Maturidade GSI
-
Upload
washington-rayder-dias -
Category
Documents
-
view
1 -
download
0
description
Transcript of Maturidade GSI
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
EM ORGANIZAÇÃO DE ADMINISTRAÇÃO PÚBLICA DO MUNICÍPIO DE VITÓRIA - ESPIRITO SANTO
Washington Rayder Dias1
Resumo: Uma maneira de observar se as ações de implantação e desenvolvimento de políticas estão relacionadas à segurança da informação, conferidos em metodologia de analise de maturidade, com objetivo de monitorar a Gestão de Segurança da Informação, feita com eficiência e melhorias no controle sobre os processos e atividades, cujos resultados visam ao bem do cidadão e da própria organização com um todo. Este trabalho visa avaliar esta situação, definindo controles e processos conforme normas e melhores praticas de Governança, Gestão de Segurança da Informação e Governança de TI.
Palavras-chave: GSI. Governança. Governança da TI. COBIT. ITIL. ISO 27001
1 INTRODUÇÃO
Conforme descrito nos decretos e leis atuais, o acesso dos cidadãos às informações
públicas é um direito constitucional regulamentado pela Lei Federal 12.527/2011. Essa lei
determina que órgãos e entidades públicas divulguem informações e serviços por meio da
internet, sobre projetos, ações e serviços municipais, bem como a oferta de serviços on-line.
Em consonância com a lei federal, foi aprovada a Lei Municipal 8.286/2012, que dispõe sobre
os procedimentos para se obter acesso à informação pública no âmbito do município de
Vitória. (Disponível em 04-2014 <http://www.vitoria.es.gov.br>)
Também em cumprimento ao que dispõem os artigos 48-A da Lei Complementar nº
101, de 04 de maio de 2000 - Lei de Responsabilidade Fiscal, é apresentado o Detalhamento
da Execução Orçamentária, através do Portal da Transparência, que reúne informações em
tempo real sobre receitas e despesas da administração municipal, incluindo relatórios da Lei
de Responsabilidade Fiscal, despesas com o pagamento de credores, servidores e recursos do
Governo Federal. (Disponível em 04 <http:// http://transparencia.vitoria.es.gov.br>)
Ainda no mesmo escopo de confirmação é constatado o registro da "Política de Uso e
Segurança de Informações e dos Recursos Computacionais da Rede de Informações do 1 Washington Rayder Dias, Pós-Graduado em Gestão de Segurança da Informação – UNISUL – 2014, Graduado em Sistemas de Informação - FAESA - 2005, Coord. de Segurança da Informação - Prefeitura Municipal de Vitória - Espírito Santo - 2014, Coord. de Administração de Redes e Segurança - Prefeitura Municipal de Vitória - Espírito Santo - 2012, [email protected]
2
Município de Vitória – RIMV", onde são estabelecidas definições como: ativo de informação,
acesso ao ativo, conta, direito de acesso e a Subsecretaria de Tecnologia da Informação
(SEMFA/SUB-TI) – Setor responsável pela Segurança da Informação; (Disponível em
http://sistemas.vitoria.es.gov.br/webleis/Arquivos/2014/D15934.PDF>)
Percebe-se então a importância da racionalização da ação administrativa e a utilização
consciente dos recursos de informação, por meio de normatização e padronização de
procedimentos, bem como motivação as altas autoridades e dirigentes à assumirem o
compromisso com as boas práticas em segurança da informação.
Destaca-se que as ações realizadas na Administração Pública com o intuito de
aperfeiçoar a Gestão e a Segurança da Informação, devem ser tratadas como prioridades por
todos os envolvidos, isto porque tem sido comum a difusão de incidentes, relacionados a
segurança da informação, consideradas restritas de um determinado órgão ou autoridade.
Pode-se citar notícias divulgadas na imprensa sobre atividades praticadas por autoridades que
deveriam ser de conhecimento restrito, o que além de comprometer a imagem da pessoa, pode
tornar o Estado vulnerável à ação de má-fé de terceiros.
No Brasil, a Lei 9883/99 institui o Sistema Brasileiro de Inteligência, no âmbito
federal, e cria a ABIN, responsável pela coleta e custódia de informações para servir ao
Presidente da República em suas decisões. Todos os entes públicos que manipulam
informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN.
Fora do executivo federal, órgãos públicos municipais e estaduais estão sob o risco da
negligencia, imprudência ou imperícia na manipulação de informações confidenciais. O
Código Penal brasileiro prevê em seu artigo 325 o crime de violação de sigilo funcional
também para quem permite ou facilita o acesso de terceiros a sistemas de informações da
administração pública, estabelecendo ainda uma pena de reclusão que pode chegar de 2 a 6
anos e multa. Desta forma, ser negligente com sistemas informáticos, na administração
pública, é crime! (disponível em < http://www.jusbrasil.com.br/topicos/10598139/artigo-325-
do-decreto-lei-n-2848-de-07-de-dezembro-de-1940>)
Já se o funcionário público é quem insere ou altera os dados nos sistemas da
administração, pode responder pelo peculato informático, dependendo das circunstâncias, será
enquadrado nos arts. 313-A e 313-B do Código Penal, com pena que pode chegar a 12 anos de
reclusão. (disponível em: < http://www.jusbrasil.com.br/topicos/665551/art-313>)
Com este estimulo, parece oportuno tratar do tema e observar ambientes
organizacionais nos quais se possa verificar o nível de maturidade de seus agentes com
3
relação à cultura de segurança, conscientização e envolvimento da alta direção nos atos que
permitam a continuidade da Gestão da Segurança da Informação.
Tais conceitos estão vinculados a Governança Corporativa e Governança de TI, cujos
processos necessitam de amadurecimento no âmbito da Administração Pública, antes de se
tornarem efetivos e permanentes, justificativa base de elaboração do tema deste artigo, que
conforme descrito por Igor Siqueira Cortez2 e Luis Claudio Kubota3:
"Recentemente, uma série de ataques cibernéticos a empresas e governos no Brasil e no exterior tornou público o potencial impacto econômico desse tipo de atividade, do ponto de vista tanto privado quanto público. Existe extensa literatura econômica — teórica e empírica — que avalia os incentivos para que as empresas adotem ou não medidas de segurança da informação. No presente estudo foi desenvolvida uma avaliação empírica desse fenômeno no Brasil. Modelos logit e probit ordenado foram desenvolvidos como forma de avaliar os efeitos sobre a probabilidade de ocorrência de problemas de segurança da informação, levando-se em conta as características das firmas, inclusive as medidas de segurança de informação. Os resultados apontam para uma relação positiva entre as medidas de segurança da informação e a probabilidade de identificar a ocorrência de problemas cibernéticos, sugerindo que a sofisticação dessas medidas de proteção aumenta a probabilidade de identificação dos problemas." (Cortez e Kubota, 2013)
Esta conclusão foi também avaliada com a perspectiva de necessidade de
implementação de gestão de segurança da informação, conforme Alaíde Barbosa Martins4 e
Celso Alberto Saibel Santos5, a implantação de um SGSI é resumida da seguinte forma:
"Este artigo apresenta uma proposta de metodologia para a implantação de um Sistema de Gestão da Segurança da Informação (SGSI). A metodologia é baseada nos principais padrões e normas de segurança, definindo um conjunto de diretrizes a serem observadas para garantir a segurança de um ambiente computacional ligado em rede. O processo de implantação do SGSI resulta na padronização e documentação dos procedimentos, ferramentas e técnicas utilizadas, além da criação de indicadores, registros e da definição de um processo educacional de conscientização da organização e de seus parceiros. Os conceitos e idéias aqui apresentados foram aplicados em um estudo de caso envolvendo a empresa Cetrel S.A. - Empresa de Proteção Ambiental. Para esta empresa, responsável pelo tratamento de resíduos industriais provenientes do Pólo Petroquímico de Camaçari-BA e de outras regiões, a garantia da confidencialidade e integridade dos dados de seus clientes, além da possibilidade de disponibilizar informações com segurança são requisitos fundamentais de funcionamento." (Martins e Santos, 2005)
Desta forma, o encontrado apenas afirma a necessidade de cuidados, uso de melhores
praticas de segurança, equilíbrio necessário entre proteção, investimento e maiores garantias
de manter os objetivos da empresa, com a aplicação de metodologias para ampliar a segurança
2 Graduado em Ciências Econômicas pela Universidade de Brasília, Mestre em Economia pela Universidade de São Paulo, é Economista da Confederação Nacional da Indústria (CEP 70040-903 – Brasília/DF, Brasil). E-mail: [email protected]; [email protected] 3 Graduado em Economia, Mestre e Doutor em Administração pela Universidade Federal do Rio de Janeiro, é Técnico de Planejamento e Pesquisa do Instituto de Pesquisa Econômica Aplicada (CEP 70076-900 – Brasília/DF, Brasil). E-mail: [email protected] 4 Cetrel S.A. - Empresa de Proteção Ambiental, Brazil 5 Universidade Salvador, Brazil
4
e reduzir os ricos. Contudo, uma pesquisa de 2010, foi realizada por Maria Betânia Gonçalves
Xavier6, direcionada a analise de maturidade na esfera federal e define sua pesquisa da
seguinte forma:
O termo governança está relacionado aos mecanismos de gestão responsáveis pela condução de uma organização, seja ela pública ou privada. Processos, políticas e estruturas organizacionais devem estar em sintonia com o objetivo maior da organização e, consequentemente, com sua estratégia. Quando o objeto de estudo é a governança de Tecnologia da Informação, o foco é identificar os mecanismos que permitem viabilizar a integração entre as áreas de negócio e a área de TI, dando suporte às diretrizes organizacionais, e qual é a efetividade de tais mecanismos. Avaliar a maturidade da governança de TI, por meio dos processos que a sustenta, é uma alternativa para investigar a situação da organização, posicioná-la em relação a outras e também identificar possibilidades de melhoria. A avaliação da maturidade da governança de TI no presente estudo baseia-se na estrutura de processos e na Tabela de Maturidade de Atributos do COBIT. A escala de maturidade em questão varia entre o nível zero (inexistente) e o nível cinco (otimizado). Para viabilizar o trabalho foram selecionados 10 ministérios, órgãos da Administração Direta do Poder Executivo Federal, para prospecção dos níveis de maturidade dos atributos Sensibilização e Comunicação; Políticas, Planos e Procedimentos; Ferramentas e Automação; Responsabilidade e Responsabilização; e Metas e Mensuração, vinculados a cada um dos 34 processos do COBIT. A partir dos dados coletados também foi aplicada a técnica multivariada de cluster analysis na busca de identificar a formação de grupos homogêneos de ministérios com níveis de maturidade similares. O cenário encontrado foi de forte concentração dos processos de trabalho no nível 2 de maturidade de governança de TI, nível esse caracterizado pela fragilidade na adoção de políticas e padrões, no desenvolvimento de habilidades e na definição de responsabilidades. Caracterizado ainda pela pouca penetrabilidade das ações de comunicação, pela baixa adesão à automação e pela dificuldade de estabelecimento de metas e indicadores. Essas constatações sugerem um considerável esforço dos órgãos federais na obtenção de patamares mais elevados de alinhamento entre as áreas de negócio e as áreas de TI, de modo a propiciar o fortalecimento da governança. (Betânia, 2010)
O objetivo é apresentar práticas e princípios utilizados na metodologia de avaliação de
maturidade de Gestão da Segurança da Informação(GSI), para auxiliar o envolvimento da alta
direção de um órgão público no desenvolvimento da conscientização e da cultura de
Segurança da Informação.
No aspecto macro do tema, será apresentado com alguns conceitos fundamentais sobre
informação, sua gestão e o processo de segurança relacionado, abordando o contexto histórico
recente da evolução dos mecanismos de avaliação e controle dos recursos de informação no
setor público municipal de Vitória no Espírito Santo(VIX), além de tratar sobre a necessidade
de aperfeiçoamento dos instrumentos de gestão da tecnologia da informação, em
conformidade com as ações de normatização e regulação na área de segurança da informação.
A analise de indicadores de governança, relacionados a processos de gestão de TI
indica um questionamento, voltado para o ambiente interno de um determinado órgão público,
6 Maria Betânia Gonçalves Xavier - Coordenadora-Geral de TI da COSIS/STN, [email protected]
5
nos quais se apresenta a análise ambiental encontrada com referência à evolução do nível de
maturidade em segurança da informação e à discussão sobre um possível plano de ação que
possa aperfeiçoar as práticas de segurança da informação nesse órgão e desta forma espera-se
um resultados para :
• Ajustar modelo de avaliação da maturidade da governança de TI, levando-se em
consideração a situação atual da governança de TI na administração publica municipal
analisada;
• Identificar o estágio da governança de TI na administração publica municipal, por
meio do modelo selecionado;e
• Identificar comportamentos de forma a gerar informações para o aprimoramento das
estratégias de melhoria da gestão de TI na administração publica municipal analisada.