2. Panorama global da segurança da informação
Transcript of 2. Panorama global da segurança da informação
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Relatório de Auditoria nº 01/2015
1. Introdução
Este relatório consolida as avaliações da auditoria de segurança da informação (SI), prevista no Plano Anual de Controle Interno (PACI) de 2014, que realizou um levantamento sobre as normas e práticas adotadas na Casa, considerando os preceitos do processo do COBIT 5 DSS05 – Gerir serviços de segurança.
Essa ação de controle foi iniciada por uma busca de fontes de boas práticas globais e nacionais sobre o tema da segurança da informação, além de uma varredura quanto ao seu contexto na administração pública brasileira, conforme se verá a seguir.
2. Panorama global da segurança da informação
Em 2014 a empresa Price-Waterhouse-Coopers (PwC), uma das maiores prestadoras de serviços nas áreas de auditoria, asseguração, assessoria e consultoria do mundo, conduziu mais uma edição do seu levantamento global do estado da segurança da informação: The Global State of Information Security Survey - 20151. Os resultados da pesquisa são baseados nas respostas de mais de 9.700 executivos da área de TI e de segurança da informação em mais de 150 países. Na pesquisa, a América do Norte responde por 35% dos respondentes; a Europa, por 34%; a Ásia, por 14%; a América do Sul, por 13%; a África e o Oriente Médio, por 4%.
Segundo a pesquisa, a taxa média de crescimento anual de incidentes de segurança da informação detectados foi de 66%, ano após ano, desde 2009, registrando quase quarenta e três milhões de eventos em 2014. Além disso, os funcionários das organizações consultadas foram mais citados como os responsáveis por incidentes dessa natureza. Não são, entretanto, os únicos que representam ameaças nas organizações: um número crescente de respondentes da pesquisa vem atribuindo a atuais e a antigos prestadores de serviços2 a responsabilidade por incidentes de segurança.
1 Disponível em: <http://www.pwc.com/gx/en/consulting-services/information-security-survey/>. Acesso em: 26 maio 2015. 2 Os incidentes de segurança podem ser ainda mais graves nos casos em que prestadores de serviços, atuais ou com vínculos encerrados, possuem acesso aos sistemas e à rede corporativos da organização.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
A pesquisa mostra ainda que os incidentes de origem interna são mais dispendiosos e prejudiciais do que aqueles praticados por atores externos. Funcionários e prestadores de serviços, com vínculos vigentes ou expirados, foram apontados pelos respondentes como os maiores responsáveis por incidentes dentro das organizações envolvendo quebra de segurança da informação.
Garantir que a informação esteja segura não é um problema de responsabilidade apenas das áreas de tecnologia e/ou de segurança das organizações. Ao contrário, é assunto que envolve todos os escalões. Deve-se observar que altos executivos ao redor do mundo claramente reconhecem que as ameaças cibernéticas tornaram-se um sério problema de gestão corporativa de riscos.
Nesse sentido, de acordo com 60% dos respondentes, os gastos com segurança no próximo ano irão aumentar, ao passo que menos de 10% afirmam o contrário. Além disso, mais de 60% afirmam ter medido e revisado suas políticas e procedimentos de segurança ao longo do ano anterior.
Outro aspecto abordado na pesquisa diz respeito às medidas implantadas para prevenção, proteção, detecção e resposta a incidentes de segurança da informação.
Como exemplos de medidas de prevenção, aparecem entre as mais citadas o alinhamento entre a estratégia de segurança da informação e as necessidades específicas do negócio, além da existência de um responsável pela segurança da informação corporativa (Chief Information Security Officer – CISO) com, respectivamente, 60% e 73% das respostas3. Também merecem menção as medidas de segurança de acesso, com 59%, e os programas de conscientização de funcionários, com 51%.
Relativamente à proteção do acervo informacional, a identificação de ativos da informação sensíveis (conhecimentos sensíveis4) e a classificação dos dados segundo seu valor para os negócios apareceram, respectivamente, com 54% e 63% das respostas. São resultados significativos, levando-se em conta
3 Foi facultada a escolha de mais de uma opção entre as apresentadas. Por essa razão, os totais obtidos não necessariamente somam 100%. 4A Agência Brasileira de Inteligência (ABIN) define conhecimento sensível como todo o conhecimento estratégico que, em função de seu potencial no aproveitamento de oportunidades ou desenvolvimento nos ramos econômico, político, científico, tecnológico, militar e social, possa beneficiar a sociedade e o Estado brasileiros. Disponível em: <http://www.abin.gov.br/modules/mastop_publish/?tac=237>. Acesso em: 26 maio 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
que tais medidas são de difícil implantação e execução, exigindo considerável grau de maturidade organizacional, notadamente no que diz respeito à gestão de processos.
No tocante às medidas de detecção de ameaças à segurança da informação, as ferramentas de detecção de intrusão, detecção de código malicioso e de acesso ou uso não autorizado, monitoramento e análise contínuos, e de identificação de vulnerabilidades e de equipamentos não autorizados foram citadas por aproximadamente 55% das respostas.
Com relação às medidas de resposta a incidentes de segurança, merece destaque a existência de processo de gestão específico em mais de 60% das organizações dos respondentes da pesquisa. A utilização de ferramentas do tipo Security Information and Event Management (SIEM)5, para gestão de eventos e informações de segurança, foi citada em mais de 60% das respostas. Sistemas dessa natureza são complexos e sua implantação e uso também exigem considerável grau de maturidade da organização.
Com base no contínuo aumento dos incidentes de segurança da informação, bem como no incremento das associações e dependências entre os diversos sistemas de negócio, o relatório da PwC ressalta a necessidade de mudança de enfoque quanto à questão da SI. Recomenda, assim, que se abandone a abordagem clássica, baseada em grande medida na prevenção e controle passivo, em prol de uma abordagem sistemática baseada na avaliação dos riscos de segurança da informação aos quais as instituições estão sujeitas. Dessa forma, os ativos de maior valor para a organização e as ameaças mais relevantes serão priorizados.
Segundo o relatório, para alcançar essa nova visão, as instituições devem rever suas estratégias de segurança, abordando de forma mais efetiva as atividades de gestão corporativa de riscos em conjunto com as tecnologias, com os processos de trabalho e com as habilidades das pessoas. É citado o modelo de referência para segurança cibernética do NIST6 (Cybersecurity Framework7) como um modelo efetivo para essa nova abordagem de segurança baseada em riscos, ressaltando que ele pode ser utilizado mundialmente, apesar de ter sido
5 Security Information and Event Management (SIEM): sistemas de análise e correlação de informações de segurança - fornecem análise de alertas de segurança gerados por equipamentos e aplicações ligados em rede. 6 National Institute of Standards and Technology (NIST): agência do Departamento de Comércio norte-americano, fundada pelo Congresso Nacional em 1901, com a finalidade de promover a padronização, a inovação e a competitividade das empresas daquele país em mercados globais. Disponível em: <http://www.nist.gov>. Acesso em: 22 maio 2015. 7 Disponível em: <http://www.nist.gov/cyberframework>. Acesso em: 22 maio 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
desenvolvido inicialmente para os provedores de infraestrutura crítica dos Estados Unidos da América. Segundo a pesquisa realizada, 29% dos respondentes estadunidenses já iniciaram a adoção desse modelo de referência, enquanto outros 25% pretendem fazê-lo em breve.
O relatório da PwC ressalta ainda que mesmo que essa abordagem centrada na gestão dos riscos de SI não os elimine totalmente, ela pode possibilitar que as organizações gerenciem as ameaças por meio de um processo de tomada de decisão melhor fundamentado, além de aumentar a eficiência das práticas de segurança e de criar um ambiente de negócios mais robusto.
3. Padrões em segurança da informação e a família d e normas ISO/IEC 27000
Nas organizações contemporâneas, caracterizadas pelas acentuadas interações internas e externas, a informação se tornou o ativo mais importante para os negócios, necessitando ser adequadamente protegida em todas as etapas de seu ciclo de vida.
As organizações públicas, além das demandas individuais e coletivas pelo fornecimento e prestação de produtos e serviços cada vez mais ágeis, possuem obrigações legais (vide, por exemplo, a Lei de Acesso à Informação - LAI) relativas tanto à transparência de seus atos administrativos quanto à informação que lhes dá suporte, seja ela produzida, trafegada, armazenada, compartilhada, classificada ou descartada.
Nesse sentido, a proteção à informação em instituições como a Câmara dos Deputados adquire contornos singulares, pois ao mesmo tempo em que se deve preservar ao máximo a informação sensível frente a uma diversidade de riscos, esteja ela em meio digital ou não, deve-se, por outro lado, garantir a divulgação da informação de interesse público de forma tempestiva e transparente.
Em resposta a esses desafios, as diversas comunidades científicas e profissionais das áreas de tecnologias de informação e comunicação (TI ou TIC), que são as responsáveis pelos principais meios de armazenamento e de compartilhamento da informação desde meados do século passado, vêm continuamente discutindo e amadurecendo conceitos e práticas para as melhores abordagens corporativas da segurança da informação nas esferas pública e privada.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Um dos melhores exemplos globais da consolidação de boas práticas a respeito da segurança da informação é representado pela família 27000 de normas técnicas publicadas conjuntamente pela International Standards Organization (ISO) e pela International Electrotechnical Commission (IEC). Há mais de quarenta normas publicadas e algumas delas foram traduzidas e referendadas no Brasil pela Associação Brasileira de Normas Técnicas (ABNT). Essas normas trazem uma série de definições, princípios, padrões e diretrizes que podem ser adotados por organizações de qualquer categoria ou porte, visando à melhoria da segurança de suas informações, dos sistemas e da infraestrutura de tratamento ou de armazenamento.
Um dos principais objetivos da família 27000 é a criação, no ambiente corporativo, de um Sistema de Gestão de Segurança da Informação (SGSI). De acordo com a definição da norma ABNT NBR ISO/IEC 27001, um SGSI é um sistema, não necessariamente informatizado, de “gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação”, incluindo estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
As principais normas sobre segurança da informação e temas correlatos que já foram referendadas no Brasil são mostradas no Quadro 1.
Quadro 1 – Principais normas sobre segurança da informação e temas correlatos já referendadas pela ABNT
Norma Tema Ano da edição ou da
última revisão
ISO Guia 73 Vocabulário de gestão de riscos 2009
NBR ISO/IEC 27001
Requisitos para a implementação de um sistema de gestão de segurança da informação
2013
NBR ISO/IEC 27002
Código de prática para controles de segurança da informação
2013
NBR ISO/IEC 27003
Diretrizes para implantação de um sistema de gestão da segurança da informação
2011
NBR ISO/IEC 27004
Parâmetros para a medição da gestão da segurança da informação
2010
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Norma Tema Ano da edição ou da
última revisão
NBR ISO/IEC 27005
Gestão de riscos de segurança da informação 2011
NBR ISO/IEC 27007
Diretrizes para auditoria de sistemas de gestão da segurança da informação
2012
NBR ISO/IEC 27011
Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
2009
NBR ISO/IEC 27014
Governança de segurança da informação 2013
NBR ISO/IEC 27031
Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação
2015
NBR ISO 31000 Gestão de riscos - Princípios e diretrizes 2009
NBR ISO 38500 Governança corporativa de tecnologia da informação
2009
Fonte: Associação Brasileira de Normas Técnicas. Disponível em: <www.abntcatalogo.com.br>. Acesso em: 26 maio 2015.
Observa-se, dessa forma, que a família de normas 27000 compreende um corpo robusto de práticas e definições, sendo adotada em todo o mundo.
A fim de aclarar as considerações que serão tecidas neste relatório, cabe apresentar uma definição sintética do que seja a segurança da informação do ponto de vista dessas normas:
Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio (Norma ABNT ISO/IEC 27002, 2013, p. x).
Observa-se, portanto, que a SI visa mitigar os riscos aos quais a informação está sujeita e, desse modo, mitigar os riscos para o próprio negócio,
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
otimizando os investimentos e recursos (pessoas, processos, tempo, finanças) alocados.
Outra preocupação constante da SI é o equilíbrio necessário e essencial entre as práticas voltadas à segurança e os requisitos e necessidades do negócio: busca-se proporcionar a segurança de modo tal a não gerar impactos sobre as operações dos usuários, clientes e demais partes interessadas.
Depreende-se do acima exposto que o objetivo da segurança da informação é proporcionar confiabilidade aos dados no ambiente corporativo. Isso permite a tomada de decisões de modo ágil e associado às necessidades da organização e daqueles com quem ela interage.
4. Segurança da informação sob a ótica do COBIT 5
O COBIT 5, conforme já foi mencionado em relatórios de auditorias anteriores, é um modelo de referência que visa auxiliar as organizações a atingir os objetivos de governança e de gestão de suas áreas de TI. Pode-se dizer que o COBIT, desenvolvido e mantido pela Information Systems Audit and Control Association (ISACA, entidade sem fins lucrativos), auxilia as organizações a criar valor a partir da TI ao entregarem os resultados nos prazos definidos e com a qualidade esperada, balanceando os benefícios às partes interessadas com a otimização de recursos e mantendo os riscos em níveis aceitáveis.
O COBIT 5, a partir do princípio8 que prevê “Aplicar um modelo único e integrado de governança e de gestão”, consolidou no documento COBIT 5 for Security9 um conjunto de boas práticas, antes dispersas em outros modelos da ISACA, como o Business Model for Information Security (BMIS), o Risk IT e o Val IT. Todos eles têm orientações advindas dos principais padrões e normas relacionados à segurança da informação, como a família de normas ISO/IEC
8 O COBIT 5 se baseia em cinco princípios para a governança e a gestão da TI:
I. atender às necessidades das partes interessadas;
II. cobrir toda a organização (fim a fim);
III. aplicar um modelo único e integrado de governança e de gestão;
IV. permitir uma abordagem holística aos temas de governança e de gestão;
V. distinguir de modo eficiente as atividades de Governança e de Gestão (COBIT 5 - Modelo Corporativo para Governança e Gestão de TI da Organização, 2012, p. 15).
9 COBIT 5 for Security é um dos guias profissionais da família de produtos do COBIT 5 com foco em segurança da informação, fornecendo informações detalhadas e práticas para os profissionais dessa área e para outras partes interessadas da organização.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
27000, o Standard of Good Practice for Information Security do Information Security Forum (ISF)10 e o SP800-53ª do NIST.
O documento COBIT 5 for Security define o objetivo da segurança da informação da seguinte forma:
Assegurar que, dentro da organização, a informação está protegida contra divulgação para usuários não autorizados (confidencialidade), contra a modificação imprópria (integridade) e contra o não acesso quando necessário (disponibilidade) (ISACA, 2012, p. 19, tradução própria).
O documento detalha cada um dos habilitadores11 de acordo com as suas perspectivas frente à segurança da informação, como pode ser observado nos exemplos descritos no Quadro 2.
Quadro 2 – Os sete habilitadores do COBIT 5 e exemplos relacionados à Segurança da Informação
Habilitador Definição Exemplos relacionados à
Segurança
Exemplos na Câmara dos Deputados
Princípios, políticas e modelos
São meios para a tradução do comportamento desejado em orientações práticas para a gestão cotidiana
Princípios: São estruturados em três atividades:
(1) apoiar o negócio: foco no negócio; conformidade com requisitos legais; provimento de informação precisa e em tempo hábil sobre o desempenho da segurança da informação; avaliação das ameaças presentes e futuras relacionadas à informação; promoção da melhoria contínua em segurança da informação;
Atos da Mesa n. 45, 46, 47, 48 e 49, todos de 2012
Portarias da Diretoria-Geral n. 438, 439, 440 e 441, todas de 2012
Portaria da Diretoria-Geral n. 158, de 2015
10 Information Security Forum: organização sem fins lucrativos, contando com empresas de todo o globo, com vistas a investigar, esclarecer e resolver temas relacionados à segurança da informação, pela adoção de boas práticas, processos e soluções que atendam as necessidades de negócios de seus membros. Disponível em: <https://www.securityforum.org/>. Acesso em: 26 maio 2015. 11 Habilitadores (do inglês enablers) são, sob a ótica do COBIT 5, elementos facilitadores da implementação da governança e da gestão da informação.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Habilitador Definição Exemplos relacionados à
Segurança
Exemplos na Câmara dos Deputados
(2) defender o negócio: adoção de uma abordagem baseada em riscos; proteção da informação classificada; foco nas aplicações críticas ao negócio; desenvolvimento de sistemas de forma segura;
(3) promover o comportamento responsável em segurança da informação: atuar de forma ética e profissional; fomentar uma cultura positiva de segurança da informação.
Políticas: Segurança da informação; Controle de acesso; Segurança da informação pessoal; Segurança da informação física e ambiental; Gestão de Incidentes; Continuidade de negócios e recuperação de desastres; Gestão de ativos; Aquisição de sistemas de informação, desenvolvimento de software e manutenção; Gestão de fornecedores; Gestão de operação e comunicação; Conformidade; Gestão de riscos
Processos Descrevem um conjunto organizado de
Processos principais do COBIT 5 relacionados à segurança da informação:
Uma vez que a modelagem de processos ainda
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Habilitador Definição Exemplos relacionados à
Segurança
Exemplos na Câmara dos Deputados
práticas e atividades para o atingimento de determinados objetivos e produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI
APO13 – Gerir Segurança, DSS04 – Gerir Continuidade e DSS05 – Gerir Serviços de Segurança
Todos os outros processos do COBIT 5 fornecem ou recebem subsídios de segurança da informação, tornando esse elemento essencial à governança e à gestão da informação organizacional
não é largamente utilizada na Casa, não se pode assegurar a existência de uma ação organizada e continuada, fim a fim, com todas as etapas dos processos previstos pelo COBIT 5. Contudo, há evidências de algumas etapas e atividades, como se verá na seção 6 deste relatório
Estruturas organizacionais
São as principais entidades de tomada de decisão de uma organização
Definição de um Comitê de Gestão de Segurança da Informação (CGSI) e de um papel específico para tratar da segurança da informação corporativa (Chief information security officer - CISO - Diretor de Segurança da Informação)
Comitê Gestor de Segurança da Informação (CGSI), criado pelo Ato da Mesa n. 47 de 2012
Cultura, ética e comportamento
Elementos essenciais para o sucesso de projetos, planos e estratégias, a cultura, a ética e o comportamento das pessoas e
A segurança da informação é praticada cotidianamente
Os usuários receberam orientação suficiente e detalhada, além de serem incentivados a participar das iniciativas e ações de SI:
Projeto de campanha e conscientização dos usuários quanto à segurança da informação
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Habilitador Definição Exemplos relacionados à
Segurança
Exemplos na Câmara dos Deputados
da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão
todos são responsáveis pela proteção à informação
As partes interessadas identificam e respondem às ameaças ao negócio
A gestão apoia de forma proativa e antecipa as inovações
Informação
Permeia as organizações e inclui todas as informações produzidas e usadas. É necessária para manter a organização em funcionamento e bem governada, sendo que, em alguns casos, a informação por si é o principal produto da organização
Estratégia de segurança da informação
Orçamento da segurança da informação
Plano de segurança da informação
Políticas
Requisitos de segurança da informação
Material de conscientização
Relatórios de avaliação de segurança da informação
Perfil de risco da informação
Painel de segurança da informação
Acervo informacional da Casa
Serviços, infraestrutura e aplicações
Incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o processamento e os serviços de
Prover uma arquitetura de segurança
Promover conscientização em segurança da informação
Proporcionar o desenvolvimento seguro
Infraestrutura de tecnologia da informação
Ações e recomendações do Plano Estratégico de Tecnologia da
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Habilitador Definição Exemplos relacionados à
Segurança
Exemplos na Câmara dos Deputados
tecnologia da informação
Fornecer avaliações de segurança
Prover adequadamente sistemas seguros e bem configurados
Proporcionar direitos de acesso aos usuários
Fornecer proteção adequada contra ataques externos e tentativas de intrusão
Prover adequada resposta a incidentes
Realizar testes de segurança
Fornecer monitoramento e serviços de alerta
Informação e Comunicação para o período de 2014 a 201812
Atividades previstas no Plano de ação em segurança da informação13
Pessoas, habilidades e competências
Estão associadas à gestão de pessoal e são necessárias para a conclusão bem-sucedida de todas as atividades, bem como para a tomada de decisões
Governança de segurança da informação
Formulação da estratégia de segurança da informação
Gestão de riscos da informação
Desenvolvimento da arquitetura de segurança da informação
Habilidades e competências dos servidores e colaboradores quanto a esses itens
12 Aprovado pela Portaria n. 348, de 2014, da Diretoria-Geral. Disponível em: <https://camaranet.camara.gov.br/web/gestao-estrategica/plano-estrategico-de-tic>. Acesso em: 10 jun. 2015. 13 Disponível em: < https://camaranet.camara.gov.br/web/seguranca-da-informacao/plano-de-acao-em-seguranca-de-informacao>. Acesso em: 10 jun. 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Habilitador Definição Exemplos relacionados à
Segurança
Exemplos na Câmara dos Deputados
corretas e para a adoção de medidas corretivas
Operações de segurança da informação
Avaliação de testes e informações e conformidade
Fonte: ISACA, COBIT 5 for Security, p.14, tradução própria.
5. Segurança da informação na Administração Pública brasileira
O Decreto n. 3.505, de 13 de junho de 2000, figura como o primeiro elemento na lista resultante da pesquisa pelo termo “segurança da informação” no portal institucional da Câmara dos Deputados. Tal decreto instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal (APF), fundamentando-se nas boas práticas globais sobre o tema, tais como garantia de acesso à informação, implementação de tecnologias, normas, níveis de segurança e garantias de continuidade de serviços.
Além disso, em seu artigo 2º, II, o decreto apresenta um conceito de segurança da informação:
II – Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.
Tendo em vista a consolidação dos conceitos ali apresentados e as ações decorrentes de sua promulgação, pode-se dizer que o Decreto 3.505/2000 é um marco no que diz respeito à segurança da informação no país.
Oito anos depois, o Plenário do Tribunal de Contas da União (TCU) promulgou o acórdão n. 1.603/2008, apresentando “[...] informações acerca dos processos de aquisição de bens e serviços de TI, de segurança da informação, de gestão de recursos humanos de TI, e das principais bases de dados e sistemas da Administração Pública Federal”, bem como recomendações
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
pertinentes aos temas tratados. Especificamente em relação à segurança da informação, o acórdão recomendou em seu item 9.1.3 a diversos órgãos, entre os quais a Câmara dos Deputados (onde tramita sob o processo de número 167.774/2008), que fossem implementados os elementos relativos à segurança da informação dispostos no Quadro 3.
Quadro 3 – Recomendações do acórdão n. 1.603/2008 acerca de segurança da informação
Recomendação Exemplos de b oas práticas (não são citados no acórdão)
Gerenciamento da segurança da informação
NBR ISO/IEC 27002 - Código de prática para controles de segurança da informação
Gestão da continuidade do negócio NBR ISO/IEC 27002, item 14 – Gestão da continuidade do negócio
Gestão de mudanças NBR ISO/IEC 27002, item 10.1.2 – Gestão de mudanças
Gestão da capacidade NBR ISO/IEC 27002, item 10.3.1 – Gestão da capacidade
Classificação da informação NBR ISO/IEC 27002, item 7.2 – Classificação da informação
Gerência de incidentes NBR ISO/IEC 27002, item 13 – Gestão de incidentes de segurança da informação
Análise de riscos de TI NBR ISO/IEC 27005 - Gestão de riscos de segurança da informação
Área específica para gerenciamento da segurança da informação
NBR ISO/IEC 27003 - Diretrizes para implantação de um sistema de gestão da segurança da informação
Politica de segurança da informação NBR ISO/IEC 27002, item 5.1 – Política de segurança da informação
Controle de acesso NBR ISO/IEC 27002, item 11 – Controle de acessos
Fonte: elaboração própria a partir do acórdão n. 1.603/2008 do Plenário do TCU e das normas da ABNT.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
No item 9.4.3 desse acórdão, o TCU estabeleceu um processo de trabalho para a realização de levantamentos dessa natureza em ciclos de dois anos. O Plenário daquela Corte, posteriormente, promulgou os acórdãos de n. 2.308/2010, 2.585/2012 e 3.117/2014, apresentando os resultados dos respectivos levantamentos sobre a situação da Governança de Tecnologia da Informação na Administração Pública Federal. No que diz respeito à segurança da informação, não foram exaradas recomendações.
Em 2012, foi promulgada a Lei n. 12.527, a chamada Lei de Acesso à Informação (LAI), que gerou impactos consideráveis sobre a percepção acerca da segurança da informação no espectro da administração pública no país. Esses impactos também podem ser categorizados na Câmara dos Deputados, como se verá na próxima seção deste relatório.
O acórdão n. 1.233/2012, também do Plenário do TCU, por sua vez, apresentou considerações sobre o tema “Governança Corporativa e Governança de TI”, e recomendou (item 9.18) a diversos órgãos da Administração Pública14, entre os quais a Câmara dos Deputados, onde tramita sob o processo de número 114.660/2012, que implementassem os controles relativos à segurança da informação dispostos no Quadro 4.
Quadro 4 – Recomendações do acórdão n. 1.233/2012 acerca de segurança da informação
Recomendação Itens do acórdão
Referências citadas no acórdão
Nomeação de responsável pela segurança da informação na organização
9.13.9.1 e 9.15.12.1
NBR ISO/IEC 27002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação
Criação de comitê para coordenar os assuntos de segurança da informação
9.13.9.2 e 9.15.12.2
NBR ISO/IEC 27002, item 6.1.2 – Coordenação de segurança da informação
14 Nesse mesmo ano o Tribunal de Contas da União lançou a quarta edição do guia “Boas Práticas em Segurança da Informação”, com o intuito de “[...] despertar a atenção para os aspectos da segurança da informação nas instituições governamentais”. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em: 22 maio 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Recomendação Itens do acórdão
Referências citadas no acórdão
Adoção de processo de gestão de riscos de segurança da informação
9.13.9.3 e 9.15.12.3
NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação
Estabelecimento de política de segurança da informação
9.13.9.4 e 9.15.12.4
NBR ISO/IEC 27002, item 5.1 – Política de segurança da informação
Estabelecimento da elaboração de inventário de ativos
9.13.9.5 e 9.15.12.5
NBR ISO/IEC 27002, item 7.1.1 – Inventário de ativos
Estabelecimento de classificação da informação
9.13.9.6 e 9.15.12.6
NBR ISO/IEC 27002, item 7.2 – Classificação da informação
Fonte: elaboração própria a partir do acórdão n. 1.233/2012 do Plenário do TCU.
Em 2014, o Plenário do TCU promulgou o acórdão n. 3051, que, entre outras recomendações, insta ao Gabinete de Segurança Institucional da Presidência da República (GSI-PR) que:
9.3.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp15 e da Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas também os demais segmentos relacionados à proteção das informações institucionais;
9.3.2. alerte as organizações sob sua jurisdição que a elaboração periódica de planejamento das ações de segurança da informação16 é obrigação expressa prevista no item 3.1 da
15 Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) do Poder Executivo Federal, normatizado pelo Decreto n. 7.579, de 11 de outubro de 2011. 16 O Ministro-Chefe do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), na condição de Secretário Executivo do Conselho de Defesa Nacional (CDN), publicou no Diário Oficial da União de 12 de maio a Portaria CDN n. 14, de 11 de maio de 2015, que homologa a "Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal - 2015/2018, versão 1.0". Desdobramento da Instrução Normativa GSI/PR nº 01/2008, a Estratégia tem por finalidade apresentar as diretrizes estratégicas para o planejamento de Segurança da Informação e Comunicações e de Segurança Cibernética no âmbito dos órgãos e entidades da APF, objetivando a articulação e a coordenação de esforços dos diversos atores envolvidos, de forma a atingir o aprimoramento das áreas no
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Norma Complementar 2/IN01/DSIC/GSIPR17, além de ser boa prática prevista na NBR ISO/IEC 27.001/2013, item 618, bem como no Cobit 5, Prática de Gestão APO 13.219.
O acórdão n. 3.117/2014, do Plenário do TCU, apresentou o último relatório de levantamento da situação da governança de Tecnologia da Informação. Foram avaliadas 373 organizações públicas federais, categorizadas em seis grupos:
a) empresas públicas federais e sociedades de economia mista; b) componentes do Sisp; c) Poder Judiciário; d) Poder Legislativo; e) Ministério Público da União; e f) Terceiro Setor.
A Tabela 1 sumariza os resultados do levantamento no tocante à segurança da informação.
Tabela 1 – Resultados do levantamento da situação de governança de TI na APF relativos à segurança da informação em 2014
Critério
Iniciou plano para
adotar
(%)
Adota parcialmente
(%)
Adota integralmente
(%)
Não se aplica
(%)
Realiza avaliação periódica de segurança da informação
25 25 14 36
Dispõe de uma política de segurança da
22 15 51 12
Governo e a mitigação dos riscos aos quais estão expostas as instituições, a sociedade e o Estado. Disponível em: <http://dsic.planalto.gov.br/noticias/475-gsi-pr-publica-estrategia-de-sic-e-segciber-para-a-apf>. Acesso em: 25 maio 2015. 17 Tem como objetivo definir a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta. 18 A organização deve conduzir auditorias internas do Sistema de Gestão da Segurança da Informação (SGSI) em intervalos planejados. 19 Prática de Gestão APO13.02 do COBIT 5 – Definir e gerenciar um plano de tratamento de riscos à segurança da informação.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Critério
Iniciou plano para
adotar
(%)
Adota parcialmente
(%)
Adota integralmente
(%)
Não se aplica
(%)
informação formalmente instituída
Dispõe de comitê de segurança da informação formalmente instituído
18 13 49 20
Possui gestor de segurança da informação formalmente designado
21 12 38 29
Dispõe de política de controle de acesso formalmente instituída
26 19 33 22
Dispõe de política de cópias de segurança (backup) formalmente instituída
26 27 27 20
Fonte: Elaboração própria a partir do relatório do acórdão n. 3.117/2014, TCU.
Sobre o cenário da segurança da informação nas organizações pesquisadas o relatório conclui, entre outros tópicos, que:
226. A despeito da evolução identificada no período 2012 a 2014, o nível de adoção das práticas apresentadas está muito distante do esperado, situação que revela a existência de lacunas na coordenação e na normatização da gestão corporativa da segurança da informação e que expõe a APF a diversos riscos, como indisponibilidade de serviços e perda de integridade de informações.
227. O uso cada vez mais crescente da TI na execução dos processos organizacionais, em especial dos finalísticos, vem acompanhado do aumento do risco de segurança da informação, requerendo maior atenção da APF no estabelecimento dos processos e controles voltados à proteção das informações.
6. Segurança da informação na Câmara dos Deputados
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Há quase duas décadas, a preocupação com a segurança da informação na Câmara dos Deputados já era caracterizada por algumas iniciativas. Por exemplo, o artigo 2º do Ato da Mesa n. 80, de 1998, previa entre as atribuições do Comitê Gestor da Internet o estabelecimento de critérios de padronização e segurança da página institucional da Casa.
Seis anos mais tarde, a Portaria da Diretoria-Geral n. 96/2004 estabeleceu em seu artigo 4º que:
É da responsabilidade exclusiva do usuário zelar pela correta utilização do serviço de correio eletrônico, que deverá cuidar e adotar medidas de segurança, destinadas a preservar o sigilo sobre sua senha de identificação, para resgu ardar a inviolabilidade de sua caixa postal (grifo nosso).
Por sua vez, a Portaria n. 34/2009 da Diretoria-Geral estabelece normas para utilização dos recursos computacionais providos pela Câmara dos Deputados e para criação e utilização de senhas e recursos de autenticação. Entre outras disposições, essa norma estabelece que:
Art. 20. Na utilização das senhas de autenticação, compete ao usuário observar os procedimentos a seguir indicados, bem como adotar outras medidas de segurança, de caráter pessoal, com vista a impedir o uso não autorizado dos recursos computacionais a partir de sua senha de acesso:
I - Não compartilhar a senha com outra pessoa.
II - Não anotar a senha em local acessível a terceiros.
III - Não utilizar senhas que sejam palavras da língua, nacional ou estrangeira.
IV - Ao ausentar-se, ainda que temporariamente, durante a sessão de uso de determinado recurso computacional, o usuário deverá encerrar a sessão ou efetuar o bloqueio do acesso por meio de sua senha ou outro recurso robusto de autenticação, desbloqueando-o quando de seu regresso.
A segurança da informação no ambiente público ganhou maior relevância em 2012, com a entrada em vigor da LAI. Em atenção a esse diploma legal, e à luz das orientações e recomendações relativas à segurança da informação contidas nos acórdãos n. 1.063/2008 e 1.233/2012 do Plenário do TCU, a Mesa Diretora da Câmara dos Deputados promulgou, em 16 de julho de 2012, os Atos n. 45, 46, 47, 48 e 49, formalizando na Casa o devido tratamento institucional ao tema.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
O Ato da Mesa n. 45/2012 trata da aplicação da LAI no âmbito da Casa. Desse modo, ali estão dispostas regras acerca do acesso à informação e de sua divulgação, além da responsabilização e da punição de agentes públicos, de pessoas físicas ou entidades privadas20 nos casos de condutas ilícitas relativas ao tema. Além disso, o Ato discorre sobre procedimentos para classificação da informação e para o tratamento de informações pessoais, além de outras disposições.
O Ato da Mesa n. 46/2012 instituiu a Política de Gestão de Conteúdos Informacionais da Câmara dos Deputados. Em seu artigo 2º, I, apresenta a definição de conteúdo informacional:
Toda informação registrada, produzida, recebida, adquirida, capturada ou colecionada pela Câmara dos Deputados, no desempenho de sua missão institucional, qualquer que seja seu suporte.
De forma complementar à definição anterior, o Ato 46/2012 estabelece em seu glossário que informação é o conjunto de dados aos quais se atribuiu significado.
Esse ato normativo, que tem como princípios a transparência, a efetividade, a eficiência, a acessibilidade, a disseminação e a preservação dos conteúdos informacionais (art. 3º), estabelece, entre os requisitos que deverão ser atendidos pela Gestão de Conteúdos Informacionais da Câmara dos Deputados (art. 6º), a definição e a implantação de um modelo de arquitetura de informação articulado com a gestão estratégica e com a arquitetura de tecnologias de informação e comunicação, e a preservação dos conteúdos informacionais para assegurar sua acessibilidade, recuperação e a garantia da sua autenticidade.
A Política de Segurança da Informação (PSI) da Câmara dos Deputados foi instituída pelo Ato da Mesa n. 47/2012. Em seu artigo 3º, XV, a PSI define segurança da informação como a preservação da confidencialidade, integridade, disponibilidade e autenticidade da informação. Pode-se afirmar que essa definição sintetiza os termos utilizados pelo Decreto nº 3.505/2000.
A PSI criou (art. 8º) o Comitê Gestor de Segurança da Informação (CGSI), formado por representantes de todas as Diretorias, da Secretaria de Comunicação Social e da Secretaria-Geral da Mesa, além de representantes do
20 Pessoa física ou entidade privada que, em virtude de vínculo de qualquer natureza com a Câmara dos Deputados, tenha acesso a informação sigilosa ou pessoal e a submeta a tratamento indevido (artigo 30, parágrafo único).
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Centro de Documentação e Informação (Cedi) e do Centro de Informática (Cenin). Em suma, compete ao CGSI propor, planejar, coordenar, avaliar e acompanhar ações institucionais de segurança da informação na Casa (art. 8º, § 3º).
Por sua vez, o Ato da Mesa n. 48/2012 instituiu a Política de Preservação Digital da Câmara dos Deputados, a qual abrange (art. 2º):
[...] todos os documentos digitais, nascidos nessa forma ou digitalizados, produzidos na Câmara dos Deputados ou recebidos pela Casa, desde que relacionados às atividades derivadas das suas funções institucionais e missão institucional.
O Ato também declara em seu artigo 4º, IV, que tem como um de seus objetivos contribuir para a redução do risco em segurança da informação.
O Ato da Mesa n. 49/2012 estabeleceu a Política de Preservação dos Suportes Físicos dos Conteúdos Informacionais da Câmara dos Deputados, definindo suporte físico como a base sobre a qual os conteúdos informacionais são produzidos. Esse ato tem como uma de suas diretrizes (art. 4, IV) a “[...] articulação com as demais políticas relacionadas à Gestão de Conteúdos Informacionais, em especial com as políticas de preservação digital e de segurança da informação”.
Para que seja efetiva, a segurança da informação deve envolver toda a organização, desde sua estrutura física e funcional até cada um de seus servidores, individualmente. Por essa razão, em linhas gerais, os Atos da Mesa supramencionados possuem em comum o fato de atribuírem a responsabilidade pela segurança da informação a todas as unidades administrativas da Casa e a seus servidores. Além disso, para estes, também estabelece os direitos de receber treinamento adequado ao exercício de suas competências na gestão do ciclo de vida dos conteúdos informacionais e de propor aperfeiçoamentos da PSI e de seus instrumentos de gestão21.
Em 19 de outubro de 2012, promovendo novo avanço no tratamento do tema segurança da informação na Casa, a Diretoria-Geral publicou as portarias n. 438, 439, 440 e 441, as quais estabelecem normas para, respectivamente:
a) autenticação e controle de acesso aos conteúdos informacionais e aos recursos computacionais;
21 Ato da Mesa n. 46, artigo 12; Ato da Mesa n. 47, artigos 12 e 13; Ato da Mesa n. 48, artigo 20; Ato da Mesa n. 49, artigo 11.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
b) geração, guarda e uso dos registros de segurança dos recursos computacionais;
c) geração, guarda e acesso a cópias de segurança dos dados baseados em suporte computacional; e
d) separação de ambientes computacionais de desenvolvimento, teste, homologação e produção de sistemas de informação.
Em janeiro de 2015, atendendo ao disposto no § 1º do art. 14 do Ato da Mesa nº 47/2012, o Comitê Gestor de Segurança da Informação apresentou à alta gestão da Casa o Plano de Ação em Segurança da Informação22, no qual estão consignados objetivos, ações estruturantes, resultados e benefícios esperados. Além disso, o plano traz nova definição para segurança da informação. Nela, é abordado o valor da informação, aspecto de relevância inegável e crescente:
Segurança da Informação é a proteção da informação frente a ameaças que podem comprometer seus atributos de integridade, disponibilidade, autenticidade e confidencialidade, com o objetivo de resguardar o valor que a informação possui para um indivíduo ou uma organização (p. 43).
Mais recentemente, o Ato da Mesa n. 25, de 6 de maio de 2015, trata da delegação de acesso a sistemas de informação. Ainda há que se observar os potenciais impactos desse Ato para o tratamento de segurança da informação no tocante aos sistemas e aos processos de trabalho por ele abrangidos.
Em 29 de maio foi publicada a Portaria n. 158/2015 da Diretoria-Geral, que dispõe sobre os procedimentos para a classificação em grau de sigilo de informações em poder da Câmara dos Deputados, bem como para a imposição de restrição de acesso à informação pessoal, além de outras providências. Ali estão normatizadas algumas disposições previstas no Ato da Mesa n. 45/2012, especialmente quanto aos temas de classificação da informação.
7. Questionário de avaliação do processo DSS05
Como atividade de suporte aos trabalhos desta auditoria, foi elaborado um questionário (Apêndice A) abordando as sete práticas de gestão do processo DSS05 – Gerir serviços de segurança – do COBIT 5 e suas respectivas atividades de gestão, em número de quarenta e nove. Solicitou-se ao Centro de Informática que informasse seu grau de atendimento a cada uma dessas
22 Disponível em: <https://camaranet.camara.gov.br/web/seguranca-da-informacao/plano-de-acao-em-seguranca-de-informacao>. Acesso em: 10 jun. 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
atividades de acordo com a seguinte escala: não se aplica, não adota, iniciou plano para adotar, adota parcialmente ou adota integralmente.
O Quadro 5 resume as práticas de gestão do processo DSS05 – Gerir serviços de segurança.
Quadro 5 – Práticas de gestão do processo DSS 05 - Gerir serviços de segurança
Prática de gestão Objetivos
DSS05.01 - Proteger contra malware
Implementar e manter medidas preventivas, detectivas e corretivas (especialmente patches de segurança e de controles de vírus atualizados) na organização para proteger os sistemas e a tecnologia da informação contra malware (p.ex., vírus, worms, spyware, spam)
DSS05.02 - Gerenciar a segurança de rede e de conectividade
Utilizar medidas de segurança e procedimentos de gestão relacionados para proteger a informação em todos os meios de conectividade
DSS05.03 - Gerenciar a segurança de endpoints
Garantir que os endpoints (p. ex., laptops, desktops, servidores, e outros dispositivos móveis e de rede ou o software) estão seguros em um nível que é igual ou superior aos requisitos de segurança da informação processada, armazenada ou transmitida
DSS05.04 - Gerenciar a identidade e o acesso lógico dos usuários
Garantir que todos os usuários tenham direitos de acesso à informação de acordo com seus requisitos de negócio de modo coordenado com as respectivas unidades
DSS05.05 - Gerenciar o acesso físico a instalações de TI
Definir e implementar procedimentos para conceder, limitar e revogar acesso a instalações, prédios e áreas de acordo com necessidades de negócio, incluindo emergências. O acesso às instalações, prédios e áreas deve ser justificado, autorizado, registrado e monitorado. Isso se aplica a todas as pessoas que entram nas instalações, incluindo o pessoal do quadro, terceirizados, fornecedores, visitantes e outras pessoas
DSS05.06 - Gerenciar documentos sensíveis e dispositivos de saída
Estabelecer salvaguardas físicas apropriadas, práticas de contabilização e gestão de inventário sobre ativos sensíveis de TI, tais como formulários especiais, instrumentos negociáveis, impressoras de propósito especiais e tokens de segurança
DSS05.07 - Monitorar a infraestrutura para eventos relacionados à segurança
Monitorar a infraestrutura, usando ferramentas de detecção de intrusões, em busca de acessos não autorizados e garantir que os eventos estão integrados com o monitoramento e com o gerenciamento de incidentes
Fonte: COBIT 5 Enabling processes, p. 191-195. Tradução própria.
8. Análise
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Observa-se alinhamento entre as acepções e os propósitos contidos nas principais normas adotadas na Casa voltadas ao tema da segurança da informação e as fontes de boas práticas globais e nacionais sobre o tema.
Além das normas citadas anteriormente, há que se destacar também a página “Governança de TIC” na intranet da Casa23 (CamaraNet), onde se pode acompanhar o andamento de projetos de TIC e suas entregas. Vários deles são voltados ou estão intimamente relacionados à segurança da informação, podendo-se citar como exemplos:
• o Programa de Gestão de Serviços de TIC; • um estudo de implementação de ferramenta para Security
Information and Event Management (SIEM); • a aquisição e implantação de ferramenta automatizada para
auditoria de bancos de dados (em fase de implantação); • a implantação do processo de gerenciamento de níveis de
serviços; • uma campanha de conscientização dos servidores da Casa quanto
aos temas de segurança da informação; • o mapa corporativo de papéis e responsabilidades sobre serviços
de TIC.
Cumpre lembrar as ações adotadas pela gestão da Casa, e em particular pelo Centro de Informática, em atendimento às recomendações expedidas nos acórdãos 1.603/2008 e 1.233/2012, ambos do Plenário do Tribunal de Contas da União. Como mostrado anteriormente, esses acórdãos recomendaram a diversos órgãos da administração pública, incluindo a Câmara dos Deputados, que implementassem vários controles e práticas relativos à segurança da informação (Quadros 3 e 4, respectivamente). Nos respectivos processos que tramitam na Casa, a gestão do Centro informa ter cumprido integralmente essas recomendações.
Tendo em vista a sensibilidade das respostas prestadas pelo Centro de Informática ao questionário de apoio a esta ação de controle, elas não serão aqui apresentadas. Contudo, pode-se observar que a Câmara dos Deputados adota parte considerável das boas práticas globais e nacionais da área de segurança da informação, representadas pelas normas da família ISO/IEC 27000 e correlatas, além do COBIT 5.
23 Disponível em: <https://camaranet.camara.gov.br/web/gestao-estrategica/governanca-de-ti>. Acesso em: 1 jun. 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
9. Benefícios potenciais da ação de controle
Em cumprimento ao disposto no artigo 3º da Portaria n. 2 da Secretaria de Controle Interno, de 22 de fevereiro de 2013, registre-se que a ação de controle ora relatada visa os seguintes benefícios potenciais:
a) melhoria do ambiente de segurança da informação da Câmara dos Deputados;
b) estímulo para a contínua utilização das boas práticas nacionais e mundiais relacionadas ao tema e seu aprimoramento na Casa;
c) melhoria da conscientização sobre o tema entre todos os servidores e em especial entre a alta gestão;
d) criação e fortalecimento de uma cultura organizacional voltada à segurança da informação;
e) melhoria da imagem institucional.
10. Conclusões
São visíveis os avanços nas áreas de gestão e de governança de TI da Câmara dos Deputados. Alguns exemplos dessas ações são as normas expedidas quanto a esses temas, o Plano Estratégico de Tecnologia da Informação e Comunicação para o período de 2014 a 2018 e a submissão pelo CGSI, à alta gestão da Casa, do Plano de Ação em Segurança da Informação.
Segurança da informação é um tema que deve mobilizar toda a estrutura de uma organização. Envolve questões físicas, de instalações, humanas, de cultura organizacional e de relacionamento com outras instituições. A Câmara dos Deputados vem desenvolvendo passos consistentes no sentido de consolidar uma cultura voltada à segurança, tendo criado estruturas de governança e instituído processos de trabalho voltados a isso.
Uma vez que o ambiente de segurança da informação é permanentemente mutável, e que os riscos associados a todos os processos de trabalho possuem um ciclo que envolve diferentes estágios de probabilidades e/ou de impactos, futuras ações de controle revisitarão o tema da SI, sempre visando apoiar as ações da gestão e da governança corporativa da Câmara dos Deputados.
Brasília, 22 de junho de 2015.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
REF:
Apêndice A - Questionário de Avaliação do Processo DSS05 do COBIT 5 - Gerir Serviços de Segurança
Prática de gestão e objetivo Atividade
Não se
aplica
Não adota
Iniciou plano para
adotar
Adota parcialmente
Adota integralmente
DSS05.01 - Proteger contra malware. Implementar e manter medidas preventivas, detectivas e corretivas (especialmente patches de segurança e de controles de vírus atualizados) na organização para proteger os sistemas e a tecnologia da informação contra malware (p.ex., vírus, worms, spyware, spam).
1. Conscientizar sobre software malicioso e reforçar responsabilidades e procedimentos de prevenção.
2. Instalar e ativar as ferramentas de proteção contra software malicioso em todas as instalações de processamento, com arquivos de definição de software mal-intencionado atualizados conforme o necessário (de modo automático ou semiautomático).
3. Distribuir todos os softwares de proteção (versão e correções) utilizando configuração centralizada e gestão de mudanças.
4. Rever e avaliar regularmente informações sobre novas ameaças potenciais (por exemplo, revisando os alertas de segurança dos fornecedores de produtos e serviços).
5. Filtrar o tráfego de entrada, como e-mail e downloads, para proteger contra informação não solicitada (por exemplo, spyware e phishing).
6. Realizar treinamentos periódicos sobre malware em e-mail e uso da Internet. Treinar os usuários para não instalar software não aprovado.
DSS05.02 - Gerenciar a segurança de rede e de conectividade. Utilizar medidas de segurança e procedimentos de gestão relacionados para proteger a
1. Com base na avaliação dos riscos e requisitos de negócio, estabelecer e manter uma política de segurança de conectividade.
2. Permitir que apenas os dispositivos autorizados tenham acesso às informações e à rede corporativas. Configurar esses dispositivos para forçar a solicitação de senha.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
REF:
Prática de gestão e objetivo Atividade
Não se
aplica
Não adota
Iniciou plano para
adotar
Adota parcialmente
Adota integralmente
informação em todos os meios de conectividade.
3. Implementar mecanismos de filtragem de rede, como firewalls e software de detecção de intrusão, com políticas adequadas para controlar o tráfego de entrada e de saída.
4. Criptografar informações em trânsito, de acordo com sua classificação.
5. Aplicar protocolos de segurança aprovados para conectividade de rede.
6. Configurar equipamentos de rede de forma segura. 7. Estabelecer mecanismos confiáveis para suportar transmissão e recepção segura de informações.
8. Realizar testes periódicos de penetração para determinar a adequação da proteção da rede.
9. Realizar testes periódicos de segurança para determinar a adequação da proteção dos sistemas.
DSS05.03 - Gerenciar a segurança de endpoints. Garantir que os endpoints (p. ex., laptops, desktops, servidores, e outros dispositivos móveis e de rede ou o software) estão seguros em um nível que é igual ou superior aos requisitos de segurança da informação processada, armazenada ou transmitida.
1. Configurar sistemas operacionais de forma segura.
2. Implementar mecanismos de bloqueio de dispositivos.
3. Criptografar informações no armazenamento de acordo com sua classificação.
4. Gerenciar controle e acesso remotos. 5. Gerenciar a configuração de rede de forma segura. 6. Implementar a filtragem de tráfego de rede em endpoints.
7. Proteger a integridade dos sistemas. 8. Fornecer proteção física de endpoints. 9. Descarte de endpoints de forma segura.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
REF:
Prática de gestão e objetivo Atividade
Não se
aplica
Não adota
Iniciou plano para
adotar
Adota parcialmente
Adota integralmente
DSS05.04 - Gerenciar a identidade e acesso lógico dos usuários. Garantir que todos os usuários tenham direitos de acesso à informação de acordo com seus requisitos de negócio de modo coordenado com as respectivas unidades.
1. Manter os direitos de acesso de usuário em conformidade com a função do negócio e os requisitos do processo. Alinhar a gestão de identidades e de direitos de acesso com os papéis e responsabilidades definidos, com base em princípios de "privilégio mínimo" e necessidades de acesso à informação sensível.
2. Identificar de modo unívoco todas as atividades de processamento de informação por papéis funcionais, de modo coordenado com as unidades de negócios para garantir que todas as funções são consistentemente definidas, incluindo papéis que são definidos pelo próprio negócio dentro dos aplicativos de apoio aos seus processos.
3. Autenticar todo o acesso a ativos de informação com base na sua classificação de segurança, coordenando com unidades de negócio que gerenciam autenticação dentro de aplicativos usados em seus processos de negócio para garantir que controles de autenticação foram administrados corretamente.
4. Administrar todas as alterações nos direitos de acesso (criação, modificações e exclusão) para que sejam efetivadas no momento apropriado, com base apenas em transações aprovadas e documentadas, autorizadas por indivíduos designados para essa função.
5. Segregar e gerenciar contas privilegiadas de usuário. 6. Realizar revisão regular de todas as contas e privilégios relacionados.
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
REF:
Prática de gestão e objetivo Atividade
Não se
aplica
Não adota
Iniciou plano para
adotar
Adota parcialmente
Adota integralmente
7. Garantir que todos os usuários (internos, externos e temporários) e a suas atividades em sistemas de TI (aplicativo de negócios, infraestrutura de TI, operações de TI, desenvolvimento e manutenção) são unicamente identificáveis. Identificar univocamente todas as atividades de processamento de informação por usuário.
8. Manter uma trilha de auditoria de acesso a informações classificadas como altamente sensíveis.
DSS05.05 - Gerenciar o acesso físico a instalações de TI. Definir e implementar procedimentos para conceder, limitar e revogar acesso a instalações, prédios e áreas de acordo com necessidades de negócio, incluindo emergências. O acesso às instalações, prédios e áreas deve ser justificado, autorizado, registrado e monitorado. Isso se aplica a todas as pessoas que entram nas instalações, incluindo o pessoal do quadro, terceirizados, fornecedores, visitantes e outras pessoas.
1. Administrar o pedido e concessão de acesso às instalações de TI. Pedidos de acesso devem ser formalizados e autorizados pela administração da instalação de TI e os registros de solicitação devem ser mantidos. Os formulários devem identificar especificamente as áreas a que os indivíduos têm acesso concedido.
2. Garantir que os perfis de acesso permaneçam atuais. Permitir o acesso a instalações de TI (salas de servidores, edifícios, áreas ou zonas) de acordo com a função e responsabilidades de trabalho.
3. Registrar e monitorar todos os pontos de entrada para sites de TI. Registrar todos os visitantes, incluindo contratados e fornecedores, aos sites.
4. Instruir todo o pessoal para exibir identificação visível em todos os momentos. Prevenir a emissão de cartões de identificação ou crachás sem autorização apropriada.
5. Exigir que os visitantes sejam acompanhados durante todo o tempo nas instalações. Se for identificado um indivíduo desacompanhado ou
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
REF:
Prática de gestão e objetivo Atividade
Não se
aplica
Não adota
Iniciou plano para
adotar
Adota parcialmente
Adota integralmente
desconhecido que não esteja usando identificação pessoal, alertar o pessoal da segurança. 6. Restringir o acesso a instalações de TI sensíveis, estabelecendo restrições de perímetro, tais como cercas, muros e dispositivos de segurança nas portas interiores e exteriores. Certificar-se que dispositivos gravam a entrada e acionam um alarme em caso de acesso não autorizado. Exemplos de tais dispositivos incluem crachás ou cartões, teclados numéricos, circuito fechado de TV e scanners biométricos.
7. Realizar treinamento regular sobre conscientização acerca da segurança física.
DSS05.06 - Gerenciar documentos sensíveis e dispositivos de saída. Estabelecer salvaguardas físicas apropriadas, práticas de contabilização e gestão de inventário sobre ativos sensíveis de TI, tais como formulários especiais, instrumentos negociáveis, impressoras de propósito especiais e tokens de segurança.
1. Estabelecer procedimentos para administrar o recebimento, o uso, a remoção e a eliminação de formulários especiais e dispositivos de saída que entram, que permanecem e que saem da organização.
2. Atribuir privilégios de acesso a documentos confidenciais e dispositivos de saída sensíveis com base no princípio do "privilégio mínimo", equilibrando os riscos com os requisitos de negócios.
3. Estabelecer um inventário de documentos e dispositivos de saída sensíveis e realizar conciliações regulares.
4. Estabelecer salvaguardas físicas apropriadas sobre formulários especiais e dispositivos sensíveis.
5. Destruir informações sensíveis e proteger os dispositivos de saída (por exemplo, desmagnetização de mídia eletrônica, destruição física de dispositivos de
C Â M A R A D O S D E P U T A D O S
M E S A D I R E T O R A
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
REF:
Prática de gestão e objetivo Atividade
Não se
aplica
Não adota
Iniciou plano para
adotar
Adota parcialmente
Adota integralmente
memória, fragmentação de formulários especiais e de outros documentos confidenciais).
DSS05.07 - Monitorar a infraestrutura para eventos relacionados à segurança. Monitorar a infraestrutura, usando ferramentas de detecção de intrusões, em busca de acessos não autorizados e garantir que os eventos estão integrados com o monitoramento e o gerenciamento de incidentes.
1. Registrar eventos relacionados à segurança relatados por ferramentas de monitoramento de segurança de infraestrutura, identificando o nível de informação a ser gravado com base na ponderação de risco. Mantê-los durante um período adequado para auxiliar em futuras investigações.
2. Definir e comunicar a natureza e as características de potenciais incidentes relacionados à segurança para que eles possam ser facilmente reconhecidos e seus impactos entendidos para permitir uma resposta proporcional.
3. Avaliar regularmente os logs de eventos em busca de incidentes potenciais.
4. Manter um procedimento para coleta de evidências em consonância com as normas cabíveis de provas forenses e certificar-se de que os funcionários estejam cientes dos requisitos aplicáveis.
5. Assegurar que registros de incidentes de segurança sejam criados em tempo hábil quando o monitoramento identificar potenciais incidentes.
Fonte: COBIT 5 Enabling processes, p. 191-195. Tradução própria.