm, no que se refere gesto de riscos de segurana da informao,

especialmente no setor pblico (Information Security Risk Management e Public Sector),

apenas 16 artigos foram encontrados, sendo que nenhum deles refere-se ao setor pblico

federal brasileiro.

Este estudo se justifica, portanto, pela necessidade de instituies em analisar suas

atividades, especialmente no que tange segurana de seus ativos de informao e s

possveis vulnerabilidades da T.I.; legitima-se, ainda, pelo objetivo de contribuir para que as

incertezas envolvidas nesse processo possam ser mitigadas ao verificar qual tratamento dado

segurana da informao dentro da gesto de riscos na governana de T.I. de uma instituio

de ensino pblico federal.

20

Estrutura do trabalho

Este estudo est organizado de forma a apresentar, em linhas gerais, o problema de

pesquisa, a fundamentao terica, o estudo de caso, e as concluses gerais. A seguir,

apresenta-se, em detalhes, o que a estrutura contempla.

Primeiramente, a introduo j vem abordando a questo-problema, os objetivos da

pesquisa, a justificativa e as contribuies do estudo, bem como esta seo referente

estrutura da dissertao.

A fundamentao terica, ento, apresentada, abrangendo os principais conceitos

sobre governana corporativa, governana de tecnologia da informao, gesto de risco e

segurana da informao no setor pblico brasileiro.

Em seguida, so descritos os procedimentos metodolgicos utilizados para a

realizao do estudo de caso, sua caracterizao, protocolo, informaes sobre a instituio, o

estudo quantitativo e o estudo qualitativo, sendo tambm relatada a anlise de resultados

obtidos.

Por fim, encontram-se as concluses obtidas, limitaes desta pesquisa, sugestes de

estudos futuros e as referncias que foram utilizadas como base para o desenvolvimento deste

trabalho, assim como materiais complementares apresentados como apndices.

21

1 FUNDAMENTAO TERICA

Componente da governana corporativa, a governana de T.I consiste em aspectos de

liderana, estrutura organizacional e processos que asseguram que a rea de T.I. d suporte e

aprimore objetivos e estratgias. Portanto, o campo capaz de habilitar a organizao a

melhor utilizar ativos de informao de forma segura, preservando sua confidencialidade,

integridade, autenticidade e disponibilidade, a fim de maximizar benefcios, oportunidades e

capacidade competitiva.

1.1 Governana corporativa

Governana uma palavra que traz consigo a conotao de sabedoria e

responsabilidade sobre o que apropriado. Pode ser definida como o sistema pelo qual as

empresas so dirigidas e controladas, e tem como significado tanto a ao quanto o mtodo de

governar, sendo este ltimo o mais utilizado como referncia pelas empresas (CADBURY,

1992).

Artero (2007) afirma que, dentre as possveis definies para governana, esto as de

controlar, direcionar e regular, ou seja, a maneira como algo administrado, gerenciamento e

o sistema de regulao. Destaca, ainda, que a definio do termo corporao inclui um corpo

de pessoas unidas, autorizadas legalmente a agir como um nico indivduo, assim como

criadas e regidas por certos direitos e deveres.

Para o Instituto Brasileiro de Governana Corporativa IBGC, governana

corporativa o sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas,

envolvendo os relacionamentos entre proprietrios, conselho de administrao, diretoria e

rgos de controle. As boas prticas de governana corporativa convertem princpios em

recomendaes objetivas, alinhando interesses com a finalidade de preservar e otimizar o

valor da organizao, o que facilita seu acesso a recursos e contribui para a sua longevidade

(IBGC, 2014, p.18). Ainda segundo o instituto, os princpios bsicos de governana envolvem

transparncia, equidade, prestao de contas e responsabilidade pela disponibilizao de

informaes relevantes, tratamento justo de todas as partes interessadas, atuao dos

22

associados, conselheiros, executivos, conselhos fiscais e auditores, alm de abranger a

sustentabilidade das organizaes visando sua longevidade.

A governana corporativa tambm um processo metdico de avaliao moldada para

os sistemas de deciso e, apesar de no haver um modelo nico, possvel identificar

elementos em comum que delimitam as boas prticas de governana corporativa (OECD,

2015; BRIS; BRISLEY; CABOLIS, 2008; ALEXANDER, 2000). Pode ser aplicada a

diversas reas da empresa e a direo da organizao geralmente possui como foco a

eficincia, reduo de custos e ampliao da receita e capacidades, os quais esto interligados

s informaes e ao T.I., sendo vital considerar esta como um ativo (HARDY, 2006).

De forma a integrar os principais ativos ou recursos de governana corporativa e

governana de T.I., Weill e Ross (2004) propem o modelo representado pela Figura 3,

ilustrando as relaes da diretoria e a equipe de executivos snior como agentes articuladores

de estratgias, atuando para execut-las conforme a necessidade da diretoria.

Figura 3 Governana corporativa e dos principais ativos

Fonte: Weill e Ross (2004, p.5)

Governana corporativa

Outros stakeholders

Diretoria

Acionistas

Monitoramento Transparncia

Equipe de executivos snior

Atuao

Principais ativos / recursos

Humanos Financeiros Fsicos Intelectuais Informao e TI Relacionamentos

Mecanismos de Governana de TI

Mecanismos de Governana Financeira

Governana dos principais ativos

Estratgia tratatgia

Governana de T.I.

23

O ITGI (2003) destaca que so as decises das partes interessadas que impulsionam o

empreendimento, de modo que a definio da estratgia, o desempenho, os recursos e a gesto

de riscos so ncleos de responsabilidade da governana corporativa. Engloba, assim, as

relaes entre a administrao da entidade e seu corpo diretivo, seus proprietrios e demais

partes interessadas, fornecendo a estrutura pela qual os objetivos globais da entidade so

definidos, alm de determinar o mtodo para se atingir esses objetivos e a maneira como o

desempenho mensurado. Promovendo essas prticas, os recursos so utilizados de forma

responsvel em favor de uma gerncia adequada dos riscos.

Portanto, a governana corporativa o sistema pelo qual as empresas so dirigidas e

controladas ao envolver os relacionamentos entre agentes e princpios como transparncia,

equidade, prestao de contas, responsabilidade e eficincia , integrando a estrutura

organizacional.

A organizao geral do IFSP compreende rgos Superiores, rgos Colegiados,

rgos Descentralizados e rgos Executivos. Este ltimo compreende, alm de outros, a

Reitoria, os rgos de Apoio e as Pr-Reitorias de Ensino, de Extenso, de Pesquisa,

Inovao e Ps-graduao, de Administrao e a de Desenvolvimento Institucional, que

responsvel pela governana de tecnologia da informao da instituio. (BRASIL, 2015b).

Essas diversas reas, assim como a de T.I., do suporte e auxiliam no alcance dos objetivos da

organizao como um todo.

1.2 Governana de tecnologia da informao

A informao vista cada vez mais como um ativo nas organizaes, sejam elas

pblicas ou privadas. Agem como uma fora motriz que prov solues complexas e,

consequentemente, tornam sua governana um fator crtico de sucesso (HARDY, 2006).

Em sua forma ampla, a tecnologia da informao inclui os sistemas de informao, o

uso de hardware e software, telecomunicaes, automao e recursos multimdia, utilizados

pelas organizaes para fornecer dados. A governana de T.I. auxilia, portanto, no alcance

dos objetivos e metas de negcio, buscando maior eficcia organizacional e vantagem

competitiva (LUFTMAN, 2003; LAURINDO et al., 2001).

Como consequncia, as organizaes e seus executivos se esforam para manter

informaes de alta qualidade, que iro apoiar decises corporativas. Agrega-se, dessa forma,

24

valor ao negcio a partir dos investimentos em T.I., atingindo objetivos estratgicos por meio

da eficincia (ISACA, 2012).

Visando aprimorar o foco nesse sentido, integrantes do Joint Technical Committee

desenvolveram um guia de governana para gerenciamento de processos e decises relativas

informao e servios de comunicao utilizados pelas organizaes, de modo que esses

processos pudessem ser controlados por especialistas de T.I. (ISO/IEC 38500, 2015).

Baseando-se na norma supracitada, a Associao Brasileira de Normas Tcnicas

(ABNT) elaborou a NBR ISO/IEC 38500. O objetivo do documento fornecer uma estrutura

de princpios que possam ser utilizados pelos dirigentes na avaliao, tomada de deciso,

gerenciamento e monitoramento do uso da T.I. em suas organizaes.

Os princpios elencados pela norma so:

Responsabilidade: os indivduos e grupos da organizao compreendem suas

responsabilidades e atuam respeitando a demanda de T.I.

Estratgia: a estratgia de negcio considera as capacidades atuais e futuras de

T.I.

Aquisio: as aquisies de T.I. possuem razes vlidas embasadas em anlises

transparentes, contnuas e apropriadas.

Desempenho: a T.I. se adequa e apoia a organizao, fornecendo servios

baseados em nveis e com qualidade.

Conformidade: a T.I. cumpre com toda a legislao e regulamentos

obrigatrios, possuindo polticas e prticas claramente definidas,

implementadas e fiscalizadas.

Comportamento humano: as polticas, prticas e decises de T.I. apresentam

respeito pelo comportamento humano, incluindo as necessidades atuais e

futuras das pessoas.

Juiz e Toomey (2015) destacam, em seus estudos, que agregar valor envolve

planejamento, liderana, controle, corroborando com a abordagem desses princpios de modo

a orientar a governana de T.I. e apoiar lderes no planejamento, construo e execuo das

capacidades de T.I. Baseando-se na norma ISO/IEC 38500, apresentam um modelo conceitual

de governana de T.I., que ilustra (conforme a Figura 4) as atividades de governana,

gerenciamento e objetivo do negcio para a utilizao efetiva de T.I., pela perspectiva dos

diretores.

25

Avaliar

Dirigir Monitorar

Governana Corporativa

de T.I. F

onte da autoridade

Objetivo do negcio, delegaes, estratgia aprovada, propostas,

planos

Avaliaes, propostas, planos l

estratgia l investim

ento l

operaes l poltica

Avaliao do negcio e de m

ercado, perform

ance e conformidade

Criar capacitades de negcio habilitadas

para T.I.

Planejar capacitades de negcio

habilitadas para TI

Executar capacitades de negcio habilitadas

para T.I.

Gerentes e sistemas gerenciais disponveis para T.I.

Figura 4 Modelo para a governana de T.I. baseado na norma ISO/IEC 38500

Fonte: Modificado por Juiz e Toomey (2015, p.61)

A T.I. se tornou, portanto, uma espcie de habilitador estratgico de negcio, sendo

interessante que organizaes ampliem ainda mais sua abrangncia, a fim de agilizar o

alinhamento dos objetivos do negcio e aprimorar produtos e servios (LUNARDI et al.

2014).

26

Segundo Raghupathi (2007), a governana de T.I. refletida na liderana, nas

estruturas organizacionais e nos processos, enquanto que Lunardi, Becker e Maada (2012)

apontam para o fato de que algumas empresas podem melhorar seu desempenho por meio da

governana de T.I. Seus estudos permitiram concluir que o desempenho organizacional de um

grupo de empresas que havia adotado mecanismos formais de governana de T.I., quando

comparado ao grupo que no os adotava, melhorou significativamente. Essencialmente, a

adeso de empresas a esses mecanismos est relacionada ao interesse em aumentar sua

eficincia, reduzir custos e aprimorar a utilizao da infraestrutura de T.I..

Em diversos pases, mais de 1/3 da economia consiste em organizaes

governamentais, incluindo educao, sade e servios que, de forma similar s organizaes

com fins lucrativos, utilizam servios e infraestrutura de T.I. adquiridos por meio de seus

recursos. Porm, o desempenho da governana nessas organizaes geralmente baixo, e uma

governana de T.I. efetiva deve abordar os seguintes questionamentos: quais decises devem

ser tomadas? Quem deveria tomar estas decises? Como tomar e monitorar essas decises?

(WEILL, 2004).

Weill e Woodham (2002) reiteram que a governana de T.I. no pode ser considerada

de forma isolada, pois se relaciona com a governana de outros ativos da empresa que, por

sua vez, esto interligados governana corporativa. Os autores destacam as cinco principais

decises a serem tomadas pela governana de T.I.:

Princpios de T.I.: demonstraes de alto nvel quanto utilizao de T.I. nos

negcios.

Arquitetura de T.I.: organizao lgica para os dados, aplicaes e

infraestruturas, visando integrar os negcios tecnologia de forma

padronizada.

Infraestrutura de T.I.: servios de T.I. centralizados e coordenados como

alicerces das capacidades de T.I. da organizao.

Aplicaes de T.I.: especificao das necessidades do negcio para a aquisio

de aplicaes de T.I. ou implementao de aplicaes de T.I. internas.

Priorizao de investimentos em T.I.: quando e onde investir em T.I., incluindo

aprovaes de projetos e justificativas tcnicas.

Diante dessas decises, verifica-se que criar valor por parte da T.I. bastante

complexo. O prprio conceito de valor, no ambiente pblico, extremamente amplo e,

segundo Weill e Ross (2004), as complexidades a serem mensuradas podem abordar

27

performance, transparncia, investimento em infraestrutura, liberdade de atuao, reduo de

custos e outros. As habilidades, o conceito de valor e o ambiente no qual atuam essas

organizaes criam desafios para a governana de T.I. Buscando alinhar tais fatores, os

autores adaptaram um modelo de criao de valor (ilustrado pela Figura 5) voltado a gerentes

de organizaes pblicas.

Figura 5 Modelo de criao de valor voltado a gerentes de organizaes pblicas

Fonte: Weill e Ross (2004, p.191)

Thompson et al. (2013) salienta ainda que papel dos gestores alinhar os

investimentos de T.I. estratgia da organizao, buscando minimizar custos de tecnologia.

A partir da, assegura-se que a infraestrutura de T.I. possa acomodar e se adequar utilizao

crescente de novas aplicaes.

Para que a Governana de T.I. esteja alinhada ao negcio da organizao, ela deve ser

vista como uma ferramenta estratgica que pode dar suporte aos interesses dos stakeholders e,

por meio da atuao dos gestores, pode ter o mesmo nvel de ateno despendido aos demais

ativos da organizao.

28

A governana de T.I. do IFSP vinculada Pr-Reitoria de Desenvolvimento

Institucional, responsvel por planejar, definir, acompanhar e avaliar o desenvolvimento das

polticas definidas pela reitoria. Levantando e analisando os resultados obtidos, visa o

aprimoramento do processo educacional e administrativo, em consonncia com as diretrizes

definidas pelo Ministrio da Educao e disposies do Conselho Superior (BRASIL, 2015b).

Sua estrutura conta, alm de outras, com a Assessoria de Tecnologia da Informao, Diretoria

de Infraestrutura e Redes, Diretoria de Sistemas de Informao e Diretoria Adjunta de Suporte

Tecnologia da Informao (BRASIL, 2015b).

1.3 Gesto de riscos

A administrao do risco nos guia por uma ampla gama de tomada de decises,

tornando necessria a ateno s possveis falhas uma vez que a informao e a complexa

tecnologia esto envolvidas nesse processo (BERNSTEIN, 1997). Ainda segundo este autor,

grande parte do ato de correr riscos est baseado em oportunidades desenvolvidas a partir de

desvios da normalidade e, se todos avaliassem o risco exatamente da mesma forma, fatos

considerados negativos no seriam transformados em verdadeiras oportunidades.

As organizaes enfrentam influncias de fatores incertos que afetam seus objetivos.

De modo a reduzir incertezas, necessrio monitorar e identificar o risco, avaliando se este

deve ser modificado ou tratado, uma vez que sua compreenso nos permite tomar decises de

modo racional (ISO 31000, 2009).

Atualmente, os padres de governana de risco tendem a ser de alto nvel, porm

existe margem para sua aplicao em diferentes empresas e situaes (AKABANE, 2012).

Segundo Bromiley et al. (2015), as potenciais particularidades e desafios na avaliao do

risco oferecem tambm oportunidades para que as organizaes observem problemas em seus

processos internos.

A norma ABNT NBR ISO 31000:2009 fornece princpios e diretrizes para a gesto de

riscos e pode ser aplicada tanto no setor pblico ou privado, assim como para avaliar qualquer

tipo de risco, independentemente de sua natureza. Conforme a norma, o sucesso da gesto de

riscos depende da estrutura de gesto (ilustrada pela Figura 6), que fornece fundamentos e

arranjos capazes de incorporar esses processos a toda a organizao. Dessa maneira, o

gerenciamento de risco satisfatoriamente auxiliado por meio de sua aplicao em diferentes

29

nveis e contextos organizacionais, assegurando que o risco seja adequadamente identificado e

reportado, o que possibilita utiliz-lo como base na tomada de decises.

Figura 6 Relacionamento entre os componentes da estrutura de gerenciamento de riscos

Fonte: ABNT (2009a, p.9)

Segundo a OECD (2014), as instituies pblicas podem adotar prticas de

governana similares s adotadas por empresas privadas. Para tanto, crucial haver o controle

de risco, tanto pela ao direta dos gestores como por delegaes dos diretores, que podem se

utilizar de qualquer oportunidade para formular diretivas estratgicas e de liderana. O

objetivo da governana criar valor por meio da realizao de benefcios e otimizao dos

riscos e recursos. Portanto, uma governana de T.I. eficiente gerencia e avalia constantemente

as atividades e os riscos relativos T.I., de modo a mant-los em um nvel aceitvel (ISACA,

2012; ITGI, 2007).

Hardy (2006) afirma que uma pequena brecha, roubo, erro, violao de sistema ou

ataque de vrus na T.I. podem resultar em srios danos ao oramento e reputao da

30

organizao. Por consequncia, os gerentes, stakeholders, funcionrios e clientes se

preocupam com a segurana das informaes. Os diretores e os conselhos de administrao

devem, por isso, buscar meios de assegurar a proteo dos ativos de informao

organizacional.

A norma ABNT NBR ISO/IEC 27005:2011 fornece diretrizes para o processo de

Gesto de Riscos de Segurana da Informao (GRSI). Pode ser aplicada em organizaes

pblicas ou privadas que pretendam gerir riscos relacionados segurana da informao

organizacional. Segundo a referida norma, o processo de GRSI pode ser utilizado de forma

iterativa na avaliao ou para atividades de tratamento de risco. Seu enfoque iterativo torna

possvel o detalhamento da avaliao a cada repetio, minimizando o tempo e esforo

necessrios na identificao de controles, alm de assegurar que riscos de alto impacto e

probabilidade sejam adequadamente avaliados.

A gesto de risco pode ser vista, portanto, como uma atividade holstica que envolve

todos os aspectos da organizao. O processo de gesto busca fornecer, de forma slida, a

base para que seja possvel determinar o nvel de aceitao dos riscos, quais oportunidades

estes oferecem e como obter informaes necessrias para seu devido tratamento.

Em seu processo de gesto de risco, o IFSP trata da poltica de segurana da

informao, trabalhando diversos tipos de informaes crticas. Estas so permanecem

diretamente relacionadas ao negcio, como informaes acadmicas dos alunos ou

administrativas, que influenciam na continuidade do negcio (BRASIL, 2016a).

1.4 Segurana da informao

A preveno da perda, dano, destruio ou acesso no autorizado informao

processada por organizaes um processo contnuo e, a segurana da informao tem

chamado cada vez mais a ateno. Isso porque a constante evoluo dos riscos internos e

externos pode resultar em violaes e perdas para a organizao como um todo. Governos e

organizaes se sensibilizam e investem gradativamente na segurana de seus ativos de

informao e sua classificao por meio de treinamentos e conscientizaes, auxiliando no

somente a tomada de decises, mas tambm a melhoria e continuidade de suas operaes (DA

VEIGA; MARTINS, 2015; JOURDAN et al., 2010; NIST, 2010; PURDY, 2010).

31

A tecnologia um artefato geralmente visvel na organizao. Tal evidncia o

resultado da implementao de componentes de segurana da informao, como de riscos e de

poltica de segurana (SCHEIN, 1985).

Os sistemas de informao esto sujeitos a ameaas que podem tanto oferecer

oportunidades como ter impactos negativos sobre as operaes da organizao, incluindo

misso, funes, imagem, reputao, os ativos, os indivduos. Ademais, pode comprometer a

confiabilidade, integridade, autenticidade e disponibilidade de informaes que esto sendo

processadas, armazenadas ou transmitidas por esses sistemas (NIST, 2010).

A segurana da informao lida com a proteo dos sistemas de informao e do

acesso, utilizao, divulgao, interrupo, modificao ou destruio no autorizados,

preservando, tambm, a confidencialidade, integridade/autenticidade e disponibilidade de

informaes. O objetivo mitigar riscos e proteger a informao das ameaas que tm

impacto negativo sobre a continuidade do negcio e, em ltima instncia, maximizar o retorno

sobre investimentos e oportunidades de negcios (DA VEIGA; MARTINS, 2015; ISO/IEC

27002, 2013).

O volume de informaes eletrnicas utilizadas pelas empresas cada vez maior,

tornando complexo seu gerenciamento produtivo e adequao da qualidade de acesso,

confiabilidade e conformidade. O interesse atender aos objetivos organizacionais e cuidar de

sua exposio, cuja segurana pode ser comprometida por incidentes que representariam

prejuzos financeiros ou para a imagem das organizaes (ALEXANDRIA, 2009;

POSTHUMUS; VON SOLMS, 2004).

Influenciadas por suas necessidades, objetivos, exigncias de segurana, processos,

tamanho e estrutura, as organizaes tendem a especificar e implementar estrategicamente um

Sistema de Gesto de Segurana da Informao (SGSI) que atenda s suas necessidades. Em

sua recente atualizao, a norma ISO/IEC 27001:2013 padroniza definies e estruturas de

diferentes padres ISO, alinhando-se com outros padres j existentes. A norma tambm

proporciona uma gesto de riscos ainda mais efetiva, ao incluir requisitos para a avaliao e

tratamento de riscos de segurana da informao (ISO/IEC 27001, 2013).

H tambm a proposta de uma abordagem de melhoria contnua, por meio de um

processo de criao, implementao, operao, monitoramento, reviso, manuteno e

melhoria do SGSI da organizao. Nela, adota-se o modelo Planejar-Executar-Monitorar-Agir

do ingls, Plan-Do-Check-Act (PDCA) , considerando requisitos de segurana da

informao e aes necessrias para atender s expectativas dos stakeholders. A adoo do

modelo reflete, alm de outros, os princpios de governana dos sistemas de informao e

32

redes, anlise de risco, especificao, implementao, administrao e reavaliao da

segurana. Esse conjunto de atributos que representa uma viso abrangente da perspectiva de

segurana e privacidade da informao apresentado pela Figura 7 (ISO/IEC 27001, 2013;

DA VEIGA; ELOFF, 2007).

Figura 7 Atributos da informao pela perspectiva da privacidade e segurana da informao

Fonte: Da Veiga e Martins (2015, p. 6)

A privacidade da informao e sua segurana so dois conceitos inter-relacionados

proteo, e ambos devem ser considerados ao se tratar dos riscos da informao. A dimenso

da privacidade alinha as necessidades especficas da organizao ao verificar princpios que

esto em consonncia com preferncias organizacionais, se h conscientizao quanto

aplicao destes princpios e demais contextos. Alm disso, um bom planejamento e uma boa

implementao de uma cultura de segurana da informao requer no somente cooperao

de toda a organizao, mas tambm por parte dos gestores (DA VEIGA; MARTINS, 2015;

MONTESDIOCA; MAADA, 2015).

Diversas abordagens de segurana da informao podem ser utilizadas no que se refere

implementao de controles de segurana (componentes) e ameaas aos ativos de

informao. A ISO/IEC 27002:2013, reconhecida como uma norma das melhores prticas de

segurana da informao, define uma srie de controles necessrios maioria das situaes

que envolvem T.I. (DA VEIGA; ELOFF, 2007).

Outra abordagem apresentada por Eloff e Eloff (2005) denominada PROTECT, que

um acrnimo para Polticas, Riscos, Objetivos, Tecnologia, Execuo, Conformidade e Time.

33

Tudor (2000), por sua vez, prope uma abordagem abrangente e flexvel de uma

arquitetura de segurana da informao para proteger os ativos de uma organizao. Sua

perspectiva destaca cinco princpios fundamentais (listados na Tabela 1), que so utilizados

para compreender o ambiente de risco em que as organizaes operam. Os fatores destacados

pelo autor so motivados pelo interesse de avaliar e implementar controles para mitigar riscos,

assim como h tambm um foco na legislao do pas para garantir que informaes

confidenciais de cada organizao esteja protegida em conformidade.

Tabela 1 Princpios da Arquitetura de Segurana da Informao

1. Organizao de segurana e infraestrutura: Papis desempenhados pelas pessoas e

responsabilidades so definidas e o suporte por parte da gerncia executiva

estabelecido.

2. Polticas de segurana, normas e procedimentos: Polticas, normas e procedimentos

so desenvolvidos.

3. Programa de segurana: Um programa de segurana da informao organizado

tendo em conta a gesto de riscos.

4. Treinamento e conscientizao da cultura de segurana: Os usurios so treinados e

h reflexo da conscientizao nas diversas atividades desenvolvidas. H confiana entre

os usurios, a gerncia e os terceiros.

5. Adequao: Existe um controle interno e externo da segurana da informao.

Fonte: Tudor (2000), adaptado por Da Veiga e Eloff (2007)

Os princpios abrangem aspectos de processos e de tecnologia para direcionar

necessidades de segurana das organizaes e, o primeiro deles diz respeito organizao de

segurana e infraestrutura, com funes e responsabilidades definidas, bem como a apoio

gerencial. O segundo princpio referente s polticas de segurana, normas e procedimentos

de gesto, destacando o seu desenvolvimento e implementao. Os requisitos de controle de

segurana estabelecidos nas polticas de segurana no podem ser implantados de forma

isolada, devendo considerar os riscos para a organizao. Como um terceiro princpio, as

avaliaes de risco devem ser realizadas em todas as plataformas bancos de dados,

aplicativos e redes , assim como um processo deve ser institudo, visando fornecer um

oramento adequado de recursos para enfrentar os riscos e implementar controles. Para que os

34

controles atuem de forma eficaz, os usurios precisam estar cientes da sua responsabilidade e

incentivados a participar de programas de treinamento.

O quarto princpio visa estimular o treinamento e estabelecer um ambiente de

confiana entre os usurios, gesto e terceiros, para permitir transaes e proteger a

privacidade; o quinto e ltimo princpio concentra-se na verificao da conformidade e

auditorias por auditores internos e externos para monitorar a eficcia do programa de

segurana.

1.5 Segurana da informao no setor pblico brasileiro

A segurana da informao agenda estratgica no setor pblico brasileiro, existindo

uma gama de dispositivos legais e normas que tratam de sua aplicao nos rgos vinculados

ao Governo Federal e cuja observncia obrigatria. Aliado a isso, recentes estudos, como o

de Arajo (2012), apresentam a essncia do tema e como o mesmo ainda pouco explorado

neste mbito.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil

(CERT.br) mantm estatsticas sobre notificaes voluntrias e espontneas de incidentes

ocorridos em redes, que a ele foram reportados. A Figura 1, apresentada na introduo desta

pesquisa, ilustra o cenrio onde cerca de 600.000 ataques foram registrados no perodo de

janeiro a dezembro de 2015 (BRASIL, 2015a).

Independentemente de ser governamental, privada ou pblica, a maioria das

instituies est aplicando uma srie de contramedidas de segurana, polticas, procedimentos

e diretrizes como medidas de proteo (JOURDAN et al., 2010). Tal cenrio justificado

pelo fato de que incidentes de segurana podem causar consequncias adversas para as

organizaes, podendo afetar ativos de informao, a reputao organizacional, a confiana

do cliente, a produtividade dos empregados e, at mesmo, riscos de mbito legal (DZAZALI;

SULAIMAN; ZOLAIT, 2009; SHEDDEN et al., 2011).

Um levantamento da legislao brasileira, relacionada Segurana da Informao e

Comunicaes (SIC) feito por Vieira e Fraga (2014), elenca regulamentos abrangendo a

legislao de carter federal, estadual e municipal. Conforme apresenta a Tabela 2, existe uma

grande quantidade de dispositivos legais, decretos, leis, instrues normativas e projetos de lei

relacionados ao tema.

35

Tabela 2 Legislao relacionada segurana da informao

Regulamento Quantidade

Dispositivos legais de carter federal 83

Legislao especfica federal 50

Legislao especfica estadual/distrital 6

Legislao especfica municipal 2

Normas Tcnicas 8

Projetos de lei 13

TOTAL 162

Fonte: Adaptado de Vieira e Fraga (2014)

No somente os requisitos regulamentares esto aumentando, mas tambm as

responsabilidades de governana em supervisionar progressivamente a segurana da

informao, uma vez que esta prov uma forte ligao entre o corpo diretivo, a gerncia

executiva e os responsveis pela implementao e operao de um sistema de gesto de

segurana da informao que deve apoiar os objetivos da organizao (ISO/IEC 27001,

2013).

Arajo (2012) aponta tambm, por meio de uma reviso na legislao, a existncia de

duas instrues normativas e 14 normas complementares, cujo contedo dos documentos deve

ser observado por todos os rgos da gesto pblica federal, conforme indicado no Quadro 1.

Quadro 1 Relao de instrues normativas e normas sobre segurana da informao

Instrues Normativas e Normas Ementa

Instruo Normativa N 4 - SLTI/MPOG, de 12 de novembro

de 2010

Dispe sobre o processo de contratao de Solues de Tecnologia da informao pelos rgos integrantes do Sistema de Administrao dos Recursos de Informao e Informtica (SISP) do Poder Executivo Federal. (Publicada no DOU N 218, de 16 nov. 2010- Seo 1).

Instruo Normativa GSI N 1, de 13 de junho de 2008

Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. (Publicada no DOU N 115, de 18 jun. 2008- Seo 1).

Instruo Normativa GSI N 2, de 5 de fevereiro de 2013

Dispe sobre o Credenciamento de segurana para o tratamento de informao classificada, em qualquer grau de sigilo, no mbito do Poder Executivo Federal. (Publicada no DOU N 32, de 18 fev. 2013- Seo 1).

36

Instruo Normativa GSI N 3, de 6 de maro de 2013

Dispe sobre os parmetros e padres mnimos dos recursos criptogrficos baseados em algoritmos de Estado para criptografia da informao classificada no mbito do Poder Executivo Federal. (Publicada no DOU N 50, de 14 Mar 2013- Seo 1).

Norma complementar n 02/IN01/DSIC/GSIPR

Metodologia de Gesto de Segurana da Informao e Comunicaes. (Publicada no DOU N 199, de 14 Out 2008 - Seo 1).


Diretrizes para a Elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e Entidades da Administrao Pblica Federal. (Publicada no DOU N 125, de 03 jul. 2009 - Seo 1).

Norma complementar n 05/IN01/DSIC/GSIPR, e seu anexo

Disciplina a criao de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos rgos e entidades da Administrao Pblica Federal. (Publicada no DOU N 156, de 17 ago. 2009 - Seo 1).


Estabelece Diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. (Publicada no DOU N 223, de 23 nov. 2009 - Seo 1).


Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos rgos e entidades da Administrao Pblica Federal. (Publicada no DOU N 162, de 24 ago. 2010 - Seo 1).

Norma complementar n 10/IN01/DSIC/GSIP

Estabelece diretrizes para o processo de Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da Informao e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).


Estabelece diretrizes para avaliao de conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).


Estabelece diretrizes e orientaes bsicas para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).

37


Estabelece diretrizes para a Gesto de Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta (APF). (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).


Estabelece diretrizes para a utilizao de tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 30, de 10 fev. 2012 - Seo 1).


Estabelece diretrizes de Segurana da Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 119, de 21 jun. 2012 - Seo 1).


Estabelece as Diretrizes para o Desenvolvimento e Obteno de Software Seguro nos rgos e Entidades da Administrao Pblica Federal, direta e indireta. (Publicada no DOU N 224, de 21 nov. 2012 - Seo 1).


Estabelece Diretrizes nos contextos de atuao e adequaes para Profissionais da rea de Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF). (Publicada no DOU N 68, de 10 abr. 2013 - Seo 1).


Estabelece as Diretrizes para as Atividades de Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF). (Publicada no DOU N 68, de 10 abril 2013 - Seo 1).


Estabelece Padres Mnimos de Segurana da Informao e Comunicaes para os Sistemas Estruturantes da Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 134, de 16 jul. 2014 - Seo 1).


Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservao de Evidncias de Incidentes de Segurana em Redes nos rgos e entidades da Administrao Pblica Federal, direta e indireta. (Publicada no DOU N 196, de 10 Out 2014 - Seo 1).

Fonte: Adaptado de Arajo (2012)

Alm da obrigatoriedade em observar os dispositivos supracitados, as organizaes

pblicas e arquivos pblicos so tambm fortemente regulados e fiscalizados por rgos de

controle da Administrao Pblica, como Ministrio do Planejamento, Oramento e Gesto

38

(MPOG), Controladoria Geral da Unio (CGU) e Tribunal de Contas da Unio (TCU)

(ALBUQUERQUE JR.; SANTOS, 2014).

No IFSP, a poltica de segurana da informao se caracteriza pela tentativa de manter

a confidencialidade, a integridade e a disponibilidade das informaes, independentemente de

onde ela esteja, residente em memria de mquinas e dispositivos, armazenada em disco, em

trnsito ou impressas em documentos. Alm disso, salvaguarda a exatido e completeza

dessas informaes por meio dos mtodos de processamento, garantindo que a comunidade,

sempre que necessrio e de acordo com a permisso atribuda a cada um, tenha acesso a elas e

aos ativos correspondentes.

39

2 PROCEDIMENTOS METODOLGICOS

A pesquisa realizada neste trabalho pode ser classificada como mista quanto

abordagem quantitativa e qualitativa, e, segundo o objetivo geral, descritiva e exploratria,

baseada em um processo lgico de investigao indutivo que explora, descreve e, em seguida,

gera perspectivas tericas (SAMPIERI; COLLADO; LUCIO, 2006).

As etapas desenvolvidas neste estudo englobam revisar a literatura relacionada

governana corporativa, governana de tecnologia da informao, gesto de risco e segurana

da informao no setor pblico brasileiro, no sentido de estabelecer o objeto de pesquisa,

Alm disso, analisar os aspectos da segurana da informao dentro da gesto de risco dentro

na governana de T.I., levantar dados da instituio por meio de protocolo do estudo de caso;

tabular e analisar os dados coletados, identificando a percepo da aplicao de segurana da

informao na instituio de ensino pblico federal para examin-la.

Os fatores envolvidos englobam princpios como organizao de segurana e

infraestrutura, polticas de segurana, normas e procedimentos, programa de segurana,

treinamento e conscientizao da cultura de segurana e adequao da sua aplicao na

respectiva entidade.

Dessa forma, consiste em um estudo de caso nico, que tem como objetivo analisar os

aspectos da segurana da informao dentro da gesto de risco dentro na governana de T.I.

de uma instituio de ensino pblico federal.

2.1 Caracterizao

A aplicao metodolgica de um trabalho pode ser justificada pela necessidade de

embasamento cientfico adequado e pela busca da melhor abordagem para enderear as

questes da pesquisa. Ademais, um estudo de caso nico permite um maior aprofundamento

na investigao e frequentemente utilizado em pesquisa longitudinal (MIGUEL, 2007).

Conforme salienta Yin (2001), o estudo de caso uma inquirio emprica que

investiga fenmenos contemporneos inseridos em algum contexto da vida real, permitindo a

40

utilizao de fontes de evidncias, como a observao direta e entrevistas, utilizando

protocolos.

O protocolo de estudo, alm de aumentar a confiabilidade da pesquisa, contm os

procedimentos e as regras gerais para conduzir e realizar o estudo, alm de oferecer a

segurana de que o trabalho cientfico foi realizado com planejamento e execuo. Essas

preocupaes garantem resultados que, de fato, possibilitaram explicaes sobre a realidade

investigada (MARTINS; THEPHILO, 2007; MARTINS, 2006; YIN, 2001).

As seguintes sees compem o protocolo do estudo de caso:

Viso geral do projeto do estudo de caso com a descrio da pesquisa, etc.

Procedimentos de campo, apresentao das credenciais do pesquisador,

locais de estudo, fontes de informao, etc.

Questes do estudo de caso com questes especficas para a coleta de dados.

Os procedimentos de campo, as questes do estudo de caso, a carta de autorizao e o

roteiro, utilizados na conduo deste estudo, encontram-se nos APNDICES A CARTA DE

AUTORIZAO, APNDICE B ROTEIRO PARA QUESTIONRIO ESTRUTURADO

FECHADO e APNDICE C ROTEIRO PARA QUESTIONRIO ESTRUTURADO

ABERTO. Os instrumentos de coleta utilizados foram questionrios digitais estruturados na

plataforma Google Forms, disponvel em: . A viso geral do

protocolo de estudo de caso encontra-se descrita nas etapas a seguir.

2.2 Protocolo

Segundo Yin (2001), os estudos de caso, em geral, possuem trs etapas principais:

definio e planejamento; preparao, coleta e anlise de dados; e anlise das informaes e

concluso, conforme detalhados a seguir:

1) Definio e planejamento

Escolha do caso: informaes obtidas no estudo bibliomtrico descrito na

introduo deste trabalho demostram a existncia de poucas pesquisas

referentes gesto de riscos de segurana da informao aplicadas no

contexto de instituies federais de educao. Alm disso, a escolha se deu

41

devido facilidade de contato do autor com os gestores responsveis pela

governana de T.I., assim como limitaes de tempo, recursos financeiros,

materiais e pessoas (MATTAR, 1996).

Amostragem: o processo de amostragem adotado nesta pesquisa pode ser

classificado como no probabilstico e por convenincia (MALHOTRA,

2001; SCHIFFMAN; KANUK, 2000; FOWLER, 1991). Amostras por

convenincia podem ser facilmente justificadas em um estgio exploratrio

da pesquisa e para estudos em que o pesquisador aceita os riscos da

impreciso dos resultados do estudo (CHURCHILL, 1998; KINNEAR;

TAYLOR, 1979).

Critrio de escolha dos entrevistados: a amostra desta pesquisa se restringiu

reitoria do IFSP, no se ampliando aos demais campi. Consiste de

entrevistados que, alm de atuarem como gestores de T.I. capacitados,

possuem contato frequente com o tema e se disponibilizaram

voluntariamente a participar da pesquisa (FREITAS et al., 2000; MATTAR,

1996; AAKER; KUMAR; DAY, 1995; KISH, 1965).

Elaborao do protocolo do estudo de caso: o protocolo para o estudo foi

desenvolvido para a coleta de dados, que, neste caso, foi realizada por meio

de questionrios estruturados, instrumento de coleta de dados constitudo por

uma srie ordenada de perguntas e, em seguida, questionrios abertos

(LAKATOS, 2003).

2) Coleta e anlise de dados

Aplicao dos questionrios: com base nas questes apontadas no protocolo

para o estudo de caso e no critrio de escolha dos entrevistados, foi aplicado

primeiramente um questionrio estruturado fechado com tratamento

estatstico das respostas para o levantamento de informaes quantitativas.

Em seguida, foi aplicado um questionrio aberto de profundidade para o

levantamento de informaes qualitativas e maior anlise dos dados obtidos.

Os questionamentos foram aplicados a gestores responsveis por diferentes

reas de T.I., durante o primeiro semestre de 2016.

Elaborao de relatrio preliminar: a partir das informaes obtidas nos

questionrios aplicados, um relatrio preliminar do caso foi elaborado para a

anlise detalhada.

42

3) Anlise das informaes e concluso

Anlise das informaes: a partir do relatrio preliminar elaborado, foi

realizada uma anlise detalhada das respostas obtidas.

Elaborao das concluses: registro das observaes decorrentes da anlise

dos resultados.

2.3 A instituio

A instituio na qual foi conduzido este estudo parte integrante da rede de Institutos

Federais de Educao, Cincia e Tecnologia, vinculados diretamente ao Ministrio da

Educao. Esses rgos fazem parte da rede pblica federal de educao profissional,

cientfica e tecnolgica, cobrindo todos os estados brasileiros, oferecendo cursos tcnicos,

superiores de tecnologia, licenciaturas, mestrado e doutorado.

So instituies de educao superior, bsica e profissional, especializadas na oferta

de educao profissional e tecnolgica gratuita em diferentes modalidades, bem como na

realizao de pesquisa aplicada e promoo do desenvolvimento tecnolgico de novos

processos, produtos e servios. Especialmente de abrangncia local e regional, oferecem

mecanismos para a educao continuada, com estreita articulao com os setores produtivos e

a sociedade (BRASIL, 2015b).

A estrutura multicampi e a clara definio do territrio de abrangncia das aes dos

Institutos Federais afirmam, na misso dessas instituies, o compromisso de interveno em

suas respectivas regies, identificando problemas e criando solues tcnicas e tecnolgicas

para o desenvolvimento sustentvel com incluso social (BRASIL, 2016).

Fundada em 1909 como Escola de Aprendizes Artfices, durante sua histria, recebeu,

tambm, os nomes de Escola Tcnica Federal de So Paulo e Centro Federal de Educao

Tecnolgica de So Paulo. Em dezembro de 2008, com sua transformao em Instituto

Federal de Educao, Cincia e Tecnologia de So Paulo (IFSP), passou a ser uma autarquia

federal de ensino e a ter relevncia de universidade, destacando-se pela autonomia (BRASIL,

2015b).

O IFSP conta com aproximadamente 1.100 (mil e cem) docentes, 600 (seiscentos)

administrativos e possui aproximadamente 24 mil alunos matriculados nos 38 campi, mais 4

mil alunos nos 19 polos de educao distncia distribudos pelo estado de So Paulo. Sua

43

organizao geral compreende rgos Superiores, rgos Colegiados, rgos

Descentralizados e rgos Executivos. Este ltimo compreende, alm de outras reas, a

Reitoria, os rgos de Apoio e as Pr-Reitorias de Ensino, de Extenso, de Pesquisa,

Inovao e Ps-graduao, de Administrao e a de Desenvolvimento Institucional (BRASIL,

2015b).

As Pr-Reitorias, dirigidas por Pr-Reitores nomeados pelo Reitor, so rgos

executivos que planejam, definem, acompanham e avaliam as atividades e as polticas

relacionadas s seguintes dimenses:

Pr-Reitoria de Ensino compete planejar, definir, acompanhar e avaliar o

desenvolvimento das polticas e atividades acadmicas, buscando o seu constante

aprimoramento, em consonncia com as diretrizes definidas pelo Ministrio da Educao e

com as disposies do Conselho Superior (BRASIL, 2015b).

Pr-Reitoria de Extenso compete planejar, definir, acompanhar e avaliar as

polticas e as atividades de extenso em suas relaes com a sociedade e com as empresas,

buscando articul-las ao ensino e pesquisa, em consonncia com as diretrizes definidas pelo

Ministrio da Educao e com as disposies do Conselho Superior (BRASIL, 2015b).

Pr-Reitoria de Pesquisa, Inovao e Ps-graduao compete planejar, definir,

acompanhar e avaliar as polticas e o desenvolvimento das atividades a ela relacionadas,

buscando seu fortalecimento em todos os nveis de ensino do IFSP, em consonncia com as

diretrizes definidas pelo Ministrio da Educao e com as disposies do Conselho Superior

(BRASIL, 2015b).

Pr-Reitoria de Administrao compete planejar, definir, acompanhar e avaliar as

polticas e atividades de execuo oramentria, financeira e patrimonial, buscando o seu

constante aprimoramento, em consonncia com as diretrizes definidas pelo Ministrio da

Educao e com as disposies do Conselho Superior (BRASIL, 2015b).

Por fim, Pr-Reitoria de Desenvolvimento Institucional compete planejar, definir,

acompanhar e avaliar tanto o desenvolvimento das atividades de gesto de pessoal, quanto o

desenvolvimento das polticas definidas pela Reitoria, levantando e analisando os resultados

obtidos e buscando o aprimoramento do processo educacional e administrativo, em

consonncia com as diretrizes definidas pelo Ministrio da Educao e disposies do

Conselho Superior (BRASIL, 2015b).

Contemplando a rea de Tecnologia da Informao do IFSP, sua estrutura conta, alm

de outras, com a Assessoria de Tecnologia da Informao, Diretoria de Infraestrutura e Redes,

Diretoria de Sistemas de Informao e Diretoria Adjunta de Suporte Tecnologia da

44

Informao. No portal da T.I. possvel, ainda, verificar as atribuies e responsabilidades de

cada uma destas diretorias, por meio do endereo eletrnico (BRASIL,

2015b).

A governana de T.I. do IFSP trata, dentro da gesto de risco, da poltica de segurana

da informao, trabalhando com diversos tipos de informaes crticas diretamente

relacionadas ao negcio, como informaes acadmicas dos alunos ou informaes

administrativas que influenciam na continuidade do negcio (BRASIL, 2016a).

Essas informaes circulam e so armazenadas em grandes volumes, tanto no

ambiente interno como no externo, em mdias fsicas ou lgicas, utilizando, assim, um grande

nmero de ativos, essenciais para o negcio da instituio. Dessa maneira, os recursos

computacionais de rede, de comunicao, os documentos fsicos gerados ou no por recursos

computacionais e as informaes desses recursos, como qualquer outro ativo da instituio,

precisam ser protegidos (BRASIL, 2016b).

A poltica de segurana da informao da instituio se caracteriza pela tentativa de

manter a confidencialidade, a integridade e a disponibilidade das informaes, esteja ela

residente em memria de mquinas e dispositivos, armazenada em disco, em trnsito ou

impressas em documentos. Salvaguarda, assim, a exatido e a completeza dessas informaes

por meio dos mtodos de processamento, garantindo que a comunidade, sempre que

necessrio e de acordo com a permisso atribuda a cada um, tenha acesso a elas e aos ativos

correspondentes (BRASIL, 2016b).

2.4 Estudo quantitativo

Para verificar o tratamento dado segurana da informao, por meio da gesto de

riscos dentro da governana de T.I. da instituio em estudo, foram analisados aspectos da

gesto de risco que envolvem princpios como:

Organizao de segurana e infraestrutura;

Polticas de segurana, normas e procedimentos;

Programa de segurana;

Treinamento e conscientizao da cultura de segurana;

Adequao.

45

Esses princpios podem ser vistos como dimenses da arquitetura de segurana da

informao, abrangendo aspectos da mesma por meio da gesto de riscos dentro da

governana de T.I., assim como proteo de informaes confidenciais em conformidade com

a legislao.

Os autores estudados nesta pesquisa e as reas de foco da governana de T.I.

apresentadas na Introduo (Figura 2) que tratam do alinhamento estratgico, entrega de

valor, gesto de recursos, mensurao de desempenho e, em especial, a gesto de riscos

permitem estabelecer as relaes entre os seguintes planos de negcios: a T.I., a execuo da

proposta por meio do ciclo de entrega, a melhor utilizao possvel dos investimentos e

recursos, a otimizao do conhecimento, monitoramento de processos e gerenciamento do

ambiente de risco nas atividades da organizao, validando estes princpios chave.

Desse modo, em um primeiro momento, foi conduzido um estudo quantitativo. Nele,

para definir constructos, os autores estudados no referencial terico foram relacionados com a

arquitetura de segurana da informao proposta por Tudor (2000) e adaptada por Da Veiga

(2007,) abrangendo essas cinco dimenses.

1. Organizao de segurana e infraestrutura

A prpria definio do termo corporao inclui um corpo de pessoas unido e

autorizado legalmente a agir, de forma organizada, como um nico indivduo, criado e regido

por certos direitos e deveres. Por ser um processo metdico de avaliao moldada para os

sistemas de deciso, a governana corporativa o sistema pelo qual as organizaes so

dirigidas, monitoradas e incentivadas, podendo ser aplicada a diversas reas da empresa,

incluindo a de T.I. Com foco na eficincia e envolvendo os relacionamentos entre

proprietrios, conselho de administrao, diretoria e rgos de controle, a governana

corporativa exige dos gestores a competncia de alinhar os investimentos estratgia das

organizaes e assegurar que a infraestrutura seja adequada crescente utilizao de novas

aplicaes, possibilitando um trabalho eficiente e produtivo, com transparncia e

responsabilidade gerencial (OECD, 2015; IBGC, 2014; THOMPSON et al., 2013;

AKABANE, 2012; BRIS; BRISLEY; CABOLIS, 2008; ARTERO, 2007; HARDY, 2006;

VAN GREMBERGEN; DE HAES; GULDENTOPS, 2004; ITGI, 2003; ALEXANDER,

2000).

46

Em diversos pases, mais de 1/3 da economia consiste em organizaes

governamentais, incluindo educao, sade e servios que utilizam a infraestrutura de T.I.

Esta, em sua forma ampla, inclui os sistemas de informao, o uso de hardware e software,

telecomunicaes, automao e recursos multimdia, utilizados para fornecer dados,

informaes e conhecimento. A informao e as tecnologias inseridas no ciclo de negcios se

difundem como um ativo estratgico, de modo que sua governana envolve decises no

tocante a princpios, arquitetura, infraestrutura, aplicaes e priorizao de investimentos.

(ISACA, 2012; RAMOS; NASCIMENTO, 2010; ARTERO, 2007; NOBRE; WEILL, 2004;

LUFTMAN, 2003; WEILL; WOODHAM, 2002; LAURINDO et al., 2001; CADBURY,

1992).

Desse modo, questionamentos podem ser levantados. Por exemplo:

No que tange segurana da informao, os papis desempenhados pelas pessoas so

definidos?

As responsabilidades das pessoas so definidas?

2. Polticas de segurana, normas e procedimentos

Agregar valor envolve planejamento, sendo este afetado por presses do negcio e

obrigaes legais. No somente os requisitos regulamentares esto aumentando, mas tambm

as responsabilidades de governana em supervisionar cada vez mais a segurana da

informao. Nesse sentido, deve-se enfatizar o fato de que a legislao brasileira relacionada

Segurana da Informao e Comunicaes (SIC) de carter federal, estadual e municipal

contempla uma grande quantidade de dispositivos legais, decretos, leis, instrues normativas

e projetos de lei. Dentre estes, duas instrues normativas e 14 normas complementares

devem ser obrigatoriamente observadas por todos os rgos da gesto pblica federal,

conforme apresentado na Tabela 2 (Legislao relacionada segurana da informao) e no

Quadro 1 (Relao de instrues normativas e normas sobre segurana da informao). Alm

da obrigatoriedade em observar os dispositivos supracitados, as organizaes pblicas e

arquivos pblicos so tambm fortemente regulados e fiscalizados por rgos de controle da

Administrao Pblica, como Ministrio do Planejamento, Oramento e Gesto (MPOG),

Controladoria Geral da Unio (CGU) e Tribunal de Contas da Unio (TCU) (ISO/IEC 38500,

2015; JUIZ; TOOMEY, 2015; VIEIRA; ALBUQUERQUE JR.; SANTOS, 2014; FRAGA,

2014; ISO/IEC 27001, 2013; ARAJO; 2012).

47

Pblicas ou privadas, a maioria das instituies aplica uma srie de contramedidas de

segurana, polticas, procedimentos e diretrizes como medidas de proteo, tendo em vista

que o sucesso da gesto de riscos busca, tambm, assegurar que o risco seja adequadamente

identificado e reportado, podendo, assim, ser utilizado como base na tomada de decises

(JOURDAN et al., 2010; ABNT, 2009a).

O processo de Gesto de Riscos de Segurana da Informao (GRSI) pode ser

utilizado de forma iterativa na avaliao ou para atividades de tratamento de risco. Seu

enfoque iterativo torna possvel o detalhamento da avaliao a cada repetio, minimizando o

tempo e o esforo necessrios na identificao de controles, assegurando que riscos de alto

impacto e probabilidade sejam adequadamente avaliados. Alm disso, podem auxiliar na

implementao de controles de segurana e conteno de ameaas aos ativos de informao

(ABNT, 2011; ELOFF; ELOFF, 2005).


So desenvolvidas polticas, normas ou procedimentos de segurana da informao?

3. Programa de segurana

A administrao do risco nos guia por uma ampla gama de tomada de decises, sendo

necessria ateno s possveis falhas ou erros, o que inclui a informao e a complexa

tecnologia envolvida em seu processo (BERNSTEIN, 1997).

Os padres de governana de risco tendem a ser de alto nvel. Criar valor por meio da

realizao de benefcios e otimizao dos riscos e recursos exige que a governana de T.I. seja

eficiente, gerencie e avalie constantemente as atividades e os riscos relativos T.I., de modo a

mant-los em um nvel aceitvel. Gerenciar o risco em diferentes empresas e situaes

oferece oportunidades para que as organizaes observem problemas em seus processos

internos (BROMILEY et al., 2015; OECD, 2014, ISACA, 2012; ITGI, 2007).

crucial que haja o controle de risco, tanto pela ao direta dos gestores e

funcionrios como por delegaes dos diretores, que podem se utilizar de qualquer

oportunidade para formular diretivas estratgicas e de liderana. Ao investir na segurana de

seus ativos de informao por meio de sua classificao, treinamentos e conscientizaes,

governos e organizaes obtm melhorias no somente na tomada de decises. mas tambm

na continuidade de suas operaes (DA VEIGA; MARTINS, 2015; JOURDAN et al., 2010;

NIST, 2010; PURDY, 2010).

48

As organizaes enfrentam influncias de fatores incertos que afetam seus objetivos.

Uma pequena brecha, roubo, erro, violao de sistema ou ataque de vrus na T.I. podem

resultar em srios danos ao oramento e reputao da organizao. De modo a reduzir

incertezas, necessrio monitorar e identificar o risco para avaliar se este deve ser modificado

ou tratado, uma vez que sua compreenso nos permite tomar decises de modo racional e

buscar meios de assegurar a proteo dos ativos de informao organizacional. (ABNT, 2011;

ABNT, 2009a; HARDY, 2006).

Deste modo, questionamentos podem ser levantados. Por exemplo:

Um programa de segurana da informao organizado tendo em conta a gesto de

riscos?

4. Treinamento e conscientizao da cultura de segurana

A privacidade da informao e sua segurana so dois conceitos inter-relacionados

proteo, e ambos devem ser considerados ao se tratar dos riscos da informao. A dimenso

da privacidade alinha as necessidades especficas da organizao ao verificar princpios que

esto em consonncia com preferncias organizacionais, e se h conscientizao quanto

aplicao desses princpios e demais contextos. Alm disso, um bom planejamento e

implementao de mecanismos formais de governana de T.I., aliados a uma cultura de

segurana da informao, requer no somente cooperao de toda a organizao, como

tambm por parte dos gestores (DA VEIGA; MARTINS, 2015; MONTESDIOCA;

MAADA, 2015; LUNARDI; BECKER; MAADA, 2012).

Abordagens de melhoria contnua, por meio de um processo de criao,

implementao, operao, monitoramento, reviso, manuteno e melhoria de um Sistema de

Gesto de Segurana da Informao, auxiliam na especificao, realizao e administrao da

segurana, representando uma viso abrangente da perspectiva da mesma e da privacidade da

informao. No obstante, papel dos gestores alinhar as necessidades especficas com a

estratgia da organizao tambm por meio da conscientizao, uma vez que as

complexidades a serem mensuradas no ambiente pblico podem abordar performance,

transparncia, investimento em infraestrutura, liberdade de atuao, reduo de custos e

outros (THOMPSON et al., 2013; ISO/IEC 27001, 2013; ISO/IEC 27002:2013; DA VEIGA;

ELOFF, 2007; WEILL; ROSS, 2004; TUDOR, 2000).


49

Os usurios so treinados e conscientizados quanto importncia da segurana da

informao?

H reflexo positivo dessa conscientizao?

5. Adequao

A preveno da perda, dano, destruio ou acesso no autorizado informao

processada por organizaes um processo contnuo, uma vez que a constante evoluo dos

riscos internos e externos pode resultar em violaes e perdas para a organizao como um

todo. Administrar o risco nos guia por uma ampla gama de tomada de decises, sendo

necessria ateno s possveis falhas ou erros, incluindo a informao e a complexa

tecnologia envolvida em seu processo como apoio para alcanar os objetivos e metas de

negcio (DA VEIGA; MARTINS, 2015; JUIZ; TOOMEY, 2015; LUFTMAN, 2003;

BERNSTEIN, 1997).

O volume de informaes eletrnicas utilizadas pelas empresas cresce gradativamente,

tornando complexo seu gerenciamento produtivo, eficincia, responsabilidade gerencial e

adequao da qualidade de acesso, confiabilidade e conformidade, com vistas a atender os

objetivos organizacionais. H tambm a preocupao com a exposio da empresa, cuja

segurana pode ser comprometida por incidentes que representariam prejuzos financeiros ou

para a imagem das organizaes (AKABANE, 2012; ISACA, 2012; ALEXANDRIA, 2009;

POSTHUMUS; VON SOLMS, 2004).

A segurana da informao agenda estratgica no setor pblico brasileiro, existindo

uma gama de dispositivos legais, decretos, leis, instrues normativas, projetos de lei e

normas que tratam de sua aplicao nos rgos vinculados ao Governo Federal e cuja

observncia obrigatria. Alm da obrigatoriedade em observar os dispositivos supracitados,

as organizaes pblicas e arquivos pblicos so tambm fortemente regulados e fiscalizados

por rgos de controle da Administrao Pblica, como Ministrio do Planejamento,

Oramento e Gesto (MPOG), Controladoria Geral da Unio (CGU) e Tribunal de Contas da

Unio (TCU) (ALBUQUERQUE JR.; SANTOS, 2014; VIEIRA; FRAGA, 2014; ARAJO,

2012).

Deste modo, questionamentos podem ser levantados. ) Por exemplo:

Existe um controle interno da segurana da informao por meio de auditorias?

50

Existe um controle externo da segurana da informao por meio de auditorias?

O Quadro 2 apresenta o constructo da relao entre a arquitetura de segurana da

informao e os autores estudados.

Quadro 2 Constructo da relao entre a arquitetura de segurana da informao e autores

Dimenses Autores

D1 Organizao de

segurana e infraestrutura

IBGC (2014), Thompson et al. (2013), Akabane (2012), ISACA (2012), Nobre, Ramos e Nascimento (2010), Bris, Brisley e Cabolis (2008), Artero (2007), Hardy (2006), OECD (2015), Van Grembergen, De Haes e Guldentops (2004), Weill (2004), Weill e Ross (2004), ITGI (2003), Weill e Woodham (2002), Laurindo et al. (2001), Alexander (2000), Tudor (2000), Cadbury (1992)

D2 Polticas de segurana,

normas e procedimentos

Juiz e Toomey (2015); Vieira e Fraga (2014), Albuquerque Jr. e Santos (2014), ISO/IEC 27001:2013, ISO/IEC 27002:2013, Arajo (2012), ISO/IEC 27005:2011, Jourdan et al. (2010), ISO/IEC 38500:2009, ISO 31000:2009, Eloff e Eloff (2005), Tudor (2000), Schein (1985)

D3 Programa de segurana

Bromiley et al. (2015), OECD (2014), Da Veiga e Martins (2015), ISACA (2012), ISO/IEC 27005:2011, NIST (2010), Purdy (2010), Jourdan et al. (2010), ISO 31000:2009, ITGI (2007), Hardy (2006), Eloff e Eloff (2005), Tudor (2000), Bernstein (1997)

D4 Treinamento e

conscientizao da cultura de segurana

Da Veiga e Martins (2015), Montesdioca e Maada (2015), Thompson et al. (2013), ISO/IEC 27001:2013, ISO/IEC 27002:2013, Lunardi, Becker e Maada (2012), Da Veiga e Eloff (2007), Weill e Ross (2004), Tudor (2000)

D5 Adequao

Da Veiga e Martins (2015); Juiz e Toomey (2015), Albuquerque Jr. e Santos (2014), Arajo (2012), Akabane (2012), ISACA (2012), Alexandria (2009), Posthumus e Von Solms (2004), Luftman (2003), Tudor (2000), Bernstein (1997)

Fonte: Resultado da pesquisa

O Quadro 3, por sua vez, apresent

análise de tratamento da segurança da informação na gestão ... · resumo souza, j. g. s....

Documents