tribunal de contas da união -...

Tribunal de Contas da União

Ministros

, PresidenteUbiratan Aguiar, Vice-Presidente

Marcos Vinicios VilaçaValmir Campelo

Guilherme PalmeiraBenjamin ZymlerAugusto NardesAroldo Cedraz

Raimundo Carreiro

Auditores

Augusto Sherman CavalcantiMarcos Bemquerer CostaAndré Luís de Carvalho

Ministério Público

Lucas Rocha Furtado, Procurador-GeralPaulo Soares Bugarin, Subprocurador-GeralMaria Alzira Ferreira, Subprocuradora-Geral

Marinus Eduardo de Vries Marsico, ProcuradorCristina Machado da Costa e Silva, Procuradora

Júlio Marcelo de Oliveira, ProcuradorSérgio Ricardo Costa Caribé, Procurador

Walton Alencar Rodrigues

NegócioControle Externo da Administração Públicae da gestão dos recursos públicos federais

MissãoAssegurar a efetiva e regular gestão dos

recursos públicos em benefício da sociedade

VisãoSer instituição de excelência no controle e contribuir

para o aperfeiçoamento da Administração Pública

República Federativa do Brasil

Segurança da informação no TCU:

política corporativa comentada

Brasília — 2008

Brasil. Tribunal de Contas da União.

Segurança da informação no TCU : política corporativa

comentada / Tribunal de Contas da União. – Brasília : TCU,

Secretaria-Geral da Presidência, 2008.

29 p.

1. Segurança da informação. 2. Tecnologia da informação.

I. Título.

Ficha catalográfica elaborada pela Biblioteca Ministro Ruben Rosa

© Copyright 2008, Tribunal de Contas da União

Impresso no Brasil / Printed in Brazil

<www.tcu.gov.br>

Permite-se a reprodução desta publicação,

em parte ou no todo, sem alteração do conteúdo,

desde que citada a fonte e sem fins comerciais.

Apresentação

O sucesso da atuação do Tribunal de Contas da União, no âmbito de

suas competências constitucionais, depende diretamente da forma como

as informações recebidas ou produzidas internamente são armazenadas,

manuseadas, compartilhadas e divulgadas. A informação é, afinal, um

dos principais insumos utilizados pelo Tribunal no desempenho de suas

atribuições.

Por conseguinte, o TCU tem desenvolvido ações que buscam

aperfeiçoar a gestão da segurança da informação, com o objetivo de

garantir a continuidade e aumentar a eficiência e a efetividade do controle

externo da gestão dos recursos públicos federais.

Além da criação da Secretaria de Fiscalização de Tecnologia da

Informação (Sefti) e da Assessoria em Segurança da Informação e Apoio à

Governança de TI (Assig), destaca-se o esforço conjunto de representantes

das Secretarias-Gerais do Tribunal e dos gabinetes de ministros e

auditores que resultou na revisão da Política Corporativa de Segurança

da Informação do TCU (PCSI), por meio da publicação da Resolução-TCU

nº 217, de 15 de outubro de 2008, que estabeleceu objetivos, princípios e

diretrizes para a segurança da informação no Tribunal.

Uma vez que o sucesso da aplicação da PCSI está diretamente

relacionado à sua ampla divulgação e à correta compreensão de seus

dispositivos, elaborou-se esta cartilha com o intuito de apresentar essa

política a todos os envolvidos - servidores, unidades do Tribunal, prestadores

de serviços terceirizados, estagiários ou quaisquer outros colaboradores

que tenham acesso a informações produzidas ou custodiadas pelo Tribunal

de Contas da União.

Walton Alencar Rodrigues

Ministro-Presidente

1 Segurança da informação no TCU: política corporativa comentada

Nesta cartilha, por meio de perguntas e respostas, são apresentados

conceitos relativos à política corporativa de segurança da informação do

Tribunal de Contas da União (PCSI/TCU), objeto da Resolução-TCU nº

217, de 15 de outubro de 2008, com o objetivo de tornar mais claro seu

conteúdo. A cada explicação, são reproduzidos os trechos correspondentes

da Resolução.

1.1 O que é política corporativa de segurança da informação?

Política corporativa de segurança da informação (PCSI) é um

conjunto de princípios, objetivos e diretrizes que norteiam a gestão de

segurança da informação de uma instituição. As diretrizes estabelecidas

nessa política determinam as linhas mestras a serem seguidas pela

organização para que seja assegurada a segurança de suas informações.

A PCSI é um mecanismo preventivo de proteção de dados e processos

importantes de uma organização que define o padrão de segurança

a ser seguido tanto pelo corpo técnico e gerencial como por usuários

internos e externos. Pode ser usada para definir os relacionamentos entre

fornecedores e parceiros e medir a qualidade e a segurança dos sistemas

de informação. Ela deve estabelecer princípios institucionais de como a

organização irá proteger, controlar e monitorar suas informações, assim

como responsabilidades das funções relacionadas com a segurança.

Quanto mais simples e coerente a política de segurança da informação,

maior a probabilidade de sucesso na sua implementação prática.

5Segurança da informação no TCU: política corporativa comentada

Art. 1° A Política Corporativa de Segurança da Informação do Tribunal de

Contas da União (PCSI/TCU) observará os princípios, objetivos e diretrizes

estabelecidos nesta Resolução, bem como as disposições constitucionais,

legais e regimentais vigentes.

1.2 O que motivou a atualização da PCSI/TCU em 2008?

O diagnóstico de maturidade e aderência de processos de

segurança da informação frente à norma NBR ISO/IEC 17799:2005,

da ABNT, concluído em agosto de 2008, destacou a necessidade de

reformulação da política corporativa de segurança da informação do TCU,

aprovada na Resolução-TCU nº 126, de 3 de novembro de 1999. Esse

diagnóstico, analisado pela Secretaria-Geral da Presidência (Segepres),

e a recomendação da NBR ISO/IEC 27002:2005, substituta da NBR

ISO/IEC 17799:2005, de que a política de segurança da informação

seja analisada criticamente a intervalos planejados ou quando mudanças

significativas ocorrerem, motivaram a atualização da PCSI/TCU.

A formalização, a atualização e a divulgação da PCSI/TCU também

vão ao encontro das decisões do Tribunal, proferidas consistentemente

desde 2000, para que os entes fiscalizados elaborem, formalizem,

divulguem e mantenham atualizadas políticas de segurança da informação

norteadoras da gestão da segurança da informação nessas entidades.

Considerando que a NBR ISO/IEC 27002:2005, norma que estabelece

boas práticas em segurança da informação, recomenda revisões periódicas

da política de segurança da informação das instituições;

6 Tribunal de Contas da União

Considerando as recomendações resultantes do diagnóstico de maturidade

e aderência de processos de segurança da informação realizado no Tribunal;

[...]

1.3 Que assuntos são abordados na PCSI/TCU?

A política corporativa de segurança da informação não está restrita à

área de tecnologia da informação e aos recursos computacionais. Ela está

integrada ao negócio e às metas organizacionais, aos planos estratégicos

institucional e de informática, e ainda às políticas da organização sobre

segurança em geral.

O conteúdo de uma PCSI varia de acordo com o tipo de instituição,

área de atuação, cultura organizacional, grau de informatização, requisitos

de segurança, estágio de maturidade da segurança da informação, entre

outros aspectos. Na PCSI/TCU, constam tópicos comuns em políticas

de segurança da informação, recomendados pela norma da Associação

Brasileira de Normas Técnicas (ABNT) NBR ISO/IEC 27002:2005, tais

como: definição e objetivos de segurança da informação, responsabilidades

gerais na gestão de segurança da informação, menção às normas e

procedimentos complementares que apóiam a política, conseqüências de

violações das normas estabelecidas na política, necessidade de treinamento

e educação em segurança da informação, entre outros assuntos.

Normalmente, a política corporativa de segurança da informação

está relacionada a outros documentos que descrevem, com mais

detalhes e precisão, regras de acesso e uso, procedimentos de proteção

e recuperação, normas de classificação de informações, uso do correio

eletrônico e da Internet, trâmite de processos sigilosos, entre outras

diretrizes.


Art. 1° [...]

Parágrafo único. Integram, também, a PCSI/TCU normas gerais e

específicas de segurança da informação, bem como procedimentos

complementares, destinados à proteção da informação e à disciplina de sua

utilização, emanados no âmbito do Tribunal.

1.4 O que é informação?

Conjunto de dados, textos, imagens, métodos, sistemas, enfim,

qualquer forma de representação com significado, sem importar o suporte

em que esteja ou seja veiculado (papel, memória do computador, disquete,

linha telefônica).

Art. 3º Para os efeitos desta Resolução, entende-se por:

I – informação: conjunto de dados, textos, imagens, métodos, sistemas ou

quaisquer formas de representação dotadas de significado em determinado

contexto, independentemente do suporte em que resida ou da forma pela

qual seja veiculado; [...]

1.5 O que é segurança da informação?

Na época em que as informações eram armazenadas apenas

em papel, a segurança era relativamente simples. Bastava trancar os

documentos em algum lugar e restringir o acesso físico àquele local. Com

as mudanças tecnológicas e o uso de computadores de grande porte, a

estrutura de segurança ficou mais sofisticada, com controles lógicos, porém

ainda centralizados. Com a chegada dos computadores pessoais, das


telecomunicações e das redes de computadores, os aspectos de segurança

da informação tornaram-se mais complexos. Paralelamente, os sistemas

de informação também adquiriram maior importância nas organizações

modernas, já que, sem computadores e redes de comunicação, a prestação

de serviços de informação pode se tornar inviável.

As informações das organizações modernas, assim como os sistemas,

recursos e serviços relacionados, necessitam de ambientes controlados,

protegidos contra desastres naturais (incêndio, terremoto, enchente),

falhas estruturais (interrupção do fornecimento de energia elétrica,

sobrecargas elétricas), sabotagem, fraudes, acessos não autorizados (ex-

funcionários descontentes, invasores ou hackers1, espionagem industrial,

venda de informações confidenciais). Tudo isso para garantir a continuidade

do negócio da instituição.

Segurança da informação é, portanto, a proteção de informações,

sistemas, recursos e serviços de informação contra ameaças variadas, de

forma que a probabilidade e o impacto de incidentes de segurança nos

negócios da organização sejam minimizados.

Art. 3º [...]

II – segurança da informação: proteção da informação contra ameaças

para garantir a continuidade do negócio, minimizar os riscos e maximizar a

eficiência e a efetividade das ações do negócio; [...]

1 “Pessoa que tenta acessar sistemas sem autorização, usando técnicas próprias ou não,

no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros.”

(NBR ISO/IEC 27002:2005).


1.6 E o que é incidente em segurança da informação?

Incidente em segurança da informação é qualquer evento ou atitude

indesejável que potencialmente remove, desabilita, danifica ou destrói um

sistema, recurso ou serviço de informação. É qualquer evento adverso

capaz de explorar fragilidades ou deficiências nas medidas preventivas

de segurança de uma organização e causar danos, tais como modificação

de dados, indisponibilidade de sistemas de informação, divulgação de

informações confidenciais, fraude, perda de credibilidade, possibilidade

de processo legal contra a instituição e perda de clientes para a

concorrência.

Um incidente pode ser acidental (falhas de hardware ou software,

erros de programação, desastres naturais, erros do usuário, mensagem

secreta enviada a endereço incorreto) ou deliberado (roubo, espionagem,

fraude, sabotagem, invasão de hackers). Pode ser ocasionado por pessoa,

coisa ou evento capaz de causar dano a um recurso. Alguns exemplos

de incidentes em segurança da informação: vazamento de informações

voluntário ou involuntário, violação de integridade ou comprometimento

da consistência de dados, indisponibilidade dos serviços de informática,

acesso não autorizado a informações classificadas.

Art. 3º [...]

V – incidente em segurança da informação: qualquer indício de fraude,

sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha

probabilidade de comprometer as operações do negócio ou ameaçar a

segurança da informação; [...]


1.7 Por que é importante zelar pela segurança das informações?

Porque as informações, contidas ou não em sistemas computacionais,

são recursos patrimoniais críticos, importantes para qualquer organização,

tanto para a concretização de negócios como para a tomada de decisão

em questões governamentais, sociais, educativas, econômicas. Como

a sociedade moderna depende de informações para tomar decisões de

negócios ou de bem estar social, a segurança dessas informações deve

ser preservada.

Informações adulteradas, não disponíveis, ou sob conhecimento de

pessoas de má-fé podem comprometer instituições do mercado financeiro,

indústrias, bancos, sistemas de telecomunicações, de assistência médica,

enfim, podem afetar a sociedade de inúmeras maneiras.

O que aconteceria se informações institucionais caíssem nas mãos

da concorrência ou fossem corrompidas, apagadas ou adulteradas?

Quais seriam as conseqüências para a continuidade dos negócios da

organização? O vazamento de informações sobre os clientes de uma

empresa comprometeria sua credibilidade e daria oportunidades aos

concorrentes. O que dizer, então, do vazamento de informações sigilosas

em instituições governamentais? Não apenas a imagem da instituição

perante terceiros poderia ser afetada, como também o andamento dos

processos organizacionais. É possível inviabilizar a continuidade das

atividades de uma instituição se não for dada a devida atenção à segurança

de suas informações.


Ter uma política corporativa de segurança da informação é importante

para que a instituição declare sua visão quanto à segurança da informação.

Os motivos que levaram à formulação, em 1999, e atualização, em 2008,

da política corporativa de segurança da informação do Tribunal estão

expressos nos primeiros trechos da Resolução:

Considerando que o Tribunal gera, adquire ou absorve informações no

exercício de suas competências constitucionais, legais e regulamentares, e

que essas informações devem permanecer íntegras, disponíveis e, quando

for o caso, com o sigilo resguardado;

Considerando que as informações no Tribunal são armazenadas em

diferentes suportes, veiculadas por diferentes formas, tais como meio

impresso, eletrônico e microforma, e, portanto, vulneráveis a incidentes

como desastres naturais, acessos não autorizados, mau uso, falhas de

equipamentos, extravio e furto;

Considerando que a adequada gestão da informação precisa nortear todos

os processos de trabalho e unidades do Tribunal e deve ser impulsionada

por política corporativa de segurança da informação;

Considerando que a NBR ISO/IEC 27002:2005, norma que estabelece

boas práticas em segurança da informação, recomenda revisões periódicas

da política de segurança da informação das instituições;

Considerando as recomendações resultantes do diagnóstico de maturidade

e aderência de processos de segurança da informação realizado no Tribunal;

[...]


1.8 Qual o objetivo da segurança da informação?

A segurança da informação visa garantir a autenticidade, a

confidencialidade, a disponibilidade e a integridade das informações

processadas pela organização, independentemente do meio em que

residam ou transitem.

A expectativa de todo usuário de sistemas computacionais,

por exemplo, no que diz respeito a autenticidade, confidencialidade,

disponibilidade e integridade, é que as informações armazenadas hoje em

seu computador, recebidas de outra pessoa por meio eletrônico, tenham

sido encaminhadas realmente por essa pessoa e lá permaneçam, mesmo

depois de algumas semanas, sem que pessoas não autorizadas tenham

tido qualquer acesso a seu conteúdo. Em outras palavras, o usuário espera

que suas informações estejam disponíveis no momento e local que ele

determinar, que sejam fidedignas e mantidas fora do alcance e das vistas

de pessoas não autorizadas.

Na verdade, quando alguém perde uma informação em um sistema

computacional, não lhe interessa saber se o dado foi apagado por um

ex-funcionário insatisfeito com a instituição, por um vírus de computador,

falha de equipamento ou sobrecarga elétrica. O que importa é que o dado

foi adulterado ou perdido.

Essas expectativas dos usuários de sistemas computacionais podem

ser generalizadas a todos os usuários de informações e traduzidas em

objetivos de segurança da informação, tal como os mencionados no art.

2º da Resolução-TCU nº 217/2008.


Vale ressaltar que não basta definir objetivos e medidas de segurança

uma única vez. A revisão e a atualização periódicas, mencionadas no art.

9º da Resolução-TCU nº 217/2008, são imprescindíveis para a efetividade

da política de segurança da informação.

Art. 2º A PCSI/TCU alinha-se às estratégias do Tribunal e tem por

objetivo garantir a autenticidade, a confidencialidade, a disponibilidade e a

integridade das informações produzidas ou custodiadas pelo Tribunal.

Art. 9º As medidas de segurança da informação devem ser planejadas,

aplicadas, implementadas e, periodicamente, avaliadas de acordo com os

objetivos institucionais e os riscos para as atividades do TCU.

§ 1º Cabe ao Comitê de que trata o art. 18 desta Resolução elaborar

proposta e promover atualização periódica de plano com medidas que

garantam a continuidade das atividades do Tribunal e o retorno à situação

de normalidade em caso de desastre ou falhas nos recursos que suportam

os processos vitais de negócio do Tribunal.

1.8.1 O que é autenticidade de informações?

A garantia da veracidade da fonte das informações. Por meio da

autenticação, é possível confirmar a identidade da pessoa ou entidade que

presta informações, isto é, se ela é realmente quem diz ser.

Art. 5º São atributos inerentes à segurança da informação:

I – autenticidade: assegura a correspondência entre o autor de determinada

informação e a pessoa, processo ou sistema a quem se atribui a autoria;

[...]


1.8.2 O que é confidencialidade de informações?

A garantia de que somente pessoas autorizadas tenham acesso às

informações armazenadas em algum local ou transmitidas por meio de

redes de comunicação. Manter a confidencialidade pressupõe assegurar

que pessoas ou processos não tomem conhecimento de informações, de

forma acidental ou proposital, sem que possuam autorização para isso.

O princípio da confidencialidade é o objetivo de segurança da informação

mais conhecido.

Art. 4º A segurança da informação no Tribunal abrange aspectos físicos,

tecnológicos e humanos da organização e orienta-se pelos seguintes

princípios:

I – confidencialidade: garante que a informação seja acessada somente

pelas pessoas ou processos que tenham autorização para tal; [...]

1.8.3 O que é disponibilidade de informações?

A garantia de que as informações estejam acessíveis às pessoas

e aos processos autorizados, a qualquer momento requerido, durante o

período acordado pelos gestores da informação. Manter a disponibilidade

de informações pressupõe garantir a prestação contínua do serviço de

informações, sem interrupções no fornecimento de informações para

quem de direito. O foco deste princípio é prevenir, inclusive, que incidentes

deliberados ou maliciosos evitem ou dificultem o acesso de usuários

autorizados às informações. Para um usuário autorizado, um sistema de

informações não disponível, quando se necessita dele, pode ser tão ruim

quanto um sistema inexistente ou destruído.


Art. 4º [...]

II – disponibilidade: garante que as informações estejam acessíveis às

pessoas e aos processos autorizados, no momento requerido; [...]

1.8.4 O que é integridade de informações?

Evitar que informações sejam apagadas ou alteradas de qualquer

forma sem a permissão do gestor da informação. Em termos de

comunicação de dados, por exemplo, integridade refere-se à detecção, e

subseqüente correção, de alterações deliberadas ou acidentais nos dados

transmitidos, com a preocupação de garantir a equivalência entre os dados

transmitidos pelo emissor e os recebidos pelo destinatário. Em síntese,

integridade trata de fidedignidade de informações. Enquanto o princípio

da confidencialidade está voltado à leitura de informações, a integridade

preocupa-se com alteração, gravação ou exclusão de informações.

Art. 4º [...]

III – integridade: garante a não-violação das informações com intuito de

protegê-las contra alteração, gravação ou exclusão acidental ou proposital.

1.9 Que tipos de informações devem ser protegidos?

Diferentes tipos de informação devem ser protegidos de diferentes

maneiras. Por isso, a classificação das informações é um dos primeiros

passos para a implementação de uma política de segurança da informação.

Uma vez classificada a informação, quanto ao grau de confidencialidade,

criticidade, disponibilidade, integridade e prazo de retenção, pode-se definir


como tratá-la, e quais os mecanismos de segurança mais adequados para

protegê-la. Uma classificação de informações quanto à confidencialidade,

por exemplo, poderia agrupar as informações em três níveis: públicas, de

uso interno e sigilosas.

No caso do Tribunal, tanto as informações produzidas internamente,

como as aqui custodiadas, devem ser classificadas quanto ao grau de

confidencialidade, criticidade, disponibilidade, integridade e prazo de

retenção, observando-se as restrições impostas na política corporativa

de segurança da informação, no art. 8º, e em normas complementares.

O art. 10 da Resolução-TCU nº 217/2008 prevê a regulamentação da

classificação de informações no TCU.

Art. 8º O acesso às informações produzidas ou custodiadas pelo Tribunal, que

não sejam de domínio público, deve ser limitado às atribuições necessárias

ao desempenho das respectivas atividades dos usuários internos ou usuários

colaboradores.

§ 1º Qualquer outra forma de uso que extrapole as atribuições necessárias ao

desempenho das atividades dos usuários internos ou usuários colaboradores

necessitará de prévia autorização formal.

§ 2º O acesso, quando autorizado, dos usuários colaboradores ou usuários

externos a informações produzidas ou custodiadas pelo Tribunal que não

sejam de domínio público é condicionado ao aceite a termo de sigilo e

responsabilidade.

Art. 10. As informações produzidas ou custodiadas pelo Tribunal serão

classificadas em função do seu grau de confidencialidade, criticidade,

disponibilidade, integridade e prazo de retenção.


§ 1º A Assig, com o apoio, no que couber, da Comissão Permanente de

Avaliação de Documentos (CAD) e demais unidades pertinentes, submeterá,

até o final do segundo semestre de 2009, proposta de regulamentação

da classificação das informações ao Comitê de que trata o art. 18 desta

Resolução.

§ 2º A autorização, o acesso e o uso das informações produzidas ou

custodiadas pelo Tribunal devem ser controlados de acordo com a respectiva

classificação.

1.10 Quem está sujeito à PCSI do TCU?

As políticas, diretrizes, normas e procedimentos de segurança da

informação devem ser observados tanto pelo corpo técnico e gerencial

do Tribunal como por prestadores de serviços terceirizados, consultores

externos, estagiários ou qualquer pessoa física ou jurídica com acesso

autorizado às informações produzidas ou custodiadas pelo Tribunal. O art.

7º da Resolução-TCU nº 217/2008 classifica os tipos de usuários sujeitos

às diretrizes, normas e procedimentos de segurança de informação do

TCU, enquanto o art. 15 determina que contratos, convênios, acordos de

cooperação e outros instrumentos congêneres celebrados pelo Tribunal

também devem observar os dispositivos integrantes da PCSI/TCU.

Art. 7º Para fins de segurança da informação, os usuários classificam-se

em:

I – usuário interno: qualquer servidor ativo ou unidade do Tribunal que tenha

acesso, de forma autorizada, a informações produzidas ou custodiadas pelo

TCU;


II – usuário colaborador: prestador de serviço terceirizado, estagiário

ou qualquer outro colaborador do Tribunal que tenha acesso, de forma

autorizada, a informações produzidas ou custodiadas pelo Tribunal; e

III – usuário externo: qualquer pessoa física ou jurídica que tenha acesso, de

forma autorizada, a informações produzidas ou custodiadas pelo Tribunal e

que não seja caracterizada como usuário interno ou usuário colaborador.

§ 1º Os usuários internos, externos e colaboradores estão sujeitos às

diretrizes, normas e procedimentos de segurança de informação da PCSI/

TCU.

§ 2º Os usuários internos e colaboradores são responsáveis por garantir a

segurança das informações do TCU a que tenham acesso e por reportar

à Assig os incidentes em segurança da informação de que tenham

conhecimento.

Art. 15. Os contratos, convênios, acordos de cooperação e outros

instrumentos congêneres celebrados pelo Tribunal devem observar, no que

couber, o contido no artigo anterior e nos demais dispositivos integrantes

da PCSI/TCU.

1.11 Qual o papel da administração na elaboração e implantação da PCSI/TCU?

A PCSI, para que seja colocada em prática e encarada com

seriedade por todos os membros da organização, deve ter total apoio

da alta administração, a qual deve se comprometer em implantá-la.

Esse comprometimento deve ser expresso na política de tal forma que


os objetivos de segurança da informação sejam compatíveis com os

objetivos estratégicos da organização.

O sucesso da PCSI/TCU está diretamente relacionado com o

alinhamento da política às estratégias do Tribunal, com o envolvimento e a

atuação da administração, comprometida com a elaboração e a implantação

da política, por meio do Comitê de Segurança da Informação (CSI) e

das Secretarias-Gerais da Presidência (Segepres), de Administração

(Segedam) e de Controle Externo (Segecex), e com a conscientização de

todos os envolvidos. Tais assuntos são tratados nos arts. 2º, 6º e 18 da

Resolução-TCU nº 217/2008.

Art. 2º A PCSI/TCU alinha-se às estratégias do Tribunal e tem por

objetivo garantir a autenticidade, a confidencialidade, a disponibilidade e a

integridade das informações produzidas ou custodiadas pelo Tribunal.

Art 6º Compete à Secretaria-Geral da Presidência (Segepres), por meio

da Assessoria de Segurança da Informação e Apoio à Governança de TI

(Assig):

I – coordenar e acompanhar a implementação da PCSI/TCU e normas

complementares;

II – homologar processos de trabalho e procedimentos operacionais

necessários; e

III – monitorar e avaliar periodicamente as práticas de segurança da

informação adotadas pelo Tribunal.


Parágrafo único. Cabe às demais unidades do Tribunal, no âmbito de suas

competências, a implementação e o acompanhamento de ações para

segurança da informação.

Art. 18. Fica instituído o Comitê de Segurança da Informação (CSI), órgão

colegiado de natureza consultiva e de caráter permanente.

§ 1º O Comitê tem por finalidade formular e conduzir diretrizes para a PCSI/

TCU, analisar periodicamente sua efetividade, propor normas e mecanismos

institucionais para melhoria contínua, bem como assessorar, em matérias

correlatas, a Comissão de Coordenação Geral (CCG) e a Presidência do

Tribunal.

§ 2º Compete também ao Comitê apresentar proposta de revisão da PCSI/

TCU, no máximo a cada cinco anos, de modo a atualizar a política frente a

novos requisitos corporativos.

§ 3º A composição e os regulamentos do Comitê são estabelecidos por ato

da Presidência.

1.12 Quem são os responsáveis por elaborar e manter a PCSI/TCU?

As boas práticas em segurança da informação recomendam que

exista, na estrutura da organização, uma área responsável pela segurança de

informações. Essa área deve iniciar o processo de elaboração da política de

segurança da informação, coordenar sua implantação, aprovação e revisão,

e cuidar da divulgação e aplicação correta da política, de forma que todos,

funcionários, fornecedores ou clientes, entendam suas responsabilidades

com relação à segurança de informações na organização.


É interessante que haja linha hierárquica direta com a alta gerência

para evitar que as recomendações dessa área sejam ignoradas pelas

outras gerências operacionais. Seguindo essa recomendação, a Resolução-

TCU nº 217/2008 estabelece, em seus arts. 6º e 18, que esse papel seja

desempenhado pela Secretaria-Geral da Presidência (Segepres), por meio


(Assig), e pelo Comitê de Segurança da Informação (CSI).

Vale salientar, também, que pessoas de áreas críticas da organização,

como a alta administração, gerentes de unidades e gestores de sistemas

informatizados devem participar do processo de elaboração da política.

Além disso, é recomendável que a política seja aprovada pelo mais alto

dirigente da organização. No caso do TCU, houve a participação de

representantes das três Secretarias-Gerais na elaboração da minuta de

política corporativa de segurança da informação, aprovada pela Resolução-

TCU nº 217/2008.

Art 6º Compete à Secretaria-Geral da Presidência (Segepres), por meio


(Assig):

I – coordenar e acompanhar a implementação da PCSI/TCU e normas

complementares;

II – homologar processos de trabalho e procedimentos operacionais

necessários; e

III – monitorar e avaliar periodicamente as práticas de segurança da

informação adotadas pelo Tribunal.


Parágrafo único. Cabe às demais unidades do Tribunal, no âmbito de suas

competências, a implementação e o acompanhamento de ações para

segurança da informação.

Art. 18. Fica instituído o Comitê de Segurança da Informação (CSI), órgão

colegiado de natureza consultiva e de caráter permanente.

§ 1º O Comitê tem por finalidade formular e conduzir diretrizes para a PCSI/

TCU, analisar periodicamente sua efetividade, propor normas e mecanismos

institucionais para melhoria contínua, bem como assessorar, em matérias

correlatas, a Comissão de Coordenação Geral (CCG) e a Presidência do

Tribunal.




§ 3º A composição e os regulamentos do Comitê são estabelecidos por ato

da Presidência.

1.13 Os usuários são responsáveis pela segurança das informações do TCU?

Os usuários internos e colaboradores são a ponta da estrutura

da segurança da informação. Devem seguir as orientações da política

de segurança estabelecida e reportar os incidentes em segurança da

informação de que tenham conhecimento. Você, usuário interno, prestador

de serviço terceirizado, estagiário ou qualquer outro colaborador do

Tribunal também é responsável por garantir a segurança das informações

do TCU.


Ao tomar conhecimento de um incidente de segurança, é preciso

relatar tal fato à área competente para que verifique suas causas,

conseqüências e circunstâncias em que ocorreu. Um incidente de segurança

pode decorrer de um acidente, erro ou desconhecimento da política de

segurança da informação, como também de negligência, ação deliberada

e fraudulenta. Essa averiguação possibilita que vulnerabilidades até então

desconhecidas pela instituição passem a ser consideradas, e induzam, se

for o caso, alterações na política.

Art. 7º [...]




conhecimento.

1.14 Há outros responsáveis em relação à segurança da informação na PCSI/TCU?

Na PCSI/TCU, ainda são responsáveis pela segurança da

informação os gestores e custodiantes de informações, dirigentes de

unidades e demais chefias do Tribunal (arts. 3º e 13 da Resolução-TCU

nº 217/2008).

O gestor da informação é responsável tanto pela produção de

informações como pelo tratamento dispensado a informações recebidas

de pessoas ou entidades externas ao TCU, enquanto que o custodiante


é aquele que tem a posse temporária da informação. Aos dirigentes de

unidades e demais chefias do Tribunal cabe conscientizar usuários, adotar

práticas de segurança da informação e tomar medidas administrativas no

âmbito da sua unidade.

Art. 3º [...]

III – gestor da informação: unidade ou projeto do Tribunal que, no exercício

de suas competências, é responsável pela produção de informações ou

pelo tratamento, ainda que temporário, de informações de propriedade de

pessoa física ou jurídica entregues ao Tribunal;

IV – custodiante: pessoa física, unidade ou projeto do Tribunal que detém

a posse, mesmo que transitória, de informação produzida ou recebida pelo

Tribunal; [...]

Art. 13. São responsabilidades dos dirigentes das unidades e demais chefias

do Tribunal, no que se refere à segurança da informação:

I – conscientizar usuários internos e colaboradores sob sua supervisão em

relação aos conceitos e às praticas de segurança da informação;

II – incorporar aos processos de trabalho de sua unidade, ou de sua área,

práticas inerentes à segurança da informação; e

III – tomar as medidas administrativas necessárias para que sejam aplicadas

ações corretivas nos casos de comprometimento da segurança da informação

por parte dos usuários internos e colaboradores sob sua supervisão.


1.15 Na PCSI/TCU, quais são as responsabilidades do gestor da informação?

Partindo do princípio de que toda informação tem um dono (ou gestor),

nada mais acertado do que dar-lhe a oportunidade e a responsabilidade

de classificá-la, pois é a pessoa com maiores condições de aferir quão

sensitiva é a informação.

Além de classificar informações, o gestor deve analisar impactos

de falhas de segurança, estabelecer requisitos de segurança, determinar

procedimentos e critérios de acesso, e propor regras para uso das

informações por ele geridas. Vale ressaltar que, no caso de informações

externas, as medidas de segurança a serem tomadas pelo gestor dessas

informações devem também atender aos requisitos de segurança definidos

pela pessoa física ou jurídica externa que as forneceu.

Art. 11. São responsabilidades do gestor da informação, no que concerne às

informações sob sua gestão, produzidas ou custodiadas pelo Tribunal:

I – garantir a segurança das informações;

II – definir procedimentos, critérios de acesso e classificar as informações,

observados os dispositivos legais e regimentais relativos ao sigilo e a outros

requisitos de classificação pertinentes; e

III – propor regras específicas ao uso das informações.

§ 1º As informações recebidas de pessoa física ou jurídica externa ao Tribunal

serão submetidas, adicionalmente, a medidas de segurança da informação

compatíveis com os requisitos pactuados com quem as forneceu.


§ 2º Quando se tratar de informação sob a forma de sistema, serviço ou

outra espécie de solução de tecnologia da informação, a designação do

gestor da informação e a definição de suas responsabilidades ocorrerão

mediante ato da Presidência.

§ 3º O Presidente, Ministros e Auditores podem indicar, orientar e autorizar,

a qualquer tempo, procedimentos que visem garantir a segurança da

informação, nos processos e documentos de sua competência, a serem

seguidos pelos gestores da informação pertinentes.

1.16 Na PCSI/TCU, quais são as responsabilidades do custodiante da informação?

De acordo com o art. 12 da Resolução-TCU nº 217/2008, o custodiante,

como detentor da posse, mesmo que transitória, da informação, se

responsabiliza por garantir sua segurança. Para isso, segue os critérios de

segurança definidos pelo gestor da informação e lhe comunica qualquer

situação ou limitação que possa comprometer o cumprimento desses

critérios e, conseqüentemente, a segurança da informação.

Art. 12. São responsabilidades do custodiante da informação:

I – garantir a segurança da informação sob sua posse, conforme os critérios

definidos pelo respectivo gestor da informação;

II – comunicar tempestivamente ao gestor sobre situações que comprometam

a segurança das informações sob custódia; e


III – comunicar eventuais limitações para cumprimento dos critérios definidos

pelo gestor para segurança da informação, para que este decida quanto à

cessão ou não da informação.

1.17 A PCSI/TCU trata de direitos autorais?

Em seu art. 14, a Resolução-TCU nº 217/2008 estabelece

que informações produzidas por unidades do Tribunal, servidores e

colaboradores, no exercício de suas funções, são de propriedade intelectual

do TCU. Da mesma forma, a regra vale para informações produzidas para

uso exclusivo do TCU por prestador de serviço, o qual deverá guardar sigilo

dessas informações. No art. 15, a Resolução determina que contratos,

convênios, acordos de cooperação e outros instrumentos congêneres

celebrados pelo Tribunal também devem observar o art. 14 e os demais

dispositivos integrantes da PCSI/TCU.

Art. 14. As informações produzidas por usuários internos e colaboradores,

no exercício de suas funções, são patrimônio intelectual do TCU e não cabe

a seus criadores qualquer forma de direito autoral.

§1º Quando as informações forem produzidas por terceiros para uso

exclusivo do Tribunal, instrumento próprio obrigará os criadores ao sigilo

permanente do conteúdo dos produtos.

§2º É vedada a utilização das informações a que se refere o parágrafo

anterior em quaisquer outros projetos ou atividades de uso diverso ao

estabelecido pelo TCU, salvo autorização específica pelos Ministros e

Auditores, nos processos e documentos de sua competência, ou pelo

Presidente, nos demais casos.





da PCSI/TCU.

1.18 Quais medidas de segurança da informação mencionadas na PCSI/TCU serão regulamentadas

em documentos complementares?

Como toda política, a PCSI/TCU deve ser clara e objetiva,

concentrar-se em princípios e deixar os detalhes para outros documentos

mais específicos, os quais também deverão ser formalizados. A política é

o documento principal de um conjunto de documentos com informações

cada vez mais detalhadas sobre procedimentos e padrões de segurança

da informação a serem aplicados em determinadas circunstâncias.

Para que o documento da política de segurança da informação não

seja extenso, é comum citar, na política, a existência de outras normas inter-

relacionadas, procedimentos, práticas e padrões, em que são descritas

tanto regras detalhadas para proteção, uso e gestão da informação quanto

responsabilidades de usuários, dirigentes, gestores e custodiantes da

informação. Tais documentos complementares, como política de senhas,

política de controle de acesso, política de cópias de segurança de arquivos,

política de contratação e instalação de equipamentos e software, são

atualizados com maior freqüência.

Na Resolução-TCU nº 217/2008, medidas de segurança da

informação sobre acesso a informações (art. 8º), planos de continuidade

de negócios e de divulgação (art. 9º), classificação da informação (art.


10), responsabilidades quanto à segurança da informação (arts. 11 a

13), direitos autorais (arts. 14 e 15), e uso de recursos de tecnologia

da informação (art. 16), e outras não mencionadas expressamente na

Resolução, serão regulamentadas por normas complementares.

Art. 1° [...]

Parágrafo único. Integram, também, a PCSI/TCU normas gerais e

específicas de segurança da informação, bem como procedimentos

complementares, destinados à proteção da informação e à disciplina de sua

utilização, emanados no âmbito do Tribunal.

Art. 8º O acesso às informações produzidas ou custodiadas pelo Tribunal, que

não sejam de domínio público, deve ser limitado às atribuições necessárias

ao desempenho das respectivas atividades dos usuários internos ou usuários

colaboradores [...]

Art. 9º As medidas de segurança da informação devem ser planejadas,

aplicadas, implementadas e, periodicamente, avaliadas de acordo com os

objetivos institucionais e os riscos para as atividades do TCU [...]

Art. 10. As informações produzidas ou custodiadas pelo Tribunal serão

classificadas em função do seu grau de confidencialidade, criticidade,

disponibilidade, integridade e prazo de retenção [...]

Art. 11. São responsabilidades do gestor da informação, no que concerne às

informações sob sua gestão, produzidas ou custodiadas pelo Tribunal [...]

Art. 12. São responsabilidades do custodiante da informação [...]



do Tribunal, no que se refere à segurança da informação [...]

Art. 14. As informações produzidas por usuários internos e colaboradores,

no exercício de suas funções, são patrimônio intelectual do TCU e não cabe

a seus criadores qualquer forma de direito autoral [...]




da PCSI/TCU.

Art. 16. O uso de recursos de tecnologia da informação do TCU será

regulamentado em norma específica, respeitando-se os dispositivos legais.

1.19 Uma vez definida, a PCSI/TCU pode ser alterada?

A política corporativa de segurança da informação não só pode

ser alterada, como deve passar por processo de revisão que garanta sua

reavaliação a qualquer mudança que afete a análise de risco original,

tais como: incidente de segurança significativo, novas vulnerabilidades,

mudanças organizacionais ou na infra-estrutura tecnológica. Além disso,

deve haver análise periódica da efetividade da política, demonstrada pelo

tipo, quantidade e impacto dos incidentes de segurança registrados. É

desejável, também, que sejam avaliados o custo e o impacto dos controles

previstos para a eficiência do negócio, a fim de que a política não seja

comprometida pelo excesso ou escassez de controles. Na Resolução-TCU

nº 217/2008, em seu art. 18, está prevista a atualização da política de

segurança no máximo a cada cinco anos.


Esta nova edição da PCSI/TCU substitui a versão anterior, editada

na Resolução – TCU nº 126, de 3 de novembro de 1999.

Art. 18 [...]




1.20 A quem a PCSI/TCU deve ser divulgada?

A ampla divulgação da PCSI/TCU a usuários internos e

colaboradores, prevista no artigo 9º da Resolução-TCU nº 217/2008, é um

passo indispensável para que o processo de implantação tenha sucesso.

Políticas de segurança da informação, de uma maneira geral, devem ser

de conhecimento de todos que interagem com a organização e que, direta

ou indiretamente, são por ela afetados. É importante, ainda, que a política

esteja permanentemente acessível a todos os envolvidos.

Art. 9º [...]

§ 2º Ações permanentes de divulgação, treinamento, educação e

conscientização dos usuários, em relação aos conceitos e às praticas de

segurança da informação em toda sua abrangência, devem ser coordenadas

pela Assig, com o apoio do Instituto Serzedello Corrêa e das demais

unidades pertinentes.


1.21 O que fazer quando a PCSI/TCU for violada?

De acordo com a Resolução-TCU nº 217/2008, é responsabilidade

dos usuários internos e colaboradores reportar os incidentes em

segurança da informação de que tenham conhecimento (art. 7º),

enquanto que aos dirigentes de unidades e demais chefias do Tribunal

cabe tomar medidas para que sejam aplicadas ações corretivas (art. 13).

A violação da política pode acarretar desde advertência verbal ou escrita

até ação judicial (art. 17).

Art. 7º [...]




conhecimento.


do Tribunal, no que se refere à segurança da informação [...]

III – tomar as medidas administrativas necessárias para que sejam aplicadas

ações corretivas nos casos de comprometimento da segurança da informação

por parte dos usuários internos e colaboradores sob sua supervisão.

Art. 17. A não-observância aos dispositivos da PCSI/TCU pode acarretar,

isolada ou cumulativamente, nos termos da legislação aplicável, sanções

administrativas, civis e penais, assegurados aos envolvidos o contraditório

e a ampla defesa.


1.22 Referências

1. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002 -

Tecnologia da informação: técnicas de segurança - código de prática para

a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 120p.

2. BRASIL. Tribunal de Contas da União. Boas práticas em segurança da

informação. 2ª ed. Brasília: TCU, 2007. 70p.

3. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de

Janeiro: Axcel Books, 2000. 218p.


Responsabilidade pelo conteúdo

Secretaria-Geral da Presidência

Assessoria em Segurança da Informação e Apoio à

Governança de Tecnologia da Informação

Responsabilidade editorial

Secretaria-Geral da Presidência

Instituto Serzedello Corrêa

Centro de Documentação

Editora do TCU

Capa

Brenda Oliveira Kelly

Impresso pela Sesap/Segedam

tribunal de contas da união -...

Documents