GESTÃO DE SEGURANÇA DA INFORMAÇÃO

EM ORGANIZAÇÃO DE ADMINISTRAÇÃO PÚBLICA DO MUNICÍPIO DE VITÓRIA - ESPIRITO SANTO

Washington Rayder Dias1

Resumo: Uma maneira de observar se as ações de implantação e desenvolvimento de políticas estão relacionadas à segurança da informação, conferidos em metodologia de analise de maturidade, com objetivo de monitorar a Gestão de Segurança da Informação, feita com eficiência e melhorias no controle sobre os processos e atividades, cujos resultados visam ao bem do cidadão e da própria organização com um todo. Este trabalho visa avaliar esta situação, definindo controles e processos conforme normas e melhores praticas de Governança, Gestão de Segurança da Informação e Governança de TI.

Palavras-chave: GSI. Governança. Governança da TI. COBIT. ITIL. ISO 27001

1 INTRODUÇÃO

Conforme descrito nos decretos e leis atuais, o acesso dos cidadãos às informações

públicas é um direito constitucional regulamentado pela Lei Federal 12.527/2011. Essa lei

determina que órgãos e entidades públicas divulguem informações e serviços por meio da

internet, sobre projetos, ações e serviços municipais, bem como a oferta de serviços on-line.

Em consonância com a lei federal, foi aprovada a Lei Municipal 8.286/2012, que dispõe sobre

os procedimentos para se obter acesso à informação pública no âmbito do município de

Vitória. (Disponível em 04-2014 <http://www.vitoria.es.gov.br>)

Também em cumprimento ao que dispõem os artigos 48-A da Lei Complementar nº

101, de 04 de maio de 2000 - Lei de Responsabilidade Fiscal, é apresentado o Detalhamento

da Execução Orçamentária, através do Portal da Transparência, que reúne informações em

tempo real sobre receitas e despesas da administração municipal, incluindo relatórios da Lei

de Responsabilidade Fiscal, despesas com o pagamento de credores, servidores e recursos do

Governo Federal. (Disponível em 04 <http:// http://transparencia.vitoria.es.gov.br>)

Ainda no mesmo escopo de confirmação é constatado o registro da "Política de Uso e

Segurança de Informações e dos Recursos Computacionais da Rede de Informações do 1 Washington Rayder Dias, Pós-Graduado em Gestão de Segurança da Informação – UNISUL – 2014, Graduado em Sistemas de Informação - FAESA - 2005, Coord. de Segurança da Informação - Prefeitura Municipal de Vitória - Espírito Santo - 2014, Coord. de Administração de Redes e Segurança - Prefeitura Municipal de Vitória - Espírito Santo - 2012, washington.dias@gmail.com

2

Município de Vitória – RIMV", onde são estabelecidas definições como: ativo de informação,

acesso ao ativo, conta, direito de acesso e a Subsecretaria de Tecnologia da Informação

(SEMFA/SUB-TI) – Setor responsável pela Segurança da Informação; (Disponível em

http://sistemas.vitoria.es.gov.br/webleis/Arquivos/2014/D15934.PDF>)

Percebe-se então a importância da racionalização da ação administrativa e a utilização

consciente dos recursos de informação, por meio de normatização e padronização de

procedimentos, bem como motivação as altas autoridades e dirigentes à assumirem o

compromisso com as boas práticas em segurança da informação.

Destaca-se que as ações realizadas na Administração Pública com o intuito de

aperfeiçoar a Gestão e a Segurança da Informação, devem ser tratadas como prioridades por

todos os envolvidos, isto porque tem sido comum a difusão de incidentes, relacionados a

segurança da informação, consideradas restritas de um determinado órgão ou autoridade.

Pode-se citar notícias divulgadas na imprensa sobre atividades praticadas por autoridades que

deveriam ser de conhecimento restrito, o que além de comprometer a imagem da pessoa, pode

tornar o Estado vulnerável à ação de má-fé de terceiros.

No Brasil, a Lei 9883/99 institui o Sistema Brasileiro de Inteligência, no âmbito

federal, e cria a ABIN, responsável pela coleta e custódia de informações para servir ao

Presidente da República em suas decisões. Todos os entes públicos que manipulam

informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN.

Fora do executivo federal, órgãos públicos municipais e estaduais estão sob o risco da

negligencia, imprudência ou imperícia na manipulação de informações confidenciais. O

Código Penal brasileiro prevê em seu artigo 325 o crime de violação de sigilo funcional

também para quem permite ou facilita o acesso de terceiros a sistemas de informações da

administração pública, estabelecendo ainda uma pena de reclusão que pode chegar de 2 a 6

anos e multa. Desta forma, ser negligente com sistemas informáticos, na administração

pública, é crime! (disponível em < http://www.jusbrasil.com.br/topicos/10598139/artigo-325-

do-decreto-lei-n-2848-de-07-de-dezembro-de-1940>)

Já se o funcionário público é quem insere ou altera os dados nos sistemas da

administração, pode responder pelo peculato informático, dependendo das circunstâncias, será

enquadrado nos arts. 313-A e 313-B do Código Penal, com pena que pode chegar a 12 anos de

reclusão. (disponível em: < http://www.jusbrasil.com.br/topicos/665551/art-313>)

Com este estimulo, parece oportuno tratar do tema e observar ambientes

organizacionais nos quais se possa verificar o nível de maturidade de seus agentes com

3

relação à cultura de segurança, conscientização e envolvimento da alta direção nos atos que

permitam a continuidade da Gestão da Segurança da Informação.

Tais conceitos estão vinculados a Governança Corporativa e Governança de TI, cujos

processos necessitam de amadurecimento no âmbito da Administração Pública, antes de se

tornarem efetivos e permanentes, justificativa base de elaboração do tema deste artigo, que

conforme descrito por Igor Siqueira Cortez2 e Luis Claudio Kubota3:

"Recentemente, uma série de ataques cibernéticos a empresas e governos no Brasil e no exterior tornou público o potencial impacto econômico desse tipo de atividade, do ponto de vista tanto privado quanto público. Existe extensa literatura econômica — teórica e empírica — que avalia os incentivos para que as empresas adotem ou não medidas de segurança da informação. No presente estudo foi desenvolvida uma avaliação empírica desse fenômeno no Brasil. Modelos logit e probit ordenado foram desenvolvidos como forma de avaliar os efeitos sobre a probabilidade de ocorrência de problemas de segurança da informação, levando-se em conta as características das firmas, inclusive as medidas de segurança de informação. Os resultados apontam para uma relação positiva entre as medidas de segurança da informação e a probabilidade de identificar a ocorrência de problemas cibernéticos, sugerindo que a sofisticação dessas medidas de proteção aumenta a probabilidade de identificação dos problemas." (Cortez e Kubota, 2013)

Esta conclusão foi também avaliada com a perspectiva de necessidade de

implementação de gestão de segurança da informação, conforme Alaíde Barbosa Martins4 e

Celso Alberto Saibel Santos5, a implantação de um SGSI é resumida da seguinte forma:

"Este artigo apresenta uma proposta de metodologia para a implantação de um Sistema de Gestão da Segurança da Informação (SGSI). A metodologia é baseada nos principais padrões e normas de segurança, definindo um conjunto de diretrizes a serem observadas para garantir a segurança de um ambiente computacional ligado em rede. O processo de implantação do SGSI resulta na padronização e documentação dos procedimentos, ferramentas e técnicas utilizadas, além da criação de indicadores, registros e da definição de um processo educacional de conscientização da organização e de seus parceiros. Os conceitos e idéias aqui apresentados foram aplicados em um estudo de caso envolvendo a empresa Cetrel S.A. - Empresa de Proteção Ambiental. Para esta empresa, responsável pelo tratamento de resíduos industriais provenientes do Pólo Petroquímico de Camaçari-BA e de outras regiões, a garantia da confidencialidade e integridade dos dados de seus clientes, além da possibilidade de disponibilizar informações com segurança são requisitos fundamentais de funcionamento." (Martins e Santos, 2005)

Desta forma, o encontrado apenas afirma a necessidade de cuidados, uso de melhores

praticas de segurança, equilíbrio necessário entre proteção, investimento e maiores garantias

de manter os objetivos da empresa, com a aplicação de metodologias para ampliar a segurança

2 Graduado em Ciências Econômicas pela Universidade de Brasília, Mestre em Economia pela Universidade de São Paulo, é Economista da Confederação Nacional da Indústria (CEP 70040-903 – Brasília/DF, Brasil). E-mail: igor.cortez@cni.org.br; igorcortez@gmail.com 3 Graduado em Economia, Mestre e Doutor em Administração pela Universidade Federal do Rio de Janeiro, é Técnico de Planejamento e Pesquisa do Instituto de Pesquisa Econômica Aplicada (CEP 70076-900 – Brasília/DF, Brasil). E-mail: luis.kubota@ipea.gov.br 4 Cetrel S.A. - Empresa de Proteção Ambiental, Brazil 5 Universidade Salvador, Brazil

4

e reduzir os ricos. Contudo, uma pesquisa de 2010, foi realizada por Maria Betânia Gonçalves

Xavier6, direcionada a analise de maturidade na esfera federal e define sua pesquisa da

seguinte forma:

O termo governança está relacionado aos mecanismos de gestão responsáveis pela condução de uma organização, seja ela pública ou privada. Processos, políticas e estruturas organizacionais devem estar em sintonia com o objetivo maior da organização e, consequentemente, com sua estratégia. Quando o objeto de estudo é a governança de Tecnologia da Informação, o foco é identificar os mecanismos que permitem viabilizar a integração entre as áreas de negócio e a área de TI, dando suporte às diretrizes organizacionais, e qual é a efetividade de tais mecanismos. Avaliar a maturidade da governança de TI, por meio dos processos que a sustenta, é uma alternativa para investigar a situação da organização, posicioná-la em relação a outras e também identificar possibilidades de melhoria. A avaliação da maturidade da governança de TI no presente estudo baseia-se na estrutura de processos e na Tabela de Maturidade de Atributos do COBIT. A escala de maturidade em questão varia entre o nível zero (inexistente) e o nível cinco (otimizado). Para viabilizar o trabalho foram selecionados 10 ministérios, órgãos da Administração Direta do Poder Executivo Federal, para prospecção dos níveis de maturidade dos atributos Sensibilização e Comunicação; Políticas, Planos e Procedimentos; Ferramentas e Automação; Responsabilidade e Responsabilização; e Metas e Mensuração, vinculados a cada um dos 34 processos do COBIT. A partir dos dados coletados também foi aplicada a técnica multivariada de cluster analysis na busca de identificar a formação de grupos homogêneos de ministérios com níveis de maturidade similares. O cenário encontrado foi de forte concentração dos processos de trabalho no nível 2 de maturidade de governança de TI, nível esse caracterizado pela fragilidade na adoção de políticas e padrões, no desenvolvimento de habilidades e na definição de responsabilidades. Caracterizado ainda pela pouca penetrabilidade das ações de comunicação, pela baixa adesão à automação e pela dificuldade de estabelecimento de metas e indicadores. Essas constatações sugerem um considerável esforço dos órgãos federais na obtenção de patamares mais elevados de alinhamento entre as áreas de negócio e as áreas de TI, de modo a propiciar o fortalecimento da governança. (Betânia, 2010)

O objetivo é apresentar práticas e princípios utilizados na metodologia de avaliação de

maturidade de Gestão da Segurança da Informação(GSI), para auxiliar o envolvimento da alta

direção de um órgão público no desenvolvimento da conscientização e da cultura de

Segurança da Informação.

No aspecto macro do tema, será apresentado com alguns conceitos fundamentais sobre

informação, sua gestão e o processo de segurança relacionado, abordando o contexto histórico

recente da evolução dos mecanismos de avaliação e controle dos recursos de informação no

setor público municipal de Vitória no Espírito Santo(VIX), além de tratar sobre a necessidade

de aperfeiçoamento dos instrumentos de gestão da tecnologia da informação, em

conformidade com as ações de normatização e regulação na área de segurança da informação.

A analise de indicadores de governança, relacionados a processos de gestão de TI

indica um questionamento, voltado para o ambiente interno de um determinado órgão público,

6 Maria Betânia Gonçalves Xavier - Coordenadora-Geral de TI da COSIS/STN, maria-betania.xavier@fazenda.gov.br

5

nos quais se apresenta a análise ambiental encontrada com referência à evolução do nível de

maturidade em segurança da informação e à discussão sobre um possível plano de ação que

possa aperfeiçoar as práticas de segurança da informação nesse órgão e desta forma espera-se

um resultados para :

• Ajustar modelo de avaliação da maturidade da governança de TI, levando-se em

consideração a situação atual da governança de TI na administração publica municipal

analisada;

• Identificar o estágio da governança de TI na administração publica municipal, por

meio do modelo selecionado;e

• Identificar comportamentos de forma a gerar informações para o aprimoramento das

estratégias de melhoria da gestão de TI na administração publica municipal analisada.