TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

1

Os desafios da Governança de Tecnologia da Informação na Administração Pública

Federal: um enfoque na segurança da informação e nas pessoas

Alexandre Pereira da Rocha – djalexrocha@gmail.com – UFF/ICHS

Carla Giovanna Costa de Castro – carlagcastro@gmail.com – UFF/ICHS

Ivan Monteiro da Silva Júnior – imsjunior@hotmail.com – UFF/ICHS

Resumo

O objetivo deste artigo é investigar o processo de desenvolvimento da Governança de

Tecnologia da Informação na Administração Pública Federal, com foco na segurança da

informação e no risco do comportamento humano no vazamento de informações relevantes para

o Estado e para a sociedade. O método utilizado para o estudo foi uma pesquisa documental

aplicada na análise dos Levantamentos do Tribunal de Contas da União (TCU) dos anos de

2007, 2010, 2012 e 2014, avaliando o grau de maturidade da segurança da informação nas

instituições públicas federais. Como resultado, verificou-se que apesar da evolução dos índices

na área de segurança da informação, constantes nos relatórios resultantes dos Levantamentos

do TCU, a situação está longe do ideal. Concluímos que para uma visão mais ampla do

processo, o TCU deveria avaliar ações mais específicas relativas à influência do risco humano

para segurança da informação na Administração Pública Federal, engajando todos os

envolvidos no uso da informação, com foco no usuário final dos sistemas informatizados.

Palavras-chave: Administração Pública, Segurança da Informação, Comportamento humano

1 – Introdução

Na concepção de Albertin e Pinochet (2010, p.1), “... a informação é de extrema

importância para a organização e para seus negócios, assim como para seus concorrentes ...”.

As organizações, sejam elas públicas ou privadas, compreendem que com os avanços

tecnológicos a informação tornou-se primordial no seu processo decisório. Na Administração

Pública Federal (APF) o reflexo dessa constatação está na preocupação constante com

pesquisas, a exemplo da Pesquisa Nacional por Amostra de Domicílio (PNAD) e do Censo,

ambos gerenciados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), que reúnem

informações a partir do diagnóstico populacional com o fim de definição de políticas públicas.

Assim, as informações precisam ser adquiridas, tratadas e compiladas por meio de um sistema

de informação confiável e que possibilite uma visão global das organizações, usualmente

inseridas em um sistema aberto de administração, permitindo aos gestores ter assertividade nas

suas decisões, subsidiando as mudanças necessárias, bem como, a inovação em seus processos.

Portanto, a tomada de decisão no mundo corporativo e governamental se subsidia num

sistema de informação sinérgico, onde todos os setores e instâncias da organização convergem

para a estratégia organizacional. Nas palavras Albertin e Pinochet (2010, p.2), “o exercício do

poder e a tomada de decisão envolvem as dimensões técnica, administrativa e política”. Assim,

faz-se necessário investimento em Tecnologia da Informação (TI) com mudança de foco por

parte da alta administração, entendendo a TI como um diferencial competitivo.

A TI vem evoluindo e transformando a sociedade através do seu uso. Para Cepik e

Canabarro (2014, p. 16): “... a TI é a ferramenta fundamental para a transformação da

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

2

administração pública, deixando de ser objeto apenas de gestão para ser objeto de governança”.

Enquanto a gestão de TI está focada no presente e na eficiência das questões internas, a

governança de TI abrange, de forma ampla, as demandas e objetivos presentes e futuros da

administração pública.

A ISO/IEC 17799 (ABNT, 2005) une as duas vertentes apresentadas até aqui: a

essencialidade da informação para as organizações com foco na segurança da informação.

Segundo a Norma,

A segurança da informação é importante para os negócios, tanto do setor público como

do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a

função da segurança da informação é viabilizar os negócios como o governo

eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos

relevantes. A interconexão de redes públicas e privadas e o compartilhamento de

recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência

da computação distribuída reduz a eficácia da implementação de um controle de

acesso centralizado. (ABNT, 2005, p.X).

Reafirmando os fatores críticos de sucesso da segurança de informação para o negócio

das instituições, Ferreira (2003 apud ALBERTIN; PINOCHET, 2010) destaca que é necessário:

“[...] entender o contexto atual da segurança da informação no ambiente corporativo, ou seja, o

ambiente comum às empresas, composto por três aspectos básicos: pessoas, processos e

tecnologia”, sendo as pessoas o foco do nosso estudo.

A visão que todos temos é de que a segurança da informação se restringe ao ambiente

computacional, no entanto essa visão é real em parte. Albertin e Pinochet (2010, p. 81),

asseguram que “[...] a segurança é um conceito que vai muito além disso. É expectativa de todos

que a informação armazenada em um sistema computacional permaneça lá, sem que as pessoas

não autorizadas tenham acesso ao conteúdo”. Mas não é isso que ocorre na prática.

É público e notório que o vazamento de informações confidenciais de um Estado ou de

cidadãos, pode acarretar graves consequências nas relações internacionais. Vide o emblemático

caso do ex-administrador de sistemas da Agência Central de Inteligência dos Estados Unidos

(CIA), Edward Joseph Snowden, que divulgou na rede mundial de computadores dados dos

programas de vigilância global da Agência Nacional de Segurança dos Estados Unidos (NSA),

causando desestabilização na relação entre os Estados Unidos com os demais países

monitorados pelo sistema, inclusive o Brasil, conforme ampla divulgação nos meios de

comunicação nacionais e internacionais à época dos vazamentos, ano de 2013.

Dentro dessa lógica aplicada entre informação e segurança, Albertin e Pinochet (2010,

p. 83) concluem, “A definição de segurança da informação pode ser analisada como uma fonte

de poder, pois, no mundo moderno, quem possui informação, possui poder”. Daí surge a

conexão apresentada pelos autores de que o investimento em tecnologia, antes visto como um

diferencial competitivo, hoje se volta para a tecnologia da informação que além de ser um

diferencial competitivo é ainda importante no processo decisório e sobrevivência das

organizações.

Aliado a esse conceito, a segurança da informação surge como ponto preponderante para

as organizações prescindindo de uma política de segurança da informação eficaz. Na visão de

Albertin e Pinochet (2010, p. 84), “Uma política de segurança da informação possui diretrizes,

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

3

a fim de determinar a estrutura da segurança da informação e a orientação necessária ao

desenvolvimento do trabalho”.

Para os mesmos autores, a política de segurança da informação requer:

“O conhecimento das regras de acesso, bem como a responsabilidade sobre a

manipulação, devem ser permanentemente atualizados e conhecidos pelos usuários,

assim como a existência de regras e de contratos definindo estas, para o cumprimento

dos requisitos da política de segurança, tanto para o quadro funcional interno, como

para os prestadores de serviço” (ALBERTIN; PINHOCHET, 2010, p. 85).

Vislumbrando o cenário apresentado até aqui, a bibliografia demonstra que os avanços

tecnológicos e a globalização inferem a segurança como fator competitivo das organizações

sendo segurança fator de confiança, ou seja, credibilidade de imagem das organizações.

No entanto, essa relação de confiança se estende aos funcionários que utilizam os

sistemas informatizados e tem acesso às informações da organização. A partir desses conceitos

é que consideramos a relevância da informação e como a Governança de TI administra e

controla tais informações. Em consonância com o entendimento de Albertin e Pinochet (2010,

p.109), de que “apesar de os controles de segurança tecnológica serem eficientes no combate a

vários tipos de riscos na conexão à Internet, o elemento humano é sempre um componente de

suprema importância na solução de questões de segurança”.

Trazendo essa questão para o ambiente governamental, observamos que para que o

Estado tenha garantida a segurança e o sigilo de seus dados, para a contínua prestação de

serviços públicos, e para que tenha credibilidade junto à sociedade, a APF deve ter um projeto

de Governança de TI com destaque para a segurança da informação, visando administrar de

forma transparente, estruturada e controlada, focando no seu maior risco: as pessoas,

consideradas o “elo frágil” da segurança da informação (BEAL, 2005).

Frente ao exposto, definimos como objetivo da pesquisa investigar o processo de

Governança de Tecnologia da Informação na Administração Pública Federal, verificando o

grau de relevância da segurança da informação para as instituições públicas com foco no

comportamento humano, avaliando ainda a adoção de medidas para diminuir esses riscos. Para

cumprir essa meta, optamos pelo método da pesquisa documental por compreendermos ser a

que melhor se aplica a materiais ainda não tratados, e no caso, serão utilizados documentos de

segunda mão, como podem ser caracterizados os Levantamentos do TCU dos anos de 2007 a

2014, que avaliam todo o processo de governança de TI na APF. Desde os resultados obtidos,

esperamos contribuir com o incremento na produção do material analisado e, por consequência

com a construção dos processos de segurança da informação que impactem positivamente no

usuário final dos sistemas informatizados da APF.

2 – Referenciais Teóricos

Com o processo de globalização e avanços tecnológicos, o mundo se insere na sociedade

da informação. Visando dar transparência e accountability aos seus procedimentos, as

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

4

instituições aceleraram o processo de Governança Corporativa, tendo a Governança de TI como

forma de controle e consistência de dados (TAKASHI, 2000). Essa necessidade advém, no caso

da APF, do novo olhar da sociedade que passa de mero expectador das ações do Estado para a

figura de eleitores cidadãos Esse empoderamento trouxe novos paradigmas no acesso à

informação, como a preocupação com segurança da informação, objetivando proteger o

ambiente computacional de ameaças causadas, entre outras, pelo fator humano diante das

vulnerabilidades do sistema

2.1 – Governança de TI

A governança corporativa surge no ambiente de negócio marcado pelas mudanças

ocorridas pelo advento da Sociedade do Conhecimento, que gerou uma maior busca por

informação por parte dos investidores e stakeholders, com vistas à redução de riscos nos

sistemas organizacionais com tendência mais aberta. Como suporte a essa demanda, a

governança de TI, além de garantir a transparência das informações, traz em seu escopo uma

série de fatores que caracterizam sua aplicação, como um mercado mais competitivo, hostil a

práticas fraudulentas e maquiagens de contas, novos concorrentes em nível global com produtos

a baixo custo. No caso Brasil, o crescimento econômico e a sua consolidação, bem como

inserção no mercado mundial fez surgir uma nova classe média, sendo esse o mote da nova

forma de gestão, com maior visibilidade e “antenada” com os avanços tecnológicos

(FERNANDES; ABREU, 2014).

Governança de TI é entendida como “o sistema pelo qual o uso atual e futuro da TI são

dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização

e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da

organização” ISO/IEC 38500 (ABNT, 2009).

Na APF brasileira, o modelo de governança em TI teve seu marco na década de 1990,

com a implantação do modelo de governo gerencial, profundamente influenciado pelas práticas

neoliberais em curso, tendo seu modelo de gestão implementado pelo presidente Fernando

Henrique Cardoso (1994-2002). O primeiro passo foi à implantação do Sistema de

Administração de Recursos de Informação e Informática (SISP), pelo Decreto nº. 1.048, de 21

de janeiro de 1994 (BRASIL, 1994), revogado pelo Decreto nº. 7579, de 11 de outubro de 2011

(BRASIL, 2011), criado com o objetivo de organizar a operação, controle e supervisão e

coordenação dos recursos de tecnologia da informação da APF. Conforme artigo 2º, do mesmo

Decreto, o SISP tem dentre suas finalidades: “I - assegurar ao Governo Federal suporte de

informação adequado, dinâmico, confiável e eficaz;” bem como, “ II - facilitar aos interessados

a obtenção das informações disponíveis, resguardados os aspectos disponibilidade, integridade,

confidencialidade e autenticidade, bem como restrições administrativas limitações legais;”

(BRASIL, 2011)

No âmbito do SISP, por meio da Secretaria de Tecnologia da Informação do Ministério

do Planejamento, Orçamento e Gestão, foi elaborado o Guia de Governança de Tecnologia da

Informação e Comunicação (Gov TIC), no ano de 2015, com orientações aos órgãos e entidades

pertencentes ao Sistema acerca da evolução da Governança de TI em suas organizações. O Guia

apresenta um modelo referencial constituído por um conjunto de dez práticas relacionadas à

Governança de Tecnologia da Informação e Comunicação (TIC), visando orientar as

instituições no desenvolvimento e aperfeiçoamento de governança de TI, impulsionando o

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

5

papel da alta administração na área de governança e a otimização dos recursos das organizações

(BRASIL, 2015).

Como órgão de controle externo da APF, o TCU, através da Secretaria de Fiscalização

de TI (SeFTI), realiza Levantamentos de Governança de TI em instituições públicas federais,

com a finalidade de fiscalizar a gestão dos recursos de TI, bem como, fomentar melhorias,

modernização e aperfeiçoamento nas práticas de governança de TI no âmbito da APF (TCU,

2010).

2.2 – Sociedade da Informação

Desde as ideias apresentadas anteriormente, compreende-se que governança de TI é

fundamental para uma gestão da informação de maneira eficaz. Em consonância com o

pensamento de Werthein (2000), a informação como matéria-prima é fruto de uma revolução

tecnológica, social, política e econômica que transformou todas as relações do mundo moderno.

E a importância da governança de TI se dá, justamente, na maneira pela qual dependemos da

informação como insumo para organização desse mundo.

No entendimento de Santos e Carvalho (2009), a existência de uma sociedade

dependente da informação se dá a partir de uma contextualização histórica e apresenta-se

através dos marcos das três revoluções que transformaram a sociedade moderna, a saber: 1) no

início século XVIII, a invenção do motor a vapor deu início às primeiras indústrias, a partir da

substituição do trabalho humano pelas máquinas a vapor, com mais velocidade e melhor

desempenho; 2) na metade do século XIX, a eletricidade facilitou a criação de meios de

comunicação à distância e afetou os meios de produção; e 3) a sociedade da informação se

desenvolveu a partir da sua dependência tecnológica e científica.

Para Werthein (2000), essa nova sociedade apresenta novos paradigmas: a) a

informação é a matéria-prima, já que o homem atua diretamente sobre ela para gerar resultados;

b) todas as atividades humanas são afetadas pelas novas tecnologias, pois sua base é a

informação; c) há uma relação em rede; d) os processos são reversíveis devido a sua

flexibilidade e; e) há uma crescente convergência tecnológica de várias áreas do conhecimento

humano.

Enquanto que no mundo, a questão da sociedade de informação vem sendo debatida e

implementada desde a segunda metade da década de 1960, no Brasil a questão foi tratada de

maneira institucional apenas no ano 2000, dentro do Programa Sociedade da Informação no

Brasil - Livro Verde, durante o governo do presidente Fernando Henrique Cardoso. O programa

abordava questões relativas ao acesso à informação, visando à implantação do Governo

Eletrônico (e-GOV) e a democratização do acesso à informação. Hoje, revertido no Programa

Governo Eletrônico tem como objetivo ampliar o debate e a participação popular na construção

das políticas públicas, como também no aprimoramento da qualidade dos serviços e

informações públicas (BRASIL, 2015). Porém, na sua concepção inicial, estava mais

relacionado à conexão com a internet, com a inserção do cidadão no mundo digital (inclusão

digital) de maneira a evitar sua alienação (exclusão digital), integrando a pessoa na sociedade

da informação, preparando-a para consumir e gerar informação de maneira consciente

(SANTOS; CARVALHO, 2009).

Os sistemas de informação devem atender às demandas da sociedade, prestando serviços

que gerem resultados efetivos para o cidadão. Só estaremos efetivamente incluídos digitalmente

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

6

e, por consequência, inseridos numa verdadeira sociedade da informação, quando as

instituições públicas forem capazes de prover para sociedade as informações e serviços por ela

demandados. Conforme o Livro Verde:

O advento da Sociedade da Informação é o fundamento de novas formas de

organização e de produção em escala mundial, redefinindo a inserção dos países na

sociedade internacional e no sistema econômico mundial. Tem também, como

consequência, o surgimento de novas demandas dirigidas ao Poder Público no que

respeita seu próprio funcionamento (TAKASHI, 2000, p.195).

2.3 – Segurança da Informação

Em tempos de globalização a informação tornou-se um dos bens mais valiosos para a

sociedade, conforme afirmação dos autores referenciados neste artigo. Seguindo a evolução da

sociedade da informação, os governos procuram estender sua governança de modo a buscar

ativamente as demandas e necessidades da população. No Portal SISP (2016), está disposto

que: “Nas instituições governamentais, a segurança está relacionada a proteger tudo aquilo que

possui valor para o órgão ou entidade da Administração Pública Federal, ou seja, os ativos de

informação, as pessoas e a sua imagem” (BRASIL, 2016).

Porém toda a informação necessita de tratamento e análise, de forma que chegue ao

destino correto, no momento desejado e de maneira confiável. Neste sentido torna-se necessário

proteger o ambiente computacional de ameaças deliberadas ou acidentais, evitando com isso as

vulnerabilidades do sistema.

Nesse sentido, a segurança da informação é tratada no Decreto nº. 7579, de 11 de

outubro de 2011 (BRASIL, 2011), artigo 2º, inciso 2º, destacando que no âmbito da APF é

objeto do Decreto nº. 3505, de 13 de junho de 2000 (BRASIL, 2000), que institui a Política de

Segurança da Informação nos órgãos e entidades da APF. Onde, em seu artigo 2º, parágrafo II,

consta a seguinte definição:

Segurança da Informação: proteção dos sistemas de informação contra a negação de

serviço a usuários autorizados, assim como contra a intrusão, e a modificação

desautorizada de dados ou informações, armazenados, em processamento ou em

trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação

e do material, das áreas e instalações das comunicações e computacional, assim como

as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu

desenvolvimento (BRASIL, 2000).

O Decreto citado determina em seu artigo 4º, que a Secretaria-Executiva do Conselho

de Defesa Nacional, assessorada pelo Comitê Gestor de Segurança da Informação adote

algumas diretrizes, dentre elas: “realizar auditoria nos órgãos e nas entidades da Administração

Pública Federal, envolvidas com a política de segurança da informação, no intuito de aferir o

nível de segurança dos respectivos sistemas de informação” (BRASIL, 2000).

2.3.1 – Conceito e uso da segurança da informação

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

7

De acordo com a NBR ISSO/IEC 17799 (ABNT, 2005), a abrangência da segurança da

informação não se restringe apenas ao ambiente computacional, mas a todo meio envolvido na

disseminação da informação.

A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em

papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos,

apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou

o meio através do qual a informação é compartilhada ou armazenada, é recomendado

que ela seja sempre protegida adequadamente. Segurança da informação é a proteção

da informação de vários tipos de ameaças para garantir a continuidade do negócio,

minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as

oportunidades de negócio (ABNT, 2005).

Na visão de Moreira (2001), a segurança visa também aumentar a produtividade dos

usuários através de um ambiente mais organizado, proporcionando maior controle de recursos.

Em tempos de busca pela eficiência a custos cada vez menores, uma PSI bem elaborada deve

servir como referencial a ser seguido na conquista da eficácia dos serviços públicos.

2.3.2 - O fator humano na segurança da informação

A segurança da informação também atinge aspectos humanos, onde sua abordagem deve

levar em conta aspectos culturais, educacionais e principalmente a conscientização da forma

correta e segura do uso da TI pelos seus usuários por meio da PSI. Moreira (2001) aponta a

vulnerabilidade como sendo o ponto onde qualquer sistema é suscetível a um ataque, condição

causada muitas vezes pela ausência ou ineficiência das medidas de proteção. Adachi (2004)

relaciona os aspectos envolvidos na segurança da informação em três camadas: física, lógica e

humana. Na camada física encontram-se todos os ativos de TI, tais como computadores,

servidores, modems, etc. Na camada lógica encontram-se os softwares, ou programas e

instruções, tais como sistemas operacionais, firewall, antivírus, etc. Todos os usuários fazem

parte do fator humano, principalmente os que têm acesso direto aos recursos de TI tornando-se

o fator mais difícil de gerenciar e avaliar riscos.

Mitnick (1963, p.23) afirma que “a segurança não é um problema para a tecnologia —

ela é um problema para as pessoas e a direção”. Podemos perceber a constante evolução

tecnológica vem tornando mais difícil a exploração de falhas pelos atacantes, que acabam se

voltando para o fator humano. Explorar o elemento humano é mais fácil, não necessita de

nenhum investimento e envolve um risco mínimo. Por ser um dos pilares na segurança da

informação, o fator humano carece de PSI específicas conforme o ambiente organizacional, um

controle efetivo, a conscientização de todos os envolvidos e o constante treinamento e

capacitação dos usuários dos sistemas informatizados visando atingir a excelência nos serviços

públicos oferecidos pelo Estado.

3 – Metodologia

A metodologia utilizada para o desenvolvimento deste estudo foi a pesquisa

documental, que segundo Gil (2008, p.50), é parecida com a pesquisa bibliográfica, ou seja,

“desenvolvida a partir de material já elaborado, construído principalmente de livros e artigos

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

8

científicos”. A diferença é que na pesquisa documental a análise é realizada em materiais ainda

não tratados, e no caso em questão serão utilizados, no conceito do mesmo autor, documentos

de segunda mão, sendo esses os Levantamentos do TCU dos anos de 2007, 2010, 2012 e 2014,

que avaliam todo o processo de governança de TI na APF.

Os Levantamentos são realizados por meio de questionário disponibilizado para

organizações públicas federais, escolhidas a partir do critério principal de sua

representatividade no orçamento da União e de sua autonomia da governança de TI. Após o

Acórdão nº. 2.308/2010-TCU-Plenário, o TCU determinou que:

O levantamento de governança de TI fosse convertido em processo de trabalho com

o objetivo de avaliar a situação de governança de TI na APF e induzir sua melhoria.

Nesse sentido, a SeFTI criou o Processo de Avaliação de Governança de TI, com ciclo

de vida de dois anos, em seu nível mais alto, das seguintes etapas: Monitoração,

Preparação, Avaliação e Revisão (TCU, 2014).

A análise foi qualitativa, com a utilização das três etapas apresentadas por Miles e

Hubberman (1994) para análise de dados, sendo: redução, apresentação e

conclusão/verificação.

Inicialmente fizemos a redução, selecionando dentro dos Levantamentos do TCU os

dados que interessavam ao tema, sendo estes os relacionados à segurança da informação, com

foco na PSI, com um olhar também sobre a gestão de risco. Objetivando obter um diagnóstico

de quais medidas a APF está adotando em seu âmbito para manter o sigilo e a confiabilidade

das informações das quais é detentora. Assim, os dados originais foram simplificados para

facilitar a análise.

Após, passamos para a etapa da apresentação, que segundo os autores Miles e

Hubberman (1994) “consiste na organização dos dados selecionados de forma a possibilitar a

análise sistemática das semelhanças e diferenças e seu inter-relacionamento”. Seguindo o

modelo fizemos o cruzamento dos dados de Levantamentos de anos anteriores 2007, 2010 e

2012 com posteriores, 2010, 2012 e 2014 para organização e análise das informações.

Por fim, realizamos a conclusão de acordo com a regularidade e explanações constantes

nos Levantamentos que possuem um padrão de análise e índices que facilitaram a observação

da evolução dos itens selecionados, como também, a verificação, sendo esta a etapa onde foi

feita a revisão dos dados dos Levantamentos para dar consistência à conclusão.

Para chegarmos ao resultado da pesquisa documental, qual seja verificar em que patamar

se encontra a governança de TI na APF e quais as medidas estão sendo adotadas pelas

instituições públicas para proteger dados e informações estratégicas para o Estado e para os

cidadãos, analisamos os dados relativos à segurança da informação nos Levantamentos de

Governança de TI do TCU.

Na primeira etapa da pesquisa selecionamos quatro Levantamentos do TCU, dos anos

de 2007, 2010, 2012 e 2014 e focamos nas questões relativas ao objeto da nossa pesquisa que

é a segurança da informação e risco aplicado ao comportamento humano.

4 – Resultados e discussões

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

9

O Levantamento acerca da Governança de Tecnologia da Informação na Administração

Pública Federal, Acórdão nº. 1603/2008-TCU-Plenário, foi o primeiro a ser realizado pela

SeFTI no ano de 2007, auditando 255 órgãos/entidades representativas da APF. Seu maior

objetivo foi elaborar um mapa situacional para a identificação da situação de governança de TI

na APF. O questionário aplicado foi composto de 39 perguntas baseadas nas normas técnicas

brasileiras ISO/IEC 17799 (ABNT, 2005), ISO/IEC 15999-1 (ABNT, 2007) e no Control

Objectives for Information and Related Technology 4.1 (COBIT 4.1). Os principais problemas

de governança de TI foram identificados por área: planejamento estratégico institucional e de

TI; estrutura de pessoal de TI; segurança da informação; desenvolvimento de sistemas de

informação; gestão de acordos de níveis de serviço; processos de contratação de bens e serviços

de TI; processos de gestão de contratos de TI; processo orçamentário de TI; e auditoria de TI.

Encontramos esse formato nos demais Levantamentos analisados.

Os dados verificados no Levantamento de 2007, quanto à segurança da informação,

limitaram-se as informações das instituições auditadas relativas aos documentos sobre a Política

de Segurança da Informação, o Plano de Continuidade de Negócios, normas/procedimentos

relacionados à classificação de informações e ao controle de acesso, que devem orientar o

tratamento da segurança das informações (TCU, 2008). As respostas dadas aos

questionamentos sobre segurança da informação foram insatisfatórias, visto que, das nove

questões feitas, só uma atingiu patamar positivo acima de 50%. No que

cabe a PSI, 64% das organizações declararam não ter essa política, portanto, não adotavam

sequer os princípios de segurança da informação, dado esse confirmado pelo fato de apenas

36% ter declarado existir uma área específica para lidar estrategicamente com segurança da

informação. Por outro lado, 52% das instituições declararam possuir regras de controle de

acesso e direitos de cada usuário ou grupo de usuários. Com base nesses dados, fica clara a

ausência de proteção à informação, bem como da disseminação de uma política que subsidiasse

o usuário do sistema da importância dessa proteção, bem como, de um setor que fizesse a gestão

da PSI dentre das organizações participantes desse Levantamento. Tal fato se deve a insipiência

da segurança da informação na APF, bem como pela ausência de políticas públicas efetivas

relacionadas à questão.

O Levantamento de Governança de TI de 2010, Acórdão 2.308/2010-TCU-Plenário,

contou com a participação de 349 instituições da APF que responderam um questionário com

trinta perguntas, baseadas nas normas técnicas brasileiras de segurança da informação e

governança de TI, no COBIT 4.1 e no Programa Nacional de Gestão Pública e

Desburocratização (GesPública), Decreto nº. 5.378/2005 (BRASIL, 2005), englobando sete das

oito dimensões estabelecidas no programa: liderança, estratégias e planos; cidadãos; sociedade;

informações e conhecimento pessoas e processos. Nesse Levantamento foi criado o índice de

governança de TI (iGovTI). A avaliação da SeFTI, aos questionários analisados em 2010, foi

de que a governança de TI na APF estava em estado embrionário e que os processos de gestão

de segurança da informação se mantinham sem implementação.

No ano de 2012, o Levantamento de Governança de TI, Acórdão 2.585/2012-TCU-

Plenário, auditou 309 instituições da APF, seguiu o modelo COBIT 5, distinguindo governança

de TI de gestão de TI. A análise de dados para esse trabalho focou apenas na governança de TI

e foi feita em três seções. A primeira denominada Atualização do Perfil de Governança de TI,

compara os cenários de 2010 e 2012; a segunda, A Governança e os Resultados Institucionais,

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

10

analisam os resultados por questão e dimensão do questionário, com foco na governança e nos

resultados; e a terceira, apresenta o índice de governança de TI (iGovTI2012).

Gráfico 1 – Comparação do cenário de segurança da informação na APF entre os anos de 2010

e 2012.

Fonte: Levantamento de Governança de TI de 2012 (Acórdão nº. 2585/2012-TCU-Plenário).

O comparativo da dimensão da segurança da informação, dos anos de 2010 e 2012,

apresentados no gráfico acima, revela uma melhoria nos índices de PSI e gerenciamento de

segurança da informação. No entanto, a análise geral é de que a segurança da informação não

possui grau de relevância nas instituições auditadas, considerando que em sua maioria os

percentuais encontram-se abaixo de 50%.

O Levantamento 2012 se baseou em declarações espontâneas dos dirigentes, ou seja,

sem apresentação de evidência. Assim, a SeFTI realizou auditorias específicas no ano de 2013

em uma amostra de 20 organizações para validar a gestão de risco e os resultados apurados no

ano de 2012. As auditorias resultaram nas decisões: Acórdão nº. 755/2014-TCU-Plenário,

Acórdão nº. 1.684/2014-TCU-Plenário e Acórdão nº. 1.015/2014-TCU-Plenário, e

identificaram que a situação encontrada estava aquém daquela informada pelas instituições

públicas no questionário.

A evolução ocorrida entre 2010 e 2012, na área de segurança da informação, se deve

pela observância da APF da informação como valor para as relações internacionais como

estratégia de negócio para o país, agregada a tomada de decisões estratégicas. O Brasil, no ano

de 2010, ocupava situação de destaque na economia, assim, era necessário proteger o

patrimônio nacional que no mercado global do momento é a informação. Outra vertente foi o

avanço do Governo Eletrônico (E- Gov) e consequentemente do acesso à informação pela

sociedade.

O último Levantamento de Governança de TI, com dados compilados é o do ano de

2014, Acórdão nº 3.117/2014-TCU-Plenário, onde foram selecionadas 373 organizações

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

11

públicas, mantidas as do levantamento anterior, com o objetivo de atualizar o cenário de 2012.

A metodologia utilizada para aplicação do questionário em 2014 deixou de ser binária (sim ou

não) e adotou a forma de categorias de repostas relativas ao nível de adoção da prática de

governança, sendo: não se aplica, não adota, iniciou o plano para adotar, adota parcialmente e

dota integralmente.

Sendo analisado pela primeira vez em 2014, o tema “Gestão de Risco de TI”. A Gestão

de Risco de TI é normatizada pela NBR ISO/IEC 38500 (ABNT, 2009), que apresenta

princípios básicos que direcionam as organizações para a implementação e manutenção de uma

governança de TI eficaz. Onde cabe observar o sexto princípio, o Comportamento Humano,

que deve ser norteado por políticas, práticas e inclusão nos processos de governança de TI. Sua

ineficiência, no âmbito das instituições públicas, apresenta grave falha e grande risco para o

cidadão.

No que cabe a análise das políticas e responsabilidades de segurança da informação o

gráfico abaixo, extraído do Levantamento de 2014, aponta evoluções:

Gráfico 2 – Evolução da segurança da informação na APF entre os anos de 2012 e 2014.

Fonte: Levantamento de Governança de TI de 2014 (Acórdão nº. 3117/2014-TCU-Plenário).

Quanto a PSI, comparativo entre 2012 e 2014 apresenta uma evolução de 24%,

considerando que 68% declararam adotar a PSI em 2014 e apenas 44% em 2012. Os comitês

de segurança da informação tiveram um incremento de 16% no ano de 2014, saindo de um

percentual de 46% em 2012 para 62% das instituições públicas em 2014, onde 13% adotam a

prática parcialmente e 49% adotam integralmente. Na política de controle de acesso, que

estabelece regras de acesso aos sistemas e demais recursos de TI da organização, houve um

salto, de 26% em 2012 para 52% em 2014.

Concluindo a última etapa da metodologia proposta, que é a conclusão/verificação,

observamos que apesar dos índices mais positivos no que cabe à segurança da informação

constantes do Levantamento de 2014, corroboramos com as considerações dos técnicos do TCU

de que a situação está distante do esperado, citando o item 2.5.2, parágrafo 227, do Acórdão nº.

3.117/2014-TCU-Plenário, onde se lê:

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

12

O uso cada vez mais crescente da TI na execução dos processos organizacionais, em

especial dos finalísticos, vem acompanhado do aumento do risco de segurança da

informação, requerendo maior atenção da APF no estabelecimento dos processos e

controles voltados à proteção das informações (TCU, 2014).

A APF deve, na figura de seus agentes, zelar pelos dados em sua guarda. Até mesmo

o Código Penal Brasileiro, em seu art. 325, tipifica as condutas criminosas relacionadas ao

vazamento de dados. Porém, excluindo a intenção criminosa, acreditamos que as instituições

públicas precisam de uma atuação mais dinâmica na governança de TI, principalmente no que

cabe a área de segurança da informação. A adoção de uma PSI e a criação do comitê de

segurança da informação, ainda que em fase intermediária na APF, medidas meramente legais,

não trazem nenhum benefício se não forem adotadas ações de conscientização, política de

treinamento e monitoramento constante do usuário final, a fim de evitar atos de imperícia,

imprudência ou até mesmo negligência por parte dos agentes envolvidos.

Conforme Fernandes e Abreu (2013), nos levantamentos realizados em 2007 e 2010,

o diagnóstico da Gestão de TI na APF foi avaliado como precário, pois não havia boa

governança; os índices em segurança da informação que estavam em não conformidade ainda

eram altos; havia baixo índice de planejamento da contratação e da gestão de contratos; e a

governança de TI não era vista como responsabilidade da alta administração por metade dos

respondentes da pesquisa.

Apesar da evolução dos índices entre 2010 e 2014, verificamos que a governança de TI

e a segurança da informação, apresentam pouca relevância para a APF. Não ficaram claros, na

pesquisa realizada através dos Levantamentos do TCU, quais os fatores que levam às

instituições públicas brasileiras a terem esse comportamento. No entanto, esse desinteresse vai

contra aspectos regulatórios da APF e a abordagem dos autores estudados para a formulação do

presente artigo, que são unânimes em apontar a importância da boa governança de TI para a

estratégia organizacional e o comportamento humano como um dos fatores críticos de sucesso

para segurança da informação, com considerável grau de valor.

Para tanto, faz-se necessária a inserção do usuário como parte integrante da governança

de TI, para que ele se torne motivado a aceitar o treinamento e supervisão necessária, e para

que não se torne um “ponto fraco” que resulte em incidentes de segurança (ALBERTIN;

PINOCHET, 2010).

5 – Conclusão

É inegável o esforço da APF em avançar nos processos de Governança de TI nos

últimos anos, mais especificamente na área de segurança da informação. Desde 2000, ano da

publicação do Decreto nº. 3505/2000 (BRASIL, 2000) que institui a Política de Segurança da

Informação na APF até o Levantamento de 2014 do TCU, o panorama é favorável. No entanto

caminhamos a passos lentos, vide a distância existente entre as teorias propagadas nas

bibliografias apresentadas neste artigo, relativas à importância de uma boa governança de TI

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

13

como aspecto estratégico e de diferencial competitivo para as organizações, e as medidas

efetivamente adotas pelas instituições da APF.

No que tange a segurança da informação o distanciamento é ainda maior, pois a

informação como ativo de grande valia é relegada a segundo plano, pois as ações por parte da

APF são meramente normativas.

Ao final deste estudo, concluímos que para uma visão mais ampla do processo de

governança de TI na APF, o TCU por meio da SeFTI deve inserir nas próximas versões do seu

Levantamento, o princípio “comportamento humano”, no tema “Gestão de Risco de TI”. Com

inclusão de questões mais abrangentes relativas ao processo de implementação da PSI e atuação

dos comitês de segurança da informação, a exemplo de perguntas sobre a realização de ações

de conscientização e treinamento de todos os envolvidos no uso da informação, envolvendo

desde a alta administração até o pessoal de nível operacional.

É preciso avançar nas propostas para tornar a governança de TI na APF mais efetiva.

Isso só será alcançado, por meio do engajamento das pessoas e no caso específico estudado no

presente artigo, com ações pró-ativas na área de segurança da informação. Por meio do controle

na gestão de risco, considerando os aspectos técnicos, legais e éticos que envolvem todos os

usuários da informação, para além da PSI e dos comitês de segurança da informação.

Acreditamos que desta forma, a APF alcançará o nível de excelência desejado e necessário,

beneficiando a razão da sua existência, o cidadão.

6 – Referências

ABREU, V. F.; FERNANDES, A. A. Implantando a governança de TI: da estratégia à gestão

dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2013.

ADACHI, T. Gestão de Segurança em Internet Banking: estudos de casos brasileiros. 2004.

121f. Dissertação (Mestrado em Administração de Empresas) – Fundação Getúlio Vargas, São

Paulo. Disponível em: <http://bibliotecadigital.fgv.br/dspace/handle/10438/2339>. Acesso em

14 abr. 2017.

ALBERTIN, A. L.; PINOCHET, L. H. C. Política de segurança de informações: Uma visão

organizacional para a sua formulação. São Paulo: Elsevier, 2010.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6023: informação e

documentação: referências - elaboração. Rio de Janeiro, 2002a.

______. NBR 17799: Tecnologia da informação - Técnicas de segurança - Código de prática

para a gestão da segurança da informação. Rio de Janeiro, 2005.

______. NBR 38500: Fornece uma estrutura de princípios para os dirigentes usarem na

avaliação, gerenciamento e monitoramento do uso da T.I. Rio de Janeiro, 2009.

BEAL. A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos

de informação nas organizações. São Paulo: Atlas, 2005.

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

14

BRASIL. Código Penal. Decreto-Lei nº 2.848, 07 de dezembro de 1940. Disponível em:

<http://www.planalto.gov.br/ccivil_03/decreto-lei/Del2848.htm>. Acesso em 11 mar. 2017.

______. Decreto nº. 7579, de 11 de outubro de 2011. Dispõe sobre o Sistema de Administração

dos Recursos de Tecnologia da Informação - SISP, do Poder Executivo federal. Diário Oficial

da república Federativa do Brasil. Brasília, DF, 13 out. 2011. Disponível em:

<http://www.in.gov.br >. Acesso em: 19 ago. 2016.

______. Decreto nº. 3505, de 13 de junho de 2000. Dispõe sobre a Política de Segurança da

Informação nos órgãos e entidades da Administração Pública Federal. Diário Oficial da

república Federativa do Brasil. Brasília, DF, 14 jun. 2000. Disponível em:

<http://www.in.gov.br >. Acesso em: 19 ago. 2016.

______. Programa Governo Eletrônico. Histórico. Brasília, 2015. Disponível em:

<https://www.governoeletronico.gov.br/sobre-o-programa/historico>. Acesso em: 04 mar.

2016.

______. Ministério do Planejamento, Orçamento e Gestão. Guia de Governança de TIC do

SISP. Brasília, 2015. Disponível em: <http://sisp.gov.br/govtic/wiki>. Acesso em 04 mar. 2016.

______. Ministério do Planejamento, Desenvolvimento e Gestão. Portal SISP. Brasília, 2015.

Disponível em: <http://sisp.gov.br/gov>. Acesso em 04 mar. 2016.

______. Tribunal de Contas da União. Acórdão 1603/2008-Plenário. Levantamento acerca da

Governança de Tecnologia da Informação na Administração Pública Federal. Sumários

Executivos. Brasília, 2008. Disponível em:<http://portal.tcu.gov.br/comunidades/fiscalizacao-

de-tecnologia-da-informacao/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 12 mar.2017.

______. Tribunal de Contas da União. Acórdão 2380/2010-Plenário. Levantamento do Perfil da

Governança de TI na Administração Pública Federal. Brasília, 2010. Disponível em:

<http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-dainformacao/atuacao/perfil-

de-governanca-de-ti/>. Acesso em: 12 mar. 2017

______. Tribunal de Contas da União. Acórdão nº. 2585/2012-Plenário. Levantamento de

Governança de TI 2012. Sumários Executivos. Brasília, 2013. Disponível

em:<http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da

informação/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 12 mar. 2017

______. Tribunal de Contas da União. Acórdão nº. 3117/2014-Plenário. Levantamento de

Governança de TI 2014. Sumário Executivo Tecnologia da Informação. Brasília, 2015.

Disponívelem:<http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da-

informacao/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 12 mar. 2017

CEPIK, M.; CANABARRO, D. R. Governança de TI: transformando a administração pública

no Brasil. Porto Alegre: UFRGS, 2014.

TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

15

GIL, A.C. Como Elaborar Projetos de Pesquisa. São Paulo: Atlas, 2008.

MITNICK, K. D.; WILLIAM, W. L. A. A arte de enganar: Controlando o Fator Humano na

Segurança da Informação. Tradução de Kátia Aparecida Roque. São Paulo: Pearson Education,

2003. Título original: The art of deception: controlling the human element of security (1963).

MILES, M. B.; HUBERMAN, A. M. Qualitative Data Analysis (2nd edition). Thousand Oaks,

CA: Sage Publications, 1994.

MOREIRA, N. S. Segurança Mínima. Rio de Janeiro: Axcel Books, 2001

SANTOS, P. L. V. A; C. CARVALHO, A. M. G. Sociedade da informação: avanços e

retrocessos no acesso e no uso da informação. Inf. & Soc. Est., João Pessoa, v.19, n.1, p. 45-

55, 2009. Disponível em: <http://www.ies.ufpb.br/ojs/index.php/ies/article/view/1782>.

Acesso em 01 ago. 2016.

TAKAHASHI, T. Livro Verde: Sociedade da informação no Brasil. Ministério da Ciência e

Tecnologia. Brasília, 2000. Disponível em:

<https://www.governoeletronico.gov.br/documentos-e-arquivos/livroverde.pdf>. Acesso em

01 agosto 2016.

WERTHEIN, J. A sociedade da informação e seus desafios. Ci. Inf. Brasília, v. 29, n. 2, p. 71-

77, maio/ago. 2000. Disponível em: <http://www.scielo.br/pdf/ci/v29n2/a09v29n2.pdf>.

Acesso em 01 ago. 2016.